SPF na pld-linux.org (było: libgadu.spec)

Jan Rękorajski baggins w sith.mimuw.edu.pl
Pon, 5 Kwi 2010, 20:21:08 CEST 

On Mon, 05 Apr 2010, Tomasz Pala wrote:

> On Mon, Apr 05, 2010 at 14:24:08 +0200, Jan Rękorajski wrote:
> 
> >> Szkoda, że zaczyna się od steku bzdur (znaczy się: archaizmów). Otóż
> > [ciach opowieść o tym że 99% ludności używa gmaila...]
> > 
> > Nie z tą częścią artykułu co trzeba polemizujesz.
> 
> Jeśli ktoś wyciąga wnioski na podstawie bzdur, to nie zwykłem się
> w nie zagłębiać. Praktyka pokazuje, że SPF prawie nigdy nie stanowi
> problemów, o których on wspomina.

No, sorry, wodzu, ale początek artykułu to jest opis SPF
("OK, so what is SPF?"), może trochę stary, a nie założenia.

> >> W ten sposób poczta mogła sobie działać 15 lat temu, no ale...:
> >> "SPF is not compatible with today's Internet..."
> > 
> > Jak widać, w dalszym ciągu nie jest.
> 
> Dokładnie tak samo jak wszystkie zaproponowane alternatywy - oto mój
> wniosek, szkoda że nie raczyłeś się ustosunkować.

Cyt.:
> > Natomiast takie DKIM nic nie psuje, a daje dużo wyższy poziom
> > uwierzytelnienia.

innymi słowy jest compatible.

> >> "SPF is not an anti-spam technique."
> >> Oczywiście że nie - służy do tego, żeby Franek czytając maila od swojego
> >> szefa miał podstawę zakładać, źe napisał go jego szef. Oczywiście 15 lat
> >> temu każdy, kto miał maila, umiał sobie sprawdzić nagłówki, ale dzisiaj
> >> z Internetu korzystają lajkoniki i to jest zabezpieczenie dla nich.
> > 
> > Wierzysz w to? Czy tak sobie bzdury wypisujesz?
> 
> Bardzo ciekawy ten argument 'bzdury'. Liczyłem na to, że zaraz ktoś
> napisze o sygnaturach PGP.

Bzdurą jest, że SPF pozwala Frankowi zakładać, że mail wysłał szef.
Franek patrzy na "From:" (który może być z dupy), a nie na envelope From
sprawdzany przez SPF (który też, w ograniczonym zakresie, nie konieczne
musi być prawdziwy).

> Wyobraź sobie, że PGP działa jeszcze gorzej niż HTTPS; nie ważne, że
> przeglądarka wyświetla ostrzeżenia, ludzie tego nie rozumieją - koniec
> kropka. Co więcej - phisherzy zabezpieczają swoje strony wykupionymi
> certyfikatami SSL i nie ma absolutnie żadnych szans na to, aby ludzie
> sprawdzali za każdym razem, że ich 'bank' zweryfikował Verisign,
> szczególnie że wszystkie przeglądarki od razu ufają pierdylionowi
> jakichś centrów z całego świata. Nawet ludzie takie bzdury robią:
> https://addons.mozilla.org/en-US/firefox/addon/10246 No ale po co to
> piszę, skoro umiesz odpisać tylko 'bzdura'.

Tak, tu masz rację, ale też nie wiem po co to piszesz, bo to nie ma
z tematem rozmowy nic wspólnego, ale rozumiem że chcesz się wyżalić.

> >> "spammers have  rapidly adopted SPF for themselves" i pod linkiem
> >> czytamy: "because spammers are actively registering their SPF records",
> >> podkreślmy, _THEIR_ SPF records, a nie moje, onetu czy gmaila, więc
> >> Franek nie dostanie maila od swojego szefa. Czyli zwykły FUD.
> > 
> > Ale TY przyjmiesz list od spamera, bo ma SPF.
> 
> Zrozum proszę, że SPF nie służy do zwalczania spamu. Od tego mam inne

SPF został wymyślony do zwalczania "abuserki" - spam, phishing
czy inne fałszywki, dla mnie i tak to wszystko jest spamem,
rożnica jedynie dialektyczna.

> techniki. Przecież miałeś to nawet w tym tekście napisane, czytałeś?

Czytałem. Problem polega na tym że SPF jest "sprzedawany" jako super
zabezpieczenie przed spamem.

> A ten argument jest absurdalny - co z tego, że spamer podpisze swoją
> buyviagraonline.yu SPF, skoro ani przyjmujący system pocztowy tego NIE
> WYMAGA, ani system antyspamowy nie punktuje dodatnio zgodności?

Jak nie wymaga, jak wymaga? ;) Jakby nie wymagał to nie byłaby potrzebna
gimnastyka z SRS. A dla spamera/abusera brak punktów ujemnych = punkty
dodatnie :)

> >> "SPF offers a whitelist, not a blacklist."
> >> Z pewnością każdy właściciel domeny chciałby blacklistować ręcznie całą
> >> Azję i USA, oczywiście.
> 
> Nie wiem, czy to też uważasz za bzdurę, ale domyślam się że tak.

Ehem, bo weryfikujący SPF blacklistują na podstawie whitelisty.

> >> Natomiast co do zaproponowanych alternatyw, mogę to skomentować
> >> argumentem przeciwko SRS: "There is little incentive for people to
> >> deploy [wszystkie wymienione propozycje]".
> 
> I na tym można by skończyć ten temat.

Jeszcze tylko kilka zdań i kończę. Obiecuję.

> >> Największą zaletą SPF jest to, że wystarczy dodać rekord TXT i jest. A
> >> że paru geekom przestaną działać przekierowania (nie znam nikogo
> >> 'normalnego', kto tego używa)... acceptable loss.
> > 
> > Jak widać po problemach z SRS, nie wystarczy "dodać rekord TXT i jest".
> 
> Dla mnie jako właściciela domeny zabezpieczonej SPF jak najbardziej
> jest. Nie interesują mnie forwardery - SRS to jest ich problem.

To że twoi klienci nie dostaną poczty (uczciwej, nie spamu), to już jest
Twój problem.

> > Natomiast takie DKIM nic nie psuje, a daje dużo wyższy poziom
> > uwierzytelnienia.
> 
> Tylko szkoda, że nie jest używane.

gmail.com, Twój przykładowy. No i DKIM nic nie psuje.

> > Jedyne co udowadniasz to że nie zrozumiałeś co Woodhouse napisał.
> > Szkoda :(
> 
> Doskonale rozumiem każdą rzecz, jaką napisał. Tyle tylko że w
> przeciwieństwie do niego ja znam pojęcia 'akceptowalnej straty' oraz
> 'spychologii' - krótko mówiąc pewne rzeczy z biznesowego punktu widzenia
> spisuje się na straty, a część problemów zostawia do rozwiązania innym.

Rozumiem, innymi słowy "twoja poczta kliencie to nie mój problem".
Trzeba było tak od razu. 

> Kiedyś tę nieszczęsną weryfikację poczty zwalano wprost na odbiorcę
> (sprawdź sobie nagłówki sam albo proś o sygnowanie PGP).

Wierzysz że SPF zapewnia weryfikację poczty, twoja sprawa.
Ja Ciebie nie przekonam, ty mnie też, więc możemy skończyć temat.

> Mając to na uwadze można dużo precyzyjniej określać, które TECHNIKI
> (technologia to może być wytwarzania tworzyw) mają szanse się przyjąć.
> Bo te, które wymagają zaangażowania strony, której z grubsza to wisi,
> można od razu zapomnieć.
> TPSA blokując 25 port TCP wymusiła na setkach hostingów przyjmowanie
> poczty na 587, wcześniej prawie wszyscy mieli to gdzieś mimo RFC (skoro
> poczta i tak przyjdzie ze spamem na 25, to po co cokolwiek robić; teraz
> przestała dochodzić od masy klientów). I nawet mnie nie zdziwiły głosy
> oburzenia z sali (przedostatni PLNOG), jakim oni prawem zwalają robotę
> na innych, skoro problem z wychodzącym spamem to jest ich problem. Ano

Bo to jest ich problem, a wycięcie portu 25 to było zamiecenie problemu
pod dywan. No, ale to, na szczęście, nie mój problem, ja klientem TPSA
nie jestem ;)

> takim, że jest to dla nich najprostsze (i patrząc realnie najlepsze
> znane) rozwiązanie. Tam również masa ludzi nie rozumiała, czym się różni
> submission od SMTP i krzyczeli tylko, że spamerzy zmienią port (no i jak
> sobie gównianie tego submission zrobią, to będą dalej spamowani, ale ja
> będę miał spokój, bo tamtędy niezautoryzowane mi nie przejdą).

To się będą musieli postarać żeby go gównianie zrobić :)
Mój postfix to "by default" nie chciał bez AUTH po submission rozmawiać.

A, tak przy okazji, jak zachowałby się Twój system jakby zobaczył
rekord SPF typu "v=spf1 +all"? Przez ciekawość pytam.

-- 
Jan Rękorajski            |  ALL SUSPECTS ARE GUILTY. PERIOD!
baggins<at>mimuw.edu.pl   |  OTHERWISE THEY WOULDN'T BE SUSPECTS, WOULD THEY?
BOFH, MANIAC              |                   -- TROOPS by Kevin Rubio

Więcej informacji o liście dyskusyjnej pld-devel-pl