Názory k článku Seznam - ideální pro spammery

Tohle uz tu bylo asi pred tremi lety. Uz tehdy se ukazalo, ze seznam.cz chape tuto hrubou chybu konfigurace jako PR problem, nikoliv jako technicky problem. V tom je podobny jinym nejmenovanym firmam ;-)

S odstupem casu jsou jejich tehdejsi argumenty opravdu usmevne: Museji pry mit open relay k tomu, aby usnadnili zivot svym neplaticim navstevnikum, aby jim neutekli ke konkurenci. - Zda se ovsem, ze tento nesmyslny argument je pouzivan i dnes. Nektere veci se meni jen pomalu.

(Mimochodem, existuje dokonce i RFC, ktere rika, ze provozovat open relay je spatne.)

Existuje na druhé straně řada subjektů provozujících open relay naschvál, protože na open relay není nic špatného, špatné je přes ni spammovat.

Ostatně vzhledem k tomu, že Lupa neposílá při přihlášení k odběru názorů potvrzující e-mail, na který se musí odpovědět, a potrvdit tak, že skutečně chci, aby mi ty reakce chodily, může být snadno obviněna ze spammerství taky -- myslím, že by k tomu stačilo napsat do kolonky E-mail: darkmaster@pooh.cz a zaškrtnout Posílat reakce...

(Zdravím Medvídka Pů a další odvážné bojovníky proti spamu)

Pěkně prosím, nikoliv. Spam se týká REKLAMY, nikoliv chybně provedeného redakčního systému.

Takovéto maily budou pouze obtěžovat, ale není v nich reklama a nemají reklamní účel. Stejně špatně to má Živě, kterému je to, stejně jako LUPĚ, uplně jedno.

Čili tohle by SPAM nebyl - pouze nepříjemnost. Která by ovšem byla poměrně snadno řešitelná komunikací s Lupou nebo Živě.

Zatímco klasický spam je prakticky neřešitelný - i ti největší (a "renomovaní") se prostě nehodlají vzdát pokoutně získaných mailových adres - jeden příklad za všechny může být DIMAR, který nehodlá o tomto problému ani komunikovat. Místo toho pořádá semináře o SPAMu a sám šíří komerční nabídky na pokoutně získané adresy.

Pokud si smim dovolit poznamku, pak SPAM se netyka (jen) REKLAMY. K tomu, aby byl dopis hromadne rozesilany, nevyzadany a obtezujici neni vubec nutne, aby nabizel k odberu nejake zbozi nebo sluzby. Pripoustim ale, ze jedna z hloupych vlastnosti oznaceni "SPAM" je ta, ze nebylo nikdy dobre definovano "co to je" a tak si kazdy pod nim predstavuje to co ho zrovna napadne ...

Podle me je definice "nevyzadany reklamni email" dostatecne jasna.

Podle me je definice "nevyzadany reklamni email" dostatecne jasna.

K tomu bych chtěl dodat - tuto oblast reguluje zákon o reklamě, který mimo jiné zakazuje "šíření nevyžádané reklamy, pokud vede k výdajům adresáta nebo pokud adresáta obtěžuje.". Vaši snahu tedy zaměřte právě na to, aby se rezesílání spamu zdrželi. Požadovat, aby se vzdali získaných adres, byť podle vás získaných "pokoutně", nemusí vést k úspěchu, protože je dost dobře možné, že se nejedná o osobní údaje, jež jsou předmětech ochrany podle zákona.

Ale pane, adresy necht si kazdy schranuje jak chce. Podstata veci je samotny spam, nikoli vlastnictvi adresy. Tim spatnym skutkem je samotne ODESLANI nevyzadaneho mailu, nikoli ziskani adresy.

BTW: Vite vubec co znamena zkratka RFC?

No nevím, přijde mi, že Lupa nemá o čem psát. To, že je něco open relay je jedna věc, že se spamerům dá stížit přístup to další věc, a že spaměři dokáží automatizovaně zakladát na freemailech klidně tisíce nových účtu a přes ně to posílat ještě věc jiná.

Z toho pohledu mi ten článek přijde dost neobjektivní a úchylný.

Děkuji Mirkovi, že si půjčuje můj screenshot, to že zapomněl uvést odkaz na článek určitě brzy napraví,

SEZNAM.CZ provozuje open-relay smtp (sobota 31.5.2003)

D.

Aby ses nepos*al...

Děkuji, ale neposral. Je tam smajlík, vcelku jasně vyjadřující povahu tohoto ohlasu.

Ty smajlíky si okoukal od CEO Němce? OK, tak se dohodněme takto: Smajlík použitý v diskusi na Lupě znamená:

"Uvedomuji si, že můj příspěvek je debilní, takže na něj nereagujte. Je tam smajlík, který znamená, že když nebudu vědět, co vám odpovědět, tak vás utřu tím, že jste si ho nevšimli."

Umastena lebka promluvila :-)

Jo jeste, medvidku nechces si zmenit jmeno na Medvidek Poo ??? Pro neanglictinare POO = LEJNO a to by tak odpovidalo a ty bys ne***vil tuto pohadkovou postavu. Domena www.poo.cz snad bude jeste volna. Hodne stesti !!!

Jirko, nechces si zmenit cislo z 1 a 2 jeste na pí? Pro matematicke analfabety: Pí je iracionalni cislo. Stejne jako Jirkovy blaboly.

Tentokrát jsme byly opravdu 2, přísahám.

(Nebudu komentovat ten křečovitý pokus o intelektualismus a stejně křečovitý navazující oslí můstek)

... a to tvrdý Y si radši okomentuju hned sám :)

Hmm, moc konstruktivni debata tu na toto tema neni.
Kdyz bychom brali v uvahu, ze ISP neni open relay, ale musi prijimat postu od svych zakazniku, tak i kdyz se budou autorizovat a to bud POP before SMTP nebo SMTP autorizaci jako takovou, tak stale tu hrozi pomerne velke procento spamu pres daneho ISP. Koncovy uzivatel si nastavi autorizaci v MSOE (v autlůku), ale pokud chytne vira, ktery bude vyuzivat MSOE a uzivatel bude mit "fajfku" zapamatovat heslo, tak je autorizace k nicemu, nemluve o ruznych proxy serverech, kde hrozi bud relay, nebo stejny pripad.

Smallbear

Typicka ukazka pristupu kdyz to nejde dokonale, tak to nejde vubec. Problem nejsou ani tak uzivatele rozesilajici viry, pres sveho ISP, ale vychcane svine posilajici sve nesmyslne reklamy v poctu tisicu kusu pres takovy open relay. Smyslem ruseni open relay neni resit viry, ale resit spam.

Jenze ISP (vetsinou) vi, kdo to pres jeho stroj rozeslal - a jelikoz mu to (vetsinou) vadi, a jelikoz (vetsinou) ma ve smlouve se svym zakaznikem nejake ustanoveni, kterym se zakaznik zavazuje takovehle veci nedelat, ma moznost zapusobit na nej v tom smyslu, aby v tom nepokracoval. Jiste - nechytite tim uplne vsechno. Ale on je celkovy pocet zakaniku preci jen omezeny ...

Prave naopak, to je uplne idealni. Pokud se totiz klient autorizuje vuci SMTP, da se delat statistika kolik toho odesila, z hlediska serveru se nemuze schovavat za zmeny adresy odesilatele apod. A pokud dojde k neobvyklemu narustu aktivity, muze byt preventivne automaticky odriznut. Navic ten, kdo si da tu praci a udela SMTP AUTH, tak si obvykle da i tu praci s antivirem.

... protože existují minimálně dva jednoduché způsoby, jak zneužití SMTP serveru předejít. Tím jednodušším je POP before SMTP a tím složitějším (ale lepším.) je ASMTP ...
Jů, ty jsi ale chytrý. Jenže stačí se akorát na Seznam naPOPovat a mohl bych SPAMovat vesele dál. Muhahahaha!
Mimochodem, jednou jsem nedopatřením nechal na serveru relay otevřený dokořán. Trvalo asi den, než to SPAMeři vyhmátli, a asi tak další den nebo dva než byl server na indexu. Takže jestli Seznam SMTP server provozuje roky, tak tam asi něco yntelygentního má.

Ale abys mohl POP, tak se musis zaregistrovat, atd... Je to prace navic, kterou spammovaci roboti hledajici open relays neumi. Zase ten pristup. Budto vsechno, nebo nic. Svuj dum take nezamyskas, ze? Protoze kazdy zrucny zlodej ten zamek otevre.

Umí, moc dobře umí

Ale ale ;-)

Nahodou jsem prave seznam resil v dobe, kdy nekdo z jeho zamestnancu pridal server jineho providera do ORDB.org.

ORDB fungovala v te dobe silne naivne a to tak, ze zasilala vsechny sve testy z pevne emailove adresy. Takze stacilo blokovat odesilatele a pro jistotu i prijemce z domeny ordb.org.

Takhle bohuzel funguje vetsina systemu pro kontrolu open relay.

Nicmene, s tim single relay to neni uplne presne, protoze ORDB nekam zasle mail a blokuje IP ze ktereho se to vratilo - tzn. vyridi i vicenasobne relay.

Oba se v tomto případě nachází mimo lokální doménu (respektive mimo lokální rozsah IP adres, čistě technicky.)

To mi připadá jako dost podstatný rozdíl. Bude-li to MTA kontrolovat podle domény, stačí si pro zneužití vhodně nastavit reverzní DNS záznam (leda by MTA pro kontrolu provedl ještě ověření překladem jména zpátky na IP adresu). IP adresa se zfalšuje přeci jen podstatně méně snadno.

Těm, kteří nechtějí využívat webového rozhraní, jsme nabídli komfortní POP3 a SMTP přístup bez nutnosti složité konfigurace poštovních klientů.

Tak jako u konfigurace POP3 je treba (povinne) vyplnit jmeno a heslo, nevidim problem v tom, zadat to jmeno a heslo u SMTP - bezne MUA to bez problemu umi. Treba takovy Outlook ma dokonce polozku "Pouzit stejne nastaveni jako pro server prichozi posty"... Problem je spise v tom, ze Seznam nerozeznava poradne ani zakladni RFC (pokud ten jejich sqely system uz RFC neodporuje, omlouvam se, nabyl jsem dojmu, ze zejmena v konferenich je to videt jinak!), natoz aby vedel o moznostech SMTP autentizace...

vite proboha co to vlastne znamena zkratka RFC?

Tak ja uz! :-)
Co to teda znamena to RFS? nebo RFC?

RFC samozrejme :-)

Aha, sem myslel, ze si delas srandu a ty to fakt zrejme chces vedet :).

RFC = Request for comments

tedy zadost o vyjadreni.

Proboha vim, vice jak 10 let s nimi pracuji i jinak operuji... A taky vim, ze vsechny Internetove standardy jsou patricna RFC, ktera maji urcity status (nektere nedospely ani do faze Draft ci final-draft)... a zadne jine normy tu nemame, prenos po fyzicke vrstve (IEEE) neni naplni Internetu (ale linkova uz ano - napr. PPP, PPtP, PPPoE)...

léta jim píšu, že spam mi vadí a aby s tím něco dělali a oni odepisují, ať ty viníky teda nahlásím, to je z jejich strany maximum :-(

Dovolil bych si pripomenout, ze pomerne znacna cast spamu v nasich podminkach prochazi pres spatne nakonfigurovane servery zakazniku velkych provideru. Tam vam potom zadna autorizace na strane providera nepomuze. Firmicka ma server na pevne lince, na nem WinProxy a za nim pet pocitacu. WinProxy ma nastaveny jako nadrazeny smtp server server providera. Odesila pres nej s autorizaci. Jak si myslite, ze dopadnete, kdyz bude tenhle serverik open relay?

Tak mě napadlo, asi možná budete vědět, ale seznam sám kontroluje přijatou poštu do své doby vůči Open Relay Database. Jeden z našich klientů se chybnou konfigurací od předchozího poskytovatele ocitl na černé listině Open Relay serverů a uživatelům se vracely emaily odeslané do domény @seznam.cz jako nedoručitelné s odkazem na onu ORDB. Zvláštní, že? Na jedné straně tvrdí, jak moc chtějí být vstřícní a otevření vůči svým uživatelům, na druhé naprosto tvrdě a nekompromisně spoléhají na jakousi anonymní databázi (a ona anonymní je, protože u ní není uveden žádný legální subjekt, jenž by ji provozoval) a na možnost zneužití této databáze neberou ohledy. Zkrátka, jste v DB, tak máte smůlu. Vyřešte si to s nedostupným kontaktem správy oné dbase. Ach jo, to je normální, že firma se snaží svým PR zastřít a zamaskovat vlastní chyby, ale kéž by tomu věnovali alespoň důkladnější pozornost a podrobna nejdříve rozebrali veškeré varianty, které mohou kritiky napadnout, aby je mohli vyvrátit. je vidět, že profesionálové v oboru ještě stále u nás nejsou pravidlem (Public Relations, marketing atd.)

Není to schizofrenie? Aneb jak se zavděčit všem :-)

Možná, fakt používají databázi DSBL.org. Ale co by člověk mohl čekat od seznamu, mohli by se přejmenovat na FM Seznam. Práce všeho druhu, proboha, který blázen by si od nich asi tak koupil dům nebo pozemek, co oni o tom mohou vědět - možná, že někdo bude namítat, že přeci jenom vytvořili jakousi databázi nemovitostí na netu, ale co pak ten tištěný časopis? Mám v ně fuckt velkou důvěru. Seznam je podle mě namyšlený. Nemůžu si pomoci. Je to velice subjektivní pocit, ale je to tak.

a jeste tu po nich nekdo chce aby dodrzovali RFC od samozvane IETF

A jaky nazor mas ttreba na w3c, to je taky samozvane jen proto ze to vzniklo sdruzenim par odborniku, prekvapive mimojine z microsoftu a netscape?

A co treba TCP/IP ktere je vpodstate pouze komunikacni protokol vymysleny jednou univerzitou? Taky 'jen' samozvane?

Zkus si uvedomit ze jinak se na to asi divas ty a jinak lidi kteri dostavaji az 200 spamu denne.

Omlouvám se, jsem se nepřesně vyjádřil. Je samozřejmě chválihodné, že tuto službu si někdo vytyčil jako svůj cíl. Zkusím svůj názor ilustrovat na onom konkrétním případě:

Náš zákazník měl chybou svého tehdejšího správce otevřený server a dostal se na černou listinu onoho serveru. Pak zaměstnanci zjistili, že jim neodchází (přesněji řečeno, že se vrací) emaily odeslané do seznam.cz a několika dalších domén. Z logu poštovního serveru jsme zjistili, že je to kvůli tomu, že doména odesílatele je blokováno s ohledem na svůj záznam na černé listině. Chybu v nastavení relaying jsme odstranili a hned požádali na stránkách provozovatele oné černé listiny o vyřazení domény ze seznamu. Po měsíci se nic nestalo. Obrátili jsme se tedy osobně na techdesk Seznamu s žádostí o ruční vyřazení naší domény z jejich databáze s odůvodněním, že chyba byla opravena a že provozovatel toho seznamu OpenRelay Serverů neodpovídá na naše žádosti. Vyjádření seznamu: "nás do toho netahejte, vyřiďte si to sami s ním". Z tohoto důvodu, je každý takovýto projekt velmi zneužitelný. Jen si představte, kdyby provozovatelé do něj ze msty přidali, koho by je jen napadlo. A pak se někde odvolávejte, když nemají právní identitu. Bylo by docela zábavné čistě hypoteticky zauvažovat nad tím, zdali v případě přidání nepravdivé informace do databáze ve svém soukromém vlastnictví, jsou odpovědni za škody, které takto můžou vzniknout třetím stranám, které ač nejsou nuceni tuto databázi využívat, jediný smysl vlastníka pro její údržbu a správu spočívá v tom, že JI BUDOU VYUŽÍVAT..

Ja myslim, ze neni az tak anonymni, je to proste neziskova organizace:

ORDB.org headquarters
F. G. E. Rostrups Vej 2
8000 Aarhus C
Denmark

Resit to s nedostupnym kontaktem je nesmysl, zasadne je potreba to resit tim, ze se relay uzavre a nasledne se spusti novy test ze stranek ordb.org.

Me to taky rozcilovalo, ale open relay je proste spatne, oni se snazi, aby se to omezilo a je to dobre.

což ovšem neříká, jestli vůbec ORDB je nějakou organizací. Napsat ORDB.org headquarters tomu moc nenapovídá - a ceduli si tam můžou dát jakou chtějí.
Asi jako robertnemec.com :-)

napriklad taka databaza spews.org:
- adresa zaregistrovana na pobox v sibiri
- ziadna komunikacna adresa, iba news skupina
- nedostatocne faq
- nezdrahaju sa blokovat aj evidentne nevinne cele siete
- ich databazu vyuzivaju ine sluzby, ktore nerespektuju ich "level system"
- to ze je to "preventivny system" na blokovanie spamov asi tiez hovori o vselicom..

takze spravcovia serverov, kludne sa spoliehajte na taketo databazy, ktore ani len netusite ako funguju a ako je mozne sa do nich dostat a uz vobec nie kto ich prevadzakuje. kludne odmietajte emaily iba na zaklade adresy z ktorej sa niekto k vam pokusa pripojit, bez zaujmu o obsah - ano, to je spravna cesta k vyhubeniu emailu z povrchu zemskeho...

dávám v plen včerejší a dnešní komunikace s Tudlekomem o stejném problému.

Tomáš

To: IOL Techhelp
Subject: smtp-out3.iol.cz na seznamu spam.dnsrbl.net !

Dobrý den,

server smtp.iol.cz (smtp-out3.iol.cz) je na seznamu nedůvěryhodných serverů (zdroj spamu) http://www.dnsrbl.net jsme váš zákazník, máme od vás pevnou linku.

Jaký odchozí server máme používat místo nynějšího "smtp.iol.cz", aby naše firemní maily nepocházely z nedůvěryhodnýdného zdroje (nebyly odmítány)?

Tomáš ****

---------------------------------------------------------------
"IOL Techhelp" <techhelp@iol.cz>
Sent by: Hnídek Luboš <lubos.hnidek@imaginet.cz>
10.06.2003 15:58
Subject: RE: smtp-out3.iol.cz na seznamu spam.dnsrbl.net !

Dobry den,
bohuzel spravci tohoto serveru se jiz psalo nekolikrat, ale je zde nevole odstranit smtp.iol.cz z jejich spamlistu. Muzete si nastavit server ns2.tel.cz, ale nejsem si jist, zda uz do techto seznamu nebyl zarazen take.

Nezbyde nez vydrzet, pripravujeme konecne reseni na odbourani
spameru, tim by melo byt vse vyreseno.

s pozdravem
Hnidek IOL Techhelp
---------------------------------------------------------------
To: IOL Techhelp <techhelp@iol.cz>

Subject: RE: smtp-out3.iol.cz na seznamu spam.dnsrbl.net !

Dobrý den,

je tam i ns2.tel.cz [194.228.2.1].

Dobře, počkáme tedy na plné zprovoznění našeho mailserveru a nebudeme pak používat váš relay.

Tomáš *****
---------------------------------------------------------------
Internet on Line Mail Delivery <postmaster@iol.cz>
Subject: Delivery Notification: Delivery has failed

Your message cannot be delivered to the following recipients:

Recipient address: techhelp@iol.cz
Original address: techhelp@iol.cz
Reason: Over quota
---------------------------------------------------------------
To: Voňavková, Jana /GRS,ZGR [to je tisková mluvčí]
Subject: Fw: Delivery Notification: Delivery has failed

Dobrý den,

Jste na sezanu zdrojů spamu a schránka technické podpory nefunguje.
Můžete se k tomu nějak oficiálně vyjářit?

Tomáš ****
---------------------------------------------------------------
jana.vonavkova@ct.cz [to je tisková mluvčí]
11.06.2003 08:48

Subject: RE: Delivery Notification: Delivery has failed

Dobrý den
asi mám zavirovaný PC, dnes přijdou technici.

Zdraví
Jana Vonavková

Jen tak pro zajímavost je nutno dodat, že k zařazení IP Seznamu do databáze spammerů, resp. IP adres spamovacích serverů se nemalou měrou zasloužil i freeware program SpammerMX http://www.spammermx.wz.cz, kterýžto dovoluje libovolnému uživateli zneužít seznam jako prostředníka mezi ním a cílem(tedy adresátem). Navíc samotný SpammerMX obsahuje několik desítek tisíců mailových adres a jeho používání je tak snadné a pěkné, že by ho zvládla i moje babička. Ostatně můžete se sami přesvědčit.