Pošta z Gmail.com má zpoždění několik hodin

[Filip Jirsák (forum)]

Pane Jirsáku, vy toho ale zjevně tedy nechápete o dost víc. Nic ve zlém. Tohle je prostě praktická zkušenost -- a zdaleka nejen má. Můžete si proti tomu od vašeho stolu vymýšlet celkem co chcete, je to úplně jedno, tomu se člověk může leda smát. Negativní dopady má zrovna tohle minimální. Proto se to taky používá. Teoretici jako vy mě prostě nepřestanou bavit...

Však já jsem také nerozporoval vaši praktickou zkušenost. Jenom jsem konstatoval, že tu praktickou zkušenost nedokážete zpracovat, tím pádem ji neodkážete předat dál. Vy jste se prostě někde něco dozvěděl, vyzkoušel jste to, máte pocit, že to funguje – tak to používáte. Ale nevíte proč to funguje; nevíte, zda to stále ještě funguje; nevíte, zda by to nemohlo fungovat lépe.

To, že greylisting už nepoužívají, tu píšou lidé z praxe. To není žádná teorie. A ano, určitě jsou správci, kteří greylisting používají, a mají k tomu své důvody. A pak jste vy, který greylisting používáte, ale důvody proč nevíte. OK, to je vaše věc, klidně ho dál používejte. Ale do diskuse nemáte čím přispět. Když ani nechápete, že je potřeba hodnotit přínosy i negativa zvoleného řešení.

[Reklama]

[BobTheBuilder]

Greylisting je dobrý jen k tomu, že odliší skutečný server (s frontami atd.) od jednoúčelové aplikace, která vychrlí spamy.
Jenže tyhle vychrlené maily nebudou mít DKIM (kde by získali klíč, který odpovídá podpisu z DNS) a z podvržené odesílací adresy se netrefí do oprávněného serveru pro danou doménu ze SPF. Pokud použijí neexistující doménu, narazí to taky (a nebude SPF ani DKIM).
Greylisting je tedy vesměs zbytečný a proti respektování DMARC (SPF, DKIM) a existence domény odesílatel nepřinese nic nového. Zato vám zdrží maily a při více odesílacích serverech u velkých hráčů to může pěkně zasukovat komunikaci.
A když ty velké hráče dáte na white list, musíte ten white list udržovat. On je ten white list shodný se SPF, takže jsme zase zpátky, proč greylisting vůbec provozovat, když každý, kdo chce komunikovat s těmi velkými, musí mít v pořádku DMARC.

[jjrsk]

To vypada, ze taky netusis jak to funguje ...

Na vsechno cos tu vyjmenoval musis nejdriv ten mail prijmout a co hur, nejak zpracovat, zatimco greylist ho vubec neprijme. Poslu ti miliardu spamu ... dokonaly dos na tvuj mta. Uzij si overovani dkim.

[Filip Jirsák (forum)]

To vypada, ze taky netusis jak to funguje ...

Nebo to netušíte vy.

Na vsechno cos tu vyjmenoval musis nejdriv ten mail prijmout a co hur, nejak zpracovat, zatimco greylist ho vubec neprijme. Poslu ti miliardu spamu ... dokonaly dos na tvuj mta. Uzij si overovani dkim.

Taky se na to můžete dívat tak, že e-maily, které nakonec greylistem projdou, musíte s greylistem zpracovávat vícekrát (alespoň nějaká metadata o nich), zatímco bez greylistu je zpracováváte jen jednou. Přičemž to, zda e-mail projde nebo neprojde přes greylist, nemůžete ovlivnit – pro spammera je dost jednoduché zkusit e-mail odeslat vícekrát.

Navíc jste jaksi zapomněl, že i ten greylist má nějakou režii. Že si musí pamatovat, kdo už se pokoušel nějaký e-mail doručovat. Takže když vám někdo pošle miliardu spamu na váš greylist, budete si muset uložit miliardu záznamů – což bude nejspíš dokonalý útok na váš greylist.

[rmrf]

Takže když vám někdo pošle miliardu spamu

Když se někdo pokusí poslat spam, tak se dostane na blacklist. A to daleko dřív, než toho spamu bude miliarda.

[Reklama]

[Filip Jirsák (forum)]

Když se někdo pokusí poslat spam, tak se dostane na blacklist. A to daleko dřív, než toho spamu bude miliarda.

Ta lepší varianta je, že nesledujete kontext diskuse a tak nevíte, že se tu bavíme o greylistingu. Horší varianta by byla, kdybyste si myslel, že se někdo na základě greylistu dostane na blacklist.

[Docent Chocholoušek]

Navíc jste jaksi zapomněl, že i ten greylist má nějakou režii. Že si musí pamatovat, kdo už se pokoušel nějaký e-mail doručovat. Takže když vám někdo pošle miliardu spamu na váš greylist, budete si muset uložit miliardu záznamů – což bude nejspíš dokonalý útok na váš greylist.

Takhle to ale opravdu nefunguje... to funguje na bázi IP adresy, obálkového odesilatele a příjemce.

[Martin Poljak]

Ach jo, to je zase sjezd lumenů, co všechno ví, všechno viděli, všude byli a od všeho mají klíče.

Greylisting je dobrý jen k tomu, že odliší skutečný server (s frontami atd.) od jednoúčelové aplikace, která vychrlí spamy.

Ano! A představ si, že jen tohle samo o sobě bez jakýchkoliv komplexnějších filtrů stačí na to, aby to odfilrovalo 70 až 90 % spamu. Z praxe.

Greylisting je tedy vesměs zbytečný a proti respektování DMARC (SPF, DKIM) a existence domény odesílatel nepřinese nic nového.

Jenomže to je právě ta výhoda. Že není nic sofistikovaného třeba řešit.

Zato vám zdrží maily a při více odesílacích serverech u velkých hráčů to může pěkně zasukovat komunikaci.

Jo, je fakt hrozná katastrofa, že mi jednou za rok mail s ověřovacím kódem od někoho, s kým jsem ještě nekomunikoval přijde o několik minut později.

A když ty velké hráče dáte na white list, musíte ten white list udržovat.

Proč bych to dělal? Ti s tím problém fakt nemají.

On je ten white list shodný se SPF, takže jsme zase zpátky, proč greylisting vůbec provozovat, když každý, kdo chce komunikovat s těmi velkými, musí mít v pořádku DMARC.

Ať dělám, co dělám, není moc jasné, jak souvisí greylisting s mým vlastním DMARC. Tušíte vůbec, o čem mluvíte?
Ale třeba jen něco chápu špatně; vlastní mailový server si provozuji jenom asi dvanáct let. To ještě nejsou ani dvě dekády... 

[Filip Jirsák (forum)]

Takhle to ale opravdu nefunguje...

Když nevíte, jak to funguje, příště si takovéhle věty odpousťte.

to funguje na bázi IP adresy, obálkového odesilatele a příjemce.

No a s tou trojicí se asi dělá co? Poštovní server si ji (případně její hash) musí uložit, většinou spolu s časem. A když přijde další pokus o doručení e-mailu, podívá se, jestli tuhle trojici už má uloženou. Pokud ano, je to minimálně druhý pokus o doručení a greylist pustí komunikaci do další fáze. Pokud mezi uloženými záznamy není, je to první pokus a záznam se musí uložit pro příště.

Čas je tam pro to, aby se staré záznamy odmazávaly, případně aby bylo možné vyžadovat minimální prodlevu mezi prvním a druhým pokusem.

[Docent Chocholoušek]

No a s tou trojicí se asi dělá co? Poštovní server si ji (případně její hash) musí uložit, většinou spolu s časem. A když přijde další pokus o doručení e-mailu, podívá se, jestli tuhle trojici už má uloženou. Pokud ano, je to minimálně druhý pokus o doručení a greylist pustí komunikaci do další fáze. Pokud mezi uloženými záznamy není, je to první pokus a záznam se musí uložit pro příště.

Prosím pěkně, a kde jsou v tomto řetězci ty miliardy záznamů, co dle předchozího blábolu někam ukládáte?

[Filip Jirsák (forum)]

Ach jo, to je zase sjezd lumenů, co všechno ví, všechno viděli, všude byli a od všeho mají klíče.

Je zajímavé, že se to děje všude, kde se objevíte. A před vámi to tu tak nevypadalo.

A představ si, že jen tohle samo o sobě bez jakýchkoliv komplexnějších filtrů stačí na to, aby to odfilrovalo 70 až 90 % spamu. Z praxe.

Už jsem vám jednou psal, že když vytáhnete ze serveru síťový kabel, odfiltrujete 100 % spamu.

Argumentujete špatným kritériem. A sám se tím špatným kritériem neřídíte. Něco děláte, možná vám to funguje, ale nevíte, proč to děláte – takže vaše rady jsou ostatním k ničemu. Zejména když vaše rady neodpovídají tomu, co ve skutečnosti sám děláte.

Jo, je fakt hrozná katastrofa, že mi jednou za rok mail s ověřovacím kódem od někoho, s kým jsem ještě nekomunikoval přijde o několik minut později.

Vy všechny, s kým už jste komunikoval, dáváte na whitelist? Nejsou už tam všichni? A pokud ne – jste si jist, že někdo, kdo s vámi ještě nekomunikoval, má vůbec šanci vám něco poslat?

Jinak někde se ověřovací e-mail používají jako hlavní nebo dokonce jediný způsob přihlášení. A uživatel zůstane přihlášen třeba jen 30 dnů, někde i výrazně méně.

Navíc se ten e-mail může zaseknout podstatně déle, než jen na pár minut. Mohou to být i hodiny. Což je poněkud hloupé, pokud mát ten přihlašovací kód platnost třeba 5 nebo 15 minut. A i kdyby platil déle nebo se e-mail zdržel kratší dobu – člověk se obvykle přihlašuje do nějaké aplikace proto, že s ní potřebuje pracovat. Teď. Ne až se poštovní server uráčí pustit e-mail dál. Jenom proto, že správce poštovního serveru nechce řešit nic „sofistikovaného“.

Proč bych to dělal? Ti s tím problém fakt nemají.

No ti ne. Problém s tím mají vaši uživatelé.

Ať dělám, co dělám, není moc jasné, jak souvisí greylisting s mým vlastním DMARC. Tušíte vůbec, o čem mluvíte?
Ale třeba jen něco chápu špatně; vlastní mailový server si provozuji jenom asi dvanáct let. To ještě nejsou ani dvě dekády...

Na rozdíl od vás BobTheBuilder ví, o čem píše. Vy tušíte jen velmi mlhavě.

Řeč nebyla o vlastním DMARC, ale o DMARC těch, kteří vám chtějí doručit e-mail. Obvykle totiž nedoručují jen vám, ale také třeba Googlu nebo Microsoftu. A ti už DMARC pomalu vynucují.

Ale třeba jen něco chápu špatně

Teď jste na to kápnul.

vlastní mailový server si provozuji jenom asi dvanáct let. To ještě nejsou ani dvě dekády...

To, že něco provozujete, ještě neznamená, že to provozujete dobře. Ostatně, už jste zde sám prokázal, že ani nevíte, proč něco provozujete tak, jak to provozujete. Protože když se to pokusíte zformulovat, výchází vám z toho nesmysly. Třeba když řešíte jenom to, kolik procent spamu nějaké řešení zastaví, ale už neřešíte, kolik regulérní pošty to zastaví, zdrží nebo učiní nepoužitelnou.

[Filip Jirsák (forum)]

Prosím pěkně, a kde jsou v tomto řetězci ty miliardy záznamů, co dle předchozího blábolu někam ukládáte?

Vždyť už jsem vám to vysvětloval, jak greylisting funguje.

jjrsk my zkusí poslat e-mail z IP adresy 203.0.113.1 s obálkovým odesílatelem spam-1@example.net příjemci franta@example.com. Pokud budu používat greylist, podívám se do záznamů, jestli někdo v poslední době e-mail s touto trojicí údajů zkoušel poslat. Pokud ano, vím, že je to už minimálně druhý pokus o doručení a pustím ho. Pokud ho v záznamech nenajdu, vím, že je to první pokus o doručení, komunikaci ukončím s dočasnou chybou a tu trojici údajů si musím poznamenat.

jjrsk my zkusí poslat e-mail z IP adresy 203.0.113.1 s obálkovým odesílatelem spam-2@example.net příjemci franta@example.com. A opakuje se to samé, jako v předchozím kroku, ale s novou trojicí údajů.

A když mi takhle jjrsk pošle miliardu různých kombinací, budu si muset tu miliardu uložit. Alespoň po dobu, kdy dávám šanci odesílateli opakovat svůj pokus o doručení. Tedy minimálně několik hodin. Ve skutečnosti asi nebudu chtít takové množství záznamů ukládat, takže až dosáhnu nějakého limitu, začnu mazat ty nejstarší, i když ještě neuplynula jejich spotřební lhůta. Jenže mezi těmi záznamy budou zamíchané i záznamy legitimních odesílatelů. Které budu také odmazávat, kvůli přeplnění cache záznamů. Ti tedy budou mít smůlu, a přes můj greylist také neprojdou – alespoň do doby trvání útoku.

Teď už princip fungování poštovního greylistu chápete?

[Docent Chocholoušek]

Vždyť už jsem vám to vysvětloval, jak greylisting funguje.

Aha, jasně, odesilatel spamu si generuje pro každý pokus novou adresu odesilatele, aby si ztížil doručení a aby event. napálený zájemce nemohl reagovat.  Divné, že v reálném světě ještě tento zádrhel nikdo nikdy nezaznamenal. 

Koukám, že zase manická fáze, chce to vážně odbornou pomoc.

[Filip Jirsák (forum)]

Aha, jasně, odesilatel spamu si generuje pro každý pokus novou adresu odesilatele, aby si ztížil doručení a aby event. napálený zájemce nemohl reagovat.  Divné, že v reálném světě ještě tento zádrhel nikdo nikdy nezaznamenal. 

Proč diskutujete o věcech, o kterých nic nevíte? Pokud by odesílatel použil opakovaně stejnou trojici údajů, greylistem projde. Zdejší zastánci greylistu určitě nechtěli ukázat příklad, kdy spamer projde greylistem jak nůž máslem.

Za druhé, napálený zájemce samozřejmě může reagovat ,i když budou adresy odesílatele různé. Taková věc jako „doménový koš“ (kam chodí všechny e-maily pro danou doménu, bez ohledu na lokální část adresy) už byla vynalezena. Pozor, „koš“ znamená, že je to jedno sběrné místo. Neznamená to nutně, že je to odpadkový koš.

Za třetí, ptal jste se, co se ukládá. Ukládá se ta trojice IP adresa, odesílatel, příjemce. I když bude spamer posílat pořád dokola jednomu serveru tu stejnou trojici, greylist si to musí uložit. Bez uložení totiž neví, že někdo tu stejnou trojici použil podruhé a má ho pustit dál.

Koukám, že zase manická fáze, chce to vážně odbornou pomoc.

Tady ovšem psychiatrickou pomoc nehledejte, to jste tu špatně.

[Docent Chocholoušek]

Aha, jasně, odesilatel spamu si generuje pro každý pokus novou adresu odesilatele, aby si ztížil doručení a aby event. napálený zájemce nemohl reagovat.  Divné, že v reálném světě ještě tento zádrhel nikdo nikdy nezaznamenal. 

Proč diskutujete o věcech, o kterých nic nevíte? Pokud by odesílatel použil opakovaně stejnou trojici údajů, greylistem projde. Zdejší zastánci greylistu určitě nechtěli ukázat příklad, kdy spamer projde greylistem jak nůž máslem.

Zdejší zájemci hlavně určitě nepoptávali grafomanické výplody zcela mimo téma. Opět se ptám, kde vznikají ty miliardy záznamů, které v reálném světě nikdo nepozoruje, protože popsaný "problém" z hlediska spammera nedává žádný smysl?

Za třetí, ptal jste se, co se ukládá. Ukládá se ta trojice IP adresa, odesílatel, příjemce. I když bude spamer posílat pořád dokola jednomu serveru tu stejnou trojici, greylist si to musí uložit. Bez uložení totiž neví, že někdo tu stejnou trojici použil podruhé a má ho pustit dál.

Ne, neptal, máte halucinace. A ne, nemusí. Pokud je ten triplet již uložen a jeho platnost nevypršela, tak se nic krom nového timestampu neukládá a žádný další záznam nepřibude, natož aby jich přibývaly miliardy.