Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 75
Недавно внедрил Зимбру. Отличное решение. До сих пор нет никаких проблем. И пользователи очень довольны.
Просто вопрос, не холивара ради… а почему не Google Apps?
Иии… и почему это является проблемой? ;-) мэйл сервер не должен стоять в соседней комнате, он просто должен быть доступен постоянно, в идеале что-то близко к пяти девяткам (и хорошо фильтровать спам!)
Задачи то разные бывают. Может кто-то предпочитает всю почту хранить у себя или не хочет отдавать ее на сторонние серваки. А некоторые тщательно защищают внутреннюю сеть от вторжений и утечек информации, на столько тщательно, что не позволяют пользователям из нее куда-то на сторонние серверы выходить.
Да хотя бы просто потому, что файл размеров 40 мегабайт прикрепленный к письму, будет намного проще отправить.
Ого мало вы клиентов видели… И не знали тех времен, когда за информацию людей похищали :) Есть такие компании которые не доверят даже Google свою информацию…
еще какой проблемой.
однажды видел веселую ситуацию — Фирма А (поставщик услуги) и Фирма Б (потребитель/заказчик).
Рассчеты были через Гугло-чекаут (или как там оно правильно).
У Фирмы А — почта на Гуглодомене.
Так вот, Фирме Б поимела какой-то конфликт с поставщиком — некие разногласия об объеме и условиях контракта — она берет и жалуется в Гугол. На том основании, что финансовые потоки через гугол. А гугл — хераксь — и блокирует все гуглодела для Фирмы А. И почта уходит среди прочих. На время разбирательства. Фирма А высирает кирпичей пирамиду не хуже египетских.
Хороша ситуация, неправда ли?
Это я к чему — никто во взрослом энтерпрайзе, будучи в своем уме, не доверит функционирование бизнес-критичных процессов каким-то посторонним поцам.
однажды видел веселую ситуацию — Фирма А (поставщик услуги) и Фирма Б (потребитель/заказчик).
Рассчеты были через Гугло-чекаут (или как там оно правильно).
У Фирмы А — почта на Гуглодомене.
Так вот, Фирме Б поимела какой-то конфликт с поставщиком — некие разногласия об объеме и условиях контракта — она берет и жалуется в Гугол. На том основании, что финансовые потоки через гугол. А гугл — хераксь — и блокирует все гуглодела для Фирмы А. И почта уходит среди прочих. На время разбирательства. Фирма А высирает кирпичей пирамиду не хуже египетских.
Хороша ситуация, неправда ли?
Это я к чему — никто во взрослом энтерпрайзе, будучи в своем уме, не доверит функционирование бизнес-критичных процессов каким-то посторонним поцам.
Уважаемые, дело все в том, что я живу там где корпоративный интернет в 4 мегабита (безлимитный естественно) сопоставим с зарплатой сотрудника компании, но в моем случае все еще хуже, на 3-х мегабитном канале сидят 3 организации, поэтому мне лишний трафик (а особенно файлообменный) гонять через наружку — это устраивать тормоза себе и другим. в моем случае 70% почтового трафика это переписка между сотрудниками.
Я не отказывался от shared folders, я отказался от настроить imap ящик в мозилле/аутлуке и сказать что это основная почта.
Э… цитирую вас же:
… Просто руководствуйтесь в создании инфрастукруты следующими принципами:
...
- Никаких общих ящиков по IMAP. Один пользователь — один mailbox. Остальное — алиасы.
- ...
В зимбре-же можно шарить документы ) оно-же явно не самбой шарит ;)
А вообще, если говорить еще прямее, я отказался не от технологии IMAP как таковой потому что без него (IMAP`а) как минимум не заработает веб интерфейс, а от реализации элемента инфрастукруты предприятия. Это все тянется со времен когда The Bat! был одним из самых простых решений «корпоративной» почты. Я думаю каждый 4-й либо настраивал либо видел в работе сетевой диск, на котором зебатовская почтовая база и в каждого на рабочей станции клиент настроенный с запрещением отправки, т.е. он может только положить письмо в соответствующую папку, а на «сервере» стоит отправляющий зе бат. Так вот эти «имап ящики» стали логическим, более высокотехнологичным продолжением ЭТОГО, даже боюсь каким нибуть словом плохим назвать. У меня остался последний оплот этой технологии, само собой я его решил выпилить за ненадобностью. Прошу прощения если в посте не очень корректно выразил мысль.
Я бы в первую очередь отказался от от zimbra.mydomain… в пользу mail.mydomain…
1. Это короче.
2. Это понятнее.
3. Это привычнее.
4. Это универсальнее. Смените вдруг Zimbru на Exchange, CommunigatePro или что-там еще бывает, придется урл переделывать-объяснять, а так пользователи только интерфейсу новому удивятся и привыкнут.
1. Это короче.
2. Это понятнее.
3. Это привычнее.
4. Это универсальнее. Смените вдруг Zimbru на Exchange, CommunigatePro или что-там еще бывает, придется урл переделывать-объяснять, а так пользователи только интерфейсу новому удивятся и привыкнут.
Я бы поменял zimbra.mynetwork.* на mail.mydomain.*. Пожалейте пользователя, пугаете его страшными словами.
На самом деле никакой разницы ;) Я провел небольшое социологическое исследование, к тем, к кому подходил с инструкцией и говорил: «Прочитайте, я подожду, меня 5 минут не убъет.», а после прочтения просил при мне выполнить первый вход только 2 человека начали набирать zimbra.mynetwork.local (!) остальные на нумпадной части вбивали ip и не заморачивались! При этом эти двое понятия не имею что такое DNS и эти двое из тех, кто вобъет mysite.ru в строчку поисковика если у них заглавная будет стоять яндекс. На первый взгляд никакой логики, но я скажу больше, пользователь идет по пути наиболее понятному т.е. меньшего сопротивления. Я не хочу приводить в студию название виндового домена .local но поверьте, он не сложнее доменного имени ;) Конечно может быть отчасти сыграл тот момент что в инструкции первым идет ip, а не адрес, но общей картины это не меняет. Уже давно среднестатистического пользователя не волнует что там в URL`ле, сегодня на первый план вышло сможет он ЭТО набрать с первой попытки и запомнить как пишется или нет. Впрочем это уже разговор на тему веб разработки…
Я бы не давал юзерам вбивать айпи. А то вдруг захочется мне поменять топологию сети — разнести разные офисы по разным подсетям, а служебное все в самую дальнюю подсеть… и сразу будет куча вопросов «а почему не открывается»?
Им вообще его сообщать не надо. Есть DNS, там и смотрите, если любопытно, но вообще система сделает это за вас, не думайте об этом.
если брать чистую практику и про днс не факт что стоит рассказывать. Практика показывает что ярлык на рабочем столе для понимания лучше всего.
Я сейчас ищу способ как в венде сделать так, чтобы на рабочий стол подсасывались автоматически ярлыки из некой сетевой папки в дополнение к тому, что пользователь разместил на своем рабочем столе. Пока что лучший способ который я отыскал, это аяксовое веб-приложение + active desktop.
Я сейчас ищу способ как в венде сделать так, чтобы на рабочий стол подсасывались автоматически ярлыки из некой сетевой папки в дополнение к тому, что пользователь разместил на своем рабочем столе. Пока что лучший способ который я отыскал, это аяксовое веб-приложение + active desktop.
разница в том, что есть два разных адреса для почты (изнутри и извне). И человеку на лаптопе надо две закладки для почты (одня для проверки на работе, одна для дома). А нахрена? Неужели это проблема забирать почту по внешнему адресу, находясь внутри сети? Ведь трафик не выходит за пределы роутера.
Нет. Текущая инфраструктура позволяет такой фокус делать только если прописать роут, что есть ни чуть не меньший костыль.
Хотя о чем это я… конечно тут одним роутом не обойтись. Надо с ДНС разбираться для начала, а это в планах поэтому пока так.
не надо ничего с DNS-ом делать. Запрос доходит до роутера/ната и возвращается обратно к серверу. Правильно расписанные правила НАТа и всё работает. Да, в какой-то мере это костыль (а что тогда не костыль?), но костыль в единственном экземпляре на сервере и отраженный в документации — это не костыль, а решение. А вот костыль в виде двух разных линков на одну и туже почту на каждом компе — это таки костыль. Который при необходимости одним изменением конфига на сервере никак не лечится.
Я не очень хорошо понимаю каким образом это реализуемо, приведите пожалуйста пример «на пальцах» как бы Вы это сделали именно средствами НАТ`а.
Имеем
192.168.1.1 — NAT на FreeBSD/Linux
192.168.1.5 — сетевуха сервера Zimbra, которая смотрит в локаль
Что дальше делать?
Заранее благодарен!
Имеем
192.168.1.1 — NAT на FreeBSD/Linux
192.168.1.5 — сетевуха сервера Zimbra, которая смотрит в локаль
Что дальше делать?
Заранее благодарен!
могу несколько ошибаться, ибо реальную конфигурацию последний раз делал лет 7 назад. Но делал и оно явно работает. Надо только допилить детали будет если не заработает сразу.
w.x.y.z — Это внешний адрес (внешний интерфейс ната и тот IP в который ресолвится zimbra.mycompany.ru)
iptables -t nat -I PREROUTING -s 192.168.1.0 -d w.x.y.z --dport 80 -j DNAT --to-destination 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.1
Таким образом мы пакеты, идущие на внешний адрес изнутри сети заворачиваем обратно на внутренний адрес сервера внутри сети. На этом-бы остановиться, но тогда сервер начнет отвечать напрямую клиенту и tcp работать не будет. Значит надо NAT-ить еще и source. Менять его на адрес шлюза. Да, двойной NAT. Ну и что? У меня 15 лет назад первый пень в качестве фаервола организацию в полторы тыщи сотрудников держал в таком виде :) Да, скорости были не такие, объемы… но тем не менее.
P.S. Порядок правил ната очень важен. Там-же еще другие правила есть. Поэтому надо точно проверять, что пакеты изнутри уходят куда надо с двойным натом, покеты снаружи уходят куда нужно с одинарным натом и и те и другие возвращаются обратно именно так, как надо. Но поверьте, это вполне реализуемо. :)
w.x.y.z — Это внешний адрес (внешний интерфейс ната и тот IP в который ресолвится zimbra.mycompany.ru)
iptables -t nat -I PREROUTING -s 192.168.1.0 -d w.x.y.z --dport 80 -j DNAT --to-destination 192.168.1.5
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.1
Таким образом мы пакеты, идущие на внешний адрес изнутри сети заворачиваем обратно на внутренний адрес сервера внутри сети. На этом-бы остановиться, но тогда сервер начнет отвечать напрямую клиенту и tcp работать не будет. Значит надо NAT-ить еще и source. Менять его на адрес шлюза. Да, двойной NAT. Ну и что? У меня 15 лет назад первый пень в качестве фаервола организацию в полторы тыщи сотрудников держал в таком виде :) Да, скорости были не такие, объемы… но тем не менее.
P.S. Порядок правил ната очень важен. Там-же еще другие правила есть. Поэтому надо точно проверять, что пакеты изнутри уходят куда надо с двойным натом, покеты снаружи уходят куда нужно с одинарным натом и и те и другие возвращаются обратно именно так, как надо. Но поверьте, это вполне реализуемо. :)
split horizon dns — это красивое и зачастую даже неплохо работающее решение.
Лично я его не люблюпо разным причинам, но это уже немного другой вопрос.
Мое мнение — если сайт доступен из Интернета как по имени, так и по внешнему IP, то уж из локалки он тем более должен быть доступен. Как по имени, так и по внешнему IP. И не важно какой DNS на данной машине используется. А то бегать за юзерами у которых жестко прописаны гуглевские DNS-ы (а эти настройки не перекрываются инфой с DHCP) мне не хочется.
Ну и таки если уж есть сервак, который так или иначе делает NAT, то лучше там добавить пару правил, чем заморачиваться с split horizon dns.
Лично я его не люблюпо разным причинам, но это уже немного другой вопрос.
Мое мнение — если сайт доступен из Интернета как по имени, так и по внешнему IP, то уж из локалки он тем более должен быть доступен. Как по имени, так и по внешнему IP. И не важно какой DNS на данной машине используется. А то бегать за юзерами у которых жестко прописаны гуглевские DNS-ы (а эти настройки не перекрываются инфой с DHCP) мне не хочется.
Ну и таки если уж есть сервак, который так или иначе делает NAT, то лучше там добавить пару правил, чем заморачиваться с split horizon dns.
ну да, чем лишние 2 строчки в конфиг, мы лучше лишний внутренний DNS сервак поднимем на тот-же домен, что и внешний. И потом будем глюки ловить :)
Запретить что-то использовать можно. Но нужно-ли?
Про политики домена — это мне вообще смешно читать. :) У меня половина пользователей — макинтошники. И примерно столько-же народу пользуется персональными лаптопами, которые ни в какие домены не входит.
Не, я не спорю, если фирма суровая, корпоративная политика жесткая, всё запрещено и запротоколировано, то… то я все равно считаю, что решение с двойным ресолвингом в данном случае хуже. Оно будет замечательно работать. Оно имеет право на жизнь. В некоторых случаях оно единственно верное (не зря этот самый split horizon вообще придумали). Но в данном случае (один сервер, тот самый контент, что изнутри, что снаружи) — это лишнее.
Запретить что-то использовать можно. Но нужно-ли?
Про политики домена — это мне вообще смешно читать. :) У меня половина пользователей — макинтошники. И примерно столько-же народу пользуется персональными лаптопами, которые ни в какие домены не входит.
Не, я не спорю, если фирма суровая, корпоративная политика жесткая, всё запрещено и запротоколировано, то… то я все равно считаю, что решение с двойным ресолвингом в данном случае хуже. Оно будет замечательно работать. Оно имеет право на жизнь. В некоторых случаях оно единственно верное (не зря этот самый split horizon вообще придумали). Но в данном случае (один сервер, тот самый контент, что изнутри, что снаружи) — это лишнее.
локальная зона — да. Тут я не спорю. Более того — безмерно поддерживаю.
Локальная зона, регистрация компов в DNS… Это всё хорошо и правильно.
И я тоже всегда держал локальную зону. Вот только в том случае, когда я решил назвать «внутренний» домен также, как и «внешний» (ака mycompany.com) то потом периодически ловил глюки. По своей-же безалаберности. Но таки ловил. И зарекся.
Какие глюки? Ну ставлю я внешний сервис где-то на внешнем хостинге. называю его service.mycompany.com. Естественно (гы) прописываю его только во внешнем DNS-e. Ибо ко внутренним делам он отношения не имеет. И… не могу добраться изнутри. Ибо внутренний DNS такого имени не знает. А к внешнему уже не идет. Ведь зона-то у него авторитивная. А два раза каждый хост прописывать… да еще на разных серверах… не, не наш выбор.
В общем, признавая, что данный подход таки работает лично я такого внедрять больше не буду. Мне не удобно.
Локальная зона, регистрация компов в DNS… Это всё хорошо и правильно.
И я тоже всегда держал локальную зону. Вот только в том случае, когда я решил назвать «внутренний» домен также, как и «внешний» (ака mycompany.com) то потом периодически ловил глюки. По своей-же безалаберности. Но таки ловил. И зарекся.
Какие глюки? Ну ставлю я внешний сервис где-то на внешнем хостинге. называю его service.mycompany.com. Естественно (гы) прописываю его только во внешнем DNS-e. Ибо ко внутренним делам он отношения не имеет. И… не могу добраться изнутри. Ибо внутренний DNS такого имени не знает. А к внешнему уже не идет. Ведь зона-то у него авторитивная. А два раза каждый хост прописывать… да еще на разных серверах… не, не наш выбор.
В общем, признавая, что данный подход таки работает лично я такого внедрять больше не буду. Мне не удобно.
Вот когда я публиковал пост — я знал что самое узкое место в нем именно эта проблема и совершено искренне (и как выяснилось не напрасно) надеялся получить критику и дельные советы по этому поводу, что и произошло.
На самом деле я и хотел вобщем-то в будущем решить проблему с помощью split horizon, точнее видел в работе, но понятия не имел как это сделано и как это даже называется)
Спасибо Вам товарищи за реально полезную инфу про нат и split horizon плюсую обоим ;)
На самом деле я и хотел вобщем-то в будущем решить проблему с помощью split horizon, точнее видел в работе, но понятия не имел как это сделано и как это даже называется)
Спасибо Вам товарищи за реально полезную инфу про нат и split horizon плюсую обоим ;)
Добавлю свои 5 копеек.
Держу Zimbry на VDS (2200МГц, 2048 Mb, 30Gb). Стал использовать т.к. некоторым сотрудникам жуть как хотелось календарей, шаринга, и AJAX'а, да и мне хотелось удобного управления сервером. Сразу после установки обнаружилось свойство Zimbra останавливать mta при потоке спама ~100 писем/сек. Решилось применением rbl листа. Сотрудники частью на Thunderbird+Lightning, частью через web-интерфейс. За год использования 2-3 падения при пиковой нагрузке, исправляется перезапуском службы. Если бы не требовательность к ресурсам была бы идеальной рабочей системой.
