Выбор почтового сервера
Приветствую! Довольно долго использовали корпоративный почтовый сервер на sendmail. Сейчас пришло время обновить OS и встал вопрос, а не обновить ли сам почтовик?
Сейчас используется sendmail + dovecot, антивирус — clamav + amavis, антиспам — spamassasin.
В принципе все работает стабильно, но есть несколько неудобств:
1. антиспам слабый, спам проходит. Когда начинаю ужесточать правила — появляются ложные срабатывания. В итоге качество фильтрации даже близко не стоит с яндекс или гугл.
2. отсутствие веб интерфейса для пользователей, чтобы могли из дома или с мобильных устройств почту проверять не занимаясь настройкой почтового клиента.
Вопрос, какой софт сейчас считается хорошим стандартом для почтового сервера? Какие антиспам и антивирус решения применяются? Реально ли приблизиться к качеству фильтрации спама как у крупных облачных провайдеров? Есть ли хорошие решения почтовиков с веб интерфейсом?
Поделитесь вашим опытом.
Перемещено alpha из general
как веб интерфейс, можно посмотреть в сторону https://roundcube.net/
Мне Zimbra нравится. ClamAV + SpamAssassin все так же слабовато, но многое другое, включая веб-морду превосходное,
Спасибо за ответ. На сколько я понял, это просто вебморда, которая навешивается на почтовый сервер. У вас roundcube в какой связке работает? Как решали вопросы со спамом и вирусами?
Но там тоже SA работает антиспамом.
Посоветовал бы еще Modoboa, но там вебморда для почты вечно сырая, хотя если через нее (Modoboa) только юзеров админить, а для вебморды поставишь SoGo, тогда сойдёт.
Мне Zimbra нравится. ClamAV + SpamAssassin все так же слабовато, но многое другое, включая веб-морду превосходное,
Вы бесплатную версию используете? Там нет никаких подводных камней, что функционала не хватает?
https://roundcube.net работает с чем угодно, что умеет imap и smtp. И не обязательно на этом же сервере поднимать. Это просто почтовый клиент на php.
postfix + dovecot + rsmapd
[quote]https://roundcube.net работает с чем угодно, что умеет imap и smtp. И не обязательно на этом же сервере поднимать. Это просто почтовый клиент на php.[/quote]
Ух-ты, интересно. Может оставить тот же sendmail, который работает как автомат калашникова и просто прикрутить веб морду.
С другой стороны, аппетит приходит во время еды и веб администрирование почтовых ящиков тоже может быть не лишним.
[quote]postfix + dovecot + rsmapd[/quote]
Чем postfix лучше чем sendmail?
Ну, например, для него есть postfixadmin и postfix легче администрируется (plain text vs m4)
Еще есть одна не решенная задача на sendmail. Письма которые приходят проходят через спам фильтр, при этом каждому письму присваивается «рейтинг/вероятность» спама. Далее в зависимости от рейтинга письмо идет по трем путям:
1. Доставляется получателю
2. Попадает в общий почтовый ящик «вероятно спам»
Мне не удалось настроить, чтобы старые письма из ящика «вероятно спам» автоматически удалялись. Скажем, хранились только те письма, что пришли за последние 7 дней.
doveadm expunge … savedbefore 30d
Стоит postfix + spamassassin, ничего не настраивал, спама почти нет. Ложных срабатываний вообще нет. По качеству gmail даже близко не подходит, он периодически даёт ложные срабатывания, в gmail приходится раз в неделю разгребать тысячи писем в спаме, в поиске ложных срабатываний, тут всё просто работает.
У вас roundcube в какой связке работает? Как решали вопросы со спамом и вирусами?
У меня нет своего почтового сервера, и как решать проблему со спамом не смогу подсказать, поднимал почтовый сервер на виртулке на потыкать.
Реально ли приблизиться к качеству фильтрации спама как у крупных облачных провайдеров?
Приблизившись по мощностям к этим крупным облачным провайдерам — реально.
sogo еще есть комбайн. atmail, axigen, kopano да куча их
когда-то пользовался этим https://haraka.github.io/about.html правда в составе https://poste.io/
сейчас уже забросил, гугл яндекс все такое
Реально ли приблизиться к качеству фильтрации спама как у крупных облачных провайдеров?
Нет. Что гугл что яндекс учат роботов на миллионе спама в сутки.
Стоит postfix + spamassassin, ничего не настраивал, спама почти нет. Ложных срабатываний вообще нет. По качеству gmail даже близко не подходит
Не знаю, как вам это удалось настроить так совершенно. Я даже близко к яндексу приблизиться не могу по качеству фильтрации. Я перепробовал много антиспам решений и greylist и даже платное решение от dr. web для почтовых серверов. Лучшее из того, что видел — это yandex спамоборона, но они этот проект закрыли в угоду продвижения своих почтовых услуг.
Я думаю перейти вот на такое решение:
postfix + dovecot + mysql + postfixadmin + roundcube
Еще можно попробовать Zimbra, как готовое решение.
Может просто повезло, не знаю. Из неочевидных моментов: в spamassassin есть обновление фильтров плюс нюансы с пользователем, из под которого запускается это всё (фильтры хранятся в домашней директории пользователя). Т.е. это надо всё настроить и убедиться, что оно обновляет фильтры по расписанию, а также что при вызове spamassassin эти фильтры действительно используются.
Я конфиги spamassassin вылизывал несколько месяцев и самообучение включал и кастомыне правила писал и во многих нюансах разбирался. Потом просто руки у меня опустились. Я понял секрет яндекс фильтрации, они в первую очередь контролируют количество писем с адреса/IP адреса. Как только активность выходит за рамки обычного офисного использования — срабатывает правило и все письма с этого адреса валятся в спам. Яндекс себе может такое позволить, т.к. у них тысячи клиентов и при любой спамерской рассылки спамер напорется на яндекс сервера, активирует это правило и тут же попадет в черный список яндекса для всех его клиентов. Я так настроить не могу, т.к. у меня всего несколько доменов.
Мое мнение, если домен старый и email адреса плотно сидят в спамерских списках, помогает только подход крупных игроков.
Простые цифры, даже фильтруя 90-95% спама, прошедший фильтр спам по количеству существенно превышает количество нормальных писем и пользователи начинают жаловаться, хотя они даже не догадываются от какого количества спама их оградили. 🙂
Ну моя статистика — примерно 4-6 писем в день на мой адрес. Хотя в некоторые дни, как я смотрю, и по 30 штук приходит. Хотя я адрес даже в открытом виде не стесняюсь публиковать, скрапь-не хочу. Может у спамеров свои алгоритмы определения ценности почтовых адресов.
Уже много лет использую устоявшуюся связку.
MTA — postfix. Когда-то давно использовал sendmail, потом стоял выбор между Postfix и exim4. Выбрал первый, так как на мой взгляд является оптимальным вариантом по функциональности и простоте настройки.
Вебморда для администрирования — postfixadmin.
DB — mariadb. Тут хранятся домены, логины, пароли, алиасы.
MDA — dovecot. Он же отвечает за шифрование паролей при заведении ящиков. Удобно интегрируется с postfixadmin.
Antispam — встроенные фильтры postfix; sqlgrey — отшивает 99% спамботов, прошедших через фильтры, но обладает одним минусом — письма с серверов, не занесённых в whitelist или впервые обращающихся к твоему серверу приходят с задержкой(задержка конфигурится — у меня стоит две минуты); spamassasin(антиспам, но до сих пор недообученный — фильрует слабо); раньше ещё использовал блеклисты, но сейчас все поотключал, так как они неадекватны. Включён fail2ban для отлова любителей подбирать пароли к ящикам, но туда давно ничего не попадало.
Веб-морда для пользователей — roundcube.
Opendkim для валидации. SPF для отправки прописан в DNS. SPF-check получаемых писем пока отключил из-за некоректной работы после какого-то очередного апдейта. Никак не дойдут руки починить, но оно и не особо критично.
Certbot от letsencrypt для сертификатов — как вебморда, так и smtp/imap(pop3 не использую уже много лет, но если сильно надо — dovecot его умеет).
В postfix включён плагин siege, простейшие правила для него можно писать в roundcube для каждого ящика отдельно.
Так же приходилось использовать zimbra в паре контор. И админка и пользовательский интерфейс мощные, но на мой взгляд несколько запутанные. Радует из коробки готовая интеграция с LDAP(в том числе AD), ну и готовый к работе после установки почтовый сервер. Из минусов — приходится городить костыли, если сервер стоит за NAT с пробросом портов в какой-нибудь виртуалке(zimbra требует, чтобы на хосте, где она запущена был прописан IP, привязанный к MX-домену), требовательность к ресурсам как на сервере(минимум 4-8Gb оперативы), так и на клиентских машинах при использовании веб-интерфейса, не очень удобная организация логов, что лично для меня потребовало дополнительных телодвижений для интеграции с мониторингом. Но если лень настраивать всю связку, описанную мной выше руками — zimbra хороший выбор. В моей практике ни на какие ограничения открытой версии я не натолкнулся.
Ну просто как бы atmail и axigen closed source и за денежку.
Не знаю подойдёт ли это ТСу.
Из свободных только Zimbra 8.8.x и Kopano.
Плюс в Kopano доступны только ночные сборки или те версии, что
собраны сопровождающими дистрибутива (Debian).
Плюс ХЗ, сколько в Kopano багов, но он гибче Зимбры в настройке.
Источник
Почтовый сервер на Linux
Как наладить работу почтового сервера, умеющего принимать и отправлять электронную корреспонденцию, бороться со спамом, взаимодействовать с клиентами? На самом деле, всё довольно просто.
Сегодня поговорим о почтовых серверах на Linux. Мы расскажем о том, как настроить сервер, о широко распространённом в интернете протоколе SMTP, а также о других протоколах, таких, как POP и IMAP. В итоге вы окажетесь обладателем полноценной системы для работы с электронной почтой.
Начнём с SMTP-сервера на Linux
SMTP-сервер
Протокол SMTP (Simple Mail Transfer Protocol) определяет правила пересылки почты между компьютерами, при этом, он не регламентирует правила хранения или визуализации сообщений. Это системно-независимый протокол, то есть, отправитель и получатель почты могут иметь различные ОС.
SMTP требует лишь чтобы сервер был способен отправлять обычный ASCII-текст другому серверу, используя порт 25, который является стандартным портом SMTP.
Сегодня в большинство дистрибутивов Linux встроены две наиболее распространённых реализации SMTP: sendmail и postfix.
Sendmail — это популярный почтовый сервер с открытым кодом, используемый во многих дистрибутивах Linux. К его минусам можно отнести несколько усложнённую архитектуру и недостаточно высокий уровень защиты.
Postfix — система немного более продвинутая, при разработке этого почтового сервера особое внимание было уделено вопросам безопасности.
Компоненты почтовой службы
Типичная почтовая служба состоит из трёх основных компонентов:
Почтовый клиент, который ещё называют почтовым агентом (Mail User Agent, MUA). Именно с ним взаимодействует пользователь, например — это почтовые клиенты Thunderbird или Microsoft Outlook. Они позволяют пользователю читать почту и писать электронные письма.
Почтовый сервер, или агент пересылки сообщений (Mail Transport Agent, MTA). Этот компонент ответственен за перемещение электронной почты между системами, этим занимаются, например, Sendmail и Postfix.
Агент доставки электронной почты (Mail Delivery Agent, MDA). Этот компонент ответственен за распределение полученных сообщений по почтовым ящикам пользователей. Например, это Postfix-maildrop и Procmail.
Установка почтового сервера
Для настройки нашего сервера был выбран пакет Postfix. Это — популярный среди системных администраторов выбор, стандартный почтовый сервер в большинстве современных дистрибутивов Linux.
Начнём, проверив, установлен ли Postfix в системе:
Если обнаружить Postfix не удалось, установить его, например, в дистрибутивах, основанных на Red Hat, можно с помощью такой команды:
Затем запустим службу postfix и организуем её автозапуск при загрузке системы:
В дистрибутивах, основанных на Debian, вроде Ubuntu, установить Postfix можно так:
В ходе установки будет предложено выбрать конфигурацию сервера. Среди доступных четырёх вариантов (No configuration, Internet site, Internet with smarthost, Satellite system and Local only), мы выберем No configuration, что приведёт к созданию необходимых Postfix учётных записей пользователя и группы.
Настройка сервера
После установки почтового сервера Postfix, его нужно настроить. Большинство конфигурационных файлов находятся в директории /etc/postfix/.
Главный конфигурационный файл Postfix можно найти по адресу /etc/postfix/main.cf. Здесь имеется множество параметров, рассмотрим самые важные.
Этот параметр используется для указания имени хоста почтовой системы. Это — имя хоста в интернете, для которого Postfix будет получать почту.
Типичные примеры имён хостов почтовых серверов — mail.example.com и smtp.example.com.
Настраивают этот параметр так:
Эта настройка позволяет указать почтовый домен, обслуживанием которого занимается сервер, например — example.com:
Этот параметр позволяет указать доменное имя, используемое в почте, отправленной с сервера. Присвоим ему значение $mydomain:
В настройках можно ссылаться на параметры, добавляя знак $ перед именем переменной.
Этот параметр содержит список доменов, которые сервер Postfix будет считать конечными пунктами назначения для входящей почты.
В нашем случае здесь будут имя хоста сервера и доменное имя, но данный параметр может содержать и другие имена:
Почтовый сервер Postfix может использовать два режима доставки почты:
- Непосредственно в почтовый ящик пользователя.
- В центральную директорию очередей, при этом почта попадает в папку /var/spool/mail, где имеется файл для каждого пользователя.
Эта переменная — важный параметр настройки. Она позволяет указывать то, какие сервера могут пересылать почту через сервер Postfix.
Обычно разрешают передачу почты только от локальных клиентских компьютеров. В противном случае вашим сервером могут заинтересоваться спамеры.
Если неправильно настроить параметр mynetworks, спамеры вполне смогут воспользоваться сервером как ретранслятором почты. Это очень быстро приведёт к тому, что какая-нибудь система борьбы со спамом поместит его в один из чёрных списков, вроде DNS Blacklist (DNSBL), или Realtime Blackhole List (RBL). Как только сервер попадёт в подобный список, очень немногие смогут получить письма, отправленные с его помощью.
Вот как может выглядеть настройка этого параметра:
Эта переменная позволяет задать ответ, который возвращает сервер при подключении клиентов.
Лучше всего поменять это значение так, чтобы оно не указывало на то, какой именно используется почтовый сервер.
Эта переменная позволяет задавать версию IP, которую будет использовать Postfix при установлении соединений.
Для того, чтобы изменения, внесённые в конфигурационные файлы, вступили в силу, службу Postfix надо перезагрузить:
На самом деле, в конфигурационном файле Postfix можно ещё много чего настроить. Например — управлять уровнями безопасности, задавать опции отладки и другие параметры.
Возможно, настраивая сервер, вводя значения параметров, вы допустите ошибку. Проверить правильность настроек можно с помощью такой команды:
С помощью этого средства можно найти строку, в которой допущена ошибка, и исправить её.
Проверка очереди сообщений
Иногда очередь почтовых сообщений переполняется. Это может быть вызвано множеством факторов, вроде сетевой ошибки, или по любой причине, способной задержать отправку почты.
Для того чтобы проверить очередь сообщений, воспользуйтесь такой командой:
Она выведет сообщения, находящиеся в очереди. Если очередь переполнена и на отправку сообщения уходит по несколько часов, можно инициировать процесс отправки сообщений такой командой:
Если теперь проверить очередь, она должна оказаться пустой.
Тестирование почтового сервера
После настройки сервера на Postfix, его надо протестировать. Первый шаг в тестировании — использование локального почтового клиента, вроде mailx или mail (это — символьная ссылка на mailx).
Попробуйте отправить письмо кому-нибудь, чей адрес обслуживается на том же сервере, а если это сработает — отправьте письмо на адрес, который находится где-нибудь ещё.
Затем попробуйте принять письмо, отправленное с другого сервера.
Если вы столкнётесь с проблемами — проверьте логи. В дистрибутивах, основанных на Red Hat, то, что вам надо, можно найти по адресу /var/log/maillog. В Debian-дистрибутивах нужный файл можно найти здесь: /var/log/mail.log, или же по пути, заданному в настройках rsyslogd. Вот, если нужно, материал о логировании в Linux, и о том, как настраивать rsyslogd.
Если проблемы всё ещё не решены, попытайтесь проверить настройки DNS, взгляните на MX-записи, используя сетевые команды Linux.
Борьба со спамом
Существует немало решений для выявления среди почтовых сообщений нежелательных писем — спама. Одно из лучших — проект с открытым исходным кодом SpamAssassin.
Установить его можно так:
Затем надо запустить соответствующую службу и добавить её в автозагрузку:
После установки SpamAssassin, взгляните на его настройки в файле /etc/mail/spamassassin/local.cf.
SpamAssassin умеет отличать обычные письма от спама, основываясь на результатах исследования корреспонденции с помощью различных скриптов. Результаты проверок оцениваются в баллах.
Чем выше итоговая оценка письма — тем выше и вероятность того, что оно является спамом.
В конфигурационном файле параметр required_hits 5 указывает на то, что SpamAssassin пометит сообщение как спам, если его рейтинг составляет 5 или выше.
Параметр report_safe принимает значения 0, 1, или 2. Установка его в 0 означает, что письма, помеченные как спам, пересылаются в исходном виде, но их заголовок модифицируется с указанием на то, что они являются спамом.
Если этот параметр установлен в значение 1 или 2, SpamAssassin сгенерирует отчёт и отправит его получателю.
Разница между значениями 1 и 2 заключается в том, что в первом случае спам-сообщение будет закодировано в формате message/rfc822, а во втором — в формате text/plain.
Кодирование text/plain безопаснее, так как некоторые почтовые клиенты исполняют сообщения формата message/rfc822, что при определённых условиях может привести к заражению клиентского компьютера вирусом.
После установки и настройки SpamAssassin, нужно интегрировать его с Postfix. Пожалуй, легче всего это сделать с помощью использования procmail.
Создадим файл /etc/procmailrc и добавим в него следующее:
Затем отредактируем файл настроек Postfix — /etc/postfix/main.cf, задав параметр mailbox_command следующим образом:
И, наконец, перезапустим службы Postfix и SpamAssassin:
Надо сказать, что SpamAssassin не всегда распознаёт спам, что ведёт к наполнению почтовых ящиков ненужными письмами.
К счастью, сообщения, прежде чем они достигнут почтового сервера на Postfix, можно фильтровать, используя Realtime Blackhole Lists (RBLs). Это снизит нагрузку на почтовый сервер и поможет сохранить его в чистоте.
Откройте конфигурационный файл Postfix /etc/postfix/main.cf, измените параметр smtpd_recipient_restrictions и настройте другие параметры следующим образом:
Затем перезагрузите сервер Postfix:
Вышеприведённые чёрные списки используются чаще всего, но вы можете найти и другие подобные сервера.
Защита SMTP-соединения
Лучше всего передавать SMTP-трафик по TLS для защиты его от атаки через посредника.
Для начала нужно сгенерировать сертификат и ключ с использованием команды openssl:
Затем надо добавить в файл настроек Postfix /etc/postfix/main.cf следующее:
И, наконец, нужно перезагрузить службу Postfix:
Теперь, при подключении клиента к серверу, нужно выбрать TLS. Тут вы, при первой отправке почты после изменении настроек, увидите предупреждение, так как сертификат не подписан.
Основы протоколов POP3 и IMAP
Итак, мы наладили процесс отправки и получения электронных писем по SMTP, но на этом организация полноценной почтовой службы не заканчивается. Рассмотрим следующие ситуации:
- Пользователям нужны локальные копии электронных писем для их просмотра без подключения к интернету.
Почтовые клиенты пользователей не поддерживают формат файлов mbox. Это — простой текстовый формат, который могут читать многие консольные почтовые клиенты, вроде mailx и mutt.
Пользователи не могут постоянно пользоваться быстрым подключением для доступа к файловой системе сервера и для работы с mbox-файлами, в итоге нужно сделать локальную копию для работы с ними без подключения к сети.
Для того, чтобы учесть все эти особые случаи, были созданы другие протоколы. Их можно описать как протоколы для доступа к электронной почте.
Сильнее всего распространены два популярных протокола доступа к почте — POP (Post Office Protocol), и IMAP (Internet Message Access Protocol).
В основе POP лежит очень простая идея. Центральный почтовый сервер на Linux всё время подключён к интернету, он получает и сохраняет письма для всех пользователей. Все полученные письма остаются в очереди на сервере до тех пор, пока пользователь не подключится к нему по протоколу POP и не загрузит письма.
Когда пользователь хочет отправить письмо, почтовый клиент обычно передаёт его через центральный сервер по SMTP.
Обратите внимание на то, что SMTP-сервер и POP-сервер могут без проблем работать на одной и той же машине. В наши дни это — обычная практика.
Возможности, вроде хранения исходных экземпляров писем пользователей на сервере с хранением на клиенте лишь кэшированных копий, в POP отсутствуют. Это привело к разработке протокола IMAP.
Используя IMAP, сервер будет поддерживать три режима доступа к почте:
- Онлайн-режим похож на прямой доступ к файловой системе на почтовом сервере.
- Оффлайн-режим похож на то, как работает POP, когда клиент отключается от сети после получения своих писем. В этом режиме сервер обычно не хранит копии писем.
- Автономный режим позволяет пользователям хранить кэшированные копии своих писем, а сервер так же хранит копии этих писем.
Существуют различные реализации IMAP и POP, в этой сфере весьма популярен сервер Dovecot, который позволяет работать с обоими протоколами.
Сервера POP3, POP3S, IMAP, и IMAPS слушают, соответственно, порты 110, 995, 143, и 993.
Установка Dovecot
Большинство дистрибутивов Linux содержат предустановленный Dovecot, однако, его можно установить и самостоятельно. В системах, основанных на Red Hat, это делается так:
В системах, основанных на Debian, функционал IMAP и POP3 предоставляются в двух разных пакетах:
Тут вам предложат создать самозаверенный сертификат для работы с IMAP и POP3 по SSL/TLS. Ответьте на вопрос yes и, при появлении соответствующего запроса, введите имя хоста вашей системы.
Затем можно запустить соответствующую службу и добавить её в автозагрузку:
Настройка Dovecot
Главный файл настроек Dovecot расположен по адресу /etc/dovecot/dovecot.conf. В некоторых дистрибутивах Linux этот файл размещается в папке /etc/dovecot/conf.d/ и, для подключения файлов настроек, используется директива include.
Вот некоторые из параметров, используемых для настройки Dovecot.
protocols: протоколы, которые надо поддерживать.
Здесь lmtp означает Local Mail Transfer Protocol. listen: IP-адрес, который будет слушать сервер.
Здесь звёздочка означает все интерфейсы IPv4, двойное двоеточие означает все интерфейсы IPv6.
userdb: база данных пользователей для аутентификации.
mail_location: это запись в файле /etc/dovecot/conf.d/10-mail.conf. Выглядит она так:
Dovecot поставляется со стандартными SSL-сертификатами и файлами ключей, которые используются в файле /etc/dovecot/conf.d/10-ssl.conf.
Когда пользователь пытается подключиться к Dovecot, сервер покажет предупреждение, так как сертификаты не подписаны. Если нужно, подписанные сертификаты можно приобрести в подходящем центре сертификации.
Не забудьте открыть порты сервера Dovecot на файрволе.
И про SMTP-порт не забудьте.
Затем сохраните правила. Если хотите освежить в памяти особенности работы с iptables в Linux, взгляните на этот материал.
Или, если вы используете firewalld, можете поступить так:
А, если что-то пошло не так, посмотрите лог-файлы /var/log/messages, /var/log/maillog, и /var/log/mail.log.
Итоги
Теперь вы можете настроить почтовую службу на своём Linux-сервере. Как видите, много времени это не займёт. Конечно, у рассмотренных здесь пакетов, вроде Postfix, уйма настроек, но если вы освоили описанную здесь последовательность действий и разобрались с основами, то всё, что вам понадобится, несложно будет выяснить из документации.
Уважаемые читатели! А как вы настраиваете почтовые сервера на Linux?
Источник
