Vlákno názorů k článku Kolik je spamu, na jaké téma a jak moc nás štve? od JR - To blokování SMTP je dost nepříjemné zejména pro...

To blokování SMTP je dost nepříjemné zejména pro ty uživatele, kteři cestují a používají tak různé sítě. Pak by si musí pokaždé zjišťovat povolený SMTP server a ten si znovu a znovu přenastavovat místo toho aby pouzívali stéle svůj stejný SMTP server.
To blokování mi opravdu nepřijde jako celosvětová spása před SPAMem.

ISP by měli být celosvětově aktivnější. Do smluv dát klauzuli o okamžitém odpojení po obdržení určitého počtu stížnosti na dané IP, a standardně blokovat SMTP mimo své vlastní servery a povolovat to jen na žádost (BFU to nepotřebuje).

Blokovat SMTP mimo své vlastní servery je to nejhorší co může udělat. Strávil jsou spoustu času vysvětlováním, že tohle spam nezastaví a uživatele to otravuje.

Lenost způsobuje, že SPAM pořád není takový problém, aby lenosti ostatních nějak překážel.

Dříve bylo možné za provoz na síti někoho hnát k zodpovědnosti. Když jsem v dávných dobách na ČVUT FEL rozeslal nevinný HOAX, měl jsem problém s vedoucím katedry, který se mě snažil vysvětlit, že něco takového se nedělá (dostal stížnost od jiného ISP).

Dneska ISP nemají žádnou zodpovědnost. Nic jim prakticky nehrozí. V době boje o zákazníka postihovat své klienty je proti smyslu podnikání. Naopak, zlobivý klient nepůsobí škody mě, ale konkurenci, která musí ty problémy řešit na své straně... Ty nepřímé faktory na kvalitu připojení nejsou tak bolestivé jako by byly přímé.

Jak kdy. Zažil jsem dva ISP kteří blokovali vyšketý SMTP provoz (s výjimkou toho co směřoval na jejich server). :-(

Mám pocit, že v případě spamu existují pouze špatná řešení problému.

Ano i ne.

Ano, uživatelé budou muset odesílat poštu přes SMTP ISP. Normálnímu uživateli to nevadí, fajnšmekři se budou muset přizpůsobit, spammeři (viry) to utlumí úplně.

Ne, spammeři mohou samozřejmě použít i bránu ISP, a spoléhat na to, že ISP je pasivní a kašle na to. Pak se ale nesmí divit, že jeho síť je zabanovaná na kterémkoliv veřejném SMTP serveru pro příjem pošty.

No tak s takovým poskytovatelem bych skončil hodně rychle..

To je samozřejmě jedno z nejhoších řešení na, které někdo může přijít.
Jak pak chcete řešit např. striktně nastavené SPF na pouze jeden odesílací server pro danou doménu? Cestující uživatel by pak v podstatě nemohl odeslat email.

Ano, to je mohlo donutit se trochu více starat...

No ono to vadí i normálnímu uživateli. Třeba pokud má notebook a připojuje se ve více sítích. Navíc firemní maily posílám, přes firemní mailserver, který implementuje STARTTLS - protože vnitrofiremní komunikace musí být šifrovaná.
Proč by měl být můj poskytovatel konektivity výhradní poskytovatel SMTP služeb??

To ani nemluvím o možnostech typu SPF. Metoda "zakažu všechny SMTP komunikaci" snižuje účinnost těchto metod.
Je to jen o lenosti SMTP, pro které to je nejjednodušší řešení, když přijde stížnost.

V tom případě chápu, proč ještě existuje spam.

No až se v tomhle směru začne něco dít, asi to bude bolet. Ale na druhou stranu, ku prospěchu věci. A ti kteří budou brečet nakonec příjdou na to, že to není až tak špatné.


PS: Jak poznáš, že tam nemáš transparentní proxy? Kromě přímeho dotazu na MX záznam?

Proc by mela jit odchozi posta stejnou cestou jako prichozi?

To je zas taková obezlička, která sice funguje ale rozhodně bych to nenazval koncepčním řešením. Navíc ne každý "hromadný mail" je spam. Uživatelé se mohou zaregistrovat, že chtějí přijímat informace o nových produktech, updatech, článcích apod. Nebo co mailové konference?

A proč by měla jít jinou cestou? Jedná se přece o jednu službu. To že to je rozděleno na dvě nezávislé služby je z historických důvodů. Původně nic jako relay server neexistoval, klienti posílali poštu přímo k cílovému serveru. Až poté se to přesunulo na zvláštní server, který se postará o doručení i v případě krátkodobého výpadku cílového serveru.

Současné šíření spamu je daň za špatný koncept, na kterém jsou emaily založeny.

Snažím se vás přesvědčit, že to ku prospěchu věci nebude. Ku prospěchu bude až každé odeslání mailu bude vyžadovat přihlášení k mailserveru, kde máte svůj účet schodný s adresou odesilatele. A až mailservery nebudou přijímat poštu, která neodešla z mailserveru, který je daný pro doménu odesilatele.

Co se týče transparentní proxy tak to poznám, třeba tím, že mi selže pokus o přihlášení nebo, že se nepodaří navázat SSL spojení. ISP vlastně v takové případě dělá Man-In-The-Middle Attack.
Jinak ISP k nasazení transparentní proxy vůbec nepotřebujete falšovat MX záznamy. To je jen úprava na firewalu, která přesměruje všechny požadavky na port 25 na daný mailserver. Takže přímý dotaz na MX záznam je zrovna k ničemu.

Kdo rikal neco o prihlasovani na mailserver. Klidne bez prihlasovani. Spamera lze identifikovat ciste statisticky. Mas moc mailu (desitky za sekundu), jsi spamer.

Znam docela ucinnou metodu jak bezbolestne zabranit spamovani. Kazdy klient ma povoleno provest dalsi SMTP spojeni vzdy az za nejaky cas. Po prvnim emailu to muze byt treba za 10ms, po druhem za 20ms, po tretim za 30ms. Po 100 emailu je to uz sekunda, po dvoustem 2 sekundy a spammer se většinou po odeslání tisicovky e-mailu zablokuje sam (10sekund). Pokud neposles e-mail nejaky cas (dejme tomu minutu), citac se ti zase vyresetuje.

Ani neni potreba cist obsah komunikace, staci jen zpracovat data statisticky. U portu 25 je nutne hlidat pocet transakci (v ramci jednoho spojeni mohu udelat mnoho transakci). U SSL nemohu provadet vic transakci na ruzne MX servery, vzdy musim navazovat znova, a to taky postaci. A SSL spamy se az tak casto neposilaji.

Tohle by klidne proti spamu stacilo. Musi to ale udelat vsichni ISP.

V tom máte nějaký zmatek poslechněte...
Mluvil jsem o rozesílání, ne o příjmu. Na příjem e-mailu to nemá vliv. A pokud někdo doma rozbíhá konferenci, tak si může u ISP zažádat o výjimku.

Problém spamu je problému BFU. BFU s nezabezpečeným počítačem. BFU nepotřebuje mít přístupný port 25. A ten kdo ho potřebuje má buď výjimku, nebo VPN (což doporučuji všem, kteří naříkají, že by jim zablokovali port 25 - co třeba SSL tunel přímo s mým soukromým mailserverem?)

SMTP není špatný protokol. Je založen na celkem dobré myšlence. Právě možnost relay je celkem inteligentní myšlenka ovšem používána špatně.

Koncept, kdy by klienti posílali poštu přímo je špatný, protože tak to funguje teď. SMTP server přijímá vše, co mu příjde a bez ověření to ukládá do schránek. Používání relay serveru umožňuje ověřit SMTP serveru, že druhá strana je důvěrihodná. A věřte mi, že se to dělá, dělá to například Seznam.cz Tím lze odfiltrovat mnoho spamu. Ale protože stále ještě se najdou šílenci, kteří si chtěji posílat poštu přímo, bez relay serverů, tak i Seznam musí chtě nechtě propustit poštu od neověřeného SMTP.

Problém je trochu v logice věci. Chci přijímat poštu, ale jak poznám, že to není SPAM. Musím přijímat vše, co když by mi psal někdo, komu nenaslouchám? Stejně tak jednou dopadnou SMSky. Ale stejně tak bojujeme s letáky ve schránkách, a můžeme nadávat, že schránka je špatný vynález. I obyčejná česká pošta je tě schopná zavalit spamem, když někdo přesvědčí stovku lidí, aby ti poslali dopis. Je česká pošta špatná?

A proč zrovna spam je u e-mailu a proč se tak neděje u pošty nebo SMSek? Odpověď je jednoduchá, protože je to zadarmo! Poslat dopis nebo SMSku stojí nějaké náklady. Poslat spam je zadarmo, protože to zaplatí napadený počítač (mluvím o nákladech na připojení a elektrický proud).

poštovní protokol zatím nikdo lepší nevymyslel, a asi nevymyslí. Vždy bude trochu anonymni (uděleš tam identifikaci, a hned všichni pujdou po tobě kvůli ochraně osobních údajů), neověřený a nejistý. Kdokoliv se může maskovat za někoho jiného.

Jediným a nejúčinnějším řešením je znemožnit spammerům jednoduše odesílat poštu. V počítačovém světě se místo penězmi platí časem nebo výkonem. Nechť každý e-mail znamená výpočet nějaké operace, nebo, jak jsem navrhoval výše, nechť každý počítač v síti má omezený počet odeslaných e-mailů za časový úsek. Pak rozeslat spam může takového spammera stát spoustu času a stane se pro spamera nevýhodný.

Takže najednou jde dělat výjimky. Původně to mělo být pro všechny. A neměla by platit spíše presumpce neviny? Tedy zakazovat až v případě problémů?

BFU potřebuje mít přístupný port 25, ze spousta důvodů, které jsem tu už říkal. A zapínat před každým odesláním pošty VPN je pěkný opruz a pro BFU dost nestravitelné. Navíc v mnoha případech to nejde.
Ten SMTP server není můj soukromý, je firemní a poskytuje mi nějaké služby navíc. Jeho služby musí využívat například i sekretářka (dosaď libovolný příklad BFU) pokud posílá mail z domova.

bfu žádný port 25 nepotřebuje..
jestli pustíte ke svému serveru "cizí počítač" jste tupoun..

jestli sekretářka maká z domova, firemní stroj, vpn ahotovo.. stroj si pouští vpn automaticky (všechno jde skrz vpn tunel) aby nebyla v pokušení na firemním stroji "chodit na net"..

ostatní je jen lhaní do kapsy...

SMTP není špatný protokol ale je zcela špatně používán. S tím s vámi souhlasím. Bohužel to používání co navrhujete je také špatné.
Netvrdím, že by se neměli používat relay servery. Naopak jejich používání bych vyžadoval. Nechci to ale vynucovat tím, že zakážu 25 kde můžu. Chci aby relay pošty byla služba, která je poskytována po přihlášení s vazbou na existující schránku. Tudíž adresa odesilatele by byla vždy existující mailová adresa. A pouze určené servery mohou odesílat maily pro danou doménu (SPF). Právě tímto se snažím dát serveru více možností ověřit důvěryhodnost druhé strany.
Používaný princip pro přenos emailů je špatný, protože umožňuje komukoliv poslat mail s jakýmikoliv údaji. Může vám přijít mail s adresou odesilatele nekdo@firma.cz a vy nemáte spolehlivou metodu jak poznat, že někdo z firma.cz ten mail poslal. Dokonce i jako adresa příjemce se může objevit cokoliv. Prostě naprostá anarchie.
Tedy pokud budu dostávat spamy, tak si budu stěžovat správci domény, z které maily chodí a on může odstřihnout konkrétního uživatele. Případně můžu já odstřihnout celou doménu.

Ale máte šanci poznat, kdo mail poslal, tedy přesněji počítač. Stačí si prohlédnout hlavičku e-mailu. Ta sice může být celá podvržená, ale jeden záznam v ní určitě bude pravý a to záznam posledního MX serveru, ten u vašeho poskytovatele emailové scránky. A v jeho záznamu je vidět IP adresa počítače, který e-mail odeslal. A všechny blacklisty a whitelisty jsou na tom založené. Existuje databáze zablokovaných a povolených IP adres, samozřejmě placená služba a nikdy není 100% spolehlivá. Než se adresa objeví na BL, pošle spammer milioný e-mailů.

Když pak půjdete do rDNS a do WHOIS zjistit, komu IP patří, narazíte většinou na zavirovaný počítač. Pokud byste kontaktoval majitele, zjistíte, že je to BFU šedesátiletá babka, která internet používá k tomu, aby sa kamarádkama vykecávala po chatu. (nebo šestnáctiletá puberťačka).

Mohu vám garantovat, že 99.999% spamů, které zachytíte bude mít podobnou historii. Proto jsem pro zablokování odchozího portu 25 u ISP a pouze na žádost povolit výjimky. On si totiž žádný BFU o výjimku žádat nebude, když to nepotřebuje.

Alternativně lze provoz na odchozím portu 25 monitorovat a přílišnou aktivitu zablokovat. Pak i sekretářka z vašeho příkladu nahoře nepotřebuje výjimku, pouze provozovatel nějaké e-mailové konference a tam je to opravdu nutné sledovat, protože právě konference se dají dost děsivě zaspamovat.

Mě ale nezajímá jaký počítač mail poslal. Většina lidí komunikuje s uživatelem (člověkem) a ne s počítačem. A nehodlám kontaktovat majitele každého IPčka z kterého mi přišel spam. (btw. netušil jsem, že z WHOIS poznám, že počítač je zavirovaný ;).
To co se snažím prosadit je aby identifikace odesilatele nebyla podle IP adresy (počítače) ale podle email adresy (člověka). A odpovědnost za spamy byla v rukou správce mailové domény a ne poskytovatele připojení. Tuhle možnost ale paušálním zakázáním portu 25 ztrácíte.

Monitorování portu 25 na přílišnou aktivitu a pak teprve zakazovat je z tohohle pohledu lepší. Nebere mi aspoň možnost připojit se k mému SMTP serveru odkudkoliv. Ale zcela odmítám abych musel žádat o výjimku pro službu, kterou považuji za zcela standardní.

Ano, v současném systému to nejde, ale mohlo by jednoduše jít. Proto považuji ten systém za špatný. A s ověřováním identity to nemá nic společného. Pokusím se to ještě jednou polopaticky vysvětlit:

1. Uživatel si založí na freemailu schránku s názvem franta@mail.cz. Pokud bude chtít poslat mail, kde bude jako odesílatel franta@mail.cz tak musí použít SMTP server, který urči správce mail.cz, a přihlásit se svým jménem a heslem. Server mu nepovolí použít jiného odesilatele (maximálně jeho zvolené aliasy).

2. Když nějaký mailserver příjme mail s odesilatelem franta@mail.cz tak ověří jestli přišel ze správného mailserveru (podle SPF záznamu v doméně mail.cz). Pokud ne, tak ho rovnou zahodí.

Důsledky:
- adresa odesilatele je vždy platná a skrývá se pod ní skutečná schránka na kterou lze odpovědět, odeslat upozornění o nedoručení apod.
- Nelze odeslat zcela anonymní mail.

Co na to spameři: můžou si registrovat doménu a zavést všechny napadené počítače do jejich SPF záznamů. Ale:
- Taková doména bude brzo odhalena a blokována (a doména není zadarmo).
- Prozradí tím umístění všech svých napadených PC.


Nevím proč se stále snažíte to připodobnit ke klasické poště. Myslíte, že to je vzor dokonalosti?

Takové pokusy tu byly. Problém je v tom, že určití admini velice neradi otevírají přístup na port 25 z velké firemní sítě, aby si někdo, kdo posílá soukromou poštu provedl autorizaci. Dalším zádrhelem je to, že neuvažujete variantu, že všechny tyto ověření projdou a přesto to bude spam. Například proto, že doména může být podvržená a i SPF záznam. Není problém na napadeném počítači rozběhat DNSko a na dotazy ověření vracet pozitivní výsledek. Je fakt, že vám nepříjde mail z mail.cz ale třeba franta@32.78.broadband6.net. Takových e-mailových adres si zavirovaný počítač vymyslí hafo. Mnoho zavirovaných počítačů vyrobí mnoho domén (ty chytřejší zvládnou i registraci L2 nebo L3 domény) a jak pak budete chtít blokovat takové e-maily? A jsme zase tam, kde jsme byli, s jediným rozdílem... další opruz pro uživatele...

Testovat existenci uživatele od jisté doby nejde, po tom, co to spameři používali k hledání fungujících adres.

Ne, podle mého názoru je nejjednodušším řešením regulace provozu na portu 25 samotnými ISP. (Ne nadarmo se říká, že nejlépe zabezpečený počítač je ten, který není připojen k síti).

Podvrhnout SPF záznamy v existující doméně není jen tak, to už neběží na počítačích BFU. A pokud se to spamerum podaří tak to je dobrý důvod takovou doménu zablokovat.

Rozběhat na napadeném počítači DNS spameru nepomůže, protože pořád ho musí zaregistrovat do nadřazené domény (tedy hacknout ji). Navíc můžu blokovat celou nadřazenou doménu pokud mi přijde spam z více jejich poddomén.

Pro uživatele to opruz není, většina mailových klientů tyto logiku už dnes podporuje. Ke každému učtu definujete server pro přijímání a odesílání pošty. Naopak je opruz zjišťovat jaký zrovna smtp server můžu použít a přenastavovat to když se s notebookem připojím jinde. To je na mrtvici..

Ano, problém je v tom, že se zakazuje port 25 a to nejen ve firemních sítích (btw ve firemní sítí by jste neměl posílat soukromou poštu).

No právě že se port 25 zakazuje proto, aby správce sítě mohl dobře kontrolovat odesílanou poštu zevnitř sítě, a třeba dělat antivirovou kontrolu, provádět antispam na odesílanou poštu a v případě problému si ihned na hříšníka posvítit. Pokud by to nešlo přes jeho MX server, bude na pranýři správce domény a domáhat se nápravy u odesílatele může být problém. A zablokovat hříšníka nic nevyřeší, protože si dotyčný založí e-mail znova. Zablokovat odesílací počítač taky není dobrý, protože to může být firemní gateway. A v neposlední řadě, SMTP "proxy" má stejné výhody jako oblíbená HTTP proxy. Počítače nemusí být připojeny k internetu ani přes NAT. Lze filtrovat velikost pošty, obsah pošty, atd... Výhod je mnoho. Vůbec to není o tom, zda lze nebo nelze soukromou poštu posílat z firemní sítě.

Podle mého názoru by SMTP server klidně mohl být součástí BOOTP protokolu (DHCP), stejně tak jiné nastavení (HTTP proxy, Socks proxy, atd). Bohužel není, což je právě špatně, a stejně tak že musím nastavovat HTTP proxy, musím měnit i SMTP server.

Správce sítě může firemní poštu kontrolovat i bez toho aby zakazoval port 25. Pokud jste pochopil co jsem navrhoval tak je vám jasné, že firemní pošta musí jít přes firemní mailserver. Čili všechny výhody, které uvádíte pro SMTP proxy platí i zde.
Soukromá pošta už chodí přes jiné mailservery a zodpovědnost za spamy z těchto adres je na správci dané domény. Správce firemní sítě by ani neměl zasahovat do soukromých mailů.

Nevím co jste myslel tím, že si hříšník založí e-mail znova. Spamy rozesílají především roboti, kteří si tak snadno nový e-mail nezaloží (freemaily mají proto CAPTCHA). A pokud se chci domáhat nápravy tak u správce mailové domény, pokud se nedomůžu, blokuji emailovou adresu případně celou doménu. Proč by to měl být problém?

btw. SMTP server už v DHCP je ale moc se to nepoužívá. Problém je většinou v mailových klientech, kteří si nedokáží tuto informaci zjistit.

Ona by stačila i transparentní proxy. Veškeré dotazy na MX záznamy vracet na SMTP server umístěný v ISP síti. Pak by i přímo odeslané maily šly přes server ISP, který by mohl monitorovat e-mailovou činnost svých uživatelů.

Cestující uživatel zablokované SMTP naopak řešit musí a to hodně. Žádné jméno a heslo mu při zablokovaném SMTP portu nepomůže.
Jako použitelné řešení většinou funguje nepoužívat SMTP port 25, ale SMTPS port 465. To ale neznalý uživatel většinou nezná a né všechny SMTP servery tento port používají.

Ale hloupost. Zablokovaný SMTP neznamená v tomto kontextu zablokovat port 25. Obecně to znamená zablokovat odeslání pošty přes SMTP poskytovatele, kde je v podstatě jediná možnost odeslat poštu bez přihlášení. Takže jednoduše, stačilo by, aby poskytovatelé nepovolili odesílání pošty bez autorizace. Pak i cestující uživtel by byl v klidu, protože by se od jednoho poskytovatele (připojení) připojoval na svůj SMTP server, kde by se však musel autorizovat. Prostě to takhle má už dnes nastaveno spousta lidí, kteří s notebookem cestují a nemají sílu na to, aby stále zjišťovali adresu serveru SMTP poskytovatele, přes kterého jsou zrovna připojeni a jestě aby jí navíc museli pokaždé měnit.

Samozřejmě, toto neblokování portu 25 je účinné jen do té doby, dokud vir rozesílající spam nepoužije svůj vlastní SMTP na který se třeba i autorizuje. Pak přichází na řadu druhý krok, opět na straně poskytovateů připojení, že budou tyto SMTP servery automaticky blokovat. Což ovšem nezabrání tomu, any si spamer nezakoupil připojení k netu se SMTP autorizací a nezneužil řádné SMTP servery. Zde pak přicházi na řadu další krok poskytovatelů a sice, omezit počet mailů odeslaných za den / za hodinu. Pro fajnšmekry, kteří opravdu potřebují odesílat velké množství mailů to bude pak už jen otázka podání písemné žádosti o zvýšení limitů za nějaký ten poplatek. A tak i poskytovatel SMTP nakonec na tom vydělá. Ale dokud se to systémově nebude řešit, doté doby bude ze spamem jen stálý boj bez konce a bez úsěchu.

Má te vtom zmatek. Chcete něco, co nejde. Mohu klidně jít na poštu a poslat balíček a jako odesílatele označit Frantu Opičku z Horní Dolní a když se pak zjistí, že v balíčku byla bomba, za kým půjdou? Půjdou zavřít Frantu Opičku nebo Vás? To by musela pošta ověřovat Vaší identitu. Pro podání balíku by nebylo možné někoho poslat za Vás, nebo by pošta musel požadovat plnou moc. To by bylo řevu, že pošta je standardní služba!

A to samé máte v SMTP. Pošlete e-mail z počítače na SMTP server (poštu) a označíte odesílatele a příjemce. SMTP dokonce oplývá funkcí, že do obálky připíše IP adresu počítače, jenž toto učinil. Ale jak to souvisí se správcem domény? Za bombu v balíku snad může pošta v Horní Dolní?

To co chcete je ověření identity. Ona plná moc na poště. To, že když napíšu na e-mail, že jsem vopička v horni.dolní, že to opravdu jsem já. Jenže bez autorizace to nepůjde. De facto, je to o té plné moci, co jsem popsal nahoře. Je na diskuzi, zda to takhle chceme. Na druhou stranu, z části už to tak funguje, pokud jde o freemaily. Uživatel se skutečně přihlásí na freemail a poštu posílá přes jejich SMTP server dál. Ano, i tak to může skončit...

Nic to nevyřeší - SPAM odesílají napadené počítače normálních uživatelů. Stěžovat si na jednotlivé IP skoro nemá cenu .. a i kdyby, tak je to jako jít vylejvat bazén sběračkou......