Názory k článku
Apache a Debian: lék na spam od Microsoftu šířit nebudeme

To nejdůježitější je na konci článku: není primárním cílem Sender ID zastavit spam ... ... Spolehlivá autentifikace je výchozím předpokladem k ukončení možnosti podvržení skutečné adresy odesílatele (source-address spoofing)

Přesně k tomuto SenderID slouží, a mě není jasné proč ho někteří lidé považují za antispamový nástroj, a diví se jak to že přes něj spamy projdou (viz "Zprávička" z 10.9. 13:00).

Pokud je administrátor (nebo uživatel) poštovního serveru natolik naivní, že si v antispamových pravidlech vypne veškeré kontroly za předpokladu že je použito Sender-ID, tak k tomu není co dodat. Jak bylo v článku řečeno, Sender-ID umožňuje identifikaci odesilatele, resp. jeho mailserveru. Není to antispamový nástroj.

S tou implementaci SenderID u sendmailu to neni tak trivialni jak jste psal. Tam je mozna take zadelano na budouci problem.

"Dle Davida Andersona (CEO Sendmail) (a podnikových právniků) totiž Microsoft označil tuto technologii za free a neříká, že je pro ni třeba nějaké licence. Firma tak žadné licenční ujednání s MS podepsat nehodlá." [zpravicky 2004-09-03 root.cz]

Autor zjevne nepochopil podstatu problemu - nejde o to, ze by navrhovany system byl "closed source", to je naprosty nesmysl, *specifikace* dost dobre nemuze byt open nebo closed source, nejde totiz vubec o kod. Problemem je, ze Microsoft ma *patenty* na nektere casti a navic odmita presne specifikovat, na ktere.

Navic v clanku zcela chybi posledni vyvoj: IEFT dal od Microsoftich casti, u kterych hrozi, ze jsou zasazeny patenty, ruce pryc a v RFC nebudou.

"Microsoft ma *patenty* na nektere casti a navic odmita presne specifikovat, na ktere."

To jde prece dohledat, ne? Nebo v cem je problem??

Problem je v tom, ze to dohledat nejde. To je jeden ze zakladnich kamenu urazu softwarovych patentu. Jsou jich statisice a psany jsou tak mlhave, ze dokud proti vam nekdo konkretni patent neuplatni, tak ani netusite, ze jste ho porusili.

Samozrejme muze to dopadnout i tak, ze je zkusi uplatnit, ale soud rozhodne, ze je to nesmyslne a zmatene. Akorat ze nez se tak stane, tak budete o par tisic dolaru za pravniky lehci.

Dokud Microsoft nerekne presne cisla patentu a jeho vyklad, jak se vztahuji k teto technologii, tak nikdo nedokaze posoudit jestli lze jejich patenty obejit, jestli se na danou vec vubec daji aplikovat a jestli se da sender ID implementovat i zpusobem, ktery patenty neporusi.

Stale mi neni jasny, k cemu ten sender ID bude dobrej. Jestli jsem to spravne pochopil, tak to ma zarucit identifikaci a na zaklade ni pak vybudovat blokovani spamu.

Jenze spam dneska rozesilaj normalni uzivatele, ktery maji cerva v pocitaci. Takze spamu to nezabrani, protoze cerv s radosti rozesle milion emailu s uzivatelovym Sender ID.

A argument, ze diky Sender ID zjistis kdo a z jakyho mail serveru to odeslal? A k cemu proboha potrebuju znat mail server? Me prece zajima KDO to byl, a na nej si doslapnout. A na identifikaci tu mame DIGITALNI PODPIS. Nez nutit lidem nejakej pochybnej Microsofti vymysl, co proste lidi naucit pouzivat kvalifikovany digitalni podpis?

Sender ID není výmysl MS. Sender ID je hlavně a především ochrana proti falšování e-mailové adresy - server prostě nepošle e-mail s falešnou adresou odesílatele - takže např. proti virům, ale i proti spamu neodesílaném z nakažených počítačů. A kupodivu se nezdá, že by většina spamu chodila z backdoorů.

No - bezny hackly PC s XPckama dokaze rozeslat 2000 - 3000
spamu za hodinu. Dneska uz je spousta cervu delanejch na rozesilani spamu.

Ano, to je fakt. rozdil je v tom, ze takovy work nebude posilat z vymyslene adresy, ale z vasi, ktera je pro server validni.
Takze ochrana se zase nekona :-(

No a - jestli jsem to dobre pochopil - tak to jde obejit tak, ze dam sender abc@yahoo.com a podvrhnu Received: (jako kdybych dostal mail) z pocitace, ktery opravdu patri Yahoo, a SenderID muze jit nekam...

Jenze jaka je "skutecna" adresa odesilatele? Na chvilku si zkuste predstavit, ze podle okolnosti se muj notebook do site pripojuje pres Wi-Fi, pres nejake GPRS (nedej boze v mezinarodnim roamingu) nebo pres modem - nebo pres ethernetovou zasuvku nekde v hotelu. Pritom si ale predstavuji, ze ten odesilatel jsem porad ja na schranka@domovska.domena.cz. Jak tohle bude fungovat? Jak si budou vsechny ty site overovat, ze ve sve sebeidentifikaci nekecam?

kazdej server pres kterej to pude prida nejakou hlasku, asi nejak podepsanou pres ms cert. autority a za to se asi bude platit.. do hajzlu s ms morem...

V tom nevidím problém. Když odesíláte e-mail, tak se vždy připojujete ke SVÉMU poštovnímu serveru, přes který ho odešlete.... A ten, pokud bude v poli odesilatele jeho doména a vy se mu ověříte svým jménem a heslem, tak e-mail odešle.... Tak to funguje např. u všech, kdo využívají SMTP na Seznamu.cz...(tam tedy zatím stačí to jméno a heslo).

Rozhodně neposílám vždy poštu ze SVÉHO poštovního serveru! Často používám SMTP server toho poskytovatele ke kterému jsem připojen - je to rychlejší odeslat poštu na nejbližší server.

V některých sítí má třeba člověk pouze připojení přes HTTP proxy a MUSÍ využívat místní SMTP server. Tohle všechno je vyřešeno?

Nejenze je to rychlejsi - ale, hlavne, je to spolehlivejsi. Spojeni v lokalni siti funguje pravdepodobneji nez spojeni na velkou vzdalenost. A prave tohle vyreseno neni. Respektive je - proste se s tim nepocita. V zasade vas chteji donutit pouzivat nejaky ten vzdaleny SMTP server. Tim by se lokalni ISP hladce zbavil moralni odpovednosti za to, co delate z jeho site a vesele by mohl, bez neklidneho spani, jen inkasovat penize. Naopak, ti co se snazi ve sve siti nejaky poradek udrzet a nedovolik kazdemu posilat jakykoliv dopis s jakoukolvi adresou na jakekoliv cilove misto - ti budou nuceni svuj pristup revidovat a pripadne soucasne filtry odstranit, protoze bude nutne dovolit komukoliv posilat postu kamkoliv.

Da se cekat, ze po prechodne obdobi, ktere ale bude trvat VELICE dlouho bude posilani SPAMu jeste jednodussi nez dosud - filtry lokalnich siti uz budou muset byt odstraneny, ale vetsina serveru nebude jeste specialni zaznamy pouzivat.

Jedine co muzete udelat je zadefinovat seznam povolenych serveru jako 0.0.0.0/0 nebo nedefinovat seznam zadny - pak budete moci i nadal posilat postu odkudkoliv. Ovsem je velmi pravdepodobne, ze az pak nekdo bude posilat postu s padelanou vasi odesilajici adresou - a vy nakrasne zjistite, kdo to je a kde je pripojen, tak vam tamni ISP odpovi, ze dotycny si pravo "delat cokoliv" radne plati (a oc jineho nez o penize jde ?) a jestli se vam to nelibi, tak si ho blokujte sam. Vas jeho penize nezivi, vy muzete - tak proc by si palil prsty onen ISP, ze ...

Cca posledních 14 dní někdo rozesílá předpokládám statisíce až milióny spamů všeho druhu s vygenerovanými jmény a bohužel naší doménou, např. c_delgado_kr@gsm4u.cz, kboucher_ae@gsm4u.cz a pod.
Počet rozeslaných spamů (napočítal jsem už přes 35 zemí adresátů) odhaduji podle toho, že nám DENNĚ přijde do doménového koše až TISÍC vrácených e-mailů od "chytrých" antispamových filtrů, které posíláním odpovědí pouze zdvojnásobují už tak spamery zahlcený e-mailový provoz.
Pokud jsem aktivitu Microsoftu správně pochopil, po jejím zavedení by se tohle teoreticky (do rozlousknutí nějakými hackery) nemohlo stávat, což bych velmi přivítal.
Češi doufám pochopí, že náš mobilní server Viagru a spol. anglicky psanými e-maily nenabízí, ale příjemci v zahraničí už naši doménu musí pěkně proklínat.
Ví někdo, zda se proti tomu falšování domény odesílatele vůbec lze nějak bránit?

Ví někdo, zda se proti tomu falšování domény odesílatele vůbec lze nějak bránit?

Pokud jste spravcem Vaseho MTA, pak nas urcite jen laskovne zkousite - odpoved preci kazdy s jen trochou znalosti SMTP protokolu zna sam. Pokud spravcem MTA nejste, pak je otazka, proc se nezeptate jeho a ptate se takhle - nicmene, proc ne. Odpoved na vasi otazku zni "NE", email neobsahuje zadny overeny udaj o identite odesilatele a kazdy si tam muze napsat uplne co chce. A to snad kazdy vi take. I naprosto laicke uzivatel snad jejich spravce poucil, ze adresa odesilatele nerika naprosto nic a nelze ji brat prilis vazne. Jestli Vam tohle vas spravce nerekl, mozna byste meli zjistit proc - a co dalsiho duleziteho vam zamlcel ...

Díky Vám Dane za odpověď, kterou jsem sice instinktivně tušil, ale proč se raději nezeptat zde přítomných odborníků, že?
Správce MTA asi nejsem, a přiznám se že ani netuším o co jde. Přestože využíváme již pátým rokem služeb největších (solidních) českých webhostingů, nikdy mi žádného "správce MTA" nepředstavili, ale poptám se zda ho mají a jestli by mi nechtěl něco sdělit ;-)
Možná zapomínáte, že sem na Lupu občas zabrousí i člověk mimo Váš obor, který si prostě jen zaplatí doménu včetně e-mailů a o nic víc dál se nestará, neb na to nemá čas.
Stejně tak věřím, že existují milióny uživatelů freemailových služeb, kteří nejsou poučení naprosto o ničem a narozdíl ode mne ani neví, že jde e-mailová adresa zfalšovat, takže budou na 100% proklínat naši doménu.
Pokud by pak nějaké celosvětové seznamy spamerů neřídili (přemýšlející) lidé ale třeba jen automat, řídící se počtem stížností na "spamera" jako my, mohlo by se docela klidně stát, že by nebyly doručeny ani naše čtenáři vyžádané e-maily. Četl jsem totiž kdysi, že dostat svou doménu ze seznamu spamerů je dost obtížné a zdlouhavé, pokud se to mezitím nezměnilo.

MTA (Mail Transfer Agent) je server prenasejici postu. Vas se nejvice tyka "ten posledni", na kterem posta pro vas konci. Ten ma nejake konkretni nastaveni, ktere udelal jeho spravce. Z odkazu na "webhosting" jsem vytusil, ze ke sve postovni schrance patrne pristupujete vyhradne pres WWW, nicmene, to na veci nic nemeni. I tak je tam postovni server, ktery na nejaka pravidla. Pokud je ten, kdo vam sluzbu emailu (vcetne jeho WWW rozhrani) opravdu solidni, pak automaticky predpokladam, ze vam ke sluzbe poskytnul nejaky cesky a dostatecne pochopitelny navod - a skoro bych se vsadil, ze v nem tuhle informaci najdete (tedy, pokud je poskytovatel sluzby opravdu solidni).

Ale nebojte se - nezapomel jsem, ze krome lidi postizenych IT existuji i lide normalni. Vsak jsem vam take odpoved poskytnul - ale snazil jsem se, krome toho, rict, ze jestlize nevite toto, pak patrne nevite i spoustu dalsich veci (tim nemyslim ty odborne - je spousta rozumnych pravidel tykajicich se emailu, jejichz znalost, nebo alespon vedomi, ze existuji, je velmi uzitecna pro kazdeho, kdo email pouziva) - a mohl byste shledat zajimavym si takove veci zjistit. Kontaktovat vaseho spravce emailu mi pripadalo jako nejprirozenejsi cesta. Poskytnout vam vsechny informce tady neni mozne - jednak nevim, co vite, jednak je to prilis rozsahle ...

Co se tyce automatizovanych seznamu - nekde po ceste musi byt rozumny clovek. Automatizovane seznamy mohou byt brany jako urcity podklad. Nelze je prebirat automaticky a mechanicky. Rozumny spravce je s problematikou samozrejme seznamen a neco takoveho pochoptelne neudela. Nicmene, spravce MTA muze delat kazdy a tak se lze setkat i s jinym pristupem. Na druhou stranu, je volbou kazdeho, od koho si nechava spravovat svuj email - a neni-li spravce dostatecne erudovany, nebo, nevyhovuje-li z jinych duvodu, je treba zmenit bud' jeho nebo prejit k nekomu jinemu. To al enemuzete nijak ovlivnit vy, co se tyce vasich dopisu, ktere se nedostaly nejakemu adresatovi kvuli nastavenim jeho spravce. Nicmene, pokdu prijemci na prijimani dopisu opravdu zalezi, melo by i jen nekolik malo podobnych pripadu stacit na to, aby to zacal resit on. Vy to resit, krome toho, ze prijemce nejak informujete o vzniklych potizich, v zadnem pripade nemuzete - a ani za vznikly problem nijak nemuzete ...

No, pokud jsem celou zalezitost se SenderID pochopil spravne, prave SenderID by melo resit otazku pana kolegy. Pri cteni clanku se vsak nemohu zbavit pocitu, ze je tu popisovana uplne jina technologie, nez za kterou jsem Sender ID (resp. Sender Policy Framework) povazoval, takze kdo vi... Treba zminka o vypocetne narocnych operacich pred odeslanim zpravy mi pripada jako neco uplne jineho (HashCash).

Technicky vzato myslim v SenderID nejde o nic jineho, nez spolehlive identifikovat odesilaci server. Takze skutecne nejde o antispam a neresi to otazku zavirovanych pocitacu, ktere se spravne autentikuji do "sveho" MTA a vyuziji jej pro odesilani spamu, viru... Tak se prenese odpovednost dost silne prave spravce MTA, protoze oni maji nastroje k detekci a potlacovani podobnych aktivit svych uzivatelu.

Ve zkratce - pokud mi do me domeny "A" prichazi zprava z domeny "B", mohu jiz v okamziku jejiho prijmu zjistit, ze ji ve skutecnosti neposila opravneny server a komunikaci ukoncit. Nic vic, nic min. Takze SenderID enabled prijimaci server muze overit, zda tu viagru odesila skutecne dana domena, pokud je ovsem take SenderID ebnabled. A to je pro mne jako spravce MTA velmi dobre.

Skoro bych rekl, ze v tomto foru je technologie odmitana principialne, protoze nese jiste znamky Microsoftizace. To je skoda, protoze fanatismus neni nikomu prospesny.

Hacek to ma. Email se neodesila "z domeny". Neni v zasade zadny duvod (pokud ho prave ted nedefinujeme jako novinku) aby "misto odeslani" nejak souviselo s adresou, ktera je uvedena jako zpatecni. Samozrejme, ze u mnoha lidi k tomu dochazi, ale u mnoha nikoliv. Ja napriklad, bez ohledu na zpusob pripojeni (a tedy ISP) ctu postu IMAPem a odesilam ji pres SMTP server toho ISP, ke kteremu se prave pripojuji (tak je to v poradku). Nemuzu nijak dopredu rict z jake IP adresy se pripojim odpoledne nebo zitra. Podle meho, vic nez identifikaci odesilatele potrebujeme univerzalni identifikaci mista, ze ktereho byla posta odeslana. A odpovedneho spravce teto site. Ostatne, totez potrebujeme ve spouste jinych pripadu (DoS utoky a scanovani zejmena), takze by to byl univerzalnejsi prostredek nez identifikace odesilateel jako takoveho. Ale rozumim tomu, ze identifikace odesilatele je lakava. Kvuli Internetu ji sice nepotrebujeme az tolik, ale pomuze nam lepe honit teroristy, pedifily a jine podezrele zivly. Takze predpokladam, ze podporovan bude, nakonec, preci jen tento smer ...

Vite, osobne to beru asi tak, ze nemohu mit uplne vsechno - nemohu zajistit vsechno co popisujete a pritom zadat maximalni ochranu proti spamu. Napriklad - jsem ochoten se smirit s tim, ze moji postu bude odesilat pouze muj server (moje servery) a prestanu vyuzivat smtp isp. Ostatne - takto to uz hodne dlouho delam a mohl bych argumentovat i radou jinych duvodu, napriklad spolehlive zasifrovani smtp komunikace (spolehlive = mam ho pod kontrolou), pozadavek na archivaci odchozi posty...Navic, pokud se podivate do definice SPF, zjistite, ze zde lze definovat i servery nalezici do jinych domen, nez do vasi, takze napriklad vase isp... ale chapu, ze je to ponekud tezkopadnejsi, zvlaste pokud hodne cestujete.
Jeste jednou - ja se rad vzdam moznosti odesilat postu pres ruzne isp, protoze tato moznost myslim dnes zcela postrada puvodni poezii a spise problemy pridava, nez odebira. Pokud za to ziskam pomerne kvalitnejsi moznost identifikace prichoziho spamu a pokud jste SenderID nekdy videl v chodu, vite sam, kolik spamu to vychyta uz ted, byt to "neni antispamova kontrola".
Navic SPF neni, opakuji NENI o identifikaci odesilatele. Je o identifikaci MISTA ODESLANI, protoze cele je to pouze o definici typu "postu z domeny xyz.cz smi odeslat pouze servery mx1.xyz.cz a mx2.xyz.cz". Neni to tim, co jste psal, ze chcete?
Nejsem specialista na SPF a na veci ktere jsou s timto spojene, ale rekl bych, ze autor clanku smichal dohromady celou radu veci, mozna dokonce bez hlubsi znalosti problematiky. Nebo mozna ne a nemam pravdu ja, ale kouknete se na http://spf.pobox.com/wizard.html?mydomain=obluda.cz, uvidite sam, o cem to je.
Neni mi jasne, co vlastne by na tomto principu slo patentovat, takze se prilis nebojim ani toho, ze to cele MS pojme do sebe a bude "vladnout". Rekl bych, ze zaznam do DNS patentovat nelze a stejne tak lookup na nej. Mozna logo na krabici s MTA, ze je SenderID compliant? Bez toho vsichni prezijeme.

AOL odmítla technologii Sender ID, protoře prý není kompatibilní se SPF (Sender Policy Framework), takže v tom asi něco bude.

To neni vec, ktera by se dala vyresit diskusi. To je rozdil filosifii a zebricku hodnot. Ja si myslim, ze obdobneho vysledku by se dalo dosahnout, kdyby bylo zrejme mapovani "ktera IP je opravnena pouzit ktery SMTP server". Tim by nebylo nutne zlikvidovat robusnost systemu odesilani posty, pricemz by bylo dosazeno obdobnych vysledku jako se SPF. Ja vychazim z toho, ze, neda se nic delat, ten, kdo komukoliv umoznuje pripojeni do site Internet musi zajistit dodrzovani urcitych pravidel (napriklad, ze jeho site nebudou odesilany pakety s podvrzenou zdrojovou IP, ze jeho uzivatele nebudou zahlcovat jeho ani jine site a pod.). Pridat k temto vecem uz jen drobnost - pozadovat od uzivatelu i dodrzovani urcitych pravidel emailoveho styku, je uz jen kvantitativni, nikoli kvalitativni skok.

SPF naprosti tomu je technologie zbavujici toho, kdo pripojeni poskytuje, odpovednosti - vzdy si (nekdo jiny) mel spravne nastavit SPF zaznamy, takze neni nejmensi duvod uzivatele (ostatne, oni mi plati a zivi me) nutit dodrzovat jakakoliv pravidla. Kdo zaplati, at si dela z me site co chce. Branit se musi ostatni, pokud maji zajem.

To nepovazuji za stastne - ale SPF prave z tohoto pohledu na problem vychazi. Ja SPF nepovazuji za dobre reseni, protoze podle me zavadi sice na prvni pohled libivy, ale v dlouhodobem dusledku nebezpecny precedent. A uz vubec se mi nechce kvuli ni cokoliv obetovat, kdyz si myslim, ze obdobneho vysledku se da dosahnout i bez toho.

Nicmene, to je skutecne rozdil v zebriccich hodnot. A ja respektuju to, ze muj nazor je mensinovy.

"....odesílam ji pres SMTP server toho ISP, ke kteremu se prave pripojuji (tak je to v poradku)...." To právě není v pořádku. Aby se zabránilo SPAMům, musí každý takový server zkontrolovat, zda adresa odesílatele souhlasí s účtem na tomto serveru (ověření heslem). To by pro identifikaci spammera úplně stačilo...
Proč to správci MTA nedělají nevím, asi jsou to taky spammeři :-)))

Asi uz nejsem az tak mlady, abych slovo "musi" pouzival s takovou lehkosti jako to delate vy ...

Hura...

http://news.zdnet.com/2100-1009_22-5380029.html?tag=zdfd.newsfeed