From ikiviestit at sll.fi Sat Mar 10 12:18:41 2018 From: ikiviestit at sll.fi (Pekka Saari) Date: Sat, 10 Mar 2018 12:18:41 +0200 (EET) Subject: [IKI-aktivistit] Uudelleenohjaus lakkasi toimimasta. Soneralla RATE LIMIT iki.fi-palvelimille? Message-ID: <1254.188.238.71.87.1520677121.squirrel@sll.fi> Hei, Liityin listalle, kun en l?yt?nyt tekniselle yll?pidolle yhteysosoitetta. N?ytt?? silt?, ett? Soneran postipalvelin blokkaa ainakin minun iki.fi-osoitteeni osalta iki.fi palvelinta molempiin suuntiin. Soneran virheilmoituksessa lukee "RATE LIMIT: PREVENTING HIGH VOLUME SENDING - 195.140.195.196 (FI)" Mainittu IP on nyssemenee.iki.fi. Samaa virhetta Sonera tarjoaa my?s palvelimelle 212.16.98.57 eilopu.iki.fi. Tarkempi kuvaus: Uudelleenohjaus iki.fi-osoitteestani Soneran pp.inet.fi osoitteeseeni lakkasi toimimasta perjantaina 9.3.2018. Viimeinen l?pi tullut viesti saapui perjantaina klo 12.30. Tein hallinnoimalleni ty?paikan postipalvelimelle oman tunnuksen ikiposteille, ja vaihdoin ohjauksen iki.fi-asetuksista. Nyt posti kulkee iki.fi-osoitteeseen ty?paikalta, Lycosista ja Gmailista, mutta ei edelleenk??n Soneran pp.inet.fi-osoitteesta. Soneran osoitteesta iki.fi-osoitteeseen testiviesti n?ytt?? l?hteneen, mutta perille se ei ole tullut, eik? viiv?stysilmoitusta ole n?kynyt: Message-Id: <69B4524A-75E1-4EB4-A90D-2547B4A11198 at iki.fi> X-Universally-Unique-Identifier: 0AACC4AB-CDA2-42CA-80CE-FBDC258A244F Date: Sat, 10 Mar 2018 11:03:41 +0200 N?en lokitiedot vain itse hallinnoimiltani palvelimilta. Kaksi ennen uudelleenohjauksen vaihtoa iki.fi-osoitteeseeni l?hett?m??ni kadonnutta viesti?: Mar 10 08:06:38 sll sendmail[1201]: w2A66bp7001201: to=x at iki.fi, delay=00:00:01, xdelay=00:00:01, mailer=relay, pri=30623, relay=[127.0.0.1] [127.0.0.1], dsn=2.0.0, stat=Sent (w2A66bw4001202 Message accepted for delivery) Mar 10 08:26:32 sll sendmail[1690]: w2A6QSmd001684: to=, ctladdr= (1010/1010), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, pri=120937, relay=mail.iki.fi. [212.16.98.57], dsn=2.0.0, stat=Sent (w2A6QTi2029272 Message accepted for delivery) Ennen kuin otan yhteytt? Soneraan, haluaisin tiet?? koskeeko blokki vain minun osoitettani, vai onko kyseess? laajempi ongelma? t. Pekka Saari at iki.fi From kivinen at iki.fi Wed Mar 14 00:21:55 2018 From: kivinen at iki.fi (Tero Kivinen) Date: Wed, 14 Mar 2018 00:21:55 +0200 Subject: [IKI-aktivistit] Uudelleenohjaus lakkasi toimimasta. Soneralla RATE LIMIT iki.fi-palvelimille? In-Reply-To: <1254.188.238.71.87.1520677121.squirrel@sll.fi> References: <1254.188.238.71.87.1520677121.squirrel@sll.fi> Message-ID: <23208.20227.996635.297823@fireball.acr.fi> Pekka Saari writes: > Hei, > > Liityin listalle, kun en l?yt?nyt tekniselle yll?pidolle yhteysosoitetta. iki-hallitus at iki.fi on yleens? aika hyv? osoite ongelmille jotka johtuvat iki:st?. T?ss? tapauksessa oikea osoite on kyll? soneran postiyll?pito... > N?ytt?? silt?, ett? Soneran postipalvelin blokkaa ainakin minun > iki.fi-osoitteeni osalta iki.fi palvelinta molempiin suuntiin. Soneran > virheilmoituksessa lukee "RATE LIMIT: PREVENTING HIGH VOLUME SENDING - > 195.140.195.196 (FI)" Mainittu IP on nyssemenee.iki.fi. Samaa > virhetta Sonera tarjoaa my?s palvelimelle 212.16.98.57 eilopu.iki.fi. Joo, n?ytt?? silt? ett? mta.inet.fi serveri esti viestej? melkein kaikista iki:n koneista ja kaikilta k?ytt?jilt?. Tosin koska se k?ytti virhekoodia 421, niin se tarkoittaa ett? viestit j?iv?t iki:n jonoon ja iki:n koneet l?hettiv?t ne sitten eteenp?in perille kun joku pp.inet.fi:ss? korjasi asetuksensa (tai blockki expiroitui). Ongelma esiintyi login mukaan 2018-03-09T13:30:25.339300+02:00 - 2018-03-10T16:01:16.602374+02:00 v?lisen? aikana ja tuona aikana likimain kaikki viestit j?iv?t jonoon ja iki teki yhteens? 37629 l?hetysyrityst? ilman tulosta (monia viestej? yritetiin monta kertaa). Eri iki:n koneet p??tyiv?t blockkiin eri aikoina ja yksi niist? ei itseasiassa koskaan joutunut blockkilistalle, koska sit? k?ytt?? niin pieni m??r? j?seni?, ett? sen kautta l?hettiin vain kymmenkunta postia ko aikana yhteens?. Ongelma korjaantui itsest??n launantaina, kun ilmeisesti joku siell? p??ss? huomasi ongelman ja korjasi sen tai sitten blockki vain expiroitui 24h kuluessa. Soneran serverit antavat muutenkin aina v?lill? 421 virhett?, mutta yleens? tekstin? on: 421-Connection refused due to exceed max message counts (by IP) N?iss? t?ll? kertaa blockatuissa oli viestin?: 421-Connection refused due to exceed max message counts (by email address). RATE LIMIT: PREVENTING HIGH VOLUME SENDING - tai jotain vastaavaa (viesti hieman vaihteli, serveri lyhensi sit? keskelt?, koska tuon viestin per?ss? oli IP numero ja osoitteet). Osa noista siis n?ytti seuraavilta: 421-Connection refused due to exceed max message counts (by email address). RATE LIMIT: PR...G - > N?en lokitiedot vain itse hallinnoimiltani palvelimilta. Kaksi ennen > uudelleenohjauksen vaihtoa iki.fi-osoitteeseeni l?hett?m??ni kadonnutta > viesti?: > Mar 10 08:26:32 sll sendmail[1690]: w2A6QSmd001684: to=, > ctladdr= (1010/1010), delay=00:00:04, xdelay=00:00:03, mailer=esmtp, > pri=120937, relay=mail.iki.fi. [212.16.98.57], dsn=2.0.0, stat=Sent > (w2A6QTi2029272 Message accepted for delivery) Tuo viesti on tullut iki:n serverille 2018-03-10T08:26:32.493508+02:00 ja sielt? se on l?hetetty silppuriin roskapostinmerkint?? varten. Silppuri on ottanut sen vastaan 2018-03-10T08:26:33.146545+02:00 ja sen j?lkeen se on yritt?nyt l?hett?? sit? soneran serverille 5 kertaa ja sen j?lkeen iki on l?hett?nyt kahden tunnin viiv?stysvaroituksen joka on toimitettu l?hett?j?lle 2018-03-10T10:35:21.648493+02:00. Tuon j?lkeen on viel? tullut yhdeks??n uudellenl?hetykseen sama 421 virheilmoitus, mutta klo 2018-03-10T15:42:48.871024+02:00 on sitten tullut eri virheilmoitus, eli vain geneerinen deferred ilmoitus ja 2018-03-10T16:22:32.669793+02:00 viesti on sitten v?litetty onnistuneesti perille. > Ennen kuin otan yhteytt? Soneraan, haluaisin tiet?? koskeeko blokki vain > minun osoitettani, vai onko kyseess? laajempi ongelma? Esto koski likimain kaikkia iki:n kautta menevi? posteja ja kun se meni p??lle niin se koski jokaista k?ytt?j?? ko koneen kautta v?litett?ess?. -- kivinen at iki.fi From robert.krogars at hanken.fi Fri Mar 16 13:57:14 2018 From: robert.krogars at hanken.fi (Robert Krogars) Date: Fri, 16 Mar 2018 11:57:14 +0000 Subject: [IKI-aktivistit] En saa iki postia! Message-ID: Hei, Minun iki posti ei kulje robert.krogars at iki.fi. Yksi meili on tullut t?n??n l?pi. Kaverille oli eilen tullut virheilmoitus ett? postia ei voida l?hett??. Itse en ole saannut mit??n virheilmoitusta mutta mit??n ei tule l?pi. Robert Krogars #?#?#?#?#?#?#?#?#?#?#?#?#?# Dag-Robert Krogars IT-Planerare Hanken School of Economics PO Box 479, 00101 HELSINKI, FINLAND Visiting address: Arkadiankatu 22 www.hanken.fi [equis_aacsb_amba_logon_300ppi-1] -------------- next part -------------- An HTML attachment was scrubbed... URL: -------------- next part -------------- A non-text attachment was scrubbed... Name: image001.jpg Type: image/jpeg Size: 2879 bytes Desc: image001.jpg URL: From kivinen at iki.fi Fri Mar 16 16:53:36 2018 From: kivinen at iki.fi (Tero Kivinen) Date: Fri, 16 Mar 2018 16:53:36 +0200 Subject: [IKI-aktivistit] En saa iki postia! In-Reply-To: References: Message-ID: <23211.55920.481436.533198@fireball.acr.fi> Robert Krogars writes: > Minun iki posti ei kulje robert.krogars at iki.fi. Yksi meili on tullut t?n??n l?pi. Kaverille oli > eilen tullut virheilmoitus ett? postia ei voida l?hett??. Itse en ole saannut mit??n > virheilmoitusta mutta mit??n ei tule l?pi. Telia on alkanut blockkaamaan iki:st? tulevia posteja. Yleens? virheilmoituksella joka viittaa liian suureen postim??r?n, mutta ovat samalla my?s ilmeisesti kirist?neet SPF s??nt?j??n. Asiasta kannattaa valittaa telian yll?pidolle... Mit? enemm?n sinne tulee valituksia niin sit? vakavammin luultavasti suhtautuvat asiaan. Tyypillinen virhe jonka telia antaa on: 421 Connection refused due to exceeded message sending limits (by email address). Rate limit: preventing high volume sending - xxx.xxx.xxx.xxx sender=xxx rcpt=xxx country=FI ja koska kyseess? on tilap?inen virhe niin viestit j??v?t iki:ss? jonoon ja kahden tunnin kohdalla l?htee l?hett?j?lle varoitus ett? viesti on jonossa ja jos sit? ei saada viiteen p?iv??n v?litetty? perille niin posti palautuu virheilmoituksen kera l?hett?j?lle. Tilastosivulta: https://full-iki.basen.com/public?name=MailQueue n?kee ett? iki:n jonoissa on t?ll? hetkell? 5000-6000 postia odottamista inet.fi koneeseen p??sy?... -- kivinen at iki.fi From teemu.tanttu at iki.fi Fri Mar 16 22:45:39 2018 From: teemu.tanttu at iki.fi (Teemu Tanttu) Date: Fri, 16 Mar 2018 22:45:39 +0200 Subject: [IKI-aktivistit] postia ei kuulu? Message-ID: <5AAC2CF3.80904@iki.fi> Hei! Onkohan tuolla palvelussa jokin h?ikk?? Normaalisti on toiminut hyvin, mutta eilisillan j?lkeen mm. posteja jotka tulevat minulle s??nn?llisesti, ei ole tullut. Yksi testiviesti, jonka l?hetin t?n??n klo 16.21 tuli muistaakseni hieman klo 18 j?lkeen. Terveisin, Teemu Tanttu puh 0445560557 --- Avast Antivirus on tarkistanut t?m?n s?hk?postin virusten varalta. https://www.avast.com/antivirus From teemu.tanttu at iki.fi Fri Mar 16 22:50:55 2018 From: teemu.tanttu at iki.fi (Teemu Tanttu) Date: Fri, 16 Mar 2018 22:50:55 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: <5AAC2CF3.80904@iki.fi> References: <5AAC2CF3.80904@iki.fi> Message-ID: <5AAC2E2F.5020707@iki.fi> Viel? sen verran, ett? mit??n virheilmoituksia esim. eri osotteista l?hett?mist?ni testiviesteist? ei ole tullut. Roskapostisuodattimiinkaan ei ole j??nyt mit??n. teemu.tanttu at pp1.inet.fi On 16.3.2018 22:45, Teemu Tanttu wrote: > Hei! > > Onkohan tuolla palvelussa jokin h?ikk?? Normaalisti on toiminut hyvin, > mutta eilisillan j?lkeen mm. posteja jotka tulevat minulle > s??nn?llisesti, ei ole tullut. Yksi testiviesti, jonka l?hetin t?n??n > klo 16.21 tuli muistaakseni hieman klo 18 j?lkeen. > > Terveisin, Teemu Tanttu > puh 0445560557 --- Avast Antivirus on tarkistanut t?m?n s?hk?postin virusten varalta. https://www.avast.com/antivirus From kivinen at iki.fi Sat Mar 17 13:50:42 2018 From: kivinen at iki.fi (Tero Kivinen) Date: Sat, 17 Mar 2018 13:50:42 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: <5AAC2CF3.80904@iki.fi> References: <5AAC2CF3.80904@iki.fi> Message-ID: <23213.274.178174.142278@fireball.acr.fi> Teemu Tanttu writes: > Onkohan tuolla palvelussa jokin h?ikk?? Normaalisti on toiminut hyvin, > mutta eilisillan j?lkeen mm. posteja jotka tulevat minulle > s??nn?llisesti, ei ole tullut. Yksi testiviesti, jonka l?hetin t?n??n > klo 16.21 tuli muistaakseni hieman klo 18 j?lkeen. Kuten kerroin jo aikaisemmin telialla on ongelmia ottaa viestej? vastaan iki:n koneista. https://listat.iki.fi/pipermail/iki-aktivistit/2018-March/000028.html https://listat.iki.fi/pipermail/iki-aktivistit/2018-March/000030.html Kannattaa pist?? telian supportiin viesti? ja valittaa asiasta. Jos sinne valittaa riitt?v?n monta asiakasta niin ehk? ne sitten tekev?t asialle jotain. Esim installoivat sen ficoran jakaman whitelistan suomalaisista s?hk?postintarjoajista... -- kivinen at iki.fi From elias.aarnio at iki.fi Tue Mar 20 09:10:24 2018 From: elias.aarnio at iki.fi (Elias Aarnio) Date: Tue, 20 Mar 2018 09:10:24 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: <23213.274.178174.142278@fireball.acr.fi> References: <5AAC2CF3.80904@iki.fi> <23213.274.178174.142278@fireball.acr.fi> Message-ID: Hei, Tero Kivinen kirjoitti 17.03.2018 klo 13:50: > Teemu Tanttu writes: >> Onkohan tuolla palvelussa jokin h?ikk?? Normaalisti on toiminut hyvin, >> mutta eilisillan j?lkeen mm. posteja jotka tulevat minulle >> s??nn?llisesti, ei ole tullut. Yksi testiviesti, jonka l?hetin t?n??n >> klo 16.21 tuli muistaakseni hieman klo 18 j?lkeen. > > Kuten kerroin jo aikaisemmin telialla on ongelmia ottaa viestej? > vastaan iki:n koneista. > > https://listat.iki.fi/pipermail/iki-aktivistit/2018-March/000028.html > https://listat.iki.fi/pipermail/iki-aktivistit/2018-March/000030.html > > Kannattaa pist?? telian supportiin viesti? ja valittaa asiasta. Jos > sinne valittaa riitt?v?n monta asiakasta niin ehk? ne sitten tekev?t > asialle jotain. Esim installoivat sen ficoran jakaman whitelistan > suomalaisista s?hk?postintarjoajista... > Ilmeisesti Telia on tehnyt asialle jotain ja akuutti ongelma on ratkaistu. P??ttelen asian jonojen v?henemisest?: https://full-iki.basen.com/public?name=MailQueue Olenko oikeassa? Asiasta keskusteleminen levisi my?s Effin j?senten aktivistit-listalle. Jos olen tulkinnut tilanteen oikein, ongelmassa oli perimm?lt??n kyse siit? miten Telia on tulkinnut ja toteuttanut SPF:??. Keskustelussa todettiin taas kerran se, miten SPF on postituslistojen ja edelleenl?hetyspalveluiden kohdalla jo perusrakenteeltaan rikki ja viitattiin t?h?n mainioon analyysiin: https://blogs.msdn.microsoft.com/tzink/2015/05/28/solving-the-problem-of-dmarcs-incompatibility-with-mailing-lists-part-1/ Vaikuttaa silt?, ett? tulee aina uusia tapauksia, joissa SPF:?? tulkitaan tiukasti ottamatta mit??n muita keinoja k?ytt??n ja postinkulku h?iriintyy postituslistojen ja iki-postien tapauksessa. SPF toimii mainiosti isojen pelurien hy?dyksi. Kun s?hk?posti "ei toimi", yh? useampi siirtyy MS:n ja Googlen asiakkaiksi kun saa jostain tiedon ett? "ne toimivat". T?m? kehitys on minusta jo sin?ll??n huono mutta objektiivisesti arvioiden se tapa ett? ensin rikotaan SPF:ll? vakiintunut toimiva k?yt?nt? ja haalitaan sill? asiakkaita on vastustettava juttu. Olisiko t?ss? jonkin harkitun ulostulon paikka? Kenties vaikka Iki ry ja Effi yhdess?? Taustaksi Twitteriss? k?yty? keskustelua Viestint?viraston kanssa: L?htee t?st? twiitist?: https://twitter.com/EliasAarnio/status/975649014761906176 Elias Aarnio @EliasAarnio @viest_virasto Oletteko ohjeistaneet Internet-operaattoreita DMARC-, erityisesti SPF-konfiguroinnin suhteen? Taas uusi tapaus, @teliafinland, joka filtter?i kaikki s?hk?postilistaviestit SPF:n perusteella. Elias Aarnio @EliasAarnio 22h Tied?n, ett? SPF on l?ht?kohtaisesti rikki: blogs.msdn.microsoft.com/tzink/2015/05/? Asiallisten s?hk?postien pit?isi kuitenkin kulkea siit? huolimatta ett? ISP haluaa k?ytt?? kehnosti suunniteltua j?rjestelm??. #tietoliikenne NCSC-FI @CERTFI 16h Replying to @EliasAarnio @viest_virasto @teliafinland S-postipalveluntarjoajien pit?? suodattaa tai merkit? haitallista liikennett?. Yksi keino on SPF-, jota @viest_virasto on suositellut teleyrityksille l?hteen positiivisen tunnistamiseen. Lopulta palveluntarjoaja voi itse valita palveluunsa parhaiten soveltuvat keinot. Elias Aarnio @EliasAarnio 15h Replying to @CERTFI @viest_virasto @teliafinland Miten tulee menetell? tilanteessa jossa virheellisest? suodatusmenetelm?st? johtuen tietty s-postiliikenne estyy kokonaan? T?m? on se olennainen asia. NCSC-FI @CERTFI 38m Replying to @EliasAarnio @viest_virasto @teliafinland Ensisijaisesti kannattaa ottaa yhteytt? omaan s?hk?postipalveluntarjoajaan. Jos asia ei tunnu ratkeavan, niin Viestint?virastolle voi tehd? valituksen. Valitukset tutkitaan hallintolain mukaisesti ja sellaisen voi tehd? esim. yhteydenottolomakkeella viestintavirasto.fi/asioikanssamme? -- Elias Aarnio From kivinen at iki.fi Tue Mar 20 13:10:01 2018 From: kivinen at iki.fi (Tero Kivinen) Date: Tue, 20 Mar 2018 13:10:01 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: References: <5AAC2CF3.80904@iki.fi> <23213.274.178174.142278@fireball.acr.fi> Message-ID: <23216.60425.673785.809891@fireball.acr.fi> Elias Aarnio writes: > Ilmeisesti Telia on tehnyt asialle jotain ja akuutti ongelma on > ratkaistu. P??ttelen asian jonojen v?henemisest?: > https://full-iki.basen.com/public?name=MailQueue Olin eilen melkein pari tuntia chattiyhteydess? telian tekniseen tukeen ja he saivat iki:n serverit (ja ilmeisesti my?s muut suomalaiset SMTP-palvelijat FICORAN whitelistalta) laitettua omalle whitelistalleen ja sen j?lkeen postit alkoi kulkea. Alussa tosin hitaasti, mutta se johtui ilmeisesti siit? ett? muillakin oli jonossa viestej? sinne ja telian serverit eiv?t pysyneet per?ss?. Kun muu kuorma v?heni niin viestit p??tyiv?t perille parissa tunnissa. > Olenko oikeassa? Kyll?. He ovat korjanneet ongelman. > Asiasta keskusteleminen levisi my?s Effin j?senten aktivistit-listalle. > Jos olen tulkinnut tilanteen oikein, ongelmassa oli perimm?lt??n kyse > siit? miten Telia on tulkinnut ja toteuttanut SPF:??. Keskustelussa > todettiin taas kerran se, miten SPF on postituslistojen ja > edelleenl?hetyspalveluiden kohdalla jo perusrakenteeltaan rikki ja > viitattiin t?h?n mainioon analyysiin: SPF in tyypillisesti rikki, mutta t?ss? tapauksessa kyse ei ollut siit?, vaan telia suodatti iki:n viestej? sen takia ett? iki vain l?hetti niit? liikaa. Kun on 600 j?sent? joiden postit menev?t pp.inet.fi:hin niin sinne vain tulee liikaa viestej?. Sitten kun hidastetaan liikennett? ja viestej? joutuu jonoon, niin sitten vasta iki alkaakin l?hett?? paljon viestej? kun niit? on kertynyt jo jonoonkin... > https://blogs.msdn.microsoft.com/tzink/2015/05/28/solving-the-problem-of-dmarcs-incompatibility-with-mailing-lists-part-1/ > > Vaikuttaa silt?, ett? tulee aina uusia tapauksia, joissa SPF:?? > tulkitaan tiukasti ottamatta mit??n muita keinoja k?ytt??n ja > postinkulku h?iriintyy postituslistojen ja iki-postien tapauksessa. SPF on huono idea alunperinkin ja sit? ei olisi koskaan pit?nyt standardoida tai ottaa k?ytt??n. Lis?tietoja http://spfconsideredharmful.com/ osoitteesta :-) > SPF toimii mainiosti isojen pelurien hy?dyksi. Kun s?hk?posti "ei > toimi", yh? useampi siirtyy MS:n ja Googlen asiakkaiksi kun saa jostain > tiedon ett? "ne toimivat". T?m? kehitys on minusta jo sin?ll??n huono > mutta objektiivisesti arvioiden se tapa ett? ensin rikotaan SPF:ll? > vakiintunut toimiva k?yt?nt? ja haalitaan sill? asiakkaita on > vastustettava juttu. Ja kun olet jonkun ison tahon asiakas, niin et voi siirty? k?ytt?m??n toista tahoa, koska et voi laittaa edelleenl?hetyst? vanhaan paikkaan joka l?hett?isi viestisi uuteen paikkaan, koska SPF est?? viestien edelleenl?hetyksen, joten sinun on pakko pysy? saman ison tahon k?ytt?j?n? jos haluat s?ilytt?? saman osoitteen. Eli tuo siis lukitsee sinut ko tahoon. > Olisiko t?ss? jonkin harkitun ulostulon paikka? Kenties vaikka Iki ry ja > Effi yhdess?? > > Taustaksi Twitteriss? k?yty? keskustelua Viestint?viraston kanssa: > > L?htee t?st? twiitist?: > > https://twitter.com/EliasAarnio/status/975649014761906176 T?ss? tapauksessa siis kyse ei ollut SPF estosta. SPF estoja kyll? tulee vastaan viikottain. Joillakin on outo k?sitys ett? SPF yritt?isi est?? roskapostia. Sit? se ei edes yrit? tehd?. Roskapostittaja voi ihan hyvin k?ytt?? omaa poistettavaa domainia, joten sen ei tarvitse v??rent?? l?hett?j?n osoittetta. Suurin osa minulle tulevasta roskapostista sis?lt?? ihan oikean l?hett?j?osoitteen ja ko osoitteet vaihtuvat aika usein. SPF yritt?? ratkaista sen ongelman ett? huomaat jos joku yritt?? v??rent?? l?hett?j?osoitteen, eli se yritt?? ratkaista phishing ongelman ei roskapostiongelmaa. Tuohon riitt?? se ett? viestin merkitsee selv?sti tavalla joka kertoo k?ytt?j?lle ett? t?m? viesti ei v?ltt?m?tt? tullut sielt? mist? luulet sen tulevan. Suodattaminen on siis v??r? toimenpide merkitseminen on oikea. -- kivinen at iki.fi From tapio.sokura at iki.fi Tue Mar 20 16:15:22 2018 From: tapio.sokura at iki.fi (Tapio Sokura) Date: Tue, 20 Mar 2018 16:15:22 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: <23216.60425.673785.809891@fireball.acr.fi> References: <5AAC2CF3.80904@iki.fi> <23213.274.178174.142278@fireball.acr.fi> <23216.60425.673785.809891@fireball.acr.fi> Message-ID: <470cd688-197c-7ecd-aec3-9396ba86aa3f@iki.fi> Moi, On 20.3.2018 13:10, Tero Kivinen wrote: > SPF yritt?? ratkaista sen ongelman ett? huomaat jos joku yritt?? > v??rent?? l?hett?j?osoitteen, eli se yritt?? ratkaista phishing > ongelman ei roskapostiongelmaa. Tuohon riitt?? se ett? viestin Nyt kun aktivistilista pitk?st? aikaa taas toimii, tuli mieleen kysy?, ett? onko IKI:ss? koskaan mietitty DKIM:n k?ytt?misen mahdollistamista iki-osoitteella postia l?hett?ville? Se voisi hieman auttaa p?invastaisessa suunnassa, eli iki-osoitteista l?hetettyjen mailien perillemenoa. DKIM-speksi mahdollistaa allekirjoitusoikeuden delegoimisen ja rajoitamisen my?s @-merkin vasemmalla puolella, mutta vaikuttaa silt? ett? sen rajoituksen k?ytt?/tuki on aika v?h?ist? k?yt?nn?ss?. Yhteensopivinta olisi antaa jokaisen ikil?isen allekirjoittaa mill? vain @iki.fi-osoitteella DKIM:ss?. Ei ideaalista, mutta voisi k?yt?nn?ss? kuitenkin toimia, koska allekirjoitusavaimet voivat jokaisella ikil?isell? postipalvelinta py?ritt?v?ll? olla kuitenkin omansa. DKIM siis tukee useita "selectoreita", nimipalvelutietueita ja julkisia avaimia yhdelle domainille. Periaatteessa olen vastaan t?llaisia s?hk?postin antispam-ratkaisuja, jotka vaativat l?hett?j?lt? tai vastaanottajalta ylim??r?isten renkaiden l?pihyppimist?. Ik?v? kyll? moni merkitt?v? paikka (kuten gmail?) on n?it? k?yt?nt?j? ottanut k?ytt??n. Joten jos @iki.fi osoitteella l?hetett?viin posteihin saisi DKIM-headerit, niin saattaisi helpottaa mailien l?pimenoa. Toinen vaihtoehto DKIM:n k?yt?n mahdollistamiseen olisi IKI:n tarjota DKIM-prosessoinnin suorittavaa submission-agenttia j?senten l?hett?m?lle postille. T?m? olisi isompi muutos ja poikkeus iki-perinteisiin, mutta ep?ilem?tt? olisi suuremman iki-k?ytt?j?m??r?n hy?dynnett?viss?. Lis?isi aika varmasti yll?pitovaivaa my?s, kun pit?isi mm. spam-bottien oppimia l?hetystunnuksia olla sulkemassa yms. Itse postipannujaan py?ritteleville ylemp?n? kuvatun vaihtoehdon toteuttaminen IKI:ss? vaatisi l?hinn? admin-k?ytt?liittym?n ja siihen liittyvien nimipalvelutietueiden p?ivitt?misen toteutuksen. Ehk? jotkut s?hk?postin antispam-ratkaisut saattaisivat tulkita asian my?s niin, ett? jos joissain iki-osoitteesta l?hetetyiss? posteissa on DKIM-headerit, niin alkavat pit?m??n ilman DKIM-headereita olevia viestej? v??renn?ksin?. Kolmas ja ihan validi vaihtoehto on tietysti jatkaa nykyisell??n ja j?tt?? DKIM kokonaan huomiotta. DKIM rikkoo postituslistat ja SPF mailiforwardit. Eik? viel? puhuttu DMARC:sta mit??n. El?k??n toimiva s?hk?posti... Tapio From ilari.stenroth at iki.fi Tue Mar 20 16:45:26 2018 From: ilari.stenroth at iki.fi (Ilari Stenroth) Date: Tue, 20 Mar 2018 16:45:26 +0200 Subject: [IKI-aktivistit] postia ei kuulu? In-Reply-To: <470cd688-197c-7ecd-aec3-9396ba86aa3f@iki.fi> References: <5AAC2CF3.80904@iki.fi> <23213.274.178174.142278@fireball.acr.fi> <23216.60425.673785.809891@fireball.acr.fi> <470cd688-197c-7ecd-aec3-9396ba86aa3f@iki.fi> Message-ID: <35d6cf76-2b9d-70e4-60a9-7a12d2569be4@iki.fi> On 20.3.2018 16.15, Tapio Sokura wrote: > Moi, > > On 20.3.2018 13:10, Tero Kivinen wrote: >> SPF yritt?? ratkaista sen ongelman ett? huomaat jos joku yritt?? >> v??rent?? l?hett?j?osoitteen, eli se yritt?? ratkaista phishing >> ongelman ei roskapostiongelmaa. Tuohon riitt?? se ett? viestin > > Nyt kun aktivistilista pitk?st? aikaa taas toimii, tuli mieleen kysy?, > ett? onko IKI:ss? koskaan mietitty DKIM:n k?ytt?misen mahdollistamista > iki-osoitteella postia l?hett?ville? Se voisi hieman auttaa > p?invastaisessa suunnassa, eli iki-osoitteista l?hetettyjen mailien > perillemenoa. > > DKIM-speksi mahdollistaa allekirjoitusoikeuden delegoimisen ja > rajoitamisen my?s @-merkin vasemmalla puolella, mutta vaikuttaa silt? > ett? sen rajoituksen k?ytt?/tuki on aika v?h?ist? k?yt?nn?ss?. > Yhteensopivinta olisi antaa jokaisen ikil?isen allekirjoittaa mill? > vain @iki.fi-osoitteella DKIM:ss?. Ei ideaalista, mutta voisi > k?yt?nn?ss? kuitenkin toimia, koska allekirjoitusavaimet voivat > jokaisella ikil?isell? postipalvelinta py?ritt?v?ll? olla kuitenkin > omansa. DKIM siis tukee useita "selectoreita", nimipalvelutietueita ja > julkisia avaimia yhdelle domainille. > > Periaatteessa olen vastaan t?llaisia s?hk?postin antispam-ratkaisuja, > jotka vaativat l?hett?j?lt? tai vastaanottajalta ylim??r?isten > renkaiden l?pihyppimist?. Ik?v? kyll? moni merkitt?v? paikka (kuten > gmail?) on n?it? k?yt?nt?j? ottanut k?ytt??n. Joten jos @iki.fi > osoitteella l?hetett?viin posteihin saisi DKIM-headerit, niin > saattaisi helpottaa mailien l?pimenoa. > > Toinen vaihtoehto DKIM:n k?yt?n mahdollistamiseen olisi IKI:n tarjota > DKIM-prosessoinnin suorittavaa submission-agenttia j?senten > l?hett?m?lle postille. T?m? olisi isompi muutos ja poikkeus > iki-perinteisiin, mutta ep?ilem?tt? olisi suuremman iki-k?ytt?j?m??r?n > hy?dynnett?viss?. Lis?isi aika varmasti yll?pitovaivaa my?s, kun > pit?isi mm. spam-bottien oppimia l?hetystunnuksia olla sulkemassa yms. > Itse postipannujaan py?ritteleville ylemp?n? kuvatun vaihtoehdon > toteuttaminen IKI:ss? vaatisi l?hinn? admin-k?ytt?liittym?n ja siihen > liittyvien nimipalvelutietueiden p?ivitt?misen toteutuksen. > > Ehk? jotkut s?hk?postin antispam-ratkaisut saattaisivat tulkita asian > my?s niin, ett? jos joissain iki-osoitteesta l?hetetyiss? posteissa on > DKIM-headerit, niin alkavat pit?m??n ilman DKIM-headereita olevia > viestej? v??renn?ksin?. > > Kolmas ja ihan validi vaihtoehto on tietysti jatkaa nykyisell??n ja > j?tt?? DKIM kokonaan huomiotta. DKIM rikkoo postituslistat ja SPF > mailiforwardit. Eik? viel? puhuttu DMARC:sta mit??n. El?k??n toimiva > s?hk?posti... Hei Tapio, Hallitus on pohtinut DKIM-palvelua hartaasti. Postipalvelimet jotka l?hett?v?t tai v?litt?v?t DKIM-allekirjoittamatonta postia joutuvat selke?sti herkemmin j??hylle ja IKI:lle on jo koitunut harmian mm. Gmailin kanssa siit?, ett? meill? ei ole DKIM-allekirjoituksia. SMTP submission serverin hostaaminen on kielt?m?tt? haasteellista ja vastuullista. Pit?isi olla automatiikkaa valvomassa v??rink?yt?ksi? ja ehk? jopa virustorjuntaa, koska muuten IKI:n DKIM-avaimella allekirjoitetut roska-/viruspostit laskevat koko iki.fi-domainin reputation scorea erillaisissa roskapostitorjuntapalveluissa. Ongelma on juuri tuo domain reputation ja DKIM:n my?t? emme pysty en?? kiist?m??n, ett? roskaposti ei ole meilt? l?ht?isin. Hyvi? ideoita otetaan vastaan... T. Ilari