The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

02.02.2012 23:36  Google, Yahoo и PayPal представили новую систему аутентификации электронной почты

Крупнейшие сервисы электронной почты, поддерживаемые компаниями Google, Microsoft и Yahoo, при участии PayPal, Facebook и LinkedIn, объявили о создании чернового варианта новой системы аутентификации почтовых сообщений DMARC (Domain-based Message Authentication, Reporting & Conformance), которая должна существенно повысить эффективность борьбы со спуфингом и спамом. Новая система основана на существующих технологиях, но расширяет их новыми идеями.

Уже на протяжении нескольких лет многие почтовые сервисы используют технологии аутентификации почтовых сообщений SPF (Sender Policy Framework) и DKIM (DomainKeys Identified Mail), позволяющие SMTP-серверу определить факт подделки домена отправителя с помощью специальных DNS-записей на стороне отправляющего домена и цифровых подписей. При получении письма принимающий сервер может запросить специальную DNS-запись домена-отправителя с информацией о доменах, которые могут отправлять письма от его имени и на основе этих данных принять решение о принятии или отвержении письма.

Проблема этих технологий только в том, что они не обеспечивают обратной связи. Для крупных почтовых сервисов, которые включают в себя множество почтовых серверов, а также сторонних сервисов, полноценное внедрение SPF и DKIM может оказаться очень трудоемкой и даже неразрешимой задачей, так как все действия по изменению правил придется проводить вслепую и постоянно контактировать с сотрудниками других почтовых сервисов чтобы получать информацию о качестве работы системы.

Система DMARC решает эту проблему, позволяя наладить связь между сервисами приема и отправки почты. Почтовый сервис может использовать специальные флаги в DNS-записях SPF чтобы информировать принимающую сторону о том, как должны обрабатываться письма. Например, на время тестирования, почтовый сервис может "потребовать" от SMTP-серверов пропускать всю почту со своего домена, но извещать его обо всей подозрительной корреспонденции, результатах работы правил фильтрации и посылать другую информацию. Например, если в результате взлома аккаунта пользователя, от его имени через использующий DMARC почтовый сервис рассылается спам, то получив уведомление о таком спаме, будет видно, что спам отправлен именно через данный сервис, а не напрямую со сторонней затрояненной машины, и можно временно блокировать аккаунт конкретного пользователя. На время сбоев в работе почтовый сервис может проинформировать SMTP-серверы о помещений всей корреспонденции во временный карантин с последующей обработкой. Возможны и другие варианты взаимодействия.

PayPal начала применять эту систему совместно с Yahoo и Google еще в 2007 году, добившись очень существенного сокращения нежелательной корреспонденции и спама. Сегодня к инициативе подключились и многие другие онлайн-сервисы, включая Facebook и LinkedIn, а в Gmail даже появилась функция пометки заведомо безопасных писем с проверенных DMARC-доменов с помощью графического знака (опция "Authentication icon for verified senders").



  1. Главная ссылка к новости (http://www.dmarc.org/news/pres...)
Автор новости: Evgeny Zobnin
Тип: К сведению
Ключевые слова: spf, dkim, google, yahoo, paypal, email, smtp
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.1, pavlinux, 00:27, 03/02/2012 [ответить] [смотреть все]
  • +1 +/
    > ... позволяющие SMTP-серверу определить факт подделки домена отправителя
    > с помощью специальных DNS-записей на стороне отправляющего домена и цифровых
    > подписей.

    Если принимающий сервер может спросить подпись домена,
    то почему же и спамер не может сделать тоже самое?

    > Почтовый сервис может использовать специальные флаги в DNS-записях SPF, (зпт. забыли)
    > чтобы информировать принимающую сторону о том, как должны обрабатываться письма.

    Почтовый сервис может использовать специальные флаги в DNS-записях SPF,
    чтобы информировать спамеров о том, как формировать письма, чтоб принимающая
    сторона обработала письмо должным образом. :)

    Короче, очередной детский сад, с захватом власти, трафика, персональной инфы
    через свои публичные сервера модерируемые большими братьями.  

     
     
  • 2.2, VoDA, 00:36, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]
  • +3 +/
    в DNS должен находиться только публичный ключ На его основе можно только провер... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.3, pavlinux, 00:37, 03/02/2012 [^] [ответить] [смотреть все]  
  • –2 +/
    Помимо DDOS на отшибание поддельных запросов, можно дополнительно по ДДОСить на ... весь текст скрыт [показать]
     
     
  • 4.8, Crazy Alex, 03:36, 03/02/2012 [^] [ответить] [смотреть все]  
  • +5 +/
    Ну так гугла с яхой такая ситуация полностью устроит
     
     
  • 5.15, Pahanivo, 08:35, 03/02/2012 [^] [ответить] [смотреть все]  
  • +8 +/
    Интересно, сколькими костылями можно еще огородить SMTP?
    Может уже стоит задуматься над новым SMTP?
     
     
  • 6.21, Аноним, 11:45, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    И там будет та же самая проблема идентификации отправителя ... весь текст скрыт [показать]
     
     
  • 7.28, Аноним, 13:16, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Не прикидывайся глупее, чем ты есть Речь о фактической разработке ДРУГОГО прото... весь текст скрыт [показать]
     
     
  • 8.47, alex.h, 16:35, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    А IMAP-то тут причём Другой протокол, тут скорее не другой протокол, а другая ... весь текст скрыт [показать]
     
     
  • 9.60, Аноним, 19:58, 04/02/2012 [^] [ответить] [смотреть все]  
  • +/
    А пользователь будет, придя поутру на работу, проверять все сервера отправителей... весь текст скрыт [показать]
     
  • 9.62, Pahanivo, 07:55, 06/02/2012 [^] [ответить] [смотреть все]  
  • +/
    описаная структура и описанно взаимодействие - это каГзар и есть ПРОТОКОЛ o_O ... весь текст скрыт [показать]
     
  • 6.36, t28, 14:05, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Да, только не SMTP, а MTP не путать с SS7 MTP как и DAP, а не LDAP О чём, к... весь текст скрыт [показать]
     
  • 6.39, Аноним, 14:15, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Да уж, а то такого адского франкенштейна родили для того чтобы хоть как-то подоб... весь текст скрыт [показать]
     
  • 2.19, SubGun, 10:51, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Очень интересно, как спамерам поможет SPF ... весь текст скрыт [показать] [показать ветку]
     
  • 1.5, _Vitaly_, 01:20, 03/02/2012 [ответить] [смотреть все]  
  • +/
    Не совсем понятно, что хочется забороть. Спам через ботнеты поступает от вполне валидных клиентов.
     
     
  • 2.7, Вернат, 03:08, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Да, но не весь спам, так что это лучше чем ничего.
     
     
  • 3.40, Аноним, 14:18, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Много геморроя с результатом близким к нулю Хаксоров мало волнуют проблемы расх... весь текст скрыт [показать]
     
  • 3.58, DeadLoco, 03:52, 04/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Судя по моим логам, примерно 12 16 спама валит от ботнетов из динамических сетей... весь текст скрыт [показать]
     
     
  • 4.59, Anonus, 17:14, 04/02/2012 [^] [ответить] [смотреть все]  
  • +/
    есть такое, подтверждаю наблюдения насчет последних 1 16 у меня их правда побол... весь текст скрыт [показать]
     
  • 2.10, A, 05:53, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    Теперь, если вполне нормальный аккаунт клиента mail ru, например, сломают, то мэ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.13, _Vitaly_, 07:57, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Сенькс. Нашел в оригинале. Перевод не точный.
     
  • 3.20, SubGun, 10:54, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Идея хорошая, но как всегда упрется в человеческий фактор У меня на почтовике и... весь текст скрыт [показать]
     
     
  • 4.41, Аноним, 14:19, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    При том главная олигофрения - это сам SMTP с вооооооот такой связкой костылей ... весь текст скрыт [показать]
     
  • 1.6, anonimous, 01:21, 03/02/2012 [ответить] [смотреть все]  
  • +1 +/
    Слишком больших гарантий обе технологии не дают (например, подмена DNS-сервера).

    Что хуже, обе технологии требуют существенной реорганизации почтовой инфраструктуры. Даже не +1 запись в DNS (хотя и ради неё --- сходи-ка, договорись с провайдером), структура обмена ключами.

    Т.е. выдавливают на 'gmail.com, yahoo.com, microsoft.com, hotmail.com, mail.ru, yandex.ru, ...', а все остальные идут на ... (просто потому, что ключами смогут обменяться только акулы).

    Причём эффект (рекламируемый эффект) будет минимален: с того же hotmail валит неимоверное количество спама, а он будет верифицироваться, будьте спокойны.

     
     
  • 2.18, SubGun, 10:48, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Подмена DNS сервера, чтобы отправить спам Чушь какая-то Если вы не можете дого... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Andrey Mitrofanov, 11:57, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Man in the middle, cache poisoning, с бездаханно взлом сервера с DNS кешем, ... весь текст скрыт [показать]
     
     
  • 4.50, Df232z, 17:48, 03/02/2012 [^] [ответить] [смотреть все]  
  • +1 +/
    Гуглу А не треснешь 8 8 8 8 ломай ... весь текст скрыт [показать]
     
     
  • 5.53, Andrey Mitrofanov, 18:59, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    > 8.8.8.8
    > ломай.

    Зачем??

     
  • 3.30, anonymous, 13:17, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Проблема не в собственно записи, а в процедуре подтверждения аутентичности при о... весь текст скрыт [показать]
     
  • 1.9, Аноним, 05:01, 03/02/2012 [ответить] [смотреть все]  
  • –1 +/
    я так и не понел в чем трудность dkim... весь текст скрыт [показать]
     
     
  • 2.11, ыфв, 05:59, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    согласен с Вами коллега
     
  • 1.12, ыфв, 06:04, 03/02/2012 [ответить] [смотреть все]  
  • +/
    >>функция пометки заведомо безопасных писем с проверенных DMARC-доменов с
    >>помощью графического знака (опция "Authentication icon for verified senders").

    Да это даж у яндекса есть
    вообще чет боян с этим DMARC'ом
    я по черновму варианту почту настраивал уже год назад

     
  • 1.14, Аноним, 08:11, 03/02/2012 [ответить] [смотреть все]  
  • +/
    В этой схеме есть опасный момент Если одна из сторон будет явно сильнее по ка... весь текст скрыт [показать]
     
     
  • 2.43, Аноним, 14:21, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Это просто 1 костылик к морально устаревшему протоколу, который давно пора прос... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.44, Andrey Mitrofanov, 14:48, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Не стесняйтесь указывать _номер а _ Вашего их RFC Изнываем в Некромантия П... весь текст скрыт [показать]
     
  • 1.16, Аноним, 08:55, 03/02/2012 [ответить] [смотреть все]  
  • –2 +/
    microsoft тут не к месту, их не надо упоминать
     
     
  • 2.25, Andrey Mitrofanov, 12:44, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Ув Evgeny Zobnin всё правильно написал Крупнейшие сервисы электронной ... весь текст скрыт [показать] [показать ветку]
     
  • 1.22, VoDA, 11:55, 03/02/2012 [ответить] [смотреть все]  
  • +/
    Нда и вся проблема то в том, что SMTP разрешает relay почты через чужие системы. Сделать чтобы каждый сервер самостоятельно отправлял почту и проверять его в момент отправки.
     
     
  • 2.31, Аноним, 13:18, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Хм Ты уверен, что знаешь, о чем говоришь Проблема в том, что подавляющее больш... весь текст скрыт [показать] [показать ветку]
     
  • 2.38, t28, 14:11, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Это не проблема Это фича by design Необходим другой протокол ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.48, анонимаус, 16:42, 03/02/2012 [^] [ответить] [смотреть все]  
  • –1 +/
    конечно не проблема, проблема будет в трудоустройстве почтовых админов, если ис... весь текст скрыт [показать]
     
  • 2.52, Df232z, 17:57, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +2 +/
    Проблема Воры обычно лезут через окна Решение - замуровать все окна Пожалуйст... весь текст скрыт [показать] [показать ветку]
     
  • 1.24, iCat, 11:57, 03/02/2012 [ответить] [смотреть все]  
  • +4 +/
    Мечты:
    1. Организаторов спама настигнет участь директора "Американского английского"
    2. SMTP в том виде, в котором он существует сейчас наконец-то сочтут deprecated.
    3. Обмен нешифрованными электронными сообщениями будет считаться чем-то вроде прогулки по городу без одежды.
    4. В школах наконец перестанут заниматься профанацией информатики и начнут обучать правилам безопасности при пользовании глобальной сетью и другим ПОЛЕЗНЫМ современному человеку предметам.
    Реальность:
    Кто-то опять "срубит бабла и поимеет лохов".
     
     
  • 2.33, Аноним, 13:22, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ага Щаз Если в те, первоинтернетные времена, потребовалось курнадцать лет на т... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.37, Аноним, 14:09, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    А потом пришел ComodoHacker и наглядно показал нам что этот протокол гроша ломан... весь текст скрыт [показать]
     
  • 3.55, arisu, 20:24, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    а что, GPG запрещён, что ли я вот 8212 подписываю свои письма увы, шифрую т... весь текст скрыт [показать]
     
  • 2.34, gegMOPO4, 13:25, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +3 +/
    4 — самое главное (остальное — следствия). И самое нереальное.
     
     
  • 3.49, iCat, 17:03, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    Так потому и мечта Впрочем, что-то меняется ... весь текст скрыт [показать]
     
  • 2.42, t28, 14:19, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +1 +/
    Ага, когда я ещё во второй половине 90-х начал говорить об этом в университете, ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.45, Andrey Mitrofanov, 14:51, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    И всё какие-то странные и непонятные слова твердили приступай уже , начинай, ... весь текст скрыт [показать]
     
     
  • 4.56, t28, 00:16, 04/02/2012 [^] [ответить] [смотреть все]  
  • +/
    > --Приступай уже. Начинай скорее.

    Я там не преподом работал, а админом.

     
  • 1.27, Нубас, 13:07, 03/02/2012 [ответить] [смотреть все]  
  • –1 +/
    Мда... Не помню чтобы у мелкософта был сервис электронной почты))

    И опять же - этот проект базируется на SPF и DKIM. Только появляется обратная связь - что-то вроде "кто-то пишет от вашего имени... Ахтунг!!!"
    Уменьшить СПАМ это не не должно никак..
    Вот при взломе электронки - можно будет отследить, да и то, если письмо будет отослано с другого IP (в случае SPF)
    C DKIM дело иначе - должно отработать на 100%. НО что-то я никак не вспомню % доменов, использующих данную фичу - ну никак не больше 30%))

     
     
  • 2.51, Аноним, 17:54, 03/02/2012 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Hotmail ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.54, arisu, 20:04, 03/02/2012 [^] [ответить] [смотреть все]  
  • +/
    >> Мда… Не помню чтобы у мелкософта был сервис электронной почты))
    > Hotmail

    который мне, например, пришлось заблочить, потому что спама с него просто гигантское количество валится. а полезных писем ровно ноль. не то, чтобы я утверждал виновность m$ и в этом, но…

     
     
  • 4.57, Аноним, 00:55, 04/02/2012 [^] [ответить] [смотреть все]  
  • +/
    но кое-кто их вполне мог ремотно поиметь через какой-нибудь 0day в их любимой... весь текст скрыт [показать]
     
  • 1.61, Etch, 15:13, 05/02/2012 [ответить] [смотреть все]  
  • +/
    Подскажите, как получить днс-записи, связанные с этим DMARC-ом.

    Запрос:
    $ host -t txt google.com
    выдаёт только запись spf...

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor