10
-
#10
mivel jobb ez a SenderID-nél? -
lokoto #9 Még azt is megkockáztatom, hogy a titkos kulcsot a DNS-ben fogják publikálni, így bármelyik zombi bármelyik spam domain nevében könnyedén tud levelet küldeni :-) -
lokoto #8 Pontosan, arról nem is beszélve, hogy [email protected]ól is ugyanúgy lehet szépen aláírt spamet küldeni. Mely domainek lesznek spam domainek, melyek nem?
Mennyivel jobb nekem, hogy hiteles a spam feladója, minthogy nem?
Semmivel, mert a hiteles leveleket a továbbiakban is kell spam szűrni, ergo a szerverek terhelése csak nő a rengeteg nyilvános kulcsú kriptográfiai műveletből kifolyólag (a zombi gépeknek is meg lehet mondani a spammelésre használt domain titkos kulcsát, senkit nem fog érdekelni a titkossága).
Kinek jó ez?
- domain regisztrátoroknak
- CPU és kripto kártya gyártóknak
- Yahoo-nak és társainak egy kis ingyen reklám
Mit nyertünk? Túl sokat nem, max 2 hét szusszanást, amit ki kell használni arra, hogy beruházzunk erősebb hardverbe.
Ezt a pénzt és energiát inkább normálisabb törvény alkotására és végrehajtására lehetne fordítani.
Az SPF szerintem is több okból kifolyólag jobb:
- nincs nyilvános kulcsú titkosítás (erőforrások)
- tényleg korlátozott, hogy egy domain levelei honnan indulhatnak (ennek a kitrükközése talán nehezebb, a DNS rendszert remélhetőleg nem omlasztják össze a sok zombi címét bejegyezve)
Problémák nyilván itt is vannak, de ez talán kicsit hosszabb távú perspektíva.
-
ProClub #7 Ja és hogy még folytassam a monológomat, ha egy PC megfertőződik egy vírussal és az a felhasználó levelezőprogramját használja küldésre, akkor olyan szépen alá lesznek írva a levelek a felhasználó nevével, hogy ihaj. -
ProClub #6 Egyébként most nézem, hogy ez tényleg csak akkor jó, ha a fejlécek nem változnak, szóval legfeljebb két szerver között használatos. Az olyan szolgáltatók, mint a t-online, akik több szerveren keresztül routolják a leveleket, a legvégén kell szignózzák az üzenetet és a fogadó oldalon is a legelső szervernél kell föloldani... -
ProClub #5 Egy részről gratulálok, de nem fog menni, mert van egy csomó ingyenes levélszolgáltató akik nem fognak szignatúrákat gyártani. Szerintem, értelmesebb a Sender Policy Framework, amit én is használok.
Ami a kétkulcsos titkosítást illeti, az úgy néz ki hogy van egy C függvény és egy D függvény. Úgy vannak megkonstruálva, hogy amit a C függvénnyel bekódolsz, azt csak a D-vel tudod kikódolni és fordítva.
Az RSA algoritmus ennél tovább megy, méghozzá annyiban hogy nem csak titkosításra, hanem aláírásra is jó. Tehát a kulcs nyilvános felével holt biztosan tudod ellenőrizni, hogy a privát felével írták-e alá vagy sem.
Ha pl egy SSH kódolt kapcsolatot akarsz egy szerver fele nyitni, akkor az a szerver elsődleges domain nevéhez kapcsolt kulccsal megy. Ami pedig a példában magyarázott DNS rekordot illeti, a SAJÁT domained DNS rekordját az elsődleges nameserver-ben tudod nyesztetni. Ha osztott domainen vagy... akkor így jártál. -
Caro #4 ""a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?"
Kiszedi a public keyt a megfelelo DNS rekordbol: link."
Épp ezzel szívok jelenleg, sehol nem találok hozzá normális leírást :)
Egyébként oda ssh public key-t is fel lehet tenni? -
eax #3 "a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?"
Kiszedi a public keyt a megfelelo DNS rekordbol: link.
"egy server látja el aláirással és az uton mi törénhet vele?"
Modosithatjak (ill. igy mar nem, mert ala van irva).
"avagy itt arról van szó, hogy a zombiPCk nem rendelkeznek
ezzel az aláirással?"
A zombi pc-k nem rendelkeznek azzal a privat kulccsal, aminek a publikus parja az altaluk hazudott From mezoben levo email cim DNS-eben van, tehat nem tudnak jo alairast generalni.
Persze ha van a spammernek sajat domainje, akkor "az ellen nem ved", de azt egy kicsit egyszerubb blokkolni. -
#2
Na most megmondom őszintén - ezt az aláirás dolgot nemértem :
a küldő aláirja és a fogadó szerver megvizsgálja, de milyen referencia alapján?
A PGP nél a a privát kulcs alapján készül el az aláirás, és a publikus alapján
ellenőrzi a kliens gépe - de mindez megegyezés alapján müködik, neked kell
szemrevételezned az aláirást és/vagy estleg nem megbizni abban.
Itt egy server látja el aláirással és az uton mi törénhet vele? semmi
gyakorlatilag - avagy itt arról van szó, hogy a zombiPCk nem rendelkeznek
ezzel az aláirással? és a fogadó szerver ezzel azonositja, hogy nem autentikus
helyről származik? - erről kicsit tisztábban fogalmazhatnátok. -
#1
hajrá