Nový SMTP server

Máme pro vás malou novinku, nový SMTP server. Možná jste si všimli, že se náš SMTP server mail.rosti.cz dostal na blacklisty a máme problémy ho dostat pryč. Hlavním důvodem jsou zavirované počítače našich uživatelů, které se občas objeví a posílají desítky tisíc emailů. Bohužel jsme nebyli schopni uspokojivě nasadit žádnou dostupnou ochranu v Postfixu a tak jsme se rozhodli nasadit nové řešení postavené na projektu Haraka.

Haraka je daemon napsaný v Node.js a je navržený na posílání velkého množství zpráv. To nejdůležitější je, že má spoustu pluginů a jednoduché rozhraní pro psaní nových, takže to co od nás chodí budeme mít alespoň částečně pod kontrolou. Nový server je připravený na adrese smtp.rosti.cz a v současné době řešíme poslední problém, který nám brání ho začít používat všude. Pokud jste si změnili heslo přes webmail, neprojde vám proti novému SMTP serveru ověření. Pokud máte ale heslo nastavené přes administraci, tak všechno projde v pořádku. Všechny problémy se nám podařilo vyřešit a server je připravený.

Chcete-li nové řešení vyzkoušet, je to jednoduché. Přejděte do nastavení svého emailového klienta a tam kde máte u SMTP serveru mail.rosti.cz, tam dejte smtp.rosti.cz. V Thunderbirdu to vypadá takto:

spectacle-h13941

Zbytek parametrů zůstává stejný:

  • Zabezpečení přes TLS (někdy označeno jako starttls),
  • heslo PLAIN (někdy označeno jako normální heslo),
  • uživatelské jméno a heslo stejné jako pro přístup k IMAPu/POP/webmailu,
  • a port 587.

S emaily ještě nekončíme. Dalším krokem je implementace DKIM, SPF a také změna pravidel pro posílání pošty. Po zrušení mail.rosti.cz, resp. přesměrování jeho portů na nové smtp.rosti.cz už nebude možné posílat emaily z naší sítě bez ověření. Na smtp.rosti.cz jsme zavedli pravidla maximálně tří emailů za minutu a 100 příjemců za tři hodiny. Obě čísla budeme ještě měnit v závislosti na tom, jak se k tomu budou stavět naši uživatelé. Je také možné udělat výjimky, stačí nás kontaktovat na podpoře.

Důvodem, proč jsme se dostávali na blacklisty byly zavirované počítače našich uživatelů. Máme několik set aktivních emailových schránek, takže je nemožné, abychom tomu utíkali věčně. Když už někomu utečou přihlašovací údaje, tak začne posílat tisíce emailů každou minutu. Během pár minut se pak dostáváme na blacklist, ze kterého nás vyškrtnout v řádech dnů. Poslední dobou se to stávalo každý týden alespoň jednou a tak jsme museli zasáhnout. Tento blogpost je už jen vyvrcholením celé snahy. Nesnažíme se vás tedy omezovat, jen chceme zmírnit dopady situací, které reálně vznikají.