лучше настроенно все из коробки
очень много чего затюнено в rspamd в лучшую сторону, к примеру: защита от фишинга своего же домена хорошо сделана, кроме fuzzy rspamd есть mailcow fuzzy и свой локальный fuzzy из коробки, обучение bayes/fuzzy через перенос в папку junk, собственный watchdog, sogo contacts whitelist, letsencrypt из коробки без измениня private key (тот кто юзает DANE поймет почему это важно), olefytools, clamav, индексированый поиск в dovecot, и все это просто берет и работает. Никто не обрезает IPv6, потому что его не боится.
удобнее в дальней експлуатации
Есть нормальный admin & user settings UI через который можно настроить куда больше чем где либо: quarantine (оч полезная штука и опциональная при этом), dkim менеджмент через UI, dns help tools для доменов, spam/ham aliasы, fail2ban, whitelist для fwd hosts, per domain/user whitelist/blacklist, autodiscovery, apple client config profiles, imapsync, temp aliases, sieve с теймплейтами, и кучу чего еще. Есть rest api, mfa для админ учеток. Процесс обновления — поддержка актуальной версии софта в разы проще, просто /update.sh.
быстрее в развертывании
Ну тут и так все понятно, git clone; generate_config.sh; docker-compose up -d, что может быть проще? Есть доки с норм инструкциями и живая комюнити в телеграме.
уже упоминали, а почему не mailcow-dockerized?
все то же, только, в 10 раз:
лучше настроенно все из коробки
удобнее в дальней експлуатации
быстрее в развертывании
Пользуюсь уже больше чем год и в рабочих целях где обьемы куда больше. То что в mailcow допилено из коробки самому доделать это адцкий труд и что самое главное не нужный.
Плюс как другие уже говорили: не слова про PTR (в данном случае на VPS), не слова про анлок 25 outgoing port'а у ISP\VPS Hosterа, выгрызен IPv6 низа что ни про что, ну камон, 2021 — харе уже. В таком сетапе как описал автор так и просится postfix relay на VPS, а его в статье нет, NAT не плохо, но… фиг его знает.
а почтовому серверу нужно нормальное доменное имя и по хорошему белый IP
А вот эта фраза меня вообще вбила в ступор и я подумал что автор вообще не понимает о чем пишет уже.
Я понимаю что автор хотел возможно подчеркнуть свой сетап с VPS и типа сверкнуть "а дома белого IP нет", но оно то по этому ты и берешь VPS!
Плюс почтовому серверу плевать какое доменное имя у него будет, ибо нету такого понятия "ненормальное имя" (хотя соглашусь что от IDN лучше держатся подальше :D).
Так вот — IP для почтовика это самое важное, и без IP в нормальном ASN без загаженой репутации вы почту как не подписывайте, что не шлите, плохая репутация репутация IP/подсети/ASN может сделать так что, все что вы отправите будет в Junk или вообще быброшено с rejected. Что уже говорить что очевидные вещи что — без белого статического IP вы нормально и почту не приймите и PTR вам никто не поставит и фиг у вас вообще 25 порт дадут(будет) открыт на outbound.
И не рабоющие приложения не верящие user trusted ca или те у кого есть certificate pinning :). В первую очередь это касается мобильных приложений, но так же встречается и на десктопах.
А и с Symantec подвох был в том что мой сотрудник ловил bounce от итальянского территориального фришного почтового сервиса (на подобии mail.ru только поменьше) и от французского, но в ответе отказа не было указано по какому rbl меня отбросили, но явно говорилось что bounce я получил именно за блеклист. Стучался к обоим: конечно же postmaster not existing mailbox, как и abuse. Через форму обратной связи: у французов она сломана напрочь была — требовала attachment который некуда было подложить, а у итальянцев все же методом тыка и с google translate я умудрился найти перечень rbl которая их система использовала и методом исключения я нашел что это был Symantec.
Вообще по всему прочему бесит тот факт что люди игнорируют отсутствие таких важных аккаунтов/алиасов как postmaster или abuse на своих доменах. Спам на них не идет никогда — и логично, это просьба о пермобане :D. Но людю продолжают их не создавать. А если и создают не отключают часто для них антиспам в результате чего postmaster тоже не может принять проблемное (возможно даже local blacklist письмо) что лишает смыла данную учётную запись.
Да что там говорить — начинаешь слать dmarc reports и такое видишь… 40% rua адресов: mailbox not exist/user is over quota (даже у Яндекса по 4 раза на год)/mimetype isn't allowed. Последний кейс вообще ор выше гор: ребята хотят получить репорт zip с xml но даже не удосужились проверить, а не блочит ли их спам фильтр эти форматы? Ор...
ок, вот тут люди тоже пишут https://habr.com/ru/post/141231/ про "терроризм", но кхм, я с таким не сталкивался, и если бы столкнулся послал бы на 3 буквы. Может потому что я если и делистил то только /32 IP, а не обращался как провайдер, у которого забанили всю /24 или несколько подстетей. В банах больших подсетей можно долго спорить кто прав, а кто видноват, но о том что за 1 хулигана с /32 банят всю /24 подсеть банят, я не очень верю. Думаю там минимум таких накапливалось по 5 штук. ISP в таком случае должны просто за стандарт брать и банить outbound tcp 25 port и делать разблокировку только по запросу. В случае abuse репорт — блочить опять пока не почистят mailq и не исправят первопричину (будть то openrelay или скомпрометированый юзер). За несколько повторений с клиента взымать штраф за нарушение правил испрользования хостинга это тоже нормальная практика и вот такое я видел у некоторых в договоре.
А так, все делисты что я видел происходили либо вебсайт с аля капчей либо через почту (через postmaster@ptr.strip(host) к примеру).
Делистил у около 10 RBL, в том числе и у в том числе Spamhause, делист везде происходил менее чем за сутки.
Запомнилось мне 2 особых белклиста:
SpamCop — отдельные ребята, не скажу что общение с ними мне понравилось, не хотели делистить первые 3 дня — просто так, а дальше требовали delist request через вебсайт с того же IP который я хотел заделистить — зато их "веселый подход" заставил меня узнать про фичу пробраса портов в SSH (в том числе Putty) и про Socks5 Proxy которая есть в nixах из коробки =). Почему делистил — потому что взламали учетку с слабым паролем юзера по брутфорсу. А как так, по брутфорсу то? Да… не было fail2ban и не было еще более важной веши: ratelimitов. Кто виноват был? Да я в принцыпе =), так что свой урок я получил.
https://csi.cloudmark.com/en/reset/ — ребята как и Symantec и другие RBL с платной подпиской не палятся на http://multirbl.valli.org/ по этому узнал я о том что я в их блеклисте из bounce. Ок, иду на ссылку из bounce — ответа нет, сайт не грузится. Открываю гугл и делаю поиск — сайт есть, кешированая версия свежая тоже. Резовлю домен — резолвится, ломлюсь на 443 — закрыто, на 80 — закрыто, резолвлю MX — ломлюсь на 25 порт — закрыто. Нашел контактый емейл на закешированом сайте, отправляю письмо с gmail — отправилось. Оказалось ребята забанили по Geo IP всю мою страну на всех портах (пробовал и с мобильного и с домашнего интернета). Включил VPN забугорный — и их сайт открылся и MX доступны. Разбанил себя через веб у них за 2 мин потом. К слову через год когда на них заходил с своей страны — сайт их у меня уже открылся, и открывается сейчас.
Symantec IP reputation — вот тут было весело, они забанили /24 подсеть и раз в сутки делали округление (если в одной подсети больше чем n IP забанено они банили снова всю /24 подсеть. Google recapche выносила мозг уже на 3 разбане. Вообщем я заставил своего ISP самим этим делом заниматься. Они за пол ночи все /24 разбанили. Немного жалко ребят
Юморист gremlin.ru — я у него так и вешу всей /24 подсетью, но мне плевать, кроме него самого этот rbl юзает еще 2 калеки которых я ещё не встречал. Даже писать этому аутисту после прочтения его how to delist желания нет. Rbl опасны настолько насколько много к ним прислушивается и как. За что я люблю postgray+rspamd что он делает сумарную оценку по всем признакам и потом выносит вердикт. И ненавижу тех кто юзает rbl напрямую в postfix ибо наличие ip хоть в одном rbl приводит к bounce что есть крайне тупо.
