Re: Вопрос про greylist

From

Auster (2:5020/400)

To

Victor Sudakov (2:5054/37.63)

Date

2006-11-12T17:11:38Z

Area

RU.UNIX.BSD

From: Auster <lrou@x.ua>

Victor Sudakov <vas@mpeks.tomsk.su> wrote:

>>>>>>> IMHO уже сейчас стОит публиковать SPF-записи для своих доменов со списками
>>>>>> imho - не стоит.  И крометого порекомендовав SPF, ты забыл упомянуть о SRS.
 
> Я тебе сказал, что количество отказов по spf fail составило примерно 4% 
> от количества отказов по dnsbl. 
> Но не в этом суть. Суть в том, что количество отказов по spf fail не
> равно нулю, а значит ненулевое количество заведомо поддельной почты
> будет не принято.
> 
  по поводу эффективности:
    - хорошо 4% процента от dnsbl, а каков процент (от общего обьема)
      срабатываний по dnsbl был?
    - и еще скажи: без spf у тебя ube было n%, а с spf сколько осталось?

  [как я уже говорил в моих тестах суммарный spf-fail+softfail был меннее
  процента, а количество спама на выходе на выходе практически не менялось.
  точней скажем вариации в самом количестве спама в тестах (с spf
  и без него) были более значительные чем срабатывания с spf.
  - т.е. разницу я не заметил]

  второе - по поводу отшиба нормальной почты:
   интересно также узнать сколько из твоих 4% было вполне легальных форвардов "с поддельной почтой"? :)



> Кроме того, мне не нравится greylisting, сам я его не использую, но
> раз уж он популярен, мне нравится идея, чтобы при greylisting
> учитывались SPF записи. Для меня это означает, что наша и наших
> клиентов исходящая почта greylist-иться не будет.
> 
  фиг с ним с этим грейлистингом - пусть использующие его борятся с ненужными
  задержками, я высказался против рекомендации публиковать spf записи.
  (или если точней, то нп против публикации 0.0.0.0/0 я наверное возражать небуду).

 [относительно greylisting: по моим оценкам на тот период - он ненамного был
 боллее эффективен был чем pregreeting, и если я не ошибся когда сравнивал
 кого он в основном отшибает, то и отшибаются примерно теже самые спамботы,
 но с pregreeting'ом нет грейлистинговых задержек, и поэтому для себя
 я остановился на pregreeting'е.   хотя может быть на сейчас ситуация с их
 взаимной эффективностью уже и поменялась, последнее время - не перепроверял].



>>>> о srs я упомянул впервые.
>>> Дада, и ссылку на http://david.woodhou.se/why-not-spf.html не ты
>>> кидал. 
>> там все и расписано.
> Там всё расписано весьма тенденциозно и необъективно.
> 
  :) ага, и даже приведены ссылки на нормальные альтернативы.

  кстати из того что я немного начитал по spf и Вонгу -
  то spf, как antiforgery-solution, это пока только первый из двенадцати
  шагов/решений ВенгМенгВонга как побороть спам во всем мире :).
  ты случайно ничего не слышал о остальных одинадцати?
  (нужно ж знать к чему готовиться:)
  


> Ну так это совсем другое дело. Насчёт "всех тех кто форвардит почту"
> возражений нет. Наконец-то ты это признал.
> 
  ну и чудно, здесь уже полное согласие.


>> и нп опишу ситуацию:
>>  нп есть у меня ряд бывших сотрудников для которых почта уходит туда куда
>>  они попросили, нп скажем есть и на точки где есть spf проверка (какойнибудь
>>  mail.ru нп). и есть нп коллега ему пишущий из домена админ которого
>>  прочитал (и сделал) о том что стОит публиковать SPF-записи для своих доменов
>>  (чтобы нп с неким грейлистингом у когото не было задержек).
>> 
>>  при всем этом - spf у нас не используется (и допустим я даже не слышал о нем),
> 
> То, что ты (допустим) о SPF не слышал - это конечно только твоя
> проблема как администратора. Ну и твоих пользователей, которые такого
> администратора держат.
> 
>> мне ведь прийдется реализовывать у себя srs? или я ошибаюсь?
> 
> Ошибаешься.
>
  значит если ошибаюсь - отлично - значит мне никогда _не_ прийдется подстраиваться под spf'еров.



> Реализовывать srs тебе придётся, если хочешь сделать по уму.
>
  или все таки прийдется? допустим я даже реализую srs у себя (хоть
  это и маловероятно).

  - а как же заставить всех остальных для кого он потребуется
  его реализовать? какими посулами их возможно заставить прогнуться?
  (причем я предполагаю таких будет гораздо поболее чем пользующих spf).



> А если нужно quick and dirty решение - организуй простой remailing, а
> в качестве return-path подставляй postmaster@your.domain или
> mailer-daemon@your.domain.
> 
  для чегож мне подделывать легальный return-path?
  - если ктото опубликовал такие spf для домена, а ктото другой их проверил
  и отшиб впольне легальную почту - значит и первому и второму так нужно,
  и я не вправе за них решать.



-- 
Auster Vl.
--- ifmail v.2.15dev5.3
 * Origin: Demos online service (2:5020/400)
SEEN-BY: 50/12 400/814 450/159 1024 461/43 132 640 469/999 4616/3 4625/8
SEEN-BY: 4641/444 5000/76 5000 5006/1 5007/1 5010/70 5011/13 5012/46 5015/28
SEEN-BY: 5019/31 5020/18 175 194 400 545 982 1057 1909 1922 2238 2395 2871
SEEN-BY: 5020/4441 5021/29 5025/3 5026/14 45 5027/12 5030/1080 1957 5034/10 13
SEEN-BY: 5035/3 38 5036/1 5045/7 5049/1 5051/15 5054/1 4 8 9 11 28 35 36 37 45
SEEN-BY: 5054/63 66 67 70 75 84 85 5059/9 5060/88 5061/15 5062/10 5063/3
SEEN-BY: 5064/7 5066/18 5074/9 5075/5 5076/1 5077/70 5080/1003 5084/9 5085/13
SEEN-BY: 5095/20 5096/18 6001/3 10

PATH: 5020/400 545 5054/1 37