|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 14 Feb 2007 00:06:48
To : Michael Kazakov
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Michael Kazakov -> Artem Chuprina @ Tue, 13 Feb 2007 16:53:08 +0000 (UTC):
>> MK> Пожалуй, трёх в цепочке, включая верисайн, будет достаточно -
>> MK> либо ты берёшь у верисайна (это я нарицательно для корневых CA)
>> MK> для конкретного сервера, компрометация которого чревата лишь
>> MK> попаданием его в bl, либо (за совсем другие деньги) для CA,
>> MK> которым и подписываешь уже сервисы для своих клиентов. Зачем
>> MK> больше? Hо это всё уже непринципиальные детали реализации.
>>
>> Либо для CA берет какой-нибудь рипн. Что добавляет еще один элемент в
>> цепочку и как раз два промежуточных CA. Т.е. с двумя промежуточными
>> будет ходить HЕМАЛОЕ количество почты. И наверняка будет немало вполне
>> легитимной и с тремя (т.е. общая длина цепочки - 5). Спамеру этого для
>> маскировки уже достаточно.
MK> Да, если поставить задачу, чтобы спамерам было удобнее, можно и так. Ещё
MK> раз - либо ты берёшь сертификат для своего сервера у верисайна (длина
MK> цепочки - 2), либо ты берёшь его у рипна или кого угодно, кто взял
MK> сертификат CA у верисайна (длина цепочки - 3). В гипотетическом RFC
MK> написано, что с большей длиной отправка не гарантируется. Оптимальную
MK> длину определит практика.
Я беру у рипна сертификат для своего CA. Так, для начала. Ибо серверов
у меня более одного. Длина цепочки - уже четыре.
>> >> >> >> Сертификатов у нас много, чего их жалеть?
>> >> >>
>> >> >> MK> Тех которых много, надо подписывать теми, которых мало.
>> >> >>
>> >> >> Так они наши собственные, что ли? Hу, засунешь ты в блеклист
>> >> >> верисайн, который когда-то подписывал недетское количество
>> >> >> ныне скомпрометированных сертификатов, кому с того лучше
>> >> >> будет? Тебе?
>> >>
>> >> MK> Верисайн вряд ли имеет смысл блокировать. Эксцессы, конечно,
>> >> MK> будут случаться, особенно в переходный период.
>> >>
>> >> Тогда придется вносить _каждый_ скомпрометированный сертификат.
>> >> Коих как грязи... Собственно, где встанет проблема - на самом
>> >> верисайне, на рипне каком (который заведет CA второго уровня,
>> >> раздающий сертификаты в ту же pp.ru) - неважно. Важно то, что,
>> >> допустим, треть выданных им сертификатов вскоре окажутся
>> >> скомпрометированными. Это _много_. А другие 2/3 - не окажутся.
>>
>> MK> Скомпрометированные должны отзываться, причём, самими
>> MK> владельцами.
>>
>> Владелец еще должен осознать, что его сертификат скомпрометирован...
>> А с пониманием компрометацией у народа еще веселее, чем с пониманием
>> проверки подписи...
MK> Что тут может быть непонятного? - Сервер не может отослать почту, в
MK> ящике постмастера ругань из bl на якобы отправленный спам. Ergo
MK> сертификат скомпрометирован.
Щазз. С гораздо большей вероятностью это прорелеенный (у нас же релей,
правильно?) подцепившим трояна клиентом спам. А сообразить, что
сессия-то была не твоя, т.е. действительно ключ утек - это... Скажем
так, у того админа, который это сообразит, и ключ, скорее всего, не утечет.
>> >> До кучи - ну, допустим, дюжину признанных рутовых CA ты знаешь и
>> >> можешь явно прописать "вот это не надо в блеклист". А как ты
>> >> отличишь крупный CA второго уровня (RIPN), который точно так же не
>> >> надо вносить в блеклист, от спамерского CA второго же уровня,
>> >> выписанного на организацию с солидным таким названием? А если оно
>> >> не в твоей стране?
>>
>> MK> Hеприкасаемыми должны быть, конечно, только корневые.
>>
>> Т.е. рипн через два дня окажется в блеклисте. Вместе с большей частью
>> России. Спасибо.
MK> Т.е. можно спокойно удалить объяснение, почему рипн в блеклисте не
MK> окажется, только потому, что оно не приведено прямо здесь? Пожалуйста.
Так не работает объяснение-то. Честно выданные им сертификаты будут
использованы для спама, и его (он же не рутовый) засунут в блеклист.
>> >> >> MK> Hу, пока кто-нибудь спам получит, пока
>> >> >> MK> пожалуется. Hекоторые списки, кажется, ещё ждут какое-то
>> >> >> MK> время, не откликнется ли админ.
>> >> >>
>> >> >> Во-во. Сколько писем за это время удастся протолкнуть?
>> >>
>> >> MK> Если на релее нет la 50 и нет забитого канала, то, скорее
>> >> MK> всего, немного.
>> >>
>> >> За время переписки с админом-то? По хорошему каналу вменяемый MTA
>> >> с десяток писем в секунду, пожалуй, может отдать не напрягаясь. С
>> >> админом ты будешь переписываться два дня, не меньше. Вот уже пара
>> >> миллионов.
>>
>> MK> Речь, конечно, идёт о часах, а не о днях.
>>
>> Если говорить о "конечно", то о неделях. Я эта, переписывался с
>> американцами. Из-за разницы во времени ответ на вопрос ты получаешь
>> не раньше чем на следующий деньт.
MK> Через четыре часа этот сервер оказывается в dsbl - и админ становится
MK> очень сговорчивым, и мусор уже не идёт.
То есть все-таки без переписки с админом? Итого, мы получили 144000
прорелеенных писем (4 часа по десятку писем в секунду) и попадание
сервера в блеклист без предварительного информирования админа. Hа самом
деле писем будет еще малость побольше, поскольку и админу dsbl о
проблеме сообщат не сразу. Это только прорелеенных экземпляров. Каждый
из которых, понятно, имеет N адресатов в одном домене...
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Hужны две программы - одна с интерфейсом, а другая чтобы работу делала.
Victor Wagner в <aut24i$gct$1@wagner.wagner.home>
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
