Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

Fibra

Imposible conectar al puerto TCP 25 de smtp.movistar.es desde la fibra de Digi

BocaDePez
BocaDePez

Desde hace unas semanas me estaba dando problemas el envío de correos desde una cuenta de «». Thunderbird me decía que era imposible conectar con el servidor. Como el problema persistía empecé a indagar un poco más y al ejecutar un «telnet smtp.movistar.es 25» me dice:

telnet smtp.movistar.es 25
Trying 86.109.99.70...
telnet: Unable to connect to remote host: Connection timed out

Idéntico resultado obtengo con otros servidores:

telnet smtp.orange.es 25
Trying 62.36.20.30...
telnet: Unable to connect to remote host: Connection timed out

El caso es que desde una conexión de fibra de Movistar funciona perfectamente por lo que me surge la duda de si DIGI está filtrando o bloqueando las conexiones de salida hacia ese puerto. He probado configurando el cortafuegos del router (ZTE) a nivel medio pero el problema persiste.

¿A alguien le pasa lo mismo?

Saludos.

pepejil

Es bastante común que bloqueen el 25. Lo raro es que desde una conexión de Movistar funcione.

¿No tienes alguna alternativa para conectarte usando el 587 o el 465?

🗨️ 10
apocalypse

¿Común que bloqueen el puerto 25 para una conexión saliente a un servidor SMTP? Estarás confundiendote con que lo bloqueen en conexiones entrantes, y tampoco es tan común, ni Movistar, ni Vodafone ni Jazztel bloquean el puerto 25. Las demás no se.

🗨️ 9
vukits

Es MUY común.

Con Movistar, en su día, si mandabas más de unos cuantos correos en una hora determinada, te lo bloqueaban

🗨️ 4
apocalypse

Llevo años con un servidor de correo montado en mi conexión, antes con Jazztel, después con Vodafone y ahora con Movistar. Y responde perfectamente en el puerto 25.

ibb.co/614tFd7

🗨️ 3
pepejil
🗨️ 2
apocalypse
🗨️ 1
vukits
pepejil
1

Es totalmente común básicamente porque es la manera más rápida de no ver tu pool de IPs en medio centenar de listas negras sólo porque en tu red se está generando envío de spam.

Para hacer conexiones a otros servidores SMTP, ahora se requiere usar SSL/TLS en el puerto 587 o 465 y con identificación SASL. Hasta el hosting más pequeño ofrece ese tipo de conexiones básicamente porque configurar un MTA así se tarda 5 minutos.

🗨️ 3
apocalypse

Pues yo sigo usando el 25 y no tengo problemas. Si tu IP aparece en listas negras igual el problema no es usar el puerto 25, el problema es que has dejado que se cuele un bicho en tus equipos.

🗨️ 2
pepejil
🗨️ 1
vukits

usa otro puerto , alguno para TLS o SSL.

el 25 ya no se utiliza con TLS o ssl

🗨️ 2
rbetancor
1

el 25 ya no se utiliza con TLS o ssl

Porque tú lo digas ... XDD

Todo depende de que configures correctamente el servidor de correos.

Puedes aceptar tráfico al 25 SMTP normal, para correos que van para tus dominios ... y pedir que renegocie TLS sobre el 25, para que autentique por SASL y le permitas hacer RELAY al que envía (clientes básicamente).

No hace falta comerse el tarro con puertos extras, que si el 587, el 486, bla,bla,bla ... lo que hay que hacer es configurar correctamente el MTA y punto.

🗨️ 1
vukits

es una mantira que no hace daño a nadie :P

(de servidores de correos no entiendo gran cosa.. ¡gracias a Gmail! )

rbetancor
1

Siendo DiGi ... puede ser que estés tras el CGNAT (no lo indicas) ... y que DiGi tenga como política, que tras el CGNAT, no te permite conectar a puerto 25 que no sea mail.digi.net ... lo cual me parecería una política más que correcta.

BocaDePez
BocaDePez

¿No te puedes pasar a SMTPS? Puerto 465.

BocaDePez
BocaDePez

Buenas noches y gracias por las respuetas.

Soy el autor del hilo, paso a responder algunas de las cuestiones planetadas:

1/ Hasta donde he probado, el servidor de correo de Movistar ( y Orange) no permite usar otra configuración que no sea el puerto 25 y sin canal seguro, es decir, que no funciona el puerto 26, 2525, 587 (submission) o 465 (SSL). No he probado si el 25 con TLS funciona, seguramente sí, pero no me resolvería el problema al no poder establecer una conexión en el puerto 25.

2/ Pensando que podría ser un problema del servidor de correo de Movistar he comprobado la IP que tengo asignada (la externa, 188.x.x.x) y no aparece en ninguna lista negra. De todas formas, lo habital en estos casos no es que el servidor de correo impida la conexión al puerto 25 sino aceptar la comunicación y descartar o etiquetar el correo después (p. ej., puntuarlo alto como spam).

3/ No he solictado salir del CG-NAT, pero eso no debería impedir la comunicación (sentido cliente→ red) al puerto 25. Entiendo que sí procedería en el caso de que quiesiera configurar un servidor de correo electrónico detrás del router (sentido red → cliente).

