Комментарии 221
У личного сервера есть неприятная особенность — домен периодически может попадать в стоп (спам) листы…
Есть желание поэкспериментировать, пока использую Яндекс.Коннект (и он меня вполне устраивает), но всякое бывает…
Если пользователь "запускает какую-то фигню" – это проблема не пользователя или темы почтового сервера, а проблема вас, как сисадмина.
А как моё сисадминство спасет меня от внезапного 0-day эксплойта пришедшего по почте в docx/xlsx/pdf документе с ящика контрагента?
Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей? Дык у меня их тысячи, где ж я столько времени возьму, а работу кто работать будет? Ну я могу набросать шаблон, что бы HR разослал, но как Вы написали, пользователям же пофиг — это не их проблема.
Или мне каждое входящее письмо из тех обычных 18к+ писем за день просматривать и аппрувить, если норм?
А как мне заблокировать спам с взломанных ящиков, с которых рассылают делают медленные рассылки по 50-150 писем в течение дня? А на следующий день это уже новый ящик с другого домена и ip адреса, но получатели в корп сети все те же.
Или у Вас на любую проблему сисадмин сразу виноват? Недоглядел же. Виноват! Некомпетентен!
Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей?Конечно.
Дык у меня их тысячиУ меня тоже.
1. Еженедельная маленькая рассылка по компании с акцентированием внимания на тех или иных аспектах безопасности;
2. База знаний, с картинками, блэкджеком и пошаговым описанием, что и как делать/не делать.
Да, это не последняя инстанция и не гарантирует от всего-всего. Да, это требует усилий. А кто сказал, что админить – это только в Кваку играть?
А как мне заблокировать спам с взломанных ящиков, с которых рассылают делают медленные рассылки по 50-150 писем в течение дня?А вот это тоже ваша работа. Пока пользователь по Базе знаний лазает, вы админьте и разбирайтесь с этим.
Не спора ради. Но ваша позиция кажется мне немного странной и эмоциональной.
У нас в дополнение к этому ещё есть ответственность работника. Пусть лучше лишний раз попросят проверить, зато понимают, что запуск шифровальщика будет и их ответственностью тоже.
Конечно.Ну у вас видимо за это доплачивают. И времени свободного много. И проектов нет.
А вот это тоже ваша работа.Хорошая позиция, но я пожалуй приведу аналогию: Вам каждый день, по два раза, в разное время, с разных номеров, звонит бот и предлагает практически один и тот же спам. И как же вы будете его фильтровать, если телефон не подсвечивает этот звонок как спам, а вам звонят со всей страны по долгу службы совершенно разные люди? Для правдоподобности добавим условие, что нет никакой организации, в которую можно было бы пожаловаться на такие звонки. Ну и генеральный тоже недоволен и просит вас решить эту проблему оперативно, ему тоже звонят.
Как решить эту проблему?
Но ваша позиция кажется мне немного странной и эмоциональной.Возможно странная, но как говорится каждый варится со своим набором специй.
Эмоциональная — это точно. В этих эмоциях много боли и страданий.
Rate-limits на rspamd к примеру очень хорош и мониторинг mailq ваше все. Если у вас в очереди сообщений более чем 50 писем пора задуматься, если более 100 скорее всего пора бить тревогу. Есть куча возможностей как это мониторить: ELK, Graylog, Zabbix и тд
Для этого на сервере можно настраивать лимиты на количество сообщений за единицу времен и автоматическое сообщение о превышении таких лимитов.
Кроме того исходящие письма можно проверять на спам так же, как и входящие. И в случае обнаружения массы исходящего спама присылать письмо счастья.
Из моего опыта, правда уже давнего: почтовый сервер, рассылающий исключительно служебные письма одной софтины корпоративным пользователям этой софтины, лёгко и непринуждённо попадает в список Spamhaus. Взломан он был очень вряд ли, снаружи он был доступен только по ssh на нестандартном порту по ключам, подозрительной активности я не замечал.
И чтобы его достать из этого списка Spamhaus, требовалось пройти какой-то нездоровый квест по доказательству того, что я не спамер, и по-моему заплатить им денег. В итоге оказалось проще завести корпоративным пользователям ещё одну почту на провайдере, не учитывающем рейтинг Smaphaus.
Никогда и никому за делистинг платить не нужно. Rbl/Dnsbl имеет право:
1) зарабатывать на донате
2) взымать стоимость за использование их сервиса для проверки почты
Но никогда не имеет права взымать за делист, не порите чушь.
Запомнилось, что каких-то денег от меня вроде хотели. Но это давно было, могу ошибаться.
Да хоть вот с хабра: либо про ДДоС (который они честно заслужили), либо мат и ругань habr.com/ru/search/?q=%5Bspamhaus%5D&target_type=posts
ок, вот тут люди тоже пишут https://habr.com/ru/post/141231/ про "терроризм", но кхм, я с таким не сталкивался, и если бы столкнулся послал бы на 3 буквы. Может потому что я если и делистил то только /32 IP, а не обращался как провайдер, у которого забанили всю /24 или несколько подстетей. В банах больших подсетей можно долго спорить кто прав, а кто видноват, но о том что за 1 хулигана с /32 банят всю /24 подсеть банят, я не очень верю. Думаю там минимум таких накапливалось по 5 штук. ISP в таком случае должны просто за стандарт брать и банить outbound tcp 25 port и делать разблокировку только по запросу. В случае abuse репорт — блочить опять пока не почистят mailq и не исправят первопричину (будть то openrelay или скомпрометированый юзер). За несколько повторений с клиента взымать штраф за нарушение правил испрользования хостинга это тоже нормальная практика и вот такое я видел у некоторых в договоре.
А так, все делисты что я видел происходили либо вебсайт с аля капчей либо через почту (через postmaster@ptr.strip(host) к примеру).
Делистил у около 10 RBL, в том числе и у в том числе Spamhause, делист везде происходил менее чем за сутки.
Запомнилось мне 2 особых белклиста:
- SpamCop — отдельные ребята, не скажу что общение с ними мне понравилось, не хотели делистить первые 3 дня — просто так, а дальше требовали delist request через вебсайт с того же IP который я хотел заделистить — зато их "веселый подход" заставил меня узнать про фичу пробраса портов в SSH (в том числе Putty) и про Socks5 Proxy которая есть в nixах из коробки =). Почему делистил — потому что взламали учетку с слабым паролем юзера по брутфорсу. А как так, по брутфорсу то? Да… не было fail2ban и не было еще более важной веши: ratelimitов. Кто виноват был? Да я в принцыпе =), так что свой урок я получил.
- https://csi.cloudmark.com/en/reset/ — ребята как и Symantec и другие RBL с платной подпиской не палятся на http://multirbl.valli.org/ по этому узнал я о том что я в их блеклисте из bounce. Ок, иду на ссылку из bounce — ответа нет, сайт не грузится. Открываю гугл и делаю поиск — сайт есть, кешированая версия свежая тоже. Резовлю домен — резолвится, ломлюсь на 443 — закрыто, на 80 — закрыто, резолвлю MX — ломлюсь на 25 порт — закрыто. Нашел контактый емейл на закешированом сайте, отправляю письмо с gmail — отправилось. Оказалось ребята забанили по Geo IP всю мою страну на всех портах (пробовал и с мобильного и с домашнего интернета). Включил VPN забугорный — и их сайт открылся и MX доступны. Разбанил себя через веб у них за 2 мин потом. К слову через год когда на них заходил с своей страны — сайт их у меня уже открылся, и открывается сейчас.
- Symantec IP reputation — вот тут было весело, они забанили /24 подсеть и раз в сутки делали округление (если в одной подсети больше чем n IP забанено они банили снова всю /24 подсеть. Google recapche выносила мозг уже на 3 разбане. Вообщем я заставил своего ISP самим этим делом заниматься. Они за пол ночи все /24 разбанили. Немного жалко ребят
- Юморист gremlin.ru — я у него так и вешу всей /24 подсетью, но мне плевать, кроме него самого этот rbl юзает еще 2 калеки которых я ещё не встречал. Даже писать этому аутисту после прочтения его how to delist желания нет. Rbl опасны настолько насколько много к ним прислушивается и как. За что я люблю postgray+rspamd что он делает сумарную оценку по всем признакам и потом выносит вердикт. И ненавижу тех кто юзает rbl напрямую в postfix ибо наличие ip хоть в одном rbl приводит к bounce что есть крайне тупо.
Я лет пятнадцать назад даже с paypal-ом ругался на весьма смешную тему — у них один из MX серверов чудил по полной (HELO с кривым доменом, нет PTR-а и т.д.) в результате у меня постфикс периодически режектил почту от палки ещё на этапе заголовков, переписка не дала результатов, пришлось плюнуть на это.
А и с Symantec подвох был в том что мой сотрудник ловил bounce от итальянского территориального фришного почтового сервиса (на подобии mail.ru только поменьше) и от французского, но в ответе отказа не было указано по какому rbl меня отбросили, но явно говорилось что bounce я получил именно за блеклист. Стучался к обоим: конечно же postmaster not existing mailbox, как и abuse. Через форму обратной связи: у французов она сломана напрочь была — требовала attachment который некуда было подложить, а у итальянцев все же методом тыка и с google translate я умудрился найти перечень rbl которая их система использовала и методом исключения я нашел что это был Symantec.
Вообще по всему прочему бесит тот факт что люди игнорируют отсутствие таких важных аккаунтов/алиасов как postmaster или abuse на своих доменах. Спам на них не идет никогда — и логично, это просьба о пермобане :D. Но людю продолжают их не создавать. А если и создают не отключают часто для них антиспам в результате чего postmaster тоже не может принять проблемное (возможно даже local blacklist письмо) что лишает смыла данную учётную запись.
Да что там говорить — начинаешь слать dmarc reports и такое видишь… 40% rua адресов: mailbox not exist/user is over quota (даже у Яндекса по 4 раза на год)/mimetype isn't allowed. Последний кейс вообще ор выше гор: ребята хотят получить репорт zip с xml но даже не удосужились проверить, а не блочит ли их спам фильтр эти форматы? Ор...
IP адреса из вашей сетки /24 были замечены в спаме. Ваш адрес могли использовать в атаках (путём подмены само собой). Ваши пользователи имеют зараженные ПК.
В общем расслабляться нельзя… Не факт, что произойдет, но из опыта, даже у крупных корпораций почтовики попадали в стоп листы… Просто нужно иметь это в виду и знать, что делать.
Первое — не стоит хостить почтовик "где попало", в данном случае хороший ISP с заблокированным 25 портом по умолчанию, это правильный выбор. К примеру OVH я бы не рекомендовал как площадку для хостинга почтовика ;). Тогда и случаи попадания целых /24, а то и выше подсетей стремятся к нулю. Ну и конечно же можно подписаться на рассылку от mxtoolbox.com на проверку на блеклисты, а так же самому раз в неделю поглядывать на http://multirbl.valli.org/. Увы symantec, cyren и еще некоторые корпоративные rbl/dnsbl не разрешают публично их опрашивать, по этому их список можно держать отдельно и проверять уже когда начинаются проблемы с большимы делеями или баунсами.
Так же не лишним будет зарегистрироваться на dnswl.org, а так же на feed back loop от returnpath, yahoo и в программе репутации microsoft.
Ну то есть свой почтвый сервер — это не "поставил, включил авто-обновление и забыл", а "поставил и теперь трахайся с постоянной поддержкой".
- Автообновление — не канают, обновлять нужно самому, раз в месяц, не вижу проблем.
- Если вы не спамер и ваши учетки не называются test@company.com, с паролем test или они не выплыли в других утечках то заниматься извращениями с rbl вам никогда в жизни не придется
- если настроить пару spamalias ловушек которые будут обучать fuzzy и выбросить эти ловушки в интернет то 99% спама вы не увидите. Fail2ban ботов отрезает на ура, особо назойливым можно и пермабан влепить.
Зато если у вас не пойми почему валидные письма попадают в спам вы можете сами все исправить, а не ждать ответа от саппорта, и подобных кейсов много. Это как иметь свою квартиру или съёмную. Да в своей квартире нужно иногда делать ремонт самому или нанимать людей, в съемной — ремонт делает хозяин, но вопрос насколько хозяин заинтересован в ремонте вашей съемной квартиры?) Все же как по мне своя лучше и на душе приятнее. А если хозяин цену поднимает? А если он монополист… И тд и тп.
своя лучше и на душе приятнее
Это понятно, но в большинстве случаев человеку нужен просто работающий сервис, а не дополнительные траты сил и времени, так что проще и эффективнее купить готовый. Если не нужны какие-то прямо особенные фишки.
В статье пишут — поставь постфикс, пропиши домен и дальше всё само работает, а я говорю, что это не совсем так.
Автообновление — не канают, обновлять нужно самому, раз в месяц, не вижу проблем
Кстати, а почему вдруг? Если использовать LTS дистрибутив, где прилетают только исправления ошибок, и не получится нарваться на несовместимость конфигов новой и старой версии — да пусть сам обновляется, если пара секунд секунд даунтайма раз в неделю на рестарт сервиса погоды не делают.
Павел, поддерживаю!!!
Если использовать LTS дистрибутив, где прилетают только исправления ошибок, и не получится нарваться на несовместимость конфигов новой и старой версии — да пусть сам обновляется, если пара секунд секунд даунтайма раз в неделю на рестарт сервиса погоды не делают.
Кстати, это не совсем так. Был печальный опыт с панелью Веста, экзимом/dovecot на вполне лтсной центос 7. В какой-то момент с обновлением конфиг почтовика превратился в тыкву, но это по ходу больше виновата Веста…
Если стек простенький то вканает, если сложный — то полетят головы рано или поздно и дело даже будет не в конфигах а в фиксе бага который сделал еще 3 бага. Dovecot часто ломает или полностью или частично (что еще хуже) репликацию. Я вообще пользуюсь mailcow, это docker-compose, там обновления работают отлично, но локальные модификации могут быть перезатерты при git checkout, по этому там обновление ручное. Я и администратор и девопс, и на поддержке куча сервисов, не вижу проблем выдилить 3-4 часа жизни в месяц на почтовик — это моя работа, я за нее деньги получаю, и удовольствие тоже.
Если конфиг несложный и используются только пакеты из дистрибутива — то автообновление прокатит. Для LTS дистрибутивов обновления пакетов включают только фиксы ошибок, не ломая обратной совместимости.
Если там что-то сложное, или даунтайм недопустим, то не прокатит конечно.
Но в общем случае я стараюсь автообновления включать, где это возможно. Мне нравится идея, что в случае моего увольнения/отпуска/смерти/похищения инопланетянами сервер будет самостоятельно жить без дырок в безопасности до конца срока жизни дистрибутива.
Объясните, как делать валидные рассылки для тысяч своих подписчиков со своего сервера, чтобы он не попадал в спам-листы, плиз. Допустим у меня один только почтовый ящик для робота, но тысячи пользователей, которым надо отсылать уведомления.
Ну обычная p2p (people to people) переписка это одно - а mass mail, это уже совершенно другое, тут нужно подзапарится и время от времени проверять все ли ок.
Если IP еще использовался для отправки почты то нужно начинать им пользоваться постепенно, разогреть так сказать. Даже если он был в использовании но его объемы отправки резко вырастут некоторые репутационные сервисы могут воспринять это как спам. Это самый сложный из пунктов.
Как ни странно настроить SPF/DKIM/DMARC и не нарушать их.
Зарегистрироваться на как можно больше сервисов бесплатной почты для мониторинга своей репутации у них. Microsoft SNDS, Yahoo Postmaster, Mail.ru Postmaster, FBL ReturnPatch, DNSWL.org и тд.
На домене для отправки почты иметь MX и ящик для приема bounce сообщений, вроде очевидно - а бывает что некоторые об этом не парятся. Bounce приходят на envelope-from, mime-from, может отличаться, но и на него тоже стоит иметь MX, пусть даже с silent drop если это noreply@example.org
Следить за bounce, и желательно в автоматическом режиме исключать из рассылки тех кому идут permfail
Следить за очередью - если в ней письма задерживаются больше чем на 12 часов - разбираться почему
Иметь актуальный список емейлов и регулярный емейл трафик - а для этого нужно 2 вещи:
Если это рассылки с веб сервиса - валидировать емейл ваших пользователей в процессе регистрации. Никогда не слать рассылки тем кто ее не прошел. На самой форме регистрации использовать надёжную капчу и ограничение между попытками повторной регистрации и повторных отправлк писем валидации
По умолчанию предлагать пользователям новостные рассылки и отправлять их тем кто от них не отказался что бы поддержать некий уровень доставки почты. Рассылки всем нужно растягивать - слать пачками
Про MX ничего не выстрадано :), просто навидался на неверные конфирации других людей, и знаю как многие spam фильтры по понятным причинам вешают за это плохую оценку. Плюс очевидно что домен без MX не колышит bounce handling. Многие bounce можно получить сразу, прямо в tcp сессии двух почтовиков, но когда между 2 почтовиками (отправителем и получателем) есть еще один - почтовик (по класике отдельностоящий спам фильтр или концентратор) - bounce может прилитеть уже отдельным письмом - user not exist, user over quota, etc.
Про мониторинг DMARC - если у вас 101+ SMTP сервер - и полный бардак, то да, он вам нужен. А если у вас 1-3 SMTP сервера и /29 пул IPv4 и к нему притянуто за уши с /64 подсети аналогичное количество IPшников, то я не знаю на кой болт вам анализировать DMARC - настроил SPF & DKIM, проверил все 1-3 SMTP и забыл. Я ради интереса анализирую DMARC & TLS репорты - больше что бы увидеть каким бездельникам делать нефиг и делать spoofing dmarc p=reject; sp=reject. А так - я знаю что у меня все ок. Я предпочитаю не сливать в 3rd party отчеты, parsedmarc+elk хорошо справляется с этой задачей в docker-compose слепленном на коленке за пол часа. Увы пока TLS репорты проверяю глазами, и то делал это раз 5 - просто из интереса, DANE & MTA-STS у меня рабочий и отлаженный, парится не о чем. Но вот когда люди не шарящие (и это касается не только мелких компаний) настраивают DMARC, а потом дропают емейл указаный в нем - вот это вправду бесит, прямо очень. Я один из тех не многих кто шлет те самые DMARC репорты сам, и что поделать - ловлю bounce, если кто то известный - пишу им что бы поправили, если найду кому - редко помогает. Если не помогло вешаю получателя DMARC в бан что бы мой почтовик не отправлял ему отчет.
По поводу репутации IP: каждый сервис может как слушать жмени RBL, выставлять оценки за каждую или как идиот rejectить за наличие хоть в одном RBL, так и иметь свою внутренню систему репутации (вон с Rspamd это на раз-два). Интернет независим, каждый делат так как может (в виду скила и тех возможностей) и как хочет. К тому же Microsoft плевать если вы будете в 10 RBL, как и Google, но если они по своей внутренней системе репутации вас спутают с спамером (просто потому что IP спамера в той же подсети) - то все - привет junk folder или reject, а Microsoft может еще круче поступить, сказать 250 ОК, и молча выкинуть ваше письмо в /dev/null.
Слепо надеястя на то что юзер не кинет вас в junk мало, я уже говорил - следите за FBL loop и postmaster на больших Mail ISP, реагируйте на жалобы, меняйте тело письма и стратегию отправки если жалоб больше 5%.
Как насчет рассылок? Мне личный сервер, например, нужен именно для этого, а собственно рассылки и будут часто определяться как спам, рейтинг сервера падать и его постоянно надо мониторить и исправлять эти ситуации. Собственно, именно это, рейтинговая система современных почтовых серверов, и останавливает от личного сервера. В статье это, как по мне, самое главное и не раскрыто.
Потому что:
Лично вам он не нужен, поскольку потраченное время на его настройку по мануалам из инета не позволит вам столкнуться с проблемами, с которыми сталкиваются корпоративные админы из-за куда больших масштабов инфраструктуры. Т.е. опыт получите, но он в целом бесполезен и не подготовит вас к работе с большими инсталляциями.
Маленькой организации в 10-300 человеческих тел свой почтовый сервер не нужен, потому что почтовый сервер регулярно требует времени на обслуживание и траблшутинг. 80% съедают разборки почему письмо не пришло, почему не дошло, а почему у меня тут спам и вирусы в почтовый ящик упали. Проще отдать 20-30к в год на использование бинес почты яндекса/мэйла/гугла с своим корпоративным доменом. Минимум головняков за смешные деньги. А вы там один админ да еще и эникейщиком бегаете периодически, когда коллега эникейщик в завале или в отпуске.
Свой почтовый сервер есть смысл начинать, когда не один и не два админа в команде, и техсуппорты это уже отдельная группа в ДИТ/УИТ. Там и СБ больше фенечек хотят, и своих серверных ресурсов предостаточно, и автоматика с адресными книгами и настройками почтовых клиентов важна и нужна. И главное, есть возможность выделить отдельного человека на поддержку всего этого добра. А то и несколько. И там почти наверняка не постфикс, а Exchange.
1.
"Да, конечно, ужас — но не УЖАС-УЖАС !"
Exchange как правило там где вся среда виндовая, но в целом он необязателен. Грамотно настроенный exim/postfix + dovecot + spamassasin/rspamd + sieve + clamav закрывает все потребности.
2.
Но "профессия postmaster мертва" — это факт. "Не только лишь все" могут tls для 25-го порта настроить так чтобы в immuniweb.com/ssl/ на А попугаи были. Да даже в этой статье ничего не говорится о том что понадобится ещё и сторонний нормальный dns-хостинг чтобы "для почты" mta-sts и dane настроить.
Насчет потребностей. Свой почтовый сервер в организации это не потребность ИТшника, а потребность бизнеса. А какая у вас там связка будет, бизнес интересует мало. Нужно что бы новый человек сел за комп, ввел логин и пароль и начал работать. И настройки для почтового клиента прилетели автоматом, и общие папки в почте тоже что бы подрубились, и автоархивация тоже должна быть настроена.
Поднять и запустить — это менее 1% последующей эксплуатации. И то что вы потом не трогаете сам сервер почтовый, не означает что не будет моря головников на клиентах которые этот сервер использует.
Делаешь git clone mailcow-dockerized, генерируешь конфиг и делаешь docker-compose up -d — грамотно настроенный сервер у тебя уже есть со всем что нужно малому/среднему бизнесу из коробки:
- postfix+dovecot+crypt+sieve+solr (imap4/pop3/smtp, почта хранится в шифрованном виде на сервере, filters & autoreply, индексированный поиск в imap)
- rspamd+redis+oletools+clamav (aнтиспам, rate-limiter, антивирус, анализатор документов (детектор макросов), подпись писем dkim & arc)
- приятный веб клиент sogo с caldav/carddav и eas
- грамотная и удобная админка (mailcow ui) с своей API для автоматизации и наличие OAuth для предоставления авторизации другим. Авторизация в почтовике через ldap есть, но через отдельный проект.
- letsencrypt из коробки и грамотно настроенное шифрование tls1.3 на всех client facing сервисах. Остаётся только инфрастркутуру: настроить ptr и домены (mx, spf, dkim & dmarc и autodiscovery), возможно выбросить порты в мир или сделать разрешающие правила на шлюзе и может кроме ptr запросить у провайдера unlock outbound 25того порта. Если провайдер NS (к примеру cloudflare) и зона поддерживает dnssec то и dane ты включишь одной записью на 3 1 1 типе tlsa — имея свой контейнер для получения letsencrypt по crs с неизменным private key. К слову сама mailcow даст тебе значения которые нужно настроить в домене и проведет самодиагнотику домена, доступности портов и корректности A/AAAA=>hostname=>PTR. По поводу mta-sts, ну тут вообще все просто — вам просто нужно хостить статический txt файл на https веб сервере с валидным сертификатом, работы на 5 минут от силы.
А дальше останется мелкие правки уже под свою инфрасткуру работы некоторых сервисов, и то не факт, некоторых может устроить и все из коробки.
К слову про HA — даже он есть и почти готовый
Я опущу темы связанные с получением почты из интернетов и фильтрацией их на спам и вирусы, это просто базис без которого нельзя. Требование сертификата для работы с вебинтерфесом почты извне периметра тоже как бы естественно. Пара дней на все провсе.
Вот простой пример типичных «почтовых» проблем:
1. Письмо должно было прийти, но не пришло. Техсуппортам или пользователям нужен вебинтерфейс, где они могут посмотреть что до них не дошло, что попало в карантин, что сейчас висит в грейлистинге. Или Вы собираетесь на 3к+ пользователей, по каждому их запросу логи грепать на серваке в поиске письма для них?
2. Сотрудник пошел в отпуск, и его почта теперь должна перенаправляться на определенного сотрудника с такого то по такое число. После второй даты вернуть обратно.
3. Настройка автоархивации писем, потому что ящики, внезапно не резиновые и хламом забиваются вполне в обозримые сроки. В зависимости от ранга пользователя это выгрузка на локальный ПК или в сетевой архив.
4. Сотрудник отиз/кадров отправил письмо не туда куда нужно в рамках организации. Письмо нужно отозвать с удалением с почтовых ящиков, почтовых клиентов на ПК и мобильных устройствах.
5. Теневая копия для СБ всех писем отправленных на определенный адрес в интернетах от любого из сотрудников.
6. Письмо не уходит потому что либо размер большой, либо адресат не существует, либо отлуп потому что твоей домен внезапно блэклистед.
7. Приемная любит слать 5 мегабатные открытки на каждый праздник на everyone@
8. Настройте ка мне на телефоне почту, да мне насрать что там tls не поддерживается, и это андройд до 4.1 версии.
Про то, что в мире куча конторок с их админами и своими почтовыми серверами вообще не заморачивается на предмет того, что бы их почтовые сервера соответствовали требованиям по обмену почтой можно вообще долго рассказывать. А вам это почту нужно принять, юзеры хотят.
Цисковому TALOSу вообще нагадить с высокой горы, если вы там получили у них негативный рейтинг. Им там писать некуда что бы вас из блеклистов убрали. Шлите хорошую почту, выравнивайте рейтинг.
К этому можно добавить, что было бы хорошо что бы почтовый клиент сам все настройки тянул, что для чанги+аутлук самособой разумеющееся из коробки.
История долгая вообщем.
Администрирование почтовика — это лишь один из скиллов администрирования. Ровно тоже можно сказать про администрирование допустим апачи. Или вообще Windows/Linux администрирование. Сплошная потеря времени :D
Но ваша же позиция в целом предполагает некоторое понимание предстоящего доведения до ума. Тем более, если есть несколько сотен активных пользователей почты, то они обязательны. И, по большому счёту, если этим не занимается ответственный человек (а потом начнётся "дружба" почты с 1С и прочими Битриксами, со своими нюансами), то резонно вернуться к вопросу в названии статьи. И я уверен, что ответ "нет, не нужен".
Потому что это будет либо трата времени и сил, либо баловство для себя и своего кота. Причём баловство как с " неуловимым Джо", который никому не нужен, а потому и от старта до эксплуатации это не составило труда.
Точка и аллес только лишь в том, что Вы тролль и говорить с Вами по существу не о чем.
Остальные, которые вам противоречат, всегда выступают в другом ключе: «да, нужно. да, работает. да, мого лет. нет, не задолбался.»
если это хобби — ради бога. Если это работа и за нее платят деньги (крупные корпорации до сих пор покупают коробки Exchange и держат на них корп почту или мелкие компании бывает держат свой почтовик для рекламных рассылок) — ради бога. Но не нужно пытаться навязать всем окружающим свою единственно верную (на самом деле нет) точку зрения. Обычные хомячки без особых требований уже выбрали — облачные сервисы вроде гугла или яндекса. И правильно сделали. А свободное время тратят на что-то более интересное
Это такая же «элементарная» задача, как «настроить мониторинг». Директора почему-то считают, что там делов на 15 минут. И действительно — за 15 минут можно поднять графану, прометеус и накачать типовых алертов. А то, что это не является решением задачи — все забывают. То же и с почтовым сервером. Любой дурак сделает apt install postfix. А вот настроить нормально — это убить вечер. Хорошо, когда у тебя процесс проставлен на поток. А если это разовая работа?
И не надо про руководства. Ок? Зачастую руководства из интернета фрагментарны, неверны или не соответствуют актуальной версии ПО. А в оф доках на конкретный продукт может быть описана только какая-то базовая банальщина, а не процесс от сих до сих. Тчк. Удачного вечера, dixi.
И поднял, и работает, и никто не спорит, что будет работать, потому что этому постфиксу из кладовки особо ничего и не нужно. Да и сам он, с объективной точки зрения, не нужен.
Вопреки упомянутым предприятиям, где у тебя реально нужные свои и постфиксы, и чанги и ещё чёрт его знает что со спамассасином и каспером на входе, кучу раз друг с другом и другими сервисами предприятия переинтегрированное и нахватавшее в реальном рабочем режиме, активном, с множеством пользователей, граблей и от своей программной составляющей, и от сервисов, с которыми интегрируется, и от получателей, с которыми ведут переписку пользователи.
Видимо решили что установка и запуск сервера это уже все.
Для личного или семейного — да, уже всё, плюс диск потолще. Всё остальное актуально только для корпоративных серверов причём с хорошей текучкой кадров или сильно раздутым штатом, для небольшого стабильного бизнеса каждая из описанных проблем возникает не чаще нескольких раз в год.
У меня свой сервер чуть более 20 лет, на нём ящики ещё пары друзей и родственников, за всё это время на установку и администрирование ушло в общей сложности не больше месяца (обновления, прикручивание чего-то нового по мере выхода, разборки с проблемами и несколько переездов между хостерами) — т.е. в среднем полтора дня в год.
Почта с него уходит (и приходит) куда угодно, в спам-списки не попадал ни разу (там с десяток доменов), с приёмом тоже проблем не было (не считая редких случаев false positive и лимитов), спама мало благодаря нехитрым трюкам плюс spamassassin (впоследствии — rspamd), веб-морда — roundcube (до этого было просто imap).
Единственный минус — нужны таки минимальные познания, чтобы всё сделать правильно, так что домохозяйкам и домохозяинам будет тяжко, это правда, но любой кто дружит с командной строкой и умеет курить мануалы сможет всё настроить раз и почти навсегда, максимум за пару рабочих дней.
было бы хорошо что бы почтовый клиент сам все настройки тянул
Для этого придумали кучу способов автоконфигурации, немножко шаманства с DNS и изредка веб-сервером — и большинство клиентов автоматом всё что нужно поставят после указания домена, но для маленького количества стабильных пользователей это не особо актуально.
И если с чангой обычно все понятно, то linux-way зачастую дает такое разнообразие реализаций, что каждый новый спец предпочитает переподнять все заново, по своему, так как он привык. Потому что, чего там наворотили люди до него, и которых уже нет не выяснить.
А текучка, она везде текучка. Сегодня один спец городил свои костыли, завтра другой. Описательную часть в конторах до 100 тел вообще ниразу не видел, хорошо если файл с паролями оставляли.
Вы правы, трамвай это проблема — но на этот случай я приготовил инструкцию. В теории, до тех пор пока хостинг жив и не найдена критическая уязвимость в софте, всё будет работать "само по себе", но я готовлю вариант который позволит переехать куда угодно с минимальными усилиями и знаниями.
Вначале это действительно был "linux way", но сейчас это пусть и примитивный, но всё же UI с возможностью добавлять ящики, менять пароли и делать минимальные настройки, а также документация, т.е. справятся и без меня какое-то время. У меня также есть secondary с репликацией, т.е. смерть одного сервера не убьёт почту, так или иначе, у друзей будет время на переезд в случае трамвая.
podde Я не доверяю балконам из-за их нестабильности, предпочитаю DS/VPS — поэтому "хостер". Тот факт что хостер теоретически может получить доступ к данным меня (и пользователей) не сильно волнует, там ничего "такого" в открытом виде нет (для этого используется PGP и другие способы), в случае же гипотетического взлома балкон мало отличается от хостинга где-то.
Да, трамвай это проблема… но не моя.
У меня ситуация похожа на Tangeman, но чуток по-проще: свой личный-семейный почтовик лет 20. Из них 19 на qmail, а в этом году я переехал на postfix (плюс postgrey, opendkim, opendmarc, courier-imap, courier-authlib, postforward, postsrsd, pflogsumm, maildrop… если никого не забыл, мда). Spamhaus периодически бесит (сервер дома, у обычного ISP, а что адрес статический spamhaus не парит), но ничего смертельного, самоудаляюсь из него успешно раз в полгода-год где-то.
Но я отвлёкся. Я к тому, что у программистов есть такой очень правильный motto: "вы не гугл!". Здесь ровно та же ситуация. В статье и комментариях обсуждается личный почтовик. Перечисленные же Вами сложности к нему никак не относятся! Мой личный почтовик имеет полное право навернуться если со мной случится трамвай. У меня настроен второй MX на отдельном сервере, так что почта не потеряется пока основной лежит, а дальше наследник вполне может перенести домен на gmail или куда захочет, если ему это будет нужно.
P.S. Помимо перечисленных в статье причин иметь личный почтовик могу добавить ещё одну: контроль. Я хочу видеть, что исходящая почта всё ещё болтается в очереди, и почему конкретно. Я хочу контролировать спамфильтр, чтобы он не наглел и не прятал от меня важные письма (и тем более не reject-ил их на уровне SMTP по сомнительным причинам). А ещё я хочу создавать почтовые ящики в любом количестве, не сообщая сторонним сервисам свой номер телефона.
А ещё я хочу создавать почтовые ящики в любом количестве, не сообщая сторонним сервисам свой номер телефона.
Вы уже его сообщили в момент регистрации домена и в момент подключения к провайдеру…
Я хочу видеть, что исходящая почта всё ещё болтается в очереди, и почему конкретно.
ok. Только это не спасет в случае, если у контрагента письмо получено и было зарезано спаммерорезкой.
Я хочу контролировать спамфильтр, чтобы он не наглел и не прятал от меня важные письма (и тем более не reject-ил их на уровне SMTP по сомнительным причинам).
я, наверное, уже смирился, но Гугль и outlook365 не замечены в нежелательной деятельности по reject'у валидных писем. К тому же, самому спам фильтр настроить на такой же уровень качества как у Гугла и Яндекса одному попросту невозможно по объективным причинам
Вы уже его сообщили в момент регистрации домена и в момент подключения к провайдеру…
Даже если и так, это не повод сообщать его ещё и гуглу с яндексом.
ok. Только это не спасет в случае, если у контрагента письмо получено и было зарезано спаммерорезкой.
Ну почему же? Регулярно спасает — я точно знаю на чьей стороне проблема и уведомляю об этом контрагента.
не замечены в нежелательной деятельности по reject'у валидных писем
Ха. Ха. Ха. Если лично Вы этого не видите — не значит, что этого нет. Я вот временами с этим сталкиваюсь, и в комментах тут это тоже упоминали. Да, конкретно гугл и конкретно в последний год, лично по моим впечатлениям, стал терять меньше нормальных писем. Но и это может быть ошибкой выжившего.
спам фильтр настроить на такой же уровень качества как у Гугла и Яндекса одному попросту невозможно
Согласен. Только — см. выше: "вы не гугл". Лично я обхожусь правилами для maildrop, и при этом получаю в среднем пару спам-писем в день. На обновление правил трачу пару минут раз в месяц, когда пара писем превращается в пять-шесть и это начинает раздражать.
У меня свой сервер
Несколько переездов между хостерами
Извините, не понял. Я так думал сначала, что у вас все эти ящики дома на балконе крутятся на своём почтовом сервере. Почему "хостер"? Поясните, пожалуйста.
Да и хостеры часто вместе с сайтом предлагают почтовый сервер, прям с именем сайта.
Все неплохо с ПДД от Яндекса — но до тех пор пока они не решат (как собственно Gmail) сделать ПДД платным, и что в таком случае делать? Или платить или свой почтовик поднимать, а с архивом почты что делать?
Хотя да, согласен что пдд от Я вполне себе рабочая
На сколько я помню, они(гугл) сделали принудительно(для уже существующих бесплатных аккаунтов) платным использование только для аккаунтов-доменов с большим количеством внутренних аккаунтов. К примеру, моему личному аккаунту(домену) там лет 10 точно уже есть, все еще бесплатный, хотя когда-то приходили письма от гугла что они были бы очень рады, если бы я перешел на платную основу. А если у кого-то все таки компания, где много аккаунтов/сотрудников, так может все таки пора уже заложить в бюджет условные 100$ в год на оплату услуг корпоративной гугло-почты?
Завести сейчас почту — $5-6 за юзера у гугла/MS (MS еще с нюансами), либо у яндекса/мэйлру бесплатно, либо более нишевые сервисы (Zoho, RackSpace, ProtonMail), где можно найти за $1-2/юзер.
Т.е. банально домен с 3-5 ящиками — это уже $5-10 в месяц минимум (без учета цены домена, т.е. порядка $15/год), что сравнимо с ценой хорошей виртуалки у серьезного хостера или двух виртуалок у пары более дешевых, и накидать резервирование между ними.
Все же встроенные фильтры Гугла/Яндекса лучше справляются с массовыми нежелательными рассылками и в результате входящие «чище».
Так вот, при минимальном соблюдении стандартов (та же корректно настроенная PTR-запись) и гугль, и яндекс, и все остальные крупные почтовые провайдеры без проблем принимают письма от частных серверов. А уж если ещё немного и безопасностью озаботиться (SMTPS, DKIM, SPF и всё такое), ваш сервер будет вполне уважаемым клиентом :) Главное не лениться проверять свой почтовик различными online и offline сканерами на предмет настроек — львиную долю косяков вам тут же озвучат и подскажут в какую сторону копать.
Что до спама, тот же rspamd при практически настройках по умолчанию уже режет 98% спама. И если ваш сервер первые два-три дня активно от спамеров отбивается, то обычно после этого его привлекательность для ботов и спамеров резко падает (сужу по логам).
По поводу попадания в спам MS & Gmail & Yahoo, честно скажу, там далеко не все так просто. Если вы админите rspamd, то можете сами видить количество возможных правил. А у таких гигантов как выше перечисленных спам фильтр еще куда более замудрен, и правильно настроенный почтовик и домены это далеко не залог попадания почты в inbox. Когда у вас почты более чем 100 писем в день к большим провайдерам они еще как то реагируют на ваши заявки (MS & Yahoo), а если меньше — то будут присылать шаблонный ответ из серии проверте fbl, ip reputation, dkim, spf и идите лесом. В случае с Gmail дела обстоят еще более пагубно — там что бы добраться до человека иногда нужно пройти 9 кругов ада всемозможных ботов, а потом когда заявка уже оформлена — Google даже не отпишется о ее статусе и результате, вы даже не узнаете делали они вообще что либо или нет, и ваша почта просто выпала с чего то на подобии neural_network_short.
Все же встроенные фильтры Гугла/Яндекса лучше справляются с массовыми нежелательными рассылками и в результате входящие «чище».
Но они создают другую проблему — могут принять за спам то что таковым не является и вы даже про это не узнаете. Не знаю как у Яндекса, но Гугл сам по себе решает что письмо — либо спам, либо фишинг, и молча его прибивает — т.е. только отправитель получает отлуп, а у получателя оно даже в спам не попадает. Попытки получить внятный ответ от саппорта гугля не приносят результата ("так работают наши фильтры, мы ничего не может сделать"), способы внести отправителя, его домен, его сетку в "белый список" — отсутствуют или не работают, возможности отключить спам-фишинг контроль очень ограничены и тоже не помогают.
Собственно, большей частью это касается почти всех сервисов, платных и не очень — отдавая обработку своей почты кому-то, вы теряете контроль и возможность анализа проблем (или сильно в этом ограничены) — это и есть основной минус почты "у дяди". Не говоря уже о том что "дядя" может по жалобе или капризу прибить вам доступ, с или без оснований, потому что ему что-то показалось, типа нарушения условий использования, или потому что против вашей страны ввели санкции, и ещё много всяких или, независимо от платности сервиса (ну разве что очень дорогие ведут себя иначе) — и в итоге в самый неподходящий момент вы можете оказаться без почты и без возможности что-то с этим сделать, навсегда или на ощутимое время.
К примеру, для меня одно неполученное вовремя письмо может оказаться хуже чем тонны спама (к примеру, если оно из налоговой — и им пофиг что письмо не дошло) — так что нет, никаких "дядей". Если умрёт DS/VPS с почтой (сам или вместе с провайдером) — его можно быстро воссоздать (или просто иметь secondary у другого провайдера), если умрёт ящик у гугла или кого-то ещё — уйдут в лучшем случае дни на разборки посредством обезьянок первого уровня, или тонны денег на то чтобы разборки заняли не дни а вменяемое время.
Если умрёт DS/VPS с почтой (сам или вместе с провайдером) — его можно быстро воссоздать (или просто иметь secondary у другого провайдера), если умрёт ящик у гугла или кого-то ещё — уйдут в лучшем случае дни на разборки посредством обезьянок первого уровня, или тонны денег на то чтобы разборки заняли не дни а вменяемое время.
Но ведь при наличии личного домена, это не должно быть проблемой, Вы просто привязываете его в другой сервис и ждете обновления кешей DNS записей.
Всё это (с учётом DNS) может занять до пары дней, за это время может произойти много неприятностей (типа bounce пока идёт перестройка), не говоря уже о том что просто так к другому сервису его не "привязать" — нужны настройки, индивидуальные ящики и прочее.
Но зачем всё это если можно просто поставить что-то вроде Mail-in-a-Box, Mailu или Mailcow изначально? Есть и ещё проекты, которые требуют минимальных усилий — только свой домен и DS/VPS.
Сейчас очень многое завязано на почту, даже у частных лиц — регистрации во всяких госуслугах, банках и подобным, где сбои могут иметь весьма неприятные последствия, про тех у кого бизнес и работа завязаны я уже молчу — хотя многие из них до сих пор пользуются бесплатными ящиками, которые можно потерять в момент.
Вообще электропочта уже дошла до точки когда провайдеров нужно минимально регулировать, дабы пользователи не опасались потерять аккаунт просто по прихоти провайдера или левым жалобам, и имели возможность сохранить почту если провайдер вдруг умер или сошёл с ума.
Лицензионным соглашением между пользователем и сервисом. Где пользователь обязуется, а сервис ему за это ничего не гарантирует :D
Я понимаю, что свой домен и даже свой почтовый сервер под кроватью тоже ничего не гарантирует т.к. домен могут попросту отнять по той или иной причине.
Таким образом вот так чтобы ультимативного решения чтобы с гарантией, наверное на сегодня нет. И не факт что будет т.к. необходимость этого… весьма себе спорная.
электропочта уже дошла до точки когда провайдеров нужно минимально регулироватьВ Германии уже лет 10 как есть «DE-Mail» — возможность зарегистрировать «регулируемую» личную почту с перечисленными свойствами (+ цифровая подпись и прочие плюшки). Обеспечивается она государством через специально принятый закон.
Вам так же потребуется:
1. статический ip адрес
2. настройки ssl сертификатов
3. проверки домена и чистка его из спам листов
4. обратная ptr запись для вашего ip адреса (делается через провайдера)
5. настройка домена для работы с почтой (много разных записей для антиспама и т.д.)
В целом овчинка выделки не стоит.
2) Let's Encrypt довёл использование и настройку SSL почти до уровня домохозяек.
3) Тут даже не домен, а IP должен быть чистым.
4) По стандарту PTR просто должна быть, в реальности да, некоторые (в основном любительские) почтовики ругаются на всякие rev-88-14-188-222.sam.tam.idiot.xosting.xz, да и если мне память не изменяет, то эту самую PTR почти у всех хостеров можно прописать свою
5) Тут вариантов море — можно копипастнуть более-менее свежую HOW-TO и получить более-менее рабочее решение, а можно обложиться мануалами и родить своё. Собственно этот пункт и есть самый геморный.
2. нет все сложно… просто читани как его прикручивать
3. да, ip конечно же
4. угу, а потом письма в спам улетают или не доставляются
5. нет я имел ввиду записи для домена dkim и т.д.
По пятому — зависит от того, насколько хочется плюшек. Я и DANE прикрутил на основе сертификата от того-же Let's encrypt-a, что весьма весело.
По домену, есть спам-листы которые блочат все свежезареганные домены. И автоматически делистят их спустя несколько дней. Как таковые эти спам-листы использовать смысла нет, но проблема в том, что они используются как часть широкоизвестных спам-листов которые какраз и делают своё дело. Но в дальней перспективе конечно репутация ипа намного важнее.
По PTR нет своей RFC, дальше best practices не ушли, такчто формально нет стандарта. Отсюда в т.ч. весь этот сад-огород и тонны обсуждений как же всётки сервачелло должен смотреть на rDNS и должен ли он вообще это делать. Я встречал неправильно прописанные PTR даже у «самого» микрософта на их mail.protection.outlook.com такчто очевидно это не лучший способ защиты от спама.
- настройки ssl сертификатов
Мой почтовый сервер работает без этой настройки.
- обратная ptr запись для вашего ip адреса
Эта запись полезна. Работать-то сервер будет и без неё, но некоторые почтовые серверы будут объявлять почту спамом.
(делается через провайдера)
Но только через нормального провайдера. Обычные-то провайдеры в ответ на просьбу указать доменное имя клиентскому адресу говорят что-то типа — пошёл нахер, дурак, мы твоему адресу уже давно назначили имя типа ваш-ip.наш-провайдер.ru
Но вообще лучше сделегировать с провайдерского сервера имён обратную зону (частичную, конечно) на свой сервер имён, чтобы во первых дать своему адресу имя своё, а во вторых иметь возможность менять/уточнять это имя без обращения к провайдеру. Но когда у провайдера просишь сделегировать к себе обратную зону для своего IP, то провайдерские админы вообще не понимают — о чём их просишь и делают вид, будто дурак у них — клиент.
Эта запись полезна. Работать-то сервер будет и без неё, но некоторые почтовые серверы будут объявлять почту спамом.
Не некоторые, а большинство почту принимать будут в Junk.
Но только через нормального провайдера. Обычные-то провайдеры в ответ на просьбу указать доменное имя клиентскому адресу говорят что-то типа — пошёл нахер, дурак, мы твоему адресу уже давно назначили имя типа ваш-ip.наш-провайдер.ru
Если вы пытаетесь поднять почтовик в через домоинтернеты почитайте договор: провайдеры домашнего интернета даже при выдаче статического публичного IP могут не разрешать изменение PTR в принцыпе. Так что тут завист от ISP, к примеру мой домашний провайдер прямо на главной странице пишет что разрешает смену PTR по заявке в support. С первого раза я правда попал на еникея, но потом дело порешали его старшые колеги.
А вот последний ваш абзатц — это просто абзатц, извините за тафтологию.
Но вообще лучше сделегировать с провайдерского сервера имён обратную зону (частичную, конечно) на свой сервер имён
Частично насколько? Какой зачастую у вас размер подсети у провайдера в аренде? Я не часто вижу /24 подсеть в аренде, в основном уже логичнее взять свою ASN в таком случае.
tools.ietf.org/html/rfc2317 4. Classless IN-ADDR.ARPA delegation — это то еще порно, многие не хотять им заниматся по понятным причинам. С ANS своей проблем нет, а вот с своим IPv4 Poolом — да, да здравствуй exhausted RIPE. Так вот я это к чему: структура домена ".in-addr.arpa" такова что делегировать по человечески можете вы можете зоны только A, B, C подсетей, то беш: /24, /16 и /8 если говорить привычными масками. А если страдать извращением с CNAMES как описано в rfc2317 то можно получить делегирование для /27 подсети (30 IP), все еще большой куш IP, не каждый провайдер его вам сделегирует. Хотите управлять своими PTR — или покупайте ASN и свой адресный pool и используйте свои NS на здоровье, или находите ISP у которого есть API которая позволит вам через WebUI либо в виде Invoke-RestAPI скриптов управлять резолвингом PTR.
Но когда у провайдера просишь сделегировать к себе обратную зону для своего IP, то провайдерские админы вообще не понимают — о чём их просишь и делают вид, будто дурак у них — клиент.
Я бы на их месте не оскорблял клиента, но молча бы покрутил палец у виска, а потом еще знатно посмеялся после того как бы положил трубку.
P.S. в ipv6.arpa дела обстоят более гибко, там делегировать можно /48 и /32. По причине того что /48 это стандарт для выдачи всем юр клиентам — то сделегировать PTR зону будет и вправду легко. Жду не дождусь когда уже можно будет смело свалить с IPv4, мож хоть на пенсии порадуюсь Т_Т
как же раньше было проще и интереснее =)
ps: да, конечно, были минусы, визжащие по ночам в телефоне кошки =)
Так что сейчас проще — у меня сайтик на роутере уже пару месяцев вполне нормально работает, аптайм 99,93% (было несколько сбоев — раз отвалился диск внешний, и провайдер ночью какие-то работы делал — не было сети около 15 минут пару раз), думаю как раз к нему еще и почтовый сервер подсадить — для экспериментов.
Последний раз перенастраивал всё несколько лет назад когда переезжал на OpenSMTPd — он лёгкий, компактный и весьма надёжный.
У меня не очень активная переписка, но тем не менее оно того стоило.
Могу констатировать, что при правильной настройке DKIM, SPF, PTR и прочего — все письма ходят очень надёжно, например GMail мои письма прекрасно принимает, ни разу не было проблем.
Сертификаты обновляются сами через LetsEncrypt, домен свой, на серваке FreeBSD, хотя это в данном случае не так важно.
По поводу спама — уже много где описано как прикрутить RSpamD хоть к какому почтовику. После определённого периода обучения он неплохо откидывает спам в отдельную папку, иногда ему приходится помогать, но это совсем нетрудно.
Ещё есть в OpenSMTPd замечательная возможность правильно отшить спамеров ещё на этапе коннекта к серверу, так отбрасывается бОльшая часть мусора из внешнего мира. А если и попадаются какие-то назойливые спамеры которые строго соблюдают протокол и имеют правильные DNS-записи (и иногда даже DKIM-подпись!) — таких можно отсеивать или Sieve-правилами уже позднее, или если совсем большой поток — поставить правило в коннекте.
Но честно говоря, вся эта настройка делается один раз и требут минимум вмешательств в процессе работы позднее.
Если у меня когда-нибудь будет настоящая паранойя, то можно будет переписываться в зашифрованном виде, а так оно уже и сейчас неплохо работает.
например GMail мои письма прекрасно принимает
Можете провести эксперимент по поднятию свежего почтовика.
Будете сильно удивлены, но именно гуглу безразличны все выполненные вами политики безопасности на этапе развертывания — письма от вашего сервера он аккуратно будет складывать в «спам» от месяца и более.
Не будет — личный опыт. Только настроить нужно всё! Последний год к примеру Google очень любит чтобы было внедрено mta-sts.
Последний год к примеру Google очень любит чтобы было внедрено mta-stsНе смотря на то, что у гугла есть инструкция по настройке mta-sts, его же инструментарий по проверке корректности почтовика упорно молчит о необходимости или желательности этой опции.
Скорее всего IP (или подсеть) имели плохую репутацию когда ты его начал использовать. Но это, конечно, догадки. У самого таких проблем не было.
Из того что мне кажется важным: для всех DNS-based проверок еще очень помогает DNSSEC. Можно еще DANE прикрутить, но обновлять его при обновлении сертификата от LE геморройно немного.
Совершенно верно! А учитывая стоимость сертификатов (аж по 4 евро за год по акции) LE не так уж и нужен.
reuse_key = True в /etc/letsencrypt/renewal/DOMAIN_NAME.conf
А если и попадаются какие-то назойливые спамеры которые строго соблюдают протокол и имеют правильные DNS-записи (и иногда даже DKIM-подпись!)
Их огромное количество. Подсетями банить приходится.
Хуже, я тут банил целыми TLD т.к. на Namecheap спамеры покупали сотни доменов в зоне .icu и хреначили с полностью корректно настроенными SPF/PTR и прочим.
Специальные абьюзоустойчивые хостеры.
Клиенты которые крупные и считают что они имеют право слать что хочется потому что я якобы их клиент (реально — нет). Иногда и мелкие бывают (был даже случай что один и тот же домен но — контора Б сначала призналась что они контору А купили а обязательства перед клиентами А даже не подумают выполнять и вообще вы не клиент потому что списков клиентов у нас нет а потом очередями рассылки, по тем самым спискам клиентов что у них нет)
Эх! Думал в статье будет упомянут sendmail с его уж больно навороченными конфигами. Это классика, но лучше держаться от неё подальше.
Sendmail мёртв, не будем об ушедших. Ни один адекватный дистрибутив его более не поставляет по дефолту.
Покойся с миром дедушка Sendmail!
А посоветуйте нормальный современный и удобный веб-юай для своего почтового сервера? Все, что я смотрел — было каким-то страшным легаси. Для меня это основной аргумент против своего сервера. Я не хочу все письма закачивать в десктоп клиент.
Спасибо, посмотрю!
Да, ничего лучше из опенсорса объективно нет.
https://www.rainloop.net вроде еще ничего.
Они вроде как денег хотят
sogo.nu/support/faq/how-to-install-nightly-sogo-versions-on-debian.html
Зы. Кто «боится» nigthly-сборок. Развертываете ДВЕ-ТРИ-n идентичных виртуалки и перед обновлением sogo на продакшене тестируете на «кошках».
Зы2. У меня в debian 10 так:
set -x
IFS=$'\n\t'
PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
sudo apt-get clean
sudo apt-get update
sudo apt-get install apt-transport-https
CODENAME='buster'
sudo gpg --keyserver hkp://keys.gnupg.net --recv-key 0x810273C4
sudo gpg --armor --export 0x810273C4 | sudo apt-key add -
echo "deb http://packages.inverse.ca/SOGo/nightly/5/debian/ ${CODENAME} ${CODENAME}" | sudo tee /etc/apt/sources.list.d/sogo.list
echo "deb-src http://packages.inverse.ca/SOGo/nightly/5/debian/ ${CODENAME} ${CODENAME}" | sudo tee -a /etc/apt/sources.list.d/sogo.list
sudo apt-get update
if ! sudo apt-get install --dry-run sogo; then
echo 'deb http://ftp.debian.org/debian unstable main contrib non-free' | sudo tee /etc/apt/sources.list.d/unstable.list
sudo apt-get update
sudo apt-get install -y sogo sogo-activesync memcached
sudo rm -fv /etc/apt/sources.list.d/unstable.list
sudo apt-get clean
sudo apt-get update
else
sudo apt-get install -y sogo sogo-activesync memcached
fi
p.s.Если интересен почтовый сервер, то советую присмотреться к mailcow dockerized, там очень крутая и полноценная документация на гитхабе
прекрасно работает на 16 Гб ОЗУ + 12 ядер как вирт. машина на Proxmox VE для ~1000 человек. С привязкой к AD.
Зы. Sogo — классная штука ) Умеет вдобавок «притворяться» MS Exchange для Outlook-а.
Зы. Sogo — классная штука ) Умеет вдобавок «притворяться» MS Exchange для Outlook-а.
спасибо, посмотрел, действительно выглядит как конкурент для Kerio etc.
— редактор при отправке писем куда хуже (увы)
— сортировка по тредам (темам) отсутвует — но я лично ей и не пользуюсь
Как-то на заре преподавательской деятельности у меня был ящик на майлру. Каждый день приходило по полсотни писем, из которых 90% мусор. Уезжаешь в опуск и через две недели ящик полон — после этого ты начинаешь терять нужную почту.
ФТП — нет, SFTP или FTPS — скорее да, чем нет, но отдельный геморрой это все правильно настроить
Секурному фтп даже самоподписанный серт мона подсунуть т.к. фтп клиентов которые бы умели проверять цепочки не сущетсвует наскок я наю.
Единственное что может вызвать сложность, указать правильный Umask, но там достачтоно раз понять логику и усё. Остальные настройки понятны и их не так много.
Но вобщем конечно фтп — это прошлый век.
Не такой уж и полный.
Есть большая разница между "прочитали письма на другом конце провода" и "прочитали вообще все письма в одно лицо".
Опять же, другой конец провода тоже можно озаботить подъемом собственного сервера.
Давайте поднимем каждый собственный сервер. Бред на бреде просто
«прочитали вообще все письма в одно лицо» — это вы про что?
У "общественных" почтовых сервисов обычно есть такая занятная функция — восстановление доступа.
И некоторые умудряются "восстановить доступ" к чужому аккаунту, используя телефон и немного магии, именуемой "социальная инженерия". Получив доступ к аккаунту можно прочитать все, что там скопилось. А учитывая, что многие предпочитают держать всю переписку за долгие годы непосредственно в "ящике" (ибо доступ с любого компьютера и т.п.)...
Давайте поднимем каждый собственный сервер.
А зачем? Все зависит от важности почтового ящика и способности поднять и поддерживать свой сервер.
Если человек не может создать нормально защищенный сервер, то не стоит и пытаться (не стоит полагаться на одну лишь инструкцию, нужно полностью понимать, что делаешь, иначе что-то важное можно и упустить).
Если ящик используется только для одноразовой регистрации на форумах, то свой сервер ради него просто не окупится.
И так далее в том же духе.
А дальше прикидывается баланс затрат, рисков и плюшек и принимается решение: надо или не надо.
У «общественных» почтовых сервисов обычно есть такая занятная функция — восстановление доступа.
Ну отлично. Только для этого, как правило, нужно получить смс или правильно ответить на вопросы. Намного проще бывает взломать домашний сервер, на котором, в отличии от публичных больших серверов, как правило опять же, нет почти никакой защиты
А зачем? Все зависит от важности почтового ящика и способности поднять и поддерживать свой сервер.
Если человек не может создать нормально защищенный сервер, то не стоит и пытаться (не стоит полагаться на одну лишь инструкцию, нужно полностью понимать, что делаешь, иначе что-то важное можно и упустить).
Если ящик используется только для одноразовой регистрации на форумах, то свой сервер ради него просто не окупится.
И так далее в том же духе.
А дальше прикидывается баланс затрат, рисков и плюшек и принимается решение: надо или не надо.
Сейчас вот сядет каждый и будет считать затраты, риски, балансы… а еще собирать кде пот фрибсд. Волшебный мир розовых пони линуксоидов поразит даже любого опытного психиатра
Только для этого, как правило, нужно получить смс или правильно ответить на вопросы. Намного проще бывает взломать домашний сервер
Да нет. Выяснить девичью фамилию матери жертвы гораздо проще, чем подобрать ключ RSA и вломиться по SSH на домашний сервер. Мне друг рассказывал.
Ну отлично. Только для этого, как правило, нужно получить смс или правильно ответить на вопросы.
Еще раз, получают доступ при помощи одного лишь телефона (можно даже таксофона) и социальной инженерии. Вопреки всем протоколам защиты, включая те же СМС и "секретные слова".
Намного проще бывает взломать домашний сервер, на котором, в отличии от публичных больших серверов, как правило опять же, нет почти никакой защиты
На некоторых домашних серверах защита посильнее, чем на публичных больших.
Сейчас вот сядет каждый и будет считать затраты, риски, балансы…
Еще раз. Затраты риски и плюшки не считаются, а прикидываются.
Внезапно, большинство населения этим занимается постоянно.
Другой вопрос, что оценка затрат может выглядеть как "поднять сервер, установить… фу, это слишком сложно" или "фигня вопрос, пять минут работы", оценка рисков может выглядеть как "вот поставлю я сервер, он сломается, все данные пропадут, ой, все пропало!!!" или "я — неуловимый Джо, меня ломать не будут", а плюшка "Хочу!!!" может перевесить при прикидке любые риски и затраты.
а еще собирать кде пот фрибсд
Ну если кому оно надо, пусть делает. Я не против. А мне это ни к чему.
Волшебный мир розовых пони линуксоидов поразит даже любого опытного психиатра
Особенно если этот мир кем-то зачем-то придуман и крайне редко встречается у настоящих линуксоидов.
Например, если вы скомпилировали демку и хотите отправить её товарищу, прикрепив в качестве вложения, то внезапно выяснится, что exe-файлы, оказывается, тот же GMail уже прикреплять не позволяет. Да, даже в архиве. Точно так же он иногда упорно отказывается заглатывать Excel-документы на том основании, что там есть макросы, которые его эвристики считают подозрительными.
С учётом того, насколько быстро почтовики сейчас закручивают гайки, не удивлюсь, если уже в ближайшие годы и криптованные архивы слать будет нельзя, и MP3 (в рамках борьбы с пиратством), и кучу прочего.
В общем, почтовики кажется слегка охренели, и нужен хоть какой-то резервный вариант.
SMTP error from remote mail server after end of data: host gmail-smtp-in.l.google.com [64.233.162.27]: 552-5.7.0 This message was blocked because its content presents a potential 552-5.7.0 security issue. Please visit 552-5.7.0 https://support.google.com/mail/?p=BlockedMessage to review our 552 5.7.0 message content and attachment content guidelines.
Поэтому нормальная почта должна быть как у вас, так и у того, с кем вы обмениваетесь такими вложениями.
Но ложка дёгтя есть. Всегда найдутся «особо умные» админы, которые на своих серверах регистрацию делают по белому списку — если вашего домена в списке нет, значит это не настоящая почта. Проверка формата? Подтверждение через письмо? Да не, нафиг, запретим всё кроме гмейл и пару других известных — и в продакшн.
А вы где-то за рубежом, местной симки у вас нет, открытого вайфая рядом нет, и вообще телефон сел.
google authenticator насколько я помню, работает, на базе таймстемпов И БЕЗ ИНТЕРНЕТА.
Понял, Вы имеете в виду сценарий "подключаем Гугл учётку на недоверенном устройстве". А не просто зайти в отдельный гуглосервис через тот же браузер. Но Вы говорили именно про "вот когда гугл отрезает вас от вашего почтового ящика «для вашей же безопасности» — это круто." — так что нет, там есть разные способы входа. И GA там есть
С той разницей, что у меня весь софт стоит из пакетов, а он в руководстве из исходников кое-какие скрипты использует.
Лицо, получившее (root) доступ к серверу, который хоть на каком-то этапе имеет доступ к незашифрованному письму — вполне сможет эти письма прочитать, вклинившись на этом же этапе, до шифрования.
Нормальных механизмов тут ровно два: шифрование самих писем на всём пути через PGP или S/MIME, и шифрование винта где лежит входящая почта. Оба механизма защищают от разных угроз, так что часто имеет смысл применять оба. Но лицо, получившее доступ к машине, на которой эту почту читают и пишут — всё-равно сможет её прочитать.
Если говорить о шифровании винта — то если сервер находится у хостинг-провайдера, то и ключ к расшифровке при любом раскладе находится у него же (на диске, в аппаратном токене, в TPM). Получается, что шифрование винта в этом случае практически теряет смысл.
Если говорить о шифровании винта — то если сервер находится у хостинг-провайдера, то и ключ к расшифровке при любом раскладе находится у него же (на диске, в аппаратном токене, в TPM). Получается, что шифрование винта в этом случае практически теряет смысл.
На самом деле нет. Есть детали, которые позволяют ключ через tang и все вокруг него получить. В общем, такой полудоверенный сетап получается
ibb.co/pP58TKc
ibb.co/zPY66Ng
И у dovecot-а есть готовый плагин для шифрования (и для сжатия разными алгоритмами тоже — активно пользуем) — doc.dovecot.org/configuration_manual/mail_crypt_plugin/
Сколько стоит свой почтовый сервер (домен + хостинг) на минималках, к примеру? Вы VPS упомянули, а какая мощность сервера необходима, чтобы нормально работало и не падало от потери памяти? Просто минимальные системные требования для серверной убунты смотреть? Опять же, со времён девяностых наверное аппетиты поменялись.
Ещё наверное надо о резервном копировании подумать. И хранить резервную копию либо у себя дома (раз в день/неделю автоматически выкачивая, например), либо на другом облаке у другого провайдера (может, даже лучше в другой стране).
