[sisyphus] postfix + патч для spf ?

[sisyphus] postfix + патч для spf ?

[Mike Lykov]

Услышал недавно про идею SPF (sender permitted from) для борьбы со спамом.

описана на 

http://spf.pobox.com/

"SPF fights email address forgery and  makes it easier to identify spams, 
worms, and viruses"

есть  internet draft :

http://spf.pobox.com/draft-mengwong-spf-01.txt

 " This document is an Internet-Draft and is subject to all provisions   of 
Section 10 of RFC2026."

Есть уже даже патч для postfix 2.0.16 на http://www.yoobay.net/spf/

Кто что думает по этому поводу - может, опционально включить этот патч?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [sisyphus] postfix + патч для spf ?

[Mike Lykov]

В сообщении от Четверг 17 Июнь 2004 12:06 Mike Lykov написал:
> http://spf.pobox.com/
> "SPF fights email address forgery and  makes it easier to identify spams,
> worms, and viruses"

Патчи, библиотеки и модули лучше, видимо, брать на оригинальном сайте:
http://spf.pobox.com/downloads.html

"To date, Mail::SPF::Query has been packaged for Debian and RedHat/Fedora" - а 
Alt ?

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

[sisyphus] Re: postfix + патч для spf ?

[Michael Shigorin]

On Thu, Jun 17, 2004 at 12:06:29PM +0500, Mike Lykov wrote:
> Услышал недавно про идею SPF (sender permitted from) для борьбы со спамом.

Если не очень сильно ошибаюсь, не так давно ее обстоятельно
критиковали в ukr.nodes (постмастерская курилка).

Надо бы у netch@ уточнить...

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] Re: postfix + патч для spf ?

[Mike Lykov]

В сообщении от Четверг 17 Июнь 2004 18:41 Michael Shigorin написал:

> > Услышал недавно про идею SPF (sender permitted from) для борьбы со
> > спамом.
> Если не очень сильно ошибаюсь, не так давно ее обстоятельно
> критиковали в ukr.nodes (постмастерская курилка).
> Надо бы у netch@ уточнить...

Уточни, пожалуйста.
На их сайте все разжевано максимально подробно - как это работает, какой план 
перехода, что нужно сделать владельцам доменов/постмастерам/пользователям, 
какие есть сложности, как их планируется преодолеть и т.п.

В общем, не бредовая затея, а план постепенноой реализации защиты от подделки 
адресов.. magic bullet for spam никто не обещает ;)
Результаты различных обсуждений есть, faq есть.

Вот только что-то маинтейнер postfix молчит. может, он эту рассылку не читает, 
только devel@ ? я туда написать не могу ;)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [sisyphus] Re: postfix + патч для spf ?

[Mike Lykov]

В сообщении от Пятница 18 Июнь 2004 09:06 Mike Lykov написал:

> Вот только что-то маинтейнер postfix молчит. 

Уточнение - для работы с SPF достаточно только собрать postfix 2.1.
Далее - плугабельно.

гугль нашел:

http://archives.listbox.com/spf-discuss@v2.listbox.com/200312/0392.html

" Postfix 2.1 has a policy delegation protocol; SPF can plug
 into this, and a module has already been posted.
 Wietse "

вопрос про 2.1 в devel@ есть, но тоже пока без ответа.


-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [sisyphus] postfix + патч для spf ?

[Andrei Bulava]

On Fri, 18 Jun 2004, Mike Lykov wrote:

> В сообщении от Четверг 17 Июнь 2004 18:41 Michael Shigorin
> написал:
>
> > > Услышал недавно про идею SPF (sender permitted from) для
> > > борьбы со спамом.
> >
> > Если не очень сильно ошибаюсь, не так давно ее обстоятельно
> > критиковали в ukr.nodes (постмастерская курилка).
> > Надо бы у netch@ уточнить...
>
> Уточни, пожалуйста.

<skip/>

> В общем, не бредовая затея, а план постепенноой реализации

Даже после прочтения
http://homepages.tesco.net./~J.deBoynePollard/FGA/smtp-spf-is-harmful.html
вам всё ещё будет казаться, что всё так радужно?

Иллюстрация на пальцах: каким образом я смогу писать письма в
sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
самая подделка обратного адреса :-|

Ответ на вопрос "The Traveling Mailman Problem"
http://spf.pobox.com/objections.html мне не до конца понятен.

<skip/>

-- 
// AB1002-UANIC

Re: [sisyphus] Re: postfix + патч для spf ?

[Klimchev Konstantin]

On Fri, 18 Jun 2004 10:32:41 +0500
Mike Lykov <combr@vesna.ru> wrote:

> вопрос про 2.1 в devel@ есть, но тоже пока без ответа.
был в личку.

-- 
Best Regards, Konstantin Klimchev 
(mailto:koka@atvc.ru    jabber:koka@jabber.atvc.ru)
ATK-Internet ISP, Arkhangelsk, Russia

Re: [sisyphus] postfix + патч для spf ?

[Максим Ткаченко]

В сообщении от 18 Июнь 2004 17:38 Andrei Bulava написал(a):

> Иллюстрация на пальцах: каким образом я смогу писать письма в
> sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
> самая подделка обратного адреса :-|
имелось в виду netch@altlinux.ru наверно.....

Re: [sisyphus] postfix + патч для spf ?

[Mike Lykov]

В сообщении от Пятница 18 Июнь 2004 15:38 Andrei Bulava написал:

> > В общем, не бредовая затея, а план постепенноой реализации
> Даже после прочтения
> http://homepages.tesco.net./~J.deBoynePollard/FGA/smtp-spf-is-harmful.html
> вам всё ещё будет казаться, что всё так радужно?

я нигде не говорил, что "все радужно". 
Кстати, ссылка на эту страницу приводится прямо на их сайте - т.е. они не 
стараются выпячивать плюсы и скрывать минусы.

А на вышеуказанной странице вообще предлагают " switch to an entirely new 
architecture such as IM2000 Internet mail". Вы уверены, что это проще?

У них во мнигих местах сайта написано:
"SPF is merely one component in a balanced anti-spam strategy. It may help 
some; it may hurt others. SPF tries to break as few eggs as it can by 
providing a range of conformance levels. Many people believe that SPF is a 
strong solution because it helps many while hurting few."

Перевод про разбивание яиц (это из какой-то известной пословицы) нужен? ;)

> Иллюстрация на пальцах: каким образом я смогу писать письма в
> sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
> самая подделка обратного адреса :-|

Не вижу тут подделки.
Кстати, поле From ко всему этому отношения не имеет - проверяется только 
смтп-поле MAIL FROM: (о чем на сайте написано во всех подробностях)

Письма писать ты сможешь таким образом:
1. через своего провайдера, который участвоует в spf и письма от которого на 
master.altlinux.ru принимаются без вопросов.
2. если ты хочешь писать со своего домена/почтового сервера, то публикуешь в 
своей dns-записи информацию о spf, которая проверяется сервером 
master.altlinux.ru  - и письмо опять же принимается.

> Ответ на вопрос "The Traveling Mailman Problem"
> http://spf.pobox.com/objections.html мне не до конца понятен.

проблемы перевода. в данном случае "mailman"  - не программа, а 
"путешествующий человек, желающий отправить почту".

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

[sisyphus] Re: postfix + патч для spf ?

[Michael Shigorin]

On Fri, Jun 18, 2004 at 05:47:02PM +0700, Максим Ткаченко wrote:
> > Иллюстрация на пальцах: каким образом я смогу писать письма в
> > sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
> > самая подделка обратного адреса :-|
> имелось в виду netch@altlinux.ru наверно.....

Нет.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [sisyphus] postfix + патч для spf ?

[Andrei Bulava]

On Fri, 18 Jun 2004, Mike Lykov wrote:

> В сообщении от Пятница 18 Июнь 2004 15:38 Andrei Bulava
> написал:
>
> > > В общем, не бредовая затея, а план постепенноой реализации
> > Даже после прочтения
> >
> > http://homepages.tesco.net./~J.deBoynePollard/FGA/smtp-spf-is-harmful.html
> > вам всё ещё будет казаться, что всё так радужно?
>
> я нигде не говорил, что "все радужно".  Кстати, ссылка на эту
> страницу приводится прямо на их сайте - т.е. они не стараются
> выпячивать плюсы и скрывать минусы.
>
> А на вышеуказанной странице вообще предлагают " switch to an
> entirely new architecture such as IM2000 Internet mail". Вы
> уверены, что это проще?

Мы сейчас не преимущества и недостатки IM2000 обсуждаем, не так
ли? ;-)

> У них во мнигих местах сайта написано: "SPF is merely one
> component in a balanced anti-spam strategy. It may help some;
> it may hurt others. SPF tries to break as few eggs as it can by
> providing a range of conformance levels. Many people believe
> that SPF is a strong solution because it helps many while
> hurting few."
>
> Перевод про разбивание яиц (это из какой-то известной
> пословицы) нужен? ;)

Нельзя приготовить яичницу (в дословном переводе омлет), не
разбив яиц.

> > Иллюстрация на пальцах: каким образом я смогу писать письма в
> > sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
> > самая подделка обратного адреса :-|
>
> Не вижу тут подделки. Кстати, поле From ко всему этому
> отношения не имеет - проверяется только смтп-поле MAIL FROM: (о
> чем на сайте написано во всех подробностях)
> Письма писать ты сможешь таким образом:
>
> 1. через своего
> провайдера, который участвоует в spf и письма от которого на
> master.altlinux.ru принимаются без вопросов.

Ещё раз перечитайте вышенаписанное - вы сами себе ответили. Адрес
сервера моего провайдера X.X.X.X, и он по смыслу SPF не является
сервером, который может отправлять письма с MAIL FROM:
@altlinux.ru. Я формирую в MUA письмо с From: @altlinux.ru и
отправляю его через сервер провайдера (на котором, кстати, у
меня _нет_ учётной записи). Сами догадаетесь, что сервер моего
провайдера предъявит серверу master.altlinux.ru в поле MAIL
FROM? В худшем случае - прямо содержимое заголовка Return-Path:
@altlinux.ru и произойдёт отлуп. В лучшем: перепишет
MAIL FROM: (и Return-Path:) на нечто в соответствии с SRS
(foo+bar@myisp.com). Но не дай Бог письмо не дойдёт до рассылки!
Потом по Return-Path: поднимется такая волна bounce message'ей,
которая зацепит и сервер моего провайдера, хотя этот bounce ему и
на фиг не нужен.

В общем, вы меня так и не убедили, что это будет работать. Либо
не будут доходить письма, либо возрастёт нагрузка на сеть. Плюс
из-за длинных строк в Return-Path: упадёт не один древний MTA
(да и новые от этого не застрахованы).

> 2. если ты хочешь писать со своего домена/почтового сервера, то
> публикуешь в своей dns-записи информацию о spf, которая
> проверяется сервером master.altlinux.ru - и письмо опять же
> принимается.

Уход от темы: 1) в обсуждаемом сценарии домен - altlinux.ru, он
"не мой" и 2) админ altlinux.ru не может внести всё адресное
пространство Интернет, из которого я потенциально могу отправить
письмо с From: abulava@ - ибо это будет означать, что SPF
вырождается в нынешний порядок вещей.

> > Ответ на вопрос "The Traveling Mailman Problem"
> > http://spf.pobox.com/objections.html мне не до конца
> понятен.
>
> проблемы перевода. в данном случае "mailman"  - не программа, а
> "путешествующий человек, желающий отправить почту".

Ладно, про яйца и яичницу ещё было смешно, но подозревать меня в
том, что я испытываю _такие_ проблемы с переводом? :-\

Итак, читаем ещё раз:

> (From John Levine:) The social problem with designated sender
> is that there are plenty of perfectly legitimate reasons for
> mail from a domain to originate someplace other than its home
> network.  Lots of people maintain accounts at Yahoo or other
> free mail providers, but send mail with their Yahoo address
> from their home ISP using the ISP's mail server.

> SPF solves the problem by allowing ISPs to make exceptions on a
> per-user basis using the Exists mechanism.

То есть я должен кланяться в ножки провайдеру? Каждому, через
которого собираюсь отсылать почту с From: @altlinux? Я всё равно
_не понимаю_: как "the Exists mechanism" решит проблему если я
собираюсь отправить почту из Интернет-кафе? :-|

> ISPs can solve the problem by offering SASL. Users can log in
> to the home mail server even when they're travelling. All
> modern MUAs support SASL authentication, and all up-to-date
> ISPs support it on the server end.

Ещё раз повторяю: 1) я не имею никаких почтовых дел со своим
нынешним провайдером; 2) у меня нет учётной записи на его
сервере; 3) у нас в конторе стоит собственный почтовый шлюз! >:-{

И последнее: спам будет приходить в тех же количествах, что и
раньше, потому что стоимость его рассылки возрастёт всего на $8 -
стоимость регистрации нового домена.

P.S. No offence, please. Ничего личного.

-- 
// AB1002-UANIC

Re: [sisyphus] postfix + патч для spf ?

[Andrey Orlov]

On Friday 18 June 2004 20:07, Andrei Bulava wrote:
> > > Иллюстрация на пальцах: каким образом я смогу писать письма в
> > > sisyphus@ / devel@ с полем From: abulava@ ??? Это ж и есть та
> > > самая подделка обратного адреса :-|

Я уж не знаю как в случае с altlinux.org, но вообще-то ни один из моих серверов
не примет почту от зарегестрированного почтового адреса домена, который на нем
хостится, без авторизации. А раз так - то письмо от левого провайдера с адреса
cray@neural.ru до пользователя paul@neural.ru не дойдет никогда. Такая мера
была введена ввиду необходимости гарантировать пользователям почтового сервера,
что по крайней мере почта из их собственного домена не является спамом и 
некий president@somedomain - это действительно президент, хотя бы в первом приближении,
 а не кришна знает кто.

Так что по крмре данное возражение не принимается - да, то что вы написали, из-за spf
работать не будет. Но, оно и так не работает.

-- 
WthBstRgrds -- Андрей Орлов --  
 --- http: www.neural.ru, mail: cray@neural.ru, jid: cray@altlinux.org ---
----------------------------------------

Re: [sisyphus] postfix + патч для spf ?

[Mike Lykov]

В сообщении от Пятница 18 Июнь 2004 21:07 Andrei Bulava написал:

> > А на вышеуказанной странице вообще предлагают " switch to an
> > entirely new architecture such as IM2000 Internet mail". Вы
> > уверены, что это проще?
> Мы сейчас не преимущества и недостатки IM2000 обсуждаем, не так
> ли? ;-)

Нет конечно, потому что IM2000 - это разработка писателей с того сайта. т.е. 
они просто пытаются закритиковать чужое, чтобы протолкнуть свое с криком "а у 
нас круче" ;)

> Нельзя приготовить яичницу (в дословном переводе омлет), не
> разбив яиц.

Ну да. намек на то, что все схемы, по которым предлагается делать изменения, 
не идеальны.

> > 1. через своего
> > провайдера, который участвоует в spf и письма от которого на
> > master.altlinux.ru принимаются без вопросов.
> Ещё раз перечитайте вышенаписанное - вы сами себе ответили. Адрес
> сервера моего провайдера X.X.X.X, и он по смыслу SPF не является
> сервером, который может отправлять письма с MAIL FROM:
> @altlinux.ru. Я формирую в MUA письмо с From: @altlinux.ru и
> отправляю его через сервер провайдера (на котором, кстати, у
> меня _нет_ учётной записи). Сами догадаетесь, что сервер моего
> провайдера предъявит серверу master.altlinux.ru в поле MAIL
> FROM? 

Тут выходит, конечно, ограничение для пользователей - если вы формируете 
письмо с @altlinux.ru, то и посылать вы его должны через сервер altlinux.ru и 
никак иначе. Иначе не используйте такой From.
А если уж взялись использовать @altlinux.ru,  но сидите не в тех сетях, 
которые сервер altlinux.ru релеит, то просите сделать для вас возможность 
посылать через него с авторизацией.
Иначе никак - ведь цель всего этого - именно избавиться от подделки MAIL FROM.

А сейчас вы посылаете письмо...
Received: from 93sirius042.dc.ukrtel.net (93sirius042.dc.ukrtel.net
	[195.5.55.42])
	by master.altlinux.ru (Postfix) with ESMTP id 26BE7E470E
	for <sisyphus@altlinux.ru>; Fri, 18 Jun 2004 20:07:36 +0400 (MSD)
Received: from devel.office (devel.office [192.168.0.254])
	by 93sirius042.dc.ukrtel.net (Postfix) with ESMTP id C571C84855
	for <sisyphus@altlinux.ru>; Fri, 18 Jun 2004 19:07:30 +0300 (EEST)

Вот этот ваш 93sirius042.dc.ukrtel.net и должен будет авторизоваться на 
master.altlinux.ru.

> 2) админ altlinux.ru не может внести всё адресное
> пространство Интернет, из которого я потенциально могу отправить
> письмо с From: abulava@ - ибо это будет означать, что SPF
> вырождается в нынешний порядок вещей.

не "все пространство". он же дал вам право использовать емейл @altlinux.ru ?
Вот пусть и впишет те адреса, с которых вы им пользуетесь, в доверенные 
или-как-их-там.

> > проблемы перевода. в данном случае "mailman"  - не программа, а
> > "путешествующий человек, желающий отправить почту".
> Ладно, про яйца и яичницу ещё было смешно, но подозревать меня в
> том, что я испытываю _такие_ проблемы с переводом? :-\

Извините, если что не так, конечно ;)

> Итак, читаем ещё раз:
> > (From John Levine:) The social problem with designated sender
> > is that there are plenty of perfectly legitimate reasons for
> > mail from a domain to originate someplace other than its home
> > network.  Lots of people maintain accounts at Yahoo or other
> > free mail providers, but send mail with their Yahoo address
> > from their home ISP using the ISP's mail server.

Есть такая проблема, но см выше. ;)

> Ещё раз повторяю: 1) я не имею никаких почтовых дел со своим
> нынешним провайдером; 2) у меня нет учётной записи на его
> сервере; 3) у нас в конторе стоит собственный почтовый шлюз! >:-{

Два варианта - или пользоваться адресом провайдера, отправляя от провайдера, 
или пользоваться "собственным почтовым шлюзом" и адресом, заведенным на этом 
"собственном почтовом шлюзе".
Иначе это получается подделка адресов %)
Не надо говорить что "хочу и буду", "что за дурная система, которая не дает 
мне..." .. и т.п.
Вся проблема _нынешней_ системы как раз в том, что она _дает_ много свободы, 
чем спамеры и пользуются.
Пока доля спама - 10-20%, с этим можно мириться. но когда она достинает 
70-80%, то свободу уже пора ограничивать ;)


> И последнее: спам будет приходить в тех же количествах, что и
> раньше, потому что стоимость его рассылки возрастёт всего на $8 -
> стоимость регистрации нового домена.

см. про "throwaway domains"  в faq на сайте spf.
По крайней мере после регистрации такого домена будет ясно, кого наказывать и 
кого отключать.

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

Re: [sisyphus] postfix + патч для spf ?

[Andrei Bulava]

On Tue, 22 Jun 2004, Mike Lykov wrote:

<skip/>

> Тут выходит, конечно, ограничение для пользователей - если вы
> формируете письмо с @altlinux.ru, то и посылать вы его должны
> через сервер altlinux.ru и никак иначе. Иначе не используйте
> такой From.

mailman пока что контролирует право писать в рассылку на
основании From.

Хорошо, я стану писать в рассылку с адресом From: @raven.org.ua.
Кстати, вы мне дадите денег на оплату услуг провайдера по
поддержке почтового ящика? Пока мой INBOX находится на офисном
почтовом шлюзе, мне по крайней мере не нужно никому платить, а
конторе - ставить в известность провайдера об изменениях в
штатном расписании. :-\

> А если уж взялись использовать @altlinux.ru, но сидите не в тех
> сетях, которые сервер altlinux.ru релеит, то просите сделать
> для вас возможность посылать через него с авторизацией.

Где гарантия что моим законным правом обратиться к администратору
домена altlinux.ru не воспользуется спамер? Email Certificate?
PGP-ключ?

> Иначе никак - ведь цель всего этого - именно избавиться от
> подделки MAIL FROM.

Сдаётся мне, что PKI / PGP гораздо лучше подходит на эту роль.
Доказательства - off list (от вас требуется SMIME-aware MUA).

<skip/>

> Вот этот ваш 93sirius042.dc.ukrtel.net и должен будет
> авторизоваться на master.altlinux.ru.

См. выше. Мало того, что у админа altlinux.ru будет забот выше
крыши (оно ему надо - знать _все_ IP-адреса, откуда я пошлю
почту, да ещё и реагировать на изменения этих адресов? Нас же тут
не два человека...), так на нём ещё и груз ответственности за то,
что нечаянно авторизует спамера.

> > 2) админ altlinux.ru не может внести всё адресное
> > пространство Интернет, из которого я потенциально могу
> > отправить письмо с From: abulava@ - ибо это будет означать,
> > что SPF вырождается в нынешний порядок вещей.
>
> не "все пространство". он же дал вам право использовать емейл
> @altlinux.ru ? Вот пусть и впишет те адреса, с которых вы им
> пользуетесь, в доверенные или-как-их-там.

"Послезавтра мы будем пить пиво в Пушкаре или в Жигулях". См.
выше - IP адрес может быть любым. Кстати, в вырезанной вами части
моего письма был вопрос о Интернет-кафе. Их куда вписывать?

<cite>
SPF is useless for roaming SMTP Relay clients.

A person may own an entire domain and wish to submit mail, using
mailbox names in his/her own domain as the envelope senders,
directly from a system with a dynamically-assigned IP address
(such as, for example, a portable system that connects via
multiple ISPs).

Ironically, the official SPF answer to the question of what SPF
data to publish in these circumstances is, effectively, to not
adopt SPF:

> If you run a personal domain, you can either not publish SPF
records at all, or set up "v=spf1 +all" for your domain, and
you'll be able to send mail from your laptop no matter where you
are.
</cite>

<skip/>

> Два варианта - или пользоваться адресом провайдера, отправляя
> от провайдера,

Разумеется, если вы или другие сторонники SPF будете оплачивать
мои накладные расходы. ;-)

> или пользоваться "собственным почтовым шлюзом" и адресом,
> заведенным на этом "собственном почтовом шлюзе".

Вот это ближе к делу. Именно так и поступит каждый спамер: "If
you run a personal domain, you can either not publish SPF records
at all, or set up "v=spf1 +all" for your domain, and you'll be
able to send mail from your laptop no matter where you are."

Как же тогда SPF поможет вам отличить законопослушного
пользователя от злобного спамера? :-\ Не спешите отвечать,
читайте дальше. :-)

> Иначе это получается подделка адресов %) Не надо говорить что
> "хочу и буду", "что за дурная система, которая не дает мне..."
> .. и т.п.

Если вы - представитель провайдера услуг Интернет и/или email
(как, например, Pobox.com, AOL Time Warner), я уважительно
отнесусь к вашей точке зрения по пропаганде SPF. Признаю, что
введение SPF даёт вам больше свободы над пользователями. "Большой
Брат" так вообще должен быть в восторге от такой узурпации права
отправлять почту. ;-)

<cite>
SPF gives ISPs a "lock-in" weapon against their customers.

...

SPF breaks this, providing ISPs (that provide mail hosting
services to their customers) with a draconian lock-in weapon to
wield against their customers. An ISP can employ SPF to prevent
its customers from submitting mail, using those customers' own
mailbox names as the envelope senders, from elsewhere other than
the ISP itself, preventing the customer from submitting mail
directly, via another ISP, or as a guest of another system.
<cite/>

<skip/>

> > И последнее: спам будет приходить в тех же количествах, что и
> > раньше, потому что стоимость его рассылки возрастёт всего на
> > $8 - стоимость регистрации нового домена.
>
> см. про "throwaway domains"  в faq на сайте spf. По крайней
> мере после регистрации такого домена будет ясно, кого
> наказывать и кого отключать.

Не знали о виртуальных картах VISA? При оплате ими можно
указывать любые данные. https://rupay.com/user_shops.php?cPath=4
гласит:

"К картам не привязано ФИО и адрес владельца карты, можно
вводить свои данные при заполнении формы для оплаты картой."

Сомневаюсь, что банк расскажет вам, кого наказывать.

А отключать - уже поздно, в следующий раз спам придёт с другого
домена. В IP-адресах тоже пока что недостатка не замечено.

-- 
// AB1002-UANIC

Re: [sisyphus] postfix + патч для spf ?

[Andrey Orlov]

On Tuesday 22 June 2004 15:06, Andrei Bulava wrote:
> Разумеется, если вы или другие сторонники SPF будете оплачивать
> мои накладные расходы. ;-)

Я думаю, он или другие сторонники SPF просто решать, что поскольку
_вы_ не оплачиваете их расходы на чтение спама, то они не будут читать
ваши письма, так то, что вы пишите их не через вашего провайдера - сугубо
ваша проблема. Т.о. образом, интернет разделится на две части - вы  в одной,
одни в другой. Я скорее всего окажусь в той части, которая отправляет письма только
через своего провайдера, так считаю это единственным правильным вариантом (и не
только из-за проблемы спама), хот собственно мое отношения к SPF - для меня пока под вопросом.
Упомянутая электронная подпись - тоже очень хорошая защита от подделки (намного более 
лучшая чем SPF), но, боюсь, что ни одной дельной программы перехода на нее я не видел.

> введение SPF даёт вам больше свободы над пользователями. "Большой
> Брат" так вообще должен быть в восторге от такой узурпации права
> отправлять почту. ;-)

Я думаю, что со времен Большого Брата акценты сместились. Нет проблемы со
свободой распространия информации. Наступило время борьбы за свободу
отказа от получения и навязывания информации. А раз так - то пишите письма откуда
угодно, и как угодно - хотя с Yahoo! в кодирировке iso8859-1 без сабджектов и текстом
письма в виде прикрепленного вордовского файла. Только не удивляйтесь, что безо всяких
ограничений со стороны __вашего__, ни один получатель ваше письмо не получит. Я такой
формат как пример привел, но я письма написананые "не по правилам" читаю только в 
исключительных случаях... И такая тенденция - в виду вышозначенного смещения акцентов - очень
распространена.

> А отключать - уже поздно, в следующий раз спам придёт с другого
> домена. В IP-адресах тоже пока что недостатка не замечено.

"Отказ от приема почты от неизвестных доменов" - вполне допустимый вариант для 90% коропоративных
пользователей почты. 90% - на глазок. а вот допустимость варианта - вполне точный замер. 
-- 
WthBstRgrds -- Андрей Орлов --  
 --- http: www.neural.ru, mail: cray@neural.ru, jid: cray@altlinux.org ---
----------------------------------------

Re: [sisyphus] postfix + патч для spf ?

[Mike Lykov]

В сообщении от Вторник 22 Июнь 2004 16:06 Andrei Bulava написал:

> mailman пока что контролирует право писать в рассылку на
> основании From.

Это ни на что не влияет. From просто должен соответствовать тому, с которого 
была подписка, и все.

> Хорошо, я стану писать в рассылку с адресом From: @raven.org.ua.
> Кстати, вы мне дадите денег на оплату услуг провайдера по
> поддержке почтового ящика? Пока мой INBOX находится на офисном
> почтовом шлюзе, мне по крайней мере не нужно никому платить, а
> конторе - ставить в известность провайдера об изменениях в
> штатном расписании. :-\

У меня тоже аккаунт на "офисном почтовом шлюзе". Но я никому не плачу за него 
- а провайдеру офис платить только за траффик. у вас не так? Зачем вам еще 
ящик у провайдера и оплата его?
Что мешает завести аккаунт на офисном сервере и писать с него?
(заметьте, я не "указываю, что вам делать" ;) просто в случае введения spf вам 
придется это сделать, если вы хотите быть услышанным теми, кто работает с 
spf)

И, как справедливо заметил Орлов, 70% оплачиваемого моим офисом почтового 
траффика - спам. Вы мне возместите?

> > А если уж взялись использовать @altlinux.ru, но сидите не в тех
> > сетях, которые сервер altlinux.ru релеит, то просите сделать
> > для вас возможность посылать через него с авторизацией.
> Где гарантия что моим законным правом обратиться к администратору
> домена altlinux.ru не воспользуется спамер? Email Certificate?
> PGP-ключ?

Это уже личное дело вас и администратора некоторого домена.

> > Иначе никак - ведь цель всего этого - именно избавиться от
> > подделки MAIL FROM.
> Сдаётся мне, что PKI / PGP гораздо лучше подходит на эту роль.
> Доказательства - off list (от вас требуется SMIME-aware MUA).

В том-то и дело, что MUA, а не MTA.
Зачем мне проверять письмо уже после получения, если моя цель - отвергнуть 
поддельные письма, _не_ получая их?
какой MTA может проверять pgp-подписи на этапе smtp-сессии?

> > Вот этот ваш 93sirius042.dc.ukrtel.net и должен будет
> > авторизоваться на master.altlinux.ru.
> См. выше. Мало того, что у админа altlinux.ru будет забот выше
> крыши (оно ему надо - знать _все_ IP-адреса, откуда я пошлю
> почту, да ещё и реагировать на изменения этих адресов? Нас же тут
> не два человека...), так на нём ещё и груз ответственности за то,
> что нечаянно авторизует спамера.

Если он не хочет принимать на себя этот груз - он не должен позволят писать 
тебе с адреса "altlinux.ru" . ведь ты этот адрес неспростра поставил?
Я вот до сих пор не знаю правила, по которому раздаются адреса в домене 
@altlinux.ru (я не джойнился к team).

В случае с spf - каждый владелец домена отвечает за тех, кто пишет с адресом 
его домена.
Если отвечать не хочет - не даст он тебе авторизации, придется тебе все-таки 
из своего домена писать ;)

> "Послезавтра мы будем пить пиво в Пушкаре или в Жигулях". См.
> выше - IP адрес может быть любым. 

авторизация решает эту проблему.
 
> Кстати, в вырезанной вами части
> моего письма был вопрос о Интернет-кафе. Их куда вписывать?

Не знаю.

> > If you run a personal domain, you can either not publish SPF
> records at all, or set up "v=spf1 +all" for your domain, and
> you'll be able to send mail from your laptop no matter where you
> are.

Это тебя не устраивает?

> Вот это ближе к делу. Именно так и поступит каждый спамер: "If
> you run a personal domain, you can either not publish SPF records
> at all, or set up "v=spf1 +all" for your domain, and you'll be
> able to send mail from your laptop no matter where you are."

Вот когда поступит (сомневаюсь, что каждый - ведь для этого надо регистрить 
домен, а сейчас большинство спама идет со взломанных сетей в кабельных сетях 
без всякой регистрации доменов), тогда и надо думать.

> Если вы - представитель провайдера услуг Интернет и/или email

нет.

> (как, например, Pobox.com, AOL Time Warner), я уважительно
> отнесусь к вашей точке зрения по пропаганде SPF. Признаю, что
> введение SPF даёт вам больше свободы над пользователями. 

Я представитель компании-клиента провайдера, которому надоедо видеть 60% (и 
больше) спама в своей почте.
Поэтому я считаю, что пользователям свободы вообще давать не надо в отношении 
smtp ;)


> > см. про "throwaway domains"  в faq на сайте spf. По крайней
> > мере после регистрации такого домена будет ясно, кого
> > наказывать и кого отключать.
> Не знали о виртуальных картах VISA? 

не знал, но к faq на сайте мне нечего добавить.

ЗЫ введение или нет spf не зависит от нашего спора.... postfix 2.1 я могу 
собрать и сам, spf-инфу я о своем домене уже включил.. ;)

-- 
Mike Lykov
Samara, "Vesna" parfum company, System administrator 

[sisyphus] [OT?] Re: postfix + патч для spf ?

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 423 bytes --]

On Wed, Jun 23, 2004 at 10:44:48AM +0500, Mike Lykov wrote:
> ЗЫ введение или нет spf не зависит от нашего спора.... postfix
> 2.1 я могу собрать и сам, spf-инфу я о своем домене уже
> включил.. ;)

Вот и давайте, что ли, завязывать с офтопиком?

Хотя некий isp-list явно напрашивается... создать, что ли, у нас?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]