The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Есть ли шанс избавиться от подделки обратных адресов электронной почты

02.02.2004 00:05

Алексей Тутубалин высказал свое мнение по поводу реальности внедрения технологий защиты от подделки обратных email адресов. Вывод - в обозримом будущем безболезненное повсеместное внедрение таких технологий как SPF или DomainKeys маловероятно.

  • SPF - "Sender Permitted From" используя DNS формируется список IP серверов имеющих право рассылать почту используя данное доменное имя упоминаемое в адресе отправителя. Плюсы - открытость и относительная простота технологии и интеграции в MTA. Минус - привязывает пользователя к определенному почтовому серверу, не дает возможность отправить письмо ,например, через SMTP другого провайдера.
  • DomainKeys от Yahoo (помещение в заголовке зашифрованного секретного ключа и распространение для данного домена открытого ключа посредством DNS). Плюсы - не зависимость от почтового сервера за счет возможности включения ключа пользовательским ПО. Минусы - закрытая, надуманная и излишне усложненная технология, трудность интеграции, возможность утечки ключа, после перехвата письма с ключом защита теряет смысл.

    1. Главная ссылка к новости (http://www.compulenta.ru/2004/...)
    2. SPF
    Автор новости: ignat
    Тип: яз. русский / Тема для размышления
    Короткая ссылка: https://opennet.ru/3364-isp
    Ключевые слова: isp, mail, bind, socket, smtp, crypt, domain, user, ip, example, dns
    При перепечатке указание ссылки на opennet.ru обязательно
    Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, lowry (?), 12:10, 02/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Тутубалин -- это тот хлопец что придумал Русский Апач? Творение сие принесло не меньше проблем чем решений на просторы всемирного инета.
     
  • 1.2, Аноним (2), 12:37, 02/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Я что-то не испытываю никаких проблем с русским апачем. А вопли о кривизне русского апача только можно услышать от тех кто его видимо криво настраивает. ;)))
     
  • 1.3, xz (?), 14:13, 02/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    вот это точно, у меня он уже как пол года бегает и никаких проблем =)
     
  • 1.4, roma (?), 16:32, 02/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    пол-года - не срок.
    я пользую Russian Apache с 98 года - вполне доволен. Спасибо Алексу и Russian Apache Team, а по поводу кривизны апача - дело действительно в настройках и кривизне рук
     
  • 1.5, Аноним (2), 18:08, 02/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Народ, признайтесь, зачем он нужен?
    Кодировки взад - вперд менять? Времена уже не те...
     
     
  • 2.6, uldus (?), 18:46, 02/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Народ, признайтесь, зачем он нужен?
    >Кодировки взад - вперд менять? Времена уже не те...

    Держать контент на сервере в одной кодировке, а выдавать в другой. IE часто подсовывает windows-1251  вместо кодировки в которой находится форма (если встретился нетранслируемый символ).Еще можно обойти баги в других менее популярных браузерах.

     
  • 2.7, Остров (?), 18:49, 02/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Так в какие времена он писался? Вспомнишь какие тогда были браузеры? Вот то-то. А то, что команда до сих пор поддерживает проект - большое ей спасибо.
     

  • 1.8, TaranTuL (?), 10:27, 03/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В свое время без русского апача было туго, но сейчас он потерял актуальность для новых браузеров, имеет смысл только со старыми клиентами.
     
  • 1.10, Аноним (2), 18:12, 03/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ну не ссорьтесь, горячие финские парни - нормальные(адекватные) люди поняли, для чего нужен русский апач, дуракам не дано - какие нужны еще аргументы ?
     
  • 1.12, happy user (?), 10:11, 04/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Обоснованные, а не ваши тут все
     
  • 1.13, MaxIKot (?), 11:52, 04/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    1. Прошу всех обсуждающих возвратиться к SUBJ.
    2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail - вполне работоспособно. Как дальнейшее развитие возможна авторизация через LDAP и отвязка пользана от сервака.
     
     
  • 2.15, Medlar (?), 14:38, 04/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором
    >пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail
    >- вполне работоспособно.

    Тоже давно над этим думаю.
    Я планирую проверять MessageID, и если в нем фигурирует мой домен,
    то после проверки на принадлежность relay моей сети, давать либо отлуп либо пропускать почту.
    А на каком этапе у вас происходит привязка?

