Крупнейшие сервисы электронной почты, поддерживаемые компаниями Google, Microsoft и Yahoo, при участии PayPal, Facebook и LinkedIn, объявили (http://www.dmarc.org/news/press_release_20120130.html) о создании чернового варианта новой системы аутентификации почтовых сообщений DMARC (http://www.dmarc.org/) (Domain-based Message Authentication, Reporting & Conformance), которая должна существенно повысить эффективность борьбы со спуфингом и спамом. Новая система основанная на существующих технологиях, но расширяет их новыми идеями.Уже на протяжении нескольких лет многие почтовые сервисы используют технологии аутентификации почтовых сообщений SPF (http://ru.wikipedia.org/wiki/Sender_Policy_Framework) (Sender Policy Framework) и DKIM (http://ru.wikipedia.org/wiki/DomainKeys_Identified_Mail) (DomainKeys Identified Mail), позволяющие SMTP-серверу определить факт подделки домена отправителя с помощью специальных DNS-записей на стороне отправляющего домена и цифровых подписей. При получен...
URL: http://www.dmarc.org/news/press_release_20120130.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=32950
> ... позволяющие SMTP-серверу определить факт подделки домена отправителя
> с помощью специальных DNS-записей на стороне отправляющего домена и цифровых
> подписей.Если принимающий сервер может спросить подпись домена,
то почему же и спамер не может сделать тоже самое?> Почтовый сервис может использовать специальные флаги в DNS-записях SPF, (зпт. забыли)
> чтобы информировать принимающую сторону о том, как должны обрабатываться письма.Почтовый сервис может использовать специальные флаги в DNS-записях SPF,
чтобы информировать спамеров о том, как формировать письма, чтоб принимающая
сторона обработала письмо должным образом. :)Короче, очередной детский сад, с захватом власти, трафика, персональной инфы
через свои публичные сервера модерируемые большими братьями.
>> ... позволяющие SMTP-серверу определить факт подделки домена отправителя
>> с помощью специальных DNS-записей на стороне отправляющего домена и цифровых
>> подписей.
> Если принимающий сервер может спросить подпись домена,
> то почему же и спамер не может сделать тоже самое?в DNS должен находиться только публичный ключ. На его основе можно только проверить валидность цифровой подписи. Для создания цифровой подписи треба приватный ключ, который в DNS не публикуется.
Хотя ты наверняка это и сам знаешь ;)
>> Если принимающий сервер может спросить подпись домена,
>> то почему же и спамер не может сделать тоже самое?
> в DNS должен находиться только публичный ключ.Помимо DDOS на отшибание поддельных запросов, можно дополнительно по ДДОСить на
предмет сверки подписей.Гугла и Яху может это и выдержат, а вот офисный сервачок на 100 юзеров врядли.
Ну так гугла с яхой такая ситуация полностью устроит
Интересно, сколькими костылями можно еще огородить SMTP?
Может уже стоит задуматься над новым SMTP?
> Может уже стоит задуматься над новым SMTP?И там будет та же самая проблема идентификации отправителя.
Не прикидывайся глупее, чем ты есть.Речь о фактической разработке ДРУГОГО протокола электронной почты. Так как и SMTP и кровавый вып.рдок IMAP основополагающих проблем как не решали, так и решать не будут.
А IMAP-то тут причём?
Другой протокол, тут скорее не другой протокол, а другая структура почтовой системы, где затраты на обработку/хранение почты будет нести не пролучатель, а отправитель. Только вот, не факт, что такая схема окажется надёжнее и безопаснее.
> где затраты на обработку/хранение почты будет нести не пролучатель, а отправитель.А пользователь будет, придя поутру на работу, проверять все сервера отправителей в мире, вдруг они что-то пришлют?
> Другой протокол, тут скорее не другой протокол, а другая структура почтовой системы,описаная структура и описанно взаимодействие - это каГзар и есть ПРОТОКОЛ
> где затраты на обработку/хранение почты будет нести не пролучатель, а отправитель.o_O
Да, только не SMTP, а MTP [не путать с SS7 MTP] (как и DAP, а не LDAP).
О чём, кстати, я говорил (и здесь в том числе) уже давно.
> Интересно, сколькими костылями можно еще огородить SMTP?
> Может уже стоит задуматься над новым SMTP?Да уж, а то такого адского франкенштейна родили для того чтобы хоть как-то подобие работы изображало.
>Почтовый сервис может использовать специальные флаги в DNS-записях SPF,
>чтобы информировать спамеров о том, как формировать письма, чтоб принимающая
>сторона обработала письмо должным образом. :)Очень интересно, как спамерам поможет SPF?
Не совсем понятно, что хочется забороть. Спам через ботнеты поступает от вполне валидных клиентов.
Да, но не весь спам, так что это лучше чем ничего.
> Да, но не весь спам, так что это лучше чем ничего.Много геморроя с результатом близким к нулю. Хаксоров мало волнуют проблемы расхаканых хомяков, хомяку ничто не мешает разослать 100500 неизвестных ему подписчикам спам. А то что его заблочат будет головной болью разве что саппорта у сервиса почтовика. Когда троян отспамит с 100500 лузеров и 100500 ящиков заблочится, саппорт дружно вздернется на сетевом шнуре. Но всем кроме них и хомяков будет сильно пофигу, как обычно.
Судя по моим логам, примерно 12/16 спама валит от ботнетов из динамических сетей, которым иначе, как через релей провайдера, ходить нечего.
Еще 1/16 идет через открытые настежь релеи.
Еще 2/16 сыпется с одноразовых хостов с МТА, которых еще не прибили абузы зон.
И чуть меньше 1/16 спама - от вполне легальных машин, боты на которых корректно юзают домен и настройки смтп из локального муа.Причем эти последние легко проходят спф/дким, а чуть более продвинутые даже умеют правильно реагировать на темпфейл. Причем, опять-таки судя по логам, эти последние даже умеют соблюдать умеренный сенд-рейт, чтобы не привлекать лишнего внимания со стороны юзера и провайдера.
есть такое, подтверждаю наблюдения насчет последних 1/16 (у меня их правда поболее будет, где-то 15%)
Теперь, если вполне нормальный аккаунт клиента mail.ru, например, сломают, то мэйлрушникам придет отчет, что с их адреса идет спам, и они смогут временно ограничить (отключить) отправку почты для этого аккаунта и вывесить в веб интерфейсе (а также в pop3 и imap) сообщение для пользователя, чтобы он сначала трояны удалил со своей машины и пароли сменил прежде чем сможет дальше пользоваться аккаунтом. При этом если спамер будет отправлять почту не через mail.ru, а другой SMTP, то цифровой подписи для письма там не будет.
Сенькс. Нашел в оригинале. Перевод не точный.
Идея хорошая, но как всегда упрется в человеческий фактор. У меня на почтовике и SPF, и DKIM, и MAILru ключ, - все равно не гарантия, что письмо будет доставлено. А все потому, что мир полон олигофренов.
> А все потому, что мир полон олигофренов.При том главная олигофрения - это сам SMTP с вооооооот такой связкой костылей!
Слишком больших гарантий обе технологии не дают (например, подмена DNS-сервера).Что хуже, обе технологии требуют существенной реорганизации почтовой инфраструктуры. Даже не +1 запись в DNS (хотя и ради неё --- сходи-ка, договорись с провайдером), структура обмена ключами.
Т.е. выдавливают на 'gmail.com, yahoo.com, microsoft.com, hotmail.com, mail.ru, yandex.ru, ...', а все остальные идут на ... (просто потому, что ключами смогут обменяться только акулы).
Причём эффект (рекламируемый эффект) будет минимален: с того же hotmail валит неимоверное количество спама, а он будет верифицироваться, будьте спокойны.
Подмена DNS сервера, чтобы отправить спам? Чушь какая-то.> Даже не +1 запись в DNS (хотя и ради неё --- сходи-ка, договорись с провайдером)
Если вы не можете договориться с провайдером о записи в DNS, значит почтовый сервер вам противопоказан, пользуйтесь SMTP-relay провайдера.
>Т.е. выдавливают на 'gmail.com, yahoo.com, microsoft.com, hotmail.com, mail.ru, yandex.ru
Ага, а еще во всем виноваты жиды и массоны. SPF и DKIM уже не просто баловство, а жизненная необходимость.
> Подмена DNS сервера, чтобы отправить спам? Чушь какая-то.Man in the middle, cache poisoning, с бездаханно.... взлом сервера с DNS кешем, читаемым жертвой. ??
Да, использование Уникальной Технологии DNS _сильно_ бьёт по стоимости рассылки. Так хочется верить.......
>cache poisoningГуглу? А не треснешь?
>взлом сервера с DNS кешем, читаемым жертвой8.8.8.8
ломай.
> 8.8.8.8
> ломай.Зачем??
> Если вы не можете договориться с провайдером о записи в DNS, значит почтовый сервер вам противопоказан, пользуйтесь SMTP-relay провайдера.Проблема не в собственно записи, а в процедуре подтверждения аутентичности при обмене ключами.
> Ага, а еще во всем виноваты жиды и массоны.
Если хотите про это поговорить, то --- на другом форуме.
> SPF и DKIM уже не просто баловство, а жизненная необходимость.
Пока --- именно баловство, ибо
- из гарантий --- возможность сравнить указанную доменную часть адреса со списком mail-серверов для этого домена; как side-эффект: отправляя письмо из офиса mycompany.com и проставив адрес @gmail.com (например, потому, что отъезжаете в командировку), Вы рискуете попасть под резалку пополам; (а для поддержания тонуса --- идите прочтите лекцию о пользе Reply-To для менеджеров среднего звена);
- почтовая инфраструктура большая и инертная; если часть учитывает SPF, а часть --- нет, то эффект от SPF близок к 0 и для тех, кто учитывает SPF.
>так как все действия по изменению правил придется
>проводить вслепую и постоянно контактировать с
>сотрудниками других почтовых сервисов чтобы получать
>информацию о качестве работы системы.я так и не понел в чем трудность dkim
согласен с Вами коллега
>>функция пометки заведомо безопасных писем с проверенных DMARC-доменов с
>>помощью графического знака (опция "Authentication icon for verified senders").Да это даж у яндекса есть
вообще чет боян с этим DMARC'ом
я по черновму варианту почту настраивал уже год назад
В этой схеме есть опасный момент. Если одна из сторон будет явно "сильнее" по каналу, процу и т.п., то при спаме с любой из сторон можно уложить сервак. Более того, даже сервера гугла, яху можно обмануть и уложить просто количеством. Т.е. идея может и хорошая, но явно не для повседневного использования, не решение от всех бед.
Это просто +1 костылик к морально устаревшему протоколу, который давно пора просто заредизайнить с нуля, с учетом современных реалий. Но некромансия же веселее :)
>который давно пора просто заредизайнить с нуля, с учетом современных реалий.Не стесняйтесь указывать _номер(а)_ Вашего(их) RFC! Изнываем в.
> Но некромансия же веселее :)
"Некромантия"? При чём тут духи?? "Вы выражаетесь непонято!":))
microsoft тут не к месту, их не надо упоминать
> microsoft тут не к месту, их не надо упоминатьУв.Evgeny Zobnin всё правильно написал:
""Крупнейшие сервисы электронной почты, поддерживаемые компаниями Google, Microsoft и Yahoo,""
Как ещё можно
""of the world's leading email providers (AOL, Gmail, Hotmail, Yahoo! Mail), ""
перевести-та!!?? </tag>
Нда и вся проблема то в том, что SMTP разрешает relay почты через чужие системы. Сделать чтобы каждый сервер самостоятельно отправлял почту и проверять его в момент отправки.
> Нда и вся проблема то в том, что SMTP разрешает relay почты
> через чужие системы. Сделать чтобы каждый сервер самостоятельно отправлял почту и
> проверять его в момент отправки.Хм. Ты уверен, что знаешь, о чем говоришь?
Проблема в том, что подавляющее большинство SMTP-сервов настроено И КАК РЕЛЭЙ с чужих серверов. это лечится более-менее адекватной настройкой такого серва.
> Нда и вся проблема то в том, что SMTP
> разрешает relay почты через чужие системы.Это не проблема. Это фича by design.
Необходим другой протокол.
конечно не проблема,
проблема будет в трудоустройстве почтовых админов, если исправить эту "фичу" )))
>Нда и вся проблема то в том, что SMTP разрешает relay почты через чужие системы. Сделать чтобы каждый сервер самостоятельно отправлял почту и проверять его в момент отправки.Проблема: Воры обычно лезут через окна. Решение - замуровать все окна!
Пожалуйста не надо делится своей врожденной мудростью в областях, далеких, от полученного образования.
Мечты:
1. Организаторов спама настигнет участь директора "Американского английского"
2. SMTP в том виде, в котором он существует сейчас наконец-то сочтут deprecated.
3. Обмен нешифрованными электронными сообщениями будет считаться чем-то вроде прогулки по городу без одежды.
4. В школах наконец перестанут заниматься профанацией информатики и начнут обучать правилам безопасности при пользовании глобальной сетью и другим ПОЛЕЗНЫМ современному человеку предметам.
Реальность:
Кто-то опять "срубит бабла и поимеет лохов".
> Мечты:
> 1. Организаторов спама настигнет участь директора "Американского английского"Ага. Щаз.
> 2. SMTP в том виде, в котором он существует сейчас наконец-то сочтут
> deprecated.Если в те, первоинтернетные времена, потребовалось курнадцать лет на то, чтобы, наконец, насадить хоть какую-то технологию стандартом де-факто - представляешь, сколько мяса прибыло в инет и насколько возросла инерция? SSL сикоко-сикоко лет насаждать пришлось?
