update 30.3.2008 - O2 dělá mrtvého brouka

update 11.4.2008 - vyřešeno, už to zase funguje

Díky věčně nekončícímu boji s větrnými mlýny, ehm ... nevyžádanou elektronickou poštou, jsme narazili na nový "problém". A to nemožnost poslat email s adresou odesílatele @quick.cz přes SMTP server khnetu. Popsaný problém se nemusí týkat pouze quicku (tedy O2), ale i jiných firem. Není v lidských silách zkontrolovat všechny.
... 

update 30.3.2008 

Dnes jsem komunikoval s uživatelem Marichol, který si stěžoval, že email stále přes Quick odeslat nejde, a to ani v případě, když zadá smtp.quick.cz.

Po cca hodině dopisování a jeho telefonování na O2 (Telefom), zjistil marichol následující : Dle slov technika: Pokud to funguje z webmailu, musí to fungovat odkudkoli a je to na vaší straně nebo na straně Vašho poskytovatele připojení.

Toto mě uvedlo do varu a vzal jsem telefon do ruky já. Když mi toto technik po třetí zopakoval, tak jsem vyjel. Vůbec neví o tom, že mají něco nastaveno a hlavně tomu ani nevěří (přitom to jejich nastavení dns mám zrovna před očima). Takže jsem ho tím, že jsem mu celý problém asi 6x zopakoval, donutil předat problém na technické oddělení. Prý mě budou kontaktovat.

Nejhorší na všem je, že uživatel Quick.cz neodešle mail na ty servery, co Polici Framework využívají jinak, než přes webmail. Nejcitelnější je to u Seznamu, který to samozřejmě používá.

SMTP quicku si jako majitel jejich mailu nastavit můžete, ale je Vám to k ničemu, protože přes jejich smtp email odešlou pouze ti, kteří mají quick připojení.

.... 

krátký popis antispamových řešení.

První jsou takzvané kontextové filtry. Zjednodušeně řečeno čtou všechny emaily a pokud se jim nelíbí (třeba slovo viagra se nevyskytuje snad nikde jinde, než ve spamech) tak je označkují. Ve chvíli, kdy počet značek přesáhne určitou mez, je emailu např. upraven předmět (třeba nápis ***SPAM***) a uživatel dostává možnost ho na první pohled poznat. Většinou je definována ještě jedna, vyšší hranice, kdy "je to na tuty spam" a v tom případě filtr zablokuje další zpracovávání emailu a ten tedy adresátovi nikdy nedojde. Tyto filtry se vcelku běžně vyskytují jak na serverech, tak na obyčejných počítačích. Momentálně nás tento způsob nezajímá ...

Druhý způsob jsou seznamy zakázaných IP adres, neboli blacklisty. Pokud tedy nějaký počítač začne masivně rozesílat spamy, jednou se ucho utrhne a je zařazen do těchto seznamů. Většina emailových serverů obsahuje funkci, že pokud je odesílající počítač na jednom z těchto blacklistů, email odmítne přijmout. Tento způsob nás opět momentálně nezajímá ...

Třetí způsob je tzv. zákaz Relay. Pro představu - máme nějakou firmu, která má na síti emailový server. Ten má dvě základní funkce. Vzít jakýkoliv email zevnitř firmy a odeslat ho vždy adresátovi (výše zmíněné filtry do toho mohou vstupovat ale také). Ovšem v opačném směru, tedy z internetu, může přijmout email pouze pokud je adresát uvnitř firmy. Všechny ostatní musí zahodit, nikdy ho nesmí poslat dál, tedy zpět do internetu. Takto se chová i server khnetu, nebo např. Tiscali.cz. Určitá nevýhoda je tedy zřejmá - pokud člen khnetu má emailovou schránku na tiscali, nemá možnost si normálním způsobem odeslat email (programy typu outlook či thunderbird). Prostě pro tiscali je vždy útočníkem, snažící se odeslat email odněkud někam, nikoliv do tiscali ... Jiné firmy na to jdou jinak - vyžadují přihlášení i při odesílání emailu, tedy bez znalosti hesla (a tedy i "vlastnictví" emailové schránky u té firmy) si nic nepošlete ... ale pokud znáte, pošlete odkudkoliv (používá např. seznam.cz). Řešení "problému tiscali" je poměrně jednoduché - stačí jako SMTP server nastavit server poskytovatele internetu, v našem případě tedy na síti sdružení KHnet.info (smtp.khnet.info). Je to standardní způsob, tak by to mělo být vlastně vždy. Kdyby do toho ovšem nevstupovala antispamová ochrana z následujícího odstavce ...

No, a tohle nás momentálně zajímá. Poslední v tomto článku zmíněná ochrana se jmenuje Sender Policy Framework. Pěkný úvodník do této technologie vyšel např na Lupě. Znamená to, že vlastník domény (v tomto případě quick.cz) si pomocí jednoduchých pravidel určí, které servery jsou oprávněny odesílat emaily s odesílatelem @quick.cz. Vychází se z toho, že pouze vlastník může vytvářet záznamy v DNS. Těch pravidel lze vytvářet poměrně hodně a jedno z nich také určuje, co se má dělat, pokud mail pravidlům nevyhovuje. Khnet používá tzv. "softfail", což by mělo znamenat "poštu přijmi, ale moc jí nevěř", seznam.cz používá podobnou "neutral" (přijmi a kašli na to). Quick ovšem používá příznak Fail, tedy žádný server který podporuje tuto technologii nesmí přijmout email s odesílatelem @quick.cz z jiného serveru, než jaký je vyjmenovaný v tom záznamu v DNS. Ve výsledku tedy přes server khnetu nelze poslat nic s odesílatelem @quick.cz.

Jak jsem již zmínil, není v lidských silách zkontrolovat všechny poskytovatele emailu a tedy říci, kteří budou takto postiženi. A už vůbec se nedá říct, kdo všechno tuto technologii podporuje ... Tedy pozor musíte dávat vy. Pokud se vám vrátí chybový email s hlášením podobným tomuto: 550_Sender_Policy_Framework_of_`quick.cz'_domain_denied_your_IP_address, je to zmíněný problém a tedy si musíte nastavit emailového klienta (outlook, thunderbird) tak, aby nepoužíval SMTP server khnetu. Jaký tam musíte napsat (a jak případně nastavit přihlašování) si musíte zjistit u vašeho poskytovatele, je to opět věc, kterou nemůžeme znát. Nebo používejte pouze webové rozhranní emailu.

Pokud jste se někdo již s tímto problémem setkal, napište to do komentářů, zkusíme udržovat nějaký seznam, abychom to pro příště již věděli ... 

Namátkou jsem projel emaily u nás na khnetu v systému a vypadá to, že tuto variantu ochrany v nejtvrdším provedení používá pouze quick.cz - s podivem ale o2active.cz ani iol.cz nepoužívají naprosto žádnou. Přitom je to jedna a ta samá firma ...

Dále jsem nalezl cpoj.cz, tlen.pl, tpca-cz.com a csob.cz které mají SPF zapnuto natvrdo stejně jako quick. To ale asi nevadí, neboť se jedná o firemní (tedy vlastně v tomto případě privátní) domény.

Pokud si chcete ověřit svého pošťáka, stačí ve windows zadat do příkazového řádku příkaz "nslookup -type=TXT domena.xy" (místo toho doména.xy se píše to, co máte v meilu za zavináčem). Funguje to i pod linuxem ... Pro quick.cz je výsledek "v=spf1 ip4:194.228.0.0/16 -all" (zkráceno). Výše popsané chování způsobuje poslední slůvko ALL, resp. znak hned předtím. Je-li tam mínus, je to tvrdé nastavení, tedy nemožnost odesílat emaily odkudkoliv.