Vlákno názorů k článku
Stop podvrženým e-mailovým adresám ve spamu

problem je ked ISP blokuje smtp servery mimo vlastnej siete.

To pro někoho jistě může být nepříjemné, ale proč je v tom problém v souvislosti s tímto článkem?

Protoze pokud chci napr. z domaci site X ve ktere sem pripojen odeslat mail. Ktery mam u poskytovatele Y tak mam nyny dve moznosti.

1. Odeslu mail pres SMTP server poskytovalte pripojeni
2. Odeslu mail pres SMTP server poskytovale emailu.

Ve chvili kdyz pouziji metodu zminovanou v clanku, dopadne moznosti 1. A pokud muj ISP blokuje moznost 2 (ISP blokuje komunikaci s externimy SMTP servery) tak nema jak poslat e-mail.

Taky se muze stat ze ISP to blokovat nebude, ale muj poskytovatel emailu umozni pristup na SMTP pouze z vnitrni site (treba firemni e-mail).

A co kdyz muj pokytovatel e-milu vubec SMTP nema? Co kdyz muj poskytovatel je pouze proxy na jineho poskytovatele? Napr. mala firma ktera chce mit e-mail na sve vlastni adrese, ale presmerovava ho do schranky nejakeho freemailu.

Alebo ti poskytovatel mailu dovoli poslat mail po authentifikacii a tym padom bude vsetko ok pretoze SPF splni svoju ulohu mail bude odoslany cez mail ku ktoremu je spraveny DNS zaznam

Problém je v tom že SMTP port 25 se mimo provozu server-server, na což je primárně určen, používá i k odesílání pošty od klienta na jeho server, takže ISP pak nemůže rozlišit o jaký provoz jde a v rámci boje proti spamu port 25 blokuje. Jenže k odesílání pošty od klienta na server je lepší používat port 587 (submission). RFC2476 říká že klienti odesílající přes tento port by se serveru měli autentizovat (tedy použít jméno a heslo), takže nehrozí že přes tento port botnety budou odesílat tuny spamu (leda tak přes svůj vlastní server ke kterému mají heslo, ale tím se pak vytrácí půvab botnetu) a tudíž není na straně ISP důvod tento port blokovat.

Takže můj mailserver od ostatních serverů přijímá příchozí poštu na portu 25, ale když já přes něj chci odeslat mail, půjdu přes port 587, jež není skoro nikdy blokován. Tím pádem bych mohl mít i SPF record v DNS, protože mám celkem velkou šanci že své maily skutečně budu moci vždy posílat přes svůj server.

Když mám mailserver někde ve firemní síti, a chci uživatelům umožnit odesílání „firemních“ mailů i z domova, z kavárny, z benzínky nebo od holiče, dá se to udělat tak, že jim zřídím VPN tunel do vnitřní sítě, a/nebo SMTP+SSL na portu jiném než 25. Pokud mi nějaký chytřejší zombie začne spamovat ven skrz můj vlastní mailserver, dozvím se to v dnešní době vcelku rychle :-)

Jasně, pro freemaily je SSL docela CPU hog a VPN je overkill… Možná je obecně finta v tom, dát svým koncovým klientům možnost podávat maily prověřenému outgoing mailserveru k odeslání, a to nějakým způsobem „jiným než SMTP na port 25“, aby se dal port 25 směrem ven v accessových sítích filtrovat. Na tom si nabije kokos spousta pitomých zombie, které odesílají přímo na cílový server, a přitom freemailový server má nadále možnost poskytnout svým klientům ze všech koutů internetu outgoing SMTP. A když bude chtít konkrétní človíček v accessové síti provozovat svůj vlastní outgoing mailserver, tak si může říct o díru do firewallu ISP (ehm) – trochu přemejšlím, jak to jde dohromady s obvykou NAT maškarádou, RBL, případně jaký vliv bude mít nástup IPv6…

tak VPN ve firme o tom zadna.

Normalne by melo stacit vyuzivat to co je navrzeno uz davno a to je zminovana submission.

Jsem „isp“ a resim to trochu jinak. Za prve mi vadi jak nekteri isp nuti pouzivat vlastni SMTP servery, tim se deje to ze kdykoliv opusti pocitac konkretni sit, nemuze odesilat maily (95% useru neni schopna si ani servery zmenit natoz aby vedeli na co si je zmenit). Pritom existuje jednoduche reseni. Lze pouzit vlastni smtp servery ale nechat uzivatele at si zadavaji sve vlastni. V podstate ted presmerovavam cely provoz na port 25 na svuj smtp server, tam filtruji spam a vse co je v poradku posilam dal. A v tomto pripade by asi vznikl problem se spf.

>> V podstate ted presmerovavam cely provoz na port 25 na svuj smtp server <<

Takoveho ISP je treba zabit .. nebo minimalne ihned opustit.
Jakym pravem kurvite zakaznikum konektivitu ?!

pravem danym ze zakona