- комментарий 0:
From: Oskar Sharipov
Date: 2020-05-22 18:40:42Z
С грустью обнаружил, что мой почтовый провайдер Tutanota полностью рассорился с
российскими провайдерами интернета. Возможно, это проделки РКН в той самой
погоне за Telegram, а возможно Tutanota правда где-то косячит по нашему
законодательству.
Уже не первое письмо возвращалось с ошибкой "lost connection with
blog.stargrave.org while perfoming the EHLO handshake".
Это не первое неудобство Tutanota (например, они не дают IMAP), поэтому в
ближайшее время думаю перебираться к кому-нибудь другому. Поднимать свой
почтовый сервер не могу (нет стабильного хостинга), поэтому пока очень мучаюсь в
выборе скучного, чтобы ею не интересовались всякие дяди в NSA, и простого, чтобы
я мог зарегистрироваться, настроить свой клиент и больше не заходить на сайт,
провайдера.
- комментарий 1:
From: Sergey Matveev
Date: 2020-05-22 20:33:54Z
*** Oskar Sharipov [2020-05-22 21:40]:
>С грустью обнаружил, что мой почтовый провайдер Tutanota полностью рассорился с
>российскими провайдерами интернета. Возможно, это проделки РКН в той самой
>погоне за Telegram, а возможно Tutanota правда где-то косячит по нашему
>законодательству.
У меня четверть блогов, когда-то работавших, уже недоступны (TCP RST
сбрасывают подключения). РКН и против почтовых провайдеров устраивает
цензуру (Protonmail вроде вне закона у них). Разрушают "связанность" с
внешним миром из года в год всё активнее...
>Уже не первое письмо возвращалось с ошибкой "lost connection with
>blog.stargrave.org while perfoming the EHLO handshake".
Время от времени я смотрю логи сервера чтобы понять всё ли нормально,
или мало ли что произошло внезапное. Раньше с tutanota проблем не
припомню. Сейчас вижу что от w1.tutanota.de[81.3.6.162] есть подключения
сегодня, но ровно через пять секунд они отключаются. Однако, у меня в
Postfix есть настройка smtpd_client_restrictions = sleep 5 которая
выдаёт EHLO только после пяти секунд. Возможно ли такое что на tutanota
тоже пять секунд timeout и он на доли секунды раньше срабатывает? Уж
больно невероятно.
То есть, подключение по TCP до меня есть, через пять секунд я должен
послать EHLO, но через пять секунд вижу что соединение разорвано. Может
я сейчас немного порю чушь и не особо знаю как устроен TCP стэк в
FreeBSD, но возможно РКН даёт установиться TCP сессии, а дальше рвёт её,
посылая RST tutanota серверу, и этот сервер не посылает мне свой пакет о
закрытии соединения и я поэтому вижу что сегмент с EHLO не может дойти
только через эти пять секунд, в момент отправки пакета.
А если предположить что tutanota действительно у себя внутри имеет
timeout в 5 секунд, то это скорее неприемлемо маленький. Когда-то у меня
был sleep вообще в 20 секунд и всё работало. Я решил что 20 уж всё же
перебор и уменьшил. Всё это делается для того, чтобы тупых ботов,
которые не будут долго ждать (для экономии свои ресурсов), заставить
отключиться, думая что с сервером проблемы. И за много лет я часто видел
как боты отключаются (понимаю что бот по его reverse DNS имени в логе),
но ни разу не было чтобы легитимный провайдер (в том числе крупные типа
Yandex и Google и всякие мелкие) отфутболился. Да и пять секунд... если
сервер чем-то дико нагружен, то действительно можно увидеть такую
задержку.
Ради эксперимента, я сейчас поставил 2 секунды, не пять. Не могли бы вы
снова попробовать отправить с tutanota почту какую-нибудь? Если пройдёт,
а потом, при возвращении 5 секунд, снова откажет, то значит это
timeout-ы tutanota, чего прежде ни с кем я не замечал (даже 20сек
работали!).
И ещё мне показалось странным что он говорит про blog.stargrave.org
домен, ведь должен про mail2.stargrave.org.... но оказалось что я
действительно забыл прописать MX запись для blog.. Однако проблем это не
должно создавать, так как всё равно по адресу blog. он попадёт на тот же
самый почтовый сервер, который в курсе что он доставляет почту для
blog..
>Это не первое неудобство Tutanota (например, они не дают IMAP)
А POP3? Если нет, то, получается, через web-интерфейс у них почту
забирать что ли? Protonmail мне говорили что для бесплатных учётных
записей ни SMTP, ни POP3/IMAP4 тоже не дают -- только web-интерфейс.
>Поднимать свой почтовый сервер не могу (нет стабильного хостинга)
А особо стабильного и не надо для него :-). Все почтовые сервера,
штатно, в течении нескольких дней пытаются доставить время от времени
корреспонденцию. Достаточно быть... often enough, так сказать.
Единственная вещь для почтового сервера которую простому человеку не
просто получить: PTR запись (reverse DNS). Без неё доставка для любых
крупных почтовых серверов будет невозможна (до меня, кстати, тоже), а
современные провайдеры домашние повадились это предоставлять только
юрлицам. Хотя NetByNet (один из крупнейших в Москве и области) без
проблем прописывал что попросишь, просто послав им email на
dns@netbynet.ru адрес (точно не помню, но как-то так назывался).
>поэтому пока очень мучаюсь в выборе скучного, чтобы ею не
>интересовались всякие дяди в NSA, и простого, чтобы я мог
>зарегистрироваться, настроить свой клиент и больше не заходить на сайт,
>провайдера.
Единственный который я прям могу порекомендовать с чистой совестью это
https://riseup.net/. У меня там даже адрес есть на всякий пожарный.
Мало того, что дают SMTP/POP3/IMAP4 (что, я считаю, просто обязательно),
но у них даже web-интерфейс к почте работает без JavaScript-а. Уйму лет
с ними, некоторые знакомые (не только из РФ) тоже начали его
использовать и ни у кого никаких нареканий. Просто работающий почтовый
провайдер.
Однако для регистрации нужно приглашение от кого-нибудь. В прошлом году
я несколько штук выдавал -- все успешно регистрировались там. Сам же я
туда попал написав просто письмо с объяснением почему я у них хочу
завести почту -- где-то через неделю меня зарегистрировали. С invite-ом
просто быстрее. Если надо, то могу создать его и отправить.
Про Protonmail ничего не могу сказать хорошего. С tutanota вы всё
рассказали. А больше... я с ходу даже и не припомню уже как-то какие ещё
есть, чтобы без привязки к телефону, JavaScript-у и прочему. Но я и не
искал правда, так как свой сервер, переживший уже три географических
переезда, смену провайдеров/IP.
- комментарий 2:
From: Oskar Sharipov
Date: 2020-05-22 21:34:34Z
> >Это не первое неудобство Tutanota (например, они не дают IMAP)
>
> А POP3? Если нет, то, получается, через web-интерфейс у них почту
> забирать что ли?
"Через наши клиенты и браузер". Сейчас покажу ужас-ужас этого провайдера, к
которому я когда-то пришел, прочитав где-то список privacy-respectful
почтовиков.
Q: Can I retrieve my Tutanota emails via IMAP to another email client?
A: This is not possible as we could not guarantee end-to-end encryption for
your data. Instead Tutanota offers email desktop clients for Linux, Mac OS
and Windows as well as a web client and apps for Android and iOS.
https://tutanota.com/faq/#imap
Поэтому я давно уже раздумывал над другим провайдером. А пока набираю сообщения
в vim, делаю xclip -in и иду в браузер :/
> Ради эксперимента, я сейчас поставил 2 секунды, не пять. Не могли бы вы снова
попробовать отправить с tutanota почту какую-нибудь?
Отправил тестовый комментарий на fa70b50398ea7dcfe2a5b665611b8e5b2d761308.
Сейчас проверяю -- кажется, не дошло.
> Единственный который я прям могу порекомендовать с чистой совестью это
> https://riseup.net/. ...
>
> Однако для регистрации нужно приглашение от кого-нибудь. В прошлом году я
> несколько штук выдавал -- все успешно регистрировались там. Сам же я туда попал
> написав просто письмо с объяснением почему я у них хочу завести почту -- где-то
> через неделю меня зарегистрировали. С invite-ом просто быстрее. Если надо, то
> могу создать его и отправить.
Про riseup слышал. Возможно, в то же время, когда выбирал Tutanota. Не помню,
почему всё же остановился на тутаноте, но в то время я и не знал, что такое IMAP
и POP3.
Я могу тоже попробовать им написать позже. Прямо сейчас экзамены и заниматься
переездом почты я не могу, а не использовать invite примерно месяц -- может его
и отзовут. Но спасибо! Буду благодарен получить приглашение, могу написать вам
летом.
> >Поднимать свой почтовый сервер не могу (нет стабильного хостинга)
>
> А особо стабильного и не надо для него :-)
У меня есть слабенький VPS, но я не так внимательно слежу за автоплатежом и его
нагрузкой, что страшненько вешать свою основную почту. Также и с доменами. Пока
не придумал красивенький домен, чтобы хостить свою одностраничную домашнюю
страничку, поэтому хочется почту приютить у людей, которые знают, чем
занимаются. А если что-то упадет... ну, зато я буду знать, что не я накосячил.
В будущем обязательно и подниму свой e-mail сервер, и код буду хостить на своем
cgit, и файлы, с которыми надо поделиться с кем-то, буду складывать куда-то к
себе (что я сейчас и делаю, но для небольшого объема). А пока... времени не
очень много. Учиться мне надо... А с радостью бы этим всем занялся.
- комментарий 3:
From: Sergey Matveev
Date: 2020-05-22 22:32:15Z
*** Oskar Sharipov [2020-05-23 00:32]:
> A: This is not possible as we could not guarantee end-to-end encryption for
> your data.
Мда... хотя уж POP3/IMAP4 это прямой коннект между их сервером и твои
клиентом/машиной, где они могут просто сказать "использовать только TLS"
(они же даже на отдельных портах будут висеть). Или уж не знаю что они
там подразумевают. В общем бред.
>Поэтому я давно уже раздумывал над другим провайдером. А пока набираю сообщения
>в vim, делаю xclip -in и иду в браузер :/
Понимаю :-). Если что, то для популярных броузеров есть плагины которые
позволяют вызвать внешний редактор. В Firefox когда-то такое у меня
было, но уж не помню как называется. А в Xombreo, находясь в поле ввода,
нажать Ctrl-I и он вызовет терминал в котором Vim и во временном файле
содержимое поля ввода. В Lynx Ctrl-E аналогичное сделает. Когда нужно
работать с трэкерами задач на работе, то там кроме web-интерфейса ничего
нет, но набирать вот можно парой кнопок удобно в Vim.
>Отправил тестовый комментарий на fa70b50398ea7dcfe2a5b665611b8e5b2d761308.
>Сейчас проверяю -- кажется, не дошло.
Вижу в логах подключение, и ровно через *две* секунды:
lost connection after CONNECT from w1.tutanota.de[81.3.6.162]
То есть, желание моего сервера послать данные точно даёт ему понять что
связь оборвана. Так что да, похоже на РКН, timeout-ы не причём. Хотя, я
бы не стал говорить что это прям точно РКН, ибо за рубежом тоже очень
много с их стороны делают блокировок различных, насколько замечал, но
нам, людям, от этого легче конечно не станет.
>Я могу тоже попробовать им написать позже. Прямо сейчас экзамены и заниматься
>переездом почты я не могу, а не использовать invite примерно месяц -- может его
>и отзовут. Но спасибо! Буду благодарен получить приглашение, могу написать вам
>летом.
У invite вроде точно есть срок годности, но его мне получить это
залогиниться у них и тыкнуть кнопку -- так что без проблем.
Среди всех видов служб (обычно используемых) -- почтовый сервер это
самое сложное и геморройное из всего что придумано. И можно наверное
даже было бы посоветовать и использовать чей-то чужой, кто уже поднял.
То бишь, в принципе то поднять с нуля работающий со всем миром сервер,
когда *знаешь* как это делать -- труда не составляет и вопрос
прописывания в DNS, возможно настройка одного конфига для Postfix с
четверть экрана размером и как бы и всё (POP3/IMAP4 не беру во внимание
-- сам я их не использую у себя), не считая прописывания PTR записи для
своего IP, но это либо одно письмо, либо тикет в поддержку
провайдера/хостера. Но если на этом IP засвечен Tor выходная нода, то
придётся мониторить всякие спам БД и вычищать себя оттуда, скорее всего
блокируя неугодный трафик из-за которого ты попадаешь в спам. Речь не
про SMTP исходящий спам-трафик, а про то, что если с моего IP на 12345
порт шёл какой-нибудь TCP на определённые адреса, то это трафик
какого-то вируса, значит мой компьютер заражён, значит... я спамер! Вот
такая вот у них логика. Но я так много лет жил -- жить можно :-). Когда
Tor перестал запускать, то оно по сути просто годами крутится без
проблем. Но с SMTP и почтой всё сложно отлаживать и просто понимать всё
ли ok или нет. Но мне просто тупо интересно это всё, интересен опыт и
понимание. Да и мой сервер лежит и недоступен поменьше чем Gmail, на
котором у меня тоже была почта когда-то, а лежал он частенько (точнее
web-интерфейс работает (но кому он нужен то?), а SMTP/POP3 нет).
>Учиться мне надо... А с радостью бы этим всем занялся.
Успехов с учёбой! Она важнее чем вся эта тема -- а она никуда не убежит :-)
- комментарий 4:
From: Sergey Matveev
Date: 2020-05-23 09:54:16Z
*** Oskar Sharipov [2020-05-23 09:12]:
>Очень странно. Это вторая попытка отправить комментарий, потому что точно
>такой
>же вчера в блоге от меня появился, но сегодня утром я его уже не нашел.
Ох ох ох... побились комментарии для этого поста. Для их хранения я
использую git-notes и в качестве note добавляю сконкатенированные
netstring сериализованные строчки. Для git-note это в общем то является
просто текстом. Но он делает некоторые трансформации с ним: добавляет
newline, убирает whitespace-ы в конце строк. Я смотрел его исходный код
и больше ничего не заметил как он ещё может "попортить" оригинальный
текст. Так вот у вас была строка с "\t\n", а таб он воспринял как
whitespace и удалил его. Проблема со всем этим в том, что netstring я
сериализую до преобразований git-а, а значит и длина в нём прописывается
какую я видел, а не которая могла стать изменённой в последствии. В
итоге нарушается целостность netstring записи и после искорёженной всё
остальное уже не будет читаться.
В общем добавил я себе геморроя храня в plaintext+netstring, ибо git вот
преобразует всячески текст. Надеюсь косяк на этом уровне в последний раз :-)
- комментарий 5:
From: David Rabkin
Date: 2020-05-23 18:04:32Z
>У invite вроде точно есть срок годности, но его мне получить это
залогиниться у них и тыкнуть кнопку -- так что без проблем.
Я бы хотел зарегистрировать емейл у riseup, тоже в поиске. Пользуюсь, стыдно
признаться жимейлом на вебе. Ну, так я помню время, когда в жимейл только по
приглашению пускали, год какой-нибудь 2003-ий :-)
- комментарий 6:
From: David Rabkin
Date: 2020-05-23 18:07:41Z
Ах, да, и на комменты подписался, интересные у тебя комментаторы :-)
- комментарий 7:
From: Sergey Matveev
Date: 2020-05-23 19:47:15Z
*** David Rabkin [2020-05-23 21:01]:
>Ну, так я помню время, когда в жимейл только по
>приглашению пускали, год какой-нибудь 2003-ий :-)
У меня gmail учётная запись тоже в 2000-х по приглашению была заведена.
Уже даже не помню от кого. Тогда и без JavaScript-а даже всё работало.
- комментарий 8:
From: Sergey Matveev
Date: 2020-05-24 18:51:00Z
*** David Rabkin [2020-05-24 08:21]:
>У них там и ВиПиЭн сервис свободный, вроде. Как так может быть, чтобы
>безопасно и без денег?
Эм... а какая вообще взаимосвязь может быть между деньгами и
безопасностью? Microsoft, Apple, Google люди платят деньги больше чем
нефтянникам, но безопасность их сервисов и продуктов известна. Деньги --
значит это бизнес, значит за этим стоит бизнесмен, а у него вряд ли
будут мотивы жертвовать возможной прибылью, жертвовать возможной потерей
бизнеса (его гос-во попросит всё выдавать о его клиентах -- отказ
равносилен закрытию его лавочки). А бесплатный -- есть вероятность что
это проект "за идею", "потому что просто нравится", "потому что хочется
реально приносить пользу/помогать людям". Да, можно найти и тьму
бесплатных сервисов которые просто обманывают, водят за нос, вешают
лапшу. Но вспомнить платный сервис который бы внушал бОльшую уверенность
чем другие... я не смогу.
*** David Rabkin [2020-05-24 20:02]:
>Я имел в виду бизнес-модели. Гугл дает «бесплатные» сервисы, но продает данные.
>Какой-нибудь ПротонВиПиЭн берет деньги за сервис, утверждает, что не продает
>данные, я ему верю. Это логично.
Чего-чего, а протону я точно не верю. Они сплошь и всюду вешают лапшу на
уши на тему безопасности, предлагая PGP внутри броузера. Это просто
бессовестно и стыдно так вводить в заблуждение людей о безопасности. Вот
именно Proton это яркий пример того, как они просто говорят нужные
слова, которые люди хотят услышать, только технически у них иллюзия
безопасности. Но да, это тоже логично: "пипл хавает", да ещё и платит --
смысла отказываться, или тратить средства на настоящую безопасность нет.
Zoom-ом ведь, не смотря на то, что уличили в полном обмане на тему
end-to-end, всё равно точно так же продолжают пользоваться. С Google
хотя бы точно на 100% понятно и известно что он всё сольёт -- с ним
можно прикидывать риски, это по честному.
>ДакДакГоу и РайзАп дают сервисы, и деньги не требуют. Почему?
Насчёт DuckDuckGo ничего не скажу. Но... а что они могут сливать или
продавать кому? Они и без cookie и без JS прекрасно работают. Максимум
что они "видят" это поисковые запросы и IPv4 адрес. И они просто
работают, без проблем, тогда как Google может выдать CAPTCHA и поиск
будет невозможен и они постоянно round-robin-ом гоняют подключение между
серверами где разные сертификаты, делая pinning (для домена) бесполезным.
Ну, как минимум можно вспомнить про GNU Savannah и кучу других хостеров
СПО -- ни копейки не просят, в отличии от Sourceforge.net не показывают
рекламу, просто предоставляют десятки служб. Следить там особо не за чем
(и так всё, как правило, публично). Они просто за идею, с искренним
желанием помочь людям в хостинге. У меня дома на сервере и совершенно
сторонние, не касающиеся даже ИТ темы, сайты хостятся годами и я тоже ни
копейки за них не прошу. Riseup я уверен что хостят такие же энтузиасты.
DuckDuckGo меня смущает тем, что на энтузиазме высоконагруженный
поисковик сложно сделать. GNU Savannah, аналог Sourceforge -- не сложно,
при их количестве пользователей. На Riseup много сервисов, но все они не
много требуют ресурсов и железа при их количестве пользователей. Легко
поверю что это на голом энтузиазме. Сам бы так делал, но не знаю что
предложить людям :-). А для поддержки всяких сервисов и сайтов и железо
прикупал из своего кармана.
Есть люди которые ничего не будут делать без денежного профита. Есть
которые будут, даже тратя свои деньги из кармана. Не могу сказать что
они абсолютно бескорыстно это выполняют, возможно ради удовлетворения
собственно тщеславия, ради того, чтобы почувствовать себя важным. А
почему бы и нет? Мне много раз предлагали деньги за проделанную помощь с
PyGOST библиотекой, но я отказывался. Почему? Уж точно не потому что я
заинтересован в её проталкивании всюду и везде чтобы back-door-ed
ГОСТовые алгоритмы проникли на компьютеры людей :-). А ведь точно кто-то
так может подумать, и только потому что я не взял денег, и он ожидает
подвох. Слава богу что не все люди всё оценивают и решают деньгами.
Я задаюсь вопросом "почему он(и) не берут денег?" только если речь о
крупных деньгах, колоссальных затратах, на которые я не поверю что
пойдёт yet another энтузиаст. Держать Riseup.net -- много железа и
ресурсов не надо, ибо у них из-за invite-системы явно не настолько много
людей чтобы несколько серверов не могли со всем этим справляться.
Толстые каналы не сложно получить, разместив сервера в ДЦ и легко
получив хоть 10, хоть 40 гигабит полноценный Интернет. Один человек,
тратя часть своей зарплаты, в состоянии будет и оплачивать место в
стойке и выделенные каналы. Тут у меня сомнений нет.
А Proton, повторюсь, с моей точки зрения не очень хорошие люди типа
Дурова, которые обманывают людей, и, что гораздо хуже, создают иллюзию
безопасности (Riseup например, без JavaScript работает, а Proton ни шагу
без него).
3dc4adddc28d3c72c5e8db251c04190731465d11
ad3cebac138f05d5d9dd668afb6effa0f057a3ee
Ведь самое клёвое это не делать так, чтобы люди использовали априори
небезопасные (для приватности и конфиденциальности) решения (Google,
Apple), а чтобы люди использовали то, что они считают безопасным и
приватным, и эта иллюзия безопасности полностью сбивает их оценку
рисков, позволяя им куда более серьёзной информацией обмениваться,
которую, в случае с Telegram/WhatsApp/Proton -- "прослушают".
Последние годы вовсю тренд идёт на privacy, security, end-to-end
encryption, бла бла бла. Только это всё на словах у всех популярных
решений. Всё это бизнесмены.
>Кстати, РайзАп ВиПиЭн заработал в пол-тычка на приличной скорости, даже без
>учетной записи. А если я через него торренты буду гонять? Это нормально? Ничего
>про это не говорится, но как-то неэтично торренты гонять через бесплатный
>сервис.
Думаю что в Riseup всё крутится вокруг этики и разумных людей :-)
Наверное у них поэтому и не написано про BitTorrent, ибо этичный человек
не станет VPN под это дело использовать. Я бы не стал. С другой стороны,
если у них дешёвые 10/40 Gb каналы связи, то им может действительно
пофиг что там за трафик просасывается и в каком количестве и поэтому и
не пишут ничего.