5.4. Прием почты от пользователей
На приеме сообщений (message submissions) следует использовать расширение SMTP AUTH, описанное в документе "SMTP Service Extension for Authentication" [RFC2554].
Расширение SMTP AUTH предпочтительно использовать в системах с контролем передачи посты по адресам IP, поскольку это дает возможность пользователям отправлять почту даже при подключении через сеть другого ISP (например, с работы) и обеспечивает большую устойчивость к подменам, а также позволяет легко переходить к использованию новых механизмов аутентификации по мере их разработки.
В дополнение к сказанному, для эффективного выполнения политики безопасности настоятельно рекомендуется для приема сообщений от пользователей применять порт MAIL SUBMIT (587), как указано в документе "Message Submission" [RFC2476], взамен порта SMTP (25). В этом случае порт SMTP (25) можно ограничить в использовании только локальной доставкой почты.
Причина этого заключается в обеспечении дифференциации между локальной доставкой и трансляцией (т. е., предоставлением пользователям возможности передавать электронную почту через SMTP-сервер провайдера) почтовых сообщений. Использование SMTP без аутентификации следует ограничить только локальной доставкой.
Поскольку все большее число почтовых клиентов поддерживает расширение SMTP AUTH и порт представления сообщений (явно или путем настройки порта SMTP), провайдеры могут счесть полезным одновременное использование на приеме почты от заказчиков порта MAIL SUBMIT и системы SMTP AUTH; в этом случае порт 25 служит только для приема внешней почты.
Описанные меры (SMTP AUTH и MAIL SUBMIT) не только защищают ISP от спама через чужие трансляторы (third-party relay), но и помогают отслеживать отправку почты в случаях рассылки спама пользователями данного провайдера.
6. Литература
[DPR1998] | The UK «Data Protection Act 1998 (c. 29)» |
[RFC1786] | T. Bates, E. Gerich, L. Joncheray, J. Jouanigot, D. Karrenberg, M. Terpstra, J. Yu, «Representation of IP Routing Policies in a Routing Registry», RFC 1786, Март 1995. |
[RFC1834] | Gargano, J. и K. Weiss, «Whois and Network Information Lookup Service», RFC 1834, Август 1995. |
[RFC1835] | Deutsch, P., Schoultz, R., Faltstrom, P. And C. Weider, «Architecture of the WHOIS++ service», RFC 1835, Август 1995. |
[RFC1918] | Rekhter, Y., Moskowitz, B., Karrenberg, D., de Groot, G. J. и E. Lear, «Распределение адресов в частных IP-сетях», BCP 5, RFC 1918, Февраль 1996 |
[RFC2119] | Bradner, S., «Key words for use in RFCs to Indicate Requirement Levels», BCP 14, RFC 2119, Март 1997. |
[RFC2142] | Crocker, D., «Mailbox Names for Common Services, Roles and Functions», RFC 2142, Май 1997. |
[RFC2195] | Klensin, J., Catoe, R. и P. Krumviede, «IMAP/POP AUTHorize Extension for Simple Challenge/Response», RFC 2195, Сентябрь 1997. |
[RFC2196] | Fraser, B., «Справочник по безопасности сетевого узла», FYI 8, RFC 2196, Сентябрь 1997 |
[RFC2350] | Brownlee, N. и E. Guttman, «Expectations for Computer Security Incident Response», BCP 21, RFC 2350, Июнь 1998. |
[RFC2385] | Heffernan, A., «Protection of BGP Sessions via the TCP MD5 Signature Option», RFC 2385, Август 1998. |
[RFC2439] | Chandra R., Govindan R. и C. Villamizar, «BGP Route Flap Damping», RFC 2439, Ноябрь 1998. |
[RFC2476] | Gellens R. и J. Klensin, «Message Submission», RFC 2476, Декабрь 1998. |
[RFC2505] | Lindberg, G., «Рекомендации по предотвращению спама для SMTP MTA», BCP 30, RFC 2505, Февраль 1999 |
[RFC2554] | Myers, J., «Расширение сервиса SMTP для аутентификации», RFC 2554, Март 1999 |
[RFC2644] | Senie, D., «Смена принятого по умолчанию поведения маршрутизаторов по отношению к пакетам Directed Broadcast», BCP 34, RFC 2644, Август 1999 |
[RFC2827] | Ferguson, P. и D. Senie, «Защита от DoS-атак с использованием подмена IP-адресов», BCP 38, RFC 2827, Май 2000 |
[CA-95.01. IP.spoofing] |
«IP Spoofing Attacks and Hijacked Terminal Connections» |
[CA-97.28. Teardrop_Land] |
«IP Denial-of-Service Attacks» |
7. Благодарности
Автор выражает благодарность за конструктивные комментарии Nevil Brownlee, Randy Bush, Bill Cheswick, Barbara Y. Fraser, Randall Gellens, Erik Guttman, Larry J. Hughes Jr., Klaus-Peter Kossakowski, Michael A. Patton, Don Stikvoort и Bill Woodcock.
8. Вопросы безопасности
Весь документ посвящен вопросам безопасности.
Адрес автора
Tom Killalea
Lisi/n na Bro/n
Be/al A/tha na Muice
Co. Mhaigh Eo IRELAND
Phone: +1 206 266-2196
EMail: gro.traen@