форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение		[Проследить за развитием треда]

"OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."

Сообщение от opennews on 02-Фев-04, 12:10

Алексей Тутубалин высказал свое мнение по поводу реальности внедрения технологий защиты от подделки обратных email адресов. Вывод - в обозримом будущем безболезненное повсеместное внедрение таких технологий как SPF или DomainKeys маловероятно. - SPF - "Sender Permitted From" используя DNS формируется список IP серверов имеющих право рассылать почту используя данное доменное имя упоминаемое в адресе отправителя. Плюсы - открытость и относительная простота технологии и интеграции в MTA. Минус - привязывает пользователя к определенному почтовому серверу, не дает возможность отправить письмо ,например, через SMTP другого провайдера. - DomainKeys от Yahoo (помещение в заголовке зашифрованного секретного ключа и распространение для данного домена открытого ключа посредством DNS). Плюсы - не зависимость от почтового сервера за счет возможности включения ключа пользовательским ПО. Минусы - закрытая, надуманная и излишне усложненная технология, трудность интеграции, возможность утечки ключа, после перехвата письма с ключом защита теряет смысл. URL: http://www.compulenta.ru/2004/1/28/44714/ Новость: http://www.opennet.dev/opennews/art.shtml?num=3364

Cообщить модератору | Наверх | ^

Сообщения по теме

[Сортировка по времени, UBB]

1. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от lowry on 02-Фев-04, 12:10

Тутубалин -- это тот хлопец что придумал Русский Апач? Творение сие принесло не меньше проблем чем решений на просторы всемирного инета.

Cообщить модератору | Наверх | ^

2. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Аноним on 02-Фев-04, 12:37

Я что-то не испытываю никаких проблем с русским апачем. А вопли о кривизне русского апача только можно услышать от тех кто его видимо криво настраивает. ;)))

Cообщить модератору | Наверх | ^

3. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от xz on 02-Фев-04, 14:13

вот это точно, у меня он уже как пол года бегает и никаких проблем =)

Cообщить модератору | Наверх | ^

4. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от roma on 02-Фев-04, 16:32

пол-года - не срок. я пользую Russian Apache с 98 года - вполне доволен. Спасибо Алексу и Russian Apache Team, а по поводу кривизны апача - дело действительно в настройках и кривизне рук

Cообщить модератору | Наверх | ^

5. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Аноним on 02-Фев-04, 18:08

Народ, признайтесь, зачем он нужен? Кодировки взад - вперд менять? Времена уже не те...

Cообщить модератору | Наверх | ^

	6. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от uldus on 02-Фев-04, 18:46
	>Народ, признайтесь, зачем он нужен? >Кодировки взад - вперд менять? Времена уже не те... Держать контент на сервере в одной кодировке, а выдавать в другой. IE часто подсовывает windows-1251  вместо кодировки в которой находится форма (если встретился нетранслируемый символ).Еще можно обойти баги в других менее популярных браузерах.
	Cообщить модератору | Наверх | ^

	7. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от Остров on 02-Фев-04, 18:49
	Так в какие времена он писался? Вспомнишь какие тогда были браузеры? Вот то-то. А то, что команда до сих пор поддерживает проект - большое ей спасибо.
	Cообщить модератору | Наверх | ^

8. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от TaranTuL on 03-Фев-04, 10:27

В свое время без русского апача было туго, но сейчас он потерял актуальность для новых браузеров, имеет смысл только со старыми клиентами.

Cообщить модератору | Наверх | ^

10. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Аноним on 03-Фев-04, 18:12

Ну не ссорьтесь, горячие финские парни - нормальные(адекватные) люди поняли, для чего нужен русский апач, дуракам не дано - какие нужны еще аргументы ?

Cообщить модератору | Наверх | ^

12. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от happy user on 04-Фев-04, 10:11

Обоснованные, а не ваши тут все

Cообщить модератору | Наверх | ^

13. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от MaxIKot on 04-Фев-04, 11:52

1. Прошу всех обсуждающих возвратиться к SUBJ. 2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail - вполне работоспособно. Как дальнейшее развитие возможна авторизация через LDAP и отвязка пользана от сервака.

Cообщить модератору | Наверх | ^

	15. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от Medlar on 04-Фев-04, 14:38
	>2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором >пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail >- вполне работоспособно. Тоже давно над этим думаю. Я планирую проверять MessageID, и если в нем фигурирует мой домен, то после проверки на принадлежность relay моей сети, давать либо отлуп либо пропускать почту. А на каком этапе у вас происходит привязка?
	Cообщить модератору | Наверх | ^

	17. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от MaxIKot on 04-Фев-04, 23:26
	На этапе проверки Mail From. По AuthID определяю каков должен быть MailFrom, и если предлагают что-то другое - от винта по резьбе. И еще (немного недоделал, но почти работало) список доменов, для приема почты с которых, сервер-отправитель должен авторизироваться на сервере-получателе. Перспективы: AUTH базы на серваках немеряно растут и приходит пора централизации, как описал один из коллег ;-)
	Cообщить модератору | Наверх | ^

	20. "Идея"
	Сообщение от uldus on 05-Фев-04, 09:41
	>Тоже давно над этим думаю. >Я планирую проверять MessageID, и если в нем фигурирует мой домен, >то после проверки на принадлежность relay моей сети, давать либо отлуп либо >пропускать почту. Но это не защитит ни от подделки адресов клиентов и клиентами, не от внешнего спама. Возможность соединится напрямую к серверу и указать все что угодно остается, любой сможет отправить письмо через соседний SMTP без подобных лимитов указав имя вашего домена и любой сможет соединится к вашему серверу и прислать вашему клиенту почту указав в отправителе все что угодно. Обе проблемы нерешаемые, в первом случе, нереально переучить клиентов ISP и убедить самих ISP пересылать почту для халявщиков с чужими IP, имеющих email от этого ISP. Во втором - нужно менять технологию обмена сообщениями между почтовыми серверами (авторизацию почтового сервера), что еще менее реально и бессмыслено. Правда, IMHO, есть один выход - ввести жесткую авторизацию посредством сертификатов, котрые выдавать централизованно и именть возможность онулировать. Что-то похожее на лицензирование почтовых серверов, как сейчас выдают домены и IP блоки, выдавть "зеленые карты" на почтовые сервера.
	Cообщить модератору | Наверх | ^

14. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от dct on 04-Фев-04, 13:12

Пойдя путем централизации, авторизации и т.д. придем напрямую в руки Билли, с их задвигом насчет платных электронных почтовых марок.. а их кстати еще яха собирается поддержать.. ИМХО надо искать другие варианты.. пока не поздно

Cообщить модератору | Наверх | ^

16. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Tracer on 04-Фев-04, 14:53

Технически решаем так - Запретить обработку исходящей почты с отправителем в адресе которого не свой домен (домены из списка) Для sendmail - это пара строк в конфиге Организационное решение -  вот это вопрос вопросов.

Cообщить модератору | Наверх | ^

	18. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от dct on 05-Фев-04, 06:13
	То что ты отрежешь левых сендеров на своем домене, это может и хорошо, но не факт что это сделают на соседнем домене или просто не поставят МТА, который будет спокойно пропускать письма с подделкой заголовкови т.д т.п. ИМХО для начала было бы неплохо сделать хотябы следующее: МТА должен хранить базу за какойто период в которой лежит msgid и адрес отправителя. Соответсвенно конечный МТА назначения посылает запрос с msgid на домен отправитель и в ответ получает адрес отправителя. Этим сразу отсечется подделка заголовков, и тогда более реально заработают черные списки.
	Cообщить модератору | Наверх | ^

	19. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от dct on 05-Фев-04, 06:20
	И вообще новое это хорошо позабытое старое, хотя наверно не такое уж и старое, но напрямую я уж давно их не видел :) как уехал с Томска. Поднять FIDO-нет схему и бить за левую почту сисопов. :) Шутка конечно, но зато самая реальная схема в плане отсечения левой почты, такчто.. как во всякой шутке...
	Cообщить модератору | Наверх | ^

	21. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от uldus on 05-Фев-04, 09:55
	>Поднять FIDO-нет схему и бить за левую почту сисопов. Точто также сейчас можешь "бить за левую почту" владельцев IP. Разницы никакой, только в фидо никто никому ничего не должен, а в Интернет с точности до наоборот, просто так никого не отключишь, нужны общесетевые законы поддерживаемые повсеместно, а не как сейчас у каждого свой договор с разными обязательствами. Хотя задачу можно свести не к запрещению подделки From, а к подтверждению реальности отправителя, например, цифровые подписи использоать.
	Cообщить модератору | Наверх | ^

22. "OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."

Сообщение от Вадим on 05-Фев-04, 17:23

Может проще сделать обязательность наличия для почтового сервера обратной DNS записи определенного вида (mail.domain.com) и обязать всех владельцев почтовый систем внести изменения в DNS в течении какого-то срока. В нормальных системах даже не придется ничего менять, у криворуких админов будет стимул, а кто не сделает изменения сами выкопают себе могилу. Далее если почта идет не с ^mail.* домена смело шлем ее в /dev/null, при жалобах посылаем еще дальше - в RFC.

Cообщить модератору | Наверх | ^

23. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от lowry on 06-Фев-04, 13:13

Мужики, а может мы не о том думает. Проблема не в спуфинге почтовых адресов, а в анонимности в интернете. Только давайте разберёмся что такое анонимность. Есть анонимность по отношению к правоохранительным органам. Её у пользователей уже давно нет. Есть анонимность -- по отношению к другим участникам сети. Она выражается грубо говоря в невозможности соотносить один узел сети с одним физическим лицом.

Cообщить модератору | Наверх | ^

24. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от lowry on 06-Фев-04, 13:13

Мне как провайдеру и контент-провайдеру не нужны паспортные данные пользователя по адресу 192.168.0.1. Мне нужно знать, что с этого адреса с большой вероятностью приходит и будет приходить один и тот пользователь. Тогда я смогу в отношении его проводить целенаправленную политику, в зависимости от поведения пользователя -- фильтровать, давать дополнительный доступ, отсекать от него почту и т.д. Со временем с пользователями у меня сложится история отношений и я смогу знать что 192.168.0.1 -- спаммер, 192.168.0.2 активно участвует в форуме техподдержки, 192.168.0.3 постоянно сканирует чужие компьютеры и т.д.

Cообщить модератору | Наверх | ^

25. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от lowry on 06-Фев-04, 13:13

Сейчас же сложилась такая ситуация что физические и даже юридические лица меняют ip-адреса как перчатки. Чтобы блокировать нежелательного члена сети приходится иногда блокировать весь пул ip-адресов дружественного провайдера. Как исправить такую ситуацию? Технически очень просто -- перейти на IPv6. К сожалению, это не гарантирует улучшения ситуации, всего лишь создаёт технические предпосылки для этого. Сорри за краткость -- постараюсь написать подробную статью об этом.

Cообщить модератору | Наверх | ^

26. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Nikolaev_D on 06-Фев-04, 23:01

позно зашел, но >Держать контент на сервере в одной кодировке, а выдавать в другой кодировку надо правильную держать : UTF-8, тогда и проблем не будет. кстати поинтересуйтесь, в какой кодировке отдает контент google ;) А с подделкой адресов можно поступить как с POP3 - запретить на уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер. По поп3 никому в голову не пришло разрешать снимать почту с левым логином, паролем или вообще без них. Прям подозрение, что в стандарт на СМТП специально закладку сделали.

Cообщить модератору | Наверх | ^

	27. "Есть ли шанс избавиться от подделки обратных адресов электро..."
	Сообщение от uldus on 07-Фев-04, 00:06
	>А с подделкой адресов можно поступить как с POP3 - запретить на >уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер. Разница в том, что в ящик почту кто попало положить не может, только агент доставки. С SMTP ты можешь авторизировать клиентов, но не внешние сервера, т.е. любой завирусенный компьютер из какой-нибудь бразильской xDSL cети по прежнему может закачивать напрямую спам в твой SMTP сервер, его авторизоваться не заставишь.
	Cообщить модератору | Наверх | ^

28. "Не туда смотрите, товарищи"

Сообщение от Дмитрий Ю. Карпов on 15-Фев-04, 02:22

Каждый день к Internet присоединяются тысячи людей, входящих во взрослую жизнь (даже без учёта расширения аудитории Internet можно просто разделить число пользователей Internet на 20'000 дней - срок жизни человека). Нет способов узнать, является ли человек новым пользователем или старым спамером. Поэтому про анулируемые сертификаты можете забыть. Лично я по каждому московскому спаму звоню ЗАКАЗЧИКУ (а не ИСПОЛНИТЕЛЮ) спама и посылаю его в пешее путешествие с эротическим уклоном. КПД спама (число откликов, делённое на число писем) заведомо ниже 0.01%; даже если 1% получателей спама позвонит заказчику спама и скажет ему о его нетрадиционной сексуальной ориентации, то спам станет экономически невыгодным. Плюс к тому, если в спаме указан контактный E-mail, то на этот E-mail от меня сразу уходит мегабайт мусора - пусть читает, мне не жалко. Перед мусором идёт цитата спам-письма, чтобы спамер не смог сразу отличить бомбу от реального письма и был вынужден закачивать этот мегабайт себе. А ещё почтовый ящик может переполниться... А вот ещё одно применение адресам спамеров: http://prof.pi2.ru/literat/spamadrs.htm - прошу дать на ваших сайтах ссылку на эту страничку, пусть спамеры переписываются друг с другом. Сегодня получил спам, предлагающий прислать заказ на посылку наложенным платежом. Завтра отправлю заказ на несуществующий адрес - пусть работают. PS: Bill Gates генерирует безумные идеи, а его бизнес-гениальность позволяет протолкнуть эти идеи в жизнь. Бедные мы разнесчастные...

Cообщить модератору | Наверх | ^

	31. "Не туда смотрите, товарищи"
	Сообщение от Linulin on 24-Фев-04, 14:29
	Прежде чем тратить энергию на телефонные звонки и беганье по почтам, неплохо бы учесть, что спам может быть просто подставой какого-нибудь козла непонравившейся ему фирме.
	Cообщить модератору | Наверх | ^

	32. "Не туда смотрите, товарищи"
	Сообщение от Дмитрий Ю. Карпов on 25-Фев-04, 19:34
	> Прежде чем тратить энергию на телефонные звонки и беганье по почтам, > неплохо бы учесть, что спам может быть просто > подставой какого-нибудь козла непонравившейся ему фирме. Дык я же сначала вежливо спрашиваю, их ли это реклама. Ни одного прокола в этом смысле не было - пока что мне в ящик такие подставы не сыпались. А по реальным почтам я не бегаю - пока обхожусь электронной.
	Cообщить модератору | Наверх | ^

29. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от Nikolai on 24-Фев-04, 12:42

Ты говоришь о реальных почтовых адресах в своей ссылке? А ты уверен что это не подделка? Дело в том, что сейчас поток спама идёт именно с поддельных адресов. Которых на самом деле никогда не существовало, поэтому выщемить можно только релеэй через который прошёл этот спам, причём в большинстве случаев эти выходы разовые и больше с этих ip ничего не приходит. Я ни в коем случае не ставлю под вопрос твою профпригодность, но теми методами что мы раньше использовали уже мало помогают.

Cообщить модератору | Наверх | ^

	30. "адреса из тела письма, а не из заголовка"
	Сообщение от Дмитрий Ю. Карпов on 24-Фев-04, 13:07
	> Ты говоришь о реальных почтовых адресах в своей ссылке? > А ты уверен что это не подделка? > Дело в том, что сейчас поток спама идёт именно с поддельных адресов. Все адоеса берутся из ТЕЛА письма, где так и написано: please note to send ALL REPLY e-mail direct to our Sales Representative at: Questions@bestwatchesplace.com (и пусть спамерские боты найдут этот адрес здесь). > Которых на самом деле никогда не существовало, поэтому выщемить можно > только релеэй через который прошёл этот спам, причём в большинстве > случаев эти выходы разовые и больше с этих ip ничего не приходит. Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама и вирусов.
	Cообщить модератору | Наверх | ^

	33. "адреса из тела письма, а не из заголовка"
	Сообщение от Nikolai on 25-Фев-04, 19:46
	>> Ты говоришь о реальных почтовых адресах в своей ссылке? >> А ты уверен что это не подделка? >> Дело в том, что сейчас поток спама идёт именно с поддельных адресов. >Все адоеса берутся из ТЕЛА письма, где так и написано: >please note to send ALL REPLY e-mail direct to our Sales Representative >at: >Questions@bestwatchesplace.com >(и пусть спамерские боты найдут этот адрес здесь). > >> Которых на самом деле никогда не существовало, поэтому выщемить можно >> только релеэй через который прошёл этот спам, причём в большинстве >> случаев эти выходы разовые и больше с этих ip ничего не приходит. >Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама >и вирусов. Тогда тебе несказанно везёт! Так как мой опыт показывает, что в большинстве случаев с этого IP больше спама не ползёт, таким образом % "отлупов" не слишком велик.
	Cообщить модератору | Наверх | ^

	34. "адреса из тела письма, а не из заголовка"
	Сообщение от Дмитрий Ю. Карпов on 25-Фев-04, 20:01
	> Тогда тебе несказанно везёт! Так как мой опыт показывает, > что в большинстве случаев с этого IP больше спама не ползёт, > таким образом % "отлупов" не слишком велик. Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access
	Cообщить модератору | Наверх | ^

	35. "адреса из тела письма, а не из заголовка"
	Сообщение от Nikolai on 25-Фев-04, 20:14
	>> Тогда тебе несказанно везёт! Так как мой опыт показывает, >> что в большинстве случаев с этого IP больше спама не ползёт, >> таким образом % "отлупов" не слишком велик. > >Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также >сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access Ну теперь то Дмитрий мне всё понятно! У меня даже трети от твоего файла нет.
	Cообщить модератору | Наверх | ^

	36. "Дополнение (статистика повторов)"
	Сообщение от Дмитрий Ю. Карпов on 25-Фев-04, 21:28
	Из статистики одного дня: 86 [62.85.56.195] 27 [213.253.24.46] 14 [195.133.234.194] В левой колонке - число моих отлупов письмам с данного IP-номера (не прописанного в ReverceDNS) в течении ОДНОГО дня (статистика не средняя, а максимальная, какую я нашёл; но искал недолго а как попало). Эти три IP-номера у меня были запрещены за вирус.
	Cообщить модератору | Наверх | ^

37. "Есть ли шанс избавиться от подделки обратных адресов электро..."

Сообщение от TaranTuL on 03-Мрт-04, 19:31

Запрещать адрес за вирус - глуппо.

Cообщить модератору | Наверх | ^

38. "OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."

Сообщение от Andrey (??) on 05-Авг-04, 12:42

Добрый день. Вопрос немного не по теме, но все же... У меня sendmail + SMTP AUTH. В логе к примеру: AUTH=server, relay=[192.168.1.1], authid=petrov, mech=PLAIN, bits=0. Мне необходимо фильтровать по authid, т.к. почта корпоративная и желательно для определенных пользователей не выходить из домена. К примеру в access добавить authid=petrov REJECT ... то это не работает. Вопрос как записывать правила в access map для управления authid ??

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема