company_banner

Решаем, нужен ли вам личный почтовый сервер


    Большинство из нас бесит то, что владелец сервера читает нашу почту. Конечно, делают это алгоритмы, а не живые люди, но от этого не легче: мутная контекстная реклама, собранная из обрывков фраз, недостаточная безопасность, да и просто осознание того, что твою переписку может просматривать условный товарищ майор — бесят. Кого-то бесят в большей, кого-то в меньшей степени.

    Еще у части специалистов есть пунктик на тему красоты почты. Хочется красивый, короткий, запоминающийся адрес, который бы показывал, что вы не просто gmail-холоп, а вполне самостоятельная боевая единица на полях IT-сражений. А кто-то хочет просто экспериментов. Эти люди уже сами собирали ядро системы, тонко настроили домашний медиа-сервер, научили роутер качать все подряд с файлообменников без участия ОС. Теперь нужно поднять свою почту, приватный VPN, а дальше можно посмотреть в сторону написания драйверов или на другие активности уровня «хардкор».

    У многих IT-специалистов существует запрос, который публичный почтовый сервис удовлетворить не способен. Вот только не все отдают себе отчет, чего им это будет стоить. Так что давайте разберемся, на самом ли деле вам нужен почтовый сервер или стоит приложить свою энергию в каком-то более перспективном направлении.

    Я не хочу, чтобы мою почту читали


    Если вас бесит тотальная слежка корпораций за вашими почтовыми отправлениями, то поднятие собственного сервера — буквально последний аргумент в сложившейся ситуации, потому что между gmail и собственным почтовиком есть еще несколько промежуточных решений.

    Вариант первый — это использовать внекорпоративные почтовые сервисы, которые были созданы, фактически, вашими же единомышленниками.

    Самый яркий и популярный пример из числа независимых почтовых сервисов — ProtonMail. Этот сервис создан специально для людей, с повышенным градусом паранойи. Никаких «сохранить пароль» или «запомнить меня на этом устройстве» при включенном двухфакторе. Каждый раз логинимся руками, каждый раз вводим авторизационный код, который приходит на телефон. Сервис хорошо работает по системе «email over Tor», то есть в отличие от прочих сервисов, дружит с «луковкой». Но из-за повышенного градуса той самой паранойи, ProtonMail не слишком хорошо работает с SMTP и имеет ряд других болезней, свойственных андерграудным проектам. Например, администрация ProtonMail официально признавала проблемы с регистрацией на некоторых популярных сайтах и сервисах с их адресов.

    Кроме ProtonMail существует еще масса сервисов — этот просто наиболее известный и был приведен в качестве примера. Стоит помнить, что чем меньше почтовый сервис — тем больше к нему недоверия со стороны остальной сети.

    Существуют и полумеры борьбы за свою приватность. В том же Google-аккаунте можно запретить любой анализ данных и их передаче компании, плюс можно отказаться от использования Google Chrome в пользу другого браузера. Это поумерит аппетиты корпорации, но не будет гарантировать того, что ваша почта все еще не сканируется-читается-анализируется.

    Если переход на другой почтовый сервис или полумеры в виде игр с настройками приватности вас не устраивают, то да — вам нужен свой почтовый сервер.

    Мне нужна «красивая» почта


    Избавиться от «gmail», «yandex» или другого индекса в адресе электронной почты — мечта многих специалистов, особенно, если вы фрилансер. Временами бывает неловко при обмене электронной почтой по работе давать свои адрес вида «yabestpazrab@gmail.com» в ответ на «manager@companyname.com». У многих возникает ощущение, что они не специалисты, а самозванцы. Вон, даже настоящей рабочей почты нет.

    И в этой истории личный почтовый сервер тоже — последний аргумент, потому что крупные почтовые сервисы позволяют поднять внутри себя почтовый домен, был бы настоящий адрес во владении. Например, тот же Gmail с радостью и за отдельную плату трансформирует ваш ящик из gmail.com в domainname.com, а работу вы продолжите в уже привычном интерфейсе Gmail. И никакого поднятия собственного сервера, администрирования, проблем с доходимостью писем и всего того, что сулит приватный почтовик. Только заведи учетную запись G Suite, купи домен и настрой все так, как написано в официальном мануале.

    Если использование продуктов корпораций и сканирование содержания писем вас не устраивает, то да — вам нужен свой почтовый сервер.

    Мне. Нужен. Свой. Почтовый. Сервер.


    Если вы не нашли для себя альтернатив личному почтовому серверу по тексту выше, то поздравляю, тут мы будем рассуждать о подводным камнях этого прекрасного мероприятия.

    В первую очередь, чтобы поднять свой почтовый сервер нам понадобятся три составляющие:

    1. Понимание того, что свой почтовый сервер в 2020 — это просто;
    2. Сервер, на котором все будет крутиться-вращаться;
    3. Личный домен.

    Начнем с общего. Все эти разговоры про свой почтовый сервер, безопасность, настройку анти-спама и прочее ввергают большинство людей в состоянии фрустрации.

    Проблема в том, что большинство из нас почерпнуло базовые знания о поднятии собственного почтового сервера еще в конце 90-х и начале 00-х, то есть, по меркам IT-индустрии, еще в дремучей древности. Да 20 лет — это почти вечность назад!

    Чтобы вы понимали, насколько это было давно. В 2000 году релизнули первую версию Symbian, AMD представила революционный Athlon с частотой 1 GHz, вышла в свет Windows 2000, а на прилавках появилась PlayStation 2. В тот же год начал лопаться пузырь доткомов, а Bon Jovi выпустил сингл «It’s My Life».

    И вот примерно из той эпохи и произрастают представления о почтовых серверах тех, кто толком с ними никогда не имел дела. На самом деле сейчас все намного проще.

    Первый шаг по поднятию почтового сервера — поиск подходящего вам доменного имени, на которое мы повесим все хозяйство. Где покупать домены — дело ваше. Можно за границей, можно у reg.ru или другого крупного местного продавца, тут дело исключительно вкуса.

    Второй шаг — это покупка сервера под ваши нужды. Ну тут мы скромно порекомендуем наши VPS — отличное решение для такой легковесной вещи, как почтовый сервер. И на машине сразу будет готов выбранный Linux-дистрибутив.

    Третий шаг может быть двух типов. Простой и сложный.

    Простой вариант выглядит как покупка VPS с Ubuntu и команда в консоли:

    # apt install postfix

    В процессе установки указываем в качестве интернет-сайта ваш личный домен, а в параметре mydestination указываем

    mydestination = $mydomain, localhost.$mydomain, localhost

    Уходим на ребут и все! Вы невероятны и с собственным почтовым сервером!

    Есть вариант посложнее для тех, кто предпочитает все контролировать.

    Вместо почти стандартного уже Postfix, разработка которого началась еще в 1998 году, вы можете выбрать любой другой сервер, например Qmail, Exim, Citadel, Zimbra, или даже платный MailerQ. В поиске чаще всего упоминаются именно эти ребята.

    Например, Exim — родом из кабинетов Кембриджского Университета, распространяется свободно по лицензии GNU, а разработка ведется еще с 90-х годов. Из приятного: по этому серверу есть вся возможная документация, так как ваялось это, очевидно, не на коленке. Имеет достаточно широкий набор готовых конфигураций под Unix-системы, в том числе под не слишком известные и местами специфические дистрибутивы.

    Актуальный список систем, для которых есть стоковые конфиги
    AIX, BSD/OS (aka BSDI), Darwin (Mac OS X), DGUX, Dragonfly, FreeBSD, GNU/Hurd, GNU/Linux, HI-OSF (Hitachi), HI-UX, HP-UX, IRIX, MIPS RISCOS, NetBSD, OpenBSD, OpenUNIX, QNX, SCO, SCO SVR4.2 (aka UNIX-SV), Solaris (aka SunOS5), SunOS4, Tru64-Unix, Ultrix, и UnixWare.

    Exim — легкий, с широкими возможностями и жирной документацией вариант для людей, готовых поработать над настройкой. Единственное, что омрачает картину — эксплуатация уязвимости Exim летом 2019 года в версиях 4.87-4.91 (актуальная — 4.94). Тогда под удар попали миллионы почтовых серверов, а сам эксплоит оценили на 9,8 из 10. Подробнее можно почитать тут и тут, писали на Хабре.

    Настолько же «древним мастодонтом» является и Qmail, первая версия которого вышла почти 25 лет назад, в декабре 1995 года. Он прост, быстр, надежен как швейцарские часы и является одним из самых популярных SMTP-серверов в интернете.

    Вообще не удивительно, что наиболее популярные решения для Linux берут свое начало еще в 90-х годах, когда интернет и unix-системы активно развивались. Привычных публичных сервисов электронной почты тогда еще толком и не существовало, либо они были настолько дырявыми и опасными, что проще было поднять собственный сервер.

    Также внимательный администратор озаботится настройкой анти-спам защиты. По этому запросу поисковик может посоветовать вам SpamAssassin, который упоминается в ряде материалов по теме за последние 5 лет, в том числе в одной из наших статей. Этот проект стагнировал с 2015 по 2018 годы, так что захотите ли вы им пользоваться сейчас — вопрос открытый. Последнее обновление SpamAssassin вышло в январе этого года и в целом, патчи он получает +\- раз в год. Но SpamAssassin'у есть масса альтернатив, тот же rspamd. Вообще, о ручной настройке почтового сервера мы писали еще в 2017 году, почитайте, там разложены основные моменты, с которыми вам придется иметь дело. Само собой, еще большую ценность представляют комментарии к ней, как это обычно бывает на Хабре.

    Так нужен ли почтовый сервер или нет


    Собственно, идея проста: персональный почтовый сервер в 2020 году — это сравнительно просто, если не углубляться в конфигурацию, и сравнительно доступно.

    Личный почтовый сервер требует денежных вливаний, в первую очередь — на доменное имя и, собственно, само оборудование. И если VPS можно купить за сравнительно небольшую плату, плюс «крутить» на нем что-нибудь еще кроме почты, то стоимость аренды домена в год колеблется от нескольких сотен рублей и до бесконечности.

    Если вы — малый бизнес и сам себе гендиректор, инженер и сисадмин, то стоит все же посмотреть на готовые решения типа G Suite от Google или другой крупной компании, предоставляющей похожие услуги.

    В 100% случаев свой почтовый сервер — это поле для экспериментов и получение навыков настройки и администрирования, ну и, конечно же, средство для борьбы со слежкой или собственной паранойей на эту же тему. Что в современных реалиях почти одно и тоже и не осуждается.

    Нужно только для себя решить, совпадают ли ваши цели и желания с тем, что вы получите в итоге.



    RUVDS.com
    VDS/VPS-хостинг. Скидка 10% по коду HABR

    Комментарии 200

      +14

      У личного сервера есть неприятная особенность — домен периодически может попадать в стоп (спам) листы…

        +2
        А какие могут быть для этого причины? Допустим, что SMTP у нас закрытый, дырок для рассылки спама нет, IP-адрес давно арендован и в нежелательной активности не светился, все цифровые подписи настроены как положено. Еще чем-то надо озадачиться?

        Есть желание поэкспериментировать, пока использую Яндекс.Коннект (и он меня вполне устраивает), но всякое бывает…
          0
          … и тут пользователь запускает какую то фигню, которая начинает фоном через его почтовое приложение сотнями в секунду слать спам.
            0
            Это и на своем сервере может произойти. Если через почтовое приложение.
              0
              Все зависит от того, позволяет ли почтовый сервер слать избыточно большое количество писем своим пользователям. Облачные почтовые сервисы — не позволяют по умолчанию. Они сразу триггерятся на это.

              Свои почтовые сервера, обычно до первого такого попадалова :)
                0

                Ага. Сталкивался с этим (((

              +5

              Если пользователь "запускает какую-то фигню" – это проблема не пользователя или темы почтового сервера, а проблема вас, как сисадмина.

                +3
                Простите, коллега.

                А как моё сисадминство спасет меня от внезапного 0-day эксплойта пришедшего по почте в docx/xlsx/pdf документе с ящика контрагента?

                Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей? Дык у меня их тысячи, где ж я столько времени возьму, а работу кто работать будет? Ну я могу набросать шаблон, что бы HR разослал, но как Вы написали, пользователям же пофиг — это не их проблема.

                Или мне каждое входящее письмо из тех обычных 18к+ писем за день просматривать и аппрувить, если норм?

                А как мне заблокировать спам с взломанных ящиков, с которых рассылают делают медленные рассылки по 50-150 писем в течение дня? А на следующий день это уже новый ящик с другого домена и ip адреса, но получатели в корп сети все те же.

                Или у Вас на любую проблему сисадмин сразу виноват? Недоглядел же. Виноват! Некомпетентен!
                  +4
                  Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей?
                  Конечно.
                  Дык у меня их тысячи
                  У меня тоже.
                  1. Еженедельная маленькая рассылка по компании с акцентированием внимания на тех или иных аспектах безопасности;
                  2. База знаний, с картинками, блэкджеком и пошаговым описанием, что и как делать/не делать.

                  Да, это не последняя инстанция и не гарантирует от всего-всего. Да, это требует усилий. А кто сказал, что админить – это только в Кваку играть?

                  А как мне заблокировать спам с взломанных ящиков, с которых рассылают делают медленные рассылки по 50-150 писем в течение дня?
                  А вот это тоже ваша работа. Пока пользователь по Базе знаний лазает, вы админьте и разбирайтесь с этим.

                  Не спора ради. Но ваша позиция кажется мне немного странной и эмоциональной.
                    +2

                    У нас в дополнение к этому ещё есть ответственность работника. Пусть лучше лишний раз попросят проверить, зато понимают, что запуск шифровальщика будет и их ответственностью тоже.

                      0

                      Тоже верно.

                      +1
                      Конечно.
                      Ну у вас видимо за это доплачивают. И времени свободного много. И проектов нет.

                      А вот это тоже ваша работа.
                      Хорошая позиция, но я пожалуй приведу аналогию: Вам каждый день, по два раза, в разное время, с разных номеров, звонит бот и предлагает практически один и тот же спам. И как же вы будете его фильтровать, если телефон не подсвечивает этот звонок как спам, а вам звонят со всей страны по долгу службы совершенно разные люди? Для правдоподобности добавим условие, что нет никакой организации, в которую можно было бы пожаловаться на такие звонки. Ну и генеральный тоже недоволен и просит вас решить эту проблему оперативно, ему тоже звонят.

                      Как решить эту проблему?

                      Но ваша позиция кажется мне немного странной и эмоциональной.
                      Возможно странная, но как говорится каждый варится со своим набором специй.
                      Эмоциональная — это точно. В этих эмоциях много боли и страданий.
                        0
                        Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей?
                        Конечно.
                        Вообще-то для этого есть целая профессия.
                        +2

                        Rate-limits на rspamd к примеру очень хорош и мониторинг mailq ваше все. Если у вас в очереди сообщений более чем 50 писем пора задуматься, если более 100 скорее всего пора бить тревогу. Есть куча возможностей как это мониторить: ELK, Graylog, Zabbix и тд

                      +5
                      > и тут пользователь запускает какую то фигню

                      Для этого на сервере можно настраивать лимиты на количество сообщений за единицу времен и автоматическое сообщение о превышении таких лимитов.

                      Кроме того исходящие письма можно проверять на спам так же, как и входящие. И в случае обнаружения массы исходящего спама присылать письмо счастья.
                        +1
                        Вооот! Вот наш победитель.
                      +3

                      Из моего опыта, правда уже давнего: почтовый сервер, рассылающий исключительно служебные письма одной софтины корпоративным пользователям этой софтины, лёгко и непринуждённо попадает в список Spamhaus. Взломан он был очень вряд ли, снаружи он был доступен только по ssh на нестандартном порту по ключам, подозрительной активности я не замечал.


                      И чтобы его достать из этого списка Spamhaus, требовалось пройти какой-то нездоровый квест по доказательству того, что я не спамер, и по-моему заплатить им денег. В итоге оказалось проще завести корпоративным пользователям ещё одну почту на провайдере, не учитывающем рейтинг Smaphaus.

                        0

                        Никогда и никому за делистинг платить не нужно. Rbl/Dnsbl имеет право:
                        1) зарабатывать на донате
                        2) взымать стоимость за использование их сервиса для проверки почты
                        Но никогда не имеет права взымать за делист, не порите чушь.

                          0

                          Запомнилось, что каких-то денег от меня вроде хотели. Но это давно было, могу ошибаться.

                            +2
                            Спамхаус — ооочень сильно вероятно, что хотели бабла за исключение из списка, можете поискать в гугле, там хватает историй. Причём, иногда их списки используют не только для блеклистинга почты.
                            +2
                            А что делать с террористами в лице Spamhaus? Эти [много текста censored] обожают требовать бабло, а некоторые админы сдуру используют этих террористов.
                              0
                              что вы подразумеваете под «террористами в лице Spamhaus»? Fake RBL?
                                +2
                                RBL который вносит подсеть, в которой находится твой сервер в блэклист из-за одного чьего-то хоста, а на запросы о удалении из листа не чешется, пока ему не начнут долбить крупные провайдеры, а порой ещё за это исключение требует бабло на мой взгляд не отличается от террориста, который захватил здание и требует выкуп. Гугл полон «щясливых» историй по борьбе с этой чумой блэклистов.
                                Да хоть вот с хабра: либо про ДДоС (который они честно заслужили), либо мат и ругань habr.com/ru/search/?q=%5Bspamhaus%5D&target_type=posts
                                  0

                                  ок, вот тут люди тоже пишут https://habr.com/ru/post/141231/ про "терроризм", но кхм, я с таким не сталкивался, и если бы столкнулся послал бы на 3 буквы. Может потому что я если и делистил то только /32 IP, а не обращался как провайдер, у которого забанили всю /24 или несколько подстетей. В банах больших подсетей можно долго спорить кто прав, а кто видноват, но о том что за 1 хулигана с /32 банят всю /24 подсеть банят, я не очень верю. Думаю там минимум таких накапливалось по 5 штук. ISP в таком случае должны просто за стандарт брать и банить outbound tcp 25 port и делать разблокировку только по запросу. В случае abuse репорт — блочить опять пока не почистят mailq и не исправят первопричину (будть то openrelay или скомпрометированый юзер). За несколько повторений с клиента взымать штраф за нарушение правил испрользования хостинга это тоже нормальная практика и вот такое я видел у некоторых в договоре.


                                  А так, все делисты что я видел происходили либо вебсайт с аля капчей либо через почту (через postmaster@ptr.strip(host) к примеру).
                                  Делистил у около 10 RBL, в том числе и у в том числе Spamhause, делист везде происходил менее чем за сутки.
                                  Запомнилось мне 2 особых белклиста:


                                  1. SpamCop — отдельные ребята, не скажу что общение с ними мне понравилось, не хотели делистить первые 3 дня — просто так, а дальше требовали delist request через вебсайт с того же IP который я хотел заделистить — зато их "веселый подход" заставил меня узнать про фичу пробраса портов в SSH (в том числе Putty) и про Socks5 Proxy которая есть в nixах из коробки =). Почему делистил — потому что взламали учетку с слабым паролем юзера по брутфорсу. А как так, по брутфорсу то? Да… не было fail2ban и не было еще более важной веши: ratelimitов. Кто виноват был? Да я в принцыпе =), так что свой урок я получил.
                                  2. https://csi.cloudmark.com/en/reset/ — ребята как и Symantec и другие RBL с платной подпиской не палятся на http://multirbl.valli.org/ по этому узнал я о том что я в их блеклисте из bounce. Ок, иду на ссылку из bounce — ответа нет, сайт не грузится. Открываю гугл и делаю поиск — сайт есть, кешированая версия свежая тоже. Резовлю домен — резолвится, ломлюсь на 443 — закрыто, на 80 — закрыто, резолвлю MX — ломлюсь на 25 порт — закрыто. Нашел контактый емейл на закешированом сайте, отправляю письмо с gmail — отправилось. Оказалось ребята забанили по Geo IP всю мою страну на всех портах (пробовал и с мобильного и с домашнего интернета). Включил VPN забугорный — и их сайт открылся и MX доступны. Разбанил себя через веб у них за 2 мин потом. К слову через год когда на них заходил с своей страны — сайт их у меня уже открылся, и открывается сейчас.
                                  3. Symantec IP reputation — вот тут было весело, они забанили /24 подсеть и раз в сутки делали округление (если в одной подсети больше чем n IP забанено они банили снова всю /24 подсеть. Google recapche выносила мозг уже на 3 разбане. Вообщем я заставил своего ISP самим этим делом заниматься. Они за пол ночи все /24 разбанили. Немного жалко ребят
                                  4. Юморист gremlin.ru — я у него так и вешу всей /24 подсетью, но мне плевать, кроме него самого этот rbl юзает еще 2 калеки которых я ещё не встречал. Даже писать этому аутисту после прочтения его how to delist желания нет. Rbl опасны настолько насколько много к ним прислушивается и как. За что я люблю postgray+rspamd что он делает сумарную оценку по всем признакам и потом выносит вердикт. И ненавижу тех кто юзает rbl напрямую в postfix ибо наличие ip хоть в одном rbl приводит к bounce что есть крайне тупо.
                                    0
                                    Я собственно говоря тоже очень люблю отлупы от MXов в виде «451: Your server in shitty RBL, go fsck ur brain hahaha» и тех админов, которые эти самые RBL проверяют в постфиксе, а не в антиспаме потом, но увы, тут анекдот про проблемы коренного населения Америки и интимную жизнь шерифа во всей своей красе, пользователю пофигу почему мыло не дошло.
                                    Я лет пятнадцать назад даже с paypal-ом ругался на весьма смешную тему — у них один из MX серверов чудил по полной (HELO с кривым доменом, нет PTR-а и т.д.) в результате у меня постфикс периодически режектил почту от палки ещё на этапе заголовков, переписка не дала результатов, пришлось плюнуть на это.
                                      0

                                      А и с Symantec подвох был в том что мой сотрудник ловил bounce от итальянского территориального фришного почтового сервиса (на подобии mail.ru только поменьше) и от французского, но в ответе отказа не было указано по какому rbl меня отбросили, но явно говорилось что bounce я получил именно за блеклист. Стучался к обоим: конечно же postmaster not existing mailbox, как и abuse. Через форму обратной связи: у французов она сломана напрочь была — требовала attachment который некуда было подложить, а у итальянцев все же методом тыка и с google translate я умудрился найти перечень rbl которая их система использовала и методом исключения я нашел что это был Symantec.


                                      Вообще по всему прочему бесит тот факт что люди игнорируют отсутствие таких важных аккаунтов/алиасов как postmaster или abuse на своих доменах. Спам на них не идет никогда — и логично, это просьба о пермобане :D. Но людю продолжают их не создавать. А если и создают не отключают часто для них антиспам в результате чего postmaster тоже не может принять проблемное (возможно даже local blacklist письмо) что лишает смыла данную учётную запись.
                                      Да что там говорить — начинаешь слать dmarc reports и такое видишь… 40% rua адресов: mailbox not exist/user is over quota (даже у Яндекса по 4 раза на год)/mimetype isn't allowed. Последний кейс вообще ор выше гор: ребята хотят получить репорт zip с xml но даже не удосужились проверить, а не блочит ли их спам фильтр эти форматы? Ор...

                                        +1
                                        From: "Canadian Pharmacy" <vuhhuia@****.com>
                                        To: <postmaster@****.ru>
                                        Subject: *****SPAM***** ( 12.5 ) The best price for Viagra Professional

                                        Никогда? =) Хотя да, слать спам на постмастера действительно просьба пристрелить из противотанкового гранатомёта.
                          +1

                          IP адреса из вашей сетки /24 были замечены в спаме. Ваш адрес могли использовать в атаках (путём подмены само собой). Ваши пользователи имеют зараженные ПК.
                          В общем расслабляться нельзя… Не факт, что произойдет, но из опыта, даже у крупных корпораций почтовики попадали в стоп листы… Просто нужно иметь это в виду и знать, что делать.

                            0

                            Первое — не стоит хостить почтовик "где попало", в данном случае хороший ISP с заблокированным 25 портом по умолчанию, это правильный выбор. К примеру OVH я бы не рекомендовал как площадку для хостинга почтовика ;). Тогда и случаи попадания целых /24, а то и выше подсетей стремятся к нулю. Ну и конечно же можно подписаться на рассылку от mxtoolbox.com на проверку на блеклисты, а так же самому раз в неделю поглядывать на http://multirbl.valli.org/. Увы symantec, cyren и еще некоторые корпоративные rbl/dnsbl не разрешают публично их опрашивать, по этому их список можно держать отдельно и проверять уже когда начинаются проблемы с большимы делеями или баунсами.


                            Так же не лишним будет зарегистрироваться на dnswl.org, а так же на feed back loop от returnpath, yahoo и в программе репутации microsoft.

                              +1

                              Ну то есть свой почтвый сервер — это не "поставил, включил авто-обновление и забыл", а "поставил и теперь трахайся с постоянной поддержкой".

                                +1
                                1. Автообновление — не канают, обновлять нужно самому, раз в месяц, не вижу проблем.
                                2. Если вы не спамер и ваши учетки не называются test@company.com, с паролем test или они не выплыли в других утечках то заниматься извращениями с rbl вам никогда в жизни не придется
                                3. если настроить пару spamalias ловушек которые будут обучать fuzzy и выбросить эти ловушки в интернет то 99% спама вы не увидите. Fail2ban ботов отрезает на ура, особо назойливым можно и пермабан влепить.
                                  Зато если у вас не пойми почему валидные письма попадают в спам вы можете сами все исправить, а не ждать ответа от саппорта, и подобных кейсов много. Это как иметь свою квартиру или съёмную. Да в своей квартире нужно иногда делать ремонт самому или нанимать людей, в съемной — ремонт делает хозяин, но вопрос насколько хозяин заинтересован в ремонте вашей съемной квартиры?) Все же как по мне своя лучше и на душе приятнее. А если хозяин цену поднимает? А если он монополист… И тд и тп.
                                  +1
                                  своя лучше и на душе приятнее

                                  Это понятно, но в большинстве случаев человеку нужен просто работающий сервис, а не дополнительные траты сил и времени, так что проще и эффективнее купить готовый. Если не нужны какие-то прямо особенные фишки.


                                  В статье пишут — поставь постфикс, пропиши домен и дальше всё само работает, а я говорю, что это не совсем так.


                                  Автообновление — не канают, обновлять нужно самому, раз в месяц, не вижу проблем

                                  Кстати, а почему вдруг? Если использовать LTS дистрибутив, где прилетают только исправления ошибок, и не получится нарваться на несовместимость конфигов новой и старой версии — да пусть сам обновляется, если пара секунд секунд даунтайма раз в неделю на рестарт сервиса погоды не делают.

                                    0

                                    Павел, поддерживаю!!!


                                    Если использовать LTS дистрибутив, где прилетают только исправления ошибок, и не получится нарваться на несовместимость конфигов новой и старой версии — да пусть сам обновляется, если пара секунд секунд даунтайма раз в неделю на рестарт сервиса погоды не делают.

                                    Кстати, это не совсем так. Был печальный опыт с панелью Веста, экзимом/dovecot на вполне лтсной центос 7. В какой-то момент с обновлением конфиг почтовика превратился в тыкву, но это по ходу больше виновата Веста…

                                      0

                                      Exim по жизни = проблемы, и если честно с каждым годом у них их больше. Как можно 3 раза не суметь пофиксить валидацию символа окончания строки и наступать на те же грабли мне не понятно. Postfix one love в общем.

                                      0

                                      Если стек простенький то вканает, если сложный — то полетят головы рано или поздно и дело даже будет не в конфигах а в фиксе бага который сделал еще 3 бага. Dovecot часто ломает или полностью или частично (что еще хуже) репликацию. Я вообще пользуюсь mailcow, это docker-compose, там обновления работают отлично, но локальные модификации могут быть перезатерты при git checkout, по этому там обновление ручное. Я и администратор и девопс, и на поддержке куча сервисов, не вижу проблем выдилить 3-4 часа жизни в месяц на почтовик — это моя работа, я за нее деньги получаю, и удовольствие тоже.

                                        +1

                                        Если конфиг несложный и используются только пакеты из дистрибутива — то автообновление прокатит. Для LTS дистрибутивов обновления пакетов включают только фиксы ошибок, не ломая обратной совместимости.


                                        Если там что-то сложное, или даунтайм недопустим, то не прокатит конечно.


                                        Но в общем случае я стараюсь автообновления включать, где это возможно. Мне нравится идея, что в случае моего увольнения/отпуска/смерти/похищения инопланетянами сервер будет самостоятельно жить без дырок в безопасности до конца срока жизни дистрибутива.

                              +1
                              А какие могут быть для этого причины?
                              Нередко из фокуса внимания выпадает веб-приложение, позволяющее рассылать сообщения путём обращения к обработчику. Совсем клиника, кода через скрытый инпут регулируется получатель сообщения, но такое тоже бывает, и не сказать что это единичные случаи. Или другой вариант: есть автоответчик, отправляющий какое-то уведомление на указанную почту (в штатном режиме это может быть подтверждение заказа или заявки клиенту, к примеру). В зависимости от хостера, может хватить и ~20 отлупов по несуществующим ящикам, чтобы они отключили возможность рассылки сообщений с сервера «до выяснения обстоятельств» и ликвидации причины нежелательной рассылки, и около 30-50 писем по существующим адресам, чтобы домен начал появляться в спам-листах.

                              Из личного опыта, так сказать. Нередко такие проблемы друг другу устраивают конкуренты, благо реализация простейшая и не стоит ничего, а вот «принимающая» сторона из-за ряда факторов может застрять в проблемах на несколько дней.

                              дырок для рассылки спама нет
                              Собственно, описанное выше за «дыру» никто не считает ровно до первых проблем со всеми этими рассылками и спам-листами, и прицепом мысль о

                              IP-адрес давно арендован и в нежелательной активности не светился
                              перестаёт иметь право на жизнь.
                              0
                              Вы мне поветите, но очень многие облака тоже иногда этим грешат.
                              +14
                              Вам наверняка не нужен личный почтовый сервер. Напрасная трата денег и времени.

                              Потому что:

                              Лично вам он не нужен, поскольку потраченное время на его настройку по мануалам из инета не позволит вам столкнуться с проблемами, с которыми сталкиваются корпоративные админы из-за куда больших масштабов инфраструктуры. Т.е. опыт получите, но он в целом бесполезен и не подготовит вас к работе с большими инсталляциями.

                              Маленькой организации в 10-300 человеческих тел свой почтовый сервер не нужен, потому что почтовый сервер регулярно требует времени на обслуживание и траблшутинг. 80% съедают разборки почему письмо не пришло, почему не дошло, а почему у меня тут спам и вирусы в почтовый ящик упали. Проще отдать 20-30к в год на использование бинес почты яндекса/мэйла/гугла с своим корпоративным доменом. Минимум головняков за смешные деньги. А вы там один админ да еще и эникейщиком бегаете периодически, когда коллега эникейщик в завале или в отпуске.

                              Свой почтовый сервер есть смысл начинать, когда не один и не два админа в команде, и техсуппорты это уже отдельная группа в ДИТ/УИТ. Там и СБ больше фенечек хотят, и своих серверных ресурсов предостаточно, и автоматика с адресными книгами и настройками почтовых клиентов важна и нужна. И главное, есть возможность выделить отдельного человека на поддержку всего этого добра. А то и несколько. И там почти наверняка не постфикс, а Exchange.

                                0

                                1.


                                "Да, конечно, ужас — но не УЖАС-УЖАС !"


                                Exchange как правило там где вся среда виндовая, но в целом он необязателен. Грамотно настроенный exim/postfix + dovecot + spamassasin/rspamd + sieve + clamav закрывает все потребности.


                                2.


                                Но "профессия postmaster мертва" — это факт. "Не только лишь все" могут tls для 25-го порта настроить так чтобы в immuniweb.com/ssl/ на А попугаи были. Да даже в этой статье ничего не говорится о том что понадобится ещё и сторонний нормальный dns-хостинг чтобы "для почты" mta-sts и dane настроить.

                                  +1
                                  Ну кому нужны все эти заморочки когда у тебя почтовый домен для тебя и твоей собаки.

                                  Насчет потребностей. Свой почтовый сервер в организации это не потребность ИТшника, а потребность бизнеса. А какая у вас там связка будет, бизнес интересует мало. Нужно что бы новый человек сел за комп, ввел логин и пароль и начал работать. И настройки для почтового клиента прилетели автоматом, и общие папки в почте тоже что бы подрубились, и автоархивация тоже должна быть настроена.

                                  Поднять и запустить — это менее 1% последующей эксплуатации. И то что вы потом не трогаете сам сервер почтовый, не означает что не будет моря головников на клиентах которые этот сервер использует.
                                    +1

                                    Делаешь git clone mailcow-dockerized, генерируешь конфиг и делаешь docker-compose up -d — грамотно настроенный сервер у тебя уже есть со всем что нужно малому/среднему бизнесу из коробки:


                                    • postfix+dovecot+crypt+sieve+solr (imap4/pop3/smtp, почта хранится в шифрованном виде на сервере, filters & autoreply, индексированный поиск в imap)
                                    • rspamd+redis+oletools+clamav (aнтиспам, rate-limiter, антивирус, анализатор документов (детектор макросов), подпись писем dkim & arc)
                                    • приятный веб клиент sogo с caldav/carddav и eas
                                    • грамотная и удобная админка (mailcow ui) с своей API для автоматизации и наличие OAuth для предоставления авторизации другим. Авторизация в почтовике через ldap есть, но через отдельный проект.
                                    • letsencrypt из коробки и грамотно настроенное шифрование tls1.3 на всех client facing сервисах. Остаётся только инфрастркутуру: настроить ptr и домены (mx, spf, dkim & dmarc и autodiscovery), возможно выбросить порты в мир или сделать разрешающие правила на шлюзе и может кроме ptr запросить у провайдера unlock outbound 25того порта. Если провайдер NS (к примеру cloudflare) и зона поддерживает dnssec то и dane ты включишь одной записью на 3 1 1 типе tlsa — имея свой контейнер для получения letsencrypt по crs с неизменным private key. К слову сама mailcow даст тебе значения которые нужно настроить в домене и проведет самодиагнотику домена, доступности портов и корректности A/AAAA=>hostname=>PTR. По поводу mta-sts, ну тут вообще все просто — вам просто нужно хостить статический txt файл на https веб сервере с валидным сертификатом, работы на 5 минут от силы.

                                    А дальше останется мелкие правки уже под свою инфрасткуру работы некоторых сервисов, и то не факт, некоторых может устроить и все из коробки.


                                    К слову про HA — даже он есть и почти готовый

                                    –1
                                    Боже, какой кошмар кошмарный вы тут написали… Первый раз, когда я налаживал свой почтовик, я его чисто, медленно и беспроблемно настроил примерно за три часа, параллельно перечитывая руководство. Во второй раз это заняло полчаса. Что я сделал не так?
                                      +7
                                      Видимо решили что установка и запуск сервера это уже все. Зациклились на одном сервере без учета общей обстановки. Запускать просто и недолго. Поддержка дорогая, если ваш сервер не предоставляет кучи инструментов по работе с ним.

                                      Я опущу темы связанные с получением почты из интернетов и фильтрацией их на спам и вирусы, это просто базис без которого нельзя. Требование сертификата для работы с вебинтерфесом почты извне периметра тоже как бы естественно. Пара дней на все провсе.

                                      Вот простой пример типичных «почтовых» проблем:
                                      1. Письмо должно было прийти, но не пришло. Техсуппортам или пользователям нужен вебинтерфейс, где они могут посмотреть что до них не дошло, что попало в карантин, что сейчас висит в грейлистинге. Или Вы собираетесь на 3к+ пользователей, по каждому их запросу логи грепать на серваке в поиске письма для них?
                                      2. Сотрудник пошел в отпуск, и его почта теперь должна перенаправляться на определенного сотрудника с такого то по такое число. После второй даты вернуть обратно.
                                      3. Настройка автоархивации писем, потому что ящики, внезапно не резиновые и хламом забиваются вполне в обозримые сроки. В зависимости от ранга пользователя это выгрузка на локальный ПК или в сетевой архив.
                                      4. Сотрудник отиз/кадров отправил письмо не туда куда нужно в рамках организации. Письмо нужно отозвать с удалением с почтовых ящиков, почтовых клиентов на ПК и мобильных устройствах.
                                      5. Теневая копия для СБ всех писем отправленных на определенный адрес в интернетах от любого из сотрудников.
                                      6. Письмо не уходит потому что либо размер большой, либо адресат не существует, либо отлуп потому что твоей домен внезапно блэклистед.
                                      7. Приемная любит слать 5 мегабатные открытки на каждый праздник на everyone@
                                      8. Настройте ка мне на телефоне почту, да мне насрать что там tls не поддерживается, и это андройд до 4.1 версии.

                                      Про то, что в мире куча конторок с их админами и своими почтовыми серверами вообще не заморачивается на предмет того, что бы их почтовые сервера соответствовали требованиям по обмену почтой можно вообще долго рассказывать. А вам это почту нужно принять, юзеры хотят.

                                      Цисковому TALOSу вообще нагадить с высокой горы, если вы там получили у них негативный рейтинг. Им там писать некуда что бы вас из блеклистов убрали. Шлите хорошую почту, выравнивайте рейтинг.

                                      К этому можно добавить, что было бы хорошо что бы почтовый клиент сам все настройки тянул, что для чанги+аутлук самособой разумеющееся из коробки.

                                      История долгая вообщем.
                                        +3
                                        Какая красивая реклама еханги, шутка :D
                                        Администрирование почтовика — это лишь один из скиллов администрирования. Ровно тоже можно сказать про администрирование допустим апачи. Или вообще Windows/Linux администрирование. Сплошная потеря времени :D
                                          –3
                                          Видимо решили что установка и запуск сервера это уже все. Зациклились на одном сервере без учета общей обстановки. Запускать просто и недолго. Поддержка дорогая, если ваш сервер не предоставляет кучи инструментов по работе с ним.

                                          Вы лукавите. Ставите вопрос о лично почтовике, а свою простыню будущих трудностей (непонятно, правда, почему это вызывает у вас трудности) списываете с корпоративного. И, кстати: это всего лишь почтовый сервер, всего лишь подмножество административных задач. Не вижу в перечисленных вами пунктах ничего, с чем бы не смог справиться обычный средний администратор, или просто человек с головой и руками средней степени прямоты.
                                            +4
                                            Нет никакого лукавства. Почтовый сервер ради существования самого почтового сервера бессмыслен. И с ним, действительно справится любой админ. А дальше, вы либо автоматизируете, либо руками это делаете каждый раз, когда прилетает заявка. Это минус ваше рабочее время, которое можно было потратить либо на самопрокачку, либо на вылизывание других процессов, участия в проектах или внедрениях.
                                              0
                                              Ну так а что мешает вам сделать административніе работы по настройке почты? Отсутствие квалификации? Я же вам ешё раз говорю: все вами перечисленные пункты яйца выеденного не стоят, это работа, просто работа. Настроил один сервер — накопил знаний, второй уже настраиваешь сразу с опциями.
                                              Четверо проминусовавших мой ответ, кстати, как раз и демонстрируют низкий уровень тех, кто эти самие админские задачи должен решать, но жалкие восемь задач так неподъёмно травмируют психику «админов», что аж кушать не могут, зато минусовать время находят :-)
                                                0

                                                Но ваша же позиция в целом предполагает некоторое понимание предстоящего доведения до ума. Тем более, если есть несколько сотен активных пользователей почты, то они обязательны. И, по большому счёту, если этим не занимается ответственный человек (а потом начнётся "дружба" почты с 1С и прочими Битриксами, со своими нюансами), то резонно вернуться к вопросу в названии статьи. И я уверен, что ответ "нет, не нужен".
                                                Потому что это будет либо трата времени и сил, либо баловство для себя и своего кота. Причём баловство как с " неуловимым Джо", который никому не нужен, а потому и от старта до эксплуатации это не составило труда.

                                                  0
                                                  Вы, вот которые говорят «не надо», почему-то всегда говорите о почте в сослагательном наклонении. Остальные, которые вам противоречат, всегда выступают в другом ключе: «да, нужно. да, работает. да, мого лет. нет, не задолбался.»
                                                  Разницу чувствуете? С одной стороны «а-а-а, я ничего не могу, давай купим у дяденек!», с другой стороны — смог, сделал, спрашивай.
                                                  Всё. Точка. Аллес.
                                                    0

                                                    Точка и аллес только лишь в том, что Вы тролль и говорить с Вами по существу не о чем.


                                                    Остальные, которые вам противоречат, всегда выступают в другом ключе: «да, нужно. да, работает. да, мого лет. нет, не задолбался.»

                                                    если это хобби — ради бога. Если это работа и за нее платят деньги (крупные корпорации до сих пор покупают коробки Exchange и держат на них корп почту или мелкие компании бывает держат свой почтовик для рекламных рассылок) — ради бога. Но не нужно пытаться навязать всем окружающим свою единственно верную (на самом деле нет) точку зрения. Обычные хомячки без особых требований уже выбрали — облачные сервисы вроде гугла или яндекса. И правильно сделали. А свободное время тратят на что-то более интересное

                                                      0
                                                      Троллить — задевать эмоции и наслаждаться этим. Если у вас вызывают эмоции чьё-то умение настроить почтовый сервер и ваша неспособность понять, что это элементарная задача, которая не стоит данного треда — ну, тогда я тролль.

                                                      свою единственно верную (на самом деле нет) точку зрения.

                                                      Да кто ж вам доктор, что вы видите в облаках на небе угрожающий рисунок — драконов или наступающие армии? Это не ко мне, это к психоаналитику, наверное.
                                                        0

                                                        Это такая же «элементарная» задача, как «настроить мониторинг». Директора почему-то считают, что там делов на 15 минут. И действительно — за 15 минут можно поднять графану, прометеус и накачать типовых алертов. А то, что это не является решением задачи — все забывают. То же и с почтовым сервером. Любой дурак сделает apt install postfix. А вот настроить нормально — это убить вечер. Хорошо, когда у тебя процесс проставлен на поток. А если это разовая работа?
                                                        И не надо про руководства. Ок? Зачастую руководства из интернета фрагментарны, неверны или не соответствуют актуальной версии ПО. А в оф доках на конкретный продукт может быть описана только какая-то базовая банальщина, а не процесс от сих до сих. Тчк. Удачного вечера, dixi.

                                                          –1
                                                          Читайте мой сообщение чуть выше по поводу разницы между осилившими и неосилившими.
                                                          В конце концов, всегда можете обратиться за платной поддержкой к тем, кто осилил — они осилят и установят. А доплатите ещё — может, и расскажут, почему именно так работает и чего категорически не надо делать.
                                                          Просто надо не только читать рецепт, но и думать при этом.
                                                          Думать. Головой. На то она и дана, чтобы думать.
                                                      0
                                                      Вот о том и речь. При этом нигде не было «а-а-а, я ничего не могу, давай купим у дяденек!». Но лишь позиция, что в одних случаях своя почта именно нужна, и в тех случаях ею занимаются ответственные люди, а не чувак с котом, которому было скучно и он решил поднять дома постфик.
                                                      И поднял, и работает, и никто не спорит, что будет работать, потому что этому постфиксу из кладовки особо ничего и не нужно. Да и сам он, с объективной точки зрения, не нужен.
                                                      Вопреки упомянутым предприятиям, где у тебя реально нужные свои и постфиксы, и чанги и ещё чёрт его знает что со спамассасином и каспером на входе, кучу раз друг с другом и другими сервисами предприятия переинтегрированное и нахватавшее в реальном рабочем режиме, активном, с множеством пользователей, граблей и от своей программной составляющей, и от сервисов, с которыми интегрируется, и от получателей, с которыми ведут переписку пользователи.
                                              +1
                                              Видимо решили что установка и запуск сервера это уже все.

                                              Для личного или семейного — да, уже всё, плюс диск потолще. Всё остальное актуально только для корпоративных серверов причём с хорошей текучкой кадров или сильно раздутым штатом, для небольшого стабильного бизнеса каждая из описанных проблем возникает не чаще нескольких раз в год.


                                              У меня свой сервер чуть более 20 лет, на нём ящики ещё пары друзей и родственников, за всё это время на установку и администрирование ушло в общей сложности не больше месяца (обновления, прикручивание чего-то нового по мере выхода, разборки с проблемами и несколько переездов между хостерами) — т.е. в среднем полтора дня в год.


                                              Почта с него уходит (и приходит) куда угодно, в спам-списки не попадал ни разу (там с десяток доменов), с приёмом тоже проблем не было (не считая редких случаев false positive и лимитов), спама мало благодаря нехитрым трюкам плюс spamassassin (впоследствии — rspamd), веб-морда — roundcube (до этого было просто imap).


                                              Единственный минус — нужны таки минимальные познания, чтобы всё сделать правильно, так что домохозяйкам и домохозяинам будет тяжко, это правда, но любой кто дружит с командной строкой и умеет курить мануалы сможет всё настроить раз и почти навсегда, максимум за пару рабочих дней.


                                              было бы хорошо что бы почтовый клиент сам все настройки тянул

                                              Для этого придумали кучу способов автоконфигурации, немножко шаманства с DNS и изредка веб-сервером — и большинство клиентов автоматом всё что нужно поставят после указания домена, но для маленького количества стабильных пользователей это не особо актуально.

                                                0
                                                Хорошая история, но если завтра вас переедет трамвай, то что будет с вашим почтовым сервером? Кто поможет почтовым ящикам ваших друзей на которые приходит важная почта или завязаны какие то критически важные сервисы?

                                                И если с чангой обычно все понятно, то linux-way зачастую дает такое разнообразие реализаций, что каждый новый спец предпочитает переподнять все заново, по своему, так как он привык. Потому что, чего там наворотили люди до него, и которых уже нет не выяснить.

                                                А текучка, она везде текучка. Сегодня один спец городил свои костыли, завтра другой. Описательную часть в конторах до 100 тел вообще ниразу не видел, хорошо если файл с паролями оставляли.
                                                  0

                                                  Вы правы, трамвай это проблема — но на этот случай я приготовил инструкцию. В теории, до тех пор пока хостинг жив и не найдена критическая уязвимость в софте, всё будет работать "само по себе", но я готовлю вариант который позволит переехать куда угодно с минимальными усилиями и знаниями.


                                                  Вначале это действительно был "linux way", но сейчас это пусть и примитивный, но всё же UI с возможностью добавлять ящики, менять пароли и делать минимальные настройки, а также документация, т.е. справятся и без меня какое-то время. У меня также есть secondary с репликацией, т.е. смерть одного сервера не убьёт почту, так или иначе, у друзей будет время на переезд в случае трамвая.


                                                  podde Я не доверяю балконам из-за их нестабильности, предпочитаю DS/VPS — поэтому "хостер". Тот факт что хостер теоретически может получить доступ к данным меня (и пользователей) не сильно волнует, там ничего "такого" в открытом виде нет (для этого используется PGP и другие способы), в случае же гипотетического взлома балкон мало отличается от хостинга где-то.

                                                    +1

                                                    Да, трамвай это проблема… но не моя.


                                                    У меня ситуация похожа на Tangeman, но чуток по-проще: свой личный-семейный почтовик лет 20. Из них 19 на qmail, а в этом году я переехал на postfix (плюс postgrey, opendkim, opendmarc, courier-imap, courier-authlib, postforward, postsrsd, pflogsumm, maildrop… если никого не забыл, мда). Spamhaus периодически бесит (сервер дома, у обычного ISP, а что адрес статический spamhaus не парит), но ничего смертельного, самоудаляюсь из него успешно раз в полгода-год где-то.


                                                    Но я отвлёкся. Я к тому, что у программистов есть такой очень правильный motto: "вы не гугл!". Здесь ровно та же ситуация. В статье и комментариях обсуждается личный почтовик. Перечисленные же Вами сложности к нему никак не относятся! Мой личный почтовик имеет полное право навернуться если со мной случится трамвай. У меня настроен второй MX на отдельном сервере, так что почта не потеряется пока основной лежит, а дальше наследник вполне может перенести домен на gmail или куда захочет, если ему это будет нужно.


                                                    P.S. Помимо перечисленных в статье причин иметь личный почтовик могу добавить ещё одну: контроль. Я хочу видеть, что исходящая почта всё ещё болтается в очереди, и почему конкретно. Я хочу контролировать спамфильтр, чтобы он не наглел и не прятал от меня важные письма (и тем более не reject-ил их на уровне SMTP по сомнительным причинам). А ещё я хочу создавать почтовые ящики в любом количестве, не сообщая сторонним сервисам свой номер телефона.

                                                      0
                                                      А ещё я хочу создавать почтовые ящики в любом количестве, не сообщая сторонним сервисам свой номер телефона.

                                                      Вы уже его сообщили в момент регистрации домена и в момент подключения к провайдеру…


                                                      Я хочу видеть, что исходящая почта всё ещё болтается в очереди, и почему конкретно.

                                                      ok. Только это не спасет в случае, если у контрагента письмо получено и было зарезано спаммерорезкой.


                                                      Я хочу контролировать спамфильтр, чтобы он не наглел и не прятал от меня важные письма (и тем более не reject-ил их на уровне SMTP по сомнительным причинам).

                                                      я, наверное, уже смирился, но Гугль и outlook365 не замечены в нежелательной деятельности по reject'у валидных писем. К тому же, самому спам фильтр настроить на такой же уровень качества как у Гугла и Яндекса одному попросту невозможно по объективным причинам

                                                        0
                                                        Не все регистраторы досконально проверяют предоставляемые данные. Максимум достоверного, что улетит такому регистратору — реквизиты кредитки, и то, если регистратор не позволяет произвести оплату каким-нибудь биткоином. С хостингом ещё проще — даже на хабре один из присутствующих хостеров принимает биткоины. В итоге при желании можно купить домен на полностью липовые данные, правда при этом появляется уникальная возможность «пролюби домен и сервер при первой проверке данных». Свой почтовик (или ПДД какая-нибудь) очень удобны для регистрации на всяких сайтах, при этом исходя из принципа «своя почта на каждый сайт» легко становится вычислить, у кого утекли базы, кто плевать хотел на персональные данные и т.д. Можно конечно и с gmail-ом такое проворачивать, добавляя мусор к адресу почты, но этот способ общеизвестен и в теории шибко продвинутый спамер этот мусор может отрезать.
                                                          0
                                                          Вы уже его сообщили в момент регистрации домена и в момент подключения к провайдеру…

                                                          Даже если и так, это не повод сообщать его ещё и гуглу с яндексом.


                                                          ok. Только это не спасет в случае, если у контрагента письмо получено и было зарезано спаммерорезкой.

                                                          Ну почему же? Регулярно спасает — я точно знаю на чьей стороне проблема и уведомляю об этом контрагента.


                                                          не замечены в нежелательной деятельности по reject'у валидных писем

                                                          Ха. Ха. Ха. Если лично Вы этого не видите — не значит, что этого нет. Я вот временами с этим сталкиваюсь, и в комментах тут это тоже упоминали. Да, конкретно гугл и конкретно в последний год, лично по моим впечатлениям, стал терять меньше нормальных писем. Но и это может быть ошибкой выжившего.


                                                          спам фильтр настроить на такой же уровень качества как у Гугла и Яндекса одному попросту невозможно

                                                          Согласен. Только — см. выше: "вы не гугл". Лично я обхожусь правилами для maildrop, и при этом получаю в среднем пару спам-писем в день. На обновление правил трачу пару минут раз в месяц, когда пара писем превращается в пять-шесть и это начинает раздражать.

                                                      0
                                                      У меня свой сервер
                                                      Несколько переездов между хостерами

                                                      Извините, не понял. Я так думал сначала, что у вас все эти ящики дома на балконе крутятся на своём почтовом сервере. Почему "хостер"? Поясните, пожалуйста.

                                                0
                                                Я не любитель Яндекса, но вроде почта-для-домена есть, и даже бесплатный тарифный план, правда с рекламой:(
                                                Да и хостеры часто вместе с сайтом предлагают почтовый сервер, прям с именем сайта.
                                                  0

                                                  Все неплохо с ПДД от Яндекса — но до тех пор пока они не решат (как собственно Gmail) сделать ПДД платным, и что в таком случае делать? Или платить или свой почтовик поднимать, а с архивом почты что делать?
                                                  Хотя да, согласен что пдд от Я вполне себе рабочая

                                                    0
                                                    Все неплохо с ПДД от Яндекса — но до тех пор пока они не решат (как собственно Gmail) сделать ПДД платным, и что в таком случае делать? Или платить или свой почтовик поднимать, а с архивом почты что делать?
                                                    Хотя да, согласен что пдд от Я вполне себе рабочая

                                                    На сколько я помню, они(гугл) сделали принудительно(для уже существующих бесплатных аккаунтов) платным использование только для аккаунтов-доменов с большим количеством внутренних аккаунтов. К примеру, моему личному аккаунту(домену) там лет 10 точно уже есть, все еще бесплатный, хотя когда-то приходили письма от гугла что они были бы очень рады, если бы я перешел на платную основу. А если у кого-то все таки компания, где много аккаунтов/сотрудников, так может все таки пора уже заложить в бюджет условные 100$ в год на оплату услуг корпоративной гугло-почты?
                                                      0
                                                      Для старых аккаунтов — да.
                                                      Завести сейчас почту — $5-6 за юзера у гугла/MS (MS еще с нюансами), либо у яндекса/мэйлру бесплатно, либо более нишевые сервисы (Zoho, RackSpace, ProtonMail), где можно найти за $1-2/юзер.
                                                      Т.е. банально домен с 3-5 ящиками — это уже $5-10 в месяц минимум (без учета цены домена, т.е. порядка $15/год), что сравнимо с ценой хорошей виртуалки у серьезного хостера или двух виртуалок у пары более дешевых, и накидать резервирование между ними.
                                                        0

                                                        Вот именно, когда сервер можно купить в оренду за 10-50$ который потянет в десятки раз больше пользователей, а вашу почту никто не сможет подсматривать

                                                    0
                                                    Яндекс, по крайней мере в обычной почте, умудряется пролюбить пароль при длительном неиспользовании. Нафиг-нафиг доверять ему при таких раскладах.
                                                      0
                                                      Яндекс и ваш кошелёк, при длительном неиспользовании присваивает.
                                                        0
                                                        Поэтому у меня нет кошелька на Яндексе.
                                                        Но с кошельком хотя бы понятно, деньги карман жгут и все такое. А почта им чем не угодила?
                                                    +4
                                                    Для меня главные аргументы против личного сервера — это просто тонны спама и неуверенность, что сервер того же Google вообще примет ваше письмо, а не отправит весь домен в спам-лист.
                                                    Все же встроенные фильтры Гугла/Яндекса лучше справляются с массовыми нежелательными рассылками и в результате входящие «чище».
                                                      +7
                                                      Всё не так страшно. Дома семейный почтовый сервак стоит уже лет 15. Прошёл эволюцию от готовых решений («вбейте имя домена->Далее->Далее->Готово») до полностью самопальной сборки, когда каждая строчка конфига сверялась с документацией на предмет «нафига оно нужно и что там должно быть по мнению лучших собаководов».

                                                      Так вот, при минимальном соблюдении стандартов (та же корректно настроенная PTR-запись) и гугль, и яндекс, и все остальные крупные почтовые провайдеры без проблем принимают письма от частных серверов. А уж если ещё немного и безопасностью озаботиться (SMTPS, DKIM, SPF и всё такое), ваш сервер будет вполне уважаемым клиентом :) Главное не лениться проверять свой почтовик различными online и offline сканерами на предмет настроек — львиную долю косяков вам тут же озвучат и подскажут в какую сторону копать.

                                                      Что до спама, тот же rspamd при практически настройках по умолчанию уже режет 98% спама. И если ваш сервер первые два-три дня активно от спамеров отбивается, то обычно после этого его привлекательность для ботов и спамеров резко падает (сужу по логам).

                                                        0

                                                        По поводу попадания в спам MS & Gmail & Yahoo, честно скажу, там далеко не все так просто. Если вы админите rspamd, то можете сами видить количество возможных правил. А у таких гигантов как выше перечисленных спам фильтр еще куда более замудрен, и правильно настроенный почтовик и домены это далеко не залог попадания почты в inbox. Когда у вас почты более чем 100 писем в день к большим провайдерам они еще как то реагируют на ваши заявки (MS & Yahoo), а если меньше — то будут присылать шаблонный ответ из серии проверте fbl, ip reputation, dkim, spf и идите лесом. В случае с Gmail дела обстоят еще более пагубно — там что бы добраться до человека иногда нужно пройти 9 кругов ада всемозможных ботов, а потом когда заявка уже оформлена — Google даже не отпишется о ее статусе и результате, вы даже не узнаете делали они вообще что либо или нет, и ваша почта просто выпала с чего то на подобии neural_network_short.

                                                        +6
                                                        Все же встроенные фильтры Гугла/Яндекса лучше справляются с массовыми нежелательными рассылками и в результате входящие «чище».

                                                        Но они создают другую проблему — могут принять за спам то что таковым не является и вы даже про это не узнаете. Не знаю как у Яндекса, но Гугл сам по себе решает что письмо — либо спам, либо фишинг, и молча его прибивает — т.е. только отправитель получает отлуп, а у получателя оно даже в спам не попадает. Попытки получить внятный ответ от саппорта гугля не приносят результата ("так работают наши фильтры, мы ничего не может сделать"), способы внести отправителя, его домен, его сетку в "белый список" — отсутствуют или не работают, возможности отключить спам-фишинг контроль очень ограничены и тоже не помогают.


                                                        Собственно, большей частью это касается почти всех сервисов, платных и не очень — отдавая обработку своей почты кому-то, вы теряете контроль и возможность анализа проблем (или сильно в этом ограничены) — это и есть основной минус почты "у дяди". Не говоря уже о том что "дядя" может по жалобе или капризу прибить вам доступ, с или без оснований, потому что ему что-то показалось, типа нарушения условий использования, или потому что против вашей страны ввели санкции, и ещё много всяких или, независимо от платности сервиса (ну разве что очень дорогие ведут себя иначе) — и в итоге в самый неподходящий момент вы можете оказаться без почты и без возможности что-то с этим сделать, навсегда или на ощутимое время.


                                                        К примеру, для меня одно неполученное вовремя письмо может оказаться хуже чем тонны спама (к примеру, если оно из налоговой — и им пофиг что письмо не дошло) — так что нет, никаких "дядей". Если умрёт DS/VPS с почтой (сам или вместе с провайдером) — его можно быстро воссоздать (или просто иметь secondary у другого провайдера), если умрёт ящик у гугла или кого-то ещё — уйдут в лучшем случае дни на разборки посредством обезьянок первого уровня, или тонны денег на то чтобы разборки заняли не дни а вменяемое время.

                                                          +2
                                                          Если умрёт DS/VPS с почтой (сам или вместе с провайдером) — его можно быстро воссоздать (или просто иметь secondary у другого провайдера), если умрёт ящик у гугла или кого-то ещё — уйдут в лучшем случае дни на разборки посредством обезьянок первого уровня, или тонны денег на то чтобы разборки заняли не дни а вменяемое время.

                                                          Но ведь при наличии личного домена, это не должно быть проблемой, Вы просто привязываете его в другой сервис и ждете обновления кешей DNS записей.
                                                            +1

                                                            Всё это (с учётом DNS) может занять до пары дней, за это время может произойти много неприятностей (типа bounce пока идёт перестройка), не говоря уже о том что просто так к другому сервису его не "привязать" — нужны настройки, индивидуальные ящики и прочее.


                                                            Но зачем всё это если можно просто поставить что-то вроде Mail-in-a-Box, Mailu или Mailcow изначально? Есть и ещё проекты, которые требуют минимальных усилий — только свой домен и DS/VPS.


                                                            Сейчас очень многое завязано на почту, даже у частных лиц — регистрации во всяких госуслугах, банках и подобным, где сбои могут иметь весьма неприятные последствия, про тех у кого бизнес и работа завязаны я уже молчу — хотя многие из них до сих пор пользуются бесплатными ящиками, которые можно потерять в момент.


                                                            Вообще электропочта уже дошла до точки когда провайдеров нужно минимально регулировать, дабы пользователи не опасались потерять аккаунт просто по прихоти провайдера или левым жалобам, и имели возможность сохранить почту если провайдер вдруг умер или сошёл с ума.

                                                              0
                                                              Ну оно уже регулируется :)
                                                              Лицензионным соглашением между пользователем и сервисом. Где пользователь обязуется, а сервис ему за это ничего не гарантирует :D
                                                              Я понимаю, что свой домен и даже свой почтовый сервер под кроватью тоже ничего не гарантирует т.к. домен могут попросту отнять по той или иной причине.
                                                              Таким образом вот так чтобы ультимативного решения чтобы с гарантией, наверное на сегодня нет. И не факт что будет т.к. необходимость этого… весьма себе спорная.
                                                                +1
                                                                электропочта уже дошла до точки когда провайдеров нужно минимально регулировать
                                                                В Германии уже лет 10 как есть «DE-Mail» — возможность зарегистрировать «регулируемую» личную почту с перечисленными свойствами (+ цифровая подпись и прочие плюшки). Обеспечивается она государством через специально принятый закон.
                                                                  0

                                                                  Да, я в курсе — но есть минус — отправить сообщение адресату в DE-Mail из обычной почты (т.е. любой обычный email) нельзя, а это значит — прощайте онлайн-магазины и прочие кто не имеет de-mail.

                                                              0
                                                              По поводу спама и прочего — у мелкомягких их почтовый сервер весьма неплох в этом плане (который офис365), есть анализатор входящих и исходящих цепочек, куча настроек безопасности и т.п.
                                                              0
                                                              Proxmox Mail Gateway от спама в помощь.
                                                              +5
                                                              Только статья не полная…

                                                              Вам так же потребуется:
                                                              1. статический ip адрес
                                                              2. настройки ssl сертификатов
                                                              3. проверки домена и чистка его из спам листов
                                                              4. обратная ptr запись для вашего ip адреса (делается через провайдера)
                                                              5. настройка домена для работы с почтой (много разных записей для антиспама и т.д.)

                                                              В целом овчинка выделки не стоит.
                                                                +1
                                                                1) Я ещё не видел ни одного VPS, который бы не давал в комплекте IP (а в статье рекомендация про VPS упоминается, как дело доходит до «мне нужен свой почтовый сервант»)
                                                                2) Let's Encrypt довёл использование и настройку SSL почти до уровня домохозяек.
                                                                3) Тут даже не домен, а IP должен быть чистым.
                                                                4) По стандарту PTR просто должна быть, в реальности да, некоторые (в основном любительские) почтовики ругаются на всякие rev-88-14-188-222.sam.tam.idiot.xosting.xz, да и если мне память не изменяет, то эту самую PTR почти у всех хостеров можно прописать свою
                                                                5) Тут вариантов море — можно копипастнуть более-менее свежую HOW-TO и получить более-менее рабочее решение, а можно обложиться мануалами и родить своё. Собственно этот пункт и есть самый геморный.
                                                                  0
                                                                  1. Угу
                                                                  2. нет все сложно… просто читани как его прикручивать
                                                                  3. да, ip конечно же
                                                                  4. угу, а потом письма в спам улетают или не доставляются
                                                                  5. нет я имел ввиду записи для домена dkim и т.д.
                                                                    0
                                                                    По второму пункту — я был ленивым, на одном сертификате у меня висело всё, что только можно. Поэтому ssl я к постфиксу прикрутил по хаутушке с первой страницы выдачи гугла по запросу вида «Add let's encrypt certificate to postfix server».
                                                                    По пятому — зависит от того, насколько хочется плюшек. Я и DANE прикрутил на основе сертификата от того-же Let's encrypt-a, что весьма весело.
                                                                    0
                                                                    У буржуев есть впсы только с IPv6, v4 за дополнительную плату.
                                                                    По домену, есть спам-листы которые блочат все свежезареганные домены. И автоматически делистят их спустя несколько дней. Как таковые эти спам-листы использовать смысла нет, но проблема в том, что они используются как часть широкоизвестных спам-листов которые какраз и делают своё дело. Но в дальней перспективе конечно репутация ипа намного важнее.
                                                                    По PTR нет своей RFC, дальше best practices не ушли, такчто формально нет стандарта. Отсюда в т.ч. весь этот сад-огород и тонны обсуждений как же всётки сервачелло должен смотреть на rDNS и должен ли он вообще это делать. Я встречал неправильно прописанные PTR даже у «самого» микрософта на их mail.protection.outlook.com такчто очевидно это не лучший способ защиты от спама.
                                                                    0
                                                                    1. настройки ssl сертификатов

                                                                    Мой почтовый сервер работает без этой настройки.


                                                                    1. обратная ptr запись для вашего ip адреса

                                                                    Эта запись полезна. Работать-то сервер будет и без неё, но некоторые почтовые серверы будут объявлять почту спамом.


                                                                    (делается через провайдера)

                                                                    Но только через нормального провайдера. Обычные-то провайдеры в ответ на просьбу указать доменное имя клиентскому адресу говорят что-то типа — пошёл нахер, дурак, мы твоему адресу уже давно назначили имя типа ваш-ip.наш-провайдер.ru


                                                                    Но вообще лучше сделегировать с провайдерского сервера имён обратную зону (частичную, конечно) на свой сервер имён, чтобы во первых дать своему адресу имя своё, а во вторых иметь возможность менять/уточнять это имя без обращения к провайдеру. Но когда у провайдера просишь сделегировать к себе обратную зону для своего IP, то провайдерские админы вообще не понимают — о чём их просишь и делают вид, будто дурак у них — клиент.

                                                                      +1
                                                                      Эта запись полезна. Работать-то сервер будет и без неё, но некоторые почтовые серверы будут объявлять почту спамом.

                                                                      Не некоторые, а большинство почту принимать будут в Junk.
                                                                      Но только через нормального провайдера. Обычные-то провайдеры в ответ на просьбу указать доменное имя клиентскому адресу говорят что-то типа — пошёл нахер, дурак, мы твоему адресу уже давно назначили имя типа ваш-ip.наш-провайдер.ru

                                                                      Если вы пытаетесь поднять почтовик в через домоинтернеты почитайте договор: провайдеры домашнего интернета даже при выдаче статического публичного IP могут не разрешать изменение PTR в принцыпе. Так что тут завист от ISP, к примеру мой домашний провайдер прямо на главной странице пишет что разрешает смену PTR по заявке в support. С первого раза я правда попал на еникея, но потом дело порешали его старшые колеги.

                                                                      А вот последний ваш абзатц — это просто абзатц, извините за тафтологию.
                                                                      Но вообще лучше сделегировать с провайдерского сервера имён обратную зону (частичную, конечно) на свой сервер имён

                                                                      Частично насколько? Какой зачастую у вас размер подсети у провайдера в аренде? Я не часто вижу /24 подсеть в аренде, в основном уже логичнее взять свою ASN в таком случае.
                                                                      tools.ietf.org/html/rfc2317 4. Classless IN-ADDR.ARPA delegation — это то еще порно, многие не хотять им заниматся по понятным причинам. С ANS своей проблем нет, а вот с своим IPv4 Poolом — да, да здравствуй exhausted RIPE. Так вот я это к чему: структура домена ".in-addr.arpa" такова что делегировать по человечески можете вы можете зоны только A, B, C подсетей, то беш: /24, /16 и /8 если говорить привычными масками. А если страдать извращением с CNAMES как описано в rfc2317 то можно получить делегирование для /27 подсети (30 IP), все еще большой куш IP, не каждый провайдер его вам сделегирует. Хотите управлять своими PTR — или покупайте ASN и свой адресный pool и используйте свои NS на здоровье, или находите ISP у которого есть API которая позволит вам через WebUI либо в виде Invoke-RestAPI скриптов управлять резолвингом PTR.
                                                                      Но когда у провайдера просишь сделегировать к себе обратную зону для своего IP, то провайдерские админы вообще не понимают — о чём их просишь и делают вид, будто дурак у них — клиент.

                                                                      Я бы на их месте не оскорблял клиента, но молча бы покрутил палец у виска, а потом еще знатно посмеялся после того как бы положил трубку.

                                                                      P.S. в ipv6.arpa дела обстоят более гибко, там делегировать можно /48 и /32. По причине того что /48 это стандарт для выдачи всем юр клиентам — то сделегировать PTR зону будет и вправду легко. Жду не дождусь когда уже можно будет смело свалить с IPv4, мож хоть на пенсии порадуюсь Т_Т
                                                                    +3
                                                                    как же раньше было хорошо… было много НОД, можно было стать поинтом у любой, хоть у всех, если был нужен собственный почтовый сервер, отпаиваешь какого-нибудь СиСопа и он даёт тебе настроенные конфиги, поднимаешь собственную НОДу =)))
                                                                    как же раньше было проще и интереснее =)
                                                                    ps: да, конечно, были минусы, визжащие по ночам в телефоне кошки =)
                                                                      +4
                                                                      Ну-ну, настроить t-mail (Bink) + fossil driver + parmatosser (fastecho, squish) + GoldEd + тоссер для файлэх — занятие для новичка было не на пару минут. А ноду получить — тоже непросто, ZMH держать надо как минимум, а еще доказать, что ты не верблюд и ноду вообще тебе можно. )

                                                                      Так что сейчас проще — у меня сайтик на роутере уже пару месяцев вполне нормально работает, аптайм 99,93% (было несколько сбоев — раз отвалился диск внешний, и провайдер ночью какие-то работы делал — не было сети около 15 минут пару раз), думаю как раз к нему еще и почтовый сервер подсадить — для экспериментов.
                                                                        0
                                                                        смайл =)
                                                                      +1
                                                                      Для тех, у кого критерием к своему серверу является доступность переписки третьим лицам, могу посоветовать PGP.
                                                                        +2
                                                                        Учитывая что с шансом 95% второе лицо в переписке все равно использует гугл/яндекс/по-вкусу, шифрование это вообще единственный теоретический способ защититься от доступности писем третьим лицам.
                                                                          +3

                                                                          ИМХО — лучше s/mime — и проще и больше клиентов что поддерживают и популярнее.

                                                                          +11
                                                                          Поднял и пользуюсь своим почтовым сервером уже лет 15 с лишним.
                                                                          Последний раз перенастраивал всё несколько лет назад когда переезжал на OpenSMTPd — он лёгкий, компактный и весьма надёжный.
                                                                          У меня не очень активная переписка, но тем не менее оно того стоило.
                                                                          Могу констатировать, что при правильной настройке DKIM, SPF, PTR и прочего — все письма ходят очень надёжно, например GMail мои письма прекрасно принимает, ни разу не было проблем.
                                                                          Сертификаты обновляются сами через LetsEncrypt, домен свой, на серваке FreeBSD, хотя это в данном случае не так важно.
                                                                          По поводу спама — уже много где описано как прикрутить RSpamD хоть к какому почтовику. После определённого периода обучения он неплохо откидывает спам в отдельную папку, иногда ему приходится помогать, но это совсем нетрудно.
                                                                          Ещё есть в OpenSMTPd замечательная возможность правильно отшить спамеров ещё на этапе коннекта к серверу, так отбрасывается бОльшая часть мусора из внешнего мира. А если и попадаются какие-то назойливые спамеры которые строго соблюдают протокол и имеют правильные DNS-записи (и иногда даже DKIM-подпись!) — таких можно отсеивать или Sieve-правилами уже позднее, или если совсем большой поток — поставить правило в коннекте.
                                                                          Но честно говоря, вся эта настройка делается один раз и требут минимум вмешательств в процессе работы позднее.
                                                                          Если у меня когда-нибудь будет настоящая паранойя, то можно будет переписываться в зашифрованном виде, а так оно уже и сейчас неплохо работает.
                                                                            +1
                                                                            например GMail мои письма прекрасно принимает

                                                                            Можете провести эксперимент по поднятию свежего почтовика.
                                                                            Будете сильно удивлены, но именно гуглу безразличны все выполненные вами политики безопасности на этапе развертывания — письма от вашего сервера он аккуратно будет складывать в «спам» от месяца и более.
                                                                              +2

                                                                              Не будет — личный опыт. Только настроить нужно всё! Последний год к примеру Google очень любит чтобы было внедрено mta-sts.

                                                                                +1
                                                                                Так-то я тоже утверждаю на основании личного опыта.

                                                                                Последний год к примеру Google очень любит чтобы было внедрено mta-sts
                                                                                Не смотря на то, что у гугла есть инструкция по настройке mta-sts, его же инструментарий по проверке корректности почтовика упорно молчит о необходимости или желательности этой опции.
                                                                                  0

                                                                                  Скорее всего IP (или подсеть) имели плохую репутацию когда ты его начал использовать. Но это, конечно, догадки. У самого таких проблем не было.


                                                                                  Из того что мне кажется важным: для всех DNS-based проверок еще очень помогает DNSSEC. Можно еще DANE прикрутить, но обновлять его при обновлении сертификата от LE геморройно немного.

                                                                                    0
                                                                                    Не отрицаю. Проблема в том, что у гугла свои списки, которыми он ни с кем не делится.
                                                                                      0

                                                                                      Совершенно верно! А учитывая стоимость сертификатов (аж по 4 евро за год по акции) LE не так уж и нужен.

                                                                                        0

                                                                                        Ну LE удобен тем что один раз настроил — и забыл. А эти покупные нужно вручную перевыпускать раз в год и переустанавливать. Как по мне LE проще в этом плане.

                                                                                        0
                                                                                        У меня на почтовом сервере DANE и сертификаты LetsEncrypt. DANE не обновляю, потому что в DANE вписан отпечаток публичного ключа, который не меняется. В случае certbot этого можно достичь с помощью опции reuse_key = True в /etc/letsencrypt/renewal/DOMAIN_NAME.conf
                                                                                          0

                                                                                          Согласен, но по дефолту этого не включено, а народ не знает. Даже доходит до каких-то странных скриптов которые правят файл зоны или делают nsupdate.

                                                                                    0
                                                                                    Личный опыт — я на гугле проверял вообще всю настройку свежего сервака для свежего домена. Первыми летели письма, который я вообще через telnet smtp.mynewservak.su 25 отправлял, т.е. там не то, что отсутствовали SPF/DKIM/DMARC и прочие плюшки, а сам протокол SMTP выполнялся по принципу «Да пофигу на все эти заголовки», летели письма без заголовков тем и прочего, с содержимым типа «Testiruju pochtu blin v324324324s». И ни одно письмо не улетело даже в папку спам.
                                                                                      +1
                                                                                      Не-а. Полгода назад поднимал совершенно новый домен, на домашнем IP, который ещё и менялся раз в неделю-две. Никаких проблем, никаких улетаний в спам, Гугл признаёт, обнимает как родного.
                                                                                      0
                                                                                      А если и попадаются какие-то назойливые спамеры которые строго соблюдают протокол и имеют правильные DNS-записи (и иногда даже DKIM-подпись!)


                                                                                      Их огромное количество. Подсетями банить приходится.
                                                                                        0

                                                                                        Хуже, я тут банил целыми TLD т.к. на Namecheap спамеры покупали сотни доменов в зоне .icu и хреначили с полностью корректно настроенными SPF/PTR и прочим.

                                                                                          +1
                                                                                          От таких помогает заведение ящика типа «mail@example.com» и автоматический банхаммер всех, кто на него что-то отправит.
                                                                                            0

                                                                                            Я просто забанил весь icu :)
                                                                                            Мне с него всё равно некому писать… потом как волна спадёт разбаню.

                                                                                              0
                                                                                              Я таким же образом хотел забанить весь китай (по GeoIP), но алиэкспрес внёс свои коррективы.
                                                                                          –1
                                                                                          Их огромное количество. Подсетями банить приходится.

                                                                                          Я вам открою секрет: письмо хостеру гарантированно выносит клиента с хоста.
                                                                                            0
                                                                                            Это совсем не секрет. У меня этим скрипт занимается. Но и поток спама, и поток генерируемых абьюзов остаются стабильными.
                                                                                              0
                                                                                              Если бы.
                                                                                              Специальные абьюзоустойчивые хостеры.
                                                                                              Клиенты которые крупные и считают что они имеют право слать что хочется потому что я якобы их клиент (реально — нет). Иногда и мелкие бывают (был даже случай что один и тот же домен но — контора Б сначала призналась что они контору А купили а обязательства перед клиентами А даже не подумают выполнять и вообще вы не клиент потому что списков клиентов у нас нет а потом очередями рассылки, по тем самым спискам клиентов что у них нет)
                                                                                            0

                                                                                            Недавно такую фигню заметил… Если нет MX записи, то некоторое получатели, которые используют облачный микрософт офис, отлуп дают.


                                                                                            Хотя три RFC подряд явно говорят, что при отсутствии MX надо брать A.

                                                                                            0

                                                                                            Эх! Думал в статье будет упомянут sendmail с его уж больно навороченными конфигами. Это классика, но лучше держаться от неё подальше.

                                                                                              0

                                                                                              Sendmail мёртв, не будем об ушедших. Ни один адекватный дистрибутив его более не поставляет по дефолту.

                                                                                                0
                                                                                                И все же, с ним ушла целая эпоха. Для своего времени Sendmail был довольно востребованным ПО. Он умел многое, что не умеют до сих пор ни один MTA. По разбору e-mail адресов ему нет равных. Он умел работать в таких сетях как UUCP и Fido. А его хитрые правила раутинга адресов любого любящего головоломки доведут до экстаза.

                                                                                                Покойся с миром дедушка Sendmail!
                                                                                                  0
                                                                                                  Вы будете ржать, но FreeBSD его до сих пор тянет по умолчанию.
                                                                                                    0

                                                                                                    Ну, благо они не дистрибутив линукса :)


                                                                                                    Вообще я с FreeBSD начинал лет 20 назад, но с тех пор давно разочаровался в нём и ушёл в линуксы полностью. Так что так им и надо, сами себе злые буратины.

                                                                                                    0
                                                                                                    да нет, жить будет еще долго.
                                                                                                  +1

                                                                                                  А посоветуйте нормальный современный и удобный веб-юай для своего почтового сервера? Все, что я смотрел — было каким-то страшным легаси. Для меня это основной аргумент против своего сервера. Я не хочу все письма закачивать в десктоп клиент.

                                                                                                    +3
                                                                                                    RoundCube? Imho, вполне на уровне. Внешний вид настраивается. Достаточно простая конфигурация. Модульный.
                                                                                                      0

                                                                                                      Спасибо, посмотрю!

                                                                                                        +1

                                                                                                        Да, ничего лучше из опенсорса объективно нет.

                                                                                                          0

                                                                                                          https://www.rainloop.net вроде еще ничего.

                                                                                                            0

                                                                                                            Эти ориентированы на коммерцию как я вижу. И на вид очень похоже на круглокуб, в код не глядел но как бы он не был форком...

                                                                                                        0
                                                                                                        В локаль безальтернативно закачиваются письма только по POP, можно (и нужно) использовать IMAP же.
                                                                                                          0

                                                                                                          По факту все почтовики и IMAP по дефолту кешируют.

                                                                                                          0
                                                                                                          Sogo — sogo.nu
                                                                                                            0

                                                                                                            Они вроде как денег хотят

                                                                                                              0
                                                                                                              Платная stable. Nigthly — free.

                                                                                                              sogo.nu/support/faq/how-to-install-nightly-sogo-versions-on-debian.html

                                                                                                              Зы. Кто «боится» nigthly-сборок. Развертываете ДВЕ-ТРИ-n идентичных виртуалки и перед обновлением sogo на продакшене тестируете на «кошках».

                                                                                                              Зы2. У меня в debian 10 так:
                                                                                                              set -x
                                                                                                              IFS=$'\n\t'
                                                                                                              
                                                                                                              PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin
                                                                                                              
                                                                                                              sudo apt-get clean
                                                                                                              sudo apt-get update
                                                                                                              
                                                                                                              sudo apt-get install apt-transport-https
                                                                                                              
                                                                                                              CODENAME='buster'
                                                                                                              
                                                                                                              sudo gpg --keyserver hkp://keys.gnupg.net --recv-key 0x810273C4
                                                                                                              sudo gpg --armor --export 0x810273C4 | sudo apt-key add -
                                                                                                              
                                                                                                              echo "deb http://packages.inverse.ca/SOGo/nightly/5/debian/ ${CODENAME} ${CODENAME}" | sudo tee /etc/apt/sources.list.d/sogo.list
                                                                                                              
                                                                                                              echo "deb-src http://packages.inverse.ca/SOGo/nightly/5/debian/ ${CODENAME} ${CODENAME}" | sudo tee -a /etc/apt/sources.list.d/sogo.list
                                                                                                              
                                                                                                              sudo apt-get update
                                                                                                              
                                                                                                              if ! sudo apt-get install --dry-run sogo; then
                                                                                                                echo 'deb http://ftp.debian.org/debian unstable main contrib non-free' | sudo tee /etc/apt/sources.list.d/unstable.list
                                                                                                                sudo apt-get update
                                                                                                                sudo apt-get install -y sogo sogo-activesync memcached
                                                                                                                sudo rm -fv /etc/apt/sources.list.d/unstable.list
                                                                                                                sudo apt-get clean
                                                                                                                sudo apt-get update
                                                                                                              else
                                                                                                                sudo apt-get install -y sogo sogo-activesync memcached
                                                                                                              fi
                                                                                                              
                                                                                                            0
                                                                                                            SOGo к примеру.
                                                                                                            p.s.Если интересен почтовый сервер, то советую присмотреться к mailcow dockerized, там очень крутая и полноценная документация на гитхабе
                                                                                                              0
                                                                                                              Я сейчас использую у себя простенький RainLoop. Проблем особых не возникло, но в бесплатной версии нет средств для нормальной кастомизации интерфейса.
                                                                                                              +2
                                                                                                              Связка Proxmox Mail Gateway + Postfix+Dovecot+Sogo+Apache Solr+Apache Tika+Tesseract OCR
                                                                                                              прекрасно работает на 16 Гб ОЗУ + 12 ядер как вирт. машина на Proxmox VE для ~1000 человек. С привязкой к AD.

                                                                                                              Зы. Sogo — классная штука ) Умеет вдобавок «притворяться» MS Exchange для Outlook-а.
                                                                                                                0
                                                                                                                А для чего тессеракт?
                                                                                                                  +2
                                                                                                                  1. Tesseract OCR + dovecot -> google
                                                                                                                  2. Для ленивых. Используется для распознавания текста на картинках (как finereader). Т.е., если Вы\Вам отправляете\получаете картинку\pdf без OCR-слоя, то tesseract распознает текст и позволяет искать распознанный текст во вложениях.
                                                                                                                  0
                                                                                                                  Зы. Sogo — классная штука ) Умеет вдобавок «притворяться» MS Exchange для Outlook-а.

                                                                                                                  спасибо, посмотрел, действительно выглядит как конкурент для Kerio etc.

                                                                                                                    +1
                                                                                                                    Прошу не путать EAS (Exchange ActiveSync) с Exchange OWA. То что умеет SOGo — это только EAS который был разработан для мобильных устройств. Он хорош на телефоне, но не более. Его не стоит (от слова совсем) использовать на десткоп ОС. Если вы хотите работать с Outlook на десктопе то используйте IMAPS + SMTPS + caldavsynchronizer.org но по моему мнению Thunderbird + TbSync куда лучше =) ибо он free, и во вторых он имеет куда больше разширений и функционально на уровень выше, работает со своими TLS, а не теми что есть в .net framework (к примеру Outlook не умеет в TLS1.3). Из минусов Thunberbird я знаю только 2:
                                                                                                                    — редактор при отправке писем куда хуже (увы)
                                                                                                                    — сортировка по тредам (темам) отсутвует — но я лично ей и не пользуюсь
                                                                                                                      0
                                                                                                                      Спасибо за разъяснение.
                                                                                                                    –1
                                                                                                                    Вопрос даже не стоИт — если есть свой IP и доменное имя, должен быть не только почтовый сервер, но веб и фтр. Удобно и безопасно. Что касается потери почты, то это проблемы отправляющего — у меня удаляется все, что не имеет темы, кодировано в html, а также все, в теле чего будет найдена реклама отправляющего сервера — достаточно того, что есть в заголовке. Соответственно, почта, сформированная вебмайлом и настроенная по-умолчанию, режектится нахер. Также режектится все, что имеет заголовок не на русском и не в адресной книге. На клиенте также отсутствует папка Спам — все, что спаморезкой классифицируется как спам, просто удаляется без каких либо уведомлений. И что-то никаких неудобств я не замечаю.
                                                                                                                    Как-то на заре преподавательской деятельности у меня был ящик на майлру. Каждый день приходило по полсотни писем, из которых 90% мусор. Уезжаешь в опуск и через две недели ящик полон — после этого ты начинаешь терять нужную почту.
                                                                                                                      +1
                                                                                                                      FTP безопасно?
                                                                                                                        0

                                                                                                                        ФТП — нет, SFTP или FTPS — скорее да, чем нет, но отдельный геморрой это все правильно настроить

                                                                                                                          0
                                                                                                                          А в чём геморрой с SFTP, простите?
                                                                                                                            0

                                                                                                                            Наверное, в том, что вы сами путаете FTPS/SFTP и там целая прикольная история с правильным выбором технического средства и правильной его настройкой (ну, например, чтобы только отдельные юзеры могли заходить и видеть отдельные каталоги)?

                                                                                                                              –2
                                                                                                                              … вы сами путаете FTPS/SFTP ...

                                                                                                                              Вы меня начинаете пугать. А откуда у вас такая неуместная уверенность? Мы, простите, знакомы или общались на предмет разницы между FTPS и SFTP?
                                                                                                                            0
                                                                                                                            Да не особо. В чём трудности заключаются?
                                                                                                                            Секурному фтп даже самоподписанный серт мона подсунуть т.к. фтп клиентов которые бы умели проверять цепочки не сущетсвует наскок я наю.
                                                                                                                            Единственное что может вызвать сложность, указать правильный Umask, но там достачтоно раз понять логику и усё. Остальные настройки понятны и их не так много.
                                                                                                                            Но вобщем конечно фтп — это прошлый век.
                                                                                                                        +1
                                                                                                                        Аргумент «чтобы мою почту не читали» — полный бред. Не будут читать на твоём почтовом сервере, будут читать «на другом конце провода». Вообще, сисадминов-параноиков развелось уже больше нормы
                                                                                                                          +3

                                                                                                                          Не такой уж и полный.
                                                                                                                          Есть большая разница между "прочитали письма на другом конце провода" и "прочитали вообще все письма в одно лицо".
                                                                                                                          Опять же, другой конец провода тоже можно озаботить подъемом собственного сервера.

                                                                                                                            –2
                                                                                                                            «прочитали вообще все письма в одно лицо» — это вы про что?

                                                                                                                            Давайте поднимем каждый собственный сервер. Бред на бреде просто

                                                                                                                              +2
                                                                                                                              «прочитали вообще все письма в одно лицо» — это вы про что?

                                                                                                                              У "общественных" почтовых сервисов обычно есть такая занятная функция — восстановление доступа.
                                                                                                                              И некоторые умудряются "восстановить доступ" к чужому аккаунту, используя телефон и немного магии, именуемой "социальная инженерия". Получив доступ к аккаунту можно прочитать все, что там скопилось. А учитывая, что многие предпочитают держать всю переписку за долгие годы непосредственно в "ящике" (ибо доступ с любого компьютера и т.п.)...


                                                                                                                              Давайте поднимем каждый собственный сервер.

                                                                                                                              А зачем? Все зависит от важности почтового ящика и способности поднять и поддерживать свой сервер.
                                                                                                                              Если человек не может создать нормально защищенный сервер, то не стоит и пытаться (не стоит полагаться на одну лишь инструкцию, нужно полностью понимать, что делаешь, иначе что-то важное можно и упустить).
                                                                                                                              Если ящик используется только для одноразовой регистрации на форумах, то свой сервер ради него просто не окупится.
                                                                                                                              И так далее в том же духе.
                                                                                                                              А дальше прикидывается баланс затрат, рисков и плюшек и принимается решение: надо или не надо.

                                                                                                                                0
                                                                                                                                У «общественных» почтовых сервисов обычно есть такая занятная функция — восстановление доступа.

                                                                                                                                Ну отлично. Только для этого, как правило, нужно получить смс или правильно ответить на вопросы. Намного проще бывает взломать домашний сервер, на котором, в отличии от публичных больших серверов, как правило опять же, нет почти никакой защиты

                                                                                                                                А зачем? Все зависит от важности почтового ящика и способности поднять и поддерживать свой сервер.
                                                                                                                                Если человек не может создать нормально защищенный сервер, то не стоит и пытаться (не стоит полагаться на одну лишь инструкцию, нужно полностью понимать, что делаешь, иначе что-то важное можно и упустить).
                                                                                                                                Если ящик используется только для одноразовой регистрации на форумах, то свой сервер ради него просто не окупится.
                                                                                                                                И так далее в том же духе.
                                                                                                                                А дальше прикидывается баланс затрат, рисков и плюшек и принимается решение: надо или не надо.

                                                                                                                                Сейчас вот сядет каждый и будет считать затраты, риски, балансы… а еще собирать кде пот фрибсд. Волшебный мир розовых пони линуксоидов поразит даже любого опытного психиатра
                                                                                                                                  +3
                                                                                                                                  Только для этого, как правило, нужно получить смс или правильно ответить на вопросы. Намного проще бывает взломать домашний сервер

                                                                                                                                  Да нет. Выяснить девичью фамилию матери жертвы гораздо проще, чем подобрать ключ RSA и вломиться по SSH на домашний сервер. Мне друг рассказывал.

                                                                                                                                    –1
                                                                                                                                    Ну отлично. Только для этого, как правило, нужно получить смс или правильно ответить на вопросы.

                                                                                                                                    Еще раз, получают доступ при помощи одного лишь телефона (можно даже таксофона) и социальной инженерии. Вопреки всем протоколам защиты, включая те же СМС и "секретные слова".


                                                                                                                                    Намного проще бывает взломать домашний сервер, на котором, в отличии от публичных больших серверов, как правило опять же, нет почти никакой защиты

                                                                                                                                    На некоторых домашних серверах защита посильнее, чем на публичных больших.


                                                                                                                                    Сейчас вот сядет каждый и будет считать затраты, риски, балансы…

                                                                                                                                    Еще раз. Затраты риски и плюшки не считаются, а прикидываются.
                                                                                                                                    Внезапно, большинство населения этим занимается постоянно.
                                                                                                                                    Другой вопрос, что оценка затрат может выглядеть как "поднять сервер, установить… фу, это слишком сложно" или "фигня вопрос, пять минут работы", оценка рисков может выглядеть как "вот поставлю я сервер, он сломается, все данные пропадут, ой, все пропало!!!" или "я — неуловимый Джо, меня ломать не будут", а плюшка "Хочу!!!" может перевесить при прикидке любые риски и затраты.


                                                                                                                                    а еще собирать кде пот фрибсд

                                                                                                                                    Ну если кому оно надо, пусть делает. Я не против. А мне это ни к чему.


                                                                                                                                    Волшебный мир розовых пони линуксоидов поразит даже любого опытного психиатра

                                                                                                                                    Особенно если этот мир кем-то зачем-то придуман и крайне редко встречается у настоящих линуксоидов.

                                                                                                                            +5
                                                                                                                            Почтовые сервера «от дяди» плохи тем, что в последнее время эти дяди слишком много на себя берут, решая за пользователя, что ему позволено отправлять, а что нет.
                                                                                                                            Например, если вы скомпилировали демку и хотите отправить её товарищу, прикрепив в качестве вложения, то внезапно выяснится, что exe-файлы, оказывается, тот же GMail уже прикреплять не позволяет. Да, даже в архиве. Точно так же он иногда упорно отказывается заглатывать Excel-документы на том основании, что там есть макросы, которые его эвристики считают подозрительными.
                                                                                                                            С учётом того, насколько быстро почтовики сейчас закручивают гайки, не удивлюсь, если уже в ближайшие годы и криптованные архивы слать будет нельзя, и MP3 (в рамках борьбы с пиратством), и кучу прочего.
                                                                                                                            В общем, почтовики кажется слегка охренели, и нужен хоть какой-то резервный вариант.
                                                                                                                              0
                                                                                                                              А принимать хотя бы дают?
                                                                                                                                +2
                                                                                                                                Нет конечно. Заворачивают с ошибкой:

                                                                                                                                SMTP error from remote mail server after end of data:
                                                                                                                                host gmail-smtp-in.l.google.com [64.233.162.27]:
                                                                                                                                552-5.7.0 This message was blocked because its content presents a potential
                                                                                                                                552-5.7.0 security issue. Please visit
                                                                                                                                552-5.7.0  https://support.google.com/mail/?p=BlockedMessage to review our
                                                                                                                                552 5.7.0 message content and attachment content guidelines.

                                                                                                                                Поэтому нормальная почта должна быть как у вас, так и у того, с кем вы обмениваетесь такими вложениями.
                                                                                                                                +4
                                                                                                                                Попробуйте через gmail отправить 7z архив с паролем и шифрованием имён файлов, будете «приятно» удивлены, т.к. ваше будущее уже наступило.
                                                                                                                                  0

                                                                                                                                  Так-то оно так, но никто не мешает залить его в Google Drive и отправить ссылку (что они и рекомендуют). Хотя да, иногда это бывает неудобно — например когда у принимающей стороны нет интернета или злобный корпоративный фильтр.

                                                                                                                                  0
                                                                                                                                  Что, и google drive не принимает exe файлы? Будущее уже наступило… Эх.
                                                                                                                                    –2
                                                                                                                                    Это всё мелочи, вот когда гугл отрезает вас от вашего почтового ящика «для вашей же безопасности» — это круто. Из разряда «подтвердите этот вход на мобильном или идите нафиг». А вы где-то за рубежом, местной симки у вас нет, открытого вайфая рядом нет, и вообще телефон сел. А у вас пароль 20 символов большие+маленькие буквы+цифры+символы. Но не-е-е-ет, гуглу лучше знать, входить с другого устройства небезопасно! Тьфу. Я взрослый человек, я как-нибудь сам прослежу за безопасностью. А если моя почта будет скомпрометирована из-за того, что я недостаточно проследил — сам отвечу за последствия.
                                                                                                                                    Но ложка дёгтя есть. Всегда найдутся «особо умные» админы, которые на своих серверах регистрацию делают по белому списку — если вашего домена в списке нет, значит это не настоящая почта. Проверка формата? Подтверждение через письмо? Да не, нафиг, запретим всё кроме гмейл и пару других известных — и в продакшн.
                                                                                                                                      +1
                                                                                                                                      А вы где-то за рубежом, местной симки у вас нет, открытого вайфая рядом нет, и вообще телефон сел.

                                                                                                                                      google authenticator насколько я помню, работает, на базе таймстемпов И БЕЗ ИНТЕРНЕТА.

                                                                                                                                        0
                                                                                                                                        Вы помните правильно, вот только описанное в моём комментарии не имеет ни малейшего отношения к google authenticator. Если у вас аккаунт гугла используется в гугл плей — то при определённых обстоятельствах вы не сможете войти в аккаунт с нового устройства/ip без дополнительного подтверждения запроса на телефоне. Естественно, запрос появляется только если телефон подключен к интернету. Это никак не настраивается, и я не нашёл, можно ли это как-то отключить, скорее всего — нет. Гугл защитит ваш аккаунт от всех, и это следует воспринимать буквально — вы тоже подходите под определение «всех», значит и от вас тоже. Во всяком случае за мою практику гугл защищал аккаунт от меня несколько раз, и ни разу — от каких-то реальных угроз.
                                                                                                                                          0

                                                                                                                                          Понял, Вы имеете в виду сценарий "подключаем Гугл учётку на недоверенном устройстве". А не просто зайти в отдельный гуглосервис через тот же браузер. Но Вы говорили именно про "вот когда гугл отрезает вас от вашего почтового ящика «для вашей же безопасности» — это круто." — так что нет, там есть разные способы входа. И GA там есть

                                                                                                                                    +2
                                                                                                                                    Знает ли кто-нибудь из присутствующих решение для асимметричного шифрования почты на своем сервере — такое, чтобы полученная сервером почта при сохранении в ящик шифровалась публичным ключом, а расшифровывалась бы приватным ключом в почтовом клиенте? Чтобы лицо, получившее доступ к серверу, не могло прочитать хранящуюся на нем почту.
                                                                                                                                      0
                                                                                                                                      Да, у меня так сделано, вот рецепт — perot.me/encrypt-specific-incoming-emails-using-dovecot-and-sieve

                                                                                                                                      С той разницей, что у меня весь софт стоит из пакетов, а он в руководстве из исходников кое-какие скрипты использует.
                                                                                                                                        0
                                                                                                                                        Спасибо, то, что нужно!
                                                                                                                                        +1

                                                                                                                                        Лицо, получившее (root) доступ к серверу, который хоть на каком-то этапе имеет доступ к незашифрованному письму — вполне сможет эти письма прочитать, вклинившись на этом же этапе, до шифрования.


                                                                                                                                        Нормальных механизмов тут ровно два: шифрование самих писем на всём пути через PGP или S/MIME, и шифрование винта где лежит входящая почта. Оба механизма защищают от разных угроз, так что часто имеет смысл применять оба. Но лицо, получившее доступ к машине, на которой эту почту читают и пишут — всё-равно сможет её прочитать.

                                                                                                                                          +1
                                                                                                                                          Да, я понимаю. Защита от «вклинивания» — это уже другая задача, решение которой, видимо, должно лежать в плоскости intrusion detection.

                                                                                                                                          Если говорить о шифровании винта — то если сервер находится у хостинг-провайдера, то и ключ к расшифровке при любом раскладе находится у него же (на диске, в аппаратном токене, в TPM). Получается, что шифрование винта в этом случае практически теряет смысл.
                                                                                                                                            0
                                                                                                                                            Если говорить о шифровании винта — то если сервер находится у хостинг-провайдера, то и ключ к расшифровке при любом раскладе находится у него же (на диске, в аппаратном токене, в TPM). Получается, что шифрование винта в этом случае практически теряет смысл.

                                                                                                                                            На самом деле нет. Есть детали, которые позволяют ключ через tang и все вокруг него получить. В общем, такой полудоверенный сетап получается

                                                                                                                                        +1
                                                                                                                                        Сейчас есть куча готовых docker контейнеров на hub.docker.com, с которыми можно поднять полноценный сервер со всеми настройками… мм… за час с нуля? Наверное так.
                                                                                                                                          +3

                                                                                                                                          А вот порекомендуйте парочку пожалуйста

                                                                                                                                            0

                                                                                                                                            Выше в комментах было.

                                                                                                                                          0
                                                                                                                                          Поставил Cyrus-SASL, Postfix и Cyrus IMAP. Прикрутил Roundcube 1.4.8 c календарем. Поправил logo на собственные картинки. Все прекрасно работает. Спам чищу настройками postfix и SpamAssasin. Плюс opendkim. Использую DNS ностинг от NIC.ru, так как у него API позволяет автоматически подтверждать права на домен при замене LetsEncrypt сертификатов. Бывает вычеркиваю свой серевер из базы spamhaus.org.

                                                                                                                                          Roundcube прекрасно выглядит на всех девайсах.

                                                                                                                                          В год приходится тратить 1 — 2 дня на поддержку всей этой кухни (это если все ходы записаны, ведь через год смотреть на конфиги больно и страшно). Ну чтобы все по-взрослому и чтобы исходящие не попадали в спам на принимающей стороне, а заголовки выглядели по-человечески.

                                                                                                                                          Однако Gmail нужен все равно.
                                                                                                                                            +2
                                                                                                                                            В статье не хватает бюджета (примерного) данного решения. Понятно, что условный гмейл/хотмейл/яху/яндекс бесплатен, но я плачу не деньгами, а своими потрохами, то есть разрешаю слежку за собой, взамен мне подсовывают сомнительную рекламу.

                                                                                                                                            Сколько стоит свой почтовый сервер (домен + хостинг) на минималках, к примеру? Вы VPS упомянули, а какая мощность сервера необходима, чтобы нормально работало и не падало от потери памяти? Просто минимальные системные требования для серверной убунты смотреть? Опять же, со времён девяностых наверное аппетиты поменялись.

                                                                                                                                            Ещё наверное надо о резервном копировании подумать. И хранить резервную копию либо у себя дома (раз в день/неделю автоматически выкачивая, например), либо на другом облаке у другого провайдера (может, даже лучше в другой стране).
                                                                                                                                              0

                                                                                                                                              Денег надо мало — ресурсов личная почта много не жрёт (у меня в сутки приходит около 200 писем на сервер, просто для примера). Условно считая домен за $10/год и сервер за $5/месяц получается примерно $6/месяц. А о бэкапах надо думать в любом случае, почта — далеко не единственное, что стоит регулярно бэкапить из личных данных. Некоторую сложность может составить необходимость где-то получить резервный MX-сервер (так, чтобы не платить ещё и за него $5/mo), но, полагаю, это не все делают для личного почтовика.

                                                                                                                                              +5
                                                                                                                                              Зашел под кат и надеялся увидеть что-то типо best practice в установке и настройке postfix, dovecot или еще чего в итоге немного истории и немного теории и рассуждений…

                                                                                                                                              К таким статьям комментарии читать интереснее, чем саму статью.
                                                                                                                                                +1
                                                                                                                                                А кто-то хочет просто экспериментов. Эти люди уже сами собирали ядро системы,
                                                                                                                                                тонко настроили домашний медиа-сервер, научили роутер качать все подряд
                                                                                                                                                с файлообменников без участия ОС

                                                                                                                                                Да-да. Эти люди собирали ядро, настраивали в молодости у провайдеров сети да хостинги и т.п. 20 лет назад. И поэтому теперь они хотят не экспериментов, а просто свой почтовый сервер. А почему свой? А для полного контроля над ним. Поэтому решения типа "на наших VDS" таким людям, конечно, не подойдут.