SPF спасёт мир?
Модератор: xM
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
SPF спасёт мир?
Хочу узнать ваше мнение.
Собственно если все будут обязаны регистрировать IP-Адреса.
К примеру законом обязать регистрацию в SPF и тогда black list's будут актальны :-)
Собственно если все будут обязаны регистрировать IP-Адреса.
К примеру законом обязать регистрацию в SPF и тогда black list's будут актальны :-)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Спасёт ли от спама SPF?lissyara писал(а):это ты о чём?
Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).
Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)
В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:
Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
ну-ну... а если пров разрешает отправку только через свой smtp? а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?dikens3 писал(а):Спасёт ли от спама SPF?lissyara писал(а):это ты о чём?
Смысл там примерно такой. Какждому почтовому серваку предлагают зарегистрировать свой (Свои) IP-Адрес (а).
Т.е. к примеру у меня домен @MYDOMAIN.ru
Я прописываю в DNS IP-Адреса, которым можно посылать почту от имени моего домена.
(Пусть будет 200.200.200.200 и 200.200.200.201)
В итоге, если кто-либо попробует отправить почту от имени моего домена на почтовый сервер, на котором включена SPF проверка, всё будет так:
Так, твой домен @MYDOMAIN.RU, проверяем, существует ли запись в SPF
Ага, существует (Если не существует то проверка считается положительной, в exim называется softfail, т.е. не найден, но и не означает, что подделан)
Разрёшённые IP-Адреса 200.200.200.200 и 200.200.200.201, а твой 100.100.100.100 - пшёл вон.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.ну-ну... а если пров разрешает отправку только через свой smtp?
А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.а я юзаю ящик на mail.ru через IMAP, пользую почтовый клиент для отправки и электронной подписи сообщений.... мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
исходные данные повторю:dikens3 писал(а):Прописываешь IP-Адрес прова. Вообще там ещё много чего можно понаписать.ну-ну... а если ?
А ты тут причём. Сейчас же работаешь. и Mail.ru в SPF давно прописан.а я юзаю мне что. письма не отправить будет? или нужно будет в вебформу лазить, чтоб письмо написать?
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?
а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Если бы всё так было, тогда зачем аутентификация и т.п. ???lexy писал(а): исходные данные повторю:
пров разрешает отправку только через свой smtp - т.е. письма от pupkin@mail.ru отправляются с хоста relay.zlobny-prov.net
как в этом случае пройдет проверка?
а у прова (я имею в виду реального крупного, очень крупного питерского прова) клиентов сотни тысяч...
Нехотел бы я, чтобы от имени моего домена кто-то посылал почту не пользуясь моим сервером. :-) Как-то это не разумно, тебе не кажется ?
Почтовым клиентом почту отправляешь? Распиши подробнее.
P.S. Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере @mydomain.ru, иначе никак.
Что касается твоего предыдущего поста, то тут твой пров не причём совсем. Ибо ты напрямую соединяешься с сервером mail.ru и проходишь аутентификацию. Зачем ты login/пароль вводишь в почтовый клиент?
P.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
очень даже разумно - ключевое слово - пров
те, все кто отправляют почту из его пула адресов
на их релее стоит ограничение по частоте и кол-ву отправки писем,
т.е. кардспамеры их услугами не пользуются...
я тоже не шлю почту напрямую, релею на своего прова, чтоб не мне разбираться с dsbl'ами
1. ...или быть в домашней сети (параметр permit_my_networks в пофигсе например) что у того прова и используется.
2. не обязательно... попробуй (если хост с которого пробуешь не в dsbl):
и через пару минут проверь any_real_mbox@mail.ru
где здесь была авторизация?
про
ЗЫ. Сверху реальная сесия, набраная ручками 2 мин назад....
ЗЗЫ.
те, все кто отправляют почту из его пула адресов
на их релее стоит ограничение по частоте и кол-ву отправки писем,
т.е. кардспамеры их услугами не пользуются...
я тоже не шлю почту напрямую, релею на своего прова, чтоб не мне разбираться с dsbl'ами
Чтобы отправить письмо от имени @mydomain.ru ты обязан аутентифицироваться на почтовом сервере
1. ...или быть в домашней сети (параметр permit_my_networks в пофигсе например) что у того прова и используется.
2. не обязательно... попробуй (если хост с которого пробуешь не в dsbl):
Код: Выделить всё
/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy
Hi!
.
250 OK id=1GexoA-0001wa-00
quit
где здесь была авторизация?
про
ЗЫ. Сверху реальная сесия, набраная ручками 2 мин назад....
ЗЗЫ.
очень даже не путаю, я достаточно хорошо знаю эту тему. и даже со стороны кард- и прокси-[рассыльщиков нежелательной почты]P.S2. Мне кажется ты путаешь клиентские IP и IP SMTP-серверов.
- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
Если пользуешься только этим провом - то в принципе пофиг...zorg писал(а):Да Lexy правду говорит такое встречается у провов, очень неудобственная вещь.
Нет, не внутри, но имя его назаву в приват )))) во избежание.....zorg писал(а):Lexy - не подскажешь что это за крупный пров который такое вытворяет да ещё и в Питере??? (так на заметку чтобы не дай бог не воспользоваться его услугами)
Или ты сидишь в его внутренней сети??
- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
В том то и дело филиалов по России куча, и везде свой пров со своими заморочками. Иногда народ начинает ныть что почту не отправить, смотришь а уних запрещено SMTP использовать, но они обалдуи конечно, часто прикрывают тока 25 порт, а 495 нет, так что можно заюзать его и пользоваться просто защищённым соединением! Ну или другой выход приходится использовать их сервак для отправки писем.
Всё дело в перце!!
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Код: Выделить всё
/# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
220 Mail.Ru ESMTP
ehlo staff.atletika.ru
250-mx31.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: some@valid.address
250 OK
rcpt to: any_real_mbox@mail.ru
250 OK
data
354 Go ahead
From: some@valid.address
To: any_real_mbox@mail.ru
Subject: Hi! It's me, mr. lexy
Hi!
.
250 OK id=1GexoA-0001wa-00
quit
Код: Выделить всё
mail# telnet mxs.mail.ru 25
Trying 194.67.23.20...
Connected to mxs.mail.ru.
Escape character is '^]'.
EHLO 220 Mail.Ru ESMTP
mail.mydomain.ru
250-mx25.mail.ru ready to serve
250-SIZE 10485760
250 8BITMIME
mail from: <postmaster@mydomain.ru>
250 OK
rcpt to: <postmaster@mydomain.ru>
550 Must be local recipient
QUIT
221 mx25.mail.ru closing connection
Connection closed by foreign host.
Всё что идёт во внешний мир требует аутентификации. Т.е. подделать mail.ru c записями IP-Адресов в SPF будет ооочень нелегко!!!
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
Вот, собственно, ответ на эту дискуссию.... Один жирный минус, перекрывающий все хиленькие плюсы.2.4.3. Проблемы SPF - резюме
На сегодняшний день SPF является несовместимой с пересылками почты, так как оба варианта решения "проблемы пересылок" неудовлетворительны:
Протокол трудно ввести быстро и повсеместно. Мгновенное введение поддержки необходимых механизмов (подмены отправителя или расширений протокола SMTP) на всех (потенциальных) транзитных почтовых серверах представляется совершенно невероятным событием, а без такой поддержки будет либо теряться почта, либо будут появляться "дырки" для спама. Если же посылающие системы будут поддерживать либеральную политику ("?all"), то исчезнет стимул к модификации пересылающих систем, так как почта при пересылках будет доставляться, а не отвергаться.
Использование SPF-механизма exists открывает очевидные дыры в безопасности (верификация наличия пользователей в домене, возможности слежения за путем письма), которые не могут считаться приемлемыми.
Как я уже говорил, ИМХО, только система с независимым арбитром (примерно как с тикетами в цербере) может дать какой либо адекватный результат..... Но арбитр должен быть нейтральным и независимым. А много ли народу согласится из альтруизма содержать сервер-арбитр? Это не говоря о разработке патчей и ПО самого арбитра.
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
угу, сказать гендиректору пусть использует mail.ru . Это не выход. Просто надо "накидывать" балы, если хост не указан для этого домена, но не посылать сразу нах.Пусть заведут почтовый ящик(и) на Mail.ru
На mail.ru действительно используется эта технология, но ее вес ОЧЕНЬ маленький, так что мир она не спасет
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
использование бесплатных почтовых сервисов в компании это:
- урон престижу компании - представляете себе адрес gazprom@mail.ru?
- брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.
-
- лейтенант
- Сообщения: 755
- Зарегистрирован: 2005-11-06 18:25:26
- Контактная информация:
вот я про тожеурон престижу компании - представляете себе адрес gazprom@mail.ru? Laughing
можешь поделиться списком?В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
не вопрос.... может не самый полный, но я мониторю ситуацию - больше ничего не нашли мои подопечные ))))Alex_hha писал(а): можешь поделиться списком?
Код: Выделить всё
~# cat /usr/local/etc/squid/webmail.txt
#---WEBMAIL
.*mail.rambler.ru.*
.*mail.yandex.ru.*
.*google.com/mail/.*
.*webmail.chat.ru.*
.*.pochta.ru.*
.*hotbox.ru.*
.*e-mail.ru.*
.*mail.km.ru.*
.*fromru.com.*
.*front.ru.*
.*hotbox.ru.*
.*krovatka.net.*
.*.land.ru.*
.*mail15.com.*
.*mail333.com.*
.*pisem.net.*
.*pochtamt.ru.*
.*pop3.ru.*
.*rbcmail.ru.*
.*smtp.ru.*
#---CHAT
.*chat.chat.ru.*
.*/chat.*
.*/webchat.*
.*mail.ru/cgi-bin/.*
#---DATING
.*rudate.ru.*
.*zhivotik.ru.*
.*intim.i-wm.ru.*
.*love\..*
.*zapretov.net.*
.*hearts.myjane.ru.*
.*lovecafe.ru.*
.*love.pautinka.ru.*
.*svidanka.ru.*
.*lovenet.ru.*
.*ugara.net.*
.*love.km.ru.*
.*loveplanet.ru.*
.*l0ve.ru.*
.*pozwonimne.ru.*
.*love.ru.*
.*kupidon.ru.*
.*mamba.ru.*
.*24open.ru.*
.*singlecity.ru.*
.*love.mail.ru.*
.*inheart.ru.*
.*look9.net.*
.*love.rambler.ru.*
.*interweb.spb.ru/love.*
.*firstclickfriend.com.*
.*flirtru.ru.*
.*love.ostrie.ru.*
.*monamour.ru.*
.*znakomstva.*
.*mheart.ru.*
.*love.otkisni.ru.*
.*maybe.ru.*
.*singles.ru.*
.*bridge.ru.*
.*flirt.co.ua.*
.*znakomka.ru.*
.*dating\..*
.*dateguru.ru.*
.*rudate\..*
.*moyideal.ru.*
.*drujok.ru.*
.*ilove\..*
.*loveblast.net.*
.*love.vitok.net.*
.*iloveyou.ru.*
.*your-ideal.com.*
.*lyublyu.ru.*
.*amurzon.ru.*
.*flirtdosug.com.*
.*glazavglaza.ru.*
.*holostyak.com.*
#---ENTERTAIMENT
http://dno.ru.*
.*minas-tirit.ru.*
.*funzor.net.*
.*ds.rambler.ru.*
.*yoki.ru.*
.*udaff.*
.*arena.ru.*
.*muslib.ru.*
.*voffka.com.*
.*eweekend.ru.*
.*fark.ru.*
.*geometria.ru.*
.*game.*
.*fuflo.ru.*
.*fishki.net.*
.*delit.net.*
.*zabot.net.*
.*zakat.ru.*
.*krasa.ru.*
.*pit-res.narod.ru.*
.*.u-e.spb.ru.*
.*dubasso.narod.ru.*
.*xdance.ru.*
.*kom-poster.narod.ru.*
.*hip-hop.ru.*
.*dom2.ru.*
.*allmagic.ru.*
.*magia.kiev.ua.*
.*clubsounds.ru.*
.*ravelover.ru.*
.*aktivist.ru.*
.*q-dance.nl.*
.*clubzone.ru.*
.*clubinka.ru.*
.*djparade.ru.*
.*best-party.ru.*
.*postnext.com.*
.*interweb.spb.ru/games.*
.*interweb.spb.ru/story.*
.*pomoika.ru.*
.*dailymediafiles.com.*
http://.*.t-m.ru.*
http://t-m.ru.*
.*posse.ru.*
.*udar.info.*
.*.spbdnb\.ru.*
.*battles\.ru.*
.*dating.omen.ru.*
.*\.ilovesex\.ru.*
.*\.gut\.ru.*
.*damochka.ru.*
http://.*.omen.ru.*
http://omen.ru.*
Код: Выделить всё
acl webmail url_regex -i "/usr/local/etc/squid/webmail.txt"
http_access deny webmail
- zorg
- лейтенант
- Сообщения: 665
- Зарегистрирован: 2006-03-01 22:25:36
- Откуда: Санкт-Петербург
Полностью согласен с этим!!!lexy писал(а):использование бесплатных почтовых сервисов в компании это:
- урон престижу компании - представляете себе адрес gazprom@mail.ru?
В моей компании выход на все бесплатные мылеры сотрудникам перекрыт.
- брешь в КИС предприятия -если ящик будет взломан третьими заинтересованными лицами - кто будет возмещать убытки, если третья сторона не установлена? Или самое банальное - манагер через вебинтерфейс почтаря сливает клиентскую базу.
ТОже прикрыто всё!!!! Ну и попутно не нужное для работы, типа сайтов развлечений и онлайн игр (конечно не всё, в основном на которые самый большой трафик)!!!!
Всё дело в перце!!
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
Выход, если гЕНДИРЕКТОР не может купить себе нормальный инет?Alex_hha писал(а):угу, сказать гендиректору пусть использует mail.ru . Это не выход.
У меня часть писем лежит и не отправляется, т.к. SMTP серваки временами появляются. И в таймауты нечасто попадают. Вобщем доходит. но отвык я уже от этого наверное.
Мой список WEB-MAIL составляет 1050 записей. :-) Взят у режика. Блокируется метод POST в Squid на эти домены. 443 и многие другие порты закрыты для всех. Иначе полный Пипец с WEB-Анонимайзерами.
P.S. До анонимайзеров у меня додумались в тот же день. Прокси прозрачный.
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.
- lexy
- сержант
- Сообщения: 288
- Зарегистрирован: 2006-07-21 9:54:44
- Откуда: Волхов, ЛО
- Контактная информация:
- dikens3
- подполковник
- Сообщения: 4856
- Зарегистрирован: 2006-09-06 16:24:08
- Откуда: Нижний Новгород
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35456
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация: