Настраиваем домашний почтовый сервер и уходим с «бесплатной» почты

С каждым годом рекламы в интернете становится все больше, а подают ее с каждым разом все навязчивее. Дошло уже до почты: реклама в интерфейсе почтового ящика выглядит как первое непрочитанное письмо, которое машинально хочется открыть. Я не против рекламы, особенно когда она в тему и не сбивает с толку. Но маскировать её под непрочитанное письмо ‒ это перебор. Чувствуется, что следующим шагом рекламу начнут вставлять прямо в тело письма.

Мы уже привыкли, что наша активность в интернете анализируется для подсовывания релевантной рекламы. Но там нет персональных данных в чистом виде: есть пользователь-1 с такими-то привычками, есть пользователь-2 с другими привычками, пользователь-3, 4, 5 и т.д.

Совсем другое дело почта. Обработка почты ‒ это зачастую обработка персональных данных. Все что вы покупаете ‒ квитанции приходят к вам на почту, какими сервисами вы пользуетесь ‒ регистрационные данные и отчеты приходят к вам на почту, купили билеты в отпуск ‒ все данные о вашей поездке у вас в почте. А почта у вас где?

Проблема в том, что вся почта обрабатывается, плюс нет гарантий, что не будет случаев злоупотребления. А реклама в почте ‒ это просто вишенка на торте. Так что если вы неугомонный параноик, то вам давно пора отказаться от «бесплатной» почты.

Но отказаться не так то просто:

  • Можно завести ящик на другом почтовом сервисе, но там тоже не будет никаких гарантий отсутствия обработки писем.

  • Можно арендовать виртуальный сервер в интернете и настроить его как почтовый сервер, но без физического доступа ваши письма никогда не станут только вашими.

  • Можно сделать почту на каком-нибудь зашифрованном protonmail’e, но по этой же причине он стал так популярен у мошенников, что был заблокирован в этой стране.

В голове остается один вариант ‒ делать почтовый сервер прямо дома. Идея на первый взгляд смешная, но если разобраться, то можно получить довольно интересный результат с некоторыми дополнительными бонусами для всей домашней сети. Что у меня из этого вышло ‒ читайте далее.

Домашний сервер

Очевидно, что для почтового сервера нам нужен комп или его аналог, который будет доступен извне 24/7. Можно было бы посмотреть в сторону чего-нибудь компактного и маломощного типа Raspberry Pi, но т.к. мне нужен задел на будущее для других домашних систем, то я отдал предпочтение полноценному компу. На комп устанавливается гипервизор VMWare ESXi, а на нем уже живут виртуальные машины с необходимыми функциями и в том числе почтовый сервер. Такой подход дает дополнительную гибкость при проведении экспериментов и распределении ресурсов, а в случае чего виртуальные машины можно легко перенести на другое железо. Если нет особых требований к скорости работы, то для компа можно взять обычный HDD, т.к. от разделов подкачки виртуальных машин б/ушный SSD может быстро деградировать. Либо делать виртуальные машины без swap. Либо ставить два диска: основной диск виртуальной машины живет на SSD, а раздел подкачки на HDD. Компьютер я выбрал HP ProDesk 600 G2 SFF с процессором i5-6500: компактный корпус, достаточно низкое энергопотребление и ESXi на него устанавливается как родной. Все это хозяйство в режиме простоя потребляет 25 Вт, под нагрузкой 40-45 Вт. В частных объявлениях такой комп вполне реально найти за вменяемые деньги.

ESXi устанавливается со всеми настройками по умолчанию, затем сетевому интерфейсу присваивается статический IP. Более подробно и с картинками см. здесь.

Связь, электричество, бэкапы

Дома, в отличие от датацентра возможны перебои электричества, поэтому нужен ИБП с батареей на несколько часов работы сервера и роутера. От этого же электричества зависит работа оборудования внутридомового провайдера, поэтому ИБП для домашнего сервера не решает проблему отключения провайдерского оборудования и интернета вместе с электричеством. Получается, что на домашний роутер должно быть заведено два провайдера: основной (например, по витой паре или оптике) и резервный (через LTE модем). В разных роутерах процесс настройки выглядит по разному, но суть не меняется. Для резервного интернет-канала я взял LTE модем Huawei E3372-320. Свисток хорош тем, что есть в свободной продаже в разлоченном виде и он оснащен разъемами для внешних антенн, что в некоторых ситуациях может сильно улучшить качество связи.

Однако, с двумя провайдерами у вас будет два разных серых IP адреса, а почтовому серверу нужно нормальное доменное имя и по хорошему белый IP. Выход из ситуации у меня такой: арендуется виртуальный сервер (VPS) за границей, на нем настраивается VPN-сервер, а на почтовом сервере настраивается туннель до VPS. Кроме того, туннель можно поднять прямо с домашнего роутера (если он умеет) и таким образом ликвидируется сразу два зайца: мы получаем статический белый IP не зависящий от локальных провайдеров, а после тюнинга маршрутизации на роутере ‒ централизованный обход блокировок Роскомпозора для всех устройств домашней сети. Схема получается примерно такая:

Будет не очень весело, если жесткий диск домашнего сервера неожиданно накроется вместе со всей почтой. Поэтому необходимость бэкапов сервера даже не обсуждается. О настройке бэкапов поговорим в конце статьи.

Условные обозначения

В статье будут содержаться примеры конфигурации, в которых вам потребуется заменить некоторые значения на свои:

  • Hostname (имя компьютера) почтового сервера ‒ mail

  • Домен ‒ example.com

  • IP адрес VPS сервера ‒ 1.2.3.4

  • Локальная домашняя сеть 192.168.1.0 с маской /24 (255.255.255.0) и шлюзом 192.168.1.1

  • IP адрес почтового сервера в локальной сети ‒ 192.168.1.3

  • Внутри VPN тунеля IP адрес VPN сервера 192.168.77.1, IP адрес VPN клиента 192.168.77.3

Арендуем VPS, настраиваем VPN сервер

Есть куча разных VPS провайдеров, я выбрал vps2day.com, потому что они не просят персональные данные при регистрации, платить можно криптой, можно выбрать страну, где разместить сервер. Для целей VPN будет достаточно VPS в базовой конфигурации, который обойдется в 5 €/месяц. Сперва я зарегистрировал почтовый ящик на protonmail’e, а затем на него оформил аккаунт в vps2day, закинул крипту и арендовал VPS. В качестве ОС я выбрал Debian 10, через несколько минут после оформления аренды на почту приходит отбойник с IP адресом сервера и учетными данными для SSH подключения.

Логинимся, обновляемся:

apt update && apt upgrade

В качестве решения для VPN я выбрал Wireguard, но для установки на Debian 10 надо добавить его репозиторий в apt:

echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list
apt update
apt install wireguard

Создаем каталог для файлов конфигурации (если его вдруг нет), назначаем права доступа туда, переходим в него и генерируем закрытый и открытый ключи:

mkdir /etc/wireguard
chmod 700 /etc/wireguard
cd /etc/wireguard
wg genkey | tee privatekey | wg pubkey > publickey

На выходе получим два файла: privatekey с закрытым ключом и publickey с открытым ключом. Создаем файл конфигурации /etc/wireguard/wg0.conf вида:

[Interface]
PrivateKey = сюда вставляем значение ключа из файла privatekey
Address = 192.168.77.1/24
ListenPort = 51820
MTU = 1380

Чуть позже мы дополним этот файл, а пока едем дальше.

Регистрация домена, настройка DNS

При регистрации домена в зоне .RU нужно предоставлять паспортные данные, а делать этого не очень хочется... В международной зоне список необходимых для регистрации данных скромнее. Для регистрации можно указать все тот же ящик с protonmail'a. В качестве примера представим, что мы зарегистрировали домен example.com.

В редакторе DNS зоны нужно добавить "А" запись с именем mail и с указанием на внешний IP нашего почтового сервера, коим будет являться арендованный VPS:

Запись "MX" с приоритетом 10 и указанием на mail.example.com:

Запись "TXT" с SPF v=spf1 ip4:1.2.3.4 mx ~all :

Запись "TXT" DMARC v=DMARC1; p=reject; adkim=s; aspf=s; pct=100; :

Создание виртуальной машины

На ESXi создаем виртуальную машину (ВМ). Диск почтового сервера будем шифровать, поэтому нужно учесть один нюанс. По умолчанию гипервизор создает swap файл, равный размеру оперативной памяти виртуальной машины в каталоге ВМ. Таким образом есть вероятность, что ключ шифрования диска, хранимый в памяти ВМ во время работы окажется в swap файле на гипервизоре, что совсем не здорово. Чтобы этого не случилось, в настройках виртуальной машины нужно зарезервировать всю отведенную под ВМ оперативную память, тогда swap файл будет нулевой длины.

Установка системы и начальная конфигурация

В гостевой ОС вполне можно отказаться от раздела подкачки, особенно если назначить ВМ достаточное количество оперативки, а datastore гипервизора находится на SSD. Я взял Debian 10, процесс установки полностью стандартный за исключением разметки диска. Имя сервера задаем mail, домен example.com. Система ставится в минимальной конфигурации. В разметке дисков я сделал первый раздел под /boot и второй раздел с шифрованием:

После установки системы я делаю несколько базовых вещей. Удаляю созданного при установке пользователя командой deluser <username> --remove-home.

Задаю статический адрес, если это не было сделано во время установки. Для этого правим файл /etc/network/interfaces. Обратите внимание, что сетевой адаптер вашего сервера может называться по другому, в моем примере ens192. Секция файла с настройкой сетевого адаптера должна получиться такой:

allow-hotplug ens192
iface ens192 inet static
    address 192.168.1.3/24
    gateway 192.168.1.1

Для применения изменений выполняем команду (не забываем здесь заменить название сетевого интерфейса на свое):

ifdown ens192 && ifup ens192

Чтобы не углубляться в настройку домашних роутеров, VPN туннель мы будем делать сразу с почтового сервера до VPS и завернем туда весь трафик. Поэтому имеет смысл поменять DNS сервера на публичные. Для этого правим файл /etc/resolv.conf, конечный вид которого примет вид:

nameserver 1.1.1.1
nameserver 1.0.0.1

IPv6 я тоже отключаю, для этого в конец файла /etc/sysctl.conf добавляю строку:

net.ipv6.conf.all.disable_ipv6 = 1

Чтобы параметр применился выполняем команду:

sysctl -p

Проверить, отключился ли IPv6 довольно легко. Для этого нужно просмотреть вывод нижеследующей команды на наличие ipv6 адресов:

ip a

Устанавливаем ssh и wget:

apt install ssh wget

Включаю логин по паролю для root по SSH, для этого в файле /etc/ssh/sshd_config добавляем строку PermitRootLogin yes. Применяем изменения:

service ssh restart

Коннектимся к серверу по ssh и едем дальше.

Настройка VPN подключения

Устанавливаем wireguard на почтовом сервере так же как это делали на VPS несколькими шагами выше:

echo 'deb http://deb.debian.org/debian buster-backports main contrib non-free' > /etc/apt/sources.list.d/buster-backports.list
apt update
apt install wireguard
mkdir /etc/wireguard
chmod 700 /etc/wireguard
cd /etc/wireguard
wg genkey | tee privatekey | wg pubkey > publickey

Создаем файл конфигурации /etc/wireguard/wg0.conf следующего содержания:

[Interface]
PrivateKey = значение ключа из файла privatekey
Address = 192.168.77.3/32
MTU = 1380

[Peer]
PublicKey = значение ключа из файла publickey с VPS сервера
AllowedIPs = 0.0.0.0/0
Endpoint = 1.2.3.4:51820
PersistentKeepalive = 20

Теперь идем по SSH на VPS сервер и в файл конфигурации /etc/wireguard/wg0.conf добавляем:

# mail server
[Peer]
PublicKey = значение ключа из файла publickey с почтового сервера
AllowedIPs = 192.168.77.3/32

На VPS сервере в файл /etc/sysctl.conf добавляем строку net.ipv4.ip_forward = 1, чтобы разрешить форвардинг трафика, а чтобы применить эту настройку без перезагрузки, даем команду sysctl -w net.ipv4.ip_forward = 1.

На VPS создаем небольшой скрипт фаерволла, который будет срабатывать при каждом включении сетевого адаптера. Создаем файл /etc/network/if-up.d/firewall, содержимое файла спрятал под спойлер.

/etc/network/if-up.d/firewall
#! /bin/sh

EXT_IP="1.2.3.4"

iptables -F
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X

iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -i lo -j ACCEPT

# Разрешаем пинги в разумных пределах
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT --match limit --limit 5/second
iptables -A INPUT -p icmp --icmp-type echo-reply -j ACCEPT --match limit --limit 5/second

# Разрешаем SSH
iptables -A INPUT -d $EXT_IP -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -d 192.168.77.1 -p tcp --dport 22 -j ACCEPT

# Established connections
iptables -A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT

# DNS
iptables -A INPUT -i eth0 -p udp -d $EXT_IP --sport 53 -j ACCEPT

# Wireguard
iptables -A INPUT -i eth0 -d $EXT_IP -p udp --dport 51820 -j ACCEPT
iptables -A FORWARD -i wg0 -j ACCEPT
iptables -A FORWARD -o wg0 -j ACCEPT
iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu

# Выход в интернет для почтового сервера через VPS
iptables -t nat -A POSTROUTING -s 192.168.77.3 -j SNAT --to-source $EXT_IP

# Проброс портов к почтовому серверу через туннель
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 80 -j DNAT --to-destination 192.168.77.3
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 443 -j DNAT --to-destination 192.168.77.3
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 25 -j DNAT --to-destination 192.168.77.3
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 587 -j DNAT --to-destination 192.168.77.3
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 143 -j DNAT --to-destination 192.168.77.3
iptables -t nat -A PREROUTING -d $EXT_IP -p tcp --dport 993 -j DNAT --to-destination 192.168.77.3

Не забываем сделать файл исполняемым командой chmod +x /etc/network/if-up.d/firewall

На VPS сервере запускаем wireguard:

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Возвращаемся на почтовый сервер и запускаем wireguard там:

systemctl enable wg-quick@wg0
systemctl start wg-quick@wg0

Состояние подключения можно посмотреть командой wg show. Если хоть какие-то данные в обоих направления пошли, значит все ОК и можно двигаться дальше:

Настройка почтового сервера

В интернете есть пара отличных гайдов по развертыванию почтового сервера на Debian: e-mail caramel и ispmail. Основная сложность настройки заключается в том, что нужно правильным образом сконфигурировать довольно много файлов и нигде не накосячить. Нужно настроить Apache, PostgreSQL, Postfix, Dovecot, rspamd, sieve, сгенерировать SSL сертификаты и DKIM, выставить права. Со знанием дела весь процесс занимает несколько часов, а у новичков может легко занять пару дней и не факт что все получится с первого раза.

По гайду "e-mail caramel" на выходе получается почтовый сервер с IMAP протоколом для клиентов с обязательным шифрованием STARTTLS и Nextcloud'ом в качестве webmail. Сервер убирает из писем мета-теги User-Agent и Received. Учет почтовых пользователей ведется в БД.

Чтобы не заниматься курением конфигов, а результат был предсказуем ‒ я сделал скрипт, который автоматизирует 90% всего процесса из вышеупомянутого гайда с некоторыми отличиями:

  • Я не хочу ставить на почтовый сервер ресурсоемкий Nextcloud, вместо него я буду использовать Rainloop

  • Подрежем еще несколько мета-тегов: X-Mailer, X-Originating-IP, X-PHP-Originating-Script, Mime-Version. При этом в оригинальном гайде фильтрация конфигурируется в master.cf, а у меня в main.cf

Скрипт устанавливает необходимые пакеты, конфигурирует apache, БД, конфигурирует почтовые службы и на выходе получается практически готовый к употреблению почтовый сервер. При этом я пока не стал включать в скрипт генерирование SSL и DKIM, сделаем это руками чуть ниже.

Скрипт пока не тестировался на корректность работы при многократном запуске. Если почтовый сервер у вас развернут как виртуальная машина, то перед выполнением лучше сделать снапшот ВМ.

Скачиваем и распаковываем скрипт:

wget https://github.com/alexmdv/mailserver-autosetup/archive/main.zip
unzip main.zip
chmod +x -R ./mailserver-autosetup-main
cd ./mailserver-autosetup-main

Всего в каталоге 3 файла:

  • mailserver-setup.sh - основной скрипт конфигурирования сервера

  • mailuser-addnew.sh - скрипт создания почтового юзера

  • mailuser-setpass.sh - скрипт смены пароля для существующего почтового юзера

Запускаем mailserver-setup.sh. Скрипт попросит ввести следующие данные: имя хоста почтового сервера (в этом гайде это просто mail), имя домена, который был ранее зарегистрирован (например, example.com), IP адрес почтового сервера в локальной сети. Имя хоста + домен как раз образуют полное имя mail.example.com. По завершению работы скрипта почтовые сервисы остаются в выключенном состоянии, т.к. перед запуском надо сгенерировать SSL сертификаты и DKIM. Так же по завершению будет отображен админский пароль от БД. Этот пароль нужно вставить в скрипты mailuser-addnew.sh и mailuser-setpass.sh вместо слова PASSWORD, см в файлах вторую строку:

#!/bin/bash
pgadmpass="PASSWORD"

Генерирование сертификатов, завершение настройки

Генерируем SSL сертификат командой. Не забываем заменить example.com на свой домен:

certbot certonly --apache --agree-tos --email admin@example.com --no-eff-email --domain mail.example.com

Генерируем DKIM. В команде ниже вместе example.com ‒ ваш домен, а вместо 20210121 можно взять текущую дату (ггггммдд):

rspamadm dkim_keygen -b 2048 -d example.com -s 20210121 -k /var/lib/rspamd/dkim/example.com.20210121.key

Результатом выполнения команды будет такой текст:

20210121._domainkey IN TXT ( "v=DKIM1; k=rsa; "
	"p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAumOhUcY3anZV4tGF1+VsYDD9bTZ0rqiFCm8FPdDHVB0U+ZPfZ2Cxf+x+jIFYXfO/jWEoAw2uYFz3Mt1ImvRQzU9oMx0t/0HtMKS4m3AhOBM5SkkhvoAaJkoIt3gTQ4KQyiBsZemihAw6V/gsex8K6M76m4WkbT92+tg192EGXBUDo0k7kk1rDOld0G9X2P0IxkVfqKqfwg+fI+0Im"
	"AOFC1gBCIm18XPEGZA2oOoNbkWO95bD8Rj20yv8639bMA27+B08v4/aPXQb9HZLEwpsz8Qa/WgEZFGJzd6kUaYWHTfMmbgBXnET5N+tjXGvkjtnLbx25ru/PZTeckGjE/komQIDAQAB"
) ;

В файл /etc/rspamd/dkim_selectors.map нужно добавить дату, чтобы получилось примерно так:

example.com 20210121

Идем в редактор DNS зоны у регистратора, добавляем запись "TXT" с именем 20210121._domainkey и значением v=DKIM1; k=rsa; p=... Дата в имени у вас будет своя, параметры перечисляются без двойных кавычек. Примерно так:

Тут есть нюанс. По умолчанию длина ТХТ записи может быть до 255 символов, а т.к. мы сгенерировали 2048 битный DKIM ключ, то его длина выходит за это ограничение и если вы внимательно посмотрите на результат генерации ключа, параметр p разбит на два, каждый из которых в своих двойных кавычках. Если регистратор поддерживает ТХТ записи большей длины, то две части можно просто схлопнуть, убрав кавычки. У GoDaddy, например, максимальная длина TXT записи 1024 символа. А если регистратор не поддерживает больше 255 символов, то ключ записывается в две ТХТ записи. Или можно сгенерировать более короткий ключ на 1024 бита.

Последнее что нужно сделать ‒ поправить файл /etc/postfix/master.cf. Необходимо раскомментировать строку:

#submission inet n       -       -       -       -       smtpd

И 4 вложенных параметра, начинающихся на "-o". Двойной пробел перед ними нужно сохранить. Последний параметр, возможно нужно будет просто дописать. На всякий случай в архиве со скриптом приложен готовый к употреблению файл master.cf. Должно получиться так:

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o cleanup_service_name=header_cleanup

Перезагружаем сервер.

Теперь заведем первый почтовый ящик. Для этого нужно воспользоваться скриптом mailuser-addnew.sh. Нужно будет ввести короткое имя (слово до @example.com), доменное имя (сам example.com) и пароль два раза. После этого можно попробовать настроить любой почтовый клиент используя созданную учетную запись.

В качестве примера пусть будет oleg@example.com. Для настройки почтового клиента набор параметров будет таким: почтовый адрес oleg@example.com, имя пользователя для IMAP и для SMTP так же oleg@example.com, сервер входящей почты IMAP mail.example.com, исходящей почты тоже mail.example.com, способ подключения везде STARTTLS.

Для проверки корректности настройки DKIM и SPF, можно воспользоваться ресурсом https://dkimvalidator.com, отправив туда тестовое письмо и посмотрев отчет. Все проверки должны быть в статусе pass (пройдено).

Устанавливаем Rainloop webmail

Все необходимые php модули для Rainloop уже были установлены скриптом. Скачиваем актуальную версию проекта, распаковываем, задаем права, включаем vhost на веб-сервере:

wget http://www.rainloop.net/repository/webmail/rainloop-community-latest.zip
unzip rainloop-community-latest.zip -d /var/www/webmail
cd /var/www/webmail
chmod 644 .
find . -type d -exec chmod 755 {} \;
find . -type f -exec chmod 644 {} \;
chown -R www-data:www-data .
a2ensite webmail
service apache2 reload

Логинимся в админку rainloop по адресу https://mail.example.com/?admin с логином admin и паролем 12345. Пароль естественно надо будет сменить, это делается в разделе Security.

Далее добавляем наш почтовый сервер. Идем в раздел Domains, отключаем все прочие почтовые сервера и жмем по кнопке Add Domain:

Вводим параметры нашего домена и жмем Add:

Дополнительно в закладке Login можно так же указать домен:

Теперь можно пробовать заходить в webmail https://mail.example.com используя короткое имя пользователя (без @example.com):

Интерфейс выглядит лаконично, работает быстро, есть возможность настроить внешний вид под себя.

В качестве небольшого тюнинга безопасности Apache добавим пару строк в файл /etc/apache2/apache2.conf. Это скроет данные о версии веб-сервера:

ServerSignature Off
ServerTokens Prod

Для применения изменений перезагрузим Apache командой service apache2 reload.

phpPgAdmin

В БД mail_server есть три основные таблицы: alias, sharedmail_boxes, users. Все пользователи с хешами паролей хранятся в users. С помощью таблицы alias можно сделать псевдонимы к уже существующим почтовым ящикам, а с помощью таблицы shared_mailboxes можно сделать доступ к определенным ящикам для нескольких людей. Вход в phpPgAdmin по адресу http://локальный-ip-адрес-сервера/phppgadmin с логином postgres и паролем, который был сгенерирован скриптом.

Если нет нужды ковырять таблицы, то можно отключить сайт с phpPgAdmin вообще:

a2dissite lanhost
service apache2 reload

Бэкапы

Так как почтовый сервер я делал для себя и очень ограниченного круга людей, то много пространства серверу не нужно, емкость всего диска 20 Гб. Схема резервного копирования такая: один раз бэкапится виртуальная машина почтового сервера целиком, чтобы случае чего не настраивать сервер заново. А во вне делается бэкап почтового каталога. Естественно все бэкапы шифруем. Для копий каталога отлично подойдет VPS, у которого целых 25 Гб пространства, бэкапить буду с помощью restic. Но прежде надо настроить ssh подключение до VPS по сертификату.

На почтовом сервере генерируем RSA ключ, на все вопросы мастера просто жмем Enter:

ssh-keygen -t rsa -b 4096

Копируем открытый ключ на VPS:

cat ~/.ssh/id_rsa.pub | ssh root@192.168.77.1 "mkdir -p ~/.ssh && cat >> ~/.ssh/authorized_keys"

Устанавливаем Restic

apt install restic

Создаем репозиторий (копии будут храниться на VPS в каталоге /mnt/mserv-bkp):

restic -r sftp:192.168.77.1:/mnt/mserv-bkp init

Выполнение команды может занять несколько минут, в конце попросят придумать пароль для шифрования репозитория. Чтобы автоматизировать процесс создания резервных копий, создадим файл с переменными /root/.restic следующего содержания:

export RESTIC_REPOSITORY="sftp:192.168.77.1:/mnt/mserv-bkp"
export RESTIC_PASSWORD="Пароль придуманный на прошлом шаге"

Подхватываем файлик:

source /root/.restic

Попробуем выполнить резервное копирование почтового каталога:

restic backup /var/vmail

Проверяем, что в репозитории что-то появилось:

restic snapshots

Если есть наш только что созданный снапшот, то двигаемся дальше. Создаем файл /etc/root/restic с содержимым:

#!/bin/bash

source /root/.restic
restic backup /var/vmail

Делаем его исполняемым:

chmod +x /root/restic

И добавляем в /etc/crontab на запуск раз в сутки:

0 1 * * * root /root/restic

Заключение

Теперь настройку почтового сервера можно считать полностью завершенной.

Как видно, владение своим почтовым сервером стоит некоторых денег. Цена складывается из оплаты регистрации домена, аренды VPS, оплаты второго провайдера дома и в конце концов электричества. В моем случае получается в районе 950 ₽ в месяц за всё. С другой стороны резервный интернет канал и VPN будут полезны для всей домашней сети, но об этом мы поговорим в следующий раз.

Спасибо, что дочитали. Комментарии, вопросы, замечания и пожелания приветствуются!

Оригинал статьи в моем блоге.

Ads
AdBlock has stolen the banner, but banners are not teeth — they will be back

More

Comments 324

    +3
    У большинства домашних провайдеров поднять почтовик не получится из-за закрытого 25-го порта (а сейчас и TLS/SSL порты для почты стали закрывать).
    Впрочем, виртуалки у хостеров никто не отменял.
      +2
      Плюс провайдера два, поэтому VPS-VPN.
        +2

        Спасибо. Уточните, пожалуйста, по PTR DNS: ваш провайдер создавал обратную DNS запись или сейчас это уже не требуется для отправки почты?

          +3
          Требуется для отправки почты на некоторые сервера, активно противодействующие спаму, например gmail просто дает отлуп таким письмам и они никогда не доходят до получателя.
            –1
            gmail не дает отлуп, проверяю уже 2.5 недели, ни одно письмо в спам не попало.
              0
              Отлуп не даёт, но пометку про PTR в заголовках делает — обнаружил, когда шлюз из-за ошибки конфигурации начал трафик почтовика выпускать с другого IP.
              0
              например gmail просто дает отлуп таким письмам и они никогда не доходят до получателя.
              вы что то путаете. Из-за одной ptr gmail точно не блокирует письма. По крайней мере я не сталкивался с таким
                0
                Еще как дает, сам недавно с этим сталкивался, когда поднимал новый сервер. Более того, требует не только PTR для IPv4, но и IPv6, мой хостер для IPv6 такой услуги не оказывал, пришлось отключить IPv6 для почтовика на уровне хостинга VPS.
                  0

                  И правильно отключили — мой хостер даёт PTR и к IPv6 но я сейчас не подключаю этот протокол к почтовику ибо был опыт раньше — кол-во спама в разы увеличивается (забугорного спама, наши спамеры IPv6 не используют).

              +1
              В описанной схеме такую запись должен сделать хостер VPS. Правильный хостер такое умеет.
              +6
              Спасибо за статью.

              Моя связка postfix + dovecot + sogo groupware + (apache solr + apache tika + tesseract ocr — для индексировния и распознавания текста на картинках во вложениях, но оч. кушает ресурсы). Все это привязано к LDAP\AD.

              Развернуто все на proxmox ve (zfs soft-raid), за бэкапы отвечает — proxmox backup server.
              Антиспам — proxmox mail gateway (лучшее, имхо, открытое решение для антиспама, оч. гибкое).

              Еще развернут Rocket.Chat + Jitsi Meet + LDAP\AD. Джитси (умеет VP9-кодек) проверена лично на 20 человек и далеко не на самом мощном железе. Клиенты были на АДСЛ.

              Перед всей этой «крастотой» — pfsense (+ suricata кому надо, прямо на пфсенсе). Центральный офис объединен с филиалами по ovpn\ipsec + ospf для отказоустойчивости (время переключения на резервный канал ~7 сек)

              Зы. Советую обратить внимание на Sogo — sogo.nu. Nightly-сборки — free.
              Умеет почту, календари и адресные книги. Все прекрасно прикручивается к LDAP\AD. Ящики, календари, адресные книги можно «шарить» между пользователями. Как (некая) альтернатива MS Exchange — супер. Проект активно развивается. Жаль, что у нас он не оч. популярен.

              Зы2. Кому интересно про proxmox-ы, pfsense etc — forum.netgate.com/topic/120102/proxmox-ceph-zfs-pfsense-%D0%B8-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5-%D0%B2%D1%81%D0%B5.

              Зы3. Кому хочется «необычности» в плане чата — Deltachat delta.chat/ru в помощь. Можно не только на своем почтовике, т.к. вся переписка шифруется.
              0
              Можно купить самый дешёвый хостинг и отправлять через smtp хостера.
                0
                на шаред-хостинге как правило 1-2 ипа и куча доменов с такой вот почтой. а PTR-запись вообще на свое какое-то имя.
                и ваши письма летят в спам даже на простеньких серверах-получателях.
                  0
                  на шаред-хостинге как правило 1-2 ипа и куча доменов с такой вот почтой. а PTR-запись вообще на свое какое-то имя.

                  Нет, я о другом. Не надо поднимать свой собственный smtp сервер на виртуальном хостинге. У провайдера хостинга есть (а если нет, то берите другого) как правило свой SMTP сервер, естественно с правильным PTR.

                  А для приёма почты PTR уже не критичен.
                    +1
                    PTR-запись вообще на свое какое-то имя.

                    Никто не проверяет PTR запись на равенство домену отправителя. Проверяется факт правильного ресолвига IP←→домен, которого пытаются доставить почту.
                    +1
                    И ваш домен может легко забанить какая-нибудь mail.ru, если вдруг от вашего домена начнут идти какие-то рассылки. А это легко сделать, если для домена не настроены DKIM и DMARC записи, а далеко не все виртуальные хостеры поддерживают такое. Проходили уже такое.
                      +2
                      Нет-нет, секундочку. DKIM это уже про проверку вашего домена, это уже другая история, я сейчас про PTR запись SMTP сервера, который будет связываться с гуглом или мэил.ру. Обычно это основная проблема с домашним хостингом (и иногда с виртуальным). Так вот, у SMTP-сервера провайдера хостинга эта запись есть. Естественно, она указывает на его собственный домен, но это нам и нужно.

                      DKIM я пока не настраивал, и не знаю, нужен ли для DKIM правильный PTR. Судя из описания — нет.
                    0

                    У дом ру можно разблокировать порт в лс.

                    +3
                    Напишите потом про опыт использования такого сервера, есть ли проблемы, неочевидные вещи, о которых следует знать. Будет интересно.
                      0
                      Да, планирую.
                        +17
                        Самая большая проблема: нет выделенной команды эксплуатации. Логи переполнили диск, бд встала/упала, все, почта не приходит. А вы в отпуске на камчатке, и пока не доберетесь до сервера и не почините, почта ваша будет уходить вникуда.
                        Тоже самое с интернетом: сегодня работает, завтра так сложились звезды, что упал провайдер, а опсос съел деньги на счету, почты нет. Не просто нет доступа к пришедшим сообщениям, а вообще нет.

                        Второе решается не-домашним сервером (для несекьюрной почты, сделанной для защиты от продажи условно-обезличенных данных достаточно любого впс на иностранной площадке или амазона, кому там ваша почта в амазоне нужна), первое не решается ничем.

                        Еще открытый вопрос о политиках спам-детекции. Почтовых серверов куча, и в какой-то момент вы можете обнаружить, что уже полгода отправленные письма на условный мейлру письма уходят в спам, что потребует от вас трат времени на общение с поддержкой и курения манов по настройке всяких хитрых флагов и подписей.

                        Ну и без аналитики по спаму входящих писем спам придется разгребать периодически. Но это фиксится, хоть и не так хорошо, как в том же гмейле, который имеет возможность тренировать алгоритмы на куче пользователей.

                        Для себя решил вопрос уходом на fastmail.
                          0
                          Ну по диаграмме Эйлера — Венна всегда приходится чем-то платить. Низким уровнем доступности, низким уровнем надёжности, низким уровне интеграции ради увеличением приватности писем например, или безопасностью, или большей независимостью, или ещё чем-либо.
                            +1
                            Справедливо, но…
                            Место на диске может закончится, логи, БД — надо сделать уведомление, допишу в статье.
                            Почта реально может быть очень критична, если используется как способ 2FA, но для 2FA есть и другие варианты.
                            В остальном, тем более в отпуске, тем более на Камчатке во время похода на вулкан… мне почта не нужна. Для себя я не увидел проблемы, если звезды сойдутся и сервер погаснет на несколько дней.
                              +4
                              В остальном, тем более в отпуске, тем более на Камчатке во время похода на вулкан… мне почта не нужна. Для себя я не увидел проблемы, если звезды сойдутся и сервер погаснет на несколько дней.

                              а я вижу в этом проблему ) если там какая-нибудь налоговая выписка или уведомление из госорганов не придет. Или что-то подобное. Причем именно в момент того, как сервер лежит...

                                +2

                                Уведомления от госорганов и прочие налоговые выписки у меня заоутсорсены на Почту России. ;-)

                                0
                                но для 2FA есть и другие варианты
                                Какие могут быть другие варианты, если некий сервис (а такие встречаются) поддерживает в качестве 2FA лишь почту?
                                  0
                                  Место на диске может закончится, логи, БД — надо сделать уведомление

                                  На ту же почту надеюсь? ))
                                  +1
                                  Сам использую Fastmail c 2004 года, крайне им доволен. Пусть даже он насквозь проприетарный и уважение к приватности моей почты держится сугубо на их честном слове. Пока вроде держится.

                                  «Свою собственную почту» по похожему образцу настраивал не раз. Помимо очевидной необходимости в техобслуживании, есть ещё вопрос репутации.

                                  Лет 10 назад можно было убиться об стену, пытаясь вынести отправляемые письма из спама на каком-нибудь Gmail. При том, что все заклинания и обереги (SPF, DKIM, DMARC, BIMI — по мере появления) исправно добавлялись. В общем, наприседался в полный рост.

                                  Но в целом оно, конечно, того стоит (я про собственный почтовый сервер).
                                  0
                                  годами будет работать эта поделка. и по сути, даже веб-морда и украшения типа ssl (для веба, не для smtp\imap) тоже оверхедны.
                                  хватило бы 993\587 и любой внешней программы аля-оутлук на компе\мобиле.
                                    +1
                                    Главная проблема — спам. Хоть ты тресни, хоть как тренируй разных демонов, все равно спама значительно больше, чем в google или yandex.
                                      0
                                      PTR отправителя проверять не пробовали?
                                        0
                                        Все пробовали, в том числе — зарабатывать деньги на Upwork (тогда еще Odesk) настройкой почтовых серверов под ключ. И dnsbl любого вида и свойства применять в качестве критерия, и наоборот — бодаться с ними, чтоб нас из списка вынесли — все было.

                                        Пофиг: публичный email-адрес тащит спам, хоть ты тресни. Закручиваешь гайки — начинает пропадать почта. Но не спам! Гугл по-любому имеет куда больше ресурсов.
                                          0
                                          Мой вопрос был, вообще-то, наводящим и чуть ли не риторическим, потому и был задан. Проверка PTR отправителя отсекает 99% спама, а DNSBL, как уже неоднократно говорилось — зло, и к проверке PTR не имеет никакого отношения.
                                    0

                                    для меня самое интересное, как на таком почтовом сервере организован поиск в почте, если перетащить туда архив за последние двадцать лет.

                                      0
                                      Поиск? Средствами IMAP и почтового клиента.
                                        +1

                                        очень тормозно будет

                                          +1
                                          Не исключено. Альтернатива — писать свою веб-морду и индексатор почты для быстрого поиска.

                                          С другой стороны — а часто ли надо искать что-то, перерывая весь ящик за двадцать лет?
                                            0

                                            если-б я заранее знал что и когда я буду искать…


                                            Вот в gmail с поиском всё очень хорошо

                                            0
                                            Зато классически и ностальгически :-)
                                              +1
                                              dovecot FTS посмотрите.
                                            +2
                                            mu. Один раз скармливаете все письма, он их проиндексирует минут за 10, и всё. В дальнейшем, поиск по его базе происходит моментально. Правда, не знаю, на сколько mu можно прикрутить к этому веб-лицу, но тут уж дело техники.
                                              0

                                              ну что, круто. Сначала заливаем архив писем из нескольких ГБ на новый облачный сервер, а потом загружаем его-же на локального клиента по IMAP и индексируем. А потом со смартфона ходим на него по SSH, я правильно понял логику?

                                                0

                                                Гигабайт? Шутите? У меня уже почта за десятки гигабайт перевалила… Может даже сотни. Наверное, не все там нужно, но Гугль приучил не чистить

                                                  0

                                                  у меня gmail 16Гб, пришлось брать подписку.

                                                    0
                                                    А я недавно подобрался к своему лимиту в 19 GB на Gmail, пришлось основательно почистить. Хорошо что там рассылки можно удалять в два клика.
                                                      0

                                                      Можно грохнуть 90% этого простым поиском самых больших писем и убедившись, что там лежит давно ненужный хлам с гигантскими аттачами и нюкнув его.

                                                      0
                                                      Во-первых, я так понял, что автор хранит письма на домашнем сервере, ради чего и затеял всё описанное. Если он будет хранить их в формате maildir, то может прямо там и индексировать. Останется только mu-шный поиск прикрутить к веб-интерфейсу.
                                                      Во-вторых, не надо мне претензии предъявлять. Лично мне проще потерпеть рекламу, чем такой огород городить.
                                                        0

                                                        на самом деле надо найти и сконфигурировать нормальную поисковую систему с веб мордой. Но автор до этого не дошёл.

                                                          0
                                                          Да но автор, очевидно, не любитель лёгких путей
                                                            0
                                                            на самом деле надо найти и сконфигурировать нормальную поисковую систему с веб мордой. Но автор до этого не дошёл.

                                                            elasticsearch и эта система будет кушать больше, чем почтовик со всеми плагинами? Нет, спасибо :-)

                                                              –1
                                                              Интересно, если идет речь про поиск, то все вспоминают эластик, а про сфинкс не говорят…
                                                                0
                                                                А зачем нужен эластик если есть (1) сфинкс (2) полнотекстовый поиск в бд (особенно, если письма и так уже лежат в базе данных)?
                                                                  0
                                                                  полнотекстовый поиск в бд

                                                                  от размера базы зависит )


                                                                  сфинкс

                                                                  ну, или solr, или любое другое решение на Lucene? :-)

                                                                    0
                                                                    от размера базы зависит )

                                                                    С ростом объёма проседать будут все )

                                                                    ну, или solr, или любое другое решение на Lucene? :-)

                                                                    Сфинкс от них очень сильно отличается в плане скорости и потребления памяти. Потому и удивляюсь, кому в 2021 нужны эластики.
                                                              0

                                                              кстати, a письма на русском mu нормально индексирует?

                                                                +1
                                                                использую только на работе, так что письма на русском не пробовал. Но, на основании опыта с другими популярными инструментами с отрытым кодом, предположу, что проблем быть не должно. А если вдруг, то проект на гитхабе
                                                          0
                                                          У меня архив примерно за 8 лет — всё отлично ищется (1-2 секунды на поиск по всем папкам), но я использую Roundcube.
                                                            0
                                                            apache solr + apache tika + ocr tesseract
                                                            у dovecot-а есть как нативнй плагин для поиска и индексации так и плагин fts-solr для связки выше.
                                                            +5
                                                            А из каких соображений вы vps-ку саму не стали делать почтовым сервером? По модулю того, что бэкапитесь вы всяк туда, получается что вся развлекуха с резервными каналами и ибп-шником только для того, чтобы почта в реальном времени долетала именно до домашнего компа, правда? Надежность решения от такого перехода ухудшилась (вы добавили точек отказа, хоть и зарезервировали их), задержка — ухудшилась (для почты это не важно, согласен), стоимость — увеличилась.
                                                              –5
                                                              К VPS нет физического доступа, чтобы хранить там инфу в незашифрованном виде. Шифровать диск VPS, а ключ вводить через консоль VPS провайдера? Бэкапы же шифруются, поэтому могут полежать и на VPS.
                                                                +7

                                                                Более разумно было бы поставить на VPS проксирующий SMTP server. Он же SMTP relay. Он же secondary smtp. Тогда эта система будет более устойчива к отказу чего-либо ниже VPS сервера (входящая почта будет некоторое время лежать на SMTP), а при устранении неисправности, будет доставлена на основной сервер.


                                                                Кроме того, есть большая разница между почтой от условного гугла и VPS пусть даже от того же самого условного гугла. Если для почты вы ресурс — вам впаривают рекламу, соответственно вся ваша почта по умолчанию парсится, то для VPS вы клиет, так как сами платите за VPS. И в VPS конечно кто-то может влезть, но для более-менее нормальных хостеров этот риск минимален. (Тут дальше было много рассуждений об устойчивости хостинга к атакам и неуловимых Джо, но это все и так знают)

                                                                  +1
                                                                  Отличная мысль, спасибо, попробую…
                                                                    0
                                                                    Проксирующий SMTP вещь такая… её надо уметь готовить и понимать как она работает. Или прокси будет принимать все сообщения вместе со спамом, так как не знает, какие из почтовых ящиков валидны на конечном сервере, и будет пухнуть очередь из-за недоставки спама съедая место на диске, или надо как-то хранить на прокси список адресов для которых мы проксируем, а иначе сразу отбиваем. Возникает проблема синхронизации таких списков.
                                                                +12
                                                                Бороться с рекламой можно проще — поставить например себе почтовый клиент на ПК.
                                                                Как там на мобильных с почтовыми клиентами — без понятия.
                                                                ПС: лет 10 уже на thunderbird, без разницы как выглядят почтовые сайты.
                                                                  0
                                                                  Речь не только про борьбу с рекламой, это лишь вишенка на торте. Речь о том, что ваши данные в почте могут быть предметом обработки.
                                                                    0
                                                                    Если я в жизни не захожу на почту, то и рекламу по данным с почты я не увижу. А какая ещё обработка моей почты может быть опасна?
                                                                      +1
                                                                      Тогда желательно, чтобы и отправитель не пользовался бесплатными почтовиками.
                                                                        0
                                                                        Я пример вам приведу. Оформил вот я подписку на Spotify и пришел мне отбойник на бесплатную почту, которая у меня размещена в «Х». Обработала «Х» это письмо и давай мне впаривать свою музыкальную подписку с удвоенной силой.
                                                                          0
                                                                          У таких сервисов по требованиям к рассылка всегда должна быть форма отписки прямо в письме, иначе они сами попадут в спам.
                                                                            0
                                                                            У таких сервисов по требованиям к рассылка всегда должна быть форма отписки прямо в письме, иначе они сами попадут в спам.

                                                                            зачастую это не рассылки, а "персональные рекомендации".

                                                                              0

                                                                              Можно не пользоваться их вебмордой, и никаких "персональных рекомендаций" видно не будет.

                                                                            0
                                                                            Но, ведь «X» впаривает вам свою музыкальную подписку в каком-нибудь рекламном блоке на каком-нибудь сайте, который вы всё-равно не читаете, потому что он, как бы, заполнен рекламой. Или они к вам домой приходят?
                                                                            А с другой стороны, вдруг они увидят, что вы уходите к конкурентам и сделают вам выгодное предложение.
                                                                          +1

                                                                          Тут все гораздо хуже. Да, Вы не храните свое письмо ни полученнноениотправленное. Но Ваш адресат адресат сохранит его на том же ресурсе.в 90% случаев это тот же google. Хотя сама по себе статья очень полезная недавно поднимал себе сервер на хостинге один из бесплатного ных с веб интерфейсом. Поначалу все было ванильного. Потом оказалось что сервер забилогами аж 30Гб диска забрав таким образом весь диск. После чистки диска что то там в данных разрушилось и он не стартовал. Если бы знал Ваш стек может быть поднял его и все было бы нормально

                                                                        +7
                                                                        Как решается проблема со спамом?
                                                                          0
                                                                          Rspamd — отличный спам-фильтр, бесплатен и открыт.
                                                                          +6

                                                                          А PTR где? Все отправленные письма в спаме будут без него !


                                                                          P.S.


                                                                          Ну и spamassasin, mta-sts да и tlsa dane неплохо-бы прикрутить ...

                                                                            –1
                                                                            К моему удивлению — нет. Проверил на Я, G, MS и еще нескольких менее распространенных.
                                                                              +2
                                                                              Блокируют не моментально.
                                                                              Во вторых есть вероятность, что там уже есть какая-либо ptr запись.
                                                                                0
                                                                                Я не отрицаю правильности с PTR, но сперва посмотрю что будет дальше.
                                                                                  0
                                                                                  там уже есть какая-либо ptr запись.

                                                                                  Плюс у некоторых хостеров она еще и совпадает с хостнеймом арендуемого сервера/vds — звезды сложились.
                                                                                    0
                                                                                    Ну вообще чёрт его знает как это проверяют именно сейчас. Учитывая, что можно имея много доменов с каждым из них работать только с одной ptr записью с одного почтового сервера.
                                                                                      +1
                                                                                      Сейчас обычно проверяют, чтобы IP ресолвился в домен, а этот домен — обратно в тот же IP. Еще домен на третьем уровне и ниже не должен содержать «нехороших» слов типа «adsl», «client» и т. п. Т. е. «server555.firma.com» — хороший, а «adsl-192-168-1-999.provider.com» — плохой.
                                                                                        0
                                                                                        По идее да. Ну так получается, что используя много доменов у вас ip резолвится в другой домен, который есть на этом же сервере. Но… я кажется перепутал порядок проверки).
                                                                                          +1
                                                                                          Не. Обратная запись для IP — одна. Проверяем ресолвинг IP в хостнэйм. Не ресолвится — отклоняем письмо. Если ресолвится — проверяем ресолвинг полученного хостнэйма обратно в IP, который сконнектился с нашим 25-ым портом. Если получили тот же IP — можно принимать письмо, не получили — отключаем нафиг.

                                                                                          Доменов на одном IP может быть сколько угодно, но проверяется тот, который записан как обратный.

                                                                                          Еще бывает, что дополнительно проверяется домен в команде HELO. Если он не совпадает с обраткой — тоже отключаем такого «сендера».
                                                                                            0
                                                                                            Еще бывает, что дополнительно проверяется домен в команде HELO

                                                                                            Обычно $sender_helo_name (в нотации exim) проверяется в самом начале сессии (типичный пример), а уже потом танцуем остальные дела.
                                                                              +3
                                                                              И через час улетаем в бан на почтовиках (куда уже отсылали что-либо) из-за отсутствия ptr записи.
                                                                                –1
                                                                                Две с половиной недели, полет нормальный.
                                                                                  +1
                                                                                  У вы точно уверены, что у вас точно нет хоть «какой-либо» ptr записи? Это вообще очень странно. Только недавно нам провайдер «задержал» вывешивание ptr записи на пару часов, после миграции почты (много доменов, много пользователей, много писем в час) — почти моментально были везде забанены, пришлось выгонять из блэклистов пол дня.

                                                                                  Ну говоря о фриковости я где-то лет ~13 назад, поднимал локальный почтовик используя dyndns и динамический выделенный адрес используя лишь A запись. Что очень странно (ведя совсем не активную переписку) в спам начал попадать спустя где-то пол года и вроде даже не был нигде забанен.
                                                                                    0
                                                                                    Проверю, отпишусь чуть позже.
                                                                                      0
                                                                                      Проверил, prt нет. mail-tester.com дал 7.7 баллов из 10. 1.2 балла снял за отсутствие ptr и еще 1.1 балла за то что мое письмо называлось test и в теле содержало одно слово test — типа так нормальные люди письма не пишут.
                                                                                        +2

                                                                                        по отсутствию ptr отбивают почту только самые отмороженные админы. чаще проблема бывает из-за того, что ip адрес находится в зоне end-user адресов и влетает в pbl например у spamhausa. после этого начинаются пооблемы с доставкой почты. для исключения адреса из этого списка, как правило, требуется заполнить форму у вендора блэк-листа.

                                                                                          0
                                                                                          По отсутствию (именно отсутствию, а не тому, что MX и PTR выдают разные имена) PTR-а отбивают нормальные админы, т.к. наличие PTR прописано в стандарте. А вот по спамхаусу отбивку(а не автоматическое перемещение в папку спам) с каким-нибудь 451 делают уже отмороженные админы.
                                                                                            0

                                                                                            в стандарте и проверка обратным вызовом отправителя прописана. только кто ее пользует… по helo/ehlo кривому можно и нужно отбивать. по ptr — хороший способ получить вопрос "где наша почта? мы вам ее 100500 раз слали...". особенно от каких-нибудь мунгосов.

                                                                                              +1
                                                                                              Господи, ну стандарт же. Что мешает его исполнять? Вы же не вешаете почтовик на адрес веб-сервера почему-то, хотя и можете, да?
                                                                                                0

                                                                                                А это как ПДД… есть правила, но ездят по дорогам. "Ну правила же. Что мешает их исполнять?" )))

                                                                                                  +1
                                                                                                  Я по поводу вашего
                                                                                                  по отсутствию ptr отбивают почту только самые отмороженные админы

                                                                                                  , если вы не поняли.
                                                                                                  Называть админа отмороженным оттого, что он размышляет здраво пи нее навешивает на почтовый сервер тонну антиспама вместо одного действующего правила — ну, по меньшей мере странно.
                                                                                    0
                                                                                    а protonmail разве не разбанили?
                                                                                      0
                                                                                      Нет, не разбанили, но есть же способы туда попасть. Просто это уже за рамками статьи и я не призываю каждого иностранный VPS регить на протон. Я просто говорю, что это вариант.
                                                                                        0
                                                                                        Способы проще, чем обойти NAT провайдера (иногда не один).
                                                                                          +1
                                                                                          Проблема не в том, чтобы туда попасть вам.

                                                                                          Проблема в том, что приём почты с ProtonMail и ему подобных заблокирован у крупнейших российских провайдеров эл. почты. Т.е. в какой-то момент вы обнаружите, что ваше письмо не дошло адресату, у которого почтовый ящик на условном Mail.ru, потому что почтовый сервер условного Mail.ru не принимает письма с ProtonMail.
                                                                                        +3
                                                                                        Так что если вы неугомонный параноик, то вам давно пора отказаться от «бесплатной» почты.

                                                                                        Только тогда надо отказаться от общения со всеми контрагентами на бесплатных почтах… потому что очевидно, что они собирают информацию не только о своих пользователях, но и о контактах своих пользователей…


                                                                                        Однако, с двумя провайдерами у вас будет два разных серых IP адреса, а почтовому серверу нужно нормальное доменное имя и по хорошему белый IP. Выход из ситуации у меня такой: арендуется виртуальный сервер (VPS) за границей, на нем настраивается VPN-сервер, а на почтовом сервере настраивается туннель до VPS. Кроме того, туннель можно поднять прямо с домашнего роутера (если он умеет) и таким образом ликвидируется сразу два зайца: мы получаем статический белый IP не зависящий от локальных провайдеров, а после тюнинга маршрутизации на роутере ‒ централизованный обход блокировок Роскомпозора для всех устройств домашней сети. Схема получается примерно такая:

                                                                                        Сразу вопрос — почему не почтовый сервер там, на vps? К тому же, многие vps бывают с заблокированным 25-и портом или часто попадают в «чёрные» списки спамхауса и прочих. Я уж не говорю, что для резервирования нужно минимум две впски. Ну, и ничего под Луной надежнее своей asки нет

                                                                                            0
                                                                                            Можно попытаться заставить использовать свои контакты pgp. Сложнореализуемо, но можно.
                                                                                              +1
                                                                                              Я пытался, через S/MIME. Это не реально. Вообще. От слова совсем.
                                                                                              Проблема первая — Нет единого УЦ. Сгенерили вы сертификат, шифранули отправили и… на той стороне должны его установить. А там админы, безопасники которые хренас два будут импортировать всякое не доверенное. Тем более от туевой кучи народа и фирм контр-агентов. Т.е. на уровне «Васян, я тут серт сгенерил, воткни себе.» — все ок. На уровне предприятий не работает, т.к. какой-ндь «глав.строй.мега.инвест.компани» пошлет вас в даль.
                                                                                              Вторая проблема — не работает через web-морды. А на некоторых предприятиях все через веб-морду.
                                                                                              Третья — IDS\IPS и прочие DPI, которые используют компании.
                                                                                              Четвертая — люди. Вы то свою почту будете шифровать, а вот в ответы вам будут прилетать в нешифрованном plain-text
                                                                                                0
                                                                                                Ну это ассиметричное шифрование через УЦ. Это будет явно сложнее, чем просто pgp для бюрократии. В pgp открытые ключи можно в публичный доступ вывесить и шифровать на конечных устройствах, плюс в этом, что отправляющяя сторона не может видеть содержания отправленных писем и содержание не будет обрабатываться. Но с другой стороны я прекрасно понимаю какими ошеломленными глазами на тебя будет смотреть бухгалтер Зинаида Сигизмундовна о просьбе зашифровать письмо, пользоваться нативным почтовым клиентом и pgp.
                                                                                                Я думаю в этом плане обработки писем не избежать (причем и inbox и outbox), кроме как между доверенными почтовыми серверами и сам этот кейс не особо решается.
                                                                                                  +1
                                                                                                  Тут проблемы по большому счету две.
                                                                                                  1. Внедрение ПО. S/MIME поддерживается большой тройкой почтовых клиентов (Outlook, The Bat, Thunderbird) из коробки. Т.е. в отличии от PGP не надо ставить плагины, но надо импортировать чужие сертификаты. Был бы единый все-российский\международный УЦ соответственно, работало бы полностью из коробки.
                                                                                                  2. Заставить пользователе использовать фичу. Тут за pgp не скажу(не использовал), а вот с S/MIME все просто в почтовике выставляешь «всегда шифровать\подписывать». И все. Оно по дефолту начинает шифровать и подписывать всю исходящую корреспонденцию. Причем в интерфейсе ничего не меняется. Т.е. конечный пользователь может вообще не знать шифруется\не шифруются письма.
                                                                                                    0
                                                                                                    Простите, а чем вам не подходят существующие международные сертификационные центры вроде Sectigo?
                                                                                                      0
                                                                                                      Тем, что использование другого международного сертификационного центра показало — у ряда контрагентов все равно были проблемы. Конкретно в одной гос. компании и с оутлуком. Естественно, техническими подробностями с той стороны никто не делился, просто попросили переслать письмо по нормальному и не выделываться. Вангую, что там мог быть запрещен внешний траффик. Могли использовать старые версии ОС (Win7).
                                                                                                      Бонусом The Bat любит по дефолту использовать свой, а не ОСный список УЦ.
                                                                                                        +1
                                                                                                        Не совсем представляю последовательность действий. Для того, чтобы на той стороне возникли проблемы с прочтением, они сначала должны послать вам свой сертификат в подписанном сообщении (а для этого его получить и себе установить), только в этом случае вы сможете послать им зашифрованное сообщение. Если на той стороне никогда не слышали об S/MIME, то максимум, что вы можете, это послать им подписанное сообщение со своим сертификатом. Даже если у них все удостоверяющие центры выброшены, ну будет сверху надпись, что сигнатуру проверить не удалось.

                                                                                                        Другое дело, что порог вхождения в S/MIME, а, тем более, в PGP практически непреодолим для 99.999% контрагентов, но как раз подписанное S/MIME сообщение будет иметь маленький, едва заметный значёк проверенности практически у всех, проблем такое сообщение вызвать не должно, но и польза от этого значка чисто номинальная, если пользователь не понимает, что он означает.
                                                                                                          0

                                                                                                          PGP да, а s/mime ОСОБОЙ сложности не должно вызывать:


                                                                                                          Сертификат у Sectigo покупается как и обычные сертификаты на домен.
                                                                                                          У Микрософта куча туториалов с картинками как в их почту s/mime прикручивать. В thunderbird тоже не бином Ньютона.

                                                                                            +1

                                                                                            Установил почти такой же аппарат дома, подтверждаю низкое потребление и вполне тихую работу (но совсем бесшумным не назовеш)
                                                                                            Работает почта, с десяток сайтов, все на proxmox-e и haproxy раскидывает траффик по ВМ в зависимости от домена.
                                                                                            Если кому нужен будет конфиг Haproxy для работы сайтов через SSL (они кстати генерятся каждый на своей ВМ и а не точке входа где крутится haproxy) скажите в личку или сюда.
                                                                                            PS письма кстати прекрасно уходят и приходят (крутится форум и на нем ощутимый поток писем каждый день)

                                                                                              0
                                                                                              Давайте. Как раз недавно искал генерацию ssl на конечной точке, а не на прокси.
                                                                                                0

                                                                                                отправил в личку

                                                                                                0

                                                                                                Давно интересна тема обратного прокси, поделитесь вашим конфигом Haproxy! Возможно посоветуете статьи по данному по.

                                                                                              0
                                                                                              Я уже где-то лет 10 на собственном почтовом сервере, но ещё прикручена спамоловка, rspamd.

                                                                                              Мейл засвечен в портах, которые я мейнтейню, никаких проблем и гораздо быстрее spamasassin.

                                                                                              И, как я помню, пришлось выводить ip провайдера из 2 BL (сделали по письмам) и просить прописать PTR. С тех пор никаких проблем не возникало, письма доходят.
                                                                                                +4

                                                                                                Если есть сомнения как ходит почта и насколько корректно настроен сервер есть замечательный ресурс
                                                                                                mail-tester.com
                                                                                                в консоли сервера пишем команду


                                                                                                echo "Test text" | mail -s "Test title" test-1vba2vrno@srv1.mail-tester.com

                                                                                                где test-1vba2vrno@srv1.mail-tester.com вам выдаст тот сайт (он генерится автоматом и уникален), после нескольких секунд жмете кнопочку Проверить результат и получаете условные баллы и рекомендации. Я получил 8.9 баллов, до 10 нужно PTR запись но она у меня к сожалению кривая (такую выдает mgts gpon)

                                                                                                  +4
                                                                                                  Держу собственный почтовый сервер уже больше 15 лет. Почту принимаю на VPS в Финляндии, для отправки использую Sendmail на десктопе. Обратная зона IPv4 через провайдера, в шестом интернете через туннель he.net и там ptr прописана для моего домена правильно. Таким образом ptr получаются разные. Мail-tester.com проводит проверку по IPv4 и, соответственно, видит неправильную ptr-запись. За это он мне снижает оценку. Остальное DMARC, DKIM, SPF в порядке. Но на моё счастье все крупные почтовые провайдеры работают в шестом интернете и там я не имею проблемы с обратной зоной.
                                                                                                  –2

                                                                                                  Статья неплохая, но малость неактуальна. За 5 евро можно gsuite на одного пользователя сделать вместо того чтобы делать диванный сервер и брать на себя головную боль его обслуживания. Вот если 5 евро нет — это уже другой вопрос...

                                                                                                    0

                                                                                                    вопрос не денег, а приватности…
                                                                                                    Если б гмыло можно было изнасиловать, чтоб удобно шифровать тела писем....

                                                                                                      +1

                                                                                                      По-моему любой клиент умеет в pgp. Если нет — зачем вы используете этот клиент? :)
                                                                                                      На тему шифрования gmail: тут же, на хабре статья.

                                                                                                        0

                                                                                                        Это из области фантастики. Гугель никогда не зарежет курицу непрерывно несущую золотые яйца.

                                                                                                        +1
                                                                                                        Плюсую GSuite — собственно я так и делаю, свой домен, а почта от gmail. При желании можно перейти к другому провайдеру — многие хостинг провайдеры предоставляют email хостинг для домена.

                                                                                                        В отличии от бесплатного gmail-а, в gsuite нет рекламы, да и политика конфиденциальности, насколько я понимаю — отличается от таковой для бесплатной gmail — тут google не лезет своим носом в письма (т.к. gsuite рассчитан на корпоративных пользователей, которым не очень то хочется что бы эту корп. почту анализировали, хотя я на 100% утверждать тут не буду). Конечно для параноиков это не гарантия, но как по мне — без использования PGP, email в принципе не может быть приватным, а PGP сейчас почти никто не использует, а с PGP — так и любой бесплатный хостинг будет приватным.

                                                                                                        Главный минус личного почтового сервера — гарантия доставки почты, точнее ее отсутствие. Вот случиться какой факап у «соседа по IP-шнику», начнет спамить со своего сервера, google/outlook/прочие — вполне могут добавить всю подсеть в spamlist, и потом еще пару месяцев никакая почта исходящая не будет доходить до адресатов на этих сервисах.

                                                                                                        Плюс головная боль с тем, что бы держать все дыры закрытыми, и максимально быстро их закрывать, а иначе сам можешь стать источником рассылки спама, и см. выше.

                                                                                                        Ну и опять-же про спам — входящий спам гугл куда лучше фильтрует (как по количеству false positives, так и по количеству false negatives), чем любые самодельные решения опять-же.
                                                                                                          +2
                                                                                                          У gmail есть одна вредная вещь, это лимит на число входящих писем.

                                                                                                          Представьте себе, на ящик подключена уведомлялка какого-то мониторинга (локальный zabbix или какой нибудь онлайн-сервис, не важно, допустим вы просто мониторите доступность 100500 хостов). Приходит дядя экскаваторщик и делает больно провайдеру, выдергивая очередной пучок волокна из земли. STP, OSPF, BGP — где-то что-то не сошлось и ваши 100500 хостов ушли в оффлан, следом на ваш ящик на gmail радостно летят 100500 алертов «Наташа, мы все уронили».

                                                                                                          Что делает гугл? Я не помню точно, он дает отлуп или молча шлет в /dev/null… ну в общем, у вас нет больше входящих писем, никаких и на целые сутки.

                                                                                                          Ну или например, завалить конкурента. 60 входящих в минуту и нет у конкурента почтового ящика. Вот такая вот оптимистическая перспектива у gmail.
                                                                                                            0

                                                                                                            Если честно, впервые слышу, откуда инфа?

                                                                                                              0
                                                                                                              впервые слышу, откуда инфа?

                                                                                                              Сам напарывался на эти грабли.
                                                                                                              +1

                                                                                                              Все просто — Алерты не должны лететь в почту. Телега-слак ещё куда ни шло. А ещё лучше — специально ответственный человек, который смотрит в дашборд и палит ситуацию, если данные перестали поступать )))

                                                                                                                0
                                                                                                                Алерты не должны лететь в почту

                                                                                                                Не везде это доступно, да и в те славные времена не было телег и т.д, а на телефоне можно более-менее вменяемо таскать почту, аську… Ну пожалуй и все. С алертов была почта, sms или звонки.
                                                                                                                Вот, времена ушли, а лимиты остались.
                                                                                                                  0
                                                                                                                  Во времена аськи был а ходу и джаббер, в который отлично всё это слалось )
                                                                                                                    0
                                                                                                                    и джаббер

                                                                                                                    И джаббер. Но не везде это было доступно, по техническим причинам. И в любом случае поведение гугла на поток входящих писем не изменилось.
                                                                                                                  +1
                                                                                                                  Все просто — Алерты не должны лететь в почту.


                                                                                                                  Почему вдруг? Почта — отличный децентрализованный транспорт. В отличие от.
                                                                                                                    0

                                                                                                                    Гарантии доставки за определенное время (их нет)
                                                                                                                    Условный сервис https://amixr.io/ наверняка даст что-то

                                                                                                                      0

                                                                                                                      Условная телега тоже не даёт гарантированного времени доставки. Сколько раз, за прошлый год, телега лежала часами?

                                                                                                                    0

                                                                                                                    У почты есть одно неоспоримое преимущество. Она есть везде. Даже на каком-нить кнопочном телефоне. И, если она своя, то ещё и гарантированная доставка. А отправлять алерты на почту условного гугля, это такое себе.

                                                                                                                      0
                                                                                                                      И, если она своя, то ещё и гарантированная доставка

                                                                                                                      к сожалению, нет

                                                                                                                        0

                                                                                                                        Тоже самое можно про что угодно сказать. Про тот-же слак.

                                                                                                                        0
                                                                                                                        И, если она своя, то ещё и гарантированная доставка.

                                                                                                                        С чего это вдруг? Вы никогда не попадали в черные списки?

                                                                                                                          0

                                                                                                                          В чёрные списки собственного сервера? Нет, как-то не доводилось.

                                                                                                                            0
                                                                                                                            Вы доставку от отправки отличаете? ))
                                                                                                                              +1

                                                                                                                              Что не так с доставкой на собственной инфраструктуре, тем более в пределах своего почтового домена?

                                                                                                                                0
                                                                                                                                Если вы в пределах собственного сервера, хотя странно говорить о гарантированной доставке в таком контексте, ну да ладно, то пожалуйста — стала БД/забилось место/отвалился демон/закончились inodes/умер сервер и еще 100500 разных причин — и ваша доставка остановится.

                                                                                                                                Я 10 лет админил почтовые сервера на 1000+ ящиков, так что знаю о чем говорю. И да, после перехода на gmail стал спать спокойно, а после ухода в devops еще спокойней так как почты больше не касаюсь ))
                                                                                                                                  +1
                                                                                                                                  стала БД/забилось место/отвалился демон/закончились inodes/умер сервер и еще 100500 разных причин

                                                                                                                                  … которые прекрасно мониторятся и алертятся, задолго до того как произойдут… И да, не зря-ж у подавляющего большинства почтовых доменов серверов отвечающих за приём и отправку почты минимум два.


                                                                                                                                  И да, после перехода на gmail стал спать спокойно,

                                                                                                                                  И тут мы снова возвращаемся к началу треда и ограничениям gmail.

                                                                                                                                    0
                                                                                                                                    И да, не зря-ж у подавляющего большинства почтовых доменов серверов отвечающих за приём и отправку почты минимум два.
                                                                                                                                    у домашних серверов, вы ведь о них говорили? Что то я сомневаюсь :)

                                                                                                                                    … которые прекрасно мониторятся и алертятся, задолго до того как произойдут…
                                                                                                                                    выход из строя БП/CPU/RAM вы тоже у себя мониторите дома и можете задолго до выхода предсказать их?

                                                                                                                                    И тут мы снова возвращаемся к началу треда и ограничениям gmail.
                                                                                                                                    вы серьезно? что это за домашний сервер, который упирается в такие лимиты?
                                                                                                                                      0
                                                                                                                                      у домашних серверов, вы ведь о них говорили? Что то я сомневаюсь :)

                                                                                                                                      Вам жалко денег на пару малинок + парочку ssd? Единственным слабым местом остаётся только канал во внешний мир, но его вполне можно резервировать.


                                                                                                                                      выход из строя БП/CPU/RAM вы тоже у себя мониторите дома и можете задолго до выхода предсказать их?

                                                                                                                                      Регулярное ТО, хотя-бы раз в год, очень способствует подлению жизни железа, вне зависимости от «домашнести» серверов. Мне сложно представить, что нужно сделать, что-бы умер CPU. Разве что только если БП умрёт со спецэффектами, утащив за собой всё остальное, но для этого и существует ТО, в том числе. Ибо перегрев компонентов / вздутие кондёров и вот это вот всё одномоментно не поисходят и этот длительный процесс обязательно вскроется во время очередного техобслуживания.


                                                                                                                                      вы серьезно? что это за домашний сервер, который упирается в такие лимиты?

                                                                                                                                      gmail, на котором у вас почта, упирается. Домашний сервер нет. Не передёргивайте.

                                                                                                                                        0

                                                                                                                                        Ну начались додумки/догадки и предположения. Спасибо, но нет, спасибо. Я это уже прошел в свое время

                                                                                                                                          +1
                                                                                                                                          Очаровательно наблюдать человека, который годами вот это вот всё наблюдал и десятками тысяч и рассказывает всем вокруг, как у них всё не работает.
                                                                                                                                          А уних работает, а они недоумённо смотрят на него, пытаются сказать, что вот жеж, а потом расходятся, потому что человек-то и слушать не слушает, а только говорит.
                                                                                                                                            0
                                                                                                                                            А уних работает, а они недоумённо смотрят на него, пытаются сказать, что вот жеж, а потом расходятся, потому что человек-то и слушать не слушает, а только говорит.
                                                                                                                                            у меня тоже все работало, когда я этим занимался, но мне доказывают — что не работает и что вот обязательно надо свой домашний, теплый и ламповый, почтовый сервер.

                                                                                                                                            Тут вон человек отказ памяти/сpu/бп предсказывает и мониторит, а вы тут…
                                                                                                                                              0
                                                                                                                                              Вам никто ничего не доказывает, боже мой. Вам говорят, что дома сервер может работать. Всё.
                                                                                                                                                0
                                                                                                                                                А где я утверждал что не может? Не додумывайте и проблем не будет ;)
                                                                                                                                                  +1
                                                                                                                                                  Я тоже, пожалуй, покину этот диалог.
                                                                                                                      0
                                                                                                                      После превышения лимита ограничение на прием новых писем обычно действует в течение 24 часов.
                                                                                                                      Действительно. При этом лимиты числа входящих писем нельзя увеличить. Какая прелесть.
                                                                                                                      В минуту 60
                                                                                                                      В час 3600
                                                                                                                      В день 86 400
                                                                                                                      Ну почему нельзя было сделать блокировку хотя-бы адекватной превышенному лимиту? Ну превысили минутный лимит-ну и блокируйте на минуту, а не на сутки сразу.
                                                                                                                        +1
                                                                                                                        А что zabbix такой тупой не умный, что не может фильтровать сообщения? Я помню в nagios была фича, и ты указывал — если этот хост down, то и все зависящие от него тоже в down. И естетсвенно, что тебе приходил 1 алерт вместо 100500

                                                                                                                        Ну и да, как уже ниже сказали — gmail, а я считаю что и вся почта в целом — не лучший выбор для critical bussines нотификаций
                                                                                                                          0
                                                                                                                          не может фильтровать сообщения

                                                                                                                          Может. Я условно привел, просто как пример, когда вполне легально во входящие может упасть более 60 писем в минуту. Ниже есть и реальный кейс.

                                                                                                                          не лучший выбор для critical bussines нотификаций

                                                                                                                          Представляете, какой простор для проведения ddos-атаки на ящик@gmail?
                                                                                                                            0
                                                                                                                            Представляете, какой простор для проведения ddos-атаки на ящик@gmail?

                                                                                                                            А вы уверены, что домашний "колхоз" выдержит настоящую ддос атаку?

                                                                                                                              +1
                                                                                                                              А вы уверены, что домашний «колхоз» выдержит настоящую ддос атаку?

                                                                                                                              Нет. Но я могу быть уверен, что не буду ожидать 24 часа, если мне по какой либо причине прилетело 61 письмо за минуту (даже если это просто разовая ситуация). Вопрос касается конкретно gmail.
                                                                                                                                0
                                                                                                                                Нет. Но я могу быть уверен, что не буду ожидать 24 часа

                                                                                                                                Все верно. Вы просто будете ждать когда закончится ddos )))


                                                                                                                                P.S.
                                                                                                                                За 10 лет использования gmail/gsuite я не сталкивался с этими лимитами

                                                                                                                                  +1
                                                                                                                                  Вы просто будете ждать когда закончится ddos )))

                                                                                                                                  При наличии на руках MX-записи? Сомневаюсь, если честно.

                                                                                                                                  За 10 лет использования gmail/gsuite я не сталкивался с этими лимитами

                                                                                                                                  Но они есть.
                                                                                                                                    0
                                                                                                                                    При наличии на руках MX-записи?

                                                                                                                                    А что сделать то можно? Только перенаправить на тот же публичный сервис.
                                                                                                                                      0
                                                                                                                                      Будет как в той поговорке — «поздно пить боржоми...»
                                                                                                                      0

                                                                                                                      А если пользователей 1к, а если 10к?

                                                                                                                      +5
                                                                                                                      В статье про свой почтовый сервер половина (а то и больше) про VPN, ssh, backup. Proton, регить домен без паспорта. Зачем вам дома тогда почта? Ну и оставьте все анонимно на дедике каком-нить. Все равно ваша почта будет висеть у ваших корреспондентов, если это переписка, в аутлуке :) А если вам налоговые декларации принимать на gmail опасно, вам почту не дома надо держать — там ее свистнуть можно воришке простому. И без всяких VPN можно на VPS поднять postfix relay. Или просто всю канитель почтовую. А, вы через Тор не пропустили трафик — попандос. Так и палятся.
                                                                                                                        0
                                                                                                                        А, вы через Тор не пропустили трафик — попандос. Так и палятся.
                                                                                                                        а еще на ssh не настроена 2х факторка, а это залет
                                                                                                                        +1
                                                                                                                        С rainloopwebmail не все просто.
                                                                                                                        Сам такой использую, но при вопросе знакомых, а где собственно почта то находится?
                                                                                                                        Стал ковырять php файлы rainloop а там все то, что отвечает за отправку и получения прямиком на стороне серверов rainloop

                                                                                                                          +5
                                                                                                                          Можно арендовать виртуальный сервер в интернете и настроить его как почтовый сервер, но без физического доступа ваши письма никогда не станут только вашими.


                                                                                                                          Откройте заголовки любого письма. Посмотрите, сколько там Received: (обычно не меньше 2).
                                                                                                                          Любой из этих серверов может сохранить копию вашего письма (и 146% созраняет логи) — это я вам как параноик параноику сообщаю.
                                                                                                                            +1

                                                                                                                            Для своей почты использую axigen mail — очень годный продукт, до 5 пользователей — бесплатная лицензия. Приятная веб-морда, все настройки с веба, удобная установка (по желанию можно сразу скачать образ для vmware), антиспам через SpamAssassin, антивирус через clamav. А птр запись пока ещё даёт возможность сделать дом.ру

                                                                                                                              0
                                                                                                                              Можно сэкономить массу усилий, если отказаться от веб-морды. На домашнем сервере больше десяти лет крутится дебиан с exim(SMTP)+dovecot(IMAP)+spamassassin(спам)+clamav(антивирус). Почту отправляю через smtp дешёвого хостинга. Принимаю напрямую. Сертификаты с letsencrypt.

                                                                                                                              Клиент на линуксе claws-mail (на виндосе вроде бы тоже работает), на андроиде — k9.

                                                                                                                              Веб-морда для почты это конечно прикольно, но это лишняя работа и лишние потенциальные дырки.
                                                                                                                                0
                                                                                                                                А зачем всё эти страдания? Когда есть mailcow.
                                                                                                                                  0

                                                                                                                                  О, у меня как раз mailcow стоит. Всем хорош, но по количеству контейнеров немного жирноват, да и докер уже потихоньку выселяют, а в подман mailcow не может. Но результатом я доволен

                                                                                                                                    –2
                                                                                                                                    про «подман» не понял.
                                                                                                                                      0
                                                                                                                                      про «подман» не понял

                                                                                                                                      Замена докера от красношапки, тут про Podman было много статей. Проблема в том, что нет аналога docker-compose, от которого очень сильно зависят внутренние скрипты, такие как обновление и бэкап


                                                                                                                                      про выселение Docker это конечно смешно…

                                                                                                                                      Понятно, что он еще долго будет жить, но редхат уже медленно от него уходит. У кубернетеса он депрекейтнут, в Fedora CoreOS в версии для хоста контейнеров докера нет, вместо него подман. Хотя для дома это не значит ровным счетом ничего, но есть подвижки и желание. Ладно, когда уже докер начнут активно хоронить, а не как сейчас, тогда и надо будет думать, а пока смысла особо нет

                                                                                                                                    –1
                                                                                                                                    про выселение Docker это конечно смешно…
                                                                                                                                      0

                                                                                                                                      У меня тоже почта в mailcow поднята, работает отлично. Виртуалка под почту, в ней докер, под которым mailcow живёт.


                                                                                                                                      А по поводу докера — вам шашечки или ехать? ;))
                                                                                                                                      Выселять до уровня Adobe Flash (когда он совсем перестанет работать) его будут ещё целую вечность, к этому моменту и mailcow сможет туда переехать.

                                                                                                                                    +1

                                                                                                                                    Странно, что никто не написал слово iredmail. https://www.iredmail.org/

                                                                                                                                      0

                                                                                                                                      Мне тут такое прислали… православненько:


                                                                                                                                      https://git.mbk-lab.ru/MBK-Lab/go-tegu

                                                                                                                                        0
                                                                                                                                        всегда любил такие поделки, да еще и с припиской гост и вот это все )
                                                                                                                                        жаль скринов нет (не нашел). поделитесь?
                                                                                                                                          0

                                                                                                                                          К сожалению, я не автор и мопед не мой. Если разверну у себя — обязательно поделюсь скринами..

                                                                                                                                      0
                                                                                                                                      Вариант хороший, но только для специалистов, так как довольно затратный в плане обслуживания — мало того что платить нужно почти за всё (провайдеры, впс, электричество), так и необходимо поддерживать работоспособность железа и обеспечивать обслуживание софта (обновления, исправления ошибок, безопасность, борьба со спамом и прочее). Более простой, но вполне надёжный вариант — купить домен и платный аккаунт на протоне, расходы: $8/год домен и $40/год протон, а там уже и шифрование и отсутствие рекламы.
                                                                                                                                        +1

                                                                                                                                        Только вот протон у нас забанен и письмо с каких-нибудь госуслуг вы туда не получите. И сами написать не сможете.

                                                                                                                                        0
                                                                                                                                        Я извиняюсь господа, не проще на gmail привязать почтовый домен как доп. ящик
                                                                                                                                        а сам сервер на mail, yandex и другом аналогичном?

                                                                                                                                        p.s. gmail даже доп. акк основным сделать позволяет
                                                                                                                                          0
                                                                                                                                          были вопросы выше на счет PTR. так он прописывается на vps-vpn в кабинете, где эту самую vps купили. тот же хецнер\дигиталокеан и прочие ребята без проблем это умеют. у вас же MX запись смотрит на ип vps, а не на ваших домо-провайдеров.

                                                                                                                                          но вот мои три копейки — слишком затратно (деньги\время\мониторинг) держать две машины, если только для почты.
                                                                                                                                          проще уж сразу на vps настраивать себе почту. и никакой свет, кот, провайдер и прочие вещи не сломают сложную связку по впн (пример с извещением из налоговой и пребыванием на Камчатке в тему)

                                                                                                                                          другой вопрос, если кроме почты хочется чего-то еще.
                                                                                                                                          у меня под столом почти такая конструкция, как у автора. только винтов больше и разных и вместо esxi стоит proxmox (дело вкуса). у меня на нем впн, почта, s3-minio (бекапы туда-сюда), мини-кластер из трех нод под k8s, zabbix и место (cpu\mem,nvme) для прочих игрищ.
                                                                                                                                          долгое время покупал разные виртуалки у провайдеров, потом посчитал и решил, что свой сервер давно бы уже окупился. так и вышло.
                                                                                                                                          а тут еще и провайдер подвел 500мб\с с белым статичным ипом за 900р — так вообще по красоте.
                                                                                                                                            +1
                                                                                                                                            Интересненько, я правда не понимаю всей это паранои по поводу хранения почты дома под рукой, при условии что они хранится еще и у получателей и ходит через VPS над которой у нас о боже нет контроля…

                                                                                                                                            2 года назад озоботился для себя VPN сервером, и как оказалось даже самой дешевой VPSки для этого с головой, вот и решил прикрутить туда почту, сначала был российский хостер, скромно умолчу об этих 2 месяцах своих экскриментов — работало плохо.

                                                                                                                                            Потом уехал на AWS — круто, бесплатный тариф красота, работало примерно полгода — а потом мне прострелили колено, в смысле закрыли 25 порт…
                                                                                                                                            После не долгой переписки с суппортом я оставил попытки убедить их в том что я не спумер а просто разместил объявление.
                                                                                                                                            Уехал на хетцнер — и моё почтение, работает как часики, единственная неприятность это флоатинг ip — его надо ручками к тачке крутить, но можно и без него, мне так почему то спокойнее…

                                                                                                                                            По стеку я на энтузиазме (никогда раньше не имел дело с почторями) пытался сам собрать и настроить все вот эти девкоты посиксы и спамассасины, но за не имением опыта у меня не очень получилось и решил я пойти в гуголь и узнать есть чо для ленивых… дествительно нашёл почти супер решение для меня — маилинзебокс — ставится одним скриптом — внутри и мордочка есть и антиспам и даже облако прикрутили некстклауд и место для своего сайтега оставили (любой элемент который ставится скриптом можно закоментить и не устанавливать). Но есть нюанс, просто отвратительно дружит с Let'sencrypt — что бы работало надо либо настраивать перекидку сертов в место хранения самого бокса либо переписать много конфингов (а после обновления еще раз переписать)… (а может я чего то и не знаю)

                                                                                                                                            По поводу PTR и прочего — мои письма, с учетом всех настроенных рекомендаций 9 баллов из 10 — последний бал снимают только за текст письма :D), гугл регулярно отправляет в спам, у йоты кстати тоже улетал в спам — но там я не очень, PTR не было и вообще только настроил…

                                                                                                                                            Жду в общем продолжения с опытом эксплуатации и подводные камни там все дела

                                                                                                                                            PS очень не нравится количество точек отказа в реализации автора, у меня тут сертификат чуть не протух уже головняк, а тут и канал и сам сервак и тот же серт — прям надежность меня пугает

                                                                                                                                            PSPS кстати тут вспомнил, у моей сборки есть тулза которая посматривает в спамлисты и ищет твой домен и ип и уведомляет если находит, по лету как то пришло письмо — мол так и так ваш ип в базе спама нада штота делить — я сходил по ссылке, действительно ип мой, что-то там клацнул моk я не я и корова не моя отпустите пожалуйста, и к вечеру эта же тулза прислала мне письмецо мол красавчик ип отпустили теперь мы снова белые и пушистые — одна из вещей, которые очень бы даже не помешали для собственной почты
                                                                                                                                              0
                                                                                                                                              на счет своей тулзы (чекалки по блеклистам) — своя — это конечно. хорошо.
                                                                                                                                              но лучше внешнюю юзать, типа вот этой, зарегался и забыл. а она тебе отчетики раз в месяц.
                                                                                                                                                0
                                                                                                                                                я правда не понимаю всей это паранои по поводу хранения почты дома под рукой, при условии что они хранится еще и у получателей и ходит через VPS над которой у нас о боже нет контроля…
                                                                                                                                                Большая часть почты это автоматические рассылки от разных сервисов. Они с большей вероятностью организованы через свои серверы либо через специальные сервисы-рассылки.

                                                                                                                                                А всю эту информацию тоже желательно не светить компаниям, зарабатывающим на рекламе.
                                                                                                                                                0
                                                                                                                                                Учитывая что письма вы пишете не сами себе, затея так себе.
                                                                                                                                                Взамен надежности почтовых серверов гугля или мэйлру, поимеете зато плюсом разнообразные сложности с недоверием от прочих почтовых серверов, попаданием в различные BL, увлекательной борьбой со спамерами и тд и тп.
                                                                                                                                                  0
                                                                                                                                                  Во-первых: habr.com/ru/post/539736/#comment_22610974
                                                                                                                                                  Во-вторых: я держу свой почтовый сервер больше 10 лет, и буквально пару раз что-то было такое. Но поставив Rspamd я спам вижу раз в полгода.
                                                                                                                                                    0
                                                                                                                                                    1. Не уловил к чему это. Честно.
                                                                                                                                                    Или вы имели ввиду что Большая часть ВАШЕЙ почты это автоматические рассылки от разных сервисов? Ну так у рядового пользователя это будет как-то иначе. Я лично не понял что вы описывали решение для своего круга задач.
                                                                                                                                                    2. Удивительно такое слышать. Но пусть будет так.
                                                                                                                                                  +3
                                                                                                                                                  Пользуюсь домашним сервером уже около двух лет. Забрал из внешнего мира всё: почту, календари, записную книгу и файлохранилище. А началось с того, что мейл.ру взял и заблокировал мне ящик, которым я почти 20 лет пользовался. Можете представить себе масштаб моего удивления, когда я понял сколько аккаунтов привязано туда и сколько ценных данных хранилось только там. Восстанавливать его они мне отказались, несмотря на то, что кэш писем был у меня в локальном почтовом клиенте и я 100% достоверно мог назвать отправителей и получателей моих писем, которых у меня спрашивала техподдержка мейл.ру. Но они настаивали на том, что я предоставляю неверные данные. Так что это и есть ответ на вопрос почему данные надо хранить на своём собственном сервере. Свой домен + почта для домена — не вариант, так как ящик всё равно могут просто блокирнуть. Процесс неспешной миграции всех аккаунтов на новый ящик занял почти два (!!!) года. Теперь я с уверенностью могу сказать, что с mail.ru, gmail, ya меня ничего больше не связывает. PTR запись настраивалась. Мониторингом сервера в спам-списках не занимаюсь, так как регулярно анализирую логи на случай аномального количества писем. И в данном случае это больше проблема получателя, что у него в ящике письма попадают в спам. Так или иначе это можно донастроить добавив адрес в известные.

                                                                                                                                                  А касаемо архитектуры, то я так глубоко не погружался. С инетом в Москве уже давно проблем нет, равно как и с электричеством. «На входе» в квартиру edgerouter x, дальше везде экранированая витая пара под 1Gb, ИБП CS500 c авито за 400 р., HP microserver c 4-мя дисками и посредственным процем. Бэкапы между дисками внутри сервера, периодическая выгрузка во внешний мир. Работает всё чётко и никаких мыслей о том, что в почте можно что-то не то написать не туда. Остаётся только угон домена. Но это предоставит злоумышленнику только доступ к новым письмам. Весь архив останется неприкосновенен.
                                                                                                                                                    +1
                                                                                                                                                    И да, никаких проблем с доставкой писем не наблюдалось. Сервер используется в том числе для легитимных коммерческих рассылок. Такие финты на «почте для домена» провернуть просто нельзя.
                                                                                                                                                      +1
                                                                                                                                                      Странно, что в 2018-ом кто-то ещё на полном серьёзе пользовался мыло.ру.
                                                                                                                                                      Поздравляю с освобождением!
                                                                                                                                                      +1
                                                                                                                                                      Интересное решение, но слегка излишнее и не решающее всех проблем. Я бы почтовый сервер установил на сам VPS. Проблема с доступом со стороны всяких заинтересованных органов решается арендой VPS в другой юрисдикции, для которой наши органы не указ. В этом случае прямо анализировать содержимое виртуального жесткого диска сервера без веской причины не полезут, просто так рекламодателям ничего не утечет (утечет, правда на стороне ваших собеседников, у которых будет на «бесплатных» почтовых системах).

                                                                                                                                                      Поставить почтовый сервер на VPS очень просто даже тем, кто не особенно разбирается в тонких настройках всей связки софта. Можно воспользоваться готовыми сборками, например, github.com/docker-mailserver/docker-mailserver

                                                                                                                                                      Наличие всяких подписей и PTR вовсе не гарантирует не попадание в спам на разных почтовых системах. Ну вот показался им IP адрес подозрительным или с этого диапазона когда-то рассылался спам — и привет. Причем то что сегодня письмо успешно пришло, еще не гарантирует того, что успешно придет завтра. Поменяли на каком-нибудь хотмайле или роджерс ком настройки… а узнаешь об этом только когда какое-нибудь очень важное письмо не будет доставлено. Впрочем, эта проблема относительно легко решается отправкой через Amazon SES. Цены там копеечные при малом количестве отправляемых писем, а с доставкой их проблем нет.
                                                                                                                                                        0
                                                                                                                                                        Во-первых, поднимать собственный почтовый сервер ради того, чтобы не видеть рекламу в веб-интерфейсе почтового сервиса — это явный overhead.
                                                                                                                                                        Есть аж два простых решения:
                                                                                                                                                        1. Локальная почтовая программа, на компьютере я использую Thunderbird, в смартфоне — Mail (я даже не знаю полное название этого предустановленного приложения)
                                                                                                                                                        2. Собственный веб-клиент электронной почты, Rainloop или Roundcube, его можно установить как дома, так и на любом хостинге

                                                                                                                                                        Во-вторых, автор не знает о том, что при описанных в статье настройках почта от собственного сервера в 50-80% случаев не будет поступать получателям вне популярных почтовых сервисов, и в 30-40% будет попадать в спам даже у них.
                                                                                                                                                          0

                                                                                                                                                          Отвечу сразу всем кто говорит что надо просто настроить свою почтовую программу и все будет гуд.
                                                                                                                                                          С недавних пор просто уже не настроишь, надо залезть в дебри настроек (я говорю про Яндекс почту, как у других почтовиков не знаю) и получить одноразовый пароль для приложений (там отдельно для Диска, почтовых программ и тд)
                                                                                                                                                          Я по старой памяти тоже долго бился с настройками и удивлялся почему не проходят мои логин/пароль — а оно видишь как хитрожопо закручивают гайки, раз клиент подсел на бесплатную почти то нефиг ему умничать и пользоваться только почтовым клиентом, рекламу надо же как то откручивать…

                                                                                                                                                            +2
                                                                                                                                                            С недавних пор просто уже не настроишь, надо залезть в дебри настроек (я говорю про Яндекс почту, как у других почтовиков не знаю) и получить одноразовый пароль для приложений (там отдельно для Диска, почтовых программ и тд)

                                                                                                                                                            На mail.ru я как настроил всё в ~2005 году, так оно у меня до сих пор и работает (The Bat!).
                                                                                                                                                            На яндекс не пробовал, но поискав в гугле «яндекс почта the bat», я попал на эту страницу и там подробно всё описано с прямыми ссылками на соответствующие пункты настроек в профайле. Учитывая, что «яндекс паспорт» — это не просто почта, но и облачное хранилище и ваше досье в ФСБ и ваш кошелёк, я понимаю, почему они так делают.
                                                                                                                                                              +2

                                                                                                                                                              Неделю назад тандербёрд к гмейл аккаунту подключал. Ввел почтовый адрес, клиент показал мне хтмл страницу гугл аккаунта, где я подтвердил, что разрешаю ему работать с почтой. После чего все заработало само, даже адресов серверов и портов вводить не пришлось.

                                                                                                                                                                0
                                                                                                                                                                клиент показал мне хтмл страницу гугл аккаунта, где я подтвердил, что разрешаю ему работать с почтой

                                                                                                                                                                У меня, по крайней мере в TheBat!, эта авторизация имеет обыкновение слетать в самый неподходящий момент.
                                                                                                                                                                0
                                                                                                                                                                Я не только настраиваю, я пишу инструкции для людей, которе настраивают почтовые программы, и в действительности знаю ситуацию.
                                                                                                                                                                Thunderbird современный при настройке адреса на публичном почтовом сервисе «знает» про описанные вами особенности, и предлагает пользователю кликнуть нужную кнопку (ajax для сайта почтового оператора). В частности для этого в thunderbird много лет назад встроен приличный браузер.

                                                                                                                                                                Вы далиответ только на первую часть моего комментария, и ответ этот демонстирирует ваш непрофессионализм.
                                                                                                                                                              +3
                                                                                                                                                              Включаю логин по паролю для root по SSH, для этого в файле /etc/ssh/sshd_config добавляем строку PermitRootLogin yes. Перезагружаем сервер и коннектимся уже по ssh.

                                                                                                                                                              Я один в этом месте избил себя фейспалмами?
                                                                                                                                                              # DNS
                                                                                                                                                              iptables -A INPUT -i eth0 -p udp -d $EXT_IP --sport 53 -j ACCEPT

                                                                                                                                                              А потом еще раз. Зачем днс, откуда взялся eth0, почему src-port
                                                                                                                                                              Если хотел открыть ответные пакеты для DNS-трафика, то можно было бы вообще сделать одним правилом для tcp и udp
                                                                                                                                                              iptables  -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT