Vlákno názorů k článku Apache a Debian: lék na spam od Microsoftu šířit nebudeme od Jarek Jesenský - Cca posledních 14 dní někdo rozesílá předpokládám statisíce...

Cca posledních 14 dní někdo rozesílá předpokládám statisíce až milióny spamů všeho druhu s vygenerovanými jmény a bohužel naší doménou, např. c_delgado_kr@gsm4u.cz, kboucher_ae@gsm4u.cz a pod.
Počet rozeslaných spamů (napočítal jsem už přes 35 zemí adresátů) odhaduji podle toho, že nám DENNĚ přijde do doménového koše až TISÍC vrácených e-mailů od "chytrých" antispamových filtrů, které posíláním odpovědí pouze zdvojnásobují už tak spamery zahlcený e-mailový provoz.
Pokud jsem aktivitu Microsoftu správně pochopil, po jejím zavedení by se tohle teoreticky (do rozlousknutí nějakými hackery) nemohlo stávat, což bych velmi přivítal.
Češi doufám pochopí, že náš mobilní server Viagru a spol. anglicky psanými e-maily nenabízí, ale příjemci v zahraničí už naši doménu musí pěkně proklínat.
Ví někdo, zda se proti tomu falšování domény odesílatele vůbec lze nějak bránit?

Ví někdo, zda se proti tomu falšování domény odesílatele vůbec lze nějak bránit?

Pokud jste spravcem Vaseho MTA, pak nas urcite jen laskovne zkousite - odpoved preci kazdy s jen trochou znalosti SMTP protokolu zna sam. Pokud spravcem MTA nejste, pak je otazka, proc se nezeptate jeho a ptate se takhle - nicmene, proc ne. Odpoved na vasi otazku zni "NE", email neobsahuje zadny overeny udaj o identite odesilatele a kazdy si tam muze napsat uplne co chce. A to snad kazdy vi take. I naprosto laicke uzivatel snad jejich spravce poucil, ze adresa odesilatele nerika naprosto nic a nelze ji brat prilis vazne. Jestli Vam tohle vas spravce nerekl, mozna byste meli zjistit proc - a co dalsiho duleziteho vam zamlcel ...

Díky Vám Dane za odpověď, kterou jsem sice instinktivně tušil, ale proč se raději nezeptat zde přítomných odborníků, že?
Správce MTA asi nejsem, a přiznám se že ani netuším o co jde. Přestože využíváme již pátým rokem služeb největších (solidních) českých webhostingů, nikdy mi žádného "správce MTA" nepředstavili, ale poptám se zda ho mají a jestli by mi nechtěl něco sdělit ;-)
Možná zapomínáte, že sem na Lupu občas zabrousí i člověk mimo Váš obor, který si prostě jen zaplatí doménu včetně e-mailů a o nic víc dál se nestará, neb na to nemá čas.
Stejně tak věřím, že existují milióny uživatelů freemailových služeb, kteří nejsou poučení naprosto o ničem a narozdíl ode mne ani neví, že jde e-mailová adresa zfalšovat, takže budou na 100% proklínat naši doménu.
Pokud by pak nějaké celosvětové seznamy spamerů neřídili (přemýšlející) lidé ale třeba jen automat, řídící se počtem stížností na "spamera" jako my, mohlo by se docela klidně stát, že by nebyly doručeny ani naše čtenáři vyžádané e-maily. Četl jsem totiž kdysi, že dostat svou doménu ze seznamu spamerů je dost obtížné a zdlouhavé, pokud se to mezitím nezměnilo.

MTA (Mail Transfer Agent) je server prenasejici postu. Vas se nejvice tyka "ten posledni", na kterem posta pro vas konci. Ten ma nejake konkretni nastaveni, ktere udelal jeho spravce. Z odkazu na "webhosting" jsem vytusil, ze ke sve postovni schrance patrne pristupujete vyhradne pres WWW, nicmene, to na veci nic nemeni. I tak je tam postovni server, ktery na nejaka pravidla. Pokud je ten, kdo vam sluzbu emailu (vcetne jeho WWW rozhrani) opravdu solidni, pak automaticky predpokladam, ze vam ke sluzbe poskytnul nejaky cesky a dostatecne pochopitelny navod - a skoro bych se vsadil, ze v nem tuhle informaci najdete (tedy, pokud je poskytovatel sluzby opravdu solidni).

Ale nebojte se - nezapomel jsem, ze krome lidi postizenych IT existuji i lide normalni. Vsak jsem vam take odpoved poskytnul - ale snazil jsem se, krome toho, rict, ze jestlize nevite toto, pak patrne nevite i spoustu dalsich veci (tim nemyslim ty odborne - je spousta rozumnych pravidel tykajicich se emailu, jejichz znalost, nebo alespon vedomi, ze existuji, je velmi uzitecna pro kazdeho, kdo email pouziva) - a mohl byste shledat zajimavym si takove veci zjistit. Kontaktovat vaseho spravce emailu mi pripadalo jako nejprirozenejsi cesta. Poskytnout vam vsechny informce tady neni mozne - jednak nevim, co vite, jednak je to prilis rozsahle ...

Co se tyce automatizovanych seznamu - nekde po ceste musi byt rozumny clovek. Automatizovane seznamy mohou byt brany jako urcity podklad. Nelze je prebirat automaticky a mechanicky. Rozumny spravce je s problematikou samozrejme seznamen a neco takoveho pochoptelne neudela. Nicmene, spravce MTA muze delat kazdy a tak se lze setkat i s jinym pristupem. Na druhou stranu, je volbou kazdeho, od koho si nechava spravovat svuj email - a neni-li spravce dostatecne erudovany, nebo, nevyhovuje-li z jinych duvodu, je treba zmenit bud' jeho nebo prejit k nekomu jinemu. To al enemuzete nijak ovlivnit vy, co se tyce vasich dopisu, ktere se nedostaly nejakemu adresatovi kvuli nastavenim jeho spravce. Nicmene, pokdu prijemci na prijimani dopisu opravdu zalezi, melo by i jen nekolik malo podobnych pripadu stacit na to, aby to zacal resit on. Vy to resit, krome toho, ze prijemce nejak informujete o vzniklych potizich, v zadnem pripade nemuzete - a ani za vznikly problem nijak nemuzete ...

No, pokud jsem celou zalezitost se SenderID pochopil spravne, prave SenderID by melo resit otazku pana kolegy. Pri cteni clanku se vsak nemohu zbavit pocitu, ze je tu popisovana uplne jina technologie, nez za kterou jsem Sender ID (resp. Sender Policy Framework) povazoval, takze kdo vi... Treba zminka o vypocetne narocnych operacich pred odeslanim zpravy mi pripada jako neco uplne jineho (HashCash).

Technicky vzato myslim v SenderID nejde o nic jineho, nez spolehlive identifikovat odesilaci server. Takze skutecne nejde o antispam a neresi to otazku zavirovanych pocitacu, ktere se spravne autentikuji do "sveho" MTA a vyuziji jej pro odesilani spamu, viru... Tak se prenese odpovednost dost silne prave spravce MTA, protoze oni maji nastroje k detekci a potlacovani podobnych aktivit svych uzivatelu.

Ve zkratce - pokud mi do me domeny "A" prichazi zprava z domeny "B", mohu jiz v okamziku jejiho prijmu zjistit, ze ji ve skutecnosti neposila opravneny server a komunikaci ukoncit. Nic vic, nic min. Takze SenderID enabled prijimaci server muze overit, zda tu viagru odesila skutecne dana domena, pokud je ovsem take SenderID ebnabled. A to je pro mne jako spravce MTA velmi dobre.

Skoro bych rekl, ze v tomto foru je technologie odmitana principialne, protoze nese jiste znamky Microsoftizace. To je skoda, protoze fanatismus neni nikomu prospesny.

Hacek to ma. Email se neodesila "z domeny". Neni v zasade zadny duvod (pokud ho prave ted nedefinujeme jako novinku) aby "misto odeslani" nejak souviselo s adresou, ktera je uvedena jako zpatecni. Samozrejme, ze u mnoha lidi k tomu dochazi, ale u mnoha nikoliv. Ja napriklad, bez ohledu na zpusob pripojeni (a tedy ISP) ctu postu IMAPem a odesilam ji pres SMTP server toho ISP, ke kteremu se prave pripojuji (tak je to v poradku). Nemuzu nijak dopredu rict z jake IP adresy se pripojim odpoledne nebo zitra. Podle meho, vic nez identifikaci odesilatele potrebujeme univerzalni identifikaci mista, ze ktereho byla posta odeslana. A odpovedneho spravce teto site. Ostatne, totez potrebujeme ve spouste jinych pripadu (DoS utoky a scanovani zejmena), takze by to byl univerzalnejsi prostredek nez identifikace odesilateel jako takoveho. Ale rozumim tomu, ze identifikace odesilatele je lakava. Kvuli Internetu ji sice nepotrebujeme az tolik, ale pomuze nam lepe honit teroristy, pedifily a jine podezrele zivly. Takze predpokladam, ze podporovan bude, nakonec, preci jen tento smer ...

Vite, osobne to beru asi tak, ze nemohu mit uplne vsechno - nemohu zajistit vsechno co popisujete a pritom zadat maximalni ochranu proti spamu. Napriklad - jsem ochoten se smirit s tim, ze moji postu bude odesilat pouze muj server (moje servery) a prestanu vyuzivat smtp isp. Ostatne - takto to uz hodne dlouho delam a mohl bych argumentovat i radou jinych duvodu, napriklad spolehlive zasifrovani smtp komunikace (spolehlive = mam ho pod kontrolou), pozadavek na archivaci odchozi posty...Navic, pokud se podivate do definice SPF, zjistite, ze zde lze definovat i servery nalezici do jinych domen, nez do vasi, takze napriklad vase isp... ale chapu, ze je to ponekud tezkopadnejsi, zvlaste pokud hodne cestujete.
Jeste jednou - ja se rad vzdam moznosti odesilat postu pres ruzne isp, protoze tato moznost myslim dnes zcela postrada puvodni poezii a spise problemy pridava, nez odebira. Pokud za to ziskam pomerne kvalitnejsi moznost identifikace prichoziho spamu a pokud jste SenderID nekdy videl v chodu, vite sam, kolik spamu to vychyta uz ted, byt to "neni antispamova kontrola".
Navic SPF neni, opakuji NENI o identifikaci odesilatele. Je o identifikaci MISTA ODESLANI, protoze cele je to pouze o definici typu "postu z domeny xyz.cz smi odeslat pouze servery mx1.xyz.cz a mx2.xyz.cz". Neni to tim, co jste psal, ze chcete?
Nejsem specialista na SPF a na veci ktere jsou s timto spojene, ale rekl bych, ze autor clanku smichal dohromady celou radu veci, mozna dokonce bez hlubsi znalosti problematiky. Nebo mozna ne a nemam pravdu ja, ale kouknete se na http://spf.pobox.com/wizard.html?mydomain=obluda.cz, uvidite sam, o cem to je.
Neni mi jasne, co vlastne by na tomto principu slo patentovat, takze se prilis nebojim ani toho, ze to cele MS pojme do sebe a bude "vladnout". Rekl bych, ze zaznam do DNS patentovat nelze a stejne tak lookup na nej. Mozna logo na krabici s MTA, ze je SenderID compliant? Bez toho vsichni prezijeme.

AOL odmítla technologii Sender ID, protoře prý není kompatibilní se SPF (Sender Policy Framework), takže v tom asi něco bude.

To neni vec, ktera by se dala vyresit diskusi. To je rozdil filosifii a zebricku hodnot. Ja si myslim, ze obdobneho vysledku by se dalo dosahnout, kdyby bylo zrejme mapovani "ktera IP je opravnena pouzit ktery SMTP server". Tim by nebylo nutne zlikvidovat robusnost systemu odesilani posty, pricemz by bylo dosazeno obdobnych vysledku jako se SPF. Ja vychazim z toho, ze, neda se nic delat, ten, kdo komukoliv umoznuje pripojeni do site Internet musi zajistit dodrzovani urcitych pravidel (napriklad, ze jeho site nebudou odesilany pakety s podvrzenou zdrojovou IP, ze jeho uzivatele nebudou zahlcovat jeho ani jine site a pod.). Pridat k temto vecem uz jen drobnost - pozadovat od uzivatelu i dodrzovani urcitych pravidel emailoveho styku, je uz jen kvantitativni, nikoli kvalitativni skok.

SPF naprosti tomu je technologie zbavujici toho, kdo pripojeni poskytuje, odpovednosti - vzdy si (nekdo jiny) mel spravne nastavit SPF zaznamy, takze neni nejmensi duvod uzivatele (ostatne, oni mi plati a zivi me) nutit dodrzovat jakakoliv pravidla. Kdo zaplati, at si dela z me site co chce. Branit se musi ostatni, pokud maji zajem.

To nepovazuji za stastne - ale SPF prave z tohoto pohledu na problem vychazi. Ja SPF nepovazuji za dobre reseni, protoze podle me zavadi sice na prvni pohled libivy, ale v dlouhodobem dusledku nebezpecny precedent. A uz vubec se mi nechce kvuli ni cokoliv obetovat, kdyz si myslim, ze obdobneho vysledku se da dosahnout i bez toho.

Nicmene, to je skutecne rozdil v zebriccich hodnot. A ja respektuju to, ze muj nazor je mensinovy.

"....odesílam ji pres SMTP server toho ISP, ke kteremu se prave pripojuji (tak je to v poradku)...." To právě není v pořádku. Aby se zabránilo SPAMům, musí každý takový server zkontrolovat, zda adresa odesílatele souhlasí s účtem na tomto serveru (ověření heslem). To by pro identifikaci spammera úplně stačilo...
Proč to správci MTA nedělají nevím, asi jsou to taky spammeři :-)))

Asi uz nejsem az tak mlady, abych slovo "musi" pouzival s takovou lehkosti jako to delate vy ...