Re: [ml] Reverse DNS

Marco wrote:

> Ma io non ho detto che non ferma lo spam, ho detto che non *protegge* dallo 
> spam.

Francamente mi sfugge la differenza... O__o


> A mio parere un sistema che crea una valanga di falsi positivi è da 
> considerarsi non valido: se no a questo punto tanto vale staccare il cavo di 
> rete e dire che si è risolto *definitivamente* il problema dello spam.

Su questo sono d'accordo, ma come sempre su questo argomento c'è 
ambiente ed ambiente (così come c'è configurazione e configurazione).
Ci sono ambienti "molto gestiti", in cui ci si può permettere anche di 
"calcare la mano". Uno tra tutti, la già citata AOL:

http://postmaster.aol.com/guidelines/standards.html

Diciamo piuttosto che, quanto più si calca la mano, tanto più lavoro 
bisogna mettere in campo.


> Il problema sta appunto nel fatto che il reverse dns non è una configurazione 
> obbligatoria, e ognuno può decidere come fare, e anche che nome dare ai 
> propri reverse.

Questo non è proprio corretto: le regole ci sono, ma vengono ignorate 
perchè "tanto va lo stesso", che è diverso da "non ci sono regole".
Questa è una visione molto italica, francamente... :-/


> Come giustamente è stato detto io posso benissimo configurare 
> un ip che risolva come reverse "mail.aol.com". Ovviamente facendo un 
> ulteriore reverse del reverse si vede che l'ip originale non corrisponde 
> all'ultimo ricavato, ma si sono già fatte almeno 2 query dns per ricavare una 
> informazione che comunque non ti dà una risposta definitiva sul fatto che si 
> tratti di uno spammer o no:

Non credo sia questione di "spammer o no". E' questione Aol o no. Fine.
Se non lo è, è qualcuno che sta cercando di farsi passare per Aol.
Non so tu, ma io non la vedo come una buona credenziale per qualcuno che 
vorrebbe comunicare con me.

Ti dirò di più: sui miei sistemi *ci sono* delle verifiche come queste. 
Se qualcuno si presenta come macchina aol, verifico anche che *sia* una 
macchina AOL (e altrettanto vale per altre entità).

Sono controlli che sono lì da anni, e per quanto ricordo non hanno mai 
dato *un* falso positivo.


> tralasciando il caso "aol.com" che data la mole 
> dell'impresa avrà pur qualche sysadmin competente in grado di gestire 
> correttamente le cose

Diciamo pure che questo è un eufemismo. Chi si occupa attivamente di 
spam *sa* quanto pesante sia stato l'apporto di AOL negli ultimi anni...


> mi immagino i casi di piccoli provider o semplicemente 
> uffici o privati che si vogliono installare sulle proprie macchine un server 
> smtp da usare per mandare la posta, per evitare di usare server esterni (e le 
> motivazioni valide per questa scelta sono molte, sulle quali non mi soffermo 
> perchè vanno oltre l'argomento): dovrebbero forse configurarsi pure i dns 
> loro stessi? E se hanno ip dinamici? Vengono tagliati fuori. E di nuovo qui 
> si torna allo stesso punto, ovvero valanghe di falsi positivi.

Internet *non è* un regno anarchico. Internet funziona perchè ci si è 
dati delle regole.

Se si vuole ignorarle perchè "a casa mia faccio quello che mi pare", si 
accetta anche lo scotto: che gli altri, a casa loro, fanno quello che 
vogliono, e sono perfettamente liberi di mandare a quel paese quelli che 
credono che le regole possono non applicarsi a loro.


Incidentalmente, parlare di "valanghe di falsi positivi" parlando di 
blocco di dinamici, è un *pelino* azzardato, fidati...


> Insomma, io non vedo nel reverse dns la soluzione allo spam, mentre è un buon 
> sistema per complicare la vita della gente comune: uno spammer il modo di 
> inviare le sue belle mail in ogni caso lo trova sempre, mentre un cliente no, 
> e spesso se la può anche prendere con te perchè "non ti adegui alle novità 
> della rete".

Coloro che tra noi si occupano di impedire che "trovino lo stesso il 
modo di spedire le proprie mail", guardacaso, la pensano diversamente. 
Un motivo, forse, ci sarà.

Il rDNS *non è*la soluzione per lo spam, e su questo siamo d'accordo.
La soluzione dello spam è una mistura di soluzioni tecniche, soluzioni 
di sicurezza, e enforcing delle best practices. Su questo c'è 
convergenza di praticamente tutte le organizzazioni e i gruppi di lavoro 
che internazionalmente si occupano della cosa.
E l'enforcing delle best practices passa *anche* per una corretta 
gestione del rDNS.


> Non vedo perchè si debba fare distinzione tra pc "professionali" e non. Cos'è 
> che rende un pc professionale?

Non ho parlato di PC. Ho parlato di configurazioni.


> E perchè uno dovrebbe essere autorizzato a 
> mandare mail e un altro no, solo in base agli argomenti del loro contenuto 
> (ludico, lavorativo o personale che sia)?

Il contenuto non conta nulla.
Il problema è che SMTP è un protocollo che prevede dei layer, con dei 
server che fungono da instradatori per quello che i client sottopongono 
loro.

Sta in piedi decentemente, in quanto a rapporto segnale/rumore, 
fintantochè l'accesso all'instradamento è controllato; ed è controllato 
fino a quando sono in grado di riconoscere un instradatore lecito da uno 
 non lecito.

Nessuno impedisce a nessuno di farsi il server in casa. Solo, è bene che 
si rispettino delle regole, affinchè chi sta dall'altra parte possa 
riconoscere un instradatore lecito tra i milioni di instradatori abusivi 
che cercano di contattarci tutti i santi giorni.

Attualmente, il media ha un rapporto segnale/rumore infimo, proprio 
perchè il controllo sull'accesso è ancora troppo scarso.

Chi ha implementato un robusto controllo sull'accesso (vedasi la già 
citata Aol) ha praticamente eradicato lo spam generato dalle proprie 
reti, o perlomeno lo ha ridotto ad un problema trascurabile.


> Mi sembra che questo discorso vada 
> in netto contrasto con la filosofia della rete, ovvero condividere le 
> informazioni e dare a tutti quanti un sistema economico e funzionale per 
> condividere ed accedere alle informazioni.


Quanto a questo discorso, vent'anni fa era normale, per un server SMTP, 
essere un open relay...

Il problema è proprio questo, purtroppo: proprio in funzione della 
troppa libertà di condividere qualsiasi cosa, il sistema email, che dal 
punto di vista prettamente funzionale è una delle cose meglio riuscite 
di Internet, è sull'orlo del collasso.

Possiamo decidere: o iniziare a venire a patti con delle regole, oppure 
finire di mandare all'aria il sistema attuale affinchè "ognuno a casa 
propria possa fare quello che gli pare".



> E se la macchina si presenta invece come "pippo.spammer.com", oppure 
> "angel.heaven.org", ed è effettivamente chi dice di essere, perchè il bravo 
> spammer (che gestisce entrambe le macchine dell'esempio) ha configurato 
> correttamente il reverse del suo/suoi ip? Che fai? Accetti o no? Il reverse 
> lo ha configurato, quindi deve essere considerato un "buono"? Certo che no.

Temo che manchi il punto. Avere un corretto rDNS non rende nè buoni nè 
cattivi. Serve a identificarsi.
In funzione di come mi identifico, saranno gli altri a decidere se sono 
buono o cattivo. Io ho fatto il mio, e mi distinguo come legittimo 
proprietario del dominio X, con il quale le mie macchine si presentano, 
distinguendomi in tal modo dalle centinaia di macchine trojanizzate che 
giornalmente fanno (o possono fare) altrettanto.
Ti pare poco?


> qui si presenta la necessità di gestire un database dei "buoni" e dei 
> "cattivi". E chi lo gestisce?

A casa mia, io. A casa tua, tu.
Se ho voglia e me ne fido, uso quella di qualcun altro, e la gestisce 
lui. E' importante? Ma, soprattutto, cosa c'entra?!?


> > fine blaterazioni
>
> Perchè blaterazioni?

Perchè tendo a diventare verboso, e ho fatto questo discorso troppe 
volte... :-/