ЧудESA защиты корпоративной почты или внедрение свободных почтовых шлюзов на базе Proxmox Mail Gateway

[Adjuster2004]

Как он работает с архивами rar?

[toxella]

В старых версиях наблюдались проблемы извлечения из-за отсутствия в дистрибутиве необходимых библиотек. Решается довольно просто:
https://www.k7d.ru/it/proxmox-mail-gateway-ne-vidit-rar-arhivy/

[avelor]

При учёте что кламав немношк не обновляется в РФ и вообще циско - pmg не научился ещё удобно прикручивать другие антивирусные движки?

[13werwolf13]

это конечно костыль а не решение, но ничего не мешает завернуть маршруты до серверов откуда clamav берёт обновления в vpn до каких нибудь нидерландов

да и в общем-то держать сервера в россии нынче могут позволить себе только те кого это обязывает закон, остальным это скорее выстрел себе в ногу

[avelor]

Вопрос спорный. Держать серверы не в россии = можно остаться без серверов из-за невозможности оплаты или отказа дц раьотать с РФ.

[13werwolf13]

Есть хостеры основная фишка которых - возможность оплатить миллионом способов в любой ситуации. Их не так много но они есть. А остаться без серверов и свободы из-за очередного маразматического приказа роскомпозора возможность не илюзорная.

[avelor]

Для физиков - да, для юриков - возможность оплаты «любыми способами» сильно ограничена, особенно если они живут 100% по белому. + риск роскомнадзора кажется меньше, чем внезапно оказаться под sdn (или столкнуться с рубильником с зарубежной стороны).

Из моего круга приличное количество народу уехало со всякого saas на селфхостед или на отечественный saas (самое популярное - google workspaces -> yandex360). Ну и аренду/колокейшн перевозят в российские дц.

[toxella]

Из коробки он работает с одним кламав. Можете прикрутить свой антивирус, это же дебиан. Но я больше сторонник обновления с использованием tor или vpn. Просто ставите себе torsocks + proxychains и обновляетесь.

[Godless]

боюсь, что clamav несколько проседает по эффективности по сравнению с решениями drweb и kaspersky. не реклама. А так решение интересное

[13werwolf13]

drweb не щупал, а от кошмарского только негативные впечатления. А вот реально радовали решения от eset.. но было это давненько может сейчас что и поменялось

[avelor]

Да, кламав сильно проигрывает каперу/дрвебу.

У проксмокса внутри дебиан и постфикс, по идее с icap не должно быть проблем - но вдруг развились и можно вжжух и подключить:)

[d3f0x0]

Был ли опыт отправки событий в siem? Насколько подробное логирование, можем ли понять почему письмо попало(не попало в спам), логируется ли помещение письма в карантины?

[toxella]

Можно собирать логи syslogом, можно поставить filebeat и использовать ELK. Все действия с письмом на пути его следования через фильтры логируются либо в syslog, либо в maillog.

[vviz]

А кто нибудь может внятно сказать - зачем менять ESXi на Proxmox VE (PVE)?

[werter_l]

1. В esxi 7 обновили ядро - выпилили кучу оборудования и добавили лимитов https://4sysops.com/archives/esxi-7-0-free-new-features-limitations-upgrade/

2. Во фри версии esxi нет бэкапов из коробки. PVE же умеет + можно PBS прикрутить для инкрементных бэкапов.

3. Не умеет в soft raid (proxmox умеет zfs raid из коробки, можно и линуксовый рейд при установке debian + pve поверх). Почему soft raid? Это отвязывает от "железа" в виде hw raid. А zfs еще и жмет\распаковывает очень быстро (zstd) и умеет COW. Страшилки "zfs сожрала всю "память"" для тех, кто не осилил правку конфига zfs в плане ограничения размера ОЗУ под zfs arc cache.

4. Во фри версии esxi не умеет в кластер. Proxmox умеет из коробки в ceph, drdb\linstor, glusters и в "недокластер" - простая репликация по cron-у от 2+ нод https://pve.proxmox.com/wiki/Storage_Replication

5. И "вишенка" для РФ. Vmware ушла из РФ - никакого support-а теперь.

Из существенных минусов PVE- пока нет полноценного HA (

P.s. Для перехода на светлую сторону https://forum.netgate.com/topic/163435/proxmox-ceph-zfs-pfsense-и-все-все-все-часть-2/

[ggagnidze]

6. В бесплатной версии esxi даже клонировать машины нельзя :(

[toxella]

К предыдущему комментарию добавлю, что pve можно поставить на любое железо. Хоть сервера, хоть ноутбук. С esxi есть ряд сложностей.

[SellerOfSmiles]

Спасибо за статью. Но фраза "В разделе Relaying в поле Default Relay указываем IP-адрес или доменное имя SMTP-сервера, на который нужно отправлять письма дальше (сервер, обслуживающий ваш домен). " вводит в заблуждение. В купе с иллюстрацией можно подумать что там нужно указать локальный почтовый сервер, что неправда. Там указывается внешний релей, если он вообще есть.

[toxella]

Спасибо за замечание, однако не совсем с Вами согласен. Все зависит от инфраструктуры. В моем стенде сразу за почтовым шлюзом стоит почтовый сервер, обслуживающий почтовый домен. В настройках почтового сервера указан IP PMG, как доверенный. Возможно я Вас не так понял.

Я к тому, что цепочка почтовых серверов у всех может быть разная.