On 08/01/14 09:32, Domenico Viggiani wrote: > Salve, > io sono fuori dal giro dei sistemi antispam da un pezzo ma mi dicono che sta > aumentando il numero di mail "rifiutate" per "unverified address". > In pratica, il server di destinazione, prima di accettare un messaggio, apre > un dialogo SMTP 'inverso' per verificare che il mittente sia un indirizzo > realmente esistente.
In realtà la diffusione di 'sta roba è in fase lentamente calante oramai da anni. Il picco di diffusione è stato suppergiù 5 o 6 anni fa, quando qualcuno ha iniziato a proporla come l'ennesima FUSSP. > Domanda forse banale: ma dove sta scritto che il mittente di una email deve > corrispondere ad una casella realmente esistente? Mi sono perso qualcosa? Tecnicamente parlando, se la casella usata a mittente di envelope non esiste, non può nemmeno ricevere alcuna notifica in caso di mancato delivery del messaggio stesso. Il che è di norma una buona indicazione che il messaggio ha per lo stesso mittente il valore di un fazzoletto sporco... Se poi questo sia sufficiente o meno per decidere di non accettare il messaggio può essere argomento di discussione. Di certo è segno di cattiva implementazione, soprattutto se si tratta di invii massivi e non supervisionati (newsletter). > Tra l'altro, il server del mittente potrebbe essere un relay ed accettare > qualsiasi indirizzo (cosa non bella per il bouncing ma possibile). > Se non si è riusciti ad imporre uno standard per l'annuncio dei server > deputati all'invio per un dato dominio, com'è possibile che si 'pretenda' di > verificare addirittura l'intero indirizzo? Sinceramente non capisco il collegamento tra le due cose. Uno standard de facto per "l'annuncio dei server deputati all'invio per un dato dominio" c'è: è SPF ed è lì da parecchi anni. I suoi problemi sono inerenti alle dinamiche di SMTP, non a SPF in sè: qualsiasi implementazione alternativa soffrirebbe inevitabilmente degli stessi problemi, a meno di non pretendere (come SPF con SRS) che tutte le implementazioni di SMTP al mondo cambino qualcosa. E' la ragione per cui l'attenzione si è spostata invece sulla validazione dell'origine del messaggio anzichè al path di consegna: DKIM, DMARC e compagnia son nati per quello. A loro volta con i loro problemi (per ragioni simili a quelle di SPF), ma tuttavia adatti a messaggi con carattere transazionale (anche se qualcuno ha cercato di proporli come le nuove FUSSP). Ma non vedo come questo abbia a che fare con l'aspettativa che il mittente di una mail diretta a me debba esistere (o meno). In tutta sincerità, la sender address verification non è una pratica che mi piaccia, per diverse ragioni: * riversa carico in direzione dei sistemi di mittenti forgiati, consentendo di fatto DDoS attraverso reflection * rompe alcuni meccanismi qui e lì, pur se perlopiù trattasi di roba di nicchia * il costo in termini di latenza nel delivery è tale da renderlo difficilmente attuabile su sistemi ad alto traffico * ... Ma il fatto che sia o debba essere normale che il mittente di envelope non esista non è onestamente tra queste... ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
