Stranezza.. forse sono stato bucato?

[Uno]

Edito per rispondere ad Uno che, anche se hai una sola mailbox, l'ISP che ti fornisce connettività, tra i vari servizi, ti fornirà sicuramente anche un server SMTP, quindi il problema non sussiste.

Sono certo che avrai i tuoi buoni motivi, penso di poterli immaginare, però se dall'altro lato tutti gli isp iniziassero a dire: per usare la posta (quindi anche smtp) devi essere connesso con la nostra linea... e se mi trovo in giro per il mondo con il portatile connesso a tele-machu-picchu?
Ok con una webmail si potrebbe ovviare, ma sinceramente vorrei avere il "mio" (virgoletto mio se sono in hosting) smtp disponibile con password.

------------------------------------------------------

Premessa prima di rispondere a Derevko. Mi sembra (potrei sbagliare) che ti stai alterando un pò, se è così possiamo chiudere il discorso, altrimenti se sbaglio, non ci sono problemi, possiamo discutere, anche se ormai è chiaro che abbiamo la nostra idea, anche fino al 2010.

Quella non è una soluzione, è un'utopia.
Guarda che il non permettere di usare altri smtp è una soluzione anti-spam molto estrema ma anche molto efficace. Paradossalmente tale politica è molto ma molto più efficace di SPF. Non per questo mi aspetto che tutti la adottino.

A parte qualche stupida catena di S.Antonio (anche rara ultimamente per fortuna) non credo (retorico) che il grosso dello spam provenga da linee telecom, tele2, tiscali etc.....
Anche questo dovrebbe essere fatto a livello mondiale per essere efficace, con la differenza che così chiuderesti le fonti e quelle che non vengono chiuse continuerebbero a romperti, invece se chiudo l'arrivo se non sei chi dici di essere me ne frego se in Thailandia la legge è diversa che qui.

In questo periodo sto analizzando il traffico mail di un noto (direi medio) isp. Con RBL, badhelo, badhost, e qualche altro piccolo accorgimento arrivo tranquillamente a segare il 95% di spam. L'altro 5% lo mando al mail filter che mi toglie un altro 3% circa. Con questo scenario (abbastanza tipico) è assurdo imbarcarsi in SPF che oggettivamente funziona *MALE*.
Una cosa deve funzionare bene e subito, senza "se" e "ma".
Il tuo discorso va bene per realtà grosse come hotmail, a cui non importa praticamente nulla di segare mail legittime (non a caso Hotmail è l'unica entità rilevante che promuove SPF)

Io ho compreso tutto quello che vuoi dire anche se a te non sembra, ma insisto che così sarà sempre una rincorsa a rattoppare (va bene nell'immediato nessuno ti dice di no), se spf fosse spinto un pò non vedrei tanto assurdo uno scenario in cui per esempio gli MTA escono già patchati, o con plugin semplici da attivare, insomma già bello che pronto, facile, funzionale ed economico.

Se ad uno che paga un servizio che blocca email legittime tu rispondi "È colpa del mondo che non utilizza SPF", quello oltre a prenderti a cazzotti ti dà pure dell'imbecille.

Ma chi ti ha detto questo? Se rileggi ho detto che prima bisognerebbe sensibilizzare chi usa seriamente la posta, bisognerebbe iniziare intanto tutti ad inserire almeno il record nel dns, quando questo diventa un uso comune (se si spingesse un pò nel giro di un anno, forse meno prenderebbe piede) si potrebbe iniziare ad implementare la ricezione.
A questo punto, sapessi quanto mi costa dirlo, fa bene Microsoft, se siamo come i caproni è giusto che qualcuno ci imponga le cose

saluti a tutti

[Derevko]

Premessa prima di rispondere a Derevko. Mi sembra (potrei sbagliare) che ti stai alterando un pò, se è così possiamo chiudere il discorso, altrimenti se sbaglio, non ci sono problemi, possiamo discutere, anche se ormai è chiaro che abbiamo la nostra idea, anche fino al 2010.

No no, non mi altero, forse mi appassiono troppo e sono poco diplomatico.

A parte qualche stupida catena di S.Antonio (anche rara ultimamente per fortuna) non credo (retorico) che il grosso dello spam provenga da linee telecom, tele2, tiscali etc.....

Anche qui ti sbagli, tempo fa Telecom (interbusiness) era addirittura primo ISP al mondo per invio di spam (http://www.rdinformatica.com/news_rd...o.asp?art=2021)

Probabilmente ti sfugge il fatto che siamo pieni di macchine trojanizzate che mandano spam a raffica.

Io ho compreso tutto quello che vuoi dire anche se a te non sembra, ma insisto che così sarà sempre una rincorsa a rattoppare (va bene nell'immediato nessuno ti dice di no), se spf fosse spinto un pò non vedrei tanto assurdo uno scenario in cui per esempio gli MTA escono già patchati, o con plugin semplici da attivare, insomma già bello che pronto, facile, funzionale ed economico.

Sì ma ripeto, se se se, con i se non si va da nessuna parte.
Nel mio caso, nei server che amministro, SPF non mi dà nessun vantaggio, lo spam lo blocco in altri modi più efficienti e meno invasivi. Ergo per me (ma ti assicuro non solo per me) è una grossa perdita di tempo.

Ma chi ti ha detto questo? Se rileggi ho detto che prima bisognerebbe sensibilizzare chi usa seriamente la posta, bisognerebbe iniziare intanto tutti ad inserire almeno il record nel dns, quando questo diventa un uso comune (se si spingesse un pò nel giro di un anno, forse meno prenderebbe piede) si potrebbe iniziare ad implementare la ricezione.
A questo punto, sapessi quanto mi costa dirlo, fa bene Microsoft, se siamo come i caproni è giusto che qualcuno ci imponga le cose

Come ti ho detto prima, ci sono problemi che allo stato attuale non sono risolvibili o risolvibili facilmente (forward e blocco porta 25), ed è quindi ragionevole dire che SPF nel 90% dei casi è inutlizzabile.
Puoi fare tutte le battaglie ideologiche che vuoi, ma se oggi, 8 aprile 2008, iniziassi a bloccare mail tramite SPF sarei inondato di falsi positivi, clienti che si lamentano, e zero benefici, tutto ciò rende SPF inutilizzabile.
Microsoft fa bene? Mah... da un punto di vista forse sì (non è quello ideologico come tu credi), hanno grossi problemi di spam, e tutto sommato una email free può anche avere una quantità di falsi positivi spropositata.
Sfido comunque chiunque a trovare un servizio di mailing professionale che blocca con SPF (parlo di deny, non di scoring nel mail filter).

[Uno]

Proverò a cambiare approccio vediamo se è possibile capirci Derevko
Io personalmente sul mio unico server (faccio altro per vivere ora) uso rbl, spam filter etc... e grosso modo ho risultati simili ai tuoi... mi passano un paio di mail al giorno (sulle mie caselle) a fronte di centinaia, ho comunque messo il recordino sui dns, e per ora null'altro.
Non ne faccio una questione ideologica, sono certo che sarebbe una buona soluzione, ma se tutti la pensano (o la pensassero) come te non partirà mai (ed è possibile che accada se non ce lo "impongono" i grandi, ma forse anche in quel caso tutti si limiteranno al record sui dns, il che andrebbe bene comunque per chi vuole il resto) .
Ritengo che sia una buona soluzione a regime perchè in quel modo il server che invia certifica che tizio è un suo utente, a quel punto l'indirizzo mail assumerebbe anche più valore di riconoscimento di ciò che è ora.

Molte tecnologie, vedi java e flash tanto per fare esempi banali, all'inizio tagliavano fuori molti utenti che non erano capaci di installare i plugin, in quel caso però il webmaster non poteva scegliere l'implementazione in due fasi: ora aderisco, poi se prende mi adeguo.

Al volo non sono riuscito a trovare una fonte più fresca, ho idea che le cifre oggi dopo un anno siano maggiori, comunque senz'altro autorevole http://www.cnr.it/cnr/news/CnrNews?IDn=1608, in questo studio mi si dice che lo spam (solo europeo) giornaliero è di 61 milardi, quindi mondiale sarà minimo il doppio, i due miliardi della Telecom per quanto tanti non sono il grosso, che ne dici?

Macchine trojanizzate ce ne sono tante, sia come desktop casalingo che come server e/o vps, mi è capitato di vederne qualcuna con il suo bel magazzino di porcherie, ma dai log del server vedo tanta Cina e Asia in generale a pari merito con paesi dell'est Europa, un pò di Usa etc... anche i Tedeschi non scherzano nel settore rompi.

saluti

[Derevko]

Proverò a cambiare approccio vediamo se è possibile capirci Derevko
Io personalmente sul mio unico server (faccio altro per vivere ora) uso rbl, spam filter etc... e grosso modo ho risultati simili ai tuoi... mi passano un paio di mail al giorno (sulle mie caselle) a fronte di centinaia, ho comunque messo il recordino sui dns, e per ora null'altro.

Ci credo che hai messo solo il record, avresti troppi falsi positivi

Non ne faccio una questione ideologica, sono certo che sarebbe una buona soluzione, ma se tutti la pensano (o la pensassero) come te non partirà mai (ed è possibile che accada se non ce lo "impongono" i grandi, ma forse anche in quel caso tutti si limiteranno al record sui dns, il che andrebbe bene comunque per chi vuole il resto) .
Ritengo che sia una buona soluzione a regime perchè in quel modo il server che invia certifica che tizio è un suo utente, a quel punto l'indirizzo mail assumerebbe anche più valore di riconoscimento di ciò che è ora.

Per me una cosa è buona quando funziona bene, ma temo che a te questo punto non interessi.

Molte tecnologie, vedi java e flash tanto per fare esempi banali, all'inizio tagliavano fuori molti utenti che non erano capaci di installare i plugin, in quel caso però il webmaster non poteva scegliere l'implementazione in due fasi: ora aderisco, poi se prende mi adeguo.

Non è un paragone efficace, in quel caso basta installare un qualcosa e stop, tutto funziona. Ed in ogni caso non sono servizi "critici".

Al volo non sono riuscito a trovare una fonte più fresca, ho idea che le cifre oggi dopo un anno siano maggiori, comunque senz'altro autorevole http://www.cnr.it/cnr/news/CnrNews?IDn=1608, in questo studio mi si dice che lo spam (solo europeo) giornaliero è di 61 milardi, quindi mondiale sarà minimo il doppio, i due miliardi della Telecom per quanto tanti non sono il grosso, che ne dici?

Non capisco dove vuoi arrivare. Che la telecom sia stata al primo posto è vergognoso per tanti motivi. Il succo era che cmq il grosso dello spam arriva da botnet di dialup/adsl trojanizzate

[Uno]

No, non credo che sarà possibile comunicare, oltre un certo limite, tra noi

L'esempio del flash o java è che se i webmaster avessero fatto il ragionamento che fai tu con con spf oggi saremmo ancora a cose tipo fidonet... e quasi quasi da un certo punto di vista neanche mi dispiacerebbe.
E' vero invece che in un altro senso oggi il fenomeno java e flash per diversi motivi è relegato a siti con un certo target. Per quanto siano installati sui pc in percentuali vicine al 100%, siti che devono o vogliono essere accessibili devono evitarli del tutto o in buona parte. Non sarebbe questo il panorama che mi piacerebbe per spf, vedremo gli interessi economici dove ci spingeranno.

-----------------------------------------------------------

Non sono per nulla d'accordo, quanti pc casalinghi troianizzati (con adsl e accesi un numero di ore decente) ti occorrono per fare il volume di una nottata su un server bucato che ha una connessione performante? E poi le statistiche parlano, metti insieme quelle del tuo link e quelle di quello inserito da me.

Senti.. incazzoso , ma alla fine di questa giostra.... almeno il recordino nei dns lo metti?

[Fillo]

Senti.. incazzoso , ma alla fine di questa giostra.... almeno il recordino nei dns lo metti?

--

Premetto che mi ha fatto molto piacere leggere le vostre risposte, mi sono state molto utili per chiarirmi le idee sulla funzionalità di SPF.

Non mi è ancora del tutto chiara una cosa però: esiste o non esiste, un "modo" per poter evitare che vengano inviate email(s) con il mio indirizzo tramite altri server smtp?

Trovo molto fastidioso (come sottolineava EVCZ) che vengano mandate in giro per il mondo schifezze che portano come mittente il mio indirizzo.

Molto probabilmente in tanti, ricevendo email di questo tipo (con mittente falsificato) potrebbero pensare che sia realmente io a mandare queste schifezze (anche se poi, come mi fece notare WinOfOz, basterebbe dare uno sguardo agli headers per appurarlo).

Non mi vorrei trovare al punto di perdere qualche cliente e/o di perdere credibilità a livello professionale (lavorando con centinaia di paesi sparsi per il globo è probabile che anche a qualche mio cliente arrivi un email di spam con il mio mittente falsificato).

Cosa potrebbero pensare?

"Guarda questo, di giorno fa il suo lavoro e di notte manda in giro offerte per comprare viagra"

Forse sto correndo troppo ma sicuramente non è una bella cosa e le probabilità (correggetemi se sbaglio) che ciò accada purtroppo ci sono.

In secondo luogo, per prevenire questo "backscattering", quale sarebbe la soluzione migliore da adottare senza troppi problemi?

[WizOfOz]

non esiste il modo di evitare che qualcuno usi il tuo indirizzo. Si può solo (ipoteticamente) verificare che il mittente in effetti non sia tu...

[webstyler]

Ciao a tutti

discussione molto interessante.. lascio la mia opinione

--

SPF

l'spf funziona, chiaramente, nel momento in cui lato mittente sono stati pubblicati e lato destinatario l'MTA è stato compilato o cmq supporta il controllo della veridicità dei record SPF..

Sarebbe una soluzione interessante ma concordo con chi sostiene che "nun se po fa".

Per funzionare bene bisogna essere restrittivi nel record SPF del mittente, per esempio autorizzando solo l'ip ed i dns del mail server dove risiede il dominio.. Ho letto in precedenza che si è obbligati a dare un smtp per account, ma non è vero.. si da un smtp per tutti gli account del dominio.. il problema è che al cliente bisogna spiegare che dovrà utilizzare sempre l'smtp del suo dominio e mai quello della connettività, questo risolve sicuramente il problema del invio dal ufficio e dal portatile.. per quanto riguarda i vari internet point il problema nn si pone perché usa la webmail che quindi è sul ip autorizzato.

Fin qui tutto ok, però di fondo il problema è che sono pochissimi i mail server configurati per il controllo del spf.. quindi tutto va a morire..

Già, ma perché non lo si configura ?

Secondo me il problema è lo stesso che ha fatto così attendere la versione 5 di PHP sui server hosting... bisogna cercare di bilanciare sicurezza/usabilità/stabilità ma soprattutto far sì che il cliente non debba essere un esperto per fare operazioni base..

Exim, per esempio, deve essere compilato appositamente per lavorare con l'spf.. ma cosa succede se uno/due/tre clienti non ricevono email da x fornitori perché questi hanno configurato erroneamente l'spf, o mandano l'email da un portatile all'estero utilizzando l'smtp della connettività.. o, peggio, NON sono consapevoli di aver configurato l'spf ??

Riguardo questo ultimo punto.. Uno diceva che lui cmq l'spf lo inserisce cmq nei suoi dns.. occhio però, potrebbe essere un problema.. il cliente continua ad usare la mail come ha sempre fatto, usando magari dal ufficio l'smtp del dominio e da casa quello di alice.. fino a che il destinatario non ha il controllo spf attivo tutto bene, ma quando è attivo alcune mail verranno respinte.

--

Che ne pensate ?

[Uno]

Ciao a tutti

discussione molto interessante.. lascio la mia opinione

--

SPF

l'spf funziona, chiaramente, nel momento in cui lato mittente sono stati pubblicati e lato destinatario l'MTA è stato compilato o cmq supporta il controllo della veridicità dei record SPF..

Sarebbe una soluzione interessante ma concordo con chi sostiene che "nun se po fa".

Per funzionare bene bisogna essere restrittivi nel record SPF del mittente, per esempio autorizzando solo l'ip ed i dns del mail server dove risiede il dominio.. Ho letto in precedenza che si è obbligati a dare un smtp per account, ma non è vero.. si da un smtp per tutti gli account del dominio.. il problema è che al cliente bisogna spiegare che dovrà utilizzare sempre l'smtp del suo dominio e mai quello della connettività, questo risolve sicuramente il problema del invio dal ufficio e dal portatile.. per quanto riguarda i vari internet point il problema nn si pone perché usa la webmail che quindi è sul ip autorizzato.

Fin qui tutto ok, però di fondo il problema è che sono pochissimi i mail server configurati per il controllo del spf.. quindi tutto va a morire..

Già, ma perché non lo si configura ?

Secondo me il problema è lo stesso che ha fatto così attendere la versione 5 di PHP sui server hosting... bisogna cercare di bilanciare sicurezza/usabilità/stabilità

Fin qui sono grosso modo d'accordo e si poteva leggere nei miei post

ma soprattutto far sì che il cliente non debba essere un esperto per fare operazioni base..

Questo non mi sembra necessario, basta l'informazione sull'smtp da usare come dicevi sopra, tra l'altro all'inizio lo vedrei spinto soprattutto da utenze "professionali" servizi mail aziendali, webmaster etc...

Exim, per esempio, deve essere compilato appositamente per lavorare con l'spf.. ma cosa succede se uno/due/tre clienti non ricevono email da x fornitori perché questi hanno configurato erroneamente l'spf, o mandano l'email da un portatile all'estero utilizzando l'smtp della connettività.. o, peggio, NON sono consapevoli di aver configurato l'spf ??

Siamo sempre al discorso dell'informazione... la mia prima casella mail è stata una @virgilio , all'epoca si poteva usare l'smtp con qualsiasi connessione e sul sito c'erano le istruzioni sul come configurare i vari client di posta... che problema c'è ad aggiungere che bisogna usare il giusto smtp?
Tra l'altro l'utente incompetente ha generalmente una sola casella, una volta che configura il client si trova l'smtp di quel servizio mail, se è un incompetente che apre 200 caselle mail di quelle free tanto per iscriversi 20 volte sullo stesso forum cambiando nick non lo vedo un gran danno se le sue mail non arrivano .
Se è un professionista o comunque uno che utilizza diverse mail seriamente non avrà problemi nell'impostare oltre che il server pop o imap anche quello smtp corretto per ogni casella.

Riguardo questo ultimo punto.. Uno diceva che lui cmq l'spf lo inserisce cmq nei suoi dns.. occhio però, potrebbe essere un problema.. il cliente continua ad usare la mail come ha sempre fatto, usando magari dal ufficio l'smtp del dominio e da casa quello di alice.. fino a che il destinatario non ha il controllo spf attivo tutto bene, ma quando è attivo alcune mail verranno respinte.

Se il destinatario ha il controllo attivo ti verrano respinte comunque le mail anche se non hai il record... a me prima ogni tanto hotmail (ed altri) respingeva per esempio, se usi il giusto smtp non corri rischi mai invece.