Stranezza.. forse sono stato bucato?

[Derevko]

il problema era:

se uno parla di "failure notice" le considero failure vere di email il cui invio è fallito...

presumo quindi ci sia uno spammer che come sender usa il suo indirizzo email... dei milioni di email che invia qualche centinaia di migliaia sicuramente torna indietro (perchè filtrata da antispam, o indirizzi non validi etc...)

Sono tutti bounce causati da destinatari inesistenti. Il problema sono infatti tutti gli smtp che mandano stupidi bounce che creano backscatter.

è successo anche a me su certi domini di avere il mio indirizzo come sender e lo spam non era diretto a me tramite "failure notice" di rimbalzo ma semplicemente lo usavano mandando come sender il mio indirizzo.

Appunto, come sopra.

se usi spf e qualcuno tenta di inviare una email a gmail mettendo come sender il tuo indirizzo gmail penso la rifiuti (se hai impostato l'spf con l'hard fail o come si chiama) e in quel modo il mio problema è risolto...

io metto a disposizione tutte le info per impedire che il mio indirizzo email sia usato come sender nello spam...

a quel punto sta all'isp che riceve verificare l'spf... i servizi di email seri lo fanno (gmail)...

Pensi male gmail non blocca in base a spf (verificato pochi minuti fa). Lo usa solo con determinati domini a rischio (banche posta ecc.)

ovviamente nessun ISP il cui target è l'"utente rimbambito ma che si lamente se riceva spam" lo fa in uscita perchè è pieno di poveretti che inviano email usando smtp "random" e non quelli forniti dall'isp stesso...

Un po' una contraddizione eh, se usi l'smtp fornito dal provider SPF se ne va a farsi benedire

li è semplicemente un problema di incompetenza degli utilizzatori e non mi tocca minimamente... io l'spf come record del dominio ce l'ho... se l'utente non vuole verificarlo perchè non ne è capace o non lo ritiene opportuno sono affari suoi... basta che non si lamenti e soprattutto CHE NON MANDI FAILURE NOTICE A ME ma che rifiuti immediatamente il messaggio anzichè accettarlo nella coda...

Lo riscrivo in altro modo SPF *NON* serve per i failure notice...

il discorso del
è giustissimo... quindi? teniamo lo spam con mittente @poste.it ma inviato da isp koreani e facciamo a meno di usare SPF perchè tanto è pieno di morti di fame che si fanno la mail libero.it accessibile solo via webmail?

Permettimi di dire che hai le idee un po' confuse. Non vedo nessuna relazione tra lo spam koreano e la mail libero.it accessibile solo via webmail, mi illumini?

[Uno]

Destinatari inesistenti ma se il server di arrivo avesse richiesto l'spf a Fillo non avrebbe neanche rimandato il failure notice (quindi con risparmio di banda)

Quello che volevo dirti e che fingi di non capire che se il 100% (vista la facilità) dei domini regolari inserisse il record nei dns ed un'alta percentuale (se non tutti) lo verificasse in entrata qualsiasi tipo di spamming terminerebbe in maniera ben più semplice dei filtri antispam.

I gestori grandi controllano l'entrata (forse non sempre, ma mi è capitato), nell'esempio che ti facevo prima di avere il record nel dns mi venivano rifiutate mail da yahoo (sarà una coincidenza, non ho verificato) e altri ora non più

[incal]

Salve,
mi sono iscritto da poco al forum. Volevo dire Fillo che che capisco la sua apprensione. Io sono il webmaster di una piccola realtà ed ultimamente devo fare i conti con il fenomeno del backscatter, che mi sembra in aumento.
Proprio in questo momento sto cercando di implementare dei filtri sugli header dei messaggi in arrivo per cercare di limitare i danni, la sintassi regexp o pcre mi è sempre rimasta ostica!!

buona fortuna a tutti, l'argomento è veramente rognoso

[Derevko]

Destinatari inesistenti ma se il server di arrivo avesse richiesto l'spf a Fillo non avrebbe neanche rimandato il failure notice (quindi con risparmio di banda)

Quello che volevo dirti e che fingi di non capire che se il 100% (vista la facilità) dei domini regolari inserisse il record nei dns ed un'alta percentuale (se non tutti) lo verificasse in entrata qualsiasi tipo di spamming terminerebbe in maniera ben più semplice dei filtri antispam.

I gestori grandi controllano l'entrata (forse non sempre, ma mi è capitato), nell'esempio che ti facevo prima di avere il record nel dns mi venivano rifiutate mail da yahoo (sarà una coincidenza, non ho verificato) e altri ora non più

Ma hai letto attentamente i miei messaggi precedenti? Temo di no!

