Comments 22
Полноценный почтовый сервер, основанный на связке Exim4, Dovecot, PostfixAdmin и RainLoop — это надёжный и безопасный инструмент для организации электронной почты.
Действительно, уязвимости существуют в любом программном обеспечении, включая Exim. Важно понимать, что наличие уязвимостей не означает, что программное обеспечение автоматически становится небезопасным.
Ключевыми факторами являются:
Регулярные обновления и патчи: Сообщество разработчиков активно работает над устранением уязвимостей, и важно своевременно устанавливать обновления.
Правильная настройка: Безопасность почтового сервера во многом зависит от правильной конфигурации всех его компонентов. Использование рекомендаций по безопасности и следование лучшим практикам значительно снижает риск уязвимостей.
Мониторинг и аудит: Постоянный мониторинг системы и проведение регулярных аудитов безопасности помогает своевременно обнаруживать и устранять потенциальные угрозы.
В контексте связки Exim4, Dovecot, PostfixAdmin и RainLoop, правильная настройка и управление этой системой могут обеспечить высокий уровень безопасности и надежности. Каждый компонент должен быть должным образом сконфигурирован и регулярно обновляться.
сколько лет в профессии.. и всё ещё не могу понять зачем люди к почтовому серверу вебморду прикручивают.. это неудобно, это ещё одна дырдочка в безопасности..
наверное так никогда и не пойму..
За эти годы появилось много удобных инструментов для безопасности. Можно поставить Tailscale, и веб не торчит в интернет.
Важно понимать, что наличие уязвимостей не означает, что программное обеспечение автоматически становится небезопасным.
Ваша машина ломается каждые полгода, но офф диллер быстро ее ремонтирует. А теперь вопрос - у вас надежная машина ?
Мой посыл был в том, что в exim было найдено много серьезных и опасных багов, с рейтингом 8+. Для понимания - https://www.cvedetails.com/vulnerability-list/vendor_id-8450/product_id-14794/Postfix-Postfix.html
Безопасность почтового сервера во многом зависит от правильной конфигурации всех его компонентов.
Ссылку точно читал ? Там было много RCE
Постоянный мониторинг системы и проведение регулярных аудитов безопасности помогает своевременно обнаруживать и устранять потенциальные угрозы.
А хочется работать, а не мониторинги и аудиты проводить
То есть легко можно прийти к выводу, что вам не нужен собственный почтовый сервер. Это нормально. Но и что кому-то нужен — тоже нормально.
Я и не говорил, что почтовые серверы не нужны. Наверное кто то еще ими пользуется. Но в больших организациях и среди devops практически нет, сужу из личного опыта.
Если почта для фирмы является бизнес критикал, то все эти пляски вокруг dkim/dmarc/spf/rdns/mx/dbl и вот это вот все требуют слишком много времени на поддержку. И как правило тут не получится - раз настроил и забыл.
А сколько было случаев, когда на другой стороне админ начитавшись how to отклонял твою почту, если у тебя не было rdns записи или она не совпадала с mx. Начинаешь разбираться, списываешься с их админом, а он с пеной у рта - ничего не знаю, по RFC (на самом деле нет) я должен не принимать, вот вам статья Васи Пупкина. И каждый раз приходилось тыкать носом. А откровение, что почта может работать и без MX записей вообще вводила таких горе админов в ступор
То, есть это мало кому нужно. И админы бывают разные. Но это все равно не отменяет полезность статьи.
Чукча не читатель, чукча писатель ? )))
Вы имеете в виду, что пишете длинные комментарии на не интересующую вас тему, чтобы доказать, что она неинтересна?
Спасибо за статью. Хочется видеть продолжение, в котором уделено внимание организация почтового сервера в рамках организации с использованием домена а так же прикручивание Вэб-морды. Сами сталкивались с этим вопросом недавно и хотели собрать почтовый сервер на опенсорных продуктах. В качестве домена использовали FreeIPA
Что для нас было важно:
On-premise решение, недопустимо хранения данных в облачных хранилищах (❗❗❗)
OpenSource (❗❗)
Caldav с вебмордой (❗❗❗)
Ресурсные комнаты с планировщиком занятости (❗❗❗)
Интеграция с LDAP (FreeIPA) - поддержка схемы (❗❗❗)
Поддержка GAL, Distribution List (❗❗)
Поддержка нескольких почтовых доменов (❗❗❗)
Веб-админка отдельная от веб портала почтового клиента (❗❗❗)
Поддержка IM, ВКС как встроенного решения (❗)
Безопасный. Продукт должен быть построен на известных компонентах без критических уязвимостей (❗❗❗)
Легкий в администрировании. Наличие понятной документации, community (❗)
Должен присутствовать таймлайн занятости пользователя, для удобства планирования встреч/событий (❗)
Из чего мы смотрели:
Carbonio (Zextras)
MailCow
Nextcloud: mail front, ipa, cal/card + Mail-ia-a-box
Postal
iRedMail
James
Modoboa
Postfix + Dovecot + SoGo + SpamAssasin + Clamav + + fail2ban/Syrikata
На текущий момент наиболее подходящий продукт оказался iRedMail, он более-менее удовлетворяет требованиям
MailCow не умеет интегрироваться в домен, у него есть заявленная поддержа в ночных сборках, но у нас она тик и не завелась нормально. Есть возможность интегрироваться через внешнюю утилиту с доменом, чтобы пользователи синкались.
Nextcloud не имеет своего почтового сервера и имеет ограничение в 100 учеток, после чего просит лицензию
Carbonio очень интересное решение вместе с IM и ВКС, получилось настроить по всем требованиям, но продукт еще очень сырой, куча ляпов в GUI, пока нельзя его рассматривать как промышленное решение
Остальные решения не подходили под требования, поэтому пока не тестировались полноценно
Если интересно, можем поделиться опытом настройки
Если интересно, можем поделиться опытом настройки
Есть решение при работе через web-интерфейс для автоматического перекладывания файлов большого размера на какой-то ресурс и присоединение в виде ссылки к письму, как сделано во многих публичных почтовых сервисах?
Благодарим за обратную связь и подробное описание вашего опыта! Это действительно ценная информация. Мы принимаем во внимание ваши требования и рассмотрим их при подготовке продолжения статьи.
Да, мы определенно точно готовы выслушать о вашем опыте, хотя мне кажется, что с таким списком технологий и разнообразных конфигураций необходима серия статей.
Хорошая статья, помогла разобраться в интересующих меня вопросах. Уважение автору!
Спасибо за статью. Автор, что скажешь насчет mailcow, норм или не очень? А и да. Когда 3 часть планируется?
Благодарю за комментарий! Относительно mailcow, это действительно мощный и гибкий инструмент для развертывания почтового сервера с удобным веб-интерфейсом и множеством функций. Однако, как и в случае с любым программным обеспечением, выбор зависит от ваших потребностей и предпочтений.
Относительно третьей части статьи, я рад сообщить, что она в разработке и, скорее всего, будет доступна к концу лета. Спасибо за интерес и терпение!
Более 20 внедрений mailcow за год, есть пример с компанией на 1000+ ящиков и 1ТБ почты. "Корова" имеет api ,через к-ый лично выполнял миграцию с я-почты на нее. Проблем нет, рекомендую )
Зы. Для почтового архива пользуем https://www.mailpiler.org/docs.html . Есть интеграция с mailcow https://docs.mailcow.email/third_party/mailpiler/third_party-mailpiler_integration/
Почтовый сервер с нуля. Часть вторая