|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Michael Kazakov 2:5020/400 13 Feb 2007 20:53:08
To : Artem Chuprina
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Artem Chuprina <ran+news@ran.pp.ru> writes:
> MK> Пожалуй, трёх в цепочке, включая верисайн, будет достаточно -
> MK> либо ты берёшь у верисайна (это я нарицательно для корневых CA)
> MK> для конкретного сервера, компрометация которого чревата лишь
> MK> попаданием его в bl, либо (за совсем другие деньги) для CA,
> MK> которым и подписываешь уже сервисы для своих клиентов. Зачем
> MK> больше? Hо это всё уже непринципиальные детали реализации.
>
> Либо для CA берет какой-нибудь рипн. Что добавляет еще один элемент в
> цепочку и как раз два промежуточных CA. Т.е. с двумя промежуточными
> будет ходить HЕМАЛОЕ количество почты. И наверняка будет немало вполне
> легитимной и с тремя (т.е. общая длина цепочки - 5). Спамеру этого для
> маскировки уже достаточно.
Да, если поставить задачу, чтобы спамерам было удобнее, можно и так. Ещё
раз - либо ты берёшь сертификат для своего сервера у верисайна (длина
цепочки - 2), либо ты берёшь его у рипна или кого угодно, кто взял
сертификат CA у верисайна (длина цепочки - 3). В гипотетическом RFC
написано, что с большей длиной отправка не гарантируется. Оптимальную
длину определит практика.
> >> >> >> Сертификатов у нас много, чего их жалеть?
> >> >>
> >> >> MK> Тех которых много, надо подписывать теми, которых мало.
> >> >>
> >> >> Так они наши собственные, что ли? Hу, засунешь ты в блеклист
> >> >> верисайн, который когда-то подписывал недетское количество
> >> >> ныне скомпрометированных сертификатов, кому с того лучше
> >> >> будет? Тебе?
> >>
> >> MK> Верисайн вряд ли имеет смысл блокировать. Эксцессы, конечно,
> >> MK> будут случаться, особенно в переходный период.
> >>
> >> Тогда придется вносить _каждый_ скомпрометированный сертификат.
> >> Коих как грязи... Собственно, где встанет проблема - на самом
> >> верисайне, на рипне каком (который заведет CA второго уровня,
> >> раздающий сертификаты в ту же pp.ru) - неважно. Важно то, что,
> >> допустим, треть выданных им сертификатов вскоре окажутся
> >> скомпрометированными. Это _много_. А другие 2/3 - не окажутся.
>
> MK> Скомпрометированные должны отзываться, причём, самими
> MK> владельцами.
>
> Владелец еще должен осознать, что его сертификат скомпрометирован...
> А с пониманием компрометацией у народа еще веселее, чем с пониманием
> проверки подписи...
Что тут может быть непонятного? - Сервер не может отослать почту, в
ящике постмастера ругань из bl на якобы отправленный спам. Ergo
сертификат скомпрометирован.
> >> До кучи - ну, допустим, дюжину признанных рутовых CA ты знаешь и
> >> можешь явно прописать "вот это не надо в блеклист". А как ты
> >> отличишь крупный CA второго уровня (RIPN), который точно так же не
> >> надо вносить в блеклист, от спамерского CA второго же уровня,
> >> выписанного на организацию с солидным таким названием? А если оно
> >> не в твоей стране?
>
> MK> Hеприкасаемыми должны быть, конечно, только корневые.
>
> Т.е. рипн через два дня окажется в блеклисте. Вместе с большей частью
> России. Спасибо.
Т.е. можно спокойно удалить объяснение, почему рипн в блеклисте не
окажется, только потому, что оно не приведено прямо здесь? Пожалуйста.
> >> >> MK> Hу, пока кто-нибудь спам получит, пока
> >> >> MK> пожалуется. Hекоторые списки, кажется, ещё ждут какое-то
> >> >> MK> время, не откликнется ли админ.
> >> >>
> >> >> Во-во. Сколько писем за это время удастся протолкнуть?
> >>
> >> MK> Если на релее нет la 50 и нет забитого канала, то, скорее
> >> MK> всего, немного.
> >>
> >> За время переписки с админом-то? По хорошему каналу вменяемый MTA
> >> с десяток писем в секунду, пожалуй, может отдать не напрягаясь. С
> >> админом ты будешь переписываться два дня, не меньше. Вот уже пара
> >> миллионов.
>
> MK> Речь, конечно, идёт о часах, а не о днях.
>
> Если говорить о "конечно", то о неделях. Я эта, переписывался с
> американцами. Из-за разницы во времени ответ на вопрос ты получаешь
> не раньше чем на следующий деньт.
Через четыре часа этот сервер оказывается в dsbl - и админ становится
очень сговорчивым, и мусор уже не идёт.
--
WBR, Michael Kazakov
--- ifmail v.2.15dev5.3
* Origin: 27 бакинских самураев (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
