Náš e-mailový server () byl přesunut na náš bare metal server sponzorovaný Xenyth v Torontu. Nyní používáme čistý IP prostor oznámený přes BGP s naším AS, abychom zlepšili doručovatelnost e-mailů tím, že spam neposílají sousedé na IP/AS.

@bkong_a Například náš torontský server má Xenyth jako přímého poskytovatele. Xenyth směruje svou infrastrukturu do upstreamů (Arelion, GTT, Zayo a také pouze IPv6 Hurricane Electric) a peerů (na Onix a TorIX výměnách spolu se soukromými peery jako Google).

@bkong_a Máme vlastní AS (autonomní systém) pro implementaci našich sítí a směrování. Používáme ho k oznámení našeho IP prostoru našim poskytovatelům a k kontrolě, jak jsou tato oznámení využívána jejich upstreamy. Pro naše anycast DNS sítě potřebujeme rozsáhlé inženýrství provozu.

@bkong_a Pro anycast DNS máme 11 lokalit pro ns1 a 9 lokalit pro ns2. Zde je příklad, jak funguje dopravní inženýrství z naší pobočky ns1 Vultr Frankfurt: Řídíme, které upstream/peery přijímají naše trasy z Vultru a ladíme směrování nahoru.

@bkong_a Momentálně nemáme žádné servery, které by měly přímo více samostatných upstreamů. To znamená, že zatím nemáme důvod importovat trasy z našich upstream kanálů a ladit směrování podle BGP směrování. Plánujeme to ale udělat pro jeden z nadcházejících serverů.

@bkong_a Momentálně jen exportujeme naše trasy do našeho jediného přímého upstream z každého serveru, kde používáme BGP. Pro anycast DNS instance oznamujeme IPv4 /24 a IPv6 /48 pro produkční použití spolu s dalším IPv6/48 pro experimenty s dopravním inženýrstvím.

@bkong_a Anycast znamená, že stejný IP blok je oznamován na více místech, takže poskytovatelé rozhodnou na základě rozhodnutí o distribuovaném konsenzuálním směrování. Obecně jsou preferovány kratší trasy a trasy, za které jsou placeni (zákazníci dopravy), jsou preferovány před těmi, které nepoužívají.

@bkong_a Pro naši pobočku v Torontu také oznamujeme unicast IPv4 /24 a IPv6 /48. IPv4 /24 a IPv6 /48 bloky jsou nejmenší podporované jednotky pro směrování přes veřejný internet, proto se používají právě ty. Menší bloky lze použít i v Xenythu nebo v naší vlastní síti.

@bkong_a Náš Xenyth server dělá trochu skutečného směrování sám, protože má dva kontejnery: jeden poskytuje ns2 anycast DNS instanci a druhý náš mailový server. Máme jen staticky nastavené směrování, ale technicky by bylo možné použít BGP.

@Avamander @HSVSphere Stalwart neexistoval, když jsme začali hostovat vlastní e-mail. Nebyla dostupná jako možnost a chvíli trvalo, než začala být kompletnější a vyspělá. Vypadá to zajímavě, ale máme produkční mailový server a nemůžeme ho snadno vyměnit nebo zkusit novou implementaci.

@Avamander @HSVSphere Existují prostředníky s problémy s kompatibilitou DNSSEC a je to špatně přijeté mimo většinu hlavních DNS resolver serverů a samostatných DNS poskytovatelů, kteří to implementují. Totéž platí pro mnoho věcí, jako je QUIC a WebRTC. DNSSEC funguje v praxi dobře a je velmi cenný.

@Avamander @HSVSphere Konkrétní prohlížeče vynucují pravidla transparentnosti certifikátů. Mimo používání prohlížečů, včetně MTA-STS s e-mailovými servery, se tyto požadavky v praxi nevynucují. Často se to nedodržuje. WebPKI se také používá pro nativní aplikace, mezi servery atd., nejen pro prohlížeče.

@Avamander @HSVSphere Existují i jiné způsoby, jak to udělat mimo BGP. Není to nijak zvlášť bezpečný systém. WebPKI mimo prohlížeč CT nevynucuje a tvoří obrovskou část TLS provozu. Téměř nikdo nesleduje CT pro své služby, takže neposkytuje to, co se prezentuje jako poskytování pro organizace mimo Google.

@Avamander @HSVSphere Google zrušil jak dynamické, tak statické připínání certifikátů pro ne-Google. Tvrdili, že ho přestali používat, ale pokračovali v něm. Je to porušení antimonopolních zákonů. Je to součást obrovského množství nepoctivého antisoutěžního chování ze strany Googlu a MTA-STS je také součástí toho.

@Avamander @HSVSphere WebPKI závisí na DNS bezpečnosti. WebPKI důvěřuje registru domén, TLD a IANA. WebPKI nebrání DNS jako kořenu důvěry, protože je založen na kontrole DNS ověřováním domény. TLD může nasměrovat váš DNS jinam a získat certifikáty pro vaši doménu.

@Avamander @HSVSphere WebPKI závisí na DNS bezpečnosti. WebPKI důvěřuje registru domén, TLD a IANA. WebPKI nebrání DNS jako kořenu důvěry, protože je založen na kontrole DNS ověřováním domény. TLD může nasměrovat váš DNS jinam a získat certifikáty pro vaši doménu.

@Avamander @HSVSphere WebPKI zásadně závisí na bezpečnosti DNS. MTA-STS je zásadně nejistý a jen slabý dočasný přístup. E-mail v zásadě závisí na DNS bezpečnosti z několika důvodů a WebPKI také závisí na DNS bezpečnosti. S těmi lžemi nám neprojde, promiň.

@Avamander @HSVSphere WebPKI zásadně závisí na bezpečnosti DNS. MTA-STS je zásadně nejistý a jen slabý dočasný přístup. E-mail v zásadě závisí na DNS bezpečnosti z několika důvodů a WebPKI také závisí na DNS bezpečnosti. S těmi lžemi nám neprojde, promiň.

@1ngenious @TorontoIX Momentálně máme 5 dedikovaných serverů pro aktualizace. Naše aktualizační servery také fungují jako podmnožina z našich 11 lokalit pro naše webové a síťové služby, které mají také 6 VPS instancí pro širší celosvětové pokrytí. Server v Torontu používáme také pro e-maily a autoritativní DNS.

@1ngenious @TorontoIX je systémový kontejner na . je další systémový kontejner, který poskytuje jednu z 9 lokalit pro naši NS2 síť Anycast. Zbylých 8 jsou instance VPS. Náš ns1 má 11 instancí Vultr VPS.