Přijímání pošty
Při přijímání je každá e-mailová zpráva otestována několika testy, které mají za úkol identifikovat či rovnou odmítnout nevyžádanou či jinak závadnou korespondenci. Vykonání některých testů je závislé na zvolené politice pro přijímání pošty, nebo na nastavení e-mailové schránky příjemce. Testy jsou následující:
- Spamové blacklisty - pouze u politiky [d]
- Existence domény odesílatele - zjišťuje možnost doručení zprávy na doménu odesílatele (MX či A záznamy); pokud takové doručení není možné, zpráva je odmítnuta
- Možnost doručení do schránky příjemce - odmítá zprávy směřované do neexistujících nebo zaplněných schránek
- Greylisting - jen sekundární prijímací SMTP servery
- SPF
- Přípony souborů příloh - pouze u politik [c] a [d]
- Antivir - u politik [b], [c] a [d]
- Antispam - je-li zapnut u schránky příjemce
Různé politiky SMTP serverů
Přijímání pošty na Vaši doménu můžete ovlivňovat volbou jedné z politik pro přijímání pošty. Volbu politiky můžete provést v klientské sekci ve správě domény v části E-maily.
Naše SMTP servery přijímají e-maily nejvýše o velikosti cca 100 MB.
Dostupné politiky
| Politika | Antivirová kontrola | Kontrola obsahu | Kontrola IP dle blacklistů |
|---|---|---|---|
| [a] | NE | NE | NE |
| [b] | ANO | NE | NE |
| [c] | ANO | ANO - přijetí zprávy s přílohou závisí na koncovce ve jméně přílohy | NE |
| [d] | ANO | ANO - přijetí zprávy s přílohou závisí na koncovce ve jméně přílohy | ANO - přijetí zprávy závisí na IP adrese klienta, který vytvořil spojení na server |
Pokud z nějakého důvodu dojde k odmítnutí přijetí zprávy našimi servery, je o tom klient (rozuměj odesílací server), který se snaží zprávu odeslat, obeznámen (SMTP kódem 5xx). Jeho povinností je o tom informovat původního odesílatele zprávy. Není tedy možné, aby se kvůli zvolené politice přijímání emailů nějaká zpráva určená do vaší schránky "ztratila". Odesílatel by se měl o každém případu nedoručení odeslané zprávy a důvodu tohoto nedoručení dozvědět.
Názvy primárních přijímacích SMTP serverů pro různé politiky pro přijímání zpráv:
mx1a10.thinline.cz
mx1b10.thinline.cz
mx1c10.thinline.cz
mx1d10.thinline.cz
Písmena "a", "b", "c", "d" v uvedených názvech odpovídají politikám uvedeným výše pod stejnými písmeny. Sekundární servery jsou tři:
mx1a20.thinline.cz
mx1b20.thinline.cz
mx1c20.thinline.cz
Zde písmena "b", "c" znamenají něco jiného. Pro mx1b20.thinline.cz platí politika "prochází antivirem, filtruje koncovky, závisí na IP adrese klienta" a mx1c20.thinline.cz je speciální server, který na každý požadavek odpoví SMTP kódem 4xx. Politikou na sekundárních serverech se nemusíte zabývat, je nastavena automaticky.
Výchozím nastavením je politika [d] - tedy:
primární: mx1d10.thinline.cz
sekundární: mx1b20.thinline.cz
Pokud si od nás nenecháváte spravovat DNS záznamy (tzn. Vaše doména nepoužívá naše nameservery) a provedete změnu politiky, musíte ještě příslušně změnit MX záznamy domény. Potřebné údaje najdete v klientské sekci, ve správě domény v části Údaje o doméně. V případě, že tak neučiníte, nebude možné na Vaši doménu doručit žádnou poštu!
Černé listiny IP adres
Černé listiny (blacklisty) jsou veřejné průběžně aktualizované seznamy IP adres počítačů, z nichž je odesílána problematická pošta (spam, viry apod.). Jedná se o velmi důležitý nástroj v boji proti nevyžádané poště. Pokud je SMTP spojení provedeno z IP adresy vedené v některém z blacklistů, přijímací SMTP servery (politika [d]) je odmítnou chybovým kódem 553. Používáme například následující blacklisty:
- url.rbl.jp
- bl.spamcop.net
- psbl.surriel.com
- b.barracudacentral.org
- cbl.abuseat.org
- dnsbl.sorbs.net
Používání černých listin se může průběžně měnit.
Greylisting
Na sekundárních přijímacích SMTP serverech (ty sice slouží jen jako záloha, nicméně spameři je pro předávání zpráv používají) máme nasazen tzv. greylisting. Je to jedna z metod boje proti spamu. Předpokládá, že SMTP servery odesílatelů spamu neprovedou další SMTP spojení v případě, že bude první spojení odmítnuto. A v praxi tomu tak ve většině případů skutečně bývá.
První spojení od neznámého odesílatele je odmítnuto (zohledňuje se e-mailová adresa odesílatele a IP adresa, ze které bylo provedeno SMTP spojení). Odmítnutí proběhne SMTP kódem, který informuje o dočasné chybě (4xx) a pro standardní SMTP server dodržující standardy (RFC 2821) je signálem pro pozdější pokus o doručení zprávy. Po prvním odmítnutí daného odesílatele je pět minut poté možné běžné spojení a to v intervalu dalších 24 hodin bez odmítnutí (v případě více spojení se tato doba neustále prodlužuje).
Toto řešení sice může vést ke zpoždění přijetí dané zprávy (délka zpoždění záleží na nastavení odesílatelova SMTP serveru - obvykle je to pár minut), nicméně dokáže zamezit přijetí části spamu, který míří do schránek uživatelů.
V greylistingu máme nastavenu celou řadu výjimek. Není například aplikován na všechny naše servery, nebo na zprávy, kde e-mailová adresa odesílatele končí na ".cz".
Zakázané koncovky
Pokud máte u své domény nastavenu politiku pracující při přijetí s obsahem zprávy (tedy [c] nebo [d]), nebude přijata zpráva, která obsahuje v příloze soubor s jednou z následujících koncovek:
.bat
.chm
.cmd
.com
.cpl
.dll
.exe
.hlp
.hta
.jar
.js
.pif
.reg
.scr
.shs
.vbe
.vbs
.vxd
.wsf
.wsh
Kontrola je prováděna u souborů přiložených přímo, i u souborů v přiložených archivech (zip, rar apod.) nechráněných heslem.
Odesílací SMTP server
SMTP server smtp.cesky-hosting.cz slouží (fyzickým) uživatelům pro odesílání běžné pošty z jejich poštovních klientů. Řídí se politikou [c], odchozí zprávy tedy procházejí antivirovou kontrolou a kontrolou na zakázané koncovky příloh. Odchozí zprávy jsou také kontrolovány antispamem. Přes tento server je možné odeslat e-mail nejvýše o velikosti 30 MB.
Tento server není určen pro odesílání hromadných zpráv, pro automatizované odesílání (z nějakých zařízení typu tiskárny, skenery, kamery, NAS apod.), ani pro odesílání zpráv z webových aplikací.
Využívání serveru nežádoucím způsobem může vést k omezení služby!
Množství odeslaných zpráv na jednoho uživatele je omezeno na 300 zpráv za hodinu (započítávají se i zprávy odeslané z webmailu), za samostatnou zprávu se považuje i kopie. V případě, že uživatel tento limit překročí, SMTP server bude jeho další pokusy o odeslání po zbytek hodiny odmítat chybovým kódem 5xx. Současně je omezen i maximální počet příjemců v jedné zprávě (na 100). Tato opatření mají zabránit nežádoucímu využívání serveru, které by mohlo vést ke zpoždění odesílání zpráv jiných uživatelů. Pro odesílání zpráv z webových aplikací jsou určena jiná řešení.
DANE
DANE (DNS-based Authentication of Named Entities) je v kontextu emailové komunikace mechanizmus, kterým lze ověřovat identitu přijímacího SMTP serveru ze strany klienta, tedy typicky odesílacího serveru, než dojde k předání zprávy mezi nimi. Na rozdíl od SPF a DKIM tedy ověření probíhá na odesílající straně.
Technicky je to řešeno tak, že odesílací server si pro přijímací server (daný jedním z MX záznamů cílové domény) zjistí existenci speciálního DNS záznamu typu TLSA. Tento záznam obsahuje otisk SSL certifikátu daného přijímacího serveru. Pokud záznam existuje, odesílací server ho porovná se skutečným certifikátem, který je použit při navázání šifrované komunikace. Když certifikát otisku odpovídá, odesílací server šifrovaně zprávu předá přijímacímu. Pokud ne, email doručit odmítne, většinou dočasně (server si jej tedy ponechá ve své poštovní frontě a pokusí se jej doručit později). Pokud žádný TLSA záznam pro přijímací server domény publikován není, předání zprávy proběhne standardně, tedy buď šifrovaně (pokud to přijímací server umožňuje) nebo nešifrovaně. Pro funkčnost ověření pomocí DANE je nutné, aby jak doména příjemce, tak zóna, ve které se nachází její MX záznamy, byly podepsány pomocí DNSSEC.
Na našich serverech je DANE implementováno jak kontrolou při odesílání emailů z našich hlavních odesílacích serverů (smtp.cesky-hosting.cz, webmail, WebSMTP), tak na příjmu - pro všechny naše přijímací SMTP servery máme publikovány odpovídající TLSA záznamy v DNS. Pro to, aby vzdálený odesílací SMTP server se zapnutou kontrolou DANE mohl identitu našeho přijímacího serveru ověřit tak stačí, aby doména příjemce měla aktivní DNSSEC.