Discussione:
Meccanismi SPF, dubbi (lungo)
(troppo vecchio per rispondere)
Dmitry
2005-12-10 14:45:17 UTC
Permalink
Ciao a tutti,

stavo guardando con un certo interesse alla possibilità di
plubblicare i record SPF per i miei domini x-privat.org ed
x-planet.org.

Prendiamo come esempio il dominio: x-planet.org

se ho capito bene, inserendo un record TXT nel mio DNS come:

"v=spf1 +mx -all"

informo chi fa interrogazioni DNS sul questo record TXT che la
posta autorizzata per x-planet.org è solo ed esclusivamente
quella proveniente dai miei MX, ovvero

mail.x-privat.org.

e

news.x-privat.org (il secondario, MX20)

giusto?

Viceversa se inserisco:

"v=spf1 +all"

dovrebbe significare che qualsiasi indirizzo ip è autorizzato ad
inviare posta per il dominio x-planet.org

Ho notato ad esempio che pochi mi pare usino questo record, che
apparentemente però potrebbe risolvere non pochi problemi legati
al riconoscimento di 'posta lecita'.

Ho provato quindi con Libero.it, tin.it, bofh.it, spin.it per
fare degli esempi concreti, ed in nessuno di questi compare un
record TXT legato a SPF.

ho provato allora con abuse.net e mostra appunto:

"v=spf1 +all"

probabilmente proprio perchè il loro scopo è che nessuno filtri
in base a SPF per il loro dominio, o sbaglio?

Supponiamo quindi che la mia scelta sia di applicare un record
TXT per i miei domini, come:

"v=spf1 +mx -all"

Supponiamo quindi che il dominio xxxx.xx voglia interrogare il
mio record TXT per verificare se la mail con
MAIL FROM ***@x-planet.org provenga proprio da un mio server.

Quindi con il suo tool verifica se esiste un record TXT per
x-planet.org, lo trova e vede che gli IP validi per x-planet.org
sono appunto:

217.22.228.18 (mail.x-privat.org)

e

81.174.12.30 (news.x-privat.org)

in questo caso con la regola: "v=spf1 +mx -all" lascierebbe
passare la mail come valida.

Supponiamo però che l'interrogazione SPF dia come responso un ip
qualsiasi che non siano i miei MX, in questo caso per la regola
che ho messo la mail sarebbe rifiutata, giusto?

Se è così, mi chiedo allora il perchè questa tecnologia sia così
poco usata, perchè non mi sembra affatto un cattivo metodo per
isolare posta non lecita. Perchè?

Inserendo poi ua regola come:

"v=spf1 +mx ~all"

in pratica il risultato SPF sarebbe un SOFTFAIL, ovvero una
condizione di non sicurezza, ma non assolutistica come -all .

A che pro?
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-10 15:04:44 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Dmitry
Post by Dmitry
Quindi con il suo tool verifica se esiste un record TXT per
x-planet.org, lo trova e vede che gli IP validi per
217.22.228.18 (mail.x-privat.org)
e
81.174.12.30 (news.x-privat.org)
in questo caso con la regola: "v=spf1 +mx -all" lascierebbe
passare la mail come valida.
Supponiamo però che l'interrogazione SPF dia come responso
un ip qualsiasi che non siano i miei MX, in questo caso per
la regola che ho messo la mail sarebbe rifiutata, giusto?
Se è così, mi chiedo allora il perchè questa tecnologia sia
così poco usata, perchè non mi sembra affatto un cattivo
metodo per isolare posta non lecita. Perchè?
mhmm ... forse ci sono. (mi rispondo da solo)

quindi con la regola: "v=spf1 +mx -all"

se l'utente ***@x-planet.org non utilizza un mio MX ma ad
esempio l'SMTP del suo provider, la mail verrebbe rifiutata da
chi utilizza SPF come controllo sul mio record TXT di x-
planet.org

Così almeno sembra da:

http://www.dnsstuff.com/pages/spf.htm

In sostanza con questa regola, obbligo i miei utenti ad usare il
mio SMTP se non vogliono incorrere nel pericolo che qualche
altro sito usi SPF per verificare gli SMTPP di connessione.
Vero?

per questo la usano in pochi? :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-10 15:08:28 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Dmitry
Post by Dmitry
mhmm ... forse ci sono. (mi rispondo da solo)
quindi con la regola: "v=spf1 +mx -all"
esempio l'SMTP del suo provider, la mail verrebbe rifiutata
da chi utilizza SPF come controllo sul mio record TXT di x-
planet.org
http://www.dnsstuff.com/pages/spf.htm
In sostanza con questa regola, obbligo i miei utenti ad
usare il mio SMTP se non vogliono incorrere nel pericolo
che qualche altro sito usi SPF per verificare gli SMTPP di
connessione. Vero?
per questo la usano in pochi? :)
e quindi forse è il caso di inserire almeno un:

"v=spf1 +mx ~all"

giusto per lasciare il dubbio .. e dare il SOFTFAIL, ok?
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Gianni
2005-12-10 16:39:33 UTC
Permalink
"Dmitry" <***@x-privat.org> ha scritto nel messaggio news:***@D536532.user.x-privat.org...
per questo la usano in pochi? :)
Post by Dmitry
"v=spf1 +mx ~all"
giusto per lasciare il dubbio .. e dare il SOFTFAIL, ok?
SOFTFAIL significa che la mail non proviene da un server autorizzato ma non
deve essere rigettata: deve solo essere sottoposta a ulteriori accurati
controlli (data in pasto ad un filtro antispam, ad esempio).

Noi configuriamo per i nomi a dominio ~all, visto che ai clienti
comunichiamo che possono usare indistintamente il nostro server smtp
piuttosto che quello del loro provider di connessione. Dare -all creerebbe
troppi casini, almeno per ora.
Se poi, un giorno, SPF verrà adottato da tutti, si spera, potrà avere senso
sensibilizzare il cliente ad usare sempre in ogni caso solo i server smtp
autorizzati nella sender policy del loro dominio.
Dmitry
2005-12-10 17:27:16 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Gianni
Post by Gianni
Post by Dmitry
giusto per lasciare il dubbio .. e dare il SOFTFAIL, ok?
SOFTFAIL significa che la mail non proviene da un server
autorizzato ma non deve essere rigettata: deve solo essere
sottoposta a ulteriori accurati controlli (data in pasto ad
un filtro antispam, ad esempio).
direi, corretto quindi.
Post by Gianni
Noi configuriamo per i nomi a dominio ~all, visto che ai
clienti comunichiamo che possono usare indistintamente il
nostro server smtp piuttosto che quello del loro provider
di connessione. Dare -all creerebbe troppi casini, almeno
per ora.
mhm, è quello che pensavo anche io.
Post by Gianni
Se poi, un giorno, SPF verrà adottato da tutti, si
spera, potrà avere senso sensibilizzare il cliente ad usare
sempre in ogni caso solo i server smtp autorizzati nella
sender policy del loro dominio.
basterebbe, almeno in Italia, che lo adottassero tutti i grossi
e medi ISP ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Gianni
2005-12-10 18:02:42 UTC
Permalink
Post by Dmitry
basterebbe, almeno in Italia, che lo adottassero tutti i grossi
e medi ISP ..
...e tutti i fornitori di caselle di posta gratuiti.

Basterebbe che, di comune accordo, altrimenti non serve a nulla,
pubblicassero una tabella di marcia del tipo:
1) dalla data .... reject dei messaggi con stato SPF FAIL.
2) dalla data ...., in aggiunta a 1, reject anche dei messaggi con stato SPF
SOFTFAIL.
3 dalla data ....., reject di tutti i messaggi ad esclusione di quelli con
stato SPF PASS (il che implica rifiutare anche la posta da domini senza spf
record configurato..

A questo punto tutti si adeguano, e si riduce il pishing e tanta posta
generata da virus.

Solo che non si capisce nemmeno quale standarda prevarrà, c'è anche domain
key ed altro, che si mettano d'accordo.
furio ercolessi
2005-12-10 21:38:50 UTC
Permalink
Post by Gianni
Solo che non si capisce nemmeno quale standarda prevarrà, c'è anche domain
key ed altro, che si mettano d'accordo.
Il "mettersi d'accordo" richiede della sperimentazione sul campo,
sperimentazione che e' in corso da tempo coi vari standard e con
la partecipazione di grossi ISP (ad esempio AOL, Yahoo, Earthlink).

"Mettersi d'accordo" anzitempo senza un riscontro sperimentale
sarebbe un errore, l'email e' un sistema complesso e variazioni
architetturali non si possono mettere in piedi da un giorno
all'altro. L'enfasi sul path di trasmissione che caratterizza SPF, e che
all'inizio ha attratto tutti su basi teoriche in quanto attuabile a
livello di protocollo (quindi senza dover accettare la mail), ha
dimostrato sul campo di costituire un grosso handicap.

Il whitepaper di MAAWG dell'8 luglio
[ http://www.maawg.org/about/whitepapers/spf_sendID ] fa un po' il
punto della situazione come appariva l'estate scorsa. La situazione
e' in evoluzione, e un consenso generalizzato verso una soluzione non e'
probabilmente da aspettarsi entro tempi brevi.

furio
Gianni
2005-12-10 23:36:51 UTC
Permalink
Post by furio ercolessi
Il whitepaper di MAAWG dell'8 luglio
[ http://www.maawg.org/about/whitepapers/spf_sendID ] fa un po' il
punto della situazione come appariva l'estate scorsa. La situazione
e' in evoluzione, e un consenso generalizzato verso una soluzione non e'
probabilmente da aspettarsi entro tempi brevi.
Non posso che essere d'accordo con te.
Certamente non si può passare a spf o altri metodi da un giorno all'altro,
soprattutto in realtà complesse come nei grandi ISP, ci vorrà il tempo che
ci vuole.
Non posso comunque che chiedermi quanto del tempo trascorso sia stato (è)
realmente destinato alla sperimentazione piuttosto che essere un
temporeggiare dettato da ragioni di tipo commerciale.

Ottimo documento di sintesi, grazie, mi ci sono ritrovato.
Come nella necessità di creare dei TXT record per spf associati al fqdn
passato dai mail server nel comando HELO e i problemi con forwarder e
mailing list utilizzando -all. I forwarder hanno sicuramente problemi
con -all sui miei server, le mailing list invece sono ok, visto che
l'exploder cambia il return path, utilizzato poi nel MAIL FROM:,
nell'indirizzo del list owner al posto di quello del poster originario.
Giovanni Bechis
2005-12-12 13:58:32 UTC
Permalink
Gianni <***@comi.it> wrote:
[...]
Post by Gianni
I forwarder hanno sicuramente problemi
con -all sui miei server, le mailing list invece sono ok, visto che
l'exploder cambia il return path, utilizzato poi nel MAIL FROM:,
nell'indirizzo del list owner al posto di quello del poster originario.
Per risolvere i problemi con i forwarder puoi utilizzare srs
(http://www.openspf.org/srs.html)
Ciriciao
Gio'
--
/*
* Solutions for New Business - http://www.snb.it
*/
CtRiX
2005-12-13 08:58:55 UTC
Permalink
Post by furio ercolessi
Il "mettersi d'accordo" richiede della sperimentazione sul campo,
sperimentazione che e' in corso da tempo coi vari standard e con
la partecipazione di grossi ISP (ad esempio AOL, Yahoo, Earthlink).
Su questo non ci piove.
Post by furio ercolessi
"Mettersi d'accordo" anzitempo senza un riscontro sperimentale
sarebbe un errore, l'email e' un sistema complesso e variazioni
architetturali non si possono mettere in piedi da un giorno
all'altro. L'enfasi sul path di trasmissione che caratterizza SPF, e che
all'inizio ha attratto tutti su basi teoriche in quanto attuabile a
livello di protocollo (quindi senza dover accettare la mail), ha
dimostrato sul campo di costituire un grosso handicap.
Io ho visto un grosso relax da parte di grossi isp, alcuni esclusi, che se
ne sono ampiamente sbattuti anche dei tests.

Il problema è che ora la posta su internet è una grandissima anarchia.
Metodi come spf o dkim prevedono una partecipazione di specifici server
smtp che firmino o verifichino un messaggio.
Questa partecipazione di specifici server sottintende che gli utenti li
utilizzino e soprattutto lo capiscano.
Non credo che nessun provider grosso, che lavora di più sul blocco degli
abusi dopo segnalazioni (e nel caso di alcuni, nemmeno questo) se la senta
di insegnare, far migrare e poi forzare gli utenti a applicare certe
metodologie.

Allo stato attuale, per far funzionare spf o dkim, bisognerebbe che NON i
fornitori di connettività (mi collego con Infostrada, uso gli sMTP di
infostrada; ho una linea NGI, uso i loro smtp), ma i mantainer o comunque
chi gestisce i domini, forniscano un servizio di submission dietro
presentazione di credenziali di autenticazione e aggiornino i DNS.
(ovviamente non sarebbe "aggratisse").

Ora, supponendo che alcuni ISP lo facciano, ma altri non lo facciano,
implica che il sistema non funzionerà mai efficacemente. Anche l'utilizzo
del softfail in spf, ad esempio, previsto proprio per ovviare a queste
problematiche, è una grande cosa per i tests, ma inutile quando e se il
sistema prenderà piede. Ma fino a quando molti grossi isp non bloccheranno
i messaggi non firmati o più in generale, riconosciuti come validi, nulla
si sbloccherà, imho.

Potrà mai un server smtp scartare messaggi non conformi a spf? potrà mai
scartare messaggi non firmati con dkim ? Non credo proprio che potrà
accadere.
Il problema è il raggiungimento di una certa massa critica che obblighi chi
non lo fa ad adattarsi. La massa critica imho si può raggiungere
esclusivamente a scapito degli utenti e generando disservizi. Quindi,
sempre secondo me, questi sistemi applicati alla attuale struttura sono
utopistici. Vedo la difficoltà simile alla migrazione a ipv6...

Max

P.S.: non vedo differenze tra spf e dkim sul piano della diffusione di
massa: le problematiche sono le stesse.
Dmitry
2005-12-13 10:44:04 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando CtRiX
Post by CtRiX
P.S.: non vedo differenze tra spf e dkim sul piano della
diffusione di massa: le problematiche sono le stesse.
bisognerebbe avere qualche dato in proposito. nessuno ha
verificato quanti e chi usa, ad esempio SPF ? Se però lo usa
HotMail che certo non è un piccolo ISP, credo che qualche
opportunità vi sia ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
CtRiX
2005-12-13 11:02:54 UTC
Permalink
Post by Dmitry
bisognerebbe avere qualche dato in proposito. nessuno ha
verificato quanti e chi usa, ad esempio SPF ? Se però lo usa
HotMail che certo non è un piccolo ISP, credo che qualche
opportunità vi sia ..
Hotmail : softfail.
Zero funzionalità

Max
lorenzodes
2005-12-13 13:12:31 UTC
Permalink
Post by CtRiX
Hotmail : softfail.
Zero funzionalità
Max
Può essere usato nell'ambito di uno scoring system. Per esempio: Zero
punti per pass, xx per softfail e reject per fail.
CtRiX
2005-12-13 13:36:34 UTC
Permalink
Post by lorenzodes
Post by CtRiX
Hotmail : softfail.
Zero funzionalità
Può essere usato nell'ambito di uno scoring system. Per esempio: Zero
punti per pass, xx per softfail e reject per fail.
Teoricamente si.
Praticamente per me non ha senso.
Personamente come pratica, marco lo spam nel subject.
Il mio interesse non è marcarlo "ancora di più", poichè il "marcamento"
funziona bene...

Il mio scopo è bloccarlo, rifiutarlo proprio.
SPF (e dkim) nascono con lo scopo di riconoscere le mail non lecite con
precisione. Se ci lasciamo dietro dei "forse non è lecita" il sistema non
regge.

A prescindere che hotmail è proprio il dominio che attualmente mi sta dando
più fastidi, l'utilità è proprio quella di bloccare la mail, non farla
passare per aumentare lo scoring (imho eh)

Max
lorenzodes
2005-12-13 13:57:16 UTC
Permalink
Post by CtRiX
Il mio scopo è bloccarlo, rifiutarlo proprio.
SPF (e dkim) nascono con lo scopo di riconoscere le mail non lecite con
precisione. Se ci lasciamo dietro dei "forse non è lecita" il sistema non
regge.
A prescindere che hotmail è proprio il dominio che attualmente mi sta dando
più fastidi, l'utilità è proprio quella di bloccare la mail, non farla
passare per aumentare lo scoring (imho eh)
Ci sono tante opzioni, per il fail potresti usare un reject secco e per
il softfail un greylisting.
Dmitry
2005-12-13 16:56:51 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
Ci sono tante opzioni, per il fail potresti usare un reject
secco e per il softfail un greylisting.
con il graylisting si ha un ritardo per le e-mail e non è
bello..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
lorenzodes
2005-12-13 17:17:56 UTC
Permalink
Post by Dmitry
con il graylisting si ha un ritardo per le e-mail e non è
bello..
Non dico con tutte, solo con quelle la cui verifica spf dà softfail. Le
mail buone passano subito.

Una verifica spf che dà come esito softfail è potenzialmente spazzatura
ed il delay ha come scopo solo quello di concedere il beneficio del
dubbio: al secondo o terzo tentativo la fai passare, ma probabilmente se
è stato usato un programma di mass-mailing per spam, questo si ferma al
primo tentativo... almeno si spera :)
Dmitry
2005-12-13 18:30:29 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
Post by Dmitry
con il graylisting si ha un ritardo per le e-mail e non è
bello..
Non dico con tutte, solo con quelle la cui verifica spf dà
softfail. Le mail buone passano subito.
beh, così è decisamente più ragionevole :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 16:56:05 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando CtRiX
Post by CtRiX
precisione. Se ci lasciamo dietro dei "forse non è lecita"
il sistema non regge.
non sono d'accordo. Il primo segnale può essere una condizione
AND ad altre proprie.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 16:55:14 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando CtRiX mi
Post by CtRiX
Hotmail : softfail.
Zero funzionalità
mica vero, è già un segnale. Del resto mettere -all è
oggettivamente troppo rischioso.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-10 22:29:51 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Gianni
Post by Gianni
Post by Dmitry
basterebbe, almeno in Italia, che lo adottassero tutti i
grossi e medi ISP ..
...e tutti i fornitori di caselle di posta gratuiti.
non ho capito se era una battuta ironica :) ad ogni modo io lo
ho adotato da oggi, con una regola per ora, tenue ..
Post by Gianni
Basterebbe che, di comune accordo, altrimenti non serve a
1) dalla data .... reject dei messaggi con stato SPF FAIL.
2) dalla data ...., in aggiunta a 1, reject anche dei
messaggi con stato SPF SOFTFAIL.
3 dalla data ....., reject di tutti i messaggi ad
esclusione di quelli con stato SPF PASS (il che implica
rifiutare anche la posta da domini senza spf record
configurato..
A questo punto tutti si adeguano, e si riduce il pishing e
tanta posta generata da virus.
concordo.
Post by Gianni
Solo che non si capisce nemmeno quale standarda prevarrà,
c'è anche domain key ed altro, che si mettano d'accordo.
agire sul dns mi sembra di per se una scelta semplice e veloce.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Marco d'Itri
2005-12-11 01:47:41 UTC
Permalink
Post by Gianni
Se poi, un giorno, SPF verrà adottato da tutti, si spera, potrà avere senso
Qui in generale non lo si spera, e per fortuna è altamente improbabile
che accada.
--
ciao, |
Marco | The Italian Usenet Cabal, Abuse Department (TINC)
"It's about damn time that all of us who actually give a damn about Usenet
stand up and tell the people who don't to fuck off and die." -- Russ Allbery
Dmitry
2005-12-11 06:46:44 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Marco
Post by Marco d'Itri
Post by Gianni
Se poi, un giorno, SPF verrà adottato da tutti, si spera,
potrà avere senso
Qui in generale non lo si spera, e per fortuna è altamente
improbabile che accada.
perchè pensi così? Quali controindicazioni trovi in SPF?
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Gianni
2005-12-11 13:00:10 UTC
Permalink
Post by Marco d'Itri
Post by Gianni
Se poi, un giorno, SPF verrà adottato da tutti, si spera, potrà avere senso
Qui in generale non lo si spera, e per fortuna è altamente improbabile
che accada.
L'SMTP come è stato concepito poteva andare bene sulle reti accademiche dove
si è sempre prediletto la semplicità d'uso e l'efficienza a discapito della
sicurezza.
Bisognerebbe eliminare i pisher e gli spammer, a questo punto si potrebbe
tornare fare pure a meno dei filtri antispam che sono un'altra gran fonte
di casino, perdita di tempo e soldi. Ma questo, si sa, è un'impresa
impossibile.
Io sono per il prevenire piuttosto che curare quindi favorevole a questi
meccanismi. E' sacrosanto diritto di ogni organizzazione che usa la posta su
internet poter stabilire quali server sono autorizzati ad inviare posta
leggittima originata da loro e prevenire abusi da parte di terzi.
Dmitry
2005-12-11 13:07:46 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Gianni
Post by Gianni
Io sono per il prevenire piuttosto che curare quindi
favorevole a questi meccanismi. E' sacrosanto diritto di
ogni organizzazione che usa la posta su internet poter
stabilire quali server sono autorizzati ad inviare posta
leggittima originata da loro e prevenire abusi da parte di
terzi.
agree 100 %. direzione giusta, imho.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Marco d'Itri
2005-12-11 13:59:30 UTC
Permalink
Post by Gianni
L'SMTP come è stato concepito poteva andare bene sulle reti accademiche dove
Lungo discorso che non c'entra una cippa con i problemi di SPF.
Guarda DKIM piuttosto.
--
ciao, |
Marco | The Italian Usenet Cabal, Abuse Department (TINC)
"It's about damn time that all of us who actually give a damn about Usenet
stand up and tell the people who don't to fuck off and die." -- Russ Allbery
Gianni
2005-12-11 14:41:29 UTC
Permalink
Post by Marco d'Itri
Post by Gianni
L'SMTP come è stato concepito poteva andare bene sulle reti accademiche dove
Lungo discorso che non c'entra una cippa con i problemi di SPF.
Guarda DKIM piuttosto.
Perchè non c'entra nulla? Il problema è proprio l'SMTP che permette di
passare HELO "quello che vuoi" e MAIL FROM: "quello che vuoi", SPF fornisce
un metodo molto semplice, senza ricorrere alla crittografia e manipolare
header e body, quindi più trasparente, per verificare che il messaggio
proviene da un MTA autorizzato a originare posta per un dato dominio.

DKIM o Domain Keys danno molti più problemi di SPF. Se non riescono ad
implementare nemmeno SPF dubito molto che risciranno mai a introdurre DKIM.
furio ercolessi
2005-12-11 16:01:35 UTC
Permalink
Post by Gianni
DKIM o Domain Keys danno molti più problemi di SPF. Se non riescono ad
implementare nemmeno SPF dubito molto che risciranno mai a introdurre DKIM.
SPF da' molti piu' problemi di DKIM (essenzialmente perche' "le vie
di trasporto mail usate dagli utenti sono infinite", e SPF e' legato
al trasporto mentre DKIM no). DKIM da' molti meno problemi in userlandia
-- questo e' quanto dicono coloro che di utenti ne hanno a milionate.

furio
Gianni
2005-12-11 16:45:46 UTC
Permalink
Post by furio ercolessi
Post by Gianni
DKIM o Domain Keys danno molti più problemi di SPF. Se non riescono ad
implementare nemmeno SPF dubito molto che risciranno mai a introdurre DKIM.
SPF da' molti piu' problemi di DKIM (essenzialmente perche' "le vie
di trasporto mail usate dagli utenti sono infinite", e SPF e' legato
al trasporto mentre DKIM no). DKIM da' molti meno problemi in userlandia
-- questo e' quanto dicono coloro che di utenti ne hanno a milionate.
SPF è path based, su questo non si discute con tutti i pregi e difetti che
questo comporta.
Personalmente trovo più complicato "imporre" DKIM piuttosto che SPF.
Ti faccio subito un esempio:
Un cliente, che ha una linea dedicata/adsl con ip fisso o un netblock
assegnato, mi chiede di poter operare con il suo server smtp interno per la
posta in uscita in modo autonomo.
Implementazione di SPF per far funzionare la posta originata da lui:
- aggiunta sul DNS nella stringa spf del cliente di
"IP4:xxx.xxx.xxx.xxx/xx". Il cliente è già in marcia per inviare mail.

Implementazione di DKIM:
- Chiamare il cliente per chiedergli che software usa come MTA
- Il cliente ha un software proprietario che non supporta plugin DKIM per
firmare digitalmente la posta in uscita----------------->DEAD END
- Convinci il cliente a cambiare software (comunque è incazzato), gli
installi DKIM.
- generi le chiavi pubbliche/private
- installi la chiave privata da lui
- pubblichi la chiave pubblica sul DNS.

Per non parlare dei problemi successivi di manutenzione, perdita della
chiave privata, hackeraggio/furto: gli rubano la chiave privata e chiunque
da qualunque posto puo mandare fuori posta per conto suo, ecc.

DKIM ti obbliga ad installare il supporto già solo per i server SMTP che
generano posta in uscita od usare uno smart host (path based anche qua?) ad
un server con DKIM installato.

In questo scenario. Quale dei due metodi è il migliore? Path based o message
based?
Dmitry
2005-12-11 17:14:25 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Gianni
Post by Gianni
In questo scenario. Quale dei due metodi è il migliore?
Path based o message based?
indubbiamente SPF, imho ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Skull
2005-12-11 20:10:17 UTC
Permalink
Post by Gianni
In questo scenario. Quale dei due metodi è il migliore? Path based o message
based?
Se parliamo di "complicazione", è indubbio che SPF sia più lineare.
E probabilmente, per lo stesso motivo, è destinato a rimanere lettera
morta o quasi.

Il problema è che il sistema SMTP attuale (e con esso l'uso che ne viene
fatto dagli utenti) *non è* "path sensitive", nè lo è mai stato... :-\

Non si riesce a convincere la gente che è una idea del ca##° usare un
SMTP che gira sul proprio portatile e che fa direct-to-mx, figuriamoci
mandare in testa all'utenza che le mail con mittente con ***@libero.it
va spedita con i server di Libero e che quelle con mittente
***@tiscali.it vanno spedite con quelli di Tiscali...

Tanto, funziona lo stesso, e se la mail non passa è l'ISP del
destinatario che è cattivo :-\

Si arriva quindi alla situazione in cui usare il record SPF per il
blocco è impensabile, e usarlo per i meccanismi di scoring è inutile,
poichè incide in ugual maniera sia in positivo che in negativo.

Dove porta, 'sta strada? Probabilmente, da nessuna parte...

Una cosa come SPF sarebbe stata una gran pensata se fosse stata
implmentata quando l'utenza era ancora quell'embrione skillato.
Implementarlo ora è probabilmente infattibile (e l'esperienza dei grossi
ISP che ne hanno studiato l'applicabilità va in questa direzione).

Qualunque sia la soluzione atta a implementare un meccanismo di
validazione del mittente, non dovrà presumibilmente appoggiarsi sulla
consapevolezza dell'utente. SPF lo fa.
lorenzodes
2005-12-11 20:26:37 UTC
Permalink
Post by Skull
Non si riesce a convincere la gente che è una idea del ca##° usare un
SMTP che gira sul proprio portatile e che fa direct-to-mx, figuriamoci
va spedita con i server di Libero e che quelle con mittente
Tanto, funziona lo stesso, e se la mail non passa è l'ISP del
destinatario che è cattivo :-\
Se lo fanno tutti, alla fine gli utenti si adattano. Francamente educare
gli utenti dovrebbe essere uno degli obiettivi da raggiungere.

L'altro giorno parlavo con il figlio di un mio amico che, candidamente,
mi ha detto di formattare il PC una volta ogni 2 o 3 mesi per liberarlo
dai virus. Gli ho suggerito di installare avast e sygate (si trova
ancora in giro), ma lui, sempre candidamente, ha ribattuto che
riformattare (e reinstallare WindowsXP rigorosamente pre-service pack 2,
perché quest'ultimo penalizza col software P2P) gli costa poco e che
firewall e antivirus gli "levano un bel po' di fps" nei giochi online...
Come fai a spiegare ad una persona del genere che ha responsabilità
anche nei confronti dei terzi?

Tu stesso mi avevi parlato dell'importanza di chiudere la porta 25 a
livello di router di confine dei singoli provider. Il concetto non è
forse il medesimo? Anzi, SPF sarebbe probabilmente meno traumatico.
Dmitry
2005-12-11 20:29:34 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
Tu stesso mi avevi parlato dell'importanza di chiudere la
porta 25 a livello di router di confine dei singoli
provider. Il concetto non è forse il medesimo? Anzi, SPF
sarebbe probabilmente meno traumatico.
agree
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Skull
2005-12-11 20:43:47 UTC
Permalink
Post by lorenzodes
Se lo fanno tutti, alla fine gli utenti si adattano. Francamente educare
gli utenti dovrebbe essere uno degli obiettivi da raggiungere.
Sfondi una porta aperta, per citare chi mi cita... :-D

Il problema è che l'unico modo di forzare gli utenti a rispettare delle
regole è tramite il disservizio, e c'è un limite al livello di
disservizio che si può "erogare". :-D

Quello che bisogna stabilire, quindi, è quale meccanismo tra quelli
ipotizzati fornisce i maggiori vantaggi, a fronte dei minori disagi.

Quello che pare emergere da questa prima fase di sperimentazione è che
SPF fornisce pochi vantaggi rispetto agli svantaggi che si porta dietro.


Può essere che gli altri prospettino rapporti costi/benefici anche meno
vantaggiosi, e che quindi SPF torni fuori e prenda il sopravvento. Per
il momento, però, non è così... :-\
OneNET Trieste
2005-12-12 09:41:20 UTC
Permalink
Post by lorenzodes
Post by Skull
Non si riesce a convincere la gente che è una idea del ca##° usare un
SMTP che gira sul proprio portatile e che fa direct-to-mx, figuriamoci
va spedita con i server di Libero e che quelle con mittente
Tanto, funziona lo stesso, e se la mail non passa è l'ISP del
destinatario che è cattivo :-\
Se lo fanno tutti, alla fine gli utenti si adattano. Francamente educare
gli utenti dovrebbe essere uno degli obiettivi da raggiungere.
L'altro giorno parlavo con il figlio di un mio amico che, candidamente,
mi ha detto di formattare il PC una volta ogni 2 o 3 mesi per liberarlo
dai virus. Gli ho suggerito di installare avast e sygate (si trova
ancora in giro), ma lui, sempre candidamente, ha ribattuto che
riformattare (e reinstallare WindowsXP rigorosamente pre-service pack 2,
perché quest'ultimo penalizza col software P2P) gli costa poco e che
firewall e antivirus gli "levano un bel po' di fps" nei giochi online...
Come fai a spiegare ad una persona del genere che ha responsabilità
anche nei confronti dei terzi?
Vedrai che quando gli segheranno l'adsl (che immagino non paghi lui, ma
il padre) in casa gli faranno capire con metodi "casalinghi" che deve
stare più attento ;)
Comunque secondo me dovresti parlare col "capo famiglia" e spiegargli
queste belle cosette...
Post by lorenzodes
Tu stesso mi avevi parlato dell'importanza di chiudere la porta 25 a
livello di router di confine dei singoli provider. Il concetto non è
forse il medesimo? Anzi, SPF sarebbe probabilmente meno traumatico.
Meno traumatico? Se una persona vuol installarsi il suo server di posta,
vuol dire che è un pelino più su dell'utonto medio e quindi dovrebbe
sapere che se poi non gli funziona (causa blacklist o blocchi della
porta) non si deve lamentare.

Gabriele
Skull
2005-12-12 09:59:48 UTC
Permalink
Post by OneNET Trieste
Meno traumatico? Se una persona vuol installarsi il suo server di posta,
vuol dire che è un pelino più su dell'utonto medio e quindi dovrebbe
sapere che se poi non gli funziona (causa blacklist o blocchi della
porta) non si deve lamentare.
Illuso... :-P
lorenzodes
2005-12-12 16:21:41 UTC
Permalink
Post by OneNET Trieste
Vedrai che quando gli segheranno l'adsl (che immagino non paghi lui, ma
il padre) in casa gli faranno capire con metodi "casalinghi" che deve
stare più attento ;)
Quali provider segano veramente per cose del genere? Comincio a farmi
l'idea che, pur di non perdere clienti, si turino il naso, tappino le
orecchie e mettano fette di salame sugli occhi.
Post by OneNET Trieste
Comunque secondo me dovresti parlare col "capo famiglia" e spiegargli
queste belle cosette...
Il capo famiglia di informatica non capisce nulla, ma è orgoglioso
all'ennesima potenza del figlio, per lui genietto del computer. Ad un
mio tentativo di spiegare il problema, ha ribattuto, allargando le
braccia e sospirando, "E' un ragazzo, si deve divertire, meglio col PC
che in strada a fare chi sa cosa".
Post by OneNET Trieste
Meno traumatico? Se una persona vuol installarsi il suo server di posta,
vuol dire che è un pelino più su dell'utonto medio e quindi dovrebbe
sapere che se poi non gli funziona (causa blacklist o blocchi della
porta) non si deve lamentare.
Uhm, che motivo avrebbe qualcuno a metter su un server SMTP con un
abbonamento che non prevede ip statico, se si esclude il caso di relay
sul smtp del proprio ISP?
Skull
2005-12-12 17:00:09 UTC
Permalink
Post by lorenzodes
Uhm, che motivo avrebbe qualcuno a metter su un server SMTP con un
abbonamento che non prevede ip statico, se si esclude il caso di relay
sul smtp del proprio ISP?
Scherzi? Avere per MX un record su DynDNS *è fighissimo*!
E i server degli ISP son tutti amministrati di me*#@...
lorenzodes
2005-12-12 20:44:41 UTC
Permalink
Post by Skull
Scherzi? Avere per MX un record su DynDNS *è fighissimo*!
Be', per fini didattici o di auto-apprendimento non ci vedo nulla di
male, a condizione che non si abbia la pretesa che funzioni come un
servizio di posta vero.

FW prevede la possibilità di inoltro della posta in arrivo ad un
indirizzo anche sotto forma di nome@[ip address] e gli ip interni di FW
sono in pratica fissi. Tutta la mia posta in arrivo viene inoltrata in
questo modo ad uno dei miei PC con postfix, spamassassin, clamav e
amavis e devo dire che ancora non è passato neppure un messaggio di spam
o con virus. Postfix, ovviamente, non è openrelay ed ogni accesso è
comunque monitorato (in ogni caso da firewall si può solo collegare a
determinati server smtp).

La posta in uscita passa sempre attraverso gli stessi programmi
(spamassassin escluso) e viene poi forwardata al server
smtp.fastwebnet.it che si occupa di farlo pervenire alla destinazione
finale.

Io spero che questo non mi assimili alla categoria da te descritta. In
realtà quello che mi premeva era bloccare lo spam e i virus in arrivo da
una parte (l'armamentario sopra descritto fa meglio di quanto riescano a
fare i filtri del mio provider) ed evitare che i miei PC domestici
possano essere usati per mandare spam o spediscano porcherie via mail
(uno dei PC è una macchina Windows). Ammetto anche di essermi divertito
a metterlo su, ma non ho certo la presunzione di poter fare a meno di un
ISP.

Se un giorno FW eliminasse la possibilità di forward con le modalità
sopra descritte... pazienza, ne farò a meno.

p.s. ho fatto metter su submission sul server smtp dell'isp lavorativo,
come da vostro suggerimento :)
Skull
2005-12-12 21:03:31 UTC
Permalink
Post by lorenzodes
Be', per fini didattici o di auto-apprendimento non ci vedo nulla di
male, a condizione che non si abbia la pretesa che funzioni come un
servizio di posta vero.
E' la condizione, il problema... :-\
Post by lorenzodes
Io spero che questo non mi assimili alla categoria da te descritta.
Non vedo perchè. Ognuno è liberissimo di avere un SMTP in casa. Ci sono
"solo" delle regole da rispettare. Se si è disposti a stare alle regole,
che si faccia quello che pare...
Post by lorenzodes
p.s. ho fatto metter su submission sul server smtp dell'isp lavorativo,
come da vostro suggerimento :)
Dell'ISP direttamente? Pensavo fosse il server aziendale.
In ogni caso, di solito si tratta di decommentare una riga... ;-)
lorenzodes
2005-12-12 21:37:07 UTC
Permalink
Post by Skull
E' la condizione, il problema... :-\
Be', l'utente che protesta perché il suo IP dinamico è in una qualche
blacklist ha forse la ragione dalla sua? Analogamente, se gli ISP
pubblicassero i record SPF e tutti li usassero per filtrare o,
quantomeno, nell'ambito di uno scoring system, l'utente potrebbe solo
adattarsi.
Post by Skull
Non vedo perchè. Ognuno è liberissimo di avere un SMTP in casa. Ci sono
"solo" delle regole da rispettare. Se si è disposti a stare alle regole,
che si faccia quello che pare...
Le regole, mi pare di poter dire, sono quelle dettate dalla sicurezza
propria e dei terzi che potrebbero essere danneggiati da comportamenti
irresponsabili. Ciò imho vale per chi mette su un server smtp
completamente aperto ma anche per chi si collega ad Internet in banda
larga senza le precauzioni del caso.
Post by Skull
Dell'ISP direttamente? Pensavo fosse il server aziendale.
No, abbiamo un serverino Linux (che ricalca più o meno quanto faccio a
livello domestico, anche se solo per la posta in uscita, proprio perché
voglio un sistema centralizzato e controllato di sicurezza a cui le
segretarie non possano accedere... ho avuto brutte esperienze, una di
loro eseguì un file chiamato "supertettone.exe", ricevuto per e-mail),
ma poi fa relay sul server SMTP di chi ci cura la posta elettronica che
è un esterno. In altre parole ogni workstation ha il suo antivirus
(Norton o Mcafee), ma la posta in uscita passa comunque attraverso
amavis e clamav.
Post by Skull
In ogni caso, di solito si tratta di decommentare una riga... ;-)
Su Postfix è così, ma loro credo che usino Windows come piattaforma di
elezione.

A proposito: chi mantiene il nostro server di posta elettronica ci ha
avvertiti che Outlook Express non supporta submission con TLS... a noi
la cosa non tange, ma in effetti se si considera che OE è uno dei client
più diffusi, si tratta di una bella limitazione :/
Roberto Tagliaferri
2005-12-13 07:18:20 UTC
Permalink
Post by lorenzodes
No, abbiamo un serverino Linux (che ricalca più o meno quanto faccio a
livello domestico, anche se solo per la posta in uscita, proprio perché
voglio un sistema centralizzato e controllato di sicurezza a cui le
segretarie non possano accedere... ho avuto brutte esperienze, una di
loro eseguì un file chiamato "supertettone.exe", ricevuto per e-mail),
ma poi fa relay sul server SMTP di chi ci cura la posta elettronica che
è un esterno. In altre parole ogni workstation ha il suo antivirus
(Norton o Mcafee), ma la posta in uscita passa comunque attraverso
amavis e clamav.
era tettona.exe, è passato anche qui (ma non dalla segretaria ovviamente...)
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
- Lei scopa?
- Ci ho provato, come tutti, nel '68. Ma poi ne sono uscito.
-- Altan
lorenzodes
2005-12-13 07:26:43 UTC
Permalink
Post by Roberto Tagliaferri
era tettona.exe, è passato anche qui (ma non dalla segretaria
ovviamente...)
Grazie per la precisazione :)
Dmitry
2005-12-13 05:01:08 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
FW prevede la possibilità di inoltro della posta in arrivo
gli ip interni di FW sono in pratica fissi. Tutta la mia
posta in arrivo viene inoltrata in questo modo ad uno dei
miei PC con postfix, spamassassin, clamav e amavis e devo
dire che ancora non è passato neppure un messaggio di spam
o con virus.
beh dai, ora non esagerare. Finche mi dici che non ti è passato
manco un virus, posso crederti, ma neanche un messaggio di spam,
francamente mi sembra davvero difficile ..

Io ho caselle 'comprate' anche con TIN, LIBERO ed altri, e
qualcosina, poco, ma passa. Ovviamente anche con X-Privat.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
lorenzodes
2005-12-13 07:31:25 UTC
Permalink
Post by Dmitry
beh dai, ora non esagerare. Finche mi dici che non ti è passato
manco un virus, posso crederti, ma neanche un messaggio di spam,
francamente mi sembra davvero difficile ..
Io ho caselle 'comprate' anche con TIN, LIBERO ed altri, e
qualcosina, poco, ma passa. Ovviamente anche con X-Privat.
L'indirizzo e-mail è quello che vedi in chiaro qui:
***@fastwebnet.it. Non ce l'ho da molto, ad oggi ha ricevuto una
cinquantina di mail indesiderate fra spam e virus, tutte messe in
quarantena da amavis/clamav/spamassassin. Per ora posso dire di essere
stato fortunato.
Dmitry
2005-12-13 10:49:15 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
ricevuto una cinquantina di mail indesiderate fra spam e
virus, tutte messe in quarantena da
amavis/clamav/spamassassin. Per ora posso dire di essere
stato fortunato.
ma ricorda che la fortuna è cieca, e la sfiga ci vede bene :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
CtRiX
2005-12-12 17:03:41 UTC
Permalink
Post by lorenzodes
Uhm, che motivo avrebbe qualcuno a metter su un server SMTP con un
abbonamento che non prevede ip statico, se si esclude il caso di relay
sul smtp del proprio ISP?
I serveradmin *Wannabe* sono più di quanto potessi immaginare.
Per far capire ad un cretino che porca trottola se mi mandava email da un
IP dinamico di alice non potevo accettare la sua posta, ci ho messo, e non
scherzo, 2 settimane.

Max
Il Cat
2005-12-12 17:08:15 UTC
Permalink
Post by lorenzodes
Uhm, che motivo avrebbe qualcuno a metter su un server SMTP con un
abbonamento che non prevede ip statico, se si esclude il caso di relay
sul smtp del proprio ISP?
Portatile che si sposta tra varie reti con provider diversi, un smtp
locale è molto comodo.

Oppure smtp del provider poco affidabile, e si preferisce fare tutto "in
casa".

Almeno queste sono le motivazioni più frequenti. Ovviamente esistono
soluzioni migliori a questi problemi, ma non è così facile farlo capire
alla gente.

Ciao.
Skull
2005-12-12 17:25:25 UTC
Permalink
Post by Il Cat
Portatile che si sposta tra varie reti con provider diversi, un smtp
locale è molto comodo.
Oppure smtp del provider poco affidabile, e si preferisce fare tutto "in
casa".
Almeno queste sono le motivazioni più frequenti. Ovviamente esistono
soluzioni migliori a questi problemi, ma non è così facile farlo capire
alla gente.
Credo il problema stia a monte.
C'è stato un periodo, qualche anno fa, in cui internet doveva essere
gratis per tutti.

Far capire, ora, che si ha quel che si paga, è difficile...
Dmitry
2005-12-12 17:55:26 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Skull
Post by Skull
C'è stato un periodo, qualche anno fa, in cui internet
doveva essere gratis per tutti.
non mi ero accorto che siamo in una nuova era ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Skull
2005-12-12 20:58:55 UTC
Permalink
Post by Dmitry
Post by Skull
C'è stato un periodo, qualche anno fa, in cui internet
doveva essere gratis per tutti.
non mi ero accorto che siamo in una nuova era ..
Per esserci, ci siamo. Solo che ancora non tutti se ne sono accorti...
:-\
Dmitry
2005-12-13 05:03:34 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Skull
Post by Skull
Post by Dmitry
non mi ero accorto che siamo in una nuova era ..
Per esserci, ci siamo. Solo che ancora non tutti se ne sono
accorti... :-\
ad esempio, io no :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-12 17:54:56 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Almeno queste sono le motivazioni più frequenti. Ovviamente
esistono soluzioni migliori a questi problemi, ma non è
così facile farlo capire alla gente.
di utilizzare un SMTP libero che usa SMTP-AUTH no eh? :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Il Cat
2005-12-13 10:43:24 UTC
Permalink
Post by Dmitry
di utilizzare un SMTP libero che usa SMTP-AUTH no eh? :)
Se per libero intendi gratis, non ce ne sono molti di ben
funzionanti (ma qualcuno c'è, basta saper scegliere). E comunque
il problema resta farlo capire alla gente.
Dmitry
2005-12-13 10:52:00 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Post by Dmitry
di utilizzare un SMTP libero che usa SMTP-AUTH no eh? :)
Se per libero intendi gratis, non ce ne sono molti di ben
funzionanti (ma qualcuno c'è, basta saper scegliere). E
comunque il problema resta farlo capire alla gente.
si, vero. Non ce ne sono tanti, e per ovvie ragioni direi. Però
ci sono. Io trovo che cmq SMTP-AUTH dovrebbe essere adottato da
tutti gli ISP..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Roberto Tagliaferri
2005-12-13 11:00:11 UTC
Permalink
Post by Dmitry
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Post by Dmitry
di utilizzare un SMTP libero che usa SMTP-AUTH no eh? :)
Se per libero intendi gratis, non ce ne sono molti di ben
funzionanti (ma qualcuno c'è, basta saper scegliere). E
comunque il problema resta farlo capire alla gente.
si, vero. Non ce ne sono tanti, e per ovvie ragioni direi. Però
ci sono. Io trovo che cmq SMTP-AUTH dovrebbe essere adottato da
tutti gli ISP..
già... E come fanno gli "omini telecom" che configurano le adsl poi a
fare casino?
Gli togli il divertimento
--
Roberto Tagliaferri-Linux user #30785 <-> r.tagliaferri@(forse)tosnet.it
Dio non fa errori. E' per questo che e' diventato Dio.
-- Archie Bunker
Gianni
2005-12-13 12:08:23 UTC
Permalink
si, vero. Non ce ne sono tanti, e per ovvie ragioni direi. Però ci sono.
Io trovo che cmq SMTP-AUTH dovrebbe essere adottato da tutti gli ISP..
già... E come fanno gli "omini telecom" che configurano le adsl poi a fare
casino?
Gli togli il divertimento
In quella maniera, molti ISP ti vogliono obbligare ad usare la loro rete per
connetterti, soprattutto gli isp a servizio gratuito. A questo vanno
aggiunte ragioni storiche, legate ad SMTP, per cui a questo servizio si è
sempre permesso il relaying solo dalla rete interna del provider e negato al
resto del mondo, aggiungici anche che i vecchi client di posta non
prevedevano l'autenticazione sul server smtp per la posta in uscita...

Il servizio di posta, senza smtp per la posta in uscita, è un servizio
zoppo. Quante volte ho visto gente collegarsi via Wi-Fi e non riuscire a
mandare posta dalla loro casella proprio per i succitati motivi. Molta di
questa gente non riesce neppure a trovare una spiegazione al "diffetto"
quando gli capita e si arrende.. usa la webmail.... o non manda la mail.
Purtroppo è alquanto forviante, alla luce dei discorsi fatti in questo 3d,
insegnare ad un utente che per fare uscire la sua posta deve configurare
tutte le volte l'smtp a quello del provider a cui si è connesso, perchè
spacca spf, dkim et all.

Oggigiorno tutti questi problemi possono essere risolti, i provider di
hosting, volente nolente, si sono già posti questi problemi risolvendoli con
schemi di autenticazione che vanno dal semplice ma efficace "pop auth before
smtp" fino ad arrivare a smtp auth basato su sasl.

Non c'è quindi da meravigliarsi che imporre sistemi quali spf piuttosto che
dkim non possono che causare delle grosse grane, sia ai provider che agli
utenti finali, e quindi riluttanza ad applicarli.
Nicolas Eymerich
2005-12-13 16:44:29 UTC
Permalink
Post by Gianni
In quella maniera, molti ISP ti vogliono obbligare ad usare la loro rete per
connetterti, soprattutto gli isp a servizio gratuito.
Il discorso (valido più per i "vecchi" accessi dial-up che per ADSL)
è che in questo modo l'ISP ha già tutto in casa il necessario per
mettere in relazione una mail di spam non tanto con un account (lo
spammer ne può avere decine) ma con un numero di telefono.

A proposito di "roaming users" ... c'è qualche esperto di DNS che mi
può dire come (bind9) si possa creare un CNAME per un indirizzo che
NON appartiene alla propria zona?

Vorrei fare in modo che quando il portatile di un utente tenta di
risolvere un nome tipo smtp.libero.it, relay.fastwebnet.it etc. (se ci
si limita agli ISP italiani non sono molti) venga passato l'IP del smtp
corretto per quella rete ...
Il Cat
2005-12-13 16:57:10 UTC
Permalink
Post by Nicolas Eymerich
Vorrei fare in modo che quando il portatile di un utente tenta di
risolvere un nome tipo smtp.libero.it, relay.fastwebnet.it etc. (se ci
si limita agli ISP italiani non sono molti) venga passato l'IP del smtp
corretto per quella rete ...
Non è più semplice un DNAT con iptables verso l'smtp corretto? Nella
maggior parte dei casi non dovrebbe dare problemi.

Ciao.
Dmitry
2005-12-13 17:04:10 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Non è più semplice un DNAT con iptables verso l'smtp
corretto? Nella maggior parte dei casi non dovrebbe dare
problemi.
se non erro (devo ancora provare), puoi anche fare traffic
shaping vero? Ho in mente una cosina da fare giusto questa sera
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Il Cat
2005-12-13 17:24:14 UTC
Permalink
Post by Dmitry
se non erro (devo ancora provare), puoi anche fare traffic
shaping vero? Ho in mente una cosina da fare giusto questa sera
Con iptables+tc sì. Per qualche esempio vedi www.lartc.org, oppure ho trovato
questo
http://www.knowplace.org/pages/howtos/traffic_shaping_with_linux/examples.php
Non ho avuto il tempo di guardarlo con calma ma non mi pare contenga
bestialità.

Se non hai voglia di sbatterti su tc potresti trovarti più a tuo agio
con tcng http://tcng.sourceforge.net/

Ciao.
Dmitry
2005-12-13 18:32:15 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Post by Dmitry
se non erro (devo ancora provare), puoi anche fare traffic
shaping vero? Ho in mente una cosina da fare giusto
questa sera
Con iptables+tc sì. Per qualche esempio vedi www.lartc.org,
oppure ho trovato questo
http://www.knowplace.org/pages/howtos/traffic_shaping_with_l
inux/examples.php Non ho avuto il tempo di guardarlo con
calma ma non mi pare contenga bestialità.
ok
Post by Il Cat
Se non hai voglia di sbatterti su tc potresti trovarti più
a tuo agio con tcng http://tcng.sourceforge.net/
guardo anche questo, grazie :) C'è da dire che linux ha cmq una
flessibilità semplicemente impensabile rispetto a win, c'è poco
da dire ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Thorin Oakenshield
2005-12-13 18:11:18 UTC
Permalink
Post by Il Cat
Post by Dmitry
se non erro (devo ancora provare), puoi anche fare traffic
shaping vero? Ho in mente una cosina da fare giusto questa sera
Con iptables+tc sì. Per qualche esempio vedi www.lartc.org, oppure ho trovato
Carletto, prova la via del pescione, non te ne pentirai :-)
--
<Max Adamo, l'uomo dei cestini, su i.c.o.d.>
ci sono cmq benchmark che dimostrano come ad esempio MySQL sia
performante quanto Oracle, piu' di M$ SQL, piu' di DB2, piu' di Sybase.
Postgres...
Il Cat
2005-12-13 20:25:39 UTC
Permalink
Post by Thorin Oakenshield
Post by Il Cat
Con iptables+tc sì. Per qualche esempio vedi www.lartc.org, oppure ho trovato
Carletto, prova la via del pescione, non te ne pentirai :-)
Per il traffic shaping? Non serve, da questo punto di vista openbsd o
linux cambia davvero poco. L'unica cosa che davvero ancora manca a
netfilter è un analogo di pfsync, IFAIK ct_sync è ancora troppo
immaturo. Ma siamo terribilmente OT :-)

Ciao.
Dmitry
2005-12-13 20:40:11 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il Cat
Post by Il Cat
Per il traffic shaping? Non serve, da questo punto di vista
openbsd o linux cambia davvero poco. L'unica cosa che
davvero ancora manca a netfilter è un analogo di pfsync,
IFAIK ct_sync è ancora troppo immaturo. Ma siamo
terribilmente OT :-)
ho capito solo ora la battuta di Pier :) E' che lui ormai mi sa
che si è fissato con OpenBsd :) Cmq, andiamo con calma, che già
sono con fedora2 che già mi sta facendo incazzare :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 20:38:17 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Thorin
Post by Thorin Oakenshield
Con iptables+tc sì. Per qualche esempio vedi
www.lartc.org, oppure ho trovato
Carletto, prova la via del pescione, non te ne pentirai :-)
??
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 17:01:07 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by Nicolas Eymerich
Il discorso (valido più per i "vecchi" accessi dial-up che
per ADSL) è che in questo modo l'ISP ha già tutto in casa
il necessario per mettere in relazione una mail di spam non
tanto con un account (lo spammer ne può avere decine) ma
con un numero di telefono.
quando questi ha più account mail, semplicemente si disabilita
sul radius l'accesso, tramite caller-id. Punto.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 16:59:50 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Gianni
Post by Gianni
Oggigiorno tutti questi problemi possono essere risolti, i
provider di hosting, volente nolente, si sono già posti
questi problemi risolvendoli con schemi di autenticazione
che vanno dal semplice ma efficace "pop auth before smtp"
fino ad arrivare a smtp auth basato su sasl.
possono, eccome. Si tratta do volerle le cose. Io, da sempre
obbligo ad usare SMTP-AUTH, pur avendo la possibilità di
autenticare su rete Eutelia, con ip assegnati per Freenet e
verifica del caller-id. Si tratta di volerle le cose.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Dmitry
2005-12-13 16:57:29 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by Roberto Tagliaferri
Post by Dmitry
si, vero. Non ce ne sono tanti, e per ovvie ragioni direi.
Però ci sono. Io trovo che cmq SMTP-AUTH dovrebbe essere
adottato da tutti gli ISP..
già... E come fanno gli "omini telecom" che configurano le
adsl poi a fare casino?
Gli togli il divertimento
vero :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Gianni
2005-12-11 20:29:16 UTC
Permalink
Post by Skull
Post by Gianni
In questo scenario. Quale dei due metodi è il migliore? Path based o message
based?
Se parliamo di "complicazione", è indubbio che SPF sia più lineare.
E probabilmente, per lo stesso motivo, è destinato a rimanere lettera
morta o quasi.
Il problema è che il sistema SMTP attuale (e con esso l'uso che ne viene
fatto dagli utenti) *non è* "path sensitive", nè lo è mai stato... :-\
Non si riesce a convincere la gente che è una idea del ca##° usare un
SMTP che gira sul proprio portatile e che fa direct-to-mx, figuriamoci
va spedita con i server di Libero e che quelle con mittente
Tanto, funziona lo stesso, e se la mail non passa è l'ISP del
destinatario che è cattivo :-\
Si arriva quindi alla situazione in cui usare il record SPF per il
blocco è impensabile, e usarlo per i meccanismi di scoring è inutile,
poichè incide in ugual maniera sia in positivo che in negativo.
Dove porta, 'sta strada? Probabilmente, da nessuna parte...
Una cosa come SPF sarebbe stata una gran pensata se fosse stata
implmentata quando l'utenza era ancora quell'embrione skillato.
Implementarlo ora è probabilmente infattibile (e l'esperienza dei grossi
ISP che ne hanno studiato l'applicabilità va in questa direzione).
Qualunque sia la soluzione atta a implementare un meccanismo di
validazione del mittente, non dovrà presumibilmente appoggiarsi sulla
consapevolezza dell'utente. SPF lo fa.
Il tuo discorso non fa una grinza, sfondi una porta aperta.
Tutto questo discorso è stato originato dicendo: c'è SPF, Domain Keys ed
altro... si mettano d'accordo su cosa è meglio usare. Si scelga il minore
dei mali e poi ci si adegua.

Il fatto è che anche DKIM, volente nolente è path based, almeno all'origine.
Pensi forse che spedendo un messaggio da Tiscali con email ***@libero.it,
il server di Tiscali te lo firmi digitalmente con la chiave privata di
libero.it?
Siamo punto a capo, in ogni caso l'utente dovrà mandare il suo messaggio al
server di "partenza" giusto.

E poi DKIM è questa grande novità? Firmare digitalmente il messaggio con un
meccanismo di auto verifica lato MTA. Ok, solleva l'utente da qualche
controllo ma, in definitiva, non si ottiene lo stesso installando sul
proprio client un certificato digitale per la posta?
Io, anni fa, ho avuto dei problemi con qualcuno che mandava messaggi in giro
usando il mio indirizzo personale. Cosa sono stato costretto a fare? Ho
acquistato un certificato digitale da Verisign associato al mio email e
firmavo digitalmente tutta la posta che spedivo. Nella signature avevo
scritto: se la verifica fallisce o il messaggio da email non è firmato non è
il mio! E fine dei problemi di phishing.
Skull
2005-12-11 20:51:54 UTC
Permalink
Post by Gianni
Il tuo discorso non fa una grinza, sfondi una porta aperta.
Tutto questo discorso è stato originato dicendo: c'è SPF, Domain Keys ed
altro... si mettano d'accordo su cosa è meglio usare. Si scelga il minore
dei mali e poi ci si adegua.
E questa è la fase in cui ci si trova: si sta testando quello che c'è a
disposizione e si sta decidendo quale strada conviene seguire.

Non trovo nulla di strano che se ne discuta anche qui. Trovo più dubbio
il fatto che ci si stupisca che un record SPF lo pubblichino in (tutto
sommato) pochi.
Post by Gianni
Il fatto è che anche DKIM, volente nolente è path based, almeno all'origine.
il server di Tiscali te lo firmi digitalmente con la chiave privata di
libero.it?
Vero, ma siamo alla validazione dell'entry point, non del PATH. Sono in
linea di massima due cose diverse, poichè questo meccanismo,
diversamente dalla validazione del PATH, non "rompe" i meccanismi di
redirezione esistenti, cosa che SPF fa in maniera piuttosto plateale... :-\
Post by Gianni
E poi DKIM è questa grande novità? Firmare digitalmente il messaggio con un
meccanismo di auto verifica lato MTA. Ok, solleva l'utente da qualche
[...]
Post by Gianni
firmavo digitalmente tutta la posta che spedivo. Nella signature avevo
scritto: se la verifica fallisce o il messaggio da email non è firmato non è
il mio! E fine dei problemi di phishing.
E chi riceveva solo le mail "dell'altro", e quindi non leggeva la tua
signature? ;-)
Gianni
2005-12-11 20:55:00 UTC
Permalink
Post by Skull
E chi riceveva solo le mail "dell'altro", e quindi non leggeva la tua
signature? ;-)
Eh... già. DKIM, da questo punto divista, qualche servizio in più lo offre!
:-)
OneNET Trieste
2005-12-12 09:45:39 UTC
Permalink
Gianni wrote:
[snip]
Post by Gianni
E poi DKIM è questa grande novità? Firmare digitalmente il messaggio con un
meccanismo di auto verifica lato MTA. Ok, solleva l'utente da qualche
controllo ma, in definitiva, non si ottiene lo stesso installando sul
proprio client un certificato digitale per la posta?
Io, anni fa, ho avuto dei problemi con qualcuno che mandava messaggi in giro
usando il mio indirizzo personale. Cosa sono stato costretto a fare? Ho
acquistato un certificato digitale da Verisign associato al mio email e
firmavo digitalmente tutta la posta che spedivo. Nella signature avevo
scritto: se la verifica fallisce o il messaggio da email non è firmato non è
il mio! E fine dei problemi di phishing.
A tal proposito infatti io non capisco perché quel sistema è cosi poco
usato; anch'io anni fa avevo preso per provare un certificato ad uso personale.
In tanti anni, mi sono capitate solo due altre caselle protette con quel
metodo (una di un abuse desk, mi pare di i.net).

Boh, a volte si preferiscono le cose difficili, si vede che anche in
internet c'è qualcuno all'Ufficio Complicazioni Affari Semplici ;)

Gabriele
Nicolas Eymerich
2005-12-12 10:02:35 UTC
Permalink
Post by OneNET Trieste
Post by Gianni
acquistato un certificato digitale da Verisign associato al mio email e
A tal proposito infatti io non capisco perché quel sistema è cosi poco
usato;
La risposta è nel termine "acquistato" = soldi da sborsare che mal si
concilia con la filosofia del tutto, subito e gratis.

Sarebbe la soluzione definitiva (una spesa irrisoria per un uso
legittimo della posta ma un costo insostenibile per uno spammer) ma
anche qui ci si scontra con la necessità di imporre una accettazione
generalizzata.
OneNET Trieste
2005-12-12 09:33:37 UTC
Permalink
Post by Gianni
Post by Marco d'Itri
Post by Gianni
Se poi, un giorno, SPF verrà adottato da tutti, si spera, potrà avere senso
Qui in generale non lo si spera, e per fortuna è altamente improbabile
che accada.
L'SMTP come è stato concepito poteva andare bene sulle reti accademiche dove
si è sempre prediletto la semplicità d'uso e l'efficienza a discapito della
sicurezza.
Bisognerebbe eliminare i pisher e gli spammer, a questo punto si potrebbe
tornare fare pure a meno dei filtri antispam che sono un'altra gran fonte
di casino, perdita di tempo e soldi. Ma questo, si sa, è un'impresa
impossibile.
Io sono per il prevenire piuttosto che curare quindi favorevole a questi
meccanismi. E' sacrosanto diritto di ogni organizzazione che usa la posta su
internet poter stabilire quali server sono autorizzati ad inviare posta
leggittima originata da loro e prevenire abusi da parte di terzi.
Però vi sono dei problemi pratici e ti faccio un esempio di qualche
giorno fa: un albergo ha una pagina con un form, gestito dal mio server
di posta; l'account locale che riceve la prenotazione lo inoltra
automaticamente verso un'altra casella su un dominio che non gestisco
io. Tale dominio è su un ISP che ha adottato SPF. Risultato: la posta
non viene accettata, ma lo vedo solo io sui log di errore del server.
Quindi con l'altro ISP mi sono dovuto mettere d'accordo e lui ha escluso
il controllo se la posta arriva dal mio IP.

Capirai che è una po' una menata, considerando che di posta inoltrata ne
gira parecchia. Non so come facciano quei grossi siti tipo venere.com
che gestiscono prenotazioni di ogni genere conto terzi.
Sicuramente vi sono altri problema analoghi nell'uso di SPF. Non so
quanto valga la pena adottarlo.

Gabriele Polidori
CtRiX
2005-12-12 09:47:48 UTC
Permalink
Post by OneNET Trieste
Però vi sono dei problemi pratici e ti faccio un esempio di qualche
giorno fa: un albergo ha una pagina con un form, gestito dal mio server
di posta; l'account locale che riceve la prenotazione lo inoltra
automaticamente verso un'altra casella su un dominio che non gestisco
io. Tale dominio è su un ISP che ha adottato SPF. Risultato: la posta
non viene accettata, ma lo vedo solo io sui log di errore del server.
Quindi con l'altro ISP mi sono dovuto mettere d'accordo e lui ha escluso
il controllo se la posta arriva dal mio IP.
Se il form è generato da php, usi sendmail in pipe con il parametro -f che
forza il FROM nell'envelope al valore che specifichi.
Spf lavora con l'envelope e quindi risolvi il problema.
Altrimenti sempre in php lo fai lavorare in direct-to-mx forzandogli i
parametri e risolvi il problema (se ho capito come girano le cose)

Max
Gianni
2005-12-12 11:32:46 UTC
Permalink
Post by OneNET Trieste
Però vi sono dei problemi pratici e ti faccio un esempio di qualche
giorno fa: un albergo ha una pagina con un form, gestito dal mio server
di posta; l'account locale che riceve la prenotazione lo inoltra
automaticamente verso un'altra casella su un dominio che non gestisco
io. Tale dominio è su un ISP che ha adottato SPF. Risultato: la posta
non viene accettata, ma lo vedo solo io sui log di errore del server.
Quindi con l'altro ISP mi sono dovuto mettere d'accordo e lui ha escluso
il controllo se la posta arriva dal mio IP.
Capirai che è una po' una menata, considerando che di posta inoltrata ne
gira parecchia. Non so come facciano quei grossi siti tipo venere.com
che gestiscono prenotazioni di ogni genere conto terzi.
Sicuramente vi sono altri problema analoghi nell'uso di SPF. Non so
quanto valga la pena adottarlo.
Crea problemi di questo tipo, è vero. Ma sono tutte casistiche ben note che
hanno delle risoluzioni adottabili proprio basandosi sullo stesso meccanismo
SPF.
Esempio:
un sito, mettiamo proprio venere.com, accetta delle prenotazioni da form,
poi genera una mail con header From: contenente l'email di chi fa la
prenotazione e la invia alla casella dell'albergo che l'utente ha
selezionato.
L'ISP dell'albergatore adotta SPF e quindi su molti di questi email il suo
server mail storce il naso.

Spero che assomigli, come situazione, proprio a quella che hai riportato tu
sopra.

Se mandi una mail con questi header:
Return-Path: <***@suodominio.tld>
From: <***@suodominio.tld>
Subject: Prenotazione camera

....chiaramente, se suodominio.tld ha un SPF record pubblicato, il server
dell'albergatore puo rigettare la mail.

Ma se invece facciamo:
Return-Path: <***@venere.com>
Sender: <***@venere.com>
From: <***@suodominio.tld>

Subject: Prenotazione camera

questo funziona.


Prova a fare la stessa cosa con DKIM. L'invio di una mail del genere è
semplicemente irrealizzabile. Non potrai fare più di queste cose, cioè
mandare mail, seppur leggittima, per conto di un altro utente.
Nicolas Eymerich
2005-12-11 12:01:17 UTC
Permalink
Post by Dmitry
stavo guardando con un certo interesse alla possibilità di
plubblicare i record SPF per i miei domini x-privat.org ed
Domanda:

Allo stato attuale delle cose chi usa le info SPF per filtrare la mail
(al limite includendole in un qualche meccanismo di scoring?)

Non vorrei fare della facile polemica ma mi sa che ci si e` inluppati
nel meccanismo (non uso le info SPF perche` nessuno le pubblica / non
pubblico le info SPF perche` nessuno le legge.)
Dmitry
2005-12-11 12:35:16 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by Nicolas Eymerich
Allo stato attuale delle cose chi usa le info SPF per
filtrare la mail (al limite includendole in un qualche
meccanismo di scoring?)
ho visto ad esempio, SPAMHAUS, abuse.net, tiscali, ma devo fare
una migliore ricerca. Di per certo non ho visto Libero, Tin,
Spin ed altri
Post by Nicolas Eymerich
Non vorrei fare della facile polemica ma mi sa che ci si e`
inluppati nel meccanismo (non uso le info SPF perche`
nessuno le pubblica / non pubblico le info SPF perche`
nessuno le legge.)
aggiungere un record TXT non costa nulla, non vedo
controindicazioni francamente. Sul fatto di usarli, non saprei
dirti al momento.

però a me è venuta anche una altra idea, creare dei record TXT
per altri servizi, non escludo neppure un utilizzo in usenet, ci
sto pensando ..

Alla fine, una interrogazione DNS è banale e i DNS hanno il
grande pregio della propagazione universale e quindi mi sembra
questa, cmq, la direzione corretta.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
furio ercolessi
2005-12-11 16:17:17 UTC
Permalink
Post by Dmitry
Post by Nicolas Eymerich
Allo stato attuale delle cose chi usa le info SPF per
filtrare la mail (al limite includendole in un qualche
meccanismo di scoring?)
ho visto ad esempio, SPAMHAUS, abuse.net, tiscali, ma devo fare
una migliore ricerca. Di per certo non ho visto Libero, Tin,
Spin ed altri
Stai parlando mi pare di chi pubblica il record TXT , che e' cosa
completamente diversa dall'usare SPF per filtrare le mail.

Nella lista qui sopra hai messo due domini che non forniscono servizio
mail al pubblico, hanno assoluto controllo sulla politica di invio e sono
pesantemente attaccati da spammers con joejobs e altro, assieme a
domini di ISP. Le situazioni non sono nemmeno lontanamente confrontabili!
L'unico caso degno di menzione nella lista sopra e' quello di Tiscali.
Post by Dmitry
Post by Nicolas Eymerich
Non vorrei fare della facile polemica ma mi sa che ci si e`
inluppati nel meccanismo (non uso le info SPF perche`
nessuno le pubblica / non pubblico le info SPF perche`
nessuno le legge.)
No, non e' questo il meccanismo. SPF e' stato ampiamente collaudato
ed e' ora sostanzialmente un animale in agonia. In buona sostanza
interessa ormai poco.
Post by Dmitry
aggiungere un record TXT non costa nulla, non vedo
controindicazioni francamente.
Dipende da come e' fatto il record, comunque le controindicazioni
ci sono eccome e sono largamente state discusse e hanno a che fare
col path di trasmissione dei messaggi che spesso e', per motivi
legittimi, del tutto diverso da quello indicato nel record SPF.

furio
Nicolas Eymerich
2005-12-11 17:13:11 UTC
Permalink
Post by furio ercolessi
Stai parlando mi pare di chi pubblica il record TXT , che e' cosa
completamente diversa dall'usare SPF per filtrare le mail.
Si`, era questa la mia domanda .... in effetti ero stato poco chiaro.
Post by furio ercolessi
No, non e' questo il meccanismo. SPF e' stato ampiamente collaudato
ed e' ora sostanzialmente un animale in agonia.
Quello che sospettavo ... ovverosia i record SPF non vengono pubblicati
perche` non ne vale la pena.

Chiaro, per un piccolo ISP o un'aziendina dotata di IP statico che
possiede un proprio SMTP la cosa e` a costo zero, ma per un grande ISP
una richiesta di pubblicazione dei record SPF che parte del reparto
degli "schisciabutum" deve scalare un paio di livelli gerarchici verso
l'alto (per poi ridiscenderli, magari con un paio di note idiote al
seguito).
Post by furio ercolessi
Dipende da come e' fatto il record, comunque le controindicazioni
ci sono eccome e sono largamente state discusse e hanno a che fare
E` chiaro che non puo` assurgenre a "criterio assoluto" ma solo entrare
in meccanismi di scoring. Da questo punto di vista l'impementazione di
SPF puo` diventare molto onerosa dal lato di chi riceve la posta, piu`
che dal lato di spedisce ...
Dmitry
2005-12-11 17:23:49 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando furio
Post by furio ercolessi
Post by Dmitry
ho visto ad esempio, SPAMHAUS, abuse.net, tiscali, ma devo
fare una migliore ricerca. Di per certo non ho visto
Libero, Tin, Spin ed altri
Stai parlando mi pare di chi pubblica il record TXT , che
e' cosa completamente diversa dall'usare SPF per filtrare
le mail.
scusa ma mi pare una ovvietà questa .. Il concetto era un altro,
se pubblicano il record TXT per SPF è perchè evidentemente ci
credono. no?
Post by furio ercolessi
Nella lista qui sopra hai messo due domini che non
forniscono servizio mail al pubblico, hanno assoluto
controllo sulla politica di invio e sono pesantemente
attaccati da spammers con joejobs e altro, assieme a domini
di ISP. Le situazioni non sono nemmeno lontanamente
confrontabili! L'unico caso degno di menzione nella lista
sopra e' quello di Tiscali.
che non mi pare sia però una piccola realtà. ma te ne faccio uno
ancora più grosso: HOTMAIL. Vedi tu ..
Post by furio ercolessi
Post by Dmitry
Post by Nicolas Eymerich
Non vorrei fare della facile polemica ma mi sa che ci si
e` inluppati nel meccanismo (non uso le info SPF perche`
nessuno le pubblica / non pubblico le info SPF perche`
nessuno le legge.)
No, non e' questo il meccanismo. SPF e' stato ampiamente
collaudato ed e' ora sostanzialmente un animale in agonia.
In buona sostanza interessa ormai poco.
Che si chiami SPF o PINCOPALLO, poco importa. Per me sarebbe da
considerare il meccanismo di utilizzo di un record TXT per
fornire informazioni a chi vuole usufruire di un servizio,
generalizzando il concetto.

DNS è un protocollo universale, è propagato, è proprietario di
chi lo gestisce, nel senso che ognuno sul proprio DNS può
metterci i record che gli fanno comodo.

Se io ad esempio, voglio informare quali sono gli IP
blacklistati da x-privat, posso creare (e lo ho fatto) un record
TXT del tipo:

bl-ip.x-privat.org


[***@redpower root]# nslookup -q=txt bl-ip.x-privat.org
Server: 194.185.88.12
Address: 194.185.88.12#53

Non-authoritative answer:
bl-ip.x-privat.org text = "80.98.217.206" "209.94.214.147"
"217.109.163.197" "81.91.67.74"

Authoritative answers can be found from:
x-privat.org nameserver = ns1.dnsmadeeasy.com.
x-privat.org nameserver = ns2.dnsmadeeasy.com.
x-privat.org nameserver = ns3.dnsmadeeasy.com.
x-privat.org nameserver = ns4.dnsmadeeasy.com.
x-privat.org nameserver = ns0.dnsmadeeasy.com.
ns0.dnsmadeeasy.com internet address = 63.219.151.3
ns1.dnsmadeeasy.com internet address = 205.234.154.1
ns2.dnsmadeeasy.com internet address = 66.117.40.198
ns3.dnsmadeeasy.com internet address = 216.129.109.1
ns4.dnsmadeeasy.com internet address = 69.26.190.254

e questo, fosse un protocollo, una RFC, potrebbe avere la sua
utilità. Ma tanto per dirne una ..
Post by furio ercolessi
Post by Dmitry
aggiungere un record TXT non costa nulla, non vedo
controindicazioni francamente.
Dipende da come e' fatto il record, comunque le
controindicazioni ci sono eccome e sono largamente state
discusse e hanno a che fare col path di trasmissione dei
messaggi che spesso e', per motivi legittimi, del tutto
diverso da quello indicato nel record SPF.
beh, ci sono indicazioni precise su come implementare un record
TXT per usare SPF, non c'è nulla da inventarsi, basta leggere.

Molto imho.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Thorin Oakenshield
2005-12-11 17:36:15 UTC
Permalink
Post by Dmitry
Se io ad esempio, voglio informare quali sono gli IP
blacklistati da x-privat, posso creare (e lo ho fatto) un record
bl-ip.x-privat.org
Carlo, mi meraviglio di te che usi ancora nslookup, il tool per te si
chiama dig ed è perfetto per un castoro, eheh :-)
moria:~# dig txt bl-ip.x-privat.org

; <<>> DiG 9.2.4 <<>> txt bl-ip.x-privat.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 9027
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5, ADDITIONAL: 2

;; QUESTION SECTION:
;bl-ip.x-privat.org. IN TXT

;; ANSWER SECTION:
bl-ip.x-privat.org. 1800 IN TXT "80.98.217.206"
"209.94.214.147" "217.109.163.197" "81.91.67.74"

;; AUTHORITY SECTION:
x-privat.org. 55344 IN NS ns1.dnsmadeeasy.com.
x-privat.org. 55344 IN NS ns2.dnsmadeeasy.com.
x-privat.org. 55344 IN NS ns3.dnsmadeeasy.com.
x-privat.org. 55344 IN NS ns4.dnsmadeeasy.com.
x-privat.org. 55344 IN NS ns0.dnsmadeeasy.com.
--
<Dmitry e la geografia "virale">
Post by Dmitry
Senza nulla togliere ad AD-Aware ma non è la panarea di tutti i mali..
Dmitry
2005-12-11 17:59:30 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Thorin
Post by Thorin Oakenshield
Carlo, mi meraviglio di te che usi ancora nslookup, il tool
per te si chiama dig ed è perfetto per un castoro, eheh :-)
uso anche dig :) ma devi capire che dig sotto win non esiste ed
io sul mio desktop ho sempre aperta la shell di unix e spesso
faccio dei comodi copia ed incolla :)

per fare questo, devo usare per forza nslookup, che dig su win è
un sogno :)
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Thorin Oakenshield
2005-12-11 18:30:47 UTC
Permalink
Post by Dmitry
Post by Thorin Oakenshield
Carlo, mi meraviglio di te che usi ancora nslookup, il tool
per te si chiama dig ed è perfetto per un castoro, eheh :-)
uso anche dig :) ma devi capire che dig sotto win non esiste ed
Lo so benissimo.
Post by Dmitry
io sul mio desktop ho sempre aperta la shell di unix e spesso
faccio dei comodi copia ed incolla :)
Mi fa piacere vedere che ti stai evolvendo, alla fine :-)
--
<Max Adamo, l'uomo dei cestini, su i.c.o.d.>
ci sono cmq benchmark che dimostrano come ad esempio MySQL sia
performante quanto Oracle, piu' di M$ SQL, piu' di DB2, piu' di Sybase.
Postgres...
Dmitry
2005-12-11 20:30:09 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Thorin
Post by Thorin Oakenshield
Post by Dmitry
io sul mio desktop ho sempre aperta la shell di unix e
spesso faccio dei comodi copia ed incolla :)
Mi fa piacere vedere che ti stai evolvendo, alla fine :-)
ovviamente ti riferivi al copia ed incolla immagino :))
--
Ciao, Dmitry

I've a dream... bring usenet to every family
Thorin Oakenshield
2005-12-11 21:12:31 UTC
Permalink
Post by Dmitry
Post by Thorin Oakenshield
Post by Dmitry
io sul mio desktop ho sempre aperta la shell di unix e
spesso faccio dei comodi copia ed incolla :)
Mi fa piacere vedere che ti stai evolvendo, alla fine :-)
ovviamente ti riferivi al copia ed incolla immagino :))
Naturalmente :-)
--
<Vegeta su i.c.o.d.>
Se vuoi accedere a /usr/src non ci sono santi: devi loggarti come
root. Quindi, ti chiami un console e dai un bel su, ma a quel punto,
però, tutti i file che modifichi diventano di proprietà di root.
Il Poeta della Corteccia
2005-12-13 19:59:19 UTC
Permalink
In article <***@D536532.user.x-privat.org>, ***@x-
privat.org says...
Post by Dmitry
per fare questo, devo usare per forza nslookup, che dig su win è
un sogno :)
Allora sogna pure http://snipurl.com/kr4v
aprilo piano e guarda che c'è dentro.
Dmitry
2005-12-13 20:41:42 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando Il
Post by Il Poeta della Corteccia
Post by Dmitry
per fare questo, devo usare per forza nslookup, che dig su
win è un sogno :)
Allora sogna pure http://snipurl.com/kr4v
aprilo piano e guarda che c'è dentro.
si, ma mi dovresti dare dei buoni motivi per usare dei software
nativi linux su win, avendo a disposizione linux :)

non ne vedo di buoni motivi, francamente. Anzi, sotto linux mi
sembra davvero tutto più semplice a dire il vero.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
lorenzodes
2005-12-11 17:23:35 UTC
Permalink
Post by Dmitry
ho visto ad esempio, SPAMHAUS, abuse.net, tiscali, ma devo fare
una migliore ricerca. Di per certo non ho visto Libero, Tin,
Spin ed altri
Non so se possa essere utile alla discussione, ma da alcuni giorni la
posta in arrivo sul mio account @iol.it presenta l'header Received-SPF:
Dmitry
2005-12-11 17:29:10 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
Non so se possa essere utile alla discussione, ma da alcuni
potrebbe signifiare che usa SPF, però strano che non vedo la
pubblicazione dei suoi record, boh. Mi riporti l'header
completo?
--
Ciao, Dmitry

I've a dream... bring usenet to every family
lorenzodes
2005-12-11 17:45:01 UTC
Permalink
Post by Dmitry
potrebbe signifiare che usa SPF, però strano che non vedo la
pubblicazione dei suoi record, boh. Mi riporti l'header
completo?
Un esempio:
Received-SPF: neutral (smtp12.libero.it: 155.158.58.144 is neither
permitted nor denied by domain of ghanalounge.every1.net)
client-ip=155.158.58.144; envelope-from=***@ghanalounge.every1.net;
helo=pc144.ds4-s.us.edu.pl;

Incidentalmente è tratto da un messaggio di spam.
Gianni
2005-12-11 17:56:10 UTC
Permalink
Post by lorenzodes
Post by Dmitry
potrebbe signifiare che usa SPF, però strano che non vedo la
pubblicazione dei suoi record, boh. Mi riporti l'header completo?
Received-SPF: neutral (smtp12.libero.it: 155.158.58.144 is neither
permitted nor denied by domain of ghanalounge.every1.net)
helo=pc144.ds4-s.us.edu.pl;
Incidentalmente è tratto da un messaggio di spam.
E' ghanalounge.every1.net a pubblicare una policy "neutral":
ghanalounge.every1.net text = "v=spf1 include:sitespf.everyone.net ?all"

SPF e anche gli altri metodi servono per prevenire il phishing non lo spam.
Anche gli spammer possono pubblicare una policy per il loro nome a dominio,
SPF, Domain Keys o altro che sia.
E se questo non è il suo dominio.... io una policy "neutral" non la
pubblicherei mai per un dominio.
lorenzodes
2005-12-11 19:40:57 UTC
Permalink
Post by Gianni
ghanalounge.every1.net text = "v=spf1 include:sitespf.everyone.net ?all"
SPF e anche gli altri metodi servono per prevenire il phishing non lo spam.
Anche gli spammer possono pubblicare una policy per il loro nome a dominio,
SPF, Domain Keys o altro che sia.
E se questo non è il suo dominio.... io una policy "neutral" non la
pubblicherei mai per un dominio.
No, certo, ho precisato che si trattava di spam solo per completezza di
informazioni. Me ne sono arrivate anche di legittimi :)
Dmitry
2005-12-11 18:01:42 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando
Post by lorenzodes
Incidentalmente è tratto da un messaggio di spam.
ti ha già risposto gianni
--
Ciao, Dmitry

I've a dream... bring usenet to every family
ObiWan
2005-12-12 10:37:08 UTC
Permalink
<snippone>
Post by Dmitry
A che pro?
Invece di imbarcarmi in una discussione sui perchè
o percome del meccanismo SPF, ti consiglio di dare
una bella occhiata qui http://www.openspf.org/ - credo
che troverai tutta la documentazione ed i chiarimenti
che ti servono; detto questo, se quello che ti serve è
abilitare SOLO gli MX ad inviare email per i domini in
questione, ti basterà un record SPF di questo tipo

"v=spf1 mx ~all"

ossia che abiliti SOLO gli hosts definiti come MX nel
DNS all'invio della email; ovviamente, se avessi la
necessità di aggiungere altri hosts, potresti estendere
quanto sopra inserendo es. "a:" o "ip4:" ecc...

Ciao
--
* ObiWan
Microsoft MVP: Windows Server - Networking
http://www.microsoft.com/communities/MVP/MVP.mspx
http://italy.mvps.org
Dmitry
2005-12-12 16:54:38 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando ObiWan mi
Post by ObiWan
ossia che abiliti SOLO gli hosts definiti come MX nel
DNS all'invio della email; ovviamente, se avessi la
necessità di aggiungere altri hosts, potresti estendere
quanto sopra inserendo es. "a:" o "ip4:" ecc...
non avevo un problema tecnico :) ma etico sull'uso o meno di
SPF. Io ho già pubblicato i miei record:


[***@redpower root]# dig txt x-planet.org

; <<>> DiG 9.2.3 <<>> txt x-planet.org
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 17575
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 5,
ADDITIONAL: 5

;; QUESTION SECTION:
;x-planet.org. IN TXT

;; ANSWER SECTION:
x-planet.org. 1800 IN TXT "v=spf1 +all"

che era per fare delle prove. Sarà poi, quando avrò finito:

"v=spf1 ~all"

per dare solo un SOFTFAIl nel caso non siano i miei SMTP ad
inviare ..
--
Ciao, Dmitry

I've a dream... bring usenet to every family
ObiWan
2005-12-12 17:39:53 UTC
Permalink
Post by Dmitry
non avevo un problema tecnico :) ma etico sull'uso
Bah .. "etico" mi sembra un'esagerazione, dopo tutto
si tratta solo di pubblicare dei records TXT che male
che vada .. saranno ignorati :-)
Post by Dmitry
"v=spf1 ~all"
per dare solo un SOFTFAIl nel caso non siano i miei
SMTP ad inviare ..
E che credo sia la forma più corretta.. oltre a questo
volendo potresti aggiungere un TXT per ciascun MX
definendo in tali records una policy più "stringente"

esempio:

x-privat.org. IN TXT "v=spf1 mx ~all
mail.x-privat.org. IN TXT "v=spf1 a -all"
news.x-privat.org. IN TXT "v=spf1 a -all"

Ciao
Dmitry
2005-12-12 17:58:19 UTC
Permalink
Stavo sgranocchiando il mio tronketto di legno, quando ObiWan mi
Post by ObiWan
E che credo sia la forma più corretta.. oltre a questo
volendo potresti aggiungere un TXT per ciascun MX
definendo in tali records una policy più "stringente"
x-privat.org. IN TXT "v=spf1 mx ~all
mail.x-privat.org. IN TXT "v=spf1 a -all"
news.x-privat.org. IN TXT "v=spf1 a -all"
si, anche.
--
Ciao, Dmitry

I've a dream... bring usenet to every family
ObiWan
2005-12-12 10:43:31 UTC
Permalink
Post by Dmitry
stavo guardando con un certo interesse alla possibilità di
plubblicare i record SPF per i miei domini x-privat.org ed
x-planet.org.
<snip>

Dimenticavo

http://snipurl.com/kpav

Ciao
Continua a leggere su narkive:
Loading...