1 (edytowany przez Pavvel 2008-09-12 21:19:50)

Temat: Pytanie o SPF, SSL - STARTTLS

Właśnie zostałem podłączony do nowego dostawcy internetu.
Limituje on jednak użycie portu 25 pomiędzy moim PC [programem mailowym Bat] a dostawcą internetu.
Oto jakie muszę mięć ustawienia aby móc korzystać z wysyłania poczty z komputera.

SMTP Server -> relay.o2broadband.co.uk
Connection -> Regular
Port -> 25
klik : 'Authentication...'
odznaczone 'Perform SMTP Authentication (RFC 2554)'

Czy to jest tak, że w takim układzie moje maile nie mają żadnego zabezpieczenia przed podsłuchiwaniem? Jeśli tak czy bardzo prawdopodobne jest przechwycenie takiej wiadomości? Normalnie używam STARTTLS na porcie 25.

Poza tym jest to SMTP przekazujące, czyli o tyle o ile dowiedziałem się, jeśli niektórzy dostawcy kont e-mail sprawdzają SPF [nie znam tego terminu za bardzo], czy to znaczy, że moja wiadomość nigdy nie zostanie dostarczona [zostanie odrzucona]?
Czy jest na to jakiś sposób, prócz zniesienia blokady portu przez dostawcę serwisu lub wykorzystania SMTP firmy trzeciej z innymi portami?

Mam  zamiar rozwiązać tę sprawę z dostawcą, ale potrzebuję więcej info na pytania które zadałem.

Wiem, że mogę korzystać z gmail, który ma inne porty dla poczty wychodzącej, ale nie chcę przenosić wszystkiego.

2

Odp: Pytanie o SPF, SSL - STARTTLS

SSL/TLS przy połączeniu SMTP przede wszystkim nie pozwala na przechwycenie twojego hasła do konta (przeważnie jest ono takie samo jak do POP3/IMAP). Jeżeli dodatkowo zależy ci na poufności/integralności samej treści powinieneś stosować S/MIME lub PGP. Co z tego, że wyślesz używając SSL/TLS jeżeli na następny serwer pójdzie to jawnym tekstem a odbiorca pobierze wiadomość za pomocą nieszyfrowanego POP3?

Mail wysłany z domeny bez SPF (jest to zwykły rekord typu txt na serwerze DNS) powinien dotrzeć wszędzie, przeważnie wiąże się to jednak z przyznaniem większej liczy punktów w scroingu spamowym i taki mail może zostać skasowany lub umieszczony w folderze spam u odbiorcy. Więcej na wiki: http://pl.wikipedia.org/wiki/Sender_Policy_Framework

3 (edytowany przez Pavvel 2008-09-13 20:29:44)

Odp: Pytanie o SPF, SSL - STARTTLS

Pozwól, że trochę spróbuje się dokopać do sedna tego co piszesz. Mam zamiar załatwić tę sprawę z operatorem mojej sieci [a potem z regulatorem] i chciałbym być uświadomiony tak mocno jak to tylko możliwe.
Po pierwsze tak "słyszałem" że PGP jest lepsze, nie uczyłem się o s/MIME. Nie rozumiem natomiast co masz na myśli pisząc:

"Co z tego, że wyślesz używając SSL/TLS jeżeli na następny serwer pójdzie to jawnym tekstem"

zdawało mi się że komunikacja wygląda tak:
PC <-> serwer <-> PC
czy to chodzi o jakiś wewnętrzny przekaz wiadomości między serwerami operatora dostawcy konta e-mail?

Jeśli chodzi o odbiorcę, zakładam że jest to ktoś na tyle sprytny, że zaglądnął do konfiguracji na stronie www i jest wszystko OK.

Jeśli chodzi o SPF wysyłałem ze swojego konta o2.pl wiadomość na to samo konto o2.pl, oto co dostałem:

- These recipients of your message have been processed by the mail server:
xxxxxxxxxx@o2.pl; Failed; 5.3.0 (other or undefined mail system status)

    Remote MTA mx11.go2.pl: network error


- SMTP protocol diagnostic: 550 Bad SPF records for [o2.pl:82.xxx.130.xxx], see http://spf.pobox.com/

Dałoby się adminie mkosinski jakoś określić [w wymiernych słowach] o ile niebezpieczniejsze jest wysyłanie maila z ustawieniem
Connection -> Regular
zamiast
Connection -> Secure to STARTTLS
?

Dzięki.

4

Odp: Pytanie o SPF, SSL - STARTTLS

Pokaż pełny nagłówek tej wiadomości z błędem SPF.
W wymiernych słowach, poziom bezpieczeństwa twojego hasła bez użycia SSL/TLS zależy od sieci dostępowej z której korzystasz oraz ruterów znajdujących się na drodze do serwera SMTP.

5

Odp: Pytanie o SPF, SSL - STARTTLS

Return-Path: <>
Received: by o2.pl (o2.pl mailsystem) with LMTP;
        Mon, 15 Sep 2008 10:35:54 +0200
Received: from smtp1.betherenow.co.uk [87.194.0.68]
        by mx7.go2.pl with ESMTP id GlpUKf;
        Mon, 15 Sep 2008 10:35:53 +0200
Received: by smtp1.betherenow.co.uk (Postfix)
        id 8386229x67A; Mon, 15 Sep 2008 09:35:53 +0100 (BST)
Date: Mon, 15 Sep 2008 09:35:53 +0100 (BST)
From: MAILER-DAEMON@betherenow.co.uk (Mail Delivery System)
Subject: Undelivered Mail Returned to Sender
To: xxxxxxxxx@o2.pl
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
        boundary="347282925CF.1221467753/smtp1.betherenow.co.uk"
Message-Id: <20080915xx3553.8386229267A@smtp1.betherenow.co.uk>
Content-Transfer-Encoding: 7bit
X-O2-Trust: 2, 48



This is the Postfix program at host smtp1.betherenow.co.uk.

I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.

For further assistance, please send mail to <postmaster>

If you do so, please include this problem report. You can
delete your own text from the attached returned message.

                        The Postfix program

<yyyyyyy@o2.pl>: host mx11.go2.pl[193.17.41.141] said: 550 Bad SPF records
    for [o2.pl:87.194.0.68], see http://spf.pobox.com/ (in reply to MAIL FROM
    command)

mam nadzieję że to jest odpowiednie

Dzięki

6

Odp: Pytanie o SPF, SSL - STARTTLS

Jeżeli wysyłasz z adresu @o2.pl to dlaczego robisz to przez serwer smtp1.betherenow.co.uk a nie serwery o2.pl?
To jest powód błędu przy sprawdzaniu SPF.

7 (edytowany przez Pavvel 2008-09-17 11:40:32)

Odp: Pytanie o SPF, SSL - STARTTLS

Myślałem że szukasz czegoś jeszcze w nagłówku....

Tak już wiem po całej tej lekturze o SPF o co chodzi...

A dlaczego tak wysyłam to "tak jakby" napisałem w pierwszym poście smile - miało być dostawca internetu blokuje mi wychodzący port SMTP -25 w zamian za to oferuje relay serwer, przez który, jeśli dostawca konta e-mail nie ma innego portu SMTP, muszę wysyłać swoje wiadomości.

W przypadku o2.pl wygląda to tak: mają tylko port 25 więc muszę wysyłać wiadomości DO niego poprzez relay serwer ISP, tyle że jeśli wysyłam do innego użytkownika o2.pl [może inni jak Interia WP, też tak mają, nie wiem], to i tak nie dojdzie z powyższych powodów...

W dodatku muszę wyłączyć SSL. Więc wiadomość idzie sobie niezabezpieczona.

Dlatego się pytałem o wymierne skutki takiego "układu" jako że ma  zamiar reklamować towar [a nie rezygnować z niego] i spodziewam się że w pierwszej instancji nie załatwię niczego [mimo iż nie ma w kontrakcie niczego o utrudnieniach z SMTP] dlatego powoli przygotowuje się do ciała odwoławczego, które jest tu bardzo skuteczne.

Dzięki.

PS. Jeśli miałbyś jeszcze jakąś przystępna lekturę o skutkach braku SSL, chętnie poczytam.

Ech jeszcze sobie przypomniałem 1 pytanie.
Blokują port 25 niby aby utrudnić wysyłanie spamu przez użytkowników ZOMBI.
Dalej.
Właśnie wracam z Wikipedii. Także w wyjaśnieniu SPF  jest:

Sender Policy Framework (SPF) to niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie ilości spamu oraz zmniejszenie ilości rozsyłających się wirusów.

więc czy efektywność blokowania portu 25 jest znacznie lepsza od akceptowania każdego SPF [de facto nie istnienia tegoż projektu] + braku SSL  ?

8

Odp: Pytanie o SPF, SSL - STARTTLS

Blokowanie/przechwytywanie portu 25 przez dostawcę nie ma moim zdaniem sensu (więcej kłopotów niż korzyści o ile 90% klientów nie korzysta z kont które daje ISP albo używa tylko i wyłącznie webmaili).
Jeżeli ktoś zacząłby spamować (świadomie lub nieświadomie) powinni dopiero wtedy go odciąć automatem i tyle. Taki zapis pewnie jest w umowie.

9

Odp: Pytanie o SPF, SSL - STARTTLS

@Pavvel: wydaje mi się że nie bardzo wiesz co to SSL/TLS, co to PGP i S/MIME a rozróżnienie tego w kwestii zachowania prywatności to podstawa.

Normalnie wysyłka wiadomości wygląda następująco:
1. Napisana wiadomość
2. Wysyłka przez własny serwer SMTP
3. Wiadomość przechodzi przez kilka kolejnych serwerów
4. Wiadomość dochodzi do serwera odbiorcy
5. Odbiorca odbiera wiadomość

I teraz co daje SSL:
1. Napisana wiadomość
2. Wysyłka przez własny serwer SMTP - to połączenie jest bezpieczne tzn. brak możliwości przeczytania wiadomości przez osoby trzecie
3. Wiadomość przechodzi przez kilka kolejnych serwerów
4. Wiadomość dochodzi do serwera odbiorcy
5. Odbiorca odbiera wiadomość

Jak widzisz tylko w pkt 2 istnieje jakieś zabezpieczenie. I co ciekawe to zabezpieczenie dotyczy samego połączenia i przesyłanych danych i nie dotyczy już np. ochrony przed administratorami serwera z pkt.2. Szyfrowana w tym przypadku jest tylko transmisja od ciebie do serwera, a później wiadomość leci przez świat w zwykłej postaci bez żadnego zabezpieczenia. Oczywiście odbiorca też może użyć SSL i pobrać wiadomość zabezpieczonym kanałem transmisji, ale nadal brak jakiejkolwiek ochrony przez przytaczanymi "pracownikami" a tym bardziej niezabezpieczony jest przesył pomiędzy serwerami pośredniczącymi.

Teraz co daje PGP lub S/MIME (w bardzo dużym uproszczeniu).
Te dwie rzeczy mogą zabezpieczyć wiadomość przez przeczytaniem jej przez innych. Stosuje się dwie metody - kryptografię asymetryczną lub symetryczną. W przypadku tej pierwszej odbiorca i nadawca posiada oddzielną parę kluczy prywatny i publiczny. Szyfrowanie jest tak skonstruowane, że osoba wysyłająca szyfruje wiadomość kluczem publicznym odbiorcy (klucz ten może być jawny dla wszystkich). Odbiorca odszyfrowuje wiadomość swoim kluczem prywatnym (klucz ten powinien być znany tylko właścicielowi, gdyż tylko za jego pomocą można odszyfrować wiadomość).
Druga metoda z użyciem kryptografii symetrycznej jest podobna, z tym że istnieje jeden klucz (prywatny), który służy szyfrowaniu i odszyfrowywaniu wiadomości. W tym przypadku ten klucz musi być znany jedynie osobom korespondującym.
PGP lub S/MIME pomaga właśnie w powyżej opisanym szyfrowaniu wiadomości. S/MIME jest chyba bardziej popularny ze względu na brak konieczności instalowania dodatkowego oprogramowania wspierającego proces szyfrowania. Większość klientów pocztowych już posiada zaimplementowane S/MIME.
http://en.wikipedia.org/wiki/Comparison … s#Features

10 (edytowany przez Pavvel 2008-09-17 20:27:03)

Odp: Pytanie o SPF, SSL - STARTTLS

E, chyba nie jest ze mną tak źle smile

Może i wyrażam się chaotycznie ale coś tam rozumiem.

W kwestia szyfrowania nie chodzi mi tylko o najtajniejsze z tajnych danych, ale także o ochronę danych osobowych i ochronę korespondencji. Coś jak z Pocztą Polską. Dobrze wiemy że otwierają listy/paczki ale raczej ich nie szyfrujemy [lub kurierzy - niby lepiej ale kto ich tam wie], ale też nie wysyłamy listów bez koperty.
Ponadto trudno od każdego użytkownika, którego masz w swoich kontaktach, który w życiu nie słyszał nawet o programie do ściągania poczty na PC, wymagać obsługi trochę bardziej wymagających funkcji [chyba nawet administratorzy mają takich znajomych w kontaktach? tongue ]. A nawet jedna taka osoba to brak ochrony danych / korespondencji [tu].

Poza tym [na przykładzie o2] rozumiem, że port TLS 995 jest jest zabezpieczony?

Taki zapis pewnie jest w umowie.

jasne