E-posta sunucumuz () Toronto'daki Xenyth sponsorluğundaki bare metal sunucumuza taşındı. Şimdi BGP ile AS ile birlikte duyurulan temiz IP alanını kullanıyoruz, böylece IP/AS komşularının spam göndermesini engelleyerek e-posta teslimatını artırıyoruz.

@bkong_a Örneğin, Toronto sunucumuzda doğrudan sağlayıcımız Xenyth var. Xenyth, altyapısı üzerinden üst akışlarına (Arelion, GTT, Zayo ve ayrıca sadece IPv6 ile Hurricane Electric) ve rakiplerine (Onix ve TorIX santrallerinde ve Google gibi özel akrağa) ulaşır.

@bkong_a Kendi ağlarımızı ve yönlendirmemizi uygulamak için kendi AS (Otonom Sistemimiz) var. Sağlayıcılarımıza IP alanımızı duyurmak ve duyuruların üst akışları tarafından nasıl kullanıldığını kontrol etmek için kullanıyoruz. Anycast DNS ağlarımız için kapsamlı trafik mühendisliği yapmamız gerekiyor.

@bkong_a Anycast DNS için ns1 için 11, ns2 için 9 konumumuz var. İşte ns1 Vultr Frankfurt şubemizden trafik mühendisliğinin nasıl çalıştığına dair bir örnek: Vultr'tan hangi yukarı akışlar/eşlerin rotalarımızı aldığını kontrol ediyoruz ve yukarı akış yönlendirmesini ayarlıyoruz.

@bkong_a Şu anda doğrudan birden ayrı upstream'e sahip sunucumuz yok. Bu da demek oluyor ki, henüz yukarı akışlarımızdan rotaları içe aktarmak ve BGP yönlendirmesine göre yönlendirme yerimizi ayarlamak için bir kullanım amacımız yok. Yine de bunu yaklaşan bir sunucu için yapmayı planlıyoruz.

@bkong_a Şu anda, BGP kullandığımız her sunucudan doğrudan yukarı akışımıza rotalarımızı dışa aktarıyoruz. Anycast DNS örnekleri için, üretim kullanımı için bir IPv4 /24 ve bir IPv6 /48 ile trafik mühendisliği deneyleri için bir başka IPv6 /48 ile birlikte duyuruyoruz.

@bkong_a Anycast, aynı IP bloğunun birden fazla yerde duyurulduğu anlamına gelir, bu yüzden sağlayıcılar dağıtık uzlaşma yönlendirme kararlarına dayanarak karar verir. Genel olarak, daha kısa güzergahlar tercih edilir ve ücret aldıkları güzergahlar (toplu taşıma müşterileri) tercih edilmediklerine göre tercih edilir.

@bkong_a Toronto şubemiz için ayrıca tek yayınlı IPv4 /24 ve IPv6 /48 duyuruyoruz. IPv4 /24 ve IPv6 /48 blokları, halka açık internet üzerinden yönlendirme için desteklenen en küçük birimlerdir, bu yüzden bunlar kullanılır. Küçük bloklar Xenyth içinde veya kendi ağımızda da kullanılabilir.

@bkong_a Xenyth sunucumuz, üzerinde 2 konteyner olduğu için kendisi biraz yönlendirme yapıyor: biri ns2 anycast DNS örneği sağlıyor, diğeri ise posta sunucumuzu sağlıyor. Sadece o yönlendirmeyi statik olarak yapılandırdık ama teknik olarak BGP kullanmak mümkün olur.

@Avamander @HSVSphere Stalwart kendi e-postamızı barındırmaya başladığımızda yoktu. Seçenek olarak mevcut değildi ve daha eksiksiz ve olgun hale gelmesi biraz zaman aldı. İlginç görünüyor ama üretim bir posta sunucusu var ve kolayca değiştiremiyor ya da yeni bir uygulama deneyemiyoruz.

@Avamander @HSVSphere DNSSEC uyumluluk sorunları olan middlebox'lar var ve çoğu büyük DNS çözümleyici sunucusu ve bağımsız DNS sağlayıcılarının dışında bu sistemin benimsenmesi zayıftır. Aynı şey QUIC ve WebRTC gibi birçok şey için de geçerli. DNSSEC pratikte gayet iyi çalışıyor ve çok değerli.

@Avamander @HSVSphere Belirli tarayıcılar Sertifika Şeffaflık politikalarını uygular. Tarayıcı kullanımı dışında, e-posta sunuculu MTA-STS için bu gereksinimler uygulamada uygulanmaz. Çoğu zaman takip edilmiyor. WebPKI ayrıca sadece tarayıcılar için değil, yerel uygulamalar, sunucular arasında vb. için de kullanılır.

@Avamander @HSVSphere Bunu BGP'nin ötesinde başka yollar da var. Özellikle güvenli bir sistem değil. Tarayıcı dışı WebPKI CT zorunluluğu sağlamaz ve TLS trafiğinin büyük bir kısmını oluşturuyor. CT'yi hizmetleriyle neredeyse hiç kimse izlemiyor, bu yüzden Google dışı kuruluşlar için sunulan hizmeti sunmuyor.

@Avamander @HSVSphere Google, Google dışı kişiler için hem dinamik hem de statik sertifika sabitlemelerini kaldırdı. Kullanmayı bıraktıklarını iddia ettiler ama kullanmaya devam ettiler. Bu bir rekabet ihlali. Bu, Google'ın ve MTA-STS'in muazzam bir dürüst olmayan rekabet karşıtı davranışının bir parçası.

@Avamander @HSVSphere WebPKI DNS güvenliğine dayanır. WebPKI, alan kaydı, TLD ve IANA'ya güvenir. WebPKI, DNS'in bir güven kökü olmasını engellemez çünkü Alan Doğrulama DNS kontrolünü kontrol eder. TLD, DNS'inizi başka bir yere yönlendirebilir ve alan adınız için sertifikalar alabilir.

@Avamander @HSVSphere WebPKI DNS güvenliğine dayanır. WebPKI, alan kaydı, TLD ve IANA'ya güvenir. WebPKI, DNS'in bir güven kökü olmasını engellemez çünkü Alan Doğrulama DNS kontrolünü kontrol eder. TLD, DNS'inizi başka bir yere yönlendirebilir ve alan adınız için sertifikalar alabilir.

@Avamander @HSVSphere WebPKI temelde DNS güvenliğine bağlıdır. MTA-STS temelde güvensiz ve sadece zayıf bir geçici çözüm yaklaşımıdır. E-posta temelde DNS güvenliğine birçok nedenle bağlıdır ve WebPKI de DNS güvenliğine bağlıdır. O yalanlarla bizimle paçayı sıyrılamayacağız, üzgünüm.

@Avamander @HSVSphere WebPKI temelde DNS güvenliğine bağlıdır. MTA-STS temelde güvensiz ve sadece zayıf bir geçici çözüm yaklaşımıdır. E-posta temelde DNS güvenliğine birçok nedenle bağlıdır ve WebPKI de DNS güvenliğine bağlıdır. O yalanlarla bizimle paçayı sıyrılamayacağız, üzgünüm.

@1ngenious @TorontoIX Şu anda güncellemeler için 5 özel sunucumuz var. Güncelleme sunucularımız ayrıca web site/ağ hizmetlerimiz için 11 konumumuzun bir alt kümesi olarak hizmet veriyor; bu konumlarda da 6 VPS örneği bulunuyor ve dünya çapında daha geniş kapsama sağlıyor. Toronto'daki sunucuyu e-posta ve yetkili DNS için de kullanıyoruz.

@1ngenious @TorontoIX, üzerinde bir sistem konteyneridir. NS2 Anycast ağımız için 9 konumdan 1'ini sağlayan başka bir sistem konteyneri. Diğer 8 ise VPS örnekleri. Bizim ns1 11 Vultr VPS örneği.