DDNS: Ist eine DIY-Lösung möglich? Besser?

Ich versuche, bei mir zu Hause einen persönlichen Mail-/Kalenderserver einzurichten (ja, ich habe gehört, dass das schwierig ist, viel Ärger macht usw., aber ich würde es trotzdem gerne versuchen).

Mit dem Mail-Teil wirst du wahrscheinlich nicht viel Glück haben. Siehe die Antwort von @Alex.

Sie benötigen ein Skript/Programm, das Ihre IP-Adresse regelmäßig überwacht. Wenn sich die Adresse ändert, muss das Skript/die App den Domänennamen aktualisieren, den Sie für Ihre Heimserver verwenden.

So ziemlich das.

Ich benötige lediglich den API-Schlüssel des Hosting-Unternehmens, um die erforderlichen Domänen-/IP-Einträge programmgesteuert anzupassen

Ja. Wenn das Unternehmen jedoch nur einen allgemeinen „Alles hosten“-Dienst bereitstellt, verfügt es möglicherweise überhaupt nicht über eine API zur DNS-Verwaltung (der Schwerpunkt liegt stattdessen auf Web und E-Mail) und Sie müssen die Domäne möglicherweise woanders hin verschieben.

Die Sache ist folgende: Wenn Sie Ihre Domänennamen-Datensätze auf die oben beschriebene Weise aktualisieren, kann es, soweit ich gelesen habe, mehrere Stunden dauern, bis die Aktualisierung im gesamten System/auf der ganzen Welt erfolgt (alle DNS-Server müssen mit Ihrer aktualisierten Adresse neu aufgefüllt werden).

Nein. Nur die Systeme Ihres DNS-Hosting-Anbieters müssen aktualisiert werden. Der Rest der Welt führt keine permanente Aufzeichnung – er speichert lediglich die Ergebnisse einzelner Suchvorgänge für die Dauer im Cache, die im Feld „TTL“ (Time To Live) jeder (Sub-)Domäne angegeben ist.

Mehrere kostenpflichtige DDNS-Anbieter, die ich mir angesehen habe, scheinen jedoch damit zu werben, dass die Änderung nahezu sofort wirksam wird (oder zumindest schneller als bei meiner DIY-Methode). Stimmt das? Habe ich etwas übersehen?

Ich würde vermuten, dass sie die Konfiguration einer sehr niedrigen TTL für die dynamischen Domänen (bis zu einigen Sekunden) ermöglichen, was bedeutet, dass sie sehr schnell aus allen Caches verschwinden, was auf Kosten des DDNS-Anbieters selbst zu viel mehr Anfragen führt (höhere Belastung seiner DNS-Server und Datenbanken und eine Ausrede, Ihnen mehr zu berechnen). Das allein ist nichts Besonderes und könnte mit jeder DIY-Methode implementiert werden.

Können sie nicht den gesamten Datenverkehr überwachen, der über den von ihnen bereitgestellten Domänennamen fließt?

Nein. Der DNS-Server stellt Ihnen lediglich eine Adresse zur Verfügung (ähnlich wie ein Telefonbuch) und ist an der weiteren Kommunikation nicht beteiligt.

(Sofern der Anbieter nicht tatsächlich versucht,falsche Daten zurückgeben, was die TTL des Unternehmens erheblich verkürzen würde, sobald Nachrichten-Websites davon erfahren.)

Achten Sie dennoch darauf, wie die API funktioniert. Sie können natürlich nicht sicher sein, dass der Dienst keine Schwachstellen aufweist, aber wenn die API beispielsweise über unverschlüsseltes HTTP läuft und den API-Schlüssel offen überträgt, sollten Sie sich nicht darauf verlassen.

Wenn Sie keine statische IP haben, sollten Sie den Mailserver vergessen, wenn Sie sich für eine DDNS-Lösung entscheiden. Die meisten E-Mail-Server würden entweder E-Mails von Ihnen ablehnen oder E-Mails mit dem höchsten Spam-Level kennzeichnen, da alle dynamischen IPs inPBLListen. (Im Abschnitt PS erfahren Sie mehr darüber, warum es keine gute Idee ist, einen E-Mail-Server auf einer privaten IP-Adresse zu betreiben. Es gibt jedoch immer noch eine Möglichkeit, dies zu umgehen, indem Sie einen günstigen VPS (Virtual Private Server) verwenden.)

Bezüglich „DDNS selbst“ – gute Domain-Registrare bieten kostenlose IP-Aktualisierungen über ihre API an. Ihr Programm muss lediglich regelmäßig die öffentliche IP überprüfen und bei einer Änderung die neue IP an den Registrar senden, der den A(AAAA)-Eintrag aktualisiert. Übrigens verfügen die meisten Router heutzutage bereits über eine solche Funktion (auf IP achten und diese dem DDNS-Anbieter melden).

Ich habe gelesen, dass es mehrere Stunden dauern kann, bis es sich im gesamten System/in der Welt verbreitet.

Dies hängt vom DNS-Anbieter ab. Die entsprechenden Registrare erlauben die Einstellung der TTL (Zeit, die anderen mitteilt, wie oft die IP geändert werden kann) auf 5 Minuten. Nicht alle Weiterleitungs-Zwischenserver befolgen dies, um eine hohe Belastung zu vermeiden, aber normalerweise dauert dies, selbst wenn sie die TTL des Domänenbesitzers nicht befolgen, selten länger als ein paar Stunden. Die meisten Weiterleitungen aktualisieren ihre Caches, wie Sie die TTL der Domäne festlegen würden.

Gibt es Sicherheitsprobleme, die ich möglicherweise übersehe, wenn ich einen DDNS-Anbieter habe?

Online zu gehen kann bereits ein Sicherheitsrisiko darstellen. Isolieren Sie Ihren Server vom lokalen Netzwerk, um ungebetene Gäste zu vermeiden.

Hat jemand eine fundierte Meinung dazu, welche Methode (bezahlt oder selbst gemacht) besser sein könnte?

Sie würden Ihre Zeit und Ihr Geld zum Fenster hinauswerfen, wenn Sie sich für DDNS entscheiden. Heutzutage können Sie für 3-4 Dollar im Monat einen ordentlichen VPS (Virtual Private Server) bekommen. Während eine Website (falls Sie eine planen) direkt auf einem VPS gehostet werden kann, da dies normalerweise nicht viel Platz benötigt, könnte ein E-Mail-Server problematisch werden, wenn Sie Ihren Server lange laufen lassen wollen oder mit einem hohen E-Mail-Aufkommen rechnen. Normalerweise reichen 20 GB Speicherplatz für kleine Unternehmen für bis zu 3-5 Jahre, selbst ohne dass alte E-Mails gelöscht werden müssen. Auch wenn Sie mit einer riesigen Menge an E-Mails rechnen, können Sie die nginxFunktion nutzen, den E-Mail-Verkehr per Proxy zu Ihrem Heimserver umzuleiten. So können Sie Ihren primären E-Mail-Server zu Hause auf einer dynamischen IP hosten und der VPS (mit statischer IP) leitet den eingehenden/ausgehenden Verkehr per Proxy zu Ihrem Heimserver um. Sie können Ihren eigenen VPS in einer solchen Konfiguration problemlos verwenden, da Sie sich keine Gedanken über die DNS-Verbreitung machen müssen, da die Domäne immer auf die statische IP des VPS verweist. Sie müssen die Meldung Ihrer Änderungen der privaten IP-Adresse an den VPS noch immer verwalten, damit der VPS weiß, wohin der Datenverkehr weitergeleitet werden muss. Es geht aber viel einfacher: Fragen Sie einfach eine URL auf Ihrem VPS ab, analysieren Sie in den Protokollen Ihre eingehende IP-Adresse und passen Sie nginx an, damit es immer weiß, wo Sie sich befinden.

PS

---

Ich sehe, dass dieses Thema für Superuser interessant ist, daher möchte ich noch ein paar weitere Details hinzufügen.

PBLlists enthält eine Datenbank mit IPs, die im Allgemeinen dynamische IPs sind, alsoPBL hilft Betreibern von E-Mail-Servern sehr. Es ist kein technisches Problem und auch nicht, dass ISPs böse Jungs sind, wenn sie keine E-Mail-Server mit dynamischen IPs zulassen. Das Problem ist, dass der meiste E-Mail-Verkehr von dynamischen IPs von infizierten Computern kommt, die Spam oder Malware in großen Mengen versenden, was leichtDDoSEmpfangsserver, wenn einer ein Ziel ist. Einige ISP blockieren ausgehende Verbindungen zu Port 25, um die Verbreitung von Malware zu verhindern undDDoS, aber einige tun es nicht. Praktisch alle Firmen-E-Mail-Server verwerfen einfach Verbindungen, die vonPBLListe, die Spam erheblich reduziert.

Die zweite effektive Antispam-Lösung besteht darin, Verbindungen von IPs zu trennen, die keinen Reverse-PTR-Eintrag im DNS haben und nicht mit dem DNS-Eintrag der Domäne übereinstimmen. Selbst wenn Verbindungen von statischen IPs ohne PTR-Eintrag kommen, handelt es sich normalerweise entweder um eine schlecht konfigurierte Konfiguration oder sie kommen von Servern, die von Spam-Banden betrieben werden (es könnte Ausnahmen für einige große (aber nachlässige) Anbieter geben, aber sie können manuell zur Whitelist hinzugefügt werden). Während es eine Sache von wenigen Minuten ist, einen Reverse-PTR-Eintrag auf einem VPS einzurichten, ist dies nicht der Fall, wenn statische IPs vom ISP bezogen werden und der Prozess zum Einrichten des PTR normalerweise ein PITA ist (man muss sie anrufen, ein Ticket einreichen, nachdem man überprüft hat, dass man der ursprüngliche Eigentümer der IP ist, und auf die Gnade ihres Systemadministrators warten, der den Reverse-PTR-Eintrag einrichten muss, manchmal in ein paar Stunden, manchmal aber auch in Tagen).

Auch nicht kritisch, aber... um E-Mail-Fälschungen zu verhindern, verwenden die meisten E-Mail-Server-Besitzer so genannteLichtschutzfaktor(Absenderrichtlinien-Framework), das die schnellste Methode zur Richtlinienverarbeitung ermöglicht, wenn im DNS autorisierte IP-Adressen festgelegt werden, die das Senden von E-Mails im Namen der Domäne erlauben. (Autorisierte Server können angegeben werden durchVollqualifizierter Domänennameals Referenz für den MX-Eintrag, aber es sind zusätzliche Roundtrips über DNS zum Verbinden von Servern erforderlich.) Die Verwaltung von Floating-IPs im DNS wäre also kein Spaß.

Ich habe einen ISP, der keine statischen IP-Adressen anbietet, daher scheint eine Art Dynamic Domain Name Service (DDNS) die Lösung zu sein.

Das ist eine Lösung. Ein Beispiel für eine andere Lösung: Ein HurricaneElectric.net IPv6-Tunnel bietet eine statische (IPv6) Adresse mit einem beweglichen Tunnelendpunkt. Zugegeben, derzeit wäre es schöner, wenn IPv4 eine solche Funktionalität für die breite Öffentlichkeit unterstützen würde, aber wenn Sie einen bereitwilligen, kooperativen Computer finden, könnten Sie so etwas technisch auch mit IPv4 tun.

Sie benötigen ein Skript/Programm, das Ihre IP-Adresse regelmäßig überwacht. Wenn sich die Adresse ändert, muss das Skript/die App den von Ihnen verwendeten Domänennamen aktualisieren.

Das klingt nach einem technisch soliden Plan.

Ich brauche lediglich den API-Schlüssel des Hosting-Unternehmens, um die erforderlichen Domänen-/IP-Einträge programmgesteuert anzupassen ... wenn ich da falsch liege, kann mir jemand Bescheid sagen, und es gibt einen einfacheren Weg).

Die genauen Einzelheiten hängen davon ab, wie der Domain-Name-Registrar diese Funktion implementiert. Manche verwenden einen API-Schlüssel, andere verlassen sich für automatische Updates auf eine Weboberfläche. Früher boten einige ISPs einen solchen Dienst an, waren aber auf manuelle Änderungen als Reaktion auf Anfragen angewiesen. Es liegt also ganz bei dem, der Ihnen den Dienst bereitstellt.

Die Sache ist folgende: Wenn Sie Ihre Domänennamen-Datensätze auf die oben beschriebene Weise aktualisieren, kann es, soweit ich gelesen habe, mehrere Stunden dauern, bis die Aktualisierung im gesamten System/auf der ganzen Welt erfolgt (alle DNS-Server müssen mit Ihrer aktualisierten Adresse neu aufgefüllt werden).

Bäh, Humbug. Es ist bekannt, dass die DNS-Ausbreitung Minuten, Stunden oder Tage (z. B. 72 Stunden) dauert. Wenn die Leute die Dinge jedoch gründlich analysiert haben, haben sie festgestellt, dass ein Großteil dieser vagen „Ausbreitungszeit“ einfach darauf zurückzuführen ist, dass ein DNS-Hosting-Anbieter langsam bei der Aktualisierung war.

Theoretisch müssten Sie einfach auf den TTL-Wert warten. Allerdings gibt es bei dieser Theorie ein Problem ...

Mehrere kostenpflichtige DDNS-Anbieter, die ich mir angesehen habe, scheinen jedoch damit zu werben, dass die Änderung nahezu sofort wirksam wird (oder zumindest schneller als bei meiner DIY-Methode). Stimmt das? Habe ich etwas übersehen?

Okay, hier ist die Realität: Damit Ihr Update vollständig wirksam wird, müssen Sie das Internet veranlassen, seinen aktiven Cache von alten Informationen zu leeren.

Gemäß den Standards können zwischenspeichernde DNS-Server für eine durch einen konfigurierbaren TTL-Wert angegebene Zeitspanne auf ihren Cache zurückgreifen.

Die Realität ist jedoch, dass zumindest einige (und vielleicht sogar die meisten?) sehr große ISPs ihre eigenen DNS-Caching-Server betreiben, die die TTL-Werte einfach komplett ignorieren. Sie tun dies, weil sie glauben, dass eine weniger häufige Aktualisierung ihrer DNS-Caches insgesamt zu weniger Bandbreite (und möglicherweise weniger Rechenzeit) führt.

Daher kann jeder E-Mail-Server, der auf einen solchen DNS-Server angewiesen ist, betroffen sein und Ihre Aktualisierungen erst bemerken, wenn der DNS-Server aktualisiert wird. In manchen Fällen kann das ein oder zwei (oder drei?) Tage dauern.

Solche Effekte treten jedoch immer seltener auf. In der Praxis werden die Caches der meisten DNS-Server innerhalb von ein bis zwei Stunden geleert.

Da einige Caches nicht ganz so schnell aktualisiert werden wie andere, ist dies der Effekt, dass einige Stellen im Internet mit der neuen Adresse funktionieren, während andere Stellen weiterhin versuchen, die alte Adresse zu verwenden. Innerhalb weniger Stunden funktionieren die meisten Computer problemlos mit den neuen Informationen. (Viele, viele von ihnen funktionieren möglicherweise innerhalb weniger Minuten.)

Das typische Verhalten von E-Mail-Software besteht darin, zu versuchen, die E-Mail zu senden. Wenn dies fehlschlägt, versuchen Sie es später erneut. E-Mail-Server versuchen es normalerweise tagelang erneut (etwa einmal pro Stunde), bevor sie aufgeben. Es ist also wahrscheinlich, dass Sie die E-Mail nicht verlieren, aber es wird etwas verzögert.

Alex‘ Kommentar „Alle dynamischen IPs befinden sich in PBL-Listen“ ist eindeutig falsch, da diese Informationen dezentralisiert sind (das Wort „alle“ ist also ungenau). Es stimmt jedoch, dass sich viele dynamische IPs in solchen Listen befinden, was bedeuten kann, dass sich einige mit E-Mail verbundene Computer/Geräte dazu entschließen, nicht mit Ihnen zusammenzuarbeiten.

Darüber hinaus habe ich noch eine weitere Sorge: Gibt es Sicherheitsprobleme, die ich möglicherweise übersehe, wenn ich einen DDNS-Anbieter habe?

Die größte Sorge wird sein, ob Ihre Updates auf sichere Weise gehandhabt werden.

Können sie nicht den gesamten Datenverkehr überwachen, der über den von ihnen bereitgestellten Domänennamen fließt?

Nein. Die Aufgabe des DNS-Servers besteht darin, eine Anfrage nach einem Domänennamen zu empfangen und eine Antwort bereitzustellen. Die traditionelle typische Antwort besteht darin, eine oder mehrere IP-Adressen bereitzustellen. Andere Antworten sind möglich, wie z. B. der Verweis auf einen anderen DNS-Server oder Domänennamen (z. B. mit einem CNAME) oder andere Daten (z. B. zur Gewährleistung der Sicherheit durch den neueren DNSSec-Standard).

Hat jemand eine fundierte Meinung...

Ich möchte darauf hinweisen, dass Sie, wenn Sie wirklich einen seriösen E-Mail-Server betreiben möchten, die Einhaltung moderner E-Mail-Standards in Betracht ziehen sollten. Dazu gehört mehr als nur die Einhaltung der technischen Spezifikationen von SMTP und DNS. Viele Leute nutzen große Anbieter, und diese großen Anbieter implementieren möglicherweise ihre eigenen Erwartungen.

Ich kenne beispielsweise einen E-Mail-Server, der vor Jahren mit Debian und Postgrey eingerichtet wurde. Postgrey ist eine Software, die eine Anti-Spam-Behandlung mit „Greylisting“ bietet. Die verwendete Version von Postgrey geht jedoch davon aus, dass der sendende E-Mail-Server beim erneuten Versuch, die E-Mail zu senden, dieselbe IP-Adresse verwendet. Es ist bekannt, dass Office 365-E-Mail-Server versuchen, eine E-Mail von einer anderen IP-Adresse erneut zu senden, die sich noch in einem IPv6/64-Subnetz befindet. Postgrey mag das nicht.

Da immer mehr Organisationen auf Office 365 umgestiegen sind, ist dies für Benutzer des alten E-Mail-Servers immer mehr zu einem Problem geworden. Eine neuere Version der Postgrey-Software wurde veröffentlicht, aber die einfachste Möglichkeit, diese Software zu installieren, besteht darin, das offizielle Software-Repository für dieses Betriebssystem zu verwenden. In der Praxis besteht die cleverste Möglichkeit, diese Software zu aktualisieren, darin, das Betriebssystem zu aktualisieren.

Es gibt andere Konventionen, wie z. B. DNS-Namen, die mit „Mail“ beginnen. Dies kann dazu führen, dass Ihr Setup als mehr oder weniger vertrauenswürdig eingestuft wird. Dies kann sich darauf auswirken, ob Geräte Sie wie einen nicht konformen Spammer behandeln oder wie ein Gerät, mit dem es sich lohnt, zu kommunizieren.

Sicher, wenn man ganz genau über offizielle technische Spezifikationen spricht, führen große Organisationen vielleicht einige Aktionen aus, die von den Mindestanforderungen abweichen, die in den RFC-Dokumenten gefordert werden, die die technischen Spezifikationen der verwendeten Protokolle enthalten. Aber wenn Sie mit der größeren Internet-Community kommunizieren möchten, gibt es einige zusätzliche Standards, die von einigen bedeutenden/großen Akteuren durchgesetzt werden. Seien Sie darauf vorbereitet, diese Standards gut einzuhalten, sonst werden Sie auf einige Probleme gefasst sein.

Ich bin etwas vage, was genau diese Standards angeht, da sie sich im Laufe der Zeit ändern können.

Was den alten E-Mail-Server betrifft, der sein altes Debian-Betriebssystem aktualisieren muss, sollten die Leute ihr Betriebssystem vielleicht sowieso häufiger aktualisieren. Was ich damit sagen will, ist, dass eine Softwarekonfiguration, die jahrelang einwandfrei funktioniert hat, jetzt aufgrund neuerer Verhaltensweisen, die häufig von vielen E-Mail-Adressen verwendet werden, nicht mehr funktioniert. Wenn Sie versuchen, ungewöhnliche Dinge zu tun, wie z. B. dynamisches DNS bei einem langsameren Internetanbieter zu verwenden, kann es sein, dass Sie dabei auf zusätzliche Probleme stoßen. Da Sie ehrgeizig klingen, können Sie vielleicht die nötigen Anstrengungen unternehmen. Ich warne Sie nur, sich darauf vorzubereiten, dies tun zu müssen.

... im Hinblick darauf, welche Methode (bezahlt vs. selbst gemacht) besser sein könnte?

Wie andere bereits angemerkt haben, ist die kostenpflichtige Variante viel einfacher und für die meisten Leute recht günstig. Große Anbieter bieten wahrscheinlich eine stabile IP-Adresse, auf die Ihr MX-Eintrag verweisen kann (damit E-Mails dorthin gehen), und bieten möglicherweise eine deutlich bessere Bandbreite.

Durch Eigeninitiative können Sie Erfahrungen sammeln und lernen, wie die Dinge funktionieren. Außerdem müssen Sie sich nicht ausschließlich auf die Implementierungen großer Unternehmen verlassen. Wenn Sie mehr Kontrolle über Ihre Implementierung haben, können Sie auch wesentlich schneller bedeutende individuelle Änderungen vornehmen.

Was „besser“ ist, hängt von Ihren individuellen Zielen ab, daher überlasse ich solche Schlussfolgerungen Ihnen.

In anderen Antworten wurde der DDNS-Teil bereits erläutert.

Ich werde erklärenWarumSie müssen zum Senden von E-Mails einen separaten Server verwenden (da die kurze Erklärung von @Alex unvollständig ist).

Am wichtigsten ist, dass Sie zum Senden von E-Mails einen gültigen Reverse-PTR-Eintrag benötigen. Viele E-Mail-Server überprüfen diesen und weisen Ihre E-Mails zurück, wenn der Reverse-DNS-Eintrag für die IP-Adresse nicht mit der Absenderdomäne übereinstimmt. Dieser Eintrag wird vom Eigentümer der IP-Adresse bereitgestellt, z. B. von Ihrem ISP.

Stellen wir uns nun vor, Sie hätten irgendwie ein gültiges, dynamisch aktualisiertes Reverse-DNS erhalten (ha-ha). Sie müssen noch alle davon überzeugen, dass Ihre Domain echt ist und Ihre ausgehenden E-Mails kein Spam sind.

Wie @Alex erklärt, verwenden kleine Mail-Hoster gerne Spamhaus und andere Online-Blacklists. Aber ich habe gesehen, wie diese Firmenadministratoren viele andere dumme Dinge tun (wie das Blockieren aller E-Mails, die nicht von Gmail/Hotmail kommen). Tatsächlich sind es nicht nur einige "Firmenadministratoren" – ich habe gesehenQuelleschmiedeBlockieren Sie die Registrierung von legitimen E-Mail-Domänen von Unternehmen, weil „wir nicht wissen, warum, aber unser Spamfilter denkt, dass Sie schlecht sind“. Ignorieren Sie sie einfach – Sie können nicht mit jedem unter Sky kompatibel bleiben.

Große Mailhoster verlassen sich heutzutage nicht auf Spamhaus oder andere PBL. Sie verfolgen Ihre Vertrauenswürdigkeit selbst. Die Reputation des Absenders (zumindest der größte Teil davon) ist an die IP gebunden. Das liegt daran, dass Spammer häufig von ihren Hostern gefeuert werden und daher gezwungen sind, die IP-Adresse zu wechseln. Aus der Sicht von Gmail unterscheidet sich Ihre neu erstellte Domain/IP nicht von der eines gewöhnlichen Spammers. Wenn Sie anfangen, E-Mails zu versenden, ist Ihre Reputation gering (Sie werden standardmäßig als Spammer behandelt!). Die meisten Ihrer ausgehenden E-Mails werden als Spam markiert. Wenn jemand auf Ihre E-Mail antwortet oder sie ausdrücklich als legitim markiert (indem er die entsprechende Schaltfläche in der Weboberfläche seines E-Mail-Anbieters drückt), wird das Vertrauen in Sie leicht steigen. Wie Sie sehen, müssten Sie, um die Reputation des Absenders zu steigern, über Jahre hinweg dieselbe Domain auf derselben IP verwenden. Dies ist mit einer dynamischen IP nicht zuverlässig möglich.

---

Sobald Sie einen VPS von einem Hoster mieten, wird es viel einfacher, einen Heimserver mit dynamischer IP zu betreiben. Sie können diesen VPS als Ihren eigenen DDNS-Server mit extrem niedriger TTL verwenden. Möglicherweise können Sie sogar auf DNS verzichten und andere Mittel (wie HTTP-Umleitung) verwenden, um die IP-Änderung Ihrer Heimbox zu handhaben. Sie können weiterhin E-Mails direkt an Ihre Heimbox empfangen – optional mit Fallback auf den VPS, wenn Ihre Heim-IP ausgefallen ist oder kürzlich geändert wurde.