     
     
  • 3.17, MaxIKot (?), 23:26, 04/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    На этапе проверки Mail From.
    По AuthID определяю каков должен быть MailFrom,
    и если предлагают что-то другое - от винта по резьбе.
    И еще (немного недоделал, но почти работало) список доменов,
    для приема почты с которых, сервер-отправитель должен авторизироваться
    на сервере-получателе.
    Перспективы: AUTH базы на серваках немеряно растут и приходит
    пора централизации, как описал один из коллег ;-)
     
  • 3.20, uldus (?), 09:41, 05/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Тоже давно над этим думаю.
    >Я планирую проверять MessageID, и если в нем фигурирует мой домен,
    >то после проверки на принадлежность relay моей сети, давать либо отлуп либо
    >пропускать почту.

    Но это не защитит ни от подделки адресов клиентов и клиентами, не от внешнего спама. Возможность соединится напрямую к серверу и указать все что угодно остается, любой сможет отправить письмо через соседний SMTP без подобных лимитов указав имя вашего домена и любой сможет соединится к вашему серверу и прислать вашему клиенту почту указав в отправителе все что угодно. Обе проблемы нерешаемые, в первом случе, нереально переучить клиентов ISP и убедить самих ISP пересылать почту для халявщиков с чужими IP, имеющих email от этого ISP. Во втором - нужно менять технологию обмена сообщениями между почтовыми серверами (авторизацию почтового сервера), что еще менее реально и бессмыслено.

    Правда, IMHO, есть один выход - ввести жесткую авторизацию посредством сертификатов, котрые выдавать централизованно и именть возможность онулировать. Что-то похожее на лицензирование почтовых серверов, как сейчас выдают домены и IP блоки, выдавть "зеленые карты" на почтовые сервера.


     

  • 1.14, dct (?), 13:12, 04/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Пойдя путем централизации, авторизации и т.д. придем напрямую в руки Билли, с их задвигом насчет платных электронных почтовых марок.. а их кстати еще яха собирается поддержать..
    ИМХО надо искать другие варианты.. пока не поздно
     
  • 1.16, Tracer (?), 14:53, 04/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Технически решаем так - Запретить обработку исходящей почты с отправителем в адресе которого не свой домен (домены из списка) Для sendmail - это пара строк в конфиге

    Организационное решение -  вот это вопрос вопросов.

     
     
  • 2.18, dct (?), 06:13, 05/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    То что ты отрежешь левых сендеров на своем домене, это может и хорошо, но не факт что это сделают на соседнем домене или просто не поставят МТА, который будет спокойно пропускать письма с подделкой заголовкови т.д т.п.

    ИМХО для начала было бы неплохо сделать хотябы следующее:
    МТА должен хранить базу за какойто период в которой лежит msgid и адрес отправителя. Соответсвенно конечный МТА назначения посылает запрос с msgid на домен отправитель и в ответ получает адрес отправителя.
    Этим сразу отсечется подделка заголовков, и тогда более реально заработают черные списки.

     
     
  • 3.19, dct (?), 06:20, 05/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    И вообще новое это хорошо позабытое старое, хотя наверно не такое уж и старое, но напрямую я уж давно их не видел :) как уехал с Томска.
    Поднять FIDO-нет схему и бить за левую почту сисопов.
    :) Шутка конечно, но зато самая реальная схема в плане отсечения левой почты, такчто.. как во всякой шутке...

     
     
  • 4.21, uldus (?), 09:55, 05/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >Поднять FIDO-нет схему и бить за левую почту сисопов.

    Точто также сейчас можешь "бить за левую почту" владельцев IP. Разницы никакой, только в фидо никто никому ничего не должен, а в Интернет с точности до наоборот, просто так никого не отключишь, нужны общесетевые законы поддерживаемые повсеместно, а не как сейчас у каждого свой договор с разными обязательствами.

    Хотя задачу можно свести не к запрещению подделки From, а к подтверждению реальности отправителя, например, цифровые подписи использоать.

     

  • 1.22, Вадим (?), 17:23, 05/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Может проще сделать обязательность наличия для почтового сервера обратной DNS записи определенного вида (mail.domain.com) и обязать всех владельцев почтовый систем внести изменения в DNS в течении какого-то срока. В нормальных системах даже не придется ничего менять, у криворуких админов будет стимул, а кто не сделает изменения сами выкопают себе могилу.
    Далее если почта идет не с ^mail.* домена смело шлем ее в /dev/null, при жалобах посылаем еще дальше - в RFC.
     
  • 1.23, lowry (?), 13:13, 06/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мужики, а может мы не о том думает. Проблема не в спуфинге почтовых адресов, а в анонимности в интернете. Только давайте разберёмся что такое анонимность. Есть анонимность по отношению к правоохранительным органам. Её у пользователей уже давно нет. Есть анонимность -- по отношению к другим участникам сети. Она выражается грубо говоря в невозможности соотносить один узел сети с одним физическим лицом.
     
  • 1.24, lowry (?), 13:13, 06/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Мне как провайдеру и контент-провайдеру не нужны паспортные данные пользователя по адресу 192.168.0.1. Мне нужно знать, что с этого адреса с большой вероятностью приходит и будет приходить один и тот пользователь. Тогда я смогу в отношении его проводить целенаправленную политику, в зависимости от поведения пользователя -- фильтровать, давать дополнительный доступ, отсекать от него почту и т.д. Со временем с пользователями у меня сложится история отношений и я смогу знать что 192.168.0.1 -- спаммер, 192.168.0.2 активно участвует в форуме техподдержки, 192.168.0.3 постоянно сканирует чужие компьютеры и т.д.
     
  • 1.25, lowry (?), 13:13, 06/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Сейчас же сложилась такая ситуация что физические и даже юридические лица меняют ip-адреса как перчатки. Чтобы блокировать нежелательного члена сети приходится иногда блокировать весь пул ip-адресов дружественного провайдера. Как исправить такую ситуацию? Технически очень просто -- перейти на IPv6. К сожалению, это не гарантирует улучшения ситуации, всего лишь создаёт технические предпосылки для этого.

    Сорри за краткость -- постараюсь написать подробную статью об этом.

     
  • 1.26, Nikolaev_D (?), 23:01, 06/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    позно зашел, но

    >Держать контент на сервере в одной кодировке, а выдавать в другой

    кодировку надо правильную держать : UTF-8, тогда и проблем не будет.
    кстати поинтересуйтесь, в какой кодировке отдает контент google ;)

    А с подделкой адресов можно поступить как с POP3 - запретить на уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер. По поп3 никому в голову не пришло разрешать снимать почту с левым логином, паролем или вообще без них.
    Прям подозрение, что в стандарт на СМТП специально закладку сделали.

     
     
  • 2.27, uldus (?), 00:06, 07/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >А с подделкой адресов можно поступить как с POP3 - запретить на
    >уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер.

    Разница в том, что в ящик почту кто попало положить не может, только агент доставки. С SMTP ты можешь авторизировать клиентов, но не внешние сервера, т.е. любой завирусенный компьютер из какой-нибудь бразильской xDSL cети по прежнему может закачивать напрямую спам в твой SMTP сервер, его авторизоваться не заставишь.

     

  • 1.28, Дмитрий Ю. Карпов (?), 02:22, 15/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Каждый день к Internet присоединяются тысячи людей, входящих во взрослую жизнь (даже без учёта расширения аудитории Internet можно просто разделить число пользователей Internet на 20'000 дней - срок жизни человека). Нет способов узнать, является ли человек новым пользователем или старым спамером. Поэтому про анулируемые сертификаты можете забыть.

    Лично я по каждому московскому спаму звоню ЗАКАЗЧИКУ (а не ИСПОЛНИТЕЛЮ) спама и посылаю его в пешее путешествие с эротическим уклоном. КПД спама (число откликов, делённое на число писем) заведомо ниже 0.01даже если 1олучателей спама позвонит заказчику спама и скажет ему о его нетрадиционной сексуальной ориентации, то спам станет экономически невыгодным.

    Плюс к тому, если в спаме указан контактный E-mail, то на этот E-mail от меня сразу уходит мегабайт мусора - пусть читает, мне не жалко. Перед мусором идёт цитата спам-письма, чтобы спамер не смог сразу отличить бомбу от реального письма и был вынужден закачивать этот мегабайт себе. А ещё почтовый ящик может переполниться...

    А вот ещё одно применение адресам спамеров: http://prof.pi2.ru/literat/spamadrs.htm - прошу дать на ваших сайтах ссылку на эту страничку, пусть спамеры переписываются друг с другом.

    Сегодня получил спам, предлагающий прислать заказ на посылку наложенным платежом. Завтра отправлю заказ на несуществующий адрес - пусть работают.

    PS: Bill Gates генерирует безумные идеи, а его бизнес-гениальность позволяет протолкнуть эти идеи в жизнь. Бедные мы разнесчастные...

     
     
  • 2.31, Linulin (?), 14:29, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Прежде чем тратить энергию на телефонные звонки и беганье по почтам, неплохо бы учесть, что спам может быть просто подставой какого-нибудь козла
    непонравившейся ему фирме.
     
