Mirosław Jaworski <m...@i...pl> wrote:
> On Thu, 2007-12-20 at 07:56 +0100, TaKeN TaKeNoWsKi wrote:
> > Wiesz moze jak masz na serwerze 100 kont to dla Ciebie nie jest to problem
> > polskiego internetu.
> > Natomiast jak masz po 10000 kont na kilku serwerach - problem sie zaczyna bo
> > jesli bym chcial blokowac IP tych co rozsylaja te emaile to bym chyba 90%
> > klas polskich musial zablokowac.
> > Bo niestety z przykroscia musze stwierdzic ze przynajmniej to co do mnie
> > lecialo to wiekszosc bylo z polskich puli adresowych jak TPNET itp..
>
> > host -t txt onet.pl
> onet.pl descriptive text "fax: +48 12 2774002"
> onet.pl descriptive text "tel: +48 12 2774000"
> onet.pl descriptive text "v=spf1 ip4:213.180.128.0/19 -all"
> ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> onet.pl descriptive text "ul. G.Zapolskiej 44\; 30-126 Krakow, Poland"
>
> Rozwinąć?

Tak, np. temat forwardów.

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

do góry

On Fri, 2007-12-21 at 10:19 +0000, Krzysztof Oledzki wrote:
> > > Wiesz moze jak masz na serwerze 100 kont to dla Ciebie nie jest to problem
> > > polskiego internetu.
> > > Natomiast jak masz po 10000 kont na kilku serwerach - problem sie zaczyna bo
> > > jesli bym chcial blokowac IP tych co rozsylaja te emaile to bym chyba 90%
> > > klas polskich musial zablokowac.
> > > Bo niestety z przykroscia musze stwierdzic ze przynajmniej to co do mnie
> > > lecialo to wiekszosc bylo z polskich puli adresowych jak TPNET itp..
> >
> > > host -t txt onet.pl
> > onet.pl descriptive text "fax: +48 12 2774002"
> > onet.pl descriptive text "tel: +48 12 2774000"
> > onet.pl descriptive text "v=spf1 ip4:213.180.128.0/19 -all"
> > ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> > onet.pl descriptive text "ul. G.Zapolskiej 44\; 30-126 Krakow, Poland"
> >
> > Rozwinąć?
>
> Tak, np. temat forwardów.

Rozważania teoretyczne:

SPF jest również sposobem na ochronę tożsamości ( "Tylko maile
wychodzące z naszego serwera są mailami od nas. Reszta to fałszywka!
Nie przyjmuj ich - ktoś się pod nas podszywa!" ).

Onet nie życzy sobie ( -all ), by przyjmować maile z serwerów innych,
niż mające adresy z ich puli. Dlaczego chcesz robić wbrew właścicielowi
domeny, któremu ciężko odmówić prawa do decydowania o tym, do czego
jego domena może być wykorzystywana?

W tym konkretnym przypadku to onet zdecydował, że forwardy mają nie
działać. Mógł zrobić ~all, zrobił -all. "As you wish, sire".

Rozważania praktyczne:

1.
Serwisy realizujące forwardy mają możliwość realizowania usługi
forwardowania maili w sposób zgodny z logiką świata coraz bardziej
opanowywanego przez SPF - SRS.

Pomyślmy - czy maila, który został przepuszczony przez systemy
ochronne systemu pocztowego, w którym użytkownik ma adres
pocztowy z forwardem, nie można uznać za dostarczonego pod ten
konkretny adres i czy w tym momencie nie dochodzi do zainicjowania
zupełnie nowej przesyłki - od siebie samego "stamtąd" do
siebie samego tam, gdzie wskazuje forward?

2.
Epoka MUA, które umiały komunikować się z jednym kontem dawno się
skończyła. Nie ma przeszkód, by MUA odbierało maile bezpośrednio z
n lokalizacji ( sprawiając, że forward z tamtej lokalizacji staje
się zbędny ), o ile dana lokalizacja nie jest typowym serwisem
zorientowanym na forwardowanie maili, nie dającym lokalnych skrzynek
( np @irc.pl ) - w takim wypadku patrz pkt 1.

3.
Wyjątki z SPF. Nikt nie zabrania zrobić w swoim systemie wyjątków
( oczywiście per adres docelowy ). Użytkownik wie przecież, czy
gdzieś na świecie nie ma forwardu. Można tym sterować lepiej niż
zerojedynkowo - można z kontem skojarzyć dodatkowy alias stworzony
specjalnie na potrzeby słabo chronionego systemu zdalnego robiącego
forwardy "po staremu", tylko dla tego aliasu ochronę SPF wyłączyć
i tenże adres w systemie zdalnym wpisać w forwardzie.

--
Mirosław "Psyborg" Jaworski
GCS/IT d- s+:+ a C++$ UBI++++$ P+++$ L- E--- W++(+++)$ N++ o+ K- w-- O-
M- V- PS+ PE++ Y+ PGP t 5? X+ R++ !tv b++(+++) DI++ D+ G e* h++ r+++ y?
"Thesaurus: ancient reptile with an excellent vocabulary"

do góry

Mirosław Jaworski <m...@i...pl> writes:

> Pomyślmy - czy maila, który został przepuszczony przez systemy
> ochronne systemu pocztowego, w którym użytkownik ma adres
> pocztowy z forwardem, nie można uznać za dostarczonego pod ten
> konkretny adres i czy w tym momencie nie dochodzi do zainicjowania
> zupełnie nowej przesyłki - od siebie samego "stamtąd" do
> siebie samego tam, gdzie wskazuje forward?

Domyslnie wpisanie .forward moze czegos takiego nie dac, ale IMHO
to sprawa forwardujacego by sie dalo. .procmailrc itp. i po
problemie.

> Epoka MUA, które umiały komunikować się z jednym kontem dawno się
> skończyła. Nie ma przeszkód, by MUA odbierało maile bezpośrednio z
> n lokalizacji

Sensowne inaczej. Ale nie przeszkadza.

> Wyjątki z SPF. Nikt nie zabrania zrobić w swoim systemie wyjątków
> ( oczywiście per adres docelowy ).

Kwestia konfiguracji serwera SMTP, zwykly user raczej nie moze tym
sterowac. Ale gdyby mogl (np. gdyby mogl dodac akceptowanie dla
siebie poczty takze z maszyn, z ktorych robi forwardy), to nie byloby
tego problemu. Z tym, ze moim zdaniem bardziej realna jest zmiana
nadawcy podczas forwardowania (i sprawdzanie SPF takze tam).


Ewidentnie SPF to nie jest idealne rozwiazanie, ale w odroznieniu
od wiekszosci innych nieidealnych rozwiazan SPF daje jakies szanse
na przyszlosc, nie tylko na chwile.
--
Krzysztof Halasa

do góry

Krzysztof Halasa wrote:
>> Epoka MUA, które umiały komunikować się z jednym kontem dawno się
>> skończyła. Nie ma przeszkód, by MUA odbierało maile bezpośrednio z
>> n lokalizacji
>
> Sensowne inaczej. Ale nie przeszkadza.

Znaczy, niby sensowniej jest stworzyć sobie single-point-of-failure w
postaci serwera, na który przychodzi poczta forwardowana ze wszystkoch
posiadanych kont??? Jakieś zalety takiego rozwiązania?

pozdrawiam
--
Marcin Gryszkalis, PGP 0x9F183FA3
jabber jid:m...@f...pl, gg:2532994
http://the.fork.pl

do góry

On Mon, 24 Dec 2007 03:05:17 +0100, Marcin Gryszkalis wrote:

> Krzysztof Halasa wrote:
>>> Epoka MUA, które umiały komunikować się z jednym kontem dawno się
>>> skończyła. Nie ma przeszkód, by MUA odbierało maile bezpośrednio z
>>> n lokalizacji
>>
>> Sensowne inaczej. Ale nie przeszkadza.
>
> Znaczy, niby sensowniej jest stworzyć sobie single-point-of-failure w
> postaci serwera, na który przychodzi poczta forwardowana ze wszystkoch
> posiadanych kont??? Jakieś zalety takiego rozwiązania?

Zależy od konkretnego przypadku. Wyobraź sobie kogoś, kto ma na jednym
koncie quotę 20MB, na drugim 50MB, a trzecie to Gmail, 6GB... chyba logiczne
jest wtedy ustawienie forwardów (1,2)->3?

--
Szymon Sokół (SS316-RIPE) -- Network Manager B
Computer Center, AGH - University of Science and Technology, Cracow, Poland O
http://home.agh.edu.pl/szymon/ PGP key id: RSA: 0x2ABE016B, DSS: 0xF9289982 F
Free speech includes the right not to listen, if not interested -- Heinlein H

do góry