Názory k článku Nepoužívejte IP blacklisty! (2.)

ja mam za tuto cenu 500kbps internet a mam aj vlastnu IP-cku :)))

Dobrý den.Jmenuju se Kristýnka

Oni ty nedoručenky mají ke srozumitelnosti pro BFU hodně daleko.

Evidentne to zbytecne neni. Na neco jste si stezoval.

Klidne bychom ji mit mohli, ale je to zbytecne, nevyuzijeme ji. A na rychlost si nestezuji, lita to pekne. :-)

K.

Protoze plnohodnotna pripojka k Internetu se vyznacuje tim, ze disponuje vlastni IP adresou (ktera neni z rozsahu definovanem RFC1918).

mimochodem, gratuluji k cene - za 400 kacek poridit pripojeni mezi 5-6 Mb/s je skutecne dobre. To uz to nemusi byt ani Internet :-)

A co je na takovem Internetu neplnohodnotneho? Vy snad mate Internet, kde se prubezne stahuje 500-800KB/s za cca 400,-Kc mesicne? A proc bych mel mit verejnou IP adresu, kdyz ji nepotrebuji? Aspon nase firma neni vystavena utokum z Internetu.

... a proc nemate plnohodnotne pripojeni k Internetu? Takove pripojeni se, mimo dalsi, vyznacuje tim, ze kazdy pocitac ma svoji IP adresu :-)

DD.

Ja je take nemam rad. :-)
Jelikoz jsme pripojeni pres mistni wifi sit, tak jsme na siti s cca dalsimi tisici uzivateli.
Jednou za cas se nejakemu uzivateli zaviruje pocitac a zacne chrlit tisice mejlu do sveta pres verejnou IP adresu poskytovatele. Samozrejme se tato IP adresa dostala na nejaky black list.
Jenze te black list pouziva nas dodavatel a my jsme s nim najednou nemohli komunikovat.
Provizorni rychle reseni? Skript na serveru, ktery v odesilane zprave vymeni IP adresu a komunikace muze pokracovat. :-) Tim chci naznacit, ze toto muze udelat kazdy.

Karel

Pripoustim, ze kdo chce psa bit, hul si na to najde, ale pokud ta historka opravdu je ze zivota, pak nejvice ze vseho vypovida o schopnostech IT managementu te firmy. Pokud se o tom, ze jejich domena je na blacklistu drive, nez IT, dozvedelo jeji nejuzssi vedeni, pak to je taky (mozna spis hlavne) o tom, jak to IT ma pod kontrolou a pak kdyz dojde na lamani chleba, jak to dokaze hodit na blondynu ze sekretu, ktera vubec netusi o cem to je.

Vyhozeni te slecny nic nevyresi, nezaruci nikomu, ze nektera jeji kolegyne neudela za nejakou dobu totez, jako CEO bych spis zvazil vyhozeni nekoho, kdo ma za ukol vnejsi komunikaci hlidat a sledovat jeji bezpecnostni rizika.

Krome toho, uz mimo to tema o te slecne, presvedcovat nekoho aby nepouzival blacklisty je sice jednodussi, nez si hlidat, abych se na ne nedostal, ale obavam se, ze ani tech par lidi, co si tento kratky serial precetlo, to nepresvedcilo a BL budou pouzivat dal. Takze pokud nechcete zbytecne prijit o jedinecnou a uz nikdy neopakovatelnou nabidku nekoho, kdo si nedokaze zajistit, aby na BL nebyl, BL radeji nepouzivejte, ale pokud chcete, aby vase komunikace byla opravdu spolehliva, radil bych, narozdil od autora serialu, delat vsechno pro to, abyste na BL nikdy nebyli.

No, podle mého názoru je to hlavně o správném výběru blacklistů - které mají filtrovat jen takové adresy, které jsou z TECHNICKÉHO hlediska nepřijatelnými zdroji "pošty" - např. IP adresy z dynamicky přidělovaných rozsahů, resp. dial-upů (z těch nemá za žádných okolností kdo co posílat - žádné "výjimky" prostě neexistují - zkrátka a dobře, nemohou být za ŽÁDNÝCH okolností regulérními zdroji pošty).

Je samozřejmě proto nesmysl vybrat např. kompozitní blacklist dnsbl.sorbs.net, a tvrdit, jak má SORBS mizernou úspěšnost, když jsou do něj zahrnuty i blacklisty, které filtrují např. IP adresy serverů, které jsou "oficiálními zdroji" el. pošty, jsou technicky správně zkonfigurovány, ale nabízejí možnost zneužití při obvyklém použití (např. freemaily). Klíč je právě ve výběru blacklistů - nikdo neudělá chybu, když bude filtrovat dial-upy. Problémem samozřejmě zůstává aktualizace takovýchto blacklistů, které nejsou nikdy vytvářeny plnoautomatickým postupem, a RIRy nedefinují povinnost každému providerovi definovat IP rozsahy, které budou dynamicky přiřazované (resp. používané pro zákazníky z řad domácností), nebo IP adresy všech oficiálních mailserverů... Faktem však je, že ke změnám ve využití přidělených IP rozsahů dochází spíše zřídka a změny zvládne zpracovat i 1 osoba spravující blacklist...

Sám blacklisty na bráně používám již nějaký rok, a jejich účinnost se pohybuje někde kolem 66-75 procent. Bez nich by byl život prakticky nesnesitelný. Za celou dobu používání jsem měl cca 3 případy, kdy bylo nutno přidat do whitelistu výjimku na konkrétní IP adresu. E-maily jsou, pokud jde o blacklisty, zamítány na SMTP úrovni, tzn. odesilatel je v tomto případě vždy informován, že e-mail nebyl doručen, a proč.

A mimochodem, bayes zcela určitě NENÍ dobrou volbou pro poštovní brány zpracovávající desítky tisíc e-mailů denně - jde o nedeterminičnost procesu, kterým se určuje, co se má filtrovat, a co ne - já mohu jako admin bayesu na bráně "naučit" místní bayes odmítat i takové zprávy, které někdo považuje za regulérní obchodní sdělení, a jiný již za spam. Bayes je ale vynikající řešení pro koncové uživatele - každý si definuje svou vlastní politiku ve svém poštovním klientovi, a v kombinaci s blacklisty na poštovní bráně je to prakticky ideální řešení, protože kontrolovat ve složce "SPAM" 5 e-mailů týdně a 100 e-mailů denně je zatraceně velký rozdíl, který každý uživatel pozná...

Se ani nedivim, ze jim to nefunguje co by jsi od nich mohl cekat, jim trva vsechno od platebnich prikazu az po opraveni Internet Bankingu. Proste banka na nic.

Tak o tom napiš. Viděl jsem to TV a jsem rád, že nejsem jejich klient.

Takový ptákoviny tu řešíte, ale že České spořitelně už téměř týden nefunguje vůbec online banking a odkonce vypnuli i infolinku o tom nikde ani slovo....

Prominte lamce:
mam e-mailovou schranku na UPC, ve tvaru xxxx@chello.cz, a chodi mi tam denne asi 50 spamu. Kdyz jsem se informoval na infolince, doporucili mi, abych si postu preposilal na jinou adresu, ze jejich antispamove filtry nefunguji. Muze mi nekdo z mistnich odborniku poradit? Nebo je to znamy problem s kabelovkou? Predem diky a omlouvam se , ze ukradam cas guru.

Nepřispívá.

Je věcí uživatelů, jestli mail uvedou čitelný, s nějakou obfuskací, nebo neuvedou vůbec.

Zná ještě někdo nějaké dobré veřejné BL? Dobrý = BL ve kterém figurují české freemaily/freeISP jen zřídkakdy.

Blokovat se odvažuji pouze podle:
sbl.spamhaus.org
rhsbl.sorbs.net
relays.ordb.org
dynablock.easynet.nl
a hlavně
cbl.abuseat.org (ten mi pomáhá nejvíce)

Používám Caller-ID, pokud je to správně nakonfigurováno tak žádná chybovost snad ani být nemůže.

[21/May/2005 12:32:15] Caller-ID check failed: IP address 62.183.70.5 is not allowed to send mail from domain mail.ru
[22/May/2005 13:13:01] Caller-ID check failed: IP address 66.202.96.91 is not allowed to send mail from domain hotmail.com
[23/May/2005 14:39:47] Caller-ID check failed: IP address 212.65.244.226 is not allowed to send mail from domain [24/May/2005 08:05:39] Caller-ID check failed: IP address 212.71.157.53 is not allowed to send mail from domain quick.cz

Mobilní a externí uživatelé se musí naučit používat pro odesílání pošty s firemní doménou firemní mailserver místo SMTP serveru jejich poskytovatele.

Ne, je naprosto realna, nebot jsem se ji ucastnil a delal jsem obhajce te slecny ze strany IT (pracujeme pro stejneho zamestnavatele). Z duvodu strucnosti jsem vynechal takove veci jako komunikaci mezi ruznymi Security Officery, memoranda konstatujici shrnujici prubeh celeho incidentu atd.

To ze byla domena se 60.000 ucty na blacklistu samozrejme okamzitou komunikaci neohrozilo, to je patrne z toho ze se na to prislo az za nekolik mesicu.

Ono to cele popisuje spise politicke a personalni dusledky nez technicke detaily. Pokud by cely problem zustal mezi administratory, nic by se nedelo. V okamziku kdy se do veci vlozil francouzsky CIO, tak uz bohuzel neslo skoro nic delat.

No ono pouzivani techto seznamu s tak anarchistickym pojetim spravy mi v komercnim prostredi vubec neprijde jako dobry napad...:-0

Tam ale byl hlavnim podvodnikem soudni znalec, ktery absloutne nerozumnel problematice.
(A samozrejme take obhajce, ktery nezpochybnil to, ze za soudniho znalce nejspise vypracoval tendencni posudek jeho syn absolvujici zrovna zkousku z internetu. - Prave na internetu to slo vse vyhledat!)

Dik za radu. Ja jsem na to cekal u postfixu hrozne dlouho a uz
jsem v to ani nedoufal.

Zdravim,
mate nekdo zkusenosti s blokovanim mailu pomoci SPF framework? Zajimala by me ucinnost a chybovost teto technologie.

Presne ten. Jadro pudla bylo bezpochyby jinde, ale myslim, ze to docela dobre ilustruje, jak se soud postavi k nejakym dukazum z IT oblasti.
Predstava, ze kdyz mam log, ze musim vyhrat soud me proste rozesmala.

No zrovna SORBS (viz. posledni priklad zablokovani maillistu postfixu a nasledna arogance admina SORBSu) nebo Spamcop (bezne blokovani ISP/webhosteru...) mi neprijdou jako dobra volba...

O.

myslite ten pripad, ktery byl silene medializovany a pritom bylo jadro pudla (spis trest) nekde zcela jinde a za neco jineho, nez pomluva na nejakem foru?

A ted otázka pro chytré hlavy:

Přispívá server LUPA.CZ k šíření spamu, když zde ještě nejsou emaily, které tu na sebe uvádíme v takové podobě aby je NEMOHLI přečíst boti hledalící emaily ?

> Umi to i soucany postfix
...stejně jako qmail...;-)

Neni pravda, ze by to umel pouze sendmail. Umi to i soucany postfix (tzv. pre-queue filter).

Pokud to nejaky mta neumi, je trivialni pridat pred nej "antispamovou/virovou branu" ktera kontrolu provede a skutecne dorucovani necha na MTA. Takovych produktu existuje mnoho.

Uz si nepamatujete, jak se tedy psalo o tom pravnikovi, ktery byl za pomluvu odsouzen k verejnym pracem a zrejme bude muset nastoupit vykon trestu?

Prosim napiste mi presny duvod, proc ta historka podle vas neni pravdiva. Cemu tam neverite.
To, ze kdyz nedostanete odpoved na mail, tak pouzijete jiny prostredek (treba telefon) je normalni - tedy pokud po tom cloveku neco chcete a nedostal jste to mezitim jinde.

Jak vite, ze hned prvni dulezity nedoruceny mail, nebyl urgovan telefonatem a tak na to cele prislo? To, ze ten stav trval nekolik mesicu mohlo znamenat, ze 60 000 lidi proste nekolik mesicu nekomunikovalo s nikym, kdo pouziva nejaky konkretni blacklist. Jelikoz vetsinou komunikujete porad dokola se stejnymi lidmi, tak pokud se na to neprijde hned, tak to klidne muze par mesicu trvat.

V historce neni explicitne napsano, ze ta ohrozena zakazka byla mezi lidmi, kterym vzajemne nedosel mail. Spis jsem to pochopil, ze hrozilo, ze o zakazku prijde zamestnavatel te ucetni. A to proto, ze dostal nalepku nekoho kdo ohrozil bezpecnost a udelal prusvih.

To sou kecy, branit se je vzdy jak. Staci vytahnou logy a umlatit je argumenty.

Sam spolupracuji s CZ pobockou jisteho velkeho koncernu a jejich spravce IT je nejspis bohuzel naprosto neschopny idiot. Kuprikladu nainstalovat SQL server mu trvalo priblizne rok. Jejich MTA bezi na SW od M$ a nefunguji. MTA v domene CZ vraci mail na prokazatelne existujici adresu s tim, ze "Relaying denied", MTA v domene COM pro jistotu bud nema funkcni DNS zaznam nebo nebezi vubec.

BTW: Byt na miste te "pohadkove" slecny, tak dam zamestnavatele zalobu (a uspesne ji vyhraji).

V korporatnim prostredi jsem pomerne dlouho pracoval a z vlastni zkusenosti vim, ze zejmena tam elelktronicke komunikaci (presne z Vami popisovanch duvodu, tedy chovani BFU, neprofesionalita adminu, hledani vinika pokud mozno co nejniz, zatloukani vlastni viny a mnoha dalsich) temer nikdo neveri. Ta situace s tim telefonatem overujicim zda mail dorazil je (narozdil od popisovane historky) zejmena v tomto prostredi pomerne casta - dotazujici ten telefon neplati, tekze o tom moc nepremysli.

Tak pitomeho spravce ja take moc dobre znam, jako je popisujete v onech organizacich.
Zmeni se IP-adresa name-serveru, tak mne po mesici telefonuji, abych mu dosel rici, ze uz to ma doopravdy zmenit. - Ale mozna jde o tehoz cloveka. Vecne neni k sehnani - a 2 mesice netusi, jak mu chodi (vlastne) nechodi posta. (Postmastera sice ma, ale vsechnu postu z nej rovnou zahazuje. Proste komu dal Panbu rootu, tomu dal naveky i rozum.)

>Smesujete dve veci - zpusob klasifikace mailu a reakci na >spam. Jiste by se dal napsat bayesiansky filtr, ktery by >daval REJECT odpoved po prikazu DATA.

Bohuzel tohle moc nejde. Tohle umi zatim akorat sendmail,
zadny jiny mail daemon zatim miter rozhrani nema.
O sendmailu se zase rika, ze me bezp. problemy...

A i kdyby mel treba postfix milter rozhrani, tak stejne
muzete v "nedorucence" poslat max. jednu radku textu.
A tezko muzete nejakou "slecnu" nutit, aby se snazila pochopit
automaticky generovany mail.

Problem blacklistu je prave v tom, ze vam muze na hlavu spadnout hromada problemu, za ktere muze nekdo jiny.
A vy se proti tomu nemate jak branit.

Nemam tuseni, jestli je ta historka pravdiva, ale podle mych zkusenosti s korporatnim prostredim rozhodne pravdiva byt muze. Chovani BFU, neprofesionalita adminu, hledani vinika pokud mozno co nejniz, zatloukani vlastni viny - to vsechnou je bezna realita. Musela by to byt velka shoda nahod, ale uz jsem videl vetsi nahody.
V tomto pripade jsem pochopil, ze ztrata zakazky hrozila spise kvuli cirkusu okolo, nez kvuli samotnym nedorucenym mailum.

Podle mne to neni o velikosti ale spis o tom, jake mate uzivatele (= jake jim chodi maily a odkud). Velikost urcuje akorat cetnost prusvihu :-)

Mate dobrou fantazii, ale v zivote to tak nechodi. Jak to byva ve skutecnosti, jsem popisoval v diskusi k minulemu dilu - viz zde.

To, co pisete, vypada stejne verohodne, jako pohadka o stryci Vikovi a kristalove cistych prijmech :-)

Toto jsou blacklisty, ktere pouzivam jsem celkem spokojen:

relays.ordb.org
bl.spamcop.net
web.dnsbl.sorbs.net
socks.dnsbl.sorbs.net
http.dnsbl.sorbs.net
rhsbl.sorbs.net
sbl-xbl.spamhaus.org

Pokud nekdo ignoruje, ze se mu vraci emaily, tak je hlupak. Pokud nekdo pracuje u zamestnavatele, ktery ho potresta za neco, za co nemuze, tak by si mel sam sebe vice vazit a zmenit misto.

Autor dela podle mne spravne zavery, ale platici pro tak obrovskou domenu, jako je centrum.cz. Pro par tisich zprav denne, jdou blacklisty dobrou volbou.

Na zaklade tohoto clanku jsem prosel logy za tento mesic a nasel jediny problem. Odmitani z pandora.cz. Tu jsem zaradil na whitelist a je to OK.

Mejte se hezky.

Tomas

Jestli to byla odpoved od forda zakaznikovi, tak puvodni mail zjevne dosel. Takze chyba asi nebyla pred zavinacem, ale v domenove casti adresy.
Zkusil bych to poslat na xxx@cmail.cz a vysvetlit panovi, ze ma fordy pekne sepsout :-).

Jestli je mezi čtenáři nějaký pan Kadlec, který si u Fordu chtěl objednat New Focus Ghia, tak vězte, že díky skvěle nakonfigurovanému e-mailu vám nabídka asi nedorazí...

Přišla totiž mě (asi překlep v adrese či co) a na mou snahu o upozornění odesilatele, že má špatnou adresu, jsem se dozvěděl, že
PERM_FAILURE: SMTP Error (state 13): 550 5.5.0 Mail rejected for policy reasons.

Nuže, vaše škoda, když pánům z ford.ap-group.cz není Gmail dost dobrý, tak si toho zákazníka můžou shánět třeba telefonem. :-)

Smesujete dve veci - zpusob klasifikace mailu a reakci na spam. Jiste by se dal napsat bayesiansky filtr, ktery by daval REJECT odpoved po prikazu DATA.

Zas na druhou stranu se v takovem pripade nedozvi PRIJEMCE, ze byl nejaky mail odmitnut. V pripadech, kdy se na blacklisty casto dostavaji ruzne automatizovane roboty (newslettery, posilani vygenerovanych loginu do ruznych site) a listservery je vam houby platne, ze se zpatky posle chybovy kod, protoze se tim nikdo zabyvat nebude. A vy se pak divite, ze mail stale nejde a nejde...

ano, nedorucenky jsou velka vyhoda RBL, protoze se odesilatel DOZVI ze jeho mail nemohl byt dorucen a PROC.

No když jí místo doručenky došla "nedoručenka" a ona na to kašlala.... Já vím, kašle na to mnoho uživatelů, ale to nic neznamená, neznalost neomlouvá.

Kdyby si uvedl neco konkretniho, tak by si nevypadal jako tluchuba, jehoz prispevek ma informacni hodnotu blizkou nule.

Ano, blacklist samotny za to nemuze. Jenom ukazuju na zcela realnem pribehu kam to az muze vest kdyz se vyuzivaji podle meho nazoru naslepo, bez overovani z vice zdroju.

Muze to koncit zabanovanim treba i obrovskeho koncernu a to je pak fakt peklo, protoze ve velkych firmach akorat jeden svaluje chybu na druheho a nakonec odnesou radovi pesaci.

Historka je to sice smutna, ale priznejme si to, ze za tohle ty blacklisty fakt nemuzou...

Nehlede na to, ze RFC Ignorant blacklisty fakt muze pouzivat jenom blazen...

O.

Kromě lokálního blacklistu používám natvrdo i jeden veřejný. Ty v článku jsou skutečně na pikaču.

Reknu vam prihodu, jakou lidskou tragedii taky muze pouzivani blacklistu skoncit.

V jedne mezinarodni firme, ktera na zaklade outsourcingoveho kontraktu zpracovavala pro jinou mezinarodni firmu (klienta) ucetnictvi pracovala jista slecna. Protoze to byl vicelety outsourcingovy kontrakt, mela ona slecna stejnou mailovou domenu jako vsichni ostatni zamestnanci klienta.

Slecna byla normalni sledna ucetni, proto cas od casu psala jedne svoji zname do jiste ceske banky. Takhle si dopisovaly, az ta druha odesla na materskou nebo co. Po nejake dobe byl jeji mail zrusen, coz ovsem nase slecna nevedela. Takze psala porad dal a ignorovala, ze se ji obcas posta vraci, resp. povazovala to za provozni chybu.

Nahoda tomu chtela, ze v te dobe (leden 2005) byl mailovy system klienta nakonfigurovany tak, ze odmital prijimat dosle maily s prazdnou domenou (viz http://www.rfc-ignorant.org/policy-dsn.php), coz ale vratky z one banky mely. Takze ne vsechny vratky dorazily. Mailovy system one banky tohle odmitani mailu rozladilo natolik, ze se po nejake dobe cela mailova domena octla na blacklistu http://www.rfc-ignorant.org/, coz ale nikdo nezaznamenal, protoze klient nemel funkcni ani adresu postmaster.

Jenom pro ilustraci, ona mailova domena zahrnovala cca 60.000 uzivatelu po cele Evrope.

Chvili se nic nedelo, az v breznu nekdo od klienta zjistil, ze se nemuze domailovat k zakaznikovi, ktery blacklist vyuzival taky. A vypuklo peklo.

Cele veci se chopil management klienta a slecnu obvinil, ze umistila domenu na blacklist zamerne. Navic obvinil jeji materskou spolecnost z poruseni bezpecnosti. Najednou byl v sazce kontrakt za mnoho milionu euro. Pres veskerou snahu slecniny materske spolecnosti dokazat, ze se jednalo o technicky problem klienta (protoze IT oddeleni klienta nechtelo a nedokazalo priznat chybu, ke ktere doslo v lednu a uz byla mezitim napravena), byla nakonec obvinena ze zneuziti emailu pro soukromou komunikaci a musela byt prerazena na uplne jinou (horsi) pozici, kde s klientem neprisla do styku.

Cela prihoda ve mne zanechala skutecne horkou prichut. Slecna absolutne netusila, jakou pohromou pro ni bude chyba nekoho jineho a ze tahle chyba zaroven ohrozi mnohamilionovy mezinarodni kontrakt. Od te doby skutecne blacklisty nesnasim.

IP BlackListy jsem musel přestat používat... Je to příliš nespolehlivé.
PS: P BlackList opět nasadím, ale jen jako doplňující test (pokud se IP adresa najde v blacklistu, dostane email další body ke SPAM hodnocení, ale nebude se blokovat).

Nikdo vám nenadává, protože se na vás vykašle.

Blacklisty používám pro tvrdé blokování pošty a jsem docela spokojen. Záleží na tom, jaké domény server přijímá.

Mně se osvědčilo nekontrolovat poštu z .cz pomocí blacklistů a nechat to na bayesiánském filtru. U pošty přicházející odjinud blacklisty používám natvrdo. Nikdo mi nenadává.