shamobutyn May 21 at 11:00

Почтовый сервер с нуля. Часть вторая

Medium

27 min

10K

Nixys corporate blogSystem administration*Server Administration*DevOps*

Tutorial

+12

Comments 22

ALexhha May 21 at 19:27

Полноценный почтовый сервер, основанный на связке Exim4, Dovecot, PostfixAdmin и RainLoop — это надёжный и безопасный инструмент для организации электронной почты.

Ну да ну да

https://www.cvedetails.com/vulnerability-list/vendor_id-10919/product_id-19563/Exim-Exim.html

shamobutyn May 22 at 10:59

Действительно, уязвимости существуют в любом программном обеспечении, включая Exim. Важно понимать, что наличие уязвимостей не означает, что программное обеспечение автоматически становится небезопасным.

Ключевыми факторами являются:

Регулярные обновления и патчи: Сообщество разработчиков активно работает над устранением уязвимостей, и важно своевременно устанавливать обновления.
Правильная настройка: Безопасность почтового сервера во многом зависит от правильной конфигурации всех его компонентов. Использование рекомендаций по безопасности и следование лучшим практикам значительно снижает риск уязвимостей.
Мониторинг и аудит: Постоянный мониторинг системы и проведение регулярных аудитов безопасности помогает своевременно обнаруживать и устранять потенциальные угрозы.

В контексте связки Exim4, Dovecot, PostfixAdmin и RainLoop, правильная настройка и управление этой системой могут обеспечить высокий уровень безопасности и надежности. Каждый компонент должен быть должным образом сконфигурирован и регулярно обновляться.

13werwolf13 May 22 at 12:54

сколько лет в профессии.. и всё ещё не могу понять зачем люди к почтовому серверу вебморду прикручивают.. это неудобно, это ещё одна дырдочка в безопасности..

наверное так никогда и не пойму..

ESQUELETO May 23 at 08:55

За эти годы появилось много удобных инструментов для безопасности. Можно поставить Tailscale, и веб не торчит в интернет.

13werwolf13 May 23 at 09:27

И становится ещё более безполезным ага..

ESQUELETO May 23 at 09:44

Впервые за девять лет решил прокомментировать статью на Хабре, и сразу же наткнулся на двух людей с отношением «Если для меня это бесполезно, значит это бесполезно в принципе, а может быть даже и вредно». Чувствую себя как дома :-)

ALexhha May 22 at 13:39

Важно понимать, что наличие уязвимостей не означает, что программное обеспечение автоматически становится небезопасным.

Ваша машина ломается каждые полгода, но офф диллер быстро ее ремонтирует. А теперь вопрос - у вас надежная машина ?

Мой посыл был в том, что в exim было найдено много серьезных и опасных багов, с рейтингом 8+. Для понимания - https://www.cvedetails.com/vulnerability-list/vendor_id-8450/product_id-14794/Postfix-Postfix.html

Безопасность почтового сервера во многом зависит от правильной конфигурации всех его компонентов.

Ссылку точно читал ? Там было много RCE

Постоянный мониторинг системы и проведение регулярных аудитов безопасности помогает своевременно обнаруживать и устранять потенциальные угрозы.

А хочется работать, а не мониторинги и аудиты проводить

ESQUELETO May 23 at 08:57

То есть легко можно прийти к выводу, что вам не нужен собственный почтовый сервер. Это нормально. Но и что кому-то нужен — тоже нормально.

ALexhha May 23 at 09:21

Я и не говорил, что почтовые серверы не нужны. Наверное кто то еще ими пользуется. Но в больших организациях и среди devops практически нет, сужу из личного опыта.

Если почта для фирмы является бизнес критикал, то все эти пляски вокруг dkim/dmarc/spf/rdns/mx/dbl и вот это вот все требуют слишком много времени на поддержку. И как правило тут не получится - раз настроил и забыл.

А сколько было случаев, когда на другой стороне админ начитавшись how to отклонял твою почту, если у тебя не было rdns записи или она не совпадала с mx. Начинаешь разбираться, списываешься с их админом, а он с пеной у рта - ничего не знаю, по RFC (на самом деле нет) я должен не принимать, вот вам статья Васи Пупкина. И каждый раз приходилось тыкать носом. А откровение, что почта может работать и без MX записей вообще вводила таких горе админов в ступор

ESQUELETO May 23 at 09:25

То, есть это мало кому нужно. И админы бывают разные. Но это все равно не отменяет полезность статьи.

ALexhha May 23 at 09:28

Чукча не читатель, чукча писатель ? )))

ESQUELETO May 23 at 09:46

Вы имеете в виду, что пишете длинные комментарии на не интересующую вас тему, чтобы доказать, что она неинтересна?

