The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

02.02.2012 23:36  Google, Yahoo и PayPal представили новую систему аутентификации электронной почты

Крупнейшие сервисы электронной почты, поддерживаемые компаниями Google, Microsoft и Yahoo, при участии PayPal, Facebook и LinkedIn, объявили о создании чернового варианта новой системы аутентификации почтовых сообщений DMARC (Domain-based Message Authentication, Reporting & Conformance), которая должна существенно повысить эффективность борьбы со спуфингом и спамом. Новая система основана на существующих технологиях, но расширяет их новыми идеями.

Уже на протяжении нескольких лет многие почтовые сервисы используют технологии аутентификации почтовых сообщений SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), позволяющие SMTP-серверу определить факт подделки домена отправителя с помощью специальных DNS-записей на стороне отправляющего домена и цифровых подписей. При получении письма принимающий сервер может запросить специальную DNS-запись домена-отправителя с информацией о доменах, которые могут отправлять письма от его имени и на основе этих данных принять решение о принятии или отвержении письма.

Проблема этих технологий только в том, что они не обеспечивают обратной связи. Для крупных почтовых сервисов, которые включают в себя множество почтовых серверов, а также сторонних сервисов, полноценное внедрение SPF и DKIM может оказаться очень трудоемкой и даже неразрешимой задачей, так как все действия по изменению правил придется проводить вслепую и постоянно контактировать с сотрудниками других почтовых сервисов чтобы получать информацию о качестве работы системы.

Система DMARC решает эту проблему, позволяя наладить связь между сервисами приема и отправки почты. Почтовый сервис может использовать специальные флаги в DNS-записях SPF чтобы информировать принимающую сторону о том, как должны обрабатываться письма. Например, на время тестирования, почтовый сервис может "потребовать" от SMTP-серверов пропускать всю почту со своего домена, но извещать его обо всей подозрительной корреспонденции, результатах работы правил фильтрации и посылать другую информацию. Например, если в результате взлома аккаунта пользователя, от его имени через использующий DMARC почтовый сервис рассылается спам, то получив уведомление о таком спаме, будет видно, что спам отправлен именно через данный сервис, а не напрямую со сторонней затрояненной машины, и можно временно блокировать аккаунт конкретного пользователя. На время сбоев в работе почтовый сервис может проинформировать SMTP-серверы о помещений всей корреспонденции во временный карантин с последующей обработкой. Возможны и другие варианты взаимодействия.

PayPal начала применять эту систему совместно с Yahoo и Google еще в 2007 году, добившись очень существенного сокращения нежелательной корреспонденции и спама. Сегодня к инициативе подключились и многие другие онлайн-сервисы, включая Facebook и LinkedIn, а в Gmail даже появилась функция пометки заведомо безопасных писем с проверенных DMARC-доменов с помощью графического знака (опция "Authentication icon for verified senders").



  1. Главная ссылка к новости (http://www.dmarc.org/news/pres...)
Автор новости: Evgeny Zobnin
Тип: К сведению
Ключевые слова: spf, dkim, google, yahoo, paypal, email, smtp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, pavlinux (ok), 00:27, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    > ... позволяющие SMTP-серверу определить факт подделки домена отправителя
    > с помощью специальных DNS-записей на стороне отправляющего домена и цифровых
    > подписей.

    Если принимающий сервер может спросить подпись домена,
    то почему же и спамер не может сделать тоже самое?

    > Почтовый сервис может использовать специальные флаги в DNS-записях SPF, (зпт. забыли)
    > чтобы информировать принимающую сторону о том, как должны обрабатываться письма.

    Почтовый сервис может использовать специальные флаги в DNS-записях SPF,
    чтобы информировать спамеров о том, как формировать письма, чтоб принимающая
    сторона обработала письмо должным образом. :)

    Короче, очередной детский сад, с захватом власти, трафика, персональной инфы
    через свои публичные сервера модерируемые большими братьями.  

     
     
  • 2.2, VoDA (ok), 00:36, 03/02/2012 [^] [ответить]     [к модератору]
  • +3 +/
    в DNS должен находиться только публичный ключ На его основе можно только провер... весь текст скрыт [показать]
     
     
  • 3.3, pavlinux (ok), 00:37, 03/02/2012 [^] [ответить]     [к модератору]  
  • –2 +/
    Помимо DDOS на отшибание поддельных запросов, можно дополнительно по ДДОСить на ... весь текст скрыт [показать]
     
     
  • 4.8, Crazy Alex (ok), 03:36, 03/02/2012 [^] [ответить]    [к модератору]  
  • +5 +/
    Ну так гугла с яхой такая ситуация полностью устроит
     
     
  • 5.15, Pahanivo (ok), 08:35, 03/02/2012 [^] [ответить]    [к модератору]  
  • +8 +/
    Интересно, сколькими костылями можно еще огородить SMTP?
    Может уже стоит задуматься над новым SMTP?
     
     
  • 6.21, Аноним (-), 11:45, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > Может уже стоит задуматься над новым SMTP?

    И там будет та же самая проблема идентификации отправителя.

     
     
  • 7.28, Аноним (-), 13:16, 03/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Не прикидывайся глупее, чем ты есть Речь о фактической разработке ДРУГОГО прото... весь текст скрыт [показать]
     
     
  • 8.47, alex.h (??), 16:35, 03/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    А IMAP-то тут причём Другой протокол, тут скорее не другой протокол, а другая ... весь текст скрыт [показать]
     
     
  • 9.60, Аноним (-), 19:58, 04/02/2012 [^] [ответить]     [к модератору]  
  • +/
    А пользователь будет, придя поутру на работу, проверять все сервера отправителей... весь текст скрыт [показать]
     
  • 9.62, Pahanivo (ok), 07:55, 06/02/2012 [^] [ответить]     [к модератору]  
  • +/
    описаная структура и описанно взаимодействие - это каГзар и есть ПРОТОКОЛ o_O ... весь текст скрыт [показать]
     
  • 6.36, t28 (?), 14:05, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Да, только не SMTP, а MTP [не путать с SS7 MTP] (как и DAP, а не LDAP).
    О чём, кстати, я говорил (и здесь в том числе) уже давно.
     
  • 6.39, Аноним (-), 14:15, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Да уж, а то такого адского франкенштейна родили для того чтобы хоть как-то подоб... весь текст скрыт [показать]
     
  • 2.19, SubGun (ok), 10:51, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Очень интересно, как спамерам поможет SPF ... весь текст скрыт [показать]
     
  • 1.5, _Vitaly_ (ok), 01:20, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Не совсем понятно, что хочется забороть. Спам через ботнеты поступает от вполне валидных клиентов.
     
     
  • 2.7, Вернат (?), 03:08, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    Да, но не весь спам, так что это лучше чем ничего.
     
     
  • 3.40, Аноним (-), 14:18, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Много геморроя с результатом близким к нулю Хаксоров мало волнуют проблемы расх... весь текст скрыт [показать]
     
  • 3.58, DeadLoco (ok), 03:52, 04/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Судя по моим логам, примерно 12 16 спама валит от ботнетов из динамических сетей... весь текст скрыт [показать]
     
     
  • 4.59, Anonus (?), 17:14, 04/02/2012 [^] [ответить]    [к модератору]  
  • +/
    есть такое, подтверждаю наблюдения насчет последних 1/16 (у меня их правда поболее будет, где-то 15%)
     
  • 2.10, A (?), 05:53, 03/02/2012 [^] [ответить]     [к модератору]  
  • +3 +/
    Теперь, если вполне нормальный аккаунт клиента mail ru, например, сломают, то мэ... весь текст скрыт [показать]
     
     
  • 3.13, _Vitaly_ (ok), 07:57, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Сенькс. Нашел в оригинале. Перевод не точный.
     
  • 3.20, SubGun (ok), 10:54, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Идея хорошая, но как всегда упрется в человеческий фактор У меня на почтовике и... весь текст скрыт [показать]
     
     
  • 4.41, Аноним (-), 14:19, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > А все потому, что мир полон олигофренов.

    При том главная олигофрения - это сам SMTP с вооооооот такой связкой костылей!

     
  • 1.6, anonimous (?), 01:21, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +1 +/
    Слишком больших гарантий обе технологии не дают (например, подмена DNS-сервера).

    Что хуже, обе технологии требуют существенной реорганизации почтовой инфраструктуры. Даже не +1 запись в DNS (хотя и ради неё --- сходи-ка, договорись с провайдером), структура обмена ключами.

    Т.е. выдавливают на 'gmail.com, yahoo.com, microsoft.com, hotmail.com, mail.ru, yandex.ru, ...', а все остальные идут на ... (просто потому, что ключами смогут обменяться только акулы).

    Причём эффект (рекламируемый эффект) будет минимален: с того же hotmail валит неимоверное количество спама, а он будет верифицироваться, будьте спокойны.

     
     
  • 2.18, SubGun (ok), 10:48, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Подмена DNS сервера, чтобы отправить спам Чушь какая-то Если вы не можете дого... весь текст скрыт [показать]
     
     
  • 3.23, Andrey Mitrofanov (?), 11:57, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Man in the middle, cache poisoning, с бездаханно взлом сервера с DNS кешем, ... весь текст скрыт [показать]
     
     
  • 4.50, Df232z (ok), 17:48, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    >cache poisoning

    Гуглу? А не треснешь?
    >взлом сервера с DNS кешем, читаемым жертвой

    8.8.8.8
    ломай.

     
     
  • 5.53, Andrey Mitrofanov (?), 18:59, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > 8.8.8.8
    > ломай.

    Зачем??

     
  • 3.30, anonymous (??), 13:17, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Проблема не в собственно записи, а в процедуре подтверждения аутентичности при о... весь текст скрыт [показать]
     
  • 1.9, Аноним (-), 05:01, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • –1 +/
    я так и не понел в чем трудность dkim... весь текст скрыт [показать]
     
     
  • 2.11, ыфв (?), 05:59, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    согласен с Вами коллега
     
  • 1.12, ыфв (?), 06:04, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    >>функция пометки заведомо безопасных писем с проверенных DMARC-доменов с
    >>помощью графического знака (опция "Authentication icon for verified senders").

    Да это даж у яндекса есть
    вообще чет боян с этим DMARC'ом
    я по черновму варианту почту настраивал уже год назад

     
  • 1.14, Аноним (-), 08:11, 03/02/2012 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    В этой схеме есть опасный момент Если одна из сторон будет явно сильнее по ка... весь текст скрыт [показать]
     
     
  • 2.43, Аноним (-), 14:21, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    Это просто +1 костылик к морально устаревшему протоколу, который давно пора просто заредизайнить с нуля, с учетом современных реалий. Но некромансия же веселее :)
     
     
  • 3.44, Andrey Mitrofanov (?), 14:48, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Не стесняйтесь указывать _номер а _ Вашего их RFC Изнываем в Некромантия П... весь текст скрыт [показать]
     
  • 1.16, Аноним (-), 08:55, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –2 +/
    microsoft тут не к месту, их не надо упоминать
     
     
  • 2.25, Andrey Mitrofanov (?), 12:44, 03/02/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Ув Evgeny Zobnin всё правильно написал Крупнейшие сервисы электронной ... весь текст скрыт [показать]
     
  • 1.22, VoDA (ok), 11:55, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Нда и вся проблема то в том, что SMTP разрешает relay почты через чужие системы. Сделать чтобы каждый сервер самостоятельно отправлял почту и проверять его в момент отправки.
     
     
  • 2.31, Аноним (-), 13:18, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    Хм Ты уверен, что знаешь, о чем говоришь Проблема в том, что подавляющее больш... весь текст скрыт [показать]
     
  • 2.38, t28 (?), 14:11, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > Нда и вся проблема то в том, что SMTP
    > разрешает relay почты через чужие системы.

    Это не проблема. Это фича by design.
    Необходим другой протокол.

     
     
  • 3.48, анонимаус (?), 16:42, 03/02/2012 [^] [ответить]    [к модератору]  
  • –1 +/
    конечно не проблема,
    проблема будет в трудоустройстве почтовых админов, если исправить эту "фичу"  )))
     
  • 2.52, Df232z (ok), 17:57, 03/02/2012 [^] [ответить]     [к модератору]  
  • +2 +/
    Проблема Воры обычно лезут через окна Решение - замуровать все окна Пожалуйст... весь текст скрыт [показать]
     
  • 1.24, iCat (ok), 11:57, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +4 +/
    Мечты:
    1. Организаторов спама настигнет участь директора "Американского английского"
    2. SMTP в том виде, в котором он существует сейчас наконец-то сочтут deprecated.
    3. Обмен нешифрованными электронными сообщениями будет считаться чем-то вроде прогулки по городу без одежды.
    4. В школах наконец перестанут заниматься профанацией информатики и начнут обучать правилам безопасности при пользовании глобальной сетью и другим ПОЛЕЗНЫМ современному человеку предметам.
    Реальность:
    Кто-то опять "срубит бабла и поимеет лохов".
     
     
  • 2.33, Аноним (-), 13:22, 03/02/2012 [^] [ответить]     [к модератору]  
  • +1 +/
    Ага Щаз Если в те, первоинтернетные времена, потребовалось курнадцать лет на т... весь текст скрыт [показать]
     
     
  • 3.37, Аноним (-), 14:09, 03/02/2012 [^] [ответить]     [к модератору]  
  • +/
    А потом пришел ComodoHacker и наглядно показал нам что этот протокол гроша ломан... весь текст скрыт [показать]
     
  • 3.55, arisu (ok), 20:24, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > SMIME — сто лет в обед. Его хоть кто-нибудь использует? Хотя бы
    > даже подписывая почту? Лично ты — купил персональный серт почты у
    > Комодо и подписываешь свою почту, не?

    а что, GPG запрещён, что ли? я вот — подписываю свои письма. увы, шифрую только опционально: не все пока понимают, что обмен нешифроваными письмами — это как голым в картинной галерее стоять: вроде бы и ничего такого, но нормальные люди косятся.

     
  • 2.34, gegMOPO4 (ok), 13:25, 03/02/2012 [^] [ответить]    [к модератору]  
  • +3 +/
    4 — самое главное (остальное — следствия). И самое нереальное.
     
     
  • 3.49, iCat (ok), 17:03, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >4 — самое главное (остальное — следствия). И самое нереальное.

    Так потому и мечта...
    Впрочем, "что-то меняется"...

     
  • 2.42, t28 (?), 14:19, 03/02/2012 [^] [ответить]    [к модератору]  
  • +1 +/
    > В школах наконец перестанут заниматься профанацией информатики
    > и начнут обучать правилам безопасности при пользовании глобальной сетью

    Ага, когда я ещё во второй половине 90-х начал говорить об этом в университете,
    на меня смотрели как на дебила. Потом один из соискателей лишился своего 500-страничного
    диссера. Затем прошло немного времени и... всё вернулось на круги своя.

     
     
  • 3.45, Andrey Mitrofanov (?), 14:51, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >> В школах наконец перестанут заниматься профанацией информатики
    > Ага, когда я ещё во второй половине 90-х начал говорить об этом
    > в университете, на меня смотрели как на дебила.

    И всё какие-то странные и непонятные слова твердили: "приступай уже", "начинай, скорее"?

    > Затем прошло немного времени и... всё вернулось на круги своя.

    --Приступай уже. Начинай скорее.

     
     
  • 4.56, t28 (?), 00:16, 04/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > --Приступай уже. Начинай скорее.

    Я там не преподом работал, а админом.

     
  • 1.27, Нубас (?), 13:07, 03/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Мда... Не помню чтобы у мелкософта был сервис электронной почты))

    И опять же - этот проект базируется на SPF и DKIM. Только появляется обратная связь - что-то вроде "кто-то пишет от вашего имени... Ахтунг!!!"
    Уменьшить СПАМ это не не должно никак..
    Вот при взломе электронки - можно будет отследить, да и то, если письмо будет отослано с другого IP (в случае SPF)
    C DKIM дело иначе - должно отработать на 100%. НО что-то я никак не вспомню % доменов, использующих данную фичу - ну никак не больше 30%))

     
     
  • 2.51, Аноним (-), 17:54, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    > Мда... Не помню чтобы у мелкософта был сервис электронной почты))

    Hotmail


     
     
  • 3.54, arisu (ok), 20:04, 03/02/2012 [^] [ответить]    [к модератору]  
  • +/
    >> Мда… Не помню чтобы у мелкософта был сервис электронной почты))
    > Hotmail

    который мне, например, пришлось заблочить, потому что спама с него просто гигантское количество валится. а полезных писем ровно ноль. не то, чтобы я утверждал виновность m$ и в этом, но…

     
     
  • 4.57, Аноним (-), 00:55, 04/02/2012 [^] [ответить]     [к модератору]  
  • +/
    но кое-кто их вполне мог ремотно поиметь через какой-нибудь 0day в их любимой... весь текст скрыт [показать]
     
  • 1.61, Etch (?), 15:13, 05/02/2012 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    Подскажите, как получить днс-записи, связанные с этим DMARC-ом.

    Запрос:
    $ host -t txt google.com
    выдаёт только запись spf...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor