Почему Addy.io на вашем сервере не спасёт от спама и утечек данных

Почему саморазвёрнутый Addy.io не делает вас анонимным — даже если вы администратор

Использование одного и того же почтового ящика для всех регистраций — это как дать ключи от квартиры незнакомому подрядчику. Утечка данных, рассылки, фишинг: список причин, чтобы не рисковать, растёт с каждым годом. Публичные сервисы одноразовой почты вроде Temp-Mail или 10 Minute Mail решают проблему частично: блокируют входящий трафик после первого письма или требуют платную подписку за базовые функции. Альтернатива — запустить Addy.io (ранее AnonAddy) на своём сервере, чтобы генерировать неограниченное число алиасов, шифровать письма PGP и одним кликом отключать скомпрометированные адреса.

Но у этого подхода есть подвох. Алиасы создать легко. А вот заставить их reliably доставлять письма в основной ящик — задача для администратора почтового сервера, а не для пользователя, который просто хочет закрыть утечку данных.

Почта работает, пока не перестаёт работать

После установки Addy.io на свежем VPS с Ubuntu пользователь отправляет тестовое письмо на один из сгенерированных алиасов. Вместо того чтобы оказаться в основной папке, оно попадает в «Спам». Причина не в конфигурации приложения — в отсутствии корректной PTR-записи. Провайдер выдал IP без обратной зоны, и фильтры расценили сервер как потенциальный спам-бот.

Исправление не в коде: нужно открыть тикет в техподдержку (например, Vultr), чтобы обновить обратную зону с дефолтного значения вроде vultr.guest до mail.example.com. Процесс занимает от нескольких часов до суток. За это время все алиасы на этом IP работают с пониженной доставляемостью, даже если настройка Addy.io формально верна.

Алиасы — это просто. Почта — нет

Создание алиаса в Addy.io действительно сводится к паре строк конфигурации или клику в веб-интерфейсе. Но маршрутизация писем через MySQL, фильтрация спама с помощью Rspamd и поддержка TLS требуют навыков системного администратора: настройки базы данных для alias routing, кастомизации правил Rspamd, проверки SPF/DKIM/DMARC на стороне получателя.

Практика показывает, что wildcard MX-запись (MX * mail.example.com) позволяет ловить все письма на один домен, но ломается, если DNS-провайдер не поддерживает такие записи или не даёт контроля над корневыми записями зоны. В таком случае приходится жертвовать catch-all в пользу точечных алиасов — и заново переписывать маршруты.

PGP защищает текст, а не заголовок

Addy.io поддерживает PGP-шифрование входящих писем, но это не делает вас анонимным. Зашифрованными остаются только тело письма и вложения — тема, отправитель и получатель видны в открытом виде. Чтобы скрыть тему, нужно дополнительно настраивать PGP для субъектов, и даже тогда часть почтовых серверов отбрасывает такие письма как потенциально опасные.

Грубая правда: если вы хотите избежать утечки данных или спама, PGP не заменит тактику алиасов. Зато он добавляет головной боли с ключами, расшифровкой на стороне клиента и неизбежными ошибками при неверной конфигурации.

Кастомный домен: свобода или ещё один инфраструктурный проект?

Добавить свой домен (alias@mycompany.com) в Addy.io кажется простым шагом. На деле это означает:

• TXT-запись для подтверждения владения доменом.
• Поддомен (mail.mycompany.com) для MX-записи, чтобы не конфликтовать с текущим почтовым провайдером.
• DNSSEC и DANE (TLSA) для улучшения доставляемости — но не все хостеры поддерживают TLSA, и тогда приходится жертвовать либо безопасностью, либо совместимостью.

Рабочий пример: пользователь регистрирует домен у регистратора, который не даёт доступа к продвинутым записям. Приходится переезжать на провайдера вроде Cloudflare или переносить домен к новому хостеру. Время простоя — от недели до месяца. За это время алиасы продолжают работать через дефолтный домен Addy.io, но теряют фирменный стиль.

Когда саморазвёртывание всё-таки оправдано

Self-hosted Addy.io имеет смысл в двух случаях.

Первый — команда или проект, которому нужны shared inboxes с разделением по ролям: support@company.com, dev@company.com, press@company.com. Алиасы Addy.io позволяют маршрутизировать письма на разные ящики без создания отдельных аккаунтов.

Второй — жёсткие ограничения на размер писем или количество алиасов. Платные тарифы hosted-сервиса начинаются с $12 в год, но у них есть потолки (например, 10MB в месяц на бесплатном плане). Если вы планируете пересылать вложения объёмом в сотни мегабайт, саморазвёртывание убирает этот лимит — но взамен требует железной дисциплины по настройке DNS, SPF, DKIM и регулярной чистки чёрных списков.

Итог: инструмент для администраторов, а не панацея

Если вы не готовы тратить время на отладку DNS, настройку Rspamd и переписку с саппортом хостинг-провайдера, hosted-сервис Addy.io с его лимитами — более разумный выбор. Он не сделает вас анонимным, зато доставит письма без танцев с бубном.

Если же вы запускаете Addy.io на боевом сервере, приготовьтесь к тому, что алиасы — это только верхушка айсберга. Под водой скрываются PTR-записи, DNSSEC, DANE и десяток других параметров, от которых зависит, попадёт письмо в основной ящик или в спам. В этом случае Addy.io перестаёт быть инструментом приватности. Он становится вашим личным почтовым администратором.