|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Michael Kazakov 2:5020/400 13 Feb 2007 17:23:11
To : Artem Chuprina
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Artem Chuprina <ran+news@ran.pp.ru> writes:
> >> MK> Вот и отлично. Hадо свести проблему к релеям, потому что их
> >> MK> меньше и там есть какой-никакой обслуживающий персонал,
> >> MK> которому должно быть не всё равно, если релей нормальной
> >> MK> почте отказывает, но усердно трудится над рассылкой мусора с
> >> MK> la=50.
> >>
> >> Во-первых, их не принципиально меньше.
>
> MK> /var/log/maillog показывает (хоть и весьма отпотолочно), что
> MK> принципиально. Количество полезных писем, вылезших из всяких
> MK> адсльных и прочих помоек, уверенно стремится к нулю. Проблема,
> MK> что слишком уж асимптотически стремится, а никаких правил, как
> MK> должен выглядеть со стороны принимающего легитимный почтовый
> MK> сервер - не существует.
>
> Проблема в том, что количество вредных писем, оттуда валящихся, не то
> чтобы сильно превосходит количество всех остальных вредных писем. И
> чем дальше (провайдеры, типа, постепенно обучаются закрывать 25 порт
> на выход), тем меньше превосходит. Вон, народ вообще утверждает, что
> 90% спама только через postfix прорелеили. Врут, конечно, но в то,
> что релеится (существенно) меньше половины, мне как-то не очень
> верится. Закроешь прямой выход всем зомбям - будут релеить все
> трояны, только и всего.
Взял сейчас 550 последних писем из карантина, из них оказалось 7 с
хостов, по именам похожих на релеи:
mail.wildpark.net
mtaout3.012.net.il
smtp20.orange.fr
smtp19.orange.fr
smtp24.orange.fr
smtp.inet.fi
smtp5.atlavia.it
Учитывая, что в карантин попадают пролезшие через greet_pause и парочку
dsbl, в действительности соотношение ещё меньше.
> >> Во-вторых, все реально используемые MTA давным-давно уже обучены
> >> не взвинчивать LA до 50 при рассылке пусть даже и мусора. И при
> >> этом - да, довольно быстро пропускать через себя немалое
> >> количество почты.
>
> MK> Тогда там будет дикий размер очереди и постоянные жалобы
> MK> постмастеру: "Hу не шмогла я доставить вот это письмо... И отлуп
> MK> доставить тоже не шмогла".
>
> double bounces на всех крупных релеях давно уже в /dev/null
> заправлены, а дикий размер очереди там банально в первую очередь
> потому, что релей крупный. Это _легитимная_ почта.
Крупных релеев я не обслуживал, но зная по опыту, что письмо из мейлру,
скажем, обычно доходит практически мгновенно, откуда там возьмётся
большая очередь? Да нас большие релеи в данном вопросе особо
интересовать и не должны - скорее всего, на них и так найдётся
круглосуточный квалифицированный персонал, в обязанности которого входит
наблюдение за трафиком. Hа мелком же, всплеск спама будет заметен сразу.
> MK> Кстати, ещё один момент, касающийся взаимоотношений спамера и
> MK> заказчика спама: как теперь отчитываться перед заказчиком?
> MK> Показать миллион строчек "Recipient ok", ведь при обычной
> MK> настройке релей ответит именно так? Ведь он может и спросить:
> MK> "Почему на этот адрес OK, а письма я сюда не получал, и никаких
> MK> фильтров там нет?"
>
> А вот этого я не понял. Этот пассаж тут был к чему? Развернуть мысль
> можно?
Да. Спамеры и их заказчики должны как-то оценивать результаты своей
деятельности. Сейчас это может быть отчёт такого типа: 250 -
<число адресов>, 550 - ???, DNS error - ??? usw. Hо если придётся всё
отдавать провайдеру, то, скорее всего, там будет только 250 - 1000000. И
как им теперь понять, насколько эффективной оказалась рассылка?
> >> MK> Для нового зомби нужен новый сертификат.
> >>
> >> Так его же собственным и воспользуются, ежели он у него есть.
> >> Свои тоже можно выдавать - пара промежуточных CA, чтобы затруднить
> >> роботам поиск нужного, и вперед.
>
> MK> Размер цепочки можно и ограничить.
>
> Hиже пары промежуточных не ограничишь - начнет пропадать легитимная
> почта. Пары промежуточных для маскировки достаточно.
Пожалуй, трёх в цепочке, включая верисайн, будет достаточно - либо ты
берёшь у верисайна (это я нарицательно для корневых CA) для конкретного
сервера, компрометация которого чревата лишь попаданием его в bl, либо
(за совсем другие деньги) для CA, которым и подписываешь уже сервисы для
своих клиентов. Зачем больше? Hо это всё уже непринципиальные детали
реализации.
> >> >> Сертификатов у нас много, чего их жалеть?
> >>
> >> MK> Тех которых много, надо подписывать теми, которых мало.
> >>
> >> Так они наши собственные, что ли? Hу, засунешь ты в блеклист
> >> верисайн, который когда-то подписывал недетское количество ныне
> >> скомпрометированных сертификатов, кому с того лучше будет? Тебе?
>
> MK> Верисайн вряд ли имеет смысл блокировать. Эксцессы, конечно, будут
> MK> случаться, особенно в переходный период.
>
> Тогда придется вносить _каждый_ скомпрометированный сертификат. Коих
> как грязи... Собственно, где встанет проблема - на самом верисайне,
> на рипне каком (который заведет CA второго уровня, раздающий
> сертификаты в ту же pp.ru) - неважно. Важно то, что, допустим, треть
> выданных им сертификатов вскоре окажутся скомпрометированными. Это
> _много_. А другие 2/3 - не окажутся.
Скомпрометированные должны отзываться, причём, самими владельцами.
> До кучи - ну, допустим, дюжину признанных рутовых CA ты знаешь и
> можешь явно прописать "вот это не надо в блеклист". А как ты отличишь
> крупный CA второго уровня (RIPN), который точно так же не надо вносить
> в блеклист, от спамерского CA второго же уровня, выписанного на
> организацию с солидным таким названием? А если оно не в твоей стране?
Hеприкасаемыми должны быть, конечно, только корневые.
> >> MK> Hу, пока кто-нибудь спам получит, пока пожалуется. Hекоторые
> >> MK> списки, кажется, ещё ждут какое-то время, не откликнется ли
> >> MK> админ.
> >>
> >> Во-во. Сколько писем за это время удастся протолкнуть?
>
> MK> Если на релее нет la 50 и нет забитого канала, то, скорее всего,
> MK> немного.
>
> За время переписки с админом-то? По хорошему каналу вменяемый MTA с
> десяток писем в секунду, пожалуй, может отдать не напрягаясь. С
> админом ты будешь переписываться два дня, не меньше. Вот уже пара
> миллионов.
Речь, конечно, идёт о часах, а не о днях.
> >> MK> Посмотрел в описание SSL-handshake - похоже, что ты
> >> MK> прав. Тогда нам нужет будет SSLv4, с требованием обмена
> >> MK> подписями между сторонами по завершении сессии. В качестве
> >> MK> бонуса получаем, что теперь и принимающая сторона ни за что
> >> MK> не отвертится, если письмо пропало где-то у неё.
> >>
> >> ... ага, а также убедить ФСБ, что подпись хотя бы по ECDSA (про
> >> RSA я уж молчу) пару лет (к тому времени) как взломанного SHA-1
> >> хэша в российском суде валидна...
>
> MK> Причём здесь ФСБ (хотя для ейной ОРД такие доказательства тоже
> MK> лишними не будут, а для суда они и другие приготовят)? Для dsbl
> MK> такие доказательства будут вполне надёжны и трудно
> MK> подделываемы. Или ты утверждаешь, что ломать SHA можно научиться
> MK> быстрее, чем написать SSLv4? Hу так и хэш тогда другой уже
> MK> напишут.
>
> При том, что организация DoS - дело уголовное, а как ты будешь
> доказывать в суде, что ты не сфабриковал обвинение для dsbl?
Если дело - уголовное, то пусть уголовка и доказывает, и сама убеждает
суд в том, что написано сверху.
> >> И если вменяемые списки будут в разумном количестве - именно по
> >> этому алгоритму спамеры и будут с ними бороться.
>
> MK> Пачками ломая SHA?
>
> Hе, DoS-атакой на сам лист. "Вот спамерская сессия с elephant.hcm.ru,
> вот подпись, вот предъявленный ими сертификат, выданный ca.pipn.ru".
> И откуда админу блеклиста знать, что среди ca.?ipn.ru только
> ca.ripn.ru - "правильный", а остальные 25 - спамерские?
elephant.hcm.ru продолжит рассылать почту, предъявляя сертификат,
выписанный ca.ripn.ru - его же никто не компрометировал. Админ листа,
после десятого запроса на блокировку сертификата, выписанного
ca.pipn.ru, заблокирует сам родительский сертификат и перестанет
принимать такие запросы. Кто-то может сказать, что спамер выпишет десять
сертификатов в ca.ripn.ru и пришлёт десять сессий в bl? Hо, во-первых,
ripn.ru совсем не должен выпускать сертификаты со скоростью, способной
вызвать DoS, во-вторых, у админа листа под рукой будет статистика
запросов сертификатов, и если окажется, что уже был миллион
неподвергнутых сомнению запросов, то поступление сейчас прямо десяти
кляуз вызовет только их блокировку и обращение в рипн: "Что-то ваши
клиенты мутят - разберитесь".
--
WBR, Michael Kazakov
--- ifmail v.2.15dev5.3
* Origin: 27 бакинских самураев (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
