Versi bahasa Inggris dari pos
Tiket Masalah yang sepenuhnya rutin untuk dukungan teknis kami mengungkapkan pemblokiran aneh lain dari komunitas layanan Protonmail, yang menghormati kebebasan Internetnya, di beberapa jaringan Rusia. Saya tidak ingin mengeksploitasi "headline kuning," tetapi ceritanya aneh dan agak keterlaluan.
TL; DR
Catatan penting: penguraian berlanjut dan sejauh ini semuanya sedang dalam proses. Mungkin tidak ada anak laki-laki, tetapi kemungkinan besar ada. Akan ditambah ketika informasi baru tersedia.
Operator telekomunikasi Rusia terbesar MTS dan Rostelecom memblokir lalu lintas ke server SMTP layanan email Protonmail melalui surat dari FSB. Tampaknya, itu sudah cukup lama, tetapi sejauh ini tidak ada yang memberi perhatian. Dan inilah kita.
WTF dan pembakaran berlanjut, semua peserta menerima permintaan yang relevan dan harus memberikan jawaban yang beralasan.
UPD: MTS menyediakan pemindaian surat FSB, yang digunakan untuk memblokir. Motivasi: Universiade dan "terorisme telepon". Sehingga surat-surat dari ProtonMail tidak jatuh ke alamat yang mengganggu dari layanan spa dan sekolah.
UPD: Protonmail terkejut dengan metode penanganan penipuan dalam "orang-orang Rusia yang aneh ini" dan menyarankan jenis perjuangan yang lebih efektif melalui kotak surat penyalahgunaan.
UPD: Konsep gagah perjuangan FSB melawan alamat palsu tidak tahan terhadap kritik: mereka memecah surat masuk ke ProtonMail dan tidak mengirim surat dengan surat.
UPD: Protonmail mengangkat bahu dan mengubah alamat IP MX mereka, sehingga menghapusnya agar tidak diblokir oleh email khusus ini. Pertanyaannya adalah apa yang akan lebih terbuka.
UPD: Rupanya, surat semacam itu bukan satu dan masih ada satu set alamat IP dari layanan VOIP yang diblokir secara tidak terdaftar.
UPD: Ketika cerita mulai menyebar di luar Runet, kami menyiapkan terjemahan ke dalam bahasa Inggris, tautan di atas.
Kami menyukai pengguna Habra kami karena fakta bahwa mereka secara teknis cerdas. Pengguna yang mengerti teknis tahu apa itu "kebersihan komputer". Beberapa pengguna kami memutuskan untuk menggunakan layanan "email aman" Protonmail . Kami mengesampingkan diskusi tentang layanan itu sendiri, produk dan model bisnis mereka, kami hanya akan membahas poin teknis yang signifikan.
Setiap hari kami mengirim banyak email kepada pengguna kami, dan karena kami khawatir tentang independensi dan privasi mereka, kami tidak menggunakan layanan distribusi email pihak ketiga (ESP) untuk mengirim sebagian besar jenis pesan. Untuk melakukan ini, kami menggunakan kapasitas kami, dari server bare-metal dan MX-server yang dikendalikan oleh kami, hingga enkripsi koneksi dan kepemilikan alamat IP independen kami.
Minggu lalu kami menerima banyak panggilan dari para pengguna Protonmail ke sistem dukungan tiket kami yang tidak dapat dihubungi surat-surat kami.
Tentu saja, respons dasar dari dukungan teknis kami adalah saran untuk mencari solusi tipikal lainnya untuk masalah tipikal dalam spam, tetapi volume permintaan mendorong kami untuk memahami masalah ini secara lebih rinci. Dan kemudian bungkus semuanya ...
Deskripsi singkat tentang cara kerja emailUntuk sebagian besar pengguna Internet modern, penggunaan e-mail terdiri dari browser yang memasukkan "kotak pribadi" di situs web penyedia layanan email, menyusun dan mengirim surat kepada penerima melalui antarmuka web yang sama. Dengan bantuan sihir, setelah beberapa saat, surat itu muncul di antarmuka web layanan email penerima.
Jadi: sihirnya disebut SMTP (esmtp, tepatnya). Server pengirim mengekstrak bagian domain (setelah @) dari alamat kotak surat penerima dan membuat kueri DNS untuk mendapatkan daftar server MX dari domain penerima. Sepertinya ini untuk support@habr.team:
MX-server, secara harfiah "server pertukaran surat" (exchange mail). Ini menunjukkan layanan email mana yang digunakan untuk menerima domain email penerima. Untuk lebih tepatnya, melalui server email mana domain hosting penerima menerima surat. Yaitu, contoh di atas menunjukkan bahwa server email untuk domain habr.team kami berlokasi di server Google (g. Suite).
Setelah membuat daftar server MX penerima, esmtp diakses ke server dengan nomor prioritas terendah untuk mentransfer email ke pengguna. Lebih dari satu, jumlah server dalam daftar dibuat untuk memastikan toleransi kesalahan, karena konektivitas Internet sering bersyarat.
Transfer pesan terlihat seperti ini:
Catatan penting: surat dari domain tertentu tidak berkewajiban meninggalkan penerima dari server MX yang ditentukan dalam DNS, mekanisme ini hanya digunakan untuk surat masuk. Email keluar dari domain dapat dikirim melalui server lain, daftar perkiraan yang ditunjukkan, sebagai aturan, dalam catatan SPF yang berbeda.
Kami mulai mengambil log surat dan menemukan bahwa koneksi server kami dengan Protonmail MX-server (185.70.40.40.101, 185.70.40.40.102) berakhir dengan timeout jaringan. Ini terlihat aneh karena sejumlah alasan dan mirip dengan menggunakan mekanisme pemblokiran yang dilakukan di Rusia.
Tentu saja, saya dengan liar meminta maaf, tetapi di sini ada spoiler lain: secara singkat tentang bagaimana Internet, sistem otonom, dan perutean global bekerjaSecara umum, istilah "Internet" secara harfiah diterjemahkan kira-kira sebagai "Antar-Jaringan", itu dapat diterjemahkan sebagai "Jaringan jaringan" dan "Jaringan", seperti yang orang suka. Sebenarnya, Internet tidak memiliki "pusat teknis" (sebagai lawan dari "pusat organisasi"), itu adalah asosiasi dari berbagai jaringan yang seolah-olah sama satu sama lain, meskipun ada jaringan "lebih sama" daripada yang lain, tetapi ini adalah cerita lain. Jaringan disebut "Sistem Otonomi" (AS) dan saling berhubungan oleh sambungan (rekan). Setiap sistem otonom memiliki nomor unik yang dengannya ia diidentifikasi oleh sistem otonom lain di Internet. Sepertinya alamat IP, tetapi dengan lebih banyak "sapuan kuas besar". Setiap jaringan menerima data dari yang bertetangga tentang topologi koneksinya dengan tetangganya, koneksi tetangganya dengan tetangganya, dan sebagainya. Artinya, peta koneksi sistem otonom satu sama lain dalam hal persimpangan ini. Jalur pada peta ini dari satu sistem otonom ke yang lain disebut jalur AS.
Sebagai contoh, kami memiliki Nomor Sistem Autonomous (ASN) 204671 , server Protonmail terletak di jaringan salah satu perusahaan jaringan Amerika terbesar Neustar, yang memiliki ASN 19905 . Kami memiliki dua antarmuka dengan berbagai penyedia layanan Internet, yaitu, dua kemungkinan jalur AS dari kami ke jaringan Neustar. Karena beberapa alasan, sambungan dengan salah satu operator MGTS adalah prioritas yang lebih tinggi bagi kami, sehingga jalur AS adalah sebagai berikut: 204671 (Kami) - 57681 (MGTS) - 8359 (MTS) - 22822 (Limelight) - 19905 (Neustar)
Peta terlihat seperti ini:
Traceroute ke salah satu dari dua server Protonmail MX berakhir di jaringan MTS dan terlihat seperti ini:
GW-Core-R3#traceroute ip 185.70.40.101 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 185.70.40.101
VRF info: (vrf in name/id, vrf out name/id)
1 185.2.126.73 [AS 57681] 2 msec
2 212.188.12.73 [AS 8359] 2 msec
3 195.34.50.73 [AS 8359] 3 msec
4 212.188.55.2 [AS 8359] 3 msec
5 *
6 *
7 *
8 *
Neustar Limelight:
GW-Core-R3#traceroute ip 156.154.208.234 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 156.154.208.234
VRF info: (vrf in name/id, vrf out name/id)
1 185.2.126.73 [AS 57681] 2 msec
2 212.188.12.73 [AS 8359] 2 msec
3 212.188.2.37 [AS 8359] 14 msec
4 212.188.54.2 [AS 8359] 20 msec
5 195.34.50.146 [AS 8359] 27 msec
6 195.34.38.54 [AS 8359] 37 msec
7 68.142.82.159 [AS 22822] 26 msec
8 *
9 156.154.208.234 [AS 19905] 26 msec
MX- Protonmail ( Neustar, , ):
$ traceroute -a 185.70.40.101
traceroute to 185.70.40.101 (185.70.40.101), 64 hops max, 52 byte packets
1 [AS49063] hidden (hidden) 5.149 ms 268.571 ms 6.707 ms
2 [AS49063] 185.99.11.146 (185.99.11.146) 5.161 ms 6.317 ms 5.476 ms
3 [AS0] 10.200.16.128 (10.200.16.128) 5.588 ms
[AS0] 10.200.16.176 (10.200.16.176) 5.225 ms
[AS0] 10.200.16.130 (10.200.16.130) 5.001 ms
4 [AS0] 10.200.16.49 (10.200.16.49) 6.480 ms
[AS0] 10.200.16.156 (10.200.16.156) 5.439 ms 7.469 ms
5 [AS20764] 80-64-98-234.rascom.as20764.net (80.64.98.234) 6.208 ms 9.301 ms 6.348 ms
6 [AS20764] 80-64-100-102.rascom.as20764.net (80.64.100.102) 24.281 ms
[AS20764] 80-64-100-86.rascom.as20764.net (80.64.100.86) 54.632 ms 23.936 ms
7 [AS20764] 81-27-254-223.rascom.as20764.net (81.27.254.223) 27.589 ms 116.438 ms 27.348 ms
8 [AS22822] siteprotect.security.neustar (68.142.82.153) 28.683 ms 25.376 ms 41.489 ms
, traceroute , , , looking glass :
, . , , IP-:
, « », - . « », .
. , , .
. : « , , ». , , . : , 12/T/3/1-94 25.02.2019, -, .
- .
:
:
. - « . -, , -, » « , , , , … , , , . " " = ), , )». , , , «», « », « » , .
, , .
— , MX- RIPE Atlas, , : , , , , ( MX- Protonmail , MX- Protonmail ). , ( MX- Protonmail , MX- Protonmail )
, :
, . « », — 2019:
Protonmail reddit, TechCrunch, , :
, , . , , . , , SMTP- , MX- — . , , , . :
- , ( , , - «nslookup »);
- ( );
- , .
: ProtonMail , IP-, . 185.70.40.101 185.70.40.102, :
ProtonMail TechCrunch , , , , :
ProtonMail chief executive Andy Yen called the block “particularly sneaky,” in an email to TechCrunch.
“ProtonMail is not blocked in the normal way, it’s actually a bit more subtle,” said Yen. “They are blocking access to ProtonMail mail servers. So Mail.ru — and most other Russian mail servers — for example, is no longer able to deliver email to ProtonMail, but a Russian user has no problem getting to their inbox,” he said.
“The wholesale blocking of ProtonMail in a way that hurts all Russian citizens who want greater online security seems like a poor approach,” said Yen. He said his service offers superior security and encryption to other mail providing rivals in the country.
“We have also implemented technical measures to ensure continued service for our users in Russia and we have been making good progress in this regard,” he explained. “If there is indeed a legitimate legal complaint, we encourage the Russian government to reconsider their position and solve problems by following established international law and legal procedures.”
— ProtonMail chief executive Andy Yen @ TechCrunch
, Protonmail IP- MX 185.70.40.101 185.70.40.103, . — .
, , email- IP-. .
, ? , ZaTelecom :
, , , , : AS Neustar , /32 .
, : SMTP- . Web- SMTP- , . , ProtonMail MX.
, , 1/(8+) , , . , . , . . « », . , , , - , .
, . , . , , , , , , , .
, Protonmail, Protonmail , Protonmail , . , , .
, - :