Příspěvky

4051

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 05. 02. 2017, 22:11:46 »

Ale pokud je na IP adrese smtp server

Příště si raději přečtěte příspěvek, na který reagujete. Nebo o jakém SMTP serveru (asi jste myslel klienta) píšete, když je IP adresa na blacklistu kvůli reverznímu názvu v DNS nebo kvůli HTTP proxy?

4052

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 05. 02. 2017, 13:58:23 »

Co to je zase za nesmyslnou konstrukci?

Co kdybyste se radši nejdřív dovzdělal, než se začnete takhle hloupě ptát?

SMTP server kterému má rozumně fungovat odesílání mailů přímo na cílové SMTP servery v internetu přeci dnes musí používat pouze statické IP adresy

Proč? Kvůli hloupým blacklistům? Navíc to, co jsem psal já, se týká i klientů (předpokládám, že jste se jen přepsal) se statickou IP adresou.

s rozumně nastavenými reverzními záznamy v DNS!

Co to je „rozumně nastavený reverzní záznam“? Ve kterém RFC je definován?

Uvažovat o dynamicky přidělovaných IP adresách s pofidérními reverzními DNS záznamy může jen tragický teoretik jako například Jirsák.

Kde jsem psal o dynamicky přidělovaných IP adresách s pofidérními reverzními DNS záznamy? Aha, nikde, to si jen „Admyn“ vymýšlí.

Takže místo toho aby došlo k odstranění příčiny proč se IP adresy SMTP serverů na blacklisty dostávají (což je téměř vždy nevhodná konfigurace těch SMTP serverů která umožňuje odesílání spamu)

Příčina je ta, že se někdo rozhodne a prostě nějakou IP adresu na ten seznam přidá. Se SMTP klientem (zase překlep, že) to často nemá vůbec nic společného, na té IP adrese ani nikdy nemusel být žádný SMTP klient provozován. Dokonce si vlastně nevzpomínám, že by mezi adresami, které jsem odstraňoval, někdy byla nějaká na blacklistu kvůli nevhodné konfiguraci SMTP klienta nebo kvůli tomu, že by se z té adresy rozesílal spam.

 tak se budou tvořit takovéhle komplikované teoretické myšlenkové konstrukce které stejně v praxi nefungují? Autora tohoto příspěvku bych spolehlivě poznal i kdyby se root.cz rozhodl příspěvky anonymizovat!

A ponaučení na závěr: reverzní DNS záznamy IP adres odesílajících SMTP serverů nejsou pro blacklisty důležité, protože blacklisty fungují přímo nad IP adresami (ty jsou totiž na rozdíl od reverzního DNS pro spammery mnohem hůř měnitelné).

Několikrát tu byl zmíněn SORBS. Myslím, že není tak těžké dohledat si odkaz na jejich stránky. Myslím, že není tak těžké si na jejich stránkách najít seznam jejich databází. Myslím, že není tak těžké zjistit si, že z 15 základních databází se jich pouze 4 týkají IP adres SMTP klientů.

A ponaučení na závěr: nepoučujte o věcech, o kterých vůbec nic nevíte.

4053

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 05. 02. 2017, 13:22:44 »

Toto je hlavne problém gmail, hotmail, a podobných služieb - zaradia Vás na nejaký svoj interný obskúrny blacklist a to nielen IP, ale kľudne celú doménu a potom nie je ako sa z toho blacklistu dostať.

Měl byste nějaký konkrétnější příklad? Já jsem neslyšel o žádném takovém příkladu, že by někdo byl na takovémhle blacklistu. Znám případy, kdy byly jednotlivé e-maily vyhodnocovány jako spam, ale to není blacklist.

väčšinou aspoň majú popísané pravidlá ako (za čo) sa na blacklist dostať

Jo, například „generic reverse DNS naming is the most important criterion“. To vám hodně pomůže, takovýhle popis.

ako sa dostať z neho preč

Což je postavené na hlavu. O vymazání by se měl postarat ten, kdo tam tu adresu přidal.

hlavne je použitie týchto blacklistov dobrovoľné

Proto jsem psal, že jediné skutečné řešení, které je ovšem velmi zdlouhavé, je vysvětlit správci cílového serveru, že používat takovýhle blacklist pro odmítání e-mailů je nesmysl. A že nejlepší by bylo, kdyby se dostatečné množství odesílatelů dohodlo, že na servery používající tyhle blacklisty prostě doručovat nebudou – když jejich správci e-maily přijímat nechtějí, tak jim je přece nebudeme nutit.

pretože tieto služby sú príliš veľké aby sa dali ignorovať.

Čemuž přispívají i ti uživatelé blacklistů, protože tyhle velké služby whitelistují, takže je často jednodušší použít takovouhle velkou službu než řešit problémy s nějakým správcem používajícím blacklist.

4054

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 05. 02. 2017, 09:17:21 »

Menší počet odeslaných mailů znamená menší pravděpodobnost že si jich všimne provozovatel nějakého blacklistu a následně IP adresu odesílajícího SMTP serveru označí jako blokovanou protože ty maily nějakým svým algoritmem vyhodnotí jako spam. Vazba tohoto faktu na reverzní DNS není žádná.

Takže počet odeslaných e-mailů nemá vliv na to, že vás provozovatel blacklistu zařadí do databáze na základě toho, že se mu nelíbí jméno v reverzním záznamu vaší IP adresy a nějakým svým algoritmem vyhodnotí, že to jméno svědčí o dynamicky přidělované IP adrese. Myslím, že to už jsem psal, ne?

Jinak větší počet odesílajících serverů znamená, že i když se některý z nich dostane na blacklist, ostatní pořád mohou doručovat. A větší počet odesílaných e-mailů znamená, že správce cílového serveru bude mít průšvih a přidá alespoň ten velký server na whitelist. Vždyť to tady jeden „správce“ poštovního serveru na začátku psal – na whitelist dává servery, které odesílají hodně e-mailů, ne ty, které jich odesílají málo nebo ty, které mají lepší opatření proti spamu.

4055

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 04. 02. 2017, 23:00:09 »

pokud ze serveru chodí méně mailů je mnohem méně náchylný na zařazení na reálné blacklisty

Jak přesně počet odeslaných e-mailů ovlivňuje to, zda bude IP adresa zařazena na blacklist např. podle svého jména dle reverzního DNS záznamu?

4056

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 04. 02. 2017, 20:40:43 »

Jediné řešení je používat vlastní emailový server s vlastní adresou

Jeden server s jedinou IP adresou bude na blacklistování mnohem náchylnější, než velký freemail s větším množstvím serverů

ohlídat si aby se na blacklistech neobjevila.

To by mne zajímalo, jak si to chcete ohlídat. Provozovatel blacklistu vás na něj může zařadit bez ohledu na to, co si to tom myslíte, zda o blacklistu vůbec víte nebo co děláte. Pravidla pro zařazení na takové blacklisty jsou velmi obskurní a zahrnují věci, které nemůžete ovlivnit. Podívejte se třeba na ten SORBS, jaké tam mají databáze – a když už je nějaký administrátor používá pro odmítání e-mailů, určitě použije rovnou dnsbl.sorbs.net.

4057

Software / Re:Barevné formátovaní výstupu příkazů

« kdy: 04. 02. 2017, 19:00:51 »

Ve scriptech se to naparsuje naprosto bez problemu, pokud je implementace rozumna. Napriklad defaultni chovani ls na Archu a Ubuntu (a pocitam, ze temer kdekoli jinde): v terminalu pekne obarvickovane a vice jmen na radku. Pri vystupu jinam (roura, redirekce do souboru) zadne ANSI sekvence a co soubor to novy radek.

Tohle chování, kdy se výstup mění podle toho, co ukáže křišťálová koule, mi dost vadí. Jsem mnohem radši, když se to určuje nějakým přepínačem a program se nepokouší nic hádat. Protože pak píšu skript, potřebuju vidět, jak výstup vypadá, abych ho mohl rozparsovat, a musím hledat, jak dostat na terminál stejný výstup, jako dostávám ve skriptu. Nebo se naopak v terminálu vše hezky obarvuje, přidám | less a barvy jsou pryč, protože program zjistil, že výstup nejde na terminál ale do roury.

4058

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 04. 02. 2017, 15:39:06 »

Není to nějaký obskurní blacklist, který využívají 4 servery v Ugandě, ale je široce používaný po celém světě.

Je to obskurní blacklist široce používaný po celém světě.

Můžu si o jeho fungování myslet, co chci, ale když pak nechodí maily na půlku německých domén, tak mě prostě zákazník nepochválí a je mu jedno, že skoro všichni administrátoři v Německu jsou "debilové"...

Vy nemůžete ovlivnit, jestli vaše IP adresy na tom blacklistu budou nebo nebudou. Můžete nabídnout prémiovou službu, že budete udržovat dostatečně velký pool IP adres z různých sítí po celém světě, abyste zvýšil pravděpodobnost, že některá z těch adres na blacklistu nebude. Ať si zákazník vybere, zda se mu vyplatí posílat e-maily i těm, kteří je nechtějí.

4059

Server / Re:IP adresy Gmailu jsou na blacklistu SORBS DNSBL

« kdy: 04. 02. 2017, 14:04:34 »

Tak on to není nějaký blacklist, ale je to SORBS, který je široce používaný.

Ano, to je přesně jeden z těch blacklistů, o kterých jsem psal. Pokud ho někdo používá, asi nechce dostávat e-maily. Jeden takový exemplář máte o příspěvek výše.

Řešili jsme podobný problém a obesílat (v našem případě) jen v Německu stovky administrátorů mi nepřijde jako dobré řešení Jak z toho nevím...

Na straně odesílatele nijak. Jediné řešení by bylo vybudovat blacklist těch, kteří na příjmu tyhle blacklisty používají – a pak by se musela najít dostatečná masa serverů, které by na servery na tomhle blacklistu vůbec nedoručovaly. Když e-maily nechtějí, tak je nechtějí. Jenže to je nereálné, protože velké hráče to netrápí – ty mají tihle „správci“ na whitelistu (a nedojde jim, že je na tom blacklistu asi něco špatně, když musí tyhle servery whitelistovat).

4060

Server / Re:Gmail a 550 5.7.0 Your server IP address is in the SORBS DNSBL database, bye

« kdy: 03. 02. 2017, 17:40:42 »

Jestli to chápu správně, řešíte problém, že správce nějakého poštovního serveru používá nějaký blacklist pro tvrdé odmítání e-mailů, a vaše e-maily se nedoručují adresátům toho poštovního serveru. A shodou okolností se vám nedoručují ani e-maily poslané přes GMail, protože i servery GMailu jsou na tom blacklistu.

Jediné, co s tím můžete dělat, je poslat e-mail dotyčnému správci a nějak slušně se mu pokusit vysvětlit, že to, co dělá, je nebetyčná hloupost, protože na těchhle seznamech je směs všech možných adres, včetně velkých hráčů jako GMail, Seznam nebo MailChimp (a pokud na nějakém seznamu nejsou zrovna teď, byly na něm v minulosti a budou v budoucnosti). Takže tím blokováním pouze přichází o legitimní poštu. Provoz těch blacklistů je většinou akorát byznys, kdy si provozovatel nechává platit za rychlé odstranění z blacklistu.

Případně pokud je to nějaký server, kde mají uživatelé na výběr (freemail, e-mail ISP), doporučte adresátům, ať přejdou k jinému provozovateli e-mailového serveru, freemailů je k dispozici dost.

4061

Sítě / Re:Packet inspection vs. šifrování

« kdy: 30. 01. 2017, 22:09:10 »

Dej uživateli nástroj, aby mu prohlížeč běžel v „sandboxu“ a nemohl ohrozit jeho data a ostatní aplikace běžící na jeho počítači. Zajisti, aby proces prohlížeče mohl přistupovat jen k serverům na internetu a nemohl se připojovat k ničemu na LAN

xkcd: Authorization

4062

Sítě / Re:Packet inspection vs. šifrování

« kdy: 30. 01. 2017, 21:10:02 »

Resim spise tu problematiku obecne, tzn. cim vice bude sifrovane komunikace, tim hure se bude dat detekovat na siti resp. identifikovat zname druhy utoku resp. spise provozu.

…

Chci spise zjistit jak nejlepe monitorovat "bezne chovani" na siti a pokud napr. nejaky skodlivy kod zacne z moji site odesilat data nebo se sirit, tak tuto komunikaci "zariznout". Jako priklad jsem uvedl "zavirovane stranky" a jak se Pepa nevedomky stane obeti utoku, ale protoze na strankach je roztomily obrazek kocicky, posle to i Frantovi. Franta by uz mel ale mit stranky znepristupnene protoze IDS/IPS uz bude vedet, ze se napr. z Pepova prohlizece zacaly odesilat nejaky fragmenty dat na podivnou IP/url.

…

Vysledek by mel byt ten, ze pokud napr. se nakazi jeden pocitac, stihne nakazit maximalne dalsi tri v siti, ale pote uz bude znama signatura komunikace a sitova pravidla jednoduse pakety zahodi nebo s nimi provedou neco jineho, co neohrozi ostatni pocitace v siti.

To, co popisujete, neřeší podstatu problému, ale původní problém ignoruje a pak se ho snaží někde cestou dohonit. Nejste v tom sám, ve skutečnosti v tom s vámi jede velká část bezpečnostního IT průmyslu. A i tam to má jakousi historickou logiku, protože když je problém v bezpečnostním modelu proprietárních Windows, těžko mohou externisté ten problém opravit a jediné, co jim opravdu zbývá, je pokusit se ten problém dohonit někde venku. Předpokládám ale, že vy se ptáte na nějaké řešení v dlouhodobějším horizontu, které bude použitelné i ve světě, kde bude kladen velký důraz na ochranu soukromí, tudíž i na end-to-end šifrování komunikace.

„Identifikovat známé druhy útoků“, „detekovat známý provoz“, „stihne nakazit tři počítače v síti“ – to přece nechcete, to jsou jenom špatné nástroje. To, co popisujete, je jako kdybyste svůj majetek „chránil“ tak, že doma nebudete mít žádný dveře natož zámky, všechno bude volně přístupné, lidi budou chodit dovnitř a ven – a vy budete neustále zdokonalovat techniky, jak venku na náměstí poznávat, který člověk nese co vašeho, jak odlišit „běžné chodce“ o těch, kteří od vás právě odcházejí s lupem.

Jako příklad jste uváděl webový prohlížeč. Tam útoky vypadají tak, že existuje nějaká (alespoň pro někoho) známá chyba, třeba buffer overflow při zpracování obrázku. Abyste ten útok dokázal zachytit na síti, musíte jednak tu chybu znát, a pak se musíte pokusit z probíhající komunikace uhodnout, že se někdo pokouší tu chybu zneužít. Což může být dost pracné, navíc prohlížeč může komunikovat s mnoha servery a dokonce přes víc sítí (může mít jeden soubor nakešovaný z připojení přes WiFi v domácí síti a druhý si stáhne přes kabel v práci). Navíc celé to pracné hádání je dost zbytečné, protože když už je ta chyba známá, je nejsnazší jí opravit (nebo alespoň nějak zalátat) právě v tom prohlížeči. A skutečné řešení pak spočívá v tom, že i jednotlivé komponenty prohlížeče od sebe musí být oddělené a musí mezi nimi fungovat bezpečnostní bariéry. Webový prohlížeč je dnes už vlastně takový druhý operační systém, a stejně jako v operačním systému máte alespoň oddělené uživatele a lépe i procesy a ne každý proces může dělat cokoli, stejně to bude muset být i ve webovém prohlížeči a v dalších komplexnějších programech. Komponenta pro vykreslování obrázků nepotřebuje komunikovat přes internet, a je neudržitelné, aby chyba v takové komponentě umožnila spustit kód, který může v prohlížeči udělat cokoli (jakoby běžel v prohlížeči s pomyslnými rootovskými právy).

Na úrovni počítačové sítě pak půjde spíš o ochranu vlastních zařízení před útoky zvenčí (tj. aby nebyla zařízení napadnutelná známými chybami) a pak hlavně asi dohledatelnost, tj. abyste byl schopen určit, kdo je za které zařízení zodpovědný.

4063

Vývoj / Re:pseudocode-minimalisticka syntaxe

« kdy: 29. 01. 2017, 14:06:42 »

ono zadani v prirozenem jazyce je asi nejlepsi ale programatori maji tendenci najit si vymluvu ze zadani je nejednoznacne, zakaznik nevi co chce, meni pozadavky .. proto bych rad to trochu formalizoval aby programator nemel jak klickovat ...

To, že zadání je nejednoznačné, zákazník neví co chce a mění požadavky, je pravda – ale žádný formalizovaný jazyk to nespraví. Protože zákazník pořád nebude vědět, co chce, a bude měnit zadání, a v tom formalizovaném jazyce to psát nebude. Takže musíte mít někoho, kdo to bude z jazyka zákazníka překládat pro programátora, kdo se se zákazníkem bude o jeho požadavcích bavit a bude mu pomáhat zjistit, co vlastně chce. Říká se tomu analýza a může jí dělat buď analytik, nebo přímo programátor – samozřejmě pokud k tomu má schopnosti a „zákazník neví co chce“ pro něj není výmluva, ale informace, že o tom se zákazníkem málo mluvil.

4064

Vývoj / Re:pseudocode-minimalisticka syntaxe

« kdy: 29. 01. 2017, 13:10:54 »

Myslím, že takovým minimálním jazykem jsou operace Turingova stroje. Jinak ale programování funguje přesně opačně – zadání máte vyjádřeno bohatým přirozeným jazykem, a programátor to musí převést do primitivního jazyka počítačů.

4065

Sítě / Re:Packet inspection vs Encryption

« kdy: 27. 01. 2017, 19:34:55 »

jak moc asi predevsim https muze stizit zivot adminum?

Opravdu si myslíte, že se ten škodlivý kód může dostat do počítače jenom přes HTTPS? Nemůže se tam dostat i kterýmkoli jiným protokolem, přes flash disk, nemůže ho tam uživatel prostě vytvořit?

Podle mne je neudržitelné snažit se kontrolovat jeden druh komunikace. Spíš dává smysl oddělovat aplikace a povolit jim jenom to, co mají dělat. Jako je to na mobilních platformách (iOS a Android). Antivir teoreticky JavaScript kontrolovat může, ale pokud už je známá nějaká díra v prohlížeči, je lepší opravit ten prohlížeč než se pokusit antivirem odhalit kód, který tu chybu zneužívá.