Эта запись полезна. Работать-то сервер будет и без неё, но некоторые почтовые серверы будут объявлять почту спамом.
Не некоторые, а большинство почту принимать будут в Junk.
Но только через нормального провайдера. Обычные-то провайдеры в ответ на просьбу указать доменное имя клиентскому адресу говорят что-то типа — пошёл нахер, дурак, мы твоему адресу уже давно назначили имя типа ваш-ip.наш-провайдер.ru
Если вы пытаетесь поднять почтовик в через домоинтернеты почитайте договор: провайдеры домашнего интернета даже при выдаче статического публичного IP могут не разрешать изменение PTR в принцыпе. Так что тут завист от ISP, к примеру мой домашний провайдер прямо на главной странице пишет что разрешает смену PTR по заявке в support. С первого раза я правда попал на еникея, но потом дело порешали его старшые колеги.
А вот последний ваш абзатц — это просто абзатц, извините за тафтологию.
Но вообще лучше сделегировать с провайдерского сервера имён обратную зону (частичную, конечно) на свой сервер имён
Частично насколько? Какой зачастую у вас размер подсети у провайдера в аренде? Я не часто вижу /24 подсеть в аренде, в основном уже логичнее взять свою ASN в таком случае. tools.ietf.org/html/rfc2317 4. Classless IN-ADDR.ARPA delegation — это то еще порно, многие не хотять им заниматся по понятным причинам. С ANS своей проблем нет, а вот с своим IPv4 Poolом — да, да здравствуй exhausted RIPE. Так вот я это к чему: структура домена ".in-addr.arpa" такова что делегировать по человечески можете вы можете зоны только A, B, C подсетей, то беш: /24, /16 и /8 если говорить привычными масками. А если страдать извращением с CNAMES как описано в rfc2317 то можно получить делегирование для /27 подсети (30 IP), все еще большой куш IP, не каждый провайдер его вам сделегирует. Хотите управлять своими PTR — или покупайте ASN и свой адресный pool и используйте свои NS на здоровье, или находите ISP у которого есть API которая позволит вам через WebUI либо в виде Invoke-RestAPI скриптов управлять резолвингом PTR.
Но когда у провайдера просишь сделегировать к себе обратную зону для своего IP, то провайдерские админы вообще не понимают — о чём их просишь и делают вид, будто дурак у них — клиент.
Я бы на их месте не оскорблял клиента, но молча бы покрутил палец у виска, а потом еще знатно посмеялся после того как бы положил трубку.
P.S. в ipv6.arpa дела обстоят более гибко, там делегировать можно /48 и /32. По причине того что /48 это стандарт для выдачи всем юр клиентам — то сделегировать PTR зону будет и вправду легко. Жду не дождусь когда уже можно будет смело свалить с IPv4, мож хоть на пенсии порадуюсь Т_Т
Прошу не путать EAS (Exchange ActiveSync) с Exchange OWA. То что умеет SOGo — это только EAS который был разработан для мобильных устройств. Он хорош на телефоне, но не более. Его не стоит (от слова совсем) использовать на десткоп ОС. Если вы хотите работать с Outlook на десктопе то используйте IMAPS + SMTPS + caldavsynchronizer.org но по моему мнению Thunderbird + TbSync куда лучше =) ибо он free, и во вторых он имеет куда больше разширений и функционально на уровень выше, работает со своими TLS, а не теми что есть в .net framework (к примеру Outlook не умеет в TLS1.3). Из минусов Thunberbird я знаю только 2:
— редактор при отправке писем куда хуже (увы)
— сортировка по тредам (темам) отсутвует — но я лично ей и не пользуюсь
Exim по жизни = проблемы, и если честно с каждым годом у них их больше. Как можно 3 раза не суметь пофиксить валидацию символа окончания строки и наступать на те же грабли мне не понятно. Postfix one love в общем.
Если стек простенький то вканает, если сложный — то полетят головы рано или поздно и дело даже будет не в конфигах а в фиксе бага который сделал еще 3 бага. Dovecot часто ломает или полностью или частично (что еще хуже) репликацию. Я вообще пользуюсь mailcow, это docker-compose, там обновления работают отлично, но локальные модификации могут быть перезатерты при git checkout, по этому там обновление ручное. Я и администратор и девопс, и на поддержке куча сервисов, не вижу проблем выдилить 3-4 часа жизни в месяц на почтовик — это моя работа, я за нее деньги получаю, и удовольствие тоже.
Никогда и никому за делистинг платить не нужно. Rbl/Dnsbl имеет право:
1) зарабатывать на донате
2) взымать стоимость за использование их сервиса для проверки почты
Но никогда не имеет права взымать за делист, не порите чушь.
Автообновление — не канают, обновлять нужно самому, раз в месяц, не вижу проблем.
Если вы не спамер и ваши учетки не называются test@company.com, с паролем test или они не выплыли в других утечках то заниматься извращениями с rbl вам никогда в жизни не придется
если настроить пару spamalias ловушек которые будут обучать fuzzy и выбросить эти ловушки в интернет то 99% спама вы не увидите. Fail2ban ботов отрезает на ура, особо назойливым можно и пермабан влепить.
Зато если у вас не пойми почему валидные письма попадают в спам вы можете сами все исправить, а не ждать ответа от саппорта, и подобных кейсов много. Это как иметь свою квартиру или съёмную. Да в своей квартире нужно иногда делать ремонт самому или нанимать людей, в съемной — ремонт делает хозяин, но вопрос насколько хозяин заинтересован в ремонте вашей съемной квартиры?) Все же как по мне своя лучше и на душе приятнее. А если хозяин цену поднимает? А если он монополист… И тд и тп.
Не знаю что сложного может быть в редактировании GPO, это все то клики мышкой… Никто вам не мешает пойти и поучить powershell, winrm, посмотреть в сторону chocolatey, да сейчас даже ansible может с windows10&server2019 работать https://docs.ansible.com/ansible/latest/user_guide/windows_usage.html, а chef работал еще давно. Так что главное желание.
Ладно макс порт 65535 помнить на изусть не обязательно, но хоть что это 65,5к можно помнить, а вот ip4 2^8 — 1 (подсчет с нуля — подсесть) = 255 думаю знать должен каждый эникей, увы правда ловлю многих что rfc1918 — не знают Т_Т, как и apipa. А вот как выглядит IPv6 знают многие, а как с ним работать и в чем его особенности — пока знают только единицы и то лично таких еще не собеседовал.
По поводу попадания в спам MS & Gmail & Yahoo, честно скажу, там далеко не все так просто. Если вы админите rspamd, то можете сами видить количество возможных правил. А у таких гигантов как выше перечисленных спам фильтр еще куда более замудрен, и правильно настроенный почтовик и домены это далеко не залог попадания почты в inbox. Когда у вас почты более чем 100 писем в день к большим провайдерам они еще как то реагируют на ваши заявки (MS & Yahoo), а если меньше — то будут присылать шаблонный ответ из серии проверте fbl, ip reputation, dkim, spf и идите лесом. В случае с Gmail дела обстоят еще более пагубно — там что бы добраться до человека иногда нужно пройти 9 кругов ада всемозможных ботов, а потом когда заявка уже оформлена — Google даже не отпишется о ее статусе и результате, вы даже не узнаете делали они вообще что либо или нет, и ваша почта просто выпала с чего то на подобии neural_network_short.
Вот именно, когда сервер можно купить в оренду за 10-50$ который потянет в десятки раз больше пользователей, а вашу почту никто не сможет подсматривать
Первое — не стоит хостить почтовик "где попало", в данном случае хороший ISP с заблокированным 25 портом по умолчанию, это правильный выбор. К примеру OVH я бы не рекомендовал как площадку для хостинга почтовика ;). Тогда и случаи попадания целых /24, а то и выше подсетей стремятся к нулю. Ну и конечно же можно подписаться на рассылку от mxtoolbox.com на проверку на блеклисты, а так же самому раз в неделю поглядывать на http://multirbl.valli.org/. Увы symantec, cyren и еще некоторые корпоративные rbl/dnsbl не разрешают публично их опрашивать, по этому их список можно держать отдельно и проверять уже когда начинаются проблемы с большимы делеями или баунсами.
