Kysymys

stmp.kolumbus.fi - miksi salaus on pois päältä?

  • 15 marraskuu 2020
  • 20 kommenttia
  • 513 katselukerrat

Moi!

 

Kenen suuri idea on olla tarjoamatta STMP-palvelimella salausta? Tämä palvelee ketä?

 

“TLS is required, but was not offered by host smtp.kolumbus.fi”

 

Yritetäänkö tällä saada asiakkaat maksullisten palveluiden pariin vai mikä hätänä??? Salauksen tarjoaminen ei myöskään estä salaamattomia yhteyksiä.


Onko todella niin että Elisa pakottaa asiakkaansa tuuppaamaan lähtevän postin salaamattomana eteenpäin? Huom. eletään 2020 vuotta.

 

Ehkä yritän väärää palvelinta? Onko Elisalla jokin uudempi sähköpostipalvelin jossain? Ulospäin menevä portti 25 on kumminkin estetty lähes kaikkialle, niinkuin pitääkin. Niin sapettaa aikalailla jos oikeasti pitää sallamattomana kierrättää Elisan kautta. Eih hyvää päivää!

 

Kiitokset kaikille vinkeistä millä saan postit lähtemään salattuna täältä Elisan takaa.

 

Ystävällisiesti, Viljami


20 kommenttia

https://elisa.fi/asiakaspalvelu/aihe/sahkoposti-kotisivut/ohje/sahkopostin-asetukset/

 

Tuolla on kerrottu, millaisilla asetuksilla voit käyttää smtpa.kolumbus.fi -palvelinta.

https://elisa.fi/asiakaspalvelu/aihe/sahkoposti-kotisivut/ohje/sahkopostin-asetukset/

 

Tuolla on kerrottu, millaisilla asetuksilla voit käyttää smtpa.kolumbus.fi -palvelinta.

On tiedossa, eikä liity kysymykseen.

 

Kiitos kumminkin!

 

Ystävällisesti,

Viljami

Käyttäjätaso 7

https://elisa.fi/asiakaspalvelu/aihe/sahkoposti-kotisivut/ohje/sahkopostin-asetukset/

 

Tuolla on kerrottu, millaisilla asetuksilla voit käyttää smtpa.kolumbus.fi -palvelinta.

On tiedossa, eikä liity kysymykseen.

 

Kiitos kumminkin!

 

Ystävällisesti,

Viljami


Tuossa Sakarin mainitsemassa ohjeessa palvelin smtpa.kolumbus.fi käyttää SSL-salausta portissa 465 ja perinteinen salaamaton palvelin on smtp.kolumbus.fi portissa 25.

Salattu palvelin toimii kaikilla nettiyhteyksillä , mutta salaamaton vain Elisan verkossa.

Jos tämä ei liity kysymykseesi , niin mitä salausta oikein tarkoitit???

Käyttäjätaso 7
Kunniamerkki +3

Elisan ohjeistuksen mukaan smtpa.kolumbus.fi vaatii myös kirjautumisen.

Oletan, että @Viljami Ilola kyselee smtp-palvelimen perään, jossa on salaus, mutta joka ei vaadi kirjautumista. Eli kuten esimerkiksi mail.inet.fi:465 toimii Telian liittymissä.

Onko kukaan muuten kokeillut, miten smtp.kolumbus.fi reagoi, jos yrittää salattua yhteyttä porttiin 465 Elisan liittymästä?

Käyttäjätaso 7

Onko kukaan muuten kokeillut, miten smtp.kolumbus.fi reagoi, jos yrittää salattua yhteyttä porttiin 465 Elisan liittymästä?

Kokeilin piruuttani smtp.kolumbus.fi:tä SSL-salatussa portissa 465 ja palvelin ei vastaa salatussa portissa ollenkaan.

smtpa.kolumbus.fi sen sijaan toimii SSL-salauksella portissa 465 ja TLS-salauksella portissa 587.

Elisan ohjeistuksen mukaan smtpa.kolumbus.fi vaatii myös kirjautumisen.

Jep. Näin on ja se lienee viranomaismääräys , muistaakseni.

Käyttäjätaso 7
Kunniamerkki +3

smtpa.kolumbus.fi sen sijaan toimii SSL-salauksella portissa 465 ja TLS-salauksella portissa 587.

Mutta hyväksyykö se yhteydenotot ilman kirjautumista Elisan liittymistä?

Jos ei hyväksy, @Viljami Ilolan huomautus on täysin aiheellinen. Joko smtp.kolumbus.fi tulisi lisätä salaus, tai smtpa.kolumbus.fi pitäisi opettaa Elisan ip-osoiteavaruus ja sallia yhteydet ilman kirjautumista Elisan liittymistä.

Käyttäjätaso 7

smtpa.kolumbus.fi sen sijaan toimii SSL-salauksella portissa 465 ja TLS-salauksella portissa 587.

Mutta hyväksyykö se yhteydenotot ilman kirjautumista Elisan liittymistä?

Jos ei hyväksy, @Viljami Ilolan huomautus on täysin aiheellinen. Joko smtp.kolumbus.fi tulisi lisätä salaus, tai smtpa.kolumbus.fi pitäisi opettaa Elisan ip-osoiteavaruus ja sallia yhteydet ilman kirjautumista Elisan liittymistä.


No niin tuon tietysti unohdin kokeilla. :zipper_mouth:

Kokeilin smtpa.kolumbus.fi:tä ilman autentikointia Elisan liittymällä ja ei toimi. Antaa vain virheilmoituksen tunnuksen puuttumisesta.

Olisihan sen salauksen lisääminen myös smtp.kolumbus.fi:hin ihan järkevää.

smtpa.kolumbus.fi sen sijaan toimii SSL-salauksella portissa 465 ja TLS-salauksella portissa 587.

Mutta hyväksyykö se yhteydenotot ilman kirjautumista Elisan liittymistä?

Jos ei hyväksy, @Viljami Ilolan huomautus on täysin aiheellinen. Joko smtp.kolumbus.fi tulisi lisätä salaus, tai smtpa.kolumbus.fi pitäisi opettaa Elisan ip-osoiteavaruus ja sallia yhteydet ilman kirjautumista Elisan liittymistä.

IP-avaruus “elää” koko ajan, eli varmaan pitäisi sallia AS-numerolle, jos tuolle tielle lähdettäisiin, olisi vähemmän ylläpidettävää.

Moikka kaikille.

 

Kiitoksia vastauksista! Kaikki nämä kyllä on itselläkin tiedossa. Tosin porttejen kanssa väki menee helposti sekaisin. Selvennyksen vuoksi.

Portti 25 on stmp portti jota käytetään sekä salaamattomien että salattujen yhteyksien alustamiseen. Tämä on siis se portti mitä käytetään viestejen välityksessä.

Portti 587 on “Submission” portti ja jos oikein olen ymmärtänyt tätä ja seuraavaa käyttää asiakasohjelmat.

Portti 465 on “Message Submission over TLS protocol” melkoisella historialla.

“When a TCP connection is established for the "submissions" service  (default port 465), a TLS handshake begins immediately.”

Eli lyhyesti portti 25 palvelinten väliseen liikenteeseen ja 587 ja 465 asiakasohjelmille.

 

Mutta tosiaan niinkuin @Sokrates sanoi “Olisihan sen salauksen lisääminen myös smtp.kolumbus.fi:hin ihan järkevää.”

Toisaalta pikemminkin se on nyt todennköisimmin vartavasten kytketty pois päältä. Tuskimpa mikään sähköpostipalvelin toimitetaan salaus oletusarvoisesti disabloituna. Onhan se ollut vakiovaruste jo yli 20 vuotta:D

 

 

Käyttäjätaso 7
Kunniamerkki +3

Tuskimpa mikään sähköpostipalvelin toimitetaan salaus oletusarvoisesti disabloituna. Onhan se ollut vakiovaruste jo yli 20 vuotta:D

Smtp.kolumbus.fi on hyrrännyt kellarin nurkassa jo vuodesta 1994. Tuohon aikaan salaus ei todellakaan ollut mikään vakiovaruste.

Vakiovarusteeksi salausta voi kutsua vasta, kun automaattisesti asentuvat ja päivittyvät varmenteet tulivat tarjolle. Tässä Let’s Encrypt on edelläkävijä, ja hekin aloittivat varmenteiden tarjoamisen vasta 2015.

Tuskimpa mikään sähköpostipalvelin toimitetaan salaus oletusarvoisesti disabloituna. Onhan se ollut vakiovaruste jo yli 20 vuotta:D

Vakiovarusteeksi salausta voi kutsua vasta, kun automaattisesti asentuvat ja päivittyvät varmenteet tulivat tarjolle. Tässä Let’s Encrypt on edelläkävijä, ja hekin aloittivat varmenteiden tarjoamisen vasta 2015.

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Käyttäjätaso 7

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Hmmm…

Kerrotko sellaisesta SSL/TSL-salauksesta , missä ei tarvita sertifikaattia , vähän lisää.

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Hmmm…

Kerrotko sellaisesta SSL/TSL-salauksesta , missä ei tarvita sertifikaattia , vähän lisää.

Puhe oli CA:sta eli Certification Authority. Sertifikaatin voi tietenkin ihan itsekkin luoda ja näin monesti tehdäänkin sähköpostipalvelimien kohdalla.

Käyttäjätaso 7

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Hmmm…

Kerrotko sellaisesta SSL/TSL-salauksesta , missä ei tarvita sertifikaattia , vähän lisää.

Puhe oli CA:sta eli Certification Authority. Sertifikaatin voi tietenkin ihan itsekkin luoda ja näin monesti tehdäänkin sähköpostipalvelimien kohdalla.


OK.

Jos nyt en ihan väärin ymmärtänyt , niin sertifikaatti se CA:n palvelukin periaatteessa on , vaikka ei olekaan minkään kaupallisen yrityksen maksullinen tuote.

https://www.ssl.com/faqs/what-is-a-certificate-authority/

No täsmennä , jos ymmärsin väärin.

Käyttäjätaso 7
Kunniamerkki +3

Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Jaa-a. Mitäköhän sähköpostiohjelmat tykkäävät varmentamattomista varmenteista, jos käyttäjä ei itse ennen tilin asetusten luontia ole asentanut kyseistä tee-se-itse varmennetta koneelleen? Taitavat, etenkin nykyään, nostaa melkoisen metakan punaisin kehyksin ja pelotella käyttäjät olemaan koskematta lainkaan koko tietokoneeseen. Kymmenen vuotta sitten tee-se-itse varmenteesta olisi vielä päässyt ohi ruksimalla hyväksy ja ok.

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Hmmm…

Kerrotko sellaisesta SSL/TSL-salauksesta , missä ei tarvita sertifikaattia , vähän lisää.

Puhe oli CA:sta eli Certification Authority. Sertifikaatin voi tietenkin ihan itsekkin luoda ja näin monesti tehdäänkin sähköpostipalvelimien kohdalla.


OK.

Jos nyt en ihan väärin ymmärtänyt , niin sertifikaatti se CA:n palvelukin periaatteessa on , vaikka ei olekaan minkään kaupallisen yrityksen maksullinen tuote.

https://www.ssl.com/faqs/what-is-a-certificate-authority/

No täsmennä , jos ymmärsin väärin.

Jep. Olet oikeassa.

En ole mikään sertifikaatti expertti, mutta jokaisella sertifikaatilla on myöntäjä (authority). Nyt näitä myöntäjiä on julkisesti tunnettuja ja tiedettyjä joiden sertifikaatit tulee käyttiksien, selaimien tms mukana. Kuka vaan ei voi lisätä itseään tälle myöntäjien listalle, mutta voi kylläkin toimia sertifikaatin myöntäjänä.

 

Käyttäjätaso 7

No tässä menee taas puurot ja vellit sekaisin. Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Hmmm…

Kerrotko sellaisesta SSL/TSL-salauksesta , missä ei tarvita sertifikaattia , vähän lisää.

Puhe oli CA:sta eli Certification Authority. Sertifikaatin voi tietenkin ihan itsekkin luoda ja näin monesti tehdäänkin sähköpostipalvelimien kohdalla.


OK.

Jos nyt en ihan väärin ymmärtänyt , niin sertifikaatti se CA:n palvelukin periaatteessa on , vaikka ei olekaan minkään kaupallisen yrityksen maksullinen tuote.

https://www.ssl.com/faqs/what-is-a-certificate-authority/

No täsmennä , jos ymmärsin väärin.

Jep. Olet oikeassa.

En ole mikään sertifikaatti expertti, mutta jokaisella sertifikaatilla on myöntäjä (authority). Nyt näitä myöntäjiä on julkisesti tunnettuja ja tiedettyjä joiden sertifikaatit tulee käyttiksien, selaimien tms mukana. Kuka vaan ei voi lisätä itseään tälle myöntäjien listalle, mutta voi kylläkin toimia sertifikaatin myöntäjänä.

 


Juu näin olen asian ymmärtänyt ja jonkin tahon sertifikaatti tarvitaan aina , kun käytetään salausta.

Salauksen toteuttamiseen ei tarvitse mitään CA:ta tässä tapauksessa.

Jaa-a. Mitäköhän sähköpostiohjelmat tykkäävät varmentamattomista varmenteista, jos käyttäjä ei itse ennen tilin asetusten luontia ole asentanut kyseistä tee-se-itse varmennetta koneelleen? Taitavat, etenkin nykyään, nostaa melkoisen metakan punaisin kehyksin ja pelotella käyttäjät olemaan koskematta lainkaan koko tietokoneeseen. Kymmenen vuotta sitten tee-se-itse varmenteesta olisi vielä päässyt ohi ruksimalla hyväksy ja ok.

Ei ole kovin yleistä, mutta jotkin sähköpostipalvelimet saattavat tutkia sertifikaatin tarkemminkin, mutta vielä en ole törmännyt tilanteeseen, jossa palvelin olisi hylännyt salauspyynnön siltä pohjalta, että CA ei ole tunnettu. Kaikki ohjeistuskin mitä olen nähnyt pitää tälläisiä tarkistuksia vapaaehtoisina. Täytyy muistaa, että salaus koskaan heikennä tietoturvaa verrattuna samaan liikennöintiin salaamattomana.

Käyttäjätaso 7
Kunniamerkki +3

Palvelinten välisessä liikenteessä varmenteiden tarkastus saattaakin olla kytketty pois päältä, mutta sähköpostiasiakkaat, kuten Thunderbird ja Outlook, valittavat kyllä tee-se-itse varmenteista.

Varmenteen tuleekin siis olla joko

  • Ison varmenneyrityksen vahvistama, jolloin mitään erityistoimenpiteitä sen käyttämiseksi ei tarvita.
    tai
  • Lisätty käsin jokaiselle koneelle, mistä otetaan yhteyksiä tee-se-itse varmennetta käyttävälle palvelimelle.

Palvelinten välisessä liikenteessä varmenteiden tarkastus saattaakin olla kytketty pois päältä, mutta sähköpostiasiakkaat, kuten Thunderbird ja Outlook, valittavat kyllä tee-se-itse varmenteista.

No mutta kyse ei olutkaan mistään asiakasohjelmista vaan Elisan stmp.kolumbus.fi palvelimesta ja palvelinten välisestä liikenteestä.

Lisäksi luulen, että nyt menee jo stmp, pop3 ja imap protokollat sekaisin. Samaisen sähköpostiasiakasohjelman nimittäin kyllä olettaisi pikemminkin valittavan puskiessaan ulos viestiä täysin suojaamatonta ja täysin tarkastamatonta yhteyttä pitkin.

 

Osallistu keskusteluun