От закрытия 25 порта к собственному SMTP-сервису: как мы к этому пришли

Почему спам остается проблемой для компаний и почтовой инфраструктуры

Сегодня электронная почта остается одним из ключевых каналов коммуникации для бизнеса и части пользователей, однако значительная часть трафика по-прежнему нежелательная. По оценкам отрасли, 45–60% всего почтового трафика составляет спам, а Россия входит в число стран с самым высоким объемом его генерации.

Помимо прочего, email также остается одним из ключевых каналов доставки вредоносных сообщений — исследования показывают, что на него приходится до 92% фишинговых и вредоносных кампаний.

Но такой трафик давно превратился в «белый шум»: с ним сталкиваются не только конечные пользователи, но и компании, которые управляют собственной инфраструктурой или поднимают почтовые сервисы. Помимо прочего, технологическая доступность ботнетов и фишинговых комплектов снижает порог входа для злоумышленников.

На этом фоне организации, размещающие почтовые сервисы у себя или в облаке, неизбежно оказываются вовлечены в общий почтовой поток. Если учетные данные пользователя будут скомпрометированы или сервер неправильно настроен, часть нежелательного трафика действительно может пройти через инфраструктуру такой компании. Это влияет на репутацию IP-адресов и способность легитимных писем доходить до получателей.

Понимание того, как именно работает почтовый трафик, помогает объяснить, откуда возникает риск. Классический SMTP-сервер использует порт 25 — транспорт по умолчанию для отправки и приема сообщений. Если этот порт открыт и доступ к серверу недостаточно защищен, то его можно попытаться использовать как точку ретрансляции — источник отправки спам-сообщений. Именно поэтому настройка SMTP и контроль доступа к порту 25 — важная часть любой почтовой инфраструктуры.

Что еще важно знать про SMTP и порт 25

SMTP (Simple Mail Transfer Protocol) — базовый протокол для передачи электронной почты, разработанный еще в 1980-х и неизменно используемый до сих пор. При этом порт 25/TCP — стандартный порт для SMTP-трафика и используется чаще всего. Реже применяют порт 465 — например, в случаях, когда требуется защищенное SSL-соединение. Популярное решение среди провайдеров — ограничение исходящих соединений на порт 25, то есть его блокировка. Это помогает снизить вероятность злоупотреблений и спам-рассылок. В таких случаях для отправки писем применяется альтернативная инфраструктура — например, отдельный SMTP-транспорт или специализированный почтовый сервис.

Какие есть пути решения

Понимание того, как формируется нежелательный почтовый трафик, приводит к вполне практическому вопросу: «Что могут сделать компании и провайдеры, чтобы снизить риски и защитить инфраструктуру?» На рынке сложилось несколько ключевых подходов, и у каждого есть свои плюсы, минусы и технические особенности.

Решение 1. Закрыть 25 порт на исходящие соединения

Закрытие 25 порта — это наиболее типовой и распространенный способ уменьшить вероятность нежелательных рассылок с инфраструктуры.

Как это работает
Провайдер блокирует исходящий трафик на порт 25/TCP. Легитимная межсерверная доставка остается возможной (входящие соединения не трогаются), но злоумышленник уже не сможет использовать сервер как площадку для массовой спам-рассылки.

Преимущества

• Существенно снижает риск, что сервер станет источником спама.
• Защищает репутацию IP-адресов.
• Минимальные затраты на внедрение.

Недостатки

• Клиентам нужна контролируемая и удобная альтернатива для отправки почты (транзакционных писем, уведомлений, подтверждений).
• Приложения, которые рассчитывают на прямой SMTP-выход, перестают работать без дополнительной настройки.
• Дополнительные объяснения в пользовательской документации о том, как корректно организовать доставку писем.

Этот вариант работает как «быстрая блокировка утечек», но не закрывает всей потребности в почтовом трафике.

Решение 2. Использовать внешний SMTP-relay или почтовый сервис

Некоторые компании встраивают в инфраструктуру сторонний SMTP-relay — сервис, который принимает почту от пользователя и отправляет дальше, при этом контролируя трафик и автоматически фильтруя злоупотребления.

Как это работает
Приложение клиента отправляет письмо не напрямую в интернет, а через SMTP-relay, который выступает в роли доверенного промежуточного узла. Такой сервис часто предоставляет мониторинг, лимиты, защиту от спама и корректную репутацию IP-адресов.

Преимущества

• Не нужно держать собственный SMTP-узел.
• Антиспам, rate-limit и реакция на инциденты ложатся на сервис.
• Высокая доставляемость благодаря доверенным IP.

Недостатки

• Зависимость от внешнего сервиса и его SLA.
• Необходимость интеграции (SMTP или API).
• Потенциальные ограничения на объем рассылок или тип контента.

Решение 3. Развернуть собственный SMTP-relay

Компания может развернуть собственный relay-сервер, контролируя весь путь отправки писем.

Как это работает
Организация получает полный контроль над MTA (Mail Transfer Agent), политиками фильтрации, пулом IP-адресов и мониторингом. Это дает гибкость, но требует ресурсов.

Преимущества

• Полный контроль над инфраструктурой.
• Отсутствие зависимости от внешних сервисов.
• Возможность адаптировать политику под свои нагрузки.

Недостатки

• Необходимость постоянного мониторинга и реакции на злоупотребления.
• Расходы на поддержание репутации IP-адресов.
• Потребность в компетенциях по безопасности и почтовым MTA.
• Риски, связанные с утечкой учетных данных и ботнет-активностью.

Как подошли к решению проблемы мы

Selectel долго использовал мягкие методы: блокировал отдельных спамеров, анализировал пики трафика, внедрял дополнительные правила фильтрации. Но рост облачных сервисов сделал проблему масштабнее — и в определенный момент стало понятно, что без системного решения не обойтись.

В итоге был выбран стандартный для рынка путь: закрыть исходящий 25 порт, чтобы предотвратить злоупотребления. Но при этом оставалась важная задача: клиентам все равно нужен способ отправлять письма из своих приложений и сервисов.

Просто заблокировать порт и «разойтись» было бы неправильно. Требовалась управляемая, предсказуемая и удобная альтернатива.

Почему не свой SMTP-relay

Первой идеей было развернуть собственный relay-сервер. Однако быстро стало ясно, что это не решает главного вопроса — постоянного мониторинга трафика и оперативного реагирования на инциденты.

Содержать собственный SMTP-relay — это не только инфраструктура, но вместе с тем и ряд факторов:

• круглосуточный анализ подозрительных отправок;
• поддержание репутации IP-адресов;
• работа с отзывами доменных провайдеров;
• обновление антиспам-политик;
• логирование и расследование инцидентов.

Этот объем работ сопоставим с полноценным почтовым сервисом, а не просто «SMTP-узлом». Для бизнеса, который не специализируется на рассылках, это неоправданно затратно.

Было решено изучить компании, для которых почтовые рассылки — основной бизнес, и посмотреть, что они могут предложить с точки зрения интеграции и прозрачности трафика.

Какие требования мы сформировали к партнеру и почему

Экспертиза в области рассылок
Нужно, чтобы партнер умел поддерживать репутацию IP, реагировать на жалобы, отслеживать всплески подозрительного трафика — это ежедневная, рутинная и трудоемкая работа.

Партнерский API и модель White Label
Необходимо интегрировать отправку писем в экосистему Selectel так, чтобы она была прозрачной для клиентов: единый интерфейс, единые метрики, минимальная точка входа.

Использование наших диапазонов IP и выделенные пулы
Это технически важно: письма должны идти с предсказуемых адресов, чтобы клиенты могли управлять DNS-записями и проходить проверки (SPF, DKIM, DMARC).

Опыт работы с нашим стеком
Партнер должен быть готов работать в среде Selectel и понимать особенности маршрутизации, сетевые политики, API-интеграции, мониторинг.

После анализа рынка был найден партнер, который закрывал эти требования — и на основе их инфраструктуры мы построили сервис отправки писем.

Интеграция SMTP-платформы

Для запуска контролируемого сервиса отправки писем нам требовалась полноценная SMTP-платформа, которая закрывала бы несколько ключевых задач: управление отправками, репутацией IP-адресов, мониторингом трафика и защитой от злоупотреблений. После анализа рынка мы остановились на партнерском решении Sam Otpravil, которое доработали под наши требования и интегрировали в инфраструктуру Selectel.

Ниже — основные технические компоненты, которые легли в основу интеграции.

Управление стоп-листами и фильтрация невалидных адресов

Для минимизации «шума» и повышения доставляемости нам была важна автоматическая работа со стоп-листами. Сегодня мы используем:

• накопленную базу невалидных адресов, которая формируется на основе исторических данных и обмена информацией между сервисами рассылок;
• гибкие политики включения/исключения, чтобы при необходимости отключать фильтрацию, например, для критичных транзакционных уведомлений.

Это позволяет снизить нагрузку на инфраструктуру и минимизировать риск отправки писем на изначально некорректные адреса.

Автоматизированное создание выделенных сендеров

Одним из требований Selectel была автоматизация процесса выдачи выделенных IP-адресов для отправок.

В интеграцию включены механизмы, которые позволяют:

• автоматически поднимать новый выделенный сендер при заказе услуги в ЛК;
• применять преднастроенные параметры (ротация, warm-up, лимиты);
• передавать доступы клиенту без ручного участия инженеров.

Благодаря этому нам удалось встроить процесс в существующую экосистему Selectel и сделать выдачу сендеров максимально быстрой.

Мониторинг SMTP-трафика и защита от злоупотреблений

Ключевая задача — обеспечить контроль за трафиком, чтобы обнаруживать аномалии на ранних этапах и предотвращать попытки спам-рассылок.

Сейчас в интеграции используется:

• мониторинг SMTP-трафика отправок клиентов;
• автоматические реакции на подозрительные паттерны;
• выборочная ручная проверка подозрительных отправок;
• механизмы управления репутацией IP, в том числе отслеживание откликов почтовых провайдеров и работоспособности пулов.

По сути, эта часть платформы позволила нам решить ту самую проблему, которую нельзя было закрыть собственным SMTP-relay: постоянный, квалифицированный и непрерывный контроль.

Экспертиза в борьбе со спамом и обработке инцидентов

Отдельный слой решения — аналитический. Интеграция позволяет использовать накопленные данные о типичных паттернах поведения злоумышленников, схемах обхода фильтров, а также поведенческих аномалиях при регистрации и первых отправках.

Эта информация снижает вероятность появления спамеров среди клиентов Selectel еще до того, как они отправят первое письмо.

«Экспертиза в области спама — еще одна из ключевых причин, почему мы решили внедрить в свой продукт решение Sam Otpravil. У команды действительно большой опыт в выявлении и блокировке спамеров, который был важен для Selectel».

Что дала интеграция Selectel

С технической точки зрения мы получили платформу с множеством преимуществ. При этом все находится в единой интеграции, которая вписывается в нашу архитектуру и работает под контролем Selectel. Остановимся на ключевых аспектах.

• Безопасное закрытие 25 порта без потери функциональности для клиентов.
• Контроль над репутацией IP-адресов.
• Автоматизированная выдача сендеров.
• Фильтрация нежелательных отправок на уровне инфраструктуры.
• Снижение нагрузки на штатных сотрудников (за счет автоматизации и мониторинга).

«Решение, изначально заточенное под SaaS
Наш софт ориентирован на интеграцию с сервисами, которые предоставляют функционал отправки писем для своих клиентов. Несколько лет мы дорабатывали решение под свою платформу (Mailganer), и этот опыт позволяет быстро встраиваться в другие сервисы и запускать White Label».

Что получилось

В результате интеграции SMTP-платформы мы не просто запустили почтовый сервис для клиентов, но и закрыли две ключевые технологические задачи, которые стояли перед инфраструктурой.

Задача №1 — противостояние спаму при запуске собственного почтового сервера. Нужно было обеспечить фильтрацию, контроль репутации, защиту доменов и минимизировать риски попадания в черные списки.

Задача №2 — организация стабильной исходящей почты в условиях закрытого 25 порта. Закрытие порта защитило инфраструктуру от ботнетов и массовых спам-атак, но одновременно потребовало безопасного и управляемого механизма для исходящей почты клиентов.

Мы решили обе задачи, запустив контролируемую SMTP-платформу, которая встроена в экосистему Selectel и обеспечивает прозрачность, аналитику и стабильную доставку. Пройдемся по конкретным показателям. 

• Статус-репутация IP-адресов остается стабильной, без попадания в крупные черные списки.
• Контроль над отправками позволяет минимизировать злоупотребления и повышает качество трафика.
• Сейчас через интеграцию проходит около 25 млн писем в месяц. И это далеко не предел по части быстрой отправки большого количества писем. 
• Архитектурно сервис уже позволяет отправлять до 1 млрд писем в месяц при скорости около 15 млн писем в час. 

Как работает почтовый сервис внутри Selectel 

Почтовый сервис становится доступен сразу после регистрации в панели управления Selectel. Процесс взаимодействия максимально прозрачен и строится вокруг нескольких основных шагов.

Шаг 1. Подключение SMTP

Клиент получает доступ к SMTP и настраивает свой домен через API или панель управления. Письма отправляются из приложений и серверов через стандартные SMTP-утилиты.

Шаг 2. Проверка получателей

Сервис автоматически фильтрует адреса из стоп-листов и «ловушек». Это снижает риск ухудшения репутации домена и повышает доставляемость писем.

Шаг 3. Добавление технических заголовков

К отправленным письмам добавляются технические заголовки, включая DKIM-подпись. Она подтверждает легитимность рассылки и защищает репутацию отправителя.

Шаг 4. Доставка и аналитика

Рассылка оперативно уходит конечным адресатам. Клиенту доступны подробные отчеты о статусе доставки, а вся статистика аккумулируется для управления и последующей аналитики.

Как развернуть SMTP-сервис Selectel: важные нюансы

Технические инструкции для всех остальных действий, включая создание TXT- и DKIM-записей, настройку DMARC- и SPF-записей, а также настройку обработки жалоб на спам есть в документации. Но есть моменты, о которых стоит помнить заранее.

1. Объем трафика влияет на финальную стоимость

Почтовый сервис Selectel работает по модели pay-as-you-go — в начале каждого часа с баланса списывается оплата за письма, которые были отправлены за предыдущий час.

Стоимость устанавливается за каждую тысячу отправленных писем, включая неуспешные отправки. Отправка первой тысячи писем в месяц предоставляется бесплатно, однако после превышения этого числа цена будет зависеть от объема. Чем больше объем, тем ниже цена за тысячу отправлений.

Так, например, при отправке 900 000 каждая тысяча писем будет стоить 40 ₽, а при 15 000 — 15 ₽. Когда количество отправленных в текущем месяце писем превышает очередной диапазон, цена за следующие письма снижается.

Писем в месяц	Стоимость за каждую 1 000 писем
до 1 000	0 ₽
до 1 млн	40 ₽
до 10 млн	30 ₽
до 100 млн	15 ₽
более 100 млн	6 ₽

С актуальной стоимостью и другой информацией о продукте вы можете ознакомиться на странице сервиса.

2. Качество базы

Даже хорошая SMTP-платформа не даст положительный результат, если база получателей некачественная и/или устаревшая. Так, например, в ней не должно быть большого количества «заброшенных» адресов, иначе это может удорожать рассылку и снижать репутацию домена. 

3. DNS-настройки

DKIM, SPF и DMARC — обязательная часть успешной доставки. Нередко именно отсутствие DMARC снижает доставляемость.

4. Нагрузка на приложение и архитектура

Планируйте архитектуру заранее и учитывайте нагрузку на приложение. Если вы не распределяете отправку писем, то burst-трафик может создать пиковую нагрузку и на ваше приложение, и на SMTP. Рекомендуем использовать очереди (RabbitMQ, SQS, Redis).

Если объемы писем растут быстро, лучше сразу закладывать схему:

• домены/поддомены под разные типы рассылок,
• разнесение сервисных и проморассылок,
• отдельные API-ключи под разные сервисы.

5. Корпоративные домены и выделенный сендер

Если в базе получателей значительная доля адресов на корпоративных доменах (например, @selectel.ru, @company.com), рекомендуется использовать выделенный сендер.

Корпоративные почтовые системы применяют более строгие антиспам-политики и часто требуют индивидуальной настройки репутации под конкретный домен отправителя. Использование общего пула IP в таких сценариях может снижать доставляемость, даже если рассылка легитимная.

Выделенный сендер позволяет:

• управлять репутацией IP отдельно от других отправителей;
• точнее настраивать DNS-политику (SPF, DKIM, DMARC);
• повысить стабильность доставки в корпоративные почтовые системы.

Это особенно актуально для сервисных и транзакционных писем, где потеря доставки критична.

Про важность технологического партнерства 

Техническая часть почтового сервиса Selectel построена на базе API Sam Otpravil. Внедрение White Label-решения заняло три месяца: начиная с декабря 2022 года и до запуска почтового сервиса в феврале 2023.

«В чем ценность партнерского решения?

Продукт искал именно экспертов, которые могли бы «забрать на свою сторону» всю работу по антимспаму: мониторинг трафика, обработку баунсов и процесс по блокировке спамеров.
Команда Sam Otpravil изначально выполняет эти задачи внутри своих продуктов и готова предоставлять экспертизу партнерам. Мы постоянно на связи, автоматизировали обмен отчетами по блокировке спамеров через API и совместно прорабатываем возможные улучшения».

«Действительно, само по себе SMTP-решение найти несложно — протокол работает десятилетиями и поддерживается множеством поставщиков. Однако найти команду, с которой можно надежно работать и развивать продукт — гораздо сложнее.

Sam Otpravil — надежный технологический партнер, который решил нашу изначальную задачу и, что важно, продолжает расти вместе с нами, усиливая безопасность и наращивая экспертизу. Мы можем быть уверены, что, в случае проблем — будет кому их найти и решить, а при необходимости — доработать продукт».