Użytkownik "Sławomir Kawała" <s...@a...net> napisał w wiadomości
news:ejd34j$o5b$1@atlantis.news.tpi.pl...
> On wto, 14 lis 2006 o 13:28 GMT, Piotr Gackiewicz wrote:
>
>> 1. Każdy operator usługi Email jest ZOBOWIĄZANY do implementacji rfc 2476
>> (submission, publiczny port tcp 587, przyjmujący pocztę do dalszej
>> dystrybucji jedynie od ZAUTORYZOWANYCH klientów).
>
> SMTP AUTH, ostatnio potrzebowalem znalezc MTA, ktory nie obsluguje tego
> feature - po 20 minutach zrezygnowalem, wszystkie wieksze portale, a
> takze mali ISP, ktorych wygooglalem wymagali uzywania smtp auth.

Brak autoryzacji to strzal w stope. Po mniej wiecej 30 minutach host bez
autoryzacji staje open proxy z ktorego korzystaja spamerzy, a co za tym idzie
laduje w RBLach
a to z kolei eliminuje takiego hosta z normalnej pracy.

Problem jest w tym ze obecnie spamu nie przesyla sie przez serwery ISP (jak za
dawnych czasow)
tylko przez zombie.


--
s.

do góry

Sławomir Bem <s...@d...piac.hu> writes:

> Problem jest w tym ze obecnie spamu nie przesyla sie przez serwery ISP (jak
> za dawnych czasow)
> tylko przez zombie.

i tu właśnie przydałoby się wprowadzić publiczną blokadę 25 portu dla
sieci... i udostępnić tylko dostęp do serwerów ISP... ale do tego
potrzebne jest publiczne wdrożenie MSA (port 587 i okolic), co jest
niechętnie robione przez większych dostawców kont pocztowych.

-- r.

do góry

On wto, 14 lis 2006 o 21:09 GMT, Piotr Gackiewicz wrote:

>> SMTP AUTH, wszystkie wieksze portale, a
>> takze mali ISP, ktorych wygooglalem wymagali uzywania smtp auth.
>
> Tak. Problem w tym, że robią to na porcie 25, a nie 587, który służy do
> odbierania poczty od MUA. W związku z czym idea blokowania wychodzącego
> SMTP w takiej sytuacji do blokowanie klientom ISP możliwości wysyłania
> poczty.

Ok, troche zagmatwales, ale teraz chyba juz wiem o co Ci chodzilo. Mowa
o sytuacji, gdy:

relaying poczty miedzy MTA:

MTA <= port 25 => MTA

Wysylanie poczty przez klienta

MUA <= port 587 => MTA (+SMTP AUTH wymagany)

Polityka ruchu ISP:

LAN <= drop outgoing pkts z dst port 25 => ISP <> WAN
LAN <= accept outgoing pkts z dst port 587 => ISP <> WAN

Dzieki czemu nawet trojany na koncowkach klienckich nie moglyby sie
laczyc bezposrednio na dst port 25 jakiegos MTA i slac maili z fake
domen. Jesli o to chodzilo, to rzeczywiscie ma to sens, ino wymagaloby
globalnej wspolpracy ISP - troche utopia.

> Tylko że to co się robi w tej materii to już jest istna wieża Babel,
(...)

Wiadomo, nie jest to rozwiazanie idealne, ale w obecnych warunkach
najrozsadniejsze. Natomiast ja bym zwrocil uwage na inny problem.
Aktualnie, zeby utrzymywac w miare 'sprawnie' funkcjonujacy 'system'
pocztowy trzeba dodawac mase dodatkowego softu oprocz samego MTA. Coraz
wieksza komplikacja, trudniejszy debugging, wieksza ilosc points of
failure i wspomniana juz coraz wieksza zasobozernosc oprogramowania
implikujaca koniecznosc inwestowania w sprzet niekonicznie dobrze wroza
na przyszlosc.


--
pozdr. Sławomir Kawała
JID: slwkk [at] alternatywa [dot] net
GSM: (0)601-398-348

do góry

On śro, 15 lis 2006 o 08:45 GMT, Sławomir Bem wrote:

> Brak autoryzacji to strzal w stope. Po mniej wiecej 30 minutach host bez
> autoryzacji staje open proxy z ktorego korzystaja spamerzy, a co za tym idzie
> laduje w RBLach

Przed popularyzacja SMTP AUTH uzywalo sie pop3 before smtp, takze mozna
i inaczej podejsc do problemu. Natomiast co do RBL-ow - mozna do nich
wpasc majac nawet wzorowo utrzymany MTA, np jesli z sieci ISP, gdzie
jest MTA wysylany jest spam, automatycznie niektore organizacje dochodza
np po revdns do domeny, dalej do mx-a i nasz niewinny MTA laduje do RBLi
;)


--
pozdr. Sławomir Kawała
JID: slwkk [at] alternatywa [dot] net
GSM: (0)601-398-348

do góry

Sławomir Kawała <s...@a...net> wrote:
> On śro, 15 lis 2006 o 08:45 GMT, Sławomir Bem wrote:
>
> > Brak autoryzacji to strzal w stope. Po mniej wiecej 30 minutach host bez
> > autoryzacji staje open proxy z ktorego korzystaja spamerzy, a co za tym idzie
> > laduje w RBLach
>
> Przed popularyzacja SMTP AUTH uzywalo sie pop3 before smtp

Może kiedyś. Teraz nie ma to już najmniejszego sensu: popnij się before smtp
np. zza jakiegoś dużego nata, typu Business Everywhere...

Pozdrawiam,

Krzysztof Oledzki

--
Krzysztof Olędzki
e-mail address: ole(a-t)ans(d-o-t)pl
Registered User: Linux - 189200, BSD - 51140
Nick Handles: KO60-RIPE, KO581 (Network Solutions)

do góry

Sławomir Kawała wrote:
> On wto, 14 lis 2006 o 21:09 GMT, Piotr Gackiewicz wrote:
>
>
>>>SMTP AUTH, wszystkie wieksze portale, a
>>>takze mali ISP, ktorych wygooglalem wymagali uzywania smtp auth.
>>
>>Tak. Problem w tym, że robią to na porcie 25, a nie 587, który służy do
>>odbierania poczty od MUA. W związku z czym idea blokowania wychodzącego
>>SMTP w takiej sytuacji do blokowanie klientom ISP możliwości wysyłania
>>poczty.
>
>
> Ok, troche zagmatwales, ale teraz chyba juz wiem o co Ci chodzilo. Mowa
> o sytuacji, gdy:
>
> relaying poczty miedzy MTA:
>
> MTA <= port 25 => MTA
>
> Wysylanie poczty przez klienta
>
> MUA <= port 587 => MTA (+SMTP AUTH wymagany)
>
> Polityka ruchu ISP:
>
> LAN <= drop outgoing pkts z dst port 25 => ISP <> WAN
> LAN <= accept outgoing pkts z dst port 587 => ISP <> WAN
>
> Dzieki czemu nawet trojany na koncowkach klienckich nie moglyby sie
> laczyc bezposrednio na dst port 25 jakiegos MTA i slac maili z fake
> domen. Jesli o to chodzilo, to rzeczywiscie ma to sens, ino wymagaloby
> globalnej wspolpracy ISP - troche utopia.
>

Ogólnie wdrożenie tego będzie kosztowne i nic nie da. Po prostu trojany
w tej chwili mało popularne rozpowszechnią się. Miałem już spotkanie z
takim. Pobiera z outlooka dane klienta i się autoryzuje na serwerze i
śle spam przez serwer. Więc wycięcie wszystkich neostrad i innych nic
nie da. Po prostu zmieni się soft wysyłający, będzie kradł login, hasło
ustawienia serwera i wyśle maila.

Jesli lista top spamerów, jakby policja się do nich dobrała i były
rozsądne kary typu 10 lat ciężkiego więzienia i grzywny rzędu 10 mln
dolarów, to szybko ubyłoby chętnych. Inna sprawą jest, że odbiorcy spamu
korzystają z tych ofert. To napędza biznes, jak na 10 mln spamów będzie
jeden chętny na ofertę, to biznes przestanie się opłacać.


--
wer

nie odpisuj na adres b...@n...pl
wlasciwy adres a...@o...pl

Jestem przeciwnikiem kary smierci, ale dla przykladu powinno sie
powiesic 100 spamerow w miejscach publicznych.

do góry

Użytkownik "Sławomir Kawała" <s...@a...net> napisał w wiadomości
news:ejf1vt$p3f$2@atlantis.news.tpi.pl...
> On śro, 15 lis 2006 o 08:45 GMT, Sławomir Bem wrote:
>
>> Brak autoryzacji to strzal w stope. Po mniej wiecej 30 minutach host bez
>> autoryzacji staje open proxy z ktorego korzystaja spamerzy, a co za tym idzie
>> laduje w RBLach
>
> Przed popularyzacja SMTP AUTH uzywalo sie pop3 before smtp,

Owszem uzywalem tego (do 2000 roku) ale problematyczne bylo wytlumaczenie
userowm o co chodzi. Zwlaszcza na systemach powyzej kilku kilo-kont.
Poza tym nie wszystkie klienty to obslugiwaly. Najbardziej irytujaca
byla obsluga tego mechanizmu w badziewiu MS outloku expresie.
A niestyety wiekszosc uzywa tego shitu.

"wspanialy mechanizm wyslij i odbierz". Jakbys odbieral codziennie
kilkadziesiat telefonow ze ktos sobie przygotowal poczte i
po pierwszym polaczeniu odrzuca mu poczte..... to szybko bys doszedl ze nie jest
to
dobre rozwiazanie (za sparawa shitu MS). Tym bardziej, ze kiedys jak ludzie
korzystali z dialupow
to nikt nie pisal maili online (jak teraz), wiec ciezko bylo pamietac zeby
najpierw pobrac a nie wysylac...... w koncu jest wyslij i pobierz...... maskara.

> takze mozna
> i inaczej podejsc do problemu.

slaby argument (choc idea piekna ;), powyzej wytlumaczylem dlaczego

> Natomiast co do RBL-ow - mozna do nich
> wpasc majac nawet wzorowo utrzymany MTA, np jesli z sieci ISP, gdzie
> jest MTA wysylany jest spam, automatycznie niektore organizacje dochodza
> np po revdns do domeny, dalej do mx-a i nasz niewinny MTA laduje do RBLi
> ;)

Mozna wpasc zawsze.
Nalezy miec dobrze dzialajace abuse i gwarantuje ci ze problem
wpadania jest incydentalny i zawsze do odkrecenia.

--
s.

do góry

Krzysztof Oledzki napisał(a):

> Może kiedyś. Teraz nie ma to już najmniejszego sensu: popnij się before smtp
> np. zza jakiegoś dużego nata, typu Business Everywhere...

niestety niektóre sieci, jak np. trzepak.net nadal tego używają :/

Wojtek

do góry

crazy bejbi napisał(a):
> Krzysztof Oledzki napisał(a):
>
>> Może kiedyś. Teraz nie ma to już najmniejszego sensu: popnij się
>> before smtp
>> np. zza jakiegoś dużego nata, typu Business Everywhere...
>
> niestety niektóre sieci, jak np. trzepak.net nadal tego używają :/

za http://trzepak.net...
Amatorska Sieć Komputerowa Heronet - Kraków os. Bohaterów Września

Ilosc komputerow: 6
Ostatnia aktualizacja: 20:02:45

To jest wg Ciebie duży nat ?

--
,,,
(o o)
========================oOO==(_)==OOo===============
==========
irc: f...@i...gisz.com Piotr Suchowski
jid: f...@c...pl .oooO Oooo. http://sernik.org
========================(''')==(''')================
==========
pgp id: 0x433F327C \ ( ) /
\_) (_/

do góry

Dnia Wed, 15 Nov 2006 13:38:39 +0100, Sławomir Kawała napisał(a):

> Dzieki czemu nawet trojany na koncowkach klienckich nie moglyby sie
> laczyc bezposrednio na dst port 25 jakiegos MTA i slac maili z fake
> domen. Jesli o to chodzilo, to rzeczywiscie ma to sens

Tak, o to chodziło.

> Ino wymagaloby > globalnej wspolpracy ISP - troche utopia.

Dlatego chodziło mi odgórnie narzuconą regulację prawną obowiązującą np.
na początku tylko w naszym pięknym kraju.
Nie wymagało by to "globalnej wspópracy ISP", ale wymagałoby to od ISP
implementowania access list do polskich prefiksów. Źródło takie utrzymywane
i aktualizowane powinno być przez jakieś delegowane ciało, np. UKE.

> Wiadomo, nie jest to rozwiazanie idealne, ale w obecnych warunkach
> najrozsadniejsze. Natomiast ja bym zwrocil uwage na inny problem.
> Aktualnie, zeby utrzymywac w miare 'sprawnie' funkcjonujacy 'system'
> pocztowy trzeba dodawac mase dodatkowego softu oprocz samego MTA. Coraz
> wieksza komplikacja, trudniejszy debugging, wieksza ilosc points of
> failure.

To właśnie określałem mianem "wieży Babel". Każdy operator email
implementuje własną politykę antyspamową, własny zestaw narzędzi. Każde
narzędzie przy odrzucaniu maila generuje jakiś komunikat.

Często żeby połapać się w zwrotkach i jednoznacznie określić powód
odrzucenia maila, trzeba być adminem i to jeszcze na bieżąco we wszytkich
trendach w tej dziedzinie.

--
Piotr Gackiewicz
Intertele S.A. - operator systemów ITL.PL i DOMENY.ITL.PL
al. T. Rejtana 1, 35-326 Rzeszów
TEL: +48 17 8507580, FAX: +48 17 8520275, INFOLINIA: 0 801 335523

do góry