Hlavní navigace

Názory k článku Stane se Internet nepoužitelným?

  • Článek je starý, nové názory již nelze přidávat.
  • 28. 8. 2003 8:30

    Vojta (neregistrovaný)
    Ano, tohle dela Ha-vel a jakozto jeho zakaznik jsem velmi spokojen. Normalnimu uzivateli jede vsechno co normalne potrebuje, ten vesmes zadne omezeni nema a kdyz potrebuji neco pustit, reaguji promptne: poslu mail a cca do 20ti minut je to zapnute...
  • 28. 8. 2003 8:42

    Michal Krsek (neregistrovaný)
    Nepopiram, ze pro jisty typ uzivatelu je to "killing application". Nicmene zkuste definovat co je to "normalni uzivatel" a co "normalne potrebuje"? Jsou to pouze porty 25,53,80,443,109? Nebo nejake dalsi?

    Navic, pokud si mam pod pojmem "normalni uzivatel" predstavit cloveka, ktery dotycne problematice nerozumi, jak ma poznat, ze nova aplikace (napriklad proudovani multimedii) nebezi kvuli nastaveni filtru u providera nebo kvuli nejakemu problemu na lokalnim PC?

    Ja radeji zustanu u udrzovani sveho systemu v aktualnim stavu.

    Myslim, ze to neni spravne reseni. Mnohem lepsi by bylo, kdyby provider (muze to byt i jiny subjekt) aktivne upozornoval na bezpecnostni problemy uzivatelova pocitace. Spravne nastavena aplikace typu "Windows Update" vyresi 99% podobnych problemu.

  • 29. 8. 2003 14:12

    David (neregistrovaný)
    Pro p. Vujtu Normalniho, pisete "Normalni uzivatel" - treti osoba ... a jeste v teze vete jste to najednou vy. To je vazne nejlepsi - "me to vyhovuje tak to musi bejt skvely pro vsechny a pro koho ne je nenormalni magor" Dost, hodnotit nakolik jste normalni nebo ne nehodlam, ale jedno vam muzu rict zcela fundovane. To co si platite _NENI_ normalni IP konektivita, bohuzel v tom horsim smyslu.
  • 28. 8. 2003 8:11

    Petr Stehlik (neregistrovaný)
    SpamAssassin umi vsechno, co jste zminoval - individualni bodove ohodnoceni vsech kriterii, ktera sleduje. Pridavani novych kriterii (retezcu, ktere se porovnavaji s mailem) spolu s jejich bodovym ohodnocenim, dale blacklisty (vyslovne zakazujici) a whitelisty (vyslovne povolujici) maily z domen nebo adres, ktere znate.

    Nakonec ma i Bayesiansky filtr, ktery, kdyz ho uzivatel vyuci na sve davce spamu a hamu (ham = ne-spam), tak potom dokaze rozpoznat jeste mnohem lepe co je prave pro vas spam a co ne.

    A samozrejme jeste podporuje nekolik serveru, ktere udrzuji seznamy aktivnich spameru, takze muze blokovat jednoduse podle odesilatele, kdyz uz zklame system analyzy obsahu mailu.
  • 2. 9. 2003 23:34

    na (neregistrovaný)
    Zkuste poslat treba mail:
    Ahoj Tatko! Zkousku jsem udelal! Bingo! Vas mily syn.
    Vsadim se ze bude zahozen jako spam, pritom to spam neni...
  • 3. 9. 2003 0:07

    Michal Kubeček (neregistrovaný)
    Nesázejte se, prohrál byste. Schválně jsem to zkusil: skóre -4.6 (-6.4 za bayesovský filtr (pravděpodobnost 14.54%), 1.8 za moc vykřičníků), na spam je při default nastavení potřeba 5.0. Asi byste na tom musel ještě hodně zapracovat. Tím nechci tvrdit, že spamassassin je neomylný, ale tak hloupý zase není.
  • 28. 8. 2003 8:51

    K8 (neregistrovaný)
    Nejsem si jist, že antivirová kontrola u providera je drahá. On zase ušetří na serverech, které nemusí skladovat zbytečné emaily, a ušetří si problémy s případnými výpadky díky přetížení (jak serverů tak linek) při nějaké virové epidemii. takže ve výsledku může zavedením antiviru vlastně ušetřit.
  • 28. 8. 2003 9:11

    Michal Krsek (neregistrovaný)
    Je otazkou, co je dnes drazsi. Zda vypocetni kapacita, kterou ISP potrebuje, aby byl schopen v realnem case nechat projit antivirem (a nasledne treba odmitnout doruceni) nebo diskova kapacita.

    Ja bych hlasoval pro to, ze drazsi je vypocetni kapacita :-) Disky jsou za babku a navic ma uzivatel zaplaceny prostor o fixni velikosti, kterou nemuze prekrocit.

  • 28. 8. 2003 11:06

    Miloslav Diviš (neregistrovaný)
    Diskový prostor na skladování e-mailů je skutečně to nejmenší. Mnohonásobně dražší je výpočetní kapacita nutná pro kontrolu každého e-mailu. Znamená to postavit mnohonásobně více strojů a samozřejmě platit také lidi, kteří se o ty stroje budou starat. A nesmíte zapomínat také na nutnost platit licenci antivirové firmě. Kdyby měl provider nasadit antivirus na statisíce schránek, které běžné freemaily mají, tak se prostě nedoplatí... Tudíž příliš nepředpokládám, že se sofistikované antivirové řešení (jaké je nasazeno například na VOLNY.CZ a POST.CZ) stane bežnou součástí služeb nabízených zdarma.

    K Antispamovému řešení dodám, že VOLNY nabízí řešení pro běžné uživatele a tam by možnost vlastního nastavování kritérií byla skutečně kontraproduktivní. Zkrátka by došlo k tomu, že by to nastavili tak, že by jim chodily skoro všechny Spamy a pak volali stále na technickou podporu. Věřte, že známe své uživatele.
  • 28. 8. 2003 17:18

    Melkor (neregistrovaný)
    Nechci delat nikomu reklamu, ale musim konstatovat, ze nejmenovana slovenska firma nabizi licencovani sveho antiviru take per server (pro *nixove servery), nikoli jen per user.
    Takove reseni je pak schudne i pro ISP.
  • 29. 8. 2003 7:55

    Vráana (neregistrovaný)
    Je úplně jedno kolik má ISP schránek, může kontrolovat proud procházejících zpráv na jednom SMTP serveru (nebo clusteru) a teprve na dalším serveru (clusteru) třídit do schránek.
  • 28. 8. 2003 8:55

    Dvořák (neregistrovaný)
    Zase peterkovština, článek na deset stránek, nezajímavý a nepřínosný. Proč má bulvární titulek o "nepoužitelnosti" Internetu, netuším. Že by peterka naletěl marketingovým kydům antivirových firem? Ty samozřejmě budou neustále přesvědčovat všechny, že hrozí obrovská hrozba, které se ovšem dá předejít tím, když si včas zakoupíme jejich produkty. peterka umí jenom jediné, chrlit písmenka ve velkém. Je takovou továrnou na znaky české abecedy.
  • 28. 8. 2003 9:13

    K (neregistrovaný)
    Soucasna virova epidemie ma jedno velke pozitivum. Mozna konecne nekdo pochopi, ze cele antivirove software odvetvi je umele udrzovany obchod, ktery jen vytvari (a casto jiz ani toto nestiha) docasne zaplaty na spatne navrzene systemy. Opravdove a finalni reseni musi prijit od tvurcu operacnich systemu a systemu pro mail (apod.) a ne od antivirovych bastliru. Ono by uplne stacilo pokud by kazdy mail byl el. podepsan...
  • 28. 8. 2003 23:44

    Dan Lukes (neregistrovaný)
    Takze by kazdy zavirovany mail byl od te chvile proste podepsan. Co by to zmenilo na tom, ze mi skonci ve schrance ?
  • 29. 8. 2003 11:19

    K (neregistrovaný)
    1/ k podpisu je treba heslo, ktere ma vlastnik mailoveho uctu jen a pouze v hlave
    2/ kazdy klic pouzivany k podepisivani musi byt registrovany pripadne taktez podepsany nejakou CA
    3/ u kazdeho klice je znam (lze dohledat) jeho fyzicky majitel
    .. obavam se, ze vir nebo spamer tyto podminky bude prekonavat velmi tezko.. ano dan za toto by byla nemoznost anonimity
  • 29. 8. 2003 14:36

    David (neregistrovaný)
    1/ to heslo pisete na tom zavirovanem pocitaci, ze?
    2/ to vas klic, ktery pouzivate na tom zavirovanem pocitaci splnuje
    3/ vite odkud to doopravdy prislo, ok, jedina vyhoda, jinak nesmysly
  • 29. 8. 2003 15:14

    Dan Lukes (neregistrovaný)
    1. K podpisu je treba klic - a ty si virus nese s sebou (to nemluvim o variante, kterou tu zminil nekdo jiny, tedy pouziti klice a hesla uzivatele)
    2. Klic podepsany od CA lze koupit za par korun, takze podepsat SPAM regulerne koupenym klicem jeho posilani prilis nezdrazi - stale to bude nejlacinejsi zpusob jak sirit komercni reklamu
    3. Neni pravdou, ze kazdy klic vydan nejakou CA nekde na svete byl vydan konkretni fyzicke osobe. Ale na chvili predpokladejme, ze ano. I u nas pak toho fyzickeho majitele muze dohledat jen soud, takze to vam pri filtraci prave prichazeicich SPAMu moc nepomuze. Jak ale budete hledat fyzickeho majitele v Korei, i kdybyste jeho totoznost zjistit dokazal, by me opravdu zajimalo.

    Samozrejme nepopiram, ze by "povinne" podepisovani mohlo vyresit NEKTERE problemy se sirenim viru a se spammingem - ale v pomeru problemu, ktere by to prineslo se mi jevi, ze to vyresi prilis malou cast. Podotykam, ze ztratu anonymity vubec nepovazuji za vazny problem pro tyto ucely - uz proto, ze by k ni prakticky nedoslo ...

  • 28. 8. 2003 9:15

    Milan Berka (neregistrovaný)
    Ano, vidím to také černě. Za rok budou viry vytvářet vlastní P2P síté, pokud se vir bude šířit po světě do 2 hodin, nikdo nestihne napsat antivir a nikdo ho nerozšíří. Neviděl bych to ale na zahlcení sítí, kapacit je dost. Viděl bych to spíše na zahlcení aplikací, znepřístupnění počítačů apod.

    Řešení jsou jasná:

    1. Heterogenní prostředí v oblasti OS a SW

    2. Obrana a ochrana vedena do hloubky ( včetně ochrany uživatelů od ISP, pokud to ovšem uživatele chtějí...)

    3. Tvorba minimálních nebo minimalizovaných aplikací, které budou lépe zabezpečené

    4. Oddělené vedení provozu v různých kanálech s různým zabezpečením

    Jinak jsme jako ve smrkovém lese, který napadne kůrovec...

    Nakonec:
    1. žádná prognóza se nesplní, protože tady funguje efekt zpětné vazby
    2. je skutečně ovšem třeba něco dělat...
  • 28. 8. 2003 9:36

    Zdeněk (neregistrovaný)
    Myslím si, že možnost totálního zahlcení je reálná. Dostáváme se do situace, kdy se snažíme s naší zatím nedokonalou technologií o něco co její možnosti přesahuje. A nejde o samotnou existenci internetu, ale právě jeho ochranu.

    Podle mě vede cesta přes různé druhy umělé inteligence, jedná se totiž o kontrolu lidského chování, které nepodléhá matematickým zákonům.
  • 31. 8. 2003 14:57

    rodney (neregistrovaný)
    jj AI bych do huby nebral protoze AI se neda ovladat pokud nekdo tvrdi ze jo tak lze protoze zkuste ovladat druheho cloveka aniz byste mu mohli neco udelat treba zlomit ruku, snizit plat vyhostit z republiky a mnoho jinych pripadu to proste nejde a pokud si AI uvedomi ze lidstvo je pro ni hrozba tak nas znici kdyz bude stejne jako v terminatorovi proste na kokot ai nemuze ovladat inet nebo bude ai ovladat nas a budem prinejlepsim jako v matrixu tohle podle me neni zadna fikce a muze to tak skutecne skoncit lidstvo by melo znat sve hranice nebo skonci zle jeste ze se toho nedoziju
  • 13. 9. 2008 19:06

    anonymní
    http://www.scienceworld.cz/sw.nsf/ID/24F4E37D0B5F58B4C1256E9700489C88/
    podívejte se na tento článek popisuje prohlášení nejchytřejšího a možná neuznávanějšího vědce Stephena Hawkinse právě ohledně problematiky A.I.
  • 28. 8. 2003 10:14

    jirkab (neregistrovaný)
    tusi nekdo proc dneska ma contactel takovy probelmy ? na/z iol.cz se nedostanu, podobne servery.com, nix.cz, podle diskuze to tu je samej genius takze odpoved na otazku musi bejt prkotina...
  • 28. 8. 2003 10:57

    Michal Krsek (neregistrovaný)
    Protoze je Internet tvoren velkym mnozstvim soucastek, muze se stat, ze nektera z nich nejde. Nicmene to, ze nekde nejede nejaky server, neznamena, ze nejede Internet - web NIXu neni urcujici tomu, zda NIX funguje (viz. traceroute mezi ceskymi ISP).

    Urcite by bylo legracni, kdybych meril dostupnost Internetu napriklad podle funkcnosti LUPY(.cz) :-)

    Na problemy Contactelu se musite optat Contactelu. Na problemy IOL se musite zeptat Ceskeho Telecomu, na problemy servery.com se musite zeptat Globe. Web NIXu nejede, protoze je nejaky problem s hardwarem serveru, na kterem bezi web. Funkcnosti NIXu jako propojovaciho centra se ten problem nedotyka.

  • 28. 8. 2003 11:09

    Jan Petrů (neregistrovaný)
    Mohu potvrdit slova autora, že Antivirové a Antispamové řešení od VOLNÝho je opravdu výborné a funkční. Virus jsem za poslední měsíce nedostal opravdu žádný (a zachyceno jich bylo skutečně hodně) a SPAMy zadržuje zhruba z 90ti procent, což u mě představuje kolem 300 zadržených spamů týdně. Stálo to pár korun a na připojení jsem už ušetřil mnohem víc. Vřele doporučuji.
  • 28. 8. 2003 11:42

    ShadowCat (neregistrovaný)
    tak proc mate v hlavicce prispevku email na Seznam? ze by ze strachu ze Vam na Volny bude chodit spam? ;)))
  • 28. 8. 2003 15:26

    Jan Petrů (neregistrovaný)
    Je to prosté milý Watsone. Mám již dlouhou dobu e-mail na Seznamu, ale ten podobné řešení nenabízí. Na doporučení svého známeho jsem si registroval konto u "Volný" a forwarduji si tam veškerou poštu. "Volný" už zajišťuje filtrování proti spamu, antivirovou ochranu a nabídl mi také 50MB prostoru.
    A tuto adresu na Volným dávám k dispozici jenom dobrým známým, abych případně časem mohl odříznout tok e-mailů a spamů ze Seznamu.
  • 28. 8. 2003 12:12

    tom (neregistrovaný)
    Pouzival jsem bez problemu @volny.cz 3 roky, ale par mesicu pred tim nez volny zacal nabizet antispam jako placenou sluzbu zacaly najednou chodit tydne STOVKY spamu (svoji adresu jsem nikde neregistrival ani neni na www) Jsem zcela presvedcen, ze volny schvalne svoje free maily poskytl spamerum.
  • 28. 8. 2003 12:31

    Miloslav Divis (neregistrovaný)
    Dost těžko hledám slova. Snad jenom - to bychom se museli naprosto zbláznit!! Tak za prvé nikdy žádný provider nedá z rukou databázi uživatelů. Nárust množství spamů za poslední dobu je nepopiratelný, ale jedná se o jev všeobecný. Netýká se jednoho providera. SPAMeři využívají čím dál tím více sofistikované technologie na vyhledávání případně tipování e-mailových adres. A hlavně, v současné době už množství SPAMů překračuje 50% veškerého e-mailového provozu a především nám jako providerům způsobuje nemalé problémy a nemalé náklady. SPAMy totiž chodí z 99% ze zahraničí a v současné době už je to velmi nezanedbatelný tok dat a my musíme platit velmi drahou přenosovou kapacitu na zahraničních linkách. Stejně tak musíme posilovat výpočetní kapacitu e-mailových serverů. Vy máte možnost použít antispamové řešení, které zablokuje poštu přímo u nás, ale právě až u nás, tudíž vy sice ušetříte, ale nám to náklady rozhodně nesníží. Cena za antispamové řešení je v rámci filozofie VOLNÝ zvolena prakticky nákladově za toto řešení, takže v žádném případě nemůže uhradit náklady způsobované SPAMy, ale hradí pouze lidskou práci (správců) a výpočetní kapacitu nutnou pro lexikální analýzu e-mailů, které mají aktivovanou antispamovou ochranu.
    Tohle obvinění je neskutečná drzost, neboť VOLNÝ a potažmo Czech On Line a.s. je již dlouhá léta velmi aktivním bojovníkem proti SPAMu. Nedovolí hostování SPAMerů na své síti (ani v placeném housingu, nebo na pevných linkách). Odpojuje uživatele, kteří spamůjí a má tuto klauzuli i ve Všeobecných podmínkách. Stejně tak je velmi aktivním přispěvatelem do světových blacklistů a disponuje rozsáhlým vlastním blacklistem, kterým chrání všechny své uživatele (nejenom ty, kteří mají placený antispam).
    Mohl byste se příště aspoň podepsat celým jménem a uvést adresu, než takto anonymně napadat.
  • 28. 8. 2003 13:28

    tom (neregistrovaný)
    1.fakt: opravdu tesne pred tim nez volny zavedl antispam a filtry jako placenou sluzbu zacalo chodit obrovske mnozstvi spamu

    2. nemyslim si ze by to byla strategie firmy, ale spise aktivita jednotlivcu???

    3. nemoznost pridavat vice filtru nez jeden (pro free-mail) cini sluzbu nepouzitelnou...
  • 28. 8. 2003 14:26

    Miloslav Divis (neregistrovaný)
    1. Nárust SPAMů rozhodně nebyl jednorázový, takže bych spiš předpokládal, že jste buďto někde zveřejnil svůj e-mail (konference, stránky, zaslal jste e-mail někomu, kdo ho mohl někde zveřejnit). Je tu také možnost, že někdo zveřejnil shodné jméno a poté došlo k "tipnutí" vaši adresy (SPAMeři využívají technologie, že sbírají e-mailové adresy a potom zkouší vše co je před zavináčem posílat na všechny možné domény /zejména na domény u nichž vědí, že se na nich nacházejí e-maily mnoha uživatelů/. V praxi to vypadá tak, že někde na Internetu seberou adresu tomas.halik@seznam.cz a potom posilají SPAMy na tomas.halik@post.cz, tomas.halik@volny.cz tomas.halik@email.cz atd.) Úspěšnost takové technologie je pochopitelně poměrně značná.

    2. Jakých jednotlivců? Ja projekt vedl produktově a obchodně, dále se na něm podíleli pouze programátoři. Marketing nemá ani přístup k databázi uživatelů. Jsem si více než 100% jistý, že nikdo nic takového neprovedl a nemohl provést. Za prvé data uživatelů jsou poměrně vysoce chráněna a přístup k nim je nezávisle logován, za druhé si ani nedovedu představit, kam by taková data někdo posílal. Je to proste naprosto absurdní teorie někoho, kdo tomu vůbec nerozumí. Negativní výsledek takové akce by mnohonásobně překonal případné pozitivum (objednávky). Nemluvně o tom, že i bez jakéhokoliv odesílání podobných dat chodí takové množství spamů, že by to bylo opravdu jenom nošení dříví do lesa. Pokud máte jakékoliv, alespoň vzdálené důkazy - kromě toho, že Vám najednou začaly chodit SPAMy, tak je prosím předložte. Jinak jenom urážíte práci lidí a pomlouváte společnost.

    3. A to jste vzal kde? Filtry můžete přidávat prakticky neomezeně. Základní filtry mohou neomezeně vytvářet všichni uživatelé, Rozšířené filtry mohou vytvářet uživatelé, kteří se alespoň jednou během posledních 7 dní připojili na VOLNÝ, nebo mají nějakou placenou službu. Opět je jejich počet neomezen. Než budete příště někoho obviňovat, tak si ověřte prosím fakta. Pokud ovšem Vaším umyslem není pouze poškození jména...
  • 28. 8. 2003 14:58

    tom (neregistrovaný)
    1. bylo to jednorazove a najednou od sposta spolecnosti jen zahranicni

    2. nikoho nepomlouvam jen konstatuji, ze najednou jsem pouze na e-mail volny zacal dostavat (po 3 letech klidu) spam ve vetsim mnozstvi a cca dva mesice pote vyrukuje volny s tim ze si muzu zaplatit antispam. Samozrejmne ze to mohla byt i nahoda.

    3. Kdyz jsem se to snazil resit pridanim filtru dostal jsem hlasku "dalsi filtr jiz nelze pridat" (mel jsem tam max.3) Ale jak pisete mohlo to byt tim ze jsem se pres volny resp. ten konkretni ..@volny.cz nepripojil vic jak 7 dni to ovsem z hlasky "dalsi filtr jiz nelze pridat" nikdo nezjisti ZE?
  • 28. 8. 2003 15:21

    Miloslav Divis (neregistrovaný)
    Za tu hlasku se omlouvame a zajistim napravu. Melo by to jednoznacne psat informaci o VOLNYm klubu.

    Jinak jestli si opravdu myslite, ze tu mame oddeleni, ktere peclive programuje viry (take se jich objevilo vyrazne vetsi mnozstvi, nez behem uplynulych tri let - jednoznacne v souvislosti s uvedenim naseho antiviru na e-mailu) a horecnate distribuuje adresy s virou, ze tak ziska par zakazniku, kteri nam zaplati 20Kc mesicne a ztrati tisice uzivatelu ze kterych plynou mnohonasobne prijmy z dial-upu, nebudu vam to uz vyvracet, plytvam svym casem.

    Tolik casu jsem vysvetlovani venoval proto, ze podobne reakce nam uz od nekolika lidi prisly (i s temi viry). Paranoia obcas opravdu nezna mezi...
  • 28. 8. 2003 15:46

    tom (neregistrovaný)
    Dekuji za informaci uz jsem myslel, ze jsem paranoidni sam!

    To ze programujete viry si nemyslim! Tak dobri nejste...

    Mozna dostava u Vas nekdo za platici zakazniky odmeny a pritom je neovlivnuji prijmy z dial-up.

    PS "to uz je jen vtip"
  • 29. 8. 2003 10:05

    Alexe (neregistrovaný)
    Ahoj Hobbite,

    opravdu sem chces poslat jmeno osoby, ktera prodala databazi VOL (ne jen VOLNEHO) a prinutila me zrusit muj 6 let stary mail? Napovim, zacinala na tech-sapu.
  • 29. 8. 2003 13:12

    Alex (neregistrovaný)
    To neni na nejapne zblepty. Me zdroje sedi na stejnem patre v Naganu.. A nemam ve zvyku placat, coz ostatne ty vis dost dobre.
  • 28. 8. 2003 14:12

    Roj (neregistrovaný)
    A neuvazujete o tom, co bylo popsano v clanku? Dat moznost nastavit vahu jednotlivym kriterium?
  • 28. 8. 2003 15:14

    Miloslav Divis (neregistrovaný)
    Je to sice technologický problém, ale pokud by byl nějaký výraznější zájem ze strany uživatelů, mohli bychom možná toto zkusit zpřístupnit jako možnost aktivovatelnou na vyžádání. Budeme o tom uvažovat.
  • 28. 8. 2003 23:58

    Dan Lukes (neregistrovaný)
    Ani bych reagoval na jakoukoliv jinou cast vaseho prispevku - co se tyce toho my musíme platit velmi drahou přenosovou kapacitu na zahraničních linkách, jednu reakci mam.

    Cena zahranicni konektivity i prenosove kapacity je dneska uz hodne nizko. Pokud mate tedy zahranicni kapacitu a prenosove linky drahe, nakupte u nekoho jineho. Tedy, samozrejme, pokud vam vas vlastnik, ktery vam tuto drahou konektivitu momentalne dodava u nekoho jineho nakoupit dovoli ...

  • 29. 8. 2003 0:13

    Dan Lukes (neregistrovaný)
    A ted jsem si teprve priradil obcanske jmeno, ktere moc neznam k prezdivce pod kterou te znam - tak to se omlouvam za to vykani. Podstata rypance (protoze nic jineho to neni) ale zustava stejna ...

    Cau ;-)

  • 29. 8. 2003 8:53

    Hobbit - Miloslav Diviš (neregistrovaný)
    Je stale mnohomnohonasobne drazsi, nez konektivita mistni. Ale je pravda, ze vypocetni kapacity /a samozrejme lidska sila/ uz jsou podstatne vetsim nakladem, nez konektivita. Stale to nic nemeni na tom, ze by byla cista sebevrazda dat databazi uzivatelu SPAMerum a xe paranoia nekterych lidi jde za vsechny hranice...

    PS: To že nejste paranoidní, ještě neznamená, že po vás nejdou. :)))
  • 29. 8. 2003 9:07

    Michal Krsek (neregistrovaný)
    Ahoj Dane,
    prestoze cena za upstream neni uz to, co byvala, stale za STM-1 zaplatis pomerne slusne penize ... :-)

    ... ber to taky jako stouchanec ...

  • 28. 8. 2003 11:25

    Martin (neregistrovaný)
    Pouzivam jiz vice nez rok primitivni "antivirivou" ochranu primo u providera - ta spociva v nastaveni filtru, kterymi neprojde zadna priloha, kterou viry pouzivaji - pif, exe, scr,... Stejne tak sekce iframe. Vse se bez milosti zahazuje a odesilateli se posle echo o nedorucene zprave. Pokud se toto echo vrati, je zahozeno. Primitivni, ale funkcni. Pri teto epidemii jsem nedostal ani jediny exemplar viru. Vyhoda tohoto reseni je i v tom, ze neprojde ani novy virus, ktery nedetekuje zadny antivir!

    Takze staci si nastavit pravidla. Jsou vsak lide, kteri trpi pocitem, ze by o neco prisli, kdyz by si neprecetli email s prilohou scr. Jedno je jasne - jak ve vztahu k virum, tak ke spamu - bude potreba stanovit si nejaka pravidla "slusne" komunikace a pak bude na kazdem z nas, zda je bude striktne dodrzovat a vyzadovat, nebo zda zustane otevreny.
  • 28. 8. 2003 12:53

    Jarmil (neregistrovaný)
    Ja sem si udelal jednoduchy PHP skript, ktery maze vsechny scr,exe,pif,bat prilohy + obas tam prihodim nejakeho odesilatele nebo spam subject. Navic premyslim, ze udelam test na anglicky psane maily a vsechny je budu mazat (az na vyjimky, ktere poznam podle odesilatele). Z Cech mi totiz chodi naproste minimum nevyzadane posty. Odstranim takhle 90-95% spatnych mejlu. Jestli nekdo chcete, poslu skript k nahledu.
  • 28. 8. 2003 11:41

    cz (neregistrovaný)
    Podle me se v dnesni dobe stava mail naprosto nepouzitelny. Ja osobne ho uz prakticky pro komunikaci (az na vyjimky) nepouzivam a myslim, ze mail by se moh klidne postupne zrusit .. takovej strasnej prezitek :)
    Na co?
    Komunikace? - skoro kazdej ma icq (ci jiny IM), irc a zbytek trubek je na ruznych web-chatech.
    Znam nekolik (velkych) firem, kde skoro kazdy zamestnanec ma icq cislo (a i interni firemni komunikace pres nej jede), vzdyt i spousta e-obchodu ma na webu sve ICQ UIN radeji nez mail.
    Dokonce jsou i lide, co pouzivaj mail na prenos souboru ... ufff .. to nepotrebuje snad komentar. od toho mame freeweby, ftpka, IM, atd.
    Samozrejme, ze to nekomu muze prijit absurdni, ale co se 'sluzbou', ve ktere je vice reklam nez na n@ve? (a nemyslim tim web, ackoliv se tomu priblizuje - ale zde je mnohem snazsi filtrace a hlavne je to reklama 'vyzadana' - chci obsah serveru).
    Ja to beru za prirozeny vyvoj ;)
    (snad to nebyl uplny offtopic, ale napadlo me to u tohoto clanku)
  • 28. 8. 2003 12:51

    Petr Staníček (neregistrovaný)
    Clovece, vy jste ufoun! Z vaseho prispevku se nemuzu ubranit pocitu, ze nejenze nezijete v Cesku, ale dokonce snad ani na Zemi. V dobe, kdy drtiva vetsina populace teprve Internet zacina objevovat a mail je pro ne naprosto primarni funkce, napsat tohle... ;) Pozdravujte tu svou komunitu na ICQ, IRC a chatech - ujistuji vas, ze oproti aktivnim uzivatelum mailu je vas zanedbatelne promile :)))
  • 28. 8. 2003 13:26

    cz (neregistrovaný)
    No to sem, to nepopiram :))

    Ja vim, ze sem to trosku vic zkreslil - ale melo to bejt jako vize :) znate ty od Billa, ne? :]
    dyt mail je jedna nejstarsich sluzeb .. a taky to podle toho vypada ;p

    No v kazdym pripade maily moc nepisu - co potrebuju osobniho, to vyridim pres icq. A firmy? Vetsina z nich na maily stejne neodpovida a kdyz, tak do 2 dnu nejdriv. Kdyz neco potrebuju, tak tam stejne zavolam. A treba na ruzny objednavky a jiny veci maj stejne webovy aplikace/formulare ;p

    Ale treba kdybych ti ted kvuli necemu psal, tak bych ti asi poslal mail .. kde bych na konec mailu stejne pripsal, jestli nahodou nemas icq ;) proste mail je takovej moc offline :)

    no nic, sem ufoun:)
  • 28. 8. 2003 13:48

    Michal Kubeček (neregistrovaný)
    Mail nelze dostatečně snadno nahradit ICQ/IRC/... - a naopak. Všechny tyto služby byly navrženy pro interaktivní komunikaci a e-mail není interaktivní služba. Podstatou e-mailu je právě fakt, že teď pošlu e-mail a příjemce si ho někdy přečte (aspoň většinou). V tom je slabina e-mailu, ale zároveň jeho síla. Jde jen o to naučit se používat síťové služby k tomu, k čemu byly navrženy.
  • 28. 8. 2003 13:11

    Vac (neregistrovaný)
    Doufám že interní firemní komunikace jede přes ty AOL (icq) servery. Ať si počte každej kdo má sniffer :)

    Já naopak znám firmy, kde instalace icq klienta znamená vyhazov.
  • 28. 8. 2003 13:34

    Vac (neregistrovaný)
    Já vím, já vím... (Stačí ho mít konzolovýho někde a pak ssh odkudkoliv ;)

    Nicméně paranoidně (a obvykle) nastavená proxy zarazí všechny pokusy o kontakt s icq2go. A firemní komunikaci bych tomu nesvěřil (pokud bych se nepomátl a neotevřel si garážovou firmu na prodej jakozbrusunových repasů HW).

    Mail je něco co bude potřeba vždycky, jen co se naučíme používat PGP/GPG...
  • 28. 8. 2003 13:24

    Jiří Kuchta (neregistrovaný)
    Tak jsem se po 14 dnech vrátil po dovolené. Pustím Pegasa a koukám do Inboxu kolikpak máme nové pošty... ouha! Za 14 dní se mi tu nahromadilo přes 19000 "dopisů". A tak mi už několik hodin počítač šrotí a z IMAPu tahá dopis za dopisem a většinu zahazuje, neboť jde o zprávy o nedoručitelnosti "mnou" odeslaného spamu, o zprávy o likvidaci vira, o nedoručitelnosti na vymyšlenou adrsu v naší síti a atd...
    Ale jinak je ten počet 19000 opravdu síla!
  • 30. 8. 2003 21:59

    cc (neregistrovaný)
    Jo, admini co tam tohle nechají jsou naprostí diletanti. ten vir snad nenadělá tolik škody jako tyhle odpovědi.
  • 28. 8. 2003 15:19

    noname (neregistrovaný)
    já jsem kdysi navrhoval Grisoftu vylepšit jejich antivir právě o to, aby byl využitelnější:
    1. většina virů je detekována až poté, co jsou rozeslány, kromě variant některých starších virů
    2. tudíž je třeba kontrolovat e-maily a aktualizovat antiviry PŘED stažením e-mailům.
    tudíž můj návrh byl takový - posílat nějakou specifickou hlášku registrovaným uživatelům pokaždé, když bude detekován nový virus a zjistí se jeho charakteristika (ještě dříve než bude třeba dopracováno odvirovávání a detailně prostudováno, co to dělá). Tento e-mail by byl nějak elektronicky podepsán (aby se nemohl virus tvářit jako tato zpráva a škodit jinak), a bude-li spuštěn antivir na serveru, tak by server automaticky stáhnul z dané adresy rutinu, která by rozpoznávala tento virus a on server by tím prošel své zprávy a detekované viry by dal do trezoru. Po zapracování antivirové fáze by se opět poslal e-mail a server by to aplikoval na soubory v trezoru a jestli něco nebylo virem, tak by to prošlo dál či bylo odvirováno, pakliže to je částečný virus (kombinace užitečné zprávy a třeba makra v souboru).
    Pakliže je uživatel ne na serveru ale home, tak by klientský antivirus při připojení k serveru stáhnul pouze hlavičky a pakliže by tam našel hlavičku, která by odpovídala zprávě od antivirové společnosti, pak by jako první stáhnul tento e-mail a aplikoval dodaný patch a až potom by stahoval další e-maily a ty zavirované dával do trezoru.
    Tím by se eliminovala naprostá většina zavirování, kdy antivirové společnosti už o viru ví (někdo je informoval před vámi), za půl hodiny už mohou mít vytvořen ten první e-mail a tak byste musel spustit (otevřít) daný e-mail v té půlhodině, nejenom jej přijmout.
    A teď to hlavní - podle mě by antiviry měly zároveň i kontrolovat systém, zda-li je virus proof a mohly by tedy zároveň fungovat jako firewally (ala kerio či zonealarm, nic složitého a drahého na implementaci) a optimálně se i starat o update systému aktuálním patchi! A připadně by mohl i variantně omezovat či měnit nějaké vlastnosti programů (tj. například u mailů by je převáděl z html na rtf tak, aby e-mail neobsahoval žádné aktivní části, stahoval obrázky z netu a pod.). Dále by měl antivir (ale to už třeba za další příplatek) v sobě obsahovat antispam, protože IMHO se spam a virus k sobě někdy až nebezpečně blíží, či se prolínají a jeden dává podklady pro druhý.
    šéf Grisoftu (nějak od D. tuším) pak ze mě dělal debila. Říkal, že antivirus nemůže suplovat to co má dělat výrobce OS. Já s ním nesouhlasím. Já prostě chci po antivirovém programu, aby mě chránil před viry a to VŠEMI DOSTUPNÝMI PROSTŘEDKY.
    Zatím mám pocit, že antivirové společnosti cítí, že by bez virů nemohly existovat a tak se nesnaží omezit jejich šíření, ale jen léčit škody, protože průměrný blbý uživatel si bude myslet, že ten antivir je dobrý, že ho zbavil viru, ovšem už mu nedojde, že jej měl před tím virem ochránit.
  • 28. 8. 2003 15:45

    Milan Berka (neregistrovaný)
    Existuji solidni reseni napr. od Network Intelligence - Crossbeam platforma, umi osetrit i 10 Gb tok dat, jo neco to stoji, ale kdyby se v dulezitych uzlech (napr.v NIXu) odfiltrovaly takove packety, urcite by to pomohlo...

    Otazka je, zda ovsem ISP nepotrebuji radeji zvysovat tok dat po siti nez ho snizovat...
  • 29. 8. 2003 7:17

    Milan Berka (neregistrovaný)
    Souhlasim, ale pro filtrovani viru napr. neni lepsi misto a
    prijde to nejlevneji - mate jedno reseni, jinak by kazdy ISP to delal zvlast, pokud to nenechate na ISP, bude to delat kazdy uzivatel. Jiste by z toho prodejci antiviru nemeli moc velkou radost, ale on by stejne pro jistotu to musel mit kazdy u sebe zase. Nemluvil jsem o SPAMu, mluvil jsem o virech.

    Je jiste lepsi zabezpecit dum a v nem byty nez nechat dum otevreny a zabezpecit jenom byty... Rada panelaku na to uz prisla.

    Je to jen moznost, ktera mne logicky napadla.
  • 29. 8. 2003 8:54

    Michal Kubeček (neregistrovaný)
    A nezdá se vám trochu neefektivní, aby NIX kvůli tomu musel analyzovat veškerý (dosti značný) datový tok až na úroveň aplikační vrstvy? Má-li někdo hledat červy v mailech, je k tomuto účelu ze samé podstaty daleko vhodnější využít MTA, který tak jako tak musí extrahovat maily z SMTP/TCP/IP.
  • 29. 8. 2003 9:12

    Michal Krsek (neregistrovaný)
    Mozna pro Vas bude prekvapeni, ale NIX je pouze medium na druhe vrstve. Pokud by mel prohlizet vsechna data, jestli nahodou nepredstavuji nejaky virus, vidim tu dva neprekonatelne problemy.

    1. Sluzby pro ISP by zdrazily nejmene o rad.
    2. NIX.CZ by nemohl zabezpecit, ze vsechny pakety projdou. A nedokazu si redstavit lidskou kapacitu, ktera by dohledala, PROC se nejake pakety ztraci (napriklad falesny poplach).

    Nemuzu se take zbavit dojmu, ze nekdo ma dojem, ze analyzovat datovy tok na urovni gigabitu az na uroven aplikacni vrstvy je nejaka trivialita ...

    Navic takove reseni popira cely princip Internetu - hloupa sit a chytre koncove stanice :-|

  • 29. 8. 2003 12:19

    Martin (neregistrovaný)
    Zkuste Nopton Internet Security. Jde o kombinaci firewallu (ala Kerio), antiviru a ochrany pred "nekalými" aktivitami pocitace (podezrele aktivity skriptů, cookies,...) Jenom ta aktualizace, kterou nevrhujete, tam neni a osobne si myslim, ze je to blbost. Predstavte si, ze do SARC (Symantec Antivirus Research Center) chodi denne nekolik novych viru. Rekneme 12/den. Pak by jste mel kazde 2hod. mail a kazde dve hodiny nejak stahoval aktualizace. A predstavte si, ze nejsou vsichni na pevne lince a jsou i taci, co stahuji postu 1x za 3 dny... nebo kdyz se vratite po 14 dnech z dovolene... pak by se z toho ten lokalni antivirak musel zakonite zblaznit. Mel by jste ve schrance cca 150-200 hlaseni o novych virech, ke kterym se ma stahnout docasna aktualizace (nez bude hotovy update) - jenze ta docasna tam uz neni, protoze je treba uz 10 dnu v plne aktualizaci. Proste by v tom byl hokej.

    Ackoli to neni zcela idealni, za dostatecne (ve smyslu aktualizaci) povazuji to, ze Norton Antivirus kontroluje nove aktualizace relativne dost casto (po restartu a jinak tusim kazdych 6 hodin) a aktualizace deli na dva typy - kriticka (stahne se automaticky kdykoli) a bezna (stahuje se 1x za tyden, v nasem casovem pasmu ve stredu v noci). Jinak i tu beznou aktualizaci si muzete stahnout treba v pondeli rucne - zvolite LiveUpdate (ochranite se pred novymi, ale relativne malo se siricimi viry).

    Docela bych uvital, kdyby bylo mozne v NAV zaskrtnout volbu, ze nebude stahovat emaily pred aktualizaci, pokud je na serveru nachystana.
  • 28. 8. 2003 16:45

    BFU (neregistrovaný)
    A co říkáte na zdarma antivirovou ochranu u emailů na Atlas.cz (NOD 32 - včetně možností si vybrat, jak naložit s emailem u kterého byl detekován vir: smazat, doručit jen předmět, do karantény atd.) ? A co použití filtrů jako antispamového opatření ?
  • 29. 8. 2003 10:55

    Karel Kocourek (neregistrovaný)
    Tak s touhle antivirovou ochranou uz jsem si docela vyhral. Kdysi jsem nastavil interaktivnim rozhranim, aby se zavirovane maily odkladaly do slozky Quarantine/Karantena. To fungovalo jenom kratce a nepravidelne, uz si nepamatuji, kvuli jake zavade. Hlasil jsem priznaky divneho chovani na jejich helpdesk - bez odezvy.

    Pak jsem to nejakou dobu vydrzel bez antiviru, ale pred par mesici me nejaky virus zacal zasypavat masove, takze uz me to nebavilo rucne tridit. Zapnul jsem tedy zase antivirus a zjistil (viry chodily natolik pravidelne, ze se to dalo odladit za chvili), ze automaticky vygenerovana podminka do filtru byla chybna a tudiz nemohlo nikdy dojit k jejimu splneni. Poeditoval jsem ji rucne, nacez to nejakou dobu pracovalo k me spokojenosti.

    Ted pred par tydny zacal zase nejaky virovy napor, nacez na Atlasu nastavili odvirovani natvrdo, bez ohledu na uzivatelska nastaveni (alespon se tak domnivam, protoze v pulce nejake virove kampane mi jejich antivirus misto presouvani do karanteny zacal sam od sebe dorucovat notifikace, ze virus byl odstranen). To mi nevyhovuje - chtel jsem videt zdrojovy text, protoze se mi podle nej pred tim parkrat podarilo nejakemu znamemu dat echo, ze je zavirovany.

    Posledni dobou mi vubec zadny virus neprisel, ackoli to vsude kolem mlati hlava nehlava. Tak nevim, jestli to proste na Atlasu nenastavili natvrdo mazat.

    Trochu jsem se rozkecal, ale chtel jsem ukazat priklady, proc nemuzu antivirovou ochranu Atlasu povazovat za dobrou. Myslenka ovsem je perfektni :-)
  • 29. 8. 2003 13:03

    Karel Kocourek (neregistrovaný)
    Tak s touhle antivirovou ochranou uz jsem si docela vyhral. Kdysi jsem nastavil interaktivnim rozhranim, aby se zavirovane maily odkladaly do slozky Quarantine/Karantena. To fungovalo jenom kratce a nepravidelne, uz si nepamatuji, kvuli jake zavade. Hlasil jsem priznaky divneho chovani na jejich helpdesk - bez odezvy.

    Pak jsem to nejakou dobu vydrzel bez antiviru, ale pred par mesici me nejaky virus zacal zasypavat masove, takze uz me to nebavilo rucne tridit. Zapnul jsem tedy zase antivirus a zjistil (viry chodily natolik pravidelne, ze se to dalo odladit za chvili), ze automaticky vygenerovana podminka do filtru byla chybna a tudiz nemohlo nikdy dojit k jejimu splneni. Poeditoval jsem ji rucne, nacez to nejakou dobu pracovalo k me spokojenosti.

    Ted pred par tydny zacal zase nejaky virovy napor, nacez na Atlasu nastavili odvirovani natvrdo, bez ohledu na uzivatelska nastaveni (alespon se tak domnivam, protoze v pulce nejake virove kampane mi jejich antivirus misto presouvani do karanteny zacal sam od sebe dorucovat notifikace, ze virus byl odstranen). To mi nevyhovuje - chtel jsem videt zdrojovy text, protoze se mi podle nej pred tim parkrat podarilo nejakemu znamemu dat echo, ze je zavirovany.

    Posledni dobou mi vubec zadny virus neprisel, ackoli to vsude kolem mlati hlava nehlava. Tak nevim, jestli to proste na Atlasu nenastavili natvrdo mazat.

    Trochu jsem se rozkecal, ale chtel jsem ukazat priklady, proc nemuzu antivirovou ochranu Atlasu povazovat za dobrou. Myslenka ovsem je perfektni :-)
  • 29. 8. 2003 13:10

    Karel Kocourek (neregistrovaný)
    Sorry za dvojnasobny prispevek. Melo to tak dlouhou odezvu, ze uz jsem jej povazoval za neprijaty.
  • 29. 8. 2003 8:04

    Luboš (neregistrovaný)
    Jediný účinný způsob boje proti spamům je na straně providera. Nespočívá ovšem v tom, že tento bude přehrabovat došlé maily a rozhodovat co je a co není spam, ale že neopak zamezí posílání těchto spamů tím, že bude blokovat připojení těch uživatelů, kteří spamy rozesílají. Je to dle mého názoru jediná možnost která by fungovala, pokud by se na ni domluvili všichni provideri (nebo ještě lépe - byla uzákoněna).
    Když jsem kdysi pracoval u jednoho menšího poskytovatele, stalo se že přes náš server byly odesílány nevyžádané maily. Netrvalo dlouho a dostali jsme výhrůžný mail od primárního poskytovatele (IBM - ti na takové věci hodně dbali, bohužel asi na rozdíl od většiny ostatních), že pokud to nezastavíme, odpojí nás od Internetu. Znovu opakuji - je to jediná cesta.
  • 29. 8. 2003 12:46

    workoholik (neregistrovaný)
    od toho tu je veřejný blacklisting na bl.spamcop.net. Nevím co všichni řešíte, sáhodlouhé litanie nad spamem, imbecilním spamassasinem a podobnými zhůvěřilostmi. Nastavte si MTA aby nepřijímal maily od IP která nemají MX záznam, nastavte spamcopa, případně check_from rules a pokud vám to ještě nestačí a chcete se tuplovaně pojistit nastavte si toho assasina. A je po ftákách.
  • 29. 8. 2003 12:57

    Michal Kubeček (neregistrovaný)
    Nastavte si MTA aby nepřijímal maily od IP která nemají MX záznam

    Za prvé: nevidím jediný důvod, proč by to mělo pomoci. Za druhé: vidím jasný důvod, proč by to vadilo. Za třetí: nevidím způsob, jak v historicky krátkém čase zjistit, zda na se na danou adresu resolvuje hodnota nějakého MX záznamu. Takže bych prosil nějaké bližší vysvětlení.

  • 29. 8. 2003 14:36

    LK (neregistrovaný)
    Tak mi věřte, že to maximálně pomáhá (pokud autor myslel revezní DNS záznam, což dle kontextu myslím, že myslel :-). Po neudržitelném přísunu spamů jsme si na server nainstalovali MessageWall. Software, který funguje jako mail-proxy mezi naším Postfixem a klientskými SMTP servery. Má mnoho možých nastavení a kromě filtrování a blacklistů je možnost ignorovat maily ze serverů, které nemají reverzní DNS. Zachytí prakticky veškerý spam ze světa (české většinou projdou). Máte-li zájem, napište a udělám Vám statistiku přijatých mailů/odmítnutých mailů pro mojí schránku a uvidíte, že to smysl má.
  • 29. 8. 2003 15:17

    Michal Kubeček (neregistrovaný)
    Vyjadřoval jsem se k tomu, co bylo napsáno. Kdyby tam bylo reverzní záznam, vyjádřil bych se jinak. Konkrétně asi takto: každá používaná IP má mít reverzní záznam. Tudíž na odmítnutí jakékoli komunikace s hostem, jehož IP nemá reverzní záznam, nevidím nic principiálně špatného, SMTP není žádnou výjimkou. Na druhou stranu trvám na tom, že to nijak moc nepomůže - krátkodobě možná ano, ale pokud by se takové "řešení" rozmohlo, začnou prostě spammeři rozesílat spam z hostů s reverzním záznamem. Jinak se nezmění vůbec nic.
  • 29. 8. 2003 15:23

    Michal Krsek (neregistrovaný)
    Dovolim si podotknout, ze me chodi naprosta vetsina SPAMu z adres, ktere maji validni reverzni i primy DNS zaznam.
  • 1. 9. 2003 14:38

    PaJaSoft (neregistrovaný)
    Dovolim si podotknou, ze mne chodi 90% SPAMu z adres bez patricneho PTR zaznamu. Zrejme proto, ze ten "ostatni" spam se mi pomerne uspesne dari pacifikovat.

    Take i ja jsem si pohraval s myslenkou neprijimat SPAM od adres bez PTR, bohuzel bordel nejen ceskych ISP je prilis veliky...:-(

  • 1. 9. 2003 9:38

    LK (neregistrovaný)
    Jenom na úvod doplním moji zkušenost s reverzním IP - teď jsem se díval do logu a pro asi 5 schránek od včerejšího rána to vyházelo 39 spamů, z toho 12 proto, že nemají reverzní IP adresu (a 16 kvůli tomu, že odesílací SMTP je na blacklistu, pro zajímavost).
    Jinak co by se změnilo, pokud by každý měl reverzní záznam. Dle mně minimálně to, že by bylo evidentní, k jakému providerovi ten který spammer patří a provider by měl snazší možnost zasáhnout. Neřeším ty případy, kdy spammer dlouhých penisů či plných ňader naboří někomu mašinu a pošle to z ní, tomu se ani zabránit nedá. Ale pokud bude provider (např.) abc.tw.com známý tím, že z jeho SMTP serverů odchází spamy (třeba proto, že pro získání účtu je třeba bezplatná registrace, nic se neověřuje a tudíž robot vytvoří účet pro jednorázové použití, pošle spam apod.), brzy se ocitne na blacklistu a z jeho serveru už spam nedostanu. A bude-li slušným zákazníkům abc.com.tw vadit, že jejich maily budou ostatní servery (pokud budou používat blacklisty) odmítat, buď s tím bude muset provider něco udělat nebo se zákazníci přesunou jinam.
    Rozhodně nechci tvrdit, že je to samospasitelné, minimálně jako slabé místo vidím ten blacklist (kdo a jak rozhodne, co je opravdu spam apod.), ale rozhodně mi stávájící situace (blokace non-reverzních IP + blacklisty) moc a moc pomáhají a kde nepomůže ani to, pak je to filtr na slova loan, penis apod. (ale samozřejmě ani zde vynalézavost spammerů nezná mezí a tudíž posílají spamy v HTML, kde jsou znaky jako entity, místo penis napíšou pen!s atd.).
  • 1. 9. 2003 10:01

    Michal Kubeček (neregistrovaný)
    Jinak co by se změnilo, pokud by každý měl reverzní záznam. Dle mně minimálně to, že by bylo evidentní, k jakému providerovi ten který spammer patří a provider by měl snazší možnost zasáhnout.

    K tomu slouží whois databáze a IMHO lépe.

    ale samozřejmě ani zde vynalézavost spammerů nezná mezí a tudíž posílají spamy v HTML, kde jsou znaky jako entity

    Na což spamassasin promptně reaguje a přiřazuje tomu náležité bodové ohodnocení... :-)

  • 1. 9. 2003 11:03

    LK (neregistrovaný)
    K tomu slouží whois databáze a IMHO lépe.
    Pokud uvidím v received from adsl-1.2.3.4.abc.com.tw, je to pro mně snazší než dávat ve whoisdb dotaz na 12.34.128.35.

    Navíc je nepochybně snazší v blacklistu udržovat záznam *.abc.com.tw než tam mít konkrétní adresové rozsahy a navíc hlídat, zda provider abc.com.tw náhodou nezměnil IP adresy.

    Ale myslím, že to jsou již detaily a shodneme se na tom, že revezní IP určitě ano.
  • 1. 9. 2003 12:09

    Michal Kubeček (neregistrovaný)
    Pokud uvidím v received from adsl-1.2.3.4.abc.com.tw, je to pro mně snazší než dávat ve whoisdb dotaz na 12.34.128.35.

    Mezi příkazy 'host 1.2.3.4' a 'whois 1.2.3.4' je rozdíl jednoho znaku... :-)

    Navíc je nepochybně snazší v blacklistu udržovat záznam *.abc.com.tw než tam mít konkrétní adresové rozsahy a navíc hlídat, zda provider abc.com.tw náhodou nezměnil IP adresy.

    To bezesporu ano. Ale v minulém příspěvku jste operoval možností zjistit, komu si mám na nežádoucí chování z dané IP adresy stěžovat. Proto jsem upozornil, že tento problém řeší (a lépe) whois.

    Ale myslím, že to jsou již detaily a shodneme se na tom, že revezní IP určitě ano.

    S tím naprosto souhlasím, jak už jsem napsal, na blokování jakékoli komunikace z hostů bez reverzního záznamu nevidím nic principiálně špatného. Jenomže doba je taková, že provider, který umožní na jedné adrese existovat padesáti virtuálním webům s adresami typu firma.cz bez reverzních záznamů, není označen za vyvrhele, ale dáván ostatním za příklad. :-(

  • 1. 9. 2003 14:51

    LK (neregistrovaný)
    Ja psal, ze pokud uvidim IP adresu rovnou resolvovanou (protoze to za mne udela MTA), je to radove pohodlnejsi nez to zjistovat host nebo whois. Navic jste-li za proxinou (jako treba ted ja), uz to neni o jednom znaku navic.

    To bezesporu ano. Ale v minulém příspěvku jste operoval možností zjistit, komu si mám na nežádoucí chování z dané IP adresy stěžovat. Proto jsem upozornil, že tento problém řeší (a lépe) whois.
    To jsem uváděl jako jednu z řady výhod mít povinný revezní DNS záznam a stojím si za tím, že kouknout do hlavičky mailu je rychlejší než kouknout do hlavičky mailu a zde zjištěnou IP adresu dávat jako parametr pro whois spouštěný v terminálu. Ale už mně to nebaví, protože už akorát dopilováváme, co kdo a jak myslel a přitom si v globálu rozumíme.
  • 1. 9. 2003 16:19

    Michal Krsek (neregistrovaný)
    Domnivam se, ze jste velmi daleko od sebe :-) Nejde o jedno pismenko, ale o to, ze v jednom (vami zminovanem) pripade je cely system postaven na vode. Predpokladam, ze p. Kubecek pres svuj whois ziskava adresy od RIRu. Pak jde o kvalitativne zcela jiny system nez Vas :-))))
  • 1. 9. 2003 18:09

    LK (neregistrovaný)
    Ja nepopiram, ze whois je na ledaccos lepsi nez reverzni IP. Ja pouze tvrdim, ze nas mailserver odmita komunikovat s pocitaci bez reverzniho IP a to ma za nasledek eliminaci mnoha spamu a to mi ke spokojenosti staci. Blacklisty vyuzivame mezinarodni take k plne spokojenosti.
    Ta reverzni IP neni nic jineho nez prvni krucek, jak zamezit spamum, ale to uz jsem psal na zacatku. Asi jste mne nepochopil, ja jsem netvrdil, nakolik relevantni je pri prijmu mailu reverzni IP, mne (systemu) pro zacatek staci, ze existuje.
  • 2. 9. 2003 9:28

    Michal Krsek (neregistrovaný)
    Myslim, ze Vam rozumim. V kazdem pripade ale efektivnost takoveho opatreni proti spammerum shledavam za diskutabilni. Nicmene resi to jiny problem - a tim je casto rozsireny nesvar v sitich (nejen) ceskych operatoru - neexistenci revernich zaznamu.
  • 2. 9. 2003 10:03

    LK (neregistrovaný)
    Abyste to shledaval jako diskutabilni Vam samozrejme zabranit nemohu, ale jiz vcera jsem uvadel, ze diky odmitani reverznich IP se odmitlo zpracovat zhruba 30% spamu (za nedeli+pondeli rano).
    Ted tedy udelam statistiku novou. Tyka se celkem sesti schranek a je od nedele 4:00 (spravne, logrotate :-) do ted (utery 9:50), cili celkem cca 53 hodin.
    Odmitnuto bylo 207 mailu jako spamu.
    Z toho 26 kusu proto, ze odesilatel je na blacklistu.
    Dalsich 147 kusu diky absenci revezniho IP zaznamu.
    31 kusu bylo odmitnuto proto, ze nebyl striktne dodrzen RFC.
    3 kousky obsahovaly v textu zakazana slova.

    Cili souhrnne mohu rict, ze 3/4 spamu (ze slo o spam si mohu dovolit tvrdit proto, ze vidim adresy odesilatelu, napr. nissy.hayward_jy@ns.sympatico.ca, stephenie.reynoldsuj@cantv.net a rada dalsich, se kterymi jsem nikdy nekomunikoval) bylo odmitnuto diky nutnosti mit reverzni DNS zaznam.
    Samozrejme muzete namitnout, ze moje vysledky nemuzu zobecnovat, ale verte mi, ze ja tuto efektivnost shledavam jako vybornou.
  • 2. 9. 2003 10:30

    Michal Krsek (neregistrovaný)
    Dobry den,
    ja Vam neberu, ze ten system Vam vyhovuje (koneckoncu jinak byste ho asi nenasadil). Jen tvrdim, ze proste neresi problem SPAMu, ale resi problem toho, ze ISP nemaji na IP adresach reverzni zaznamy.

    Je to podobne, jako bych Vam rekl, ze muj trivialni filtr ve schrance, ktery presouva vsechny e-maily, ktere maji v hlavicce odesilatele z Ruska, Ukrajiny, Koreje a Ciny (a dalsich) ... resi problematiku SPAMu. Ne, on resi problematiku SPAMu, ktery je adresovan me osobe - coz je pomerne velky rozdil. Rozhodne bych se neodvazil vydavat ho za nejake univerzalni reseni :-)

  • 2. 9. 2003 12:21

    LK (neregistrovaný)
    Ale myslete si, cituji Vas, "efektivnost takoveho opatreni proti spammerum shledavam za diskutabilni.". Ja pouze tvrdim, ze na mnou sledovanem serveru (upozornuji, ze dva z tech mailboxu jsou moje, ale ostatni uz ne) je blokace adres bez reverzniho zaznamu maximalne ucinna v boji se spamem a toto tvrzeni jsem si overil statistikou. Nikdy jsem netvrdil, ze blokace adres bez reverzu je jedinym nebo dokonce univerzalnim prostredkem, coz se mi snazite podsouvat.

    Vase tvrzeni, ze to resi problem toho, ze ISP nemaji reverzni zaznamy a neresi to spam, mi opravdu prijde jako slovickareni za kazdou. To byste mohl tvrdit, ze vytrzeni bolaveho zubu vubec neresi bolest, kterou zub pusobi, ale resi to, ze zub ma kaz. A ze po vytrzeni zubu (krome eliminace kazu) to prestane bolet je vlastne jen maly okrajovy efekt.
    Tvrdim, ze v soucasne dobe je vyzadovani reverzni IP jednim z dulezitych prvku pri boji se spamem.

    Apropos, na ty moje dva maily dorazil za sledovane dva dny jediny spam a to od spammera levnapc, ktery se ihned ocita na lokalnim blacklistu.

    Neresim (neb to toho tolik nevidim), jak boj se spamem resit systemove a globalne. Na nase nasazeni (ale verim, ze tak 80% firmam by to take vyhovovalo) zatim staci to, co jsem popsal.
  • 2. 9. 2003 11:38

    Michal Kubeček (neregistrovaný)
    Už jsem to napsal jednou: systém možná může docela účinně fungovat v tuto chvíli. Ale je asi poměrně jasné, že pokud by se blokování SMTP komunikace z MTA bez reverzního záznamu rozšířilo masověji, jediným efektem bude snížení počtu IP adres bez reverzního záznamu (což je samozřejmě pozitivní, ale se spamem to souvisí jen velmi okrajově).
  • 2. 9. 2003 12:02

    LK (neregistrovaný)
    Ja uz jsem to take psal - potom nastupuje blacklist (jak vidite, take v mem pripade docela uspesny) a pak filtrace dle obsahu. Nechci porad opakovat, ze reverze neni vselek, ale zatim se mi vyznamne osvedcuje.
  • 1. 9. 2003 17:06

    Michal Kubeček (neregistrovaný)
    Obávám se, že si až tak moc nerozumíme. Zkuste si představit, že bych definitivně zešílel (mnoho lidí mne už z toho podezírá dávno) a rozhodl se páchat nepravosti ze své IP adresy 213.168.177.86. Udělejte si reverzní lookup a zkuste odhadnout, kdo by asi tak případnou stížnost dostal. A pak zkuste pro srovnání whois.
  • 1. 9. 2003 18:19

    LK (neregistrovaný)
    Dobre, tak si nerozumime. Ja Vam neberu whois. Tvrdim, ze pro boj se spamem s reverznim lookupem jako jednou z rady podminek pro prijeti mailu SMTP serverem mam zkusenosti vice nez dobre a nemam dojem, ze by situace (hypoteticka), kdy vsichni reverzni DNS maji, nemela zadny vliv na spam.
  • 1. 9. 2003 16:15

    Michal Krsek (neregistrovaný)
    Dobry den,

    tato myslenka je zcela zcestna. Do reverzniho zaznamu si muze kazdy napsat, co chce, takze se muze stat, ze zablokujete nekoho, kdo za dany problem jednak nemuze a jednak nemuze ovlivnit dalsi chovani (ani pripadne vyreseni problemu).

    Jedinou alespon trosku spolehlivou metodou identifikace providera jsou zaznamy v RIR.

    A mimochodem, zmena IP adres je pro providera MNOHEM slozitejsi nez zmena domeny.

    Myslim, ze v kazdem systemu bychom meli mit pred ocima predevsim spravnost a az teprve pote jednoduchost implementace.

    MK

  • 30. 8. 2003 8:16

    Jiří Kuchta (neregistrovaný)
    1) to je snad jasné - vypadnou všechny narychlo nainstalované mailservery na ukradených IP.
    2) pokud vám vadí, že donutíte někoho s kým nesmírně nutně musíte komunikovat aby si nastavil správně svou síť a informace o ní, tak sorry
    3) ehm - to snad opravdu nemyslíte vážně?
  • 30. 8. 2003 10:07

    Michal Kubeček (neregistrovaný)
    Asi si nějak nerozumíme:
    • 1. Nechápu. Když už budu krást IP (což samozřejmě jde jen za určitých podmínek), proč bych si nemohl ukrást IP, na kterou směřuje MX záznam? A vůbec - když už si budu dočasně instalovat MTA pro rozeslání spamu, proč bych si na něj stejně dočasně nemohl nasměrovat jakýkoli záznam, tedy i MX?
    • 2. Četl jsem RFC 821, 822, 2821, 2822 (a samozřejmě i další) a nikde jsem nenašel zmínku o tom, že odesílat maily smí pouze počítač, na který směřuje nějaký MX záznam. Tak mi, prosím, vysvětlete, co rozumíte tím správným nastavením sítě.
    • 3. To myslím naprosto vážně. Jediný způsob, jak zjistit, zda na danou IP adresu směřuje nějaký MX záznam, je IMHO prohlédnutí všech doménových jmen a otestování jejich MX záznamů (a navíc samozřejmě jejich resolvování na IP). I kdyby všechny nameservery měly povolený transfer zóny, byla by to časově velmi náročná operace. Ve skutečnosti mnoho nameserverů (zejména ty od větších zón) transfer povoluje jen vybraným klientům. Pokud znáte nějaký způsob, jak takovou věc zjistit v rozumné době (řekněme do minuty), sem s ním.

  • 30. 8. 2003 11:56

    Dan Lukes (neregistrovaný)
    (2) - nic takoveho soucasna RFC skutecne nevyzaduji a dokonce neni splneni takoveho pozadavku ani rozumne ocekavatelne. Naopak, rozhodne neni neobvykle, ze "odchozi" postu odesila jiny stroj nez jaky je urcen pro prijem. Takze aplikace zmineneho pravidla v soucasnosti nutne smeruje k falesnym odmitnutim.

    Nicmene - prijmout takova pravidla, ze jednomu MTA smi posilat postu pouze

    1. zalozni MX pro jim obsluhovane domeny
    2. lokalne nakonfigurovane IP (lokalni obsluhovani uzivatele)
    3. MTA urceny obsluhovat dane koncove stroje

    by mohlo veci trochu zlepsit. Prinejmensim o to, ze by bylo jasne, kdo odovida za odesilani posty z dane oblasti.

    Pricemz pro zjisteni informace, ktery MTA je opravneny obsluhovat dane koncove stroje (a tedy zprostredkovavat pro ne vstup posty do site) by se muselo neco vymyslet - nejspis do DNS.

    Jene zatim nic takoveho neexistuje a i kdyby se neco takoveho zavedlo, dlouhe prechodove obdobi je nevyhnutelne. Posta je jednou nejstarsich standardizovanych aplikaci Internetu ...

  • 30. 8. 2003 12:39

    Michal Kubeček (neregistrovaný)
    Ta formulace "MTA určený obsluhovat dané koncové stroje" se mi moc nezdá. Především z mailu nepoznám, kde vznikl - nanejvýš z hlaviček Received: a do těch si každý může napsat, co chce. A navíc se k nim dostanu až v okamžiku, kdy je mail přijímán - což je svým způsobem pozdě.

    Spíš bych viděl jako průchodnější zavedení jakési analogie MX záznamům. Tedy něco na způsob 'firma.cz. MT smtp.firma.cz.' s významem počítač smtp.firma.cz je určen k odesílání pošty s adresou odesílatele cokoli@firma.cz. Tj. nedefinovat "oprávněný MTA" podle místa vzniku mailu ale podle adresy odesílatele. To by umožňovalo kontrolu ze strany přijímajícího MTA už po příkazu MAIL.

    Trochu se to blíží diskusi, která tu nedávno proběhla ohledně toho, že Atlas a iDnes údajně nabízejí připojení k Internetu bez SMTP relay. Šlo o to, zda uživatel, který se připojí přes iDnes a chce poslat mail ze své adresy ferda@seznam.cz, má používat k tomu účelu SMTP relay iDnes nebo Seznamu. Osobně mi vyhovuje dnešní stav, kdy si může vybrat (a navíc může mail odeslat přímo). Ale jsem připraven na to, že tomu tak nemusí být navždy.

  • 30. 8. 2003 22:14

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Vybirat MSP podle adresy odesilatele neni vubec dobry napad. Za prve - jedina moznost, jak muze tento system fungovat je autentizace prichoziho uzivatele - jinak je system k nicemu, coz je, ostatne videt prave na prikladu Seznamu, jehoz server byl pomerne huste k odesilani SPAMu zneuzivan (SPAMerum podminka "musim mit v adrese odesilatele NECO@seznam.cz" vetsinou prilis nevadi a vesele from adresu padelaji). Druhy problem je v tom, ze kontakt s MSP (tak budu oznacovat prvni MTA, ktere postu od uzivatele prebira) je zbytecne distancni - pri me, blahe pameti, navsteve Indie jsem samozrejme nechtel pro komunikaci zrizovat nejakou specialni adresu. Prichozi postu jsem si tam forwardoval, odchozi postu odesilal pres lokalni SMTP s odchozi adresou "normalni" - a tak to jakz-takz fungovalo. Prime spojeni do CR na "jedinny opravneny" MTA bylo prakticky nedosazitelne pro nizkou rychlost a takrka nekonecnou ztratovost. Pri vasem systemu by tedy clovek cestujici po svete mohl mit problemy s postovni komunikaci, pokud by si nezrizoval "lokalne prislusne" adresy. Muzete sice tvrdit, ze Internet je od toho, aby fungoval celosvetove, ale velmi prijemna vlastnost posty byla, ze tento system byl schopen fungovat i za situace, kdy prime interaktivni spojeni mozne nebylo - a me pripada nestastne a hlavne zbytecne tuto vlastnost ztratit. Tretim problemem je to, ze musite na svem MSA pocitat se spojenimi z celeho sveta, protoze z celeho sveta skutecne mohou prichazet - coz komplikuje jeho zabezpeceni, ktere se vam bude sakra hodit, protoze jde o stroj, kde se lze autentizovat - a bude tedy cilem brutal-force utoku smerujicich k nalezeni spravneho autentizacniho tokenu. Zadni z problemu neni fatalni - ale privolavani kterehokoliv z nich se mi zda byt zbytecne

    Stale si myslim, ze kontrola "opravneneho MSA" podle IP je vhodnejsi - ma lepsi parametry ve vsech vyse zminenych vlastnostech a pritom si nejsem vedom vaznejsich komplikaci. Dokonce ani explicitni autentizace odesilatele neni nutna, i kdyz neni ani vyloucena. Souhlasim ale s tim, ze zjistit udaj z "received" hlavicky je pozde - udaj o IP adrese, ze ktere MSA postu prijal by ale mohl byt celkem bez problemu predavan jako extenze MAIL FROM. V cem jsou nase navrhy spolecne je existence informace o "opravnenych MSA" ulozena v DNS, s tim, ze ja je klicuji podle IP zdrojove stanice - tento udaj by pak byl tedy nejspis obsazen v DNS v reverzni zone.

    Samozrejme, ze chapu, ze jako uzivateli vam vyhovuje , ze si muzete SMTP siroce vybrat - jenze ja pak, jako nestastny prijemce vic nez stovky SPAMu denne se nemam na koho obratit aby takove radeni zatrhnul - prave proto, ze vy si muzete prilis siroce vybirat (samozrejme predpokladam, ze pouziva prvni osoba nebude chapana jako osobni utok). Prave zuzeni teto moznosti vyberu - pricemz se ale soucasne snazime, aby nikdo nebyl omezen vice nez je naprosto bezpodminecne nutne umozni nejaky zasah.

  • 30. 8. 2003 23:20

    Michal Kubeček (neregistrovaný)
    coz je, ostatne videt prave na prikladu Seznamu, jehoz server byl pomerne huste k odesilani SPAMu zneuzivan (SPAMerum podminka "musim mit v adrese odesilatele NECO@seznam.cz" vetsinou prilis nevadi a vesele from adresu padelaji)

    Samozřejmě předpokládám, že SMTP relay (např.) Seznamu bude i nadále posílat ven pouze poštu od svých klientů. Jak si definuje své klienty a jak to bude ověřovat, to bych nechal na něm (autentizace, IP restrikce, ...). Pokud to dělat nebude, samozřejmě riskuje, že se brzo ocitne na veřejných blacklistech (pokud tam už není :-) ). Ale tohlo jsou věci, které fungují (resp. měly by fungovat) už dnes.

    Pri vasem systemu by tedy clovek cestujici po svete mohl mit problemy s postovni komunikaci, pokud by si nezrizoval "lokalne prislusne" adresy

    Toho problému jsem si vědom. Nemyslím si, že varianta, kterou jsem navrhoval, je nějak výborná. Pouze si myslím, že je o něco lepší (nebo spíš méně špatná) než ta druhá. Její výhodu vidím v tom, že by aspoň zamezila tomu, aby kdokoli mohl rozesílat po světě viry s adresou odesílatele security@microsoft.com. Protože bohužel pořád existuje dost uživatelů, kteří věří tomu, co je napsáno ve From: (a nevěřím, že by se to mohlo změnit).

    Souhlasim ale s tim, ze zjistit udaj z "received" hlavicky je pozde - udaj o IP adrese, ze ktere MSA postu prijal by ale mohl byt celkem bez problemu predavan jako extenze MAIL FROM.

    To byl jen vedlejší problém. Ten hlavní vidím pořád v tom, že příjemce nemá možnost tu IP adresu zdrojové stanice zjistit, je odkázán na to, co mu předávající MTA řekne. Takže není problém napsat tam jako zdrojovou IP adresu cokoli, co se zrovna hodí. Takže to svým způsobem není o nic věrohodnější údaj než adresa odesílatele.

    s tim, ze ja je klicuji podle IP zdrojove stanice - tento udaj by pak byl tedy nejspis obsazen v DNS v reverzni zone

    Tady vidím jednu zjevnou výhodu, kterou rozlišení podle IP adresy zdroje má. Obvykle je výrazně obtížnější dostat se k reverzním záznamům než k přímým. Na přímé záznamy stačí si zaregistrovat nějakou doménu; ty reverzní by mi musel někdo nadelegovat - a když je budu zneužívat, můžu o tu delegaci snadno přijít.

    Samozrejme, ze chapu, ze jako uzivateli vam vyhovuje , ze si muzete SMTP siroce vybrat - jenze ja pak, jako nestastny prijemce vic nez stovky SPAMu denne se nemam na koho obratit aby takove radeni zatrhnul

    Bohužel je tady jasně patrné, že klasické internetové protokoly vznikaly v době, kdy slušné chování bylo samozřejmostí a pokud náhodou u někoho nebylo, nebyl problém ho z Internetu velmi rychle vyobcovat. Proto v nich chybějí jakékoli obranné mechanismy proti nežádoucím jevům, které jsou dnes na denním pořádku. Problém vidím právě v té možnosti se na někoho obrátit: je mnoho provozovatelů služeb, kteří jakékoli žádosti o zákrok (snad kromě policie) ignorují a klidně si provozují open relay nebo jiným způsobem umožňují masivní spamming prostřednictvím jejich serverů. Dokud se toto nezmění, bojím se, že žádné z navrhovaných řešení nebude k ničemu.

  • 31. 8. 2003 2:08

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    To je hezke, ze to chcete nechat na nem, ale nedavate mu k tomu prostredky. Zminil jste autentizaci - v tom se shodujeme, ze to prostredek je. Jenze takrka jedinny. IP restrikce tim prostredkem byt nemuze, protoze Seznam neni tim, kdo by IP adresy prideloval, mohl jejich prideleni sledovat kontrolovat nebo ovlivnovat. Seznam tedy ucinne NEMUZE detekovat "sve" uzivatele podle IP adresy, protoze neni schopen zjistit, ze nejaka adresa byla v mezidobi pridelena nekomu jinemu a neni ani v jeho moci odhadnout nakolik je mozne ci nemozne zneuziti takove "autorizovane" adresy. Uz na tom je videt, ze svereni kontroly tomu, kdo ma kontrolu nad IP (co je ta moje varianta) je vyhodnejsi - protoze ten, na rozdil od Seznamu skutecne ma k dispozici vami zminene dve metody. Seznam je nema.

    Co se tyce druhe casti prispevku - ja mel dojem, ze rec je o MAIL FROM adrese, tedy o adrese ze SMTP obalky. Alespon ja se celou dobu bavim o SMTP. To ale neni adresa, kterou uzivatel vidi, takze to, co popisujete jako problem a jeho reseni povazujete a vyhodu je patrne daleko komplikovanejsi problem, nez vas napadlo - a bude tezke to doladit tak, aby to stale zustalo resenim a jeste se to dalo povazovat za vyhodu. Krome toho, nas problem neni autenticita from (at uz se bavime o kteremkoliv ze FROMu) ve spojeni s laickymi uzivateli. Problem duveryhodnosti dopisu resi dostatecne uplne system elektronickych podpisu a neni duvod ho resit duplicitne upravou systemu dorucovani. Nas problem, ktery zatim dobre reseni nema a o nalezeni ktereho diskutujeme je SPAM. Pri reseni tohoto problemu zminena vyhoda vlastne zadnou vyhodou neni (a to optimisticky predpokladam, ze problem vubec resi, coz opravdu neni prilis jiste) a neni tedy zvlastni duvod kvuli ni toto reseni preferovat. Mimochodem, ve vasem systemu budete muset nejak vyresit posilani dopisu se zdrojovou adresou <>.

    Co se tyce tretiho prispevku - tam jste nepochopil (nepochybne proto, ze jsem to spatne vysvetlil), PROC je ta adresa predavana. Ta adresa je predavana proto, abych v pripadech, kdy MTA VERIM, ze ta adresa je prava mohl, pri vyskytu SPAMu blokovat jen zminenou adresu a nemusel blokovat hned celou komunikaci daneho MTA (predstavte si, ze se bavime o MTA celeho AOLu nebo nekoho jineho podpbne velikeho) a tim komunikaci vsech ostatnich uzivatelu. Neduveryhodne MTA (jejichz seznam muze byt snadno vedeny formou RBL) se samozrejme blokuji cele a takto predavana IP je irelevantni a k nicemu se nepouziva. Cela DNS kontrola na "patricnost" MTA k dane IP je pak uz jen mala pojistka celeho procesu - aby MTA, o kterem se jeste nevi, ze neni duveryhodny, nemohl rozesilanim SPAMu a uvadenim nahodnych zdrojovych adres blokovat komunikaci nevinnych - takze MTA sice verim, ale preci jen je ta duvera limitovana a overovana jeste jednim udajem pochazejicim z vice-mene nezavisleho zdroje. Naopak, kazdy "kecajici" MTA by tim mel k dispozici jen omezenou sadu IP adres, ktere by mohl takto pouzit a ty by se na black-list dostaly velice rychle vsechny i v pripade, ze by nebyl MTA zablokovan jako celek. Tento system je bezpecny prave tim, ze ackoliv "kecani" neni uplne vylouceno, pomaha jen na malou chvili a neni jednoduche se po "kecani" vzpamatovat a zopakovat ho. Prave ve spojeni s tim, ze kontrolni system je navazan na pridelovani IP, ktere je pod daleko vetsi kontrolou nez pridelovani domen vidim hlavni silu, pritom ji ale dosahuji bez negativnich pruvodnich jevu sily systemu vaseho a pritom nevyzaduje zadne razantni zasahy do existujicich postupu a umoznuje i postupne zavadeni.

    Klicovy je ale zaver vaseho prispevku - stav, ktery popisujete, je dan prave tou vysokou variabilitou. Prijemci nemaji zadnou jednoduchou moznost jak konkretniho spammera blokovat a mohou blokovat prakticky jen cele obrovske bloky adres (a ani to neni spolehlive), coz prinasi neprijatelne side-efekty a proto se to vetsinou nedela. Tim nemohou vyvinout tlak na ISP a ti tedy neprijimaji zadna efektivni opatreni - a ostatne, jejich moznost je prijmout je vysokou variabilitou take dost zasadne komplikovana. Prave to, ze ISP zasah umoznite a vyrazne zjenodusite a soucasne obetem umoznite reagovat daleko selektivneji (a tedy bez neprijatelnych side-efektu) by mohlo prinest vyrazne lepseni. Bavime se prave o tom, ze bude mozne efektivneji zasahovan proti "ignorujicim" i bez policie - respektive, dokazete je jasne znevyhodnit proti neignorujicim, coz pro ne muze ekonomicke nasledky a tim vyvolate ten tlak. Ano, to o cem mluvim nevyresi problem ani uplne ani mavnutim kouzelneho proutku - ale to na tom se svym systemem nejste lip. Ja mluvim o navrhu, ktery by MOHL pomoci a ktery se mi, alespon zatim, zda pomerne dobry (to je, ostatne i ten vas, i kdyz neni TAK dobry ;-) ). Uz jsem prilis stary na to abych zahodil dobre reseni jen proto, ze neni dokonale.

    Nicmene, bavime se v ciste teoreticke rovine. Aby byla sance, ze se nektery ze systemu nekdy ujme v praxi, bylo by nutne precizovat navrh dokonce, napsat draft, predlozit ho odborne verejnosti, zkusit protlacit implementaci do distribuce sendmailu (treba jen jako volitelny option), presvedcit par veltsich ISP, aby vyplnily do DNS prislusne zaznamy - proste, delat na tom. Jen tak si o veci povidat na Lupe (kde jsme mimochodem, dost mimo bezny typ diskuse nemluve o tom, ze v bezne mailove konferenci by se o tom diskutovalo pohodlneji) nic neresi - a SPAMy chodi dal. Jen za dobu napsani tohoto prispevku jsem jich dostal osm ...

  • 31. 8. 2003 12:18

    Michal Kubeček (neregistrovaný)
    Co se tyce druhe casti prispevku - ja mel dojem, ze rec je o MAIL FROM adrese, tedy o adrese ze SMTP obalky.

    Samozřejmě. Původně jsem chtěl napsat, že uživatelé věří dokonce i tomu, co je v položce From: hlavičky mailu, která je ještě méně důvěryhodným údajem než adresa z obálky. Protože příspěvek byl už tak dost dlouhý, větu jsem zkrátil, takže výsledek působil poněkud mimo mísu (a to, co mi zůstalo v hlavě, se nepřeneslo).

    Krome toho, nas problem neni autenticita from (at uz se bavime o kteremkoliv ze FROMu) ve spojeni s laickymi uzivateli. Problem duveryhodnosti dopisu resi dostatecne uplne system elektronickych podpisu a neni duvod ho resit duplicitne upravou systemu dorucovani.

    Systém elektronických podpisů tento problém řeší, ale jen za předpokladu, že se je uživatelé naučí používat (a hlavně vyžadovat). Po svých zkušenostech se současnými typickými uživateli elektronické pošty jsem poněkud skeptický vůči řešením spoléhajícím na změnu chování uživatelů (a navíc si myslím, že bude ještě hůř). Ta myšlenka, kterou jsem prezentoval, byla zamýšlena čistě jako podpora pro to, aby blacklisty založené na adresách odesílatele měly aspoň trochu šanci být užitečné.

    Systém založený na IP adrese zdroje má také své výhody (jinde než ten první), ale vidím tu jeden technický problém: až do masového nasazení IPv6 (v tomto ohledu bych byl strašně rád optimistou, ale moc mi to nejde :-) ) bude potřeba řešit problém maškarádovaných lokálních sítí. Řešení, že taková síť bude muset veškerou poštu posílat přes MTA svého ISP, se mi moc nelíbí. Adresa zdroje typu 10.23.51.73 je samozřejmě bezcenná. Takže ve výsledku by takový MTA musel jako IP adresu původu uvádět tu svoji a bylo by potřeba nějak řešit otázku toho, kdo smí být oprávněným MTA pro svou vlastní adresu. Také by bylo potřeba vyřešit to, že vzhledem k tomu, jak je implementován sendmail od řady 8.12, by u všech lokálně generovaných mailů byla adresa zdroje 127.0.0.1. Nejjednodušší by asi bylo řešení, kdy by MTA u jakéhokoli mailu pocházejícího z privátních rozsahů (nebo lokální smyčky) použil svou IP adresu.

    Horší problém vidím u dial-upů s dynamicky přidělovanými adresami. Zablokuji-li IP adresu, z níž byl poslán spam, spammera se to pravděpodobně nijak nedotkne a místo toho může být příště zablokován někdo, kdo se ničím neprovinil. Tady mne nějaké jednoduché a efektivní řešení nenapadá - samozřejmě kromě toho, že provozovatel dial-upu, který trpí posílání spamu přes svou relay, si zasloží být zablokován jako celek. Stejně jako u problému z minulého odstavce je to důsledkem toho, že v dnešním Internetu není IP adresa příliš dobrým identifikátorem klienta.

    Ano, to o cem mluvim nevyresi problem ani uplne ani mavnutim kouzelneho proutku - ale to na tom se svym systemem nejste lip. Ja mluvim o navrhu, ktery by MOHL pomoci a ktery se mi, alespon zatim, zda pomerne dobry (to je, ostatne i ten vas, i kdyz neni TAK dobry ;-) ). Uz jsem prilis stary na to abych zahodil dobre reseni jen proto, ze neni dokonale.

    Netvrdím, že je to špatná myšlenka. Jenom nejsem (ani u jedné varianty) jednoznačně přesvědčen, že by výhody, které by přinesla, byly větší než implementační problémy. Jinak si ale nemyslím, že by se ty dvě varianty a priori vylučovaly, dokážu si představit, že by fungovaly společně.

  • 31. 8. 2003 18:41

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Ja se nespoleham na zmenu chovani uzivatelu - uzivatel se musi sam rozhodnou, jestli ho autenticita zajima (a pak ji aktivne overit) nebo nezajima - a pak to nechat byt. Zadny "automatizovany" system overovani autenticity bez aktivni ucasti prijemce neni mozny a nema smysl se o nej pokouset neb autenticita doruceno dopisu nemuze byt nikdy overena bez vetsi ci mensi aktivni ucasti prijemce. Takovy system se proto uzivatele musi naucit pouzivat, nebo nelze o autenticite hovorit vubec.

    Co se maskarad tyce - zadne maskaradovane site na Internetu neexistuji. Z hlediska Internetu existuje jeden jediny pocitac (typicky s jednou adresou) - to, ze tento ocitac na a sebou dalsi sit, ktera NENI soucasni Internetu, a ktere nejakym zpusobem zprostredkovava komunikaci nas nezajima a zajimat nemusi. Zdrojova adresa mailu je pak TATO jedina IP adresa - to je adresa, kterou ostatni vidi.

    Nenapadlo me, ze uvidite problem v tom, ze MTA uvadi jako zdrojovou adresu sebe sama - ja to naopak povazoval za bezne a caste a to jsem vubec nepremyslel o prekladech. Neshledavam to dokonce byt zvlastnim pripadem - resim to stejne jako kdyz ta adresa stejna neni.

    Ani s dial-upy nevidim velky problem. ISP bud' omezi moznost svych dial-upovych zakazniku komunikovat s koncovymi SMTP servery primo (prave zaznamy v reverznim DNS budou rikat, ze tato koncova IP ma pravo odesilat postu jen pres konkretni SMTP servery - a tedy nema pravo komunikovat primo) a na svem SMTP serveru bud eprovadet takove kontroly, ktere snizi (nikoli zcela vylouci) pravdepodobnost, ze jeho adresy budou zarazeny na black-list, nebo to neomezi - a pak proste jeho adresy budou postupne zablokovany jednotlive a zakaznici takoveho ISP budou mit smulu.

    Mate samozrejme pravdu, ze IP adresa neni dobrym identifikatorem klienta - jenze, a ja to opakuji stale dokola a stale neuspesne, ja na vec jdu jinudy nez vy. Ja se SPAM nesnazim omezit tim, ze autentizuji odesilatele. Ja se poue snazim odesilani mailu navazat na neco, ceho je omezeny pocet a proto si o to kazdy dba. A IP adres je omezeni, i kdyz velky pocet, a tak je vetsi sance ze ten, komu byly prideleny, se bude pokouset dbat o to, aby techo adres slo do sveta dopisy odesilat. Jestlize to nedokaze, muze se stat, ze si proste neposle zadny mail - a ziskat nove adresy nebude jednoduche. Jinymi slovy - me nezajima, kdo konkretne z te IP neco delal - ja za tuto cinnost cinim odpovedneho toho, kdo mu tu IP adresu ma pridelenou a jemu ji propujcil cimz nutim drzitele adresy mit nejaka pravidla a dbat na jejich dodrzovani. Mimochodem, ja tim zachovavam moznost anonymni vymeny zprav (i kdyz zrovna ja nejsem anonymum naklonen, domnivam se, ze je skoda tuto vlastnost ztratit, pokud to neni nutne).

    A tu literaturu si skutecne proctete - kdyz mluvite o implementacnich problemech, rekl bych, ze jste ve svem systemu napriklad nerozmyslel co s forwardovanymi zpravami (FROM se nemeni, ale zpravu odesila "divny" stroj) vcetne emailovych konferenci a co s chybovymi hlasenimi (FROM je <> - proti cemu budete co overovat ?) - implementacni problemy vaseho reseni jsou znacne a vyzadovaly by patrne pomerne zasadni zasahy do systemu dorucovani zprav.

  • 31. 8. 2003 20:52

    Michal Kubeček (neregistrovaný)
    Nenapadlo me, ze uvidite problem v tom, ze MTA uvadi jako zdrojovou adresu sebe sama - ja to naopak povazoval za bezne a caste a to jsem vubec nepremyslel o prekladech. Neshledavam to dokonce byt zvlastnim pripadem - resim to stejne jako kdyz ta adresa stejna neni.

    Problém nevidím v tom, že by MTA mohl uvádět jako adresu zdroje sebe. Vidím ho v tom, že to bude muset dělat i v případech, kdy to není pravda a podle dnešních pravidel by tam uvedl něco úplně jiného. Samozřejmě to není problém - ale je potřeba s tím počítat. A navíc tím dochází ke splynutí většího množství odesílatelů bez možnosti odlišit je v blacklistu.

    a na svem SMTP serveru bude provadet takove kontroly, ktere snizi (nikoli zcela vylouci) pravdepodobnost, ze jeho adresy budou zarazeny na black-list, nebo to neomezi - a pak proste jeho adresy budou postupne zablokovany jednotlive a zakaznici takoveho ISP budou mit smulu.

    Zkusím-li si představit zákazníka, který nikdy žádný spam neposílal, a najednou je jeho řádný mail odmítnut s tím, že jeho adresa je na blacklistu (protože je ošklivý spammer), rozhodně to nevidím okrajový problém. Upřímně řečeno, v té současné záplavě mi daleko víc než samotný spam a viry vadí hlášení, že "můj" mail byl odmítnut jakožto nedoručitelný - například proto, že obsahoval virus. Už jsem dokonce dostal několik výhrůžek, že jestli toho nenechám, bude moje adresa zařazena na blacklist. Tlak na ISP, aby tomu zamezil, je v tomto případě na můj vkus příliš nepřímý - v první řadě by to odnesli zákazníci (všichni ve stejné míře - vinní i nevinní), ISP až potom.

    Co se maskarad tyce - zadne maskaradovane site na Internetu neexistuji. Z hlediska Internetu existuje jeden jediny pocitac (typicky s jednou adresou) - to, ze tento ocitac na a sebou dalsi sit, ktera NENI soucasni Internetu, a ktere nejakym zpusobem zprostredkovava komunikaci nas nezajima a zajimat nemusi. Zdrojova adresa mailu je pak TATO jedina IP adresa - to je adresa, kterou ostatni vidi.

    Uvědomím-li si, že tato jediná IP adresa v některých případech reprezentuje desítky až stovky zákazníků kabelové televize, mikrovlnného připojení nebo ADSL, opět z toho nemám dobrý pocit. Pomíjím teď fakt, že bych si, existuje-li jiná možnost, nepořídil připojení, kde bych neměl skutečnou IP adresu - každý takové striktní požadavky nemá. Je to podobný problém jako u toho dial-upu, a pro zákazníka "nepořádného" ISP daleko horší. Změna poskytovatele dial-upu trvá pár minut a stojí pár korun. Změna poskytovatele mikrovlny nebo kabelovky v nejlepším případě trvá několik dnů a stojí několik tisíc. V horším případě také nemusí být vůbec možná.

    co s forwardovanymi zpravami (FROM se nemeni, ale zpravu odesila "divny" stroj) vcetne emailovych konferenci

    Ve většině případů (zejména u těch diskusních listů) se From mění (tedy adresa z obálky).

    a co s chybovymi hlasenimi (FROM je <> - proti cemu budete co overovat ?)

    Tohle zrovna považuji za určitý přežitek poplatný době vzniku SMTP. Osobně bych tuto specialitu vůbec nepostrádal. Ale je tu samozřejmě možnost tento typ zpráv z požadavku na ověření odesílatele vyjmout.

    implementacni problemy vaseho reseni jsou znacne a vyzadovaly by patrne pomerne zasadni zasahy do systemu dorucovani zprav.

    V tom jsou na tom oba systémy stejně. Pokud by to mělo dojít tak daleko, že by bylo možné bezproblémově používat e-mail a přitom přijímat jen ověřenou poštu (ať už přes IP nebo e-mailovou adresu), znamenalo by to výměnu software naprosté většiny MTA a globální zásahy do DNS. A jak už jsem napsal, nejsem si jistý, jestli přínosy kteréhokoli z těch dvou modelů za takový obrovský zásah stojí. Protože potom by už stálo za úvahu, zda by se srovnatelnými nároky nešlo realizovat např. kompletní přechod na autentizovanou SMTP komunikaci, jejíž přínos by byl IMHO podstatně větší.

  • 1. 9. 2003 12:14

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    MTA uvadi VZDY spravnou zdrojovou IP adresu takoveho pocitace na Internetu, ktery postu odesila; neexistuje-li takova - pak je z hlediska internetu odesilatelem on a IP adresa odesilatele je jeho Internetova IP adresa, kterou se prezentuje do Internetu. Ke splynuti odesilajicich pocitacu samozrejme dochazi - ale to je cena za to, ze neresime separatne problemy pocitacu, ktere NEJSOU pripojeny k siti Internet - takove site si musi sve problemy vyresit samy. Me zajima posta odesilana do Internet a to muze udelat jen pocitac, ktery je do Intenetu pripojen. Muzeme se samozrejme zacit zabyvat i problemy jinych siti - siti za prekladem, siti jedoucich na IPX, NETBEUI, posty predavane pres UUCP - ale nepripada mi to rozumne a ucelne.

    Adresa <> je mozna prezitek presto je to dosud dulezita a integralni soucast SMTP protokolu - je to zpusob, jak posilat chybova hlaseni bez zacykleni. Vas nazor na zbytecnost mechanismu pro hlaseni problemu s dorucenim pravdepodobne nechapu spravne. Verim, ze vam nechybi, ale v tom protokolu by vazne chybel a musely by byt nahrazeny necim jinym. Mimochodem, ja se za kazdou cenu snazim vyhnout zpetne nekompatibilnim zasahum do existujicich protokolu (zejmena SMTP). To pravdepodobnost vzniku, nasazeni a skutecneho rozsireni takoveho systemu IMHO vyrazne snizuje. Muj navrh nevyzaduje takove zasahy a tak pripousti dokonce pozvolne nasazovani - i kdyz nakonec skutecne smeruje k vymene vsech MTA. Vy, zda se, budete potrebovat zpetne nekompatibilni zasah do SMTP - a to samo je vec, ktera, IMHO, prakticky anuluje sanci na prosazeni takoveho systemu.

    A ze se i v poslednim odstavci stale vracite k myslence, ze autentizace vyresi problem SPAMingu - naposled se pokusim tuto utkvelou ideu vyvratit. Nevyresi. Potrebny el. podpis musi byt natolik dosazitelny (tedy laciny) aby na nej dosahly vsichni uzivatele - tedy nejen vy se svym mesicnim prijmem, ale vsichni. Tedy musi byt pomerne hodne laciny. Jakmile bude hodne laciny, nebude problem si jich poridit hromadu - nariklad na kazdou SPAMerskou davku jeden. To sice SPAMovani, jako reklamni metodu, mirne zdrazi , presto to stale bude nejlacinejsi zpusob jak reklamne zasahnout obrovske mnostvi lidi. Autentizaci dokazete mozna vyresit "nekomercni" SPAMy - ano, je to hezke, ale tech je preci jen v celkovem objemu vyrazna mensina. Dokud me nekdo nepresvedci, ze tohle neni pravda, pak trvam na svem - autentizace problemy el. posty s nevyzadanymi zasilkami nevyresi. A narazite i na principialni problemy - autentizace je vzdy end-to-end problem mezi tim, kdo tvrdi, ze nekym je a tim, kdo mu to veri. Nedomnivate se, predpokladam, ze el. podpisy zavedly nejaky OBJEKTIVNI (tedy na osobe prijemce nezavisly) model overovani autenticity odesilatele. Vas system by tedy vyloucil, aby uzivatele-prijemci v jedne domene mely rodilne predstavy o tom, ktery podpis je autenticky a ktery nikoliv. Policy by musela byt centralne urcena spravcem prijemcovy domeny. Ledaze predpokladate, ze dopis bude mit podpisy nejmene dva nezavisle - jeden urceny pro transportni system a druhy pro koncoveho uzivatele.

  • 1. 9. 2003 13:18

    Michal Kubeček (neregistrovaný)
    První odstavec je z určitého hlediska správný, i když v praxi většina MTA uvádí v tracing fields i neveřejné relaye. Ale pro mne je nepřijatelný, protože by v důsledku vedl k ohrožení velkého množství uživatelů. A to vidím jako příliš vysokou cenu za potenciální přínos takového systému. Přestože nepatřím ani k uživatelům dial-upu, ani k těm, kdo nemají svou veřejnou IP adresu, nejsem ochoten tyto velké skupiny uživatelů odbýt mávnutím ruky, že to není Internet.

    Dokud nebude efektivní možnost, jak přidělit dostatek skutečných IP adres i těmto uživatelům, tak je potřeba s nimi počítat, ať se nám to líbí nebo ne. Stejně tak jako se mi stýská po starých dobrých časech, kdy x@y znamenalo uživatel x na počítači y a kdy poslat 1MB mail nebo mail na sto adres (až na samozřejmé výjimky) znamenalo riskovat, že si nějakou dobu nepošlu vůbec žádný mail, ale beru na vědomí, že staré dobré časy jsou určeny pouze k tomu, aby se o nich vyprávělo potomkům, a že realita dnešní doby je jiná.

    Vas nazor na zbytecnost mechanismu pro hlaseni problemu s dorucenim pravdepodobne nechapu spravne. Verim, ze vam nechybi, ale v tom protokolu by vazne chybel a musely by byt nahrazeny necim jinym.

    Netvrdil jsem přeci, že nemá existovat způsob, jak posílat chybová hlášení. Pouze tvrdím, že způsob, jakým je to v současné době řešeno, je přežitkem. Pokud už by se vymýšlel tak zásadní zásah do systému posílání mailů, že by vyžadoval výměnu (téměř) všech MTA, pak bych považoval za vhodné odstranit i tento relikt.

    Muj navrh nevyzaduje takove zasahy a tak pripousti dokonce pozvolne nasazovani - i kdyz nakonec skutecne smeruje k vymene vsech MTA. Vy, zda se, budete potrebovat zpetne nekompatibilni zasah do SMTP - a to samo je vec, ktera, IMHO, prakticky anuluje sanci na prosazeni takoveho systemu.

    Jestli jsem to pochopil správně, ten systém by mi měl umožnit zavést politiku, že odmítnu jakékoli spojení, z něhož nebude patrná IP adresa zdroje nebo nebudu schopen ověřit, že IP adresa MTA, který mne kontaktoval, není oprávněna fungovat jako relay pro ten zdroj. A to nemohu efektivně zavést do té doby, než bude naprostá většina MTA a domén tyto mechanismy podporovat. Můj názor je ten, že výměna naprosté většiny MTA je natolik kritickou záležitostí, že výměna (E)SMTP za nějaký XSMTP už náročnost takového procesu zvýší relativně málo. Na podobné filosofii je založen i IPv6 - když už bude potřeba tak jako tak předělat implementaci sítě (prakticky) všech hostů, tak ať to stojí za to.

    autentizace problemy el. posty s nevyzadanymi zasilkami nevyresi

    Nemyslím si, že autentizace vyřeší problém spamu. Problém spamu nevyřeší autentizace, ale stejně tak ho nevyřeší váš model, můj model, zákonná opatření, IPsec ani nic jiného. Problém spamu by vyřešila jediná věc: pokud by nikdy nikdo za žádných okolností neklikl na jediný odkaz ve spamu a pokud by si nikdy nikdo nekoupil žádný výrobek, který je propagován formou spamu. To je bohužel nereálné. Všechny zmíněné mechanismy mohou spam pouze do určité míry omezit a musíme si položit otázku, zda by náklady a negativní efekty těchto metod byly vyváženy jejich přínosem. A já jsem přesvědčen, že odpověď zní v obou diskutovaných případech ne. V případě autentizace o tom tak striktně přesvědčen nejsem, protože je potřeba brát v úvahu i jiné výhody, které nesouvisejí bezprostředně se spamem.

  • 1. 9. 2003 14:59

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Ehm - ja "prekladisty" neignoruji. Ja pouze konstatuji, ze je budu brat jako homogenni celek - protoze oni jsou z hlediska Internetu homogenni celek. Jemnejsi deleni muze provadet poue ten, kdo ma pristup k udajum - a to je provozovatel te site a jeho tedy cinim odpovednym za provoz cele site. Osobne se domnivam, ze to nebude zdaleka takovy problem. Preklady maji typicky podniky, ktere stejne vetsinou maji centralni policy. . Propojeni "za prekladem" se u nehomogenich skupin prilis nepouziva - priklad nekterych kabelovych siti (a to jeste prevazne ceskych) a jeste par dalsich ojedinelych vyskytu mi nepripada jako vyznamny podil vyjimek z tohoto pravidla.

    Je zasadni rozdil rozsirit (zpetne kompatibilne) funkcionalitu SMTP a zmenit (zpetne nekompatibilne) funkcionalitu. I kdyby oboji vyzadovalo vymenu vsech MTA, pak to prvni ji umoznuje provest postupne, kdezto to druhe nikoli - a proto to povazuji za nerealne. A - pochopil jste to nespravne. Predavani zdrojove IP je dobre jen k tomu abych mohl (jako vyraz dobre vule) blokovat maily z teto jedine IP misto toho, abych zablokoval IP MTA a tim blokoval celou sit coz udelam u tech MTA, ktere nespolupracuji a IP adresu zdroje utaji. Tim cinim z predavani IP ciste dobrovolnou a volitelnou zalezitost - jakysi vyraz dobre vule ze strany odesilajiciho MTA umoznit blokovani s lepsi granularitou coz je v jeho zajmu - ale muze se rozhodnout teto moznosti nevyuzit a IP nepredavat, pak samozrejme ponese nasledky.

    Co se autentizace tyce - neodmitam ji proto, ze problem nevyresi dokonale. Odmitam se o ni bavit v diskusi tykajici se reseni problemu se SPAMem proto, ze problem SPAMu neresi prakticky vubec - jeji vliv bude neporovnatelne nizsi nez lze dosahnout jinymi metodami a SPAM tedy bude treba resit jinak. To, jestli ma nebo nema autentizace nejake dalsi vlastnosti vyhody a nevyhody s resenim tohoto problemu nesouvisejici je vec na jinou diskusi a ne diskusi tykajici se reseni problemu se SPAMem pro jehoz reseni nemuze autentizace pravdepodobne nabidnout reseni vubec, a pokud preci jen ano, tak velice narocne a jen mizive ucinne.

  • 1. 9. 2003 16:44

    Michal Kubeček (neregistrovaný)
    Propojeni "za prekladem" se u nehomogenich skupin prilis nepouziva - priklad nekterych kabelovych siti (a to jeste prevazne ceskych) a jeste par dalsich ojedinelych vyskytu mi nepripada jako vyznamny podil vyjimek z tohoto pravidla.

    Obávám se, že situace je daleko horší (a hlavně čím dál horší). Takových klientů je (přinejmenším v ČR) poměrně dost, mnohé z nich by migrace stála poměrně dost peněz a pro mnohé není ani dost dobře možná.

    Vize ve druhém odstavci vypadá na první pohled pěkně, ale trpí jednou podstatnou vadou. Vzhledem k tomu, že IP adresa v dnešním Internetu v mnoha případech (překlady, dial-up) odesílatele spamu neidentifikuje, znepříjemním jejím zablokováním život v první řadě sobě, ve druhé všem, kdo takovou adresu mohou dostat (ano, někde mezi nimi je i ten skutečný viník - ale je jen jeden, ostatní za nic nemohou) a teprve ve třetí řadě providerovi, který by s tím měl něco dělat. A jak jsem vyrozuměl, ti neviní zákazníci by měli vyvinout tlak na providera (ať už tím, že mu budou nadávat na hotline, nebo tím, že přejdou jinam), aby vyvinul tlak na toho, který to zavinil (pokud je ho vůbec nějak schopen identifikovat - což u "free" dial-upů není zrovna jednoduché) - případně mu v tom nějakým hypotetickým způsobem zabránil preventivně.

    Přeženu-li to, trochu mi taková idea připomíná myšlenkové schéma určitého typu filmů: stane se zločin, policie chytí prvního, kdo jí přijde pod ruku a ten pak ve vlastním zájmu dopadne a usvědčí skutečného pachatele; pro policii je to samozřejmě jednodušší a pohodlnější, jenže morálně to asi neobstojí. Takže když mi někdo pošle spam, já budu odmítat maily poslané z téže IP adresy. Co na tom, že skutečný viník ji dost možná už nikdy nedostane a že místo něj budu odmítat maily náhodných zákazníků téhož providera. Je přeci v jejich zájmu, aby toho providera donutili něco s tím udělat. Ve výsledku by to asi spíš dopadlo tak, že ti zákazníci by usoudili, že to nemám v hlavě v pořádku, a raději by se mnou přestali komunikovat (a osobně bych se jim ani nedivil).

    K třetímu odstavci: autentizace (samozřejmě záleží na přesné definici, pod tím pojmem si lze představit mnoho různých mechanismů), stejně jako jiné metody, boj proti spamu zjednodušuje tím, že mi umožní zjistit, kdo ten spam skutečně poslal, a zablokovat jeho identitu. Je samozřejmě pravda, že pokud bude umožněno jednomu subjektu používat více identit, může je používat jednu po druhé a blokování se tak vyhnout. Ale to je prostě principiální problém metody, který se dá odstranit jedině použitím identit, které budou jednoznačně přiřazeny subjektům/osobám (a něco takového by asi neprošlo přes ochránce lidských práv). Proto jsem několikrát zdůraznil, že to za řešení nepovažuji.

    Nemá smysl si namlouvat, že metoda blokování podle IP adres zdroje tento problém nemá. Má ho v nemenší míře - záškodník může střídat IP adresy ještě snáze než identity pro autentizaci - dynamicky přidělované IP to dokonce budou dělat za něj. Rozdíl je pouze v tom, že na stejné IP adrese budou společně s ním systémově a plánovitě pranýřováni nevinní kolemjdoucí. Jakkoli mi spam leze na nervy, pořád jsem nucen odmítnutí řádného mailu považovat za řádově horší chybu systému než přijetí spamu. Takže smysl by to (z mého pohledu) mohlo mít teprve po rozšíření IPv6, který poskytuje účinné prostředky pro eliminaci tohoto nežádoucího efektu.

  • 1. 9. 2003 18:07

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Velice to zkratim. Co se autentizace tyce, jsem rad, ze jsme se shodli, ze to neni reseni. Ja se snazim prosadit, ze nejenze nejde o "totalni" reseni, ale nlze dost dobre mluvit ani o "castecnem" reseni nem cast, kterou to resi je velice zanedbatelna. Nelze-li vec resit "verejnou" autentizaci koncoveho uzivatele, ale pritom, souhlasime-li s principem, ze eliminovat je nutne predevsim konkretni SPAMmery, pak jako jedinou moznou cestu vidim sverit zajem na jejich eliminaci tem, kteri jejich identitu znaji, nebo znat maji (i bez autentizace). To jsou poskytovatele konektivity (ti by meli vedet, komu konektivitu poskytuji). Ty je jednak nutne k takove cinnosti motivovat, jednak je nutne jim dat prostredky - a ty veci spolu souvisi. Je-li znam zpusob, jak takove veci resit, pak nekteri ISP je pouziji dobrovolne, jini az pod konkurencnim tlakem techto ("zakaznici ho dotlaci"). A to byla zakladni mysledka navrzen metody.

    Uz jen kratce bych se pozastavil nad jednim omylem, ktery bych od vas, pri vasich zkusenostech, rozhodne necekal - NENI pravda, ze IP adresy lze stridat stejne snadno jako emailove adresy. IP adresu vam musi nekdo pridelit, tu si rozhodne nemuzete "jen tak" vzit. Shodou okolnosti je prideluje ten, komu budou, kdyz je prideli neuvazene, blokovany a kdo s tim bude mit jen starosti - je tedy na nem, aby je prideloval odpovedne (ojedinele excesy jsou pripustne a pocita se s nimi jako nutnym zlem). Pokud ale budete tvrdit, ze takovou odpovednost po poskytovateli konektivity zadat nelze, pak jen rikate, ze problem je zcela neresitelny - pokud nedokaze SPAMera eliminovat ten, kdo mu dava konektivitu, nedokaze to naprosto nikdo vzdalenejsi.

    Zbytek jen heslovite:

    • ISP nema duvod cekat, az ho na neco upozorni zakaznik - to, ze je adresa zablokovana je schopen jednoduse zjistit sam
    • odblokovani provede jakykoliv ISP jednoduse - online a sam - ojedinele excesy jsou neco s cim se pocita; teprve pri prekroceni dohodnuteho poctu odblokovavani se mu v tom zamezi - zrejme jde o ISP, ktery ve sve siti neni schopen zajistit elementarni dodrzovani pravidel
    • argument, ze ISP pri znalosti IP a casu neni schopen identifikovat a eliminovat SPAMujiciho zakaznika jiste nemyslite vazne - pristoupit na tenhle argument znamena pristoupit na tezi, ze problem je naprosto neresitelny, protoze pokud to nedokaze ISP, rozhodne to nedokaze nikdo vzdalenejsi

  • 1. 9. 2003 18:31

    Michal Kubeček (neregistrovaný)
    NENI pravda, ze IP adresy lze stridat stejne snadno jako emailove adresy. IP adresu vam musi nekdo pridelit, tu si rozhodne nemuzete "jen tak" vzit

    argument, ze ISP pri znalosti IP a casu neni schopen identifikovat a eliminovat SPAMujiciho zakaznika jiste nemyslite vazne

    S oběma tvrzeními bych bez výhrad souhlasil, kdyby neexistovaly věci jako je "free" dial-up. U takého typu připojení se o zákazníkovi vůbec nedá mluvit. A je samozřejmě úplně jedno, zda je to dotaženo až do té míry, že se klient vůbec nepřihlašuje (iDnes, Atlas) nebo se pouze skrývá pod symbolickým přihlašovacím jménem a při registraci vyplní pár vymyšlených údajů. Dokud bude existovat tento typ připojení k Internetu, musím trvat na tom, co jsem napsal.

  • 2. 9. 2003 9:23

    Michal Krsek (neregistrovaný)
    Dobry den,

    i v pripade, ze jde o "free dial-up", ma skutecny postytovatel sluzeb k dispozici telefonni cislo, ze ktereho se telefonovalo. ISP tedy muze napriklad zablokovat telefonni cislo stanice, ze ktere se volalo, pripadne tyto informaci poskytnout represivnim organum.

    MK

  • 2. 9. 2003 12:55

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Mate pouze dve moznosti - ponechat na free-ISP, at si tento problem vyresi tak, jak chteji nebo prohlasit, ze problem je kvuli tomu ve svem celku neresitelny. Ja se domnivam, ze lepsi je to prvni - uz proto, ze urcite moznosti i v tomto pripade existuji (jak naznacil MK a to jiste neni moznost jedina).
  • 31. 8. 2003 3:26

    Dan Lukes &lt;<A HREF="mailto:dan&obluda.cz">dan&obluda.cz</A>&gt; (neregistrovaný)
    Ted jeste jsem si vsiml, ze mi vypadl z prispevku jeden odstavec - takze ho doplnuji.

    Pri formovani meho nazoru mi pomohly nasledujici materialy:

    draft-crocker-spam-techconsider-02.txt
    rfc2505.txt
    draft-fecyk-dsprotocol-04.txt
    draft-fakih-amdp-00.txt
    draft-danisch-dns-rr-smtp-02.txt
    draft-vixie-repudiating-mail-from.txt
    asrg-emailpathverification-presentation.pdf
    IETF ASRG WG mailinglist

    Z toho, mimochodem, plyne, ze mnoho lidi premysli spis smerem k vasemu typu reseni - nicmene, ja jsem zvykly byt mimo hlavni proud ... ;-)

  • 31. 8. 2003 12:22

    Michal Kubeček (neregistrovaný)
    Z toho, mimochodem, plyne, ze mnoho lidi premysli spis smerem k vasemu typu reseni - nicmene, ja jsem zvykly byt mimo hlavni proud ... ;-)

    Z toho bych si vrásky nedělal. Kdybych takhle uvažoval, asi bych tento příspěvek nepsal v Mozille na Linuxu (a to to ani není Redhat :-) ). Na ty drafty se příležitostně zkusím podívat.

  • 29. 8. 2003 14:43

    Luboš (neregistrovaný)
    Myslím že by to pochopili sami a rychle, až by jim přestal chodit internet. Výhoda tohoto postupu je právě v tom, že není třeba nic vysvětlovat. Prostě - kdo bude přistižen, bude mu odstřižen (internet).
  • 29. 8. 2003 16:22

    J (neregistrovaný)
    Vidim tu nekolik problemu:

    A) Pokud ISP odpoji sveho klineta v soucasne situaci jen prijde o penize, protoze klient okamzite sezene jineho ISP.

    B) Pokud to neudela, KDO ho k tomu donuti ? Jedine ostatni ISP, kteri zablokuji provoz z IP (vsech) daneho ISP z jehoz site prichazi spam.

    Jenze pokud ten, od koho spam pochazi je radove vetsi, nez ten, kdo jeho IP blokuje, prichazi o klienty ten kdo IP blokuje.
  • 2. 9. 2003 23:24

    na (neregistrovaný)
    Jen pro zajimavost uvedu, ze sluzba Net@ddress pouziva na filtrovani spamu najeky filtr Brightmail, a je celkem uspesny, sice obcas nejaky spam projde, ale taky jsem nezaregistroval ze by mi zatajil nejaky dulezity mailik. Ale nedokazu posoudit jak by si poradil s tuzemskym spamem.
  • 24. 11. 2003 17:22

    Zdenek (neregistrovaný)
    Vždyť už nepoužitelný je, takže se jím stát nemůže... jde o definci toho "nepoužitelný". Pokud současný nepoužitelný internet považujete za použitelný, tak takový ještě hodně dlouho zůstane, nehledě na předpovědi různých "expertů".

    Vzpomeňte si na SYN flood útoky, taky každej říkal že neexistuje obrana, a samozřejmě se našlo jednoduché řešení.. Spamy a viry jsou dnes asi největší problém- ale snadno řešitelný celkem triviálními filtrovacími programy.

    Jo, a nejlepší obrana proti spamu je nikoliv lokální filtr, ani SNMP server providera, ale DNS server providera :)