DDNS: возможно ли решение DIY? Лучше?

Я пытаюсь установить личный почтовый / календарный сервер у себя дома (да, я слышал, что это сложно, много проблем и т. Д., Но я все еще хотел бы попробовать).

Вам, вероятно, не повезет с почтовой частью. Смотрите @ Алекс ответ.

вам нужно иметь скрипт / программу, которая периодически контролирует ваш IP-адрес, и если адрес меняется, то скрипту / приложению нужно обновить любое доменное имя, которое вы используете для своих домашних серверов

В значительной степени это.

Мне просто нужен ключ API хостинговой компании, чтобы программно настроить необходимые доменные / IP записи

Да, хотя, если компания просто предоставляет универсальную услугу «все для хоста», у нее может вообще не быть API управления DNS (вместо этого она сосредоточена на Интернете и почте), и вам может понадобиться переместить домен в другое место.

Вот в чем дело: когда вы обновляете свои записи доменного имени способом, который я описал выше, я прочитал, что для распространения по системе / миру может потребоваться несколько часов (все DNS-серверы должны быть заполнены вашим обновленным адресом). ).

Нет. Только собственные системы вашего хостинг-провайдера DNS должны быть обновлены. Остальной мир не ведет постоянную запись - он просто кэширует результаты отдельных поисков в течение периода времени, указанного в поле (TTL) (Time To Live) каждого (под) домена.

Тем не менее, некоторые платные провайдеры DDNS, на которых я смотрел, похоже, способствуют тому, чтобы изменения вступили в силу практически мгновенно (или, по крайней мере, быстрее, чем мой DIY-метод). Это правда? Я что-то пропустил?

Я предполагаю, что они позволяют настраивать очень низкий TTL на динамических доменах (до нескольких секунд), что означает, что он очень быстро выпадет из любого кэша, за счет того, что сам провайдер DDNS получает намного больше запросов (выше загрузить на них DNS-серверы и базы данных, и повод, чтобы взимать с вас больше). Это само по себе не является чем-то особенным и может быть реализовано любым методом DIY.

Не смогут ли они контролировать весь трафик, проходящий через доменное имя, которое они предоставляют?

Нет. DNS-сервер предоставляет вам только адрес (очень похожий на телефонную книгу) и не участвует в дальнейшей коммуникации.

(Если поставщик фактически не попытается вернуть ложные данные, что значительно сократит TTL компании в тот момент, когда новостные сайты узнают об этом.)

Тем не менее, обратите внимание на то, как работает API; Конечно, вы не можете быть уверены, что в сервисе нет никаких уязвимостей, но если (например) API работает по незашифрованному HTTP и передает ключ API на виду, то вам не следует полагаться на это.

Если у вас нет статического IP-адреса, то вам следует забыть о почтовом сервере, если вы используете решение DDNS, большинство почтовых серверов либо отклонят ваши письма, либо будут помечать почту с самым высоким уровнем спама, поскольку все динамические IP-адреса находятся в списках PBL . ( Вы можете увидеть более подробную информацию в разделе PS, почему не стоит размещать сервер электронной почты на IP-адресе, но есть обходной путь с использованием промежуточного дешевого VPS (виртуальный частный сервер) ).

Что касается "DDNS самой себя" - хороших регистраторов доменов, предоставляющих бесплатное обновление IP через их API, все, что ваша программа должна сделать, это периодически проверять общедоступный IP и, если он изменился, отправлять новый IP регистратору, который обновит запись A (AAAA). Кстати, большинство современных маршрутизаторов уже имеют такую ​​функцию (следите за IP и сообщайте поставщику DDNS)

Я читал, что это может занять несколько часов для распространения по всей системе / миру

Зависит от провайдера DNS, уважаемые регистраторы позволяют устанавливать TTL (время, которое сообщает другим, как часто IP может меняться) равным 5 минутам. Не все переадресовывают промежуточные DNS-серверы, следуя этому, чтобы избежать высокой нагрузки, но обычно, даже если они не будут следовать TTL владельца домена, это редко длится дольше, чем несколько часов. Большинство серверов пересылки будут обновлять свои кэши, как вы установили бы в домене TTL.

Есть ли какие-либо проблемы с безопасностью, которые я могу игнорировать, имея поставщика DDNS?

Выход в интернет уже возможен, вопрос безопасности. Изолируйте свой сервер от локальной сети, чтобы избежать нежелательных гостей.

Есть ли у кого-нибудь обоснованное мнение относительно того, какой метод (платный или самостоятельный) может быть лучше?

Вы бросите свое время и деньги в эфир, если вы пойдете с DDNS. В настоящее время вы можете получить приличный VPS (виртуальный частный сервер) за 3-4 доллара в месяц. Хотя веб-сайт (если вы планируете его иметь) может быть размещен непосредственно на VPS, поскольку обычно он не занимает много места, почтовый сервер может быть проблематичным, если вы планируете запустить сервер в течение длительного времени или ожидаете большого объема электронные письма. Обычно 20 ГБ места достаточно для малого бизнеса до 3-5 лет даже без удаления старых писем. Даже если вы ожидаете огромное количество писем, вы можете использоватьnginxфункция прокси-трафика электронной почты к вашему дому. Таким образом, вы можете разместить основной почтовый сервер дома на динамическом IP-адресе, а VPS (который имеет статический IP-адрес) будет проксировать входящий / исходящий трафик к вашему дому. Вы можете использовать свой собственный VPS в такой конфигурации безболезненно, поскольку нет необходимости беспокоиться о распространении DNS, домен всегда будет указывать на статический IP-адрес VPS. Вам все еще нужно управлять сообщением об изменениях вашего домашнего IP-адреса в VPS, чтобы VPS знал, куда передавать прокси-трафик, но это намного проще, просто запросите некоторый URL-адрес вашего VPS, проанализируйте входящий IP-адрес и настройте nginx, чтобы он всегда знал где ты.

PS

Я вижу, что эта тема интересна для суперпользователей, поэтому я бы добавил немного больше деталей.

Списки PBL содержат базу данных IP-адресов, которые обычно являются динамическими IP-адресами, поэтому PBL очень помогает операторам серверов электронной почты. Это не техническая проблема, или интернет-провайдеры - плохие парни, которые не разрешают серверу электронной почты использовать динамические IP-адреса. Проблема заключается в том, что большая часть трафика электронной почты с динамических IP-адресов поступает с зараженных компьютеров, которые рассылают спам или вредоносные программы в огромных объемах, которые могут легко получать DDoS-сообщения. сервер, если один является целью. Некоторые интернет-провайдеры блокируют исходящие соединения с портом 25, чтобы предотвратить распространение вредоносных программ и DDoS, но некоторые этого не делают. Практически все корпоративные почтовые серверы просто сбрасывают соединения из списка PBL, что значительно уменьшает спам.

Второе эффективное антиспам-решение - отбрасывать соединения с IP-адресов, которые не имеют обратной записи PTR в DNS и не соответствуют DNS-записи домена. Даже если соединения исходят от статического IP-адреса, у которого нет записи PTR, это обычно либо неправильно настроенная настройка, либо в основном это происходит с серверов, работающих под управлением спам-банд (для некоторых крупных (но неосторожных) поставщиков могут быть исключения, но их можно добавить вручную в белый список). Хотя установка записи обратного PTR на VPS занимает несколько минут, это не тот случай, когда статические IP-адреса, полученные от ISP и процесс установки PTR, обычно являются PITA (их необходимо вызвать, отправить запрос после проверки что вы первоначальный владелец IP и ждете пощады от своего системного администратора, которому нужно установить обратную запись PTR, иногда через несколько часов, а иногда и дней)

Кроме того, это не критично, но ... чтобы избежать подделки электронной почты, большинство владельцев почтовых серверов используют так называемый SPF (инфраструктуру политики отправителя), которая позволяет указать наиболее быстрый метод обработки политики, если он установлен в авторизованных IP-адресах DNS, которые позволяют отправлять электронную почту. от имени домена. (можно указать авторизованные серверы по FQDN в качестве ссылки на запись MX, но это дополнительные обходы по DNS для подключения серверов). Таким образом, управление плавающим IP-адресом в DNS не будет интересным.

У меня есть провайдер, который не предлагает статические IP-адреса, так что похоже, что какая-то служба динамических доменных имен (DDNS) является решением.

Это одно решение. В качестве примера другого решения туннель IPv6 HurricaneElectric.net предоставляет статический (IPv6) адрес с подвижной конечной точкой туннеля. Конечно, в настоящее время IPv4 было бы лучше поддерживать такую ​​функциональность среди широкой общественности, но если вы можете найти готовый совместный компьютер, вы могли бы технически сделать то же самое с IPv4.

вам нужно иметь скрипт / программу, которая периодически контролирует ваш IP-адрес, и если адрес меняется, то скрипту / приложению необходимо обновить любое доменное имя, которое вы используете

Это звучит как технически надежный план.

Мне просто нужен ключ API хостинговой компании, чтобы программно настроить необходимые доменные / IP записи ... кто-то, дайте мне знать, если я ошибаюсь, и есть более простой способ).

Точные данные будут зависеть от выбора регистратором доменных имен того, как они реализуют эту функцию. Некоторые могут использовать ключ API некоторого вида, в то время как другие могут полагаться на веб-интерфейс для автоматического обновления. В старые времена некоторые интернет-провайдеры предоставляли такую ​​услугу, но полагались на ручные изменения в ответ на запросы. Так что это полностью зависит от того, кто предоставит вам услугу.

Вот в чем дело: когда вы обновляете свои записи доменного имени способом, который я описал выше, я прочитал, что для распространения по системе / миру может потребоваться несколько часов (все DNS-серверы должны быть заполнены вашим обновленным адресом). ).

Бах обман. Известно, что распространение DNS занимает минуты, часы или дни (например, 72 часа). Однако, когда люди тщательно проанализировали вещи, они обнаружили, что значительная часть этого расплывчатого времени «распространения» была просто от провайдера DNS-хостинга, который медленно обновлялся.

В лучшей теории вам просто нужно дождаться значения TTL. Хотя есть проблема с этой теорией ...

Тем не менее, некоторые платные провайдеры DDNS, на которых я смотрел, похоже, способствуют тому, чтобы изменения вступили в силу практически мгновенно (или, по крайней мере, быстрее, чем мой DIY-метод). Это правда? Я что-то пропустил?

Ладно, вот реальность: чтобы ваше обновление заработало в полную силу, вам нужно, чтобы Интернет очистил свой активный кэш старой информации.

В соответствии со стандартами кэширующие DNS-серверы могут полагаться на свой кэш в течение периода времени, указанного в значении TTL, которое вы можете настроить.

Однако реальность такова, что, по крайней мере, некоторые (и, может быть, даже большинство?) Очень крупные интернет-провайдеры, как известно, используют свои собственные кэширующие DNS-серверы, которые, как известно, просто полностью игнорируют значения TTL. Они делают это, потому что чувствуют, что если они обновляют свои кеши DNS реже, общий эффект будет меньше пропускной способности (и, возможно, немного меньше вычислительного времени).

Таким образом, любой сервер электронной почты, который использует такой DNS-сервер, может быть затронут и не сможет заметить ваши обновления, пока DNS-сервер не будет обновлен. В некоторых случаях это может занять день или два (или три?).

Однако такие эффекты становятся все более редкими. На практике большинство DNS-серверов будут очищены в течение часа или двух.

Поскольку некоторые кэши не будут обновляться так же быстро, как другие, в результате некоторые места в Интернете будут работать с новым адресом, в то время как другие места все еще будут пытаться использовать старый адрес. В течение пары часов большинство компьютеров будут отлично работать с новой информацией. (Многие из них могут работать в течение нескольких минут.)

Типичным поведением программного обеспечения электронной почты является попытка отправить электронную почту. Если это не помогло, попробуйте позже. Почтовые серверы, как правило, продолжают повторять попытки (возможно, примерно раз в час) в течение нескольких дней, прежде чем сдаться. Так что, скорее всего, произойдет то, что вы не потеряете электронную почту, но она будет немного задерживаться.

Комментарий Алекса «все динамические IP-адреса находятся в списках PBL» явно неверен, так как эта информация децентрализована (поэтому слово «все» является неточным), но верно, что многие динамические IP-адреса находятся в таких списках, и поэтому означает, что некоторые компьютеры / устройства, связанные с электронной почтой, могут отказаться от сотрудничества с вами.

Кроме того, у меня есть еще одна проблема: есть ли какие-то проблемы с безопасностью, которые я могу пропустить, имея поставщика DDNS?

Наибольшую озабоченность вызывает то, будут ли ваши обновления обрабатываться безопасным способом.

Не смогут ли они контролировать весь трафик, проходящий через доменное имя, которое они предоставляют?

Нет. Задача DNS-сервера заключается в получении запроса на доменное имя и предоставлении ответа. Традиционный типичный ответ - предоставить один или несколько IP-адресов. Возможны и другие ответы, такие как ссылка на другой DNS-сервер или имя домена (например, с CNAME) или другие данные (например, помощь в обеспечении безопасности посредством более нового стандарта DNSSec).

У кого-нибудь есть информированное мнение ...

Я хотел бы отметить, что если вы действительно хотите запустить серьезный сервер электронной почты, вы можете рассмотреть вопрос о совместимости с современными стандартами электронной почты. Это подразумевает нечто большее, чем просто соответствие техническим спецификациям SMTP и DNS. Многие люди используют крупных поставщиков, и эти крупные поставщики могут реализовать свои собственные ожидания.

Например, я знаю о почтовом сервере, который был установлен с Debian и Postgrey несколько лет назад. Postgrey - это некое программное обеспечение, которое обеспечивает защиту от спама в «серых списках». Однако используемая версия Postgrey предполагает, что когда сервер электронной почты повторяет попытку электронной почты, отправляющий сервер электронной почты при этом будет использовать тот же IP-адрес. Известно, что серверы электронной почты Office 365 повторяют попытку отправки электронной почты с другого IP-адреса, который все еще находится в подсети IPv6 / 64. Постгрей это не нравится.

Поскольку все больше и больше организаций переходят на Office 365, это становится все более и более сложной проблемой для людей, использующих этот старый сервер электронной почты. Была выпущена более новая версия программного обеспечения Postgrey, но простой способ установить такое программное обеспечение - использовать официальный репозиторий программного обеспечения для этой операционной системы. Таким образом, на практике разумным способом обновления этого программного обеспечения будет обновление операционной системы.

Существуют и другие соглашения, такие как DNS-имена, начинающиеся с «mail». что может привести к тому, что ваша установка будет оценена как более или менее заслуживающая доверия. Это может повлиять на то, относятся ли устройства к вам как к спаммеру, не отвечающему требованиям, или как к устройству, с которым стоит общаться.

Конечно, если говорить очень строго об официальных технических спецификациях, гигантские организации выполняют некоторые действия, которые отличаются от минимальных требований, требуемых документами RFC, которые содержат технические спецификации используемых протоколов. Но если вы хотите общаться с большим интернет-сообществом, есть некоторые дополнительные стандарты, которые навязываются некоторыми значительными / крупными игроками. Будьте готовы хорошо соответствовать этим стандартам или будьте готовы столкнуться с некоторыми проблемами.

Я немного расплывчато в том, что именно представляют собой все эти стандарты, потому что они могут со временем меняться.

Что касается старого сервера электронной почты, который должен будет обновить свою старую операционную систему Debian, возможно, людям все равно придется чаще обновлять свою операционную систему. Однако я хочу сказать, что настройка программного обеспечения, которая работала безупречно годами, теперь нарушена из-за более нового поведения, которое обычно используется многими адресами электронной почты. Если вы попытаетесь сделать что-то необычное, например, использовать динамический DNS на более медленном интернет-провайдере, вы, скорее всего, столкнетесь с некоторыми дополнительными проблемами на этом пути. Если вы звучите амбициозно, возможно, вы можете вложить в это усилия. Я просто предупреждаю вас, чтобы подготовиться к необходимости сделать это.

... в отношении того, какой метод (платный против DIY) может быть лучше?

Как отмечали другие, платить будет намного проще, и для большинства людей это довольно экономично. Крупные провайдеры, скорее всего, предоставят стабильный IP-адрес, на который вы можете указать свою запись MX (так, чтобы туда отправлялась электронная почта), и могут обеспечить заметно лучшую пропускную способность.

«Сделай сам» лучше для получения опыта и изучения того, как все работает, и для решения не полагаться исключительно на реализации крупных корпораций. Наличие большего контроля над вашей реализацией также позволяет значительно быстрее вносить значительные изменения.

Что «лучше», будет зависеть от ваших индивидуальных целей, поэтому я оставляю такие выводы на ваше усмотрение.

Да, возможно, вы сами можете разместить сервер DDNS (на самом деле, я сам написал одну реализацию, совместимую с DynDNS, для DJBs tinydns ). Вы можете использовать обычный клиент DynDNS на динамическом IP-адресе для обновления вашего DNS-имени, но код сервера все равно будет работать где-то со статическим IP-адресом (поскольку серверам GTLD по- прежнему необходимо указывать записи NS для вашего домена на некоторый статический IP-адрес).

Кроме того, если вы не размещаете свой DNS самостоятельно, а переносите его на стороннего поставщика DNS, то он может дать вам API для изменения IP, как вы говорите. Было бы, вероятно, распространяться медленнее, чем правильное решение DDNS, и вы, очевидно, не может быть полностью резидентным, но зависите от этой третьей стороны для DNS - служб. Они, как правило, не являются вредоносными (и в Интернете так много других проблем с безопасностью, о которых нужно больше беспокоиться), но я все равно предпочел бы решение под моим контролем (если не что иное, так как это дает мне свободу выбора поставщика DNS вместо заперт).

Я также запускаю свои собственные экземпляры сервера Календарь / Контакты / Изображения вместо передачи данных в Google или кому-то еще (используя экземпляры Nextcloud и Mediagoblin с открытым исходным кодом ). Хотя я запускаю их на «моем» VPS со статическими IP-адресами (так как это проще и обеспечивает большую пропускную способность), оба могут работать на динамическом IP-адресе, который есть у вас дома.

Кроме того, как уже упоминалось, для отправки почты вы не сможете надежно отправлять почту напрямую с этого сервера из-за черных списков PBL (иногда это будет работать, в противном случае будет потеряно или отклонено или помечено как СПАМ), но если вы ' Хорошо, переадресовав его через какой-либо другой SMTP-сервер (например, через gmail или вашего интернет-провайдера), он будет работать нормально.

Однако сервер входящей почты (MX) по динамическому IP будет довольно проблематичным. Например, если почта приходит, когда вы меняете IP-адреса, возможно, она попытается доставить на IP-адрес, который у вас был несколько минут назад, но теперь у другого клиента. В большинстве случаев это просто приведет к неудачному соединению и, следовательно, к задержке почты, но если другой клиент также запустит SMTP-сервер, почта будет доставлена ​​ему или ей или возвращена с фатальной ошибкой «получатель не существует» (которая обычно автоматически отписаться от рассылки и т. д.). Кроме того, если ваш IP не имеет обратного DNS (а иногда даже имеет, но выглядит динамично!), Некоторые почтовые серверы откажутся доставлять вам почту.

Но если какой-то процент потерянной или перенаправленной почты не является для вас проблемой, то вы обязательно можете попробовать ее.

Обратите внимание, что также возможно, что у вашего интернет-провайдера есть правила, запрещающие вам запускать службы в вашем недорогом «потребительском интернете», и он может отключить вас, если обнаружит, что вы нарушаете договор. Или они могут даже активно блокировать любые входящие подключения к вашему дому через популярные порты, такие как tcp / 25, 80, 443 и т. Д., Что может разрушить всю вашу идею самостоятельного хостинга (если вы не поменяете ISP или не перейдете в более дорогой бизнес-класс). "который также обычно имеет статические IP-адреса).

И последнее, на что следует обратить внимание, это то, что во многих типичных домашних интернет-соединениях (таких как ADSL, кабель и т. Д.) Скорость асимметрична, то есть ваша загрузка намного быстрее, чем скорость загрузки. Что плохо, если вы хотите показывать какой-то более крупный общедоступный контент, например, фотографии (вместо того, чтобы полагаться на Facebook или Google для этого и отказываться от своих прав) из своего дома, поскольку это будет медленным (не только для парня, загружающего картинки с вас, но и для всего вашего подключения к интернету).

Другие ответы уже объяснили часть DDNS.

Я собираюсь объяснить, почему вы должны использовать отдельный сервер для отправки электронной почты (поскольку краткое объяснение от @Alex является неполным).

Самое главное, вам нужна действующая обратная PTR-запись для отправки электронной почты - многие почтовые серверы будут проверять ее и возвращать вашу почту, если обратная DNS-запись для IP-адреса не соответствует домену отправителя. Эта запись предоставляется владельцем IP-адреса - например, вашим провайдером.

Теперь давайте представим, что вы каким-то образом получили действительный, динамически обновляющий обратный DNS (ха-ха). Вы все еще должны убедить всех, что ваш домен является законным, а исходящая электронная почта не является спамом.

Как объясняет @Alex, небольшие почтовые хостеры любят использовать spamhaus и другие онлайн-черные списки. Но я видел, что эти корпоративные администраторы делают много других глупостей (например, блокируют всю электронную почту, которая не приходит из Gmail / Hotmail). На самом деле, это не просто некоторые «корпоративные администраторы» - я видел, как Sourceforge блокировал регистрацию с законного корпоративного почтового домена, потому что «мы не знаем почему, но наш спам-фильтр считает, что вы плохие». Просто игнорируйте их - вы не можете оставаться совместимыми со всеми под небом.

Огромные хостеры почты в наши дни не полагаются на spamhaus или другие PBL. Они сами отслеживают вашу надежность. Репутация отправителя (по крайней мере, большая ее часть) привязана к IP. Это потому, что спаммеры часто получают загрузку от своих хостеров, поэтому они вынуждены переходить по IP-адресам. С точки зрения Gmail ваш недавно созданный домен / IP ничем не отличается от обычного спаммера. Когда вы начинаете отправлять электронную почту, ваша репутация низкая (по умолчанию вас считают спамером!). Большая часть вашей исходящей электронной почты будет помечена как спам. Когда кто-то отвечает на ваше электронное письмо или особенно помечает его как законный (нажав соответствующую кнопку в веб-интерфейсе своего почтового провайдера), доверие к вам немного возрастет. Как видите, для повышения репутации отправителя вам придется использовать один и тот же домен на одном и том же IP-адресе в течение многих лет. Это может'

После того, как вы арендуете VPS у хостера, поддерживать домашний сервер на динамическом IP станет намного проще. Вы сможете использовать этот VPS в качестве собственного DDNS-сервера с чрезвычайно низким TTL. Вы можете даже отказаться от DNS и использовать другие средства (например, перенаправление HTTP) для обработки изменения IP-адреса вашего домашнего ящика. Вы по-прежнему сможете получать электронную почту прямо на свой домашний ящик - опционально с резервным VPS, когда ваш домашний IP-адрес не работает или недавно был изменен.

Это можно сделать на CPanel с помощью PHP-скрипта - просто убедитесь, что вы правильно установили свою безопасность (HTTPS и т. Д.) И прочитали ToS у своего хостинг-провайдера.

https://www.shadowsplace.net/1231/internet/use-whm-cpanel-as-dynamic-dns-service/

Если вы имитируете схему URL популярных провайдеров динамического DNS, вы можете использовать встроенные функции динамического DNS в оборудовании «черного ящика» (например, NAS, IP-камера и т. Д.) И заставить свой маршрутизатор вместо этого перенаправить запрос на ваш хост. ,

Мое скромное дополнение к сервису dyndns, которое бесплатно и работает во многих системах (в том числе на маршрутизаторах) - freedns.afraid.org

Я использую его, чтобы мой домашний IP-адрес указывал на какое-то выбранное доменное имя, которое список предлагает бесплатно. Мой rPi выполняет скрипт «curl», и он хорошо работает для меня (ну, поскольку я не использую почтовый сервер, это не проблема, если 10 минут не доступны).

У меня была такая же идея запустить почтовый сервер и дома, но провайдер заблокировал трафик, поэтому пришлось отказаться от него :-(

С уважением.