У меня остался нерассмотренным из закладок один многообещающий почтовый сервер – Stalwart Mail Server. Посмотрел сайт, документацию, репозиторий на github. Показалось вначале, что это прям то, что надо. Прикинул, что бесплатная версия может заменить ушедшую Zimbra. Полноценно подготовил тестовый домен, сделал все DNS записи, развернул и стал тестировать. Изначально решил его не только для теста, но и на постоянку развернуть, если всё будет ОК.
Привлекли в первую очередь следующие возможности:
◽️Новый протокол JMAP.
◽️Огромный список бэкендов для хранения почты: RocksDB, FoundationDB, PostgreSQL, mySQL, SQLite, S3-Compatible, Azure, Redis, ElasticSearch. Такого просто нигде не видел.
◽️Полнотекстовый поиск на 17-ти языках. Нигде не видел полный список, но когда выбирал ru, ошибок не получал. Вроде как поддерживается.
◽️Аутентификация через OpenID, LDAP, OIDC, SQL, дополнительно 2FA-TOTP, отдельные пароли для аутентификации приложений.
◽️Всё остальное присутствует в полном объёме - все протоколы TLS, борьба со спамом, многодоменность, права доступа на основе групп, лимиты и ограничения, возможность гибко настраивать все этапы обмена сообщениями на уровне протокола и т.д.
По заявленным возможностям я и платных то серверов таких не найду, не то, что бесплатных. Внешне всё выглядит очень красиво.
Развернул я сервер по инструкции в Docker:
Сразу скажу, что не понравилось:
В выводе пусто. Логи так не посмотреть.
Дальше я начал очень долго возиться с тем, чтобы просто подцепиться к серверу через Thunderbird. Нигде в документации не указано, что для этого нужно. Методом проб и ошибок выяснил, что:
1. Проходить аутентификацию нужно только указав пользователя, а не полный почтовый ящик. Не очень понял, как это будет работать, если у пользователя будет несколько ящиков в разных доменах.
2. По умолчанию сервер запускается без TLS и вроде как работает. Thunderbird автоматом подбирает его настройки без шифрования. Но где-то в глубинах сервера в настройках smtp стоит параметр не разрешать аутентификацию без TLS. Включил TLS, запустил на самоподписанном сертификате, заработало.
3. Правильные настройки, с которыми я в итоге подключился: imap 143 STARTTLS, smtp 587 STARTTLS.
4. Логи сервера, которые можно посмотреть через веб панель администратора вообще никак не помогли решить проблему. Они неинформативны в части ошибок.
5. В веб интерфейсе администратора смешаны бесплатные и платные возможности.
6. Нигде нет простого способа посмотреть, от кого и к кому отправлено письмо, кроме как парсить общий лог.
7. У меня иногда не доставлялись письма от себя к себе. В логах пусто. Не стал разбираться с этой ошибкой.
В итоге я всё худо-бедно настроил, чтобы почта забегала, но потратил много времени. По функциональности и удобству админки ничего плохого не скажу. Реально много всего умеет, но некоторые полезные вещи за денюжку.
Отдельно скажу пару слов про JMAP. Протокол по описанию неплох. Письма и другие сущности обернули в json и отдают по HTTP через запросы к API. Модно и современно, но нужна поддержка клиентов. Особой популярности он пока не приобрёл. Из популярных клиентов поддерживает K-9 Mail, есть плагин для Roundcube.
Кому-то посоветовать сервер этот не могу. Только если вам нужны все его возможности. Он сильно не похож на всё, что я видел до этого. Настройки немного непривычны и нелогичны. Много нюансов. С сервером надо разбираться, сначала тестировать. Он не сказать, что сильно популярен, поэтому искать решение внезапных проблем будет негде. Если он наберёт популярность и некоторый пользовательский опыт, то будет неплохим решением.
⇨ 🌐 Сайт / Исходники
#mailserver
Привлекли в первую очередь следующие возможности:
◽️Новый протокол JMAP.
◽️Огромный список бэкендов для хранения почты: RocksDB, FoundationDB, PostgreSQL, mySQL, SQLite, S3-Compatible, Azure, Redis, ElasticSearch. Такого просто нигде не видел.
◽️Полнотекстовый поиск на 17-ти языках. Нигде не видел полный список, но когда выбирал ru, ошибок не получал. Вроде как поддерживается.
◽️Аутентификация через OpenID, LDAP, OIDC, SQL, дополнительно 2FA-TOTP, отдельные пароли для аутентификации приложений.
◽️Всё остальное присутствует в полном объёме - все протоколы TLS, борьба со спамом, многодоменность, права доступа на основе групп, лимиты и ограничения, возможность гибко настраивать все этапы обмена сообщениями на уровне протокола и т.д.
По заявленным возможностям я и платных то серверов таких не найду, не то, что бесплатных. Внешне всё выглядит очень красиво.
Развернул я сервер по инструкции в Docker:
# docker run -d -ti -p 443:443 -p 8080:8080 \ -p 25:25 -p 587:587 -p 465:465 \ -p 143:143 -p 993:993 -p 4190:4190 \ -p 110:110 -p 995:995 \ -v /var/lib/stalwart-mail:/opt/stalwart-mail \ --name stalwart-mail stalwartlabs/mail-server:latestСразу скажу, что не понравилось:
# docker logs stalwart-mailВ выводе пусто. Логи так не посмотреть.
Дальше я начал очень долго возиться с тем, чтобы просто подцепиться к серверу через Thunderbird. Нигде в документации не указано, что для этого нужно. Методом проб и ошибок выяснил, что:
1. Проходить аутентификацию нужно только указав пользователя, а не полный почтовый ящик. Не очень понял, как это будет работать, если у пользователя будет несколько ящиков в разных доменах.
2. По умолчанию сервер запускается без TLS и вроде как работает. Thunderbird автоматом подбирает его настройки без шифрования. Но где-то в глубинах сервера в настройках smtp стоит параметр не разрешать аутентификацию без TLS. Включил TLS, запустил на самоподписанном сертификате, заработало.
3. Правильные настройки, с которыми я в итоге подключился: imap 143 STARTTLS, smtp 587 STARTTLS.
4. Логи сервера, которые можно посмотреть через веб панель администратора вообще никак не помогли решить проблему. Они неинформативны в части ошибок.
5. В веб интерфейсе администратора смешаны бесплатные и платные возможности.
6. Нигде нет простого способа посмотреть, от кого и к кому отправлено письмо, кроме как парсить общий лог.
7. У меня иногда не доставлялись письма от себя к себе. В логах пусто. Не стал разбираться с этой ошибкой.
В итоге я всё худо-бедно настроил, чтобы почта забегала, но потратил много времени. По функциональности и удобству админки ничего плохого не скажу. Реально много всего умеет, но некоторые полезные вещи за денюжку.
Отдельно скажу пару слов про JMAP. Протокол по описанию неплох. Письма и другие сущности обернули в json и отдают по HTTP через запросы к API. Модно и современно, но нужна поддержка клиентов. Особой популярности он пока не приобрёл. Из популярных клиентов поддерживает K-9 Mail, есть плагин для Roundcube.
Кому-то посоветовать сервер этот не могу. Только если вам нужны все его возможности. Он сильно не похож на всё, что я видел до этого. Настройки немного непривычны и нелогичны. Много нюансов. С сервером надо разбираться, сначала тестировать. Он не сказать, что сильно популярен, поэтому искать решение внезапных проблем будет негде. Если он наберёт популярность и некоторый пользовательский опыт, то будет неплохим решением.
⇨ 🌐 Сайт / Исходники
#mailserver
2👍103👎2
Решил для удобства собрать все бесплатные почтовые сервера, что упоминались на моём канале. Разбил их по категориям.
🟢 Свой почтовый сервер на базе Postfix + Dovecot – моя статья по настройке типового почтового сервера на Linux.
Серверы только в виде Docker контейнеров:
🟢 Mailu – классический стек на базе Postfix + Dovecot + Roundcube + Rspamd + Clamav и т.д. Свой удобный веб интерфейс администратора. Для установки есть готовый конфигуратор, который формирует docker-compose.yml и .env для запуска. Хорошее решение для тех, кому нужен стандартный почтовый сервер, запущенный в Docker.
🟢 Mailcow – похожий на Mailu почтовый сервер на базе того же стека, но чуть более функциональный. В качестве веб клиента используется SOGo, есть ActiveSync, интеграция с Netfilter, поддержка TFA и TOTP. У проекта более навороченная админка, где можно управлять не только почтовым сервером, но и самой системой, контейнерами.
☝️Оба сервера хороши. Кому нужно попроще, берём Mailu, кому понавороченней - Mailcow.
▪️Docker Mailserver – ещё один стандартный стек на базе Postfix + Dovecot. Особенность сборки - максимальная простота и минимум своих наработок. СУБД не используется, пользователи хранятся в файлах, все сервисы используют стандартные конфиги. Потребление ресурсов минимальное.
▪️Poste.io – тоже на базе Dovecot + Roundcube и т.д., только вместо Postfix используется Haraka. Админка своя, уникальная. Весь проект упакован в один контейнер. Есть отдельно платная PRO версия, куда перенесена часть полезной функциональности. Я не увидел у него преимуществ перед Mailu и Mailcow, поэтому рекомендую их.
Серверы под Windows:
▪️hMailServer – очень простой в настройке почтовый сервер. Проект старый и популярный. Особых наворотов нет, только базовые возможности почтового сервера. Подойдёт для тех, кому нужен простой бесплатный сервер под Windows, для настройки которого не нужны особые навыки. Есть интеграция с AD.
Серверы на базе Postfix и системных пакетов:
▪️Iredmail – классическая сборка на базе Postfix + Dovecot и всего остального по списку. В плане функциональности бесплатная версия не представляет из себя ничего интересного, но проект популярен за счёт своего возраста. На момент появления имел автоустановщик в виде готового скрипта и веб интерфейс администратора. Сейчас при наличии других бесплатных серверов не вижу особого смысла в его использовании.
▪️Mail-in-a-Box – по сути аналог Iredmail, только без ограничений бесплатной версии. Установка через скрипт под Ubuntu. Пользователи хранятся в sqlite, админка - PostfixAdmin. Простой стандартный стек на базе open source компонентов. Минус - проект одного человека.
🟢 Modoboa – ещё одна стандартная сборка со своей админкой и веб клиентом на Python. Приятная особенность - встроенный мониторинг и отчёты.
Собственные разработки почтовых серверов:
▪️Stalwart Mail Server – современный и очень функциональный почтовый сервер. Есть поддержка протокола JMAP. Единая админка для бесплатной и коммерческой версии, где перемешаны возможности. Неинтуитивная настройка, малая известность. Один из самых функциональных open source решений.
▪️Carbonio CE – сервер от компании Zextras, которая писала и продавала расширения для Zimbra. После того, как последняя перестала собирать свои бесплатные бинарные сборки, Zextras решили сделать свой сервер и перенести свои наработки. Несмотря на то, что он построен на базе Postfix и Dovecot, вынес его в свою разработку, так как он сильно разбавлен кодом в виде расширений самой Zextras и Zextras Webmail (форк Zimbra Webmail). По сути это не только почтовый сервер, а проект для совместной работы. Отзывов про него мало, в основном не очень.
🟢 Mox – почтовый сервер из одного бинарника на Go. Максимально простая и быстрая настройка. Только базовая функциональность почты. Подойдёт для небольших или разовых задач.
Серверы только для рассылок:
◽️Mailman
◽️Cuttlefish
◽️Postal
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#подборка #mailserver
🟢 Свой почтовый сервер на базе Postfix + Dovecot – моя статья по настройке типового почтового сервера на Linux.
Серверы только в виде Docker контейнеров:
🟢 Mailu – классический стек на базе Postfix + Dovecot + Roundcube + Rspamd + Clamav и т.д. Свой удобный веб интерфейс администратора. Для установки есть готовый конфигуратор, который формирует docker-compose.yml и .env для запуска. Хорошее решение для тех, кому нужен стандартный почтовый сервер, запущенный в Docker.
🟢 Mailcow – похожий на Mailu почтовый сервер на базе того же стека, но чуть более функциональный. В качестве веб клиента используется SOGo, есть ActiveSync, интеграция с Netfilter, поддержка TFA и TOTP. У проекта более навороченная админка, где можно управлять не только почтовым сервером, но и самой системой, контейнерами.
☝️Оба сервера хороши. Кому нужно попроще, берём Mailu, кому понавороченней - Mailcow.
▪️Docker Mailserver – ещё один стандартный стек на базе Postfix + Dovecot. Особенность сборки - максимальная простота и минимум своих наработок. СУБД не используется, пользователи хранятся в файлах, все сервисы используют стандартные конфиги. Потребление ресурсов минимальное.
▪️Poste.io – тоже на базе Dovecot + Roundcube и т.д., только вместо Postfix используется Haraka. Админка своя, уникальная. Весь проект упакован в один контейнер. Есть отдельно платная PRO версия, куда перенесена часть полезной функциональности. Я не увидел у него преимуществ перед Mailu и Mailcow, поэтому рекомендую их.
Серверы под Windows:
▪️hMailServer – очень простой в настройке почтовый сервер. Проект старый и популярный. Особых наворотов нет, только базовые возможности почтового сервера. Подойдёт для тех, кому нужен простой бесплатный сервер под Windows, для настройки которого не нужны особые навыки. Есть интеграция с AD.
Серверы на базе Postfix и системных пакетов:
▪️Iredmail – классическая сборка на базе Postfix + Dovecot и всего остального по списку. В плане функциональности бесплатная версия не представляет из себя ничего интересного, но проект популярен за счёт своего возраста. На момент появления имел автоустановщик в виде готового скрипта и веб интерфейс администратора. Сейчас при наличии других бесплатных серверов не вижу особого смысла в его использовании.
▪️Mail-in-a-Box – по сути аналог Iredmail, только без ограничений бесплатной версии. Установка через скрипт под Ubuntu. Пользователи хранятся в sqlite, админка - PostfixAdmin. Простой стандартный стек на базе open source компонентов. Минус - проект одного человека.
🟢 Modoboa – ещё одна стандартная сборка со своей админкой и веб клиентом на Python. Приятная особенность - встроенный мониторинг и отчёты.
Собственные разработки почтовых серверов:
▪️Stalwart Mail Server – современный и очень функциональный почтовый сервер. Есть поддержка протокола JMAP. Единая админка для бесплатной и коммерческой версии, где перемешаны возможности. Неинтуитивная настройка, малая известность. Один из самых функциональных open source решений.
▪️Carbonio CE – сервер от компании Zextras, которая писала и продавала расширения для Zimbra. После того, как последняя перестала собирать свои бесплатные бинарные сборки, Zextras решили сделать свой сервер и перенести свои наработки. Несмотря на то, что он построен на базе Postfix и Dovecot, вынес его в свою разработку, так как он сильно разбавлен кодом в виде расширений самой Zextras и Zextras Webmail (форк Zimbra Webmail). По сути это не только почтовый сервер, а проект для совместной работы. Отзывов про него мало, в основном не очень.
🟢 Mox – почтовый сервер из одного бинарника на Go. Максимально простая и быстрая настройка. Только базовая функциональность почты. Подойдёт для небольших или разовых задач.
Серверы только для рассылок:
◽️Mailman
◽️Cuttlefish
◽️Postal
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#подборка #mailserver
5👍194👎3
Я уже когда-то вскользь упоминал про особенность работы почтовых клиентов, связанную с отображением аватаров отправителей. Конкретно о том, что нет какого-то единого стандарта и возможности указать свой аватар для всех получателей. В протоколах SMTP и IMAP вообще ничего не существует на эту тему. Многие, кто настраивают свои почтовые сервера не знают и не понимают этого. Точнее их пользователи, и просят сделать что-то подобное, но это невозможно.
Все те изображения, что вы видите у себя в почтовых клиентах – функциональность именно клиентов. Веб интерфейсы почты Яндекса, Мейла, Гугла отображают картинки, которые добавили сами пользователи в своих учётных записях. И если пользователь Gmail с настроенной у себя аватаркой пришлёт сообщение пользователю почты Яндекс, он там не увидит эту аватарку. А если отправить в ящик Gmail, то увидит.
То же самое умеет делать Outlook, подтягивая добавленные заранее аватары либо вручную пользователем для каждого отправителя, либо автоматически из AD. Насчёт последнего не уверен на 100%, но вроде бы видел такую информацию. Какие-то клиенты могут автоматически использовать favicon с сайта домена отправителя, если он там есть. Яндекс когда-то давно заявлял, что ищет и добавляет фото отправителя из соцсетей. Кто-то берёт изображения из сервиса Gravatar.
Когда последний раз упоминал об этом, мне в комментариях написали, что есть же стандарт BIMI (Brand Indicators for Message Identification), который как раз отвечает за отображение аватара почтового отправителя. Решил разобраться с этой темой и посмотреть, как она работает на практике. Забегая вперёд скажу, что стандарт этот скорее мёртв, чем жив.
Работает BIMI относительно просто. Он является частью настроек DMARC. Вы просто добавляете ещё одну TXT запись в DNS, типа такой:
Вам нужно выложить на сайт с тем же доменом, что и почтовый, картинку в формате svg. Картинка будет привязана к домену, то есть это в основном актуально для рассылок компании, потому что у всех отправителей этого домена будет один и тот же аватар или логотип.
В принципе, в таком виде это уже было бы удобно, но есть несколько важных нюансов. Для того, чтобы привязать изображение к вашему домену, вы должны получить VMC-сертификат (Verified Mark Certificate), подтверждающий, что вы реально имеете право использовать указанное изображение. По сути вам нужно зарегистрировать товарный знак и получить на него сертификат, выпущенный доверенным центром сертификации. Сделать его может, к примеру, тот же DigiCert, что выпускает обычные TLS сертификаты.
Требование получения VMC необязательное. В стандарте BIMI это опция. Но, к примеру, Gmail требует его наличие, чтобы отображать логотип у пользователей в почте. Мало того, что регистрация товарного знака и получение VMC – это значительная трата времени и денег, смыла в этом большого нет, потому что стандарт BIMI почти никто не поддерживает.
Ни один локальный почтовый клиент типа Thunderbird или Outlook его не поддерживают. Из крупных почтовых сервисов поддержка заявлена только у Gmail и Yahoo Mail и у некоторых небольших провайдеров. При этом Gmail требует VMC, который стоит ~$1,200 в год.
В общем, с аватарами в почте всё плохо. От BIMI толку почти нет, настраивать хлопотно, хотя для крупных западных компаний, сидящих плотно на Gmail, может и имеет смысл заморочиться.
Вообще, для меня странно, что протокол SMTP никак не развивают и не добавляют к нему функциональности. Ведь почтой до сих пор продолжают активно пользоваться. И хотя мессенджеры частично её заменяют, но полностью не заменят, так как это как ни крути – другой формат общения. Есть некоторое развитие IMAP в виде jIMAP, а по SMTP вообще ничего не видел нового. Аватарки прям напрашиваются в виде отдельного заголовка с закодированным там изображением.
#mailserver
Все те изображения, что вы видите у себя в почтовых клиентах – функциональность именно клиентов. Веб интерфейсы почты Яндекса, Мейла, Гугла отображают картинки, которые добавили сами пользователи в своих учётных записях. И если пользователь Gmail с настроенной у себя аватаркой пришлёт сообщение пользователю почты Яндекс, он там не увидит эту аватарку. А если отправить в ящик Gmail, то увидит.
То же самое умеет делать Outlook, подтягивая добавленные заранее аватары либо вручную пользователем для каждого отправителя, либо автоматически из AD. Насчёт последнего не уверен на 100%, но вроде бы видел такую информацию. Какие-то клиенты могут автоматически использовать favicon с сайта домена отправителя, если он там есть. Яндекс когда-то давно заявлял, что ищет и добавляет фото отправителя из соцсетей. Кто-то берёт изображения из сервиса Gravatar.
Когда последний раз упоминал об этом, мне в комментариях написали, что есть же стандарт BIMI (Brand Indicators for Message Identification), который как раз отвечает за отображение аватара почтового отправителя. Решил разобраться с этой темой и посмотреть, как она работает на практике. Забегая вперёд скажу, что стандарт этот скорее мёртв, чем жив.
Работает BIMI относительно просто. Он является частью настроек DMARC. Вы просто добавляете ещё одну TXT запись в DNS, типа такой:
default._bimi.example.com. IN TXT "v=BIMI1; l=https://example.com/logo.svg; a=https://example.com/vmc.pem"Вам нужно выложить на сайт с тем же доменом, что и почтовый, картинку в формате svg. Картинка будет привязана к домену, то есть это в основном актуально для рассылок компании, потому что у всех отправителей этого домена будет один и тот же аватар или логотип.
В принципе, в таком виде это уже было бы удобно, но есть несколько важных нюансов. Для того, чтобы привязать изображение к вашему домену, вы должны получить VMC-сертификат (Verified Mark Certificate), подтверждающий, что вы реально имеете право использовать указанное изображение. По сути вам нужно зарегистрировать товарный знак и получить на него сертификат, выпущенный доверенным центром сертификации. Сделать его может, к примеру, тот же DigiCert, что выпускает обычные TLS сертификаты.
Требование получения VMC необязательное. В стандарте BIMI это опция. Но, к примеру, Gmail требует его наличие, чтобы отображать логотип у пользователей в почте. Мало того, что регистрация товарного знака и получение VMC – это значительная трата времени и денег, смыла в этом большого нет, потому что стандарт BIMI почти никто не поддерживает.
Ни один локальный почтовый клиент типа Thunderbird или Outlook его не поддерживают. Из крупных почтовых сервисов поддержка заявлена только у Gmail и Yahoo Mail и у некоторых небольших провайдеров. При этом Gmail требует VMC, который стоит ~$1,200 в год.
В общем, с аватарами в почте всё плохо. От BIMI толку почти нет, настраивать хлопотно, хотя для крупных западных компаний, сидящих плотно на Gmail, может и имеет смысл заморочиться.
Вообще, для меня странно, что протокол SMTP никак не развивают и не добавляют к нему функциональности. Ведь почтой до сих пор продолжают активно пользоваться. И хотя мессенджеры частично её заменяют, но полностью не заменят, так как это как ни крути – другой формат общения. Есть некоторое развитие IMAP в виде jIMAP, а по SMTP вообще ничего не видел нового. Аватарки прям напрашиваются в виде отдельного заголовка с закодированным там изображением.
#mailserver
2👍74👎3
На днях читал новость про взлом крупного почтового сервиса через уязвимость в Roundcube Webmail. Это один из самых, если не самый популярный open source проект для веб интерфейса почтового клиента. Я повсеместно и очень давно его использую и уже привык, что там периодически находят уязвимости. Подписан на их рассылку и сразу иду ставить обновление, если оно появилось. Не откладываю.
С публичным веб интерфейсом постоянно сидишь как на пороховой бочке. Я рекомендую, если есть возможность, скрывать веб интерфейс почты за VPN. Не оставлять его напрямую в интернет. Не всегда это возможно.
Если вам всё же нужно оставить его в публичном доступе, то не ставьте веб интерфейс напрямую на почтовом сервере, хотя часто хочется это сделать. Если сервер не очень большой, то веб интерфейс особо не нагружает систему и удобно иметь всё, что связано с почтой, на одном сервере.
Ставьте веб интерфейс на отдельный веб сервер. Не оставляйте к нему прямого доступа. Если у вас более-менее насыщенная инфраструктура с веб сервисами, то наверняка используется какой-то обратный прокси. Делайте доступ к веб интерфейсу через него. В таком случае при взломе любого веб клиента, не обязательно Roundcube, уязвимости находят везде, просто этот самый популярный, доступ получат только к данным этого клиента.
А там не так уже много конфиденциальной информации. Самое ценное – список всех актуальных почтовых адресов ваших доменов. Неприятно, но некритично. Можно пережить. Если с этого сервера дальше никуда нет доступа и там больше ничего нет, то вы особо не пострадаете. Доступ к почте, как правило, при таком взломе не получить, если на самом почтовом сервере нет уязвимостей, с помощью которых можно без аутентификации получить доступ к почте. Сами пароли от ящиков в веб клиентах обычно не хранятся.
#mailserver #security
С публичным веб интерфейсом постоянно сидишь как на пороховой бочке. Я рекомендую, если есть возможность, скрывать веб интерфейс почты за VPN. Не оставлять его напрямую в интернет. Не всегда это возможно.
Если вам всё же нужно оставить его в публичном доступе, то не ставьте веб интерфейс напрямую на почтовом сервере, хотя часто хочется это сделать. Если сервер не очень большой, то веб интерфейс особо не нагружает систему и удобно иметь всё, что связано с почтой, на одном сервере.
Ставьте веб интерфейс на отдельный веб сервер. Не оставляйте к нему прямого доступа. Если у вас более-менее насыщенная инфраструктура с веб сервисами, то наверняка используется какой-то обратный прокси. Делайте доступ к веб интерфейсу через него. В таком случае при взломе любого веб клиента, не обязательно Roundcube, уязвимости находят везде, просто этот самый популярный, доступ получат только к данным этого клиента.
А там не так уже много конфиденциальной информации. Самое ценное – список всех актуальных почтовых адресов ваших доменов. Неприятно, но некритично. Можно пережить. Если с этого сервера дальше никуда нет доступа и там больше ничего нет, то вы особо не пострадаете. Доступ к почте, как правило, при таком взломе не получить, если на самом почтовом сервере нет уязвимостей, с помощью которых можно без аутентификации получить доступ к почте. Сами пароли от ящиков в веб клиентах обычно не хранятся.
#mailserver #security
XAKEP
Cock[.]li взломали. Похищены данные миллиона пользователей
Почтовый хостинг-провайдер Cock[.]li сообщил, что пострадал от утечки данных. Хакеры воспользовались уязвимостями в Roundcube Webmail и похитили более миллиона пользовательских записей.
👍79👎3
Небольшая информация из практики эксплуатации почтового сервера, с которой столкнулся впервые, и был немного удивлён. Получил от сервера Postfix уведомление:
This is the mail system at host mail.example.com.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<user@clientdomain.com>: mail for clientdomain.com loops back to myself
Вроде всё ясно, но ничего не понятно. Сервер ответил, что не может отправить письмо на домен clientdomain.com, потому что это отправка самому себе. С чего бы вдруг? Домен clientdomain.com к почтовому серверу не имеет никакого отношения.
Я сначала подумал, что возможно какой-то глюк с самим доменом. Может написан с каким-то спецсимволом и сервер так на него отреагировал. Но не похоже. Вообще, сервер Postfix очень информативен в плане логов. Люблю его за это. По логам всегда можно разобраться в проблемной ситуации. Обычно там всё по делу и сразу понимаешь, куда копать, что искать. Да и поисковики быстро помогают. По этому серверу накоплена огромная база знаний по всему интернету.
Вечерком сел и решил спокойно разобраться. Было интересно, в чём реально проблема. Начал с самого простого и тут же получил ответ:
Сразу догадался, в чём дело. Зашёл на домен по HTTP и увидел информацию о том, что срок регистрации домена истёк.
Как оказалось, этот домен принадлежит регистратору Nic. И у него закончилось делегирование. Nic почему-то для таких доменов прописывает свой MX сервер в DNS - nomail.nic.ru и назначает ему адрес 127.0.0.1. Вот мой Postfix и пытался отправить письмо самому себе через 127.0.0.1, но в своих настройках не имел этого домена. Ошибка получилась вполне логичной. А вот поведение Nic - не совсем. Первый раз столкнулся, что разделегированный домен резолвят на 127.0.0.1.
Хорошая история для какого-нибудь тестового задания по теме почтовых серверов. Изначально я смотрел лог почтового сервера во время отправки, смотрел выборку по ID письма и там было непонятно, почему письмо для этого домена попадает на loops back to myself.
#mailserver
This is the mail system at host mail.example.com.
I'm sorry to have to inform you that your message could not
be delivered to one or more recipients. It's attached below.
For further assistance, please send mail to postmaster.
If you do so, please include this problem report. You can
delete your own text from the attached returned message.
The mail system
<user@clientdomain.com>: mail for clientdomain.com loops back to myself
Вроде всё ясно, но ничего не понятно. Сервер ответил, что не может отправить письмо на домен clientdomain.com, потому что это отправка самому себе. С чего бы вдруг? Домен clientdomain.com к почтовому серверу не имеет никакого отношения.
Я сначала подумал, что возможно какой-то глюк с самим доменом. Может написан с каким-то спецсимволом и сервер так на него отреагировал. Но не похоже. Вообще, сервер Postfix очень информативен в плане логов. Люблю его за это. По логам всегда можно разобраться в проблемной ситуации. Обычно там всё по делу и сразу понимаешь, куда копать, что искать. Да и поисковики быстро помогают. По этому серверу накоплена огромная база знаний по всему интернету.
Вечерком сел и решил спокойно разобраться. Было интересно, в чём реально проблема. Начал с самого простого и тут же получил ответ:
# dig clientdomain.com MXnomail.nic.ru. 164 IN A 127.0.0.1Сразу догадался, в чём дело. Зашёл на домен по HTTP и увидел информацию о том, что срок регистрации домена истёк.
Как оказалось, этот домен принадлежит регистратору Nic. И у него закончилось делегирование. Nic почему-то для таких доменов прописывает свой MX сервер в DNS - nomail.nic.ru и назначает ему адрес 127.0.0.1. Вот мой Postfix и пытался отправить письмо самому себе через 127.0.0.1, но в своих настройках не имел этого домена. Ошибка получилась вполне логичной. А вот поведение Nic - не совсем. Первый раз столкнулся, что разделегированный домен резолвят на 127.0.0.1.
Хорошая история для какого-нибудь тестового задания по теме почтовых серверов. Изначально я смотрел лог почтового сервера во время отправки, смотрел выборку по ID письма и там было непонятно, почему письмо для этого домена попадает на loops back to myself.
#mailserver
2👍134👎2
Под ОС на базе Linux есть огромное количество различных почтовых серверов, от самых простых в виде одного исполняемого файла до сложных установок с десятками различных сервисов в контейнерах. Для Windows такого изобилия нет.
Был один бесплатный удобный и функциональный проект - hMailServer, но, к сожалению, автор его забросил. Последняя версия была в 2023 году. На сайте автора указано, что сервер больше не развивается и не поддерживается. Сам автор не советует его использовать, так как он не поддерживает современные протоколы шифрования, и рекомендует переходить на другое решение. Жаль, это был очень удобный и простой сервер, который было очень просто развернуть и настроить на полноценную работу почтовой системы.
Несмотря на то, что исходный код hMailServer открыт, никто его не форкает и не развивает. Так что можно про него потихоньку забывать. В современном интернете без регулярной поддержки продукты быстро устаревают в основном из-за регулярного обновления протоколов шифрования.
Под Windows есть только один более-менее близкий бесплатный аналог - MailEnable Standard Edition. Это полностью бесплатная редакция коммерческого почтового сервера. В этой бесплатной версии реализованы все стандартные возможности почтового сервера, в том числе встроенный веб интерфейс, адаптированный под мобильные приложения.
Разворачивается MailEnable так же просто и имеет удобную админку для управления. Подойдёт тем, кто не знает Linux или не хочет с ним разбираться. Например, разработчикам 1С, которым нужно управлять отправкой каких-нибудь отчётов по почте. А чтобы развернуть почтовый сервер на Linux без должных навыков и знаний, придётся прилично потрудиться.
MailEnable - старый сервер, что выдаёт его интерфейс. Но при этом продолжает развиваться, регулярно выходят новые версии. Управление через стандартную MMC-консоль Windows. Веб-интерфейс работает через IIS. Помимо почты есть личный календарь, задачи, контакты. Не знаю, насколько всё это актуально в наше время. Для реальных пользователей я бы такой не стал разворачивать. Думаю, он имеет смысл только для каких-то технических задач. Хотя, если использовать сторонний почтовый клиент, то почему бы и нет. Даже небольшие локальные серверы получили новую жизнь, после того, как не осталось бесплатных почтовых сервисов, куда бы можно было присоединить свой домен и использовать почту на нём.
⇨ 🌐 Сайт / Demo
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mailserver
Был один бесплатный удобный и функциональный проект - hMailServer, но, к сожалению, автор его забросил. Последняя версия была в 2023 году. На сайте автора указано, что сервер больше не развивается и не поддерживается. Сам автор не советует его использовать, так как он не поддерживает современные протоколы шифрования, и рекомендует переходить на другое решение. Жаль, это был очень удобный и простой сервер, который было очень просто развернуть и настроить на полноценную работу почтовой системы.
Несмотря на то, что исходный код hMailServer открыт, никто его не форкает и не развивает. Так что можно про него потихоньку забывать. В современном интернете без регулярной поддержки продукты быстро устаревают в основном из-за регулярного обновления протоколов шифрования.
Под Windows есть только один более-менее близкий бесплатный аналог - MailEnable Standard Edition. Это полностью бесплатная редакция коммерческого почтового сервера. В этой бесплатной версии реализованы все стандартные возможности почтового сервера, в том числе встроенный веб интерфейс, адаптированный под мобильные приложения.
Разворачивается MailEnable так же просто и имеет удобную админку для управления. Подойдёт тем, кто не знает Linux или не хочет с ним разбираться. Например, разработчикам 1С, которым нужно управлять отправкой каких-нибудь отчётов по почте. А чтобы развернуть почтовый сервер на Linux без должных навыков и знаний, придётся прилично потрудиться.
MailEnable - старый сервер, что выдаёт его интерфейс. Но при этом продолжает развиваться, регулярно выходят новые версии. Управление через стандартную MMC-консоль Windows. Веб-интерфейс работает через IIS. Помимо почты есть личный календарь, задачи, контакты. Не знаю, насколько всё это актуально в наше время. Для реальных пользователей я бы такой не стал разворачивать. Думаю, он имеет смысл только для каких-то технических задач. Хотя, если использовать сторонний почтовый клиент, то почему бы и нет. Даже небольшие локальные серверы получили новую жизнь, после того, как не осталось бесплатных почтовых сервисов, куда бы можно было присоединить свой домен и использовать почту на нём.
⇨ 🌐 Сайт / Demo
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mailserver
1👍105👎9
В свете вчерашней заметки про почтовые сервера, хочу сделать некоторое дополнение. Существует отличный бесплатный продукт – Proxmox Mail Gateway. Это своего рода шлюз для фильтрации почты. Условно его можно сравнить с обратными прокси для веб сайтов, типа Nginx в режиме proxy_pass, Traefik и т.д.
PMG собран на базе привычных open source компонентов:
◽️Postfix – основной MTA, который принимает/отправляет письма.
◽️Amavis – фильтр, который передаёт письма на проверку в антивирус и антиспам.
◽️SpamAssassin – антиспам.
◽️ClamAV – антивирус.
◽️Greylisting, DNSBL, RBL – инструменты противодействия спаму в виде технологии серых списков и обычных обновляемых списков блокировки.
Управляется всё это хозяйство через веб интерфейс. В консоль ходить не надо. Разобраться с ним легко, если есть понимание, как работают почтовые сервера. Запустить можно в несколько кликов в LXC контейнере в Proxmox VE. Он там в самом начале списка шаблонов, в разделе Mail. В настоящий момент там два шаблона: proxmox-mail-gateway-8.2-standard и proxmox-mailgateway-7.3-standard.
Принцип работы и интеграции с существующим почтовым сервером простой. PMG принимает всю входящую почту, обрабатывает и передаёт на основной почтовый сервер:
● Интернет ⇨ PMG ⇨ Внутренний почтовый сервер (например, Postfix, hMailServer, Exchange и т.д.) ⇨ Почтовый клиент
И то же самое происходит с отправкой. Письмо от клиента сначала попадает на основной почтовый сервер, а после него на PMG и уходит в интернет:
● Почтовый клиент ⇨ Почтовый сервер ⇨ PMG ⇨ Интернет
Если говорить более конкретно про настройку, то вы в DNS записях вашего домена, в качестве MX сервера указываете адрес PMG. А уже в нём указываете адрес основного сервера для пересылки на него почты. А в обратную сторону указываете на своём почтовом сервера в качестве релея адрес PMG. То есть встроить его в существующую работающую структуру очень просто. Если что-то пойдёт не так, то можно быстро откатиться обратно. Основной почтовый сервер можно не трогать.
❗️Отдельно отмечу, что Proxmox Mail Gateway – это именно почтовый шлюз. В качестве почтового сервера, который хранит почту и к которому могут подключаться клиенты он работать не может. У него нет ни хранилища почты, ни протоколов для клиентских подключений по imap или pop3. Мне неоднократно задавали подобный вопрос: "Можно ли как-то настроить PMG, чтобы он работал в качестве почтового сервера?" К сожалению, это невозможно. Хотя лично мне хотелось бы, чтобы его доработали до полноценного почтового сервера. Это добротный бесплатный продукт, которым приятно пользоваться.
Proxmox Mail Gateway можно эффективно использовать в связке с каким-то устаревшим сервером. Я не раз сталкивался с очень старыми почтовыми серверами, которые по разным причинам не могут или не хотят обновить, перенести на другую систему. В реальности это сложная техническая задача, особенно если очень большая почтовая база.
PMG может прикрыть старый сервер и исключить его взаимодействие с интернетом. Это может существенно обезопасить инфраструктуру почтового сервиса и отсрочить обновление или переезд. В частности, упомянутый мной ранее бесплатный hMailServer, который больше не обновляется, можно закрыть с помощью PMG и эксплуатировать дальше.
Лично я постоянно с этим шлюзом не работаю, так как нет особой необходимости. Свои почтовые сервера я настраиваю на основе Postfix. И в нём уже сам реализую нужную функциональность, которая может пересекаться с возможностями PMG. Если кто-то не видел, то вот моя подробная статья по настройке почтового сервера на базе Postfix.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mailserver
PMG собран на базе привычных open source компонентов:
◽️Postfix – основной MTA, который принимает/отправляет письма.
◽️Amavis – фильтр, который передаёт письма на проверку в антивирус и антиспам.
◽️SpamAssassin – антиспам.
◽️ClamAV – антивирус.
◽️Greylisting, DNSBL, RBL – инструменты противодействия спаму в виде технологии серых списков и обычных обновляемых списков блокировки.
Управляется всё это хозяйство через веб интерфейс. В консоль ходить не надо. Разобраться с ним легко, если есть понимание, как работают почтовые сервера. Запустить можно в несколько кликов в LXC контейнере в Proxmox VE. Он там в самом начале списка шаблонов, в разделе Mail. В настоящий момент там два шаблона: proxmox-mail-gateway-8.2-standard и proxmox-mailgateway-7.3-standard.
Принцип работы и интеграции с существующим почтовым сервером простой. PMG принимает всю входящую почту, обрабатывает и передаёт на основной почтовый сервер:
● Интернет ⇨ PMG ⇨ Внутренний почтовый сервер (например, Postfix, hMailServer, Exchange и т.д.) ⇨ Почтовый клиент
И то же самое происходит с отправкой. Письмо от клиента сначала попадает на основной почтовый сервер, а после него на PMG и уходит в интернет:
● Почтовый клиент ⇨ Почтовый сервер ⇨ PMG ⇨ Интернет
Если говорить более конкретно про настройку, то вы в DNS записях вашего домена, в качестве MX сервера указываете адрес PMG. А уже в нём указываете адрес основного сервера для пересылки на него почты. А в обратную сторону указываете на своём почтовом сервера в качестве релея адрес PMG. То есть встроить его в существующую работающую структуру очень просто. Если что-то пойдёт не так, то можно быстро откатиться обратно. Основной почтовый сервер можно не трогать.
❗️Отдельно отмечу, что Proxmox Mail Gateway – это именно почтовый шлюз. В качестве почтового сервера, который хранит почту и к которому могут подключаться клиенты он работать не может. У него нет ни хранилища почты, ни протоколов для клиентских подключений по imap или pop3. Мне неоднократно задавали подобный вопрос: "Можно ли как-то настроить PMG, чтобы он работал в качестве почтового сервера?" К сожалению, это невозможно. Хотя лично мне хотелось бы, чтобы его доработали до полноценного почтового сервера. Это добротный бесплатный продукт, которым приятно пользоваться.
Proxmox Mail Gateway можно эффективно использовать в связке с каким-то устаревшим сервером. Я не раз сталкивался с очень старыми почтовыми серверами, которые по разным причинам не могут или не хотят обновить, перенести на другую систему. В реальности это сложная техническая задача, особенно если очень большая почтовая база.
PMG может прикрыть старый сервер и исключить его взаимодействие с интернетом. Это может существенно обезопасить инфраструктуру почтового сервиса и отсрочить обновление или переезд. В частности, упомянутый мной ранее бесплатный hMailServer, который больше не обновляется, можно закрыть с помощью PMG и эксплуатировать дальше.
Лично я постоянно с этим шлюзом не работаю, так как нет особой необходимости. Свои почтовые сервера я настраиваю на основе Postfix. И в нём уже сам реализую нужную функциональность, которая может пересекаться с возможностями PMG. Если кто-то не видел, то вот моя подробная статья по настройке почтового сервера на базе Postfix.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
#mailserver
👍141👎2
Недавно по лентам каналов проскочил анонс бесплатной программы для бэкапа и переноса почты из почтовых ящиков - Mail-Archiver. Тема интересная и актуальная, потому что такого рода программ практически нет. Я обычно новый софт смотрю, прикидываю, будет ли он мне полезен и откладываю на полгода-год, чтобы настоялся. Если получает развитие, то пробую, если разработка не продолжается, то забываю.
Про Mail-Archiver впервые услышал в видеообзоре, который был в недавней подборке. Когда мне нужно забэкапить или перенести почтовый ящик с почтового сервера, который я не обслуживаю, и, соответственно, не имею напрямую доступ к исходникам писем, то беру imapsync. Это простой и надёжный инструмент, который позволяет по imap забирать почту с одного почтового сервера и складывать на другой. Для бэкапа достаточно поднять свой вспомогательный imap сервер, который примет почту. В своё время делал большие миграции с бесплатной почты для домена от Яндекс на другие сервера, когда первый убрал бесплатные тарифы.
Возвращаюсь к Mail-Archiver. Это веб интерфейс к сборщику почты из ящиков по протоколу imap. Я его попробовал. Поставить очень просто. В репозитории есть готовый
Внешне веб интерфейс собран на базе какого-то типового фреймворка для админок. Выглядит для своих задач нормально. Настойка максимально простая:
1️⃣ Добавляете новый почтовый ящик, указав имя сервера, логин, пароль, imap порт.
2️⃣ Запускаете вручную синхронизацию.
3️⃣ Смотрите почту через веб интерфейс панели. Можете сразу по всем добавленным ящикам в едином списке. В некоторых случаях это может оказаться полезным. Либо же выбираете отдельно ящики или конкретные папки в них.
4️⃣ При желании архив можно выгрузить в формате EML или MBox, предварительно сжав в ZIP. С большими ящиками скорее всего будут проблемы.
5️⃣ Все письма из одного ящика можно скопировать в другой. В том числе в отдельную папку. То есть можно на каком-то почтовом сервере для бэкапов сделать общий ящик и складывать туда в каждую папку письма какого-то отдельного ящика.
В целом панелька удобная. Я без проблем всё настроил. Но есть несколько важных нюансов:
1️⃣ Синхронизация писем идёт медленно. В среднем из ящика забирает 1-2 письма в секунду. Большие ящики будут очень долго синхронизироваться.
2️⃣ Вся почта хранится в SQL базе, конкретно в PostgreSQL. В целом это неплохо с точки зрения быстрого поиска по большому архиву. Но накладывает соответствующие требования к процессору и дискам, чтобы переваривать большие объёмы почты. Вообще не понятно, как эта панель будет работать, если туда загрузить несколько ящиков гигабайт по 50. У меня, к примеру, в обслуживании, таких полно.
3️⃣ Нет настраиваемых задач для регулярного бэкапа. Он запускается только вручную или по какому-то своему расписанию раз в 15 минут. Я вроде всё проверил, и панель, и документацию. Не нашёл, как этим управлять. Странно, что не сделали настраиваемый планировщик. Он тут напрашивается.
Mail-Archiver неплохо решает заданную задачу. Для личного использования или набора ящиков небольших объёмов будет удобен. Для больших почтовых ящиков и серверов, скорее всего не подойдёт. Но там странно было бы надеяться на бэкап через imap. Большие ящики надо бэкапить с уровня хранилища почты.
Отдельно отмечу возможность создавать учётные записи пользователей самой панели, к которым можно добавлять разные почтовые ящики с общим поиском по ним. Для каких-то задач это может быть простым и удобным решением.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#mailserver #backup
Про Mail-Archiver впервые услышал в видеообзоре, который был в недавней подборке. Когда мне нужно забэкапить или перенести почтовый ящик с почтового сервера, который я не обслуживаю, и, соответственно, не имею напрямую доступ к исходникам писем, то беру imapsync. Это простой и надёжный инструмент, который позволяет по imap забирать почту с одного почтового сервера и складывать на другой. Для бэкапа достаточно поднять свой вспомогательный imap сервер, который примет почту. В своё время делал большие миграции с бесплатной почты для домена от Яндекс на другие сервера, когда первый убрал бесплатные тарифы.
Возвращаюсь к Mail-Archiver. Это веб интерфейс к сборщику почты из ящиков по протоколу imap. Я его попробовал. Поставить очень просто. В репозитории есть готовый
docker-compose.yml. Если не хотите менять стандартные учётки, то можно вообще ничего не менять в файле. Я только свой часовой пояс указал.Внешне веб интерфейс собран на базе какого-то типового фреймворка для админок. Выглядит для своих задач нормально. Настойка максимально простая:
В целом панелька удобная. Я без проблем всё настроил. Но есть несколько важных нюансов:
Mail-Archiver неплохо решает заданную задачу. Для личного использования или набора ящиков небольших объёмов будет удобен. Для больших почтовых ящиков и серверов, скорее всего не подойдёт. Но там странно было бы надеяться на бэкап через imap. Большие ящики надо бэкапить с уровня хранилища почты.
Отдельно отмечу возможность создавать учётные записи пользователей самой панели, к которым можно добавлять разные почтовые ящики с общим поиском по ним. Для каких-то задач это может быть простым и удобным решением.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#mailserver #backup
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍95👎2
❗️Хочу предупредить всех, кто администрирует почтовые сервера, где в составе есть imap сервер Dovecot. В версии 2.4 очень сильно поменялся формат конфигурационного файла. Я вообще первый раз сталкиваюсь с такими кардинальными изменениями от версии к версии. Там натурально всё ломается после обновления и правкой пары изменившихся параметров не отделаться. Поменялся и синтаксис, и логика оформления. Какие-то параметры, плагины вообще исчезли.
Я краем уха уже слышал о том, что там конфигурация изменилась, но не предполагал, что настолько. В Debian 13 в репозиториях уже живёт версия 2.4, поэтому если будете обновлять систему, непременно столкнётесь с этой проблемой. Я потому и стал этим заниматься, потому что всё равно придётся рано или поздно.
Новую конфигурацию в итоге создал, она уже работает, отлаживаю. Потратил почти день на это. Сейчас тружусь над обновлением своей статьи по установке и настройке почтового сервера. Очень много изменений. И очень объёмный материал. Пишу и думаю, а надо ли вообще это сейчас кому-нибудь? Кто-то будет почтовый сервер вручную собирать из компонентов?
А с другой стороны, если этого не делать, то как научиться и разобраться в этой теме? Почта как была актуальной, так и осталась по сей день. Откуда-то всё равно должны браться специалисты из этой сферы. А самый простой способ освоить продукт - собрать его самостоятельно из компонентов. RuPost, кстати, как раз таким самосбором и является на базе open source софта.
📌Полезные ссылки по теме:
⇨ https://doc.dovecot.org/main/installation/upgrade/2.3-to-2.4.html
⇨ https://monospace.games/posts/20250815-dovecot-24.html
⇨ https://willem.com/en/2025-06-04_breaking-changes/
ИИшки, кстати, по этой задаче не помогли. Пришлось самому разбираться и переводить конфигурацию со старой версии на новую. Получился наглядный пример, как они полностью пасуют перед задачей, которую ещё не спарсили в человеческих статьях, потому что их практически нет.
#mailserver
Я краем уха уже слышал о том, что там конфигурация изменилась, но не предполагал, что настолько. В Debian 13 в репозиториях уже живёт версия 2.4, поэтому если будете обновлять систему, непременно столкнётесь с этой проблемой. Я потому и стал этим заниматься, потому что всё равно придётся рано или поздно.
Новую конфигурацию в итоге создал, она уже работает, отлаживаю. Потратил почти день на это. Сейчас тружусь над обновлением своей статьи по установке и настройке почтового сервера. Очень много изменений. И очень объёмный материал. Пишу и думаю, а надо ли вообще это сейчас кому-нибудь? Кто-то будет почтовый сервер вручную собирать из компонентов?
А с другой стороны, если этого не делать, то как научиться и разобраться в этой теме? Почта как была актуальной, так и осталась по сей день. Откуда-то всё равно должны браться специалисты из этой сферы. А самый простой способ освоить продукт - собрать его самостоятельно из компонентов. RuPost, кстати, как раз таким самосбором и является на базе open source софта.
📌Полезные ссылки по теме:
⇨ https://doc.dovecot.org/main/installation/upgrade/2.3-to-2.4.html
⇨ https://monospace.games/posts/20250815-dovecot-24.html
⇨ https://willem.com/en/2025-06-04_breaking-changes/
ИИшки, кстати, по этой задаче не помогли. Пришлось самому разбираться и переводить конфигурацию со старой версии на новую. Получился наглядный пример, как они полностью пасуют перед задачей, которую ещё не спарсили в человеческих статьях, потому что их практически нет.
#mailserver
doc.dovecot.org
2.3 to 2.4 | Dovecot CE
Dovecot CE Documentation
336👍264👎2
Я наконец-то закончил обновление статьи про локальный почтовый сервер на базе Postfix и Dovecot:
⇨ Настройка Postfix + Dovecot + Postfixadmin + Roundcube + DKIM на Debian
Она актуальна на сегодняшний день на базе Debian 13 и стандартных пакетов в её репозитории. Хотя для примера я некоторые компоненты скачивал из их репозиториев и устанавливал вручную, так как со временем в Debian версии начинают отставать от актуальных.
Старую версию статьи под Debian 12 сохранил в виде статической страницы и упаковал в архив. Ссылка в начале новой статьи. Если кто-то по ней настраивал или что-то нужно будет подсмотреть, можете скачать. Я не стал плодить похожие статьи с разными версиями ПО, так как это неудобно, приводит к дублированию информации на сайте и путанице. Удобнее, когда есть одна актуальная статья, на которую можно ссылаться.
Уместил в одну статью практически невмещаемое. Очень большой материал получился, по которому можно с нуля практически без базовых знаний о предметной области, настроить и запустить в работу почтовый сервер. Материал подаётся этапами с объяснениями на каждом, чтобы было понятнее.
Можно было бы сразу итоговый вариант настроек дать и всё разом запустить, но это было бы не так понятно. В целом, подобный сервер можно запустить в пару кликов на базе какого-нибудь Mailcow, Mailu, или их аналогов. Почти все сборки бесплатных серверов (и не только бесплатных) сделаны на базе этих же компонентов. Но если вы собираетесь потом эксплуатировать и администрировать этот сервер, то без знания его устройства это будет сложно сделать.
Так что если хотите изучить эту тему, то рекомендую действовать похожим образом, описанным в статье. Несмотря на то, что почту и локальные серверы для неё хоронят уже столько лет, актуальности она не потеряла и повсеместно используется. А как показал недавний опрос, локальных установок значительно больше, чем использование облачных сервисов. А подобных сборок так вообще треть. И этому есть вполне логичные объяснения. Я на днях ещё подниму эту тему.
Всем спасибо, кто пролайкал и прокомментировал мою прошлую заметку по этой теме. Любому автору приятно осознавать, что то, что он делает, кому-то нужно. Поэтому лично я всегда лайкаю и комментирую то, что вижу у других авторов. У многих нет финансовой мотивации что-то делать, потому что их сфера либо не монетизируется, либо они не умеют это делать, а сами работают в других местах. Но при этом всё равно что-то пишут, снимают, делают для других.
Например, сайт для меня в финансовом плане сейчас пассив. Но я вижу, что его каждый день до сих пор читает огромное количество людей. Они находят его полезным, хотя многие материалы сильно устарели, содержат ошибки. По мере сил и времени, стараюсь что-то обновлять и актуализировать. Эту статью писал в выходные, на буднях просто нет на это времени.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#mailserver #postfix #dovecot #статья
⇨ Настройка Postfix + Dovecot + Postfixadmin + Roundcube + DKIM на Debian
Она актуальна на сегодняшний день на базе Debian 13 и стандартных пакетов в её репозитории. Хотя для примера я некоторые компоненты скачивал из их репозиториев и устанавливал вручную, так как со временем в Debian версии начинают отставать от актуальных.
Старую версию статьи под Debian 12 сохранил в виде статической страницы и упаковал в архив. Ссылка в начале новой статьи. Если кто-то по ней настраивал или что-то нужно будет подсмотреть, можете скачать. Я не стал плодить похожие статьи с разными версиями ПО, так как это неудобно, приводит к дублированию информации на сайте и путанице. Удобнее, когда есть одна актуальная статья, на которую можно ссылаться.
Уместил в одну статью практически невмещаемое. Очень большой материал получился, по которому можно с нуля практически без базовых знаний о предметной области, настроить и запустить в работу почтовый сервер. Материал подаётся этапами с объяснениями на каждом, чтобы было понятнее.
Можно было бы сразу итоговый вариант настроек дать и всё разом запустить, но это было бы не так понятно. В целом, подобный сервер можно запустить в пару кликов на базе какого-нибудь Mailcow, Mailu, или их аналогов. Почти все сборки бесплатных серверов (и не только бесплатных) сделаны на базе этих же компонентов. Но если вы собираетесь потом эксплуатировать и администрировать этот сервер, то без знания его устройства это будет сложно сделать.
Так что если хотите изучить эту тему, то рекомендую действовать похожим образом, описанным в статье. Несмотря на то, что почту и локальные серверы для неё хоронят уже столько лет, актуальности она не потеряла и повсеместно используется. А как показал недавний опрос, локальных установок значительно больше, чем использование облачных сервисов. А подобных сборок так вообще треть. И этому есть вполне логичные объяснения. Я на днях ещё подниму эту тему.
Всем спасибо, кто пролайкал и прокомментировал мою прошлую заметку по этой теме. Любому автору приятно осознавать, что то, что он делает, кому-то нужно. Поэтому лично я всегда лайкаю и комментирую то, что вижу у других авторов. У многих нет финансовой мотивации что-то делать, потому что их сфера либо не монетизируется, либо они не умеют это делать, а сами работают в других местах. Но при этом всё равно что-то пишут, снимают, делают для других.
Например, сайт для меня в финансовом плане сейчас пассив. Но я вижу, что его каждый день до сих пор читает огромное количество людей. Они находят его полезным, хотя многие материалы сильно устарели, содержат ошибки. По мере сил и времени, стараюсь что-то обновлять и актуализировать. Эту статью писал в выходные, на буднях просто нет на это времени.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#mailserver #postfix #dovecot #статья
Please open Telegram to view this post
VIEW IN TELEGRAM
Server Admin
Настройка почтового сервера на Debian: Postfix + Dovecot + веб...
Подробная установка и настройка почтового сервера на Debian на базе Postfix + Dovecot - от подготовки DNS записей до подключения клиентов.
106👍352👎2
Решил обновить весь цикл статей про почтовый сервер. Начал с самой актуальной - настройка Fail2Ban для защиты от перебора учёток и прочих паразитных соединений:
⇨ Защита почтового сервера Postfix + Dovecot с помощью Fail2Ban
Инструкция получилась универсальная, потому что и для Postfix, и для Dovecot пришлось писать свой шаблон под формат текущих логов свежих версий. Так что материал будет актуален для любого сервиса с текстовыми логами.
В очередной раз хотел сходить по лёгкому пути и попросил ИИ написать шаблоны. ChatGPT не справился совершенно. Мучал его минут 15, пока не понял, что это бесполезно и проще разобраться самому. Он постоянно обещал теперь точно рабочую версию, но всё мимо. PerplexityPro тоже не помогла.
Я пока спокоен за своё будущее трудоустройство. Современные ИИшки никаким интеллектом не обладают и даже имея документацию и похожие примеры не могут родить новое уникальное решение, которое ещё нигде не подсмотрели. У них хорошо получается с bash, думал и с другими вещами так же будет, но нет.
Fail2Ban очень старое, простое и эффективное средство. За столько лет у него не появилось аналогов, кроме CrowdSec, но он сильно навороченнее и движется в сторону масштабного сервиса, а не простой утилиты для одиночного сервера. При этом Fail2Ban, несмотря на свою простоту и топорный подход анализа логов, работает нормально и эффективно там, где нет больших нагрузок. Я его повсеместно использую.
Помню как-то даже шутку придумал:
Это придумано в контексте того, что сам я лично для SSH никогда не ставлю Fail2Ban. В этом просто нет большого смысла.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:📱 Telegram | 🌐 Сайт | 📲 MAX
#fail2ban #mailserver #postfix #dovecot
⇨ Защита почтового сервера Postfix + Dovecot с помощью Fail2Ban
Инструкция получилась универсальная, потому что и для Postfix, и для Dovecot пришлось писать свой шаблон под формат текущих логов свежих версий. Так что материал будет актуален для любого сервиса с текстовыми логами.
В очередной раз хотел сходить по лёгкому пути и попросил ИИ написать шаблоны. ChatGPT не справился совершенно. Мучал его минут 15, пока не понял, что это бесполезно и проще разобраться самому. Он постоянно обещал теперь точно рабочую версию, но всё мимо. PerplexityPro тоже не помогла.
Я пока спокоен за своё будущее трудоустройство. Современные ИИшки никаким интеллектом не обладают и даже имея документацию и похожие примеры не могут родить новое уникальное решение, которое ещё нигде не подсмотрели. У них хорошо получается с bash, думал и с другими вещами так же будет, но нет.
Fail2Ban очень старое, простое и эффективное средство. За столько лет у него не появилось аналогов, кроме CrowdSec, но он сильно навороченнее и движется в сторону масштабного сервиса, а не простой утилиты для одиночного сервера. При этом Fail2Ban, несмотря на свою простоту и топорный подход анализа логов, работает нормально и эффективно там, где нет больших нагрузок. Я его повсеместно использую.
Помню как-то даже шутку придумал:
«Если я усну и проснусь через сто лет и меня спросят, что сейчас настраивают системные администраторы Linux, я отвечу: блокировку SSH с помощью Fail2Ban».
Это придумано в контексте того, что сам я лично для SSH никогда не ставлю Fail2Ban. В этом просто нет большого смысла.
❗️Если заметка вам полезна, не забудьте 👍 и забрать в закладки.
———
ServerAdmin:
#fail2ban #mailserver #postfix #dovecot
Please open Telegram to view this post
VIEW IN TELEGRAM
Server Admin
Защита почтового сервера Postfix + Dovecot с помощью Fail2Ban |...
Защита почтового сервера на базе Postfix и Dovecot от перебора учётных записей с помощью Fail2Ban.
1👍95👎4
Пока в голове свежа тема почтового сервера, плюс тут в комментариях было много обсуждений по этой теме, выскажу некоторые свои мысли по поводу покупки почты как сервиса.
С точки зрения системного администратора, особенно того, кто не знаком с почтовыми серверами или по какой-то причине не любит их, проще и удобнее купить услугу как сервис и снять с себя все вопросы, связанные с настройкой и эксплуатацией. В целом, мне тоже нравится такой подход 😁. Если что-то упало или не работает, как надо, ты не при чём. Это всё сервис глючит.
На поверхности лежат основные минусы этого подхода:
➖ Можно потерять доступ к услуге или почте в целом по различным причинам, как техническим, так и юридическим. Забыли проплатить, вас забанили по ошибке, сервис упал или повысил стоимость и т.д.
➖ Могут быть неочевидны вопросы бэкапа и централизованного управления большой инфраструктурой. Последнее, кстати, актуально. Мне как-то довелось управлять большим количеством ящиков в Google Workspace. Они тогда вроде G-Suite назывались. Не было, к примеру, простой возможности всем добавить какое-то правило сортировки почты. Надо было либо инструкцию пользователям писать, либо в каждый ящик заходить. И таких моментов там много было.
➖ Чаще всего нет инструментов для анализа каких-то непонятных ситуаций. Пользователь может намудрить с правилами и письмо куда-то пропадает. Он жалуется, что почта не ходит. Поди разберись, в чём причина. Либо просто письмо не приходит, или он его сразу удалил. Ты тут можешь только развести руками.
➖ Нет возможности сделать какие-то гибкие настройки. Например, кому-то запретить заходить в ящик не из офиса. Запретить отправку на конкретные домены или наоборот разрешить переписываться только с определёнными доменами. Сделать централизованное автоудаление писем с какой-то конкретной темой. Я за свою работу много разных примеров видел, когда от почты хотелось немного больше, чем просто переписка.
❗️Это всё технические моменты. Но есть не менее важные и некоторые другие. Я не раз слышал такое мнение от руководителей и обеспеченных людей. Они не хотят светить свою переписку как личную, так и всей компании, в публичном сервисе, где она наверняка в обязательном порядке анализируется ИИ и подшивается к чему-то.
В итоге условный Яндекс или Мейл знает про тебя всё - где живёшь, сколько налогов платишь, какие накопления и инвестиции есть, где какие счета открыты, какая недвижимость, куда летаешь отдыхать и т.д. И по компании то же самое - вся твоя деятельность как на ладони: контрагенты, цены, условия, сотрудники, используемые сервисы и подписки и т.д. И всё это в режиме реального времени. Для кого-то это может быть несущественно, а какой-то бизнес может и пострадать из-за этого и даже не узнать об этом. Мы можем только предполагать, куда дальше утекают эти данные.
Если раньше до массового внедрения ИИ ещё были какие-то сложности с анализом всего этого, то теперь уже точно нет. И вот тебе продают услуги, назначают тарифы по цене x2 от той, которая могла бы быть, если бы о тебе ничего не знали. А может какие-то современные рейдеры в законе приходят с предложением, от которого невозможно отказаться.
☝️Так что вопрос это не такой простой, как может показаться на первый взгляд. И лежит не только в технической плоскости. Активная деловая переписка содержит много различной информации, причём уже в готовом виде. Это не СУБД по модели SaaS, где ещё ковыряться в данных надо. Возможно не стоит её вот так опрометчиво отдавать кому-то. Запустил свой сервер где угодно, настроил Thunderbird пользователям в офисе. И твоя переписка теперь только у тебя. Не такая уж большая переплата за это.
Понятно, что это вопрос не к техническим специалистам, и не им решать, где и как будет жить почта. Я не увидел вообще обсуждений в подобном ключе, поэтому решил лишний раз напомнить, что есть и такие нюансы.
#mailserver
С точки зрения системного администратора, особенно того, кто не знаком с почтовыми серверами или по какой-то причине не любит их, проще и удобнее купить услугу как сервис и снять с себя все вопросы, связанные с настройкой и эксплуатацией. В целом, мне тоже нравится такой подход 😁. Если что-то упало или не работает, как надо, ты не при чём. Это всё сервис глючит.
На поверхности лежат основные минусы этого подхода:
❗️Это всё технические моменты. Но есть не менее важные и некоторые другие. Я не раз слышал такое мнение от руководителей и обеспеченных людей. Они не хотят светить свою переписку как личную, так и всей компании, в публичном сервисе, где она наверняка в обязательном порядке анализируется ИИ и подшивается к чему-то.
В итоге условный Яндекс или Мейл знает про тебя всё - где живёшь, сколько налогов платишь, какие накопления и инвестиции есть, где какие счета открыты, какая недвижимость, куда летаешь отдыхать и т.д. И по компании то же самое - вся твоя деятельность как на ладони: контрагенты, цены, условия, сотрудники, используемые сервисы и подписки и т.д. И всё это в режиме реального времени. Для кого-то это может быть несущественно, а какой-то бизнес может и пострадать из-за этого и даже не узнать об этом. Мы можем только предполагать, куда дальше утекают эти данные.
Если раньше до массового внедрения ИИ ещё были какие-то сложности с анализом всего этого, то теперь уже точно нет. И вот тебе продают услуги, назначают тарифы по цене x2 от той, которая могла бы быть, если бы о тебе ничего не знали. А может какие-то современные рейдеры в законе приходят с предложением, от которого невозможно отказаться.
☝️Так что вопрос это не такой простой, как может показаться на первый взгляд. И лежит не только в технической плоскости. Активная деловая переписка содержит много различной информации, причём уже в готовом виде. Это не СУБД по модели SaaS, где ещё ковыряться в данных надо. Возможно не стоит её вот так опрометчиво отдавать кому-то. Запустил свой сервер где угодно, настроил Thunderbird пользователям в офисе. И твоя переписка теперь только у тебя. Не такая уж большая переплата за это.
Понятно, что это вопрос не к техническим специалистам, и не им решать, где и как будет жить почта. Я не увидел вообще обсуждений в подобном ключе, поэтому решил лишний раз напомнить, что есть и такие нюансы.
#mailserver
Please open Telegram to view this post
VIEW IN TELEGRAM
10👍99👎1