T-Mobile Thuis sluit smtp-poort 25 voor uitgaande mail per 4 oktober

Klanten van T-Mobile Thuis die nog mail versturen via poort 25 voor smtp moeten de instellingen van hun mailclient aanpassen. T-Mobile gaat namelijk per 4 oktober poort 25 voor uitgaande mail afsluiten.

Volgens T-Mobile wordt poort 25 nog maar beperkt gebruikt door T-Mobile Thuis-klanten. Het bedrijf adviseert de instellingen van e-mailclients aan te passen en daar de smtp-gegevens voor uitgaande mail via beveiligde tls-verbindingen in te voeren. Die instellingen verschillen per mailaanbieder. Klanten kunnen ook smtp.t-mobilethuis.nl als hostnaam invoeren, samen met de gegevens voor hun T-Mobile Thuis-mailaccount. Voor binnenkomende mail verandert er niets volgens T-Mobile.

Tcp-poort 25 is traditioneel de smtp-poort voor e-mail, maar internetproviders blokkeren deze meestal om spam tegen te gaan die mailservers van klanten al dan niet bewust via deze poort versturen. Blokkeren raakt dan ook meestal klanten met eigen mailservers. Voor het versturen van mail via versleutelde smtps, of smtp-over-ssl, had standaardisatie-organisatie de Internet Assigned Numbers Authority ooit tcp-poort 465 gereserveerd, maar definitieve standaardisatie bleef uit en die poort is alweer toegewezen aan een andere service. Inmiddels is poort 587 de poort voor smtp met tls, waarbij de cryptografische beveiliging optioneel starttls betreft.

IT-banen

Reacties (181)

duckieTM 2 oktober 2021 19:38

Wat ook zeker niet onbelangrijk is is reverse DNS, port 25 open is leuk maar 99% zien dan je mail als spam en of wijgeren het zelfs.
Daarom gebruik ik dus een KPN Zakelijk tegenwoordig (voorheen XS4ALL maar die stopt met IP blocks en Reversed DNS)
Ziggo en de meeste andere ondersteunen de optie niet, freedom wel als je een email stuurt maar die bieden helaas geen subnets aan

dus je zit dan altijd vast aan de zakelijke markt, want je hebt als je het goed wilt doen altijd min. 2 ip's nodig.
1 voor je domeinnamen die via SSL lopen en dus dan 443 in gebruik nemen (websites).
1 voor je mailserver (in mijn geval kerio) welke ook 443 gebruikt en ook voledig claimed.
En ja je zou het nog eventueel via NGINX kunnen doen met een proxy erop maar meestal wil je dat geschieden houden.

[Reactie gewijzigd door duckieTM op 22 juli 2024 18:35]

BugBoy @duckieTM • 3 oktober 2021 10:18

Je kan dat toch ook prima scheiden? Ik routeer eigenlijk al mijn HTTPS verkeer via een NGINX (of soms een Traefik) reverse proxy. Daar regel je dan ook volledig geautomatiseerd je certificate renewal voor al je sites die daar draaien. De achterliggende sites kunnen op dezelfde machine draaien (andere poorten of je draait ze in containers) of op een andere machine.

De enige uitdaging die ik had is dat we ook OpenVPN via poort 443 hebben draaien (handig als enkel poort 80/443 beschikbaar zijn vanaf een locatie). Maar ook die kan non-OpenVPN verkeer weer netjes doorsturen naar NGINX. Dan heb je alles draaien op 1 IP, certificaten geregeld en ook je logging op een centrale plek.

In mijn ogen een veel logischere set-up dan allemaal losse servers (met eigen certificaten) die je moet beheren.

Alxndr

1 oktober 2021 14:15

sorry, noob-vraagje:

Waarom zouden spammers niet gewoon ook van poort 25 naar poort 587 (of welke andere poort dan ook) over kunnen stappen?

PD2JK

@Alxndr • 1 oktober 2021 14:20

Omdat je je dan moet identificeren met een geldig gebruikersnaam en wachtwoord.

Marve79 @PD2JK • 1 oktober 2021 14:29

Correct me if i'm wrong maar authenticatie staat los van de poort. Poort 587 encrypt enkel met TLS. Authenticatie is nog iets anders wat je toe kunt voegen maar dat hoeft zeker niet.

Edit: Die functie heet SMTPAUTH en dat staat los van STARTTLS.

[Reactie gewijzigd door Marve79 op 22 juli 2024 18:35]

NielsFL @Marve79 • 1 oktober 2021 19:56

You're wrong.

STARTTLS kun je op zowel 25 als 587 toepassen. 25 is voor "message relay" (tussen servers), 587 voor "message submission" (van client naar server).

Dit was ooit anders. Zowel relay als submission verliep via poort 25. Maar dat levert een hoop spam problemen op. Sinds rfc6409 zijn relay & submission daarom uit elkaar getrokken en verloopt submission dus via poort 587.

Op poort 587 is authenticatie een vereiste. (Zie dus rfc6409.)

Uruk-Hai

@NielsFL • 2 oktober 2021 10:05

Ik heb even een vraagje over rfc6409. Ik neem aan dat dat een norm is. Hoe wordt er wereldwijd bewerkstelligd dat iedereen zich daaraan houdt en hoe lang duurt het voor zo'n wijziging (of serie wijzigingen) wereldwijd volledig is doorgevoerd?

cveld @Uruk-Hai • 2 oktober 2021 10:32

Dit is sterk afhankelijk van de adoptie van de specifieke rfc. Als er maar genoeg implementatiepartijen zijn en er genoeg vraag naar is dan ontstaat er een brede basis. Er zullen altijd partijen blijven die de rfc niet implementeren of incorrect implementeren.

casberrypi @cveld • 3 oktober 2021 17:24

Op https://en.m.wikipedia.org/wiki/HTTP/2 kun je lezen hoe dat ging met http2.

wankel @Uruk-Hai • 3 oktober 2021 15:26

Ik heb even een vraagje over rfc6409. Ik neem aan dat dat een norm is. Hoe wordt er wereldwijd bewerkstelligd dat iedereen zich daaraan houdt en hoe lang duurt het voor zo'n wijziging (of serie wijzigingen) wereldwijd volledig is doorgevoerd?

De volgnummers zeggen niet alles over de tijdlijn natuurlijk, maar RFC2460 is ook een leuke.

De RFC is in het vorige milennium, ruim 20 jaar geleden, in werking getreden (1998), en is een randvoorwaarde voor de toekomst van het internet.

Desondanks wordt het maar door 1/3e van de betrokkenen gebruikt.

- edit, ninja'd by @freaky

[Reactie gewijzigd door wankel op 22 juli 2024 18:35]

freaky @NielsFL • 2 oktober 2021 14:28

Nou ja, dat doet het bij lange na niet overal. Wezenlijk zit er ook niet echt verschil tussen relay en submission. Protocol is hetzelfde, wat verschilt is of het voor de lokale server of een andere bestemd is.

Het is ook niet extreem nuttig om het te scheiden, kunt je SMTP server op 25 ook gewoon correct configureren, ben je er ook. Mijn server relayed alleen als je van het lokale netwerk komt of geauthenticeerd bent en authenticeren kan alleen na starttls. Echt moeilijk is het niet, moet het alleen wel configureren.

Pleister op pleister op pleister op pleister. Dat is SMTP. En na 600 verbanddozen is het nog steeds een waardeloze lappen pop. Met HTTP maakt men gelukkig wel wat stappen, maar eigenlijk zou heel SMTP d'r uit moeten en een ander protocol gemaakt worden. Dan zou men langzaam aan over moeten naar het nieuwe protocol en daarna de grote partijen gewoon moeten stoppen met SMTP na een tijd om de rest te dwingen.

Dat is het grootste probleem namelijk. Adoptie van nieuwe protocollen. Krijg heel de wereld maar eens om naar een nieuwere standaard die veel beter zou zijn. IPv6 is een mooi voorbeeld van hoe langzaam het wel niet gaat.

PD2JK

@Marve79 • 1 oktober 2021 14:43

Je hebt helemaal gelijk.
In dit geval met T-Mobile is SMTPAUTH wel een vereiste.

Verwijderd @PD2JK • 1 oktober 2021 15:32

Je hebt helemaal gelijk.
In dit geval met T-Mobile is SMTPAUTH wel een vereiste.

SMTPauth is sowieso een vereiste bij providers anders zou de mailserver als relay fungeren en dit dus weer spam in de hand werken. Door authenticatie af te dwingen kan niet iedere willekeurige oetl*l via de mailservers van providers mails versturen.

Enige verschil is dat je nu verbinding maakt via een STARTTLS of SSL/TLS verbinding die alleen de data encrypt die tussen gebruiker en mailserver plaatsvind meer dan dit gebeurt er niet.

dcm360

@Marve79 • 1 oktober 2021 14:50

Poort 587 is bedoeld om clients berichten te laten aanleveren aan een mailserver, en is in principe gewoon SMTP maar dan staat het de server vrij om eisen te stellen aan de client (verplichte authenticatie is gebruikelijk op poort 587). Poort 465 is SMTP met TLS, maar daar is nogal wat mee geprutst in het verleden, waardoor eigenlijk STARTTLS op poort 25 en 587 gebruikelijker lijkt te zijn dan SMTP met TLS op poort 465.

Met TLS aankloppen op poort 587 zal zeker niet bij alle servers werken.

[Reactie gewijzigd door dcm360 op 22 juli 2024 18:35]

ZinloosGeweldig @Marve79 • 1 oktober 2021 14:51

Encryptie staat net zo goed los van poort. En in het geval van STARTTLS, kan je zowel met als zonder versleuteling verbinding maken.

Alxndr

@PD2JK • 1 oktober 2021 14:47

Hoe moet ik dit zien?

Heel simpel gezegd als het verschil tussen ongeadresseerde reclame en geadresseerde reclame (waar we vroeger van die stickers voor op de brievenbus hadden?)

Ik dacht dat het versturen van mail toch altijd via een account gaat (waar je een gebruikersnaam/ww voor nodig hebt) in tegenstelling tot bijvoorbeeld een contact formulier wat je invult.

JackBol @Alxndr • 1 oktober 2021 15:04

In het verleden kon je gewoon telnetten naar poort 25 van een mailserver en beginnen een mailheader te typen:

From: <JoeBiden@whitehouse.gov>
To: <MarkRutte@VVD.nl>
Subject: "How is that formation coming along"

Hi Mark, How is it hanging?
xoxox Joe
.

En de MTA (mailserver) zou dit zonder enige checks parsen en deliveren.
Daarom snap je misschien waarom er zoveel spam is.

Stoney3K @JackBol • 1 oktober 2021 16:45

In het verleden kon je gewoon telnetten naar poort 25 van een mailserver en beginnen een mailheader te typen:

En de MTA (mailserver) zou dit zonder enige checks parsen en deliveren.
Daarom snap je misschien waarom er zoveel spam is.

Kleine kanttekening: Als je een fatsoenlijk geconfigureerde mailserver hebt, dan levert die alleen mail af die lokaal op zijn mailserver of domein draait. Dus een server die op mail.domein.com draait zou alleen adressen moeten parsen van @domein.com, en alle andere mail niet doorgeven (relayen) tenzij je je kan authenticeren.

Om je mail af te kunnen leveren via SMTP op @domein.com vanaf een ander domein, maken de mailservers dan verbinding met elkaar. Welke server er dan bij hoort staat bij de DNS-gegevens als MX record.

De meeste mailservers van providers zijn dan ook niks anders dan relays voor hun klanten, maar er zijn ook mensen die hun éigen mailserver draaien (Postfix, Exim of iets dergelijks) en hun mail dus rechtstreeks bij de eigen computer af laten leveren of van daar af verzenden. Zet je het MX-record van @jeeigendomein.nl immers op het adres van je eigen thuiscomputer, dan wordt alle mail daar rechtstreeks afgeleverd.

JackBol @Stoney3K • 1 oktober 2021 17:31

Dat zijn allemaal dingen die we over tijd heen door schade en schande hebben geleerd

Terrestrial @JackBol • 1 oktober 2021 16:34

De meeste mailservers werken nog steeds met poort 25 naar elkaar toe dus dat kan nog steeds. Mits je natuurlijk even authentiseert.

turbojet80s @Terrestrial • 2 oktober 2021 07:53

Als ik in de rapportage van onze mailserver kijk dan zie ik toch echt dat meer dan 98÷ van de (externe) communicatie over TLS verloopt.

Terrestrial @turbojet80s • 2 oktober 2021 11:03

TLS kan op elke poort. Waarom geen instelling dat mensen die een mail server willen draaien de blokkade op poort 25 zelf kunnen opheffen.

turbojet80s @Terrestrial • 2 oktober 2021 14:15

Dat klopt maar ik bedoel natuurlijk poort 587. Laten we ons aub gewoon aan de standaarden houden die zijn er immers niet voor niets.

Terrestrial @turbojet80s • 2 oktober 2021 16:47

Dan zeg ik het anders, de meeste servers gebruiken poort 25 met TLS. Port 587 en die andere 465 zijn vaak gesloten.

turbojet80s @Terrestrial • 2 oktober 2021 18:01

Dat zeg ik dus.. als ik naar de rapportage op onze mailserver kijk dan is dat toch minder dan 2÷ en wij mailen naar honderden domein. Lijkt me sterk als de rest van de wereld dan nog op poort 25 aflevert. We leven niet meer in de 20e eeuw.

HakanX @turbojet80s • 2 oktober 2021 23:02

Ik hou me juist nooit aan poorten standaarden zolang het publiek er niks mee te maken heeft. Als je je eigen poorten gebruikt sla je direct 99% van de aanvallen af die komen van scanners die op een bepaalde (0day) exploit scannen.

turbojet80s @HakanX • 3 oktober 2021 09:27

Als jij via jouw mailserver mail wilt ontvangen vanaf bijvoorbeeld office 365 of Gmail dan kan kun je je beter aan de standaarden houden ander zul je niet veel mail ontvangen. Als jij jouw netwerk of computer beschikbaar wilt maken via VPN of rdp dan geef ik je groot gelijk.

Alxndr

@JackBol • 1 oktober 2021 15:21

Dus zo werk(t)en die fake afzenders? Cool, weer wat geleerd, thanks!

Verwijderd @Alxndr • 1 oktober 2021 15:36

Wat denk je van kneuzen die willen rommelen met een hosting pakketje van een paar euro per jaar en dan een formuliertje maken zonder allerlei checks en de mails versturen door gebruik te maken van een class als PHPMailer ?

Maak een php-script zonder allerlei checks en het is misbruik gegarandeerd.

Graaipaard @Verwijderd • 2 oktober 2021 07:47

Voor kwaadwillenden zullen er altijd wel mogelijkheden blijven bestaan om spam te versturen, maar dit is een prima actie van T-Mobile om het weer wat lastiger te maken vanaf particuliere aansluitingen.

Trouwens, je mail overal ook daadwerkelijk afgeleverd krijgen (server to server over port 25) vanaf een consumenten adres zal toch al niet al te best meer lukken, ookal host je netjes je eigen domein en heb je dingen als SPF en DKIM op orde.

De meeste particuliere IP blokken staan op online antispam blocklists zoals Spamhaus e.d. en daar wordt door een beetje fatsoenlijk ingerichte mailserver toch al geen e-mail van geaccepteerd.

Greetoz

@Graaipaard • 2 oktober 2021 08:46

Klopt, ik gebruik dan ook een externe (betaalde) spamfilter dienst die mijn uitgaande mail relayed. Gelukkig heeft ziggo Port 25 nog open.

Graaipaard @Greetoz • 2 oktober 2021 10:44

Zolang die partij jouw client IP uit de headers stript, dan zal dat prima gaan inderdaad 👍

turbojet80s @Verwijderd • 2 oktober 2021 07:51

Als je misbruik kunt maken van server A dan wil dat nog niet zeggen dat server B de mail van server A accepteert en of aflevert in een postvak.

Wijnands @JackBol • 1 oktober 2021 22:26

Da's wel heel ver in het verleden. Toen ik in 2004 mijn postfix server installeerde accepteerde die standaard alleen mail van het eigen netwerk en niet van buiten

PD2JK

@Alxndr • 1 oktober 2021 14:55

Het account heb je nodig voor je mailbox, zodat je in kunt loggen bij je favoriete mailservice en de mail kunt lezen via je webbrowser en/of met je mailclient (Outlook/Thunderbird) en het kunt binnenharken (POP) of synchroniseren (IMAP/Exchange).

Mail versturen daarentegen deden internetproviders niet zo moeilijk over, hence de onbeveiligde poort 25. Als je het te bont maakt als verzender dan wordt je heus wel afgesloten/geblokkeerd. Er zijn ook veel providers die hier geen probleem van maken, hosters van VPS'en bijvoorbeeld. Een spammer huurt een VPS en gaat 'helemaal los'.

Stoney3K @PD2JK • 1 oktober 2021 18:33

Het kwam ook vaak genoeg voor dat spammers geen VPS huurden, maar gewoon gebruik maakten van een botnet wat over poort 25 mail ging sturen terwijl de gebruiker zich van geen kwaad bewust was. Het is als malafide organisatie natuurlijk onzinnig om daar je eigen servers voor te gaan inzetten.

batjes @PD2JK • 1 oktober 2021 18:48

deden internetproviders niet zo moeilijk over, hence de onbeveiligde poort 25.

Uhm, de meeste providers hebben poort 25 al vele jaren dicht zitten.

Het verbaasde me eigenlijk dat T-mobile de poort nog open had staan.

DigitalExorcist @Alxndr • 1 oktober 2021 14:29

Is geen noob-vraag en hoef je je al helemáál niet voor te excuseren. Maar dat heeft te maken met authenticatie zoals @PD2JK al opmerkte, en sowieso encyptie van die protocollen.

Alxndr

@DigitalExorcist • 1 oktober 2021 14:52

Thanks, maar misschien excuseer ik me vooral voor mezelf.

Als iemand die al 35 jaar achter computers zit en het internet/email vanaf het moment van 96baut inbelmodems heeft meegemaakt, vind ik dat ik iets wat zo simpel is/klinkt als email en poorten ondertussen wel zou moeten begrijpen/snappen

[Reactie gewijzigd door Alxndr op 22 juli 2024 18:35]

batjes @Alxndr • 1 oktober 2021 18:49

Ach ik zit bijna net zo lang achter computers en op het internet en er is nog meer dan genoeg IT shit waar ik de basis niet eens van weet

Schaam je niet.

IT is echt zo'n belachelijk groot onderwerp, niemand weet alles.

jvhulten @Alxndr • 1 oktober 2021 19:20

9600 baud? Dat was snel.
Gestart met 1200 baud en ook nog modem met telefoonhoorn die je in je modem moest stoppen.

davekok @Alxndr • 2 oktober 2021 05:48

Mailservers luisteren alleen op poort 25 om mail te ontvangen. Als je echter mail verstuurt, verstuur je die eerst naar je eigen mailserver op poort 587 en die stuurt het door naar de ontvangende mailserver op poort 25. Met deze simpele stap kunnen spammers niet meer vanaf een PC of NAS die ze gehacked hebben mail versturen alsof ze de mailserver zijn.

ANdrode

T-Mobile Thuis

1 oktober 2021 14:04

Goede keuze. Dit is vrij standaard voor ISPs en voorkomt abuse. En zonder overeenkomende reverse DNS records is mail afleveren al onmogelijk: Je loopt tegen allerlei blocklists aan.

Inkomende SMTP werd overigens al geblokkeerd (ook standaard voor vrijwel alle ISPs - mogelijk behalve XS4ALL en Freedom).

eborn @ANdrode • 1 oktober 2021 14:10

Ziggo accepteert ook gewoon mail op poortje 25. Mits je natuurlijk niet achter zo'n IPv4-over-IPv6 'nat' zit.

Tadango @eborn • 1 oktober 2021 14:43

Eeh... Ziggo accepteert al jaren geen inkomend verkeer op poort 25, en uitgaand volgde niet lang daarna. Zover ik weet zit ik niet achter zo'n nat....

dcm360

@Tadango • 1 oktober 2021 16:24

Ik heb zelf een mailserver achter een internetlijn (niet zakelijk) van Ziggo, en e-mail komt hier gewoon aan op poort 25. Uitgaand moet inderdaad wel via een relay.

[Reactie gewijzigd door dcm360 op 22 juli 2024 18:35]

Tadango @dcm360 • 1 oktober 2021 16:27

Dat is wel heel bijzonder, weet je zeker dat inkomend op jouw WAN ip op poort 25 niet geblokkeerd is?

Stoney3K @Tadango • 1 oktober 2021 16:52

Waarschijnlijk controleren ze gewoon op open mailrelays. Deliveren (van buiten mail afleveren) kan dus nog altijd, maar relayen van buiten moet niet kunnen.

Kwestie van een mail ernaartoe sturen en proberen of je een bounce terug krijgt.

Tadango @Stoney3K • 1 oktober 2021 16:55

Ze controleren niet, ze monitoren wel. Als er veel uitgaand verkeerd was op 25 sluiten ze je wel af (in het verleden dan). Ingaand is bij mij al jaren volledig geblokkeerd, en dat hoor ik veel meer. Ik heb niet voor niets een relay dienst moeten gebruiken om verkeer op een andere poort binnen te krijgen. Maar gezien de reactie van dcm360 is dat niet voor alle klanten / gebieden gelijk dus.

eborn @Tadango • 1 oktober 2021 19:28

Klopt, een aantal jaar geleden was het wachtwoord van mijn vriendin onderdeel van een lek. Die werd toen redelijk snel gebruikt om namens haar via mijn SMTP server mail te versturen. Dan ben je effectief een open relay geworden. Toen hing Ziggo snel aan de lijn. En we hebben het ook weer snel kunnen oplossen.

dcm360

@Tadango • 1 oktober 2021 17:23

Er wordt inderdaad goed gelet op misbruik. Pasgeleden kreeg ik iemand van Ziggo aan de telefoon met de mededeling dat er spam verstuurd werd vanaf mijn netwerk, wat gelukkig zonder al te veel moeite wel terug te herleiden was naar een specifieke pc en software daar op. Aan de telefoon was ik nog wel net te laat met bedenken te vragen hoe er spam uit mijn netwerk zou kunnen komen zonder poort 25 open voor uitgaand verkeer, maar het bleek dan ook om uitgaand verkeer op poort 465 te gaan.

dcm360

@Tadango • 1 oktober 2021 16:29

Dat weet ik heel erg zeker, ik heb er vandaag nog e-mails op binnengekregen.

Tadango @dcm360 • 1 oktober 2021 16:35

Verschillende gebieden dan denk ik....

irritantrotjoch @Tadango • 1 oktober 2021 18:11

In het verleden ineens geen werkende mailserver meer thuis bij Ziggo. Bleek idd dat de poort bij Ziggo gebruikers was gesloten. Is ook al meer dan 10 jaar geleden.
Je kon wel een aanvraag indienen om voor jou een uitzondering te maken. Dat is me destijds helaas niet gelukt. Het blokken was meer bedoeld voor "de massa" die ongemerkt spam verspreide, te blokkeren.

FastPinguin @Tadango • 2 oktober 2021 00:41

Ik heb ook Ziggo en poort 25 is wel geblokkeerd in de Connectbox firmware om open te zetten, maar via bridge mode alsnog te gebruiken. En uitgaand kan via de Ziggo smarthost. (oud UPC gebied)

pennywiser @eborn • 1 oktober 2021 14:15

Maar dit gaat over uitgaand?

DigitalExorcist @ANdrode • 1 oktober 2021 14:30

Alleen consumenten ja, ben nog nergens een zakelijke lijn tegenkomen die dat blokkeert..

Donstil @DigitalExorcist • 1 oktober 2021 15:05

Alleen consumenten ja, ben nog nergens een zakelijke lijn tegenkomen die dat blokkeert..

Inkomend verkeerd wat dicht staat op poort 25 is ook bij zakelijke lijnen wel gebruikelijk of steeds gebruikelijker. Bijvoorbeeld al jaren bij RoutIT verbindingen (nu van KPN dacht ik).

Edit: Even los van het feit dat als het niet door de provider dicht gezet is je het natuurlijk in je firewall dicht zet of laat zetten door je IT Partner.

[Reactie gewijzigd door Donstil op 22 juli 2024 18:35]

dcm360

@ANdrode • 1 oktober 2021 14:12

Bij Ziggo is poort 25 gewoon open voor inkomend verkeer. En op zakelijke verbindingen staat poort 25 ook open voor uitgaand verkeer, op de consumentenverbindingen wordt het wel geblokkeerd.

Tadango @dcm360 • 1 oktober 2021 16:56

Inkomend niet voor alle klanten blijkbaar, ben wel benieuwd waar dat onderscheid op wordt gemaakt.

batjes @Tadango • 1 oktober 2021 18:52

Oud-Ziggo en oud-UPC netwerk gok ik. Daar zitten nog steeds verschillen tussen.

Allicht is Ziggo het gewoon vergeten om het uit te schakelen op 1 van de vele voormalige overgenomen kabelboeren.

Kontsnorretje @batjes • 1 oktober 2021 19:42

Het gaat hier over uitgaand verkeer. Feitelijk wordt je nu verplicht tot het encrypten van je uitgaande mail. Je kan het zien als http tegenover https.

Inkomend is totaal anders. Als ik wil dat mijn netwerk een webserver draait op poort 25 en 587 (want de standaard 80/443 poorten worden al gebruikt voor een andere site), moet dat gewoon kunnen.

Dat er zakelijk onderscheid gemaakt wordt, is te verklaren doordat veel bedrijven hun oude mail servers, om wat voor reden dan ook, niet willen of kunnen updaten.

batjes @Kontsnorretje • 1 oktober 2021 19:54

Klopt, het is vervelend. Maar helaas helpt het wel tegen een beetje internet overlast als op consumentenlijnen het mail verkeer een beetje beperkt wordt. Zolang bv Freedom het blijft aanbieden haal ik mijn schouders op, die vragen ook niet voor niets een meerprijs voor zulke standaard internet mogelijkheden. Want het voor alles en iedereen die poort openhouden kost een provider gewoon geld.

Belsameth @ANdrode • 1 oktober 2021 17:55

Nah, het is een stukje struisvogel beleid om niet aan fatsoenlijke abuse handling te hoeven doen. Om de al genoemde redenen heeft dergelijke direct-to-MX spam bijna geen mogelijkheid om daadwerkelijk afgeleverd te worden en, middels spam traps e.d. is het wel een indicatie dat klanten besmet zijn welke dan geinformeert kunnen worden.

Wijnands @ANdrode • 1 oktober 2021 22:28

Slechte keuze. Tenzij ze een opt-out aanbieden. Een klant moet toch vrijheid hebben om zelf te kiezen wat ' ie doet?

tweazer @Wijnands • 2 oktober 2021 11:58

Yep, precies dat, waarom bemoeien ze zich met de content van het verkeer ? Is een volgende stap tcp/119 of enkel secure dns ? Waar is de netneutraliteit, ongefilterde internet diensten zou de norm moeten zijn imho, geen traffic shaping, geen traffic filtering, geen onnodige delays (c.f. routeren over duitsland). Is dit nog een deutsche telecom beleid dingetje, of is de nieuwe eigenaar al aan zet ?

HitDyl 1 oktober 2021 14:15

Het is toch niet zo dat poort 25 is gereserveerd voor smtp? Hiermee blokkeren ze toch ook andere services die van poort 25 gebruik maken.

RGAT @HitDyl • 1 oktober 2021 14:26

Poort 25 is wel degelijk gereserveerd voor SMTP, je kan er zelf voor kiezen er andere protocollen over te draaien maar uiteindelijk is deze afgesproken om voor SMTP verkeer te gebruiken.
Daarnaast kan ik mij geen enkele service bedenken behalve SMTP die standaard van poort 25 gebruik maakt (en dit ook niet kan aanpassen).

sympa @RGAT • 1 oktober 2021 22:45

Je kan proberen er een webserver op te draaien, maar Firefox geeft het volgende als je naar poort 25 surft: "This address uses a network port which is normally used for purposes other than Web browsing. Firefox has canceled the request for your protection."

Pep7777 @HitDyl • 1 oktober 2021 14:24

Jazeker wel gereserveerd: https://en.wikipedia.org/..._TCP_and_UDP_port_numbers
Betekent niet dat je niet eigenwijs kan zijn en toch kan proberen poort 25 te gebruiken maar dan moet je ook niet verbaasd zijn als het niet werkt of geblokkeerd word. En zou geen probleem moeten zijn blijven genoeg poorten over.

[Reactie gewijzigd door Pep7777 op 22 juli 2024 18:35]

hackerhater @HitDyl • 1 oktober 2021 14:27

Gereserveerd niet per se, maar qua standaard instellingen wordt poort 25 wel toegewezen aan SMTP.

batjes @HitDyl • 1 oktober 2021 18:58

De eerste ~duizend poorten oid zijn allemaal vrij standaard afgesproken protocollen. Op Linux krijgen deze poorten bv extra bescherming, een gewone user kan deze poorten normaal niet gebruiken voor eigen binnenkomende zaken(of het is iig niet de bedoeling).

Over het algemeen gebruikt vrijwel niemand de <1024 poorten voor andere zaken dan wat is afgesproken. In ieder geval niet op grote schaal.

servies @HitDyl • 1 oktober 2021 14:32

poort 25 is gereserveerd voor SMTP. Er hoort eigenlijk niets anders op die poort te luisteren...

soepkip 1 oktober 2021 16:27

Hoezo bepalen zij welke poorten ik wel of niet mag gebruiken? en dat ook achteraf als je al een dienst voor een jaar hebt afgesloten? WTF, en waar is de netneutraliteit?

batjes @soepkip • 1 oktober 2021 19:07

Dat is volgens mij al 20 jaar vrij normaal bij veel providers. KPN heeft het al eeuwig dicht zitten en Ziggo voor (de meeste gebruikers?) ook al een jaar of 10. De meeste budget providers hebben het ook altijd dicht gehad.

T-Mobile is 1 van de laatste die het nu dichtgooit. Best begrijpelijk want het is super hinderlijk als je IP adressen op spamlists terecht komen. Ook als dit IP adressen zijn die je niet gebruikt als mailservers.

Het maakt het voor T-mobile bv een stuk makkelijker om hun IP adressen gewhitelist te krijgen als ze zelf een beetje proactief meehelpen misbruik tegen te gaan (En dat niet je complete IP range bij ze bekend is). Vooral zakelijk kan dit nog wel eens een issue zijn als je een IP hergebruikt die jaren geleden voor spam is misbruikt en op elke blacklist staat. Dat IP adres is zakelijk praktisch waardeloos als dat bv de 2de of 3de keer is dat dat IP adres geblacklist wordt.

Want de meeste blacklists zijn slechts 1 enkele keer genadig. De eerste keer kom je er nog wel zonder veel moeite af.

Xenir @batjes • 1 oktober 2021 21:47

KPN had het eeuwig dicht zitten. Dat is ergens in 2013 teruggedraaid, vanwege de o.a. eerder genoemde struisvogel politiek. Mailservers zijn het probleem niet, de besmette pc's die als spambot gebruikt worden wel.

tweazer @batjes • 2 oktober 2021 12:01

het is super hinderlijk als je IP adressen op spamlists terecht komen

dialup/klantverbindingen staan bijna altijd op ip bans. Meestal eenvoudig aan te passen, een kleine last als je je eigen mailserver wilt draaien. Kortom wel netneutraliteit, maar met wat nazorg is m.s. prima te doen.

NielsFL @soepkip • 1 oktober 2021 20:04

Netneutraliteit houd op waar de integriteit van het netwerk in het geding komt.

Ik heb zelf T-Mobile Thuis en voor diverse fora moet ik inmiddels VPN gebruiken om niet continu captcha's in te hoeven vullen. De IP ranges van T-Mobile Thuis hebben een erg slechte reputatie. Hopelijk is dit een signaal dat ze daar actief verbetering in gaan brengen.

Overigens had ik persoonlijk liever gezien dat je poort 25 wel weer open kan zetten op de website. De problemen met poort 25 komen vooral van onwetende gebruikers die geïnfecteerd raken met spammende malware, en niet zozeer van de tweaker met een mail-servertje thuis.

Tobias.db 1 oktober 2021 15:09

Lijkt mij een prima beslissing, volgensmij raakt het (bijna) niemand. Ik verwacht dat de meeste mensen al TLS gebruiken en dus niet port 25.

Het enige wat ik me zou kunnen bedenken is dat ik nu geen mailtjes meer krijg over gefaalde cronjobs, iirc gaan die nog wel over port 25

koen_92

@Tobias.db • 1 oktober 2021 15:58

Poort 25 wordt nog wel veel gebruikt voor communicatie tussen mailservers (als de mailserver van gmail.com bijv. een mailtje wil afleveren op de mailserver van hotmail.com). Dit raakt (zoals in het artikel staat) dus wel mensen die thuis een eigen mailserver draaien.

Of het slim is om vanaf een thuis/consumer ip-adres een mailserver te draaien is een 2e (die ip-addressen staan meestal al in de populaire spam-blacklisten), maar T-Mobile maakt het nu wel technisch onmogelijk voor de mensen die dit eventueel zouden willen. Dit voelt dus wel als een 'onnodige' beperking, zeker omdat je het via een opt-in ook niet meer open kunt zetten.

aikebah @koen_92 • 1 oktober 2021 19:21

Geen enkel probleem op het thuis-ip, behalve dan die knoeiers van de hotmail/live/outlook.com freemail (Office365 tenants is geen probleem) die de mail iedere paar weken weer direct bij de poort weigeren.
Voor mij de reden om mensen die een freemail willen hebben aan te raden om dan maar de diensten van google te gebruiken, want microsoft's freemail is abominabel.

Bergen 1 oktober 2021 14:03

Was er niet een systeem waarmee mailclients de mailinstellingen konden ophalen via DNS?

PD2JK

@Bergen • 1 oktober 2021 14:19

Autodiscover? Hoewel dat weer MS Exchange-only is, al dan niet in Azure of on-prem.

1Ago @PD2JK • 1 oktober 2021 15:03

Autodiscover is niet MS-only. Andere mailclients ondersteunen dat ook, zoals Thunderbird bijvoorbeeld. Je kan Autodiscover ook gebruiken voor je eigen domeinnaam/mailhost, dat niet noodzakelijk gekoppeld is aan een MS-mailservice.

beerse @Bergen • 1 oktober 2021 16:02

In de dns staat in ieder geval het mx-record van het domein. Dat is om de mail server bij het mail adres te vinden.

Misschien bedoel je de vele configuratie opties die met dhcp mee gegeven kunnen worden. Daar staat nog veel meer in.

Bergen @beerse • 2 oktober 2021 11:15

Nee het gaat echt om DNS, maar ik herinnerde het me verkeerd. DNS wordt alleen gebruikt om de host te resolven die de settings kan leveren. De techniek heet autoconfig/autodiscover. Een ISP (bijvoorbeeld ziggo) zorgt dat autoconfig.ziggo.nl en autodiscover.ziggo.nl resolven naar een host die mailsettings kan leveren, in XML-formaat, en clients kunnen de settings ophalen via:

http://autoconfig.customer.com/mail/ config-v1.1.xml? emailaddress=user@customer.com
(spaties ingevoegd, anders wordt de url getruncate)

Als je dan in je mailclient je email-adres hebt ingevuld kan de mailclient automatisch de correcte binnenkomende en uitgaande server vinden, de poortsettings, en de security-settings. Een voorbeeld van de XML zie je hier.

Volgens mij is het oorspronkelijk bedacht voor Exchange, maar andere mailclients kunnen het natuurlijk ook gebruiken. Maar vooralsnog is Thunderbird de enige client die autoconfig gebruikt. Zonde dat dit niet van de grond is gekomen.

[Reactie gewijzigd door Bergen op 22 juli 2024 18:35]

beerse @Bergen • 2 oktober 2021 15:10

Voor de configuratie van exchange-clients kan ik mij niet voorstellen dat microsoft er veel moeite in heeft gestoken om dat via dns te doen:
De meeste systemen met exchange als mail-server zijn active-directory-domain gebonden. Daar komt de configuratie voor de client (lees: outlook) rechstreeks uit active-directory en/of rechtstreeks van de exchange server zelf. Hier is het active-direcotry-domain de spin in het web. Daarbij moet ik aantekenen dat de basis configuratie voor elk active-directory-domein in het bijgaande dns-domein is opgenomen, meestal als sub-domein '_tcp' of zo iets en als type 'srv'. DrGoogle verwijst onder andere naar: https://docs.microsoft.co...cess?view=exchserver-2019 en https://docs.microsoft.co...over?view=exchserver-2019.
Van de laatste pagina: Probeer eens op de commandline: 'nslookup -type=srv _autodiscover._tcp.` en dan in je eigen dns-domein.

Tozz @Bergen • 1 oktober 2021 14:19

Ja, maar dat staat hier compleet los van.

NielsFL @Bergen • 1 oktober 2021 20:00

Geen enkele recente mail client zal proberen te versturen via poort 25. Sommige "oudgedienden" zullen dat handmatig zo instellen, maar volgens de RFC's mag dat al heel lang niet meer en de meeste apps en providers volgen dat netjes. Dit zullen per default dus poort 587 gebruiken, ook als autodiscover niet aanwezig is.

beerse @Bergen • 2 oktober 2021 15:17

Voor msExchange en msOutlook heeft microsoft via het active-directory-domein veel basis configuratie in de bijgaande dns-domein gezet. Zie bijvoorbeeld https://docs.microsoft.co...over?view=exchserver-2019.

Voor Thunderbird is het iets anders: Die heeft volgens mij een eigen database die op basis van de dns-naam in je mail adres, het bijgaande mx-record (dat dus wel uit de dns) uiteindelijk een aardige basis configuratie vind. Al kan/zal thunderbird mogelijk ook de autodiscovery van microsoft kunnen volgen.

Bergen @beerse • 2 oktober 2021 15:57

Ja, dit is volgens mij de mailsettings-database van Thunderbird: https://autoconfig.thunderbird.net/v1.1/

Tozz @Bergen • 4 oktober 2021 16:44

Omdat poort 25 al een decennia niet relevant is voor mailclients. Die versturen mail over TCP/587 of TCP/465 ofwel de 'mail submission' poort. Poort 25 wordt uitsluitend gebruikt voor het uitwisselen van mailservers tussen servers onderling.

Wellicht dat er ISPs zijn waarbij TCP/25 nog werkt voor het injecteren van mail (mail submission), maar dat is dan puur ondersteuning van 'legacy' software.

Deze wijziging zal dan ook weinig tot geen effect hebben op mailclients.

CH4OS 1 oktober 2021 15:13

Ik denk dat het wat genuanceerder is dan men het hier brengt. Voor klanten gaat T-Mobile poort 25 blokkeren, om te voorkomen dat hun IP-ranges op spam blacklists terecht komen. Enerzijds kun je dan inderdaad de client instellen op een andere SMTP-server, maar je kunt ook gewoon de mail relayen via een zogenaamde smarthost. Op die manier hoeft geen enkele client de instellingen aan te passen en kun je alsnog mailen, doordat de mailserver eigenlijk alle te verzenden e-mail dan uitsluitend via de smarthost verzend. Als je dan toch al een eigen mail server hebt draaien, weten die gebruikers vast ook wel een smarthost in te stellen.

tweazer @CH4OS • 2 oktober 2021 12:10

Ik denk dat het wat genuanceerder is dan men het hier brengt. Voor klanten gaat T-Mobile poort 25 blokkeren, om te voorkomen dat hun IP-ranges op spam blacklists terecht komen.

Huh !? Om het blokkeren te voorkomen gaan ze het zelf blokkeren ? Klanten/dialup/dynamische ipadressen staan by default in ip blacklists. Aan email beheerders de keuze welke blacklists je gebruikt en hoe. Kortom een probleem verzonnen om langzaam maar zeker netneutraliteit te ondergraven.
Wat wil deutsche telekom met eenieders email ???

CH4OS @tweazer • 2 oktober 2021 12:20

Om te zorgen dat zakelijke klanten niet geslachtofferd worden (doordat de consument bijvoorbeeld een open relay heeft dankzij een trojan en daardoor een ip-range geblokkeerd wordt) en onterecht op blacklists komen?

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

tweazer @CH4OS • 2 oktober 2021 12:33

ip blocks gebeuren op ipnummer of ipblock.

Een zakelijke consument met een consumentenverbinding zal de lasten en lusten van die consumentenverbinding ervaren. Argumenten als "we belasten de dieselrijders extra omdat anders de benzinerijders zoveel moeten betalen" zijn niet rationeel..

Consumenten met een open relay hebben hun router opengezet, willen misschien zelfs openrelay zijn ? Is hun recht, net zoals je misschien een webserver thuis draait. Content en ge/misbruik is aan de gebruiker.

CH4OS @tweazer • 2 oktober 2021 12:35

En ip block in spam blacklists gaan op ip-range. Dat gaat echt niet met 1 ip adres tegelijk kan ik je vertellen.

tweazer @CH4OS • 2 oktober 2021 12:38

Dus wat doet een zakelijke gebruiker of de argumenten van een zakelijke gebruiker met een consumentenlijn ? Die heeft apparatuuur echt niet op een coaxlijntje/dsl/fiberthuisverbindinkje aangesloten hoor ?

CH4OS @tweazer • 2 oktober 2021 12:44

Het zit heel anders in elkaar. Stel, je hebt 100 IP-adressen, vijftig voor de consument (0-49) en vijfitg (50-99) voor zakelijk, beiden zijn qua netwerk gescheiden. Door IP-adres 34 (consument dus) wordt (doordat hij een trojan horse heeft draaien, of een verkeerde geconfigureerde mailserver heeft en daardoor een open relay geworden is) spammail verstuurd.

Het internet (de blacklist maintainers) pakt dat op en blokkeren voor de zekerheid de IP-range waar de spamverstuurder in zit (nummers 0-255 bijvoorbeeld), dan is de zakelijke klant (dat IP-adres 75 heeft) de dupe, doordat hij wel binnen die range valt, maar zijn mail wel op een degelijke manier heeft ingericht. Het internet ziet echter niet dat het gescheiden netwerken zijn en ziet dus alleen de IP-adressen.

De ontvangende mailservers zien echter dat de IP-range geblokkeerd is en zullen daarom de mail van IP nummer 75 weigeren omdat het voorkomt in de range die op de blacklist staat, terwijl zij verder totaal onschuldig zijn.

Nu twijfel ik er niet aan dat de meesten hier geen problemen zullen hebben bij het opzetten van een (eigen) mailserver. Het internet is echter groter dan de gemiddelde Tweaker met een eigen mailserver.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

tweazer @CH4OS • 2 oktober 2021 13:55

Zakelijke gebruikers kregen vroeger aparte ip blokken, andere ranges dan consumenten. Als dat verandert is gooien de ISP de dienstverlening op 1 hoop.
IP ranges worden overigens normaliter niet geblockt, wel geclassificeert. Aan partijen is het om die classificaties te gebruiken voor hun instellingen. Elk zichzelf respecterende zakelijke ISP en gebruiker kan elk van de in gebruik zijnde ipreeksen en ipadressen van de juiste classificatie (laten) voorzien.

Laatst heb ik als consument een ander ip adres gekregen, even de blacklist filters aanpassen en 1 minuut later kon ik op het nieuwe ip adress zonder dns blacklist, zelfs een dns whitelist entry weer verder ...

[Reactie gewijzigd door tweazer op 22 juli 2024 18:35]

CH4OS @tweazer • 2 oktober 2021 15:40

Zakelijke gebruikers kregen vroeger aparte ip blokken, andere ranges dan consumenten. Als dat verandert is gooien de ISP de dienstverlening op 1 hoop.

Ik heb het voorbeeld even klein en simpel gehouden, om het behapbaar te maken wat er gebeurd. Het gebeurde tien jaar geleden al veelvuldig, het gebeurd vandaag de dag blijkbaar nog. Daarbij: voor het internet zijn er geen vaste blokken IP-adressen 'voor consumenten' of 'voor zakelijke klanten'. Sterker nog, toen ik bij Vodafone Thuis internet had (tegenwoordig T-Mobile Thuis), had ik in den beginne volgens geoip databases een IP-adres uit Djibouti. IP-block overgekocht vanuit Djibouti door Vodafone thuis. Heeft weken geduurd eer ik door vele systemen als Nederlander werd herkend.

Geen idee wat voor IP-adres het in het verleden was toen het IP-adres nog wel bij een provider in Djibouti zat, wellicht was het zakelijk, maar niet meer gebruikt en dus verkocht.

Dat gebeurd wel meer en vaker, kan ik je vertellen. Zeker nu de IPv4 adressen bijna op zijn.

IP ranges worden overigens normaliter niet geblockt, wel geclassificeert. Aan partijen is het om die classificaties te gebruiken voor hun instellingen. Elk zichzelf respecterende zakelijke ISP en gebruiker kan elk van de in gebruik zijnde ipreeksen en ipadressen van de juiste classificatie (laten) voorzien.

Tja, classificatie, block... Same difference in dit geval; links- of rechtsom wordt binnenkomende e-mail waarvan de bron in die IP-range zit geweigerd.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

King4589 1 oktober 2021 14:00

Het zou ze meer gesierd hebben als ze het standaard uit zetten, maar dat je ergens via hun website aan kunt geven dat je het wel wil gebruiken.

dasiro @King4589 • 1 oktober 2021 14:09

als je een mailserver kan opzetten dan is het voor jou ook niet zo moeilijk om de poort te herconfigureren + je firewall rule aan te passen

webkiller71 @dasiro • 1 oktober 2021 14:23

Dan ga je er aan voorbij dat als je mailserver ook naar andere mailservers wil versturen. Soms draaien die alleen op poort 25. Dit betekent dat je op je thuisverbinding geen echte mailserver meer kan draaien. Of dat ooit echt een goed idee was kun je betwijfelen, maar nu is het onmogelijk.

Tadango @webkiller71 • 1 oktober 2021 14:46

Ziggo heeft deze beperking al jaren. Je stelt simpelweg een relay host in van Ziggo voor het uitgaande verkeer. Dat werkt al jaren prima hier. Voor het inkomende heb ik een spam filter dienst die het doorstuurt naar een custom poort thuis, werkt ook prima.

tweazer @Tadango • 2 oktober 2021 12:12

Waarom wil ziggo inzage in al je email verkeer ?

RGAT @dasiro • 1 oktober 2021 14:22

Ik heb een eigen mailserver draaien en heb die vanaf dag 1 al op 587 gezet, nooit gedacht dat poort 25 open stond eigenlijk

Zo gewend van de andere ISPs, iets met aannames enz

hackerhater @RGAT • 1 oktober 2021 14:25

Om mail naar je eigen mailserver te brengen voor verzending is poort 587 inderdaad prima.
Maar voor server to server heb je toch echt poort 25 nodig.
Maar op een consumenten-connectie je eigen mail-server draaien?

RGAT @hackerhater • 1 oktober 2021 14:30

Je bent toch een Tweaker(t)?

En upstream gaat het via smarthosts over 587, ik geloof dat de mijne nog Microsofts' smarthost gebruikt.
Uiteraard niets mission-critical maar het is toch leuk om te tweaken?

hackerhater @RGAT • 1 oktober 2021 14:33

Zeker het is leuk, daarom heb ik ook een prosumer-provider (Freedom) en niet een pure consumenten provider als T-Mobile (Thuis). Just zodat ik zo'n dingen kan doen.
Maar voor Jan-met-de-pet is poort 25 dicht iets goeds.

Travelan 1 oktober 2021 17:54

Ergens vind ik het niet passen om poorten te blokkeren en dan nog beweren dat we netneutraliteit hebben. Op zijn minst vind ik dat het een opt-in of opt-out moet zijn.

CH4OS @Travelan • 2 oktober 2021 12:25

Poorten blokkeren heeft totaal níets met netneutraliteit te maken. SMTP-verkeer wordt niet geblokkeerd, verkeer via een specifieke poort dat teveel misbruikt wordt (en andere, vooral zakelijke, klanten de dupe van worden) wel. Richt de SMTP-server goed in om problemen te voorkomen, echter zijn er ook genoeg virussen (trojans) die zelf een SMTP-server opzetten en de gebruikers dat zelf niet eens doorhebben, maar anderen dus wél last van kunnen hebben wanneer hun IP-adres opduikt in de anti-spam blacklist. Dat T-Mobile dit nu pas doet verwonderd me best enorm. Andere providers doen het al jaren. Ziggo doet dat sinds 2011 of zo al.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

Travelan @CH4OS • 2 oktober 2021 12:38

Een protocol blokkeren is helemaal link, maar een poort dichtzetten is gewoon al niet meer open. Als ik poort 25 wil gebruiken, kan ik dat nu niet meer. En dat vind ik dan toch echt mijn keuze. En als mijn ISP dat blokkeert, is het dus niet meer neutraal. Een eigen mailserver hosten zonder port 25 is erg lastig bijvoorbeeld. Geen eens een hele rare use case.

[Reactie gewijzigd door Travelan op 22 juli 2024 18:35]

CH4OS @Travelan • 2 oktober 2021 12:48

Een protocol blokkeren zou betekenen dat er geen netneutraliteit is en dat mag niet. Een poort standaard blokkeren, mag (gelukkig!) wel. Er zijn mogelijkheden te over om toch zelf een mailserver te kunnen draaien terwijl poort 25 dicht is voor de buitenwereld (en dat is echt niet moeilijk zoals jij beweerd, je kan dus gewoon doen wat je wilt doen, je moet alleen een kleine omweg maken, maar dat weerhoudt jou of een provider er niet van om SMTP-verkeer te blokkeren dus moeilijk is dat zeker niet!).

Bijvoorbeeld middels het opzetten van een smartrelay of smarthost (de MTA stuurt de mail dan dus door naar een andere MTA (bij voorkeur op hetzelfde netwerk) die de uiteindelijke bezorging doet nadat het zelf bijvoorbeeld de mail gecontroleerd heeft op virussen) of gewoon de SMTP-server juist te configureren zodat het een versleutelde verbinding gebruikt. Al in al kun je dus gewoon blijven e-mailen en SMTP blijven gebruiken.

Mocht je verder in discussie willen is dat prima, maar verdiep je alsjeblieft eerst even in de materie, met name wat netneutrailteit nu daadwerkelijk is (wat het behelst met name).

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

Travelan @CH4OS • 2 oktober 2021 19:35

Dus omdat mijn ISP mijn internet kreupel maakt moet ik een jumphost of relay gaan zitten opzetten. Kan ik die kosten dan bij T-Mobile declareren?

En verder Ben ik niet gediend van die opmerking op het eind. Je weet niet half. Dus met jou hoef ik zeker niet in discussie.

CH4OS @Travelan • 2 oktober 2021 22:20

Dus omdat mijn ISP mijn internet kreupel maakt moet ik een jumphost of relay gaan zitten opzetten. Kan ik die kosten dan bij T-Mobile declareren?

Een provider moet met meer gebruikers rekening houden dan de gebruikers die hier op Tweakers zitten. Uiteindelijk beschermen ze zichzelf en de zakelijke klanten. De wereld is groter dan jou. Wil je dit soort dingen wel kunnen en zelf de verantwoordelijkheden dragen, moet je gewoon een andere provider hebben, die weliswaar meer kost, maar je dan ook gewoon ervoor kiest omdat je kan doen wat je wilt.

En verder Ben ik niet gediend van die opmerking op het eind. Je weet niet half. Dus met jou hoef ik zeker niet in discussie.

Tot nu toe heb ik ook niets gezien waaruit blijkt dat je kennis van de materie hebt (en alles wat je dan post niet meer is dan een mening, wat verder ook prima is hoor, maar breng het dan niet als feit), dus dan is het ook niet raar dat ik zoiets zeg.

EDIT:
Overigens, mocht je per se poort 25 willen gebruiken, dan pak je toch lekker een zakelijke verbinding? Genoeg bedrijven die dat gewoon aan particulieren leveren als je per se poort 25 gebruiken wilt. Je bent dus vooral een storm in een glas water aan het maken.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

CH4OS @Travelan • 3 oktober 2021 00:50

Ben benieuwd waar je deze aannames vandaan haalt.

Travelan @CH4OS • 3 oktober 2021 22:31

Insgelijks :-)

tweazer @CH4OS • 2 oktober 2021 12:35

Je bent als ISP netneutraal (100% transparant) of niet. Zelfs maar 1 poort dichtzetten is niet netneutraal.

CH4OS @tweazer • 2 oktober 2021 12:46

SMTP-verkeer is niet voorbehouden aan poort 25. Je kunt prima SMTP-verkeer over een andere poort de wereld in slingeren als je dat zou willen. Netneutraliteit gaat over het gelijk behandelen van het soort verkeer, dat zegt echter niets over via welke snelweg het zou moeten gaan.

Netneutraliteit en poorten hebben echt niets met elkaar te maken, verdiep je even in hoe het werkt, als wat netneutraliteit daadwerkelijk is.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

CH4OS @tweazer • 2 oktober 2021 15:15

Je bent als ISP netneutraal (100% transparant) of niet. Zelfs maar 1 poort dichtzetten is niet netneutraal.

Kom maar met bronnen die aantonen wat je zegt.

Zo werkt de netneutraliteit namelijk echt niet. Het heeft ook echt niets met transparantie te maken, zolang al het soortgelijke verkeer, dezelfde behandeling krijgt. Prop je al het SMTP-verkeer door poort 587 (via een versleutelde verbinding) is dat ook prima. Een versleutelde verbinding is daarbij sowieso aan te raden, dus ook praktisch hoef je poort 25 niet meer open te hebben; gebruik gewoon de nieuwste middelen en beveilig de verbindingen en je bent van het hele probleem af. Plain SMTP alleen is gewoon niet veilig genoeg meer.

Netneutraliteit is de gelijke behandeling van internetverkeer, niet de middelen daarvoor. Als T-Mobile 'onbeperkt muziek luisteren' verkoopt, geldt dus op alle muziekdiensten die je luistert via hun internetverbinding en niet zerorating toepassen op enkel muziek van Spotify, tenzij je het als 'onbeperkt Spotify luisteren' verkoopt, ongeacht of dat over poort 80 (HTTP) of poort 443 (HTTPS) gaat.

Dat is wat netneutraliteit inhoudt, over welke poort dat gaat, dat zal de netneutraliteit echt worst wezen. Je kunt zelfs HTTP(S) verkeer door bijvoorbeeld poort 8080 proppen. Heck, je kan het zelfs door poort 32400 duwen zoals Plex dat bijvoorbeeld doet. Het gaat erom dat het soort verkeer niet gebonden is aan een poort, je kunt altijd afwijken van de 'standaard'.

Zo geldt dat ook voor SMTP, het is niet gebonden aan poort 25. Poort 25 is dus niet per se nodig en met alle apparaten tegenwoordig online bij steeds meer mensen (die soms ook minder technisch zijn dan wij) is het goed dat de ISP ook beschermende maatregelen treft om anderen niet (teveel) te benadelen. Wat gechargeerd gezegd: het blunderen van de een, hoeft niet een ander te benadelen. Voorkomen dat de een blundert, door uitgaand poort 25 te blokkeren, kan daarbij een prima redmiddel zijn. En zoals gezegd, het is common practice. Net als dat RPC in Windows ook niet meer open- of aanstaat naar de zoals dat ten tijde van Windows XP wel het geval was.

Als je een andere mening hebt siert het eenieder die te ventileren ipv als ongewenst te downvoten om andere menngen 'de mond te snoeren'.

Gezien je op mij reageert, kan ik jou niet modereren (juist om downmodding door mij tegen te gaan!). Probeer deze reactie van mij op jou maaar eens te downmodden, als je mij niet gelooft.

Dus graag de valse beschuldigingen verwijderen. Het moderatiesysteem werkt daarnaast op inhoud, niet op mening. Het is niet raar als een reactie die volhoudend is maar het inhoudelijk niet klopt op -1 komt, kan ik je vertellen. Zie voor de werking reviews: Tweakers.net moderatie FAQ, mocht je het oneens zijn met de moderatie op jouw reactie, verwijs ik je naar Het kleine-mismoderatietopic deel XXX, omdat ik jou niet kan helpen hierbij.

[Reactie gewijzigd door CH4OS op 22 juli 2024 18:35]

CH4OS @tweazer • 2 oktober 2021 17:11

Ik zou zeggen, probeer het en je weet het.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (181)

Sorteer op:

Weergave: