Geekly articles weekly

Comment Protonmail est bloqué en Russie

Version anglaise de l'article


Un Trouble Ticket complètement routinier à notre support technique a révélé un autre blocage étrange de la communauté de services Protonmail, qui est assez important pour la communauté respectueuse de la liberté d'Internet, dans certains réseaux russes. Je ne voudrais pas exploiter le «titre jaune», mais l'histoire est étrange et quelque peu scandaleuse.


TL; DR


Remarque importante: l'analyse continue et jusqu'à présent, tout est en cours. Peut-être n'y a-t-il pas de garçon, mais très probablement. Sera complété à mesure que de nouvelles informations seront disponibles.


Les plus grands opérateurs de télécommunications russes MTS et Rostelecom bloquent le trafic vers les serveurs SMTP du service de messagerie sécurisé Protonmail par lettre du FSB. Apparemment, cela a été assez long, mais personne n'a prêté beaucoup d'attention jusqu'à présent. Et nous y voilà.


WTF et la gravure continue, tous les participants ont reçu des demandes pertinentes et doivent fournir des réponses motivées.


UPD: MTS a fourni une analyse de la lettre FSB, qui est utilisée pour le blocage. Motivation: Universiades et «terrorisme téléphonique». Pour que les lettres de ProtonMail ne tombent pas dans les adresses inquiétantes des services de spa et des écoles.


UPD: Protonmail a été surpris par les méthodes de lutte contre la fraude chez "ces étranges Russes" et a conseillé un type de lutte plus efficace grâce à la boîte aux lettres contre les abus.


UPD: Le concept galant de la lutte du FSB contre les fausses adresses n'a pas résisté à la critique: ils ont cassé le courrier entrant à ProtonMail et non le courrier sortant avec une lettre.


UPD: Protonmail a haussé les épaules et changé les adresses IP de leurs MX, les empêchant ainsi d'être bloqués par cet e-mail spécifique. La question est de savoir ce qui sera encore ouvert.


UPD: Apparemment, une telle lettre n'en est pas une et il existe toujours un ensemble d'adresses IP de services VOIP qui sont bloquées de manière non enregistrée.


UPD: Alors que l'histoire commençait à se propager en dehors du Runet, nous avons préparé une traduction en anglais, le lien en haut.


Nous aimons nos utilisateurs Habra pour le fait qu'ils sont techniquement avertis. Les utilisateurs techniquement avertis savent ce qu'est «l'hygiène informatique». Certains de nos utilisateurs ont décidé d'utiliser le service «e-mail sécurisé» de Protonmail . Nous laissons de côté la discussion sur le service lui-même, son produit et son modèle économique, nous ne discuterons que des points techniques importants.


Chaque jour, nous envoyons de nombreux e-mails à nos utilisateurs, et comme nous nous soucions de notre indépendance et de leur confidentialité, nous n'utilisons pas de services de distribution de messagerie (ESP) tiers pour envoyer la plupart des types de messages. Pour ce faire, nous utilisons nos capacités, des serveurs bare-metal aux serveurs MX que nous contrôlons, au chiffrement des connexions et à la propriété de nos adresses IP indépendantes.


La semaine dernière, nous avons reçu de nombreux appels d'utilisateurs de Protonmail à notre système de support de ticket que nos lettres ne leur étaient pas parvenus.




Bien sûr, la réponse de base de notre support technique a été la suggestion de rechercher d'autres solutions typiques aux problèmes typiques de spam, mais le volume de demandes nous a incités à comprendre le problème plus en détail. Et puis enveloppez le tout ...


Brève description du fonctionnement du courrier électronique

Pour la plupart des internautes modernes, l'utilisation du courrier électronique consiste en un navigateur entrant dans la «boîte personnelle» sur le site Web du fournisseur de services de courrier électronique, composant et envoyant un courrier électronique au destinataire via la même interface Web. À l'aide d'un peu de magie, après un moment, la lettre apparaît dans l'interface Web du service de messagerie du destinataire.


