Estou tentando estabelecer um servidor pessoal de email / calendário em minha casa (sim, ouvi dizer que é difícil, é muito problemático e assim por diante, mas ainda assim gostaria de tentar). Eu tenho um ISP que não oferece endereços IP estáticos, então parece que algum tipo de serviço de nome de domínio dinâmico (DDNS) é a solução.
No entanto, estou pesquisando e encontrei pelo menos alguns recursos online que explicam que você pode fazer o DDNS: você precisa de um script / programa que monitore seu endereço IP periodicamente e se o endereço mudar , o script / aplicativo precisa atualizar o nome de domínio que você está usando para seus servidores domésticos (por acaso tenho um domínio estacionado com um provedor de hospedagem para essa eventualidade e, pelo que entendi, só preciso da chave API de a empresa de hospedagem, a fim de ajustar programaticamente os registros de domínio / IP necessários ... alguém me avise se eu estiver errado e se há uma maneira mais simples).
Aqui está a coisa: quando você atualiza seus registros de nome de domínio da maneira descrita acima, li que pode levar várias horas para se propagar pelo sistema / mundo (todos os servidores DNS precisam ser repovoados com o seu endereço atualizado ) No entanto, vários provedores pagos de DDNS que eu estou procurando parecem promover sua capacidade de fazer com que a mudança entre em vigor quase instantaneamente (ou pelo menos, mais rápido que o meu método DIY). Isso é verdade? Há algo que eu perdi?
Além disso, tenho outra preocupação: há algum problema de segurança que eu possa estar esquecendo de ter um provedor de DDNS? Eles não conseguirão monitorar todo o tráfego que flui através do nome de domínio que fornecem? Alguém tem uma opinião informada sobre qual método (pago versus DIY) pode ser melhor?
Agradeço seu tempo ... obrigado!
fonte
Respostas:
Você provavelmente não terá muita sorte com a parte do correio. Veja a resposta de @ Alex.
Praticamente isso.
Sim, embora se a empresa apenas fornecer um serviço genérico de "hospedar tudo", talvez não tenha nenhuma API de gerenciamento de DNS (com foco na Web e no correio) e talvez você precise mover o domínio para outro lugar.
Não. Somente os sistemas do seu provedor de hospedagem DNS precisam ser atualizados. O resto do mundo não mantém um registro permanente - apenas armazena em cache os resultados de pesquisas individuais, pela duração indicada no campo "TTL" (Time To Live) de cada (sub) domínio.
Eu acho que eles permitem configurar um TTL muito baixo nos domínios dinâmicos (até alguns segundos), o que significa que ele sairá de todos os caches muito rapidamente, às custas do próprio provedor de DDNS receber muito mais solicitações (maior carregar nos servidores e bancos de dados DNS e uma desculpa para cobrar mais). Isso por si só não é algo especial e pode ser implementado com qualquer método DIY.
Não. O servidor DNS fornece apenas um endereço (como uma lista telefônica) e não está envolvido em nenhuma outra comunicação.
(A menos que o provedor realmente tente retornar dados falsos , o que reduziria consideravelmente o TTL da empresa no momento em que os sites de notícias soubessem.)
Dito isto, preste atenção em como a API funciona; é claro que você não pode ter certeza de que o serviço não possui vulnerabilidades, mas se (por exemplo) a API executar sobre HTTP não criptografado e transmitir a chave da API à vista, isso não é algo em que você deseja confiar.
fonte
Se você não possui um IP estático, deve esquecer o servidor de email se optar pela solução DDNS, a maioria dos servidores de email rejeitaria seus emails ou marcaria os emails com o nível mais alto de spam, pois todos os IPs dinâmicos estão nas listas de PBL . ( Você pode ver mais detalhes na seção PS: por que não é uma boa ideia ter um servidor de e-mail com IP residencial, mas ainda há uma maneira de contornar o problema usando o VPS barato intermediário (servidor virtual privado) )
Em relação ao "DDNS você mesmo" - um bom registrador de domínio que fornece atualizações gratuitas de IP por meio de sua API, tudo o que seu programa precisa fazer é verificar periodicamente o IP público e, se houver, envie um novo IP ao registrador que atualizará o registro A (AAAA). BTW, a maioria dos roteadores atuais já possui esse recurso (preste atenção ao IP e relate ao provedor DDNS)
Depende do provedor DNS, registradores respeitosos permitem definir TTL (tempo que informa a outras pessoas com que frequência o IP pode ser alterado) igual a 5 minutos. Nem todos os servidores DNS intermediários de encaminhamento a seguir são seguidos para evitar alto carregamento, mas geralmente mesmo que não sigam o TTL do proprietário do domínio, isso raramente dura mais que algumas horas. A maioria dos encaminhadores atualizará seus caches como você definiria no domínio TTL.
Ficar online já é possível problema de segurança. Isole seu servidor da rede local para evitar convidados indesejados.
Você jogará seu tempo e dinheiro no ar se quiser usar o DDNS. Hoje em dia você pode obter um VPS (servidor virtual privado) decente por 3 a 4 dólares por mês. Embora o site (se você planeja ter um) possa ser hospedado diretamente no VPS, já que geralmente não ocupa muito espaço, o servidor de email pode ser problemático se você espera executar o servidor por um longo tempo ou esperar um alto volume de e-mails. Geralmente, 20 GB de espaço são suficientes para pequenas empresas de até 3-5 anos, mesmo sem excluir e-mails antigos. Mesmo se você espera uma quantidade enorme de e-mails, pode usar
nginx
recurso para tráfego de e-mail proxy para sua casa. Assim, você pode hospedar o servidor de email principal em casa com IP dinâmico e o VPS (com IP estático) fará proxy do tráfego de entrada / saída na sua casa. Você pode usar seu próprio VPS nessa configuração sem problemas, pois não há necessidade de se preocupar com a propagação do DNS, o domínio sempre estará apontando para o IP estático do VPS. Você ainda precisa gerenciar o relatório de suas alterações de IP domésticas para o VPS, para que o VPS saiba onde o tráfego proxy, mas é muito mais fácil, basta consultar um URL no seu VPS e analisar os logs do seu IP de entrada e ajustar o nginx, para sempre saber onde você está.PS
Percebo que este tópico é interessante para superusuários, portanto, acrescentaria um pouco mais de detalhes.
As listas PBL mantêm o banco de dados de IPs que geralmente são IPs dinâmicos; portanto, o PBL ajuda muito os operadores de servidores de email. Não é um problema técnico ou o ISP é um vilão para não permitir o servidor de email em IPs dinâmicos; o problema é que a maior parte do tráfego de email de IPs dinâmicos é proveniente de computadores infectados que enviam spam ou malware em grande volume que podem receber DDoS facilmente servidor se um é um alvo. Alguns provedores de serviços de Internet estão bloqueando as conexões de saída para a porta 25 para impedir a disseminação de malware e DDoS , mas outros não. Praticamente todos os servidores de e-mail corporativo simplesmente eliminam as conexões que vêm da lista PBL que reduzem significativamente o spam.
A segunda solução antispam eficaz é eliminar conexões de IPs que não possuem registro PTR reverso no DNS e não correspondem ao registro DNS do domínio. Mesmo que as conexões venham de um IP estático que não tenha registro PTR, geralmente é uma configuração mal configurada ou principalmente de servidores executados por grupos de spam (podem existir exclusões para alguns provedores grandes (mas descuidados)), mas podem ser adicionados manualmente na lista de permissões). Embora seja necessário alguns minutos para definir o registro PTR reverso no VPS, não é possível que os IPs estáticos obtidos do ISP e o processo para definir o PTR sejam geralmente um PITA (é necessário chamá-los, enviar um ticket após a verificação que você é o proprietário original do IP e aguarda a misericórdia do administrador de sistemas que precisa definir o registro PTR reverso, às vezes em algumas horas, mas às vezes em dias)
Além disso, não é crítico, mas ... para evitar a falsificação de e-mails, a maioria dos proprietários de servidores de e-mail usa o chamado SPF (framework de política de remetente) que permite especificar o método mais rápido de processamento de políticas, se houver um definido em endereços IP autorizados do DNS que permitam enviar e-mails em nome do domínio. (pode-se especificar servidores autorizados pelo FQDN como referência ao registro MX, mas viagens extras de ida e volta pelo DNS para conectar servidores) Portanto, o gerenciamento de IP flutuante no DNS não seria divertido.
fonte
Essa é uma solução. Como exemplo de outra solução, um túnel IPv6 do HurricaneElectric.net fornece um endereço estático (IPv6) com um ponto final móvel do túnel. Concedido, neste momento, o IPv4 seria melhor para oferecer suporte a essa funcionalidade com o público em geral, mas se você encontrar um computador cooperativo disposto, tecnicamente também poderá fazer isso com o IPv4.
Isso soa como um plano tecnicamente sólido.
Os detalhes exatos dependeriam da escolha do registrador de nomes de domínio de como eles implementam esse recurso. Alguns podem usar uma chave de API de algum tipo, enquanto outros podem confiar em uma interface da Web para atualizações automáticas. Antigamente, alguns provedores de serviços de Internet forneciam esse serviço, mas dependiam de alterações manuais em resposta a solicitações. Portanto, cabe inteiramente a quem fornecer o serviço.
Bah farsa. Sabe-se que a propagação do DNS leva minutos, horas ou dias (por exemplo, 72 horas). No entanto, quando as pessoas analisam muito as coisas, descobrem que grande parte desse tempo vago de "propagação" era simplesmente devido à demora na atualização de um provedor de hospedagem DNS.
Em uma teoria melhor, você só precisa aguardar o valor TTL. Embora exista um problema com essa teoria ...
Ok, aqui está a realidade: para que sua atualização tenha efeito total, é necessário que a Internet libere seu cache ativo de informações antigas.
De acordo com os padrões, os servidores DNS em cache podem confiar em seu cache pelo período de tempo especificado por um valor TTL que você pode configurar.
No entanto, a realidade é que pelo menos alguns (e talvez até a maioria?) ISPs muito grandes executam seus próprios servidores DNS em cache, que ignoram completamente os valores TTL. Eles fazem isso porque sentem que, se atualizarem seus caches DNS com menos frequência, o efeito geral será menos largura de banda (e talvez menos tempo de computação).
Portanto, qualquer servidor de email que dependa desse servidor DNS pode ser afetado e não conseguir perceber suas atualizações até que o servidor DNS seja atualizado. Em alguns casos, isso pode levar um dia ou dois (ou três?).
No entanto, esses efeitos se tornaram cada vez mais raros. Na prática, a maioria dos servidores DNS terá seus caches liberados dentro de uma ou duas horas.
Como alguns caches não serão atualizados tão rapidamente quanto outros, o efeito é que alguns locais da Internet funcionarão com o novo endereço, enquanto outros ainda tentarão usar o endereço antigo. Dentro de algumas horas, a maioria dos computadores funcionará bem com as novas informações. (Muitos, muitos deles podem funcionar em minutos.)
O comportamento típico do software de email é tentar enviar o email. Se isso falhar, tente novamente mais tarde. Os servidores de email normalmente tentam repetir (talvez uma vez por hora) por dias antes de desistir. Portanto, o que provavelmente acontecerá é que você não perderá o e-mail, mas isso será um pouco atrasado.
O comentário de Alex "todos os IPs dinâmicos estão em listas PBL" está claramente errado, pois essas informações são descentralizadas (portanto, a palavra "todos" é imprecisa), mas é verdade que muitos IPs dinâmicos estão nessas listas e, portanto, isso pode significa que alguns computadores / dispositivos relacionados ao email podem decidir não cooperar com você.
A maior preocupação será se suas atualizações são tratadas de maneira segura.
Não. O trabalho do servidor DNS é receber uma solicitação de um nome de domínio e fornecer uma resposta. A resposta típica tradicional é fornecer um ou mais endereços IP. Outras respostas são possíveis, como a referência a outro servidor DNS ou nome de domínio (por exemplo, com um CNAME) ou outros dados (por exemplo, ajudando a fornecer segurança através do novo padrão DNSSec).
Gostaria de salientar que, se você realmente deseja executar um servidor de email sério, considere estar em conformidade com os padrões modernos de email. Isso envolve mais do que apenas estar em conformidade com as especificações técnicas de SMTP e DNS. Muitas pessoas usam grandes fornecedores, e esses grandes fornecedores podem implementar suas próprias expectativas.
Por exemplo, eu conheço um servidor de email configurado com o Debian e Postgrey anos atrás. O Postgrey é um software que fornece tratamento anti-spam com "lista cinza". No entanto, a versão do Postgrey usada supõe que, quando um servidor de email tentar novamente o email, o servidor de email remetente usará o mesmo endereço IP ao fazê-lo. Sabe-se que os servidores de email do Office 365 tentam enviar novamente um email de um endereço IP diferente que ainda esteja dentro de uma sub-rede IPv6 / 64. Postgrey não gosta disso.
À medida que mais e mais organizações mudaram para o Office 365, isso se tornou cada vez mais um problema para as pessoas que usam esse servidor de email antigo. Uma versão mais recente do software Postgrey foi lançada, mas a maneira mais fácil de instalar esse software é usar o repositório oficial de software para esse sistema operacional. Portanto, na prática, a maneira inteligente de atualizar esse software será atualizar o sistema operacional.
Existem outras convenções, como nomes de DNS que começam com "email". o que pode fazer com que sua configuração seja considerada mais ou menos confiável. Isso pode afetar se os dispositivos o tratam como um spammer não compatível ou como um dispositivo com o qual vale a pena se comunicar.
Certamente, talvez ao falar estritamente sobre especificações técnicas oficiais, as organizações gigantes estejam executando algumas ações diferentes dos requisitos mínimos exigidos pelos documentos RFC que contêm as especificações técnicas dos protocolos em uso. Mas se você deseja se comunicar com a comunidade maior da Internet, existem alguns padrões adicionais impostos por alguns players significativos / grandes. Esteja preparado para atender bem a esses padrões ou para encontrar alguns problemas.
Estou sendo um pouco vago sobre exatamente quais são todos esses padrões, porque eles podem mudar com o tempo.
Com relação ao antigo servidor de E-Mail que precisará atualizar seu antigo sistema operacional Debian, talvez as pessoas devam estar atualizando seu sistema operacional com mais frequência de qualquer maneira. O que estou dizendo, no entanto, é que uma configuração de software que funcionou perfeitamente bem por anos agora está quebrada, devido a um comportamento mais recente que é comumente usado por muitos endereços de email. Se você tentar fazer coisas incomuns, como usar o DNS dinâmico em um provedor de Internet mais lento, é mais provável que você encontre alguns problemas extras ao longo do caminho. Como você parece ambicioso, talvez possa investir os esforços nisso. Só estou avisando para que você se prepare para fazer isso.
Como outros já apontaram, o pagamento será muito mais fácil e é bastante econômico para a maioria das pessoas. As provisões grandes provavelmente fornecerão um endereço IP estável para o qual você pode apontar o seu registro MX (para que o e-mail chegue lá) e pode fornecer uma largura de banda notavelmente melhor.
O DIY é melhor para ganhar experiência e aprender como as coisas funcionam e optar por não confiar apenas nas implementações das principais corporações. Ter mais controle sobre sua implementação também pode permitir que você faça alterações personalizadas significativas muito mais rapidamente.
O que é "melhor" dependerá de seus objetivos individuais, por isso deixo essas conclusões com você.
fonte
Sim, é possível hospedar o servidor DDNS por conta própria (na verdade, eu escrevi uma implementação compatível com DynDNS para DJBs tinydns por conta própria há algum tempo). Você pode usar o cliente DynDNS comum no IP dinâmico para atualizar seu nome DNS, mas o código do servidor ainda funcionaria em algum lugar com IP estático (como os servidores GTLD ainda precisam apontar os registros NS do seu domínio para algum IP estático).
Além disso, se você não hospeda seu DNS, mas o transfere para um provedor DNS de terceiros, eles podem estar fornecendo a API para alterar o IP, como você diz. Provavelmente, a propagação seria mais lenta que a solução DDNS adequada e você obviamente não seria totalmente auto-hospedado, mas dependeria dessa terceira parte para os serviços DNS. Eles geralmente não são maliciosos (e há muitos outros problemas de segurança na Internet para se preocupar), mas eu ainda preferiria a solução sob meu controle (se nada mais, pois isso me dá liberdade para escolher meu provedor de DNS em vez de sendo trancado).
Também executo minhas próprias instâncias de servidor Calendário / Contatos / Imagens em vez de entregar dados ao google ou a outra pessoa (usando instâncias de código aberto do Nextcloud e do Mediagoblin ). Enquanto eu os executo no "meu" VPS com IPs estáticos (como é mais fácil e fornece mais largura de banda), ambos podem ser executados no IP dinâmico que você possui em casa.
Além disso, como já mencionado, para o envio de e-mails, você não poderá enviar e-mails com segurança diretamente desse servidor devido a listas negras de PBL (às vezes funcionará, será perdido ou devolvido outras vezes ou marcado como SPAM), mas se você ' re OK através do encaminhamento através de outro servidor SMTP (como do gmail ou do seu provedor de serviços de Internet), ele funcionará bem.
No entanto, o servidor de mensagens recebidas (MX) no IP dinâmico seria bastante problemático. Por exemplo, se o correio chegar enquanto você estiver alterando os IPs, é possível que ele tente entregar o IP que você tinha alguns momentos atrás, mas agora algum outro cliente o fez. Na maioria dos casos, isso simplesmente resultaria em falha na conexão e, portanto, atrasaria o correio, mas se outro cliente também executasse o servidor SMTP, o correio seria entregue a ele ou retornado com o erro fatal "o destinatário não existe" (o que geralmente ocorre cancele automaticamente a sua inscrição nas listas de discussão, etc). Além disso, se o seu IP não possuir DNS reverso (ou algumas vezes o possui, mas se parecer dinâmico!), Alguns servidores de correio se recusarão a entregar seu correio.
Mas se alguma porcentagem de e-mails perdidos ou mal direcionados não for um problema para você, fique à vontade para experimentá-lo.
Observe que também é possível que o seu provedor tenha regras contra a execução de serviços na sua "Internet do consumidor" de baixo preço e possa desligá-lo se descobrirem que você está violando o contrato. Ou eles podem até estar bloqueando ativamente as conexões de entrada da sua casa em portas populares de baixo custo como tcp / 25, 80, 443 etc. "que também geralmente possui IPs estáticos).
E a última coisa a observar é que, em muitas conexões domésticas típicas da Internet dos consumidores (como ADSL, cabo, etc), a velocidade é assimétrica - ou seja, seu download é muito mais rápido que a velocidade de upload. O que é ruim se você deseja exibir um conteúdo público maior, como fotos (em vez de confiar no Facebook ou no Google e abrir mão de seus direitos) em sua casa, pois será lento (não também para o cara que baixa fotos de você, mas também para toda a sua conexão com a Internet).
fonte
Outras respostas já explicaram a parte do DDNS.
Vou explicar por que você precisa usar um servidor separado para enviar email (já que uma breve explicação do @Alex está incompleta).
Mais importante, você precisa de um registro PTR reverso válido para enviar email - muitos servidores de email o verificam e devolvem seu email, se o registro DNS reverso do endereço IP não corresponder ao domínio do remetente. Este registro é fornecido pelo proprietário do endereço IP - por exemplo, pelo seu ISP.
Agora vamos imaginar que você de alguma forma se tornou válido, atualizando dinamicamente o DNS reverso (ha-ha). Você ainda precisa convencer a todos de que seu domínio é legítimo e que o email de saída não é spam.
Conforme explicado pelo @Alex, os organizadores de mensagens de pequeno porte gostam de usar spamhaus e outras listas negras online. Mas já vi esses administradores corporativos fazerem muitas outras coisas estúpidas (como bloquear todos os emails, que não vêm do Gmail / Hotmail). Na verdade, não são apenas alguns "administradores corporativos" - eu vi o Sourceforge bloquear o registro de um domínio legítimo de e-mail corporativo, porque "não sabemos o porquê, mas nosso filtro de spam pensa que você é ruim". Apenas ignore-os - você não pode permanecer compatível com todos que estão no céu.
Hoje em dia, grandes empresas de correio eletrônico não contam com spamhaus ou outros PBL. Eles rastreiam sua própria confiabilidade. A reputação do remetente (pelo menos a maior parte) é anexada ao IP. Isso ocorre porque os spammers frequentemente recebem uma inicialização de seus hosts, então eles são forçados a saltar IPs. Do ponto de vista do Gmail, seu domínio / IP criado recentemente não é diferente do spammer comum. Quando você começa a enviar emails, sua reputação é baixa (você é tratado como spammer por padrão!). A maioria dos seus e-mails enviados será marcada como spam. Quando alguém responde ao seu email ou especialmente o marca como legítimo (pressionando o botão correspondente na interface da web do provedor de email), a confiança em relação a você aumenta um pouco. Como você pode ver, para aumentar a reputação do remetente, você teria que usar o mesmo domínio no mesmo IP ao longo dos anos. Isso pode'
Depois de alugar um VPS do hoster, manter um servidor doméstico com IP dinâmico ficará muito mais fácil. Você poderá usar esse VPS como seu próprio servidor DDNS com TTL extremamente baixo. Você pode até renunciar ao DNS e usar outros meios (como redirecionamento HTTP) para lidar com a alteração do IP da sua caixa inicial. Você ainda poderá receber e-mails diretamente na sua caixa inicial - opcionalmente com fallback para o VPS, quando seu IP residencial estiver inativo ou alterado recentemente.
fonte
Isso pode ser feito no CPanel usando um script PHP - apenas certifique-se de definir sua segurança corretamente (HTTPS, etc.) e leia os ToS do seu provedor de hospedagem.
https://www.shadowsplace.net/1231/internet/use-whm-cpanel-as-dynamic-dns-service/
Se você imitar um esquema popular de URL de provedores de DNS dinâmico, poderá usar as funções internas de DNS dinâmico em equipamentos 'black box' (por exemplo, NAS, IP Cam etc.) e fazer com que seu roteador redirecione a solicitação para o host. .
fonte
Meu humilde acréscimo ao serviço dyndns, que é gratuito e funciona em muitos sistemas (também em roteadores) - freedns.afraid.org
Estou usando-o para ter meu endereço IP residencial apontando para algum nome de domínio selecionado que a lista oferece gratuitamente. Minha rPi executa o script "curl" e funciona bem para mim (bem, já que não estou executando o servidor de email, isso não será um problema se 10 minutos não estiverem disponíveis).
Eu tive a mesma idéia para executar o servidor de correio também em casa, mas o ISP bloqueou o tráfego, então tive que abandoná-lo :-(
Cumprimentos.
fonte