Возможен ли вариант Почтового сервера без белого ip по средствам A и MX записей сервиса NoIP?

Question

[Антон]

Добрый день!
Возможен ли вариант работы почтового сервера без статического ip?
Насколько я понимаю NoIP выдает А запись и 3 МХ записи.
Возможна ли работа почтового сервера при таком варианте?
Буду рад любым ссылкам. Заранее спасибо!

Comments

[Виктор Таран]

зачем?
смысл?
используй яндекс PDD

Answer 1

[Павел Межуев]

Возможно, но не нужно. Для почтового сервера далеко не последнюю роль играет репутация IP-адреса. Ваша почта просто будет улетать в спам.

Comments

[Антон]

Спасибо за ответ. На самом деле меня мало интересует сама работа почтового сервера, в большей степени интересна сама концепция и ее реализация)

[xmoonlight]

Павел Межуев, Первый раз слышу, что из-за IP почта будет в спам улетать!
Это по какому такому критерию?!

[Павел Межуев]

Антон, если исключительно теория, то никаких проблем. Будет всё точно так же:

• Вот домен example.no-ip.org.
  
• Вот его MX-запись и IP-адрес почтового сервера. Кстати, в NoIP можно прописать в MX любой сервер или только из их доменной зоны?
  
• Почтовый сервер доступен из мира, порт TCP/25 открыт и он готов принимать почту.
  
• Profit?
  

xmoonlight, видимо вы никогда не занимались администрированием почтовых серверов. Не напомните, в каком веке появились первые DNSBL? Из недавнего: https://habr.com/ru/company/unisender/blog/448486/

[Антон]

Павел Межуев, "По умолчанию No-IP настраивает хост mail.yourdomain.com для обработки почты для вашего домена. Вам понадобится почтовый сервер, работающий на этом хосте. Кроме того, вы можете обновить свои записи mx, чтобы они указывали на почтовый сервер / провайдера, который настроен на получение почты для вашего домена." На сколько я понимаю, указать можно любой сервер)

[Владимир]

xmoonlight, наверное, 80% почтовых серверов используют какие-либо сервисы блэклистов при проверке почты, типа spamhaus.org, десятки их. IP-адрес почтового сервера, принадлежащий к динамическому пулу, выдаваемому каким-либо провайдером это 100% гарантия попадания в эти блэклисты. У меня были случаи, когда статический IP-адрес, с корректными записями A, MX, ptr, spf, попадал в блэклисты, потому что этот статический адрес из сети, которую провайдер раздаёт клиентам динамически.

[Владимир]

Антон, получать вы будете, а отправлять? Только через какой-то релей, но тогда смысл в почтовом сервере с динамическим адресом ускользает

[xmoonlight]

Павел Межуев, Владимир, проблема - на вашей стороне! При правильной конфигурации почтового сервера - всё корректно работает и почта не попадает ни в какие спам-листы.
Если кратко - учите основы.

[Владимир]

xmoonlight, понятно, мсье теоретик. Ещё раз - сервер в офисе, не в дата-центре, местный провайдер раздаёт инет динамически, но компании выдаёт постоянно привязанный адрес и берёт за это деньги. Все записи в dns, все настройки сервера - правильные. Но, некий спам-лист третьего эшелона из Лос-Задрищенска, вносит в список спамеров все почтовые сервера, которые работают с ip-адресов, раздаваемых провайдерами (по крайней мере о тех сетях, о которых он знает). А потом "умный" администратор почтового сервера использует этот спам лист для безусловного отбрасывания почты (ещё одно "умное"* решение) без дополнительных проверок. Бинго!

------
* я, например, проверяя приходящую почту, в том числе, и на присутствие в спам-листах, просто добавляю баллы. Если число баллов достигает порогового значения, письмо получает в subject текст "###SPAM###" и доставляется адресату, пусть он принимает решение, спам ли это, или мой почтовый сервер слишком о себе возомнил.

[xmoonlight]

Владимир, 1. Я НЕ теоретик. Но уже - это объяснять бесполезно Вам. Ладно... Едем дальше...
2.

Но, некий спам-лист третьего эшелона из Лос-Задрищенска, вносит в список спамеров все почтовые сервера, которые работают с ip-адресов, раздаваемых провайдерами

"Некий" - ? И я ещё теоретик?! Может Вы вначале разберётесь:
Что это за спам-лист, действительно ли есть там пул вашей сети (сети провайдера, "серых" IP), и как именно он формируется? Вы же DMARC/TKIM настроили корректно?
Если доставляется письмо всем кроме пары-тройки почтовых серверов - то это уже НЕ ваша проблема.

[Владимир]

xmoonlight, ок, не теоретик, с ВАМИ я спорить не буду, бесполезно, как Вы верно отметили. Едем дальше.
2.

Что это за спам-лист, действительно ли есть там пул вашей сети (сети провайдера, "серых" IP), и как именно он формируется? Вы же DMARC/TKIM настроили корректно?

Разумеется, всё это сделано, я на сайте этого спам листа вижу список критериев, по которому обсуждаемый адрес попал в лист, и там есть пул сети и так далее... DMARC/TKIM настроены коректно и так далее...

Если доставляется письмо всем кроме пары-тройки почтовых серверов - то это уже НЕ ваша проблема.

Да, разумеется (sarcasm). В число этой пары-тройки почтовых серверов попал ключевой поставщик или покупатель, коммерческий директор ревёт, как белый медведь в жару, и обещает порвать ИТ-директора на кучу мелких лоскутков. Проблема 100% на той стороне, но нам от этого радости никакой.

Впрочем, это дело прошлое, я просто хочу заметить, что реальность в нашем сегменте сети иногда расходится с чеканными строками RFC. И создавать себе трудности, а потом их мужественно и изобретательно преодолевать, как хочет автор вопроса - не лучшее времяпровождение.

[xmoonlight]

Владимир, А-а! Ну вот! Теперь всё встало на свои места!) Как только ключевой поставщик "вспыл"! Если так - тогда без вариантов: надо искать выход через общение с поставщиком или через создание (проброску порта) почтовика на другом IP.

[Павел Межуев]

проблема - на вашей стороне

Прямо как в известном анекдоте. Причём не только по тексту, но и по нелицеприятному смыслу.

xmoonlight, как по вашему:

• Для чего существуют сервисы, подобные этому: https://mxtoolbox.com/blacklists.aspx ? Тысячи их, некоторые ещё и платную услугу предоставляют по автоматическому отслеживанию IP-адреса в этих базах.
  
• А люди, занимающиеся прогревом IP-адреса перед массовой рассылкой — напрасно получают свою зарплату? Выше я уже приводил пример, как можно одним неосторожным движением улететь в бан по IP.
  
• Разработчики Rspamd — свободного антиспам-фильтра, который из коробки работает эффективней многих коммерческих решений — недалёкие люди, раз по умолчанию делают проверку аж по 9 DNSBL (начисляя от 1 до 7 баллов за каждый) и по 1 DNSWL (снимая от −1 до −3,5 баллов)? Для справки: за успешное прохождение проверок SPF/DKIM/DMARC снимают −0,9 балла в сумме.
  
• Провайдеры, блокирующие исходящие на TCP/25, чтобы их подсети не попадали в DNSBL, делают это от безделья? Даже целый RFC 6409 написали, чтобы можно было это делать без последствий для клиентских приложений.
  
• Ладно провайдеры, они по определению работают в среде с низкой цифровой гигиеной. Но Microsoft! В их технологичном Azure тоже запрещены исходящие на TCP/25. Причём нет кнопки, чтобы изменить это — обращайтесь в техническую поддержку и вам может быть откроют доступ.
  

Кстати про DNSWL — это тенденция последних лет, не создавать бесконечные чёрные списки плохих отправителей, а вести один список хороших.

Внезапно!

Крупнейшие провайдеры электронной почты, такие как Google, Microsoft, Яндекс, Mail.ru и другие зачем-то добавились в DNSWL.org. Неужели их администраторы настолько непрофессиональны, что не умеют «правильно конфигурировать почтовый сервер»?!

Исследование ReturnPath — https://blog.returnpath.com/which-blacklists-does-... — показывает, что даже самый крупный провайдер электронной почты не брезгует использовать DNSBL. Да, статья 2014 года, но мой опыт показывает, что в 2019 году ситуация не поменялась. Причём достаточно быть в PBL (который не спам список). Очевидно, что другие крупные игроки так же используют DNSBL или ведут свои репутационные списки.

У вас идеально отлаженный почтовый сервер со 100 % доставляемостью писем? Просто смените ему IP-адрес и вы гарантированно пропадёте из папки «Входящие» у пользователей Cisco Talos от пары дней до пары недель (в зависимости от объёма вашей исходящей почты). С Microsoft, кстати, примерно такая же ситуация. И всё, приплыли — если вы B2B, то это до 90 % ваших клиентов, бизнес несёт прямые убытки и учредителям не объяснить, что это «не ваша проблема».

P. S. Честно говоря не знаю для кого я это написал. xmoonlight это точно не надо, так как он в этой сфере не работает, ибо профессионал никогда не напишет TKIM, такую опечатку допустить просто невозможно. Это как веб-разработчику написать GS.

[xmoonlight]

Павел Межуев, ну, не каждый день настраиваю, но что описка TKIM вместо DKIM - подзабыл, да, согласен...
А по всем пунктам - повторю: я настраивал лично и проблем с перечисленными Вами сервисами/ограничениями - не возникало (пол-года назад дело было).