The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."
Вариант для распечатки Архивированная нить - только для чтения! 
Пред. тема | След. тема 
Форумы Разговоры, обсуждение новостей (Public)
Изначальное сообщение [Проследить за развитием треда]

"OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."
Сообщение от opennews on 02-Фев-04, 12:10 
Алексей Тутубалин высказал свое мнение по поводу реальности внедрения технологий защиты от подделки обратных email адресов. Вывод - в обозримом будущем безболезненное повсеместное внедрение таких технологий как SPF или DomainKeys маловероятно.

- SPF - "Sender Permitted From" используя DNS формируется список IP серверов имеющих право рассылать почту используя данное доменное имя упоминаемое в адресе отправителя. Плюсы - открытость и относительная простота технологии и интеграции в MTA. Минус - привязывает пользователя к определенному почтовому серверу, не дает возможность отправить письмо ,например, через SMTP другого провайдера.

- DomainKeys от Yahoo (помещение в заголовке зашифрованного секретного ключа и распространение для данного домена открытого ключа посредством DNS). Плюсы - не зависимость от почтового сервера за счет возможности включения ключа пользовательским ПО. Минусы - закрытая, надуманная и излишне усложненная технология, трудность интеграции, возможность утечки ключа, после перехвата письма с ключом защита теряет смысл.

URL: http://www.compulenta.ru/2004/1/28/44714/
Новость: http://www.opennet.ru/opennews/art.shtml?num=3364

Cообщить модератору | Наверх | ^

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от lowry email on 02-Фев-04, 12:10 
Тутубалин -- это тот хлопец что придумал Русский Апач? Творение сие принесло не меньше проблем чем решений на просторы всемирного инета.
Cообщить модератору | Наверх | ^

2. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Аноним email on 02-Фев-04, 12:37 
Я что-то не испытываю никаких проблем с русским апачем. А вопли о кривизне русского апача только можно услышать от тех кто его видимо криво настраивает. ;)))
Cообщить модератору | Наверх | ^

3. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от xz on 02-Фев-04, 14:13 
вот это точно, у меня он уже как пол года бегает и никаких проблем =)
Cообщить модератору | Наверх | ^

4. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от roma email on 02-Фев-04, 16:32 
пол-года - не срок.
я пользую Russian Apache с 98 года - вполне доволен. Спасибо Алексу и Russian Apache Team, а по поводу кривизны апача - дело действительно в настройках и кривизне рук
Cообщить модератору | Наверх | ^

5. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Аноним email on 02-Фев-04, 18:08 
Народ, признайтесь, зачем он нужен?
Кодировки взад - вперд менять? Времена уже не те...
Cообщить модератору | Наверх | ^

6. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от uldus on 02-Фев-04, 18:46 
>Народ, признайтесь, зачем он нужен?
>Кодировки взад - вперд менять? Времена уже не те...

Держать контент на сервере в одной кодировке, а выдавать в другой. IE часто подсовывает windows-1251  вместо кодировки в которой находится форма (если встретился нетранслируемый символ).Еще можно обойти баги в других менее популярных браузерах.

Cообщить модератору | Наверх | ^

7. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Остров on 02-Фев-04, 18:49 
Так в какие времена он писался? Вспомнишь какие тогда были браузеры? Вот то-то. А то, что команда до сих пор поддерживает проект - большое ей спасибо.
Cообщить модератору | Наверх | ^

8. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от TaranTuL email on 03-Фев-04, 10:27 
В свое время без русского апача было туго, но сейчас он потерял актуальность для новых браузеров, имеет смысл только со старыми клиентами.
Cообщить модератору | Наверх | ^

10. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Аноним email on 03-Фев-04, 18:12 
Ну не ссорьтесь, горячие финские парни - нормальные(адекватные) люди поняли, для чего нужен русский апач, дуракам не дано - какие нужны еще аргументы ?
Cообщить модератору | Наверх | ^

12. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от happy user email on 04-Фев-04, 10:11 
Обоснованные, а не ваши тут все
Cообщить модератору | Наверх | ^

13. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от MaxIKot email on 04-Фев-04, 11:52 
1. Прошу всех обсуждающих возвратиться к SUBJ.
2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail - вполне работоспособно. Как дальнейшее развитие возможна авторизация через LDAP и отвязка пользана от сервака.
Cообщить модератору | Наверх | ^

15. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Medlar on 04-Фев-04, 14:38 
>2. Частным решением вопроса мне представляется создание SMTP AUTH community (при котором
>пользан накрепко привязывается к серваку). Недавно решал эту проблему средствами SendMail
>- вполне работоспособно.

Тоже давно над этим думаю.
Я планирую проверять MessageID, и если в нем фигурирует мой домен,
то после проверки на принадлежность relay моей сети, давать либо отлуп либо пропускать почту.
А на каком этапе у вас происходит привязка?

Cообщить модератору | Наверх | ^

17. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от MaxIKot email on 04-Фев-04, 23:26 
На этапе проверки Mail From.
По AuthID определяю каков должен быть MailFrom,
и если предлагают что-то другое - от винта по резьбе.
И еще (немного недоделал, но почти работало) список доменов,
для приема почты с которых, сервер-отправитель должен авторизироваться
на сервере-получателе.
Перспективы: AUTH базы на серваках немеряно растут и приходит
пора централизации, как описал один из коллег ;-)
Cообщить модератору | Наверх | ^

20. "Идея"
Сообщение от uldus on 05-Фев-04, 09:41 
>Тоже давно над этим думаю.
>Я планирую проверять MessageID, и если в нем фигурирует мой домен,
>то после проверки на принадлежность relay моей сети, давать либо отлуп либо
>пропускать почту.

Но это не защитит ни от подделки адресов клиентов и клиентами, не от внешнего спама. Возможность соединится напрямую к серверу и указать все что угодно остается, любой сможет отправить письмо через соседний SMTP без подобных лимитов указав имя вашего домена и любой сможет соединится к вашему серверу и прислать вашему клиенту почту указав в отправителе все что угодно. Обе проблемы нерешаемые, в первом случе, нереально переучить клиентов ISP и убедить самих ISP пересылать почту для халявщиков с чужими IP, имеющих email от этого ISP. Во втором - нужно менять технологию обмена сообщениями между почтовыми серверами (авторизацию почтового сервера), что еще менее реально и бессмыслено.

Правда, IMHO, есть один выход - ввести жесткую авторизацию посредством сертификатов, котрые выдавать централизованно и именть возможность онулировать. Что-то похожее на лицензирование почтовых серверов, как сейчас выдают домены и IP блоки, выдавть "зеленые карты" на почтовые сервера.


Cообщить модератору | Наверх | ^

14. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от dct email on 04-Фев-04, 13:12 
Пойдя путем централизации, авторизации и т.д. придем напрямую в руки Билли, с их задвигом насчет платных электронных почтовых марок.. а их кстати еще яха собирается поддержать..
ИМХО надо искать другие варианты.. пока не поздно
Cообщить модератору | Наверх | ^

16. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Tracer email on 04-Фев-04, 14:53 
Технически решаем так - Запретить обработку исходящей почты с отправителем в адресе которого не свой домен (домены из списка) Для sendmail - это пара строк в конфиге

Организационное решение -  вот это вопрос вопросов.

Cообщить модератору | Наверх | ^

18. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от dct email on 05-Фев-04, 06:13 
То что ты отрежешь левых сендеров на своем домене, это может и хорошо, но не факт что это сделают на соседнем домене или просто не поставят МТА, который будет спокойно пропускать письма с подделкой заголовкови т.д т.п.

ИМХО для начала было бы неплохо сделать хотябы следующее:
МТА должен хранить базу за какойто период в которой лежит msgid и адрес отправителя. Соответсвенно конечный МТА назначения посылает запрос с msgid на домен отправитель и в ответ получает адрес отправителя.
Этим сразу отсечется подделка заголовков, и тогда более реально заработают черные списки.

Cообщить модератору | Наверх | ^

19. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от dct email on 05-Фев-04, 06:20 
И вообще новое это хорошо позабытое старое, хотя наверно не такое уж и старое, но напрямую я уж давно их не видел :) как уехал с Томска.
Поднять FIDO-нет схему и бить за левую почту сисопов.
:) Шутка конечно, но зато самая реальная схема в плане отсечения левой почты, такчто.. как во всякой шутке...

Cообщить модератору | Наверх | ^

21. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от uldus on 05-Фев-04, 09:55 
>Поднять FIDO-нет схему и бить за левую почту сисопов.

Точто также сейчас можешь "бить за левую почту" владельцев IP. Разницы никакой, только в фидо никто никому ничего не должен, а в Интернет с точности до наоборот, просто так никого не отключишь, нужны общесетевые законы поддерживаемые повсеместно, а не как сейчас у каждого свой договор с разными обязательствами.

Хотя задачу можно свести не к запрещению подделки From, а к подтверждению реальности отправителя, например, цифровые подписи использоать.

Cообщить модератору | Наверх | ^

22. "OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."
Сообщение от Вадим on 05-Фев-04, 17:23 
Может проще сделать обязательность наличия для почтового сервера обратной DNS записи определенного вида (mail.domain.com) и обязать всех владельцев почтовый систем внести изменения в DNS в течении какого-то срока. В нормальных системах даже не придется ничего менять, у криворуких админов будет стимул, а кто не сделает изменения сами выкопают себе могилу.
Далее если почта идет не с ^mail.* домена смело шлем ее в /dev/null, при жалобах посылаем еще дальше - в RFC.
Cообщить модератору | Наверх | ^

23. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от lowry email on 06-Фев-04, 13:13 
Мужики, а может мы не о том думает. Проблема не в спуфинге почтовых адресов, а в анонимности в интернете. Только давайте разберёмся что такое анонимность. Есть анонимность по отношению к правоохранительным органам. Её у пользователей уже давно нет. Есть анонимность -- по отношению к другим участникам сети. Она выражается грубо говоря в невозможности соотносить один узел сети с одним физическим лицом.
Cообщить модератору | Наверх | ^

24. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от lowry email on 06-Фев-04, 13:13 
Мне как провайдеру и контент-провайдеру не нужны паспортные данные пользователя по адресу 192.168.0.1. Мне нужно знать, что с этого адреса с большой вероятностью приходит и будет приходить один и тот пользователь. Тогда я смогу в отношении его проводить целенаправленную политику, в зависимости от поведения пользователя -- фильтровать, давать дополнительный доступ, отсекать от него почту и т.д. Со временем с пользователями у меня сложится история отношений и я смогу знать что 192.168.0.1 -- спаммер, 192.168.0.2 активно участвует в форуме техподдержки, 192.168.0.3 постоянно сканирует чужие компьютеры и т.д.
Cообщить модератору | Наверх | ^

25. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от lowry email on 06-Фев-04, 13:13 
Сейчас же сложилась такая ситуация что физические и даже юридические лица меняют ip-адреса как перчатки. Чтобы блокировать нежелательного члена сети приходится иногда блокировать весь пул ip-адресов дружественного провайдера. Как исправить такую ситуацию? Технически очень просто -- перейти на IPv6. К сожалению, это не гарантирует улучшения ситуации, всего лишь создаёт технические предпосылки для этого.

Сорри за краткость -- постараюсь написать подробную статью об этом.

Cообщить модератору | Наверх | ^

26. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Nikolaev_D email on 06-Фев-04, 23:01 
позно зашел, но

>Держать контент на сервере в одной кодировке, а выдавать в другой

кодировку надо правильную держать : UTF-8, тогда и проблем не будет.
кстати поинтересуйтесь, в какой кодировке отдает контент google ;)

А с подделкой адресов можно поступить как с POP3 - запретить на уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер. По поп3 никому в голову не пришло разрешать снимать почту с левым логином, паролем или вообще без них.
Прям подозрение, что в стандарт на СМТП специально закладку сделали.

Cообщить модератору | Наверх | ^

27. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от uldus on 07-Фев-04, 00:06 
>А с подделкой адресов можно поступить как с POP3 - запретить на
>уровне стандартов отправку почты без авторизации, и e-mail обратный проставляет сервер.

Разница в том, что в ящик почту кто попало положить не может, только агент доставки. С SMTP ты можешь авторизировать клиентов, но не внешние сервера, т.е. любой завирусенный компьютер из какой-нибудь бразильской xDSL cети по прежнему может закачивать напрямую спам в твой SMTP сервер, его авторизоваться не заставишь.

Cообщить модератору | Наверх | ^

28. "Не туда смотрите, товарищи"
Сообщение от Дмитрий Ю. Карпов email on 15-Фев-04, 02:22 
Каждый день к Internet присоединяются тысячи людей, входящих во взрослую жизнь (даже без учёта расширения аудитории Internet можно просто разделить число пользователей Internet на 20'000 дней - срок жизни человека). Нет способов узнать, является ли человек новым пользователем или старым спамером. Поэтому про анулируемые сертификаты можете забыть.

Лично я по каждому московскому спаму звоню ЗАКАЗЧИКУ (а не ИСПОЛНИТЕЛЮ) спама и посылаю его в пешее путешествие с эротическим уклоном. КПД спама (число откликов, делённое на число писем) заведомо ниже 0.01%; даже если 1% получателей спама позвонит заказчику спама и скажет ему о его нетрадиционной сексуальной ориентации, то спам станет экономически невыгодным.

Плюс к тому, если в спаме указан контактный E-mail, то на этот E-mail от меня сразу уходит мегабайт мусора - пусть читает, мне не жалко. Перед мусором идёт цитата спам-письма, чтобы спамер не смог сразу отличить бомбу от реального письма и был вынужден закачивать этот мегабайт себе. А ещё почтовый ящик может переполниться...

А вот ещё одно применение адресам спамеров: http://prof.pi2.ru/literat/spamadrs.htm - прошу дать на ваших сайтах ссылку на эту страничку, пусть спамеры переписываются друг с другом.

Сегодня получил спам, предлагающий прислать заказ на посылку наложенным платежом. Завтра отправлю заказ на несуществующий адрес - пусть работают.

PS: Bill Gates генерирует безумные идеи, а его бизнес-гениальность позволяет протолкнуть эти идеи в жизнь. Бедные мы разнесчастные...

Cообщить модератору | Наверх | ^

31. "Не туда смотрите, товарищи"
Сообщение от Linulin on 24-Фев-04, 14:29 
Прежде чем тратить энергию на телефонные звонки и беганье по почтам, неплохо бы учесть, что спам может быть просто подставой какого-нибудь козла
непонравившейся ему фирме.
Cообщить модератору | Наверх | ^

32. "Не туда смотрите, товарищи"
Сообщение от Дмитрий Ю. Карпов email on 25-Фев-04, 19:34 
> Прежде чем тратить энергию на телефонные звонки и беганье по почтам,
> неплохо бы учесть, что спам может быть просто
> подставой какого-нибудь козла непонравившейся ему фирме.

Дык я же сначала вежливо спрашиваю, их ли это реклама. Ни одного прокола в этом смысле не было - пока что мне в ящик такие подставы не сыпались.
А по реальным почтам я не бегаю - пока обхожусь электронной.

Cообщить модератору | Наверх | ^

29. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от Nikolai email on 24-Фев-04, 12:42 
Ты говоришь о реальных почтовых адресах в своей ссылке?
А ты уверен что это не подделка?
Дело в том, что сейчас поток спама идёт именно с поддельных адресов. Которых на самом деле никогда не существовало, поэтому выщемить можно только релеэй через который прошёл этот спам, причём в большинстве случаев эти выходы разовые и больше с этих ip ничего не приходит.
Я ни в коем случае не ставлю под вопрос твою профпригодность, но теми методами что мы раньше использовали уже мало помогают.
Cообщить модератору | Наверх | ^

30. "адреса из тела письма, а не из заголовка"
Сообщение от Дмитрий Ю. Карпов email on 24-Фев-04, 13:07 
> Ты говоришь о реальных почтовых адресах в своей ссылке?
> А ты уверен что это не подделка?
> Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
Все адоеса берутся из ТЕЛА письма, где так и написано:
please note to send ALL REPLY e-mail direct to our Sales Representative at:
Questions@bestwatchesplace.com
(и пусть спамерские боты найдут этот адрес здесь).

> Которых на самом деле никогда не существовало, поэтому выщемить можно
> только релеэй через который прошёл этот спам, причём в большинстве
> случаев эти выходы разовые и больше с этих ip ничего не приходит.
Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама и вирусов.

Cообщить модератору | Наверх | ^

33. "адреса из тела письма, а не из заголовка"
Сообщение от Nikolai email on 25-Фев-04, 19:46 
>> Ты говоришь о реальных почтовых адресах в своей ссылке?
>> А ты уверен что это не подделка?
>> Дело в том, что сейчас поток спама идёт именно с поддельных адресов.
>Все адоеса берутся из ТЕЛА письма, где так и написано:
>please note to send ALL REPLY e-mail direct to our Sales Representative
>at:
>Questions@bestwatchesplace.com
>(и пусть спамерские боты найдут этот адрес здесь).
>
>> Которых на самом деле никогда не существовало, поэтому выщемить можно
>> только релеэй через который прошёл этот спам, причём в большинстве
>> случаев эти выходы разовые и больше с этих ip ничего не приходит.
>Отнюдь нет - мои запреты по IP-номерам дают неплохой урожай отлупов спама
>и вирусов.
Тогда тебе несказанно везёт! Так как мой опыт показывает, что в большинстве случаев с этого IP больше спама не ползёт, таким образом % "отлупов" не слишком велик.


Cообщить модератору | Наверх | ^

34. "адреса из тела письма, а не из заголовка"
Сообщение от Дмитрий Ю. Карпов email on 25-Фев-04, 20:01 
> Тогда тебе несказанно везёт! Так как мой опыт показывает,
> что в большинстве случаев с этого IP больше спама не ползёт,
> таким образом % "отлупов" не слишком велик.

Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access

Cообщить модератору | Наверх | ^

35. "адреса из тела письма, а не из заголовка"
Сообщение от Nikolai email on 25-Фев-04, 20:14 
>> Тогда тебе несказанно везёт! Так как мой опыт показывает,
>> что в большинстве случаев с этого IP больше спама не ползёт,
>> таким образом % "отлупов" не слишком велик.
>
>Я запрещаю не только отдельными IP-номерами, но и целыми доменами, а также
>сетями класса C или даже B. Попробуй мой http://prof.pi2.ru/literat/access
Ну теперь то Дмитрий мне всё понятно! У меня даже трети от твоего файла нет.

Cообщить модератору | Наверх | ^

36. "Дополнение (статистика повторов)"
Сообщение от Дмитрий Ю. Карпов email on 25-Фев-04, 21:28 
Из статистики одного дня:
86 [62.85.56.195]
27 [213.253.24.46]
14 [195.133.234.194]
В левой колонке - число моих отлупов письмам с данного IP-номера (не прописанного в ReverceDNS) в течении ОДНОГО дня (статистика не средняя, а максимальная, какую я нашёл; но искал недолго а как попало). Эти три IP-номера у меня были запрещены за вирус.
Cообщить модератору | Наверх | ^

37. "Есть ли шанс избавиться от подделки обратных адресов электро..."
Сообщение от TaranTuL email on 03-Мрт-04, 19:31 
Запрещать адрес за вирус - глуппо.
Cообщить модератору | Наверх | ^

38. "OpenNews: Есть ли шанс избавиться от подделки обратных адрес..."
Сообщение от Andrey email(??) on 05-Авг-04, 12:42 
Добрый день.
Вопрос немного не по теме, но все же...
У меня sendmail + SMTP AUTH.
В логе к примеру:
AUTH=server, relay=[192.168.1.1], authid=petrov, mech=PLAIN, bits=0.

Мне необходимо фильтровать по authid, т.к. почта корпоративная
и желательно для определенных пользователей не выходить из домена.


К примеру в access добавить
authid=petrov REJECT

... то это не работает.
Вопрос как записывать правила в access map для управления authid ??

Cообщить модератору | Наверх | ^

Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру