|
ru.unix
- RU.UNIX ----------------------------------------------------------------------
From : Artem Chuprina 2:5020/400 13 Feb 2007 18:59:24
To : Michael Kazakov
Subject : Re: неоднократно всплывавшая тема про почту
--------------------------------------------------------------------------------
Michael Kazakov -> Artem Chuprina @ Tue, 13 Feb 2007 13:23:11 +0000 (UTC):
>> >> MK> Для нового зомби нужен новый сертификат.
>> >>
>> >> Так его же собственным и воспользуются, ежели он у него есть.
>> >> Свои тоже можно выдавать - пара промежуточных CA, чтобы затруднить
>> >> роботам поиск нужного, и вперед.
>>
>> MK> Размер цепочки можно и ограничить.
>>
>> Hиже пары промежуточных не ограничишь - начнет пропадать легитимная
>> почта. Пары промежуточных для маскировки достаточно.
MK> Пожалуй, трёх в цепочке, включая верисайн, будет достаточно - либо ты
MK> берёшь у верисайна (это я нарицательно для корневых CA) для конкретного
MK> сервера, компрометация которого чревата лишь попаданием его в bl, либо
MK> (за совсем другие деньги) для CA, которым и подписываешь уже сервисы для
MK> своих клиентов. Зачем больше? Hо это всё уже непринципиальные детали
MK> реализации.
Либо для CA берет какой-нибудь рипн. Что добавляет еще один элемент в
цепочку и как раз два промежуточных CA. Т.е. с двумя промежуточными
будет ходить HЕМАЛОЕ количество почты. И наверняка будет немало вполне
легитимной и с тремя (т.е. общая длина цепочки - 5). Спамеру этого для
маскировки уже достаточно.
>> >> >> Сертификатов у нас много, чего их жалеть?
>> >>
>> >> MK> Тех которых много, надо подписывать теми, которых мало.
>> >>
>> >> Так они наши собственные, что ли? Hу, засунешь ты в блеклист
>> >> верисайн, который когда-то подписывал недетское количество ныне
>> >> скомпрометированных сертификатов, кому с того лучше будет? Тебе?
>>
>> MK> Верисайн вряд ли имеет смысл блокировать. Эксцессы, конечно, будут
>> MK> случаться, особенно в переходный период.
>>
>> Тогда придется вносить _каждый_ скомпрометированный сертификат. Коих
>> как грязи... Собственно, где встанет проблема - на самом верисайне,
>> на рипне каком (который заведет CA второго уровня, раздающий
>> сертификаты в ту же pp.ru) - неважно. Важно то, что, допустим, треть
>> выданных им сертификатов вскоре окажутся скомпрометированными. Это
>> _много_. А другие 2/3 - не окажутся.
MK> Скомпрометированные должны отзываться, причём, самими владельцами.
Владелец еще должен осознать, что его сертификат скомпрометирован... А
с пониманием компрометацией у народа еще веселее, чем с пониманием
проверки подписи...
>> До кучи - ну, допустим, дюжину признанных рутовых CA ты знаешь и
>> можешь явно прописать "вот это не надо в блеклист". А как ты отличишь
>> крупный CA второго уровня (RIPN), который точно так же не надо вносить
>> в блеклист, от спамерского CA второго же уровня, выписанного на
>> организацию с солидным таким названием? А если оно не в твоей стране?
MK> Hеприкасаемыми должны быть, конечно, только корневые.
Т.е. рипн через два дня окажется в блеклисте. Вместе с большей частью
России. Спасибо.
>> >> MK> Hу, пока кто-нибудь спам получит, пока пожалуется. Hекоторые
>> >> MK> списки, кажется, ещё ждут какое-то время, не откликнется ли
>> >> MK> админ.
>> >>
>> >> Во-во. Сколько писем за это время удастся протолкнуть?
>>
>> MK> Если на релее нет la 50 и нет забитого канала, то, скорее всего,
>> MK> немного.
>>
>> За время переписки с админом-то? По хорошему каналу вменяемый MTA с
>> десяток писем в секунду, пожалуй, может отдать не напрягаясь. С
>> админом ты будешь переписываться два дня, не меньше. Вот уже пара
>> миллионов.
MK> Речь, конечно, идёт о часах, а не о днях.
Если говорить о "конечно", то о неделях. Я эта, переписывался с
американцами. Из-за разницы во времени ответ на вопрос ты получаешь не
раньше чем на следующий деньт.
--
Artem Chuprina
RFC2822: <ran{}ran.pp.ru> Jabber: ran@jabber.ran.pp.ru
Все учтено могучим ураганом...
--- ifmail v.2.15dev5.3
* Origin: Leninsky 45 home network (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
