Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 80
Перечитал пост... эмоций много, суть теряется. Так что на всякий случай поясню: смысл поста не в том, чтобы просто "поплакаться", а в вопросе "А что мне в этой ситуации делать?". Может посоветуете чего-нить полезное... мне что-то в голову ничего кроме туннеля на забугорный дедик в голову не приходит, а это изврат.
Ну и ещё любопытно было бы узнать, сталкивались ли вы с похожими проблемами и как их решали.
Ну и ещё любопытно было бы узнать, сталкивались ли вы с похожими проблемами и как их решали.
Был бы у меня динамический IP - не было бы вопросов. А так я плачу за статический адрес (и не первый год), и присутствовать в списках всяких нездоровых подсетей не должен. Кто эти списки составляет, и почему считается, что он не может ошибаться и не должен исправлять ошибки? Почему считается нормальным, что я в этой ситуации должен как-то извращаться, поднимать что-то на отдельно купленом дедике, использовать SMTP провайдера, etc?
Теперь по поводу "нефик". Множество моих знакомых, которые пользуются gmail, жаловались, что gmail нормальные письма периодически складывает в ящик для спама (куда они, как нормальные люди, заглядывают очень редко). В то же время mail.yandex.ru, которым предпочитаю пользоваться я, ещё ни разу за много лет не положил в спам нормальное письмо. И при этом у меня нет проблемы с отправкой писем на @yandex.ru, но есть на @gmail.com. Так что же всё-таки "нефик" - кривую защиту от спама делать а-ля gmail "нам всё можно (c)", или сделать как-то иначе, например как яндекс?
Теперь по поводу "нефик". Множество моих знакомых, которые пользуются gmail, жаловались, что gmail нормальные письма периодически складывает в ящик для спама (куда они, как нормальные люди, заглядывают очень редко). В то же время mail.yandex.ru, которым предпочитаю пользоваться я, ещё ни разу за много лет не положил в спам нормальное письмо. И при этом у меня нет проблемы с отправкой писем на @yandex.ru, но есть на @gmail.com. Так что же всё-таки "нефик" - кривую защиту от спама делать а-ля gmail "нам всё можно (c)", или сделать как-то иначе, например как яндекс?
мне кажется, vitaly прав, тут надо поднимать свой smtp на дедике
Хватит истерик. набираем в Google "dns spf" и находим море доки о том как привильно прописать в dns своего домена (который в исходящих письмах) IP или сетку из которой позволено слать почту от имени этого домена. 10 минут работы и никаких проблем и мучений с дедиками/провайдерами.
Удачи
Удачи
Спасибо, изучим-с...
Итак, я зарегестрировал новый домен powerman.name, сделал для него SPF, в чём можно убедиться, настроил From в отправляемых письмах, настроил HELO в qmail, и... гуглу всё это до лампочки.
Теперь буду прописывать PTR у провайдера, но там у них бюрократия (чтобы прописать PTR нужно заявление написать и отнести им в офис... на бумаге!!! %-)), и сколько времени у них займёт эта тривиальная операция я не знаю.
Теперь буду прописывать PTR у провайдера, но там у них бюрократия (чтобы прописать PTR нужно заявление написать и отнести им в офис... на бумаге!!! %-)), и сколько времени у них займёт эта тривиальная операция я не знаю.
"v=spf1 a ~all" это бессмысленная запись. Там должны были быть перечислены ваши IP или/и сети откуда отправка дозволена. Эксперимент считаю некорректным. Рекомендую повторить вписав туда корректные IP
PS всё равно оба ваши IP "торчат" в качестве MX. Можно например написать SPF так "v=spf1 mx -all". Так условие будет достаточно жестким для того, чтобы Google и Yahoo начали относиться к нему уважительно. (Не забудьте, что сработает это с задержкой близкой к TTL зоны)
Получилось!!! Громадное спасибо!
Только мои MX должны только принимать. Отправлять может только моя машина. Так что я попробую прописать "v=spf1 a -all", это, вроде бы, более корректно.
Правда, гугл моё тестовое письмо себе же на gmail положил, разумеется, в "Спам". Но это уже мелочи... Фух. Спасибо ещё раз! :)
Только мои MX должны только принимать. Отправлять может только моя машина. Так что я попробую прописать "v=spf1 a -all", это, вроде бы, более корректно.
Правда, гугл моё тестовое письмо себе же на gmail положил, разумеется, в "Спам". Но это уже мелочи... Фух. Спасибо ещё раз! :)
"v=spf1 a -all" не особо корректно — тут нет указания на конкретную вашу машину. Если будет PTR то можно будет указать "v=spf1 ptr a -all", но лучше, если там будет написано что-то типа "v=spf1 ip4:85.90.198.1 ip4:69.93.246.0/24 -all" (при условии, что 85.90.198.1 статический IP от одного провайдера, а 69.93.246.0/24 сеть другого из которой он может раздать вам IP). Это будет то, что надо.
Да, что касается настроек почты, я себе тестовое письмо отправил (не на gmail), вот из него заголовки:
a href=mailto повставлял движок хабра, и как это отключить я не понял.
Delivered-To: powerman@SOMEWHERE
Received: (qmail 11968 invoked from network); 28 Sep 2007 01:29:36 -0000
Received: from 85-90-198-1.adsl.sta.kh.velton.ua (HELO powerman.name)
(85.90.198.1) by SOMEWHERE with SMTP; 28 Sep
2007 01:29:36 -0000
Received: (qmail 7281 invoked by uid 1000); 28 Sep 2007 01:29:35 -0000
Date: Fri, 28 Sep 2007 04:29:35 +0300
From: Alex Efros <<a href="mailto:powerman@powerman.name">powerman@powerman.name</a>>
To: powerman@SOMEWHERE
Subject: test
Message-ID: <<a href="mailto:20070928012935.GB6427@home.power">20070928012935.GB6427@home.pow…</a>>
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Disposition: inline
User-Agent: Mutt/1.5.16 (2007-06-09)
a href=mailto повставлял движок хабра, и как это отключить я не понял.
Я вот сейчас посмотрел адрес 85.90.198.1 и вижу что его имя 85-90-198-1.adsl.sta.kh.velton.ua. т.е. ADSL. С таких доменов как правило идет один спам и крайне мало действительно полезной почты. Если хотите чтобы все нормально ходило, купите домен и пропишите его на этот адрес. Как в прямую зону так и в обратную, это может помочь.
Домен-то есть (powerman.asdfgroup.com), но вот будет ли провайдер морочиться с прописыванием обратной зоны - сомневаюсь. Но попытаться стоить, согласен.
Домен не соответвует PTR записи. В результате почтовик посылают.
Если провайдер нормальный — пропишет и обратную зону.
Насчёт blacklist: http://www.spamhaus.org/pbl/query/PBL144058 В принципе, можно нажать кнопку "Remove IP", но это только в случае если gmail использует blacklist от spamhaus (хотя он самый популярный).
Насчёт blacklist: http://www.spamhaus.org/pbl/query/PBL144058 В принципе, можно нажать кнопку "Remove IP", но это только в случае если gmail использует blacklist от spamhaus (хотя он самый популярный).
спамхаус уже себя дискредетироваля, так как в шушле все-таки умные ребята работают, я очень надеюсь, что они не используют их
шушле- это гугл :) у меня русских буковок нету
А чем именно дискредитировал? И каким blacklist тогда пользоваться?
не могу сейчас найти, но там была история какая-то нехорошая...но не та, где их к суде привлекли в США, а они оказались в UK, а какая-тот другая
а про блеклисты...есть какие-то, только не скажу сейча...
лучше конечно самим составлять и иметь просто хороший набор правил.
А вот здесь есть все значимые блеклисты:
http://www.dnsstuff.com/tools/ip4r.ch?ip…
а про блеклисты...есть какие-то, только не скажу сейча...
лучше конечно самим составлять и иметь просто хороший набор правил.
А вот здесь есть все значимые блеклисты:
http://www.dnsstuff.com/tools/ip4r.ch?ip…
Если человек платит за статический IP, то провайдер должен прописать реверс по заявке - наверное можно даже найти какое-то косвенное обоснование этому в RIPE-овских документах.
Если email на саппорт не поможет - официальное письмо на исполнительного Велтона... вобщем все как обычно.
Другое дело, что если адрес в DUL, то многие smtp все равно не будут принимать почту (не знаю как насчет гугля).
Кстати не задумывался, а у гугля вобще предусмотрен smtp сервис как таковой ?
Если email на саппорт не поможет - официальное письмо на исполнительного Велтона... вобщем все как обычно.
Другое дело, что если адрес в DUL, то многие smtp все равно не будут принимать почту (не знаю как насчет гугля).
Кстати не задумывался, а у гугля вобще предусмотрен smtp сервис как таковой ?
Дело в объявлении определённых дипазонов оконечными, а не в статичности и уж тем более не в реверсе. Блэклисты глубоко фригидны до способа, каким провайдер выдаёт вам адрес, насколько он динамичен, и сколько вы за это платите.
Ещё глубже их безраличие к реверсным записям. Покупать вам следует не один адрес, а автономную систему, и объявить её не провайдерской. Правда, во что это вам обойдётся, и кто её будет для вас рутить, большой вопрос, так что геморрой может не стоить свеч.
Ещё глубже их безраличие к реверсным записям. Покупать вам следует не один адрес, а автономную систему, и объявить её не провайдерской. Правда, во что это вам обойдётся, и кто её будет для вас рутить, большой вопрос, так что геморрой может не стоить свеч.
чушь
Обоснуйте.
Гадание на кофейной гуще именах доменов не является для людей в здравом уме критерием отсева спамеров. Значение имеет лишь то, что с этого IP уже отсылался спам. У провайдеров, которые выдают IP динамично часто бывает, что одна зараженная машина рассылает спам последовательно с кучи IP, постепенно фиксируя в блеклистах всю подсеть.
Запись SPF была призвана бороться со спамом путём описания доверительных IP и сетей, откуда домен может слать свою почту. Благодаря этому в частности бессмысленно слать спам с левого IP от имени домена gmail.com, поскольку его запись "v=spf1 redirect=_spf.google.com" описывает все доверительные хосты. Той же системой проверки отправителя пользуются многие почтовые сервисы и популяризация использования spf (как способа борьбы со спамом) сейчас набрает обороты. Посему вполне реально "отбелить в глазах gmail" IP если просто вписать его конкретно в SPF для нужного домена. (это многократно проверено)
Я ответил на ваш вопрос?
Запись SPF была призвана бороться со спамом путём описания доверительных IP и сетей, откуда домен может слать свою почту. Благодаря этому в частности бессмысленно слать спам с левого IP от имени домена gmail.com, поскольку его запись "v=spf1 redirect=_spf.google.com" описывает все доверительные хосты. Той же системой проверки отправителя пользуются многие почтовые сервисы и популяризация использования spf (как способа борьбы со спамом) сейчас набрает обороты. Посему вполне реально "отбелить в глазах gmail" IP если просто вписать его конкретно в SPF для нужного домена. (это многократно проверено)
Я ответил на ваш вопрос?
Гадание на кофейной гуще именах доменов не является для людей в здравом уме критерием отсева спамеров.
Я много раз видел как это делали.
Значение имеет лишь то, что с этого IP уже отсылался спам. У провайдеров, которые выдают IP динамично часто бывает, что одна зараженная машина рассылает спам последовательно с кучи IP, постепенно фиксируя в блеклистах всю подсеть.
Адрес выделен статически. Я конечно не знаю сколько времени этот адрес находится во владении автора, но обычно недели-двух хватает чтобы адрес пропал из RBL листов.
Запись SPF была призвана бороться со спамом путём описания доверительных IP и сетей, откуда домен может слать свою почту.
Эта запись пользуется ооочень малым количеством народа. И в основном это всякие параноидальные сервисы. К тому же когда я спрашивал про SPF у одного из разработчиков mail.ru, он говорил, что эта штука имеет довольно малый вес при отсеве спама.
У меня эта штука прописана, но просто для того чтобы с такими сервисами было меньше головной боли.
Я ответил на ваш вопрос?
Да как-то нет. Потому, что чтобы прописать SPF требуется домен. А я предлагал его прописать. Причем желательно с реверсом. И в чем же чушь? В том что я рекомендовал купить и использовать домен?
Я конечно не знаю сколько времени этот адрес находится во владении автора, но обычно недели-двух хватает чтобы адрес пропал из RBL листов.Правда жизни с RBL заключается в том, что администраторы некоторых крупных провайдеров не утруждают себя выручением IP адресов из таких списков даже если их сильно просить. Они не отвечают на письма просто.
Я такими долбанутыми списками не пользуюсь :)
А речь не во вас, а о Gmail. Когда ваш собственный почтовый сервис будет обсуждаться, тогда о ваших личных предпочтекниях и поговорим.
Вы знаете как Google отсеивает спам почту?
А вы — нет? =)
Я не являюсь разработчиком почтовой системы Google по этому не знаю.
А для того, чтобы увидеть использование фильтра Байеса нужно быть разработчиком? Или для того, чтобы почувствовать использование RBL (с чем столкнулся 
powerman
"Практика — критерий истины", как писал один классик.
powerman"Практика — критерий истины", как писал один классик.
А для того, чтобы увидеть использование фильтра Байеса нужно быть разработчиком?
И как вы это видите?
Или для того, чтобы почувствовать использование RBL
Если вы считаете что это RBL тогда скажите какой RBL список использовался.
так сложно добраться до их рекомендаций в отношении SPF?
это?
http://www.google.com/support/a/bin/answ…
Только вот не увязочка. Это рукводство для тех кто пользуется Google Apps.
Для меня не составило труда узнать об использовании этих механизмов в gmail не будучи его разработчиком.
Тогда будьте добры расскажите как там и что работает. Думаю это будет интересно не только мне.
И как вы это видите?
По кнопочке "спам". Это реализация механизма обучения фильтра Байеса. дуамю в масштабах gmail это и даёт такую высокую эффективность отсева.
Если вы считаете что это RBL тогда скажите какой RBL список использовался.
Собственный. С чего вы взяли что он общедоступен? А вот ответы smtp серверов однозначно указывают на наличие RBL.
Только вот не увязочка. Это рукводство для тех кто пользуется Google Apps.
Не вижу здесь никакой неувязки — там тоже используется механизм gmail. Рекомендация для владельцев доменов полностью совпадает вне зависимости от того apps это или нет. Что доказал и эксперимент топикстартера.
По кнопочке "спам". Это реализация механизма обучения фильтра Байеса. дуамю в масштабах gmail это и даёт такую высокую эффективность отсева.
Кнопочка спам указывает только на наличие контекстного обучамого фильтра. А используется ли там Баес или нет сказать нельзя. Кроме Баеса существуют и другие анализаторы. Которые например не так сильно лажаются на графическом спаме.
Собственный. С чего вы взяли что он общедоступен? А вот ответы smtp серверов однозначно указывают на наличие RBL.
Каким образом это указывается?
Не вижу здесь никакой неувязки — там тоже используется механизм gmail. Рекомендация для владельцев доменов полностью совпадает вне зависимости от того apps это или нет.
Еще раз повторюсь это инструкции для тех у кого домены на google apps. Делать выводы конечно хорошо, но официальных рекомендаций типа пропишие SPF для своих доменов чтобы у вас ходила почта в gmail, я не видел.
Я много раз видел как это делали.
Не верю. Покажите мне хоть одну службу, которая делает так.
Адрес выделен статически. Я конечно не знаю сколько времени этот адрес находится во владении автора, но обычно недели-двух хватает чтобы адрес пропал из RBL листов.
