O nemogućnosti primanja e-mailova sa određenih adresa

#1

Unazad dvije i po godine dobili smo nekoliko žalbi da je nemoguće poslati e-mail na SandžakMail adresu. Jedna od tih žalbi se odnosila i na jednu od trećerazrednih banaka u Srbiji.

Da pojasnimo o čemu se radi.

SandžakMail smo podigli na najviši nivo bezbjednosti u komunikaciji tako da ne dozvoljava nešifrovanu i nepouzdanu komunikaciju između dostavljača e-mail poruka. E-mail protokoli su dizajnirani odavno, te u inicijalnom dizajnu protokola nije vođeno računa oko bezbjednosti. Veliki poput Gmail-a koji ne brinu toliko o bezbjednosti krajnjih korisnika i dalje dopuštaju da se odvija komunikacija po želji pošiljaoca zbog zastarjele “kompatibilnosti”. Ja lično smatram da ne treba dopuštati nikome takav “luksuz” u modernom dobu.

Povratna poruka koju dobije pošiljalac je otprilike sljedećeg sadržaja:

Connected to 95.217.156.207 but sender was rejected.
Remote host said: 530 5.7.0 Must issue a STARTTLS command first

JA NE ZNAM je li u pitanju NEMOGUĆNOST ili PRESRETANJE, svakako nije moguće dostaviti e-mail sa ovih nekih provajdera na bezbjedan način. Zato strogo preporučujem nenaslanjanje na bezbjednost komunikacije provajdera, već da se uzme stvar u svoje ruke i koristi PGP:

Svakako još jedna od opcija je zamjena provajdera nekim bezbjednijim. Lično jedino garantujem za onaj koji lično koristim, a to je SandžakMail.

Postavljanjem obavezne šifrovane komunikacije bio sam svjestan da kršimo RFC po kome ova vrsta komunikacije je “poželjna” te ne bi smjela biti “obavezna”.

Postoje dva rješenja za ovaj problem:

  • preporučiti ljudima da promijene e-mail provajdera sa kojeg šalju e-mail na vašu SandžakMail adresu, odnosno da promijene banku koja ne vodi računa o bezbijednosti u komunikaciji?
  • ili dopustiti da se primaju ovako nebezbjedni e-mailovi?

Nažalost, većina ljudi koji su dovoljno tehnički obrazovani impliciraju da nešto nije u redu sa SandžakMail-om, a da je sve u redu sa njihove strane jer, jelte, komuniciraju godinama sa svijetom. I u pravu su, donekle. Vrlo je teško, skoro nemoguće, utvrditi ovo sa strane klijenta. Ovo je stvar komunikacije između E-mail servera koji pokušava dostaviti poštu SandžakMailu, tj. server-server komunikacija.

Međutim ja sam vođen željom da čak i primanje e-mailova bude maksimalno bezbjedno, svjesno prekršio RFC oko STARTTLS-a te manje od 0.01% e-mailova je bilo neuspješno dostavljeno na SandžakMail.

Tako da od danas smo ugasili obaveznu šifrovanu dolaznu komunikaciju da bi obezbijedili stopostotnu dostavnost, kao i G-Mail i svi ostali veliki provajderi, te smo odlučili pojačati bezbjednost sa druge strane omogućivši MTA-STS za one koji se odluče koristiti TLS komunikaciju tako da se onemogući presretanje, ako se odabere, šifrovana komunikacija od strane provajdera. Mogli smo i DNSSEC, međutim DANE nije usvojen čak ni od velikih provajdera, tako da smo odlučili okrenuti se MTA-STS.

Nažalost ne možemo uvijek natjerati ljude da mijenjaju banke ili svoje e-mail provajdere. Zato moramo da im podignemo svijest o bezbjednosti u e-mail komunikacijama na svaki mogući način, a to je između ostalog PGP, vidjeti link gore. Ovo zbog toga što SandžakMail ne može garantovati bezbjednost mailova ako ih skinete na mobilnom telefonu, ili na zaraženom računaru na primjer.

Na primjer, Verizon je u Americi namjerno isključio ovu opciju:

Srbija, Bosna (sad se ne zna je li to RS?!), te Bugarska su šampioni u regionu u istraživanju 2015. godine u presretanju e-mail komunikacija -> http://conferences2.sigcomm.org/imc/2015/papers/p27.pdf

05%20PM
Screen Shot 2022-03-05 at 1.07.05 PM.png482×635 42.4 KB

Imajte u vidu da je Srbija nadprovajder mnogim okolnim zemljama, uključujući i Kosovo i Makedoniju i Crnu Goru, te ako vaša komunikacija ide u pravcu sjevera i zapada, onda sigurno idu kroz njihova optička vlakna.

Da bi smo podigli nivo svijesti o bezbjednom slanju e-mailova, evo par interesantnih podataka o zdravlju domaćih email provajdera u okruženju:

bih.net.ba

02%20PM
Screen Shot 2022-03-05 at 12.49.02 PM.png1088×405 37.9 KB

t-com.me
00%20PM
Screen Shot 2022-03-05 at 12.48.00 PM.png1026×693 76.8 KB

mts.rs
32%20PM
Screen Shot 2022-03-05 at 12.48.32 PM.png926×311 24.7 KB

mt.net.mk
29%20PM
Screen Shot 2022-03-05 at 12.47.29 PM.png1043×550 56.2 KB

i na kraju sandzak.com sa dva upozorenja: ovo nažalost nije do nas, nego do DNS provajdera gdje hostujemo DNS. Ovo podešavanje je upozorenje, ali ako bi smo i bili u mogućnosti ovo promijeniti, izgubili bi smo na performansama:
34%20PM
Screen Shot 2022-03-05 at 12.49.34 PM.png886×204 13.8 KB

Koga interesuju pojedinosti, slobodno neka pita, biću više nego sretan da pojasnim.

2 Likes
#2

Selam svijete,

Pošto smo ugasili obaveznu enkripciju prilikom primanja e-mailova, te unaprijedili provjeru enkripcije ukoliko ona postoji (MTA-STS), ostalo je otvoreno pitanje kako krajnji korisnik može znati da li je primljen e-mail koji nije prošao kroz enkripciju zapravo enkriptovan ili ne. To do sada je moglo da se vidi na serveru, a obzirom da svaki primalac u biti želi da zna ovu informaciju, od danas smo je učinili itekako transparentnom.

Ako ste primili e-mail od nekoga, i komunikacija od tog servera do SandžakMail servera je išla kroz TLS, na webmail-u će se pojaviti zeleni katančić pored naslova e-maila.

18%20AM

Ukoliko je e-mail proslijeđen SandžakMail-u u nešifrovanoj komunikaciji, pojaviće se otvoreni crveni katančić pored naslova e-maila.

28%20AM

1 Like