Protected SMTP relay : Netdirekt DC

Одна доп. настройка в МТА решит всю проблему ))))) если проект белый то проблем не будет ))))

До мега-параноика далеко конечно. Только учусь :):):)

Думал обойтись простым OpenVPN с шифрованием. Зачем такие сложности?

alexey_nsk добавил 28.10.2010 в 11:44

IP релея без обратки. Сами должны понимать, что происходит с письмами, которые приходят с серверов без обратки.

Ну я предложил почти то же самое, путь разные - цель одна :)

Romka_Kharkov добавил 28.10.2010 в 11:46

Я ж не отстаиваю тут правоту датацентра этого, я за концепцию в целом, это нормально и даже правильно при условии кол-ва спама который циркулирует в сети, по последним данным полученным или из телевизора или из интернета , за 2009 год из всех писем около 90% это спам... вам это ни о чем не говорит ???

А то что данный ДЦ ни хрена не настроил а уже все залочил - бесспорно их промах.

К счастью, я спам вижу только в логах. То, что пробивается - не более 10 сообщений в день.

Если абстрагироваться, и взглянуть иначе. А где четко прописанный регламент по классификации и выявлению спама? Или опять же до первой абузы от спамхауса? В некотором случае новостная рассылка по базе своих же клиентов может попасть под критерии спама ДЦ и тогда доступ прикроют?

Вон IP ру-центра были в блеклисте (не знаю убрали ли сейчас). А он-то точно спам не рассылает (он не захотел делегирование снимать по абузам на спам). Правда там немного другая история, которая может по сути произойти и с ДЦ. За спам одного клиента попадет IP релея в бан и что тогда?

Фраза разорвала моск, переведите пожалста ....

Ну у меня например на релее такая штука: не более х писем в час с одного хоста, в случае если х превышен - закрыто, в случае если не превышен - это не есть спам в принципе.... Точнее это может быть и спам, но его целевая нагрузка пропадает на релей сервере... а не в листе у спамхауса... :(

По этому данное решение должно выглядеть как оптимальный вариант для фиксирования всего исходящего трафика по признаку 25 порта..... А не очередным МТА без обратной зоны.... Подходы могут быть разные, может так и оставят без обратки, а может прикрутят SPF / domain keys / и прочее... и будет нормально работать почта, между прочим в нормальной схеме IP релей сервера не сильно то и проблемное место, ни кто ж не мешает не слать почту с этого МТА а транзитить ее дальше????

Например ваш сервер настроен на smart1.domain.com, а тот в свою очередь имеет еще 1-2-5-10-200 релей серверов, которые включаются или по мере надобности, или организовывают разные очереди из писем в разном направлении... это уже фантазия того кто настроил... но это дает возможность настроить всех 1 раз на 1 релей, а дальше с него уже выпускать кого куда.....

Кстати если не указывать IP а указывать Host, то IP может быть много у одного релея :)

В общем не все так плохо как вы себе рисуете, схема вполне живая, нужны только правильные руки у руля :)

Правильное решение. Мы тоже используем лимиты на отправку почты через SMTP. Только вот в данном случае было только уведомление о необходимости провести донастройку ПО. А какие при этом будут действовать ограничения, как все это будет работать - ни слова.

По поводу ру-центра, вот ссылка: http://www.nic.ru/dns/safety/notice-forms.html Если не читали, то уверен найдете еще информацию на тему, почему так SpamHaus поступил в руцентром.

Я еще раз ставлю все точки над I. Меня данная тема заинтересовала только лишь в ключе концепции действий провайдера, не конкретно этого провайдера.... Подход считаю обоснованным как провайдер, другое дело что данный конкретный ДЦ не принял никаких предварительных мер, не согласовал, а только уведомил...... это ихнее дело, наверное сейчас вы может быть думаете что надо бы поменять ДЦ, они тоже думали о том, что после таких изменений будет отток клиентов, это я вам гарантирую просто! Либо сегодня какой-то из Админов который пошел на произвол отгребет люлей и все предстанет вовсе в новом свете. :) :) :)

Насчет ограничений и "описания происходящего" согласен с вами, в данном случае можно было бы немного более подробно изложить суть работы, лимиты и прочее, но я думаю что это сделать 1м письмом не удалось бы .... (имею ввиду ответы на все вопросы всех клиентов). По этому частично данная проблема будет решаться скажем так "On fly", а в процессе решения некоторых "воплей" клиентов будут рождаться новые и новые функции у этого Релея :))))

Представьте себе что было бы если бы ДЦ такого масштаба предложил бы клиентам "обсудить принятие этих мер" скажем на форуме..... да застрелиться..... еще лет 20 бы принимали решения :))))

Это на сколько я понимаю это "оправдания" того же RU-CENTER перед клиентами, но никак не основная причина добавления сетей в SBL. Точнее так могло бы быть на самом деле, пример моей истории описан выше, я знаю за что мы попали в SBL но увы нет возможности сделать делист, даже после долгих лет ожидания, но 1го мнения от Руцентра мало, не находите? Может у SBL есть свои доказательства, логи и прочее... а пока они не опубликованы очень мало вероятно что то что написано по указанной ссылке вообще имеет какой либо смысл, так как мнение всего одно!

Пожалуй сюда еще добавлю следующее: У SBL есть тенденция бана по Автономной системе!!!!

Рассказываю, значится доигрались и SBL заносит /20 сеть в листинги... нафик.... полгода - ни каких результатов по делисту.... Мы получаем новую сеть /20 от ARIN (не потому что та в СБЛЬ, а честно говоря просто время подошло 95% usage.....).... и что вы думаете ?? Не успел я первый анонс у себя в BGP Разместить по поводу этих сетей как уже новая (неделю назад выданная) сеть /20 смотрелась там же в SBL списках как и первая.... ну и где тут легитимность? Да мы получили новые сети, но еще ни 1 ИП адрес из них не пинганулся ни разу. не то что бы спам какой-то пошел..... Вот за такие действия... как бы я и невзлюбил SBL окончательно, но консультируясь с разными людьми на тему "как бы насолить SBL" я пришел к мнению что есть всего два варианта:

1. Вычислить и устранить организаторов :) Что мною в принципе не рассматривается :)

2. Поймать их на приеме денег за руку (за делист) + доказательства не легитимного добавления сетей..... они фактически таким образом могут выманивать деньги с любого ISP..... Это не просто проблема, это проблема мирового масштаба.... я со всей ответственностью это заявляю ! Это бесконтрольный орган, который может заставить провайдера понести ущербы...

Кто им такое право дал? в случае если они несут ответственность за это они обязаны обосновать и сделать это публично для всех, а в случае если не несут... то бабки за делист только укрепят веру в то, что их надо прикрывать :)

Еще факт работы по AS и базам RIPE / ARIN подтверждает то, что например в SBL до сих пор числятся сети которые были нам делегированы другими провайдерами... мы с физического места уехали уже давно, а они информацию не обновили у себя в rwhois, т.е сети типа до сих пор наши.... но о них даже анонса нет в BGP ;) Одну такую сеть я попросил провайдера переасайнить обратно к себе в пул... спустя пару недель она пропала из SBL.... т.е на лицо явная вражда с нашей AS.

Тут не надо быть параноиком, давно ходят слухи о том, что очень активно прорабатывается закон о том, чтобы провайдер обязан делать копии всех емайлов, хранить логи трафика и так далее. Немцы как всегда в переди и теперь вот на тех клиентах которые проспамились ведут эксперименты....

По поводу Нетдирект, то я давно заметил тенденцию датацентра душить всех реселеров новыми правилами. Прямых клиентов они так не обижают, как реселеров. Понятное дело у реселера много серверов с разными клиентами и естественно большое количество абуз на единицу. Для датацентра реселер одна единица, ровно так же как и обычный клиент у которого один сервер. Вобщем реселерам НД теперь чёрный период и намечаются огромные потери в финансовом плане. Обиженные клиенты отказываются от серверов без проблем, а у реселера этот сервер зависает до конца текущего или даже следующего месяца, так как отказ от серверов датацентр принимает только до 15 числа. Клиент отказался от сервера 17 числа и сервер висит минимум месяц пустой...

Принятие такого законопроекта.... это чудо из чудес, отрежет половину школьников , половину дебилов, половину всех , кроме тех кому интернет важен как инструмент для работы. Я например не вижу никаких препятствий тому, что бы уже 10 лет назад собирать такую информацию... Почему не приняли такой закон еще раньше ... вот что обидно.... Вы же говорите как реселер, который работает на рынке, который зарабатывает деньги, который платит налоги, разве не вы первый должны быть заинтересованы в том, что кто-то теперь будет выявлять "гадов" вместо вас.... (хотя я думаю, что вы этого не делаете).

Выходит что когда у вас угнали ключ от вашего WMID вы пенитесь (не вы лично, в целом говорю) везде и всяк , причем безрезультатно.... а когда вам предлагают закон , по которому мудака посадят в тюрьму.... вы говорите что это черная полоса для вас..... Вы сами противоречите себе, пришло время определиться, вы на белой стороне или на черной :))))))

Будущее: Вы звоните своему "кенту" из милиции и говорите что у вас украли домен\кошелек, через полчаса вам привозят в лес школьника который это сделал , уже с лопатой и прочее :D :D :D

Мне например однозначно все равно будет ли кто-то читать мою почту.... другое дело , что если эти данные будут "всплывать".... в коммерческих интересах.... и прочее... это уже не демократия получится..... но если это будет использовано с целью контроля и выявления "гадов" я с гордостью буду стоять у руля :)

По факту обычно бывает, что в SBL уезжает уже смартхост, причем достать его оттуда без помощи провайдера нереально.