Вебпланета - Для чего нужен SPF - Comments

Re:vot shto ya dumayu

maik — Wed, 06 Oct 2004 23:00:50 +0400

http://www.enchant.ru/go.php?login=MORDOR

...

Alex Tutubalin — Sun, 05 Sep 2004 00:10:34 +0400

Что-то сдохло обсуждение.

Вот The Register пишет, что спамерские письма чаще проходят SPF-проверку, чем нормальные:

http://www.theregister.co.uk/2004/09/03/email_authentication_spam/

Re:

Lam — Wed, 01 Sep 2004 16:10:28 +0400

Чушь какая-то. Пупкин или я к примеру, завожу себе ящик на smtp.ru, и настраиваю там форвардинг себе на "секретный ящик", а благодаря spf злоумышленник легко его узнает, если пропишет у себя -all.

Re:

Arseny — Mon, 30 Aug 2004 12:04:53 +0400

2Андрей Ш:

"И что"? Да только то, что данный механизм на сегодняшний момент имеет серъезный недостаток. И его надо учитывать - прежде чем кидаться внедрять этот механизм, проблему надо решить. Только и всего.
В то время как многие либо отрицают сам факт такой проблемы, либо считают это вполне приемлемым.

Что касается SMTP - да, такая проблема есть. Однако дело в том, что все это - УЖЕ РАБОТАЮЩАЯ система. Поэтому и приходится ею пользоваться, применяя те или иные половинчатые решения разной степени неудобства. В отличие от SPF, который на сегодня широкого внедрения не имеет. Если бы мы СЕЙЧАС обсуждали стандарт SMTP, то, наверное, имело бы смысл обратить внимание на такой недостаток, и прежде чем внедрять - исправить его. То же самое, на мой взгляд, имеет смысл сделать и с SPF.

А блэк-листы - да, блэк-листы приносят неудобство. Особенно когда внедряются провайдером принудительно, для ВСЕХ своих абонентов, да еще без уведомления. Мне время от времени приходят нужные письма, которые помечаются SpamPal'ом как спам на основе блэк-листов. Я считаю, что пользователь должен иметь право ИНДИВИДУАЛЬНО включать или отключать фильтрацию для своего ящика.
В случае с SPF и почтой на "общем" домене это невозможно.

> И еще: не надо прикрываться простыми пользователями. Они здесь не при чем.

Именно что они как раз тут при чем. Это для них все придумано, они почтой пользуются, и это им терпеть неудобства.
Почтовый сервис, конечно, должен обеспечить механизм корректного форвардинга, так, чтобы при внедрении SPF все не поломалось. Я о чем и говорю: этот механизм надо СНАЧАЛА разработать и внедрить, а потом уже говорить про SPF.

Re:

Lavandas — Mon, 30 Aug 2004 07:03:18 +0400

Спамеры делают большие деньги рассылая спам на сервера, которые не борются со спамом, а это все почтовые сервера кроме mail.ru и еще парочки. Если бы все брали с них пример, спама бы небыло. Спамеры не смогли бы рассылать миллионы писем в день, а значит их бизнес стал бы просто убыточным.
Странно, что правительство тянет с законом о спаме. Начали бы с простого: За рекламу спам услуг - 3 года пылесосить пустыню. Ведь спамеры не могут без рекламы своих услуг.

Re: Андрею Ш.

Alex Tutubalin — Sat, 28 Aug 2004 13:00:16 +0400

Андрей,

цитата:
>Просто в процентном соотношении количество нормальных почтовых серверов к массе зомби стало очень мало. И модель пора менять.

На самом деле, меня удивляет другое. Были же предложения просто помечать возможные релеи в обратном DNS (MXOut и подобные). И, грубо говоря, пропускать почту с таких с меньшими проверками, а остальным завернуть кран поуже.

Огромную часть проблем с SPF это решает и в-общем дает метку, которой проще доверять.

Естественно, есть проблемы, например если имеется домашний Linux на DSL-е, то ему придется слать почту через ISP а не напрямую, что унизительно :). Ну и вообще, к прямому DNS доступ отлажен, а об обратном даже не все знают.

Ну и YDK еще есть.

Re:

Alex Tutubalin — Sat, 28 Aug 2004 12:52:14 +0400

Илья,

цитата:
>Специально ПРЯМО сейчас проверил, mail.ru НЕ МЕНЯЕТ From при пересылках.
>Или Вы НЕПРАВИЛЬНО помните, или сознательно дезинформируете читателей.

Я там сделал оговорку - ибо времени на проверку не было. Действительно, я неправильно помню.

Собственно, это усугубляет мой тезис. По меньшей мере два из трех крупнейших почтовых сервиса (можно я Рамблер тоже не буду проверять) сохраняют MAIL FROM при пересылке. А Андрей утверждает, что "все уже это место починили".

Re:

Alex Tutubalin — Sat, 28 Aug 2004 12:45:49 +0400

Илья,

цитата:

>Андрей (11 cообщений назад) привел вам
>примеры спамовых писем с Яндексным FROM-ом,
>которые, благодаря нашему exists, четко
>помечаются как fail. (такой пользователь НЕ
>СУЩЕСТВУЕТ или ПЕРЕСЫЛАЮЩАЯ МАШИНА
>ВЗЛОМАНА).

>Ваши три (!) сообщения в ответ на
>приведенные примеры (несмотря на >МНОГКРАТНЫЕ попытки Андрея объяснить вам, о
>ЧЕМ ОН ГОВОРИЛ) никакого отношения к теме >НЕ ИМЕЮТ.
>Вы это осознаете

Я осознаю. Андрей говорит о достоинствах SPF, а я о недостатках.

SPF fail бывают в двух случаях
а) отправитель подделан, а у используемого домена - "жесткая" политика (-all)
б) письмо переслано, а у оригинального отправителя - "жесткая" политика.

Нет никакого способа, содержащегося в самом SPF, отличить эти два случая. Посему - фильтрация по SPF fail приведет к ложным срабатываниям. И к ловле спама, несомненно, тоже. Если забывать о проблеме ложных срабатываний, то простейший способ отфильтровать 100% спама - это отфильтровать всю почту.

В результате - придется вести отдельный список forward-friendly SPF-enabled sites. Тоже фигня какая-то.

mail.ru НЕ меняет From

Илья Сегалович — Fri, 27 Aug 2004 15:19:25 +0400

Алексей!

> mail.ru и rambler, если я правильно помню,
> при пересылке подставляют свой From
> (что плохо по другим причинам)

Специально ПРЯМО сейчас проверил, mail.ru НЕ МЕНЯЕТ From при пересылках.

Или Вы НЕПРАВИЛЬНО помните, или сознательно дезинформируете читателей.

Re:

Анрей Ш — Fri, 27 Aug 2004 15:06:29 +0400

И еще: не надо прикрываться простыми пользователями. Они здесь не при чем. Если почтовый сервер дает сервис форвардинга - будь любезен - дай свой обратный адрес. Возьми ответственность на себя, принимай и обрабатывай откаты, сиди в спам-листах. Или не давай такой сервис если не можешь.

Re:

Андрей Ш — Fri, 27 Aug 2004 14:58:31 +0400

2 Arseny
Очень эмоционально :) И что?
Если бы все было нормально и шоколадно в существующих стандартах - никакого спама бы не было. Вообще бы проблемы не было. И менять ничего не надо :)
Если посмотреть стандарт SMTP как он был создан - так там вообще никакой авторизации не надо и каждый почтовый сервер был открытым релеем.
А мы почему-то открытые релеи в блок-листы?
Людям же неудобно :)
Проблему надо рассматривать в свете новых реалий. От модели презумпции невиновности, когда все по определению хорошие ( а плохих в блок-лист ) переходим к модели - а ты докажи, что ты хороший?
Просто в процентном соотношении количество нормальных почтовых серверов к массе зомби стало очень мало. И модель пора менять.

>Вот передо мной The Bat!, так там есть две кнопки - "переслать" и "перенаправить". Одна пересылает с сохранением адреса, вторая подставляет мой.

Все правильно. В одном случае forward, а в другом - релей.

Re:

Arseny — Fri, 27 Aug 2004 14:00:19 +0400

2Андрей

> В какой-то момент времени произошла подмена понятий
> и форвардингом начали называть по сути релей почты.
> Все-таки ( имхо) при форварде я сначала получаю письмо в свой ящик, а затем уже
> ( от своего имени ) переправляю информацию из этого письма на другой адрес.

А я и при форварде сначала получаю письмо в свой ящик. А потом уже переправляю информацию на другой адрес. То, что я приспособил это делать робота, а не вручную это делаю - кому какое дело?

Что же касается "от своего имени" - это когда как. Вот передо мной The Bat!, так там есть две кнопки - "переслать" и "перенаправить". Одна пересылает с сохранением адреса, вторая подставляет мой.
Я что, тоже открытый релей после этого? :)

> При существующем положении дел любой сервер, делающий релей
> должен быть авторизован владельцем домена отправителя

Как Вы это себе представляете?
Вот я, "простой советский человек", завел себе ящик на mail.ru или yandex.ru
А потом уехал в отпуск и хочу чтобы письма мне пересылались на мобильник, на nwgsm.ru
И что я должен делать после этого? Кто мне чего должен авторизовать?
Я знать не знаю заранее, кто мне может написать, и уж тем более - через какой сервер пойдет это письмо.

Помножьте это на то, что я и слов-то таких - "релей", "авторизация" - знать не знаю.

> или не имеет права встревать в цепочку
> так, как это делается сейчас большинством серверов.

А откуда Вы взяли это "не имеет права"?
Тем более если это делается большинством серверов, как Вы сами пишете?

> Почему он должен на веру принмать подразумеваемую информацию,
> что кде-то кто-то у кого-то проверил пароль или легитимность ip?

А почему НЕ должен?
На мой сервер приходит письмо. Для МОЕГО пользователя. По существующим стандартам я должен его взять и положить ему в ящик.
И никаких паролей ни у кого не проверять.
Что и происходит.

Господа, Вы не хотите замечать одну простую вещь. Пересылки, как и вообще вся существующая система почты, УЖЕ СУЩЕСТВУЮТ и УЖЕ РАБОТАЮТ. Соответственно любые нововведения, изменения и все такое необходимо вводить так, чтобы НЕ СЛОМАТЬ те системы, которые УЖЕ РАБОТАЮТ.
Есть масса людей, которые используют форвард в своей работе. И все они, уверяю вас, будут ОЧЕНЬ недовольны из-за того, что кто-то сломает им то, что еще вчера работало.

И аргументы про то, что кто-то прочитает отлуп, повторит отправку, разберется в отвалах и т.п. - несостоятельны.
Далеко не на всякий email всегда приходят ответы. Соответственно отправитель вовсе не обязательно ждет ответа. Вы сами-то, что, на ЛЮБОЙ email всегда отвечаете?
Конечно, если это частное письмо да еще с припиской "обязательно ответь!", то отправитель, может, и побеспокоится.
А если это, например, уведомление из интернет-магазина о том, что интересовавшая меня месяц назад позиция поступила в продажу?
Или просто напоминание о том, что мне надо пополнить лицевой счет, заплатить, к примеру, за продление домена и т.п.?

И уверяю вас, не будут админы копаться в отвалах. Вы можете сколько угодно рассуждать о том, что они должны, но они не будут. :)

Re:

Илья Сегалович — Fri, 27 Aug 2004 13:29:16 +0400

Алексей!

Андрей (11 cообщений назад) привел вам примеры спамовых писем с Яндексным FROM-ом, которые, благодаря нашему exists, четко помечаются как fail. (такой пользователь НЕ СУЩЕСТВУЕТ или ПЕРЕСЫЛАЮЩАЯ МАШИНА ВЗЛОМАНА).

Ваши три (!) сообщения в ответ на приведенные примеры (несмотря на МНОГКРАТНЫЕ попытки Андрея объяснить вам, о ЧЕМ ОН ГОВОРИЛ) никакого отношения к теме НЕ ИМЕЮТ.

Вы это осознаете?

Re:

Андрей — Fri, 27 Aug 2004 11:01:49 +0400

Мне кажется, что не стоит проблему forwarding-a почты привязывать к SPF. Просто SPF как лакмусовая бумажка проявил и заставил решать проблему, которая уже была до него.
В какой-то момент времени произошла подмена понятий и форвардингом начали называть по сути релей почты. Все-таки ( имхо) при форварде я сначала получаю письмо в свой ящик, а затем уже ( от своего имени ) переправляю информацию из этого письма на другой адрес.
А релеинг почты - это уже совсем другое. При существующем положении дел любой сервер, делающий релей должен быть авторизован владельцем домена отправителя или не имеет права встревать в цепочку так, как это делается сейчас большинством серверов. Поскольку конечный сервер не может проверить легитимность авторизации при передачи письма по цепочке, он вправе считать промежуточный сервер открытым релеем со всеми вытекающими.
Почему он должен на веру принмать подразумеваемую информацию, что кде-то кто-то у кого-то проверил пароль или легитимность ip?
У mail.ru и яндекса forward не живет сам по себе. Это атрибут почтового аккаунта. Вот с параметрами этого аккаунта письмо и должно идти дальше. Хотя бы на уровне Return-path

Re:

Андрей Черезов — Thu, 26 Aug 2004 17:24:12 +0400

Хорошо, коротко резюмирую:
тогда тем более не все так печально, как кажется на первый взгляд :)

Re:

Alex Tutubalin — Thu, 26 Aug 2004 16:10:27 +0400

1. Яндекс тут - исключительно как пример пересыльщика, несовместимого с SPF.
mail.ru и rambler, если я правильно помню, при пересылке подставляют свой From (что плохо по другим причинам)

2. Я не пугаю людей страшилками. Я пытаюсь объяснить, что все не так бравурно, как кажется на первый взгляд

Просьба - пишите покороче, сил нету читать так длинно.

Re:

Андрей Черезов — Thu, 26 Aug 2004 15:42:54 +0400

Про тазик понял, но причем в этом примере яндекс - нет. Его чудесная SPF-политика в этом примере не используется никак. А используется моя с eserv.ru. Поскольку в этом примере yandex можно с равным [не]успехом заменить на mail.ru, то это история - "про тазик и eserv". Но история не закончена (я же хотел доставить ему письмо, но с первой попытки не смог), поэтому далее:

5) я прочитаю в квитанции, что yandex пытался форварднуть письмо на pupkin@domain.com, и MX domain.com сказал ему "550 отстань яндекс, eserv.ru не разрешил тебе прикидываться Eserv'ом".

6) я подумаю "ух ты! как славно работает! :)", и перешлю письмо на pupkin@domain.com (и даже в приписке передам привет его мудрому админу), и он примет. ВСЁ.

И я согласен это делать, даже если среди всех моих корреспондетов аж 1% таких форвардеров - заново послать одно письмо из сотни, написанных за день - невелика плата за то, что никто не будет спамить от моего домена, и я не получу левых отлупов! На деле все же меньше, чем 1%, я пока еще ни разу за 4 месяца не столкнулся с этой ситуацией с форвардами. Отлупы по другим причинам (не SPF) намного чаще.

Ну ладно, допустим, что исходное письмо написал не я (разработчик почтовых серверов с 10 летним стажем :), а нормальный человек. И допустим, что он отлупов не читает. Или не понимает. Ну в общем первый раз в интернете :) Он, не дождавшись ответа, напишет еще раз. Не дождавшись второй раз, начнет переживать - и найдет человека поопытнее (который его к интернету сегодня подключил), или почтового админа, и те ему помогут. Те или иные проблемы с интернетом у миллионов людей возникают ежедневно, но они учатся, и интернет не бросают. Т.к. выгод больше, чем проблем. То же и с SPF - да, где-то что-то несостыкуется, и общее число интернет-проблем в мире возрастет на тысячную долю процента. Но спам-трафик уже сейчас SPF уменьшает у меня на 20%, у вас на 2%, и будет больше. Значит все-равно будем использовать, и вместе работать на увеличение КПД SPF. Тогда зачем же вы заранее людей пугаете этими страшилками, с которыми они может и не столкнутся ни разу в жизни? Это все равно что запугивать человека телефоном из-за того что на той стороне иногда бывает busy, и нужно потрудиться и перезвонить. И тоже ведь какой-то новичок (трехлетний ребенок) не сможет понять, почему вместо голоса любимой бабушки в трубке "пип-пип-". Научат понимать, безо всяких статей на тему "главная проблема телефона - болтливые люди на той стороне".

Re:

Alex Tutubalin — Thu, 26 Aug 2004 13:43:01 +0400

Андрей,

про тазик и яндекс.
1) Пользователь pupkin2000@yandex.ru настраивает пересылку себе на pupkin@domain.com
2) Вы пишете этому пользователю письмо с
@eserv.ru (политика кончается на -all)
3) письмо приходит на яндекс, пересылается на domain.com
4) SPF-модуль на domain.com видит
а) письмо послано с IP яндекса
б) MAIL FROM: ..@eserv.ru
в) политика @eserv.ru запрещает прием с яндекса.
И отвергает письмо. Вы получаете квитанцию, адресат не получает письма.

И вот это - и есть "проблема пересылок".

Re:

Андрей Черезов — Thu, 26 Aug 2004 12:57:06 +0400

Если формат лога выше непонятен - поясню: там выборка нескольких последних попыток отправки писем с обратным адресом @yandex.ru на мой сервер. Лог я немного сузил по ширине, чтобы лучше сюда влез. Последние поля - IP-адрес_отправителя;Email_отправителя;host_из_HELO;
результат_вычисления_по_SPF_записи_яндекса.

pass в последнем поле означает, что письмо пришло с сервера яндекса (так и было - с zetta.yandex.ru). fail означает, что яндекс не доверяет этому IP слать почту от лица домена yandex (скорее всего этот IP уже засветился как спамерский и находится в черном списке, поэтому и не доверяет). neutral означает, что пользователь скорее всего отправил своё письмо через провайдера, либо еще не засветившийся спамерский IP. Письма с результатом fail Eserv отверг, не принимая - их отверг бы и Яндекс.

Лучшего результата применения SPF для массовых доменов, чем показал Яндекс, достичь видимо невозможно. Чего и вам желаю ;)

Re:

Андрей Черезов — Thu, 26 Aug 2004 12:25:56 +0400

1. Про тазик яндекса не понял. SPF-записи яндекса работают, когда @yandex стоит в FROM, а не в TO.

2. А я и Етайп - не из реальной жизни? Домены cherezov.koenig.su, eserv.ru и некоторые другие наши домены используют -all уже _несколько месяцев_ (с февраля). У многих наших клиентов, купивших Eserv/3 и использующих SPF plugin в его составе, тоже уже не первый месяц. И никаких страшных проблем, описанных вами, это не вызвало. Письма в Eserv вообще не терялись ни разу и ни у кого со времен сотворения мира (1996 :).

Несколько раз сталкивался из-за свой жесткой SPF-политики с другой проблемой - когда, вынужденно пользуясь мобильными линками с IP, не указанных в моих SPF политиках, пытался отправить письмо своим коллегам или клиентам, _минуя свой сервер_, то письмо не принималось Eserv'ами на той стороне. И правильно делалось! - т.к. в этом случае я не отличим от злоумышленника, пытающегося подделать мой Email. Чтобы отправить-таки письмо, я переключался на свой SMTP-сервер и отправлял через него, с авторизацией. Через него все проходило на ура, т.к. его IP в политике указан. То же самое могут делать люди, отправляя почту своих доменов через провайдерские серверы, указывая в политиках своих доменов этот IP как разрешенный.

Под "реальной жизнью" вы имеете в виду только массовые веб-службы типа mail.ru, когда люди пользуются доменами, контроля над которыми они не имеют? Да, там посложнее немножко. Но опыт Яндекса показывает, как эффектно можно можно и там выкрутиться (и я точно знаю, что вы и сами ранее правильно догадались, в чем именно сила яндексовой реализации SPF ;).

И вообще Алекс, я не могу понять ваш пафос - если вы так не любите SPF - зачем собственноручно его реализовали в спамтесте и mail.ru? Под пытками чтоли?

Re:

Alex Tutubalin — Thu, 26 Aug 2004 00:15:16 +0400

Андрей,

два замечания.

1) С яндексовым SPF вы мимо тазика.
Вот направляю письмо
mail from: someuser@domain
rcpt to: forwarder@yandex.ru

С яндекса оно форвардится опять from: someuser@domain. Все эти чудесные Exists - они в данном случае никаким боком сюда.

2) Отправляя письмо я не знаю куда оно пойдет дальше. Пишу вот на someuser@so.yandex.ru - а откуда мне знать что это форвардер ? Да еще и без SRS...
Но обычно отправитель письма хочет, чтобы письмо дошло.

Результатом будет то, что -all нельзя использовать в реальной жизни.

Re:

Гость — Wed, 25 Aug 2004 21:22:52 +0400

>правильно сделаете, если "потеряете" письмо на 1% форвардеров mail.ru

Еще правильнее в этой ситуации все-таки вернуть мне квитанцию с описанием "ваше письмо нарушает политику, заданную для этого домена".

Re:

Андрей Черезов — Wed, 25 Aug 2004 21:10:51 +0400

И вообще, раз SPF позиционируется как описание политики использования домена, то значит и нужно действовать соответственно политике. Если я написал "... мои_IP ... -all" в своем домене, то я фактически запрещаю использование чужих форвардеров в маршрутах от меня к вам. И значит вы в принципе правильно сделаете, если "потеряете" письмо на 1% форвардеров mail.ru! - вы выполните мою волю по использованию моего домена ;) С этой точки зрения использование SRS можно даже считать вредным, т.к. это выходит как обман получателя - Received-SPF будет содержать pass, но письмо-то принято не от того домена, что в самом письме в From стоит и пользователю виден. Мы ведь с подделкой Email боремся.

Вот, кстати, в YDK всех этих проблем нет (есть другие, похлеще), только что выпустили новую версию этой спецификации...

Re:

Гость — Wed, 25 Aug 2004 20:40:38 +0400

Квитанция - это все-таки не потеря, на то она и квитанция. Нормальный сервер с квитанцией вернет и письмо. Если пользователь не сможет найти другой способ доставки, то наедет на админов, и они найдут, и починятся впредь.

Ну а в случае с яндексовым SPF ситуация с "невинным" форвардером, не могущим доставить письмо, кажется вообще невозможной. И вы знаете почему.

Re:

Андрей Черезов — Wed, 25 Aug 2004 20:35:28 +0400

> Только я вот в своей почте (с уже отфильтрованым спамом) вижу 0.85% softfail при общем уровне поддержки SPF меньше 9%.

Надо все-таки считать в сыром потоке, включая спам, imho. Т.к. SPF в первую очередь включают те, от чьих доменов спамят. И их-то вы и не учтете по большей части. Т.е. например, отфильтрованный благодаря SPF спам от @yandex.ru вы не учтете, а это неплохой пример пользы SPF:

42;193.201.55.14;lcp-saratov@yandex.ru;chandler.azri.biz;neutral;
26;212.247.154.97;grtlhiu@yandex.ru;mailfe04.swip.net;fail;
15;84.122.100.116;vinssent@yandex.ru;84-122-100-116.onocable.ono.com;neutral;
52;160.218.40.133;nwjexr@yandex.ru;mxs.mail.ru;fail;
41;193.201.55.14;lcp-saratov@yandex.ru;chandler.azri.biz;neutral;
58;80.138.101.164;vinssent@yandex.ru;p508A65A4.dip.t-dialin.net;fail;
20;69.209.163.136;violin-pol1@yandex.ru;adsl-69-209-163-136.dsl.sfldmi.ameritech.net;neutral;
22;212.131.248.101;gwjbokpt@yandex.ru;fep02-svc.flexmail.it;fail;
00;213.85.145.254;mzkgly@yandex.ru;hotbox.ru;fail;
52;213.180.200.6;tral7@yandex.ru;zetta.yandex.ru;pass;
26;212.131.248.101;reldfetcglt@yandex.ru;fep02-svc.flexmail.it;fail;
40;194.8.164.2;annazotova@yandex.ru;mdaemon.ru;neutral;
53;194.8.164.2;angelachugunova@yandex.ru;mdaemon.ru;fail;
11;194.8.164.2;cathiekruglova@yandex.ru;mdaemon.ru;fail;
27;212.23.75.238;runt80@yandex.ru;forth.org.ru;fail;

Т.е. больше половины спама от @yandex можно не принимать, благодаря одной только их хитрой SPF-записи. Если какой-то из перечисленных IP - форвардер почты для каких-то из наших ящиков, то этот форвардер просто вернет письмо отправителю, получив от нашего сервера отлуп 5xx на MAIL FROM в случае fail. И почта не потеряется, хоть SRS здесь и не использовались. Всё сработает по той же схеме, как если бы этот форвардер просто был в RBL.

Re:

Alex Tutubalin — Wed, 25 Aug 2004 20:31:49 +0400

Андрей,

ну не надо этих сказок. Потери почты уже есть - если письмо отвергается, то от него остается только квитанция.

Re:

Андрей Черезов — Wed, 25 Aug 2004 20:11:53 +0400

Я для того и пишу много, чтобы показать вам, что потерь почты не будет. Будут задержки. Почтовые серверы вообще никогда не теряют почту. Её теряют плохие админы, не следящие за своими серверами. Но даже в этом случае почта не удаляется, а лежит себе в забытых очередях... Удаляются только доставленные письма.

Внедрение SPF приведет не к мягким политикам (мягче уже и так некуда :), а к более массовому внедрению SRS. И mail.ru и яндекс внедрят, вот увидите. Вы же сами и будете внедрять SRS - по той же самой причине, по которой вы включили SPF на mail.ru - вынудят либо пользователи, либо конкуренты. Поставим закладки и вернемся сюда через год-два? ;)

Даже при самом плохом раскладе негативный эффект нестыковок форвардеров с SPF даст точно не бОльший вред, чем RBL и пр. нововведения последних лет, которые тем не менее продолжают использоваться. Невозможно вести войну совсем беж жертв. А если совсем не вести войну, то останется признать почту побежденной спамерами.

А что касается статистики - я тоже свою приводил, и она заметно более радужная чем ваша. Пример сегодняшнего лога тоже приводил - http://www.webplanet.ru/forum/news.html?news=4795 - spf встречается явно чаще, чем в 1/10 писем. Возможно потому статистика радужнее, что в моей почте (включая спам) бОльшая доля западных доменов. Ну так в России и массовое внедрение SPF только этим летом началось, а на западе бум первых внедрений был зимой. Из наших в ту волну попали только мы да Рамблер. А пройдет еще полгода - и ваша статистика тоже подтянется (если не смотря на вашу критику, админы будут продолжать ставить SPF-записи :). Плюс вы сможете наверное говорить не только о статистике lexa.ru, но и о mail.ru.

Re:

Alex Tutubalin — Wed, 25 Aug 2004 18:19:30 +0400

Андрей,

как много вами написано, суть то не меняется:

1) для поддержки SPF на форвардах _нужно_ реализовывать какой-то механизм (извлечение адреса из заголовков Resent-From и т.п., SUBMITTER, SRS и т.п.)

2) В настоящее время данная схема много где _не_ реализована. Форвард _сейчас_и_сегодня_
происходит без подмены MAIL FROM.

3) Это приведет либо к потерям почты (если у отправителя -all), либо к массовому внедрению мягких SPF-политик. И то и другое - плохо. Второе, пожалуй, даже хуже в глобальной перспективе.

А привести примеры правильных форвардеров несложно. Только я вот в своей почте (с уже отфильтрованым спамом) вижу 0.85% softfail при общем уровне поддержки SPF меньше 9%. Каждое 10-е письмо примерно.

Re:

Андрей Черезов — Wed, 25 Aug 2004 16:17:33 +0400

Вот пока писал сообщение пришел еще один пример форварда с SRS, на этот раз точно не от списка рассылки, но от сервиса, которому гарантировать доставку очень важно. И вот как выглядит email:
bounce-mail-25544479-57e781dbb40d297@bounces.element5.com (цифры на всякий случай меняю, чтобы спам-боты не слали отлупы за меня :-)

В общем, через год-два серьезных форвардеров без таких механизмов не останется.

еще

Андрей Черезов — Wed, 25 Aug 2004 16:09:57 +0400

Есть у меня реальный пример, как НЕ потеряется почта при внедрении SPF без внедрения SRS. Для форвардов домена forth.org.ru у меня по старинке (по умолчанию то есть) MAIL FROM сохраняется. И вот иногда действительно бывают ситуации, когда мой форвард письмо принял, а целевой ящик на другом сервере принимать его не хочет (например, мой сервер не посчитал это спамом, а mail.ru, куда форвардим, посчитал - не из-за SPF, а по своим признакам, но суть отказа от этого не меняется). Что тогда делает форвард - он как и положено, пытается вернуть письмо отправителю (уже от своего лица в HELO и пустым MAIL FROM, или своим доменом в mail from - в обоих случаях SPF проверки у получателя отлупа вернут pass). Если письмо и на самом деле было спамом, и ящика отправителя [уже] не существует или он [уже] заполнился отлупами до предела, то отлуп доставить не удастся, и сервер не выкинет исходное письмо и отлуп, а оставит письмо в спуле, а отлуп пошлет уже админу сервера-форвардера. Если недоставленное письмо не было спамом, то админу придется решить эту проблему, если он не хочет гнева пользователей, у него работа такая. Если выяснится, что форвард перестал работать из-за SPF, то он сделает SRS, никуда не денется. Так же как в последние годы все админы стали бояться попадать в RBL, + стали правильно настраивать HELO и бэкрезолв, и т.д. и т.п. И письма не терялись - возможно первые из таких "неудобных" писем просто задерживались, пока админ не донастроит свой сервер. А следующая волна таких писем уже дойдёт в "штатном" режиме. Это обычная ежедневная текучка проблем для любого админа. Не сложнее других, т.к. поддержка манипуляций с email в серверах есть испокон веков.

Для чего нужен SPF

admin — Tue, 17 Aug 2004 17:24:36 +0400

«Вебпланета» публикует коллективную работу Ильи Сегаловича, Елены Колмановской и Павла Завьялова, в которой излагается отношение «Яндекса» к техлонологии SPF и ее месту в современных антиспамовых системах, а так же комментируются некоторые распространенные заблуждения.