Комментарии 20
https://docs.mailcow.email/
Все уже написано до нас )
Конечно. Но мультиплицированние информации в Интернет - основной способ ее продвижения. Если брать стратегию продвижения, то на эту статью нужно еще 5-6 статей "независимых блогеров", которрые для разных целевых аудиторий на разных ресурсах опишут, как они по этому мануалу настроили свои почты и для чего это нужно, когда есть Майл, Гмайл и Яндекс.
Лично я этот цикл статей считаю одной их редких представителей Хабра-годноты в потоке маркетингового спама.
смотрю на картинку из шапки уже минут 10 и не могу понять, ну как так перспектива может идти, что контейнер сужается К НАМ и расширяется ОТ НАС, это создает ощущение призмообразного контейнера у которого задняя стенка шире ближней.
Большое спасибо. Важный вопрос в реалиях нынешнего дня.
Одна просьба - добавить в конце параметры сервера для КОМФОРТНОЙ работы. Не обязательно давать ссылки, но общие границы параметров. Для юзеров %)
Хотел заметить что реальность такова, что держать свой почтовый релей (для отправки и приема email через интернет) под силу не только лишь всем: как минимум понадобится хороший чистый статический белый IP (а лучше не один), правильно настроенные DNS, DMARC и все равно какие-то ваши письма будут не доходить к вам или от вас (причем разумеется самые важные и срочные для вашего менеджмента) - нужно будет постоянно вычищать свой релей из различных srbl списков (а попадать он туда будет). Ну и найти хорошее равновесие для правил антиспама тоже та еще задачка не на один день.
Проще воспользоваться известными сервисами (Я, Mail), они вполне разрешают использовать любой свой домен. И их релеи как правило никто и нигде не блокирует + более/менее адекватный антиспам из коробки
У их есть ключевой недостаток - вы их не контролируете...
Проще? Безусловно. Но к сожалению - в нынешних реалиях эта простота хуже воровства. Она ворует свободу.
Почта является одним из немногих доживших до нынешнего времени действующих мастодонтов того древнего Интернета, еще децентрализованного и федеративного. Отдавая почту на откуп внешним корпорациям вы утрачиваете контроль над информацией.
"У интернета есть ключевой недостаток - вы его не контролируете...
Проще пользоваться интернетом? Безусловно. Но к сожалению - в нынешних реалиях эта простота хуже воровства. Она ворует свободу.
Фидо является одним из немногих доживших до нынешнего времени действующих мастодонтов того древнего Интернета, еще децентрализованного и федеративного.
Отключайтесь от современного интернета. Фидо еще живо, оно ждет вас".
Шутка, конечно. Если вы апологет свободы, то свой почтовый сервак это почетно, а если вы штудируете этут статью, потому что на mail.ru у вашей конторы кончился бесплатный тариф, а шеф сказал, что надо вот так же, но бесплатно что-то сделать, то об вас просто вытерли ноги.
По поводут Интернет не совсем согласен. Пока его анализом трафика не превратили в набор чебурнетов он вполне федеративен. Фидо, в нынешних условиях, поставит сисопов в более уязвимое положение чем интернет. Если Фидо - тезис, а интернет - антитезис, то нужен синтез и качественный скачек.
Что же касается взаимоотношений вас и шефа, то если шеф думает, что дать вам дополнительную нагрузку = бесплатно, то ноги о вас начали вытирать уже давно.
Если вы не open relay и не в сетях облачных провайдеров, то как правило в srbl не окажетесь. Есть, конечно, уродские держатели таких списков, которые листят непойми за что, а за делистинг просят денег, или он у них вообще не работает, но их мало кто использует.
Из самого неприятного тут сочетание barracuda central L3, в который пихают всех облачных провайдеров, и глупого местечкового админа, который настраивает его как единственный критерий для discard.
Пользуясь случаем, призываю никогда не делать факт нахождения сервера в любом одном блек-листе фактором решения спам\не спам. 0.1 балла накинуть можно, но не более.
Уже не один и не два сервера развернул, везде все прекрасно работает. Ничего нет сложного. Ставил и чангу, и постфикс или екзим, и мдаймон. Ничего особо сложного. Настроек в днс для нормальной работы - это прописать заптси MX, spf и dkim (не обязательно). И все получать вы будете абсолютно все письма отправленные вам. Важнее у прова прописать в реверсной зоне запись PTR, иначе добрая половина серверов отфутболит ваши письма.
И всё-таки...Хабр - торт!...ведь появляются хорошие статьи, нечасто, но бывают!
Прекрасная статья и отличный набор компонентов, но вот часть про clamav создает ложное впечатление, что он от чего-то защищает. Объективно это очень слабый антивирус.
https://en.wikipedia.org/wiki/ClamAV#:~:text=Splunk's study concluded ClamAV was,to detect 249%2C696%2F416%2C561 samples.
То же самое могу сказать про rspamd и другие opensource\free решения. С ними надо закручивать гайки по-максимуму (и терять существенную часть почты на ложноположительных срабатываниях), и спам все равно будет. Для персонального использования это еще может быть приемлемо, для бизнеса - абсолютно нет.
Еще порекомендовал бы поднимать шлюз на postfix перед exim, потому что тот уж очень бурно развивается, и в нем постоянно находят RCE
https://www.cvedetails.com/vulnerability-list/vendor_id-10919/product_id-19563/Exim-Exim.html?page=1&cvssscoremin=6&order=1
А в постфиксе - нет:
https://www.cvedetails.com/vulnerability-list/vendor_id-8450/product_id-14794/Postfix-Postfix.html?page=1&cvssscoremin=6&order=1
Ну и файрволлить все по-максимуму.
А зачем тогда exim?
Можно и без него. В такой схеме весь СМТП и фильтрация на постфиксе на периметре, а imap, веб-доступ и прочее внури сети без СМТП. Но локально положить почту куда надо чуть проще, чем удаленно. Поэтому схема с 2 smtp (и на периметре и внутри), упрощает обслуживание. Например тем, что вам не надо делать на периметре пользовательскую аутентификацию, только серверы друг для друга по TLS. И получается, на периметре у вас тупой валенок, в котором практически нечего взламывать, а внутри - продвинутый exim или exchange-smtp со всеми сложными интеграциями.
proxmox mail gateway
Сколько угодно, но это тот же самый линукс и я не знаю, что под капотом, может, тот же Exim (хотя больше похоже на постфикс). Поэтому никакого великого смысла именно в нем нет. Я другие продукты ProxMox люблю, но это проще собрать самому при среднем знании линукса из Ubuntu + Kaspersky LMS + OpenDKIM.
Да, у PMG красивый интерфейс, но знаете, сколько раз в год я захожу на почтовый шлюз? Ноль. А если и захожу, то чтобы создать правило в KLMS у которого все равно свой веб-интерфейс.
vmail отдельный пользователь для безопасности системы не слишком ли в докере? У вас каждый контейнер изолирован, куда ещё безопасней вы сделать хотите?
В статье говорится про преимущество масштабируемости:
Например, вы сможете увеличить количество экземпляров Dovecot для обработки большего количества IMAP-соединений
Хотелось бы больше об этом. Запускать несколько одинаковых контейнеров? Но конкретный порт может занять только один контейнер. Или перед должен стоять какой-то балансировщик (какой?), который будет принимать на порту 993 и раскидывать по контейнерам?
Почтовый сервер с нуля. Часть третья