Денег надо мало — ресурсов личная почта много не жрёт (у меня в сутки приходит около 200 писем на сервер, просто для примера). Условно считая домен за $10/год и сервер за $5/месяц получается примерно $6/месяц. А о бэкапах надо думать в любом случае, почта — далеко не единственное, что стоит регулярно бэкапить из личных данных. Некоторую сложность может составить необходимость где-то получить резервный MX-сервер (так, чтобы не платить ещё и за него $5/mo), но, полагаю, это не все делают для личного почтовика.
К таким статьям комментарии читать интереснее, чем саму статью.
А кто-то хочет просто экспериментов. Эти люди уже сами собирали ядро системы,
тонко настроили домашний медиа-сервер, научили роутер качать все подряд
с файлообменников без участия ОС
Да-да. Эти люди собирали ядро, настраивали в молодости у провайдеров сети да хостинги и т.п. 20 лет назад. И поэтому теперь они хотят не экспериментов, а просто свой почтовый сервер. А почему свой? А для полного контроля над ним. Поэтому решения типа "на наших VDS" таким людям, конечно, не подойдут.
Свой почтовый сервер? Не уж, увольте. Я таким баловался в локалке в начале 2000-х. Был свой почтовый сервер. Стерильная среда, ни спамеров, ни хакеров. Вполне себе работал. Но выпускать свою конструкцию в интернет я бы тогда не решился. Да и сейчас нужно внимательно всё изучить. Взять и просто так настроить сервер, чтобы всё работало и в базы спамеров не попасть, не получится. Это не Matrix Synapse какой-нибудь или XMPP. Протоколы древние, везде костыли. У вас есть желание во всём этом разбираться? Лично у меня, нет.
Не знаю как сейчас, но в 2000-х почтовый сервер создавал значительный трафик постоянным входящим трафиком от спамеров.
Удивительно что у этого мусора столько плюсов.
Можно писать очередную стать о том кому принадлежит хабр — «Рекламщикам!!!».
Иначе он бы заметил, что без mx записи в DNS о его почтовом сервере никто кроме него самого не узнал бывообще то MX не является обязательной записью для работы почты, но ее наличие крайне желательно (см RFC)
а без PTR записи многие не принимали бы с него почтуя бы сказал — многие кривонастроеные MTA.
Point is: маршрутизация должна быть настроена. В тексте вообще нет связи между dns и ip-адресом хоста. Хотя, конечно, есть шанс что дефолтные настройки окажутся верными.
> я бы сказал — многие кривонастроеные MTA.
Например, Google. support.google.com/mail/answer/81126
Конкретно я лично тестировал получение почты гуглом без PTR, SPF и тем более DKIM и DMARC. При переезде или развёртывании новых серверов. Оно валилось в гугловый инбокс, даже не в спам папку. Бывает ровно и наоброт, сделаешь всё из рекомендаций, ну вообще полный список, а письма как приходили в спам так и приходят. По своему опыту могу сказать, что в случае гугла (микрософт тудаже) репутация ипа и возможно домена решает гораздо больше чем PTRы, SPFы и прочие DKIMы.
И нельзя вместо postfix поставить zimbra — у нее в роли MTA как раз postfix)
Абсолютно ненужная и вредная статья. Куча моментов за кадром. Не говоря уже о том, что apt install postfix не обеспечивает никаких средств защиты от чтения почты соседом.
Наверное, тем, что,
- postfix — это только половина паззла?
- и есть еще куча компонентов вроде dovecot, roundcube, opendkim и пр., которые нужно доустановить ?
- ну, и дефолты как правило неоптимальные или небезопасные настройки?
Хотя, да, что это я троллю отвечаю
Читать вашу почту соседу будет не то чтобы просто.
-rw------- 1 user1 mail 2585 Dec 16 2019 user1
-rw------- 1 user2 mail 311529 Sep 15 20:00 user2
Работаю в Гос. конторе. Почтовик существует с 90х и регулярно обновляется и переезжает на более современный движок, добавляются новые технологии защиты. Сейчас Communigate Pro 6.0, скоро переелем на 6.2. Прикручены белые списки, черные списки, Spamassassin, Clamav, DMARK, SPF, DNSSEC, TLS. В общем я в одного обслуживаю этот сервер с 300+ ящиков и кучу других Linux серверов, коммутаттров и прочее железо и соыт. И никто не умер. Почта иногда подтормаживает с некоторых адресов, что то улетает в спам из которого пользователи могут всё что им нужно достать. Самое сложное — человеческий фактор, пользователи вводят неправильные адреса или пытаются послать письмо овер 20мегов (на большинстве почтовиков ограничение в 20-25мегов). Некоторые попадают в черный список и их оттуда нужно доставать. Каждый год проходит тендер на Интернет и в случае смены провайдера приходится переезжать на другие ip, благо у сервера есть 2 фиксированных ipv6, не зависящих от провайдера.
Каждый год проходит тендер на Интернет и в случае смены провайдера приходится переезжать на другие ip, благо у сервера есть 2 фиксированных ipv6, не зависящих от провайдера.
ну, купите себе наконец-то свою AS. У меня у всех последних работодателей свои ASки
Начальство не знает что это такое и мне им не объяснить. К тому же, я уже писал - в результате ТЕНДЕРА раз в год может сменится один из 2х провайдеров к которому прицеплена /24 белая подсеть, а у второго провайдера только 1 белый адрес без подсети и он отдан маршрутиратору и натить на почтовик не вариант(почтовик за натом некорректно внешние ip отрабатывает).
Вы, по-моему, сами не особо понимаете что такое AS и как она работает (фейспальм) - как минимум Вы становитесь независимы от провайдеров с точки зрения адресации
Насчет ната я в курсе и я его не предлагал
Я понимаю, что такое AS, но у нас проблемы организационного характера, к примеру домен официально не задокументирован(не оформлен полноценный договор между регистратором и Юр. лицом) и мне приходится за него платить из своего кармана.
(не оформлен полноценный договор между регистратором и Юр. лицом)
извините, но это полная задница. Завтра на Вас кирпич, не дай Бог, упадет, и компания никаким образом не сможет восстановить право пользования доменом. А если на его рекламу вбуханы огромные деньги (как это обычно бывает), то риски велики. Очень странно, что Вы и Ваше руководство эту проблему до сих пор не решили...
мне приходится за него платить из своего кармана.
это тоже дичь. Вместо того, чтобы поставить домен на нормальнй бух баланс и списывать расходы.... капец
Я бы честно постеснялся о таких вещах рассказывать...
Я в гос. конторе работаю. Владел доменом конторы как Физ. лицо лет 10, пока до моего начальника не дошло то, что вы озвучили. Пришлось переоформить на Юр. Лицо, НО без подписи со стороны руководства моей организации и соответственно без постановки на баланс. Т. е. для регистратора ничего не изменилось и Вася Пупкин превратился в "Рога и Копыта" (ну есть инн, окп и адрес но нет живых подписей). Так что мне достаточно не проплатить продление регистрации и будет неловко, что у 2ой по значимости конторы в городе исчезнет домен... Сейчас после выборов начальство сменилось, я ушёл в долгосрочный отпуск. И кроме меня в конторе никто не понимает что такое домен и почему без него может перестать работать сайт. Кстати с сайтом всё на удивление в порядке, на него получена бумага, что он является СМИ, но это другое подразделение организации.
у сервера есть 2 фиксированных ipv6, не зависящих от провайдера.
в смысле PI-блок? тогда там совсем не 2 адреса. или что-то другое?
Попробуйте связку Proxmox Mail Gateway (PMG) + Sogo (nightly-сборки — free ) + все остальное для почты (еще можно прикрутить apache solr + apache tika + tesseract ocr). Все это у нас крутится на Proxmox VE.
Зы. PMG можно пользовать перед ЛЮБЫМ почтовиком.
Зы2. Как зарелизится Proxmox Backup Server внедрим и его.
Готовое, гибкое, оч. удобное решение для фильтрации спама. Устанавливается ПЕРЕД любым почтовиком.
Я не хочу, чтобы мою почту читали
От этого нет никакой гарантии. Гугл это протон или свой сервер на колокейшене. Даже если он у вас под столом, гарантии нет.
# apt install postfix
Уходим на ребут и все! Вы невероятны и с собственным почтовым сервером!
В сети полно серверов «установленных» по этому рецепту. Вариант стремный начиная от настройки почтовых аккаунтов, заканчивая шквалом доброжелателей которые засрут вам всё и вся.
Также внимательный администратор озаботится настройкой анти-спам защиты.
А это чуть ли не основное в обслуживании почтового сервера и есть. Очень странно что как раз об этом практически ничего не сказано.
> Уходим на ребут и все! Вы невероятны и с собственным почтовым сервером!
И удивляемся, почему все отправленные нами письма ложатся у получателей в spam
В общем. тема DKIM, SPF, DMARC не раскрыта
www.dmarcanalyzer.com/dkim
www.dmarcanalyzer.com/spf
Объясните, как делать валидные рассылки для тысяч своих подписчиков со своего сервера, чтобы он не попадал в спам-листы, плиз. Допустим у меня один только почтовый ящик для робота, но тысячи пользователей, которым надо отсылать уведомления на их почту на других доменах (гугл, яндекс и пр).
Решаем, нужен ли вам личный почтовый сервер