Насколько почтовые хостинги эффективно используют выделенный им дефицитный в наши дни ресурc IP-адресов? Насколько целесообразно расходуются известными поисковиками для своих хостингов почты предоставленные им региональными регистратурами в администрирование диапазоны? Выясним ответ на этот вопрос проведя небольшое исследование почтовых хостингов Gmail, Mail.ru и Яндекс.
Выяснить количество IP-адресов, выделенных каждым поисковиком под свой хостинг почты, можно проанализировав SPF-запись соответствующего домена. Из ответа DNS-сервера можно оценить количество IP-адресов, зарезервированных для почтовых серверов, а произведя попытку соединения по 25 порту (SMTP) выяснить количество действительно функционирующих.
Методика оценки — SPF в помощь
SPF – акроним от Sender Policy Framework, технология идентификации отправителя электронной почты, которая была принята в качестве стандарта ещё в далёком 2006 году. В DNS-зоне домена при внесении информации SPF создаётся TXT-запись, которая содержит набор правил явным образом указывающих хосты, которым разрешено и запрещено отправлять сообщения от имени этого домена. Получающая сторона имеет возможность в самом начале входящей SMTP-сессии проверить доменную зону заявляемого в поле "От:" отправителя и правила SPF-записи с фактическим IP-адресом отправителя текущей сессии. Если фактический IP-адрес входит в список SPF, сессия продолжается и сообщение успешно принимается. В случае если отправитель не входит в указанный владельцем домена список SPF, то сообщение может быть либо отклонено как мошенническое, либо принято для дальнейшей проверки в зависимости от указанной политики по умолчанию.
SPF предоставляет почтовым серверам возможность с одной стороны убедиться в легитимности отправителя сообщения, с другой — предотвратить подделку сообщений от чужого доменного имени. Немаловажно, что эта возможность требует совсем немного коммуникационных и вычислительных ресурсов принимающего и совсем не требует ресурсов отправляющего почтового сервера, что имеет большое значение для высоко нагруженных почтовых хостингов, обрабатывающих электронную почту миллионами сообщений.
Диапазон IP-адресов Яндекс почты
При анализе SPF-записи Яндекс почты выясняем, что за набор правил для основного адресного пространства IP-адресов наиболее популярной версии 4 отвечает доменное имя _spf.yandex.ru Дав DNS-запрос текстового типа к нему получаем:
> _spf-ipv4.yandex.ru
Не заслуживающий доверия ответ:
_spf-ipv4.yandex.ru text =
"v=spf1 ip4:77.88.46.0/23 ip4:77.88.60.0/23 ip4:84.201.143.128/26 ip4:87.250.248.0/24 ip4:95.108.130.0/23 ip4:95.108.252.0/23 ip4:213.180.223.192/26 ip4:84.201.186.0/23 ip4:93.158.136.48/28 ip4:77.88.34.0/27 ip4:77.88.19.32/27 ip4:77.88.58.128/26 ~all"
В ответе указаны диапазоны IP-адресов, которым поисковый сервер Яндекс в явном виде разрешил отправку электронной почты с домена @yandex.ru Обратите внимание на оператор ~all в конце строки. Это значение и есть политика по умолчанию, которая будет применяться ко всем попыткам отправления не из указанных диапазонов. Согласно стандарту RFC 4408 (а именно он регламентирует SPF) этот оператор может быть:
- +all – принимать почту (почти не используется)
- -all — отклонять почту (рекомендуется)
- ~all — принимать почту, принять решение о доставке позже (не рекомендуется к использованию)
То есть, как мы видим в настройках SPF почты поисковика Яндекс используется хоть и не самая бессмысленная (+all), но всё же достаточно бесполезная для почтовых серверов-получателей конструкция (~all). Тильда означает, что отправитель перекладывает решение по определению легальности отправителя и самого письма на получателя, практически никак в этом не помогая ему. В отличие от явного запрета (-all), при котором получатель тут же разорвёт SMTP-сессию, такая почта должна будет приняться на этом этапе сервером получателя и определять спам или подделку в нём ему придётся самостоятельно без всякой помощи почтового сервера Яндекса.
Такое небрежение корректностью настроек SPF не в последнюю очередь играет на руку отправителям спама, широко использующим бесплатный почтовый сервис Яндекса для отправки своих мусорных, а зачастую и вредоносных сообщений. К сожалению, это не единственный недостаток бесплатной почты от отечественного поисковика*, но в данном случае его SPF-запись нам интересна диапазонами IP-адресов, в ней указанными, а именно:
Приставка "ip4:" в начале означает, что речь идёт об обычных IP-адресах текущей 4 версии протокола. /23, /24 и другие обозначают битовые маски подсетей и уточняют размер диапазона IP-адресов. Обратите внимание, это лишь резерв IP-адресов, которые сам поисковик указал как свои SMTP-серверы — совершенно необязательно, что все они используются для обработки электронной почты. Сканирование указанных диапазонов показывает какое количество IP-адресов из них действительно задействовано для приёма-передачи электронной почты по протоколу SMTP. Для этого достаточно совершить попытку подключения по стандартному для передачи электронной почты между серверами порту 25 протокола TCP, например, с помощью популярного open source сканера портов Nmap.
| Диапазон IP-адресов | Всего адресов | Используется | Лог-файлы результатов сканирования |
| 77.88.46.0/23 | 512 | 0 | 77.88.46.0.txt |
| 77.88.60.0/23 | 512 | 266 | 77.88.60.0.txt |
| 84.201.143.128/26 | 64 | 21 | 84.201.143.128.txt |
| 87.250.248.0/24 | 256 | 59 | 87.250.248.0.txt |
| 95.108.130.0/23 | 512 | 266 | 95.108.130.0.txt |
| 95.108.252.0/23 | 512 | 387 | 95.108.252.0.txt |
| 213.180.223.192/26 | 64 | 31 | 213.180.223.192.txt |
| 84.201.186.0/23 | 512 | 442 | 84.201.186.0.txt |
| 93.158.136.48/28 | 16 | 7 | 93.158.136.48.txt |
| 77.88.34.0/27 | 32 | 0 | 77.88.34.0.txt |
| 77.88.19.32/27 | 32 | 0 | 77.88.19.32.txt |
| 77.88.58.128/26 | 64 | 32 | 77.88.58.128.txt |
| Итого: | 3088 | 1511 |
Получается, что из 3088 IP-адресов для действительно функционирующих SMTP-серверов электронной почты используется всего 48,9%, менее половины.
Диапазон IP-адресов хостинга почты от Google - Gmail
Сравним использование IP-адресов с почтовым хостингом от Google — Gmail. Методика прежняя, SPF-запрос к зоне google.com даёт нам следующие диапазоны IP-адресов:
| Диапазон IP-адресов | Всего адресов | Используется | Лог-файлы результатов сканирования |
| 216.239.32.0/19 | 8190 | 135 | 216.239.32.0.txt |
| 64.233.160.0/19 | 8190 | 46 | 64.233.160.0.txt |
| 66.249.80.0/20 | 4094 | 1437 |
66.249.80.0.txt |
| 72.14.192.0/18 | 16382 | 3415 | 72.14.192.0.txt |
| 209.85.128.0/17 | 32766 | 3505 | 209.85.128.0.txt |
| 66.102.0.0/20 | 4094 | 9 | 66.102.0.0.txt |
| 74.125.0.0/16 | 65634 | 17742 | 74.125.0.0.txt |
| 64.18.0.0/20 | 4094 | 1716 | 64.18.0.0.txt |
| 207.126.144.0/20 | 4094 | 585 | 207.126.144.0.txt |
| 173.194.0.0/16 | 65634 | 16434 | 173.194.0.0.txt |
| Итого: | 213174 | 45024 |
Конечно, было бы несправедливо сравнивать крупнейшую интернациональную корпорацию Google стоимостью более 71,7 млрд. долларов (на 2012 год) и российское ООО «Яндекс», известное почти исключительно лишь русскоязычным пользователям. Проведём проверку почтовой службы ещё одного российского поисковика Mail.ru
Диапазон IP-адресов хостинга почты Mail.ru
Диапазон адресов, заявленных этим поисковиком в зоне SPF для своего хостинга почты:
Результат поиска действующих на них SMTP-серверов:
| Диапазон IP-адресов | Всего адресов | Используется | Лог-файлы результатов сканирования |
| 94.100.176.0/20 | 4096 | 2272 | 94.100.176.0.txt |
| 217.69.128.0/20 | 4096 | 1811 | 217.69.128.0.txt |
| 128.140.168.0/21 | 2048 | 792 | 128.140.168.0.txt |
| 195.218.168.66 | 1 | 0 | 195.218.168.66.txt |
| 188.93.58.0/24 | 256 | 51 | 188.93.58.0.txt |
| 185.5.136.0/22 | 1024 | 524 | 185.5.136.0.txt |
| 89.184.66.210 | 1 | 0 | 89.184.66.210.txt |
| 89.184.66.211 | 1 | 0 | 89.184.66.211.txt |
| Итого: | 11523 | 5450 |
Подведём итоги
Эффективность использования IP-адресов хостингами почты:
| Хостинг почты | Всего IP-адресов для SMTP | Используется | Коэффициент использования IP-адресов | Количество пользователей | Пользователей на действующий IP-адрес |
| Gmail | 213174 | 45024 | 0,21 | 425 млн. | 9439 |
| Mail.ru | 11523 | 5450 | 0,47 | 42,7 млн. | 7835 |
| Яндекс почта | 3088 | 1511 | 0,49 | 25,1 млн. | 16612 |
Полученные данные неутешительны — российские поисковики не используют и половины заявленных ими для целей хостинга почты адресов. Но мировой гигант Gmail переплюнул даже такой результат, у него действительно функционирует лишь пятая часть адресов.
Выходит, IP-адресов тот же Яндекс в своё время зарегистрировал на себя явно больше, чем ему нужно для предоставления нехарактерных для поискового сервиса услуг электронной почты. В чём вполне открыто расписался, указав их в своей SPF-записи.
Также, сравнивая количество IP-адресов, используемых почтовыми сервисами в расчёте на каждого своего пользователя можем определить степень нагрузки на каждый IP-адрес. У хостинга почты Яндекса на один почтовый IP-адрес приходится более 16 тыс. пользователей, что более чем в 2 раза больше чем у Mail.ru и в 1,7 раза чем у Gmail. Очевидно, что кратное превышение этого показателя не может не сказаться негативно на качестве и надёжности обслуживания пользователей этого почтового хостинга.
Между тем в условиях тотальной нехватки IP-адресов версии 4 оператор адресного пространства Европы RIPE вовсе прекратил выдачу заявителям новых диапазонов так как их попросту нет, они исчерпаны. В ARIN (American Registry for Internet Numbers), обслуживающей Серверную Америку, дела обстоят иначе, там свободные сети IPv4 ещё остались и продолжают выдаваться заявителям. Возможно поэтому Google всё ещё может позволить себе владеть таким гигантским количеством неиспользуемых IP-адресов выделенных только для хостинга почты Gmail — почти 170 тысяч! А вот регистратору RIPE для решения проблемы нехватки IP-адресов в Европе (и России в том числе), возможно, следует задуматься об отзыве неиспользуемых IP-адресов у операторов, которые загружают их лишь наполовину и явно не знают чем занять оставшуюся...
* - также существуют ограничения на количество отправляемых сообщений, на списки рассылки, количество DNS-записей и многое другое. Подробнее в статье «Корпоративная почта Яндекс — бесплатно хорошо не бывает».
13145 просмотров