Сервер прерывает соединение https

Вчера приехал, думаю возьму обновлюсь, дропнулся доступ к Void'овской репе, пучок килобайт проходит, затем дроп. Опять что-то не спокойно в ДомеРа.

дожили, блин! он мне сказал, что «если traceroute от моего сервера до моего компа ходит, то мы ничего не блокируем». пипец.

Это не «дожили, блин!», а такая хня всегда встречалась а-ля «пингуется == работает», им блин факты, а тебе в ответ доводы.

или такой маразм уже везде теперь?

Маразмы разные и одинаковые встречаются у всех, за годы какой только дичи от ТП провов не наслушался. Но моё любимое это Школьные ноутбуки с альтом разсаботажили. (комментарий)

Поэтому админ прав - за что он отвечает, оно проверяется простым traceroute-ом

«простым traceroute-ом» проверяется что?

а ещё у них есть «блокировка SMTP» (уж не знаю, зачем) в настройках личного кабинета.

Это у многих есть на этом глобусе, причина простая, борьба со всякими рассыльщиками спама, т.е. юзер ловит какую-то хрень и от него начинает рассылаться спам, ip попадает в блэклисты и другие рейтинговые системы, в случае с серыми адресами под замес попадает н-ное количество пользаков.

вот и у меня такой же вопрос возник.

но в любом случае, тут не блокировки прова, а деятельность вредителей из роскомпозора. но всё-таки админ мог бы как-то побольше знать о своей профессии. или, например, поснимать логи на сервере.

раньше был местный пров. всё было отлично. можно было круглосуточно(!) получить техподдержку, причём у админов. вопросы решались вообще моментально. потом их скупил региональный провайдер. всё пошло коту под хвост, но хотя бы работало. потом тех скупил домру и началось! сейчас там полный пинцет с ТП. пробиться сквозь тупого бота и ничего не понимающих «девочек» (там встречаются и мальчики) до админов - это потерянные полтора-два часа времени. и когда ты добрался до админа, а он не понимает вопроса и не может ничего вообще сделать, чтобы проверить, ходят ли пакеты - это как-то удрочает.

мне стали иногда слать domain report'ы: типа, с вашего домена что-то там к нам приходит. смотрю документы. мой домен стоит в header from, и ни DKIM, ни DMARC, нишиша. послано с какого-то левого айпишника. и вот зачем мне эти репорты? если у кого-то можно послать мыло куда попало с чужим хедером, а у меня все записи в порядке, то вот чего они от меня хотят?

Ничего не понял. Кто на ком стоял? Работает или нет сейчас сервер на ovh? В каком ДЦ у тебя он?

В cf давно отключен был tls1.3, раньше это помогало. Сейчас ничего не помогает, cf задушили наглухо. Ни один сайт не работает через него. В nginx тоже 1.2 ьвл включен. Не помогает

Так это же все по ходу дела выясняется )) Кто ж знает сто через час будет брат в наше время...

Да это кошмар какой-то стал. Работа превращается в работу с перепиской с провайдером. Какой то идиотский ребус разгадывать вечный. Ну а там тоже сидят недоумевающие васи, пети и зины. В итоге к кому обращаться? Остается хлопать ушами и ждать у моря погоды.

Мы как рыба с птицей говорим. У меня не сервер. Подключаюсь иногда. Нельзя было подключаться с начала весны. Сейчас всё работает. Что непонятного?

Хости сайты в России и проблем не будет.

раньше был местный пров. всё было отлично. можно было круглосуточно(!) получить техподдержку, причём у админов. вопросы решались вообще моментально. потом их скупил региональный провайдер. всё пошло коту под хвост, но хотя бы работало. потом тех скупил домру и началось! сейчас там полный пинцет с ТП. пробиться сквозь тупого бота и ничего не понимающих «девочек» (там встречаются и мальчики) до админов - это потерянные полтора-два часа времени. и когда ты добрался до админа, а он не понимает вопроса и не может ничего вообще сделать, чтобы проверить, ходят ли пакеты - это как-то удрочает.

Полное описание того во что превращаются хорошие провы после их поглощения! Оно именно так и есть, нормальное ТП превращается в другое ТП, то где первая буква это слово Тупая. Емним уже описывал здесь даааавний пример хорошей ТП от местячкого прова, админ где-то 2-го января приехал с дачи на которой праздновал, что бы починить одному! абоненту инет. От це сервис! А вот во всяких супер-мега-крупных-корпорациях ТП почему-то робит все больше в рабочее время, ахренительно придумали, продают домашний! инет, но чинят его только в рабочее время.

мне стали иногда слать domain report'ы: типа, с вашего домена что-то там к нам приходит. смотрю документы. мой домен стоит в header from, и ни DKIM, ни DMARC, нишиша. послано с какого-то левого айпишника. и вот зачем мне эти репорты? если у кого-то можно послать мыло куда попало с чужим хедером, а у меня все записи в порядке, то вот чего они от меня хотят?

Идиоты мэм. Ну или по другому, это из тех кто «Хачу ЗайТи в АйТи», к сожалению таких на этом глобусе становиться все больше и больше.

так ты понимаешь, иногда эти кретины репортят домен в блэклисты. и потом надо бегать и доказывать, что «не верблюд». это просто какой-то пипец. идиоты в айти это неизлечимо. и их становится всё больше - это самое страшное.

А давно ли безлим появился? Помнится совсем недавно за 100mbps безлим такие денжищи просили, хотя в ЕС 1gbps безлим копейки стоил. А с ДДОС-защитой как? За куратор (или что там сейчас) платить огромные денжищи? А на OVH это все из коробки есть и работает ГОДАМИ стабильно и в сапорт вообще не пишешь. А тут с первого дня начали всякие траблы! Ну и по мелочам, например просто дают 500 гигов на халяву диск удаленный для бэкапов, а в РФ - плати. В общем то, плюсов я не вижу особо-то. Если бы не вынудили, то и оставался бы я на европейском хостинге до сих пор!

Кто рыба из нас? ))

Так говорят, когда разговор не клеится. Не принимай близко к сердцу. Я пошутил.

мне стали иногда слать domain report’ы… и вот зачем мне эти репорты?

Какой домен - тот, который у тебя в профиле? Для него опубликована DMARC-запись с rua.

Т.е. ты сама попросила слать тебе эти отчеты:

$ nslookup -type=txt _dmarc.*****.org
...
"v=DMARC1; p=none; rua=mailto:postmaster@*****.org"

rua - это аггрегированные репорты (обычно раз в сутки). Если за сутки были письма от твоего домена, не прошедшие проверку DMARC, тебе отчет и пришлют.

Что ещё за блеклисты по домену? Они по айпи-адресу всегда (тому, с которого smtp-соединение было). Если даже и есть какиой-то никому неизвестный список по доменам, я бы на него просто забил - вряд ли им кто-то пользуется.

от моего домена или в хэдере стоит что попало - это разные вещи. для моего домена определён мэйл сервер. если не мой сервер, а кто попало шлёт непроверенные спамерские рассылки без подписей и с левого айпишника, то я-то тут при чём? зачем мне слать отчёты о мусорном спаме на их сервере?

Если там левые IP-шники, то, конечно же, их надо просто игнорить.

Но с точно таким же успехом в этом отчете может оказаться и твой легитимный сервер, для которого ты просто неправильно настроила DKIM/DMARC. Если у тебя не один сервер, а десятки, плюс есть рассылки через сторонние сервисы от твоего домена, то очень легко чего-то не учесть.

Эти отчеты нужны почтовым администраторам для того, чтобы выявлять такие ситуации, где они недонастроили DKIM/DMARC. И шлют их тебе потому, что ты сама об этом попросила.

Если ты уверена, что у тебя все настроено корректно, и тебе не нужны эти отчеты, то просто убери rua из свой DMARC-записи. Да и политику следует перевести в ‘reject’ (у тебя сейчас ‘none’).

нет. нет там неправильно настроенных записей. и уже много лет как. а шлют мне «отчёты» о письмах с непонятных левых айпишников - явный спам, который они, по идее, должны сразу отправлять в /dev/null, а не сообщать о нём всему миру, умножая количество спама. ну, можно послать абузу админу той подсети, откуда привалил этот спам - это максимум. но это вряд ли поимеет эффект.

Они не всему миру сообщают, а только тем, кто об этом попросил. Ты попросила, тебе и сообщают.

нет. я не просила никого слать мне отчёты о спаме с совершенно левых адресов, без подписей и прочего. не надо в попу лить какао.

Смотри, у тебя опубликована следующая DMARC-запись:

$ nslookup -type=txt _dmarc.ironbug.org
...

Non-authoritative answer:
_dmarc.ironbug.org      text =

        "v=DMARC1; p=none; rua=mailto:postmaster@ironbug.org"

Тем самым по попросила (rua=mailto:) слать тебе агрегированные отчеты.

нет! я прошу слать отчёты о письмах с моего домена, с моего сервера, который чётко там прописан. если вдруг такие возникнут (но не возникали ни разу за 20+ лет, надо сказать). а слать «отчёты» о спаме, не относящемся к моему серверу, который явно пишет домен от балды, без всяких подписей, мне не надо. вот как раз непонимающие, как работает мыло, и шлют эти отчёты. раньше такой проблемы (непонимающих) не было, хотя спам существовал практически всегда.

я бы поставила левое мыло, для защиты от идиотов. но вдруг реально какая-то проблема возникнет, мало ли. пока что за много лет проблем не возикало. но дураки в айти плодятся, как кролики, и это даже хуже, чем спам. это вообще похоже на атаку с амплификацией, когда какой-то спамер шлёт спам якобы от любых доменов, а эти кретины начинают волну рассылок с xml-файлами всем подряд, кого спамер нагенерировал в хэдерах. это маразм.

Нет такой опции. Если ты запросила отчеты, то будешь получать XML обо всех письмах, у которых в заголовке From: стоит твой домен и которые не прошли проверку DMARC. И это хорошо - я вот тоже думал, что у меня все правильно настроено, а потом, читая эти отчеты, увидел, что у меня не хватало записей для null-sender’ов.

20 лет назад и DMARC не было.

Просто выросло количество DMARC-compliant MTA.

иногда эти кретины репортят домен в блэклисты. и потом надо бегать и доказывать, что «не верблюд».

Так я поэтому и написал, что они идиоты.

и их становится всё больше - это самое страшное.

Да, так и есть. Ещё каких-то 20 лет назад в этой стране подобное считалось дичью и мы смотрели на отсталый запад, где такое встречалось, как на овно. Ну ничего, мы не стоим на месте и догоняем «старшего брата».

ещё раз, для особо медленных: спам валит не с моего сервера. что непонятного? айпишник левый, он вообще в Японии. на какой фейхоа мне такие репорты? чтобы знать, что какой-то спамер в Японии использует, кроме тысяч других, ещё и мой домен. ну, спасибо! очень «ценная» информация, только вот мне она ни к чему.

не надо натягивать сову на глобус. отчёты посылаются тому, от кого пришёл спам, а не кому попало.

все он правильно говорит,

эти репорты для автоматической обработки – чтобы можно было видеть кто, как и сколько отправляет письма представляясь тобой

выглядит оно подобным образом:

...
<record>
  <row>
    <source_ip>192.168.1.1</source_ip>
    <count>10</count>
    <policy_evaluated>
      <disposition>reject</disposition>
      <dkim>fail</dkim>
      <spf>fail</spf>
    </policy_evaluated>
  </row>
</record>
...

В данном примере 192.168.1.1 отправил 10 писем, при этом не прошел авторизацию

вот как раз непонимающие, как работает мыло, и шлют эти отчёты.

Нет, их шлют не непонимающие. Их автоматически шлют почтовые сервера, которые умеют в DMARC.

А у тебя просто фундаментальное непонимание работы DMARC.

И я уже писал, как избавиться от этих отчетов. Ну, не поняла - значит не поняла =)

Жаль, ответа не будет, следил за ветвью :)

И это хорошо, так как шифрование должно умереть.