     
  • 3.32, Дмитрий Ю. Карпов (?), 19:34, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Прежде чем тратить энергию на телефонные звонки и беганье по почтам,
    > неплохо бы учесть, что спам может быть просто
    > подставой какого-нибудь козла непонравившейся ему фирме.

    Дык я же сначала вежливо спрашиваю, их ли это реклама. Ни одного прокола в этом смысле не было - пока что мне в ящик такие подставы не сыпались.
    А по реальным почтам я не бегаю - пока обхожусь электронной.

     

  • 1.29, Nikolai (?), 12:42, 24/02/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Ты говоришь о реальных почтовых адресах в своей ссылке?
    А ты уверен что это не подделка?
    Дело в том, что сейчас поток спама идёт именно с поддельных адресов. Которых на самом деле никогда не существовало, поэтому выщемить можно только релеэй через который прошёл этот спам, причём в большинстве случаев эти выходы разовые и больше с этих ip ничего не приходит.
    Я ни в коем случае не ставлю под вопрос твою профпригодность, но теми методами что мы раньше использовали уже мало помогают.
     
     
  • 2.30, Дмитрий Ю. Карпов (?), 13:07, 24/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Ты говоришь о реальных почтовых адресах в своей ссылке?
    > А ты уверен что это не подделка?
    > Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
    Все адоеса берутся из ТЕЛА письма, где так и написано:
    please note to send ALL REPLY e-mail direct to our Sales Representative at:
    Questions@bestwatchesplace.com
    (и пусть спамерские боты найдут этот адрес здесь).

    > Которых на самом деле никогда не существовало, поэтому выщемить можно
    > только релеэй через который прошёл этот спам, причём в большинстве
    > случаев эти выходы разовые и больше с этих ip ничего не приходит.
    Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама и вирусов.

     
     
  • 3.33, Nikolai (?), 19:46, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ты говоришь о реальных почтовых адресах в своей ссылке?
    >> А ты уверен что это не подделка?
    >> Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
    >Все адоеса берутся из ТЕЛА письма, где так и написано:
    >please note to send ALL REPLY e-mail direct to our Sales Representative
    >at:
    >Questions@bestwatchesplace.com
    >(и пусть спамерские боты найдут этот адрес здесь).
    >
    >> Которых на самом деле никогда не существовало, поэтому выщемить можно
    >> только релеэй через который прошёл этот спам, причём в большинстве
    >> случаев эти выходы разовые и больше с этих ip ничего не приходит.
    >Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама
    >и вирусов.
    Тогда тебе несказанно везёт! Так как мой опыт показывает, что в большинстве случаев с этого IP больше спама не ползёт, таким образом отлупов" не слишком велик.


     
     
  • 4.34, Дмитрий Ю. Карпов (?), 20:01, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    > Тогда тебе несказанно везёт! Так как мой опыт показывает,
    > что в большинстве случаев с этого IP больше спама не ползёт,
    > таким образом отлупов" не слишком велик.

    Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access

     
     
  • 5.35, Nikolai (?), 20:14, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    >> Тогда тебе несказанно везёт! Так как мой опыт показывает,
    >> что в большинстве случаев с этого IP больше спама не ползёт,
    >> таким образом отлупов" не слишком велик.
    >
    >Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также
    >сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access
    Ну теперь то Дмитрий мне всё понятно! У меня даже трети от твоего файла нет.

     
     
  • 6.36, Дмитрий Ю. Карпов (?), 21:28, 25/02/2004 [^] [^^] [^^^] [ответить]  
  • +/
    Из статистики одного дня:
    86 [62.85.56.195]
    27 [213.253.24.46]
    14 [195.133.234.194]
    В левой колонке - число моих отлупов письмам с данного IP-номера (не прописанного в ReverceDNS) в течении ОДНОГО дня (статистика не средняя, а максимальная, какую я нашёл; но искал недолго а как попало). Эти три IP-номера у меня были запрещены за вирус.
     

  • 1.37, TaranTuL (?), 19:31, 03/03/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Запрещать адрес за вирус - глуппо.
     
  • 1.38, Andrey (??), 12:42, 05/08/2004 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Добрый день.
    Вопрос немного не по теме, но все же...
    У меня sendmail + SMTP AUTH.
    В логе к примеру:
    AUTH=server, relay=[192.168.1.1], authid=petrov, mech=PLAIN, bits=0.

    Мне необходимо фильтровать по authid, т.к. почта корпоративная
    и желательно для определенных пользователей не выходить из домена.


    К примеру в access добавить
    authid=petrov REJECT

    ... то это не работает.
    Вопрос как записывать правила в access map для управления authid ??

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру