|
FAQ Kerio Connect : кто и как борется со спамом: микроисследование. |
Небольшой пролог.
Мы все стали продвинутыми гражданами в области высоких технологий: гаджеты, блоги, твиттеры, винда, информационная безопасность страны, персональные данные и т.д. и т.п. - мы все теперь свободно оперируем такими высокими и сложными понятиями. Некоторые граждане дошли до того, что стали изучать вопросы защиты информации и даже зарабатывать на этом неплохие деньги - современное, модное, значит нужное и дорогое. Все бы это было бы хорошо, если бы не всегдашнее НО в стране, где правит не президент и правительство, а блоггер и твитерасты, и воровство и тупость считаются единственным мерилом успеха. Всегдашнее НО - все есть, только ничего не работает... Не будем трогать великое - посмотрим на мелочи, в которых, как известно, черт и есть. На спам.
Никто не любит спам.
Каждый не любит спам по своему: кто-то упорно настраивает фильтры в Бате или Аутлуке, добросовестно тыкая в кнопку "Это спам", кто-то начальственно рычит на сисадминов: типа еще раз моей секретутке придет письмо с матом - уволю нах, кто-то разрабатывает должностные инструкции и технические регламенты по защите от спама, кто-то громко рекламирует и дорого продает какие-то решения.... Словом, все живет или делает вид, что живет. Мало кто из неспившихся и причастных к инету граждан безразличен к спаму.
Что есть для борьбы с этим злом.
Очень многое - международные стандарты, специальные программные решения, огромные и дорогие базы данных адресов спамеров, невероятно дорогостоящие почтовые сервера и целые системы и проч.. И все это направлено на достижение единственной цели - рядовому юзеру снизить головную боль от не нужных писем. Похвально, что мы всей страной тоже участвуем и очень как бы даже активно - законы приняли, госаппарат организовали (нигде в мире нет госструктуры типа нашего ФСТЭКа), народ обучаем - нигде в мире нет столько частных организаций, занимающихся не только защитой информации, но и обучением этому ремеслу, в общем процесс идет, если бы не НО....
В чем состоит это НО.
Вообще по жизни оно всегда состоит в том, что исключения из правил в конце концов становятся правилами, т.е. если всем нельзя, а мне надо, то значит можно. Ну, и наоборот. В общем - кому скрипки, кому барабаны. По жизни оно как бы проходит, а вот в трех областях такая роскошь никогда не прокатит: в физике, медицине и информационных технологиях. В контексте вопроса: спаму все равно кто перед ним - пуп земли или вася пупкин, спам признает только законы логики, а не величину апломба юзера. Вот и все НО в нашем случае: или апломб или борьба со спамом как положено. Все вместе и очень громко выбрали .... как положено.
В чем оНО выражается.
Да в мелочах. Вот есть метода борьбы со спамом, она включает несколько направлений, каждое из которых по своему сложное для реализации. Но самые простые решения - они и есть самые эффективные. Одним из таких решений является запись SPF для отправителей электронной почты (что это и как это смотрим здесь). Гениальная почти простота: в системе доменных имен для каждого почтового домена должен быть указан перечень серверов, с которых разрешается отправка почты. Нет такого сервера в перечне - не принимаем почту от него, нет спама. Чего же осталось: принять международный регламент (он принят и должен исполняться всеми интернет-участниками) и сделать на серверах имен пометочки для почтовых доменов - всего одну строчку определенного формата, минимальная рабочая длина которой всего лишь 12 знаков. Все админы такую строчку сделали - проблему решили на корню - в идеале, конечно. Вот Но и выразилось - а кто ж это делать-то будет ? :-)
Почему оНО возможно.
По двум причинам: лень на фоне крайне низкой подготовки специалистов-исполнителей, и отсутствие реально действующей системы зашиты информации как на отдельно взятом компьютере какого-то хомячка, так и в масштабах страны в целом. Понты то есть. Ну и естественно - это пренебрежение к другим участникам процесса: я наплевал на регламент, а вы попробуйте наплевать на меня. Типичное дешевое привычное наше понтовое жлобство. И не только наше жлобство, но негры с Конго меня как-то мало волнуют (вы знаете, что в русском словаре MS Word слово "негр" отсутствует ? ).
Ну и что и зачем из всего этого следует.
А самый простой вывод: наличие или отсутствие корректной SPF-записи в домене организации является критерием оценки уровня профессионализма ИТ-персонала и как следствие - критерием оценки соответствия бизнес-процессов в этой организации мировым стандартам. Вот так - не более, и не менее !
Если кто-то считает иначе. тогда приведу известную аналогию: театр начинается с вешалки, а ИТ в организации - с ДНС. А записи SPF в ДНС это как последний завиток на модельной прическе - если по голове бегают вши, об SPF говорить излишне. Ну, или более грубый пример: при вашем костюме от Армани будут великолепно смотреться настоящие Patek Philippe только тогда, когда у вас застегнут гульфик и воротничок на сорочке не вчерашний.
Так что те, кто со со мной не согласен, могут дальше не трудиться читать, а для остальных продолжу: меру оценки мы определили - запись SPF, предмет оценки тоже - профессионализм (репутация, если хотите. Или понты). Теперь надо бы найти инструмент для измерения понтов.
Чем меряются понты.
В данном случае ответ как бы на поверхности: SPF - это строчка в ДНС-записях, значит надо проверить ее хотя бы наличие (про корректность уже даже не будем думать). А для таких целей есть старый добрый инструмент - утилита DIG из состава известнейшего сервера ДНС BIND (что это и как работает - все в интернете есть). Так что установив и запустив наш DIG-понтомер, попробуем SPF-критериально оценить степень крутизны самых разных организаций.
Команда для DIG-понтомера проста, как и сам критерий: dig <домен_для_оценки_понтов> txt
С чего начнем - конечно, с крупнейших почтовых серверов. Уж от кого и ожидать предельной четкости, как не от них:
; <<>> DiG 9.8.0-P4
<<>> yandex.ru txt
;; ANSWER SECTION:
yandex.ru. 501 IN TXT
"v=spf1 redirect=_spf.yandex.ru"
yandex.ru. 501 IN TXT "mailru-verification:
530c425b1458283e"
; <<>> DiG 9.8.0-P4 <<>> mail.ru
txt
;; ANSWER SECTION:
mail.ru.
600 IN TXT "v=spf1 ip4:94.100.176.0/20 ip4:217.69.128.0/20
ip4:195.218.168.66 ip4:188.93.58.0/24 ~all"
; <<>> DiG 9.8.0-P4 <<>>
rambler.ru
txt
;; ANSWER SECTION:
rambler.ru.
9005 IN TXT "v=spf1 ip4:81.19.66.0/23 ip4:81.19.88.0/24
ip4:81.19.92.32/27 -exists:%{ir}.spf.rambler.ru -exists:%{l}.u.spf.rambler.ru
~all"
; <<>> DiG 9.8.0-P4 <<>> google.com
txt
;; ANSWER SECTION:
google.com.
3600 IN TXT "v=spf1 include:_netblocks.google.com ip4:216.73.93.70/31
ip4:216.73.93.72/31 ~all"
Как и следовало ожидать - все четко, все правильно, с разной степенью
разделения полномочий. Отлично да и только.
Как бы интересно было бы посмотреть на руководящие органы. Если верхушка в порядке - значит страна в порядке.
Это наш блоготопик:
; <<>> DiG 9.8.0-P4
<<>> gov.ru txt
;; ANSWER SECTION:
gov.ru. 43154 IN TXT "RGIN - Russian
Government Internet Network, Moscow, Russia"
; <<>> DiG 9.8.0-P4 <<>> kremlin.ru
txt
;; ANSWER SECTION:
kremlin.ru. 1694 IN TXT "RKIN - Russian
Kremlin Internet Network, Moscow, Russia"
А вот не наш вайтхаус:
; <<>> DiG 9.8.0-P4
<<>> whitehouse.gov txt
;; ANSWER SECTION:
whitehouse.gov. 10799
IN TXT "v=spf1 +mx ~all"
whitehouse.gov. 10799 IN TXT "google-site-verification=-JwbHEICaAjxSBvyk24PmeRbAMxlwkMNBbMgezzFZfc"
Здорово, да? Конечно, мы же не знаем высоких мыслей - может быть, это только дураки-пиндосы в таком домене почту заводят, а наши высшие блогосферы майлы не отправляют - только твиты. Так что спокойно можете блокировать по SPF домен kremlin.ru - у него нет почтовых серверов....
От военных ожидать ничего хорошего не приходится ни там, ни здесь:
; <<>> DiG 9.8.0-P4
<<>> mil.ru txt
;; AUTHORITY SECTION:
mil.ru. 900 IN SOA ns1.mil.ru. admin.mil.ru.
2011103001 600 600 172800 7200
; <<>> DiG 9.8.0-P4 <<>> mil.gov txt
;; AUTHORITY SECTION:
mil.gov.
900 IN SOA a.usadotgov.net. nstld.verisign-grs.com. 1329152401 3600 900
1814400 86400
; <<>> DiG 9.8.0-P4 <<>> mil.uk txt
;; ANSWER SECTION:
mil.uk. 86400 IN CNAME mod.uk.
Ну, а спецслужбы-то, особенно технические, они-то как ? Да никак, вот и весь сказ !!! У нас, конечно, не у них.
; <<>> DiG 9.8.0-P4
<<>> fstec.ru txt - Федеральная служба
по техническому и экспортному контролю
;; ANSWER SECTION:
fstec.ru. 3600 IN TXT "v=spf1 redirect=nicmail.ru"
; <<>> DiG 9.8.0-P4 <<>> fsb.ru txt -
Федеральная служба безопасности
;; AUTHORITY SECTION:
fsb.ru. 900 IN SOA ns1.fsb.ru. admin.fsb.ru.
1201201081 10800 3600 604800 86400
; <<>> DiG 9.8.0-P4 <<>> cia.gov txt -
Центральное разведывательное управление
;; ANSWER SECTION:
cia.gov. 1440 IN TXT
"v=spf1 mx a:mail1a.cia.gov a:mail1b.cia.gov a:mail2a.cia.gov
a:mail2b.cia.gov mx:cia.gov mx:ucia.gov ~all"
С чего же начинается Родина, все-таки ? Неужели, с этой Чапмен ?
Или в ней заканчивается? Тогда где начало того конца, которым кончится
это начало ?
Ладно, страна у нас бедная, чекистам не до спама, асам из ФСТЭКа оно вообще никогда понятно не было - чем же они все-таки занимаются, да и некогда им - надо готовиться к выгонке за взятки. А куда уходят ненужные фстекунцы - конечно, в госкорпорации, в первую очередь - в народный Газпром.
Вот представьте себе - сколько народу работает в Газпроме по всей стране. А сколько - в Службе корпоративной защиты... Ну, правильно же - терроризм, опасное производство - надо защищаться. И вот в самом Газпроме, руководствуясь современными понятиями, завели целое УПРАВЛЕНИЕ информационной безопасности аж из пяти отделов !!! Представляете - сколько фстекунцов и прочих сынов Отечества на острие борьбы ?! Полсотни народу обеспечивает информационную безопасность только в столице на ул. Наметкина, а еще и в каждом дочернем предприятии - их тысячи по стране - как минимум отдел ИБ. Мало того, есть еще и генеральный проектировщик систем информационной безопасности для всего Газпрома !!!! Это целый институт из без малого 1000 человек в г. Воронеже с филиальной сетью по все стране !!! А еще есть как минимум два десятка только крупных институтов, занимающихся вопросами ИБ - от сертификации ПО до проверки степени защищенности информационных систем. А это ведь вовсе не те люди, кто непосредственно ИТ рулят - тех еще больше.... Но вопрос вроде общий - защита....
Вы никогда не присутствовали на каких-либо крупных совещаниях, конференциях и т.п. по защите информации, которые удостоили своим посещением монстры ИБ из управления ИБ СКЗ ОАО ГАЗПРОМ ? Не были - многое потеряли. Таких титулов, сертификатов и регалий вы не увидите больше ни на каком другом специалисте даже в Microsoft !!! Такой безаппеляционности суждений вы не получили бы даже от покойного Джобса, не говоря уж о том, что Билли - пацан !!! Ну, правда, и столько водки больше нигде не пьют, но это от выпирающих во все стороны познаний и избытка наличной значимости. А вы представляете себе как это звучит: системный администратор Газпрома или замдиректора по информационной безопасности генерального проектировщика систем информационной безопасности ОАО Газпром !!!! Да просто умереть - не встать !!!!
В общем - нигде кроме, как в Газпроме:
; <<>> DiG 9.8.0-P4
<<>> gazprom.ru txt - САМ
;; AUTHORITY SECTION:
gazprom.ru. 900 IN SOA ns.gazprom.ru.
sysadm.gazprom.ru. 2011122301 7200 900 604800 86400
; <<>> DiG 9.8.0-P4 <<>> ss.gazprom.ru txt
- служба корпоративной защиты САМОГО
;; AUTHORITY SECTION:
gazprom.ru. 900 IN SOA ns.gazprom.ru.
sysadm.gazprom.ru. 2011122301 7200 900 604800 86400
; <<>> DiG 9.8.0-P4 <<>>
gasp.ru all - ведущий проектировщик
систем ИБ для САМОГО
;; ANSWER SECTION:
gasp.ru. 43200 IN A 77.241.253.50
gasp.ru. 43200 IN A 77.241.242.10
; <<>> DiG
9.8.0-P4 <<>> msk.gasp.ru txt -
московский филиал
;; AUTHORITY SECTION:
gasp.ru. 900 IN SOA ns.gasp.ru.
postmaster.gasp.ru. 2011131100 3600 900 2419200 43200
; <<>> DiG 9.8.0-P4 <<>> rnd.gasp.ru txt -
ростовский филиал
;; AUTHORITY SECTION:
gasp.ru. 900 IN SOA ns.gasp.ru.
postmaster.gasp.ru. 2011131100 3600 900 2419200 43200
Ну, как ? Конь-то не только не валялся, но и не ложился...
Впечатляет ? Мелочь, вроде бы... Какая-то строчка из 12 знаков.... Для
тех, кто знает о мелочах - эта строчка скажет об очень многом и об очень
многих даже незнакомых специалистах....
Ладно, уже понятно, что в высших и богатейших слоях нашего народа не все гладко по показаниям DIG-понтомера. Но ведь у нас же есть профессионалы - фирмы, фирмочки и отдельные индивидуумы, занимающиеся вопросами защиты в области информации профессионально !!!! Они-то как на фоне не наших таких же специалистов? А вот так:
; <<>> DiG 9.8.0-P4
<<>> itprotect.ru txt
;; AUTHORITY SECTION:
itprotect.ru. 900 IN SOA ns1.hc.ru.
support.hc.ru. 2012020817 3600 1800 604800 3600
; <<>> DiG 9.8.0-P4 <<>> kaspersky.ru txt
;; AUTHORITY SECTION:
kaspersky.ru. 900 IN SOA
dnsmaster.kasperskylabs.net. dnsadmin.kaspersky.com. 1329116655 7200
3600 8640000 86400
; <<>> DiG 9.8.0-P4 <<>> drweb.com txt
;; AUTHORITY SECTION:
drweb.com. 900 IN SOA ns.drweb.com.
root.drweb.com. 2012021000 14400 1800 1814400 86400
; <<>> DiG 9.8.0-P4 <<>> mcafee.com txt
;; ANSWER SECTION:
mcafee.com. 10799 IN
TXT "v=spf1 ip4:205.227.128.0/20 ip4:205.227.136.0/24 ip4:67.97.80.0/20
ip4:161.69.0.0/16 ip4:216.49.92.0/24 ip4:192.187.128.0/24 -all"
; <<>> DiG 9.8.0-P4 <<>> kerio.com txt
;; ANSWER SECTION:
kerio.com. 3600 IN
TXT "v=spf1 mx include:spf.kerio.com include:mktomail.com
ip4:209.34.68.0/24 include:salesforce.com
include:srs.bis.na.blackberry.com include:srs.bis.eu.blackberry.com
ip4:194.168.19.221/32 ip4:194.168.19.142/32 -all"
; <<>> DiG 9.8.0-P4 <<>> kerio.ru txt
;; AUTHORITY SECTION:
kerio.ru. 900 IN SOA ns1.kerio.com.
hostmaster.winroute.cz. 2012020801 1800 900 604800 3600
Впечатляет ? Что-то грустно становится все больше и больше - как-то не
тянут наши монстры в сравнении с не нашими монстрами... И даже кериоты,
попав на нашу почву, тут же скисли :-) Да....
Ну, ладно, земля наша всегда славилась умельцами - энтузиастами, а такие в наше время тусуются на форумах по теме. Кериотская тема пережевывается с разной степенью успеха всего на паре-тройке таких форумов, поэтому глянем на них (можно набрать еще десяток популярных и уважаемых форумов - картинка не изменится):
; <<>> DiG 9.8.0-P4
<<>> ru-board.com txt
;; ANSWER SECTION:
ru-board.com. 13960
IN TXT "v=spf1 a mx ~all"
; <<>> DiG 9.8.0-P4
<<>> avsoft.ru txt
;; AUTHORITY SECTION:
avsoft.ru. 600 IN SOA ns1.masterhost.ru.
hostmaster.masterhost.ru. 1322929329 28800 7200 1209600 600
; <<>> DiG 9.8.0-P4 <<>> rutracker.org txt
;; AUTHORITY SECTION:
rutracker.org. 600 IN SOA ns.rutracker.org.
hostmaster.ns.rutracker.org. 2011032492 3600 900 120960 600
; <<>> DiG 9.8.0-P4 <<>> kerio-rus.ru txt
;; AUTHORITY SECTION:
kerio-rus.ru. 900 IN SOA ns0.xname.org.
naliman.mail.ru. 2012012103 900 600 86400 3600
; <<>> DiG 9.8.0-P4 <<>> forum.kerio-rus.ru txt
;; AUTHORITY SECTION:
kerio-rus.ru. 900 IN SOA ns0.xname.org.
naliman.mail.ru. 2012012103 900
600 86400 3600
; <<>> DiG 9.8.0-P4 <<>>
naliman.mail.ru txt
;; AUTHORITY SECTION:
mail.ru. 300 IN SOA ns.mail.ru.
hostmaster.mail.ru. 320903262 300 900 1209600 300
Что же это получается-то ?! И сами площадки, на которых рвутся в бой и блещут способностями толпы желающих научить и преподать, и самые выдающиеся из этой толпы учителей косноязычные посредственности - никто ни черта не умеет ?! Только голосить по-албански и подворовывать кряки ?! А как до дела - так все, понтомер у них сразу же по нулям ?! Да уж...
Промежуточные итоги: в какую область мы не сунемся и в какой форме мы бы не рассматривали соотношение "как у нас и как у них" - у нас почти везде плохо. Если каким-то отдельным понтовичкам это можно простить, то как понять и простить ведущих монстров в области безопасности ? Как понять госучреждения, призванные защищать святая святых - наши свободы ? И почему это за бугром все выполняют требования, установленные международным регламентом, а у нас даже в главном твитерятнике страны на это дело спокойно положили ? Не знаете ? А это и есть ОНО - то самое НО, с которого начали мы наше микроисследование.
Есть еще две категории интернетных существ, которые сами по себе не оказывают особого влияния на распространение спама, но которые могли бы радикально решить эту проблему - это провайдеры и хостеры.
Если сами провайдеры и сами хостеры не выполняют каких-то условия, то они не требуют их выполнения от своих клиентов (за редким исключением).
Вот несколько больших провайдеров:
; <<>> DiG 9.8.0-P4
<<>> vsi.ru txt
;; AUTHORITY SECTION:
vsi.ru. 496 IN SOA ns.vsi.ru. noc.vsi.ru.
2012010502 28800 7200 604800 86400
; <<>> DiG 9.8.0-P4 <<>> gars.ru txt
;; AUTHORITY SECTION:
gars.ru. 600 IN SOA ns3.nic.ru.
cio.garant-stolitsa.ru. 65012716 14400 3600 2592000 600
; <<>> DiG 9.8.0-P4 <<>> yota.ru txt
;; AUTHORITY SECTION:
yota.ru. 30 IN SOA ns1.yota.ru.
csn.yotateam.ru. 2012021301 120 60 172800 30
; <<>> DiG 9.8.0-P4 <<>> beeline.ru txt
;; AUTHORITY SECTION:
beeline.ru. 900 IN SOA ns1.beeline.ru.
mgribkov.beeline.ru. 2011073013 1200 600 86400 86400
; <<>> DiG 9.8.0-P4 <<>> domolink.ru txt
;; ANSWER SECTION:
domolink.ru. 3600 IN
TXT "v=spf1 ip4:82.196.157.5 ip4:82.196.129.98 ip4:82.196.129.7
ip6:2a01:6e8::107 ip6:2a01:6e8::602 ~all"
Что сказать ? Нечего сказать.
А вот три примера
хостеров:
; <<>> DiG 9.8.0-P4 <<>> 1Gb.ru txt -
платно\бесплатный без консоли управления ДНС
;; AUTHORITY SECTION:
1Gb.ru. 246 IN SOA
expirepages-kiae-1.nic.ru. hostamster.nic.ru. 1329093602 86400 7200
604800 86400
; <<>> DiG 9.8.0-P4
<<>> 16mb.com txt - платно\бесплатный с
консолью управления ДНС
;; AUTHORITY SECTION:
16mb.com. 900 IN SOA ns1.hostinger.ru.
postmaster.16mb.com. 2012011401 28800 7200 604800 86400
; <<>> DiG 9.8.0-P4
<<>> viphosts.ru txt - платный с
консолью управления ДНС (сапожник без сапог)
;; AUTHORITY SECTION:
viphosts.ru. 900 IN SOA ns1.vh77.ru.
admin.vip-hosts.ru. 2010120307 200 7200 3600000 86400
Бесплатные хостеры, несмотря на наличие или отсутствие консоли
управления ДНС в панели управления хостингом, не формируют необходимые
SPF-записи, а уж чего было бы проще. А платный
Вип-хостс формирует такие записи вне зависимости от того, как настроил
свою зону ДНС пользователь - запись SPF есть
всегда.
Вот и пользователь такого хостинга спокойно создает необходимую запись, просто настраивая свою зону ДНС:
; <<>> DiG 9.8.0-P4
<<>> concorde.ru txt
;; ANSWER SECTION:
concorde.ru. 14400 IN
TXT "v=spf1 a mx ip4:80.93.50.204 a:relay.concorde.ru
a:mail.gene.concorde.ru a:relay.gene.concorde.ru mx:relay.concorde.ru
mx:gene.concorde.ru mx:mail.gene.concorde.ru ip4:109.79.23.34/32
ip4:88.22.42.23/32 ?all"
Мораль:
бестолковость, безалаберность,
безответственность в произвольных пропорциях на почве лени, кумовства и
воровства дает невероятное по своему негативу представление о нас у иных
народов. А проявляется этот коктейль в мелочах. Таких как простая
строчка нужного формата в нужном месте.
Как сделать SPF-запись для своего сервера самому - читаем здесь.
Удачи !
