Регистрация...

Почтовый сервер Eserv // VerisignCountermeasures

oldwiki // (v1)
Продукты и услуги Скачать Документация Купить Поддержка Форумы Партнёрам Статьи О компании
Новости
15.05.2012
Eserv504
15.05.2012
ActiveSync
01.04.2012
Eproxy508
25.03.2012
Eserv503
26.02.2012
Eserv502
08.02.2012
UMI.CMS
22.12.2011
Eserv431
20.12.2011
Eproxy507
15.11.2011
Eproxy506
19.09.2011
Eproxy505
08.09.2011
Eserv430
06.09.2011
Lightning
19.07.2011
PoweredBy
16.07.2011
IPv6
08.07.2011
Eproxy5beta1
17.06.2011
IPv6DNS
13.06.2011
IPv6Mail
21.03.2011
Eserv428
22.10.2010
Eserv426
22.10.2010
SSL
22.04.2010
Eserv423
20.04.2010
Eserv4WhatsNew
19.04.2010
EservLDAP
19.04.2010
EservDHCP
19.04.2010
EservRubricator
08.04.2010
EservDNS
08.04.2010
NSСI
08.04.2010
WPAD
27.03.2010
Eserv422
27.03.2010
Eserv4Docs
26.03.2010
Eserv4FAQ
21.03.2010
EservIrc
05.03.2010
Eserv421
05.03.2010
HttpProxy
02.03.2010
EservVideo
02.12.2009
Eserv4Wiki
02.12.2009
Eserv4acWEB
02.12.2009
PopPull
22.11.2009
PigMailPigProxy2/WhatsNew
22.11.2009
PigMail/WhatsNew
22.09.2009
FossilEservHowTo
22.09.2009
SourceCodeManagement
22.09.2009
FossilScm
16.09.2009
SendEmail
08.09.2009
RoundCube
07.05.2009
GitScm
07.05.2009
GitEservHowTo
06.05.2009
SunBird
06.05.2009
WebDav
20.04.2009
Etelnet

Контрмеры против Verisign DNS .com и .net wildcards

Оглавление документа

О чем это

Как известно, 15 сентября 2003 VeriSign "присвоила" себе все несуществующие домены в зонах .com и .net путем настройки wildcards в DNS. Теперь все несуществующие домены в этих зонах автоматически становятся "существующими" и ведут на IP 64.94.110.11. Это повлекло за собой множество негативных явлений, как то:

  • Письма с опечаткой в email-адресе теперь не сразу возвращаются отправителям (при проверке существования имени в DNS), а пытаются отправляться на sitefinder-idn.verisign.com. Там стоит 'mail rejector', который отвергает всю почту, но все-таки задержки и нарушение приватности имеют место быть.
  • Весь код проверки существования имени в DNS для зон .com и .net перестал работать. Всем пользователям и сисадминам это жизнь усложнило, а спамерам заметно упростило.
  • При опечатке в имени браузер может отправить приватные данные (по GET/POST) на этот sitefinder вместо того чтобы сообщить об ошибке в доменном имени.
  • Другие сетевые программы, которые при ошибке в имени могли выдавать разумные сообщения, теперь будут напрасно пытаться соединяться с sitefinder, "думая", что это просто временные проблемы с целевым сервером, а не ошибка в доменном имени.
  • Увеличение нагрузки на DNS-серверы и другие сетевые сервисы.
  • И т.д.

Как противодействовать

  • В Eserv/3 в acSMTP: там, где проверяется DnsDomainExists, нужно также проверить IP домена:
    • MAILFROM ((/EservApi/GetDomainFromEmail GetDomainFromEmail)) ((/EservApi/GetHostIP GetHostIP)) DROP IP: 64.94.110.11 = | " 550 {MAILFROM} domain not exist{CRLF}" ((/EservApi/MailFromError MailFromError))
  • В Eproxy и Eserv/2 включить этот IP или URL SiteFinder в черный список URL

О будущем...

VeriSign не первыми додумались до такого трюка. Ранее wildcards использовали и другие регистраторы — в зонах .WS, .TW, .CC, .NU и др. Но эти домены не имеют столь большого значения для Сети. VeriSign (он же NetworkSolutions, NetSol) кроме исторически монопольного влияния на зоны .com и .net является также держателем одной из крупнейших сетей управления SSL-сертификатами. Можно ли доверять сертификатам, выпущенным фирмой, совершающей такие "интервенции" против приватности всех пользователей Сети?!

Причины, побудившие VeriSign пойти на такой шаг, конечно, понятны: её подразделение NetSol до внедрения системы конкурирующих регистраторов для .com и .net хорошо кормилось от своего монопольного положения. А последние годы клиенты разбежались по более дешевым и более удобным регистраторам (мы тоже увели свои .com и .net домены с NetSol, не смотря на большие скидки, которые NetSol предлагает в письмах, высылаемых клиентам, начавшим процедуру переноса доменов). Конкурентную борьбу за клиентов VeriSign проиграла, вот и пытается использовать свой последний монопольный рычаг для поправки финансового положения.

Т.е. понять в принципе VeriSign можно , и на данный момент обойти эту проблему не очень сложно, но оставлять это решение VeriSign "как есть" опасно. Как верно заметил John на OpenNet.ru
John, 09:08:15, 09/27/2003
Бороться с этим явлением патчами неправильно: сегодня они используют один адрес, а завтра их может быть Очень много. К тому же, дурной пример заразителен: наши дельцы могут начать пихать через раз рекламу на пользовательские запросы — попытаешься в следующий раз зайти на www.opennet.ru используя сервер dns провайдера а попадешь на какой-нибудь "американский английский"... Это будет гораздо назойливее баннеров. А на root сервера не находишься, особенно, если провайдер не даст проходить таким запросам. А в россии, как известно, беспредел реальная, каждодневная вещь. Так еще один шаг и появятся платные (правдивые) сервера dns. Сейчас это пробный шар: даже адрес ПОКА один — посмотреть на реакцию интернет сообщества...
Будем надеяться, что судебные процессы, уже начатые против VeriSign, будут выиграны, и в данном конкретном случае "коммерсанты не пройдут"
--
Андрей Черезов, 30.09.2003

AndreyCherezov /25.02.2004 03:08/ За эти действия VeriSign выбрана "злодеем года" в Британии.
AndreyCherezov /28.02.2004 11:32/ http://fightwls.com/
AndreyCherezov /28.02.2004 11:33/ http://www.circleid.com/article/503_0_1_0_C/
AndreyCherezov /02.03.2004 17:44/ Регистратор Go Daddy выделил $100 000 на помощь ICANN в их тяжбе с VeriSign по поводу блокировки ICANN'ом описанных выше хитростей VeriSign.

См. также Articles
 
Комментарии к этой версии (02.03.2004 20:44) [~AndreyCherezov]
Работает на Eserv/5.05567 (10.02.2020)