Geekly articles weekly

Protonmail如何在俄罗斯被封锁

英文版帖子


一张我们技术支持人员的常规例行麻烦票显示,在俄罗斯的某些网络中,Protonmail服务受到了另一个奇怪的阻碍,该服务因其Internet自由而备受尊重。 我不想利用“黄色标题”,但是这个故事很奇怪,有些离谱。


TL; DR


重要说明:解析继续进行,到目前为止,所有过程都在进行中。 也许没有男孩,但很可能有男孩。 将在有新信息可用时进行补充。


俄罗斯最大的电信运营商MTS和Rostelecom通过FSB的来信阻止对Protonmail安全电子邮件服务SMTP服务器的通信。 显然,已经足够长了,但是到目前为止,还没有人关注太多。 我们到了。


WTF和继续燃烧,所有参与者都收到了相关请求,并且必须提供合理的答案。


UPD: MTS提供了对FSB字母的扫描,用于阻止。 动机:大运会和“电话恐怖主义”。 这样,来自ProtonMail的信件就不会落入水疗服务和学校的令人不安的地址中。


UPD: Protonmail对“这些陌生的俄罗斯人”中的欺诈处理方法感到惊讶,并建议通过滥用邮箱进行更有效的斗争。


UPD: FSB反对虚假上诉勇敢构想没有成立:这封信打断了发送给ProtonMail的邮件,而不是发送给ProtonMail的邮件。


UPD: Protonmail耸了耸肩,更改了MX的IP地址,从而使它们免受此特定电子邮件的阻止。 问题是什么将进一步开放。


UPD:显然,这样的字母不是一个字母,仍然有一组VOIP服务的IP地址被非注册阻止。


UPD:随着故事开始在Runet之外传播,我们准备了翻译成英文(顶部是链接)。


我们热爱Habra用户,因为他们精通技术。 精通技术的用户知道什么是“计算机卫生”。 我们的一些用户决定使用Protonmail的 “安全电子邮件” 服务 。 我们不讨论服务本身,其产品和业务模型,仅讨论重要的技术要点。


每天我们都会向用户发送大量电子邮件,并且由于我们担心自己的独立性和隐私性,因此我们不使用第三方电子邮件分发服务(ESP)来发送大多数类型的消息。 为此,我们利用了从我们控制的裸机服务器和MX服务器到连接的加密和独立IP地址所有权的能力。


上周,我们收到了来自Protonmail用户的许多电话支持,我们的票务支持系统没有收到我们的来信。




当然,我们技术支持的基本回应是建议针对垃圾邮件中的典型问题寻找其他典型解决方案,但是大量请求促使我们更详细地了解该问题。 然后把它全部包起来...


电子邮件工作原理的简短描述

对于大多数现代Internet用户而言,电子邮件的使用包括浏览器,该浏览器在电子邮件服务提供商的网站上输入“个人邮箱”,并通过相同的Web界面撰写并发送一封信给收件人。 借助某种魔术,片刻之后,该字母就会出现在收件人的电子邮件服务的Web界面中。


因此:魔术称为SMTP(准确地说是esmtp)。 发件人的服务器从收件人的邮箱地址中提取域部分(@之后),并进行DNS查询,以获取收件人域的MX服务器列表。 support@habr.team看起来像这样:



MX服务器,实际上是“邮件交换服务器”(邮件交换)。 它指示收件人的域电子邮件所使用的电子邮件服务。 更准确地说,收件人的托管域通过哪些电子邮件服务器接收邮件。 也就是说,上面的示例显示了我们的habr.team域的邮件服务器位于Google服务器(例如Suite)上。


建立收件人MX服务器列表之后,将esmtp访问优先级最低的服务器,以便将邮件传输给用户。 由于Internet连接通常是有条件的,因此列表中的服务器数量不止一个,以确保容错能力。


邮件传输看起来像这样:



重要说明:来自特定域的邮件没有义务离开DNS中指定的MX服务器的收件人,此机制仅用于传入邮件。 可以通过其他服务器传输来自域的外发邮件,通常,在其他SPF记录中指示其大概列表。


我们开始搜集邮件日志,发现我们的服务器与Protonmail MX服务器(185.70.40.40.101,185.70.40.40.102)的连接因网络超时而终止。 由于多种原因,这看起来很奇怪,类似于使用俄罗斯实行的封锁机制。


我当然道歉,但这是另一个破坏者:简要介绍互联网,自治系统和全局路由的工作方式

通常,“互联网”一词的字面翻译大致是“网络间”,任何人都可以将其翻译为“网络网络”和“网络”。 实际上,互联网没有“技术中心”(而不是“组织中心”),它是各种网络的相互关联,尽管彼此之间“平等”,但是这似乎又是另一回事。 网络称为“自治系统”(AS),并且通过接头(对等点)互连。 每个自治系统都有一个唯一的编号,该编号由Internet上的另一个自治系统标识。 它看起来像IP地址,但具有更多的“大笔触”。 每个网络都从邻居那里接收有关其与邻居的连接拓扑,邻居与邻居的连接等等的数据。 也就是说,就此结点而言,自治系统彼此之间的连接图。 该地图上从一个自治系统到另一个自治系统的路径称为AS路径。


例如,我们有一个自治系统号(ASN) 204671Protonmail服务器位于美国最大的网络公司Neustar之一的网络中,该公司的ASN 19905 。 我们与各种Internet服务提供商有两个接口,即从我们到Neustar网络的两个可能的AS路径。 由于多种原因,与MGTS运营商之一的联合对我们来说是更高的优先级,因此AS路径如下:204671(我们)-57681(MGTS)-8359(MTS)-22822(Limelight)-19905(Neustar)


该地图如下所示:



到两个Protonmail MX服务器之一的Traceroute最终在MTS网络上,看起来像这样:


GW-Core-R3#traceroute ip 185.70.40.101 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 185.70.40.101
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 195.34.50.73 [AS 8359] 3 msec
  4 212.188.55.2 [AS 8359] 3 msec
  5  * 
  6  * 
  7  * 
  8  *

Neustar Limelight:


GW-Core-R3#traceroute ip 156.154.208.234 probe 1 timeout 3
Type escape sequence to abort.
Tracing the route to 156.154.208.234
VRF info: (vrf in name/id, vrf out name/id)
  1 185.2.126.73 [AS 57681] 2 msec
  2 212.188.12.73 [AS 8359] 2 msec
  3 212.188.2.37 [AS 8359] 14 msec
  4 212.188.54.2 [AS 8359] 20 msec
  5 195.34.50.146 [AS 8359] 27 msec
  6 195.34.38.54 [AS 8359] 37 msec
  7 68.142.82.159 [AS 22822] 26 msec
  8  * 
  9 156.154.208.234 [AS 19905] 26 msec

MX- Protonmail ( Neustar, , ):


$ traceroute -a 185.70.40.101
traceroute to 185.70.40.101 (185.70.40.101), 64 hops max, 52 byte packets
 1  [AS49063] hidden (hidden)  5.149 ms  268.571 ms  6.707 ms
 2  [AS49063] 185.99.11.146 (185.99.11.146)  5.161 ms  6.317 ms  5.476 ms
 3  [AS0] 10.200.16.128 (10.200.16.128)  5.588 ms
    [AS0] 10.200.16.176 (10.200.16.176)  5.225 ms
    [AS0] 10.200.16.130 (10.200.16.130)  5.001 ms
 4  [AS0] 10.200.16.49 (10.200.16.49)  6.480 ms
    [AS0] 10.200.16.156 (10.200.16.156)  5.439 ms  7.469 ms
 5  [AS20764] 80-64-98-234.rascom.as20764.net (80.64.98.234)  6.208 ms  9.301 ms  6.348 ms
 6  [AS20764] 80-64-100-102.rascom.as20764.net (80.64.100.102)  24.281 ms
    [AS20764] 80-64-100-86.rascom.as20764.net (80.64.100.86)  54.632 ms  23.936 ms
 7  [AS20764] 81-27-254-223.rascom.as20764.net (81.27.254.223)  27.589 ms  116.438 ms  27.348 ms
 8  [AS22822] siteprotect.security.neustar (68.142.82.153)  28.683 ms  25.376 ms  41.489 ms

, traceroute , , , looking glass :



, . , , IP-:






, « », - . « », .


. , , .


. : « , , ». , , . : , 12/T/3/1-94 25.02.2019, -, .



- .


:



:



. - « . -, , -, » « , , , , … , , , . " " = ), , )». , , , «», « », « » , .


, , .




— , MX- RIPE Atlas, , : , , , , ( MX- Protonmail , MX- Protonmail ). , ( MX- Protonmail , MX- Protonmail )


, :



, . « », — 2019:




Protonmail reddit, TechCrunch, , :



, , . , , . , , SMTP- , MX- — . , , , . :


  • , ( , , - «nslookup »);
  • ( );
  • , .

: ProtonMail , IP-, . 185.70.40.101 185.70.40.102, :



ProtonMail TechCrunch , , , , :


ProtonMail chief executive Andy Yen called the block “particularly sneaky,” in an email to TechCrunch.

“ProtonMail is not blocked in the normal way, it’s actually a bit more subtle,” said Yen. “They are blocking access to ProtonMail mail servers. So Mail.ru — and most other Russian mail servers — for example, is no longer able to deliver email to ProtonMail, but a Russian user has no problem getting to their inbox,” he said.

“The wholesale blocking of ProtonMail in a way that hurts all Russian citizens who want greater online security seems like a poor approach,” said Yen. He said his service offers superior security and encryption to other mail providing rivals in the country.

“We have also implemented technical measures to ensure continued service for our users in Russia and we have been making good progress in this regard,” he explained. “If there is indeed a legitimate legal complaint, we encourage the Russian government to reconsider their position and solve problems by following established international law and legal procedures.”
— ProtonMail chief executive Andy Yen @ TechCrunch

, Protonmail IP- MX 185.70.40.101 185.70.40.103, . — .


, , email- IP-. .


, ? , ZaTelecom :


, , , , : AS Neustar , /32 .





, : SMTP- . Web- SMTP- , . , ProtonMail MX.


, , 1/(8+) , , . , . , . . « », . , , , - , .


, . , . , , , , , , , .


, Protonmail, Protonmail , Protonmail , . , , .



, - :

  • , .
  • ( ).
  • , , «» ( ) .

, : |


Source: https://habr.com/ru/post/zh-CN443222/

More articles:


All Articles