SPF na pld-linux.org (było: libgadu.spec)
Tomasz Pala
gotar w polanet.pl
Pon, 5 Kwi 2010, 15:02:54 CEST
On Mon, Apr 05, 2010 at 14:24:08 +0200, Jan Rękorajski wrote:
>> Szkoda, że zaczyna się od steku bzdur (znaczy się: archaizmów). Otóż
> [ciach opowieść o tym że 99% ludności używa gmaila...]
>
> Nie z tą częścią artykułu co trzeba polemizujesz.
Jeśli ktoś wyciąga wnioski na podstawie bzdur, to nie zwykłem się
w nie zagłębiać. Praktyka pokazuje, że SPF prawie nigdy nie stanowi
problemów, o których on wspomina.
>> W ten sposób poczta mogła sobie działać 15 lat temu, no ale...:
>> "SPF is not compatible with today's Internet..."
>
> Jak widać, w dalszym ciągu nie jest.
Dokładnie tak samo jak wszystkie zaproponowane alternatywy - oto mój
wniosek, szkoda że nie raczyłeś się ustosunkować.
>> "SPF is not an anti-spam technique."
>> Oczywiście że nie - służy do tego, żeby Franek czytając maila od swojego
>> szefa miał podstawę zakładać, źe napisał go jego szef. Oczywiście 15 lat
>> temu każdy, kto miał maila, umiał sobie sprawdzić nagłówki, ale dzisiaj
>> z Internetu korzystają lajkoniki i to jest zabezpieczenie dla nich.
>
> Wierzysz w to? Czy tak sobie bzdury wypisujesz?
Bardzo ciekawy ten argument 'bzdury'. Liczyłem na to, że zaraz ktoś
napisze o sygnaturach PGP.
Wyobraź sobie, że PGP działa jeszcze gorzej niż HTTPS; nie ważne, że
przeglądarka wyświetla ostrzeżenia, ludzie tego nie rozumieją - koniec
kropka. Co więcej - phisherzy zabezpieczają swoje strony wykupionymi
certyfikatami SSL i nie ma absolutnie żadnych szans na to, aby ludzie
sprawdzali za każdym razem, że ich 'bank' zweryfikował Verisign,
szczególnie że wszystkie przeglądarki od razu ufają pierdylionowi
jakichś centrów z całego świata. Nawet ludzie takie bzdury robią:
https://addons.mozilla.org/en-US/firefox/addon/10246 No ale po co to
piszę, skoro umiesz odpisać tylko 'bzdura'.
>> "spammers have rapidly adopted SPF for themselves" i pod linkiem
>> czytamy: "because spammers are actively registering their SPF records",
>> podkreślmy, _THEIR_ SPF records, a nie moje, onetu czy gmaila, więc
>> Franek nie dostanie maila od swojego szefa. Czyli zwykły FUD.
>
> Ale TY przyjmiesz list od spamera, bo ma SPF.
Zrozum proszę, że SPF nie służy do zwalczania spamu. Od tego mam inne
techniki. Przecież miałeś to nawet w tym tekście napisane, czytałeś?
A ten argument jest absurdalny - co z tego, że spamer podpisze swoją
buyviagraonline.yu SPF, skoro ani przyjmujący system pocztowy tego NIE
WYMAGA, ani system antyspamowy nie punktuje dodatnio zgodności?
>> "SPF offers a whitelist, not a blacklist."
>> Z pewnością każdy właściciel domeny chciałby blacklistować ręcznie całą
>> Azję i USA, oczywiście.
Nie wiem, czy to też uważasz za bzdurę, ale domyślam się że tak.
Tylko wiesz co - czekaj czekaj. Czemu uważasz SPF za zły pomysł, to
czemu sam masz konto na serwerze, który je weryfikuje!?
>> Natomiast co do zaproponowanych alternatyw, mogę to skomentować
>> argumentem przeciwko SRS: "There is little incentive for people to
>> deploy [wszystkie wymienione propozycje]".
I na tym można by skończyć ten temat.
>> Największą zaletą SPF jest to, że wystarczy dodać rekord TXT i jest. A
>> że paru geekom przestaną działać przekierowania (nie znam nikogo
>> 'normalnego', kto tego używa)... acceptable loss.
>
> Jak widać po problemach z SRS, nie wystarczy "dodać rekord TXT i jest".
Dla mnie jako właściciela domeny zabezpieczonej SPF jak najbardziej
jest. Nie interesują mnie forwardery - SRS to jest ich problem.
> Natomiast takie DKIM nic nie psuje, a daje dużo wyższy poziom
> uwierzytelnienia.
Tylko szkoda, że nie jest używane.
> Jedyne co udowadniasz to że nie zrozumiałeś co Woodhouse napisał.
> Szkoda :(
Doskonale rozumiem każdą rzecz, jaką napisał. Tyle tylko że w
przeciwieństwie do niego ja znam pojęcia 'akceptowalnej straty' oraz
'spychologii' - krótko mówiąc pewne rzeczy z biznesowego punktu widzenia
spisuje się na straty, a część problemów zostawia do rozwiązania innym.
Kiedyś tę nieszczęsną weryfikację poczty zwalano wprost na odbiorcę
(sprawdź sobie nagłówki sam albo proś o sygnowanie PGP).
Mając to na uwadze można dużo precyzyjniej określać, które TECHNIKI
(technologia to może być wytwarzania tworzyw) mają szanse się przyjąć.
Bo te, które wymagają zaangażowania strony, której z grubsza to wisi,
można od razu zapomnieć.
TPSA blokując 25 port TCP wymusiła na setkach hostingów przyjmowanie
poczty na 587, wcześniej prawie wszyscy mieli to gdzieś mimo RFC (skoro
poczta i tak przyjdzie ze spamem na 25, to po co cokolwiek robić; teraz
przestała dochodzić od masy klientów). I nawet mnie nie zdziwiły głosy
oburzenia z sali (przedostatni PLNOG), jakim oni prawem zwalają robotę
na innych, skoro problem z wychodzącym spamem to jest ich problem. Ano
takim, że jest to dla nich najprostsze (i patrząc realnie najlepsze
znane) rozwiązanie. Tam również masa ludzi nie rozumiała, czym się różni
submission od SMTP i krzyczeli tylko, że spamerzy zmienią port (no i jak
sobie gównianie tego submission zrobią, to będą dalej spamowani, ale ja
będę miał spokój, bo tamtędy niezautoryzowane mi nie przejdą).
--
Tomasz Pala <gotar w pld-linux.org>
Więcej informacji o liście dyskusyjnej pld-devel-pl