Názory k článku
GMail byl představen před 20 lety, gigabajtová kapacita nebyl apríl

Občas někdo dává na blacklist celé rozsahy, tedy můžete být ten největší borec a na blacklistu stejně skončíte.

Ano, celé rozsahy ISP jsou skutečně blacklistované a je to tak dobře. Potřebujete alespoň VPS na negarážovém hostingu.

3. 4. 2024, 08:21 editováno autorem komentáře

To je hezká teorie, praxe je ovšem jiná. Spousta neumětelů pod záminkou boje proti spamu nastaví na svém serveru nesmyslné podmínky, a GMail, Outlook, v ČR Seznam a možná par dalších dají na whitelist. Takže z hlediska SMTP jste od začátku horší než Google. Jenom dodržovat standardy zrovna v případě e-mailu fakt nestačí.

Ale stačí. Pane Jirsáku, prosím, osvětlete mi, co vede lidi jako vy k obsesívní potřebě vysvětlovat někomu, kdo takhle mail provozuje bez větších problémů už víc než dekádu co funguje a co ne a že to vlastně vůbec není možné?

Vy jste teorie. Ano, vy tu ty své často dost nesmyslné teorie vykládate s oblibou. Takže chápu, že podle sebe posuzujete druhé. Sebeprojekce se tomu říká. Ale v tomhle případě mám tak nějak výhodu letité praxe.

Martine, musím s tebou souhlasit. Provozuji taktéž mail server, sice ne dekádu, ale už dost dlouho, abych věděl, že to jde. Na druhou stranu, Jirsák má trošku, trošičku pravdu.

Doména, pro kterou provozuji mail server není pro podnikání, ale čistě soukromá. To je věc, se kterou google nepočítá, takže když pošlu jeden e-mail více než pár lidem na gmailu, tak ho google odmítne přijmout, že nesplňuji jejich obskurní podmínky. A dostat se k obskurním podmínkám, projít jejich procesem pro hlášení problémů a dočkat se řešení je nemožné. Ovšem, to je výjimka. Když jsem narazil na jakýkoliv problém o kohokoliv jiného, stačilo srozumitelně napsat kde vidím problém a proč je to problém a bylo vyřešeno často i s omluvou.

Takže mail server jde provozovat, ale pro google nejste partner.

Mimochodem, jde provozovat i pro rozsáhlou síť (10000 koncových stanic komunikujících v rámci jednoho subnetu, měli jsme k dispozici /16 veřejných adres). Blacklist občas byl, tak jsme měli záložní mailserver...

10000 stanic v jednom subnetu???

Jinak s Googlem v tomto ohledu zkusenosti nemam, ale dostat se z blacklistu Microsoftu (kvuli serveru nekoho jineho v bloku, tusim, /19 verejnych IP adres) se ukazalo jako neresitelny problem jak pro nasi malou firmu tak pro Quantcom (vlastnik verejnych IP).

Subnet myslím z hlediska alokovaných adres pro danou organizaci - daná organizace měla/má k dispozici /16 a tak to je viditelné ve whois.

Samozřejmě, byla tam vnitřní struktura... Jednotlivé jednotky v rámci organizace měly svoje podsítě a ty byly dále strukturované atakdále. Ale navenek to byla jednotná síť.

martinpoljak: Zkuste příště reagovat na to, co jsem napsal, ne na vlastní výmysly. Psal jsem snad někde, že to není možné? Nepsal. Polemizoval jsem s vašim tvrzením, že z hlediska SMTP jste na tom stejně, jako GMail – nejste, protože GMail je u spousty poštovních serverů na whitelistu, váš server ne. V tomhle případě vaše zkušenost s provozem jednoho poštovního souboru nevypovídá o ničem, protože vy nevíte, jestli jste někde na whitelistu nebo ne.

Polemizoval jsem také s vaší tvrzením, že stačí dodržovat standardy. Nestačí. Zkuste si posílat e-maily z IP adresy, která nemá správný reverzní záznam. Standardům to neodporuje, standard říká, že tam reverzní záznam má být, ne musí být. Zároveň standard říká, že mají být programy a konfigurace přísné v tom, co produkují, ale benevolentní v tom, co přijímají. Takže kontrola reverzního záznamu je fakticky proti standardům – ale zároveň to dnes dělá každý.

Podobně neexistuje žádný standard, který by říkal, že v reverzním záznamu nesmí být zakódovaná IP adresa. Přesto některé mail servery komunikaci s takovým klientem odmítají.

Standard říká, že jakmile poštovní server potvrdí přijetí e-mailu, je za něj zodpovědný a buď ho musí doručit uživateli, nebo předat jinému serveru, nebo poslat e-mail s chybou. Dneska ale pokud třeba antivirovou kontrolu děláte až po přijetí e-mailu (protože je náročná) a chcete e-mail odmítnout, můžete poslat chybový e-mail jedině v případě, kdy máte odesílatele validovaného pomocí SPF nebo DKIM. V opačném případě dnes naopak chybovou zprávu poslat nesmíte, protože byste šířil spam.

Znovu opakuju, nic z toho neznamená, že mailový server nelze provozovat. Samozřejmě, že lze – ale nestačí jen dodržovat standardy, naopak někdy je musíte porušovat. Musíte dodržovat best practice, které se ale často do standardů ještě nestihly přetavit. A někdy vám nepomůže ani to, protože někteří správci nakonfigurují svůj poštovní server klidně tak, že reálně přijímají e-maily jen od velkých serverů, které mají na whitelistu (protože jinak by nepřijaly e-maily ani od nich).

Pokud provozujete poštovní server jenom 10 let, tak v tom oproti mně máte nevýhodu – málo let praxe. Akorát si nemyslím, že by to bylo podstatné, protože je rozdíl provozovat poštovní server, přes který projdou stovky e-mailů denně, a server, který má třeba tisíce uživatelů. Vůbec bych se nedivil, kdybyste měl víc zkušeností s provozem e-mailového serveru, než mám já, není to tak těžké – akorát polemizujete s věcmi, které jsem nenapsal.

Zas tak skalopevne bych to netvrdil... RFC 1912 dokonce primo upozornuje na mozne riziko z druhe strany....
Many services available on the Internet will not talk to you if you aren't correctly registered in the DNS.... Failure to have matching PTR and A records can cause loss of Internet services similar to not being registered in the DNS at all.

Ono se nejde jak na petniku otacet nad tim, ze tam nikde neni explicitni "MUST" k existenci PTR. Ale samotne varovani, ze vam to pak nemusi neco nekde taky fungovat je vcelku silny donucovaci prostredek. Aneb mailservery, co odmitnou spojeni z adres bez korektniho PTR nekonaji v rozporu se standardy.

Celý e-mail od počátků (SMTP komunikace) stojí na dnou principech:
1.- princip maximální snahy,
2.- princip nezaručeného výsledku.
A přesně tak to člověk musí brát: nastavit vše co nejlépe - a doufat, že všechny body po cestě se budou snažit.
Takže když to někde selže a nefunguje... tak je to potřeba zkusit znovu a líp.
Jen jsme si tak nějak zvykli, že ta pošta chodí spolehlivě, vždy, a okamžitě.

Ovsem ten princip maximalni snahy neimplikuje, ze kontrola PTR tomu odporuje, jak se muze z nekterych komentaru ad vyse jevit. Mimochodem, ma oporu krom vyse uvedeneho treba i v RFC 5451. To, ze si nekde pred lety navykli na poradne nastaveni kaslat a ono to nejak proslo jeste neni znamka spolehliveho reseni. A tem, co podobne ignorantum odmitaji maily dorucovat nic vycitat nelze. Ono to podporu v RFC prose ma - aneb ano, PTR mit sice striktne nemusite, ale pak zrovnatak protistrana nemusi ten vas email prijmout a je to naprosto legitimni reakce.

Dobrý den, pane Jirsáku. Děkuji za hezké shrnutí všelijakých problémů. Já provozuji mailserver pro rodinnou firmu a pár dalších domén už přes 20 let, dnes i nějaké další mailservery. Provoz je malý, tak kolem těch 100-200 nespamů denně. Pokaždé to běželo na linuxu na běžném firemním/domácím připojení (dříve různé bezdráty, dnes optika). Samozřejmě jsem se za tu dobu setkal s většinou popisovaných problémů, ale nikdy to nebylo nic, co by nešlo celkem snadno vyřešit. Po pár letech bylo nutné požádat o ten reverzní záznam pro fixní IPv4, doplnit SPF. Ale vesměs byla pošta v podstatě bezproblémová a to třeba otec si psal s celou Evropou. Takže reálně bylo nejvíc práce vždycky s vyladěním antispamu (dnes rspamd).

Závěr: Není třeba se toho tolik bát.

Bohužel, tohle funguje hezky jen na papíře. I když je všechno správně nastaveno, tak typicky google dělá třeba tu prasárnu, že občas, pokud se jeho neuronka špatně vyspí, tak nějaký ten mail prostě potichu smaže.
Na odesílateli je v logu 250 od gmailu, adresát mail nedostane ani do spamu, a žádné NDRko. Následkem je třeba to, že si zákoš stěžuje, že nedostal fakturu, někdo jako trubka musí prolézt logy, když se zjistí, že do gmailu to odešlo, tak to celé to vyšumí do ztracena a po měsíci repete.

Vtipné je, že když něco pro změnu správně nastaveno/podepsáno není, tak to rejectne korektně.

#BeEvil

"Bohužel, tohle funguje hezky jen na papíře"

A kdyz posles tu fakturu dopisem postou, tak ... treba taky obcas i dorazi. Jinak receno, funguje to presne stejne.

Když už bych byl tak zoufalý, že bych musel použít veřejný mail, tak třeba u Protonmailu bych to spís nazval z bláta pod přístřešek, ale dávat svoje maily přerostlé reklamce mi přijde jako pořádně uhozené.

OK, nebylo to jasne, takze znova. Myslim ze vsem je tady jasne ze davat emaily googlu znamena platit svymi osobnimi daty. Ale provozovat vlastni soukromy email je hodne narocna akce ktera vyzaduje spoustu znalosti a casu, a ne kazdy to zvladne. A i kdyz to zvladne, muze mit problemy ktere proste nevyresi, protoze neni moloch typu google/seznam/y­ahoo.

Protonmail byl spusten 9 let zpatky, google mail 20. Jestli martinpoljak chtel napsat, ze google mail je zbytecny protoze uz existuje protonmail, tak to ma napsat rovnou a jasne, a ne aby se diskuze porad tocila o hadani co vlastne ma na mysli.

Ale v kazdem pripade prechod z googlemail na protonmail vubec nezni jako to " kouzlo minimalismu" se kterym tu martinpoljak tak nadsene operoval.

Hele, což... Máš pravdu, je to krásný, pohodlný, jednoduchý, funkční, ideologicky čisté, genderově vyvážené, v souladu s greendeal, ... Ale není to zadarmo. To si uvědom. Možná za to neplatíš $$$ třeba měsíčně, ale vážně si myslíš, že to Google dělá jen a pouze pro tvé Blaho?

Pro někoho potom cena VPS, mail server, Nextcloud... může být nižší, než to, co platíš tomu Google.

To přece nikdo nerozporuje. Pohodlí je vyváženo cenou. A co jako? Já taky neprovozuji vlastní email server a troufám si říci, že mraky lidí. Ze stejného důvodu, proč je penetrace Windows desktopu vysoko nad penetrací linux desktopu. Když projdete ve dne po Národní třídě, tak tam zjistíte, že lidí je fakt mraky a teĎ si představte, že té mase děláte admina SMTP serveru.