ALexhha May 23 at 10:12

Я имею ввиду, что надо читать что пишут, а не додумывать. Тогда и проблем будет меньше. А то мне уже приписали - что статья бесполезна и почтовыми серверами никто не пользуется.

Хотя ни первого ни второго я не утверждал ;)

stanito May 23 at 08:59

Спасибо за статью. Хочется видеть продолжение, в котором уделено внимание организация почтового сервера в рамках организации с использованием домена а так же прикручивание Вэб-морды. Сами сталкивались с этим вопросом недавно и хотели собрать почтовый сервер на опенсорных продуктах. В качестве домена использовали FreeIPA

Что для нас было важно:

On-premise решение, недопустимо хранения данных в облачных хранилищах (❗❗❗)
OpenSource (❗❗)
Caldav с вебмордой (❗❗❗)
Ресурсные комнаты с планировщиком занятости (❗❗❗)
Интеграция с LDAP (FreeIPA) - поддержка схемы (❗❗❗)
Поддержка GAL, Distribution List (❗❗)
Поддержка нескольких почтовых доменов (❗❗❗)
Веб-админка отдельная от веб портала почтового клиента (❗❗❗)
Поддержка IM, ВКС как встроенного решения (❗)
Безопасный. Продукт должен быть построен на известных компонентах без критических уязвимостей (❗❗❗)
Легкий в администрировании. Наличие понятной документации, community (❗)
Должен присутствовать таймлайн занятости пользователя, для удобства планирования встреч/событий (❗)

Из чего мы смотрели:

Carbonio (Zextras)
MailCow
Nextcloud: mail front, ipa, cal/card + Mail-ia-a-box
Postal
iRedMail
James
Modoboa
Postfix + Dovecot + SoGo + SpamAssasin + Clamav + + fail2ban/Syrikata

На текущий момент наиболее подходящий продукт оказался iRedMail, он более-менее удовлетворяет требованиям
MailCow не умеет интегрироваться в домен, у него есть заявленная поддержа в ночных сборках, но у нас она тик и не завелась нормально. Есть возможность интегрироваться через внешнюю утилиту с доменом, чтобы пользователи синкались.
Nextcloud не имеет своего почтового сервера и имеет ограничение в 100 учеток, после чего просит лицензию
Carbonio очень интересное решение вместе с IM и ВКС, получилось настроить по всем требованиям, но продукт еще очень сырой, куча ляпов в GUI, пока нельзя его рассматривать как промышленное решение
Остальные решения не подходили под требования, поэтому пока не тестировались полноценно

Если интересно, можем поделиться опытом настройки

asatost May 26 at 09:20

Если интересно, можем поделиться опытом настройки

Есть решение при работе через web-интерфейс для автоматического перекладывания файлов большого размера на какой-то ресурс и присоединение в виде ссылки к письму, как сделано во многих публичных почтовых сервисах?

werter_l Jun 16 at 13:33

Может, у nextcloud такое есть (но это не точно).

shamobutyn May 28 at 13:42

Благодарим за обратную связь и подробное описание вашего опыта! Это действительно ценная информация. Мы принимаем во внимание ваши требования и рассмотрим их при подготовке продолжения статьи.

Да, мы определенно точно готовы выслушать о вашем опыте, хотя мне кажется, что с таким списком технологий и разнообразных конфигураций необходима серия статей.

JefrySemer May 23 at 09:12

Хорошая статья, помогла разобраться в интересующих меня вопросах. Уважение автору!

shamobutyn May 28 at 13:35

Благодарю за теплые слова и отзыв! Очень рад, что статья помогла вам разобраться в интересующих вас вопросах. Если у вас возникнут еще какие-либо вопросы или пожелания по темам для будущих статей, не стесняйтесь сообщать. Удачи в ваших проектах!

berserk228_2009 May 27 at 10:29

Спасибо за статью. Автор, что скажешь насчет mailcow, норм или не очень? А и да. Когда 3 часть планируется?

shamobutyn May 28 at 13:35

Благодарю за комментарий! Относительно mailcow, это действительно мощный и гибкий инструмент для развертывания почтового сервера с удобным веб-интерфейсом и множеством функций. Однако, как и в случае с любым программным обеспечением, выбор зависит от ваших потребностей и предпочтений.

Относительно третьей части статьи, я рад сообщить, что она в разработке и, скорее всего, будет доступна к концу лета. Спасибо за интерес и терпение!

werter_l Jun 16 at 13:39

Более 20 внедрений mailcow за год, есть пример с компанией на 1000+ ящиков и 1ТБ почты. "Корова" имеет api ,через к-ый лично выполнял миграцию с я-почты на нее. Проблем нет, рекомендую )

Зы. Для почтового архива пользуем https://www.mailpiler.org/docs.html . Есть интеграция с mailcow https://docs.mailcow.email/third_party/mailpiler/third_party-mailpiler_integration/