Если у вас ненулевой баланс на счету RU Center, то с вас могут начать списывать 99 р/месяц. Услуга в подарок.
15 апреля мне пришёл спам от компании RU Center с заголовком: «Услуга «Персональный менеджер» в подарок».
Честно говоря, полный текст этого сообщения я тогда читать и не стал — мне и нигерийцев хватает. Об этом письме благополучно и забыл. Потом мне нужно было продлить услугу Secondary M, за что и были RU-Center перечислены затребованные 300 р.
8 мая пришло письмо с заголовком «Продлите действие услуги «Персональный менеджер»». Опять пропустил этот спам, не читая.
12 мая это письмо пришло повторно, и тут я забеспокоился — что это за услуга, на которую я и не подписывался.
Беспокоился не зря — оказалось, что сумма на продление «Secondary M» так и не списана, услуга не продлена и продлить её теперь и не получится, поскольку доступно только 201 р:
Сумма 99 р, оказывается, заблокирована на «Персонального менеджера» и отключить её здесь нельзя:
Побродив по меню, таки удаётся найти интерфейс, где можно отключить автопродление.
Галочку снимаем, «Применить»… и ничего не происходит, на балансе как было 201р, так и остаётся. Ждём 10 минут (вдруг какие отложенные действия), но баланс всё равно не меняется.
Здесь уже начинаем писать в техподдержку. Ответили, вынужден признать, быстро. Удалить услугу отказались, сказали, «отключайте автопродление, аннулирование услуги?будет произведено в автоматическом режиме». На следующее письмо, что подобное не работает, ответ — «Возврат средств происходит в течение нескольких минут после отказа от продления.»
К этому моменту, к счастью, заблокированная сумма с данной услуги действительно вернулась на общий баланс.
Далее была переписка, с попыткой получить чёткий ответ, на каком основании была добавлена платная услуга без моего согласия. Получил потрясающий ответ: «Подключение услуги «Персональный менеджер» в рамках одноименной акции было осуществлено в соответствии с правилами данной акции».
На вопрос, на основании какого пункта Договора — «Возможность проведения акций предусмотрена п. 4.9 Договора.»
Смотрим текст договора:
То есть RU-Center считает, что если у вас в договоре прописана возможность проведения акций, то он незаметно может вам добавить платную услугу. А вы должны это углядеть и вовремя отказаться. Гениально. Очень напоминает анекдот про автосервис и пункт «Прокатило».
Подозреваю, что данная «акция» добавляется не всем, а только для аккаунтов на юридическое лицо. На другом аккаунте подобного не происходило. Но в любом случае, если вы клиент RU-Center, лучше проверьте.
15 апреля мне пришёл спам от компании RU Center с заголовком: «Услуга «Персональный менеджер» в подарок».
Текст письма
Уважаемый клиент!
С 15 апреля по 15 мая 2020 года в RU?CENTER действует акция, в рамках которой мы активировали для вас услугу «Персональный менеджер» бесплатно на один месяц.
Услуга дает возможность обратиться напрямую в отдел персонального обслуживания, минуя общую службу поддержки. Контакты для обращений доступны в разделе «Для клиентов — Договор — Персональный менеджер».
Вы можете отказаться от участия в акции, направив на info@nic.ru уведомление об отказе и номер вашего договора. По истечении срока действия подключенной услуги вступит в силу стандартный порядок её продления — в соответствии с тарифами, указанными в Приложении 2 к Договору об оказании услуг. Отказаться от продления услуги можно в разделе «Для клиентов» > «Услуги» > «Продление действия услуг» не позднее чем за 8 календарных дней до окончания срока действия услуги.
Подробные условия акции опубликованы на сайте.
Условия акции
Честно говоря, полный текст этого сообщения я тогда читать и не стал — мне и нигерийцев хватает. Об этом письме благополучно и забыл. Потом мне нужно было продлить услугу Secondary M, за что и были RU-Center перечислены затребованные 300 р.
8 мая пришло письмо с заголовком «Продлите действие услуги «Персональный менеджер»». Опять пропустил этот спам, не читая.
Текст письма
Уважаемый клиент!
15-05-2020 истекает срок действия оплаченного периода услуги «Персональный менеджер».
Чтобы продолжить пользоваться услугой, пополните счет договора на сумму не менее 99 рублей.
Если денежных средств на личном счете Вашего договора недостаточно, его необходимо пополнить.
На сайте www.nic.ru в разделе Помощь — Оплата — Формы оплаты услуг
Вы можете выбрать удобный для Вас способ пополнения личного счета: www.nic.ru/help/formy-oplaty-uslug-601
Номер вашего договора: XXXXXXX
— С уважением,
Отдел персонального обслуживания
RU-CENTER Group
nic.ru
12 мая это письмо пришло повторно, и тут я забеспокоился — что это за услуга, на которую я и не подписывался.
Беспокоился не зря — оказалось, что сумма на продление «Secondary M» так и не списана, услуга не продлена и продлить её теперь и не получится, поскольку доступно только 201 р:
Сумма 99 р, оказывается, заблокирована на «Персонального менеджера» и отключить её здесь нельзя:
Побродив по меню, таки удаётся найти интерфейс, где можно отключить автопродление.
Галочку снимаем, «Применить»… и ничего не происходит, на балансе как было 201р, так и остаётся. Ждём 10 минут (вдруг какие отложенные действия), но баланс всё равно не меняется.
Здесь уже начинаем писать в техподдержку. Ответили, вынужден признать, быстро. Удалить услугу отказались, сказали, «отключайте автопродление, аннулирование услуги?будет произведено в автоматическом режиме». На следующее письмо, что подобное не работает, ответ — «Возврат средств происходит в течение нескольких минут после отказа от продления.»
К этому моменту, к счастью, заблокированная сумма с данной услуги действительно вернулась на общий баланс.
Далее была переписка, с попыткой получить чёткий ответ, на каком основании была добавлена платная услуга без моего согласия. Получил потрясающий ответ: «Подключение услуги «Персональный менеджер» в рамках одноименной акции было осуществлено в соответствии с правилами данной акции».
На вопрос, на основании какого пункта Договора — «Возможность проведения акций предусмотрена п. 4.9 Договора.»
Смотрим текст договора:
4.9. Исполнитель вправе проводить временные акции, в том числе акции по снижению стоимости предоставляемых услуг. Порядок проведения таких акций и порядок уведомления Заказчика определяются Правилами проведения соответствующих акций, публикуемыми на веб-сервере Исполнителя.
То есть RU-Center считает, что если у вас в договоре прописана возможность проведения акций, то он незаметно может вам добавить платную услугу. А вы должны это углядеть и вовремя отказаться. Гениально. Очень напоминает анекдот про автосервис и пункт «Прокатило».
Подозреваю, что данная «акция» добавляется не всем, а только для аккаунтов на юридическое лицо. На другом аккаунте подобного не происходило. Но в любом случае, если вы клиент RU-Center, лучше проверьте.
ZAhmed
Давно болтаются несколько доменов в ру-центре, которые хотелось перевести куда-то в более вменяемое место, да всё как-то весомого повода не было, хотя причин вроде хватает. Кажется, вот он, знак.
В связи с этим вопрос к сообществу: а какой вы используете регистратор и можете порекомендовать для обслуживания доменных имён своих пет-проектов?
akamajoris
r01 уже лет 10 использую. Ничего плохого сказать не могу.
stargrave2
Когда-то тоже их использовал, но ушёл, так как если на компьютере с которого я захожу в личный кабинет, засветился Tor-relay, то доступ они блокируют с этого IPv4 адреса. Причём то, что это «relay», а не выходная нода, им плевать, не смотря на то, что я же всё равно должен вводить login/пароль для авторизации.
ikle
Я тоже использую r01 и больше десяти лет. А вы не заметили, что ru-center несколько лет как съел r01? См. https://r01.ru/about/
ZAhmed
Кажется, теперь понятно, почему на мой вопрос «Могу ли я перевести к вам мои домены: <список>?» в ответ пришло письмо с уточнением «Вы хотите перевести их к нам из RU-Center»?
radist2s
Есть возможность держать домены там же, но пользоваться услугами реселлера, как ни странно, RU-домены будут стоить на много дешевле. Держу там домены уже много лет, какие-то даже продавал, все по стандартной процедуре.
tmin10
У меня мой домен у domains.webmoney. Они как раз реселлер nic.ru. Если закрыть глаза на логин через вебмани и оплату через неё же (можно с карты) то в целом нареканий нет, dnssec поддерживается.
ring0king
Они реселлят другого регистратора — webnames
tmin10
Вы правы, ошибся. Контакт регистратора видно в whois информации.
d-stream
А у них правда до сих пор ндс 18% как написано на сайте? )
radist2s
Ну у них дизайн не менялся с момента, как я там зарегался, так что это нормально. Для меня было важным иметь агентский аккаунт. Это удобно для тех, кто держит клиентские домены в одном месте, но домены по всем правилам зарегистрированы на данные клиентов.
d-stream
Интересно: сейчас у них появляются клиенты?
Все-таки «свежесть» на сайте как минимум отпугивает.
radist2s
Как я понял, они гавань для киберсквотеров и просто тех, кто скупает домены пачками. Старая клиентура с кучей доменов, причин переходить к другим регистраторам нет. Такой бизнес живет и здравствует годами даже без обновленного сайта.
UPD: гавань в плане цен и инструментов автоматизации.
dotnetfx40
А сколько там продление .ru доменов стоит? что то руцентр заъелся
timothyz
Зато я могу. Замена ключей dnssec каждый раз превращалась в цирк и могла растянуться на недели. Последней каплей стало решение их админов зарезать фаерволом 53/TCP на их DNS-серверах.
LAG_LAGbI4
только от мастерхоста перешёл в руцентр, выясняется, что это не вменяемое место
rstepanov
руцентр — редкая помойка, бегите оттуда
Tyusha
А что не так? Пользуюсь ими, просветите.
nikolayv81
Приведённый в статье случай не первый, в прошлом(не помню год или два) они гораздо более дорогую временную промоуслугу продлевали платно :)
rstepanov
Про проблемы с безопасностью, регулярные попытки навязывать дополнительные платные услуги и перепродажу доменных имен и так достаточно написано, используйте поиск. Добавлю от себя еще убогую техподдержку, отсутствие поддержки DNSSEC(было пару лет назад, сейчас — не знаю и не интересно уже) и конские цены.
После перевода доменов к другому регистратору мало того, что стало дешевле в разы, так еще и вопросы стали решаться за минуты, а не за месяцы.
suffix_ixbt
Да уж как пару лет есть :)
rstepanov
Мне уже безразлично что у них есть :)
Calc
меня всегда там смущали платные dns
samusev
Весной 2016 RU-CENTER показала себя не с лучшей стороны, когда упразднила партнерские тарифы, введя клубную программу с платными статусами (т. е. помимо платы за домены нужно было выкладывать за свой статус приличные деньги). Тогда в Рунете бурно это обсуждали, особенно администраторы, у которых было зарегистрировано десятки, сотни и тысячи доменов. Из-за этого многие переметнулись к другим регистраторам. Я был в том числе. Вдобавок у RU-CENTER часто менялись условия в моем партнерском договоре и меня это дико бесило, т. к. по сути получалось, что мой старый договор не действовал, хотя я его лично подписывал у них в офисе (в договоре был какой-то пункт, позволяющий им творить что угодно).
Oplkill
Про это все уже забыли?
DaemonGloom
Timeweb вполне радует меня для таких целей.
firez
Timeweb довольно-таки убог в плане производительности и устойчивости, но дёшев, да.
Loner
Ага, за 50 ? настраивают переадресацию на https(хотя раньше была галочка в интерфейсе), еще хуже чем руцентр
DaemonGloom
Хм. Галочка использования https и включения переадресации как была бесплатной в разделе сайтов, так и осталась.
За 50 рублей при создании нового сертификата они делают чуть больше (и пишут об этом крупными буквами прямо под галочкой.
Loner
Да, но она однажды перестала работать. И у всех клиентов слетел редиректы на HTTPS.
Произошло это чудным образом одновременно с появлением галочки.
DaemonGloom
Видимо, нам повезло. Как работало, так и работает. Сертификат от letsencrypt бесплатный.
Areso
Ничего не могу сказать про регистрацию доменов у них, но виртуалку я бы у них держать не стал. Есть ряд недостатков. Поскольку один из моих клиентов сидит там, то я как бы сталкиваюсь с ними время от времени.
zorteg
Вот вам история и про timeweb.
Было у нас 5 виртуалок, из них 4 в какой-то момент стали ненужными, но поскольку на тот момент за выключенные виртуалки они брали совсем небольшие деньги, удалять их не стали, держали выключенными на всякий случай. Пятая виртуалка (2 ядра, 512мб памяти, 10Гб ssd) продолжала работать.
Недавно обнаружили, что timeweb втихую, без уведомления:
1. Тарифы у всех пяти виртуалок сделал «архивными» и повысил цены примерно в 10 раз. Так, например, активная виртуалка (2 ядра, 512мб памяти, 10Гб ssd) стала стоить чуть больше 4к рублей в месяц.
2. Стал снимать за выключенные виртуалки так же, как за включенные.
Пруф. Как видите, слабенькая виртуалка стоит, как железный сервер.
В итоге общий ценник стал порядка 10к рублей в месяц. Естественно, это обнаружилось далеко не сразу, сумма потерялась среди прочих счетов, и к моменту, когда обнаружили, переплатили уже где-то под сотню тысяч рублей.
После того, как сменили тариф с архивного на свежий и удалили выключенные виртуалки, общий ценник в месяц составил 210 рублей.
Сам timeweb на все вопросы отвечает отписками вроде «Это потому что у вас тариф дорогой, смените, и будет дешево. Если хотите, мы вам поможем» или просто игнорирует.
В общем, мы оттуда валим и всем того же советуем.
vladkorotnev
Пользуюсь Gandi, вроде пока всё тихо. Но дорого.
Ну и в регру висит пара доменов в зоне su, которую у французов не купишь.
stargrave2
Когда-то тоже их использовал, но один раз они прислали письмо с просьбой предоставить мои идентификационные данные (скан документов), так как кто-то на мой домен написал какой-то abuse report. При этом, в самом письме нет ни подписи, ни единого слова, хотя бы ID моих тикетов/контрактов, которые бы могли намекать что письмо действительно от gandi, а не спаммера.
Прошло время (то ли неделя, то ли две) и мои домены просто отключили молча. В DNS/whois они перестали resolve-ится полностью, как-будто и не было. Три дня я был полностью без связи с миром по сути, так как не было email-а из-за отсутствующих доменов. Выслал им скан паспорта. Объяснял что такое «регистрация»/«прописка» в России, чтобы подтвердить данные об адресе в whois. В итоге домены они назад включили.
Но письмо, *абсолютно* не отличимое от спама — я считаю полным сраньём с их стороны. И я так и не узнал что был за abuse report и мне не пояснили как я мог догадаться что их письмо было не спамом, ибо там абсолютный ноль в информации показывающей ИХ знание обо мне, хотя бы логин какой был бы в нём (PGP подпись уж не прошу).
vladkorotnev
А в админке тот же запрос не светился? Даже уже и не помню, давал им данные или нет. Регру точно паспорт требовал вбивать.
stargrave2
Честно говоря, уже и не помню. Посмотреть не могу, так как в тот же день, как мне вернули домены/контроль, я от них свалил. Но если бы запрос был в админке, то там вроде по другому бы выглядели письма, как минимум с какими-нибудь идентификаторами тикетов. Их то я ни разу глазами не пропускал мимо. Или (!) же если бы там просто было упоминание что у меня тикет новый есть, то я хотя бы был бы вынужден проверить его в админке и увидел бы и факт HTTPS сессии не давал бы сомнений что действительно тикет от них.
Точно не помню, но у них я был, мне кажется, не один год, пока не случилась эта оказия.
vladkorotnev
Я восемь лет уже, полёт нормальный. Но я и проектов крупных не держу, и порнуху пиратскую не заливаю, так что может просто не привлекал внимания :-)
stargrave2
А я вот только что увидел news.ycombinator.com/item?id=22001822 новость и там тоже кто-то говорит что у него 34 раза за 12 мес. просили идентификацию, а у кого-то вообще ни разу за много лет. Так что… кому как повезёт с ними :-)
vladkorotnev
Как и с любым другим сервисом, впрочем.
Я к ним попал через промо в Thunderbird с доменом нахаляву, да потом понял, как удобно не скакать по dyndns и остался. Правда почту никогда и не использовал на своём домене, мало ли :-)
Tangeman
Насчёт "абсолютно" вы несколько погорячились. Просмотрел все письма от gandi с 2012 года (включая общение с поддержкой) — все без исключения подписаны от кого, не говоря уже о чётком поле "From" и даже префиксе "[GANDI]" в subject, а с прошлого года ещё и DKIM подписаны. Что примечательно, ни одно не получило отметки "спам" (хотя у меня нет белых списков).
Если письма читать, их очень трудно принять за спам.
stargrave2
Выкладываю то письмо как есть, как оно у меня в почтовом ящике оказалось без изменений: storage.stargrave.org/gandi.txt
Заголовки показывают что участвовали сервера Gandi, но эта информация подделывается. Номер тикета какого есть, но… где мне его посмотреть? Единственный идентификатор связанный действительно со мной это «SM10328-GANDI», присутствующий и в whois БД (откуда спамеры много чего берут). То есть, мне приходит письмо, где данные только из whois, в котором ни DKIM, ни PGP, но они просят прислать мои документы по почте в PDF. У меня и сейчас не возникнет мысли что серьёзная компания такие серьёзные документы способна просить отправить в открытом виде (без шифрования) по почте. Уж хотя бы через HTTPS веб-интерфейс к какому-нибудь support ticket-у их приложить предложили. С моей точки зрения, письмо, где ни капли криптографии, никакой информации которую бы я смог узнать/получить через TLS-соединение (из их RT например), никакой информации известной только им, а не всем (whois) и с просьбой важные документы отправить в открытом виде по email — это на 100% спам. Или, предполагается (с их точки зрения), что я должен им написать письмо с вопросом «это точно вы прислали такое и хотите мои документы по email?». Грамотная серьёзная компания не станет так делать, это не серьёзно. Но Gandi сделали. Более того, насколько помню, чуть ли даже не новостные письма от них отображались в личном кабинете… а письмо про abuse отсутствовало. Ещё одна странность именно с этим подобным письмом (как технарь, сейчас, я понимаю что RT система у них наверное как-то отвязана от всего остального, от остальных писем и поэтому оно не появлялось в личном кабинете).
Это всё я им, кстати, высказал и написал, чтобы они мне намекнули как я бы мог аутентифицировать их. Проигнорировали (our technical department will look, итд). А дальше растянувшееся на несколько дней объяснение что такое прописка/регистрация, наши паспорта и прочее, оно же ведь ещё и на кириллице в сканах.
Tangeman
Честно, не знаю как это можно было принять за спам — чётко видно от кого и о чём, даже в самом subject, а в теле описано что и почему нужно сделать.
From — да. А вот Received — это может подделать только ваш провайдер почты, если вы ему не доверяете — то проблема гораздо шире.
Вы конечно можете подозревать фишинг и прочие нехорошие вещи, но достаточно просто зайти в портал и открыть тикет с вопросом "Это точно от вас?" — и проблема будет решена. Можно позвонить или написать — тоже дело пары минут.
Формально нет, не просят. Там написано "you may send us documents by email" — т.е. вы можете это сделать по почте (если хотите), но вообще-то это делается в портале через тикет, как раз для тех кто не доверяет email.
stargrave2
Subject? Ну вы серьёзно по subject-у собираетесь оценивать легитимность письма или вы спам сообщения не видели как делаются? В теле написано чтобы я прислал сканы персональных документов. Провайдер почты — это я сам. Видно что подключение было с их IP. Подменить это всё можно (на сетевом уровне), но это уже целенаправленная атака, которую безусловно спамеры для меня делать не будут. Но сколько случаев когда просто из сетей, которые ломают, по неаккуратности не закрывают/whatever, вылезает спам, с легитимных IP-адресов. Уж извините, но аутентификация без криптографии невозможна во всех этих случаях. Достаточно ссылки на https тикет в их RT.
«достаточно просто зайти в портал и открыть тикет с вопросом» — я убеждён что серьёзная техническая компания такой шаг заставлять пользователя не может (если забыть про отправку plaintext-ом документов в письме). Это не укладывается в голове. Но да, это буквально единственный шаг который можно было бы сделать. Но даже если бы домены мои и не блокировали, я бы с gandi распрощался, видя как они заставляют аутентифицировать себя своему клиенту.
Согласен про «may». Но получается, что беспечные пользователи отправят email-ом, а не такие беспечные будут общаться с поддержкой, открывая тикеты и прилагая там свои документы и тратя на это время. Они это не могут автоматизировать и заставить всех просто сразу же (после получения письма) слать документы через HTTPS личный кабинет? Это просто несерьёзно.
Ещё бы я добавил что предупреждения о важных вещах, типа протухания доменов/сертификатов, обычно шлют не один раз. Например за месяц, потом за неделю, но предупредят что achtung! будьте внимательнее и не забудьте оплатить/продлить/whatever. В случае с abuse-ом одно письмо предупреждение и всё. Но это уже из серии придирок.
Tangeman
Нет, не легитимность — а необходимость углубленного изучения. Потом, если возникают сомнения (и нет электронной подписи) — изучение заголовков (из них в данном случае чётко видно что письмо легитимное).
Даже если письмо будет дважды подписано (DKIM + PGP) и с прямой ссылкой на тикет — это не гарантия что пользователь поверит — это я вам из личного опыта говорю. Всё равно пишут или звонят и спрашивают — "это точно ваше письмо? мне страшно открывать ссылки" — так зачем тогда заморачиваться с шифрованием и подписями?
Вы, как технически подкованный, способны отличить "надёжное" письмо, но вы в меньшинстве. Обычные люди, если люди видят что-то условно угрожающее ("отключим газ") — они боятся и переспрашивают, даже если письмо лично принесёт госкурьер в форме и с гербовой печатью на лбу, убедит такого разве что команда спецназа рядом в сочетании с чёрным вертолётом.
И что в этом плохого? Настройте TLS в почте и будем вам счастье — гарантия что уйдёт прямо куда нужно и зашифрованное. Гугль/яндекс/etc и так это делают, вообще все приличные провайдеры так делают (и уже и так всё о вас знают), в чём тут проблема? Разве что кто-то лично вас сильно не любит, но в этом случае у вас уже явно другие проблемы.
Для продвинутого фишера это не проблема — создать письмо с нужной ссылкой. Оно будет иметь правильный DKIM (c доменом похожим на нужный), может даже PGP (если он используется атакованным сервисом), ну и наконец правильный https в теле письма, якобы ведущий в "личный кабинет" — вы этого хотите? Сколько человек из 100 проверят что ссылка в письме ведет на их личный кабинет, а не что-то вроде https://gandi.support-services.zone? Сколько антивирусов по дороге зарежут письмо с прямыми ссылками (да, тоже случается) ведущими на страницы с вводом имени/пароля?
На самом деле это и есть причина почему прямых ссылок стараются пихать поменьше — один из моих клиентов вынужден был отказаться от такой практики поскольку стали поступать жалобы от клиентов что письма перестали приходить (резались антивирусами и антиспамами).
Ну в вашем случае вы бы и остальные проигнорировали, судя по всему :)
stargrave2
Как я могу настроить или повлиять на использование TLS между SMTP серверами? Это невозможно. От клиента (MUA) до сервера — могу. Надеятся (только надеяться) что от сервера до gandi SMTP будет только один hop — могу. А в общем случае я никак не управляю и не знаю будет ли TLS в SMTP использован.
Если ссылка будет вести на gandi.net, тот самый, на который я сам всегда логинился, то для меня этого будет достаточно. «Похожие» ссылки (то бишь фишинг)… ну об этом вроде бы всех пользователей устали предупреждать что это такое.
Скорее вы правы в том, что сколько PGP/DKIM/whatever не суй, но простому пользователю это будет всё параллельно. К сожалению. И наверное тоже может быть разумно не тратить время (зарплату технарей) на поддержку всей этой криптоинфраструктуры, ибо ради небольшого меньшинства не стоит оно того. Ну что ж… именной по этой причине, значит, Gandi лично мне и не подошёл и я был «отключен» от мира на несколько дней (благо что всего несколько дней! многие MTA наверное даже не успели удалить у себя из очередей письма недоходившие до меня).
«Ну в вашем случае вы бы и остальные проигнорировали» — точно уж не скажу, как я бы себя повёл. Но на самом деле, мне кажется, решающим было только то, что оно отсутствовало в сообщениях в личном кабинете. Уж или не сували бы туда даже новостные сообщения или сували бы всё. Просто когда уж даже реклама там логируется в сообщениях в кабинете, то как-то не ожидаешь что важнейшие сообщения туда не попадут.
Tangeman
Судя по тому что у вас Postfix, просто. Можно это делать только для определенных доменов (где вам важна безопасность) и начать доверять почте. Вообще у всех современных почтовиков есть такая возможность.
Если сервер не поддерживает TLS — да, тут проблема, но это уже скорее редкость.
Это не помогает. Большинство или жмут не проверяя (и не все клиенты показывают куда она собственно ведёт), или боятся нажимать вообще.
Проблема тут в том что продвинутый фишер сможет легко подделать письмо любой сложности, которое будет выглядеть как настоящее (они просто копируют оригинал), а это, в свою очередь, даёт вам возможность сказать "выглядит как спам" вообще на любое письмо.
Есть люди которые редко заходят в личный кабинет, как они узнают что что-то нужно сделать? Только почтой, а почту они не читают потому что "спамеры могут подделать" — круг замыкается.
Как, по вашему, могло выглядеть из письмо без шанса быть подделкой и при этом гарантированно заставившее вас действовать? Кроме PGP/SMIME, разумеется (DKIM можно сделать очень похожим).
stargrave2
Со своего сервера я могу форсировать использование TLS только до первого hop-а (до mail*.gandi.net например), а дальше я уже не знаю как там и что дальше пойдёт. Может MX сервера находятся в одном ДЦ, а другие hop-ы в другом и между ними нет шифрования и оно гоняется между гос-вами. Безусловно, это же касается и любого рода серверов, но https до gandi.net Web-страницы это всё же endpoint их, а свою почту они может дальше просто на gmail.com ящики отправляют.
«продвинутый фишер сможет легко подделать письмо любой сложности» — поэтому важно чтобы его как-то можно было бы аутентифицировать как-то ещё. В личном кабинете нет, ссылок на какой-нибудь rt.gandi.net нет — ничего нет. Вариант «спросить поддержку» наверное для большинства пользователей сойдёт, но я такой вариант не ожидал. Поддержка же в любом случае заведёт тикет, что-то мне напишет, что окажется в личном кабинете — что им мешает сразу там что-то написать?
Узнать что что-то можно сделать только почтой, само собой. Если спамер послал сообщение, мы потратили время и зашли в кабинет, но ничего не увидели связанного с сообщением — значит это был спам, мы потратили впустую время. но, ничего, бывает, главное что не стали на него отвечать или переходить по подозрительным ссылкам (если бы они были). Это худший вариант — мы потеряли время, но и спамер в общем-то ничего не получил (если мы конечно ему не ответили PDF-кой как он и хотел). От российских регистраторов (а я был на nic.ru, потом r01.ru (или наоборот), теперь на reg.ru) все письма что приходят — так или иначе светятся в кабинете. Или сами письма/сообщения или alert/alarm о том что домен протухает или что-то там требуется.
Если люди не читают почту потому что можно подделать — это очевидно не правильно. Читать то можно, но нельзя аутентифицировать (просто): она может быть либо от спамера, либо легитимна и нужно убедиться в последнем, зайдя в личный кабинет или ещё куда-то, боле доверенное чем email.
«Как, по вашему, могло выглядеть из письмо без шанса быть подделкой» — без криптографии, то что это не подделка я не могу точно узнать, но если оно содержит ссылку на https:// rt.gandi.net (гипотетический) или оно будет присутствовать в сообщениях личного кабинета (где, подчеркну, даже вся их новостная реклама есть), то этого будет достаточно для того, чтобы поверить в легитимность этого письма. Спамеру точно нет никакого резона давать ссылки на настоящие тикеты.
Tangeman
Вы меня извините, но куда уж легитимнее:
Чёткая ссылка на интерфейс (требующий аутентификации) где вы можете сделать то что они от вас просят, в домене gandi.net — как это можно принять за спам?
На случай если что-то пойдёт не так, сразу за ней:
Нет, я решительно не понимаю как это можно не воспринять как легитимное письмо — ибо не представляю что мог бы получить фишер давая пользователю эти ссылки (при условии что они таки ведут на gandi, разумеется).
stargrave2
Сделать что? Написать им «я тут получил сообщение, где сказано чтобы я с вами связался и дал вам документы»? И что я получу в ответ: «да, мы хотим получить от вас документы»? Если их ответ попадёт в личный кабинет, то что мешало сразу в нём оставить сообщение о том что да, они действительно хотят документы. У меня не укладывается в голове для чего нужен этот round-trip. Если моё сообщение должно завести тикет, в контексте которого дальше мы там с ними будем общаться и передавать документы, то почему бы тикет сразу не завести? Это не укладывается в голове, не логично.
А что логично, так это то, что в их сообщении написано не просто про /contant, а то что документы можно отправить прямо по email в PDF формате. Если люди уж продолжают вестить на выигрыши в миллион долларов от нигерийского принца, то уж в это то тем более поверят и многие отошлют свои документы. Смысл этого письма исключительно только в этом, а /contact и прочее это для отвода глаз. Какой смысл в этом если ответное письмо идёт от пользователя на support.gandi.net? Да, это могло бы быть странно, либо спамеры слушают трафик SMTP и видят корреспонденцию до support.gandi.net (между ДЦ и прочее) и это целенаправленная атака на клиентов Gandi. Не вижу в этом ничего нереального, ибо наслышан как всё плохо с безопасностью у большинства компаний.
Похоже, меня в этом письме напрягло больше всего их «may send us these documents by email in PDF». Если бы не это, тогда действительно я бы не понимал зачем спамеру такое отсылать, какой profit.
karavan_750
Больше 5 лет пользуюсь агрегатором regnic.name. За все время ни одного отрицательного момента не было.
Baigildin
2domains
Divisi0n
Более 10 лет там. Единственный нюанс — за последние несколько лет продление .ru ненавязчиво выросло с 99 рублей до 699, как-то не вяжется с естественной инфляцией.
nikolayv81
Так это же тот же рег ру :)
Divisi0n
Да, это партнёр рег.ру, но не ник.ру
WConnected
Это их дочерняя компания. Они купили этого своего реселлера, еще лет 5 назад. Формально это не афишируется, но ЕГРЮЛ помнит все.
Eugeny1987
меня разочаровал 2domains
В какой-то момент перестал пускать в личный кабинет, мол доступы не верны. Видимо после обновления дизайна личного кабинета. Через форму сброса пароля приходил новый пароль, который увы не подходил.
В поддержке запросили сканы документов и ответ на секретный пароль и тогда они сами вышлют мне новый пароль. Мне это показалось странным и я им ничего не отправил.
Один раз меня пустили с другого компа и провайдера, тогда я передал управление доменами в аккаунт reg ru
Спустя полгода меня все еще не пускает в личный кабинет и пароли через форму восстановления не подходят.
vsb
Раньше gandi считал лучшими, но недавно у них был инцидент какой-то, который подорвал моё доверие. Пока мой следующий предпочтительный вариант это cloudflare, хотя именно как регистратором, ими не пользовался, но в целом мне они нравятся, как будет оказия, к ним перееду.
stargrave2
Вот этот инцидент наверное: news.ycombinator.com/item?id=22001822
ZloyKishechnik
я переехал с reg.ru на cloudflare registar. платил за 2 .xyz домена по 1300р, сейчас суммарно за 2 плачу 16$, что даже дешевле. плюс продлили аренду до 22 года бесплатно.
NTVampire
Лет 7 на reg.ru, все устраивает.
morr
inwx.com
samusev
Для доменов RU — R01. Для доменов третьего уровня — через партнера RU-CENTER (Ардис). Для зарубежных — Dynadot. От R01 и Dynadot негатива пока не было.
rostislav-zp
Name.com
Единственный нюанс- 1й год домен стоит 2 доллара, потом по 20.в остальном все спокойно
ring0king
regway — для международных и зарубежных доменов.
r01 (точнее, его реселлеры, т.к. напрямую дорого там) — для отечественных зон.
Пользуюсь уже лет 10 — полет нормальный, >1K доменов, никаких верификаций и блокировок за все время не было.
vgdnet
Не реклама у меня никакого гешефт а кроме моих спокойных нервов после перехода к ребятам с ник.ру
active.domains
Кстати нашёл их тоже на хабре после очередного опуса о ник.ру
sokoloff-rv
Я уже 6 лет пользуюсь Beget и они за все это время ни разу меня не расстроили. Тарифы прозрачные и гибкие, цены адекватные. Классный свой файловый менеджер, удобная панель управления, реактивная и адекватная техподдержка. С недавних пор и домены сами регистрируют, советую.