Se chiedi a qualsiasi sistemista che abbia studiato a fondo SPF ed in generale le problematiche di un server smtp *di qualità*, non può non risponderti che SPF presenta *TROPPE* controindicazioni che lo rendono inevitabilmente un approccio da scartare.

Ripeto quello che ho scritto sopra. Ci sono almeno 4 *GROSSI* problemi.

1) Il forwarding *NON* funzionerebbe più, verrebbe bloccato
2) Ci sono hoster che per ragioni varie *NON* offrono smtp per invio
3) Iniziano ad esserci provider (fino a qualche tempo fa tele2, non so se lo fa ancora) che bloccano la porta 25 in uscita, consentendo l'invio delle email *SOLO* tramite proprio smtp
4) Gli utenti medi, non sono educati per usare un smtp diverso per ogni account


Detto questo, se sei un grosso ESP che ha seri problemi di spam (vedi hotmail), te ne freghi di tutto e lo usi (per la serie: il cane ha le pulci? Diamogli fuoco e risolviamo il problema). Se invece sei un sistemista di un piccolo/medio provider, isp, o simile, analizzi la situazione e capisci che il gioco non ne vale assolutamente la candela. Oltretutto con RBL e altri piccoli accorgimenti (mettici pure greylist che sta diventando sempre più inutile), arrivi al 95% di spam bloccato con paca fatica e risorse.

Ti prego di rispondermi seriamente, non con "Tanto non costa niente aggiungere un record al dns", perchè altrimenti rischi di farmi pensare che conosci SPF in maniera assolutamente approssimativa

[Uno]

Se chiedi a qualsiasi sistemista che abbia studiato a fondo SPF ed in generale le problematiche di un server smtp *di qualità*, non può non risponderti che SPF presenta *TROPPE* controindicazioni che lo rendono inevitabilmente un approccio da scartare.

E se ti dicessi che quelli che tu vedi come controindicazioni io li vedo come punti di forza?

Ripeto quello che ho scritto sopra. Ci sono almeno 4 *GROSSI* problemi.

1) Il forwarding *NON* funzionerebbe più, verrebbe bloccato
2) Ci sono hoster che per ragioni varie *NON* offrono smtp per invio
3) Iniziano ad esserci provider (fino a qualche tempo fa tele2, non so se lo fa ancora) che bloccano la porta 25 in uscita, consentendo l'invio delle email *SOLO* tramite proprio smtp
4) Gli utenti medi, non sono educati per usare un smtp diverso per ogni account

1) magari si eliminerebbe qualche catena di S.Antonio, ma se l'utente si imposta bene gli smtp per i vari account non vedo come si bloccherebbe il forwarding normale, approfitto della tua sapienza con piacere.
2) Dipende che hoster sono, se pago una casella mail (compresa o meno nel servizio hosting o solo casella) ne riparliamo
3) Se si crea il caso vediamo che soluzione adotteranno
4) Gli utenti medi non sono educati in nulla, quando provano ad inviare a non funzia si svegliano

Poi sai che ti dico? Hai perfettamente ragione di pensarla come la pensi, se per te le cose stanno così, per me no e non voglio che un dialogo sereno possa diventare uno scontro, tanto i sysadmin faranno come gli pare, e visto che non è un problema di sicurezza non ci perderanno troppo tempo.

Salutoni

[Derevko]

E se ti dicessi che quelli che tu vedi come controindicazioni io li vedo come punti di forza?

Immaginerei che non hai letto o capito bene, o che non sei addetto ai lavori.

1) magari si eliminerebbe qualche catena di S.Antonio, ma se l'utente si imposta bene gli smtp per i vari account non vedo come si bloccherebbe il forwarding normale, approfitto della tua sapienza con piacere.

Catena di S. Antonio? Forse non sono stato chiaro io, per forwarding intendo mailbox@dominio1 alias di mailbox@dominio2

http://www.openspf.org/FAQ/Forwarding

Does SPF break forwarding?

Yes, but only if the receiver checks SPF without understanding their mail receiving architecture. If receivers are going to check SPF, they should whitelist forwarders that do not rewrite the sender address from SPF checks.
Stuart Gathman's opinion is recorded at http://archives.listbox.com/spf-disc...0410/0488.html and updated here.
Assuming the recipient does not whitelist forwarders, then the answer is: Yes, it does break forwarding. You (the forwarder) will have to switch from forwarding, where the envelope sender is preserved, to remailing, where the envelope sender is changed. But don't worry, there are SRS plugins for major opensource MTAs. There are also SRS patches in the works for four major opensource MTAs, so that when you upgrade to an SPF-aware version, this problem will be solved also.
If your forwarding runs through a commercial service like pobox.com, you shouldn't have to do anything. They have to change with the times, and perform the above rewriting automatically for you. SRS is a structured standard that helps them adapt.

La soluzione sarebbe quindi di patchare i vari MTA, peccato che nessuno mi darà mai la garanzia che il server smtp del mittente lo abbia fatto...

2) Dipende che hoster sono, se pago una casella mail (compresa o meno nel servizio hosting o solo casella) ne riparliamo

Eh? Non ho capito scusa... Ti posso solo dire che ci sono, vedi Noamweb ad esempio.

3) Se si crea il caso vediamo che soluzione adotteranno

Ti ho già detto che c'è, tele2. Se non mi credi googla

4) Gli utenti medi non sono educati in nulla, quando provano ad inviare a non funzia si svegliano

No, l'utente medio quando non funziona chiama il call center che dovrà perdere tempo a spiegargli il perchè non funziona. E anche qui rientra il discroso costi/benefici

Poi sai che ti dico? Hai perfettamente ragione di pensarla come la pensi, se per te le cose stanno così, per me no e non voglio che un dialogo sereno possa diventare uno scontro, tanto i sysadmin faranno come gli pare, e visto che non è un problema di sicurezza non ci perderanno troppo tempo.

Salutoni

Vorrei solo farti capire che controindicazioni in questo caso vuol dire falsi positivi. Se analizzi lo scenario attentamente, capirai che bloccare con SPF genera una enorme quantità di falsi positivi inaccettabili.

[Shazan]

Gli utenti medi, non sono educati per usare un smtp diverso per ogni account

Fra l'altro esistono client di posta, come Thunderbird ad esempio, che non lo consentono... anche volendo.

[Luca]

Fra l'altro esistono client di posta, come Thunderbird ad esempio, che non lo consentono... anche volendo.

nella versione che uso io (2.0) c'è la possibilità di impostare un smtp diverso per ogni account

[Shazan]

Forse in Thunderbird per Windows, ma nella versione per linux non c'è neanche nella 2.0.

Comunque il problema del backscattering si risolverebbe se tutti i server di posta rifiutassero i messaggi durante la conversazione SMTP e non dopo averli accettati e tenuti in coda. In questo secondo caso dovrebbero evitare di rispondere al "presunto" mittente. Purtroppo non tutti i server di posta sembrano essere così "intelligenti" (vedi MailEnable)...

Trovo sia più importante questo che non implementare SPF, onestamente.

[Derevko]

Forse in Thunderbird per Windows, ma nella versione per linux non c'è neanche nella 2.0.

C'è anche nella versione per Linux.

[Uno]

Ricordavo che esistesse in thunderbird già diversi anni fa (versioni 0, qualcosa) e mi sembra strano che in linux non ci sia (uso kmail) dato che utilizzano le stesse librerie. Prova a vedere Shazan, se ricordo bene non era molto intuitivo, è da cercare... comunque esiste un'estensione smtpswitch.

Spf se fosse implementato farebbe il controllo prima e tra l'altro eliminerebbero anche il pishing... in soldoni, per quanto a tutto si trova la scappatoia, in linea di massima si avrebbe un pelo di sicurezza in più che se mi arriva una mail da tizio del dominio x è realmente tizio del dominio x

Veniamo a Derevko

Catena di S. Antonio? Forse non sono stato chiaro io, per forwarding intendo mailbox@dominio1 alias di mailbox@dominio2

D'accordo avevo capito male, stavamo parlando di incapacità di utenti e ho capito male, bevi pure alla mia salute. Comunque ti sei trovato la soluzione da solo, se tutti (o tanti) usassero spf, non sarebbe poi così complicato patchare no?.
Io personalmente (ma ovviamente è una mia opinione in base ai miei bisogni) preferirei piuttosto non "forwadarmi" le mail, ma avere meno porcherie che girano.

Originalmente inviato da Uno
2) Dipende che hoster sono, se pago una casella mail (compresa o meno nel servizio hosting o solo casella) ne riparliamo

Eh? Non ho capito scusa... Ti posso solo dire che ci sono, vedi Noamweb ad esempio.

Senza aver nulla con Noamweb se io pago una casella mail voglio anche l'smtp, potrei avere solo quella, come dovrei fare? Riparliamo inteso con l'hoster

Originalmente inviato da Uno
3) Se si crea il caso vediamo che soluzione adotteranno

Ti ho già detto che c'è, tele2. Se non mi credi googla

Stesso discorso, non era che non ti credevo, intendevo che spf fosse abbastanza diffuso a fronte di richieste, lamentele e che altro voglio vedere se mi permetti di usare l'smtp che mi garba... io lo vorrei comunque spf a prescindere.

Originalmente inviato da Uno Visualizza messaggio
4) Gli utenti medi non sono educati in nulla, quando provano ad inviare a non funzia si svegliano

No, l'utente medio quando non funziona chiama il call center che dovrà perdere tempo a spiegargli il perchè non funziona. E anche qui rientra il discroso costi/benefici

Il tuo è un ragionamento meglio l'uovo oggi che la gallina domani, nulla da eccepire, come detto sopra ognuno la pensa come vuole, ma vista in un ottica più grande le cose cambierebbero se usato per bene questo sistema (ma non è che io sia innamorato di spf, se ne inventano uno meglio che fa la stessa cosa mi va bene uguale), il discorso invece è che a qualcuno (non dico te) non piacerebbe che si potesse ripulire una buoan fetta di spam, pishing e simili.

lascio pure io qualcosa, in italiano, a chi interessa approfondire

http://www.tana.it/pro-spf.html
http://www.soft-land.org/articoli/greylist
http://www.linuxfocus.org/Italiano/D...ticle354.shtml

Non sono siti miei, se i link sono contro il regolamento prego i moderatori di toglierli

[Shazan]

In "impostazioni account" vedo che è possibile aggiungere dei server SMTP ma non come associarli alle varie mailbox, oltre ad un messaggio che sconsiglia di aggiungerli ai non esperti. Poi non so se l'associa automaticamente in base alle credenziali di autenticazione. Se dovesse essere così chiedo venia per l'inesattezza, anche se trovo comunque più comodo utilizzare un solo SMTP per tutti gli account.

Riguardo alla connessione alla porta 25, mi segnalano che, oltre a Tele2, anche H3G non la consente.

Edito per rispondere ad Uno che, anche se hai una sola mailbox, l'ISP che ti fornisce connettività, tra i vari servizi, ti fornirà sicuramente anche un server SMTP, quindi il problema non sussiste.

[gorkon]

OFF TOPIC BOX

In "impostazioni account" vedo che è possibile aggiungere dei server SMTP ma non come associarli alle varie mailbox, oltre ad un messaggio che sconsiglia di aggiungerli ai non esperti Quando hai più di un server smtp definito appare una combo box che ti permette di selezionare quello da associare all'account (volendo puoi anche selezionare un smtp diverso per ogni identità definita in un account, specie se hai un unico account per la posta in arrivo - fetchmail o simili - e diversi indirizzi con diversi server smtp).

[Derevko]

D'accordo avevo capito male, stavamo parlando di incapacità di utenti e ho capito male, bevi pure alla mia salute. Comunque ti sei trovato la soluzione da solo, se tutti (o tanti) usassero spf, non sarebbe poi così complicato patchare no?.
Io personalmente (ma ovviamente è una mia opinione in base ai miei bisogni) preferirei piuttosto non "forwadarmi" le mail, ma avere meno porcherie che girano.

Quella non è una soluzione, è un'utopia.

Stesso discorso, non era che non ti credevo, intendevo che spf fosse abbastanza diffuso a fronte di richieste, lamentele e che altro voglio vedere se mi permetti di usare l'smtp che mi garba... io lo vorrei comunque spf a prescindere.

Guarda che il non permettere di usare altri smtp è una soluzione anti-spam molto estrema ma anche molto efficace. Paradossalmente tale politica è molto ma molto più efficace di SPF. Non per questo mi aspetto che tutti la adottino.

Il tuo è un ragionamento meglio l'uovo oggi che la gallina domani, nulla da eccepire, come detto sopra ognuno la pensa come vuole, ma vista in un ottica più grande le cose cambierebbero se usato per bene questo sistema (ma non è che io sia innamorato di spf, se ne inventano uno meglio che fa la stessa cosa mi va bene uguale), il discorso invece è che a qualcuno (non dico te) non piacerebbe che si potesse ripulire una buoan fetta di spam, pishing e simili.

In questo periodo sto analizzando il traffico mail di un noto (direi medio) isp. Con RBL, badhelo, badhost, e qualche altro piccolo accorgimento arrivo tranquillamente a segare il 95% di spam. L'altro 5% lo mando al mail filter che mi toglie un altro 3% circa. Con questo scenario (abbastanza tipico) è assurdo imbarcarsi in SPF che oggettivamente funziona *MALE*.
Una cosa deve funzionare bene e subito, senza "se" e "ma".
Il tuo discorso va bene per realtà grosse come hotmail, a cui non importa praticamente nulla di segare mail legittime (non a caso Hotmail è l'unica entità rilevante che promuove SPF)

Se ad uno che paga un servizio che blocca email legittime tu rispondi "È colpa del mondo che non utilizza SPF", quello oltre a prenderti a cazzotti ti dà pure dell'imbecille.

[Shazan]

OFF TOPIC BOX

Quando hai più di un server smtp definito appare una combo box che ti permette di selezionare quello da associare all'account (volendo puoi anche selezionare un smtp diverso per ogni identità definita in un account, specie se hai un unico account per la posta in arrivo - fetchmail o simili - e diversi indirizzi con diversi server smtp).

Grazie