MTA-STS и SMTP-TLSRPT новая валидация mail-серверов от Google. Yahoo и Microsoft

suffix
На сайте с 26.08.2010
Offline
286
2294

Пару лет эта троица тестировала и вот выкатила новую фичу.

1.

ТТХ MTA-STS

2.

ТТХ SMPT-TLSRPT

3.

Валидатор этой фичи validator

Если мой домен babai.ru подставить то можно увидеть как когда всё правильно !

Клуб любителей хрюш (https://www.babai.ru)
Lazy Badger
На сайте с 14.06.2017
Offline
195
#1

1. Эти обе - ни разу не "валидации серверов" per se, мне становится подозрительно, когда "вроде постмастер" такого не видит/не понимает

2. Для обычных мылорассылальщиков из местного контингента бесполезны и неинтересны чуть более, чем полностью

3. "Поспешность нужна только при ловле блох", даже гугель (которому MTA-STS для клиентоты вроде как и уместен) эту порнуху держит в testing

4. Code-monkey, для которого https://mta-sts.example.com - subdomain, я бы не доверил самостоятельно собственную жопу подтирать, а не то чтобы писать валидаторы и доверять результатам валидации (у этого мудозвона вaлидатор в Edge вообще не работает и выдает зело странный мессаг о "неправильном формате")

Производство жести методом непрерывного отжига
suffix
На сайте с 26.08.2010
Offline
286
#2

1. Ну как-то обозвать надо было :)

2. Cогласен

3. Ну раньше внедришь - раньше косяки отловишь :)

4. mta-sts валидатор есть и в hardenize.com авторства Ivan Ristic - надеюсь его в ламерстве обвинить Вам наглости не хватит :)

Lazy Badger
На сайте с 14.06.2017
Offline
195
#3
suffix:
Ну как-то обозвать надо было

"Две связанных хрени для повернутых на секурити чувачков, не понимающих, что security over obscurity - не решение проблем безопасности": криптуйте каналы хоть 2 раза, пока передаваемые данны есами по себе не закрыты сильным крипто - проще купить любую из прокладок за промежуточных хопах (или у получателя - вообще рили найс), которые называют себя "постмастер", чем устраивать полноценную MITM-атаку на трафик

suffix:
Ну раньше внедришь - раньше косяки отловишь

Если это нужно, а по этому поводу для этой площадки

suffix:
Cогласен
у нас заночтений как раз и нет. Т.е. для себя - да бога ради, страдайте любой хренью, раз интересно, но тут - каждый второй не поймет, о чем и зачем, не говоря уж о каждом первом. Есть же "прекрасный" ЛОР для красноглазиков, сюда-то это нахуа? Не по размеру Хуану сомбреро
suffix:
mta-sts валидатор есть и в hardenize.com авторства Ivan Ristic - надеюсь его в ламерстве обвинить Вам наглости не хватит

1. Я вообще-то и Ayke не именовал ламером ("Code-monkey" и "мудозвон" это другие сущности, проше пана)

2. Айвен - известный чувак, и его Modsecurity был хорош (10 лет назад!!!), но если он самопозиционируется в первую очередь как антрепренер, то, извините, я имею априори полное основание и право сомневаться (которое апостериори, может, и не стоит ничего, но...) в нем сегодняшнем

3. Для именования кого угодно кем угодно нужна не наглость, а просто уверенность в позиции и силах для ее отстаивания

ostmaster
На сайте с 01.09.2002
Offline
222
#4

Gmail начал поддерживать новый стандарт безопасности MTA-STS

/ru/news/2023246

Судя по всему переход предполагается как обязательное решение и тут есть что обсудить


Тестирование мобильных приложений и сайтов (/ru/forum/1032925) https://www.facebook.com/ostmaster (https://www.facebook.com/ostmaster)
suffix
На сайте с 26.08.2010
Offline
286
#5

1. На днях Google дал информацию об этой фиче и ее настройке у себя на сайте:

https://support.google.com/a/answer/9261504?hl=en

2. И вкючил её ПОКА в тестовом режиме:

Так как у меня эта фича включена то я получил результат проверки (при отправке с gmail какого-то письма мне) на email:

{"organization-name":"Google Inc.","date-range":{"start-datetime":"2019-04-14T00:00:00Z","end-datetime":"2019-04-14T23:59:59Z"},"contact-info":"smtp-tls-reporting@google.com","report-id":"2019-04-14T00:00:00Z_babai.ru","policies":[{"policy":{"policy-type":"no-policy-found"},"summary":{"total-successful-session-count":1}}]}

Стоит обратить внимание на пункт "policy-type":"no-policy-found"

Кроме "no-policy-found" (тестовый режим) значение ещё может быть:

"tlsa" - это DANE и эту проверку Google никогда не включит разумеется у gmail

"sts" - это "MTA-STS" - а вот эту фичу он рано или поздно включит у gmail - ведь он её разработчик

И вот когда он её включит:

С GMAIL НЕ бУДЕТ ОТПРАВЛЯТЬСЯ ПОЧТА НА ДОМЕНЫ БЕЗ ВАЛИДАЦИИ ЭТИХ ДОМЕНОВ ПО СТАНДАРТУ MTA-STS !

Lazy Badger
На сайте с 14.06.2017
Offline
195
#6
suffix:
С GMAIL НЕ бУДЕТ ОТПРАВЛЯТЬСЯ ПОЧТА НА ДОМЕНЫ БЕЗ ВАЛИДАЦИИ ЭТИХ ДОМЕНОВ ПО СТАНДАРТУ MTA-STS !

Вот как только "не будет", так сразу клиентота этих SaaS-сервисов и устроит операторам сервиса похохотать - и все станет резко хорошо и на коллекторах. Я не думаю, что свои MX сейчас держит хоть бы 0.1% потребителей услуги. И те же Тындексы с Мылом и инструкции для внешних зонодержателей напишут, да и сертификаты хостовые могут начать выписывать (Яндексу в Коннекте сама услуга еще одна свалится без усилий)

Так что не вижу проблем: "рынок все сам расставит по своим местам" (с)

suffix
На сайте с 26.08.2010
Offline
286
#7
LazyBadger:
не вижу проблем

Я тоже :) В этой теме пишу для:

LazyBadger:
0.1%

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий