On Mon, Aug 31, 2009 at 11:37:18PM +0300, Oleg V. Nauman writes: OVN> On Monday 31 August 2009 23:15:05 Pavel Gulchouck wrote:
On Mon, Aug 31, 2009 at 11:05:02PM +0300, Oleg V. Nauman writes:
On Monday 31 August 2009 22:30:28 Pavel Gulchouck wrote:
On Mon, Aug 31, 2009 at 10:22:54PM +0300, Alex Belinsky writes:
Паша, in и out не всегда одно и то же.
Я бы сказал, что оно вообще редко одно и то же. :) Но к чему это в данном случае?
Шлет один сервер, проверяют либо тот же ( что чаще всего бесмысслено )
А, я про этот вариант не думал. Какой MTA так делает? Это ведь куча нормальной почты будет отброшена.
В смысле? Это следствие того факта что outbound != inbound на котором есть смысл делать проверку. А outbound вообще не обязан знать о кастомерах.
Какой MTA делает callout на отправляющий сервер, а не по MX? И, повторюсь, это всего лишь кривая реализация, которая не говорит о кривизне технологии.
либо сервер который это письмо не слал.
Не слал - ну и что? DNS мне тоже ничего не слал, но я же могу запросить у него, существует ли такой домен? То же и с почтовиком, разве нет?
Я привожу примеры возможных DDoS-атак с использованием udp, icmp или tcp synack аналогично атаке через smtp callout. То есть, я посылаю tcp syn req от твоего имени на миллион smtp-серверов, и ты получаешь миллион synack от разных источников. Разве не то же самое, что с callout? Аналогично я могу послать миллион udp-запросов от твоего имени или миллион пингов. Почему именно smtp callout считают некошерными, а ответ на пинги - нормальным?
Sender callout есть ответ на запрос которого проверяемый сервер не делал
Равно как и во всех перечисленных мной случаях (tcp syn, udp, icmp) при forged ip source.
Ну так правильно, далее следующий малюсенький шаг по цепочке логики.. Реализация sender callout есть реализация forged SMTP sender.
Но почему же возможность организации DDoS является аргументом против smtp callout, но по аналогичным соображениям в blacklist не заносятся сервера, отвечающие на 53/udp, на icmp echorequest, шлющие icmp unreachable? Через них тоже можно сделать DDoS. Мало того: DDoS можно сделать через smtp-сервера, не делающие callout, отправляя на них tcp syn от имени жертвы. Так почему именно callout считается неправильным, а все остальные аналогичные вещи - нормальными? -- Паша.