Регистрация...

Почтовый сервер Eserv // VerisignCountermeasures

oldwiki /2004-03-02 20:44/ ac (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
22.04.2010
Eserv423
20.04.2010
Eserv4WhatsNew
19.04.2010
EservLDAP
19.04.2010
EservDHCP
19.04.2010
EservRubricator
08.04.2010
EservDNS
08.04.2010
NSСI
08.04.2010
WPAD
27.03.2010
Eserv422
27.03.2010
Eserv4Docs
26.03.2010
Eserv4FAQ
21.03.2010
EservIrc
05.03.2010
Eserv421
05.03.2010
HttpProxy
02.03.2010
EservVideo
02.12.2009
Eserv4Wiki
02.12.2009
Eserv4acWEB
02.12.2009
PopPull
22.11.2009
PigMailPigProxy2/WhatsNew
22.11.2009
PigMail/WhatsNew
23.09.2009
FossilEservHowTo
22.09.2009
SourceCodeManagement
22.09.2009
FossilScm
16.09.2009
SendEmail
08.09.2009
RoundCube
07.05.2009
GitScm
07.05.2009
GitEservHowTo
06.05.2009
SunBird
06.05.2009
WebDav
20.04.2009
Etelnet
18.04.2009
PigMailPigProxy2/Downloads
15.04.2009
EnigMail
13.04.2009
HashingAlgorithmVoting
26.03.2009
PigMailPigProxy2
21.03.2009
PigProxy2
21.03.2009
PigMail2
19.03.2009
WhyBinaryConfig
19.03.2009
DavExplorer
15.09.2008
ThunderBird
28.07.2008
NAT
09.06.2008
mstat
02.06.2008
FireWall
29.05.2008
EservClamav
25.03.2008
Eserv/2/Download
25.03.2008
EservWhatsNew
25.03.2008
EservAntivirusTrial
25.03.2008
EproxyDownload
25.03.2008
Eserv/3/Download
25.03.2008
EservEproxy334
25.03.2008
PigProxy

Контрмеры против Verisign DNS .com и .net wildcards

Оглавление документа

О чем это

Как известно, 15 сентября 2003 VeriSign "присвоила" себе все несуществующие домены в зонах .com и .net путем настройки wildcards в DNS. Теперь все несуществующие домены в этих зонах автоматически становятся "существующими" и ведут на IP 64.94.110.11. Это повлекло за собой множество негативных явлений, как то:

  • Письма с опечаткой в email-адресе теперь не сразу возвращаются отправителям (при проверке существования имени в DNS), а пытаются отправляться на sitefinder-idn.verisign.com. Там стоит 'mail rejector', который отвергает всю почту, но все-таки задержки и нарушение приватности имеют место быть.
  • Весь код проверки существования имени в DNS для зон .com и .net перестал работать. Всем пользователям и сисадминам это жизнь усложнило, а спамерам заметно упростило.
  • При опечатке в имени браузер может отправить приватные данные (по GET/POST) на этот sitefinder вместо того чтобы сообщить об ошибке в доменном имени.
  • Другие сетевые программы, которые при ошибке в имени могли выдавать разумные сообщения, теперь будут напрасно пытаться соединяться с sitefinder, "думая", что это просто временные проблемы с целевым сервером, а не ошибка в доменном имени.
  • Увеличение нагрузки на DNS-серверы и другие сетевые сервисы.
  • И т.д.

Как противодействовать

  • В Eserv/3 в acSMTP: там, где проверяется DnsDomainExists, нужно также проверить IP домена:
    • MAILFROM ((/EservApi/GetDomainFromEmail GetDomainFromEmail)) ((/EservApi/GetHostIP GetHostIP)) DROP IP: 64.94.110.11 = | " 550 {MAILFROM} domain not exist{CRLF}" ((/EservApi/MailFromError MailFromError))
  • В Eproxy и Eserv/2 включить этот IP или URL SiteFinder в черный список URL

О будущем...

VeriSign не первыми додумались до такого трюка. Ранее wildcards использовали и другие регистраторы — в зонах .WS, .TW, .CC, .NU и др. Но эти домены не имеют столь большого значения для Сети. VeriSign (он же NetworkSolutions, NetSol) кроме исторически монопольного влияния на зоны .com и .net является также держателем одной из крупнейших сетей управления SSL-сертификатами. Можно ли доверять сертификатам, выпущенным фирмой, совершающей такие "интервенции" против приватности всех пользователей Сети?!

Причины, побудившие VeriSign пойти на такой шаг, конечно, понятны: её подразделение NetSol до внедрения системы конкурирующих регистраторов для .com и .net хорошо кормилось от своего монопольного положения. А последние годы клиенты разбежались по более дешевым и более удобным регистраторам (мы тоже увели свои .com и .net домены с NetSol, не смотря на большие скидки, которые NetSol предлагает в письмах, высылаемых клиентам, начавшим процедуру переноса доменов). Конкурентную борьбу за клиентов VeriSign проиграла, вот и пытается использовать свой последний монопольный рычаг для поправки финансового положения.

Т.е. понять в принципе VeriSign можно , и на данный момент обойти эту проблему не очень сложно, но оставлять это решение VeriSign "как есть" опасно. Как верно заметил John на OpenNet.ru
John, 09:08:15, 09/27/2003
Бороться с этим явлением патчами неправильно: сегодня они используют один адрес, а завтра их может быть Очень много. К тому же, дурной пример заразителен: наши дельцы могут начать пихать через раз рекламу на пользовательские запросы — попытаешься в следующий раз зайти на www.opennet.ru используя сервер dns провайдера а попадешь на какой-нибудь "американский английский"... Это будет гораздо назойливее баннеров. А на root сервера не находишься, особенно, если провайдер не даст проходить таким запросам. А в россии, как известно, беспредел реальная, каждодневная вещь. Так еще один шаг и появятся платные (правдивые) сервера dns. Сейчас это пробный шар: даже адрес ПОКА один — посмотреть на реакцию интернет сообщества...
Будем надеяться, что судебные процессы, уже начатые против VeriSign, будут выиграны, и в данном конкретном случае "коммерсанты не пройдут"
--
Андрей Черезов, 30.09.2003

AndreyCherezov /25.02.2004 03:08/ За эти действия VeriSign выбрана "злодеем года" в Британии.
AndreyCherezov /28.02.2004 11:32/ http://fightwls.com/
AndreyCherezov /28.02.2004 11:33/ http://www.circleid.com/article/503_0_1_0_C/
AndreyCherezov /02.03.2004 17:44/ Регистратор Go Daddy выделил $100 000 на помощь ICANN в их тяжбе с VeriSign по поводу блокировки ICANN'ом описанных выше хитростей VeriSign.

См. также Articles
 
Комментарии к этой версии (02.03.2004 20:44) [~AndreyCherezov]
Работает на Eserv/4.24327 (12.07.2010)