Как я внедрял Zimbra

Всем доброго времени суток!

После возвращения на прежнее место работы возникла необходимость разгребать собственные-же косяки 2-х летней давности, помноженные (именно помноженные) на косяки ООО «Разолбай-аутсорсинг» (название организации, как вы правильно понимаете, изменено). Одним из таких косяков был почтовый сервер Exim из которого мало того, что как из ушата лился спам, так еще и кривонастроеный антиспам приходящим админом ООО «Раздолбай-аутсорсинг» куда-то «пропадал» нужные письма, и в качестве приятного бонуса в imap`ных ящиках периодически пропадали нужные письма. В общем лучшим решением было rm -rf /. Именно это я и сделал и внедрил Zimbra и сейчас я хочу рассказать как это сделал таким образом, что это заработало (прежде всего в логике работы компании) став вторым инструментом документооборота, хотя ранее электронка стояла особняком, которая была у нескольких человек.

И так, погнали бороться со спамом, разгильдяйством сабботажем, нежеланием работать, тупостью пользователей и еще кучей всего!



1. Ставим и побеждаем спам


Процесс установки я описывать не буду, ничего особенного в том чтобы поставить 5-й debian, запустить установочный скрипт zimbra нет. Есть сложность в другом. Zimbra очень чувствительна к hostname, поэтому если у вас более одного интерфейса — обязательно приведите ваш hosts на машине куда ставите к такому виду:

# cat /etc/hosts
127.0.0.1 localhost.localdomain localhost
aaa.aaa.aaa.aaa zimbra.mydomain.ru zimbra
xxx.xxx.xxx.xxx zimbra.mydomain.ru zimbra

соответственно для серого и белого ip. Конечно можно по человечески настроить DNS, но у меня наведение порядка с DNS-серверами коих аж 3 штуки — дело будущих периодов, поэтому оставим пока так. У кого схожие проблемы — имейте в виду. Впрочем зимбра умна, поэтому все что ей не нравится — вы узнаете об этом сразу.

Спам я победил вообще не напрягаясь, просто перенес почту на VDS-ку, на которой крутится сайт и включил грейлистинг. Нехай у них каналы шире, пусть первый удар спама принимает сервак на стороне. К счастью на VDS-ке sendmail, поэтому я сделал как пишут в wiki предварительно сконфигурировав её как secondary system.

В кратце поясню: MX-записи на хост mail.mydomain.ru, на нем сендмайл с грейлистингом. Там мы принимаем почту на адреса вида user@mydomain.ru, которые форвардятся на адреса вида user@zimbra.mydomain.ru. А сервер zimbra соответственно отправляет через relay и заменяет user@zimbra.mysite.ru на user@mysite.ru на стадии отправки. Вообще я не глубоко знаю постфикс, поэтому подозреваю что там и не такие фокусы можно делать.

Кроме победы над спамом есть еще один эффективный плюс — очень серьезное снижение нагрузки на сервер Zimbra который в разы менее производителен чем сендмайл. Иными словами sendmail + milter greylist даже не почуствуют 20 000 писем спама в сутки, 95% из которых срежутся, а зимбре это уже будет некая ненужная нагрузка, сразу предупреждаю, она ОЧЕНЬ прожорлива до ресурсов, поэтому имеет смысл лишний раз подумать.

2. Организовываем инфраструктуру


Дальше пошла самая интересная часть работы — работа с пользователями. Мне было очень трудо объяснить руководителям новую «маршрутизацию» почты, чем отличается почтовый алиас, от маилбокса, почему я могу сделать так чтобы письмо которое отправят на sales@mydomain.ru придет всем менеджерам и директору продаж. И почему его никто не сможет удалить. Я просто дам Вам совет — не тратье на это время. Делайте и все. В любом случае разгребать не им, ваша задача чтобы им дошла почта, а каким образом она к ним придет — это не их забота. Просто руководствуйтесь в создании инфрастукруты следующими принципами:

  • Никаких общих ящиков по IMAP. Один пользователь — один mailbox. Остальное — алиасы.
  • Минимизировать установку почтовых клиентов. Среднестатистическому работнику компании почтовый клиент не нужен. Всех в веб интерфейс.
  • В подписи — «личный» ящик, на визитке — ящик отдела (который в свою очередь является алиасом).
  • Хорошая идея сделать сборщик почты на primary сервере. Тупо и цинично копировать всю входящую почту (или не всю) ибо иногда это имеет смысл, такая инфраструктура более чем располагает к этому.


Вообще это довольно муторное дело создавать пользователей, можно писать скрипты и импортировать, можно еще как-то, в моем случае 40 записей на первом этапе и еще столько же растянув на месяц я решил не заморачиваться. Но кто будет внедрять — имейте в виду что там (в зимбре) есть штатное средство импорта.

3. Внедряем


Вот тут меня ждал первый сюрприз. Мне казалось что я написал нормальную инструкцию в которой прописал что делать от и до. Но в итоге после её прочтения были вопросы вроде «Спасибо, а что нам делать-то?». К счастью я быстро понял что так дело не пойдет и её переписал. Запомните: пользователю нужен ярлык на рабочем столе. 1 из 5 только знает что такое адресная строка и зачем она нужна, остальные 4 в лучшем случае вобьют zimbra.mynetwork.local в адресную строку яндекса. Но сама идея выдавать инструкцию была правильной, те, кто 3-й вариант её осилил больше вопросов не задавали.

Привожу текстовку:

КАК ПОЛЬЗОВАТЬСЯ ЭЛЕКТРОННОЙ ПОЧТОЙ

ПАМЯТКА ПОЛЬВАТЕЛЮ

- как войти в почту
Для входа в почту используется браузер (программа для просмотра интернета), при необходимости можно подключить почтовую программу.

с рабочего места находясь в здании предприятия набрать в адресной строке браузера:
192.168.xxx.yyy или zimbra.mynetwork.local

тут был скриншот адресной строки

находясь вне рабочего места (в командировке или еще где либо) через интернет по адресу zimbra.mydomain.ru

какой у меня логин/пароль?

Имя пользователя(логин): ляляляля

Пароль: парам-пам-пам *пароль набирать так как он тут написан, заглавные - заглавными

какой у меня почтовый адрес/ящик и чем они отличаются?

Почтовый адрес НЕ ВСЕГДА совпадает с почтовым ящиком. Это сделано для того чтобы несколько человек могли получать одновременно почту и для того чтобы можно было сделать «красивые» адреса, отправляя почту на которые она дойдет до нужного почтового ящика.
Например dir@mydomain.ru → и.фамилия@mydomain.ru.
Грубо говоря адрес — это куда отправляют письма, а ящик, куда они приходят.

У вас у КАЖДОГО есть почтовый ящик и почтовый адрес вида i.ivanov@mydomain.ru
где первая буква совпадает с первой буквой имени, точка и фамилия полностью в транслите.

Ваш адрес/ящик: и.фамилия@mydomain.ru //тут обязательно указать ящик именно этого ползователя и маркером выделить!

у меня есть дополнительный почтовый адрес? Мне он нужен. Как сделать?

Если вы сотрудник отдела у которого есть такой адрес — вы туда попадаете автоматически. Например сотрудники отдела продаж получат почту которую отправят на sales@mydomain.ru Остальные «красивые адреса» выдаются по просьбе.

а почему не i.ivanov@zimbra.mydomain.ru ? Ведь это высвечивается в адресной книге?

Потому что это ЛОКАЛЬНЫЙ почтовый ящик, дальше предприятия эта почта не уйдет
и не придет от внешнего отправителя на него.

а что писать на визитке(ах) ?
ПОЧТОВЫЙ АДРЕС ОТДЕЛА! Если его нет — тогда свой.



В кратце поясню про «локальный почтовый ящик». На самом деле никакой он не локальный, но я не менее нагло и цинично рубанул все стороннее SMTP фаерволом, кроме sendmail-сервера. Хотя в DNS`ах домена у меня есть MX записи на zimbra.mydomain.ru. Просто это самое оптимальное решение с точки зрения создания проблем вероятному спамеру с минимальными трудозатратами с моей стороны.

Вобщем-то на этом можно поставить точку в посте, но я хочу отдельно выделить следующие 2 пункта.

4. Человеческий фактор


Все сотрудники поделились на 2 неравные группы — союзники и сабботажники. Те которым «пофиг», сами понимаете что от саботажников отличаются мало чем. Именно из-за них что-то не работает. Поскольку на этом предприятии с треском провалилось внедрение Web-Based ERP системы, которая административно насаживалась, само собой стало понятно что мне ничего насаживать нельзя, это будет первый шаг к фейлу. Да и всем остальным тоже насаживать не рекомендую, при первой же возможности это перестанет работать.

В числе первых саботажников оказался руководитель отдела продаж. Он сказал: «Сделай мне один ящик на всех как было!». Я ему попытался объяснить о преимуществах предлагаемого мной подхода, но он меня не понимал (не смотря на то что у него техническое образование), тогда я сказал: «Давай договоримся, тебе ходящая почта — она у тебя будет, но ты будешь делать то что я говорю, если она не будет ходить, я буду делать то что ты скажешь, идет? Моя забота чтобы до твоих орлов дошла почта, а дальше уже ваше дело как с ней и чего.» Он махнул рукой, через неделю все вопросы отпали сами собой. Мораль: не пытайтесь убедить «чайника».

Следующим шагом была борьба с маилрушничеством. Только не подумайте что я что-то против маил.ру имею, у меня есть даже там почтовый ящик которым пользуюсь, но это личная почта. Очень глупо когда менеджер дает адрес вроде svetik_k0783@mail.ru (любое совпадение случайно!) в деловой переписке, а так же это вообще-то личная почта. В корпоративном стандарте я обязан иметь возможность получить доступ к почте сотрудника в случае крайней необходимости (например он попал в больницу на пару месяцев, а в его ящике переписка вот вот идущая к завершению договора на пару милионов рублей). Собственно о борьбе, у меня прозрачный squid, который как известно прозрачно не проксирует HTTPS, а у некоторых сотрудников есть google почта. Я закрыл пущеный через NAT https и не стал открывать гуглевские подсети, а у них авторизация строго по https. Те у кого ящики на гугле само собой подняли шум, я объяснил что гугль используют защищенную авторизацию, которая плохо работает через прокси, а мимо прокси я вас пущу только через подписаную директором служебную записку, в которой вы укажете вескую причину зачем вам нужна google-почта при нормально функционирущей местной. А тем у кого mail.ru сказал что маил.ру тоже вот вот перейдет 100% на защищенную аутентификацию, так что если в одно прекрасное утро ваша деловая переписка не открылась — вас предупреждали. Возражения вроде «А у меня все клиенты в майл.ру» были очень и очень вялые потому что я сразу-же повторился что я вам его не закрываю, он работает пока работает, но когда он сам отвалится — вас предупреждали задоооолго до часа Ч.

Борьба с разгильдяйством была с использованием хитрого трюка. В чем заключается разгильдяство? В банальном «забыл пару дней проверить почту». А зачем смотреть почту например кладовщику? Об этом и пойдет речь дальше. Как и на любом предприятии тут есть файл сервер, на котором «от годов» закончилось место. Я выпилил все «приватные» папки, оставив только папки отделов и сделал большую файлопомойку, но предупредил, конфиденциальные документы сюда не складывайте, сюда все имеют доступ. А отправлять файлы показал как в зимбре и научил, что вы отправили файл Васе, так позвоните ему и скажите «Вася, я тебе в зимбру бросил(а) файл, проверь почту!» Со временем звонить придется реже. Людям это понравилось потому что в качестве альтернативы приватной передачи файлов был только самописаный мессенджер, который внедрила аутсорсинговая компания, этот мессенджер использовал прямое соединение компьютер-компьютер и передать можно было только если человек находится на рабочем месте. Поэтому я подсказал что тут вы можете отправить и не переживать, оно в любом случае дойдет.

В итоге через месяц полет нормализовался окончательно, люди действительно стали ей пользоваться. Глобальная адресная книга стала очень веским аргументом «за», простой и дружелюбный интерфейс зимбры не менее способствовал, а с точки зрения работников, которые ездят в командировки это вообще стало решением целой проблемы.

И на последок…

5. Ну где-же флэшки ...


До кризиса существовал такой персонаж, который еще во время первого пришествия заставил меня зарубить флэшки. Имя ему «специалист по информационной безопасности». А мне эта тема понравилась потому что количество вирусни стало на порядок меньше и открывать их обратно я не горю особым желанием. А в зимбре можно загружать документы в портфель. Поэтому всем своим я сказал, нужны флэшки — вы их не получите. В Зимбре есть портфель, загрузили документ и работайте с ним дома, если уж так надо. Вопрос как и в случае с майл.ру отпал сам собой, а я в плюсе, я вижу что происходит у меня в хозяйстве, кто что с чем обменивается. Конечно если нужно много файлов перебросить туда-обратно я иду коллегам на встречу, но поверьте, это бывает не так и часто, а так же у меня есть для этих целей решение на убунте, но об этом возможно в следующий раз.

В заключение хочется сказать, что если вы до сих пор не внедрили зимбру и при этом у Вас есть необходимость в чем-то подобном — не раздумывая ставьте. 3 месяца полет нормальный, даже пережил одно обновление. Ни на каких виртуалках я с ней не игрался, сразу в боевом режиме все заработало, что какбы намекает на то, что если у вас есть опыт администрирования линуксов и почтовых серверов — все получится практически сразу. Да даже если для вас станет открытием что SMTP и IMAP сервер это, как в известном анекдоте про историю КПСС, «вообще два разных человека!» — ничего страшного, у вас все получится!

Update 1: добавляю по просьбам телезрителей предложению хабрапользователя mister_fog пару ссылок по этой теме. Думаю лишним не будет тем, кто как некоторые отписавшиеся «вот вот решиться перейти на Zimbra».
Материалы с тегом Zimbra на ossportal.ru
Переход на СПО. Заменить Exchange за 10 дней

Update 2: в связи с обилием комментариев на тему zimbra.mynetwork.local vs zimbra.mydomain.ru хочу попросить не придумывать сферических коней в вакууме в виде того что это проблема для пользователей. Я совершенно ответственно заявляю что тут никакой проблемы нет вообще и мои пользователи думают так же, иначе я бы уже давно знал об этом. Для пользователя это будет всего на всего обновить закладку в браузере. Для меня это проблема до тех пор пока руки не дошли до разборок с DNS. Когда дойдут руки я сделаю чтобы zimbra.mydomain.ru будет резолвиться по «серому» адресу если человек находится внутри локалки. А для того чтобы переход был менее затруднителен для тех, кто заходил по старым адресам повешу Web-сервер с 1 страничкой с автоматическим редиректом на JS который через 2 минуты выбросит пользователя на новый адрес, а перед этим чтобы он прочитал что нужно обновить закладки и даже более того сделаю там же JS`овую кнопку добавления нового адреса в закладки.
Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 75

    0
    Недавно внедрил Зимбру. Отличное решение. До сих пор нет никаких проблем. И пользователи очень довольны.
      0
      Вот и я как бы о том же. Действительно решение, на 95% работающее из коробки.
      0
      Просто вопрос, не холивара ради… а почему не Google Apps?
      • UFO just landed and posted this here
          +2
          Иии… и почему это является проблемой? ;-) мэйл сервер не должен стоять в соседней комнате, он просто должен быть доступен постоянно, в идеале что-то близко к пяти девяткам (и хорошо фильтровать спам!)
            +1
            Задачи то разные бывают. Может кто-то предпочитает всю почту хранить у себя или не хочет отдавать ее на сторонние серваки. А некоторые тщательно защищают внутреннюю сеть от вторжений и утечек информации, на столько тщательно, что не позволяют пользователям из нее куда-то на сторонние серверы выходить.
              0
              Да хотя бы просто потому, что файл размеров 40 мегабайт прикрепленный к письму, будет намного проще отправить.
                +3
                Ого мало вы клиентов видели… И не знали тех времен, когда за информацию людей похищали :) Есть такие компании которые не доверят даже Google свою информацию…
                  0
                  наркокартели например. но если не заставляют с дулом автомата на них работать — зачем потворствовать злу и просто тупости?
                    +1
                    Смотря какие клиенты. Для многих я бы сказал — «тем более Google», ибо о его сотрудничестве с АНБ и иже с ними не писал уже только ленивый, последний на моей памяти — Ашманов.
                    +3
                    еще какой проблемой.
                    однажды видел веселую ситуацию — Фирма А (поставщик услуги) и Фирма Б (потребитель/заказчик).
                    Рассчеты были через Гугло-чекаут (или как там оно правильно).
                    У Фирмы А — почта на Гуглодомене.
                    Так вот, Фирме Б поимела какой-то конфликт с поставщиком — некие разногласия об объеме и условиях контракта — она берет и жалуется в Гугол. На том основании, что финансовые потоки через гугол. А гугл — хераксь — и блокирует все гуглодела для Фирмы А. И почта уходит среди прочих. На время разбирательства. Фирма А высирает кирпичей пирамиду не хуже египетских.

                    Хороша ситуация, неправда ли?

                    Это я к чему — никто во взрослом энтерпрайзе, будучи в своем уме, не доверит функционирование бизнес-критичных процессов каким-то посторонним поцам.
                +8
                Уважаемые, дело все в том, что я живу там где корпоративный интернет в 4 мегабита (безлимитный естественно) сопоставим с зарплатой сотрудника компании, но в моем случае все еще хуже, на 3-х мегабитном канале сидят 3 организации, поэтому мне лишний трафик (а особенно файлообменный) гонять через наружку — это устраивать тормоза себе и другим. в моем случае 70% почтового трафика это переписка между сотрудниками.
                  0
                  Сорри, не туда написал комментарий.
                    0
                    А вот я его пропустил пока на пост не зашел. Ну если так, то это имеет смысл.
                • UFO just landed and posted this here
                    0
                    Я не отказывался от shared folders, я отказался от настроить imap ящик в мозилле/аутлуке и сказать что это основная почта.
                      +1
                      Э… цитирую вас же:

                      … Просто руководствуйтесь в создании инфрастукруты следующими принципами:
                      • Никаких общих ящиков по IMAP. Один пользователь — один mailbox. Остальное — алиасы.
                      • ...
                      ...
                        0
                        В зимбре-же можно шарить документы ) оно-же явно не самбой шарит ;)
                          0
                          А вообще, если говорить еще прямее, я отказался не от технологии IMAP как таковой потому что без него (IMAP`а) как минимум не заработает веб интерфейс, а от реализации элемента инфрастукруты предприятия. Это все тянется со времен когда The Bat! был одним из самых простых решений «корпоративной» почты. Я думаю каждый 4-й либо настраивал либо видел в работе сетевой диск, на котором зебатовская почтовая база и в каждого на рабочей станции клиент настроенный с запрещением отправки, т.е. он может только положить письмо в соответствующую папку, а на «сервере» стоит отправляющий зе бат. Так вот эти «имап ящики» стали логическим, более высокотехнологичным продолжением ЭТОГО, даже боюсь каким нибуть словом плохим назвать. У меня остался последний оплот этой технологии, само собой я его решил выпилить за ненадобностью. Прошу прощения если в посте не очень корректно выразил мысль.
                            +2
                            Конечно некорректно. IMAP, а соответственно и общие папки IMAP ничего общего с этим извращением не имеют ;)
                              0
                              ну…
                              Eсли посмотреть с той точки зрения что клиенты по смтп обращаются к некому почтовому серверу, который уже отправляет почту адресатам…
                              Это сравнение имеет право на жизнь ^__^
                      +3
                      Я бы в первую очередь отказался от от zimbra.mydomain… в пользу mail.mydomain…
                      1. Это короче.
                      2. Это понятнее.
                      3. Это привычнее.
                      4. Это универсальнее. Смените вдруг Zimbru на Exchange, CommunigatePro или что-там еще бывает, придется урл переделывать-объяснять, а так пользователи только интерфейсу новому удивятся и привыкнут.
                        –1
                        есть вообще традиции давать некие абстрактные имена серверам.
                        например почтовиком будет Меркурий.
                      +2
                      Я бы поменял zimbra.mynetwork.* на mail.mydomain.*. Пожалейте пользователя, пугаете его страшными словами.
                        0
                        На самом деле никакой разницы ;) Я провел небольшое социологическое исследование, к тем, к кому подходил с инструкцией и говорил: «Прочитайте, я подожду, меня 5 минут не убъет.», а после прочтения просил при мне выполнить первый вход только 2 человека начали набирать zimbra.mynetwork.local (!) остальные на нумпадной части вбивали ip и не заморачивались! При этом эти двое понятия не имею что такое DNS и эти двое из тех, кто вобъет mysite.ru в строчку поисковика если у них заглавная будет стоять яндекс. На первый взгляд никакой логики, но я скажу больше, пользователь идет по пути наиболее понятному т.е. меньшего сопротивления. Я не хочу приводить в студию название виндового домена .local но поверьте, он не сложнее доменного имени ;) Конечно может быть отчасти сыграл тот момент что в инструкции первым идет ip, а не адрес, но общей картины это не меняет. Уже давно среднестатистического пользователя не волнует что там в URL`ле, сегодня на первый план вышло сможет он ЭТО набрать с первой попытки и запомнить как пишется или нет. Впрочем это уже разговор на тему веб разработки…
                          +2
                          Я бы не давал юзерам вбивать айпи. А то вдруг захочется мне поменять топологию сети — разнести разные офисы по разным подсетям, а служебное все в самую дальнюю подсеть… и сразу будет куча вопросов «а почему не открывается»?
                            0
                            Им вообще его сообщать не надо. Есть DNS, там и смотрите, если любопытно, но вообще система сделает это за вас, не думайте об этом.
                              0
                              если брать чистую практику и про днс не факт что стоит рассказывать. Практика показывает что ярлык на рабочем столе для понимания лучше всего.

                              Я сейчас ищу способ как в венде сделать так, чтобы на рабочий стол подсасывались автоматически ярлыки из некой сетевой папки в дополнение к тому, что пользователь разместил на своем рабочем столе. Пока что лучший способ который я отыскал, это аяксовое веб-приложение + active desktop.
                                0
                                Переназначить All Users\Desktop (или Users\Public\Desktop)?
                            +1
                            разница в том, что есть два разных адреса для почты (изнутри и извне). И человеку на лаптопе надо две закладки для почты (одня для проверки на работе, одна для дома). А нахрена? Неужели это проблема забирать почту по внешнему адресу, находясь внутри сети? Ведь трафик не выходит за пределы роутера.
                              –1
                              Нет. Текущая инфраструктура позволяет такой фокус делать только если прописать роут, что есть ни чуть не меньший костыль.
                                0
                                Хотя о чем это я… конечно тут одним роутом не обойтись. Надо с ДНС разбираться для начала, а это в планах поэтому пока так.
                                  +3
                                  не надо ничего с DNS-ом делать. Запрос доходит до роутера/ната и возвращается обратно к серверу. Правильно расписанные правила НАТа и всё работает. Да, в какой-то мере это костыль (а что тогда не костыль?), но костыль в единственном экземпляре на сервере и отраженный в документации — это не костыль, а решение. А вот костыль в виде двух разных линков на одну и туже почту на каждом компе — это таки костыль. Который при необходимости одним изменением конфига на сервере никак не лечится.
                                    0
                                    Я не очень хорошо понимаю каким образом это реализуемо, приведите пожалуйста пример «на пальцах» как бы Вы это сделали именно средствами НАТ`а.

                                    Имеем
                                    192.168.1.1 — NAT на FreeBSD/Linux
                                    192.168.1.5 — сетевуха сервера Zimbra, которая смотрит в локаль

                                    Что дальше делать?

                                    Заранее благодарен!
                                      +2
                                      могу несколько ошибаться, ибо реальную конфигурацию последний раз делал лет 7 назад. Но делал и оно явно работает. Надо только допилить детали будет если не заработает сразу.

                                      w.x.y.z — Это внешний адрес (внешний интерфейс ната и тот IP в который ресолвится zimbra.mycompany.ru)

                                      iptables -t nat -I PREROUTING -s 192.168.1.0 -d w.x.y.z --dport 80 -j DNAT --to-destination 192.168.1.5
                                      iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.1.1 --dport 80 -j SNAT --to-source 192.168.1.1

                                      Таким образом мы пакеты, идущие на внешний адрес изнутри сети заворачиваем обратно на внутренний адрес сервера внутри сети. На этом-бы остановиться, но тогда сервер начнет отвечать напрямую клиенту и tcp работать не будет. Значит надо NAT-ить еще и source. Менять его на адрес шлюза. Да, двойной NAT. Ну и что? У меня 15 лет назад первый пень в качестве фаервола организацию в полторы тыщи сотрудников держал в таком виде :) Да, скорости были не такие, объемы… но тем не менее.

                                      P.S. Порядок правил ната очень важен. Там-же еще другие правила есть. Поэтому надо точно проверять, что пакеты изнутри уходят куда надо с двойным натом, покеты снаружи уходят куда нужно с одинарным натом и и те и другие возвращаются обратно именно так, как надо. Но поверьте, это вполне реализуемо. :)
                                        0
                                        Благодарю Вас за ответ, вполне возможно попробую потому как если это заработает это универсальное решение многих подобных проблем.
                                          0
                                          Подтверждаю, примерно так у меня и работает. Плюс еще разрешение на форвардинг пакетов соответствующее.
                                        • UFO just landed and posted this here
                                            0
                                            split horizon dns — это красивое и зачастую даже неплохо работающее решение.
                                            Лично я его не люблюпо разным причинам, но это уже немного другой вопрос.

                                            Мое мнение — если сайт доступен из Интернета как по имени, так и по внешнему IP, то уж из локалки он тем более должен быть доступен. Как по имени, так и по внешнему IP. И не важно какой DNS на данной машине используется. А то бегать за юзерами у которых жестко прописаны гуглевские DNS-ы (а эти настройки не перекрываются инфой с DHCP) мне не хочется.

                                            Ну и таки если уж есть сервак, который так или иначе делает NAT, то лучше там добавить пару правил, чем заморачиваться с split horizon dns.
                                            • UFO just landed and posted this here
                                                0
                                                ну да, чем лишние 2 строчки в конфиг, мы лучше лишний внутренний DNS сервак поднимем на тот-же домен, что и внешний. И потом будем глюки ловить :)

                                                Запретить что-то использовать можно. Но нужно-ли?
                                                Про политики домена — это мне вообще смешно читать. :) У меня половина пользователей — макинтошники. И примерно столько-же народу пользуется персональными лаптопами, которые ни в какие домены не входит.

                                                Не, я не спорю, если фирма суровая, корпоративная политика жесткая, всё запрещено и запротоколировано, то… то я все равно считаю, что решение с двойным ресолвингом в данном случае хуже. Оно будет замечательно работать. Оно имеет право на жизнь. В некоторых случаях оно единственно верное (не зря этот самый split horizon вообще придумали). Но в данном случае (один сервер, тот самый контент, что изнутри, что снаружи) — это лишнее.
                                                • UFO just landed and posted this here
                                                    0
                                                    локальная зона — да. Тут я не спорю. Более того — безмерно поддерживаю.
                                                    Локальная зона, регистрация компов в DNS… Это всё хорошо и правильно.

                                                    И я тоже всегда держал локальную зону. Вот только в том случае, когда я решил назвать «внутренний» домен также, как и «внешний» (ака mycompany.com) то потом периодически ловил глюки. По своей-же безалаберности. Но таки ловил. И зарекся.

                                                    Какие глюки? Ну ставлю я внешний сервис где-то на внешнем хостинге. называю его service.mycompany.com. Естественно (гы) прописываю его только во внешнем DNS-e. Ибо ко внутренним делам он отношения не имеет. И… не могу добраться изнутри. Ибо внутренний DNS такого имени не знает. А к внешнему уже не идет. Ведь зона-то у него авторитивная. А два раза каждый хост прописывать… да еще на разных серверах… не, не наш выбор.
                                                    В общем, признавая, что данный подход таки работает лично я такого внедрять больше не буду. Мне не удобно.
                                                    0
                                                    Вот когда я публиковал пост — я знал что самое узкое место в нем именно эта проблема и совершено искренне (и как выяснилось не напрасно) надеялся получить критику и дельные советы по этому поводу, что и произошло.

                                                    На самом деле я и хотел вобщем-то в будущем решить проблему с помощью split horizon, точнее видел в работе, но понятия не имел как это сделано и как это даже называется)

                                                    Спасибо Вам товарищи за реально полезную инфу про нат и split horizon плюсую обоим ;)
                                                    • UFO just landed and posted this here
                                +1
                                Добавлю свои 5 копеек.
                                Держу Zimbry на VDS (2200МГц, 2048 Mb, 30Gb). Стал использовать т.к. некоторым сотрудникам жуть как хотелось календарей, шаринга, и AJAX'а, да и мне хотелось удобного управления сервером. Сразу после установки обнаружилось свойство Zimbra останавливать mta при потоке спама ~100 писем/сек. Решилось применением rbl листа. Сотрудники частью на Thunderbird+Lightning, частью через web-интерфейс. За год использования 2-3 падения при пиковой нагрузке, исправляется перезапуском службы. Если бы не требовательность к ресурсам была бы идеальной рабочей системой.
                                  +1
                                  Спасибо, вы заставили меня задуматься. Гугл всем устраивает, но даже при 4Мб интернете на 20 человек время синхронизации папок IMAP иногда вызывает раздражение…
                                    +1
                                    Кстати, только вчера читал статью Переход на СПО. Заменить Exchange за 10 дней, тоже написана очень грамотно, советую почитать всем, кто хочет уходить с Exchange на Zimra.
                                      0
                                      На сегодняшний день халявные системы предоставляют впечатляющий функционал. Вот если ли бы еще MAPI нахаляву получить… Потому как тот, кто его попробовал, мучить пользователей и уходить от него не будет.
                                        +1
                                        На самом деле Zimbra и вправду хороший сервер коллективной работы и обмена сообщениями.

                                        У меня Zimbra работает уже второй год.
                                        Устраивает практически всё.

                                        Мне очень жаль, что Zimbra отказались от Zimbra Toster. Безусловно, имеется десктопное решение Zimbra Desktop, но оно безумно много кушает ресурсов, это меня почему то разочаровывает.

                                        Кстати если кому интересно, хочу посоветовать Zimbra Tray от Andrew Orlow. Хорошее java решение для уведомлений почты и календаря.

                                        Ещё хотелось бы сказать о новой, недавно вышедшей, 7 версии Zimbra. В ней много нового и даже переработан интерфейс. Но на мой взгляд она ещё сыровата. Лучше дождаться версии 7.0.1.
                                          0
                                          а не подскажете, под какой осью и с какой явой был удачный опыт использования Zimbra Tray?
                                            0
                                            Я использовал и использую под Windows XP, Vista а так же Ubuntu. с 6-й явой.

                                            А вообще приложение работает почти во всех популярных системах (Windows, Linux, etc.), с Java (J2SE6).

                                              0
                                              вот удивительно… Под Xubuntu 10.10 ругалась «SystemTray is not supported», пока не обновил openjdk* 6b20-1.9.2 до -1.9.5
                                              Спасибо за наводку, буду насаждать в офисе :)
                                          0
                                          Zimbra бесплатная (http://www.zimbra.com/products/zimbra-open-source.html )? Если платная, то во сколько обошлось? Там с русским языком нормально?
                                            +2
                                            Бесплатная.
                                            Есть и платная. Она включает в себя модуль Mobile, Backup модуль, Outlook connector и ещё небольшие полезности.
                                            По поводу цены точно не помню, но выходит дешевле Exchange это точно.

                                            С русским всё нормально.
                                              +2
                                              Есть бесплатная, есть платная. Платная — с поддержкой MAPI для Outlook, HSM для счастья и подоменного администрирования… (ну и еще по мелочи? см. здесь). Обходится — когда как. Для компании в 50-500 человек от 20 до 50$ в год за пользователя, в зависимости от вида лицензии и числа пользователей… С русским более чем нормально.
                                              0
                                              Много лет пользуюсь Mdaemon. Практически всем доволен, особенно скоростью, кроме того что ява-скрипты темы LookOut написаны без учёта вероятности использования Mac-пользователями, где эта тема работает просто через пень-колоду.

                                              Недавно начал оглядываться по сторонам в поиске альтернатив (ибо маководы уже «извлекли» своими претензиями) и задумался о тестовом развёртывании Zimbra в виртуалке.
                                              Настораживают только ограничения на бесплатную версию. Судя по архивным форумам, реально полезные фишки появляются только в платных версиях. А платная версия существенно дороже того же Mdaemon.

                                              Тем не менее, спасибо за топик. Может быть через полгодика перейдём на Zimbra, если тесты всех устроят.
                                                0
                                                Thunderbird отлично работает под Маком, если что. Есть интеграция с родной Адресной книгой.
                                                0
                                                Выводы:
                                                1. Хорошо внедрять когда текущее состояние — АД.
                                                2. Вы что, даже существующую почту с помощью imapsync не перетащили? Сурово.
                                                3. Недавно вышла Zimbra 7.0, из плохого — выпиливают чятик в коммерческой версии, возможно отомрет и в ОС версии. Из интересного — 32х разрядные x86 уже в депрекэйтед, 8.0 под них не будет.
                                                  0
                                                  > Вы что, даже существующую почту с помощью imapsync не перетащили?

                                                  Вы не поверите, но я 3 дня ходил и разными наводящими вопросами интересовался: а нужна-ли кому старая почта? а куда бы её вытащить? а может понадобится кому чего? а может там база какая клиентская зависла? а может еще чего нужно? Никто вообще никакого энтузиазма не проявил. Ну я и забил на это. И не ошибся потому что старой почты за все время хватились только 1 раз!
                                                    0
                                                    Отсюда возвращаемся к первому пункту :)
                                                    Мне бы мозг съели, обнаружив что почта пропала. Сейчас уже больше года Zimbra, полет нормальный. Основная причина перехода — использовался тяжелый и к тому же внедренный непонятно кем и без толком оформленных лицензионных документов Lotus. Был устранен во избежании лицензионных претензий.
                                                  –2
                                                  Exim — это почтальон с перемётной сумой, а не почтовое отделение. Конфигурационные файлы (а, вернее, один файл) можно издавать как хрестоматию для маленьких, настолько всё просто.

                                                  Но, судя по всему, не для всех. Я лично вижу два «Раздолбай-аутсорсинг», ООО и ИП. Первые просто упомянуты в топике. Вторые — топики генерируют.
                                                    0
                                                    Я нигде не сказал что Exim это плохо и более того, нигде не упомянул что у меня проблемы с пониманием настройки Exim`а. Поверьте мне на слово, если бы дело было ТОЛЬКО в грейлистинге…
                                                      0
                                                      P.S. Я не ИП а штатный сотрудник XD
                                                        0
                                                        Автор видимо считает, что политика запрещения всего и вся — полезная практика.
                                                        Надеюсь на моем месте работы IT-отдел будет помогать, а не запрещать гуглопочту открывать…
                                                          0
                                                          Дело не в гуглопочте. Дело в общем беспорядке… лично мне гуглопочта ничего не сделала плохого, но когда один сотрудник открытым текстом заявит «Иди на**й со своей почтой у меня есть почта на гмайл», а другой скажет «Да е*ал я твою почту, у меня есть маил.ру и там вся клиентская база», разумеется это оправданное решение. Но скажут они вовсе не по тому что маил.ру на голову лучше зимбры, а потому что там есть майл агент в котором можно невозбранно проболтать пол дня, а тут сначала почту рубанули, а следом за ним и агента. Их мотивация примерно такая, поверьте мне, я 8 лет работаю системным администратором. К тому же я далеко не считаю что запрещение всего и вся правильная политика. Я считаю что нужно соблюдать баланс между запрещением и разрешением.
                                                            0
                                                            Следуя вашей логике надо было попробовать отключить агента и там уж человек сам бы решил что для него лучше.
                                                            А то что вы нарвались на грубость, это возможно вызвано тем, что вы вмешиваетесь в святая святых процесс субъекта труда ;) Вам же не говорили какую почтовую систему насаждать в организации, вы сами выбрали. Каждый должен иметь свободный выбор, а судить нужно по продукту который профессионал создает.
                                                              0
                                                              Если вы пытаетесь меня тролить — ну пытайтесь дальше, чего еще сказать…

                                                              Если вы просто не разбираетесь в вопросе организации инфраструктуры — поговорите с практикующими админами, а особенно с теми, кто отвечает за корпоративную безопасность. Они вам расскажут больше.

                                                              Электронная почта на mail.ru — это не святая святых процесса труда. Электронная почта на гугле тоже. Это один из рабочих инструментов, не более того. У меня есть аналогичный.

                                                              По поводу того какую почтовую систему насаждать — я попросил бы забрать слова обратно потому что я её не насаждал, а поставил и все получилось. Вообще этот топик я написал после того как мастер покрасочных работ Лариса встретив меня в длинном коридоре спросила «А мне почему не сделали Зимбру?». Я сказал что завтра в 11 подойду и выдам листочек с логином/паролем и объясню как пользоваться. После этого я сделал вывод что раз меня сами пользователи просят — значит я все правильно сделал. Кстати Лариса не единственная кто меня попросил, было еще пара человек до неё… Поэтому меня глубоко огорчило неуместное слово «насаждать».
                                                                0
                                                                Если все остались довольны, то это отлично. И тот пример который вы привели сейчас это хорошо показывает.
                                                        0
                                                        Да, зимбра стоящее решение для корпоративного почтаря.
                                                        Но мне хотелось бы узнать про грейлистинг в реальных условиях. О его эффективности в борьбе со спамом наслышан достаточно и уже давно думаю перейти на него, но все же есть некоторые сомнения:

                                                        — нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания
                                                        — не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям
                                                        хитрожопых умных спамеров стало больше и грейлист уже бесполезен

                                                        Так ли это?
                                                          0
                                                          Мой опыт использования грейлистинга. 95% реально режется. Лично мне БЕЗ грейлистинга ходило 300 писем спама в день, сейчас проскакивает дай боже 10-к. Так что то что грейлистинг бесполезен это как минимум сильно преувеличено. А насчет умности спамеров — времена не те. Сейчас спам не дает таких феерических взлетов продаж потому что спам в социалках существенно эффективнее почтового спама. Поэтому за тех 5% «VIP» спамеров которые обходят и фильтры и грейлистинг можно не переживать. Он всегда были есть и будут. К тому же грейлистинг это всего лишь технология у которой есть несколько реализаций. Это я к тому что пока письмо в грейлистинге можно еще по DNS блэк листу чекануть например.

                                                          > нужная почта для пользователей будет долго приходить и это заметно скажется на качестве обслуживания

                                                          Для этого можно «обелить» некоторые зоны. Например гугль, майл.ру, яндекс и корпоративных каких-то собеседников. Нормальная практика.

                                                          > не все почтари верно настроены на повторную отправку письма в случае отказа и могут возникать проблемы с доставкой писем пользователям

                                                          Их проблемы если они не могут выполнить стандарты. Переотправлять положено и точка. Есть другая проблема, те кто используют callback-верификацию. Т.е. Ваш сотрудник отправляет письмо, на принимающей стороне генерится «проверочное» письмо, которое получает отлуп по грейлистингу на несколько минут. Сервер не заморачиваясь на каком основании он получил отлуп считает что отправитель подделан == спам. Вот это действительно проблема. И такие кто используют этот механизм до сих пор, к сожалению встречаются временами.
                                                            0
                                                            > Есть другая проблема, те кто используют callback-верификацию.
                                                            с этим вроде помогает справится delayedreject в конфиге мильтера

                                                            А вообщем меня просто смущает, что юзеры одолеют своими «а када придет?».
                                                            Но попробывать думаю стоит.
                                                            0
                                                            Работает. Умные спаммеры всё чаще и чаще появляются, однако их пока ещё не так много, чтобы грейтистинг начал приносить больше вреда, чем пользы.

                                                            Кроме того, даже с умными он вполне эффективно работает совместно с spamhausом: первый раз — «потом придите», а когда умный спаммер придёт потом — он уже в спамхаусе.
                                                            0
                                                            Это конечно в некотором роде некропостинг, но все же.
                                                            Прочему вы считаете что алиасы это лучше чем общие ящики с доступом через IMAP? Если у нескольких человек (понятное дело что не у 100, а у 2 — 5) настроен один IMAP ящик, то все видят всю переписку с клиентом, видят если кто-то уже ответил на письмо, или если письмо наоборот не отвечено. В случае же алиасов совершенно непонятно, кто же обрабатывает данное письмо, дал ли кто-то уже ответ или нет. Теряется последовательность переписки и т.п. Как вы решаете эту проблему?

                                                            Мне приходилось работать с обоими вариантами — общий IMAP ящик и ящик-алиас рассылающий почту 4-м людям, второй вариант лично для меня был катастрофически неудобен.

                                                            P.S. Общий IMAP ящик имеет с общей базой The Bat весьма относительное сходство.
                                                              0
                                                              Именно по этой причине я и считаю что алиасы лучше чем общие ящики по IMAP. Потому что проблему нужно решать кардинально, а не полумерами. Вот общий ящик на IMAP как раз и есть такая полумера.

                                                              На новом месте работы мы сделали хитрую систему тикетов-задач в которую некоторые из таких задач типа ответов клиенту попадают. Реализовано это например в том, что все заказы с интернет-магазинов попадают не в общий ящик, а прямиком в тикеты. Как надо.

                                                              Не люблю полумеры.

                                                              А алиасы, они просто работают. Не больше и не меньше.

                                                            Only users with full accounts can post comments. Log in, please.