Vlákno názorů k článku Portály zbrojí proti spamu, vyhlídky jsou totiž neradostné od Michal Kara - V tomhle konkretnim pripade mozna ano, ale pochopitelne...

V tomhle konkretnim pripade mozna ano, ale pochopitelne neni pro spammera problem to jmeno uvadet spravne.

(Takze jestli to chapu dobre, tak mail server, ktery ma pouze privatni IP adresu by v HELO mel napsat ji.) (Takove reseni se muze bez problemu vyskytnout treba v ramci VPN, kdy nejaky server zpravy shromazdi a pak je posle nejakemu serveru v DMZ, ktery uz ma verejnou IP a ktery je rozesle do Internetu.)

Částečně máte pravdu, na druhou stranu pokud slečna není blodnýna, asi si bude vědomá toho, že nežije v ideální společnosti, ale mezi lidmi, kde se lže, krade, znásilňuje, a zabíjí. A je velmi vhodné chovat se preventivně tak, abych se těmto nepříjemným situacím mohl vyhnout. Takže budu si zavírat a dokonce i zamykat dveře od bytu, nebudu v autě nechávat klíčky a jsem-li atraktivní žena, budu dávat pozor na místa, kudy večer chodím.

S bodem dva, tedy zejména s jeho druhou části, nesouhlasím. Můj osobní názor je ten, že bych měl být schopen nechat auto s klíčky v zapalování a nic by se mi s tímto autem stát nemělo. Pokud se stane a někdo mi řekne: "Seš vůl, žes tam ty klíčky nechal, proto ti to auto ukradli" (...si to taky pekne sliznes...), dělá ze mě, jakožto oběti krádeže, v podstatě viníka a obhajuje zloděje. To dle mého názoru není správné. To je totiž podobné, jako když jde slečna vlahé letní noci v minisukni po parku a je znásilněna. Slyším již ty názory: "Je blbá, neměla tam chodit, může si za to sama, neměla být takhle oblečena." Ale proč by tam neměla chodit? Proč by neměla mít na sobě v tuto roční dobu jí pohodlné oblečení? I kdyby šla nahá, nic by se jí stát nemělo. Zase se obviňuje oběť, nikoliv viník. Bohužel v současné době slyším tyto názory čím dál častěji a je mi to čím dál tím více líto.

Vím, že příležiotst dělá zloděje. A taky vím, že jsem off topic - reagovat tedy nereagujte... :-)
Ondřej Vaniš.

To je samozrejme pravda. Ja jen upozornoval, ze si clovek, ktery se rozhodne takove dopisy odmitat, musi byt vedom, ze se primo rozhodl porusit ustanoveni nejakeho RFC. Torhoznd nejsem purista, abych tvrdil, ze je to zcela zakazane - jen je to potreba velmi peclive zvazit. A to pro kazdou konkretni sit. Osobne si myslim, ze je potreba mit velmi dobry duvod a musim tim dosahovat vysledku, ktere nelze dosahnout snadno jinak. A jelikoz ja si myslim, ze prakticky stejnou mnozinu odfiltrovat jinak lze a bez primeho poruseni nejakeho pravidla, tak bych se tomuto zpusobu spise vyhybal. Nicmene, jak uz jsem rikal, to je otazka individualniho posouzeni. Jen jsem chtel upozornit, ze to neni snadne rozhodnuti.

Je výslovně zakázáno uvést na onom místě neexistující jméno.
Viz RFC 2821

3.6 - The domain name given in the EHLO command MUST BE either a primary host name (a domain name that resolves to an A RR) or, if the host has no name, an address literal as described in section 4.1.1.1.

Pouze pokud jméno není k disposici, je vhodné (client SHOULD) uvést výraz s numerickou adresou, nebo lze asi neuvádět nic.

Na druhou stranu je opravdu také výslovně zakázáno dopis odmítnout na základě špatného jména:

However, the server MUST NOT refuse to accept a message for this reason if the verification fails: the information about verification failure is for logging and tracing only.

IMO pokud prohlásím platné jméno v HELO za bezpečnostní politiku a odmítám přijmout mail z důvodu porušení bezpečnostní politiky, je to téměř RFC-korektní. Bezpečností politika může být komplexní (například můžu odmítat poštu, která má neplatné jméno v HELO a zároveň v Subjectu: slovo RFC a zároveň ip adresa klienta nekončí na 42) a poštovní RFC IMO nelze vykládat tak, že by omezovala svobodu bezpečnostních pravidel.

Kdo to zakázal, nějaké RFC? Jako koncovému příjemci mi nikdo nezakáže co mám, nebo nemám příjmout.

Je ovsem treba vedet, ze v tomto miste se muze objevit neexistujici jmeno - presneji receno - je VYSLOVNE zakazano dopis odmitnout na zaklade toho, ze prave toto jmeno je neexistujici.

pridal bych k nim bez vahani volny.cz a post.cz, protoze tam chodi spamu taky ohromne mnozstvi a volny/post na tom chce jeste vydelavat (placeny antispam).

>>Received: from mail.brno1.local (fw.illusionsoftworks.cz >>[194.213.63.52])
>>by jabberwock.ucw.cz (Postfix) with SMTP id B2ACE57871
> Prave ze ne :-) mail.brno1.local je spravne.

pokud se do internetu ten mailer hlasi jako mail.brno1.local , je to spatne. mel by se hlasit jako fw.illusionsoftworks.cz, jinak se nabizi prvni moznost jak ho odstrihnout (neexistujici domena) :-)

To je, ovsem, uz mnohokrat napadnuty blabol. Zaprve, certifikaty nezlikviduji anonymitu, protoze nemusi obsahovat cokoliv, co by komukoliv (krome CA, ktera certifikat vydala) umoznilo totoznost odesilatele urcit. Zadruhe, certifikaty nezabrani rozesilani SPAMu - protoze potrebny certifikat musi byt snadno dostupny komukoliv (jiste nechcete znacne casti obyvatel zeme zcela znemoznit pristup ke komunikaci postou). A pokud je certifikat snadno dostupny komukoliv, je snadno dostupny i SPAMerum.

Takze zapomente na vseobecne vzyvanou berlicku - certifikaty - ty k reseni tohoto problemu nijak uzitecne uzit nelze.

Zmineny zpusob vyzaduje spolupraci prislusnych spravcu. Jenze, pokud jste schopen dosahnout takove spoluprace, existuji i vhodnejsi metody nez omezit ze urcite FROM adresy smeji byt odesilany jen z urcitych IP. To co potrebujete je, aby nekteri (troufam si tvrdit, ze vetsina) uzivatele nesmeli obecne do sveta odesilat dopisy VUBEC.

1: Ale v tom mailu jsou vsechny hlavicky spravne a pritom je opravdu zfalsovany. A fakt neni mozne urcit, odkud opravdu vysel.

2: Nene. Alespon u nas za soucasne legislativy pokud Ti nekdo nedokaze, zes v tom aute sedel, tak jses z obliga. A s pocitacemi je to totez (nedavno probehl tiskem pripad, kdy taxikar posilal ze sveho domaciho pocitace vyhruzky lidem na magistratu, ale osvobodili ho, protoze nikdo nemohl dokazat, ze je poslal opravdu on osobne). Jinak ale "odpovednost za ciny sveho pocitace" vidim jako sice dost drastickou, ale preci jenom moznost, jak lidi dokopat, aby se o bezpecnost svych pocitacu zacali konecne starat.

3. Teoreticky ano, ale bohuzel dohledat spammera da HODNE prace. A pokud na nej nechces poslat par maniku, kteri mu vysvetli, jak se chova hodny chlapecek, tak mu to kvuli jednomu spamu moc nezasolis, zvlast pokud je z druheho konce sveta :-(

P.S.: Jestli jsi Citac ze SD, tak zdravim :-)

> vy jste takova chytra horakyne, nicmene jsem tusil, ze mi asi tak odpovite

A proc jste tedy tu moznost nerekl? (Odpovim si sam: Protoze pro to v tom mailu nemate zadny dukaz ;-) Ten mail jsem si opravdu dal tu praci poslat s falesnymi hlavickami a sem jsem pastnul vysledek pote, co mi dosel :-)

> informace v hlavicce se daji zmanipulovat to dobre vim.

Tak proc potom tvrdite, ze lze zjistit zdroj emailu?

Ve vyse uvedenem priklade proste _nemuzete_ urcit, jestli byl mail poslan z jabberwock.ucw.cz, fw.illusionsoftworks.cz (aka mail.brno1.local), nebo pochodi1.brno1.local. A ted mi reknete, ktery z uvedenych pocitacu budete blokovat? Kazdopadne zablokovani spravneho/spatneho pocitace je otazkou nahody, takze s vanickou vylevate i dite.

Pokud by muj ISP blokoval postu odnekud, tak to budu hodnotit jako nefunkcnost jim poskytovane sluzby.

Stejne tak pokud byste diky spatnemu odhadu zdrojoveho serveru nektere firme takhle zablokoval maily, a oni kbvuli tomu meli nejaky vetsi problem, budou vas pravdepodobne zalovat o nahradu skody. I to si troufnete risknout?

Ad tvrde blokovani urcitych domen - to je mozne v nekterych pripadech. Pokud jsem firma, tak si tezko muzu nechat utikat zakazky od uzivatelu treba atlasu, nebo od uzivatelu, kteri maji mail v domene .com.

Ohledne hodnoty informace: Chtel jsem rict, ze si treba nekdo stezuje na "spammera". Vy ho zablokujete. A po par dnech mate rozzureny telefonat od jineho zakaznika, ktery naopak ty same maily od toho cloveka dostavat chce. Zakladem Vami navrhovaneho systemu je blokovani spammeru. A ja se ptam, jak urcite, kdo je spammer? (Respektive ktery mail je spam, jak z toho mailu zjistit koho zablokovat jsme probirali vyse.)

(Jinak poznamka: Zda se mi, ze vy mate pohled spis samostatneho uzivatele, tam si muzete lecos dovolit, ja se na problem koukam spis z pohledu (vetsi) firmy a ISP.)

1. Pokud preposilam cizi mail, mel bych snad o tom uvest informaci v hlavicce.
2. Pokud ma nekdo nezabezpeceny pocitac - dobre mu tak, at si to vylize! Pokud nechas napr. auto s klicky v zapalovani a nekdo ti s nim udela pruser, asi si to taky pekne sliznes.
A pokud nekdo pouziva deravy system, tak plati to same, jako napr. v pripade afery pripojeni k internetu. Nakonec si vsichni stejne zaplatili co draze prointernetili.
3. A co tak udelat nejakou pasticku na mysi. Vygenerovat si par sluzebnich uctu a az mi na ne budou chodit spamy, tak to dotycnemu osolit. Dohledat, komu bylo prideleno urcite IP snad jde. Nekomu zustane Cerny Petr v ruce.

a proc ne. nevidim v tom nic spatneho. bez kryptografie a el. podpisu si nedokazu budoucnost internetu pro seriozni pouziti predstavit. na netu je spousta lidi a mezi nima dost blbu ,hackeru, spammeru a jine haveti a je potreba proti nim se branit. jinak vas muzu ubezpecit jestli si myslite, ze bez kryptografie a certifikatu jste anonymni, tak jste naivni.

Jedine mozne reseni je jiny, kryptograficky zabezpeceny protokol elektronicke posty, certifikacni autority, ktere zaruci, ze dana osoba neni Spammer (cili budeme platit za to, abychom vubec meli nejakou elektronickou identitu... cili internet prestane byt anonymni... tedy policejni internetova spolecnost... hmmm... diky vam vy z******i spammeri....)

I kdybych blokoval rozsahy (jen ty správné) IP adres, tak ty mrchy to dost často posílají přes záložní SMTP server (u ISP), a ten blokovat nemůžu.

Takže místo obrany nasadím útok - začnu objednávat!

Ano. Má to cenu blokovat ty jednotlivé IPčka? Prošel jsem spamy které prošly přes SpamAssin IP a posbíral jsem přes 150 IP adres. To jsem prošel jen zprávy z letošního roku!

Pak jsem prošel zachycené SPAMy. Ve zprávách za poslední 4 dny jsem nasbíral 140 IP adres! Opakovalo se jich asi 15.

Když sem začal blokovat celé rozsahy IP, už se mi ozvali kolegové, kterým e-mail nepřišel :(, asi jsem to přehnal.
Někdy to jsou IP hezky po sobě 69.6.60.6 - 69.6.60.9.

Potíž je v tom, že většina současných spamů už dávno není rozesílána z počítačů spammerů nebo z open-relayí. Většina spamů přichází z ticíců různých počítačů, evidentně zavirovaných Windows, které si stahují od spammerů seznamy adres a texty k rozeslání. Mezi mými 600 spamy denně jich blacklist SpamCopu označí asi 40 procent, a toto číslo se postupně snižuje.

Hledáte-li technické a systémové řešení, je asi na čase podívat se na Sender Permitted From, http://spf.pobox.com/, což jsou v zásadě MX záznamy, ale pro odesílatele. Takže si každý může ověřit, jestli email přichází z té domény, ze které tvrdí, že přichází. Už aby to nasadili hotmail, yahoo, msn a seznam. Pak by člověk aspoň věděl, co je potvrženo a co ne.

vy jste takova chytra horakyne, nicmene jsem tusil, ze mi asi tak odpovite. informace v hlavicce se daji zmanipulovat to dobre vim.

je mi naprosto jedno kdo posila spam a ze je to nemehlo,
ze si nezabezpeci pocitac, ale kdyz mi nekdo zatezuje linku, blokuje mne, providerovi pres ktereho jede je to jedno, tak budu blokovat prijem posty z jeho rozsahu adres a konec. udela to vice lidi a provider zjisti, ze v siti si nechteji "povidat" jine servery s jeho a prinuti ho to jednat. je potreba si zvykat na korektni jednani i kdyz jde pouze o komunikaci pomoci mailu

zda informace nesena spamem ma nebo nema hodnotu je z pohledu reseni nepodstatna. pokud ma nekdo zajem mi informaci predat a posila mi ji z domeny blabla@hotmail.com nebo 45632@atlas.cz ... atd. vubec na mail neodpovidam a beru to jako spam, pokud toho cloveka neznam. tvrde, lec ucinne a to vyuzivam mail pomerne intenzivne a nemam takove problemy se spamem jak tady nekteri popisuji.

vim ze je jina doba a dobre jim tak, alespon se snazi neco delat

Ano, vzdyt existuji blacklisty IP adres spameru. Tak je, sakra, pouzijte.

Opravdu vsichni diskutujici spadli z Marsu?

> Received: from pochodi1.brno1.local

Prave ze ne :-) mail.brno1.local je spravne. Ale vy NEMUZETE zjistit, jestli mail.brno1.local ten mail poslal sam, nebo jen preposlal neci jiny mail.

A co kdyz zjistite, ze spam tece ze spousty (stovek, tisicu, desetitisicu) pocitacu, vetsinou domacich uzivatelu, kteri si poridili DSL a zapomeli si pocitac zabezpecit? Co posilani z pocitacu, ktere nemaji pevnou IP?

A jak vubec zjistite (pro dany blokovaci system) ze zprava je spam? Tak, ze ji nekdo jako spam oznaci? Ale pro nekoho jineho to muze byt treba cenna informace. Tedy, aby bylo jasno, jsou pomerne jasne spamy (typu "Zvetsete si ..."). Ale pak jsou zpravy, ktere maji nejakou rozumnou informaci. Nekoho mohou obtezovat, pro jineho naopak mohou mit cenu...

K tem providerum - pred nekolika lety byla situace ponekud jinde. Nyni ale spam predstavuje nezanedbatelne procento provozu a ani providerum neni vytizeni jejich linek jedno.

Ale maji ponekud svazane ruce. Pokud je mi znamo, tak nemohou jen tak zkoumat obsah dat prenasenych uzivatelem. Takze musi cekat, nez si na dotycneho nekdo bude stezovat a pak na nej zatlacit fair use.

