Kurz: Freifunk Kitzingen e.V. sperrt Port 25 (tcp) bei ausgehendem Datenverkehr um sich selbst zu schützen. Wir möchten erklären warum.
In der Vergangenheit haben wir leider lernen müssen, dass unsere IP-Adressen, über welche wir Datenverkehr in das Internet ausleiten, immer häufiger auf sogenannten Blocklists landen. Das ist eigentlich auch kein Problem, diese Blocklists sollen ja vor Spam schützen.
Problem:
Das Problem ist, dass immer mehr die Bedeutung dieser Blocklists in den Köpfen von Administratoren und IT-Verantwortlichen verschwimmt. Statt Spam-verdächtige Emails einfach zurück zu weisen – also die Blockliste im Mailserver zu verarbeiten – sehen wir immer öfter, wie diese Listen gleich in die Firewalls importiert werden um jeglichen Datenverkehr zu blockieren.
Aus unseren Netzen kann man deswegen derzeit zum Beispiel keine Steuererklärung machen. Dass ist doof, denn der Freifunk Kitzingen e.V. versucht eben gerade mit seinem Zugang zum Internet auch Menschen zu versorgen, die nicht in der Lage sind, selbst einen Internetzugang zu bezahlen. Der überwiegende Teil davon empfängt auch Sozialleistungen und ist damit zur Angabe von Einkommen verpflichtet; solch übertriebenes Schutzverhalten der Behörden für dumme Webserver auf denen PDF-Formulare liegen ist also gemeinschädlich. Aber wir können daran nichts ändern, Email-Verläufe mit den Partnern der “Bundescloud” geben sich zugeknöpft und wenig zugänglich für Kommunikation. Wir haben das aufgegeben.
Ebenfalls sehen wir dieses Overblocking in der Privatwirtschaft, beispielsweise funktionieren Updates aus dem Apple Store nicht. Apple Geräte, die vorwiegend mit dem Freifunk WLAN verbunden sind, sind daher entsprechend gefährdet, keine Updates zu bekommen und entsprechend ohne Schutz vor Attacken zu veraltern. Auch hier sehen wir, dass keinerlei Abwägung stattfindet, welche Folgen ein Nichtausliefern von Content haben kann.
Resignation:
Wir haben jetzt mehrere Monate Anstrengungen unternommen, diese Einträge immer wieder entfernen zu lassen. Der Erfolg war nicht nachhaltig.
Wir haben versucht rauszufinden, welches Gerät oder an welchem Standort diese Spam-Emails entstehen. Dies war ebenfalls nicht von Nachhaltigem Erfolg gekrönt. Eine ganze Reihe von Android-Geräten scheint wohl kostenlose Apps zu haben, die für minimalen Nutzen gleichzeitig als Spam-Schleudern funktionieren. Nachdem wir keine Kontrolle über die Geräte haben und es müßig ist, dem nachzugehen, brauchen wir einfach eine andere Lösung.
Lösung:
Die Lösung ist relativ schnell und einfach erklärt: Ausgehender Datenverkehr, Port 25 tcp, wird geblockt.
Auswirkungen:
SMTP ist ein Protokoll zum versand von Emails. Es benutzt in unverschlüsselter Form dazu Port 25 mit tcp.
Der unverschlüsselte Versand von Emails ist ohnehin ein Problem, man wägt sich in der Sicherheit privater Kommunikation und derweil ist es für jeden im Netz offen lesbar. Alle Email-Dienste setzen inzwischen auf verschlüsselten Email-Versand. Dieser läuft aber über Port 465 (deprecated) oder 587. Diese Ports bleiben natürlich offen.
Pico Peering Agreement:
Wir stehen nach wie vor für offene Kommunikation. Und wir haben wirklich jeden Schritt versucht, das zu umgehen, aber die Erfolge waren nicht nachhaltig.
Wir sehen diese Maßnahme als Konsequente Anwendung des Pico Peering Agreements, denn natürlich kann das Freifunk Netz nur dann für Alle funktionieren, wenn der (vermutlich nicht mal beabsichtigte) Schaden weniger Nutzer eingedämmt werden darf. Wir ergreifen diese Maßnahme also zum Schutz aller Nutzer.
Ausnahmen:
Natürlich sind Ausnahmen möglich, unter folgenden Bedingungen:
- Du betreibst den auszunehmenden Mailserver oder bist berechtigt, über diese Maschine zu verfügen.
- Du meldest dich in dem Kontaktformular unten bei uns
- Du bestätigst, von dem Server, der ausgenommen werden soll, keine Eintragung in Blocklisten erfolgt, die du mit Dritten direkt oder indirekt teilst und dies auch nicht in Zukunft passiert.
Dauer zur Einrichtung einer solchen Ausnahme ca. 2-3 Tage.
