Как стать автором
Обновить

Комментарии 18

привет коллега - плюсанул, навеяло - telnet ххххххх.com 25, ещё жив мой древний сервер, лет 20 уж ему

Да, раньше можно было почту на меилру через телнет читать.
А сейчас вот вин10 пишет "telnet не является внутренней или внешней командой, исполняемой программой или пакетным файлом."
Надо где-то галочку ставить чтобы он установился.

а телнет из стандартной поставки еще во временя Win7… если даже не в висте, выпилили

На тему открытия сервера "наружу" - а не лучше ли было поднять VPN-сервер для доступа к нему? С одной стороны, пользователям чуть менее удобно, с другой строны, более надежно/безопасно (можно, например, авторизовываться по сертификатам или с TOTP), плюс в будущем можно использовать VPN для каких-нибудь других сервисов, например, тот же NextCloud.

Людям хочется с мобильников, домашних компов и т.д. Пока полет нормальный, после серии взломов qwerty паролей, уже довольно давно, все тихо.
А wireguard давно поднят, конечно.

Людям хочется с мобильников, домашних компов и т.д.

Ну это вообще не проблема. Например IPsec/L2TP есть из коробки под все популярные ОС и мобильные устройства, а если использовать какой-нибудь комбайн типа SoftEther, то там вообще можно оторваться по-полной :)

Зависит от количества юзеров и их квалификации. НИИ крупный, средний возраст пользователей запенсионный. Необходимость привыкать к новому веб-интерфейсу и так проблема, а IPsec/L2TP — катастрофа.
Из-за слишком нового SSL отвалились старые версии TheBat (да, его ещё используют и даже пришлось покупать ключи от актуальной версии для совсем непримиримых пользователей).

учитывая что у вас сервер не обновлялся 15 лет, то и политика внутренней безопасности соответствующая… и тогда вопрос — а зачем вообще ssl на почту внутри сети?
Это слишком большая дыра, даже при настолько умеренном уровне внутренней безопасности.
всмысле большая дыра? для кого? у вас реальный вектор атаки внутри сети существует? ваши маршрутизаторы допустят arp-spoofing? боитесь что Клавдия Ильинична из бухгалтерии будет читать почту генерального директора организовов mitm? (а какже изоляция сегментов?)
сертификат на ssl внутри сети вы сами выпускаете? поддерживаете его перевыпуск? храните ключи в сейфе?
==
я вот просто сталкивался с серьёзной настройкой ИБ, когда шифрование во все щели и политики безопасности такие что пукнуть нельзя, сразу алерт ИБшником и всё лочится

но вот без этого всего, просто ставить шифрование на внутренних коммуникациях, это как бронированную дверь в забор из гнилых досок на огороде
===
аа, я понял похоже, вы из интернета снаружи на свой сервер ходите через bat?
но это еще больше не сходтся с обновлением сервера раз в 15 лет
Так кто сказал, что его ещё 15 лет не будут обновлять? Статья исключительно про переезд на более новую платформу. Которую проще поддерживать в актуальном состоянии.
Про организацию внутренней сети рассказывать долго и незачем, но при текущем уровне её развития — ssl изнутри не лишний.

8ая центось - ошибка. Либо Rocky, либо Alma.

На замену CentOS появилась целая пачка форков, бинарно совместимых. Поди разберись теперь, что выбирать из этой кучи… Да такое название классное потеряли.

Либо Oracle Linux

А чем оно лучше Rocky и Alma?

я думал в НИИ сейчас в тренде импортозамещение

Упоминание OTRS лично у меня вызвало ощущение что вы только что снова окунулись в некромантию, не успев вылезти из нее с сервером почтовым.

Железо видать хорошее, 15 лет отпахать.

Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.