Re: [Lug-bg] [PHISH] Re: IPSec между Linksys BEFVP41 и линукс

[Peter Pentchev <roam@xxxxxxxxxxx>]

On Thu, Feb 18, 2010 at 05:00:08PM +0200, Yulian Stefanov wrote:
[snip]
> Трябвало щеш-нещеш ако ще се връзваш (дори да ползваш
> Gmail или Yahoo) трябва задължително да позваш техен опен релей
> мблах.контакт.бг . Чудя си се като е опен релей в кои ли черни списъци
> присъства и какво ли ще викат сървърите отсреща като видят, че майла е от
> един домейн, пък релейва от друг...

Ъъъъъъ... кво?! :)  Чакай малко сега, задръж така :)

Първо, ако наистина става дума за mblah.contact.bg, това съвсем не е
open relay, хич даже.  Open relay би било, ако аз можех сега от моя
си адрес извън всякакви техни мрежи да се свържа с mblah.contact.bg
и да кажа mail from: мой външен адрес, rcpt to: друг мой външен адрес
и то да приеме съобщението и да го препрати накъдето трябва.  Вместо това
mblah.contact.bg ми отговаря (правилно) с 553 "няма да relay-вам пък",
което значи, че си е много добре настроен mail gateway за "вътрешна",
макар и доста широка, мрежа.  Приема поща от техните мрежи и се грижи
за това да я разпраща навън, не приема поща от никой друг.

А за втория въпрос - мейлът да е от един домейн, пък да relay-ва за
друг - ъъъъъ, имаш предвид, че някой може да се учуди на начина, по
който хората изпращат 98% от съобщенията по електронната поща в
последните поне 15 години? :)  Това си е съвсем нормален начин на
работа - някой ти е дал достъп до неговия мейлсървър, ти се връзваш
към него и му казваш "я сега изпрати това съобщение" - и никой не гледа
от кой и за кой адрес е самото съобщение - имаш право да ползваш този
сървър, значи той ще relay-ва твоята изходяща поща.

Да, да, знам, някой ще спомене SPF.  SPF не е "решение" на "проблема",
че всеки може да изпраща поща отвсякъде; SPF е решение на малко
по-различен проблем, който също би могъл да бъде формулиран като
"всеки може да изпраща поща отвсякъде", но в един частен случай,
в който администраторите на даден домейн решават, че конкретно за
този домейн може да е добра идея пощата наистина да излиза само през
един-два сървъра.  Това не е съвсем приложимо за всички случаи (да,
да, знам, SMTP authentication, тунели, какви ли не други решения)
и за случаите, в които е приложимо, работи - но по никакъв начин
не прави другото забранено или нещо такова.

Аз например съвсем редовно изпращам поща от roam@xxxxxxxxxxx или
през mx1.freebsd.org, или през office.hoster.bg, или през още
два сървъра, които нямат нищо, ама нищо общо с домейна ringlet.net,
и никой сървър никъде по света няма да се зачуди за това как така
моите съобщения излизат оттам.

> Всъщност не питам за съвет, това да му мисли админа им.
> А и предварително се извинявам ако някой се засегне от горното, просто ми
> звучи като да си купиш кола и да са ти заварили едната скорост щот не си си
> платил по-скъп сервиз...

А иначе конкретно за БТК и затварянето на порт 25... уф.  Силно уф.
Много съм раздвоен по този въпрос.  От една страна, виждам какъв
проблем решават и разбирам защо са го направили - омръзнало им е
да ги blacklist-ват всякакви CBL-и, RBL-и и други WTFBL-и по цял
свят заради един-двама нови идиоти всеки месец, които или решават,
че сега ще си поиграят малко с това ново спам-програмче, или просто
решават, че сега ще си поиграят малко на ей-тоя хубав бляскав мигащ
уебсайт и не обръщат внимание на всичките троянски коне, които им
се намърдват в кошарата.  От същата тази страна - да, лично за мен
и за куп други "знаещи" хора това няма да е проблем - така и така
по-голямата част от изходящия ми мейл от години минава през SSH-тунели
към сървъри, до които добри хора са ми дали достъп с тази цел.
За други не толкова знаещи хора винаги има решение с външен сървър
със SMTP auth, който или работи през 465/tcp (SMTPS), или през
567/tcp (Submission), така че всички са доволни, дори и да не се
налага да си пренастройват клиентите всеки път, когато се приберат
вкъщи или отидат на работа.

От друга страна... абе неудобно си е, няма какво да си говорим :)
Много е неудобно понякога даже.  Да не говорим за "дребни" нещица
като "всичката поща, която изпращате, ще минава през нашия сървър,
пък ние ще ви дадем честната си дума, че няма да се опитваме да я
анализираме или пазим по какъвто и да било начин" :)  Както казах,
раздвоен съм.

Уф.  Т'ва много дълго стана бре.  Явно много ме мррзи да работя :)

Поздрави,
Петър

-- 
Peter Pentchev	roam@xxxxxxxxxxx    roam@xxxxxxxx    roam@xxxxxxxxxxx
PGP key:	http://people.FreeBSD.org/~roam/roam.key.asc
Key fingerprint	2EE7 A7A5 17FC 124C F115  C354 651E EFB0 2527 DF13
If this sentence didn't exist, somebody would have invented it.

Attachment: pgpWqJtDS8r7x.pgp
Description: PGP signature

_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg