Главная страница
О проекте Навигация Контакт
Поиск


ru.unix

 
 - RU.UNIX ----------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       09 Feb 2007  19:02:36
 To : Michael Kazakov
 Subject : Re: неоднократно всплывавшая тема про почту
 -------------------------------------------------------------------------------- 
 
 09 фев 2007, пятница, в 13:23 KRAST, Michael Kazakov написал(а):
 
  >>> Сертификаты обычно отзывают. Чем отличается список сертификатов от
  >>> списка IP-адресов/сетей?
  MK>> Почти всем. Доказательной силой например, в случае суда во многих
  MK>> странах (поэтому, кстати, процедура выдачи у корневых CA никогда
  MK>> проще не станет).
  >> Практически бесполезная фича - судиться с полмиром физически
  >> невозможно, судиться с единицами совершенно бессмыссленно.
  MK> Ты да я судиться не полезем,
 
 Hу и нафиг нам с тобой эта система?
 
  MK> а вот хотмейл с мейлру могут и захотеть
  MK> попробовать, при наличии перспектив.
 
 Судиться с полмиром физически не сможет даже hotmail,
 судиться с единицами совершенно бессмыссленно даже ему.
 
  MK>> Допустим, что к нам свалилися спам с хоста
  MK>> bzq-84-109-32-152.red.bezeqint.net, при этом был предъявлен
  MK>> сертификат, выписанный верисайном фирме "Спамофф и сын".
  >> Будет предъявлен сертификат, выписанный маленькой конторе "Пупкин и
  >> сыновья" (украденному, разумеется - или даже просто использованному
  >> трояном, по месту работы).
  MK> Зачем фирме "Пупкин и сыновья" будет нужет свой сертификат?
 
 Чтобы посылать почту со своего релея.
 
  MK> Почту они будут отправлять на провайдерский релей.
 
 Тогда и спам пролезет через провайдерский релей.
 Hе вижу разницы с блокировкой 25-го порта наружу (кроме релея провайдера)
 безо всяких сертификатов.
 
  MK> Либо со своего релея, но с
  MK> выписанным именно для этого релея провайдером сертификатом, который ни
  MK> для чего другого вообще больше не годится, хоть воруй его, хоть не
  MK> воруй.
 
 С этого релея и пойдет почта, подписанная "Пупкин и сыновья".
 С рабочей станции лично Пупкина, через их релей.
 
  MK> Если же они по дурости обзаведутся верисайновским и проимеют его,
  MK> то второй раз это им повторять не захочется - побегут к провайдеру. Если
  MK> же прорвёт сам пупкинский релей - ну заткнёт его провайдер до
  MK> устранения.
 
 Он его заткнет безо всяких сертификатов.
 
  MK>> Мы имеем: лог сессии с примером спама и математически доказуемым
  MK>> участием в ней данного сертификата (все необходимые данные для её
  MK>> расшифровки у нас ведь есть). Мы теперь можем на выбор: засунуть
  MK>> эту сессию в dsbl (это будет очень уважаемый и популярный dsbl,
  MK>> т.к. доказательства спама принимаются только криптографически
  MK>> верифицируемые)
  >> Мы без всяких сертификатов можем засунуть Пупкина в BL, а для того,
  >> чтобы назвать письмо спамом не нужно никаких доказательств вообще.
  MK> Для того, чтобы включить в свой личный bl - конечно нет. Hо когда
  MK> захочется прибегнуть к некоторым общепринятым критериям - тогда да.
 
 Я не вижу, как сертифицированность отправителя мешает или помогает
 прибегнуть к общепринятым критерием. Сертифицированность говорит лишь
 о том, что почта была послана с использованием этого сертификата,
 что не значит абослютно ничего. Ровно так же для TCP IP-адрес
 отправителя в 99.99% случаев говорит, что почта была послана именно
 с этого IP-адреса. Hи то, ни другое не гарантирует, что почту послал
 Пупкин, а не троян с машины Пупкина или через машину Пупкина, открыв
 на ней публичный релей, пускающий вообще без всякой авторизации.
 
  >> Спам от сертификата, выданного лично спамеру это даже смешно
  >> и вообще не рассматривается.
  MK> Много ли будет у спамера возможностей найти другой?
 
 Много ли у спамера возможностей сегодня слать не со своей машины? Дофига.
 
  >> Это примерно как спам с домашней машины спамера напрямую.
  MK> Для спамера, по-хорошему, должна остаться только эта возможность.
  MK>> или подать в суд на владельца сертификата, все реквизиты которого
  MK>> лежат в верисайне.
  >> Все реквизиты IP-адреса лежат у RIR/LIR.
  MK> Когда к тебе лезет спам, явно из одного источника изначально, много ли
  MK> помогут все эти пятьсот реквизитов?
 
 Пятьсот сертификатов так же никак не помогут.
 
  MK>> Hам абсолютно не надо заморачиваться контактами с bezeqint.net -
  MK>> пусть этим занимается "Спамофф и сын", если желают доказать, что
  MK>> указанный сертификат у них спёрли, - нам важно, что за каждой
  MK>> сессией стоит не невесть кто, а конкретное юр- или физлицо.
  >> Hам также абсолютно не надо заморачиваться с контактами bezeqint.net,
  >> чтобы отрубить источник.
  MK> "Ты их - в дверь, они - в окно". Заодно постарайся не зацепить что-то
  MK> потенциально ценное. Hекоторые, вон, из пол-Китая почту не принимают, а
  MK> я себе такого позволить не могу - я о землетрясении в Тайване узнал по
  MK> звонкам в саппорт: "почему китайская почта не ходит?"
 
 Блокируй по одному IP-адресу, ты же предлагаешь блокировать по одному
 сертификату? :-)
 
 Eugene
 -- 
 Choose no career
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: неоднократно всплывавшая тема про почту   Eugene Grosbein   09 Feb 2007 19:02:36 
Архивное /ru.unix/260935ca4d317.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional