Jeden z bardziej burzliwych tematów trzeciego spotkania PLNOG to planowane zablokowanie ruchu na porcie 25 przez TPSA. Dotyczyć będzie jedynie użytkowników Neostrady (oraz pakietów zawierających tę usługę – w skrócie – usługa dla klienta indywidualnego o zmiennym IP) i wysyłających pocztę z klientów pocztowych w stylu Thunderbirda czy Outlook Express (dla korzystających z webmaila nic się nie zmieni). Podobnie jak przy portach netbiosowych będzie istniała możliwość wyłączenia blokady poprzez zmianę loginu. Wprowadzone ma być całkiem niedługo, bo z dniem 1 grudnia.
Oczywiście było trochę ataków na TPSA podczas dyskusji, że czemu np. nie robią recenta (niby na czym?), czemu nie skanują poczty pod kątem spamu (ingerencja w treść) itp., ale akurat moim zdaniem jest to świetna decyzja (i jedyna wykonalna technicznie przy tej skali usług), tym bardziej, że i RFC pozwala na takie działanie, i – dla bardzo chcących wysyłać przez port 25 użytkowników – będzie prosta możliwość zdjęcia blokady (nie polecam). Poza tym, już teraz serwery mail na świecie mogą nie przyjmować poczty wysyłanej z portu 25 z klas IP oznaczonych jako przeznaczone do wysyłki po autoryzacji, przez serwer ISP lub webmail (zobacz PBL advisory), a takie powinny być klasy przeznaczone dla neostrady.
Nowość żadna, bo duże portale opiniowały to już parę miesięcy temu i są przygotowane, a większość dostawców została powiadomiona, ale pewnie sporo użytkowników i zupełnie małych dostawców kont pocztowych jeszcze o tym nie wie, dlatego informuję i polecam zapoznanie się z RFC 4409.
Jak już pisałem, decyzję uważam za dobrą, co więcej, mam nadzieję, że mniejsi i całkiem mali ISP pójdą tą samą drogą, i to wkrótce (pewnie poczekają nieco na efekty w TPSA). W tym przypadku inicjatywa TPSA jest naprawdę przemyślana, słuszna i dobrze wykonana (no dobrze, chwalę dzień przed zachodem słońca, ale wiem, co już zrobili i jak niewiele zostało – tylko poinformowanie użytkowników, które jest zaplanowane). W końcu jest szansa, że Polska nie będzie jednym z czołowych spamerów na świecie, a dostawcy poczty powinni odczuć spadek ilości nadchodzącego spamu, co przełoży się na spadek obciążenia serwerów poczty i maszyn skanujących.
Dla tych leniwych użytkowników, którzy nie chcą czytać – szybkie info jak włączyć nową wysyłkę poczty. Do nieszyfrowanego wysyłania poczty wystarczy zmienić port serwera pocztowego z 25 na 587.
Oficjalny komunikat TPSA dotyczący blokady portu 25, zawiera namiary na dokładne konfiguracje u większych darmowych dostawców poczty.
lol. a nie prosciej po prostu dac stale ipki neo ?
kazdy uzytkownik neostrady musi uzywac loginu/hasla, wiec technicznie przeciwskazan nie ma (to nie 'anonimowy’ dialup z haslem ppp/ppp gdzie _technicznie_ nie bylo opcji identyfikacji userow)
a pozniej juz z gorki, stale ip – blokada spamu z IP i ew. odpowiedzialnosc .
ale oczywiscie tepsa jak zwykle robi rzeczy 'na okolo’ …
@curious Widzisz, po pierwsze, w chwili obecnej mogą mieć mniej IP, niż userów. Po drugie, tak może być im łatwiej administrować (nie jestem przekonany czy cały ich sprzęt pozwoliłby na takie „sztywne” przypisania IP na podstawie loginu i hasła). Po trzecie, stałe IP dla Neostrady pewnie oznaczałoby mniejszy popyt na DSL (ach, te serwery na 512 kbit…). Po czwarte, byłyby problemy z „przekazywaniem” IP po innych userach.
Blokada spamu z IP sprowadzałaby się i tak do tego, co teraz będzie, więc zysk żaden (wiesz, oni mają jakoś koło 2 mln klientów, liczmy 10% wysyłających spam, kto to będzie klikał i obsługiwał zgłosznia?). Jeśli komuś blokada przeszkadza (a nie powinna, patrz RFC oraz lista ISP wspierających wysyłkę po 587), to sobie ją wyłączy.
Nawiasem, gmail nigdy nie miał odbioru poczty od userów na porcie 25… Dla użytkownika jest to całkowicie przezroczyste (w jednym miejscu w programie zmienia się 25 na 587 i tyle). Pytanie brzmi: czemu dopiero teraz?
Tutaj komentarz na temat blokady portu 25:
ojejej.blogspot.com/2009/12/blokada-portu-25-w-tpsa.html
I propozycja ochrony przed starymi trojanami pocztowymi.
Nie chodzi o zmniejszenie obciążenia łącz TPSA – dla nich jest to pomijalne, tak naprawdę. Zyskują administratorzy serwerów pocztowych na całym świecie (mniej maili = mniejsze obciążenie serwerów, bo mniej maili do przetworzenia i analizy) i użytkownicy (mniej spamu, mniej blokad na całą klasę TPSA na zagranicznych serwerach).
Z punktu widzenia trojana nie chodzi o prostą zmianę portu. Oczywiście nie zajrzałeś do RFC. Gdybyś to zrobił, wiedział byś, że w przypadku wysyłania na porcie 587 wymagane jest uwierzytelnianie (które nie może mieć miejsca przy wymianie maili między serwerami).
TPSA oczywiście nie gwarantuje, że zadziała z każdym dostawcą poczty, ale zrobiła bardzo dużo w kwestii kontaktu i z administratorami, i z użytkownikami (opinie dostawców poczty przed wprowadzeniem, informacje na stronach, informacje wysłane z rachunkami, dyskusja w środowisku administratorów sieci). Więksi dostawcy poczty zostali poinformowani o zmianach wcześniej. Mali – cóż, wypadało by się interesować, co się dzieje na świecie.
Nie wiem też, jak chcesz modyfikować oprogramowanie na moim modemie USB (Sagem F@st 800), by „skanował porty”. I chyba masz świadomość, że skanował by porty routera, a nie komputerów? Kto Twoim zdaniem będzie aktualizował bazę „znanych trojanów”? Poza tym, masz świadomość, że na takie badanie ruchu (czytaj: analizę przesyłanych treści) użytkownik musiałby wyrazić zgodę?
Jak dla mnie prezentujesz typowe pieniactwo człowieka, który słyszał gdzieś coś piąte przez dziesiąte (głównie słowo „blokują”), wyolbrzymia problem, ale nie zna całości sprawy.
Jestem skłonny się założyć, że w przeciągu roku podobne rozwiązanie wprowadzą wszyscy więksi dostawcy. O małych osiedlówkach nie piszę, bo tam dawno już wysyłanie spamu jest ograniczane przez recent na porcie 25 (chyba, że lame admin albo całkiem olewa temat).
…Nie wiem też, jak chcesz modyfikować oprogramowanie…
Oprogramowanie TPSA działa nie tylko na routerze, ale także na Windows.
Czy szanowny Rozie zapomniał czy nie doczytał? Po za tym ja nie chcę tobie routera modyfikować.
…Kto Twoim zdaniem będzie aktualizował bazę „znanych trojanów”?…
Oczywiście, że gdyby TPSA zechciała bawić się w antytrojan to musiała by aktualizować bazę (ponosić koszty). Można taką bazę wykupić od firm, które się tym zajmują.
…Z punktu widzenia trojana nie chodzi o prostą zmianę portu…
Zobaczymy ile mniej spamu będziesz dostawał.
Ponadto, TPSA od lat otrzymuje zgłoszenia że z jej sieci ktoś spamuje.
Dotychczas nie robiła nic, a teraz blokuje port wszystkim.
Zablokowany port mi osobiście nie przeszkadza, sam bym zablokował gdybym był adminem – ale gdyby ktoś zażądał odblokowania to bym odblokował. W ten sposób i tak większość nie znających się ludzi miała by to zablokowane.
To mi przypomina sytuację ze zniesieniem 100 watowych żarówek.
Nie dość że „energo oszczędne” mają gorsze światło, kosztują kilkanaście razy drożej to okazało się że jak ktoś ma lampę na działce – to nie może wkręcić „setki” za 1zł tylko musi kupić mrozoodporną za 50zł, którą zresztą ktoś mu w nocy może ukraść.
Chwała obrońcom środowiska, że zakazują nam używania żarówek!
Chwała TPSA, że blokuje wszystkim co popadnie by ratować nas przed SPAM’em!
Chciało by się powiedzieć za panem z YouTube: „no nie w tę stronę! Ku….a!”.
pozdro
„Oprogramowanie TPSA działa nie tylko na routerze, ale także na Windows.
Czy szanowny Rozie zapomniał czy nie doczytał? Po za tym ja nie chcę tobie routera modyfikować. „
Na jakim znowu Windows? Sorry, po pierwsze wszędzie mam Linuksy, po drugie na pewno nie pozwolę im grzebać w moim systemie. Po trzecie, musieliby analizować treść przesyłanych komunikatów. Po czwarte, co w przypadku więcej niż 1 komputera w domu i podziału łącza masz problem, bo oprogramowanie TPSA jest tylko na jednym kompie (albo i na żadnym – router). Po co zamulać wszystkie? Co z innymi systemami?
„Oczywiście, że gdyby TPSA zechciała bawić się w antytrojan to musiała by aktualizować bazę (ponosić koszty). Można taką bazę wykupić od firm, które się tym zajmują.”
I wliczyli by to w cenę usługi, także mi (zakładając, że mam Neostradę, akurat mam BSA od innego dostawcy)? Świetnie. Już teraz proponuję dać userom wybór – abonament o 10 zł miesięcznie wyższy i antytrojan, albo blokada portu.
Nawiasem, znasz jakąś w 100% wykrywającą wirusy i trojany bazę? Nie sądzę.
„Zobaczymy ile mniej spamu będziesz dostawał.”
Jest szansa, że nie będziemy 6 spamerem świata. http://www.money.pl/gospodarka/ngospodarka/ebiznes/artykul/polska;potega;w;produkcji;spamu,96,0,351072.html Ponieważ wysyłaliśmy 3% spamu, to biorąc pod uwagę udział w rynku oceniam, że działanie TPSA może to zmniejszyć do ok. 1%. Czyli u mnie w skrzynce 2% spamu mniej.
„Ponadto, TPSA od lat otrzymuje zgłoszenia że z jej sieci ktoś spamuje.
Dotychczas nie robiła nic, a teraz blokuje port wszystkim.”
Nie mieli innego rozwiązania. Każde inne jest za drogie, lub wymaga analizy treści, co jest znacznie większą ingerencją w prywatność (i wymaga zgody usera). Wycięcie portu jest eleganckie, skuteczne, nie obciąża ani systemu użytkownika, ani urządzeń TPSA.
„Zablokowany port mi osobiście nie przeszkadza, sam bym zablokował gdybym był adminem – ale gdyby ktoś zażądał odblokowania to bym odblokował. W ten sposób i tak większość nie znających się ludzi miała by to zablokowane.”
Ależ użytkownik może odblokować patrz rozie.blox.pl/2009/12/Usuniecie-blokady-portu-25-w-Neostradzie.html Można się przyczepić do polityki (dez)informowania na infolinii, ale rozumiem (i w sumie popieram, dlatego chwilowo wpis wygląda tak, a nie inaczej). Tydzień userzy popłaczą, polamentują (całkiem jak Ty), ale zmienią i będzie dobrze.
Nawiasem, napisałem do UKE zapytanie o legalność blokowania portu 25 bez możliwości zdjęcia blokady przez klienta (w jakikolwiek sposób; TPSA dostała pozytywną opinię z UKE nt. wprowadzonego rozwiązania). Zobaczymy, co odpiszą.