Наш почтовый сервер () был перенесен на наш выделенный сервер, спонсируемый Xenyth в Торонто. Теперь мы используем чистое IP-пространство, объявленное через BGP с нашим AS, чтобы улучшить доставляемость электронной почты, не имея соседей по IP/AS, отправляющих спам.

@bkong_a Например, наш сервер в Торонто использует Xenyth в качестве нашего прямого провайдера. Xenyth маршрутизирует через свою инфраструктуру к своим провайдерам (Arelion, GTT, Zayo, а также только IPv6 Hurricane Electric) и пирами (на биржах Onix и TorIX, а также частным пирами, таким как Google).

@bkong_a У нас есть собственная AS (Автономная Система) для реализации наших собственных сетей и маршрутизации. Мы используем её для объявления нашего IP пространства нашим провайдерам и контроля того, как эти объявления используются их вышестоящими провайдерами. Для наших anycast DNS сетей нам необходимо проводить обширную инженерную работу с трафиком.

@bkong_a Для anycast DNS у нас есть 11 локаций для ns1 и 9 локаций для ns2. Вот пример того, как работает управление трафиком из нашей локации ns1 Vultr во Франкфурте: Мы контролируем, какие провайдеры/партнеры получают наши маршруты от Vultr и настраиваем маршрутизацию на стороне провайдеров.

@bkong_a В настоящее время у нас нет серверов, которые напрямую имеют несколько отдельных upstream. Это означает, что у нас пока нет случая использования для импорта маршрутов из наших upstream и настройки маршрутизации на основе BGP. Однако мы планируем сделать это для одного из предстоящих серверов.

@bkong_a В данный момент мы просто экспортируем наши маршруты к нашему единственному прямому провайдеру с каждого сервера, где мы используем BGP. Для экземпляров anycast DNS мы объявляем IPv4 /24 и IPv6 /48 для производственного использования, а также еще один IPv6 /48 для экспериментов с управлением трафиком.

@bkong_a Anycast означает, что один и тот же блок IP объявляется в нескольких местах, поэтому провайдеры будут принимать решения на основе распределенного консенсуса маршрутизации. В общем, предпочтение отдается более коротким маршрутам, а маршруты, за использование которых они получают оплату (транзитные клиенты), предпочтительнее тех, за которые они не получают.

@bkong_a Для нашего местоположения в Торонто мы также объявляем о unicast IPv4 /24 и IPv6 /48. Блоки IPv4 /24 и IPv6 /48 являются наименьшими поддерживаемыми единицами для маршрутизации через общедоступный интернет, поэтому именно они используются. Более мелкие блоки также могут использоваться внутри Xenyth или нашей собственной сети.

@bkong_a Наш сервер Xenyth выполняет немного фактической маршрутизации сам по себе, потому что на нем находятся 2 контейнера: один предоставляет экземпляр DNS anycast ns2, а другой — наш почтовый сервер. Мы просто настроили эту маршрутизацию статически, но технически было бы возможно использовать BGP для этого.

@Avamander @HSVSphere Stalwart не существовал, когда мы начали хостить свою собственную электронную почту. Это не было доступно в качестве опции, и потребовалось время, чтобы он стал более полным и зрелым. Это выглядит интересно, но у нас есть рабочий почтовый сервер, и мы не можем легко его заменить или попробовать новую реализацию.

@Avamander @HSVSphere Существуют промежуточные устройства с проблемами совместимости с DNSSEC, и его внедрение остается низким за пределами большинства крупных серверов DNS-резолверов и независимых поставщиков DNS, которые его реализуют. То же самое касается многих других технологий, таких как QUIC и WebRTC. DNSSEC работает хорошо на практике и очень ценен.

@Avamander @HSVSphere Конкретные браузеры применяют политики прозрачности сертификатов. За пределами использования браузеров, включая MTA-STS с почтовыми серверами, эти требования на практике не соблюдаются. Это часто игнорируется. WebPKI также используется для нативных приложений, между серверами и т.д., а не только в браузерах.

@Avamander @HSVSphere Существуют и другие способы сделать это, помимо BGP. Это не особенно безопасная система. ВебPKI вне браузера не обеспечивает CT и составляет огромную часть трафика TLS. Почти никто не отслеживает CT для своих услуг, поэтому он не предоставляет то, что изображается как предоставляемое для организаций, не относящихся к Google.

@Avamander @HSVSphere Google отказалась от динамической и статической привязки сертификатов для не-Google. Они утверждали, что прекратили это использовать, но продолжали использовать. Это нарушение антимонопольного законодательства. Это часть огромного количества нечестного антиконкурентного поведения со стороны Google, и MTA-STS также является частью этого.

@Avamander @HSVSphere WebPKI зависит от безопасности DNS. WebPKI доверяет регистратору доменов, TLD и IANA. WebPKI не избегает использования DNS в качестве корня доверия, потому что он основан на проверке контроля DNS для валидации домена. TLD может указывать ваш DNS в другое место и получать сертификаты для вашего домена.

@Avamander @HSVSphere WebPKI зависит от безопасности DNS. WebPKI доверяет регистратору доменов, TLD и IANA. WebPKI не избегает использования DNS в качестве корня доверия, потому что он основан на проверке контроля DNS для валидации домена. TLD может указывать ваш DNS в другое место и получать сертификаты для вашего домена.

@Avamander @HSVSphere WebPKI в корне зависит от безопасности DNS. MTA-STS в корне небезопасен и является лишь слабым временным решением. Электронная почта в корне зависит от безопасности DNS по нескольким причинам, и WebPKI тоже зависит от безопасности DNS. С этими ложью нам не уйти, извините.

@Avamander @HSVSphere WebPKI в корне зависит от безопасности DNS. MTA-STS в корне небезопасен и является лишь слабым временным решением. Электронная почта в корне зависит от безопасности DNS по нескольким причинам, и WebPKI тоже зависит от безопасности DNS. С этими ложью нам не уйти, извините.

@1ngenious @TorontoIX В настоящее время у нас есть 5 выделенных серверов для обновлений. Наши серверы обновлений также являются подмножеством наших 11 локаций для услуг нашего веб-сайта/сети, которые также имеют 6 VPS-инстансов для обеспечения более широкого мирового охвата. Мы используем сервер в Торонто для электронной почты и авторитетного DNS.

@1ngenious @TorontoIX является системным контейнером на . является еще одним системным контейнером, предоставляющим 1 из 9 мест для нашей сети anycast ns2. Остальные 8 — это VPS-инстансы. Наш ns1 — это 11 инстансов Vultr VPS.