Mag je internetprovider poort 25 blokkeren van de netneutraliteitswet?

Port 25 is geblokkeerd en ik wil niet mailen over de ziggo mailservers, zo begon een discussie op het Ziggo communityforum. De topicstarter wil graag via zijn Ziggo-account het internet op om daar mails aan te bieden aan een externe internetprovider, maar dat lukt niet tenzij hij de mails aan een Ziggo-mailserver aanbiedt, die het dan filtert en doorgeeft. (Voor de techneuten: outbound port 25 is geblokkeerd.) Volgens de helpdesk is dit vanwege spamproblemen die je anders krijgt. Dus dan wordt de vraag, hoe ver mag een internetprovider daarin gaan?

In 2011 trad de wet netneutraliteit in werking, waarin strenge regels stonden die in principe internetproviders verboden om uitgaand internetverkeer zomaar te blokkeren. Echter, in 2015 trad de Europese netneutraliteitsverordening in werking, met een iets andere tekst:

Aanbieders van internettoegangsdiensten treffen geen verkeersbeheersmaatregelen die verder gaan dan de in de tweede alinea bedoelde maatregelen, en gaan met name niet over tot het blokkeren, vertragen, wijzigen, beperken of degraderen van, interfereren met of discrimineren tussen specifieke inhoud, toepassingen of diensten, of specifieke categorieën daarvan, behalve indien — en slechts zolang — dit nodig is om: …
b) de integriteit en de veiligheid van het netwerk, van de diensten die via dit netwerk worden aangeboden en van de eindapparatuur van de eindgebruikers te beschermen;

In die tweede alinea staan aangegeven dat als providers maatregelen opleggen, hiervoor geldt dat deze

transparant, niet-discriminerend en evenredig [moeten] zijn, en mogen zij niet berusten op commerciële overwegingen, maar op objectief verschillende technische kwaliteitsvereisten van specifieke categorieën verkeer berusten.

Samen lezend mag een provider dus maatregelen nemen vanuit het oogpunt van integriteits- en veiligheidsborging van het netwerk wanneer deze:

  1. Specifiek gericht zijn op integriteit en veiligheid
  2. Transparant zijn – het moet dus duidelijk zijn wat er gebeurt en waarom
  3. Niet-discriminerend zijn – alle klanten moeten gelijk behandeld worden in gelijke situaties, dus niet de een een waarschuwing en de ander meteen afgesloten
  4. Evenredig zijn – niet verder gaan dan nodig voor het doel, dus liever de mail tegengehouden dan de gehele internettoegang verbroken
  5. Gebaseerd zijn op objectieve kwaliteitseisen – een duidelijke manier om te zeggen of een mail spam is of niet.

Het blokkeren van uitgaande mails vanaf consumentencomputers naar mailservers van derden is al vele jaren gemeengoed in de strijd tegen spam. Het komt nogal eens voor dat computers van mensen worden gekaapt om vanaf hun computer spam te versturen via mailservers van derden. Die gaan daar dan over klagen bij antispamdiensten, en die blokkeren dan de IP-adressen van de betreffende internetproviders. Dus heel kort door de bocht, als Ziggo dit soort maatregelen niet neemt dan kan geen enkele klant straks nog mail naar andere internetproviders of maildienstverleners krijgen vanwege alle spamzwartelijsten waar Ziggo dan op komt.

Een duidelijke behoefte vanuit het beschermen van netwerk en dienstverlening zie ik dus wel. De transparantie had wat beter gekund, dit issue speelt al langer en het blijft moeilijk duidelijke informatie hierover te vinden bij Ziggo. De objectiviteit en niet-discriminerendheid lijkt me ook wel in orde, dit is een automatische blokkade die niet op de persoon speelt.

Voor mij hangt het dan op de kwestie van evenredigheid. Is het echt nodig om zo ver te gaan dat je preventief de smpt-poort blokkeert? Is er geen alternatief, bijvoorbeeld pas blokkeren bij grote aantallen of ongebruikelijke soorten mails? Technisch vast wel, maar dat vereist extra inspanningen om te bouwen en de vraag is of dat het waard is.

Daar komt dan bij dat Ziggo wél toestaat dat je via andere poorten mail verstuurt via diensten van derden, met name via beveiligde poort 465 (wat nu 587 moet zijn). Dus er lijkt een reëel alternatief te zijn. En dan denk ik dat het alles bij elkaar wel mag. Er is een duidelijke objectieve reden, er is een reëel alternatief voor de gebruiker en voor Ziggo zou het veel werk zijn om het probleem anders op te lossen. Dat past binnen de strekking van deze uitzondering op netneutraliteit.

