Serverul nostru de email () a fost migrat pe serverul nostru bare metal sponsorizat de Xenyth din Toronto. Acum folosim spațiu IP curat anunțat prin BGP cu AS-ul nostru pentru a îmbunătăți livrabilitatea emailurilor, evitând ca vecinii IP/AS să trimită spam.

@bkong_a De exemplu, serverul nostru din Toronto are Xenyth ca furnizor direct. Xenyth redirecționează prin infrastructura lor către upstream-urile (Arelion, GTT, Zayo și, de asemenea, Hurricane Electric, doar IPv6) și către peer-uri (pe centralele Onix și TorIX, împreună cu peer-uri private precum Google).

@bkong_a Avem propriul nostru AS (Sistem Autonom) pentru implementarea propriilor rețele și rutare. Îl folosim pentru a anunța spațiul nostru IP către furnizori și pentru a controla modul în care anunțurile sunt folosite de către upstream-urile lor. Pentru rețelele noastre DNS anycast, trebuie să facem inginerie extinsă a traficului.

@bkong_a Pentru anycast DNS, avem 11 locații pentru NS1 și 9 locații pentru NS2. Iată un exemplu despre cum funcționează ingineria traficului din locația noastră ns1 Vultr Frankfurt: Controlăm care upstream/peers primesc rutele noastre de la Vultr și ajustăm rutarea în amonte.

@bkong_a În prezent nu avem servere care să aibă direct mai multe upstream-uri separate. Asta înseamnă că încă nu avem un caz de utilizare pentru importarea rutelor din upstream-uri și ajustarea rutării pe baza rutării BGP. Totuși, plănuim să facem asta pentru un server viitor.

@bkong_a În momentul de față, exportăm rutele noastre către unicul nostru direct upstream de la fiecare server unde folosim BGP. Pentru instanțele DNS anycast, anunțăm un IPv4 /24 și un IPv6 /48 pentru utilizare în producție, împreună cu un alt IPv6 /48 pentru experimentarea ingineriei traficului.

@bkong_a Anycast înseamnă că același bloc IP este anunțat în mai multe locații, astfel încât furnizorii vor decide pe baza deciziilor de rutare prin consens distribuit. În general, rutele mai scurte sunt preferate, iar rutele pentru care sunt plătite (clienții de transport) sunt preferate în locul celor pe care nu le folosesc.

@bkong_a Pentru locația noastră din Toronto, anunțăm și un format unicast pentru IPv4 /24 și IPv6 /48. Blocurile IPv4 /24 și IPv6 /48 sunt cele mai mici unități suportate pentru rutarea pe internetul public, de aceea acestea sunt folosite. Blocuri mai mici pot fi folosite și în Xenyth sau în propria noastră rețea.

@bkong_a serverul nostru Xenyth face puțină rutare propriu-zisă pentru că are 2 containere: unul oferă o instanță DNS ns2 anycast și altul serverul nostru de email. Avem acea rutare configurată static, dar tehnic ar fi posibil să folosim BGP pentru asta.

@Avamander @HSVSphere Stalwart nu exista când am început să găzduim propriul nostru email. Nu era disponibil ca opțiune și a durat ceva până să devină mai complet și matur. Pare interesant, dar avem un server de email de producție și nu putem să-l schimbăm ușor sau să încercăm o implementare nouă.

@Avamander @HSVSphere Există middlebox-uri cu probleme de compatibilitate DNSSEC și adoptarea este slabă, dincolo de majoritatea serverelor DNS importante și a furnizorilor DNS independenți care îl implementează. La fel se aplică multor lucruri precum QUIC și WebRTC. DNSSEC funcționează bine în practică și este foarte valoros.

@Avamander @HSVSphere Anumite browsere aplică politici de transparență a certificatelor. În afara utilizării browserelor, inclusiv pentru MTA-STS cu servere de email, aceste cerințe nu sunt aplicate în practică. Adesea nu este respectată. WebPKI este folosit și pentru aplicații native, între servere etc., nu doar pentru browsere.

@Avamander @HSVSphere Există și alte moduri de a face asta dincolo de BGP. Nu este un sistem deosebit de sigur. WebPKI non-browser nu aplică CT și reprezintă o parte uriașă din traficul TLS. Aproape nimeni nu monitorizează CT pentru serviciile lor, așa că nu oferă ceea ce este prezentat ca oferind pentru organizații non-Google.

@Avamander @HSVSphere Google a renunțat atât la fixarea de certificate dinamică, cât și cea statică pentru cei non-Google. Au susținut că au încetat să o mai folosească, dar au continuat să o folosească. Este o încălcare a legii antitrust. Face parte dintr-o cantitate enormă de comportamente necinstite și anticoncurențiale din partea Google, iar MTA-STS face parte și din asta.

@Avamander @HSVSphere WebPKI depinde de securitatea DNS. WebPKI are încredere în registrul domeniului, TLD și IANA. WebPKI nu evită ca DNS să fie o rădăcină a încrederii deoarece se bazează pe controlul DNS prin validarea domeniului. TLD îți poate direcționa DNS-ul în altă parte și poate obține certificate pentru domeniul tău.

@Avamander @HSVSphere WebPKI depinde de securitatea DNS. WebPKI are încredere în registrul domeniului, TLD și IANA. WebPKI nu evită ca DNS să fie o rădăcină a încrederii deoarece se bazează pe controlul DNS prin validarea domeniului. TLD îți poate direcționa DNS-ul în altă parte și poate obține certificate pentru domeniul tău.

@Avamander @HSVSphere WebPKI depinde fundamental de securitatea DNS. MTA-STS este fundamental nesigur și nimic altceva decât o abordare temporară slabă. Emailul depinde fundamental de securitatea DNS din mai multe motive, iar WebPKI depinde și de securitatea DNS. Nu o să scap cu minciunile astea cu noi, îmi pare rău.

@Avamander @HSVSphere WebPKI depinde fundamental de securitatea DNS. MTA-STS este fundamental nesigur și nimic altceva decât o abordare temporară slabă. Emailul depinde fundamental de securitatea DNS din mai multe motive, iar WebPKI depinde și de securitatea DNS. Nu o să scap cu minciunile astea cu noi, îmi pare rău.

@1ngenious @TorontoIX În prezent avem 5 servere dedicate pentru actualizări. Serverele noastre de actualizare acționează, de asemenea, ca un subset al celor 11 locații pentru serviciile noastre de site/rețea, care au și 6 instanțe VPS pentru a oferi o acoperire mai largă la nivel mondial. Folosim serverul din Toronto și pentru email și DNS autoritar.

@1ngenious @TorontoIX este un container de sistem pe . Este un alt container de sistem care oferă una dintre cele 9 locații pentru rețeaua noastră NS2 Anycast. Celelalte 8 sunt instanțe VPS. NS1-ul nostru are 11 instanțe Vultr VPS.