 Hozzászólások  A témához csak regisztrált és bejelentkezett látogatók szólhatnak hozzá!Bejelentkezéshez klikk ide
(Regisztráció a fórum nyitóoldalán)
Mondom ha csak egymás között akarunk küldözgetni.
"We choose to go to the moon in this decade and do the other things, not because they are easy, but because they are hard" - John F. Kennedy
|
egy enigmail szintű, certificate nélküli aláirt levél az ég világon semmire nem jó a spamek szempontjából, mivel a spamküldő annyi saját kulcsot generál magának ahány féle hamis cimről akar küldeni és ebben semmi nem akadályozza meg, csak éppen a usert szivatja meg, mert az aláirás miatt még el is hiszi, hogy ez aztán tényleg fontos és hiteles levél...
|
Ez a felhasználó számára transzparens megoldás, de a biztos valóban a digitális aláírás.
Ha csak egymás között akarunk küldözgetni, akkor meg nem is kell certificate-el tökölni, csak egy thunderbird + enigmail aztán generálsz egy kulcspárt és kész.
És még titkosítani is tud.
"We choose to go to the moon in this decade and do the other things, not because they are easy, but because they are hard" - John F. Kennedy
|
"Ki fogja a senderid-s hitelesítést elvégezni "
az adott domain tulajdonosa/karbantarója.
"és milyen módszerrel?"
Mivel az egész egy dns bejegyzés, nagy meglepetésre a dns service konzolján fogja elvégezni 
|
Ki fogja a senderid-s hitelesítést elvégezni és milyen módszerrel?
A nyúl egy igazi jellem. Ott ül a fűben, de akkor sem szívja!
|
"Hmm, és mi van akkor ha direktben a cél-postaládába megy a levél"
ezt nem nagyon értem. Az egész senderid lényege, hogy nem tud direkben menni a levél. Mármint mondjuk egy egyszerű zombigépről. Mert a zombigép behamisit egy saját/nem saját domaint (tökmindegy) közvetlenül a cimzett mail szerverére, az meg megkérdezi a küldő domain dns szerverét, hogy ugyan melyik is azok az ip-k akik ezen domain nevében levelet küldhetnek (közvetlenül) és nagy meglepetésre nem lesz benne a zombi gép ip-je és máris megy a kukába a spam.
"Mintha ilyen lett is volna egyébként"
ezzel nincsen semmi probléma, ha valaki bejegyzetet magának egy saját domain-t, senderid-vel hitelesiti és ennek a domainnek a nevében tolja ki milliószámra a spame-et, hát tegye. Egyrészt kettő kattintással kitiltja még egy egysésugarú végfelhasználó is az egész domainjét, másrészt igen könnyű megtalálni az illetőt vagy megszüntetni a kis domainjét. Erről szól a senderid, alapvetően nem a spam-et tiltja meg (egyáltalán nem foglalkozik a levél tartalmával), hanem kikényszeriti a valódi feladó használatát, ami gyakorlatilag megöli a spam-et. (lásd a hamisitott feladójú spamek gyakorlatilag 100%-os részesedését)  |
Hmm, és mi van akkor ha direktben a cél-postaládába megy a levél, ekkor a From-ot nem fogja tudni ellenőrizni, hiszen a To-nál kezdődik a lánc, ráadásul stimmel is. Vagy mindenképp erőszakoskodni akar majd, hogy neki márpedig From mező és ellenőrzött domain kell? Mintha ilyen lett is volna egyébként: Link.
|
"Azt már senki nem mondta, hogy a felhasználó címét is ellenőrzik :P"
A feladó cimének ellenőrzése ma MEGOLDOTT, még a leggagyibb smtp szerver is képes erre. A távolról érkező küldő domainének/valódiságának ellenőrzése ami nem megoldott és erre ad megoldás az a Sender ID, innentől a kör bezárult...
"de maga a szabvány az ellen nem véd "
persze, ahogy tartalomszűrést és behatolásvédelmet sem nyújt a szabvány bevezetése, mivel, hogy köze sincs hozzá, azt a feladatot évek óta elérhető egyéb szabványok megoldják...
"SMTP auth azért annyira nem elterjedt"
Konrét statisztikám nincs, az 5 legnagyobb magyarországi internetszolgáltatónál biztos, hogy be van vezetve, a külföldi komolyabb szolgáltatóknál pedig évek óta alapdolog. Az inkompetencián kivül túl sok oka nincs, ha valaki nem vezeti be, valószinűleg 1-2 éven belül feketelistára kerül aki nem vezeti be...
|
amennyiben nem próbálja meg a kliens meghamisitani a feladó cimét.
Pontosan, legalábbis a domain-jét. Azt már senki nem mondta, hogy a felhasználó címét is ellenőrzik :P. Persze a szolgáltató ezt önszorgalomból megteheti, de maga a szabvány az ellen nem véd :). SMTP auth azért annyira nem elterjedt...
|
"Ha valaki tud küldeni egy autentikált szervernek, onnantól kezdve a levél autentikus"
akarod mondani, a levél authentikus, amennyiben nem próbálja meg a kliens meghamisitani a feladó cimét. (amit 100%-ban megtesznek a spamek)
Azaz nyugodtan küldözgethet a zombi gép spameket, amennyiben a saját mail cimét irja feladónak. Az már a levelezőszerveren könnyedén beállitható, hogy még a saját tartományából más mailbox nevét se hazudhassa be, hiszen ma már gyak. mindenhol kötelező az smtp auth.
Szóval egyáltalán nem hülyeség a technika, az inkompatibilitás generátorról meg annyit, hogy az eredeti rfc teljesen bővíthetetlen volt, ezt egészitette ki a ms, hogy ne kelljen 1-2 év múlva kidobni az egészet. És most hogy ingyen használhatóvá tette a ms, az utolsó akadály is elhárult. Bár a legnagyobb mail szolgáltatók már évek óta implementálták.
|
Ez mondjuk olyankor fáin, mikor az egyszeri felhasználó beállítja otthon a Freemailt: POP3-nak a Freemail szerverét, SMTP-nek meg a netszolgáltató által biztosított címet. Aztán majd lesz nagy csodálkozás...
Depending on the chatter, the definition of "lol" may vary. For example: "I have nothing worthwhile to contribute to this conversation."
|
Kieg. a digitális aláíráshoz: [url]a levél tartalmát köti a feladó kulcsához vagy a levelet magát a feladóhoz. Itt a feladó mailcímét a szerverhez és a szervert az adott ip-tartományhoz ellenőrzik.
|
SenderID. Ez egy RFC-n alapuló szabvány, természetesen a megfelelő MS inkompatibilitás-generátoron átfuttatva és saját néven eladva. A lényeg, hogy a feladási pontnak (első SMTP) kell autentikáltnak lennie (ez egy extra szabadszöveges DNS bejegyzés), aztán hogy az a szerver hogy oldja meg a feladó azonosítását az az ő dolga. Digitális aláíráshoz nem sok köze, az a levél tartalmát köti a feladó kulcsához, itt a konkrét levélről nem sok szó van.
A google-nek pl. így néz ki ez a bejegyzése:
A gmail domain:
gmail.com IN TXT v=spf1 redirect=_spf.google.com 102s (1m 42s)
továbbküldi egy spf-es domain-re, amire az alábbi ip-tartományokat dobja
_spf.google.com IN TXT v=spf1 ip4:216.239.56.0/23 ip4:64.233.160.0/19 ip4:66.249.80.0/20 ip4:72.14.192.0/18 ?all 188s (3m 8s)
Magyarul, ha egy levél, ami gmail-es címről jön (ehhez tartozik egy logika a levlisták és forward-ok miatt), és a fenti ip-tartományokból szerepel benne az smtp szerver, akkor autentikált. (Ha jól értelmezem, plz. javítsatok ki ha mégsem.)
A probléma szerintem már látható :). Ha valaki tud küldeni egy autentikált szervernek, onnantól kezdve a levél autentikus. Pl. egy zombi gép alkalmasnak tűnik a feladatra, igaz hamar lekapcsolhatják. De ha sokan van, akkor már más a helyzet... |
Tulajdonképpen min alapul a technológia?
Az ms feltalálta a spanyol viaszt, és a digitális aláírást új néven adja ki?
"meg fog azoknak a száma növekedni, akik bár minden rátermettség nélkül úgy érzik, hogy a nemzet vezéri szolgálatába kell állítaniuk "halhatatlan" erejüket"
Mein Kampf, Adolf Hitler
|
|
Nyomtatás
Elküldés e-mailben
Szabadon használható a Sender ID
Megjelent a Firefox 2.0
Egyre többet költünk biztonságtechnikára
Ujjlenyomat-azonosítás a brit pubokban