Donc: la magie s'appelle SMTP (esmtp, pour être précis). Le serveur de l'expéditeur extrait la partie du domaine (après @) de l'adresse de boîte aux lettres du destinataire et effectue une requête DNS pour obtenir une liste des serveurs MX du domaine du destinataire. Cela ressemble à ceci pour support@habr.team:



Serveur MX, littéralement "serveur d'échange de courrier" (échange de courrier). Il indique sur quel service de messagerie le courrier électronique du domaine du destinataire est activé. Pour être plus précis, à travers quels serveurs de messagerie le domaine d'hébergement du destinataire reçoit le courrier. Autrement dit, l'exemple ci-dessus montre que les serveurs de messagerie de notre domaine habr.team sont situés sur des serveurs Google (g. Suite).


Après avoir établi la liste des serveurs MX destinataires, esmtp (s) est accédé au serveur avec le numéro de priorité le plus bas afin de transférer le courrier à l'utilisateur. Plus d'un, le nombre de serveurs de la liste est fait pour garantir la tolérance aux pannes, car la connectivité Internet est souvent conditionnelle.


Le transfert de message ressemble à ceci:



Remarque importante: le courrier d'un certain domaine n'est pas obligé de laisser les destinataires des serveurs MX spécifiés dans DNS, ce mécanisme est utilisé uniquement pour le courrier entrant. Le courrier sortant d'un domaine peut être transmis via d'autres serveurs, dont une liste approximative est indiquée, en règle générale, dans un enregistrement SPF différent.


Nous avons commencé à fouiller les journaux de messagerie et avons constaté que les connexions de nos serveurs avec les serveurs Protonmail MX (185.70.40.40.101, 185.70.40.40.102) se terminaient par des délais d'expiration du réseau. Cela semblait étrange pour un certain nombre de raisons et était similaire à l'utilisation du mécanisme de blocage pratiqué en Russie.


Bien sûr, je m'excuse énormément, mais voici un autre spoiler: brièvement sur le fonctionnement d'Internet, des systèmes autonomes et du routage mondial

En général, le terme «Internet» est littéralement traduit à peu près par «Inter-Network», il peut être traduit par «Network of networks» et «Networking», comme tout le monde le souhaite. En fait, Internet n'a pas de «centre technique» (par opposition à un «centre d'organisation»), c'est une association de différents réseaux qui sont comme égaux entre eux, bien qu'il existe des réseaux «plus égaux» que d'autres, mais c'est une autre histoire. Les réseaux sont appelés «systèmes autonomes» (AS) et sont interconnectés par des articulations (pairs). Chaque système autonome a un numéro unique par lequel il est identifié par un autre système autonome sur Internet. Il ressemble à des adresses IP, mais avec plus de «gros coups de pinceau». Chaque réseau reçoit des données du voisin sur la topologie de ses connexions avec ses voisins, la connexion de ses voisins avec leurs voisins, etc. Autrement dit, une carte des connexions des systèmes autonomes les uns aux autres en termes de cette jonction. Le chemin sur cette carte d'un système autonome à un autre est appelé chemin AS.


Par exemple, nous avons un numéro de système autonome (ASN) 204671 , les serveurs Protonmail sont situés dans le réseau de l'une des plus grandes sociétés de réseau américaines Neustar, qui a l'ASN 19905 . Nous avons deux interfaces avec différents fournisseurs de services Internet, c'est-à-dire deux chemins AS possibles de nous au réseau Neustar. Pour un certain nombre de raisons, nous avons une priorité avec l'un des opérateurs MGTS, donc le chemin AS est le suivant: 204671 (We) - 57681 (MGTS) - 8359 (MTS) - 22822 (Limelight) - 19905 (Neustar)


La carte ressemble à ceci:



Traceroute vers l'un des deux serveurs Protonmail MX s'est retrouvé sur le réseau MTS et ressemblait à ceci:


GW-Core-R3#traceroute ip 185.70.40.101 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 185.70.40.101
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 195.34.50.73 [AS 8359] 3 msec
  4 212.188.55.2 [AS 8359] 3 msec
  5  * 
  6  * 
  7  * 
  8  *

Neustar Limelight:


GW-Core-R3#traceroute ip 156.154.208.234 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 156.154.208.234
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 212.188.2.37 [AS 8359] 14 msec
  4 212.188.54.2 [AS 8359] 20 msec
  5 195.34.50.146 [AS 8359] 27 msec
  6 195.34.38.54 [AS 8359] 37 msec
  7 68.142.82.159 [AS 22822] 26 msec
  8  * 
  9 156.154.208.234 [AS 19905] 26 msec

MX- Protonmail ( Neustar, , ):


$ traceroute -a 185.70.40.101
traceroute to 185.70.40.101 (185.70.40.101), 64 hops max, 52 byte packets
 1  [AS49063] hidden (hidden)  5.149 ms  268.571 ms  6.707 ms
 2  [AS49063] 185.99.11.146 (185.99.11.146)  5.161 ms  6.317 ms  5.476 ms
 3  [AS0] 10.200.16.128 (10.200.16.128)  5.588 ms
    [AS0] 10.200.16.176 (10.200.16.176)  5.225 ms
    [AS0] 10.200.16.130 (10.200.16.130)  5.001 ms
 4  [AS0] 10.200.16.49 (10.200.16.49)  6.480 ms
    [AS0] 10.200.16.156 (10.200.16.156)  5.439 ms  7.469 ms
 5  [AS20764] 80-64-98-234.rascom.as20764.net (80.64.98.234)  6.208 ms  9.301 ms  6.348 ms
 6  [AS20764] 80-64-100-102.rascom.as20764.net (80.64.100.102)  24.281 ms
    [AS20764] 80-64-100-86.rascom.as20764.net (80.64.100.86)  54.632 ms  23.936 ms
 7  [AS20764] 81-27-254-223.rascom.as20764.net (81.27.254.223)  27.589 ms  116.438 ms  27.348 ms
 8  [AS22822] siteprotect.security.neustar (68.142.82.153)  28.683 ms  25.376 ms  41.489 ms

, traceroute , , , looking glass :



, . , , IP-:






, « », - . « », .


. , , .


. : « , , ». , , . : , 12/T/3/1-94 25.02.2019, -, .



- .


:



:



. - « . -, , -, » « , , , , … , , , . " " = ), , )». , , , «», « », « » , .


, , .




— , MX- RIPE Atlas, , : , , , , ( MX- Protonmail , MX- Protonmail ). , ( MX- Protonmail , MX- Protonmail )


, :



, . « », — 2019:




Protonmail reddit, TechCrunch, , :



, , . , , . , , SMTP- , MX- — . , , , . :


  • , ( , , - «nslookup »);
  • ( );
  • , .

: ProtonMail , IP-, . 185.70.40.101 185.70.40.102, :



ProtonMail TechCrunch , , , , :


ProtonMail chief executive Andy Yen called the block “particularly sneaky,” in an email to TechCrunch.

“ProtonMail is not blocked in the normal way, it’s actually a bit more subtle,” said Yen. “They are blocking access to ProtonMail mail servers. So Mail.ru — and most other Russian mail servers — for example, is no longer able to deliver email to ProtonMail, but a Russian user has no problem getting to their inbox,” he said.

“The wholesale blocking of ProtonMail in a way that hurts all Russian citizens who want greater online security seems like a poor approach,” said Yen. He said his service offers superior security and encryption to other mail providing rivals in the country.

“We have also implemented technical measures to ensure continued service for our users in Russia and we have been making good progress in this regard,” he explained. “If there is indeed a legitimate legal complaint, we encourage the Russian government to reconsider their position and solve problems by following established international law and legal procedures.”
— ProtonMail chief executive Andy Yen @ TechCrunch

, Protonmail IP- MX 185.70.40.101 185.70.40.103, . — .


, , email- IP-. .


, ? , ZaTelecom :


, , , , : AS Neustar , /32 .





, : SMTP- . Web- SMTP- , . , ProtonMail MX.


, , 1/(8+) , , . , . , . . « », . , , , - , .


, . , . , , , , , , , .


, Protonmail, Protonmail , Protonmail , . , , .



, - :

  • , .
  • ( ).
  • , , «» ( ) .

, : |


Source: https://habr.com/ru/post/fr443222/

More articles:


All Articles