4/ El correo de Movistar lo uso de manera puntual ya que tengo otras cuentas y en todo caso, el acceso por webmail funciona, pero sí me preocupa no poder disponer de una conexión al puerto 25 cuando salgo a través de la fibra de DIGI. Tampoco creo que esta restricción (en caso de serlo) se ajuste a la neutralidad de la red que deben observar los ISP. Sería una limitación grande que por otra parte no se indica en las condiciones de contratación, o al menos yo no lo he visto.

🗨️ 2
BocaDePez
BocaDePez
1

Recordatorio amistoso de que el concepto legal de "neutralidad de la red" (manido término, por cierto) en Europa es que no se puede discriminar a proveedores de servicio concretos, pero sí se pueden discriminar categorías de servicio enteras. Impedir conexiones externas a TODOS los servidores al puerto 25 por lo tanto no rompe la neutralidad de la red según la ley europea.

Amenhotep
1

Es totalmente normal bloquear en el servidor el puerto 25 desde conexiones residenciales.

El puerto 25 es solo para entrega de correo entre MTA.

Para clientes de correo hay que usar el puerto 587 TLS o 465 SSL.

🗨️ 6
rbetancor

El puerto 25 es solo para entrega de correo entre MTA.

Para clientes de correo hay que usar el puerto 587 TLS o 465 SSL.

¡ale, otro con la misma cantinela! ... ¡que solo es cuestión de configurar correctamente el MTA!, no hace falta estar abriendo puertos extras para un servicio, si se configura como debe.

Es de un simple que lo flipas el asunto:

telnet mail.######.es 25
Connected to mail.######.es.
Escape character is '^]'.
220-mail01.######.es ESMTP Postfix
ehlo mail
220 mail01.######.es ESMTP Postfix
250-mail01.######.es
250-PIPELINING
250-SIZE 40960000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Listo ... con no permitir ni relay ni autenticación, sino se ha hecho un STARTTLS, problemas resueltos.

🗨️ 5
ToooWuu
1

Lo que están comentando, es que es "normal" (para algunos/bastantes ISP) bloquear el puerto 25 tcp para que sus clientes no puedan enviar spam (ellos o sus windows troyanizados).

Es decir, que en este caso "DIGI Spain Telecom" no permite que sus clientes de fibra conecten por el puerto 25 a ningún servidor del mundo, en este caso "smtp.movistar.es y smtp.orange.es".

Y obviamente no hay nada que puedas configurar en el mta para solucionar esta situación.

🗨️ 3
rbetancor

Pero ese "te cierro el SMTP por mis cojones" ... es mala praxis, muy mala praxis ... puesto que estás limitando que los usuarios puedan usar un servicio perfectamente legal y funcional, y estás pasandote un mucho de rosca con las limitaciones.

Movistar tiene a los avísos de Némesis para esas cosas ... pero no te cierra la puerta en las narices "porque sí", como al parecer está haciendo DiGi. Que tampoco sabemos a ciencia cierta, si es DiGi ... o Movistar quien no le permite conectar ... pero lo dudo, ya que comentan que con los servers de Orange pasa lo mismo.

Yo no he dicho que configurando bien el MTA, te saltes esa situación ... he contestado a lo de "el puerto 25 es solo para entrega entre MTAs y para clientes hay que usar bla,bla,bla" ... porque simplemente NO ES CIERTO.

Hoy en día, la única forma de usar un server SMTP de un operador como "open-relay" ... es que le hayan juankeado las credenciales al usuario ... y ahí, te importará tres pitos y un caracol, si usas TLS, SSL, SASL y o el puerto de la Ramona ... tienen las credenciales y punto, de esa solo te salva que el ISP tenga configurado sistemas de alerta de actividad sospechosa, por cantidad de mensajes o cualquier otra técnica, que detecte el tráfico "anomalo" proveniente de una cuenta autenticada.

🗨️ 2
BocaDePez
BocaDePez
1
BocaDePez
BocaDePez
pepejil

Estoy de acuerdo pero el filtro es de "te cierro el 25 por mis cojones". No se paran a analizar si esa conexión va con una orden de mandar TLS.

Por eso dije más arriba que para estos casos mejor usar el 587 o 465 porque es cifrado si o si.

BocaDePez
BocaDePez

Hoy en día, no se negocia bajo puerto 25. Pero muchas máquinas aun siguen dando servicio a ese puerto. Y, concretamente, ya no se dan las circunstancias a usar ese puerto.

O mejor usarse el puerto 465 o el 587, pero con SSL/SASL/TLS (todo según qué manera configurada esté un servidor).

Es que, actualmente, el 25, es solo para accesos para según qué operadores. O incluso, pueden cerrar al resto de máquinas y operadores, que solo se han de permitir directamente usarse el puerto 465 o el 587, con certificados válidos para mandarse correos electrónicos (según lo que se hagan con qué proyecto se hagan, sean Postfix, QMail, Sendmail (el Sendmail, recordemos, que es muy vulnerable), Exim4 y muchos otros).

De todas formas, el 25, aunque no se crea, también va a servir para mandar correos de forma local, en rangos de IPs locales o permitidos solo para aquellos que lo hagan en ese puerto.

Aunque, también hay que recordar, que el 25, si no tiene configurado para permitir la firma STARTTLS/SASL y SSL, olvídate, porque no te van a dejar entrar, aunque estés en otro rango de IP o de máquinas privadas. Da igual.

Pero teniendo en cuenta, que aun existen servidores vulnerables, que no han sido configurados para permitir la entrada con usuario/clave y eso es un problema para muchas personas a seguir con estos servidores. Pues generalmente, éstos los mandan para hacer SPAM y mailing pero de los malos. Y eso, amigo, no se puede permitir de ninguna manera.

Hoy en día, para entablar entre servidores SMTP, deben estar provistos con los nuevos puertos (465 y 587), para evitar que se "huelan" las comunicaciones de terceros y robar información sensible en ellos. Aunque, sigan usando el 25, solo para "cuantas" cosas, pero han de tener certificados válidos para que vayan más seguras las transferencias de los correos que se manden.

He visto servidores que, si no se mandan al puerto 25, también buscan la manera de hacerlo en el 465 o 587 y hacer las comunicaciones transparentes entre ellos.

🗨️ 5
pepejil

Hoy en día, no se negocia bajo puerto 25. Pero muchas máquinas aun siguen dando servicio a ese puerto. Y, concretamente, ya no se dan las circunstancias a usar ese puerto.

Muchas... Por no decir el 99,9%. Hasta Gmail hace las entregas por 25 aunque esté habilitado el Submission en el extremo.

El 25 sigue siendo el puerto por defecto porque admite cifrado y sin cifrar. La diferencia es que el Submission 587 y el 465 son mandatory. Pero para qué van a cambiar la negociación por otro puerto si con el 25 ya pueden negociar STARTTLS.

Hay una norma en informática y es de mantener al máximo la compatibilidad.

🗨️ 3
BocaDePez
BocaDePez

El 25 sigue siendo el puerto por defecto porque admite cifrado y sin cifrar. La diferencia es que el Submission 587 y el 465 son mandatory. Pero para qué van a cambiar la negociación por otro puerto si con el 25 ya pueden negociar STARTTLS.

Se sigue haciendo, porque es una norma que se aplica aun.

Pero yo recuerdo haber visto servidores que tienen filtrado por el 25 y sí reciben por el 465 o el 587.

Pero te doy la razón, porque es una cosa que si se manda aun. Y lo hacen por que es una "norma" aun por mantenerse un gran tiempo. Ya no estamos en el año 2.000, como ahora, que estamos en el 2.020, que son otras historias de "antes", no las de ahora. Puestos que, efectivamente, se han de comunicar por las nuevas vías.

En el STARTTLS, bien. He visto servidores abiertos que están mal configurados, y ahí, sí que no se deberían permitir que se manden en esos servidores gente que solo va a mandar correos no solicitados (mal configurados, o por vagancia de los administradores o que no han sabido configurar eficientemente).

🗨️ 2
pepejil

Es que el filtrado sólo lo he visto en las ISP. Entre MTAs en producción no he visto algo así excepto si el proveedor ve que hay tráfico anormal saliendo por un puerto dedicado a envío de emails.

Que vale que los usuarios residenciales con asignación dinámica no van a dedicarse a montar un MTA. El problema está en que entra en conflicto cuando se quiere operar con un MTA externo.

Dicho lo cual, me parece correcta la política de Telefónica. No así la de Digi de bloquear por defecto porque si. Si no tienen ni para un centro de supervisión de su red, mal van.

🗨️ 1
BocaDePez
BocaDePez
BocaDePez
BocaDePez

Haz llamado al Call Center?

BocaDePez
BocaDePez

Si, tengo exactamente ese mismo problema con la fibra de Digi, y aunque cuando les llamas te prometen darle solución en máximo un par de días, no hacen absolutamente nada, con lo cual sigo buscando solución para que funcione el correo saliente de Outlook 2016.

🗨️ 3
rbetancor
1

Parece que por ahora, la única solución es .... cambiar de operador.

Los de Digi, no parecen por la labor de solventar este problema.

🗨️ 2
BocaDePez
BocaDePez

O movistar bloquea las IPs de Digi?

🗨️ 1
pepejil

¿Por qué iban a hacer eso?

BocaDePez
BocaDePez

Hola, tengo exactamente el mismo problema y lo he comunicado a DIGI.Estoy a la espera de que me contesten.

Si haces ping a la IP del servidor smtp, todo OK.

Creo que no convierten el dominio (en mi caso telefónica.net) a la IP correspondiente, de forma correcta.

🗨️ 1
BocaDePez
BocaDePez

Si puedes hacer ping entonces está resolviendo la IP correctamente. Lo que pasa es que bloquean las conexiones externas al puerto 25.

BocaDePez
BocaDePez

Hoy he comprobado que ya funciona correctamente la salida de correos al smtp de Telefonica.net

🗨️ 1
BocaDePez
BocaDePez

Yo he llamado y también lo han abierto para mí cuenta.