Arnoud

47 reacties

  1. Het blokkeren van uitgaande mails vanaf consumentencomputers naar mailservers van derden is al vele jaren gemeengoed

    Ik vind dat eerlijk gezegd geen argument. Iets mag dan gemeengoed zijn maar als de wetgeving wijzigt en die praktijk in de basis verbiedt dan kan je niet wegkomen met roepen ‘we doen het al jaren’..

    1. Iets mag dan gemeengoed zijn maar als de wetgeving wijzigt en die praktijk in de basis verbiedt dan kan je niet wegkomen met roepen ‘we doen het al jaren’..

      Op zo’n moment moet je dus nagaan of de activiteit onder de nieuwe wet verantwoord kan worden. (Dank Arnoud.)

  2. Het uitgaand blokkeren van poort 25 is een simpel bewijs van onvermogen voor je abuse afdeling en een drogreden. Als er vanaf jouw netwerk spam wordt verspreidt, moet je dat probleem oplossen, niet verbloemen. Door poort 25 te blokkeren maak je het mensen onmogelijk om zelf een mailserver te hosten (en die goed en veilig in te stellen), maar doe je effectief niets aan het voorkomen van spam. Die kan immers ook op een andere manier verspreidt worden.

    Daarnaast, mocht er een computer spam verspreiden via poort 25 en je blokkeert dit, is het gevolg misschien opgelost, maar de oorzaak niet. Als provider ben je verantwoordelijk voor je netwerk, en wil je gewoon voorkomen dat er spam of andere rotzooi vanuit en binnen je netwerk wordt verspreidt. In plaats van de oorzaak aan te pakken en contact met de klant op te nemen dat er iets serieus mis is op zijn computer (onderdeel van een botnet, verkeerd geconfigureerde mailserver, of een andere reden), blokkeren ze het verkeer simpelweg.

    Alsof een klein kind niet wil horen wat zijn vader of moeder tegen hem/haar zegt, stoppen ze hun vingers in de oren en roepen heel hard “LALALALALALALALALALALALALALALALA, IK HOOR JE NIET, ER ZIJN GEEN PROBLEMEN”

    1. Groot nadeel van jouw voorstel om het probleem bij de klant op te lossen als er iets mis is met zijn computer, is natuurlijk dat de spam dan al verstuurd is en het internet hier dus veel overlast van heeft gehad. Pas optreden nadat het kwaad geschied is, is zeker bij een netwerk met miljoenen klanten, echt onverantwoord. Je moet actief proberen het internet te beschermen tegen rommel die jouw clients mogelijk versturen.

      Alleen maar reactief iemands computer bekijken nadat hij al heeft geparticipeerd in een DDoS is echt veel te laat: de andere partij heeft al het DDoS-verkeer al over zich heen gehad.

      1. Ik heb on mijn 20+ jaar ervaring in de ICT ondertussen aardig wat ervaring opgedaan met verschillende ISP’s, zowel particulier als zakelijk. Wat mij hierbij opvalt, is dat de providers die hun werk serieus nemen en een iets hogere prijs rekenen, hun abuse afdeling stukken beter voor elkaar hebben en dit soort draconische ‘oplossingen’ gewoon simpelweg niet nodig hebben. Als voorbeeld XS4All, zij bieden de particuliere gebruiker 3 keuzes: 1) Maximale bescherming vanuit het XS4All netwerk, alleen de meest basale poorten staan open voor de klant. 2) Enige bescherming vanuit het XS4All netwerk, waarbij de bekendere poorten waarover misbruik gemaakt kan worden worden afgesloten en 3) Geen bescherming, de klant is volledig verantwoordelijk voor wat er over het netwerk gaat, Daar stellen zij als bedrijf dan tegenover dat ze (zeker bij de klanten die optie 3 gebruiken) het netwerk actief monitoren op verdacht verkeer. Dat gaat natuurlijk geautomatiseerd via een Intrusion Detection/Prevention systeem. Zodra er verdacht verkeer wordt gedetecteerd, wordt de klant direct qua bescherming op optie 1 geplaatst, gaat er een e-mail en een brief naar de klant, waarin uitgelegd wordt wat zij hebben gedaan, waarom en welke stappen de klant moet ondernemen om A) Het misbruik/verdachte verkeer te stoppen en dit te bewijzen, gevolgd door B) De bescherming weer terug laten zetten naar de door de klant gewenste beveiliging.

        Het is niet óf blokkeren, óf toestaan, het gaat om de bescherming van het netwerk, bij blokkeringen zul je altijd minder inzicht in de veiligheid van je netwerk krijgen als bij toestaan en actief monitoren.

        Ter verduidelijking: Monitoren is iets anders als data verzamelen en opslaan. Monitoren is zien welk verkeer door je switches gaat en bij verdacht verkeer (vreemde poorten, dubieuze doel IP adressen, ineens verdacht veel verkeer) een melding geven, zodat een mens de juiste actie kan ondernemen.

        1. Maar dat achteraf blokkeren via een intrusion detection/prevention algorithm vind ik juist weer schadelijker! Dan kom je in het “Computer says no!” gebied terecht. Daarbij kunnen er ‘false positives’ optreden waardoor iemand onterecht wordt geblokkeerd en zeker als iemand thuis werkt en dus een koppeling moet hebben met de werk-servers zal een dergelijke blokkade veel problemen en mogelijk schade kunnen opleveren. (Gemiste deadline of zelfs gemiste opdrachten voor ZZP’ers.)

          De gemiddelde consument is dom en een complete leek op ICT gebied. Ik ben zelf een ervaren ICT’er maar heb genoeg familieleden die het verschil tussen webmail en facebook berichten niet eens weten. Of tussen Twitter en WhatsApp. Die de virusscanner even uitschakelen omdat ze anders een gedownload spelletje niet kunnen spelen. Die klikken op attachments in hun mailbox. En die mij vragen hoe ze een bitcoin kunnen overmaken om een boete van het CJIB te kunnen betalen… Kortom, de gemiddelde consument is dom. En daar hebben wij ervaren ICT’ers dus veel last van. Systemen moeten immers beschermd worden tegen de zwakste schakel.

          Dus monitoren vind ik op zich prima en daarnaast zal de gemiddelde consument geen gebruik maken van poort 25. Wel van 465 en 587 omdat dit door o.a. GMail wordt gebruikt. Maar poort 25 is in de afgelopen jaren zo enorm populair geworden om te misbruiken omdat het een onbeveiligde verbinding is en dus vrij gemakkelijk te kapen is door hackers. Dus dicht met die zooi! Want geen enkele mail-provider zou nog poort 25 moeten ondersteunen! De risico’s zijn te groot…

          1. @Wim, lees ook de laatste alinea eventjes, en dan vooral de laatste 7-8 woorden. En deze mensen zijn absoluut geen 1e lijns servicedeskers die je voor €20 per uur inhuurt bij peak-IT ofzo, maar gewoon skilled mensen met een gedegen training, een fatsoenlijke opleiding en de nodige werkervaring.

            1. Providers zoals Ziggo hebben te maken met enorm veel ICT-leken en af en toe een expert. En regelmatig leken die zich voordoen als expert. En daar ligt nu eenmaal het probleem. Teveel klanten die de helpdesk bellen en denken het beter te weten omdat ze op TV hebben gezien hoe het moet of ergens wat technische termen hebben gelezen en nu denken dat ze alles weten.

              Het probleem is gewoon dat die mensen uiteindelijk malware op hun systeem krijgen en die malware vervolgens een paar honderd mailservers benadert om spam te versturen over poort 25. Daar is dan wel een account voor nodig maar omdat poort 25 niet beveiligd is hebben ze die vast ergens kunnen opvangen. De enige gemene deler van al die spam is dan het IP adres van de besmette klant.

              Helaas kunnen providers zoals Ziggo niet alle uitgaande emailtjes uitlezen en beoordelen of het spam is of niet. Ze zouden kunnen bijhouden welke mailservers poort 25 open hebben en toegang tot die servers blokkeren maar het gaat hier om duizenden onbeveiligde servers. En dan is poort 25 geheel blokkeren gewoon eenvoudiger.

              Zolang er nog veel onbeveiligde mailservers zijn blijft spam nu eenmaal een groot risico.

              1. Providers hoeven (en mogen) helemaal niet alle uitgaande emailtjes uitlezen en beoordelen wat dit is. Als er ineens een spamrun is (ofwel: een besmet systeem verstuurd in enkele minuten honderden e-mails) zou het IDS van de provider hiervoor dus een alarm moeten genereren en moet de provider gepaste actie ondernemen. Voorbeeld: Klant Q is besmet en is onderdeel geworden van een spambotnet en begint dus uit het niets vele e-mails te versturen. IDS ziet dit afwijkende gedrag en genereerd een alarm, waarna een medewerker van de abuse afdeling gaat kijken wat het alarm is en of ze hier iets aan moeten doen. Medewerker slingert zijn software aan en zet een filter op al het verkeer van het IP adres van deze klant. Laat dit 5 minuten lopen en ziet vervolgens wat er aan de hand is (geen zakelijke nieuwsbrief naar gerichte klanten, maar een spamrun, waarbij het from adres iedere keer wijzigt). Medewerker kiest er dan dus voor om de spamrun te stoppen door de verbinding van de klant te firewallen, laat het systeem een geautomatiseerde mail en brief sturen, zorgt er voor dat er op de servicepagina van de klant ook een waarschuwing komt te staan én dat de helpdesk ook weet wat er aan de hand is. Allemaal met 1 druk op de knop en allemaal met relatief eenvoudige systemen te realiseren.

                Als laatste moet de abuse@provider mailbox via wat scripts controleren voor welke IP adressen klachten binnen komen en als een IP adres op de lijst staat van recentelijk verbindingen die via de firewall geblokkeerd zijn er direct een e-mail achter aan sturen: Beste melder, wij hadden reeds gemerkt dat er spam vanuit dit IP adres werd verstuurd en hebben direct gepaste actie ondernomen (in NL en EN). Daarmee laat je meteen international zien dat je hier serieus werk van maakt.

                1. Maar hoe detecteer je een spamrun vergeleken met normaal email verkeer? Ja, als er opeens honderden emailtjes tegelijkertijd worden verstuurd maar ook een normale mailing list doet dat. Waar trek je dan de grens met je algoritmes? Wel 50 emails per minuut maar geen 51 of meer? Geen emails met het woord “viagra” of andere “verboden” woorden? Het probleem blijft: “De computer zegt Nee!” en dat is niet genoeg. Daar heeft Arnoud in het verleden al over geblogt.

                  ‘Natuurlijk hoeven er ook niet meteen duizenden emails tegelijkertijd worden verzonden. Gewoon eentje per half uur met 500 ontvangers in de BCC is al genoeg. Dat valt veel minder op. En dit is communicatie tussen de klant en een externe email provider dus de provider breekt met netneutraliteit als ze dit gaan afluisteren. (En waarschijnlijk ook de AVG en andere zaken.)

                  Ten slotte moet je bij spam-meldingen altijd eerst even checken voordat je een blokkade uitvoert. Er zijn genoeg mensen die legitieme emails als spam aanmerken en als provider kun je dus niet automatisch een blokkade doen. Je moet iemand dit uit laten zoeken. Ook hier “Computer says No!” niet toelaten.

                  Uiteindelijk gaat het erom wat de wet toelaat aan maatregelen en niet om wat er technisch mogelijk is.

                  1. Ten slotte moet je bij spam-meldingen altijd eerst even checken voordat je een blokkade uitvoert. Er zijn genoeg mensen die legitieme emails als spam aanmerken en als provider kun je dus niet automatisch een blokkade doen. Je moet iemand dit uit laten zoeken. Ook hier “Computer says No!” niet toelaten

                    De computer zegt geen Nee, de computer zegt: “Hey intelligent mens, hier kan iets aan de hand zijn, kun je dat analyseren?” Dat heb ik hierboven al een paar keer gemeld, maar iedere keer blijf je dat aspect negeren. Het IDS detecteerd en alarmeerd, de abuse afdeling analyseerd. Zo heel moeilijk is dat niet. En als jij een mail in BCC verstuurd, wil niet zeggen dat dit niet gezien wordt in het netwerk verkeer (dat moet je toch begrijpen als ervaren ICT-er (jouw woorden)). Goede mailinglist software zal nooit 500 adressen in BCC gebruiken. Dat is iets dat mensen of ongewenste programma’s doen.

                      1. De wettelijke definitie is ook nog niet zo duidelijk zoals je in het wiki stuk kan lezen. Zelfs als je dit https://wetten.overheid.nl/BWBR0033061/2008-03-12 leest kan je de belastingdienst nog steeds aanmerken als spammer.

                        Maar we hebben het hier over een overheid die het woordenboek uitgevonden heeft en zo zijn eigen regels maakt. Een leuk die ik dan altijd aanhaal is je doet een aanvraag voor een garage, mag niet. Vervolgens noem je die garage keuken en hé nu mag het wel. Talloze voorbeelden hiervan. Letterlijk meegemaakt, een zeer explicite regel in een wetboek, werd mij door een ambtenaar uitgelegd als het exact tegenovergestelde. Iedereen die erbij was flabbergasted, zelfs zijn collegae. Uiteindelijk dus gewoon macht, maar dat mag je niet zeggen, je moet aardig blijven tegen ambtenaren.

                      2. Vanuit wie zijn interpretatie? Ik vind het zeker promotionele doeleinden. Voor het leger, voor zichzelf, voor alles wat ze daar in Den Haag graag geld aan uitgeven. En wat te denken van al die spotjes op tv, en in het verleden postbus 51

                  2. Er zijn genoeg mensen die legitieme emails als spam aanmerken

                    In al die jaren dat ik Spamassassin gebruik, heb ik dat zeer zeer zelden zien voorkomen. En dan gaat het altijd om op zich legitieme mails, waar toch technisch wel iets mee is. Nou ja, Spamassassin meldt netjes wat de redenen voor de score waren. In tegenstelling tot een ding bij Microsoft dat ik laatst zag. Kilometers nummers, codes en hashes, maar geen touw aan vast te knopen.

          2. De gemiddelde consument is dom en een complete leek op ICT gebied.

            Die kunnen we voor deze discussie toch buiten beschouwing laten. Als die Sendmail moeten gaan beheren kan je daar een comedy serie over maken. Die blijven gewoon lekker in optie 1.

            Als bij optie 3. false positives optreden dan heb je te maken met twee partijen met verstand van zaken. Dan kijken er mensen naar en zegt de computer volgende keer Yes!

            Ik heb zelf een aantal jaren terug ADSL via xs4all gehad wat opeens stopte met werken. Uiteindelijk heb ik het terug kunnen voeren op een defecte/verkeerd geconfigureerde DSLAM. Ik denk niet dat ik bij een andere provider doorverbonden was met de afdeling en persoon die verantwoordelijk is voor de DSLAMs. Kreeg een dag later een vriendelijk bedankje, de DSLAM was inderdaad het probleem. Dat is wat je (toen iig) kreeg voor de wat hogere prijs.

  3. Grote onzin dat een provider geblokkeerd word. Het IP adres van de spammer word geblokkeerd. (vooral een paar engelse blacklist boeren zijn erg strikt vooral wat dynamische ip adressen betreft) En IDD als dat doorgaat word een hele range IP adressen geblokkeerd, want alle ranges van providers zijn bekend, allemaal en dan hebben ze bij Ziggo IDD een probleem. Maar zoals ik het dan zie, dan zijn ze nalatig geweest. Ik begrijp dus dat je dan bij Ziggo geen bedrijfs account kan openen want kan mijn niet voorstellen dat een bedrijf zijn zaken af laat hangen van de Ziggo ip-adressen. Als dat zo is dan vallen ze voor mij compleet af, op meerdere fronten. BV een security breach die je zelf niet in de hand hebt. want het is een Ziggo mail ip adres.

    1. Het IP adres van de spammer is dus het adres van de consument! Niet het adres van de mailserver. Tenzij de mailserver vaker spam aan het versturen is want dan wordt ook de server geblacklist.

      En nu heeft Ziggo in principe wel dynamische IP adressen maar ik heb nu al ruim 12 jaar hetzelfde IP adres. Dus zo dynamisch zijn ze ook niet.

      Maar het probleem is gewoon dat hackers malware installeren op het systeem van de consument en vervolgens een lijst van mailservers aanleveren die met een onbeveiligde poort 25 werken. En dan gaat de malware via al die mail servers spam verzenden. Dus er is dan niet 1 mailserver in gebruik maar mogelijk honderden of zelfs duizenden. En dan is de gemene deler in al die spamberichten dus alleen het IP adres van de consument, bij Ziggo…

      Door poort 25 dicht te gooien kan de malware dus niet meer die duizenden mail servers misbruiken voor spam omdat de poort ernaar toe dicht is. En die servers zelf? Die staan misschien in China. Of Rusland. Of Kazakhstan. Of elders, ver weg van Europa. Soms slecht beveiligd omdat men niet beter weet. Soms slecht beveiligd omdat men geen betere beveiligings-systemen kan of mag toepassen. Maar hoe dan ook, het enorme aantal mail servers met een open poort 25 is nog steeds erg groot… En de accounts voor die mail servers is daardoor vrij eenvoudig te hacken…

      1. Wat ik dus al zei, alleen het IP van de Spammer één Ip adres en niet de hele range van Ziggo. Ze willen bij Ziggo gewoon geen slimme mensen aan de telefoon krijgen die ze gaan vertellen hoe het wel moet. Pure gemakzucht. Maar staat nog steeds open hoe moet dat met zakelijke accounts, want die willen wel een eigen mailserver en dus ook een hun eigen smtp/pop/pop3 /imap ~ adressen. Je wil dan niet afhankelijk zijn van Ziggo. En dat er veel mailservers een openrelay hebben durf ik te betwijfelen, want sinds jaar en dat staat relayen standaard uit, dat moet je dus bewust aangezet hebben. Ik weet zo’n server pakket niet meer te vinden. Bij MS staat dat al uit sinds exchange sinds versie 5, of beter sinds ze de usenet ondersteuning eruit gehaald hebben.

        1. Dat ene IP adres wordt door de honderdduizenden Ziggo klanten al snel een duizendtal adressen en zoveel zijn er niet nodig om de gehele IP range geblokkeerd te krijgen. Daarnaast zitten er genoeg domme klanten tussen die denken dat ze slim zijn. En daar zit het grootste probleem omdat de helpdesk-medewerker niet kan beoordelen of ze met een echte expert te maken hebben of met iemand die teveel TV heeft gekeken.

          Een beetje bedrijf dat nog email gebruikt via poort 25 dient gewoon zo snel mogelijk failliet te gaan. Dat is gewoon niet meer van deze tijd! Komt misschien nog voor in India of China waar men veel te snel systemen opzet zonder gedegen kennis maar tegenwoordig wordt onbeveiligde communicatie tussen gebruikers en server als erg slecht beschouwd. Zelfs websites die niet van SSL gebruik maken beginnen al geblokkeerd te worden in zoekengines en mogelijk binnenkort ook in browsers zelf. (Ik krijg nu al een waarschuwing in Chrome!) Beveiligde verbindingen worden zo langzamerhand de standaard.

          Dus als je een zakelijke account wilt met POP email over poort 25 dan ben je enorm onverstandig bezig. En gezien de hedendaagse wetgeving zijn bedrijven in Nederland misschien wel gedwongen om van poort 25 af te stappen.

          1. Geen idee waarom jij zegt dat poort 25 onveilig is, BTW er zin ook nog diensen van o.a. google. Microsoft . Oracle enz. die poort 25 gebruiken, niets onveilig aan net als al die ander 63.998 poorten. Ligt er maar aan hoe je het gebruikt. Zelfde discussie als wat is een wapen. Als je een schroevendraaier gebruikt om iemand neer te steken, word dat als wapen gezien.

            BTW waarschuwingen vanuit de chrome browser is eigenbelang van Google. en certificaten namaken is al zo simple. Fake veiligheid, internet is anarchie, bewijs mij maar het tegendeel. Gezond verstand is beter, veel beter.

            1. Als ik bij Google kijk dan is er geen mogelijkheid om via poort 25 emails te versturen. Dat moet over de beveiligde poort.

              En ja, je kunt een certificaat namaken maar dat is niet genoeg. Je nep-certificaat wordt namelijk afgekeurd bij gebruik omdat hij niet is ondertekend door een vertrouwde partij. Je hebt daar sowieso niets aan omdat het certificaat van de mailserver komt. Of van de webserver bij websites.

              Ook interessant leesvoer is deze site die vraagt om een oplossing voor het probleem! Er zijn zelfs providers die poort 80 (incoming) en andere poorten blokkeren, wat wel erg vervelend is.

              1. De huidige concensus is dat poort 25 open staat voor het ontvangen van de email bestemd voor het domein ven de server. De mailserver van een Nederlandse provider zal de mailtjes voor een @gmail.com adres doorsturen naar poort 25 van een Google server.

                Ja, jij kunt (als je het SMTP protocol spreekt) ook via poort 25 berichten voor gmail.com bij Google aanbieden.

              2. Als ik het allemaal goed begrijp (erg veel zitten lezen/studeren/experimenteren de laatste tijd), is poort 587 niet vanzelf beveiligd, maar KAN er TLS op toegepast worden. Maar dat hoeft niet. Dan eigenlijk net zo veilig of onveilig als poort 25.

                Poort 465 ligt weer anders. Eigenlijk verouderd, of volgens sommigen juist niet.

      2. Deze nog even ” Maar hoe dan ook, het enorme aantal mail servers met een open poort 25 is nog steeds erg groot… En de accounts voor die mail servers is daardoor vrij eenvoudig te hacken…”

        niet een enorm aantal, maar noem er eens één met een open poort die dan zoals jij beweert, onveilig is, één.

        Zelf weet ik er wel één maar die is veilig:-) want b.v. geen relaying.

    1. Dit vind ik wel weer een leuke opmerking, GDPR gaat (volgens mij) over opslag en verwerking van persoonsgegevens. De mailservers ontvangen de e-mails en kunnen hier 3 dingen mee doen: 1) Mail doorsturen naar de mailserver van de ontvangende partij. Zodra deze mailserver meldt dat de mail volledig is ontvangen, zal deze vanaf de verzendende mailserver worden verwijderd. Dit zou dan heel strikt gezien een verwerkingsovereenkomst vereisen, maar dan zou iedere mailserver in Europa met iedere andere mailserver in Europa een verwerkingsovereenkomst moeten afspreken, iets dat niet realistisch is. 2) De mail opslaan, omdat de ontvanger gebruiker is van de mailserver. Afhankelijk van wat voor protocol de gebruiker heeft, wordt de mail verwijderd zodra deze is opgehaald (POP3) of blijft deze opgeslagen op de mailserver (IMAP/Exchange). In het laatste geval komt de GDPR inderdaad wel weer om de hoek kijken, puur tussen de eindgebruiker en de mailserver. 3) De mail wordt geweigerd (ontvanger niet bekend op de ontvangende mailserver, of verzendende partij mag deze mailserver niet gebruiken). Hierbij komt de GDPR volgens mij niet kijken.

      Dat gezegd hebbende, SMTP is als protocol opgezet zonder enige gedachte over veiligheid. Hetzelfde met IMAP, POP3, FTP, DNS en vele andere standaard protocollen die het internet groot hebben gemaakt. In de begintijden van het internet stond security niet hoog op het lijstje, want de meeste gebruikers waren niet geinteresseerd in misbruik. Gelukkig zijn de meeste grote mail providers (Google, Outlook.com/Office365, Yahoo) enzovoorts al gebruik gaan maken van SMTP over TLS, wat dan weer wel encrypted is.

    2. Port 25 ondersteund ook gewoon TLS, mijn postfix upgrade de verbinding gewoon naar TLS als de verändernde mailserver daar om vraagt. En ik kan weer in mijn postfix instellen dat we alleen via TLS geupgrade verbindingen versturen (‘ require’ ) of dat we het minstens proberen (‘ prefer ‘). Dat port 25 niet standaard encrypted is inderdaad jammer, er is alleen de komende tijd gewoon niets tegen te doen.

      Port 25 dichtzetten is ook geen ramp als ISP, mits inderdaad transparant. In principe is de enige legitieme reden om op port 25 naar buiten te praten als je zelf mail direct wilt afleveren bij de ontvangende mailserver (ergo: als je zelf een mailserver draait). ISP’s die klanten alleen op port 25 laten connecten zijn imho incapabel, je kan immers verwachten dat 25 soms dicht (vaak!) zit en RFC technisch is port 587 bedoeld voor mailsubmision. Mijn server accepteerd in ieder geval geen authenticatie op port 25, en relay is alleen toegestaan na authenticatie (je kan dus op 25 niets afleveren wat niet mijn server als eindbestemming heeft.). Je raakt dus alleen de klanten die zelf een server willen draaien, en dan is Ziggo (geen vast IP, niet instelbare reverse DNS) al niet ideaal. Wil je het toch via Ziggo doen dan kan je in ieder geval nog een subnetje afnemen via een goedkope dienst, dan heb je wel een vast IP en ga je ongefilterd het net op.

  4. Opinie: Ik denk dat ISP’s poort 25 dichtzetten om zo bijna alle mail af te kunnen vangen terwijl ze verplicht zijn om mail te bewaren volgens de wet. Ergens zit er volgens mij een vinger van de overheid tussen. Anders zouden ze dat och niet doen lijkt mij.

    Afweging dus tussen poort 25 dicht en alle mailverkeer (verplicht) archiveren of vrijgeven. Ik zie het meer als roomser als de paus

      1. En wat denk je dat mail-logs zijn? Ik ben ook Exchange mailserver beheerder. Daar word al zonder dat je de wettelijke zaken aanvinkt bijna 5 x zoveel bewaard dan het mailtje groot is. MS heeft alles ingebouwd om heel erg te voldoen aan de overheid. En uiteraard dan ook voor hunzelf. MS noemt het bewaren van mail ook logfiles.

        1. Sorry, ik dacht dat je bedoelde dat mail bodies bewaard moesten worden onder de bewaarplicht. Maar voor de duidelijkheid, er is voor email providers géén plicht tot loggen van welke aard dan ook, nooit geweest ook. De wet bewaarplicht zei alleen, bewaar wát je logt. Log je niets, dan bewaar je niets.

          1. Wettelijk gezien heb je gelijk maar de praktijk is uiteraard weer eens anders. Mede een reden dat ik wetgeving en het bijbehorend apparaat geen warm hart toedraag (heel groot understatement) .

            Want: ‘Zodra ambtenaren zeggenschap krijgen over handelsverkeer, dan is het voornaamste product dat wordt gekocht en verkocht …de ambtenarij zelf’

        2. Daar word al zonder dat je de wettelijke zaken aanvinkt bijna 5 x zoveel bewaard dan het mailtje groot is.

          Dat is altijd zo bij Microsoftopslag. Bij databases ook. 450 bytes TMX wordt standaard 240 KILObyte database.

          Dat moet zo, denken zij, vanwege de Amerikaanse BIBMIB-filosofie: Big is beautiful, more is better.

  5. Fijne blog om te lezen, maar ik zie een stuk minder ruimte voor wat Ziggo en de meeste andere ISP’s doen. Eerst de feiten: poort 25 (TCP) is geblokkeerd om spam te voorkomen en poorten 135/139 en 445 worden geblokkeerd voor de bescherming van consumenten. Deze maatregel mag niet-discriminerend zijn. Daarbij klopt de opmerking dat deze maatregel niet op persoon speelt niet. Bij de duurdere zakelijke abonnementen is het bij Ziggo namelijk wel mogelijk om een abonnement zonder blokkades te nemen. Bovendien is het discriminatieverbod niet beperkt tot discriminatie tussen personen. Overweging 11 vermeld specifiek dat “specifieke categorieën inhoud, toepassingen of diensten blokkeren” niet toegestaan is. De blokkades zijn wat mij betreft een duidelijk voorbeeld van het blokkeren van specifieke toepassingen. Behalve Ziggo zelf met zakelijke abonnementen zijn we ook andere voorbeelden van providers die hier minder strict mee omgaan en toch een redelijk schoon netwerk hebben. XS4ALL bied voor zover ik weet ook voor consumenten een self-service opt-out voor de blokkades. Voor de meeste consumenten heb je daarmee een bescherming, maar voor de klanten die dat niet willen heb je een vrij internet. Dat is overduidelijk een minder beperkende oplossing voor klanten, maar het zal ongetwijfeld uiteindelijk neer komen op een financiële overweging. En ook daar wordt het wat mij betreft grijs. Blokkades op basis commerciële overwegingen zijn expliciet niet toegestaan. Dat zal hier mogelijk niet zo bedoeld zijn, maar kiezen voor een algehele blokkade in plaats van een meer genuanceerde benadering wordt toch op zijn minst ongemakkelijk in deze context. Ook zet ik mijn vraagtekens bij de objectief verschillende technische kwaliteitsvereisten. Dat klinkt voor mij alsof het een stuk beter onderbouwd moet worden dan generieke stellingen over het versturen van spam. De teksten in de overwegingen en in de verordening zelf lijken meerdere malen te benadrukken dat blokkades zo specifiek mogelijk moeten zijn in implementatie en tijdsduur.

    Hoewel ik de praktische overwegingen snap ben ik er van overtuigd dat deze blokkades niet mogen.

  6. Update: Mijn access provider Tele2 blokkeert ook uitgaand poort 25 (al jaren, maar ik was het vergeten), ik stuur e-mail van Eudora onder Windows daarom via poort 587 naar mijn sendmail op FreeBSD, die het doorrelayeert (alleen voor adressen waarvoor ik dat toesta, uiteraard). Op die FreeBSD VPS staan poorten 25 en 587 wel allebei open, ingaand en uitgaand, en het meeste e-mail komt binnen op 25, wat denk ik voor een mailserver ook normaal is.

    Recent: Het blijkt heel makkelijk om via ssh (bijv. van CygWin/OpenSSH, dan wel Putty/plink, enz.) poorten als 25 en 110 (ophalen mail van server) te tunnelen via poort 22. Een eventuele firewall van je provider ziet dat verkeer niet en kan het dus ook niet tegenhouden. En het is netjes vercijferd, dat is goed voor de AVG.

    Docu: https://the.earth.li/~sgtatham/putty/0.70/htmldoc/Chapter3.html#using-port-forwarding In het voorbeeld wordt een lokale Windows-poort 3110 omgeleid naar 110 (of 25/587) van de mailserver. Dat kan, maar dan moet je wel 3110 kunnen instellen in je e-mailprogramma (in combinatie met localhost). Ik gebruik Eudora en daarin gaat dat niet: poorten 25, 587 en 110 zitten vast ingebakken. Maar geen nood: ook kan -L 25:localhost:25 -L110:localhost:110 e.d. (Zelfde commandosyntaxis voor ssh als voor plink/putty).

    Je e-mailprogramma blijft dezelfde poorten gebruiken als voorheen, maar nu lokaal, en ssh stuurt ze door naar de echte server. Is in mijn geval nog veel sneller ook (of verbeeld ik het me?), misschien doordat de firewall in de router van de access provider zich er niet meer mee bemoeit?

    Zelfs kan (getest): poort 25 forwarden naar 587 of omgekeerd. Geinig!

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.