S*A
发帖数: 7142 | 1 关于私人网段发 email 被 reject 是不是违规现象
zher 一直没有给我出处,导致我误会 zher 是随便忽悠我的。
现在我有足够的证据相信是我太敏感了。 zher 讨论的态度是认真的。
我仔细看了一下 RFC 5321:
我猜 zher 想引用的是这个: section 4.1.4
An SMTP server MAY verify that the domain name argument in the EHLO
command actually corresponds to the IP address of the client.
However, if the verification fails, the server MUST NOT refuse to
^^^^^^^^^^^^
accept a message on that basis. Information captured in the
verification attempt is for logging and tracing purposes. Note that
this prohibition applies to the matching of the parameter to its IP
address only; see Section 7.9 for a more extensive discussion of
^^^^^^^^^^^^^^^^^^
rejecting incoming connections or mail messages.
我现在可以理解 zher 为什么说这个是违法协议了。这里提到了 MUST NOT
refuse。 但是这里说的是不能因为 DNS 和 IP 不 match 来拒绝是违反
协议的。我们讨论的并不是 DNS 和 IP 不配对,是 IP 所在的 range 按照
ISP 协议不应该发 email. 这里也提到了看 7.9 更加详细的描述。
真正覆盖这个 spam 的是 section
6.2. Unwanted, Unsolicited, and "Attack" Messages
里面同样提到 Section 7.9
然后我在 7.9 找到这个:
7.9. Scope of Operation of SMTP Servers
It is a well-established principle that an SMTP server may refuse to
accept mail for any operational or technical reason that makes sense
to the site providing the server. However, cooperation among sites
and installations makes the Internet possible. If sites take
excessive advantage of the right to reject traffic, the ubiquity of
email availability (one of the strengths of the Internet) will be
threatened; considerable care should be taken and balance maintained
if a site decides to be selective about the traffic it will accept
and process.
这个是说不鼓励随便乱拒绝服务,但是没有用 Must Not 的字眼。
然后后面这一段是专门讲述了我提到的 ISP Non-MTA client IP range
的现象的:
In recent years, use of the relay function through arbitrary sites
has been used as part of hostile efforts to hide the actual origins
of mail. Some sites have decided to limit the use of the relay
function to known or identifiable sources, and implementations SHOULD
provide the capability to perform this type of filtering. When mail
is rejected for these or other policy reasons, a 550 code SHOULD be
used in response to EHLO (or HELO), MAIL, or RCPT as appropriate.
所以 RFC 5321。 Section 7.9 描述了 ISP 和其他 email server 这么
做是*符合*协议的。并给出了建议做法: (SHOULD response 550).
所以,结论是:
1) zher 不是随便拿个协议来忽悠我,我误会了 zher.
zher 是真的相信有这个协议,真的相信有违规现象。
我被那个 "IPS 协议” 忽悠了因为查了一下 IPS 神马玩意都不是。
zher 同学的态度是认真严肃的,这里向 zher 同学郑重道歉。
2)这个出处是有的,但是我觉得 zher 的理解是错的。这个是符合协议的。
真正对应的是 section 7.9 专门描述这种现象并给出建议。我不知道
我的理解对不对,还希望指正。
Any way, 我对搞清楚技术问题真相的兴趣远远大于证明谁对谁错。
这其中有很多对 zher 冒犯还请原谅。
SSA |
a*******e
发帖数: 3021 | 2 鼓掌鼓掌
这年月踏下心来看文献的不多了
【在 S*A 的大作中提到】
: 关于私人网段发 email 被 reject 是不是违规现象
: zher 一直没有给我出处,导致我误会 zher 是随便忽悠我的。
: 现在我有足够的证据相信是我太敏感了。 zher 讨论的态度是认真的。
: 我仔细看了一下 RFC 5321:
: 我猜 zher 想引用的是这个: section 4.1.4
: An SMTP server MAY verify that the domain name argument in the EHLO
: command actually corresponds to the IP address of the client.
: However, if the verification fails, the server MUST NOT refuse to
: ^^^^^^^^^^^^
: accept a message on that basis. Information captured in the
|
E*V
发帖数: 17544 | 3 刚才吾操作
【在 S*A 的大作中提到】
: 关于私人网段发 email 被 reject 是不是违规现象
: zher 一直没有给我出处,导致我误会 zher 是随便忽悠我的。
: 现在我有足够的证据相信是我太敏感了。 zher 讨论的态度是认真的。
: 我仔细看了一下 RFC 5321:
: 我猜 zher 想引用的是这个: section 4.1.4
: An SMTP server MAY verify that the domain name argument in the EHLO
: command actually corresponds to the IP address of the client.
: However, if the verification fails, the server MUST NOT refuse to
: ^^^^^^^^^^^^
: accept a message on that basis. Information captured in the
|
s*****o
发帖数: 1262 | |
s**h
发帖数: 1889 | 5 赞态度诚恳和钻研精神
【在 S*A 的大作中提到】
: 关于私人网段发 email 被 reject 是不是违规现象
: zher 一直没有给我出处,导致我误会 zher 是随便忽悠我的。
: 现在我有足够的证据相信是我太敏感了。 zher 讨论的态度是认真的。
: 我仔细看了一下 RFC 5321:
: 我猜 zher 想引用的是这个: section 4.1.4
: An SMTP server MAY verify that the domain name argument in the EHLO
: command actually corresponds to the IP address of the client.
: However, if the verification fails, the server MUST NOT refuse to
: ^^^^^^^^^^^^
: accept a message on that basis. Information captured in the
|
S***d
发帖数: 1802 | |
s*******8
发帖数: 12734 | 7 RFC是一个很累的东西,鼠标得弄得快一点,很难focus感觉。 |
z**r
发帖数: 17771 | 8 赞一下态度。
技术问题上俺很少忽悠人,尤其跟网络有关的,俺向来都是要搞清楚的。你误解俺可能
是你来这里比较少,没问题。
这个你还是有点没弄清楚俺要说的是什么,也可能是俺没表达清楚。俺要说的是,全世
界无数台email server,要想保证这个体系正常运行,必须得有套标准来保证最起码的
一些常规运营,否则整个Internet也就没有存在的可能了。至于一些个别情况,像
hotmail, yahoo mail, gmail这些巨无霸,因为特殊性,肯定会有一些特殊举动。但是
不能说他们的这些特殊策略,就是一个标准。有很多例子,但是咱们的分歧主要在于是
不是用consumer IP做email server就一定不行。俺分开几点来说
1、压根就没有consumer IP block这么个严谨定义,当然从字面上可以看出,想指的是
家庭用户用的IP space,但是理论上,任何IP都是生而平等的,这个consumer IP
block唯一能表达的是某个运营商的一个阶段的IP管理以及分配。这个是随时可能变化
的,尤其在当今IPv4 space基本用光的情况下,各家为了拖延上IPv6,会想尽办法利用
以前得到的IPv4地址空间,所以这个所谓的consumer IP block是经常变化的。当然,
所谓经常,也不是说1、2天就变。
2、如果一定要block consumer IP space,从效率上看,全世界所有的consumer IP
space要比email server数目多无数倍,也就是说,与其block consumer IP space,不
如block所有的,然后把合法email server打开。就现在有的一些balck list,都是非
常不全面的,不知道到底有多少email server在借鉴,但应该不是个行业普遍行为。
3、回到最开始,hotmail等email service根本不能代表行业标准,因为他们太特殊了。
首先俺没说IPS协议,俺说的是相关文档。你可能没觉得有啥区别,俺是故意这么说的
,因为IPS这个行业更特殊,有没有一个协议说怎么写病毒,怎么写木马?俺不是搞病
毒啊什么的,但是俺觉得答案是没有。所以怎么反病毒,反木马等等,也不可能有一个
标准协议,最多是一些de fecto的文档。
不知道你凭什么说IPS神马都不是,口气大的惊人。security market一年产生几百亿美
金的
revenue,IPS在里面的份额逐年增加,因为现在的黑客攻击,病毒,木马等等都比以前
有了质的不同,可能产生的破坏更加严重,一来都被网络连起来了,二来更多的关键服
务都放在了网上。以前的单纯靠一台防火墙,不管是网络防火墙还是病毒防火墙还是其
他,都不能胜任,要的是一个体系来对抗,IPS就是这么一个体系。大家都知道的China
Greatwall Firewall,其实就是这么一个系统,只不过防范的东西相对单一而已。
回到问题本身,为什么IPS在email anti-spam里面很重要,IPS是一套相对智能的体系
,可以随时更改安全策略,你以为hotmail这些都是在server上写access control list
来block吗?都是由IPS一类的体系在做。
谈不上道歉,只是以后再讨论技术问题请避免什么皇帝的新装这类无聊字眼。
通过以上俺的描述,你应该知道俺到底是怎么理解的了吧?读协议标准是俺这个行业的
人不能说天天都要做的事情,但是起码是经常做的事情。但是有些标准也只能是说为了
保证不同产品之间的互通性,不遵守标准搞自己一套的多了,尤其那些垄断公司,咳、
咳、咳。所以也不要尽信书。 |
S*A
发帖数: 7142 | 9
那你搞清楚了这个行为到底是不是在什么地方违规了没有,我就是一直很好奇
找那个出处,也不知道我猜的对不对?