Так же не лишним будет зарегистрироваться на dnswl.org, а так же на feed back loop от returnpath, yahoo и в программе репутации microsoft.
Rate-limits на rspamd к примеру очень хорош и мониторинг mailq ваше все. Если у вас в очереди сообщений более чем 50 писем пора задуматься, если более 100 скорее всего пора бить тревогу. Есть куча возможностей как это мониторить: ELK, Graylog, Zabbix и тд
Делаешь git clone mailcow-dockerized, генерируешь конфиг и делаешь docker-compose up -d — грамотно настроенный сервер у тебя уже есть со всем что нужно малому/среднему бизнесу из коробки:
postfix+dovecot+crypt+sieve+solr (imap4/pop3/smtp, почта хранится в шифрованном виде на сервере, filters & autoreply, индексированный поиск в imap)
грамотная и удобная админка (mailcow ui) с своей API для автоматизации и наличие OAuth для предоставления авторизации другим. Авторизация в почтовике через ldap есть, но через отдельный проект.
letsencrypt из коробки и грамотно настроенное шифрование tls1.3 на всех client facing сервисах. Остаётся только инфрастркутуру: настроить ptr и домены (mx, spf, dkim & dmarc и autodiscovery), возможно выбросить порты в мир или сделать разрешающие правила на шлюзе и может кроме ptr запросить у провайдера unlock outbound 25того порта. Если провайдер NS (к примеру cloudflare) и зона поддерживает dnssec то и dane ты включишь одной записью на 3 1 1 типе tlsa — имея свой контейнер для получения letsencrypt по crs с неизменным private key. К слову сама mailcow даст тебе значения которые нужно настроить в домене и проведет самодиагнотику домена, доступности портов и корректности A/AAAA=>hostname=>PTR. По поводу mta-sts, ну тут вообще все просто — вам просто нужно хостить статический txt файл на https веб сервере с валидным сертификатом, работы на 5 минут от силы.
А дальше останется мелкие правки уже под свою инфрасткуру работы некоторых сервисов, и то не факт, некоторых может устроить и все из коробки.
Удачи, введите в поле To не ASCII домен в mail.ru и попробуйте отправить. Ну а без поддержки SMTPUTF8 за отображение неASCII должен пектись только frontend — который к слову вам тоже покажен xn--. По последнему утвердению, "нарушают рекомендацию":
Я чётко выразился в цели "Вот месяц назад настраивал ради прикола личный домен с emoji"
Рекомендация не MUST так что вопрос закрыт :) и в любом кейсе этим доменом я и не собирался пользоваться ибо я считаю что почта на IDN домене это полный изврат, как и в принципе их существование.
лучше настроенно все из коробки
очень много чего затюнено в rspamd в лучшую сторону, к примеру: защита от фишинга своего же домена хорошо сделана, кроме fuzzy rspamd есть mailcow fuzzy и свой локальный fuzzy из коробки, обучение bayes/fuzzy через перенос в папку junk, собственный watchdog, sogo contacts whitelist, letsencrypt из коробки без измениня private key (тот кто юзает DANE поймет почему это важно), olefytools, clamav, индексированый поиск в dovecot, и все это просто берет и работает. Никто не обрезает IPv6, потому что его не боится.
удобнее в дальней експлуатации
Есть нормальный admin & user settings UI через который можно настроить куда больше чем где либо: quarantine (оч полезная штука и опциональная при этом), dkim менеджмент через UI, dns help tools для доменов, spam/ham aliasы, fail2ban, whitelist для fwd hosts, per domain/user whitelist/blacklist, autodiscovery, apple client config profiles, imapsync, temp aliases, sieve с теймплейтами, и кучу чего еще. Есть rest api, mfa для админ учеток. Процесс обновления — поддержка актуальной версии софта в разы проще, просто /update.sh.
быстрее в развертывании
Ну тут и так все понятно, git clone; generate_config.sh; docker-compose up -d, что может быть проще? Есть доки с норм инструкциями и живая комюнити в телеграме.
уже упоминали, а почему не mailcow-dockerized?
все то же, только, в 10 раз:
Пользуюсь уже больше чем год и в рабочих целях где обьемы куда больше. То что в mailcow допилено из коробки самому доделать это адцкий труд и что самое главное не нужный.
Плюс как другие уже говорили: не слова про PTR (в данном случае на VPS), не слова про анлок 25 outgoing port'а у ISP\VPS Hosterа, выгрызен IPv6 низа что ни про что, ну камон, 2021 — харе уже. В таком сетапе как описал автор так и просится postfix relay на VPS, а его в статье нет, NAT не плохо, но… фиг его знает.
А вот эта фраза меня вообще вбила в ступор и я подумал что автор вообще не понимает о чем пишет уже.
Я понимаю что автор хотел возможно подчеркнуть свой сетап с VPS и типа сверкнуть "а дома белого IP нет", но оно то по этому ты и берешь VPS!
Плюс почтовому серверу плевать какое доменное имя у него будет, ибо нету такого понятия "ненормальное имя" (хотя соглашусь что от IDN лучше держатся подальше :D).
Так вот — IP для почтовика это самое важное, и без IP в нормальном ASN без загаженой репутации вы почту как не подписывайте, что не шлите, плохая репутация репутация IP/подсети/ASN может сделать так что, все что вы отправите будет в Junk или вообще быброшено с rejected. Что уже говорить что очевидные вещи что — без белого статического IP вы нормально и почту не приймите и PTR вам никто не поставит и фиг у вас вообще 25 порт дадут(будет) открыт на outbound.
И не рабоющие приложения не верящие user trusted ca или те у кого есть certificate pinning :). В первую очередь это касается мобильных приложений, но так же встречается и на десктопах.
А и с Symantec подвох был в том что мой сотрудник ловил bounce от итальянского территориального фришного почтового сервиса (на подобии mail.ru только поменьше) и от французского, но в ответе отказа не было указано по какому rbl меня отбросили, но явно говорилось что bounce я получил именно за блеклист. Стучался к обоим: конечно же postmaster not existing mailbox, как и abuse. Через форму обратной связи: у французов она сломана напрочь была — требовала attachment который некуда было подложить, а у итальянцев все же методом тыка и с google translate я умудрился найти перечень rbl которая их система использовала и методом исключения я нашел что это был Symantec.
Вообще по всему прочему бесит тот факт что люди игнорируют отсутствие таких важных аккаунтов/алиасов как postmaster или abuse на своих доменах. Спам на них не идет никогда — и логично, это просьба о пермобане :D. Но людю продолжают их не создавать. А если и создают не отключают часто для них антиспам в результате чего postmaster тоже не может принять проблемное (возможно даже local blacklist письмо) что лишает смыла данную учётную запись.
Да что там говорить — начинаешь слать dmarc reports и такое видишь… 40% rua адресов: mailbox not exist/user is over quota (даже у Яндекса по 4 раза на год)/mimetype isn't allowed. Последний кейс вообще ор выше гор: ребята хотят получить репорт zip с xml но даже не удосужились проверить, а не блочит ли их спам фильтр эти форматы? Ор...
ок, вот тут люди тоже пишут https://habr.com/ru/post/141231/ про "терроризм", но кхм, я с таким не сталкивался, и если бы столкнулся послал бы на 3 буквы. Может потому что я если и делистил то только /32 IP, а не обращался как провайдер, у которого забанили всю /24 или несколько подстетей. В банах больших подсетей можно долго спорить кто прав, а кто видноват, но о том что за 1 хулигана с /32 банят всю /24 подсеть банят, я не очень верю. Думаю там минимум таких накапливалось по 5 штук. ISP в таком случае должны просто за стандарт брать и банить outbound tcp 25 port и делать разблокировку только по запросу. В случае abuse репорт — блочить опять пока не почистят mailq и не исправят первопричину (будть то openrelay или скомпрометированый юзер). За несколько повторений с клиента взымать штраф за нарушение правил испрользования хостинга это тоже нормальная практика и вот такое я видел у некоторых в договоре.
А так, все делисты что я видел происходили либо вебсайт с аля капчей либо через почту (через postmaster@ptr.strip(host) к примеру).
Делистил у около 10 RBL, в том числе и у в том числе Spamhause, делист везде происходил менее чем за сутки.
Запомнилось мне 2 особых белклиста:
Не некоторые, а большинство почту принимать будут в Junk.
Если вы пытаетесь поднять почтовик в через домоинтернеты почитайте договор: провайдеры домашнего интернета даже при выдаче статического публичного IP могут не разрешать изменение PTR в принцыпе. Так что тут завист от ISP, к примеру мой домашний провайдер прямо на главной странице пишет что разрешает смену PTR по заявке в support. С первого раза я правда попал на еникея, но потом дело порешали его старшые колеги.
А вот последний ваш абзатц — это просто абзатц, извините за тафтологию.
Частично насколько? Какой зачастую у вас размер подсети у провайдера в аренде? Я не часто вижу /24 подсеть в аренде, в основном уже логичнее взять свою ASN в таком случае.
tools.ietf.org/html/rfc2317 4. Classless IN-ADDR.ARPA delegation — это то еще порно, многие не хотять им заниматся по понятным причинам. С ANS своей проблем нет, а вот с своим IPv4 Poolом — да, да здравствуй exhausted RIPE. Так вот я это к чему: структура домена ".in-addr.arpa" такова что делегировать по человечески можете вы можете зоны только A, B, C подсетей, то беш: /24, /16 и /8 если говорить привычными масками. А если страдать извращением с CNAMES как описано в rfc2317 то можно получить делегирование для /27 подсети (30 IP), все еще большой куш IP, не каждый провайдер его вам сделегирует. Хотите управлять своими PTR — или покупайте ASN и свой адресный pool и используйте свои NS на здоровье, или находите ISP у которого есть API которая позволит вам через WebUI либо в виде Invoke-RestAPI скриптов управлять резолвингом PTR.
Я бы на их месте не оскорблял клиента, но молча бы покрутил палец у виска, а потом еще знатно посмеялся после того как бы положил трубку.
P.S. в ipv6.arpa дела обстоят более гибко, там делегировать можно /48 и /32. По причине того что /48 это стандарт для выдачи всем юр клиентам — то сделегировать PTR зону будет и вправду легко. Жду не дождусь когда уже можно будет смело свалить с IPv4, мож хоть на пенсии порадуюсь Т_Т
— редактор при отправке писем куда хуже (увы)
— сортировка по тредам (темам) отсутвует — но я лично ей и не пользуюсь
Exim по жизни = проблемы, и если честно с каждым годом у них их больше. Как можно 3 раза не суметь пофиксить валидацию символа окончания строки и наступать на те же грабли мне не понятно. Postfix one love в общем.
Если стек простенький то вканает, если сложный — то полетят головы рано или поздно и дело даже будет не в конфигах а в фиксе бага который сделал еще 3 бага. Dovecot часто ломает или полностью или частично (что еще хуже) репликацию. Я вообще пользуюсь mailcow, это docker-compose, там обновления работают отлично, но локальные модификации могут быть перезатерты при git checkout, по этому там обновление ручное. Я и администратор и девопс, и на поддержке куча сервисов, не вижу проблем выдилить 3-4 часа жизни в месяц на почтовик — это моя работа, я за нее деньги получаю, и удовольствие тоже.
Никогда и никому за делистинг платить не нужно. Rbl/Dnsbl имеет право:
1) зарабатывать на донате
2) взымать стоимость за использование их сервиса для проверки почты
Но никогда не имеет права взымать за делист, не порите чушь.
Зато если у вас не пойми почему валидные письма попадают в спам вы можете сами все исправить, а не ждать ответа от саппорта, и подобных кейсов много. Это как иметь свою квартиру или съёмную. Да в своей квартире нужно иногда делать ремонт самому или нанимать людей, в съемной — ремонт делает хозяин, но вопрос насколько хозяин заинтересован в ремонте вашей съемной квартиры?) Все же как по мне своя лучше и на душе приятнее. А если хозяин цену поднимает? А если он монополист… И тд и тп.
Не знаю что сложного может быть в редактировании GPO, это все то клики мышкой… Никто вам не мешает пойти и поучить powershell, winrm, посмотреть в сторону chocolatey, да сейчас даже ansible может с windows10&server2019 работать https://docs.ansible.com/ansible/latest/user_guide/windows_usage.html, а chef работал еще давно. Так что главное желание.
Ладно макс порт 65535 помнить на изусть не обязательно, но хоть что это 65,5к можно помнить, а вот ip4 2^8 — 1 (подсчет с нуля — подсесть) = 255 думаю знать должен каждый эникей, увы правда ловлю многих что rfc1918 — не знают Т_Т, как и apipa. А вот как выглядит IPv6 знают многие, а как с ним работать и в чем его особенности — пока знают только единицы и то лично таких еще не собеседовал.
По поводу попадания в спам MS & Gmail & Yahoo, честно скажу, там далеко не все так просто. Если вы админите rspamd, то можете сами видить количество возможных правил. А у таких гигантов как выше перечисленных спам фильтр еще куда более замудрен, и правильно настроенный почтовик и домены это далеко не залог попадания почты в inbox. Когда у вас почты более чем 100 писем в день к большим провайдерам они еще как то реагируют на ваши заявки (MS & Yahoo), а если меньше — то будут присылать шаблонный ответ из серии проверте fbl, ip reputation, dkim, spf и идите лесом. В случае с Gmail дела обстоят еще более пагубно — там что бы добраться до человека иногда нужно пройти 9 кругов ада всемозможных ботов, а потом когда заявка уже оформлена — Google даже не отпишется о ее статусе и результате, вы даже не узнаете делали они вообще что либо или нет, и ваша почта просто выпала с чего то на подобии neural_network_short.
Вот именно, когда сервер можно купить в оренду за 10-50$ который потянет в десятки раз больше пользователей, а вашу почту никто не сможет подсматривать
Первое — не стоит хостить почтовик "где попало", в данном случае хороший ISP с заблокированным 25 портом по умолчанию, это правильный выбор. К примеру OVH я бы не рекомендовал как площадку для хостинга почтовика ;). Тогда и случаи попадания целых /24, а то и выше подсетей стремятся к нулю. Ну и конечно же можно подписаться на рассылку от mxtoolbox.com на проверку на блеклисты, а так же самому раз в неделю поглядывать на http://multirbl.valli.org/. Увы symantec, cyren и еще некоторые корпоративные rbl/dnsbl не разрешают публично их опрашивать, по этому их список можно держать отдельно и проверять уже когда начинаются проблемы с большимы делеями или баунсами.
Так же не лишним будет зарегистрироваться на dnswl.org, а так же на feed back loop от returnpath, yahoo и в программе репутации microsoft.
Rate-limits на rspamd к примеру очень хорош и мониторинг mailq ваше все. Если у вас в очереди сообщений более чем 50 писем пора задуматься, если более 100 скорее всего пора бить тревогу. Есть куча возможностей как это мониторить: ELK, Graylog, Zabbix и тд
Делаешь git clone mailcow-dockerized, генерируешь конфиг и делаешь docker-compose up -d — грамотно настроенный сервер у тебя уже есть со всем что нужно малому/среднему бизнесу из коробки:
А дальше останется мелкие правки уже под свою инфрасткуру работы некоторых сервисов, и то не факт, некоторых может устроить и все из коробки.
К слову про HA — даже он есть и почти готовый
Удачи, введите в поле To не ASCII домен в mail.ru и попробуйте отправить. Ну а без поддержки SMTPUTF8 за отображение неASCII должен пектись только frontend — который к слову вам тоже покажен xn--. По последнему утвердению, "нарушают рекомендацию":