Способ выделения адреса почтовая служба узнать не может. Из списков RBL адрес не пропадает сам — для этого надо обратиться с запросом и доказать, что ты "не верблюд".
Эта запись пользуется ооочень малым количеством народа. И в основном это всякие параноидальные сервисы.
На эту запись "увесисто" ориентируется Google, Yahoo... и в конце концов именно эта технология имеет хоть какие-то перспективы.
я спрашивал про SPF у одного из разработчиков mail.ru, он говорил, что эта штука имеет довольно малый вес при отсеве спама.
Mail.ru далеко не авторитет в области борьбы со спамом. Когда их показатели приблизятся к Gmail тогда их мнение можно будет слушать.
У меня эта штука прописана, но просто для того чтобы с такими сервисами было меньше головной боли.
А теперь внимательно читаем оригинальный пост. Именно о такой головной боли речь и идёт. Причём не про mail.ru, а про gmail.
Да как-то нет. Потому, что чтобы прописать SPF требуется домен. А я предлагал его прописать. Причем желательно с реверсом. И в чем же чушь? В том что я рекомендовал купить и использовать домен?
Потому, что ни покупка домена (у топикстартера это сделано), ни PTR не помогут убрать домен из RBL. ЭТО ФАКТ. И если у почтовой службы всё в порядке с логикой, то данные SPF они будут учитывать с бОльшим весом, чем RBL и даже самый забаненный IP сможет нормально отправлять почту собственных доменов, на фоне полного игнора почты от левых доменов посланной с этих IP.
Не верю. Покажите мне хоть одну службу, которая делает так.
Довольно большое число различных мелких фирм (да и не мелких) продолжает страдать такой фигней.
Способ выделения адреса почтовая служба узнать не может. Из списков RBL адрес не пропадает сам — для этого надо обратиться с запросом и доказать, что ты "не верблюд".
Это зависит от политики конкретного RBL списка. Большая часть списков автоматически удаляет хост по истечении определенного времени и при условии первого его попадания (у некоторых не первого). Если не верите советую посмотреть политику RBL спамкопа. Интерфейсы же удаления из RBL позволяют ускорить эту процедуру или же вытащить ip который висит там перманентно.
На эту запись "увесисто" ориентируется Google, Yahoo... и в конце концов именно эта технология имеет хоть какие-то перспективы.
И каков ее вес?
А теперь внимательно читаем оригинальный пост. Именно о такой головной боли речь и идёт. Причём не про mail.ru, а про gmail.
У меня почта уходила и на gmail.ru и mail.ru до прописания этой записи.
И пока хотябы 50% процентов почтовых систем не будет использовать SPF, эта технология работать не будет. А сейчас ей полузуются от силы 10 процентов.
Потому, что ни покупка домена (у топикстартера это сделано), ни PTR не помогут убрать домен из RBL. ЭТО ФАКТ.
А без его покупки и прописывания PTR нечего будет убирать.
И если у почтовой службы всё в порядке с логикой, то данные SPF они будут учитывать с бОльшим весом
SPF не панацея и она у 90% почтовых систем вобще не учитывается.
А теперь я хочу услышать внятный ответ почему покупка домена и прописывания PTR записи к IP является чушью?
Довольно большое число различных мелких фирм (да и не мелких) продолжает страдать такой фигней.
Имя, сестра. Вы буквально писали "Я много раз видел как это делали". Я жду конкретных примеров, где это описано (иначе как вы могли "много раз" это видеть?).
Это зависит от политики конкретного RBL списка. Большая часть списков автоматически удаляет хост по истечении определенного времени и при условии первого его попадания (у некоторых не первого). Если не верите советую посмотреть политику RBL спамкопа. Интерфейсы же удаления из RBL позволяют ускорить эту процедуру или же вытащить ip который висит там перманентно.
У вас есть статистика отношения RBL, которые удаляют сами к тем, где без запроса никуда? Здаётся мне, что вы пытаетесь увильнуть, уже поняв свою ошибку. Кроме того уверен, что вы согласитесь, что если автоматически удаляют не все RBL, то значит почта будет ходить хоть на несколько процентов, но нестабильно, а это уже не дело. Совместное применение SPF с RBL решает такую проблему.
И каков ее вес?
Выше, чем у RBL.
У меня почта уходила и на gmail.ru и mail.ru до прописания этой записи.
B адрес был при этом в блеклисте? Сомневаюсь.
И пока хотябы 50% процентов почтовых систем не будет использовать SPF, эта технология работать не будет. А сейчас ей полузуются от силы 10 процентов.
Вы прямо озвучили миф №7 по версии Яндекса. =)
Очень рекомендую всё-таки ознакомиться с мнением игроков рынка перед тем, как делать подобные выводы.
А без его покупки и прописывания PTR нечего будет убирать.
Э... В RBL вобще-то попадают IP (это я опечатался, когда написал про домен). Так что манипуляции с доменом без использования SPF мало что дадут.
SPF не панацея и она у 90% почтовых систем вобще не учитывается.
Не панацея, но увесистый метод в обойме совместно используемых методов определения спама.
А теперь я хочу услышать внятный ответ почему покупка домена и прописывания PTR записи к IP является чушью?
Нужно повторить? Я повторю — PTR не влияет (вы так и не показали обратного) на наличие IP в RBL. В RBL вобще используются не домены, а IP, которые попадают туда исходя из числа и частоты отосланного спама.
Имя, сестра. Вы буквально писали "Я много раз видел как это делали". Я жду конкретных примеров, где это описано (иначе как вы могли "много раз" это видеть?).
Что описано? Как фильтровать? Ознакомтесь с man страничкой access MTA postfix там написано как это делается. Информацию по клиентам я разглашать не намерен.
У вас есть статистика отношения RBL, которые удаляют сами к тем, где без запроса никуда?
А это тут причем?
Здаётся мне, что вы пытаетесь увильнуть, уже поняв свою ошибку.
А какой смысл? До добавления фильтров одна из поддерживаемых мной систем попадала в пачку RBL-списков, после пары недель ее там уже небыло.
Выше, чем у RBL.
Источник приведите.
B адрес был при этом в блеклисте? Сомневаюсь.
Нет конечно.
Вы прямо озвучили миф №7 по версии Яндекса. =)
Очень рекомендую всё-таки ознакомиться с мнением игроков рынка перед тем, как делать подобные выводы.
А что в вашей ссылке противоречит моим словам? Во первых они так же говорят что его мало кто использует и SPF то как он должен работать, не работает. Так как если его использовать по прямому назначению, то можно не досчитаться почты.
Э... В RBL вобще-то попадают IP (это я опечатался, когда написал про домен). Так что манипуляции с доменом без использования SPF мало что дадут.
Для того чтобы прописать тот же SPF требуется домен. Часть почтовых систем дополнительно проверяют осоответсвие PTR HELO от системы и/или A записи. Поэтому при заведении домена на этот IP лучше обеспокоиться правильным PTR.
Не панацея, но увесистый метод в обойме совместно используемых методов определения спама.
Создавался он не для пририсовывания большего или меньшего веса, а для отсечения не легитимной почты. Но так как большая часть узлов его не использует, приходится учитывать только в качестве веса.
Нужно повторить? Я повторю — PTR не влияет (вы так и не показали обратного) на наличие IP в RBL.
А где у меня написано что влияет?
В RBL вобще используются не домены, а IP, которые попадают туда исходя из числа и частоты отосланного спама.
Я про это и без вас знаю. А вот если вернуться к исходному сообщению там было предложено купить домен задать такую PTR запись чтобы оно ссылалась на хост из домена. Про то что это это как-то удалит узел из RBL вообще не указывалось.
у меня складывается ощущение, что вы не держите контекст беседы.
нет. вы утверждали, что видели что PTR адреса вида 85-90-198-1.adsl.sta.kh.velton.ua. попадают под фильтр автоамтически потому, что adsl. Я назвал это чушью и попросил примеров сервисов, которые далеют выводы о доверии на основе того, что "это адсл" в подтверждение ваших слов "Я вот сейчас посмотрел адрес 85.90.198.1 и вижу что его имя 85-90-198-1.adsl.sta.kh.velton.ua. т.е. ADSL. С таких доменов как правило идет один спам и крайне мало действительно полезной почты.".
потеря контекста. читайте выше, включая совственную реплику.
и есть гарантия, что эта пачка вышла изо всех RBL? а также гарантия, что никто не пошёл по ссылке из письма с отказом в приёме и не вычеркнул IP из RBL вручную?
Посмотрите на ТС. После создания SPF его письма начал принимать Google, а до этого отсекал по RBL. Вывод: SPF в gmail имеет выше приоритет, чем RBL. То же происходит с Yahoo. Вместе это почти половина мировой почты.
тогда ваш предыдущий довод "У меня почта уходила и на gmail.ru и mail.ru до прописания этой записи" не имеет смысла.
В полном согласии с законом Ципфа 10% серверов генерируют 90% трафика. То есть, если даже только крупные игроки начнут применять SPF, это поможет идентифицировать значительную долю почтовых сообщений.
Именно поэтому Яндекс поддерживает инициативу и способствует ее пропаганде и распространению. В том числе — и в форме данной статьи.
Не надо искажать. Там нет ни того, ни другого.
Если его использовать правильно, то с почтой будет всё в порядке. Эту спецификацию хорошо продумали.
Разумеется речь идёт о домене и почте с него. Но PTR это не только не панацея, но и вобще маловажный фактор.
И в результате не все нормальные пользователи могут отправить свою почту без использования доменного SMTP. Этот путь отсекает отправку почты с личного домена в сети провайдера, который не установил PTR на ваш IP. Ущербная практика, особенно если вспомнить, что PTR один, а доменнов может быть несколько. Уверен, что с рапространением SPF она канет в лету.
А если доменов больше одного? =) Теперь вы видите где чушь?
Об этом нет ничего в официальной документации. Может вас обманули?
а с чего вы тогда предлагаете менять PTR как способ выйти из блеклиста?
Что описано? Как фильтровать?
нет. вы утверждали, что видели что PTR адреса вида 85-90-198-1.adsl.sta.kh.velton.ua. попадают под фильтр автоамтически потому, что adsl. Я назвал это чушью и попросил примеров сервисов, которые далеют выводы о доверии на основе того, что "это адсл" в подтверждение ваших слов "Я вот сейчас посмотрел адрес 85.90.198.1 и вижу что его имя 85-90-198-1.adsl.sta.kh.velton.ua. т.е. ADSL. С таких доменов как правило идет один спам и крайне мало действительно полезной почты.".
А это тут причем?
потеря контекста. читайте выше, включая совственную реплику.
А какой смысл? До добавления фильтров одна из поддерживаемых мной систем попадала в пачку RBL-списков, после пары недель ее там уже небыло.
и есть гарантия, что эта пачка вышла изо всех RBL? а также гарантия, что никто не пошёл по ссылке из письма с отказом в приёме и не вычеркнул IP из RBL вручную?
Источник приведите.
Посмотрите на ТС. После создания SPF его письма начал принимать Google, а до этого отсекал по RBL. Вывод: SPF в gmail имеет выше приоритет, чем RBL. То же происходит с Yahoo. Вместе это почти половина мировой почты.
Нет конечно.
тогда ваш предыдущий довод "У меня почта уходила и на gmail.ru и mail.ru до прописания этой записи" не имеет смысла.
А что в вашей ссылке противоречит моим словам?
В полном согласии с законом Ципфа 10% серверов генерируют 90% трафика. То есть, если даже только крупные игроки начнут применять SPF, это поможет идентифицировать значительную долю почтовых сообщений.
Именно поэтому Яндекс поддерживает инициативу и способствует ее пропаганде и распространению. В том числе — и в форме данной статьи.
Во первых они так же говорят что его мало кто использует и SPF то как он должен работать, не работает.
Не надо искажать. Там нет ни того, ни другого.
Так как если его использовать по прямому назначению, то можно не досчитаться почты.
Если его использовать правильно, то с почтой будет всё в порядке. Эту спецификацию хорошо продумали.
Для того чтобы прописать тот же SPF требуется домен.
Разумеется речь идёт о домене и почте с него. Но PTR это не только не панацея, но и вобще маловажный фактор.
Часть почтовых систем дополнительно проверяют осоответсвие PTR HELO от системы и/или A записи.
И в результате не все нормальные пользователи могут отправить свою почту без использования доменного SMTP. Этот путь отсекает отправку почты с личного домена в сети провайдера, который не установил PTR на ваш IP. Ущербная практика, особенно если вспомнить, что PTR один, а доменнов может быть несколько. Уверен, что с рапространением SPF она канет в лету.
Поэтому при заведении домена на этот IP лучше обеспокоиться правильным PTR.
А если доменов больше одного? =) Теперь вы видите где чушь?
Создавался он не для пририсовывания большего или меньшего веса, а для отсечения не легитимной почты. Но так как большая часть узлов его не использует, приходится учитывать только в качестве веса.
Об этом нет ничего в официальной документации. Может вас обманули?
А где у меня написано что влияет?
а с чего вы тогда предлагаете менять PTR как способ выйти из блеклиста?
у меня складывается ощущение, что вы не держите контекст беседы.
А мне кажется что кто-то крайне ко мне неравнодушен и каждый раз видя мой пост не важно какой пытается самоутверждаться.
нет. вы утверждали, что видели что PTR адреса вида 85-90-198-1.adsl.sta.kh.velton.ua. попадают под фильтр автоамтически потому, что adsl.
Я сказал что там ADSL и это может быть из-за этого. Никаких указаний, что это из-за того что у него такая PTR запись он находится в RBL я не делал. Это начали делать вы.
и есть гарантия, что эта пачка вышла изо всех RBL? а также гарантия, что никто не пошёл по ссылке из письма с отказом в приёме и не вычеркнул IP из RBL вручную?
и это тоже может быть.
Посмотрите на ТС. После создания SPF его письма начал принимать Google, а до этого отсекал по RBL. Вывод: SPF в gmail имеет выше приоритет, чем RBL. То же происходит с Yahoo. Вместе это почти половина мировой почты.
Что такое ТС я не знаю. Может ссылку приведете?
Разумеется речь идёт о домене и почте с него. Но PTR это не только не панацея, но и вобще маловажный фактор.
В таком случае уберите PTR запись. И посмотрите сколько почтовых серверов откажется принимать от вас почту.
И в результате не все нормальные пользователи могут отправить свою почту без использования доменного SMTP. Этот путь отсекает отправку почты с личного домена в сети провайдера, который не установил PTR на ваш IP. Ущербная практика, особенно если вспомнить, что PTR один, а доменнов может быть несколько. Уверен, что с рапространением SPF она канет в лету.
Проверяется имя и ip машины а не домен.
А если доменов больше одного? =) Теперь вы видите где чушь?
PTR запись не обязана совпадать с почтовым доменом. Не придумвайте. Необходимо чтобы она совпадала с A записью. Но есть не очень хорошие почтовые администраторы, которые рубят по PTR записям если они пренадлежат ADSL и dialup провайдерам.
Об этом нет ничего в официальной документации. Может вас обманули?
Про что именно нету?
а с чего вы тогда предлагаете менять PTR как способ выйти из блеклиста?
Про блеклисты вы начали говорить, а не я. PTR же предлагалось изменить только, чтобы почта могда ходить и на узлы где адреса с подобными PTR записями и зарезаны. Так что давайте вы не будете устраивать тут охоту на ведьм? Если вам так хочется показать что вы умнее меня вон возьмите доку по ipfilter тот что для Solaris и переведите. Я первый вам скажу спасибо.
Скорее всего ТС - это сокращение от топикстартер.
Никаких "может быть" в отношении расшифровки PTR не бывает. Ни один сервис не строит фильтры на предположении, что PTR соответствует Adsl. Ситуации, когда A и PTR не совпадают доминируют над обратными и ничего — почта ходит. У меня вобще ни в одном месте PTR не совпадает с A, но проблем с доставкой нет и не будет по этой причине. Учите матчасть.
Например вам нелишне понять, что корректных "А" на одном IP может быть очень много, а "PTR" только один. SPF придуман чтобы это обойти. Его поддержку давно внедрили все крупнейшие почтовые службы (Google/Yahoo/Hotmail/Aol) и суммарный объём их почтового трафика соответствует где-то половине от мирового.
PS спасибо за понижение кармы. Ваша отрицательная оценка для меня — комплимент.
Например вам нелишне понять, что корректных "А" на одном IP может быть очень много, а "PTR" только один. SPF придуман чтобы это обойти. Его поддержку давно внедрили все крупнейшие почтовые службы (Google/Yahoo/Hotmail/Aol) и суммарный объём их почтового трафика соответствует где-то половине от мирового.
PS спасибо за понижение кармы. Ваша отрицательная оценка для меня — комплимент.
Никаких "может быть" в отношении расшифровки PTR не бывает.
А ну-ну.
Например вам нелишне понять, что корректных "А" на одном IP может быть очень много, а "PTR"
только один.
А мужики то не знают!
PS спасибо за понижение кармы. Ваша отрицательная оценка для меня — комплимент.
Делать мне больше нефиг как вам карму понижать.
PS Сами бы матчасть поучили. Было не лишним. А то строите такие замечательные предположения насчет фильтров gmail, что курам на смех.
Вообще-то, до этой проблемы с gmail у меня была проблема только с AOL, но там у меня только один знакомый, и проще было на проблему забить. Только что проверил - для AOL прописывание SPF не помогло. Вот что я получаю:
Connected to 64.12.138.153 but greeting failed.
Remote host said:
554- (RTR:DU) http://postmaster.info.aol.com/errors/55…
554 Connecting IP: 85.90.198.1
Я, конечно, к ISP-то обращусь, но они ещё даже PTR не прописали, хотя я заявление для этого на настоящей бумаге :) отнёс им ещё в пятницу.
Connected to 64.12.138.153 but greeting failed.
Remote host said:
554- (RTR:DU) http://postmaster.info.aol.com/errors/55…
554 Connecting IP: 85.90.198.1
Я, конечно, к ISP-то обращусь, но они ещё даже PTR не прописали, хотя я заявление для этого на настоящей бумаге :) отнёс им ещё в пятницу.
О! Только что ещё одну систему обнаружил, которой тоже SPF не помог: ukr.net.
Connected to 195.214.192.100 but greeting failed.
Remote_host_said:
451 http://ukr.net/mta/err.html#enduser/
Причём они как раз именно на PTR/ADSL ссылаются: "Обратный резолвинг вашего IP адреса (IN PTR) попадает под маску
массовых клиентских окончаний. Т.е. содержит слова pool/adsl/pppoe и т.п.".
Connected to 195.214.192.100 but greeting failed.
Remote_host_said:
451 http://ukr.net/mta/err.html#enduser/
Причём они как раз именно на PTR/ADSL ссылаются: "Обратный резолвинг вашего IP адреса (IN PTR) попадает под маску
массовых клиентских окончаний. Т.е. содержит слова pool/adsl/pppoe и т.п.".
Спасибо за пример. Вижу всё-таки есть люди, которые фильтруют по тексту PTR и ничего не знают про SPF. А это означает, что у вас есть лишь два выхода:
1. простой, но нарушает ваши требования к конфиденциальности — настроить для своего qmail полную пересылку сквозь сторонний relay (я в этом случае использую http://google.com/a)
2. сложный, для настоящих суровых парней — добиться смены PTR, найти все RBL, куда попал ваш IP и каждому из них доказать, что вы "не верблюд", а настоящий почтовый сервис.
1. простой, но нарушает ваши требования к конфиденциальности — настроить для своего qmail полную пересылку сквозь сторонний relay (я в этом случае использую http://google.com/a)
2. сложный, для настоящих суровых парней — добиться смены PTR, найти все RBL, куда попал ваш IP и каждому из них доказать, что вы "не верблюд", а настоящий почтовый сервис.
я готов мириться с этим, учитывая стремящееся у нулю количество спама, которое прорывается через гмэйловский фильтр
Я вот думаю, как мне отрубить уродский гуглов антиспам. Ну не хочу я заходить в уродский веб-интерфейс, мне удобно иметь деловую переписку в почтовом клиенте. Но если деловое письмо попало в спам (иттить твою, гугл, за ногу), я должен лезть в тормознющий веб-интерфейс и вынимать из спама нужное мне письмо. Какого хрена просто не дать мне возможность отключить эту медвежью услугу???
>> в тормознющий веб-интерфейс
в чём конкретно тормоза?
в чём конкретно тормоза?
В загрузке его, например. The Bat лично мне удобнее намного. Ну и письма всегда с собой, а не только когда я в интернете.
Дело вкуса конечно, но какой толк от электронных писем, когда нет интернета? Другой вопрос в наличии нормального канала связи. Лично я не пользуюсь почтовыми программами уже несколько лет — скорость работы gmail меня полностью устраивает, но понятное дело — связано это со стабильным скоростным каналом.
Толк простой — далеко не всегда я в интернете, а частенько надо поднять переписку. Дело в том, что я не подсаженный на инет гик, а просто веду свои дела.
Ясно. Так найдётся человек, который возразит вам, что не всегда есть электричество и потому почту надо держать распечатанной =)
Ладно, не будем флеймить
Ладно, не будем флеймить
Или человек, который возразит, что он далеко не всегда у одного компа, а частенько надо поднять переписку. И что он не прикованный к своему столу летучий мыш, а свободная птица :)
Не хотел продолжать это обсуждение... Не выдержал.
Подкину ещё аргументов:
1. База данных программы The Bat подвержена повреждениям как от случайных вирусов, так и от порчи оборудования, так что многократно дублированные данные на серверах Google — неплохая замена распечаткам и явно надёжнее чем локальный компьютер.
2. Можно легко переслать письмо любого размера не глядя на время пребывания в сети и ширину канала.
PS "не подсаженного на интернет гика" легко могут уличить в "подсаженности на компьютер", что в глазах "нормальных" людей — одно и то же. Так, что отстройки "вы тут больные, а я здоровый" не получилось. Впрочем сама попытка такого отмежевания показалась мне старанной, если вспомнить что пишет о себе господин Novikov .
Подкину ещё аргументов:
1. База данных программы The Bat подвержена повреждениям как от случайных вирусов, так и от порчи оборудования, так что многократно дублированные данные на серверах Google — неплохая замена распечаткам и явно надёжнее чем локальный компьютер.
2. Можно легко переслать письмо любого размера не глядя на время пребывания в сети и ширину канала.
PS "не подсаженного на интернет гика" легко могут уличить в "подсаженности на компьютер", что в глазах "нормальных" людей — одно и то же. Так, что отстройки "вы тут больные, а я здоровый" не получилось. Впрочем сама попытка такого отмежевания показалась мне старанной, если вспомнить что пишет о себе господин
NovikovЕсть что-то нездоровое в том, что во-первых у человека нет контроля над архивом своей-же переписки, а во-вторых что этот контроль есть у некоей организации (Google), которая и без этого известна своей тягой сконцентрировать всю информацию мира у себя (для блага конечных пользователей, конечно :)).
До gmail, веб-почта использовалась и продвигалась как дополнение к обычной почте - если нужен дополнительный/временный ящик, если нет возможности открыть нормальный аккаунт, etc. Gmail же продвигается как замена обычной почте.
Я понимаю желание Google предоставить их любимый сервис "поиск" везде где это возможно, но в случае gmail это привело к тому, что они не реализовали поддержку PGP. А если пользователь предпочитает безопасность возможности искать в письмах?
Кроме того, "многократно дублированные данные на серверах Google" лично я своими глазами не видел. И сколько раз и на каких серверах продублированны конкретно мои письма знать не могу. И, соответственно, оценить риск их потери тоже. Завтра заведутся психи, которые будут ратовать за очередной "зелёный" мир без техники, и начнут подрывать себя посреди датацентра Google - сохранятся ли при этом мои письма? Знаете, когда оно на домашнем компе, гораздо легче контролировать и доступ к своей информации, и бакапить, и поиск по ней реализовывать не отказываясь при этом от PGP, и т.д и т.п.
Чтобы веб-сервисы действительно стали полноценной альтернативой обычным приложениям, необходимо чтобы они обеспечили такой же уровень контроля над информацией, какой есть на своём компе:
До gmail, веб-почта использовалась и продвигалась как дополнение к обычной почте - если нужен дополнительный/временный ящик, если нет возможности открыть нормальный аккаунт, etc. Gmail же продвигается как замена обычной почте.
Я понимаю желание Google предоставить их любимый сервис "поиск" везде где это возможно, но в случае gmail это привело к тому, что они не реализовали поддержку PGP. А если пользователь предпочитает безопасность возможности искать в письмах?
Кроме того, "многократно дублированные данные на серверах Google" лично я своими глазами не видел. И сколько раз и на каких серверах продублированны конкретно мои письма знать не могу. И, соответственно, оценить риск их потери тоже. Завтра заведутся психи, которые будут ратовать за очередной "зелёный" мир без техники, и начнут подрывать себя посреди датацентра Google - сохранятся ли при этом мои письма? Знаете, когда оно на домашнем компе, гораздо легче контролировать и доступ к своей информации, и бакапить, и поиск по ней реализовывать не отказываясь при этом от PGP, и т.д и т.п.
Чтобы веб-сервисы действительно стали полноценной альтернативой обычным приложениям, необходимо чтобы они обеспечили такой же уровень контроля над информацией, какой есть на своём компе:
- Должна быть возможность заблокировать доступ к моей информации для всех, включая сотрудников этого сервиса
- для этого проще всего использовать шифрование, причём прямо в браузере, чтобы на сервис мной не передавалась вообще ни незашифрованная информация, ни пароль/ключ для её дешифровки
- второй вариант - незашифрованная информация и пароль/ключ передаются по https между браузером и сервисом, шифрование выполняется уже на самом сервисе, причём пароль/ключ они не хранят, а только временно используют когда им его передают - это требует определённого доверия к этой компании, и будет жить до первого инцидента
- должна быть возможность экпорта моих данных из сервиса в некий простой и доступный другим приложениям формат
- должна быть возможность гарантированного удаления своих данных, включая алгоритмы многократной перезаписи данных поверх мусором
не буду делать оценок насчёт здоровья того или иного выбора, замечу лишь, что:
1. Предложенная вами схема защиты выглядит как бронированная дверь в чистом поле. Почтовая система принципиально не обеспечивает шифрование писем исходящих от вашего корреспондента. Это означает также, что при всём желании почтовый сервер получает по smtp ОТКРЫТОЕ для прочтения письмо по НЕЗАШИФРОВАННЫМ каналам, которые могут быть "промониторены" сторонними провайдерами незаметно для участников. Google к этому не имеет отношения — так работает smtp.
2. В случае принципиальной необходимости тотальной защиты данных она В ЛЮБОМ СЛУЧАЕ обязана реализовываться НА КОНЕЧНЫХ ТЕРМИНАЛАХ, а не сторонними компаниями, контролирующими лишь часть маршрута доставки. НИГДЕ кроме компьютеров конечных пользователей не могут располагаться механизмы шифрования/дешифрования и только это может обеспечить гарантию. Таким образом использовать PGP на серверах БЕСПОЛЕЗНО, хотя Gmail никак не препятствует передаче зашифрованных писем. Так что я совершенно не могу понять ваши претензии к их действиям.
3. Организаций которые собирают данные о пользователях сейчас значительно больше, чем вам кажется. В частности вашему провайдеру доступно значительно больше информации о вас (а в России уже давно провайдеры официально "содействуют органам"), чем gmail (включая содержимое почты). Но между тем вы похоже не ратуете за отказ от их услуг и не можете заставить их обеспечить полную конфиденциальность.
3. Боюсь затребованная вами поддержка шифрования ваших данных на их дисках не имеет смысла по той же причине — вашему адресату письмо ДОЛЖНО быть отправлено в открытом виде, если вы не зашифровали его публичным ключом этого адресата.
4. Экспорт ваших данных доступен через API. пишите программы и пользуйтесь. (лучше сначала поищите, может уже есть)
5. Про террориста в датацентре читать несколько странно. Во-первых ДЦ это не вокзал, а во вторых данные google дублированы географически разнесёнными ДЦ, чего нет больше НИ У ОДНОГО почтового сервиса. (подробности об архитектуре DC Google легко найти в нём же)
6. Насчёт замены почтовых программ на gmail — это выбор конкретного потребителя. У вас всегда есть возможность использовать pop3 и держать архив на своём компьютере. На мой же вкус программы работы с почтой стали менее удобны чем web-интерфейс gmail. Но мы ведь не будем спорить о вкусах? =)
7. Думаю изъятие компьютера и архивных дисков органами правопорядка может нарушить вашу приватность как раз в случае, если архив свой вы храните локально, а gmail при этом сохранит ваши данные в вашем распоряжении. Кстати подумайте внимательно — чьих нападок на вашу приватность вам следует больше бояться: далёких американцев или местной власти?
1. Предложенная вами схема защиты выглядит как бронированная дверь в чистом поле. Почтовая система принципиально не обеспечивает шифрование писем исходящих от вашего корреспондента. Это означает также, что при всём желании почтовый сервер получает по smtp ОТКРЫТОЕ для прочтения письмо по НЕЗАШИФРОВАННЫМ каналам, которые могут быть "промониторены" сторонними провайдерами незаметно для участников. Google к этому не имеет отношения — так работает smtp.
2. В случае принципиальной необходимости тотальной защиты данных она В ЛЮБОМ СЛУЧАЕ обязана реализовываться НА КОНЕЧНЫХ ТЕРМИНАЛАХ, а не сторонними компаниями, контролирующими лишь часть маршрута доставки. НИГДЕ кроме компьютеров конечных пользователей не могут располагаться механизмы шифрования/дешифрования и только это может обеспечить гарантию. Таким образом использовать PGP на серверах БЕСПОЛЕЗНО, хотя Gmail никак не препятствует передаче зашифрованных писем. Так что я совершенно не могу понять ваши претензии к их действиям.
3. Организаций которые собирают данные о пользователях сейчас значительно больше, чем вам кажется. В частности вашему провайдеру доступно значительно больше информации о вас (а в России уже давно провайдеры официально "содействуют органам"), чем gmail (включая содержимое почты). Но между тем вы похоже не ратуете за отказ от их услуг и не можете заставить их обеспечить полную конфиденциальность.
3. Боюсь затребованная вами поддержка шифрования ваших данных на их дисках не имеет смысла по той же причине — вашему адресату письмо ДОЛЖНО быть отправлено в открытом виде, если вы не зашифровали его публичным ключом этого адресата.
4. Экспорт ваших данных доступен через API. пишите программы и пользуйтесь. (лучше сначала поищите, может уже есть)
5. Про террориста в датацентре читать несколько странно. Во-первых ДЦ это не вокзал, а во вторых данные google дублированы географически разнесёнными ДЦ, чего нет больше НИ У ОДНОГО почтового сервиса. (подробности об архитектуре DC Google легко найти в нём же)
6. Насчёт замены почтовых программ на gmail — это выбор конкретного потребителя. У вас всегда есть возможность использовать pop3 и держать архив на своём компьютере. На мой же вкус программы работы с почтой стали менее удобны чем web-интерфейс gmail. Но мы ведь не будем спорить о вкусах? =)
7. Думаю изъятие компьютера и архивных дисков органами правопорядка может нарушить вашу приватность как раз в случае, если архив свой вы храните локально, а gmail при этом сохранит ваши данные в вашем распоряжении. Кстати подумайте внимательно — чьих нападок на вашу приватность вам следует больше бояться: далёких американцев или местной власти?
1. Безусловно, шифрование на серверах Google имеет мало смысла, если при этом не используется PGP для защиты на транспортном уровне. В то же время, оно и не помешает. Дело в том, что из всех сотрудников Google сниферить smtp-пакеты может только root на smtp-сервере, в то время как доступ к базе имеет, скорее всего, значительно большее кол-во народа (девелоперы, тех.поддержка, etc.). Кроме того, отсниферить старые письма невозможно, а поднять архив переписки - запросто. Так что это шифрование просто добавляет ещё один уровень защиты, даже если PGP не используется.
2. Насчёт терминалов согласен, но при использовании gmail с разных точек (дом/работа/инет кафе/pda/...) это практически нереально реализовать, поэтому в роли такого терминала должен выступать сам gmail.
3. При использовании PGP и https провайдер идёт лесом.
5. Про террориста это, конечно, был прикол, но, как говорится, в каждой шутке есть доля штуки. Чем громче кто-то о себе заявляет, тем больше внимания он привлекает. И это не всегда именно такое внимание, как он бы хотел. Так что террористы действительно могут появиться. Что касается ранесённых географически ДЦ - лично Вам кто-то гарантировал, что именно Ваш почтовый архив полностью продублирован в географически разных ДЦ?
6. Выбор конкретного пользователя - это уже софистика пошла. Есть множество способов обеспечить "правильный" выбор пользователя. Вопрос в том, что у пользователя потихоньку отбирают контроль над его же информацией... лишают возможности использовать PGP... любопытно, что будет следующим.
7. Против этого есть шифрование локальных дисков, и ключ на ломаемой в руке флешке (чтобы терморектальным криптоанализом не занимались). А вот что gmail скажет, если почту пользователя у него попросит ФБР или спецслужба любой другой страны где у gmail много пользователей, мы знать не можем.
Более двух веков назад Бенджамин Франклин сказал:
2. Насчёт терминалов согласен, но при использовании gmail с разных точек (дом/работа/инет кафе/pda/...) это практически нереально реализовать, поэтому в роли такого терминала должен выступать сам gmail.
3. При использовании PGP и https провайдер идёт лесом.
5. Про террориста это, конечно, был прикол, но, как говорится, в каждой шутке есть доля штуки. Чем громче кто-то о себе заявляет, тем больше внимания он привлекает. И это не всегда именно такое внимание, как он бы хотел. Так что террористы действительно могут появиться. Что касается ранесённых географически ДЦ - лично Вам кто-то гарантировал, что именно Ваш почтовый архив полностью продублирован в географически разных ДЦ?
6. Выбор конкретного пользователя - это уже софистика пошла. Есть множество способов обеспечить "правильный" выбор пользователя. Вопрос в том, что у пользователя потихоньку отбирают контроль над его же информацией... лишают возможности использовать PGP... любопытно, что будет следующим.
7. Против этого есть шифрование локальных дисков, и ключ на ломаемой в руке флешке (чтобы терморектальным криптоанализом не занимались). А вот что gmail скажет, если почту пользователя у него попросит ФБР или спецслужба любой другой страны где у gmail много пользователей, мы знать не можем.
Более двух веков назад Бенджамин Франклин сказал:
Тот, кто готов пожертвовать частью свободы ради временной безопасности, не достоин ни свободы, ни безопасности.А вы, по сути, жертвуете своей privacy ради удобного интерфейса. При этом Google хотя и может без проблем реализовать поддержку вашей privacy, этого не делает - вероятно, по аналогии с Франклином, считает что вы не достойны иметь privacy, раз согласились на этот обмен.
1. Безусловно, шифрование на серверах Google имеет мало смысла, если при этом не используется PGP для защиты на транспортном уровне.
PGP на стороне сервера бессмысленно. для его реализации вам прийдётся отдавать им оба ключа, что равносильно его отсутствию.
Дело в том, что из всех сотрудников Google сниферить smtp-пакеты может только root на smtp-сервере, в то время как доступ к базе имеет, скорее всего, значительно большее кол-во народа (девелоперы, тех.поддержка, etc.).
давайте пока забудем про работников гугла — снифить вашу исходящюю почту может ваш собственный провайдер. и провайдер вашего адресата. Тут все бессильны — так устроен протокол. Для обеспечания полной безопасности вам прийдётся придумать собственный.
Насчёт терминалов согласен, но при использовании gmail с разных точек (дом/работа/инет кафе/pda/...) это практически нереально реализовать, поэтому в роли такого терминала должен выступать сам gmail.
Боюсь вы не поняли. При таких требованиях к безопасности никакая сторонняя почта вас не устроит. Вам однозначно прийдётся использовать шифрование на локальной машине совместно с тем, с кем вы переписываетесь (пердварительно обменявшись публичными ключами). Так что выбор у вас невелик — либо пользоваться шифрованной почтой на одном конкретном компьютере, либо пользоваться почтой с чужих компьютеров безо всякой гарантии. В любом случае не особо разумно доверять приватные ключи компьютерам в интернет-кафе.
При использовании PGP и https провайдер идёт лесом.
Протокол smtp исключает использование https. А PGP вы можете использовать только на своём компьютере (иначе это не защита) и только предварительно обменявшись приватными ключами с респондентами (это уже требование PGP).
Вам кто-то гарантировал, что именно Ваш почтовый архив полностью продублирован в географически разных ДЦ
Вы зря не поискали архитектуру датацентров Google. Этого вопроса у вас не возникло бы.
Вопрос в том, что у пользователя потихоньку отбирают контроль над его же информацией...
ИМХО вы переоценили ситуацию. Вы имеете полное право пользоваться pop3, как делали это раньше. Google в отличие от Yahoo не берёт а это денег. Так что никакой контроль у вас никто не отнимал. А вот свой выбор я легко могу пояснить — я не питаю иллюзий относительно ценности своей корреспонденции и потому не переоцениваю опасность. Если бы у меня был страх преследования, то я использовал бы для хранения почты выделенный сервер. Я пользуюсь Gmail потому, что не имею подобных страхов и не вижу никаких угроз в действиях Gmail.
лишают возможности использовать PGP
покажите где у вас отняли возможность использования PGP? ваши шифрованные письма перестали приниматься к отправке? НЕТ. Так зачем вы преувеличиваете? (Я уже дважды указал, что шифрование писем PGP на стороне сервера БЕССМЫСЛЕННО и потому не вижу для gmail в этом задачи)
Против этого есть шифрование локальных дисков, и ключ на ломаемой в руке флешке (чтобы терморектальным криптоанализом не занимались).
Я уверен — у вас точно не реализован такой механизм. И уверяю вас — вы не успеете этим воспользоваться. (Спросите у
onkА вот что gmail скажет, если почту пользователя у него попросит ФБР или спецслужба любой другой страны где у gmail много пользователей, мы знать не можем.
Поищите в архиве новостей — Google уже не раз отказывали FBI в предоставлении личных данных своих пользователей.
А вы, по сути, жертвуете своей privacy ради удобного интерфейса.
Вам не кажется, что вы переоцениваете своё прайваси? Мало того, что вас уже давно "посчитали" через cookie глобальных рекламных сетей, так вы не имеете свободы пересечь границу без вмешательства в ваше прайваси, не можете ни слова сказать по телефону без подключения к системе "мониторинга". Я не беру на себя столько, чтобы считать, что у меня можно подслушать или украсть главное — я как-то привык полагать, что оно неотделимо от моей личности и никакой сниффинг или паспортный контроль не в состоянии отнять этого у меня.
При этом Google хотя и может без проблем реализовать поддержку вашей privacy, этого не делает
Боюсь, я не соглашусь с вами. Они достаточно хорошо заботятся о моём прайваси и если у вас есть другие требования к нему, то это не моя проблема.
PS ну как, у вас что-то получилось с SPF?
Сначала - по теме. :) Сейчас регистрирую новый домен, и PTR запись у провадера и SPF буду делать уже для него. О результатах здесь отпишусь.
Не обязательно заниматься криминалом для того, чтобы возникло желание обеспечить тайну переписки, и не предоставлять о себе излишней информации третьим лицам.
Возвращаясь к исходной точке: я предпочитаю использовать PGP при переписке. Использование gmail не предоставляет мне такой возможности. И, на мой взгляд, это может быть связано не с тем, что у них просто руки не дошли это реализовать, а с тем, что им удобнее когда всё лежит в открытом виде. Удобнее - потому, что они эту информацию планируют как-то использовать. Хорошо это или плохо - думайте сами.
То же самое касается множества других веб-сервисов. Думаю Вы помните, что несколько лет назад все кому не лень (имеются в виду веб-магазины, etc.) собирали информацию о кредитках пользователей, и чем это кончилось. Теперь вместо информации о кредитке собирают список слушаемых вами песен (last.fm), ваши письма, списки посещаемых вами сайтов, и т.д. и т.п. без всяких гарантий приватности этих данных (а иногда даже не получив разрешения на сбор этих данных). Вы считаете это нормальным, Вы считаете что за предоставляемые нам возможности стоит заплатить эту цену - о-кей, но я так не считаю.
отдавать им оба ключа, что равносильно его отсутствиюНе равносильно, если считать что мои данные на их серверах в достаточной безопасности (по описанной мной выше схеме).
Протокол smtp исключает использование https.Да ну? Ведь подразумевается работа с gmail по https, при чём тут smtp?
Вы зря не поискали архитектуру датацентров Google.Я читал описание их архитектуры некоторое время назад. Неприпомню там никаких гарантий относительно хранения моих писем. Можно ссылочку?
Я уверен — у вас точно не реализован такой механизм.Угу, не реализован. А у меня на винте никакого компромата нет, я ничем таким не занимаюсь.
Не обязательно заниматься криминалом для того, чтобы возникло желание обеспечить тайну переписки, и не предоставлять о себе излишней информации третьим лицам.
Возвращаясь к исходной точке: я предпочитаю использовать PGP при переписке. Использование gmail не предоставляет мне такой возможности. И, на мой взгляд, это может быть связано не с тем, что у них просто руки не дошли это реализовать, а с тем, что им удобнее когда всё лежит в открытом виде. Удобнее - потому, что они эту информацию планируют как-то использовать. Хорошо это или плохо - думайте сами.
То же самое касается множества других веб-сервисов. Думаю Вы помните, что несколько лет назад все кому не лень (имеются в виду веб-магазины, etc.) собирали информацию о кредитках пользователей, и чем это кончилось. Теперь вместо информации о кредитке собирают список слушаемых вами песен (last.fm), ваши письма, списки посещаемых вами сайтов, и т.д. и т.п. без всяких гарантий приватности этих данных (а иногда даже не получив разрешения на сбор этих данных). Вы считаете это нормальным, Вы считаете что за предоставляемые нам возможности стоит заплатить эту цену - о-кей, но я так не считаю.
Сейчас регистрирую новый домен, и PTR запись у провадера и SPF буду делать уже для него.
Рекомендую проверить "работоспособность" SPF без PTR. У меня работает, но вдруг ваш IP в каком-то отдельном списке.
отдавать им оба ключа, что равносильно его отсутствиюНе равносильно, если считать что мои данные на их серверах в достаточной безопасности (по описанной мной выше схеме).
Не вижу в описанной вами схеме ничего достаточно безопасного для хранения на сервере приватного ключа PGP. С чего вы взяли, что те же девелоперы не смогут иметь доступа к PGP, если они же и должны обеспечить бесперебойную работоспособность вашего шифрования? Я вобще не вижу возможности обеспечить шифрование диска под пользовательские данные и при этом дать системе нормально работать не давая девелоперам и админам потенциального доступа к данным.
Ведь подразумевается работа с gmail по https, при чём тут smtp?
Потому, что Gmail не только с вами по http(s) контактирует, но и передаёт вашим корреспондентам письма по smtp (в открытом виде!). А также получает от них по smtp почту для вас. Я уже говорил, что ваш вариант защиты похож на бронированную дверь в чистом поле. Вы так и не пояснили как сервис может получать/передавать почту не имея доступа к содержимому, если вы сами не зашифровали письмо на входе.
Я читал описание их архитектуры некоторое время назад. Неприпомню там никаких гарантий относительно хранения моих писем. Можно ссылочку?
Google имеет одну и ту же техническую базу и для поиска и для почты. Дублирование данных происходит совершенно одинаково. Ссылку искать лень. Будет желание — найдёте. Бэкап почты упоминается в Gmail Privacy Policy
Не обязательно заниматься криминалом для того, чтобы возникло желание обеспечить тайну переписки, и не предоставлять о себе излишней информации третьим лицам.
А если вы не занимаетесь криминалом, то чего вам "стесняться", если ваша конфиденциальная информация в этом случае НЕ МОЖЕТ БЫТЬ РАСКРЫТА? Кроме того переданная им информация не обязана быть полной или правдивой. Не знаю как вы, но я не "откровенничаю" с информационными системами и потому накопать обо мне что-то конфиденциальное в Интернет "затруднительно".
Возвращаясь к исходной точке: я предпочитаю использовать PGP при переписке. Использование gmail не предоставляет мне такой возможности.
Поскольку не имеет такой возможности. Своему компьютеру вы можете доверять нечто конфиденциальное, а Google и не претендует на хранение чего-то, что не считает ценным (типа номера кедитных карт) в зашифрованных хранилищах.
Удобнее - потому, что они эту информацию планируют как-то использовать.
Да, открыто пишут, что на основе этой информации они формируют блоки контекстной рекламы. Рекомендую прочитать внимательно их политику конфиденциальности.
Хорошо это или плохо - думайте сами.
Не вижу в этом никакой угрозы для себя, особенно если я сам не давал им в руки ничего ценного о себе.
Теперь вместо информации о кредитке собирают список слушаемых вами песен (last.fm), ваши письма, списки посещаемых вами сайтов, и т.д. и т.п. без всяких гарантий приватности этих данных (а иногда даже не получив разрешения на сбор этих данных).
Укажите мне пожалуйста как можно использовать против вас информацию о ваших предпочтениях на Last.fm? Ато я действительно не понимаю угрозы, на которую вы намекаете.
Вы считаете что за предоставляемые нам возможности стоит заплатить эту цену - о-кей, но я так не считаю.
И всё-таки если можно поподробнее — что вы считаете "этой ценой" и чем это дорого для вас?
Я конечно не знаю сколько времени этот адрес находится во владении автора, но обычно недели-двух хватает чтобы адрес пропал из RBL листов.Вы будете смеяться, но в сети была некая почтовая служба которая реализовала PGP внутри себя и если правильно помню понимала входящие PGP. Смысл этого дела непонятен, но было и может даже есть.
Пардон, я влезу, - если все так плохо, может есть альтернатива гМылу?
Я пока такую не нашел...
Я пока такую не нашел...
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Защита gmail от спама.