Держу Zimbry на VDS (2200МГц, 2048 Mb, 30Gb). Стал использовать т.к. некоторым сотрудникам жуть как хотелось календарей, шаринга, и AJAX'а, да и мне хотелось удобного управления сервером. Сразу после установки обнаружилось свойство Zimbra останавливать mta при потоке спама ~100 писем/сек. Решилось применением rbl листа. Сотрудники частью на Thunderbird+Lightning, частью через web-интерфейс. За год использования 2-3 падения при пиковой нагрузке, исправляется перезапуском службы. Если бы не требовательность к ресурсам была бы идеальной рабочей системой.
Спасибо, вы заставили меня задуматься. Гугл всем устраивает, но даже при 4Мб интернете на 20 человек время синхронизации папок IMAP иногда вызывает раздражение…
Кстати, только вчера читал статью Переход на СПО. Заменить Exchange за 10 дней, тоже написана очень грамотно, советую почитать всем, кто хочет уходить с Exchange на Zimra.
На сегодняшний день халявные системы предоставляют впечатляющий функционал. Вот если ли бы еще MAPI нахаляву получить… Потому как тот, кто его попробовал, мучить пользователей и уходить от него не будет.
На самом деле Zimbra и вправду хороший сервер коллективной работы и обмена сообщениями.
У меня Zimbra работает уже второй год.
Устраивает практически всё.
Мне очень жаль, что Zimbra отказались от Zimbra Toster. Безусловно, имеется десктопное решение Zimbra Desktop, но оно безумно много кушает ресурсов, это меня почему то разочаровывает.
Кстати если кому интересно, хочу посоветовать Zimbra Tray от Andrew Orlow. Хорошее java решение для уведомлений почты и календаря.
Ещё хотелось бы сказать о новой, недавно вышедшей, 7 версии Zimbra. В ней много нового и даже переработан интерфейс. Но на мой взгляд она ещё сыровата. Лучше дождаться версии 7.0.1.
У меня Zimbra работает уже второй год.
Устраивает практически всё.
Мне очень жаль, что Zimbra отказались от Zimbra Toster. Безусловно, имеется десктопное решение Zimbra Desktop, но оно безумно много кушает ресурсов, это меня почему то разочаровывает.
Кстати если кому интересно, хочу посоветовать Zimbra Tray от Andrew Orlow. Хорошее java решение для уведомлений почты и календаря.
Ещё хотелось бы сказать о новой, недавно вышедшей, 7 версии Zimbra. В ней много нового и даже переработан интерфейс. Но на мой взгляд она ещё сыровата. Лучше дождаться версии 7.0.1.
Zimbra бесплатная (http://www.zimbra.com/products/zimbra-open-source.html )? Если платная, то во сколько обошлось? Там с русским языком нормально?
Бесплатная.
Есть и платная. Она включает в себя модуль Mobile, Backup модуль, Outlook connector и ещё небольшие полезности.
По поводу цены точно не помню, но выходит дешевле Exchange это точно.
С русским всё нормально.
Есть и платная. Она включает в себя модуль Mobile, Backup модуль, Outlook connector и ещё небольшие полезности.
По поводу цены точно не помню, но выходит дешевле Exchange это точно.
С русским всё нормально.
Есть бесплатная, есть платная. Платная — с поддержкой MAPI для Outlook, HSM для счастья и подоменного администрирования… (ну и еще по мелочи? см. здесь). Обходится — когда как. Для компании в 50-500 человек от 20 до 50$ в год за пользователя, в зависимости от вида лицензии и числа пользователей… С русским более чем нормально.
Много лет пользуюсь Mdaemon. Практически всем доволен, особенно скоростью, кроме того что ява-скрипты темы LookOut написаны без учёта вероятности использования Mac-пользователями, где эта тема работает просто через пень-колоду.
Недавно начал оглядываться по сторонам в поиске альтернатив (ибо маководы уже «извлекли» своими претензиями) и задумался о тестовом развёртывании Zimbra в виртуалке.
Настораживают только ограничения на бесплатную версию. Судя по архивным форумам, реально полезные фишки появляются только в платных версиях. А платная версия существенно дороже того же Mdaemon.
Тем не менее, спасибо за топик. Может быть через полгодика перейдём на Zimbra, если тесты всех устроят.
Недавно начал оглядываться по сторонам в поиске альтернатив (ибо маководы уже «извлекли» своими претензиями) и задумался о тестовом развёртывании Zimbra в виртуалке.
Настораживают только ограничения на бесплатную версию. Судя по архивным форумам, реально полезные фишки появляются только в платных версиях. А платная версия существенно дороже того же Mdaemon.
Тем не менее, спасибо за топик. Может быть через полгодика перейдём на Zimbra, если тесты всех устроят.
Выводы:
1. Хорошо внедрять когда текущее состояние — АД.
2. Вы что, даже существующую почту с помощью imapsync не перетащили? Сурово.
3. Недавно вышла Zimbra 7.0, из плохого — выпиливают чятик в коммерческой версии, возможно отомрет и в ОС версии. Из интересного — 32х разрядные x86 уже в депрекэйтед, 8.0 под них не будет.
1. Хорошо внедрять когда текущее состояние — АД.
2. Вы что, даже существующую почту с помощью imapsync не перетащили? Сурово.
3. Недавно вышла Zimbra 7.0, из плохого — выпиливают чятик в коммерческой версии, возможно отомрет и в ОС версии. Из интересного — 32х разрядные x86 уже в депрекэйтед, 8.0 под них не будет.
> Вы что, даже существующую почту с помощью imapsync не перетащили?
Вы не поверите, но я 3 дня ходил и разными наводящими вопросами интересовался: а нужна-ли кому старая почта? а куда бы её вытащить? а может понадобится кому чего? а может там база какая клиентская зависла? а может еще чего нужно? Никто вообще никакого энтузиазма не проявил. Ну я и забил на это. И не ошибся потому что старой почты за все время хватились только 1 раз!
Вы не поверите, но я 3 дня ходил и разными наводящими вопросами интересовался: а нужна-ли кому старая почта? а куда бы её вытащить? а может понадобится кому чего? а может там база какая клиентская зависла? а может еще чего нужно? Никто вообще никакого энтузиазма не проявил. Ну я и забил на это. И не ошибся потому что старой почты за все время хватились только 1 раз!
Отсюда возвращаемся к первому пункту :)
Мне бы мозг съели, обнаружив что почта пропала. Сейчас уже больше года Zimbra, полет нормальный. Основная причина перехода — использовался тяжелый и к тому же внедренный непонятно кем и без толком оформленных лицензионных документов Lotus. Был устранен во избежании лицензионных претензий.
Мне бы мозг съели, обнаружив что почта пропала. Сейчас уже больше года Zimbra, полет нормальный. Основная причина перехода — использовался тяжелый и к тому же внедренный непонятно кем и без толком оформленных лицензионных документов Lotus. Был устранен во избежании лицензионных претензий.
Exim — это почтальон с перемётной сумой, а не почтовое отделение. Конфигурационные файлы (а, вернее, один файл) можно издавать как хрестоматию для маленьких, настолько всё просто.
Но, судя по всему, не для всех. Я лично вижу два «Раздолбай-аутсорсинг», ООО и ИП. Первые просто упомянуты в топике. Вторые — топики генерируют.
Но, судя по всему, не для всех. Я лично вижу два «Раздолбай-аутсорсинг», ООО и ИП. Первые просто упомянуты в топике. Вторые — топики генерируют.
Я нигде не сказал что Exim это плохо и более того, нигде не упомянул что у меня проблемы с пониманием настройки Exim`а. Поверьте мне на слово, если бы дело было ТОЛЬКО в грейлистинге…
P.S. Я не ИП а штатный сотрудник XD
Автор видимо считает, что политика запрещения всего и вся — полезная практика.
Надеюсь на моем месте работы IT-отдел будет помогать, а не запрещать гуглопочту открывать…
Надеюсь на моем месте работы IT-отдел будет помогать, а не запрещать гуглопочту открывать…
Дело не в гуглопочте. Дело в общем беспорядке… лично мне гуглопочта ничего не сделала плохого, но когда один сотрудник открытым текстом заявит «Иди на**й со своей почтой у меня есть почта на гмайл», а другой скажет «Да е*ал я твою почту, у меня есть маил.ру и там вся клиентская база», разумеется это оправданное решение. Но скажут они вовсе не по тому что маил.ру на голову лучше зимбры, а потому что там есть майл агент в котором можно невозбранно проболтать пол дня, а тут сначала почту рубанули, а следом за ним и агента. Их мотивация примерно такая, поверьте мне, я 8 лет работаю системным администратором. К тому же я далеко не считаю что запрещение всего и вся правильная политика. Я считаю что нужно соблюдать баланс между запрещением и разрешением.
Следуя вашей логике надо было попробовать отключить агента и там уж человек сам бы решил что для него лучше.
А то что вы нарвались на грубость, это возможно вызвано тем, что вы вмешиваетесь в святая святых процесс субъекта труда ;) Вам же не говорили какую почтовую систему насаждать в организации, вы сами выбрали. Каждый должен иметь свободный выбор, а судить нужно по продукту который профессионал создает.
А то что вы нарвались на грубость, это возможно вызвано тем, что вы вмешиваетесь в святая святых процесс субъекта труда ;) Вам же не говорили какую почтовую систему насаждать в организации, вы сами выбрали. Каждый должен иметь свободный выбор, а судить нужно по продукту который профессионал создает.
Если вы пытаетесь меня тролить — ну пытайтесь дальше, чего еще сказать…
Если вы просто не разбираетесь в вопросе организации инфраструктуры — поговорите с практикующими админами, а особенно с теми, кто отвечает за корпоративную безопасность. Они вам расскажут больше.
Электронная почта на mail.ru — это не святая святых процесса труда. Электронная почта на гугле тоже. Это один из рабочих инструментов, не более того. У меня есть аналогичный.
По поводу того какую почтовую систему насаждать — я попросил бы забрать слова обратно потому что я её не насаждал, а поставил и все получилось. Вообще этот топик я написал после того как мастер покрасочных работ Лариса встретив меня в длинном коридоре спросила «А мне почему не сделали Зимбру?». Я сказал что завтра в 11 подойду и выдам листочек с логином/паролем и объясню как пользоваться. После этого я сделал вывод что раз меня сами пользователи просят — значит я все правильно сделал. Кстати Лариса не единственная кто меня попросил, было еще пара человек до неё… Поэтому меня глубоко огорчило неуместное слово «насаждать».
Если вы просто не разбираетесь в вопросе организации инфраструктуры — поговорите с практикующими админами, а особенно с теми, кто отвечает за корпоративную безопасность. Они вам расскажут больше.
Электронная почта на mail.ru — это не святая святых процесса труда. Электронная почта на гугле тоже. Это один из рабочих инструментов, не более того. У меня есть аналогичный.
По поводу того какую почтовую систему насаждать — я попросил бы забрать слова обратно потому что я её не насаждал, а поставил и все получилось. Вообще этот топик я написал после того как мастер покрасочных работ Лариса встретив меня в длинном коридоре спросила «А мне почему не сделали Зимбру?». Я сказал что завтра в 11 подойду и выдам листочек с логином/паролем и объясню как пользоваться. После этого я сделал вывод что раз меня сами пользователи просят — значит я все правильно сделал. Кстати Лариса не единственная кто меня попросил, было еще пара человек до неё… Поэтому меня глубоко огорчило неуместное слово «насаждать».
Да, зимбра стоящее решение для корпоративного почтаря.
Но мне хотелось бы узнать про грейлистинг в реальных условиях. О его эффективности в борьбе со спамом наслышан достаточно и уже давно думаю перейти на него, но все же есть некоторые сомнения:
— нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания
— не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям
—хитрожопых умных спамеров стало больше и грейлист уже бесполезен
Так ли это?
Но мне хотелось бы узнать про грейлистинг в реальных условиях. О его эффективности в борьбе со спамом наслышан достаточно и уже давно думаю перейти на него, но все же есть некоторые сомнения:
— нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания
— не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям
—
Так ли это?
Мой опыт использования грейлистинга. 95% реально режется. Лично мне БЕЗ грейлистинга ходило 300 писем спама в день, сейчас проскакивает дай боже 10-к. Так что то что грейлистинг бесполезен это как минимум сильно преувеличено. А насчет умности спамеров — времена не те. Сейчас спам не дает таких феерических взлетов продаж потому что спам в социалках существенно эффективнее почтового спама. Поэтому за тех 5% «VIP» спамеров которые обходят и фильтры и грейлистинг можно не переживать. Он всегда были есть и будут. К тому же грейлистинг это всего лишь технология у которой есть несколько реализаций. Это я к тому что пока письмо в грейлистинге можно еще по DNS блэк листу чекануть например.
> нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания
Для этого можно «обелить» некоторые зоны. Например гугль, майл.ру, яндекс и корпоративных каких-то собеседников. Нормальная практика.
> не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям
Их проблемы если они не могут выполнить стандарты. Переотправлять положено и точка. Есть другая проблема, те кто используют callback-верификацию. Т.е. Ваш сотрудник отправляет письмо, на принимающей стороне генерится «проверочное» письмо, которое получает отлуп по грейлистингу на несколько минут. Сервер не заморачиваясь на каком основании он получил отлуп считает что отправитель подделан == спам. Вот это действительно проблема. И такие кто используют этот механизм до сих пор, к сожалению встречаются временами.
> нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания
Для этого можно «обелить» некоторые зоны. Например гугль, майл.ру, яндекс и корпоративных каких-то собеседников. Нормальная практика.
> не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям
Их проблемы если они не могут выполнить стандарты. Переотправлять положено и точка. Есть другая проблема, те кто используют callback-верификацию. Т.е. Ваш сотрудник отправляет письмо, на принимающей стороне генерится «проверочное» письмо, которое получает отлуп по грейлистингу на несколько минут. Сервер не заморачиваясь на каком основании он получил отлуп считает что отправитель подделан == спам. Вот это действительно проблема. И такие кто используют этот механизм до сих пор, к сожалению встречаются временами.
Работает. Умные спаммеры всё чаще и чаще появляются, однако их пока ещё не так много, чтобы грейтистинг начал приносить больше вреда, чем пользы.
Кроме того, даже с умными он вполне эффективно работает совместно с spamhausом: первый раз — «потом придите», а когда умный спаммер придёт потом — он уже в спамхаусе.
Кроме того, даже с умными он вполне эффективно работает совместно с spamhausом: первый раз — «потом придите», а когда умный спаммер придёт потом — он уже в спамхаусе.
Это конечно в некотором роде некропостинг, но все же.
Прочему вы считаете что алиасы это лучше чем общие ящики с доступом через IMAP? Если у нескольких человек (понятное дело что не у 100, а у 2 — 5) настроен один IMAP ящик, то все видят всю переписку с клиентом, видят если кто-то уже ответил на письмо, или если письмо наоборот не отвечено. В случае же алиасов совершенно непонятно, кто же обрабатывает данное письмо, дал ли кто-то уже ответ или нет. Теряется последовательность переписки и т.п. Как вы решаете эту проблему?
Мне приходилось работать с обоими вариантами — общий IMAP ящик и ящик-алиас рассылающий почту 4-м людям, второй вариант лично для меня был катастрофически неудобен.
P.S. Общий IMAP ящик имеет с общей базой The Bat весьма относительное сходство.
Прочему вы считаете что алиасы это лучше чем общие ящики с доступом через IMAP? Если у нескольких человек (понятное дело что не у 100, а у 2 — 5) настроен один IMAP ящик, то все видят всю переписку с клиентом, видят если кто-то уже ответил на письмо, или если письмо наоборот не отвечено. В случае же алиасов совершенно непонятно, кто же обрабатывает данное письмо, дал ли кто-то уже ответ или нет. Теряется последовательность переписки и т.п. Как вы решаете эту проблему?
Мне приходилось работать с обоими вариантами — общий IMAP ящик и ящик-алиас рассылающий почту 4-м людям, второй вариант лично для меня был катастрофически неудобен.
P.S. Общий IMAP ящик имеет с общей базой The Bat весьма относительное сходство.
Именно по этой причине я и считаю что алиасы лучше чем общие ящики по IMAP. Потому что проблему нужно решать кардинально, а не полумерами. Вот общий ящик на IMAP как раз и есть такая полумера.
На новом месте работы мы сделали хитрую систему тикетов-задач в которую некоторые из таких задач типа ответов клиенту попадают. Реализовано это например в том, что все заказы с интернет-магазинов попадают не в общий ящик, а прямиком в тикеты. Как надо.
Не люблю полумеры.
А алиасы, они просто работают. Не больше и не меньше.
На новом месте работы мы сделали хитрую систему тикетов-задач в которую некоторые из таких задач типа ответов клиенту попадают. Реализовано это например в том, что все заказы с интернет-магазинов попадают не в общий ящик, а прямиком в тикеты. Как надо.
Не люблю полумеры.
А алиасы, они просто работают. Не больше и не меньше.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Как я внедрял Zimbra