On Monday 31 August 2009 23:15:05 Pavel Gulchouck wrote:
On Mon, Aug 31, 2009 at 11:05:02PM +0300, Oleg V. Nauman writes:
On Monday 31 August 2009 22:30:28 Pavel Gulchouck wrote:
On Mon, Aug 31, 2009 at 10:22:54PM +0300, Alex Belinsky writes:
Паша, in и out не всегда одно и то же.
Я бы сказал, что оно вообще редко одно и то же. :) Но к чему это в данном случае?
Шлет один сервер, проверяют либо тот же ( что чаще всего бесмысслено )
А, я про этот вариант не думал. Какой MTA так делает? Это ведь куча нормальной почты будет отброшена.
В смысле? Это следствие того факта что outbound != inbound на котором есть смысл делать проверку. А outbound вообще не обязан знать о кастомерах.
Ну и наличие кривых реализаций не является аргументом против технологии.
либо сервер который это письмо не слал.
Не слал - ну и что? DNS мне тоже ничего не слал, но я же могу запросить у него, существует ли такой домен? То же и с почтовиком, разве нет?
Я привожу примеры возможных DDoS-атак с использованием udp, icmp или tcp synack аналогично атаке через smtp callout. То есть, я посылаю tcp syn req от твоего имени на миллион smtp-серверов, и ты получаешь миллион synack от разных источников. Разве не то же самое, что с callout? Аналогично я могу послать миллион udp-запросов от твоего имени или миллион пингов. Почему именно smtp callout считают некошерными, а ответ на пинги - нормальным?
Sender callout есть ответ на запрос которого проверяемый сервер не делал
Равно как и во всех перечисленных мной случаях (tcp syn, udp, icmp) при forged ip source.
Ну так правильно, далее следующий малюсенький шаг по цепочке логики.. Реализация sender callout есть реализация forged SMTP sender. -- Науман Олег