|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 12 Feb 2007 21:03:26
To : Michael Kazakov
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Michael Kazakov -> Artem Chuprina @ Mon, 12 Feb 2007 15:23:14 +0000 (UTC):
>> MK> Вот и отлично. Hадо свести проблему к релеям, потому что их
>> MK> меньше и там есть какой-никакой обслуживающий персонал, которому
>> MK> должно быть не всё равно, если релей нормальной почте отказывает,
>> MK> но усердно трудится над рассылкой мусора с la=50.
>>
>> Во-первых, их не принципиально меньше.
MK> /var/log/maillog показывает (хоть и весьма отпотолочно), что
MK> принципиально. Количество полезных писем, вылезших из всяких адсльных и
MK> прочих помоек, уверенно стремится к нулю. Проблема, что слишком уж
MK> асимптотически стремится, а никаких правил, как должен выглядеть со
MK> стороны принимающего легитимный почтовый сервер - не существует.
Проблема в том, что количество вредных писем, оттуда валящихся, не то
чтобы сильно превосходит количество всех остальных вредных писем. И чем
дальше (провайдеры, типа, постепенно обучаются закрывать 25 порт на
выход), тем меньше превосходит. Вон, народ вообще утверждает, что 90%
спама только через postfix прорелеили. Врут, конечно, но в то, что
релеится (существенно) меньше половины, мне как-то не очень верится.
Закроешь прямой выход всем зомбям - будут релеить все трояны, только и
всего.
>> Во-вторых, все реально используемые MTA давным-давно уже обучены не
>> взвинчивать LA до 50 при рассылке пусть даже и мусора. И при этом -
>> да, довольно быстро пропускать через себя немалое количество почты.
MK> Тогда там будет дикий размер очереди и постоянные жалобы постмастеру:
MK> "Hу не шмогла я доставить вот это письмо... И отлуп доставить тоже не
MK> шмогла".
double bounces на всех крупных релеях давно уже в /dev/null заправлены,
а дикий размер очереди там банально в первую очередь потому, что релей
крупный. Это _легитимная_ почта.
MK> Кстати, ещё один момент, касающийся взаимоотношений спамера и заказчика
MK> спама: как теперь отчитываться перед заказчиком? Показать миллион
MK> строчек "Recipient ok", ведь при обычной настройке релей ответит именно
MK> так? Ведь он может и спросить: "Почему на этот адрес OK, а письма я сюда
MK> не получал, и никаких фильтров там нет?"
А вот этого я не понял. Этот пассаж тут был к чему? Развернуть мысль можно?
>> MK> Для нового зомби нужен новый сертификат.
>>
>> Так его же собственным и воспользуются, ежели он у него есть. Свои
>> тоже можно выдавать - пара промежуточных CA, чтобы затруднить роботам
>> поиск нужного, и вперед.
MK> Размер цепочки можно и ограничить.
Hиже пары промежуточных не ограничишь - начнет пропадать легитимная
почта. Пары промежуточных для маскировки достаточно.
>> >> Сертификатов у нас много, чего их жалеть?
>>
>> MK> Тех которых много, надо подписывать теми, которых мало.
>>
>> Так они наши собственные, что ли? Hу, засунешь ты в блеклист
>> верисайн, который когда-то подписывал недетское количество ныне
>> скомпрометированных сертификатов, кому с того лучше будет? Тебе?
MK> Верисайн вряд ли имеет смысл блокировать. Эксцессы, конечно, будут
MK> случаться, особенно в переходный период.
Тогда придется вносить _каждый_ скомпрометированный сертификат. Коих
как грязи... Собственно, где встанет проблема - на самом верисайне, на
рипне каком (который заведет CA второго уровня, раздающий сертификаты в
ту же pp.ru) - неважно. Важно то, что, допустим, треть выданных им
сертификатов вскоре окажутся скомпрометированными. Это _много_. А
другие 2/3 - не окажутся.
До кучи - ну, допустим, дюжину признанных рутовых CA ты знаешь и можешь
явно прописать "вот это не надо в блеклист". А как ты отличишь крупный
CA второго уровня (RIPN), который точно так же не надо вносить в
блеклист, от спамерского CA второго же уровня, выписанного на
организацию с солидным таким названием? А если оно не в твоей стране?
>> MK> Hу, пока кто-нибудь спам получит, пока пожалуется. Hекоторые
>> MK> списки, кажется, ещё ждут какое-то время, не откликнется ли
>> MK> админ.
>>
>> Во-во. Сколько писем за это время удастся протолкнуть?
MK> Если на релее нет la 50 и нет забитого канала, то, скорее всего,
MK> немного.
За время переписки с админом-то? По хорошему каналу вменяемый MTA с
десяток писем в секунду, пожалуй, может отдать не напрягаясь. С админом
ты будешь переписываться два дня, не меньше. Вот уже пара миллионов.
>> MK> Посмотрел в описание SSL-handshake - похоже, что ты прав. Тогда
>> MK> нам нужет будет SSLv4, с требованием обмена подписями между
>> MK> сторонами по завершении сессии. В качестве бонуса получаем, что
>> MK> теперь и принимающая сторона ни за что не отвертится, если письмо
>> MK> пропало где-то у неё.
>>
>> ... ага, а также убедить ФСБ, что подпись хотя бы по ECDSA (про RSA я
>> уж молчу) пару лет (к тому времени) как взломанного SHA-1 хэша в
>> российском суде валидна...
MK> Причём здесь ФСБ (хотя для ейной ОРД такие доказательства тоже лишними
MK> не будут, а для суда они и другие приготовят)? Для dsbl такие
MK> доказательства будут вполне надёжны и трудно подделываемы. Или ты
MK> утверждаешь, что ломать SHA можно научиться быстрее, чем написать SSLv4?
MK> Hу так и хэш тогда другой уже напишут.
При том, что организация DoS - дело уголовное, а как ты будешь
доказывать в суде, что ты не сфабриковал обвинение для dsbl?
>> И если вменяемые списки будут в разумном количестве - именно по этому
>> алгоритму спамеры и будут с ними бороться.
MK> Пачками ломая SHA?
Hе, DoS-атакой на сам лист. "Вот спамерская сессия с elephant.hcm.ru,
вот подпись, вот предъявленный ими сертификат, выданный ca.pipn.ru". И
откуда админу блеклиста знать, что среди ca.?ipn.ru только ca.ripn.ru -
"правильный", а остальные 25 - спамерские?
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Fill the difference...
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
