[Diritto] Protocollo SMTP [Was: Re: La passiamo su [tech] ???]

Marco Ermini diritto@softwarelibero.it
Sat, 9 Nov 2002 21:53:19 -0500 

On Fri, 8 Nov 2002 19:42:14 +0100, "Leonardo Boselli" <leo@dicea.unifi.it>
wrote:

> Forse il posto migliore per questo thread sarebbe tech .... 
> comunque come ultimo post:

Siamo sicuri che a qualcun altro interessi questa discussione? magari la si
continua personalmente ;-)


> On 8 Nov 2002, at 19:17, Marco Ermini wrote:
> 
> > > On 8 Nov 2002, at 14:56, Marco Ermini wrote:
> > > > list o del server - un server SMTP decentemente configurato
> > > > dovrebbe accettare soltanto mail provenienti da un record MX
> > > > autorevole per il dominio del sender, ma evidentemente non e' il
> > > > nostro caso - cosi' ad occhio, mi sa che ci manca il comando
> > > > "smtpd_recipient_restrictions" giusto nella configurazione del
> > > > Postfix...
> > > Ti sbagli ... il record MX è la macchina che RICEVE la posta, non
> > > quella che manda.
> > Non mi sbaglio. E' una pratica diffusa (e' quello che fa Postfix...)
> > che il relay SMTP per un certo dominio sia cercato fra i record MX
> > autoritativi del dominio: Postfix (con la giusta configurazione) cerca
> > tra i record MX quello che e' in grado di "parlare" l'SMTP. Siccome
> 
> certo ... se devi spedire fai così in quanto sono quelli e solo quelli 
> che debbono ricevere la posta. ma il problema è diverso: l'unico 
> host di cui si può essere sicuri è quello da cui abbiamo ricevuto il 
> messaggio.

Beh, ma mica lo puoi usare. Se io uso smtp.tin.it per mandarti una mail, te
non puoi utilizzarlo a tua volta per rispondermi - magari ho capito male
quello che intendi dirmi.


> quelli primi dipendono dalla fiducia che abbiamo in 
> questo. Un messaggio potrebbe esserti arrivato dopo una 
> launghissima catena.

La fiducia dipende dal fatto di essere record MX autoritativo per quel
dominio. Un server SMTP dovrebbe semplicemente rifiutare mail che non
provengono da un record MX autoritativo per il Sender.

Il problema e' che questo, siccome non e' rispettato da qualche provider
dial-up, taglierebbe fuori mezzo mondo... tuttavia, e' sicuramente una regola
migliore che quella di tagliare fuori gli IP degli utenti dial-up... ottieni
un risultato piu' efficace.

Oggi a livello di SMTP non si creano piu' le "catene" dei "primordi" di
Internet... Oggi, e' tutto molto piu' semplice: il tuo server SMTP dovrebbe
essere un record MX del tuo dominio e dovrebbe contattare direttamente un
record MX del dominio a cui stai scrivendo. Tutto qui, punto e basta :-)


> > pero' in pratica non tutti mettono in pratica questa... buona pratica,
> > o fai cosi', o usi l'SMTP del tuo provider se sei in collegamento
> > dial-up (perche' se usi te stesso come relay, paradossalmente, anche
> > se *te stesso* sei autoritativo, qualche black-list idiota ti taglia
> > fuori...), oppure usi un relay, se sei in una Intranet
> Esatto ... ma questo non ti dice nulla sulla autenticità del mittente, 
> solo che il mittente ere presumibilmente autorizzato (se il relay era 
> giusto).

Ma tu (come diceva giustamente Lo'oRiS) *non puoi* essere sicuro
dell'autenticita' del mittente. L'unico modo e' l'introduzione di certificati
digitali di autenticazione.


> Quegli ISP che avevano messo dei vincoli sul dominio del 
> mittente hanno dovuto fare marcia indietro in quanto evevano perso 
> tutti i clienti.

Questi magari sono problemi di tipo commerciale, non tecnici. O meglio, c'e'
un problema tecnico degli ISP: basta semplicemente configurare il server SMTP
in modo che, in caso di Sender con dominio diverso da quello dell'ISP,
anziche' essere direttamente relay per la mail, il server SMTP si cerchi il
relay corretto tra i record MX del destinatario.


> e anche se facessi quello non cambierebbe nulla sulla autenticità 
> del campo from ....

Ma come detto, non si puo' dire nulla sull'autenticita' del Sender, a meno che
tu non implementi un certificato di firma digitale crittografato.


> (se ci fai caso nei miei messaggi appare un header smtp-auth ... 
> ma sono tra i pochi che lo fa)

Hai un "X-ASMTP" che posso generarmi col mio client... a me non significa
molto.


ciao

-- 
Marco Ermini
http://macchi.markoer.net - ICQ UIN 50825709 - GPG KEY 0x64ABF7C6
Perche' perdere tempo ad imparare quando l'ignoranza e' istantanea? (Hobbes)