Пол Викси (Paul Vixie), основатель и глава Internet Software Consortium, разработчик DNS-сервера BIND, а также ряда других программ (vixie-cron, rtty, proxynet, SENDS), опубликовал (http://www.isc.org/community/blog/201007/taking-back-dns-0) в своем блоге предложение расширить область применения подхода, используемого в технологии DNS blacklist.
DNS blacklist (DNSBL) — технология борьбы со спамом, позволяющая почтовым серверам проверять IP-адреса хостов, от которых они получают почту. Когда хост-отправитель обращается к почтовому серверу, тот выполняет запрос на разрешение доменного имени, состоящего из записанного задом наперед адреса отправителя и доменного имени используемого DNSBL-сервера (например, 220.206.60.71.bl.spamcop.net — для проверки адреса 71.60.206.220 в блэк-листе spamcop.net). Если запрос возвращает корректный результат (имя разрешается в некоторый произвольный IP-адрес), почтовый сервер отвергает почту от такого отправителя. В зависимости от настроек п...URL: http://www.isc.org/community/blog/201007/taking-back-dns-0
Новость: http://www.opennet.me/opennews/art.shtml?num=27496
В такие моменты ощущаешь гордость за опенсорс
Не всегда. Dnsbl сам по себе - своеобразная штука. Безбашенные обладатели оных имеют свойство пихать туда все что пихается, без разбора. В итоге туда пихаются например динамические айпишники. В итоге - сидите вы на динамическом айпи, или не дай боже, совместно используемым за NATом айпи (а у большей части провайдеров именно так и есть). В итоге - надо вам почту отослать. А тут то вам и говорят - редиска вы, уважаемый! Идите ка вы нахрен! Отправлять вашу почту мы сегодня не будем. А то что это был динамический айпи с которого два года назад кто-то погадил а я вообще не при чем ессно блеклист не в курсе. В итоге, пардон, временами ощущается очень странная форма гордости - butthurt`ом еще называется. А теперь я так понимаю и домен спокойно купить нельзя будет - купишь его, а окажется что пару лет назад с него гадил какой-то урод.ЗЫЖ у меня временами такое ощущене что просто перестрелять спамеров и прочих жуликов было бы явно проще и дешевле.
>ЗЫЖ у меня временами такое ощущене что просто перестрелять спамеров и прочих
>жуликов было бы явно проще и дешевле.Не проще и не дешевле, но надежнее это точно.
увы, среди них могут оказаться гомосексуалисты, негроамерикацы и инвалиды, потому современное общество на расстрел не пойдёт.
>В итоге - надо вам почту отослать. А тут то вам и говорят - редиска вы, уважаемый! Идите ка вы нахрен! Отправлять вашу почту мы сегодня не будем. А то что это был динамический айпи с которого два года назад кто-то погадил а я вообще не при чем ессно блеклист не в курсе.Вы не в блэклисте, просто у динамических IP нет годной rDNS записи.
>>В итоге - надо вам почту отослать. А тут то вам и говорят - редиска вы, уважаемый! Идите ка вы нахрен! Отправлять вашу почту мы сегодня не будем. А то что это был динамический айпи с которого два года назад кто-то погадил а я вообще не при чем ессно блеклист не в курсе.
>
>Вы не в блэклисте, просто у динамических IP нет годной rDNS записи.
>А сервис типа DynDNS спасет отца русской демократии? Или там тоже не будет годной rDNS записи?
Нет, нужен выделенный IP и PTR запись в обратной зоне, указывающая на нормальный доменный адрес. Только ваш провайдет может в этом помочь.
сейчас у любого почти прова дайалапники с реверс зонами
>сейчас у любого почти прова дайалапники с реверс зонамиНаоборот! Сейчас почти любой провайдер забивает на
прописывание обратной зоны, т. к. это нах никому
не нужно.
обычно генерит автоматически обратную зону, но с некошерными именами такого вида: 123-123-123-123.provider.ru. Они не проходят проверку.
>#>>сейчас у любого почти прова
>#>Сейчас почти любой провайдер забивает на
>обычно генерит автоматически обратную зонуУ вас тут сборник обычаев наро^Wпровайдеров Мира, господа антропологи?---
>У вас тут сборник обычаев, господа антропологи?Спрошу по-другому. У вас есть что предложить дельного?
> Вы не в блэклисте, просто у динамических IP нет годной rDNS записи.У некоторых есть, у некоторых нет. Проблема не в реверсной записи. Проблема в том что год назад какой-то дебил с вирусом - поспамил. Вот только проблема только в том что примерно 364 дня (плюс-минус лапоть) с того момента айпи ему более не принадлежал чуть более чем полностью. Зато еще примерно 364 хомячка получили шанс выиграть в увлекательную и смешную лотерею "давайте проверим, обломается ли сегодня отправка вашей почты?!" :)
А я думал у вас MTA на динамическом ИП.
Из блоклиста исключить один адрес проблемой никогда не было, если спам больше не рассылается с него. Ну или в конце концов в саппорт прова написать, чтоб они подсуетились.
>А я думал у вас MTA на динамическом ИП.Я в состоянии приобрести для таких вещей статический и/или делать такие вещи на серверах в датацентрах, у которых айпи статические по определению.
>Из блоклиста исключить один адрес проблемой никогда не было,
Да, всего полдня на гуглинг, отписку и прочая. И, главное, никаких гарантий что это не повторится. Мало ли сколько айпишников успел загадить завирусованый юзер собой. Лотерея вида N из M получается. Спортлото натуральное :-).
> если спам больше не рассылается с него. Ну или в конце концов в саппорт
> прова написать, чтоб они подсуетились.Есть только одна проблема: айпишников много, выдаются они по рандому, дятлов с вирусами тоже много. В итоге - сколько ни выписывайся, а лотерея типа спортлото - обеспечена.
>В итоге - надо вам почту отослать. А тут то вам и
>говорят - редиска вы, уважаемый! Идите ка вы нахрен!
>Отправлять вашу почту мы сегодня не будем. А то что
>это был динамический айпиОтправляйте с WEB-морды. Делов-то...
И вообще, SMTP пора на свалку.
>Отправляйте с WEB-морды.Ну спасибо что хоть не голубями. И, кстати, вебморда тоже может сказать: "извини, человек, но твой айпишник какой-то не такой. Иди ка ты нафиг".
> Делов-то...
Угу, конечно. Накрайняк можно и телеграфом отослать :)
>И вообще, SMTP пора на свалку.
А вот тут +100500 - протокол не соответствует сегодняшним реалиям вообще никак.
что мешает отправлять через smtp который предоставляет провайдер?
>что мешает отправлять через smtp который предоставляет провайдер?Наверное то что некоторые провайдерские смтп умудряются послать юзера на йух несмотря на то что он вроде как из этой же сети. Бывает и такое :). Равно как потом сервера по пути могут грохнуть письмо, как правило забыв доложить об этом. В итоге еще спасибо если убьют письмо сразу на отлете и сообщат ошибкой протокола хотя-бы. А могут убить и где-то там, потом. Забыв вообще сообщить. Ибо ... ибо отлуп о недоставке тоже массово юзался спамерами! Для сообшения о "недоставке". Спама, разумеется. В силу аццки "умной" и "актуальной" реализации фичи информирования о недоставке, не предусматривающей наличие спамеров как класса - она столь же аццки абузилась спамерами. Вплоть до момента когда фича стала выпилена чуть более чем везде. Поэтому теперь нажав Send можно только на картах раскинуть - дойдет или нет. Похоже, предлагается расширить эту лотерею дальше.
> В итоге - надо вам почту отослать. А тут то вам и говорят - редиска вы, уважаемый!
> Идите ка вы нахрен! Отправлять вашу почту мы сегодня не будем.Конечно, не будем.
Ибо хорошие, годные провайдеры СРАЗУ запихивают свои клиентские нетблоки в блэклисты целиком с пометкой, что это динамический клиентский нетблок.
А мой SMTP-релей таким честно отвечает: "Please use relay of your I.S.P."
В чём проблема настроить смартхост-то?
>хорошие, годные провайдеры СРАЗУ запихивают свои
>клиентские нетблоки в блэклисты целикомХорошие, годные провайдеры СРАЗУ забивают болт на это дело,
т. к. данная проблема недостойна затрачиваемых на неё ресурсов
(борьба с ветряными мельницами).
>>хорошие, годные провайдеры СРАЗУ запихивают свои
>>клиентские нетблоки в блэклисты целиком
>
>Хорошие, годные провайдеры СРАЗУ забивают болт на это дело,
>т. к. данная проблема недостойна затрачиваемых на неё ресурсов
>(борьба с ветряными мельницами).вы же не работали у провайдера?
Это очень полезная фича. Она снижает поток жалоб на провирусованных клиентов.
>Ибо хорошие, годные провайдеры СРАЗУ запихивают свои клиентские нетблоки в блэклистыСамый лулз - когда у провайдера настроен сторонний блеклист. Шлешь емыло через провский смтп. А тебе и говорят - чувак! Ты в блеклисте! Эпично, ага. Безбашенный кулсисоп с блеклистом - не сильно лучше обезьяны с гранатой.
Ты что блин гонишь то? Тебе реально нечего больше сказать что ли и начинаешь нести ахинею? Тебе так важно чтоб именно твое сообщение было последним в треде?По сабжу, даже если у него и настроен сторонный blacklist, то в, например, /etc/mail/access у него все равно написано что-то типа:
Connect:clt_netblock RELAY #где clt_netblock IP сеть для динам. IPов
разрешая своим же собственным динамическим клиентам релеить, и к ним проверка по blacklist'у не применяется... Короче, учи матчасть, лузер234
>> В итоге - надо вам почту отослать. А тут то вам и говорят - редиска вы, уважаемый!
>> Идите ка вы нахрен! Отправлять вашу почту мы сегодня не будем.
>
>Конечно, не будем.
>
>Ибо хорошие, годные провайдеры СРАЗУ запихивают свои клиентские нетблоки в блэклисты целиком
>с пометкой, что это динамический клиентский нетблок.полностью с вами согласен. Сам так делал. А что касается автора ветки, то пусть шлёт почту с авторизацией, в этом случае, как правило, блэклист не проверяется.
spamhaus пихает динамик ипы в отдельный лист. это очень хорошо, т.к. нечего смтп сервер на динамик ипе ставить
Круто, конечно. Однако стоимость исключения из Black-List будет определена и востребована... :(
Спамеров нужно подвергать принудительной... ремотивации. Или просто...
...стерилизации. Только ты попробуй их поймай сначала.
>...стерилизации. Только ты попробуй их поймай сначала.Я не кровожадный, но история с "Американским английским" показала неэффективность физического устранения сруководства спамеров.
>>...стерилизации. Только ты попробуй их поймай сначала.
>
>Я не кровожадный, но история с "Американским английским" показала неэффективность физического устранения
>сруководства спамеров.Надо как в Турции с ворами, посадить в чан с дерьмом и возить по городу, а рядом янычара поставить. Вжик мечем. не нырнул - голова с плеч. Вот так пусть и ныряют весь день. (С) Почти Джентельмены удачи
>Я не кровожадный, но история с "Американским английским" показала неэффективность
>физического устранения сруководства спамеров.Почему же неэффективность? Срач про американский английский сразу же заглох. Напрашивается вывод что мера вполне эффективна но к сожалению слишком редко используется. Было бы хорошо чтобы расстрел спамеров узаконили бы. Наверняка это добавило бы симпатий "электората".
при распределённой системе состоит штат из тучи админов, всем не заплатишь.Речь, кстати, идёт не только о спаме. Всякие сеошные штучки гораздо опаснее - пример сайты на медицинскую тему, наполненные сомнительной информацией или вообще мусором.
ну да, у ня предидущая контора тем и занимается, что крутит такие сайты. Пока они юзают баги заложенные в консервотории. Если баги убрать, то это сеошенье станет не выгодным.
Распределенные блек-листы с приоритетами для почтовых серверов на базе DNS это идея как минимум 4-летней давности. в портах FreeBSD набор есть набор perl-скриптов для интеграции с почтовиками.
> идея как минимум 4-летней давностиУже 5(sic!) лет назад я использовал _реализацию_ этой идеи в своем почтовике - тогда это неплохо работало, было много вполне достойных блэк-листов.
>> идея как минимум 4-летней давности
>
>Уже 5(sic!) лет назад я использовал _реализацию_ этой идеи в своем почтовике
>- тогда это неплохо работало, было много вполне достойных блэк-листов.А как вы определяли достойность?
>А как вы определяли достойность?"Хорошие парни" попадали туда крайне редко, процедура исключения из списка не отнимала много времени.
Из личных отношений. Несколько админов, хорошо знающих друг друга, объединяли свои блек-листы и тем самым здорово экономили время друг другу.
борьба со спамом не нужна.....нужна продуманная система политики Белых_Списков для каждого из обладателей почтового ящика
(разумеется политика белых списков должна быть не без технической поддержки со стороны серверов...
...и разумеется должна быть -- возможность написания письма тому человеку который ещё не включил вас в белый список! но через специальных "агентов"-роботов, с проверкой на человечность)
> продуманная система политики Белых_СписковSPF рулит
без SPF -- выполнить политику Белых_Списков -- нельзя! :-)
(так как если <кто-угодно> может представаться <другом-мишей-из-третьего-подъезда> -- то в чём тогда смысл белых списков? %) %))...но одного только SPF недостаточно :-(
> ...но одного только SPF недостаточно :-(Ну, если бы была технология которой было бы _достаточно_, без дополнительных примочек и танцев с бубнами, все использовали бы только её :)
если чесно -- мне кажется что еслибы былабы такая технология -- сёравно бы её не пользовали бы [в большой популяции].......как не крути -- но для Белых_Списков -- главным образом нада менять само МЫШЛЕНИЕ пользователей почты.. а не технические детали работы почтовых программ :-( :-(
....тоесть пользователи [в своём большенстве] сами хотят получать побольше всякого спама.. пользователи привыкли думать что в любой момент они могут получить письмо/звонок/звонок_в_дверь/<...>:
* от <богатого-незнакомого-дяди> который подарит им милион доллоров (потомучто пользователь -- такой офигительный!!) ,
или
* от <незнакомой-сексапильной-тёлочки> которая очень одинокая и как раз хотела познакомиться [ну или накрайняк посавакупляться :-)]......ну вобщем никак пользователи не могут вбить себе в голову что никому они не нужны, кроме своих друзей/родственников (и партнёров, если речь о работе) -- кто и будет являться членами белых списков.
> нада менять само МЫШЛЕНИЕ пользователей почты.. а не технические деталиИменно это я и имел ввиду, говоря о доп. примочках и танцах с бубнами :)
> ..ну вобщем никак пользователи не могут вбить себе в голову что никому
> они не нужны, кроме своих друзей/родственников (и партнёров, если речь о
> работе) -- кто и будет являться членами белых списков.Нет, так делать нельзя.
Эта технология немасштабируема потому же, почему немасштабируема технология ответа на автоматический респонз (ну, типа, ваш адрес мне неизвестен, вот вам простой пример на сложение, пришлёте правильный ответ -- попадёте в белый список) -- если У ВСЕХ будет такая политика приёма почты, то хождение E-Mail в Интернете остановится.
Низачот аффтару! :)
Почему же? Это можно расширить, через "Web of trust" и цифорвые подписи.
>борьба со спамом не нужна..
>
>...нужна продуманная система политики Белых_Списков для
>каждого из обладателей почтового ящикаНу, будут вам спамить из-под "белого" e-mail.
>...и разумеется должна быть -- возможность написания
>письма тому человеку который ещё не включил вас в белый
>список! но через специальных "агентов"-роботов, с
>проверкой на человечность)Это проще делать by other means или через приглашения.
Конечно, будут спамить через приглашения, но там можно
выставить блокировку целого домена. А регить домены на
каждый чих накладно ---- т. е. невыгодно (спамерам).
Я думал, уже всем ясно, что блеклисты только создают проблемы. Ан нет, кому-то хочется поднять старый труп в виде зомби...Здесь минусы очевидны:
1) Используемый блеклист будет в курсе, к каким доменам вы обращаетесь - то есть это нарушение privacy
2) Не тот уровень защиты - DNS Используют все, но отнюдь не всем нужна фильтрация плохих доменов. Зачем это в ping?
3) блеклисты уже показали свою неэффективность - в потчовые попадает кто попало, а вот вылезти часто не так уж просто.
>Я думал, уже всем ясно, что блеклисты только создают проблемы. Ан нет,
>кому-то хочется поднять старый труп в виде зомби...Полностью в вами солидарен. Скоро такими темпами вообще невозможно будет послать почту человеку с другого домена.
>Полностью в вами солидарен. Скоро такими темпами вообще невозможно будет послать почту
>человеку с другого домена.Правильно. Поэтому о e-mail в существующем виде пора забыть.
Тришкин кафтан, проблему спама заменили на проблему выбора Большого Брата.
Кроме вышеуказаной проблемы стоимости выключения из блеклиста, еще вспоминается бессмертное "стучать всегда, стучать везде, стучать и никаких гвоздей"!
Буквально на днях как раз получил в рассылку от "Айдеко"
письмо с указанием сервиса http://www.skydns.ru/
который как раз этим и занимается, вот только если у тебя динамический внешний IP то это чуть чуть сложнее
все, кто против это технологии, наверное забыли, что сейчас примерно тем же занимается веб-браузер, когда показывает предупреждение о мутном сайте. понятное дело, что это предупреждение браузера можно игнорировать, но и в случае с этой новостью никто вас не заставляет использовать DNSBL для доменов.
Что значит никто не заставляет? NS провайдера вместо скажем thepiratebay.org отправит вас на mpaa.org, или просто не отрезолвит, и руты не отрезолвят, и все.
Вы можете конечно искать в инете открытые DNS сервера, не пользующиеся BL, но они будут перегружены и будут по запросу google.com. выдавать IP сервера с троянами или рекламой проституток. Я уже не говорю о том, что для провайдера не составит труда перекрыть внешние DNS запросы, некоторые провайдеры такое практикуют.
Останется вручную как-то искать айпишники запрещенных серверов и содержать собственный NS, или файлик hosts, которые опят же вручную обновлять найденными адресами.
> перекрыть внешние DNS запросы, некоторые провайдеры такое практикуютИ теряют клиентов. Если провайдер без тараканов, никто не запретит Вам поднять собственный DNS и, как говориться, use & enjoy ;)
>никто не запретит Вам поднять собственный DNS и, как говориться, use & enjoyСвой ДНС не решает проблему рутов или форвардеров, которые используют BL. Чтобы получить зону, или хотя бы адрес одного сервера, ему надо знать адрес NS этой зоны. И если эта зона в BL, то вы его естественно не получите.
Если BL станут массовым явлением а руты и форвардеры не будут соблюдать нейтралитет система доменных имен потеряет смысл. IMHO
Это и предлагается. Блэклисты SMTP серверов стали же массовым вездессущим явлением. И предложенная схема как раз предполагает то же самое для DNS.
Собственно, помнится, когда-то жили альтернативные DNS - ну вот они и воскреснут. А если еще кто-то додумается выкинуть на свалку существующие заморочки с трёхсимвольными доменами первого уровня и их ограниченным количеством - вообще праздник будет. По принципу: "регистрируем любой не зарегистрированный домен вида xxxxx.yyyy" - т.е. у домена первого уровня нет "владельца", а но сами xxxxx и yyyy - по желанию. Хочешь зарегистрировать vasya.pupkin - никаких проблем.
На такую систему я бы сбежал моментально.
>Что значит никто не заставляет? NS провайдера вместо скажем thepiratebay.org отправит вас
>на mpaa.org, или просто не отрезолвит, и руты не отрезолвят, и
>все.
>Вы можете конечно искать в инете открытые DNS сервера, не пользующиеся BL,
>но они будут перегружены и будут по запросу google.com. выдавать IP
>сервера с троянами или рекламой проституток.Так вы определитесь, вам нужна защита от фрода или свобода выбора?
1) Этим занимается БРАУЗЕР. Для которого левые домены могут представлять опасность. У которого диалоговый режим, и пользователь может выбрать, следовать ли ему РЕКОМЕНДАЦИИ софта. У которого, наконец, есть диалоговые настройки, в которых эту "типа фичу" легко можно выключить
2) Браузер периодически качает блеклист, а не светит чужому дяде все домены, на которые я захожу.Если жу подобную глупость интегрировать в ресолвер, то
1) непонятно, как её отключать на уровне утилит. Вот радости-то, что ping будет ругаться на существующий и явно заданный сервер!
2) нарушается privacy, так как к держателю блеклиста попадают все запрошенные имена доменов
3) толку с этого никакого - автоматические утилиты не исполняют скрипты на страницах, и имена доменов им кто-то явно задал - вероятно, с какой-то целью. Это ж не браузер, гже пользователь просто серфит и не знает, куда его занесёт!Если уж делать - то библиотеку работы с локальным блеклистом (обновления, запросы к нему, рейтинг "нежелательности")... И то - необходимость самой фильтрации очень сомнительна.
А браузер откуда эту инфу берет?Вот и получается можно вообще любой ресурс опустить таким образом, даже если на нем нет ничего плохого... А уж как можно использовать эту фичу, чтобы затыкать неугодные ресурсы это вообще отдельный разговор.
>Пол Викси (Paul Vixie), основатель и глава Internet Software Consortium, разработчик DNS-сервера BIND
> разработчик DNS-сервера BINDВсё понятно. И предложения этого человека ещё не игнорируют? Нет пути.
Это не про почтовые блеклисты, но тоже про черные списки и ошибки ведения.
http://censor.net.ua/go/offer/ResourceID/163603.html
Шестилетняя девочка оказалась в черном списке авиаперевозчиков аки терорюга.
В общем гарантии, что кто угодно по ошибке не окажется в очередном блеклисте никакой.
Проверив несколько доменов, <reverse-ip>.spamcorp.net мне показался странным их результат: всегда отдаётся одно и то же. После решил проверить сервера NS этого spamcorp его же методом и вот что получилось:$dig spamcorp.net |grep -v '^;'
spamcorp.net. 541 IN A 208.73.210.29
spamcorp.net. 170182 IN NS ns2.dsredirection.com.
spamcorp.net. 170182 IN NS ns1.dsredirection.com.
ns1.dsredirection.com. 983 IN A 204.13.160.143
ns2.dsredirection.com. 983 IN A 204.13.161.145$dig 145.160.13.204.spamcorp.net
145.160.13.204.spamcorp.net. 600 IN A 208.73.210.29spamcorp.net. 170126 IN NS ns2.dsredirection.com.
spamcorp.net. 170126 IN NS ns1.dsredirection.com.ns1.dsredirection.com. 927 IN A 204.13.160.143
ns2.dsredirection.com. 927 IN A 204.13.161.145
Думаю, не я один ошибусь в названии, набрав spamcoRp, вместо spamcop