C贸mo se bloquea Protonmail en Rusia

Versi贸n en ingl茅s de la publicaci贸n


Un ticket de problema completamente rutinario para nuestro soporte t茅cnico revel贸 otro extra帽o bloqueo del servicio Protonmail, que es bastante respetable por su libertad en Internet, en algunas redes rusas. No quisiera explotar el "titular amarillo", pero la historia es extra帽a y algo escandalosa.


TL; DR


Nota importante: el an谩lisis contin煤a y hasta ahora todo est谩 en proceso. Tal vez no hay ni帽o, pero lo m谩s probable es que s铆. Se complementar谩 a medida que haya nueva informaci贸n disponible.


Los mayores operadores de telecomunicaciones rusos MTS y Rostelecom est谩n bloqueando el tr谩fico a los servidores SMTP del servicio de correo electr贸nico seguro Protonmail por carta del FSB. Aparentemente, ha sido lo suficientemente largo, pero hasta ahora nadie ha prestado mucha atenci贸n. Y aqui estamos.


WTF y la grabaci贸n contin煤a, todos los participantes recibieron solicitudes relevantes y deben proporcionar respuestas razonadas.


UPD: MTS proporcion贸 un escaneo de la letra FSB, que se utiliza para bloquear. Motivaci贸n: Universiada y "terrorismo telef贸nico". Para que las cartas de ProtonMail no caigan en las direcciones inquietantes de los servicios de spa y las escuelas.


UPD: Protonmail se sorprendi贸 de los m茅todos para lidiar con el fraude en "estos extra帽os rusos" y aconsej贸 un tipo m谩s efectivo de lucha a trav茅s del buz贸n de abuso.


UPD: El concepto galante de la lucha del FSB contra las falsas apelaciones no se mantuvo: la carta rompi贸 el correo entrante a ProtonMail, y no el saliente.


UPD: Protonmail se encogi贸 de hombros y cambi贸 las direcciones IP de sus MX, evitando as铆 que sean bloqueados por este correo electr贸nico espec铆fico. La pregunta es qu茅 se abrir谩 a煤n m谩s.


UPD: Aparentemente, dicha carta no es una y todav铆a hay un conjunto de direcciones IP de servicios VOIP que est谩n bloqueadas de manera no registral.


UPD: A medida que la historia comenz贸 a extenderse fuera del Runet, preparamos una traducci贸n al ingl茅s, el enlace en la parte superior.


Amamos a nuestros usuarios de Habra por el hecho de que son t茅cnicamente inteligentes. Los usuarios con conocimientos t茅cnicos saben lo que es "higiene inform谩tica". Algunos de nuestros usuarios decidieron utilizar el servicio de "correo electr贸nico seguro" de Protonmail . Dejamos de lado la discusi贸n del servicio en s铆, su producto y modelo de negocio, discutiremos solo puntos t茅cnicos significativos.


Todos los d铆as enviamos muchos correos electr贸nicos a nuestros usuarios, y como nos preocupa nuestra independencia y su privacidad, no utilizamos servicios de distribuci贸n de correo electr贸nico (ESP) de terceros para enviar la mayor铆a de los tipos de mensajes. Para hacer esto, utilizamos nuestras capacidades, desde servidores de metal desnudo y servidores MX controlados por nosotros, hasta el cifrado de conexiones y la propiedad de nuestras direcciones IP independientes.


La semana pasada recibimos muchas llamadas de usuarios de Protonmail a nuestro sistema de soporte de tickets para que nuestras cartas no les llegaran.




Por supuesto, la respuesta b谩sica de nuestro soporte t茅cnico fue la sugerencia de buscar otras soluciones t铆picas a problemas t铆picos en el correo no deseado, pero el volumen de solicitudes nos llev贸 a comprender el problema con m谩s detalle. Y luego envu茅lvelo todo ...


Breve descripci贸n de c贸mo funciona el correo electr贸nico

Para la mayor铆a de los usuarios modernos de Internet, el uso del correo electr贸nico consiste en un navegador que ingresa a la "casilla personal" en el sitio web del proveedor de servicios de correo electr贸nico, redacta y env铆a una carta al destinatario a trav茅s de la misma interfaz web. Con la ayuda de un poco de magia, despu茅s de un momento, la carta aparece en la interfaz web del servicio de correo electr贸nico del destinatario.


Entonces: la magia se llama SMTP (esmtp, para ser precisos). El servidor del remitente extrae la parte del dominio (despu茅s de @) de la direcci贸n del buz贸n del destinatario y realiza una consulta DNS para obtener una lista de los servidores MX del dominio del destinatario. Se parece a esto para support@habr.team:



Servidor MX, literalmente "servidor de intercambio de correo" (intercambio de correo). Indica en qu茅 servicio de correo electr贸nico se encuentra el correo electr贸nico de dominio del destinatario. Para ser m谩s precisos, a trav茅s de qu茅 servidores de correo electr贸nico recibe el correo el dominio de alojamiento del destinatario. Es decir, el ejemplo anterior muestra que los servidores de correo de nuestro dominio habr.team se encuentran en los servidores de Google (g. Suite).


Despu茅s de establecer la lista de servidores MX destinatarios, se accede a esmtp (s) al servidor con el n煤mero de prioridad m谩s bajo para transferir el correo al usuario. M谩s de uno, el n煤mero de servidores en la lista se hace para garantizar la tolerancia a fallas, ya que la conectividad a Internet es a menudo condicional.


La transferencia de mensajes se ve as铆:



Una nota importante: el correo de un determinado dominio no est谩 obligado a dejar destinatarios de los servidores MX especificados en DNS, este mecanismo se usa solo para el correo entrante. El correo saliente de un dominio se puede transmitir a trav茅s de otros servidores, cuya lista aproximada se indica, por regla general, en un registro SPF diferente.


Comenzamos a recoger registros de correo y descubrimos que las conexiones de nuestros servidores con los servidores Protonmail MX (185.70.40.40.101, 185.70.40.40.102) terminaban con tiempos de espera de red. Esto parec铆a extra帽o por varias razones y fue similar al uso del mecanismo de bloqueo practicado en Rusia.


Por supuesto, pido disculpas, pero aqu铆 hay otro spoiler: brevemente sobre c贸mo funcionan Internet, los sistemas aut贸nomos y el enrutamiento global

En general, el t茅rmino "Internet" se traduce literalmente como "Inter-Network", se puede traducir como "Red de redes" y "Networking", como a cualquiera le gusta. De hecho, Internet no tiene un "centro t茅cnico" (a diferencia de un "centro organizativo"), es una asociaci贸n de varias redes que son iguales entre s铆, aunque hay redes "m谩s iguales" que otras, pero esta es otra historia. Las redes se denominan "Sistemas aut贸nomos" (AS) y est谩n interconectadas por uniones (pares). Cada sistema aut贸nomo tiene un n煤mero 煤nico por el cual es identificado por otro sistema aut贸nomo en Internet. Parece direcciones IP, pero con m谩s "grandes pinceladas". Cada red recibe datos del vecino sobre la topolog铆a de sus conexiones con sus vecinos, la conexi贸n de sus vecinos con sus vecinos, etc. Es decir, un mapa de las conexiones de sistemas aut贸nomos entre s铆 en t茅rminos de esta uni贸n. La ruta en este mapa de un sistema aut贸nomo a otro se llama ruta AS.


Por ejemplo, tenemos un n煤mero de sistema aut贸nomo (ASN) 204671 , los servidores de Protonmail est谩n ubicados en la red de una de las corporaciones de red m谩s grandes de Estados Unidos, Neustar, que tiene ASN 19905 . Tenemos dos interfaces con varios proveedores de servicios de Internet, es decir, dos posibles rutas AS desde nosotros a la red Neustar. Por varias razones, la uni贸n con uno de los operadores de MGTS es de mayor prioridad para nosotros, por lo que la ruta AS es la siguiente: 204671 (We) - 57681 (MGTS) - 8359 (MTS) - 22822 (Limelight) - 19905 (Neustar)


El mapa se ve as铆:



Traceroute a cualquiera de los dos servidores Protonmail MX termin贸 en la red MTS y se parec铆a a esto:


GW-Core-R3#traceroute ip 185.70.40.101 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 185.70.40.101
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 195.34.50.73 [AS 8359] 3 msec
  4 212.188.55.2 [AS 8359] 3 msec
  5  * 
  6  * 
  7  * 
  8  * 

Neustar Limelight:


GW-Core-R3#traceroute ip 156.154.208.234 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 156.154.208.234
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 212.188.2.37 [AS 8359] 14 msec
  4 212.188.54.2 [AS 8359] 20 msec
  5 195.34.50.146 [AS 8359] 27 msec
  6 195.34.38.54 [AS 8359] 37 msec
  7 68.142.82.159 [AS 22822] 26 msec
  8  * 
  9 156.154.208.234 [AS 19905] 26 msec

MX- Protonmail ( Neustar, , ):


$ traceroute -a 185.70.40.101
traceroute to 185.70.40.101 (185.70.40.101), 64 hops max, 52 byte packets
 1  [AS49063] hidden (hidden)  5.149 ms  268.571 ms  6.707 ms
 2  [AS49063] 185.99.11.146 (185.99.11.146)  5.161 ms  6.317 ms  5.476 ms
 3  [AS0] 10.200.16.128 (10.200.16.128)  5.588 ms
    [AS0] 10.200.16.176 (10.200.16.176)  5.225 ms
    [AS0] 10.200.16.130 (10.200.16.130)  5.001 ms
 4  [AS0] 10.200.16.49 (10.200.16.49)  6.480 ms
    [AS0] 10.200.16.156 (10.200.16.156)  5.439 ms  7.469 ms
 5  [AS20764] 80-64-98-234.rascom.as20764.net (80.64.98.234)  6.208 ms  9.301 ms  6.348 ms
 6  [AS20764] 80-64-100-102.rascom.as20764.net (80.64.100.102)  24.281 ms
    [AS20764] 80-64-100-86.rascom.as20764.net (80.64.100.86)  54.632 ms  23.936 ms
 7  [AS20764] 81-27-254-223.rascom.as20764.net (81.27.254.223)  27.589 ms  116.438 ms  27.348 ms
 8  [AS22822] siteprotect.security.neustar (68.142.82.153)  28.683 ms  25.376 ms  41.489 ms

, traceroute , , , looking glass :



, . , , IP-:






, 芦 禄, - . 芦 禄, .


. , , .


. : 芦 , , 禄. , , . : , 12/T/3/1-94 25.02.2019, -, .



- .


:



:



. - 芦 . -, , -, 禄 芦 , , , , 鈥 , , , . " " = ), , )禄. , , , 芦禄, 芦 禄, 芦 禄 , .


, , .




鈥 , MX- RIPE Atlas, , : , , , , ( MX- Protonmail , MX- Protonmail ). , ( MX- Protonmail , MX- Protonmail )


, :



, . 芦 禄, 鈥 2019:




Protonmail reddit, TechCrunch, , :



, , . , , . , , SMTP- , MX- 鈥 . , , , . :


  • , ( , , - 芦nslookup 禄);
  • ( );
  • , .

: ProtonMail , IP-, . 185.70.40.101 185.70.40.102, :



ProtonMail TechCrunch , , , , :


ProtonMail chief executive Andy Yen called the block 鈥減articularly sneaky,鈥 in an email to TechCrunch.

鈥淧rotonMail is not blocked in the normal way, it鈥檚 actually a bit more subtle,鈥 said Yen. 鈥淭hey are blocking access to ProtonMail mail servers. So Mail.ru 鈥 and most other Russian mail servers 鈥 for example, is no longer able to deliver email to ProtonMail, but a Russian user has no problem getting to their inbox,鈥 he said.

鈥淭he wholesale blocking of ProtonMail in a way that hurts all Russian citizens who want greater online security seems like a poor approach,鈥 said Yen. He said his service offers superior security and encryption to other mail providing rivals in the country.

鈥淲e have also implemented technical measures to ensure continued service for our users in Russia and we have been making good progress in this regard,鈥 he explained. 鈥淚f there is indeed a legitimate legal complaint, we encourage the Russian government to reconsider their position and solve problems by following established international law and legal procedures.鈥
鈥 ProtonMail chief executive Andy Yen @ TechCrunch

, Protonmail IP- MX 185.70.40.101 185.70.40.103, . 鈥 .


, , email- IP-. .


, ? , ZaTelecom :


, , , , : AS Neustar , /32 .





, : SMTP- . Web- SMTP- , . , ProtonMail MX.


, , 1/(8+) , , . , . , . . 芦 禄, . , , , - , .


, . , . , , , , , , , .


, Protonmail, Protonmail , Protonmail , . , , .



, - :

  • , .
  • ( ).
  • , , 芦禄 ( ) .

, : |


Source: https://habr.com/ru/post/443222/


All Articles