对,我的资历比较弱,您是老大,如有冒犯,请多多包含。
我觉得你的表达很清楚,但是逻辑有问题。你说 yahoo,gmail 有特殊性,我可以
同意。你的逻辑简化为
1)gmail 做了不规范事情(这个太难查,我先假设有)
2)gmail 做了 B
3) B 就是不规范事情。
除非你说的 gmail 做的所有事情都是不规范的。这个明显和直觉是违背的。
"任何IP都是生而平等的," 所以由此可以推导出 firewall 是没有必要的?
大家都平等嘛,还要什么特殊待遇.
我都说了 N 遍了。这些用户和 ISP 的合同就是在这些 IP 不提供向外链接的
MTA。ISP 有专门的 smtp server 为自己的客户发信。这样做也是保护用户,
因为减少别人 hijack 这些 IP 的用处。consumer IP 不是一个精确的定义,
但是我相信你知道我指的是什么,在这里就是不能向外 MTA 的 IP。
是非
要不你去提交个 RFC 建议 whitelist 所有的合法 IP 看看能不能接受?
这个是你调查研究之后的 fact 还是自己觉得的?
FYI, 我碰到过其他公司的 server reject email 基于我的网段的。
这种种自己搭 sendmail 事情我干过,很久很久以前了,得出的结论
就是这样是不可靠的,所以我就跟大家说声。这个和你职责这个行为
不规范本来不矛盾,deal with it. 但是我就是一直好奇这个不规范
违反了什么。你说了半天也没法说出个黑纸白字的规定来。
老实说,我觉得你这个说法很牵强。我很好奇板上有多少人看了你的这句话
得出没有协议如何写病毒的想法。
我是说和 Email 没有直接联系。我就是想知道你当时说 ”IPS 相关文档“
到底是指的什么什么文档说明了违反协议。我当然知道 IPS 是什么了。
我都道歉了,我如果说您没有皇帝的新装容易被别人误会的。
要不你来起草个道歉声明我来签字发表如何?
我明白了,你就是说没有黑子白子的规范说这样是违规的,但不能说这样做
就是对的。您觉得这个做法不符合 Internet 精神,它就一定对不了。
收到,拿出小本本铭记下来。
【在 z**r 的大作中提到】
: 赞一下态度。
: 技术问题上俺很少忽悠人,尤其跟网络有关的,俺向来都是要搞清楚的。你误解俺可能
: 是你来这里比较少,没问题。
: 这个你还是有点没弄清楚俺要说的是什么,也可能是俺没表达清楚。俺要说的是,全世
: 界无数台email server,要想保证这个体系正常运行,必须得有套标准来保证最起码的
: 一些常规运营,否则整个Internet也就没有存在的可能了。至于一些个别情况,像
: hotmail, yahoo mail, gmail这些巨无霸,因为特殊性,肯定会有一些特殊举动。但是
: 不能说他们的这些特殊策略,就是一个标准。有很多例子,但是咱们的分歧主要在于是
: 不是用consumer IP做email server就一定不行。俺分开几点来说
: 1、压根就没有consumer IP block这么个严谨定义,当然从字面上可以看出,想指的是
|
z**r
发帖数: 17771 | 10 你现在就处于一个钻牛角尖的状态,不是一个好的讨论态度。到目前都没有理解俺讲的
前因后果,总是非要给俺扣一个莫须有的帽子,然后基于一个假设的错误的目标进行辩
解,太累了。
【在 S*A 的大作中提到】
:
: 那你搞清楚了这个行为到底是不是在什么地方违规了没有,我就是一直很好奇
: 找那个出处,也不知道我猜的对不对?
: 对,我的资历比较弱,您是老大,如有冒犯,请多多包含。
: 我觉得你的表达很清楚,但是逻辑有问题。你说 yahoo,gmail 有特殊性,我可以
: 同意。你的逻辑简化为
: 1)gmail 做了不规范事情(这个太难查,我先假设有)
: 2)gmail 做了 B
: 3) B 就是不规范事情。
: 除非你说的 gmail 做的所有事情都是不规范的。这个明显和直觉是违背的。
|
S*A
发帖数: 7142 | 11 好吧,我钻牛角尖。看你的回帖太经不起推敲了,手贱回了一把。
太逗了,没忍住,罪过。
就放你一把吧,不讨论这事了。
【在 z**r 的大作中提到】
: 你现在就处于一个钻牛角尖的状态,不是一个好的讨论态度。到目前都没有理解俺讲的
: 前因后果,总是非要给俺扣一个莫须有的帽子,然后基于一个假设的错误的目标进行辩
: 解,太累了。
|
z**r
发帖数: 17771 | 12 跟你讨论问题有两次吧,说实话你给俺的感觉就是知道点皮毛然后就以极大的自信心做
很多你自己压根就不知道的事情的结论。很多事情给你讲得很清楚了,也不知道你是不
懂还是不愿意懂,非转弯抹角非要证明自己永远都是对的。俺说实话一直不愿意在非网
络版讨论网络问题,很多都是鸡同鸭讲,可好多次都忍不住插嘴,以后继续忽略这类帖
子,反正也没啥技术含量。
【在 S*A 的大作中提到】
: 好吧,我钻牛角尖。看你的回帖太经不起推敲了,手贱回了一把。
: 太逗了,没忍住,罪过。
: 就放你一把吧,不讨论这事了。
|
S*A
发帖数: 7142 | 13 好吧,既然你那么说,我就收回我的话,就冲着你这态度,陪你多讨论一下。
你确定这个说的是我而不是你?给点论据事实看看?
我看到的是,你自己问我 sendmail IP 被 block 的事情,自己说这个
是违反协议。不但拿不出事实依据来,我给你找出了 RFC 还要嘴硬,
完全不谈 RFC 上面的事情。东扯西扯一大堆反正你就是对的。你不是
喜欢引用 RFC 么,干嘛不直接引用个 RFC 一锤子敲定不就完了么。
你说的论据都是不能 Verified 是什么道理?
我知道我懂得不多,所以还是事实求事去查 RFC, 如果我错了,我希望搞明白
我错在什么地方,好更正我自己的理解。我承认我有好胜心的一面,但是你连
你自己总觉得永远都对的都不敢承认。说人家违反规定的不是你?死活拿不出
证据的还不是你?
你是想说 “我整天读 RFC, 懂得比你多多了,这个问题我没有道理讲不过你,
我就不和你这种无知的人讨论了。反正你们无知的人也讨论不出什么。”
这个我也可以明白。谁说我不能站在你的角度思考问题呢?
我只是不喜欢你永远是对的,高高在上的视角而已。
我一般不这样和别人讨论问题,但是胡搅蛮缠有胡搅蛮缠的讨论方法。
而且我都觉得我道歉错了,我还以为你是有依据的说的 IPS 相关文档
的问题,那么理直气壮。感情你就是打个完全不相干的比喻。
【在 z**r 的大作中提到】
: 跟你讨论问题有两次吧,说实话你给俺的感觉就是知道点皮毛然后就以极大的自信心做
: 很多你自己压根就不知道的事情的结论。很多事情给你讲得很清楚了,也不知道你是不
: 懂还是不愿意懂,非转弯抹角非要证明自己永远都是对的。俺说实话一直不愿意在非网
: 络版讨论网络问题,很多都是鸡同鸭讲,可好多次都忍不住插嘴,以后继续忽略这类帖
: 子,反正也没啥技术含量。
|
