Usunięcie blokady portu 25 w Neostradzie.

Świat się nie zawalił. Narzekań specjalnych nie było, trochę psioczenia niektórych adminów (oj, nie wszyscy się przygotowali, nie wszyscy). Operacja się udała, więc pora na informację, jak zacną skądinąd blokadę wyłączyć.

Rano ten wpis wyglądał inaczej (i ta wersja niedługo wróci), ale z tego co wiem, polityka informowania na infolinii TP jest taka, że się nie da, więc na razie trzymajmy się tej wersji, bo z pewnych względów jest ona słuszna. Myślę, że oryginalna wersja powróci w okolicy Mikołajków.

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Albo masz beznadziejny soft pisany na zamówienie, który wysyła maile na porcie 25 (bez uwierzytelniania, ciekawe, który admin serwera pocztowego przyjmuje taki syf z puli Neostrady). Co wtedy?

Póki co, postaraj się przekonfigurować czytnik poczty. Jeśli nie, zajrzyj za kilka dni…

Na wstępie uwaga: tak naprawdę wcale nie musisz tej blokady (i nie powinieneś – zobacz poprzednie wpisy, w których opisane są przyczyny jej wprowadzenia) wyłączać. O wiele lepszym rozwiązaniem jest zmiana konfiguracji czytnika poczty. No ale załóżmy, że skonfigurowałeś to komuś, komu za ChRL nie wytłumaczysz, jak zmienić konfigurację, a sam nie masz dostępu do tego systemu (pozdrawiam rodaków za granicą). Co wtedy?

Wtedy wystarczy zmiana loginu do usługi Neostrada. Na stronie TPSA zawarty jest dokładny opis możliwych ustawień poziomów ochrony przy pomocy loginu. Jak widać, możliwe w tej chwili są trzy warianty:

  1. „goły” login, czyli zablokowane porty „wirusowe” oraz 25,
  2. dodanie prefiksu „PODSTAWOWY-” do loginu – blokowane porty „wirusowe”, odblokowany port 25,
  3. dodanie prefiksu „BEZ_OCHRONY-” do loginu – odblokowane porty „wirusowe”, oraz port 25.

Aby odblokować wysyłkę poczty, wystarczy dodać prefix „PODSTAWOWY-„. Wpuszczanie wirusów nie ma sensu, szczególnie, jeśli użytkownikiem komputera jest ktoś, kto – mając do dyspozycji obrazkowe insturkcje – nie umie zmienić portu, na którym wysyłana jest poczta.

Jak widać, trzeba mieć zdalny dostęp do routera (albo założyć, że osoba, która nie umie zmienić portu poradzi sobie routerem, w co wątpię), albo zdalny dostęp do konfiguracji modemu (pod Windows to chyba tylko jakiś zdalny pulpit wchodzi w grę, ale wtedy lepiej zmienić port).

Kolejna niefajna sprawa, to fakt, że jeśli pomylimy się przy zmianie loginu (uwaga na wielkość liter, ma znaczenie!), to trwale odetniemy się od routera. Dlatego zmiana portu wysyłania poczty wydaje się znacznie lepszą, prostszą, bezpieczniejszą i korzystniejszą dla wszytkich opcją.

Koniec poczty na porcie 25, witamy porty 587 i 465 – TPSA list otwarty.

Już jakiś czas temu pisałem o nadchodzącym końcu wysyłki poczty przez port 25 dla klientów Neostrady. Po tegorocznym PLNOG TPSA wystosowało list otwarty zachęcający dostawców poczty do współpracy. W szczególności do opracowania instrukcji zmiany sposobu wysyłki przez klientów i podesłania linka, dzięki czemu będzie łatwiej dostępny dla klientów. Na razie są tam instrukcje od „dużych”.

Przy okazji jest łatwiejszy do zapamiętania link opisujący obsługę poczty z wykorzystaniem portów 587 i 465 w Neostradzie i zmianę polityki antyspamowej TPSA.

Niebawem koniec wysyłki maili na port 25.

Jeden z bardziej burzliwych tematów trzeciego spotkania PLNOG to planowane zablokowanie ruchu na porcie 25 przez TPSA. Dotyczyć będzie jedynie użytkowników Neostrady (oraz pakietów zawierających tę usługę – w skrócie – usługa dla klienta indywidualnego o zmiennym IP) i wysyłających pocztę z klientów pocztowych w stylu Thunderbirda czy Outlook Express (dla korzystających z webmaila nic się nie zmieni). Podobnie jak przy portach netbiosowych będzie istniała możliwość wyłączenia blokady poprzez zmianę loginu. Wprowadzone ma być całkiem niedługo, bo z dniem 1 grudnia.

Oczywiście było trochę ataków na TPSA podczas dyskusji, że czemu np. nie robią recenta (niby na czym?), czemu nie skanują poczty pod kątem spamu (ingerencja w treść) itp., ale akurat moim zdaniem jest to świetna decyzja (i jedyna wykonalna technicznie przy tej skali usług), tym bardziej, że i RFC pozwala na takie działanie, i – dla bardzo chcących wysyłać przez port 25 użytkowników – będzie prosta możliwość zdjęcia blokady (nie polecam). Poza tym, już teraz serwery mail na świecie mogą nie przyjmować poczty wysyłanej z portu 25 z klas IP oznaczonych jako przeznaczone do wysyłki po autoryzacji, przez serwer ISP lub webmail (zobacz PBL advisory), a takie powinny być klasy przeznaczone dla neostrady.

Nowość żadna, bo duże portale opiniowały to już parę miesięcy temu i są przygotowane, a większość dostawców została powiadomiona, ale pewnie sporo użytkowników i zupełnie małych dostawców kont pocztowych jeszcze o tym nie wie, dlatego informuję i polecam zapoznanie się z RFC 4409.

Jak już pisałem, decyzję uważam za dobrą, co więcej, mam nadzieję, że mniejsi i całkiem mali ISP pójdą tą samą drogą, i to wkrótce (pewnie poczekają nieco na efekty w TPSA). W tym przypadku inicjatywa TPSA jest naprawdę przemyślana, słuszna i dobrze wykonana (no dobrze, chwalę dzień przed zachodem słońca, ale wiem, co już zrobili i jak niewiele zostało – tylko poinformowanie użytkowników, które jest zaplanowane). W końcu jest szansa, że Polska nie będzie jednym z czołowych spamerów na świecie, a dostawcy poczty powinni odczuć spadek ilości nadchodzącego spamu, co przełoży się na spadek obciążenia serwerów poczty i maszyn skanujących.

Dla tych leniwych użytkowników, którzy nie chcą czytać – szybkie info jak włączyć nową wysyłkę poczty. Do nieszyfrowanego wysyłania poczty wystarczy zmienić port serwera pocztowego z 25 na 587.

Oficjalny komunikat TPSA dotyczący blokady portu 25, zawiera namiary na dokładne konfiguracje u większych darmowych dostawców poczty.