[KPN] Contraproductieve mailrelay policy - Internet en hosting

maandag 4 februari 2008 23:59

Acties:

Topicstarter

Ik heb nu zo'n 7 jaar een mailserver hangen op een adsl verbinding in het Planet Internet netwerk. In den beginne werkte het redelijk; uitgaande mail kon ik direct naar de MTA van de ontvangende partij sturen, terwijl inkomende mails via de algemene KPN mailrelay naar binnen werden geduwd. Het enige nadeel hiervan was dat als de mailrelay niet direct mails af kan leveren, de retries pas na 3 dagen gedaan werden. En dat DNSBL queries op de connectende MTA geen zin hadden.

Inmiddels zijn we heel wat jaren verder -- KPN heeft inmiddels besloten dat ook alle uitgaande mail via de relay server moet -- en de anti-spam technieken zijn er op vooruitgegaan. Alleen heffen de KPN tactieken de voortgang van de techniek op:

KPN mailrelay server staat regelmatig op DNSBLs (Spamhaus etc), waardoor uitgaande mails geweigerd worden door o.a. Hotmail en Yahoo
Inkomende mails kunnen ook aangezien worden voor spam als de mailrelay op een DNSBL staat
Op inkomende mails kunnen de volgende technieken niet toegepast worden:
1. greylisting
2. PTR/EHLO/HELO lookups
3. IP-screening
Voor uitgaande mails geldt in het algemeen dat een enkele spammer het voor iedereen achter de mailrelay kan verknallen (zie de listings op blacklists)
De toepasbaarheid van SPF wordt verminderd (alle zenders achter mailrelay kunnen elkaar forgen)

De vraag is, hoe komt het dat deze providers zo'n achterlijke policy in stand houden? Waarom komen de gebruikers niet in opstand? Ik heb al vele mails naar postmaster@planet.nl gestuurd, met vragen, klachten en adviezen, maar nog nooit iets terug gehoord.

Is er iets, behalve van provider switchen, waarmee de gebruikers de providers kunnen bewegen om hun policy te veranderen?

dinsdag 5 februari 2008 00:07

Acties:

gambieter

Just me & my cat

Baudje schreef op maandag 04 februari 2008 @ 23:59:
Is er iets, behalve van provider switchen, waarmee de gebruikers de providers kunnen bewegen om hun policy te veranderen?

Nee, die is er niet. Het aantal gebruikers dat een mailserver op een consumentenlijntje heeft is zo klein dat het niet belangrijk genoeg is om te veranderen, zeker niet daar het ook een hoop SPAM-ellende voorkomt via niet-beveiligde computers. Planet is nu eenmaal geen provider voor professionals

I had a decent lunch, and I'm feeling quite amiable. That's why you're still alive.

dinsdag 5 februari 2008 09:48

Acties:

Dukejohn

Ik draai ook al jaren mijn eigen mail server op een Planet ADSL verbinding en heb dan ook precies dezelfde problemen en bezwaren.

Misshien kunnen we genoeg mensen bij elkaar krijgen om gezamelijk een eigen mailrelay platform te hosten en te onderhouden. We zouden dan van dit platform een tunnel kunnen opzetten naar onze mail servers thuis of simpel alleen een ander poort nummer gebruiken. Ik kan alvast een aantal Dell Poweredge 1650 servers beschikbaar stellen.

dinsdag 5 februari 2008 14:58

Acties:

Verwijderd

@Baudje: het is niet achterlijk, het is waarschijnlijk noodzaak, om ergere sancties te voorkomen. Trouwens switchen is zo moeilijk niet meer en je mail uitbesteden aan een 3e partij ipv zelf hosten is natuurlijk ook geen zware investering meer.
@Gambieter: Inderdaad Planet is een partij voor consumenten en niet voor meer eisende professionals & tweakers.
@Dukejohn: Hoewel je voorstel sympathiek overkomt, raad ik je af zoiets te starten. Denk maar eens na hoe je met aansprakelijkheid in geval van ellende omgaat.

dinsdag 5 februari 2008 20:21

Acties:

Baudje

Topicstarter

@Sranan: Het is zeker wel achterlijk, althans achterhaald.

Een beetje anti-spam oplossing werkt goed als er individuele berichten van de daadwerkelijke verzendende IP-adressen komt. Het tunnelen via een provider heeft als gevolg dat je als DNSBL niet meer afzonderlijke IP-adressen verantwoordelijk kan stellen voor hun gedrag. Nu straf je het collectieve KPN netwerk op het gedrag van 1 enkele gebruiker (of wellicht door slechte config van de mailrelay). Het feit dat ik momenteel geen mail naar yahoo adressen kan versturen bewijst dat het een achterhaald systeem is.
Als ze dan toch een mailrelay inrichten, doe het dan goed: met regelmatige retries ipv na 3 dagen. En een actief beleid om de IPs van DNSBLs te halen.
Er bestaat genoeg software die content van verkeer naar port 25 op een willekeurig IP kan scannen op content zonder dat de gebruiker er wat van merkt. Maar wel de notoire spammers er uit kan halen
KPN kan er ook voor kiezen om een opt-in policy te hebben: alleen geregistreerde gebruikers/IPs kunnen de mailrelay omzeilen. Vanaf mijn IP is in 7 jaar 1 keer spam verzonden door een bot in het netwerk achter de server/router. Daarna heb ik port 25 in mijn netwerk dicht gezet. Iemand die nu een smtp connectie wil maken met een MTA buiten mijn thuisnetwerk, moet port 366 of 465 gebruiken.

Ik wil mijn mail en mailserver zelf beheren; goedkoper, flexibeler en leuker. Een derde partij is dus geen optie.
Wat betreft het switchen: dat kan helaas nog steeds maar 1 keer per jaar. Planet verlengt de contracten telkens met een jaar. En pas sinds kort zonder lange tijd offline te zijn.

@Gambieter Klopt, Planet is duidelijk geen provider voor professionals. De vraag is dus hoe kunnen we KPN/Planet opvoeden tot ze dat wel zijn...

@Dukejohn. Tja, dat is een oplossing voor probleem 2 van hierboven, maar de rest los je eigenlijk niet op. Ik zit nu meer te denken aan een colocation oplossing en een switch van Provider. Maargoed, dan is het goedkope er wel vanaf....

dinsdag 5 februari 2008 20:29

Acties:

BarthezZ

anti voetbal en slechte djs!

Als je zelf servertje wilt spelen zorg dan ook dat je daar daadwerkelijk de voorzieningen voor heb, oftewel een zakelijke verbinding of een colocation oid.

Het zou een ramp zijn als zomaar iedereen zelf mail zou hosten, het risico is veel te groot tegenwoordig en daarbij kan je geen betrouwbaarheid garanderen...

dinsdag 5 februari 2008 20:46

Acties:

Verwijderd

BarthezZ schreef op dinsdag 05 februari 2008 @ 20:29:
Als je zelf servertje wilt spelen zorg dan ook dat je daar daadwerkelijk de voorzieningen voor heb, oftewel een zakelijke verbinding of een colocation oid.

Wat is dat nou voor een onzin? Ik draai ook mijn eigen mailserver, die draai ik met name voor thuis, waarom zou ik daar een zakelijke verbinding of colocation voor moeten hebben?

Het zou een ramp zijn als zomaar iedereen zelf mail zou hosten,

Waarom zou dat een ramp zijn? Bovendien, niet "iedereen" host zelf mail.

het risico is veel te groot tegenwoordig

Welk risico? Iedereen die zich een beetje verdiept kan een mailserver bouwen die niet voor alles en iedereen mail gaat staan relayen, wie toch een open relay neerzet moet gewoon door zijn provider afgesloten worden.

daarbij kan je geen betrouwbaarheid garanderen...

So? Dat is een zaak tussen mij en mijn gebruikers (mijn vrouw en ikzelf).

Ik word er zo langzamerhand een beetje moe van dat andere mensen mij altijd vertellen wat ik wel en niet nodig zou hebben. Ik wil graag mijn eigen mailserver draaien en daar heb ik mijn redenen voor. Zolang ik met mijn mailserver geen overlast verzorg begrijp ik niet waar mensen zich druk om maken.

Overigens heb ik met mijn provider (Telebyte) geen enkel probleem, zowel in- als uitgaand verkeer werkt gewoon, wel routeer ik een aantal smtp servers (Hotmail, Gmail) via de mailrelay van Telebyte omdat deze er kennelijk van overtuigd zijn dat alle mail afkomstig van dynamische reeksen per definitie spam is...

woensdag 6 februari 2008 13:08

Acties:

BVGorp

Probeer www.rollernet.us eens een gratis mail relay op non default ports

woensdag 6 februari 2008 15:43

Acties:

jjbstolk

BVGorp schreef op woensdag 06 februari 2008 @ 13:08:
Probeer www.rollernet.us eens een gratis mail relay op non default ports

De gratis versie bestaat nog wel maar is beperkt "Limited to 1MB of incoming mail or 50 messages per day"

Ik heb nu een abbonement afgesloten voor 35 doller (iets meer dan 20 euro). Mijn MX records verwijzen nu naar Rollernet, zij sturen vervolgens de mail weer door naar mijn mailserver op poort 2526 (eigen keuze).

Tevens fungeren zij nu als backup (max 3 weken) als mijn server uit de lucht is en zijn er verschillende opties om gelijk bij hun spam en virussen af te vangen. http://www.rollernet.us/services.php?smtp

Bevalt goed het enige wat ik nog niet het geconfigureerd is hun servers ook als smarthost gebruiken ipv. de wanadoo smtp server (kan ook via andere poorten dan 25).

[ Voor 4% gewijzigd door jjbstolk op 06-02-2008 15:58 ]

woensdag 6 februari 2008 17:05

Acties:

Verwijderd

Baudje schreef op dinsdag 05 februari 2008 @ 20:21:
• Nu straf je het collectieve KPN netwerk op het gedrag van 1 enkele gebruiker (of wellicht door slechte config van de mailrelay). Het feit dat ik momenteel geen mail naar yahoo adressen kan versturen bewijst dat het een achterhaald systeem is.

Nog niet zo heel lang geleden stond Planet ( Chello ook trouwens) in de top10 van bad-isp's. Er waren weken dat NL erger scoorde dan de VS. Dat krijg je niet als er 1 enkele gebruiker dom bezig is, nee dat heb je als een groot deel van je klanten bestand onverantwoord bezig is.

• En een actief beleid om de IPs van DNSBLs te halen.

Actief beleid ? Volgens mij heb je weinig in de keuken van een ISP meegekeken. Tot zover ik begrijp is elke fatsoenlijke ISP daar heel vaak en er lang mee bezig. Als je bedenkt wat de gemiddelde abonnee betaalt, et cetera.

• Er bestaat genoeg software die content van verkeer naar port 25 op een willekeurig IP kan scannen op content zonder dat de gebruiker er wat van merkt. Maar wel de notoire spammers er uit kan halen

Ik kan je hier even niet volgen, maar het klinkt naar actieve filtering ?

• KPN kan er ook voor kiezen om een opt-in policy te hebben: alleen geregistreerde gebruikers/IPs kunnen de mailrelay omzeilen. Vanaf mijn IP is in 7 jaar 1 keer spam verzonden door een bot in het netwerk achter de server/router.

Oei schot voor open doel, en toch nofi : het is 1x te veel en het kan ook 1x de aanleiding zijn geweest waardoor HEEL planet is geblacklist. Heel planet is meer dan de mailserver van Baudje en de mailserver van Sranan, dan wel die van Pietjepuk. Heel planet hadooit meer dan 500.000 abonnees. En die hebben allemaal last van blacklist acteis die door brakke huis-tuin-en keuken settings werden veroorzaakt.
Dat is het onschaalbare aan spam en anti-spammaatregelen - je raakt hoe dan ook altijd heel veel.

• Ik wil mijn mail en mailserver zelf beheren; goedkoper, flexibeler en leuker. Een derde partij is dus geen optie. Wat betreft het switchen: dat kan helaas nog steeds maar 1 keer per jaar. Planet verlengt de contracten telkens met een jaar. En pas sinds kort zonder lange tijd offline te zijn.

Ja het is leuke om zelf aan een server te sleutelen, daar ben je tweaker voor.
En ja dat is het ook als je het via colo regelt.... en je hebt met een beetje fijne hoster nog meer mogelijkheden ook.
Dat switchen is hier niet op zijn plaats. Hosting staat toch los van je dsllijn ?

@Gambieter Klopt, Planet is duidelijk geen provider voor professionals. De vraag is dus hoe kunnen we KPN/Planet opvoeden tot ze dat wel zijn...

Volgens mij moet je daar geen energie meer instoppen, planet houdt er toch mee op ?

(erg veel typos weggehaald)

[ Voor 3% gewijzigd door Verwijderd op 06-02-2008 17:08 ]

woensdag 6 februari 2008 22:45

Acties:

Baudje

Topicstarter

Verwijderd schreef op woensdag 06 februari 2008 @ 17:05:
Ik kan je hier even niet volgen, maar het klinkt naar actieve filtering ?

Klopt.

Oei schot voor open doel, en toch nofi : het is 1x te veel en het kan ook 1x de aanleiding zijn geweest waardoor HEEL planet is geblacklist. Heel planet is meer dan de mailserver van Baudje en de mailserver van Sranan, dan wel die van Pietjepuk. Heel planet hadooit meer dan 500.000 abonnees. En die hebben allemaal last van blacklist acteis die door brakke huis-tuin-en keuken settings werden veroorzaakt.
Dat is het onschaalbare aan spam en anti-spammaatregelen - je raakt hoe dan ook altijd heel veel.

En dat is precies waarom piping niet werkt: heel Planet de lul als ik 1 keer spam verstuur. Als die spam vanaf mijn persoonlijke IP was gekomen, was mijn IP geblockt, en was ik er dus als enige, maar wel terecht, de dupe van geworden.
Dit was overigens precies wat er in dit voorbeeld aan de hand was: Ik had de bot in de tijd dat uitgaande mail niet over de mailrelay hoefde. Ik kwam erachter dat ik de bot had doordat ik op een dnsbl terecht kwam. Ik, en niet heel Planet. Vervolgens heb ik actie ondernomen zodat het niet meer voor zou komen. Bij het huidige beleid zou ik er niet eens achter zijn gekomen

Je reageert hier overigens op een voorbeeld, niet op het argument

Opt-in lijkt me nog steeds een uitstekende oplossing..

Gebruikers opvoeden doe je door ze verantwoordelijk te stellen voor hun persoonlijke gedrag, niet door de groep te straffen. Bij Planet kan je pas de vruchten plukken van je eigen goede gedrag als het hele netwerk van Planet datzelde goede gedrag vertoont. Net echt een overtuigende incentive, toch?. De problemen met onopgevoede gebruikers is het gevolg van slecht beleid bij Planet, en niet de oorzaak.

Verder ben ik het met je eens. Dit is vechten tegen de bierkaai en de oplossing is een goede provider of een colocatie regelen...

[ Voor 14% gewijzigd door Baudje op 06-02-2008 22:55 ]

donderdag 7 februari 2008 10:47

Acties:

Verwijderd

Baudje schreef op woensdag 06 februari 2008 @ 22:45:
En dat is precies waarom piping niet werkt: heel Planet de lul als ik 1 keer spam verstuur. Als die spam vanaf mijn persoonlijke IP was gekomen, was mijn IP geblockt, en was ik er dus als enige, maar wel terecht, de dupe van geworden.

Indeed, maar het vervelende is dat niet planet als enige instantie bepaalt of er slechts 1,2, of 10.000.000 ip's worden geblokkeerd. Mijn ervaring is dat blacklists nogal eens losjes omgaan met bestempelen van verdachte ranges. Zelfs al ben je dan whitelisted door je eingen provider, alles buiten het eigen platform blijft giswerk.
EN daarom begrijp ik dat het gekozen middel wordt ingezet, imho is het het minst slechte.

Verder ben ik het met je eens. Dit is vechten tegen de bierkaai en de oplossing is een goede provider of een colocatie regelen...

De switch van mail via ISP naar mail via colo is mij die paar euros per maand dubbel en dwars waard.
Meer controle, meer mogelijkheden, meer lol .... en minder stress m.b.t. betrouwbaarheid.

donderdag 7 februari 2008 23:17

Acties:

DarkHelmet

Volgens mij valt de gevraagde dienstverlening volledig buiten de scope van hun doelgroep als provider
daar heb je toch echt andere providers voor.

Wat wint een provider als planet ermee zich hiervoor te gaan inzetten? Kost een hoop energie en gedonder.
De mailrelay optie vind ik opzich een slimme van ze al wordt je er als eindgebruiker in deze tijd niet vrolijk van vanwege de vele nadelen.
Precies de reden dat ik voor een andere provider heb gekozen, waar ik ook betere ondersteuning op dit punt kan verwachten

"A study in the Washington Post says that women have better verbal skills than men. I just want to say to the authors of that study: Duh."

donderdag 7 februari 2008 23:21

Acties:

DarkHelmet

Verwijderd schreef op donderdag 07 februari 2008 @ 10:47:
[...]

Indeed, maar het vervelende is dat niet planet als enige instantie bepaalt of er slechts 1,2, of 10.000.000 ip's worden geblokkeerd. Mijn ervaring is dat blacklists nogal eens losjes omgaan met bestempelen van verdachte ranges. Zelfs al ben je dan whitelisted door je eingen provider, alles buiten het eigen platform blijft giswerk.
EN daarom begrijp ik dat het gekozen middel wordt ingezet, imho is het het minst slechte.

Yup...

Bovendien kiest elke partij zelf welke blacklists ze toepassen. Er zit genoeg dubieuze/maffiozo blaclistst tussen. En als men ervoor kiest om deze toe te passen, help je de algehele spamproblematiek niet. Dat is dan weer de schaduwzijde van spambestrijding

Conclusie is dat we met deze problemen zitten omdat teveel mensen niet weten wat ze doen en zich niet aan de voorgeschreven standaarden en regels houden (check de RFCs er maar op na), daarom zitten we nu allemaal met de gebakken peren

"A study in the Washington Post says that women have better verbal skills than men. I just want to say to the authors of that study: Duh."

Pagina: 1

Reageer