SPF спасёт мир?

[dikens3]

Хочу узнать ваше мнение.
Собственно если все будут обязаны регистрировать IP-Адреса.

К примеру законом обязать регистрацию в SPF и тогда black list's будут актальны :-)

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

это ты о чём?

[dikens3]

это ты о чём?

Спасёт ли от спама SPF?

Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).

Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)

В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:

Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.

[lexy]

это ты о чём?

Спасёт ли от спама SPF?

Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).

Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)

В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:

Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.

ну-ну... а если пров разрешает отправку только через свой smtp? а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?

[dikens3]

ну-ну... а если пров разрешает отправку только через свой smtp?

Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.

а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?

А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.

[lexy]

ну-ну... а если ?

Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.

а я юзаю мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?

А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.

исходные данные повторю:
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?

а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...

[dikens3]

исходные данные повторю:
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?
а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...

Если бы всё так было, тогда зачем аутентификация и т.п. ???
Нехотел бы я, чтобы от имени моего домена кто-то посылал почту не пользуясь моим сервером. :-) Как-то это не разумно, тебе не кажется ?

Почтовым клиентом почту отправляешь? Распиши подробнее.

P.S. Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере @mydomain.ru, иначе никак.
Что касается твоего предыдущего поста, то тут твой пров не причём совсем. Ибо ты напрямую соединяешься с сервером mail.ru и проходишь аутентификацию. Зачем ты login/пароль вводишь в почтовый клиент?

P.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.

[lexy]

очень даже разумно - ключевое слово - пров
те, все кто отправляют почту из его пула адресов
на их релее стоит ограничение по частоте и кол-ву отправки писем,
т.е. кардспамеры их услугами не пользуются...

я тоже не шлю почту напрямую, релею на своего прова, чтоб не мне разбираться с dsbl'ами

Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере

1. ...или быть в домашней сети (параметр permit_my_networks в пофигсе например) что у того прова и используется.
2. не обязательно... попробуй (если хост с которого пробуешь не в dsbl):

Код: Выделить всё

/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy

Hi!

.

250 OK id=1GexoA-0001wa-00
quit

и через пару минут проверь any_real_mbox@mail.ru

где здесь была авторизация?

про
ЗЫ. Сверху реальная сесия, набраная ручками 2 мин назад....

ЗЗЫ.

P.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.

очень даже не путаю, я достаточно хорошо знаю эту тему. и даже со стороны кард- и прокси-[рассыльщиков нежелательной почты]

[zorg]

Да Lexy правду говорит такое встречается у провов, очень неудобственная вещь.

Lexy - не подскажешь что это за крупный пров который такое вытворяет да ещё и в Питере??? (так на заметку чтобы не дай бог не воспользоваться его услугами)
Или ты сидишь в его внутренней сети??

[lexy]

Да Lexy правду говорит такое встречается у провов, очень неудобственная вещь.

Если пользуешься только этим провом - то в принципе пофиг...

Lexy - не подскажешь что это за крупный пров который такое вытворяет да ещё и в Питере??? (так на заметку чтобы не дай бог не воспользоваться его услугами)
Или ты сидишь в его внутренней сети??

Нет, не внутри, но имя его назаву в приват )))) во избежание.....

[zorg]

В том то и дело филиалов по России куча, и везде свой пров со своими заморочками. Иногда народ начинает ныть что почту не отправить, смотришь а уних запрещено SMTP использовать, но они обалдуи конечно, часто прикрывают тока 25 порт, а 495 нет, так что можно заюзать его и пользоваться просто защищённым соединением! Ну или другой выход приходится использовать их сервак для отправки писем.

[dikens3]

Код: Выделить всё

/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy

Hi!

.

250 OK id=1GexoA-0001wa-00
quit

Что то ты опять недопонял. Так и работает почтовый сервер. Для своих он почту принимает. Иначе нафиг он нужен.

Код: Выделить всё

mail# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
EHLO 220 Mail.Ru ESMTP
mail.mydomain.ru
250-mx25.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: <postmaster@mydomain.ru>
250 OK
rcpt to: <postmaster@mydomain.ru>
550 Must be local recipient
QUIT
221 mx25.mail.ru closing connection
Connection closed by foreign host.

550 Must be local recipient
Всё что идёт во внешний мир требует аутентификации. Т.е. подделать mail.ru c записями IP-Адресов в SPF будет ооочень нелегко!!!

[dikens3]

Раскопал тут нормальное описалово, кому надо читаем.

http://www.lexa.ru/articles/spf-1.html

[lexy]

2.4.3. Проблемы SPF - резюме
На сегодняшний день SPF является несовместимой с пересылками почты, так как оба варианта решения "проблемы пересылок" неудовлетворительны:

Протокол трудно ввести быстро и повсеместно. Мгновенное введение поддержки необходимых механизмов (подмены отправителя или расширений протокола SMTP) на всех (потенциальных) транзитных почтовых серверах представляется совершенно невероятным событием, а без такой поддержки будет либо теряться почта, либо будут появляться "дырки" для спама. Если же посылающие системы будут поддерживать либеральную политику ("?all"), то исчезнет стимул к модификации пересылающих систем, так как почта при пересылках будет доставляться, а не отвергаться.
Использование SPF-механизма exists открывает очевидные дыры в безопасности (верификация наличия пользователей в домене, возможности слежения за путем письма), которые не могут считаться приемлемыми.

Вот, собственно, ответ на эту дискуссию.... Один жирный минус, перекрывающий все хиленькие плюсы.

Как я уже говорил, ИМХО, только система с независимым арбитром (примерно как с тикетами в цербере) может дать какой либо адекватный результат..... Но арбитр должен быть нейтральным и независимым. А много ли народу согласится из альтруизма содержать сервер-арбитр? Это не говоря о разработке патчей и ПО самого арбитра.

[Alex_hha]

Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.

а если твой смтп используют пользователи с динамическими ip?

p.s.
Отбрасывать по одному признаку очень плохая идея, имхо

[dikens3]

а если твой смтп используют пользователи с динамическими ip?

Пусть заведут почтовый ящик(и) на Mail.ru.

[Alex_hha]

Пусть заведут почтовый ящик(и) на Mail.ru

угу, сказать гендиректору пусть использует mail.ru . Это не выход. Просто надо "накидывать" балы, если хост не указан для этого домена, но не посылать сразу нах.

На mail.ru действительно используется эта технология, но ее вес ОЧЕНЬ маленький, так что мир она не спасет

[lexy]

использование бесплатных почтовых сервисов в компании это:

• урон престижу компании - представляете себе адрес gazprom@mail.ru?

• брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.

В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.

[Alex_hha]

урон престижу компании - представляете себе адрес gazprom@mail.ru? Laughing

вот я про тоже

В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.

можешь поделиться списком?

[lexy]

можешь поделиться списком?

не вопрос.... может не самый полный, но я мониторю ситуацию - больше ничего не нашли мои подопечные ))))

Код: Выделить всё

~#  cat /usr/local/etc/squid/webmail.txt
#---WEBMAIL
.*mail.rambler.ru.*
.*mail.yandex.ru.*
.*google.com/mail/.*
.*webmail.chat.ru.*
.*.pochta.ru.*
.*hotbox.ru.*
.*e-mail.ru.*
.*mail.km.ru.*
.*fromru.com.*
.*front.ru.*
.*hotbox.ru.*
.*krovatka.net.*
.*.land.ru.*
.*mail15.com.*
.*mail333.com.*
.*pisem.net.*
.*pochtamt.ru.*
.*pop3.ru.*
.*rbcmail.ru.*
.*smtp.ru.*

#---CHAT
.*chat.chat.ru.*
.*/chat.*
.*/webchat.*
.*mail.ru/cgi-bin/.*

#---DATING

.*rudate.ru.*
.*zhivotik.ru.*
.*intim.i-wm.ru.*
.*love\..*
.*zapretov.net.*
.*hearts.myjane.ru.*
.*lovecafe.ru.*
.*love.pautinka.ru.*
.*svidanka.ru.*
.*lovenet.ru.*
.*ugara.net.*
.*love.km.ru.*
.*loveplanet.ru.*
.*l0ve.ru.*
.*pozwonimne.ru.*
.*love.ru.*
.*kupidon.ru.*
.*mamba.ru.*
.*24open.ru.*
.*singlecity.ru.*
.*love.mail.ru.*
.*inheart.ru.*
.*look9.net.*
.*love.rambler.ru.*
.*interweb.spb.ru/love.*
.*firstclickfriend.com.*
.*flirtru.ru.*
.*love.ostrie.ru.*
.*monamour.ru.*
.*znakomstva.*
.*mheart.ru.*
.*love.otkisni.ru.*
.*maybe.ru.*
.*singles.ru.*
.*bridge.ru.*
.*flirt.co.ua.*
.*znakomka.ru.*
.*dating\..*
.*dateguru.ru.*
.*rudate\..*
.*moyideal.ru.*
.*drujok.ru.*
.*ilove\..*
.*loveblast.net.*
.*love.vitok.net.*
.*iloveyou.ru.*
.*your-ideal.com.*
.*lyublyu.ru.*
.*amurzon.ru.*
.*flirtdosug.com.*
.*glazavglaza.ru.*
.*holostyak.com.*

#---ENTERTAIMENT

http://dno.ru.*
.*minas-tirit.ru.*
.*funzor.net.*
.*ds.rambler.ru.*
.*yoki.ru.*
.*udaff.*
.*arena.ru.*
.*muslib.ru.*
.*voffka.com.*
.*eweekend.ru.*
.*fark.ru.*
.*geometria.ru.*
.*game.*
.*fuflo.ru.*
.*fishki.net.*
.*delit.net.*
.*zabot.net.*
.*zakat.ru.*
.*krasa.ru.*
.*pit-res.narod.ru.*
.*.u-e.spb.ru.*
.*dubasso.narod.ru.*
.*xdance.ru.*
.*kom-poster.narod.ru.*
.*hip-hop.ru.*
.*dom2.ru.*
.*allmagic.ru.*
.*magia.kiev.ua.*
.*clubsounds.ru.*
.*ravelover.ru.*
.*aktivist.ru.*
.*q-dance.nl.*
.*clubzone.ru.*
.*clubinka.ru.*
.*djparade.ru.*
.*best-party.ru.*
.*postnext.com.*
.*interweb.spb.ru/games.*
.*interweb.spb.ru/story.*
.*pomoika.ru.*
.*dailymediafiles.com.*
http://.*.t-m.ru.*
http://t-m.ru.*
.*posse.ru.*
.*udar.info.*
.*.spbdnb\.ru.*
.*battles\.ru.*
.*dating.omen.ru.*
.*\.ilovesex\.ru.*
.*\.gut\.ru.*
.*damochka.ru.*
http://.*.omen.ru.*
http://omen.ru.*

в squid.conf

Код: Выделить всё

acl webmail url_regex -i "/usr/local/etc/squid/webmail.txt"

http_access deny webmail

[zorg]

использование бесплатных почтовых сервисов в компании это:

• урон престижу компании - представляете себе адрес gazprom@mail.ru?

• брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.

В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.

Полностью согласен с этим!!!
ТОже прикрыто всё!!!! Ну и попутно не нужное для работы, типа сайтов развлечений и онлайн игр (конечно не всё, в основном на которые самый большой трафик)!!!!

[dikens3]

угу, сказать гендиректору пусть использует mail.ru . Это не выход.

Выход, если гЕНДИРЕКТОР не может купить себе нормальный инет?
У меня часть писем лежит и не отправляется, т.к. SMTP серваки временами появляются. И в таймауты нечасто попадают. Вобщем доходит. но отвык я уже от этого наверное.

Мой список WEB-MAIL составляет 1050 записей. :-) Взят у режика. Блокируется метод POST в Squid на эти домены. 443 и многие другие порты закрыты для всех. Иначе полный Пипец с WEB-Анонимайзерами.

P.S. До анонимайзеров у меня додумались в тот же день. Прокси прозрачный.

[lexy]

P.S. До анонимайзеров у меня додумались в тот же день. Прокси прозрачный.

Ого, да у тебя растащившиеся юзеры

Руки должны отрубаться в тот же день, как устанавливается левая софтина!

[dikens3]

Руки должны отрубаться в тот же день, как устанавливается левая софтина!

Как только от Windows 9X избавлюсь, можно будет что-нибудь придумывать. А пока даже не думаю над этим.

[Alex Keda]

зачем же устанавливать.
есть с WEB-интерфейсом...