Received: from pochodi1.brno1.local (pochodi1.brno1.local [10.5.6.7]) podle vseho. v zasade nejde o to z jakeho pocitace spam pochazi, ale z ktere mail serveru tecou pravidelne zpravy spamu. ze zkusenosti vim, ze velci provideri pred nekolika lety se k otazce spamu se vyjadrili jednomu memu znamemu, ze je to vubec nezajima, ze z jejich site litaj spam zpravy a tady je nekde chyba.

No to byste tomu dal, v tom pripade Vam preji
prijemnou zabavu, newbudete stacit mazat chybove hlasky
a navic jen upozornite na funkcnost sveho mailu.

> pak jejich ucinnost stoupne

A vysledkem bude jeste vetsi objem spamu... Ucinnost filtru stoupa uz leta a mnozstvi spamu stoupa spolu s ni. Nakonec se dockame toho, ze treba 60% provozu na siti bude spam.

> zdroj mailu ne totoznost odesilatele se da zjistit

Hoho! Tak mi, prosim, zjistete, ze ktereho pocitace byl odeslan nasledujici mail (a hlavne reknete proc, metoda kouknu a vidim neplati, musi v tom byt algoritmus):

From test@test.cz Thu Jan 8 12:45:17 2004
Return-Path: test@test.cz
Delivered-To: lemming@atrey.karlin.mff.cuni.cz
Received: from jabberwock.ucw.cz (jabberwock.ucw.cz [81.31.5.130])
by atrey.karlin.mff.cuni.cz (Postfix) with ESMTP id 7AF984C02E1
for <lemming@atrey.karlin.mff.cuni.cz>; Thu, 8 Jan 2004 12:45:17 +0100 (CET)
Received: from mail.brno1.local (fw.illusionsoftworks.cz [194.213.63.52])
by jabberwock.ucw.cz (Postfix) with SMTP id B2ACE57871
for <lemming@ucw.cz>; Thu, 8 Jan 2004 12:45:04 +0100 (CET)
Received: from pochodi1.brno1.local (pochodi1.brno1.local [10.5.6.7])
by mail.brno1.local (Postfix) with ESMTP id CDEB14C0008
for <lemming@ucw.cz>; Thu, 8 Jan 2004 12:44:28 +0100 (CET)
Reply-To: Test <test@test.cz>
From: Test <test@test.cz>
To: 'Michal Kara' <lemming@ucw.cz>
Subject: Test
Date: Thu, 8 Jan 2004 11:44:13 +0100
Message-ID: <000701c3d375$ab6ce260$980018ac@test>
X-Spam-Checker-Version: SpamAssassin 2.61 (1.212.2.1-2003-12-09-exp) on
atrey.karlin.mff.cuni.cz
X-Spam-Status: No, hits=4.3 required=5.0 tests=MSGID_OUTLOOK_INVALID
autolearn=no version=2.61
X-Spam-Level: ****

Test message.

Odpovedi jsem samozrejme myslel (falesnou) objednavku zbozi, nikoli poslani mailu na adresu ve From: (vzdyt uz v prvni vete pisu, ze zjistit relanou adresu neni trivialni).

Odpovídáním je zjevně myšleno klikat na linky, psát na adresy pro objednávky uvedené v mailu a pod. Spamer obvykle musí mít možnost nějak sebrat objednávky, prodat produkt a pod.

Technologicky možná cesta to je, v podstatě se to dá považovat za dDOS útok proti příjmové adrese spamera. Navrhoval to před nějkou dobou třeba Graham (např. formou crawlování spamvertizovaných stránek).

Eticky to moc cista metoda boje neni.

Mno v cechach se lze typicky spammerovi pomstit tak, ze treba z jeho webu se objedna nabizene zbozi na dobirku ... treba na nejakou neexistujici adresu ....

bohuzel to ale neresi spam z ciziny, tam tohle nejde, pac ty mrchy chtej vzdycky cislo kreditky ....

I kdyz mozna by stalo za to udelat nejakej skript, co z webu spammera vytaha vsechny mailto: odkazy, necha cloveka ten rozumne vypadajici (info@neco, orders@neco ...) vybrat a nasledne pomoci nejakeho poloautomatickeho systemu typu eliza s nim navaze komunikaci (mno a eliza si samozrejme nic nekoupi:o)

Samo ze na tohle bude vyhrazena nejaka email adresa, kterou normalni clovek necte :o)

tak to je potesujici. docela bych se divil, ze by nekdo uz na tom nepracoval. jen si myslim, ze by se to melo co nejdrive zavest jako urcity "standard", ktery by byl zakomponovan do vetsiny pouzivanych postaku (mail serveru), ale to chce asi cas.

Dobry den,

takova databaze jiz existuje: Vipul's Razor (razor.sf.net).
Uklada si do databaze "otisky" zprav a podle tech je pak
mozne spamy identifikovat. Trochu vice o ruznych metodach
boje proti spamu si muzete precist na Rootu:
http://www.root.cz/clanek/1845

Co se tyce Razoru, tak jej napriklad pouziva Spamassassin
(www.spamassassin.org), ktery se da pouzit i pro sdileny
webhosting, jak jde videt napriklad u sluzeb SERVERY.CZ
a HOSTING.CZ. Spamassassin nepouziva jenom tyto metody,
ale je to souhrn ruznych pravidel pocinaje ruznymi testy
na caste "neresti" pouzivane spammery po statistickou
metodu. Pro vsechny metody vsak plati, ze nejsou samospasne
a musi se jim nekdo venovat a drzet krok s utocniky.

Ondrej Sury.

snad vite, ze zdroj mailu ne totoznost odesilatele se da zjistit, dokazu si predstavit technicke reseni, ktere by se dalo zavest . dalsi efektem by bylo ze by to delalo potize providerumu, kteri poskytuji technicke prostredky pro spamery. zkratka by jejich servery byly blokovane. vase reseni odpovidani na spam mi pripadne silene, nevim jak vy, ale ja sotva stiham vyrizovat svoji postu a k tomu odpovidat na spam ne to opravdu po me nechtejte.
ano spamove filtry se pouzivaji, ale pokud se budou filtry
nastavovat z centralne databaze automaticky pak jejich ucinnost stoupne. rozhodne netvrdim, ze je to konecne reseni
jen si myslim, ze by to znacne snizilo objem spamu za soucasne situace

Ehm - ani jedna, ani druha metoda uz dost davno neni vubec pouzitelna, protoze u spamu hlavicky From: nebo Reply-To: typicky nebyvaji relevantni a casto ani neexistuji, takze jediny, koho bude ta vase odpoved obtezovat, budete zase jenom vy, kdyz vam ji server vrati jako nedorucitelnou!
Tudy cesta nevede ...

Zasadni problem je v tom, ze zjistit totoznost odesilatele (pro porovnani s databazi) neni zas tak trivialni uloha. A kdyz by se to povedlo, tak neni problem tu totoznost rychle menit.

Jinak zajimavou metodu navthoval nekdo v nejake predesle diskusi: Na spamy ODPOVIDAT. Bohuzel jeji ucinnost je podminena tim, ze by to muselo zacit delat velke mnozstvi lidi :-| Pokud spammer ma ucinost 0.0...01%, tak rozesle miliony mailu a dostane rozumne mnozstvi (treba 100) odpovedi, ktere uz musi rucne zpracovat.

Ale kdyby my odpovedelo treba 10% lidi, tak ma stejne mnozstvi uz na 1000 rozeslanych mailu. A musi je vsechny rucne zpracovat. A kdyz z nich nikdo nic nekoupi, tak brzy spamovani zabali :-)

Momentalne je situace takova, ze cim vic se pouzivaji spamove filtry, tim vic spamu se posila, aby se dosahl stejny pocet odpovedi.

jako snad jedine reseni se mi zda vytvoreni centralni databaze
(neco podobneho jako u openrelay) notorikych spameru se kterou budou vase mail servery spolupracovat pri zpracovani prijimane posty a to v realnem case, cim se zamezi spamu uz na zacatku na serveru a to je dulezite. ucinnost nebude 100%, ale tenhle system by znacne zkomplikoval zivot tvurcum spamu a myslim, ze 70 - 80% tohoto smeti by neproslo.