Хостер, где я держу сайты уже лет эдак двадцать, стал в последнее время подводить (сегодня опять упал, а следом написал клиент, который только что купил лицензию, но обнаружив, что сайт слег, по этой причине стал требовать рефанд ). В общем, решил хоститься на отдельном сервере. Кое-какой опыт у меня есть (nginx, docker etc.). Единственная загвоздка, как видится, это свой почтовый сервер. Вижу, что есть интересные решения, но чувствую, есть и подводные камни. Где-то пишут, что для такого сервера нужен "хороший" ip. Наверняка кто-то уже имел опыт такого рода переезда от хостера на свой почтовый сервер. Что следует учесть, к чему быть готовым?
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Наверняка кто-то уже имел опыт такого рода переезда от хостера на свой почтовый сервер. Что следует учесть, к чему быть готовым?
Здравствуйте, Unhandled_Exception, Вы писали:
UE> Что следует учесть, к чему быть готовым?
— Альтернативно одаренные хостеры любят закрывать порты (например, блокируют исходящий трафик на порты 25 / 123 и т.д.). Имеет смысл проверить это до.
— IPv6 и verify TLS — must have в современном мире. Некоторые альтернативно одаренные хостеры умеют вклиниваться в SMTP трафик и дропать "STARTTLS"
— Zero trust — не должно существовать доверенных источников даже если это localhost, обязательная аутентификация и авторизация в случае чего может сберечь тебе много нервных клеток.
Следует учесть то, что настройка почты на порядок сложней настройки любого другого сервиса.
Также следует быть готовым к тому, что твоя почта будет падать gmail-у в спам или вообще исчезать в астрале. И ты ничего не сможешь сделать, там писать некуда. То же про outlook, icloud и тд. Причём это может случиться в любой момент. К примеру твою подсеть /24 забанят из-за того, что виртуалку у твоего хостера купил спамер и его IP-адрес оказался рядом с твоим.
Единственный разумный способ это пользоваться услугами достаточно крупных компаний, если тебе важно, чтобы твои письма доходили до клиентов.
Если тебе важно только получать почту, с этим проблем не будет при корректной настройке. Если почта, падающая получателю в спам приемлема — скорей всего этого тоже получится достичь минимальными усилиями.
Если решишь идти путём хостинга своей почты, советую сделать следующее:
1. Внимательно почитать статьи. Там куча всякой ерунды, которую желательно у себя настроить. SPF, DKIM, MTA-STS. Есть онлайн-тулзы, которые это тестируют.
2. Полученный у хостера IP пробить по популярным спам-базам. Причём не только его, а всю /24 подсеть.
3. Не использовать IPv6.
4. Прогреть IP-адрес — поотсылать знакомым почту и попросить их вытянуть её из спама. Причём на все популярные сервисы, которыми пользуются твои клиенты.
5. (нереалистично, но всё же) Подержать почту хотя бы несколько месяцев. У некоторых почтовиков фильтр срабатывает просто на новые IP-адреса.
6. Не делать массовые рассылки со своего сервера, использовать для этого специализированные сервисы. Ситуации, когда человек получает твою почту и помечает её как спам — быть просто не должно.
В целом индустрия электронной почты это такой полу-рэкет, где нормально работают только большие игроки, а мелочь выживает. Вроде как-то оно работает, но для душевного спокойствия лучше заплатить мзду какому-нибудь гуглу и работать через него.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Что следует учесть, к чему быть готовым?
1. проверка хостера чтобы порты не закрывал
2. проверка IP по черным спискам
3. забыть про панели управления, веб-морду и прочие удобства, все ставить через консоль — так дырок будет минимум
4. настройка dmark, dkim, spf
5. не забыть reverse dns указать
6. если хочется антивирус и антиспам, то памяти надо >2Гб
Здравствуйте, vsb, Вы писали:
vsb>Также следует быть готовым к тому, что твоя почта будет падать gmail-у в спам или вообще исчезать в астрале.
сейчас почта отправленная с gmail/outlook не факт что доходит
пользователь истерит и требует срочного ответа — пишешь со своего сервера, дублируешь через gmail, а в ответ тишина...
В первую очередь следует хорошо настроить мониторинг. По всем фронтам, от подписок на всякие blacklisting, до алармов "а-а-а почта не ходит". Имеет смысл также настроить активные "зонды" (роботы чтоб слали письма на "свои" ящики у других крупных провайдеров, в первую очередь gmail/outlook/icloud). Особенно геморройно бывает со всякими сервисами типа protonmail, то ходит, то не ходит.
В общем, мониторинг — первое дело. Чтоб если сбойнул перевыпуск сертификата letsencrypt, сразу об этом знать.
Все остальное, в общем-то, несложно настроить по имеющимся гайдам. SPF/DKIM — это легко и просто, хороший мониторинг сложнее.
PS: если кто-то знает готовое рабочее решение по мониторингу, напишите, плиз. А то я чего только не перепробовал, и все равно все либо очень хрупкое (и сложное в настройке), либо ничерта не мониторит, либо ничем не лучше обычного pflogsumm
Здравствуйте, SkyDance, Вы писали:
SD> vsb>3. Не использовать IPv6. SD> Вот тут можно наступить на мажорные грабли. Да, с ipv6 все сложно и хрупко, но если настроить, оно работает надежнее.
Я бы сказал не просто надежнее, а без IPv6 сейчас можно забыть о полноценном сервисе. Это, конечно, зависит от точки на карте мира, но все крупные провайдеры уже имеют IPv6 и относятся к нему куда более лояльно (с т.з. обсуждаемой темы), нежели к IPv4 (которые могут быть на 10 раз перепроданы).
Помнится давно-давно меня удивила книга по sendmail своим обьемом, около 1000 страниц. И это вовсе не исходный код sendmail-а а типа как его настроить. Сейчас вроде бы новые технологии почты, но не факт что изучение их стало сильно проще. Ну, может, 500 страниц?
AB>Я бы сказал не просто надежнее, а без IPv6 сейчас можно забыть о полноценном сервисе. Это, конечно, зависит от точки на карте мира, но все крупные провайдеры уже имеют IPv6 и относятся к нему куда более лояльно (с т.з. обсуждаемой темы), нежели к IPv4 (которые могут быть на 10 раз перепроданы).
Так и есть — все крупные провайдеры предпочитают IPv6. Но в этом мире дохрена всяких старинных провайдеров, у которых IPv6 реализован через одно место. Попытки отправлять почту через их почтовые серверы, когда они делают вид, что умеют IPv6, но на самом деле нет, порой прилично штормит мониторинг. Возможно, есть какие-то решения (кроме white/black listing), но я о них не знаю.
Здравствуйте, Anton Batenev, Вы писали:
AB>- IPv6 и verify TLS — must have в современном мире. Некоторые альтернативно одаренные хостеры умеют вклиниваться в SMTP трафик и дропать "STARTTLS"
Можно ли это как-то проверить заранее?
AB>- Zero trust — не должно существовать доверенных источников даже если это localhost, обязательная аутентификация и авторизация в случае чего может сберечь тебе много нервных клеток.
Вы бы не могли чуть подробнее раскрыть этот момент
Здравствуйте, vsb, Вы писали:
vsb>Единственный разумный способ это пользоваться услугами достаточно крупных компаний, если тебе важно, чтобы твои письма доходили до клиентов.
Это, например, какие? Скажем, DO это достаточно крупная компания?
vsb>4. Прогреть IP-адрес — поотсылать знакомым почту и попросить их вытянуть её из спама. Причём на все популярные сервисы, которыми пользуются твои клиенты.
Слышал, что есть сервисы для прогрева, но у меня такая ситуация, что если я уйду от текущего хостера, то у меня не будет времени.
vsb>6. Не делать массовые рассылки со своего сервера, использовать для этого специализированные сервисы. Ситуации, когда человек получает твою почту и помечает её как спам — быть просто не должно.
Теперь я задумался о том, чтобы и для обычной почты использовать отдельный сервис. Может кто-нибудь что-нибудь порекомендует. Я когда-то пользовался почтой для доменов от гугла, но столкнулся с тем, что нельзя было бинарник отправить в аттаче, а у меня такое встречается.
Здравствуйте, Unhandled_Exception, Вы писали:
vsb>>Единственный разумный способ это пользоваться услугами достаточно крупных компаний, если тебе важно, чтобы твои письма доходили до клиентов.
U_E>Это, например, какие? Скажем, DO это достаточно крупная компания?
Google, Fastmail. Вроде у AWS есть свои решения, хотя ими не пользовался. Насчёт DO не знаю.
vsb>>6. Не делать массовые рассылки со своего сервера, использовать для этого специализированные сервисы. Ситуации, когда человек получает твою почту и помечает её как спам — быть просто не должно.
U_E>Теперь я задумался о том, чтобы и для обычной почты использовать отдельный сервис. Может кто-нибудь что-нибудь порекомендует. Я когда-то пользовался почтой для доменов от гугла, но столкнулся с тем, что нельзя было бинарник отправить в аттаче, а у меня такое встречается.
Я пользовался Fastmail несколько лет для личной почты, кроме цены только плюсы. Сейчас обнаружил, что iCloud+ даёт помимо остальных фишек ещё и возможность прицепить свой домен на серверы Apple, перешёл на него, гораздо дешевле получилось, пока с проблемами не сталкивался, хотя, конечно, Apple не на почте специализируется.
U_E>Вы бы не могли чуть подробнее раскрыть этот момент
Рискну предположить, что это напоминание — если будешь настраивать clamav, работающий локально, все равно добавь какую-нибудь аутентификацию, даже если он через pipes работает.
Здравствуйте, шароварный желудь, Вы писали:
ШЖ>Все остальные варианты не стоят нервов и потерянных денег (не дошло письмо важному клиенту и т.д.)
Amazon SES не строго себя ведет? Если отправлять архив с бинарником, он не рассердится? У меня было опыт с почтой для домена от гугла, и он такое не переваривал.
Здравствуйте, Unhandled_Exception, Вы писали:
U_E>Amazon SES не строго себя ведет? Если отправлять архив с бинарником, он не рассердится? У меня было опыт с почтой для домена от гугла, и он такое не переваривал.
нет, в цензора они не играют, все ограничения и квоты перечислены явно