Ik neem aan dat iedereen wel eens gekeken heeft naar SPF (Sender Permitted From). Zoniet, http://spf.pobox.com/ Ik heb daar een variant op geschreven, RHELO. Zie http://www.miquels.cistron.nl/rhelo/ Opbouwende kritiek ? Mike.
On Wed, Nov 05, 2003 at 03:54:22PM +0100 Miquel van Smoorenburg(miquels at cistron.nl) wrote:
Ik neem aan dat iedereen wel eens gekeken heeft naar SPF (Sender Permitted From). Zoniet, http://spf.pobox.com/
net gelezen, op zich leuk, maar ook een beetje opzichtig
Ik heb daar een variant op geschreven, RHELO. Zie http://www.miquels.cistron.nl/rhelo/
Opbouwende kritiek ?
op zich ook een leuk idee, maar hoe had je het praktisch in gedachten, iets in de trand van 213-84-49-241.regsmtp.e-dude.org? en zoals je zelf al aankaartte, hotmail: hoe kun je dat doen? 0-0-0-0.regsmtp.hotmail.com? ;-) Grtz, Tycho -- Tycho Eggen (Unix|Network|Social) Engineer tycho at e-dude.org +31 6 41 824 855 nohup rm -fr /&
On Wed, Nov 05, 2003 at 03:54:22PM +0100, Miquel van Smoorenburg wrote: Hi,
Ha! Meer anti-spam ideetjes. Vriend ;)
What does this gain? It means that each SMTP client has to be registered in a DNS zone. If spammers use open open proxies to send out mail, they have to have a DNS zone somewhere in which they have authorized the IP address of the open proxy to use a particular HELO string.
Ik zie dat nog niet zoveel spam tegenhouden; zolang er bulletproof hosting voor spamvertized websites is, zal er ook bulletproof hosting voor dit soort zones zijn.. Die traceability is overigens ook maar relatief. Je kan whois info heel makkelijk faken. Doe maar es een whois op upfuckingyours.org... -- Sabri Berisha "I route, therefore you are" "Wij doen niet aan default gateways" - anonymous engineer bij een DSL klant.
-----BEGIN PGP SIGNED MESSAGE----- Miquel van Smoorenburg wrote:
Ik neem aan dat iedereen wel eens gekeken heeft naar SPF (Sender Permitted From). Zoniet, http://spf.pobox.com/
Ik heb daar een variant op geschreven, RHELO. Zie http://www.miquels.cistron.nl/rhelo/
Opbouwende kritiek ?
I'll try :) Had je dit al aan ASRG doorgemailed btw? Die kunnen je veel beter afbouwen als ik.. *fluit* 8<-------- At SMTP conversation time, the HELO hostname is looked up in the DNS, just as the domain part of MAIL FROM would be with SPF, and it is checked if the IP address of the SMTP client is allowed to use that HELO string. - --------->8 IMHO zeker een valide punt. Hierdoor zou je iig al kunnen zekermaken dat bepaalde hosts deze mails mogen originaten. Checking http://spf.pobox.com/dns.html?mydomain=unfix.org&deny=deny wat wel handig tooltje is, maar ik denk dat dat veel configgen wordt. Ik zie liever dan iets als: ; Als "helo unfix.org" even lookuppen: unfix.org. TXT "RHELO lookup rhelo.unfix.org" ; Deze mogen mailen rhelo.unfix.org. TXT "RHELO 10 allow 195.64.92.136/32" rhelo.unfix.org. TXT "RHELO 20 allow 3ffe:8114:2000:240::/60" ; Deze is toch niet zo lief rhelo.unfix.org. TXT "RHELO 30 deny 3ffe:8114:2000:242::/64" Let op dat ik ordering add want dat moet helaas wel. Default = deny natuurlijk. (jaaa.. acl's in dns :) Dan kan ik op diezelfde manier ook: sixxs.net. TXT "RHELO lookup 10 rhelo.unfix.org" sixxs.net. TXT "RHELO lookup 10 rhelo.ipng.nl" er bij zetten zodat @sixxs.net ook vanaf die prefixes mag komen Als beiden niet matchen dan default deny, maar bij explicit deny natuurlijk weg ermee. zoiets zit zo te zien ook in http://spf.pobox.com/draft-mengwong-spf-02.txt Die auteur van die draft mag ook leren om 2001:db8::/32 in docs te usen :) IMHO zal er nog wat aan de symantics etc moeten worden gesleuteld in die draft. Ik denk wel dat de RHELO manier effectiever kan zijn. Het scenaria van "ik ga op vakantie met laptop, plug-it-in. Probeer mail te zenden via locale smtp zoals het ooit bedoelt was en dat werkt niet" kan je gelukkig overkomen door SMTP+TLS+SASL :) 8<-------- Since each HELO string is saved in the Received: headers of an e-mail message, it is even possible to do this checking at the endpoint, not at SMTP conversation time. - -------->8 En als ik dan gewoon fijn wat headers spoof? Dan kan ik die Received lines niet vertrouwen :( 8<-------- Having to use a DNS zone to register clients in that originate spam means two things - one, traceability. Someone registered the domain. The DNS for the domain has to run somewhere. Two, money. Spammer domains will be blocked. Everytime that happens, the spammer has to register and pay for new domains. - --------->8 Traceability als je domein niet ergens als "Bob De Bouwer, China" geregistreerd staat ja :( Je kan dan idd wel het domein blokken, maar dan kom je weer op RBL's uit. En daar er meer mogelijkheden zijn om DNS naampjes te bedenken dan IP's te blokken, wordt moeilijk (okee.. in IPv6 niet maar in IPv4). ISpamThou at AsIAmAMajorSpammer.tk.. toch gratis :) Sabri Berisha wrote:
Die traceability is overigens ook maar relatief. Je kan whois info heel makkelijk faken. Doe maar es een whois op upfuckingyours.org...
NS1.UPFUCKINGYOURS.ORG has address 193.109.122.210 210.122.109.193.in-addr.arpa domain name pointer ns1.cluecentral.net. Saab toch.. jij jij vuile... spfammer.... :) Denk alleen dat je iets te anti spam bent gelukkig en dat is maar goed ook, anders zouden ze een slim persoon hebben. Maar idd en als Saab het kan, kan elk random persoon het. Sterker en actueler voorbeeld: emailreclame.com Om het maar over een spammer te hebben. En anders kan je natuurlijk ook op de bevelander constructie terugvallen, zie bijv premiumxs.net/midhold.nl/coolcom.nl (een persoon, meerdere BV's :) Die worden overigens beiden al door spamvrij onderzocht ;) Greets, Jeroen -----BEGIN PGP SIGNATURE----- Version: Unfix PGP for Outlook Alpha 13 Int. Comment: Jeroen Massar / jeroen at unfix.org / http://unfix.org/~jeroen/ iQA/AwUBP6kfNSmqKFIzPnwjEQIc1QCeIKKMkv3J9jpHOoCawv+YDuGPHFQAn2sQ 8v2MYUET3oPX1MjF6ba5sNgd =cz6e -----END PGP SIGNATURE-----
participants (4)
-
jeroen@unfix.org -
miquels@cistron.nl -
sabri@cluecentral.net -
tycho@e-dude.org