Vlákno názorů k článku Nepoužívejte IP blacklisty! (1.) od kali - No podla terminologie "pasti" alebo "protispamove pasce" su...

No podla terminologie "pasti" alebo "protispamove pasce" su mailboxy, ktore sa nevyuzivaju na normalnu e-mailovu komunikaciu, sluzia teda len ako zberna nevyziadanych sprav. Napriklad adresa firma@firma.com, alebo john@firma.com - tieto adresy nikde nezverejnite v citatelnej podobe. Vlozte ich vsak do spamovych databaz, registrujte sa na ne vo vsetkych moznych sluzbach, umiestnite ich na diskusne skupiny a uvidite ako sa zacnu plnit... ziskane spravy analyzujete a mate pravidla ci lokalne blacklisty.

P.s.: To autor > vzhladom na mnozstvo cudzich pojmov chyba slovnicek :))

Z tech co jsem testoval (viz druhy dil) mel jediny sorbs.net takhle podrobne rozlisene, za co se tam servery dostaly. Je pravda, ze v testu dopadl celkove dost bidne.
Ale ani ostatni blacklisty nebyly o MOC lepsi.

Ad 1) Predevsim moznosti a) a b). S tim, ze neni potreba smtp server, ale staci smtp klient.

Ad 2) Tady zalezi na implementaci (proto ta poznamka). Pokud se nepletu, vetsina jich testuje IP protejsku a neprohledava hlavicky mailu.

Ad 3) Prave tento clanek ma zpusobit, ze pokud uz se rozhodnete blacklisty pouzivat k tvrdemu blokovani, tak se nad tou metodikou alespon zamyslite ;-)

Ad 4) Pasti - vyse u diskuse o tom, jak se pocitac dostane na blacklist je zmineno, ze se na nej pocitace dostavaji tak, ze je z nich zachycen nejaky pocet mailu.

Spatne nakonfigurovany - to je podle jednotliveho blacklistu. Open relay, open SOCKS proxy, spatne WWW skripty umoznujici posilat mail komukoli, nekdy i servery prokazatelne vyhackovane.

Nejdřív jedna velká výhrada (všiml jsem si toho až teď): v testu používáte jen jeden blacklist na sorbs.net. Před zatracením *všech* blacklistů by bylo vhodné otestovat alespoň tři nejznámější. Já jsem dobrých výsledků dosahoval díky ordb.org.

1) Není mi jasné, co jsou to "vyhackované počítače koncových uživatelů" - jakým způsobem se z nich spam šíří. Napadá mě: a) worm, který obsahuje vlastní SMTP server; b) použití účtu uživatele daného PC (odeslání skrze Outlook apod.); c) posílání na některý open relay server; d) registrace náhodných adres na free hostingu.

2) "Stejně tak jsou blacklisty - alespoň při obvyklém způsobu implementace do SMTP serveru - neúčinné v okamžiku, kdy si do jimi "chráněné" schránky budete přeposílat poštu odjinud. Budou ji střídavě všechnu propouštět nebo naopak všechnu odmítat, podle toho, jestli je přeposílací počítač zrovna na blacklistu. A to samozřejmě zcela bez jakékoli souvislosti s počtem spamů ve vaší poště." - nejsem si jist, zda toto tvrzení platí absolutně. Nikdy jsem nezkoumal hlavičky mailů automaticky přeposílaných mezi mými účty, ale vím, že takové maily obsahovaly jako adresáta účet, ze kterého se přesměrovaly - z toho usuzuji, že by mohla být hlavička mailu zachována natolik, aby i u těchto mailů bylo možné filtrovat spam skrze blacklisty.

3) "Většinou platí, že na blacklist se počítač dostane, pokud jsou zachyceny (třeba) tři spamy z něj během jednoho týdne." - různé blacklisty mají různé metodiky. Je na zodpovědnosti správce mailserveru, aby vybral takové blacklisty, které užívají vhodnou/smysluplnou metodiku.

4) "Abyste dnes viděli alespoň nějaká čísla, uvedu výsledky blacklistů, které nepoužívají "pasti", ale obsahují počítače, které jsou špatně nakonfigurované." - netuším, co jsou "pasti"; dále netuším, co myslíte pojmem "špatně nakonfidurovaný počítač" - je to open relay SMTP server, "vyhackovaný počítač koncového uživatele", "vyheckovaný server" nebo něco jiného?

Ondřej Bouda

Ja se na to tak divam. 20% odmitnutych mailu se na zatizeni mailserveru podstatne projevuje. Kazdy mail, ktery je odmitnuty hned po navazani komunikace setri konektivitu (neprenasi se data) a neni ho potreba skenovat antivirem a antispamem.
A jako velkou vyhodu pro odesilatele povazuji to, ze se mu nedorucitelny mail VRATI a ma tak moznost reagovat. Coz u ruznych Bayesu a jinych "cernych der" na spamy proste neni zaruceno.

Ja bych rekl, ze ten druhy odstavec, ze ktereho je ten citat je dost konkretni a jasne rika o co jde. Ale je mozne, ze to tam presto neni napsane dost jasne :-)

Pokud se vam nejaka terminologie nezda "dost odborna", mohl byste to specifikovat? Je mozne ze je to proto, ze se snazim, aby to bylo srozumitelne i laikum, proto ten kockopes.

Napriklad mne test Sorbs na open relay zachytil pouze 0.02% spamu... I kdyz je mozne ze je to spis problem Sorbs, ze jine open relay listy budou lepsi - take mi to prijde nejak malo.

Naprosto souhlasím. Můj příspěvek je tu proto, že v článku chybí - článek je formulován obecně, přestože se týká specifických situací. Na začátku článku by mělo být přesně definováno, jakých situací se týká - je tam sice formulace:
"Čím větší mailový server spravujete, tím více bude vaše situace podobná té popsané.",
ale ta je velice vágní a dává článku vyznít, jako by blacklisty byly *všude* zlem (což je pochopitelně nesmysl).

Divate se na problem z pozice male firmy. Zkuste se na nej podivat z pohledu ISP/ASP se stovkami tisic zakazniku, stejne jako se na problem diva autor clanku a nekteri komentujici. Ujistuji Vas, ze situace v takovem prostredi je RADIKALNE odlisna od toho, co popisujete Vy.

Pochopitelne zadne doporuceni neni vhodne brat absolutne. Pro malou firmicku nebo komunitni server je mozno nasadit nejen RBLka, ale klidne i zablokovat 95% celeho sveta a zadnemu z uzivatelu to neublizi. Jen je treba pamatovat na rizika.

Prosím použití přesné terminologie v článku. Ten ani-odborný-ani-laicky-srozumitelný styl je pro mě místy téměř nesrozumitelný :(
Navíc působí dojmem, že "článek smolil nějaký amatér".

1) Co se týče spam filtru, tvrzení, že kvůli odmítnutému emailu přijdu o miliony je směšné. Pokud jsem opravdu vážným kandidátem na dodavatele, pak se mi zřejmě ozvou znovu jiným způsobem, aby zjistili, proč na mail neodpovídám (všichni víme, že žádná technologie není 100% spolehlivá). A pokud nejsem natolik vážným kandidátem, aby mě kontaktovali znovu, pak není příliš pravděpodobné, že bych právě já vyhrál výběrové řízení = že jsem odmítnutím mailu utrpěl ztrátu. Jinými slovy: jeden vyhozený mail s poptávkou je (dle mého názoru) relativně zanedbatelný (záleží samozřejmě na druhu podnikání).

2) Z jiného úhlu pohledu: čas, který zaměstnanci ušetří na ručním probíráním spamu, je nezpochybnitelný okamžitý zisk - a ten v praxi obvykle více než vyváží možné (a velice nepravděpodobné!) riziko (neznámo jak velké/malé) ztráty. Ještě jednou: srovnáváme tu jistý zisk (ušetřené náklady, zvýšená produktivita práce) s hypotetickou ztrátou (přičemž pravděpodobnost velké ztráty je velice malá) - podle mě není co řešit (a před šéfem si to budu umět obhájit, popřípadě i vyčíslit).

3) Je třeba vzít v úvahu i možnosti firmy (volné prostředky) investovat do těchto technologií. Je lepší mít zdarma blacklist než žádný spam filtr, protože (dle mého odhadu) je riziko false-positive mnohem menší než riziko, že zaměstnanec se v každodením mazání spamu "překlikne" a omylem smaže reálnou poptávku (aniž by si toho všiml). Je jasné, že pokud mohu investovat do technologií více a pořídit lepší řešení (bayesovský filtr), pak to udělám - ale přesto si nejsem jist, že (po zvážení všech přímých i nepřímých nákladů) se to firmě vyplatí.

4) K účinnosti blacklistů
Spam filtr jsem řešil v minulém zaměstnání asi před rokem a půl na Exchange 2K serveru. Už rok neadminuju a ani moc nesleduju vývoj, takže je možné, že je dnes situace jiná, ale: pracoval jsem v menší firmě, kde v té době nebyly volné finance na zakoupení čehokoliv. Použil jsem proto zdarma dostupnou verzi (teď si nevzpomínám čeho) - každopádně tato free verze byla okleštěná jen na DNS black list (open relay) a white list (automaticky aktualizovaný odesílanou poštou). Příjemně mě překvapilo, že účinnost blacklistu (na open relay) byla více než 90%. Maily vyřazené jako spam se přesouvaly do vyhrazené složky v mailboxu příjemce. První tři týdny jsem tuto složku prohlížel velice obezřetně, pak už jen "zběžně"; pro jistotu jsem stejně obezřetně prohlížel poštu i šéfovi (s jeho souhlasem, pochopitelně); a nikdy jsem nenašel false positive. Blacklisty open relay SMTP bych tedy určitě nezatracoval.