martes, 24 de junio de 2008

El Sillón de Don Otto y la Neutralidad de la Red

Hay un viejo chiste de Otto y Fritz.

Llega Don Otto un día a su casa en forma inesperada, y encuentra a su esposa con su mejor amigo Fritz, en plena situación de infidelidad, en el sillón de su casa.

Don Otto se retira muy molesto y decide tomar una drástica decisión, para terminar con ese incómodo problema.

Don Otto decide ... vender el sillón.

Fantástica solución al problema. :-)

Estos días he estado trabajando en casa, por diversas razones. El tema es que desde anoche, habia un par de correos encolados en mi bandeja de salida, que se negaban a salir.

No le di mayor importancia porque tampoco eran urgentes. Pero esta madrugada el tema ya fue crítico, porque debía enviar otros correos que sí eran importantes, y la misma situación.

No les voy a contar todas las pruebas que hice (pensando que algo se había desconfigurado en la red de la casa o en mis computadores), hasta que finalmente, encontré la razón: el puerto 25 (por el cual se envía el correo SMTP) estaba bloqueado por mi ISP, GTD Manquehue.

¿WTF? ¿Qué pasó? Inocentemente, pensé que era un problema temporal de servicio (sí, soy así, presumo inocencia mientras no se demuestre lo contrario).

Una rápida llamada telefónica al soporte técnico, y efectivamente, me informaron (tanto la primera persona que me respondió y posteriormente el supervisor, que tuvieron la mala suerte de atender la llamada de un cliente con un modelo de indignación exponencial a las 08:15 de la mañana), que GTD Manquehue efectivamente había bloqueado el puerto, y que les informara qué servidores deseaba yo utilizar para enviar mis correos.

Pero en todo caso, si decidía usar el correo provisto por el ISP, no tendría ningún problema. Además de una serie de pseudo-argumentos que a un usuario normal lo habrían confundido y que por desconocimiento, probablemente se habría terminado resignando para comerse la "manzana envenenada". Mala jugada y más me indigné, porque si hay algo que definitivamente no me gusta, es que me traten como newbie y me intenten rebatir con falsos argumentos.

Y seguí tirando el hilo.

Además me reconocieron que efectivamente fue una medida arbitraria y NUNCA informada a los clientes, y que estaban actuando por "omisión" (para los que sean familiares con modelos de negocios en Internet, un modelo Opt Out). O sea, sólo frente a reclamos explícitos de los clientes. Otro punto en contra por la calidad de servicio. NUNCA se cambian las condiciones de servicio en forma unilateral y menos sin informarlo previamente a los clientes.

Y de acuerdo a lo que me informaron (aún no he tenido el tiempo de chequear fuentes), es una política común acordada en el seno de la API (Asociación de Proveedores de Internet) y que todos los ISP en Chile están realizando. Y que además tiene el respaldo de la Subsecretaría de Telecomunicaciones (SUBTEL). La razón de fondo, es que muchos de nuestros segmentos de red (las direcciones IP), están "marcadas" a nivel internacional como "fuentes de SPAM", producto de muchos inescrupulosos que, o bien tienen su base de operaciones en Chile, o bien utilizan botnets de incautos usuarios infectados.

Sobre lo del tema del SPAM, efectivamente es un problema. Pero no se resolverá por esta vía. Están "vendiendo el sillón" y dando jarabe para la tos para un problema del hígado.

Me intentaron explicar además que es la asignación dinámica de IPs la causa del problema. ¿WHAT? Por favor, a otro perro con ese hueso.

Parte del problema que probablemente tienen varios ISPs, es a consecuencia de un pésimo diseño de ingeniería de sus propias redes para la asignación dinámica de rangos DHCP, el poco compromiso en la implementación de DNS reverso (tema que se viene discutiendo en el Consejo Nacional de Nombres y Números IP, en el cual participamos desde el Colegio de Ingenieros hace tiempo) y otras yerbas adicionales (en las cuales no voy a entrar con mayor detalle, para no aburrir a mis lectores "no techies").

No creo que la SUBTEL haya tomado una decisión en términos de respaldar una decisión tan arbitraria como esta y que parte afectando a los usuarios en su implementación. Es algo que deberé chequear. Pero no lo creo.

Y por último. Hay muchas otras formas mejores de implementar una medida así, si es que llegara a justificarse. De partida, comunicando en forma adecuada, oportuna y sobre un modelo "Opt In", no a través de un "Opt Out" desinformado.

La actual implementación abusa de los clientes. Subsidiamos a través de nuestra molestia y nuestros recursos, ineficiencias en el diseño de modelos de servicio y soluciones adecuadas, y que además del enorme lucro cesante de nosotros los clientes, no resuelve el problema de fondo y es simplemente un parche temporal.

Supongo que los 3 servidores externos que uso para mis distintos correos, ahora estarán habilitados. Pero tengo también una serie de servicios que se comunican en forma directa mediante SMTP y que dejarán de funcionar. Y claro. Como el procedimiento que tienen es exclusivamente para chequear "correos", deberé invertir no sé cuánto tiempo en tratar de explicar para qué necesito ese port abierto. Y por último, por un tema de privacidad, no tengo por qué andar contando lo que hago o no hago en la Red. Ese es un problema mío, propio de mi privacidad. Sería equivalente tener que pedir permiso a mi proveedor de servicios de electricidad, para preguntarle qué programas puedo ver en mi televisor o qué marca de computador me autorizan para enchufar a la red eléctrica.

Por ello, a pesar de que ciertos senadores digan que "la discusión de la Neutralidad de la Red" es exclusiva para países desarrollados, eso NO ES ASI. Es un tema importante. Y deberemos seguir con mucho cuidado la actual discusión en el Senado de este proyecto.

Ya lo dije hace tiempo cuando expliqué en términos "simples" el tema de la Neutralidad de la Red. Estas son discusiones cruciales para el desarrollo futuro de nuestro país y debemos apoyar este tipo de iniciativas transversales y que a todos importan. Por eso, sigamos apoyando NeutralidadSI.

A pesar de lo que coloqué en mi artículo previo sobre este tema, producto de situaciones como la mencionada, me empiezo a convencer de que el acceso Internet comience a ser analizado como un servicio público y un derecho. Los ISPs se lo están buscando solitos.

A ver si con un marco legal adecuado, los Ottos aprenden que los problemas no se resuelven vendiendo los sillones.

Stay Tuned!

Fuente de la imagen: Flickr, galería de So Sylvie


9 comentarios:

@micronauta 1:35 p.m., junio 24, 2008  

Si, creen que uno es wn.

Te puedo contar que ni en Clarochile (WCDMA) ni en Telefónica (ADSL) ni en VTR (cable), que son los tres proveedores de acceso que uso habitualmente, he tenido problemas con SMTP.

Anónimo,  3:22 p.m., junio 24, 2008  

GTD bloqueo hace como un mes el puerto 25...

:-(

Isabel de la Barra 1:57 a.m., junio 25, 2008  

uffff,

odio llamar por temas tecnicos a mi ISP por que muchas veces el que esa al otro lado no tiene idea de que le estoy hablando.

Si lo que les preocupa es el spam y salir en listas negras, por que no usan soluciones tipo "proxy trasparente" que haga ese chequeo? Ahhh, verdad que sale mas barato cerrarlos y listo.

Anónimo,  5:33 a.m., junio 25, 2008  

Estimado MAZ, en este caso no estoy de acuerdo contigo. Creo que el tema es bastante más complejo, y lo estás viendo únicamente desde tu punto de vista.

Primero que nada, coincido en que el cliente debiera estar claramente informado cuáles son las restricciones de acceso (las reglas que se usan para filtrar).

Por otra parte, está el problema de que se use el mismo puerto (el 25) para dos servicios que son diferentes en su naturaleza. Me explico. Para enviar un mail en general hay al menos 2 pasos. Primero, el cliente de correo le entrega el mensaje a su servidor "de salida". En el segundo paso, este servidor de salida se encarga de buscar el destino final o uno intermedio, reintentar si fuese necesario, y entregar el mensaje al siguiente paso en el camino. Finalmente debiera llegar al destino, que es el servidor que lo almacena hasta que el destinatario del mail se lo pida para verlo.

El problema con SMTP es que para ambos pasos (enviar desde el cliente al servidor de salida, y luego entre los servidores) se usa el mismo protocolo y por ende el mismo puerto. Pero los servicios son diferentes, ya que por ejemplo en el primer paso tiene sentido autenticar al cliente que hace el envío. En cambio, si bien es posible pensar en autenticación en el segundo paso, tiene consecuencias que finalmente harían del correo una herramienta menos poderosa y posiblemente controlada por los "grandes" proveedores.

Desde el año 1998 existe la habilitación del puerto 587 (submission), que se debiera utilizar para el envío desde un cliente hacia el servidor, y que un ISP no debiera tener que bloquear. Es básicamente el mismo protocolo que el puerto 25, pero funciona en otro puerto y siempre se utiliza un mecanismo de autenticación previo a que el servidor acepte un mensaje por parte del cliente (actúe como "relay").

También está la posibilidad de que un ISP permita que, previa autenticación, un cliente suyo envíe correos con cualquier header "From". De hecho, la gran mayoría de los spambots dejan de funcionar cuando se agrega autenticación. Y si algún spambot tiene acceso a los datos para autenticarse, se puede identificar la cuenta y denegarle el acceso hasta corregir el problema.

La alternativa de proxying transparente no es muy recomendable, porque hace que todo el tema quede aún más oscuro y difícil de manejar. Es mejor que si se restringe se haga de una vez y abiertamente, y que existan las alternativas.

En resumen, bloquear el puerto 25 puede ser razonable, siempre y cuando se cumplan algunas condiciones:

1. que se informe adecuadamente
2. que se use autenticación para enviar mails desde los clientes del ISP (permitir relay en base al número IP hace que el filtrado no sirva de nada). Alternativamente puede ser cómodo que los ISPs permitan relay para todas las redes internas con usuario @el.isp pero requiera autenticación para otros "From".
3. que no se filtre el servicio SMTP en el puerto 587 (en algunos casos se usa también el 465, pero ese también se puede utilizar entre servidores, y la autenticación es opcional), que se usa justamente para lo que tú necesitas.

Atenta contra la neutralidad de la red? Pues en estricto rigor, si. Pero mientras se cumpla con informar abiertamente lo que se está bloqueando, así como las razones, alternativas y excepciones, los usuarios pueden tomar decisiones informadas como por ejemplo, utilizar el puerto 587, que es lo que te debieran haber dicho en tu ISP en lugar de recomendar que usaras el correo que ellos proveen.

Personalmente no veo que, bajo las condiciones puestas, bloquear ese puerto particular atente contra el proyecto de ley de neutralidad de la red que se discute en el congreso. Probablemente se deba permitir alguna forma, ojalá automática, para que un usuario pueda solicitar el no bloqueo de su salida por el puerto 25, asumiendo la responsabilidad, que no es poca. Probablemente también tenga sentido que en esos casos la dirección IP asignada sea fija. Pero sigue siendo un problema que las listas negras de spam incluyan subredes completas en la lista cuando se identifica que un número IP es utilizado para enviar spam. Aquí hay un compromiso entre poder entregar un servicio adecuado (tanto el servicio de correo para los usuarios del ISP, como evitar que la subred donde se encuentran todos los que tienen libre acceso al puerto de salida 25 caiga en listas negras), y evitar cualquier tipo de filtrado.

Walala 9:54 a.m., junio 25, 2008  

el 70% de los mensajes que recibe mi servidor de correo son spam. de esos spams, cerca de la mitad es de produccion nacional, generado por computadores domiciliarios que corren programitas para mandar mails masivos a bases de datos de correos. los isp deben tomar medidas, y tomarlas ya.

por otro lado, si tu server de correo de tu empresa no está usando autenticacion, y estás mandando correos desde tu casa, eres openrelay, probablemente tambien te usen para mandar spam y termines bloqueado.

Maz 12:20 p.m., junio 25, 2008  

@micronauta, @Mig e @Isa: Gracias por sus comentarios.

@Jens: Gracias por el tiempo invertido y explicar varios temas técnicos en los cuales no me quise meter en el artículo, y que de partida, deberían ser parte de una política de difusión y capacitación hacia el mercado.

Pero no veo el por qué partes tu comentario, expresando que estás en desacuerdo con lo que planteo con el artículo. Más bien reafirmas varios de los conceptos que expreso.

De hecho, con la respuesta que le voy a dar a @Walala quedará más claro. Por supuesto que estoy de acuerdo con el tema de autenticación de clientes y las recomendaciones que planteas.

Pero como parte de una política de servicio ordenada, informada y clara.

@Walala: Todos los servidores de correo que utilizo tienen autenticación y no soportan Open Relay. De hecho (y aprovecho de contestar la preocupación de Jens) los servidores que utilizo SI la aplican, pero en diversas formas (como todo en Internet, hay más de una forma). El punto es (por lo que averigué esta mañana, ya que todavía tenía algunos problemas con un par de servidores), es que el bloqueo es a nivel de IPs.

Y eso se contradice con el uso de otros protocolos o mecanismos de autenticación. Y eso es definitivamente una mala implementación.

En cualquier caso, siguen siendo válidos mis comentarios de que la forma de implementación y el modelo de servicio a clientes en modalidad Opt Out en forma desinformada, es pésima, y que por otro lado, es una solución para el tema del SPAM vendiendo el sillón de Don Otto (al menos en parte). :-)

En este caso, mi rol como cliente es por lo menos exigir un buen nivel de servicio.

Anónimo,  6:07 p.m., junio 25, 2008  

Disculpa por el offtopic, pero me llamó la atención el tema de los Don Otto en Chile.
Y lo bien que encaja este personaje en los problemas históricos ( drogas, delincuencia, educación, salud, crisis de representatividad ) que tiene el país.

Saludos

Anónimo,  4:25 a.m., junio 26, 2008  

Hola MAZ,

aclarando por qué dije que no estaba de acuerdo, es porque al menos yo interpreté que sugerías que ningún ISP bloquee el puerto 25 de salida para sus clientes. Puede que mi interpretación no sea correcta, y en ese caso estaríamos de acuerdo. De todas maneras hace falta mayor difusión.

Ahora mismo, estoy en la ESO en alemania, y tienen bloqueados los puertos 25 y 465 de salida. Pero dejan abierto el 587, que es el standard para envío de mensajes. El problema es que de mis proveedores, solamente uno (que manejo yo mismo, pero en estos momentos no está disponible por problemas de red) tiene habilitado el servicio de envío de mensajes por el puerto 587.

Borges 9:42 p.m., junio 30, 2008  

Bueno, al menos GTD-Manquehue no bloquea el puerto 587 TCP y configurar un MTA para que acepte peticiones ahí es trivial.

Ahora bien, deberían haber avisado del bloqueo pero es una práctica habitual en los ISP, justificada en buena medida por razones ya descritas anteriormente. Gmail hace lo mismo también...

Seguidores

Powered By Blogger

  © Blogger templates Newspaper III by Ourblogtemplates.com 2008
      Header Image: Modification of Technology Curve by Wonderlane

Back to TOP