|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Michael Kazakov 2:5020/400 14 Feb 2007 23:08:06
To : Artem Chuprina
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Artem Chuprina <ran+news@ran.pp.ru> writes:
> Я беру у рипна сертификат для своего CA. Так, для начала. Ибо
> серверов у меня более одного. Длина цепочки - уже четыре.
Бери у рипна для каждого сервера. Сейчас же никого не смущает, что,
например, каждый ns для каждого домена надо рипну объявлять. А он его
ещё и жевать несколько часов будет и может выплюнуть. CA бери прямо у
верисайна - в отличии от tld, число CA второго уровня не ограничено. Я
не собираюсь утверждать, что 3 - это оптимальная длина цепочки, но мне
так кажется.
> >> Владелец еще должен осознать, что его сертификат
> >> скомпрометирован... А с пониманием компрометацией у народа еще
> >> веселее, чем с пониманием проверки подписи...
>
> MK> Что тут может быть непонятного? - Сервер не может отослать почту,
> MK> в ящике постмастера ругань из bl на якобы отправленный спам. Ergo
> MK> сертификат скомпрометирован.
>
> Щазз. С гораздо большей вероятностью это прорелеенный (у нас же
> релей, правильно?) подцепившим трояна клиентом спам.
Тогда в наших логах есть соответствующие записи.
> А сообразить, что сессия-то была не твоя, т.е. действительно ключ утек
> - это... Скажем так, у того админа, который это сообразит, и ключ,
> скорее всего, не утечет.
Hе сообразит - значит просто сидит себе в bl, покуда соображение не
заработает. Почту захочет отправить - будет соображать.
> >> MK> Hеприкасаемыми должны быть, конечно, только корневые.
> >>
> >> Т.е. рипн через два дня окажется в блеклисте. Вместе с большей
> >> частью России. Спасибо.
>
> MK> Т.е. можно спокойно удалить объяснение, почему рипн в блеклисте
> MK> не окажется, только потому, что оно не приведено прямо здесь?
> MK> Пожалуйста.
>
> Так не работает объяснение-то. Честно выданные им сертификаты будут
> использованы для спама, и его (он же не рутовый) засунут в блеклист.
Если, предположим, из моей сети в твою, пять лет в основном шёл только
легитимный трафик, и на все проблемы была оперативная реакция, но, по
каким-то причинам, случится большой всплеск мусора, ты сразу засунешь
меня во все доступные блеклисты, или всё-таки попытаешься сначала до
меня достучаться?
> MK> Через четыре часа этот сервер оказывается в dsbl - и админ
> MK> становится очень сговорчивым, и мусор уже не идёт.
>
> То есть все-таки без переписки с админом?
Всё-таки после информирования админа и непрекращения после этого потока
мусора.
> Итого, мы получили 144000 прорелеенных писем (4 часа по десятку писем
> в секунду) и попадание сервера в блеклист без предварительного
> информирования админа. Hа самом деле писем будет еще малость
> побольше, поскольку и админу dsbl о проблеме сообщат не сразу. Это
> только прорелеенных экземпляров. Каждый из которых, понятно, имеет N
> адресатов в одном домене...
Зачем гадать, когда есть реальные данные: троян работал 2.5 часа, всего
коннектов - 37560 или ~4/сек., отправленных писем (судя по размеру) -
9606 или 1/сек. Точно могу сказать, что если бы этот поток попытался
пойти через релей, он был бы перекрыт гораздо раньше.
--
WBR, Michael Kazakov
--- ifmail v.2.15dev5.3
* Origin: 27 бакинских самураев (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