> 3. Обмен нешифрованными электронными сообщениями будет считаться чем-то вроде прогулки
> по городу без одежды.SMIME - сто лет в обед. Его хоть кто-нибудь использует? Хотя бы даже подписывая почту? Лично ты - купил персональный серт почты у Комодо и подписываешь свою почту, не?
> 4. В школах наконец перестанут заниматься профанацией информатики и начнут обучать правилам
> безопасности при пользовании глобальной сетью и другим ПОЛЕЗНЫМ современному человеку
> предметам.Ага, 600 раз. ПДД-бы вколотить в головы.
> Реальность:
> Кто-то опять "срубит бабла и поимеет лохов".Реальность такова, какова она. "Мир не таков, каким кажется он". (С) Кто-то из великих.
Может, лучше за мир во всем мире поборемся, не?
> в инет и насколько возросла инерция? SSL сикоко-сикоко лет насаждать пришлось?А потом пришел ComodoHacker и наглядно показал нам что этот протокол гроша ломаного не стоит, потому что любой козел может удостоверить все что угодно и кому угодно. С учетом количества козлов зарабатывающих удостоверением - кого-то из них должны были хакнуть, да. Тем более что какое-нить там правительство тоже может абузнуть полномочия и тоже себе что-нить лишнее удостоверить, надавив на выдающих сертификаты конторы.
> Лично ты - купил персональный серт почты у Комодо и подписываешь свою почту, не?А потом как обычно придет ComodoHacker и лихо всем докажет что он - это я, просто стырив у комода еще что-нибудь, как в SSL? Э не, такой хоккей нам не нyжен. В этом плане PGP как-то осмысленнее.
> SMIME — сто лет в обед. Его хоть кто-нибудь использует? Хотя бы
> даже подписывая почту? Лично ты — купил персональный серт почты у
> Комодо и подписываешь свою почту, не?а что, GPG запрещён, что ли? я вот — подписываю свои письма. увы, шифрую только опционально: не все пока понимают, что обмен нешифроваными письмами — это как голым в картинной галерее стоять: вроде бы и ничего такого, но нормальные люди косятся.
4 — самое главное (остальное — следствия). И самое нереальное.
>4 — самое главное (остальное — следствия). И самое нереальное.Так потому и мечта...
Впрочем, "что-то меняется"...
> В школах наконец перестанут заниматься профанацией информатики
> и начнут обучать правилам безопасности при пользовании глобальной сетьюАга, когда я ещё во второй половине 90-х начал говорить об этом в университете,
на меня смотрели как на дебила. Потом один из соискателей лишился своего 500-страничного
диссера. Затем прошло немного времени и... всё вернулось на круги своя.
>> В школах наконец перестанут заниматься профанацией информатики
> Ага, когда я ещё во второй половине 90-х начал говорить об этом
> в университете, на меня смотрели как на дебила.И всё какие-то странные и непонятные слова твердили: "приступай уже", "начинай, скорее"?
> Затем прошло немного времени и... всё вернулось на круги своя.
--Приступай уже. Начинай скорее.
> --Приступай уже. Начинай скорее.Я там не преподом работал, а админом.
Мда... Не помню чтобы у мелкософта был сервис электронной почты))И опять же - этот проект базируется на SPF и DKIM. Только появляется обратная связь - что-то вроде "кто-то пишет от вашего имени... Ахтунг!!!"
Уменьшить СПАМ это не не должно никак..
Вот при взломе электронки - можно будет отследить, да и то, если письмо будет отослано с другого IP (в случае SPF)
C DKIM дело иначе - должно отработать на 100%. НО что-то я никак не вспомню % доменов, использующих данную фичу - ну никак не больше 30%))
> Мда... Не помню чтобы у мелкософта был сервис электронной почты))Hotmail
>> Мда… Не помню чтобы у мелкософта был сервис электронной почты))
> Hotmailкоторый мне, например, пришлось заблочить, потому что спама с него просто гигантское количество валится. а полезных писем ровно ноль. не то, чтобы я утверждал виновность m$ и в этом, но…
> утверждал виновность m$ и в этом, но…...но кое-кто их вполне мог ремотно поиметь через какой-нибудь 0day в их любимой винде и дампануть все базы, от и до. У них же там виндоус и в нем не так давно находили ремотно провоцируемые дыры в ядре.
Подскажите, как получить днс-записи, связанные с этим DMARC-ом.Запрос:
$ host -t txt google.com
выдаёт только запись spf...