SPF спасёт мир?
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
SPF спасёт мир?
Хочу узнать ваше мнение.
Собственно если все будут обязаны регистрировать IP-Адреса.
К примеру законом обязать регистрацию в SPF и тогда black list's будут актальны :-)
Собственно если все будут обязаны регистрировать IP-Адреса.
К примеру законом обязать регистрацию в SPF и тогда black list's будут актальны :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Спасёт ли от спама SPF?lissyara писал(а):это ты о чём?
Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).
Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)
В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:
Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
ну-ну... а если пров разрешает отправку только через свой smtp? а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?dikens3 писал(а):Спасёт ли от спама SPF?lissyara писал(а):это ты о чём?
Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).
Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)
В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:
Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.ну-ну... а если пров разрешает отправку только через свой smtp?
А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
исходные данные повторю:dikens3 писал(а):Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.ну-ну... а если ?
А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.а я юзаю мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?
а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Если бы всё так было, тогда зачем аутентификация и т.п. ???lexy писал(а): исходные данные повторю:
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?
а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...
Нехотел бы я, чтобы от имени моего домена кто-то посылал почту не пользуясь моим сервером. :-) Как-то это не разумно, тебе не кажется ?
Почтовым клиентом почту отправляешь? Распиши подробнее.
P.S. Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере @mydomain.ru, иначе никак.
Что касается твоего предыдущего поста, то тут твой пров не причём совсем. Ибо ты напрямую соединяешься с сервером mail.ru и проходишь аутентификацию. Зачем ты login/пароль вводишь в почтовый клиент?
P.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
очень даже разумно - ключевое слово - пров
те, все кто отправляют почту из его пула адресов
на их релее стоит ограничение по частоте и кол-ву отправки писем,
т.е. кардспамеры их услугами не пользуются...
я тоже не шлю почту напрямую, релею на своего прова, чтоб не мне разбираться с dsbl'ами
1. ...или быть в домашней сети (параметр permit_my_networks в пофигсе например) что у того прова и используется.
2. не обязательно... попробуй (если хост с которого пробуешь не в dsbl):
и через пару минут проверь any_real_mbox@mail.ru
где здесь была авторизация?
про
ЗЫ. Сверху реальная сесия, набраная ручками 2 мин назад....
ЗЗЫ.
нежелательной
почты] 
те, все кто отправляют почту из его пула адресов
на их релее стоит ограничение по частоте и кол-ву отправки писем,
т.е. кардспамеры их услугами не пользуются...
я тоже не шлю почту напрямую, релею на своего прова, чтоб не мне разбираться с dsbl'ами

Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере
1. ...или быть в домашней сети (параметр permit_my_networks в пофигсе например) что у того прова и используется.
2. не обязательно... попробуй (если хост с которого пробуешь не в dsbl):
Код: Выделить всё
/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy
Hi!
.
250 OK id=1GexoA-0001wa-00
quit
где здесь была авторизация?
про
ЗЫ. Сверху реальная сесия, набраная ручками 2 мин назад....

ЗЗЫ.
очень даже не путаю, я достаточно хорошо знаю эту тему. и даже со стороны кард- и прокси-[рассыльщиковP.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.



- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
Если пользуешься только этим провом - то в принципе пофиг...zorg писал(а):Да Lexy правду говорит такое встречается у провов, очень неудобственная вещь.
Нет, не внутри, но имя его назаву в приват )))) во избежание.....zorg писал(а):Lexy - не подскажешь что это за крупный пров который такое вытворяет да ещё и в Питере??? (так на заметку чтобы не дай бог не воспользоваться его услугами)
Или ты сидишь в его внутренней сети??
- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
В том то и дело филиалов по России куча, и везде свой пров со своими заморочками. Иногда народ начинает ныть что почту не отправить, смотришь а уних запрещено SMTP использовать, но они обалдуи конечно, часто прикрывают тока 25 порт, а 495 нет, так что можно заюзать его и пользоваться просто защищённым соединением! Ну или другой выход приходится использовать их сервак для отправки писем.
Всё дело в перце!! 

- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Код: Выделить всё
/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy
Hi!
.
250 OK id=1GexoA-0001wa-00
quit
Код: Выделить всё
mail# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
EHLO 220 Mail.Ru ESMTP
mail.mydomain.ru
250-mx25.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: <postmaster@mydomain.ru>
250 OK
rcpt to: <postmaster@mydomain.ru>
550 Must be local recipient
QUIT
221 mx25.mail.ru closing connection
Connection closed by foreign host.
Всё что идёт во внешний мир требует аутентификации. Т.е. подделать mail.ru c записями IP-Адресов в SPF будет ооочень нелегко!!!
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
Вот, собственно, ответ на эту дискуссию.... Один жирный минус, перекрывающий все хиленькие плюсы.2.4.3. Проблемы SPF - резюме
На сегодняшний день SPF является несовместимой с пересылками почты, так как оба варианта решения "проблемы пересылок" неудовлетворительны:
Протокол трудно ввести быстро и повсеместно. Мгновенное введение поддержки необходимых механизмов (подмены отправителя или расширений протокола SMTP) на всех (потенциальных) транзитных почтовых серверах представляется совершенно невероятным событием, а без такой поддержки будет либо теряться почта, либо будут появляться "дырки" для спама. Если же посылающие системы будут поддерживать либеральную политику ("?all"), то исчезнет стимул к модификации пересылающих систем, так как почта при пересылках будет доставляться, а не отвергаться.
Использование SPF-механизма exists открывает очевидные дыры в безопасности (верификация наличия пользователей в домене, возможности слежения за путем письма), которые не могут считаться приемлемыми.
Как я уже говорил, ИМХО, только система с независимым арбитром (примерно как с тикетами в цербере) может дать какой либо адекватный результат..... Но арбитр должен быть нейтральным и независимым. А много ли народу согласится из альтруизма содержать сервер-арбитр? Это не говоря о разработке патчей и ПО самого арбитра.
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
угу, сказать гендиректору пусть использует mail.ruПусть заведут почтовый ящик(и) на Mail.ru

На mail.ru действительно используется эта технология, но ее вес ОЧЕНЬ маленький, так что мир она не спасет

- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
использование бесплатных почтовых сервисов в компании это:
- урон престижу компании - представляете себе адрес gazprom@mail.ru?
- брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
вот я про тожеурон престижу компании - представляете себе адрес gazprom@mail.ru? Laughing
можешь поделиться списком?В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
не вопрос.... может не самый полный, но я мониторю ситуацию - больше ничего не нашли мои подопечные ))))Alex_hha писал(а): можешь поделиться списком?
Код: Выделить всё
~# cat /usr/local/etc/squid/webmail.txt
#---WEBMAIL
.*mail.rambler.ru.*
.*mail.yandex.ru.*
.*google.com/mail/.*
.*webmail.chat.ru.*
.*.pochta.ru.*
.*hotbox.ru.*
.*e-mail.ru.*
.*mail.km.ru.*
.*fromru.com.*
.*front.ru.*
.*hotbox.ru.*
.*krovatka.net.*
.*.land.ru.*
.*mail15.com.*
.*mail333.com.*
.*pisem.net.*
.*pochtamt.ru.*
.*pop3.ru.*
.*rbcmail.ru.*
.*smtp.ru.*
#---CHAT
.*chat.chat.ru.*
.*/chat.*
.*/webchat.*
.*mail.ru/cgi-bin/.*
#---DATING
.*rudate.ru.*
.*zhivotik.ru.*
.*intim.i-wm.ru.*
.*love\..*
.*zapretov.net.*
.*hearts.myjane.ru.*
.*lovecafe.ru.*
.*love.pautinka.ru.*
.*svidanka.ru.*
.*lovenet.ru.*
.*ugara.net.*
.*love.km.ru.*
.*loveplanet.ru.*
.*l0ve.ru.*
.*pozwonimne.ru.*
.*love.ru.*
.*kupidon.ru.*
.*mamba.ru.*
.*24open.ru.*
.*singlecity.ru.*
.*love.mail.ru.*
.*inheart.ru.*
.*look9.net.*
.*love.rambler.ru.*
.*interweb.spb.ru/love.*
.*firstclickfriend.com.*
.*flirtru.ru.*
.*love.ostrie.ru.*
.*monamour.ru.*
.*znakomstva.*
.*mheart.ru.*
.*love.otkisni.ru.*
.*maybe.ru.*
.*singles.ru.*
.*bridge.ru.*
.*flirt.co.ua.*
.*znakomka.ru.*
.*dating\..*
.*dateguru.ru.*
.*rudate\..*
.*moyideal.ru.*
.*drujok.ru.*
.*ilove\..*
.*loveblast.net.*
.*love.vitok.net.*
.*iloveyou.ru.*
.*your-ideal.com.*
.*lyublyu.ru.*
.*amurzon.ru.*
.*flirtdosug.com.*
.*glazavglaza.ru.*
.*holostyak.com.*
#---ENTERTAIMENT
http://dno.ru.*
.*minas-tirit.ru.*
.*funzor.net.*
.*ds.rambler.ru.*
.*yoki.ru.*
.*udaff.*
.*arena.ru.*
.*muslib.ru.*
.*voffka.com.*
.*eweekend.ru.*
.*fark.ru.*
.*geometria.ru.*
.*game.*
.*fuflo.ru.*
.*fishki.net.*
.*delit.net.*
.*zabot.net.*
.*zakat.ru.*
.*krasa.ru.*
.*pit-res.narod.ru.*
.*.u-e.spb.ru.*
.*dubasso.narod.ru.*
.*xdance.ru.*
.*kom-poster.narod.ru.*
.*hip-hop.ru.*
.*dom2.ru.*
.*allmagic.ru.*
.*magia.kiev.ua.*
.*clubsounds.ru.*
.*ravelover.ru.*
.*aktivist.ru.*
.*q-dance.nl.*
.*clubzone.ru.*
.*clubinka.ru.*
.*djparade.ru.*
.*best-party.ru.*
.*postnext.com.*
.*interweb.spb.ru/games.*
.*interweb.spb.ru/story.*
.*pomoika.ru.*
.*dailymediafiles.com.*
http://.*.t-m.ru.*
http://t-m.ru.*
.*posse.ru.*
.*udar.info.*
.*.spbdnb\.ru.*
.*battles\.ru.*
.*dating.omen.ru.*
.*\.ilovesex\.ru.*
.*\.gut\.ru.*
.*damochka.ru.*
http://.*.omen.ru.*
http://omen.ru.*
Код: Выделить всё
acl webmail url_regex -i "/usr/local/etc/squid/webmail.txt"
http_access deny webmail
- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
Полностью согласен с этим!!!lexy писал(а):использование бесплатных почтовых сервисов в компании это:
- урон престижу компании - представляете себе адрес gazprom@mail.ru?
В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.
- брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.
ТОже прикрыто всё!!!! Ну и попутно не нужное для работы, типа сайтов развлечений и онлайн игр (конечно не всё, в основном на которые самый большой трафик)!!!!
Всё дело в перце!! 

- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Выход, если гЕНДИРЕКТОР не может купить себе нормальный инет?Alex_hha писал(а):угу, сказать гендиректору пусть использует mail.ru. Это не выход.
У меня часть писем лежит и не отправляется, т.к. SMTP серваки временами появляются. И в таймауты нечасто попадают. Вобщем доходит. но отвык я уже от этого наверное.
Мой список WEB-MAIL составляет 1050 записей. :-) Взят у режика. Блокируется метод POST в Squid на эти домены. 443 и многие другие порты закрыты для всех. Иначе полный Пипец с WEB-Анонимайзерами.
P.S. До анонимайзеров у меня додумались в тот же день. Прокси прозрачный.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35426
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация: