Vlákno názorů k článku
Co se stane s Windows XP připojenými přímo do internetu? od bmn bmn - To je asi důvod proč většina ISP blokuje...

On to taky zadnej normalni ISP nedela, to jsou jen vselijaci pseudoISP. Navic je to nelegalni.

No... je to jen pár let, co jsem musel zadupat na jednoho z našich největších operátorů, aby laskavě odemknul.
Nebyl to sice žádný problém, ale musel jsem se probojovat od supportu, přes obchoďáka k technikovi.

Nikoliv, zablokovat tcp/25 nelegalni neni, i z pohledu sitove neutrality je akceptovatelne a objektivne oduvodnitelne (prevence mozneho abuse/sireni SPAMu). Ono ani tahle "svoboda" dana mj. smernici EU neni absolutni, pocita s drobnymi omezenimi. A delaji to i nekteri relativne velci ISP... a verte, ze ti si pravniky zaplatili, driv nez se do takovych veci pustili.

A k odesilani emailu bezneho domaciho uzivatele fakt potreba tcp/25 neni... aneb to je tak, kdyz si lidi pletou MTA a MSA, ze? ;-) To bysme rovnou mohli zahajit polemiku o tom, ze nekteri "admini" jsou vlastne diletantni.

Jako prevence možného abuse/šíření SPAMu je nejefektivnější tu e-mailovou komunikaci zablokovat úplně (a pro jistotu filtrovat HTTP na freemaily.... ;oD
Oni ISP mají zvyklosti různé, ale obecně je jejich apetit nastavený spíš na omezování všeho, co omezit lze.
Už jsem se setkal s případem, kdy nešlo použít žádný jiný SMTP server, než ten od ISP, což účinně bránilo možnosti posílat maily z vlastního serveru (tak, aby byly doručeny).
Nebo omezováním některé komunikace - včetně e-mailových portů - na (placené) veřejné IP, za kterou byl domácí (firemní) mailserver, VPN koncentrátor a webserver, s odůvodněním, že jde o občanský internet, a pokud chce někdo takové služby, musí si je objednat jako firma (podstatně dráž), ale v dané lokalitě je tento monopolní ISP nezřizuje. (Vyřešil to jeden server od VPSFree a domluva s technikem - diskuse s obchoďákem nevedla nikam jinam, než k právníkům.)

Tak znovu... snazit se pouzivat SMTP server je samo o sobe ptakovina. Maily od koncaka proste SMTP (tedy tcp/25) pouzivat nemaji... na to mame Submission (tcp/465, pripadne tcp/587). Ac zdanlive totez, neni to totez. A ano, spousta "linych" adminu ze setrvacnosti pouziva prave tcp/25... asi to bude i vas pripad, ze? ;-)

Co je to "běžný domácí uživatel"? Kdekdo dnes pracuje částečně z domova. Jakmile má firma, pro kterou pracuje vlastní MTA nebo i jen vlastní doménu, což má kdejaký korporát a i spousta menších firem, máte problém už kvůli DKIM a SPF. Takže můžete použít ledatak nějaké webové rozhraní.

Jejda... co to mumlate? ;-) Se SPF u SMTP narazite prave s tim "domacim" internetem, ktery mnohdy mate dynamickou adresu. Zrovnatak DKIM je spise argument pro pouziti Submission... a vyreseni podpisu hlavicek az na strane serveru (pricemz je soucasne vynucena autentizace uzivatele).

Korporatni mailserver fakt nebudete provozovat na pripojce urcene pro domacnosti, kde se bezne adresa meni. Ne ze by s dynDNS neslo mit plovouci MX, ale samo o sobe je to dost ulet, protoze nestaci menit jen ten A/AAAA zaznam... ale budete u toho muset menit i to SPF. Plus samozrejme v pripade IPv4 vetsina tech pripojek je za CGNATem, kde si o verejce muzete tak akorat znat vlhke sny a tu IP budete sdilet s pulkou ulice... :-) A tam jsou snahy o komunikaci po tcp/25 vylozene projev diletantismu daneho administratora.

Uprimne, narazil jsem na hromadu ISP, co blokuji tcp/25... ale na zadneho, co by blokoval tcp/465 nebo tcp/587.... a to po svete litam pomerne dost :-) Ale klidne se muzete pochlubit konkretni referenci...

Nepochopil jste. Když vám tu pětadvacítku hijackne směrem ven ISP, nepošlete nic nikam. A to se občas děje. Směrem dovnitř neřeším, to jsou stejně obvykle zabanované rozsahy.

Ano, nepochopil jste. Je blbost tu petadvacitku vubec v podobnych use-case pouzivat. A ono i nakonfigurovat ten 'domaci' postfix, aby pouzival submission fakt neni zadna cerna magie. Jenom to chce... RTFM ;-)

Tak ještě jednou: potkal jsem několik ISP, kteří unášeli veškerý provoz na portu 25 směrem ven. Takže ve výsledku jste nemohl odeslat žádný mail z jakéhokoliv SMTP klienta jinudy, než přes jejich SMTP server. Nechápu, co je na tom tak složitého pochopit. Osobně doufám, že se to s SMTPS a celými zabanovanými rozsahy domácích ISP už neděje, ale nepřekvapilo by mě pokud někde ještě ano.

Byla to asi prevence toho, aby se váš počítač nezapojil do botnetu a nerozesílal spam.

Mě přijde, že máte svým způsobem pravdu oba.

Pokud budu provozovat jen SMTP klienty (MUA) a bude dostupný relay server (MTA) venku v internetu, tak to případné blokování portu 25 nemusí dnes vadit. Danny má pravdu v tom, že většina klientů se dá nastavit buď přímo na tu preferovanou TLS variantu na submission portu 587 a bude rovnou odesílat přes relay server venku. V případě odesílání přes lokální Postfix (nebo Sendmail, EXIM atp.), se nastaví, že nekomunikuje přímo s serverem adresáta podle MX záznamů v DNS, ale předá to zas tomu serveru venku, v Postfixu přes direktivu relayhost s případným ověřením uživatele přes SASL, a pořád to pojede přes submission port 587. Samozřejmě se zároveň s tím dá nastavit, že bude ten lokální server zpracovávat maily z LAN a klidně poslouchat třeba i na portu 25 (např. pro nějaké prehistorické klienty zabudované v zařízeních).

Vadit to bude jen v případě, že někdo, kdo je připojený přes blokujícího ISP, bude chtít rovnou u sebe nastavit MTA, který komunikuje napřímo s mail servery adresáta bez dalšího relay serveru. Tam opravdu není jiná možnost, než mít volnou komunikaci na portu 25, v tom má Martin pravdu.
Jinou otázkou pak samozřejmě je, proč to dělat (a nastavovat všechny věci okolo, DNS záznamy, řešit rejecty na jiných serverech) a jestli nejsou nějaké lepší možnosti, domluva s ISP ohledně relayování přes něj nebo třeba free tier od komerční SMTP služby s limitem, co by mohl stačit, až po téměř jakýkoliv virtuál venku za 80 korun na měsíc, atp.

Tak hlavně, že to dobře dopadlo, všichni se usmířili a šťastně si četli manuálové stránky až do smrti :)

31. 7. 2024, 01:36 editováno autorem komentáře

SMTP servery u ISP s rozmachem DKIM/SPF/DMARC prakticky umreli. Blokace SMTP (tcp/25) vsak nezmizela. Furt jste nevysvetlil, proc by BeznyFrantaUzivatel na nejakem xDSL, LTE ci wifi mel pouzivat SMTP... ktere jako jedine na toto "trpi". MUA proste nema objektivni duvod s MTA, MUA ma komunikovat s MSA. Vy tu porad brecite nad tim, ze nekteri "radobyadminis­tratori" si usnadnovali zivot tim, ze MSA proste obchazeli.

Ta technika rozesilani SPAMu z koncovych stroju taky nevymrela... zkousi se to porad, protoze vzdycky se najde nejaky lajdak, co na svem MTA implementovane SPF/DKIM/DMARC validace nema. Takze nejaka uspesnost tam je porad... a ze to "funguje" porad dokazuji blacklisty typu uceprotect, kde tam na vyssich levelech obvykle figuruji ISP, kde tcp/25 od koncaku neresi - a opet, jsou "radobyadmini" MTA, co to maji jako ultimatni zdroj pravdy a maily z tam vylistovanych IP rovnou odmitaji a ani se neobtezuji s nejakym scoringem.

martinpoljak: Místo psaní „tak ještě jednou“ si konečně přečtěte, co vám napsal Danny už někde dávno nahoře. Když odesíláte e-maily jako zaměstnanec nějaké firmy, třeba z Thunderbirdu nebo Outlooku, používáte pro odeslání port tcp/587 (případně u starších konfigurací používajících implicitní TLS port 465). Takže blokování portu 25 ze strany ISP vás nijak neovlivní.

Blokace portu 25 vás ovlivní jedině tehdy, když chcete provozovat svůj vlastní SMTP server.