Webhotelli -> kotipalvelin (oma domain)

[JuhaH]

Minulla on ollut jo vuosia laadukas webhotellipalvelu + domain (.net). Käyttö on kuitenkin ollut todella vähäistä ja mielelläni lopettaisin kuukausimaksujen maksamisen. Tarve on lähinnä sähköpostiosoitteen uudelleenohjaus, eli en haluaisi menettää domainiin liitettyä sähköpostiosoitettani. Kotisivuja minulla ei ole, ja tiedonsiirto/-jako tapahtuu googlen ja onedriven pilvipalveluiden kautta ja lisäksi Asuksen reitittimen dyndns-palvelun kautta (reitittimessä kiinni usb-kovalevy). Netti tulee Elisaviihteen kautta.

Mikä olisi järkevin tapa hoitaa tuo pelkkä sähköpostiosoitteen ylläpito ja domainin omistus? Onko domainin liikenne mahdollista ohjata Elisan laajakaistaliittymään johon ei saa julkista IP:tä. Allekirjoittaneen taidot riittäisivät varmaan jonkunlaisen sähköpostipalvelimen rakenteluun kotiserverille. Kotiserverikin löytyy, mutta olemattoman käytön takia se ei ole ollut kytkettynä vähään aikaan. Tämä pyörii työn Asuksen dyndns domainin takana. Henkilökohtaisen pilvipalvelunkin rakentelu vähän kiinnostaisi.

 

[jarif]

Itse olen toteuttanut tällaisen näin:

- dy.fi -palvelusta ilmainen domain-nimi fredriksson.dy.fi
- omalle serverille kotona dyfi-update service, joka päivittää fredriksson.dy.fi IP-osoitteen kulloiseenkin dynaamiseen IP:heni
- oma domain vuosimaksulla
- oman domainin DNS-hallinta CloudFlaressa (ilmainen, jos ei osta kelloja ja pillejä)
- CloudFlareen DNS-määritys bitwell.fi MX smtp.bitwell.fi 10
- CloudFlareen DNS-määritys smtp.bitwell.fi CNAME fredriksson.dy.fi

ja nyt DNS-osoite smtp.bitwell.fi saa oman dynaamiseni IP-osoitteen ja reitittää bitwell.fi SMTP-liikenteen sinne.

Kaikki ilmaista paitsi se julkinen .net -domain.

 

[jarif]

Mulla siis juurikin email-palvelin kotona Raspberry Pi:ssä.

- Postfix
- Dovecot IMAP
- Roundcube WebMail
- Apache SpamAssassin roskapostifiltteri
- ClamAV -virusskanneri

Hyvin toimii.

 

[jarif]

Ja ulkoa "ssh fredriksson.dy.fi" ja olen kotona!

 

[jarif]

Itse asiassa EN ole toteuttanut sitä noin, mutta tuota voisi kokeilla. Tuossa on se ongelma, että postipalvelimet on varsin kranttuja ja luultavasti ainakin herjaa lokeillensa siitä että palvelimen fredriksson.dy.fi PTR-tietue DNS:ssä on jotain muuta kuin fredriksson.dy.fi (Reverse DNS-osoite). Mutta mulle tulee jarif@fredriksson.dy.fi maili OK eli ei se siihen pitäisi kaatuakaan. Kyllä tuo saattaa toimia.

bitwell.fi -mailit olen toteuttanut niin, että mulla Hetzner.de -palvelussa virtuaalikone kiinteällä IP:llä ja se on mail.bitwell.fi

Kotiraspista on pysyvä ssh-tunneli tuonne mail.bitwell.fi -koneelle ja mail.bitwell.fi vastaanottaa mun postit bitwell.fi -domainille ja välittää ne localhostiin portti 10025 joka on mun ssh-tunnelin kuuntelija. Näin postit päätyy kotiraspiin ja ne on siellä.

Tässä tulee 4 EUR/kk kustannus tuon Hetznerin osalta. Halvemmalla saisi vastaavat esim Time4VPS -palvelusta.

 

[olkitu]

Ehkä tuossa virityksessä ei ole järkeä... Sähköpostin saa varmaan lähes ilmaisella ohjauksella vaikka Gmailiin Mailgun-palvelun avulla jos siihen luottaa.

Nimipalvelut tosiaan ilmaiseksi CloudFlaresta vaikka käyttään tai Hurricane Electric Hosted DNS josta saa DynDNS:nkin. CloudFlaressakin se DynDNS toimii myös mutta siinä voi joutua säätämään kun perusclientti ei sitä tue suoraan.

Sähköpostipalvelin tosiaan kannattaa olla kiinteä IPv4-osoite (ja jos haluaa IPv6-osoitteella) eikä se saisi vaihdella paljon. Lisäksi tosiaan Reverse-DNS sillä aika monet palvelimet hylkäävät meilit jotka eivät lähde sitten palvelimelta jolla reverse DNS joka täsmää palvelimen nimeen. Toki voihan tätä kiertää lähettämällä jokun kolmannenosapuolen palvelun kautta tai palvelimen.

Mutta yleisesti kokonaisia webhotelleja saa pari euroa kuukausihinnalla tai jo naurettavilla vuosihinnoilla että mikäli ei ole omaa harrastus intoa en lähtisi sähköpostipalveluita itse rakentamaan kotiin. Varsinkaan kun TCP portti 25 ulospäin on myös suljettuna.

 

[Agent_007]

Henk. koht jättäisin sähköpostipalvelimen tekemättä tuollaisena purkkavirityksenä, varsinkin jos tulee jotain ns. kriittistä postia kyseisiin sähköpostiosoitteisiin tai tarvitsee lähettää massaposteja esim. asiakkaille.

Jännä kyllä, että nykyään toi sähköposti on irtopalveluista ylivoimaisesti kallein, vaikkakin markkinoilla on muutama ilmainen toimija (kuten Yandex ja Migadu).

Itsellä on suunnitelmassa luopua myös webhotelleista kokonaan, ja siirtyä CloudFlare (domain ja CDN) + S3 + Yandex -yhdistelmään.

 

[Pertti Kosunen]

Jännä kyllä, että nykyään toi sähköposti on irtopalveluista ylivoimaisesti kallein, vaikkakin markkinoilla on muutama ilmainen toimija (kuten Yandex ja Migadu).

Se taitaa vaatia eniten ylläpitoa varsinkin isommassa mittakaavassa.

Suosituimpien sähköpostipalvelimien (mm. Exim, Postfix, Sendmail) virittäminen spämminsuodattimineen on aikaa vievää puuhaa, nuo jättää nykyään mieluusti muiden hoidettavaksi. Jos olisi pakko laittaa, niin lähtisin OpenSMTPD:llä liikenteeseen, se on vähän helpommin säädettävä.

 

[dataaja95]

Itse asiassa EN ole toteuttanut sitä noin, mutta tuota voisi kokeilla. Tuossa on se ongelma, että postipalvelimet on varsin kranttuja ja luultavasti ainakin herjaa lokeillensa siitä että palvelimen fredriksson.dy.fi PTR-tietue DNS:ssä on jotain muuta kuin fredriksson.dy.fi (Reverse DNS-osoite). Mutta mulle tulee jarif@fredriksson.dy.fi maili OK eli ei se siihen pitäisi kaatuakaan. Kyllä tuo saattaa toimia.

bitwell.fi -mailit olen toteuttanut niin, että mulla Hetzner.de -palvelussa virtuaalikone kiinteällä IP:llä ja se on mail.bitwell.fi

Kotiraspista on pysyvä ssh-tunneli tuonne mail.bitwell.fi -koneelle ja mail.bitwell.fi vastaanottaa mun postit bitwell.fi -domainille ja välittää ne localhostiin portti 10025 joka on mun ssh-tunnelin kuuntelija. Näin postit päätyy kotiraspiin ja ne on siellä.

Tässä tulee 4 EUR/kk kustannus tuon Hetznerin osalta. Halvemmalla saisi vastaavat esim Time4VPS -palvelusta.

Vanhaan vastaan, mutta voisitko kertoa tuosta konfiguraatiostasi lisää tai heittää jonkun esimerkkikonffin miten homma siis toimii, jos mail.bitwell.fi vastaanottaa sähköpostisi pyöriikö sinulla postfix myös virtuaaliserverillä vaiko hoitaako tämän himassa oleva postfix ja virtuaaliserveri tarjoaa vain kiinteän ip:n tähän tarkoitukseen, miten olet määrittänyt postfixin kuuntelemaan tuota ssh-:n tunnelin porttia.

 

[ztec]

Esim näin:

ssh -N -R *:25:localhost:25 se-serveri-osoite.example -o ExitOnForwardFailure=yes

Elikkäs tuo SSH-putkittaa etäkoneelta portin 25 paikalliseen porttiin 25. Tosin muistaakseni kyllä kuluttajliittymissä sisäänpäin tuleva 25 on auki muutenkin (jos on julkinen IP ylipäätään olemassa), joten postit voi ottaa DDNS:llä suoraan, kuten tuossa sanottiinkin. Sama homma toimii tietysti kaikille muillekin porteille tms. Sekä toiseen suuntaan -L:llä joka ohjaa sitten paikallisen portin johonkin etäpisteeseen putken kautta. Mutta tietysti jos kone on esim. pakko-NAT:n takana, eikä 25:n onnistu suoraan, niin tämä on toimiva ratkaisu. Noita portiohjauksia voi sitten pistää useammankin tuohon samaan syssyyn. Jos putkittaa SSH:ta IMAPS:ia, HTTPS:ää tms.

 

[takomo]

Suosituimpien sähköpostipalvelimien (mm. Exim, Postfix, Sendmail) virittäminen spämminsuodattimineen on aikaa vievää puuhaa, nuo jättää nykyään mieluusti muiden hoidettavaksi. Jos olisi pakko laittaa, niin lähtisin OpenSMTPD:llä liikenteeseen, se on vähän helpommin säädettävä.

Kommentoinpa tähän vanhaan omia kokemuksia, kun oma postfix-palvelin on pyörinyt kohta kymmenen vuotta. Tämä alkoi siitä, kun ulkomailla nettioperaattori ei tarjonnut IMAPS-sähköpostia mutta tarjosi kiinteän IP:n ja osoitteelle nimen. Siispä oma postfix-(spamassassin-clamav)-dovecot+fail2ban -palvelin virtuaalikoneelle kotipalvelimelle. Kyllä siinä oma konffaaminen oli, mutta sen jälkeen se toimi kuin junan vessa. Jos linuxin /etc-tiedostojen puukottaminen on tuttua, niin ei mitenkään tekemätön paikka.

Kun nettiyhteys on muuttunut, palvelin siirtyi Hetznerin minipalvelimelle, joka maksaa n. 5€/kk ja osoitteeksi on tullut oma .net-domain, joka maksaa $15/vuosi. SSL-sertifikaattikin on "oikea" PositiveSSL, joka maksaa n. 5€/vuosi. Isoin ylläpitovaiva on SSL-sertifikaatin uusiminen. Oma palvelin, oma domain ja oikea SSL-sertifikaatti maksaa siis alle 100€ vuodessa.

Spämmisuodattimet jätin konffaamatta - eikä niille tunnu olevan tarvettakaan. Spämmiä tulee erittäin vähän. Käytössä on kyllä postfix'in villikorttiosoitteet, eli anything@omadomain.net menee kaikki samaan postilaatikkoon. Jos johonkin pseudo-osoitteeseen alkaisi tulla spämmiä, sen voisi käsitellä Thunderbirdissä helposti. Fail2ban sen sijaan on hyvinkin aktiivinen... nakuttelijoita riittää.

Paketti toimii muuten hyvin mutta parin viime vuoden aikana Microsoftin palvelimet on alkaneet hylätä postit "550 5.7.511 Access denied, banned sender"-viestillä. Millähän tämän saisi ehjättyä?

 

[Agent_007]

Jos käyttää samaa IP-osoitetta palvelimella jonkun muun ei niin rehellisen toimijan kanss niin tuo voi käydä. Microsoftilla on omat ohjeet tuon korjaamiseksi, mutta tuonkin jälkeen se reputation saattaa olla sen verta kehno, että mailit saattavat esim. päätyä automaattisesti roskapostikansioon

Remove yourself from the blocked senders list and address 5.7.511 Access denied errors - Microsoft Defender for Office 365

Learn how to resolve 5.7.606-649 Access denied, banned sending IP errors, and what to do for 5.7.511 Access denied, banned sender errors for sending mail to Microsoft 365.

learn.microsoft.com

 

[takomo]

Jos käyttää samaa IP-osoitetta palvelimella jonkun muun ei niin rehellisen toimijan kanss niin tuo voi käydä. Microsoftilla on omat ohjeet tuon korjaamiseksi, mutta tuonkin jälkeen se reputation saattaa olla sen verta kehno, että mailit saattavat esim. päätyä automaattisesti roskapostikansioon

Remove yourself from the blocked senders list and address 5.7.511 Access denied errors - Microsoft Defender for Office 365

Learn how to resolve 5.7.606-649 Access denied, banned sending IP errors, and what to do for 5.7.511 Access denied, banned sender errors for sending mail to Microsoft 365.

learn.microsoft.com

Kyse on omasta, kiinteästä IP-osoitteesta. Microsoftin ohjeet eivät johda mihinkään eikä Microsoft kerro mitään perustetta blokkaamiselle.

 

[SamCer]

Kyse on omasta, kiinteästä IP-osoitteesta. Microsoftin ohjeet eivät johda mihinkään eikä Microsoft kerro mitään perustetta blokkaamiselle.

Onko domainin SPF, DKIM ja DMARC kunnossa?

 

[Agent_007]

Kyse on omasta, kiinteästä IP-osoitteesta. Microsoftin ohjeet eivät johda mihinkään eikä Microsoft kerro mitään perustetta blokkaamiselle.

Kävit siis Delist IP - Delist IP tuon lävitse?

 

[takomo]

Onko domainin SPF, DKIM ja DMARC kunnossa?

Nyt pitäisi olla kaikki kunnossa testereiden mukaan. Eihän näitä missään vaadita vaan ovat vapaaehtoisia.

Kävit siis Delist IP - Delist IP tuon lävitse?

Kyllä, ajan mittaan useampaan kertaan.
Ensinnäkin delist IP väittää, että osoite ei edes olisi blokattu, ja palvelu ei edes yritä väittää ratkaisevansa "Banned sender"-ongelmaa:
"The IP address in question is not currently blocked in our system.
...
If you're trying to delist a banned or blocked sender, please open a support ticket from your tenant."

Mihinköhän tuo "support ticket" pitäisi tehdä, kun en ole Microsoftin asiakas?

Uutena ominaisuutena Microsoft on alkanut bouncata myös delist-mailit. Tässäpä esimerkki mail.log:sta (osoitteet editoitu):

Spoileri

<tässä palvelin ottaa viestin vastaan>
Jun 12 20:58:17 systemail postfix/smtps/smtpd[12713]: connect from ...fi[xxx.yyy.zzz.ttt]
Jun 12 20:58:17 systemail postfix/smtps/smtpd[12713]: Anonymous TLS connection established from ...fi[xxx.yyy.zzz.ttt]: TLSv1.2 with cipher ECDHE-RSA-AES128-GCM-SHA256 (128/128 bits)
Jun 12 20:58:18 systemail postfix/smtps/smtpd[12713]: 13CDB60097: client=...fi[xxx.yyy.zzz.ttt], sasl_method=PLAIN, sasl_username=abcdef
Jun 12 20:58:18 systemail postfix/cleanup[12719]: 13CDB60097: message-id=<d33b2a37-f662-efd3-a375-d63957b9806d@omadomain.net>
Jun 12 20:58:18 systemail postfix/qmgr[25300]: 13CDB60097: from=<abcdef@omadomain.net>, size=5590, nrcpt=1 (queue active)
Jun 12 20:58:18 systemail postfix/smtps/smtpd[12713]: disconnect from ...fi[xxx.yyy.zzz.ttt] ehlo=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=6
Jun 12 20:58:18 systemail dovecot: imap(abcdef): Logged out in=5462 out=806

<palvelin yrittää lähettää viestin microsoftille>
Jun 12 20:58:19 systemail postfix/smtp[12720]: Untrusted TLS connection established to microsoft-com.mail.protection.outlook.com[104.47.54.36]:25: TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits)
Jun 12 20:58:19 systemail postfix/smtp[12720]: 13CDB60097: to=<delist@microsoft.com>, relay=microsoft-com.mail.protection.outlook.com[104.47.54.36]:25, delay=1.9, delays=0.15/0.02/1.3/0.47, dsn=5.7.511, status=bounced (host micr\
osoft-com.mail.protection.outlook.com[104.47.54.36] said: 550 5.7.511 Access denied, banned sender[aaa.bbb.ccc.ddd]. To request removal from this list please forward this message to delist@microsoft.com. For more information ple\
ase go to  http://go.microsoft.com/fwlink/?LinkId=526653. AS(1410) [..............Eop-namzz.prod.protection.outlook.com 2023-06-12T18:58:......Z ................] (in reply to RCPT TO command))

<vastaus palautetaan lähettäjälle>
Jun 12 20:58:20 systemail postfix/cleanup[12719]: 0FE1960099: message-id=<20230612185820.0FE1960099@omadomain.net>
Jun 12 20:58:20 systemail postfix/qmgr[25300]: 0FE1960099: from=<>, size=8811, nrcpt=1 (queue active)
Jun 12 20:58:20 systemail postfix/bounce[12721]: 13CDB60097: sender non-delivery notification: 0FE1960099
Jun 12 20:58:20 systemail postfix/qmgr[25300]: 13CDB60097: removed
Jun 12 20:58:20 systemail postfix/local[12722]: 0FE1960099: to=<abcdef@localhost>, orig_to=<abcdef@omadomain.net>, relay=local, delay=0.03, delays=0.01/0.02/0/0, dsn=2.0.0, status=sent (delivered to mailbox)

 

[Agent_007]

Mihinköhän tuo "support ticket" pitäisi tehdä, kun en ole Microsoftin asiakas?

Tämä sama ongelma on monen palvelun kanssa. Microsoftin kohdalla Microsoft 365:sta kuukauden trial ja sitten tiketin avaaminen voi toimia, mutta siinä pitää rekisteröityä, ja mikään ei takaa, että vastausta saa.

 

[ztec]

If you're trying to delist a banned or blocked sender, please open a support ticket from your tenant."

Mä kävin tuon prosessin läpi varmaan 20 kertaa, sen jälkeen ei oo ollut enää tuota ongelmaa. Niillä on selvästi prosessissa toi, että kaikki palvelimet blokataan, jos niitä ei ruinata toistuvasti avattavaksi.