SPF na pld-linux.org (było: libgadu.spec)

Jan Rękorajski baggins w sith.mimuw.edu.pl
Pon, 5 Kwi 2010, 22:46:48 CEST 

On Mon, 05 Apr 2010, Tomasz Pala wrote:

> On Mon, Apr 05, 2010 at 20:21:08 +0200, Jan Rękorajski wrote:
> 
> >> A ten argument jest absurdalny - co z tego, że spamer podpisze swoją
> >> buyviagraonline.yu SPF, skoro ani przyjmujący system pocztowy tego NIE
> >> WYMAGA, ani system antyspamowy nie punktuje dodatnio zgodności?
> > 
> > Jak nie wymaga, jak wymaga? ;) Jakby nie wymagał to nie byłaby potrzebna
> > gimnastyka z SRS.
> 
> Chcesz mi wmówić, że jeśli domena nie będzie miała rekordu TXT, to
> poczta z niej nie dojdzie? No ciekawe ciekawe. SRS jest potrzebny _jeśli_
> domena ma ustawiony SPF. Nikt nie nakazuje spamerom ustawiania tego dla
> własnych domen, równie dobrze mogą wysyłać z 'niezabezpieczonych' i nie
> będą z tego tytułu mieli żadnych nieprzyjemności ani zysków (chyba że
> jakieś Mądre Inaczej systemy antyspamowe punktują dodatnio za zgodność).

Chodzi o takie przepadki jak pld-linux.org. TXT nie mamy, SPF nie
używamy, ale problem z SPF/SRS mamy.

> > A dla spamera/abusera brak punktów ujemnych = punkty dodatnie :)
> 
> Przecież za domenę bez TXT też dostaje się punktów tyle samo
> (okrągłe 0), więc nie ma różnicy pomiędzy spamerską domeną bez TXT a
> posiadającą rekordy. Chyba że spamerzy chcą zabezpieczać swoje domeny,
> żeby pod nich nikt się nie podszywał;)

Może :)
A co do punktacji to taki spamassassin daje za NONE 0.6 nie 0, AFAIR.

> >> >> "SPF offers a whitelist, not a blacklist."
> >> >> Z pewnością każdy właściciel domeny chciałby blacklistować ręcznie całą
> >> >> Azję i USA, oczywiście.
> >> 
> >> Nie wiem, czy to też uważasz za bzdurę, ale domyślam się że tak.
> > 
> > Ehem, bo weryfikujący SPF blacklistują na podstawie whitelisty.
> 
> Czekaj, bo chyba się nie wyspałem - czy tam wyżej to jest sugestia tego,
> że lepiej byłoby, gdyby właściciel domeny wpisywał gdzieś informacje,
> skąd maile pochodzące rzekomo od niego NIE mają się pojawiać? Czyli
> żebym np. do swojego DNS-a robił codziennie import jakiegoś RBL-a i
> mówił 'pod tymi adresami nie wierzcie, że to ja nadaję'?
> ...ale to się dubluje z RBL-ami właśnie. Nie wiem jak taka blacklista
> miałaby wyglądać.

Problemem nie jest TXT, tylko decyzje podejmowane przez odbiorcę.
Gdyby to działało jak w SA (0.9 na 5.0 za FAIL z SPF) to byłby mniejszy
kłopot. Główny cyrk jest z nie braniem pod uwagę takich "drobiazgów" jak
forwardy.

> >> Dla mnie jako właściciela domeny zabezpieczonej SPF jak najbardziej
> >> jest. Nie interesują mnie forwardery - SRS to jest ich problem.
> > 
> > To że twoi klienci nie dostaną poczty (uczciwej, nie spamu), to już jest
> > Twój problem.
> 
> Chyba nie do końca rozumiesz, w którą stronę działa SPF.
> Moi klienci co najwyżej NIE WYŚLĄ poczty z pominięciem mojego serwera
> SMTP. Na odebranie mimo złego SPF mają szanse, bo za to mail dostanie
> tylko jakieś ujemne punkty w antyspamie.

Jesteś pewien że dostaną mail sforwardowany przez pld-linux.org? ;)

> > Rozumiem, innymi słowy "twoja poczta kliencie to nie mój problem".
> > Trzeba było tak od razu. 
> 
> W pewnym momencie trzeba przestać podchodzić do tematu z matematyczną
> analizą i dowodzeniem jego poprawności.

Tylko, że takie myślenie może się skończyć tak że będzie kilka nie za
bardzo gadających ze sobą systemów poczty :(

> > Bo to jest ich problem, a wycięcie portu 25 to było zamiecenie problemu
> > pod dywan.
> 
> Nie, było bardzo skutecznym ograniczeniem problemu (ostatni PLNOG).
> Klient domowy nie potrzebuje 25 portu, od tego jest zgodnie z RFC port
> 465 (SSL) lub 587 (opcjonalnie TLS). Taki gmail nigdy nie był dostępny
> na 25 porcie dla klienta.

Swoją drogą to dziwne, że 465 zostawili, przecież to się praktycznie
niczym od 25 nie różni. Kwestia czasu zanim spamerzy zaczną tam macać.

> > To się będą musieli postarać żeby go gównianie zrobić :)
> > Mój postfix to "by default" nie chciał bez AUTH po submission rozmawiać.
> 
> Nie chcesz pewnie wiedzieć, ale Ci ludzie proponowali włączanie tej
> usługi poprzez ...przekierowanie 587 portu na 25 :)

Mocarze :) Uśmiałem się setnie :)

> > A, tak przy okazji, jak zachowałby się Twój system jakby zobaczył
> > rekord SPF typu "v=spf1 +all"? Przez ciekawość pytam.
> 
> Nie mam pojęcia, ale możesz taką dać i coś mi wysłać, to zajrzę w logi:)

Wolę nie. Mam dziwne przeczucie, że to będzie gorsze w skutkach niż brak :>

-- 
Jan Rękorajski            |  ALL SUSPECTS ARE GUILTY. PERIOD!
baggins<at>mimuw.edu.pl   |  OTHERWISE THEY WOULDN'T BE SUSPECTS, WOULD THEY?
BOFH, MANIAC              |                   -- TROOPS by Kevin Rubio

Więcej informacji o liście dyskusyjnej pld-devel-pl