Bu konuda turk.internet.com için hazırladığım yazıya aşağıdaki adreslerden erişilebilir
TTNet’in ADSL networkünden yayılan spamlere çare olması amacıyla başlattığı “Şimdi E-posta Kutunuz Daha Güvenli! ” projesi malesef ki yeteri kadar anlaşılamadı. Bu yazıda kısaca TTNet’in SMTP portunu kapatarak spame nasıl çözüm bulacağı konusunda değerlendirmelerimi aktaracağım.
Proje kapsamında dinamik IPli ADSL abonelerinin tcp/25(SMTP) portu dış dünyaya kapatılacak. Bunun yerine mail gönderim işleminin 587(submission ) portu üzerinden yapılması istenecek.
SMTP portunun kapatılmasının nedeni TTNet’in dünya spam servisleri listesinde ilk üçten aşağı düşmemesi.
Ilk bakışta akla port değiştirmek neyi çözer ki gibi bir düşünce geliyor. SMTP portu 25 ile Submission portu 587 arasındaki fark bilinirse aslında bu yöntemin spamlerin azaltılması yönündeki gercek etkisi anlaşılır. Aslında keramet port da değil port üzerinde çalışacak olan uygulamada.
SMTP Nasıl Çalışır, Submission SMTP’e ne ek getirir?
SMTP sunucular kendilerine gelen bir mail üzerinde iki tür işlem yapabilirler
1)Gönderilen mail domaini sistemde tanımlı ise kabul ederler.
2)Gönderilen mail domaini sistemde tanımlı değilse hata dönerler
Bir de sistemin relaya açık olma durumu vardır ki onda da mailin nerden nereye gönerildiğine bakılmaksızın işlem yapılır.
Sıkı yapılandırılmış bir mail sunucuda kayıtlı kullanıcılar mail gönderebilmek icin SMTP AUTH(kimlik dogrulama) yöntemini kullanır. Böylece kullanıcı kendisini sisteme tanıtarak istediği yere mail gönderebilir.
SMTP portu üzerinde SMTP auth özelliği isteğe bağlı olarak aktif edilir(helo/ehlo komutlarıyla). Dolayısı ile SMTP portu üzerinden hem normal kullanıcılar mail gönderme işlemi yapar hem de internetteki diğer smtp sunucuları bağlantı kurarak mail bırakır.
Eğer 25 smtp portu üzerinden zorunlu smtp auth yaptırırsak internet üzerindeki mail sunuculardan mail almak imkansız hale gelir.
İşte burada Submission yardımımıza koşuyor. SMTP’den ayrı bir porttan yine smtp protokolünü destekleyen fakat zorunlu smtp-auth isteyen bir servis çalıştırıyoruz(qmail, postfix, exim vs) ve bu porttan bağlanan kullanıcı mail göndermeden önce mutlaka kendisini tanıtması gerekiyor. Böylece TTNet 25. portu kapatarak adsl abonelerinden yayılacak spamleri engelliyor. Normal kullanıcılar ayarlarını 587. port üzerinden yapacağı için mail gönderimlerinde problem çıkmıyor.
Kullanılan yöntem Ttnet’in kendi uydurduğu, bulduğu bir yöntem değil.Tüm dünyada spamle başı dertte olan ISP’lerin uzun zamandır(bazıları yeni yeni geçiş yapıyor)kullandığı bir yöntem(bkz. Verizon ).
Toparlamak gerekirse TTNET 25. portu kapatarak dinamik IPli ADSL abonelerinden gönderilen spamleri engelleme istiyor. Bunun icin ADSL abonelerinden 25. port yerine 587. portu kullanmalari istenecek.
Peki submission kullanmaya baslayinca sadece port mu degisecek?
Hayir!
Submission portu SMTP portundan farkli olarak kendisine baglanan her kullacidan zorunlu smtp auth isteyecektir. Boylece 587 uzerinden sadece mail sunucularda tanımlı kullanıcılar mail gönderebilecek. Spam gondermek isteyen kisiler ilgili sistemde tanimli degilse mesaj gonderemeyecekler. Ek olarak worm vs bulasmıs sistemler dışarı doğru SMTP bağlantısı açamayacağından spam gönderemeyecekler.
Yani sistemde iki tane smtp portu acilacak biri disardan mail alimlari icin(yahoo, hotmail ve diger mail sunucular)digeri de ADSL abonelerinin mail gondermesi icin auth gerektirecek bir port.
Peki bu sistem disardan gelecek spamleri kesecek mi?
Hayir, zira disardan gelen spamler yine 25. porttan gelecekler. Ama amac zaten disardan gelen spamleri kesmek degil, TTnetden spam gonderilmesini engellemek.
Firewall’dan 587. portumu 25. porta yönlendirsem çözüm olur mu?
Evet kısa vadede bir çözüm olur fakat spamciler size 25. porttan değil de 587. porttan mail gönderirlerse birşey yapamazsınız. Dolayısıyla 587. portu 25. porta yönlendirmek yerine 25. portta normal smtp servisi 587. portta submission özelliği olan(zorunlu smtp auth gerektiren)mta yazılımı çalıştırmanız gerekir.
Bizden başka bu yöntemi uygulayıp başarılı olan var mı?
Dünyanın sayılı büyük ISP’lerinden Verizon spam servisleri listesinde ilk sırada yer alırdı. Bu çalışma(ve başka ek çalışmalar) sonrasında ilk 10 da gözükmüyor.
TTNET’in de bu çalışma sonrası ilk 10’da gözükmeyeceğine inanıyorum.
Statik IP Adresimde Mail sunucu Çalışıyor Etkilenecek miyim?
Statik IP Adresi kullananlar bu yapılandırmadan etkilenmeyecekler.
Qmail icin submission ayarları.
Qmail kullanıyorsanız Spamdyke yazılımını kullanarak submission özelliğini devreye alabilirsiniz.(Başka yazılımarda mevcut fakat en ağrısız, sızısız olanı Spamdyke)
Submission hakkinda detayli bilgi icin RFC’si incelenebilir http://www.ietf.org/rfc/rfc2476.txt
Bilgilendirme için teşekkürler.
Pingback: TTNet 25. Portu Kapatması | Syslogs
Bunu 25. port üzerinde de yetkilendirme yaparak çözebilirlerdi bence. Farklı bir porta aktarmak herzaman için külfettir.
Eğer yetkilendirme olacaksa ha 25. portta olmuş ha 587. portta, standartta kullanılsa daha iyi olacaktır. Yine de bunların hepsine rağmen
internet erişiminin şöyle yada böyle herhangi bir kısmının engellenmesi saçma bir olay.
25. port uzerinde yetkilendirme yaparlarsa normal mail sunucular size mail gonderemezler. Yazida anlatmaya calistim ama sanirim tam anlasilamadi.
Ek olarak yapilan internet erisiminin kisitlanmasi degil, bir kapidan cikisin kapatilip diger kapidan cikisin verilmesi.
Boylece ben mail kutuma gelen 100 mailden 90’ının spam olmasindan bir nebze de olsa kurtulacagim.
Anladım anlamasına da dediğim gibi 587’nin yapacağı işi 25’te yapar.
Yetkilendirme yapıldığında gönderemezlerse portu kapattığında hiç gönderemezler ?
Evet 25. port da yapar ama 25. portda zorunlu smtp auth koyarsaniz bu sfer hicbiryerden mail alamaz. 587. portun secilmesinin sebebi bu.
25. port kapatilacak zombiler mail gonderemeyecek, zombi olmayanlar ayarlarini 587. porta gore yapacaklar ve maillerini gonderebilecekler. 587.porta ayar yapmak demek o sistem uzerinde tanimli mail kullanicisi demek.
Biraz daha anlasildi mi?
yavv abilerim ablalarım. uzun lafın kısası şudur. adamlar bizi spamcılardan korumaya çalışıyor. mühim olan da bu değilmi. ne uğraşıyonuz saadetle önemli olan SADET.
Ben anlamadım cidden, şimdi. 25portu dinamik IP kullanıcıları icin auth’a zorunlu kılsa, MUA’lar zaten auth ile calisiyor. MTA’lar ise dinamik IP degil. Boylece sabit IP’li MTA’lar 25.porttan auth geregi duymadan normal işlerine devam edecek. MTA’lar ise dinamik IP olmaları sebebiyle port degisiminden kurtulacak. (MUA: Outlookexpress, MTA: Qmail örneğin)
Yani bu uygulama bana cok sacma geliyor, her kullanıcıya 587 ayarlamak zorunlu olucak. Spam’le savasmanın baska bir yolu mutlaka olmalı,tek yol bu mudur dunyada?
Biraz dusundum de, sanırım sabit ve dinamik IP’lere gore ayırım yapıp portu auth ya da degildir demek pek mukun degil:(
Aslinda TTNet’in elinde hangi ip blogu sabit hangisi degil. TTnet kendi routerlarinda dinamik IPli ADSL abonelerinden gelen 25. portu 587 olarak degistirse bir nebze kolaylastirmis olur isi ama bunun getirecegi ek yük, yan etkileri vs dusunulerek dikkaet alinmamistir. Belki de akillarina gelmemistir:)
>>Spam’le savasmanın baska bir yolu mutlaka olmalı,tek yol bu mudur dunyada?
Binbir yolundan sadece bir tanesi. Bu sekilde birkac milyon abonesi olan ISP’ler icin en ucuza en etkin cozum:)
helal sana ttnet spamları al artık başımızdan…kurtar bızlerı.
benim pc ye format atmak zorunda kaldım şu spamlar yüzünden…ttnet beni kurtar …bi sen yaparsın benceee
artık guvenlı emaıller ıstıyorum. sacma sapan spamlardan bıktım,hadı ttnet sana guvenıyorum.
E-mail kutusu spamlarla doluyordu inşallah bunlardan kurtulacağız. iyi bir girişim ttnet
Pingback: TTNet’in SMTP erişimini kapatması | Açıkkod.org
Dünyaya en çok türkiyeden bu spam mailler iletiliyormuş.bu nekadr kötü bir imajdır.ve bunu düzeltmeye çalışan ve bu konuda hizmet veren ttnet’e çok teşekkür ediyorum.
Bugün anladım ki hakkaten bir azalma söz konusu ya sizce?
amerikada da bir çok isp 25.potu blokluyor. bence ttnetin bunu yapması doğru bir seçim.
ttnetın 25portu kapatıp, 587.porta geceısı super bence artık bzılerıde spamlardan kurtarıyo
Artık 2525 de bloke ediliyor sanırım?