Взгляд почтового админа на идеальную инфраструктуру веб-хостинга
Этот текст я опубликовал 5 мая 2012 года в ЖЖ (https://moury.livejournal.com/74798.html).
Исходные данные: Когда негодяи или боты при регистрации на сайтах указывают несуществующие адреса электронной почты, очередь почтового сервера распухает. Но трудно определить, на каком сайте была регистрация, потому что веб-мастер, поддерживающий много сайтов, задал собственный адрес электронной почты в настройках CMS.
Поскольку ругаться задолбало, резюмирую.
Если домены созданы только для сайтов, и владельцы сайтов используют адреса электронной почты в другом домене, а «живые» почтовые адреса в этих доменах не предвидятся, то в этих «чисто сайтовых» доменах возможны только три вида почтового трафика:
-
Почта, отправляемая скриптами с сайта (уведомления от CMS, письма от скриптов, менеджеров рассылок и злодеями через «дырки» сайтового движка).
-
Ответы скриптам (уведомления о недоставке, письма в рассылки, спам).
-
Почта для postmaster и abuse этих доменов.
В этом случае. идеальная конфигурация хостинговых сервисов должна отвечать следующим требованиям:
-
Для отправки исходящей с сайтов почты хостинговая фирма должна выделить отдельный почтовый сервер. Этот сервер ни в коем случае не должен обслуживать переписку самой хостинговой компании.
-
Доменное имя почтового сервера, обслуживающего хостинг, должно ясно показывать, что он обслуживает именно отправку почты от хостинговых клиентов (mail-outbound.hosting.domain.ru), и прямые и обратные записи в DNS должны совпадать с этим именем.
-
MX-запись «чисто сайтовых» доменов должны указывать на выделенный для хостинга почтовый сервер.
-
«Чисто сайтовые» домены должны иметь SPF-запись, указывающую только на выделенный для хостинга почтовый сервер (
v=spf1 mx -all
).Если кто-то из посетителей сайта при регистрации указывает почтовый адрес-редиректор, то он - ССЗБ.
-
В «чисто сайтовых» доменах должны существовать ровно три адреса электронной почты:
-
Первый и второй: postmaster и abuse - редирект почты админу хостинговой фирмы.
Почта, отправляемая с обратными адресами abuse и postmaster, должна автоматически удаляться.
-
Третий: адрес электронной почты сайта - редирект почты владельцу сайта (веб-мастеру, оператору и т. п.).
Только этот адрес должен иметь право отправлять почту с сайта.
Почта, отправленная с сайта с другими обратными адресами - как из этого домена, так и других доменов), должна блокироваться.
-
-
Веб-сервер и парсеры скриптовых языков должны быть настроены так, чтобы почта передавалась с сайта на почтовый сервер только по SMTP, ни в коем случае не вызовом утилиты sendmail (напрямую или через API).
-
На обслуживающем хостинг почтовом сервере должна быть включена защита от спама, блокирующая отправку почты с сайтов на домены с неправильными адресами, не имеющие делегирования домены, домены без MX-записи, домены с фейковыми MX-серверами и явно клиенские домены (CPE, xDSL, dialup и т. п.).
Реализация этих требований позволит снизить вероятность попадания серверов хостинговой фирмы в DNSBL.
В панели хостинга собственной разработки переключение между режимами «чисто сайтовый домен» и «полноценный домен» можно сделать прозрачным для клиента.