Взгляд почтового админа на идеальную инфраструктуру веб-хостинга

---

Этот текст я опубликовал 5 мая 2012 года в ЖЖ (https://moury.livejournal.com/74798.html).

---

Исходные данные: Когда негодяи или боты при регистрации на сайтах указывают несуществующие адреса электронной почты, очередь почтового сервера распухает. Но трудно определить, на каком сайте была регистрация, потому что веб-мастер, поддерживающий много сайтов, задал собственный адрес электронной почты в настройках CMS.

Поскольку ругаться задолбало, резюмирую.

Если домены созданы только для сайтов, и владельцы сайтов используют адреса электронной почты в другом домене, а «живые» почтовые адреса в этих доменах не предвидятся, то в этих «чисто сайтовых» доменах возможны только три вида почтового трафика:

1. Почта, отправляемая скриптами с сайта (уведомления от CMS, письма от скриптов, менеджеров рассылок и злодеями через «дырки» сайтового движка).

2. Ответы скриптам (уведомления о недоставке, письма в рассылки, спам).

3. Почта для postmaster и abuse этих доменов.

В этом случае. идеальная конфигурация хостинговых сервисов должна отвечать следующим требованиям:

1. Для отправки исходящей с сайтов почты хостинговая фирма должна выделить отдельный почтовый сервер. Этот сервер ни в коем случае не должен обслуживать переписку самой хостинговой компании.

2. Доменное имя почтового сервера, обслуживающего хостинг, должно ясно показывать, что он обслуживает именно отправку почты от хостинговых клиентов (mail-outbound.hosting.domain.ru), и прямые и обратные записи в DNS должны совпадать с этим именем.

3. MX-запись «чисто сайтовых» доменов должны указывать на выделенный для хостинга почтовый сервер.

4. «Чисто сайтовые» домены должны иметь SPF-запись, указывающую только на выделенный для хостинга почтовый сервер (v=spf1 mx -all).

   Если кто-то из посетителей сайта при регистрации указывает почтовый адрес-редиректор, то он - ССЗБ.

5. В «чисто сайтовых» доменах должны существовать ровно три адреса электронной почты:

   • Первый и второй: postmaster и abuse - редирект почты админу хостинговой фирмы.

     Почта, отправляемая с обратными адресами abuse и postmaster, должна автоматически удаляться.

   • Третий: адрес электронной почты сайта - редирект почты владельцу сайта (веб-мастеру, оператору и т. п.).

     Только этот адрес должен иметь право отправлять почту с сайта.

     Почта, отправленная с сайта с другими обратными адресами - как из этого домена, так и других доменов), должна блокироваться.

6. Веб-сервер и парсеры скриптовых языков должны быть настроены так, чтобы почта передавалась с сайта на почтовый сервер только по SMTP, ни в коем случае не вызовом утилиты sendmail (напрямую или через API).

7. На обслуживающем хостинг почтовом сервере должна быть включена защита от спама, блокирующая отправку почты с сайтов на домены с неправильными адресами, не имеющие делегирования домены, домены без MX-записи, домены с фейковыми MX-серверами и явно клиенские домены (CPE, xDSL, dialup и т. п.).

Реализация этих требований позволит снизить вероятность попадания серверов хостинговой фирмы в DNSBL.

В панели хостинга собственной разработки переключение между режимами «чисто сайтовый домен» и «полноценный домен» можно сделать прозрачным для клиента.