Большинство из нас бесит то, что владелец сервера читает нашу почту. Конечно, делают это алгоритмы, а не живые люди, но от этого не легче: мутная контекстная реклама, собранная из обрывков фраз, недостаточная безопасность, да и просто осознание того, что твою переписку может просматривать условный товарищ майор — бесят. Кого-то бесят в большей, кого-то в меньшей степени.
Еще у части специалистов есть пунктик на тему красоты почты. Хочется красивый, короткий, запоминающийся адрес, который бы показывал, что вы
У многих IT-специалистов существует запрос, который публичный почтовый сервис удовлетворить не способен. Вот только не все отдают себе отчет, чего им это будет стоить. Так что давайте разберемся, на самом ли деле вам нужен почтовый сервер или стоит приложить свою энергию в каком-то более перспективном направлении.
Я не хочу, чтобы мою почту читали
Если вас бесит тотальная слежка корпораций за вашими почтовыми отправлениями, то поднятие собственного сервера — буквально последний аргумент в сложившейся ситуации, потому что между gmail и собственным почтовиком есть еще несколько промежуточных решений.
Вариант первый — это использовать внекорпоративные почтовые сервисы, которые были созданы, фактически, вашими же единомышленниками.
Самый яркий и популярный пример из числа независимых почтовых сервисов — ProtonMail. Этот сервис создан специально для людей, с повышенным градусом паранойи. Никаких «сохранить пароль» или «запомнить меня на этом устройстве» при включенном двухфакторе. Каждый раз логинимся руками, каждый раз вводим авторизационный код, который приходит на телефон. Сервис хорошо работает по системе «email over Tor», то есть в отличие от прочих сервисов, дружит с «луковкой». Но из-за повышенного градуса той самой паранойи, ProtonMail не слишком хорошо работает с SMTP и имеет ряд других болезней, свойственных андерграудным проектам. Например, администрация ProtonMail официально признавала проблемы с регистрацией на некоторых популярных сайтах и сервисах с их адресов.
Кроме ProtonMail существует еще масса сервисов — этот просто наиболее известный и был приведен в качестве примера. Стоит помнить, что чем меньше почтовый сервис — тем больше к нему недоверия со стороны остальной сети.
Существуют и полумеры борьбы за свою приватность. В том же Google-аккаунте можно запретить любой анализ данных и их передаче компании, плюс можно отказаться от использования Google Chrome в пользу другого браузера. Это поумерит аппетиты корпорации, но не будет гарантировать того, что ваша почта все еще не сканируется-читается-анализируется.
Если переход на другой почтовый сервис или полумеры в виде игр с настройками приватности вас не устраивают, то да — вам нужен свой почтовый сервер.
Мне нужна «красивая» почта
Избавиться от «gmail», «yandex» или другого индекса в адресе электронной почты — мечта многих специалистов, особенно, если вы фрилансер. Временами бывает неловко при обмене электронной почтой по работе давать свои адрес вида «yabestpazrab@gmail.com» в ответ на «manager@companyname.com». У многих возникает ощущение, что они не специалисты, а самозванцы. Вон, даже настоящей рабочей почты нет.
И в этой истории личный почтовый сервер тоже — последний аргумент, потому что крупные почтовые сервисы позволяют поднять внутри себя почтовый домен, был бы настоящий адрес во владении. Например, тот же Gmail с радостью и за отдельную плату трансформирует ваш ящик из gmail.com в domainname.com, а работу вы продолжите в уже привычном интерфейсе Gmail. И никакого поднятия собственного сервера, администрирования, проблем с доходимостью писем и всего того, что сулит приватный почтовик. Только заведи учетную запись G Suite, купи домен и настрой все так, как написано в официальном мануале.
Если использование продуктов корпораций и сканирование содержания писем вас не устраивает, то да — вам нужен свой почтовый сервер.
Мне. Нужен. Свой. Почтовый. Сервер.
Если вы не нашли для себя альтернатив личному почтовому серверу по тексту выше, то поздравляю, тут мы будем рассуждать о подводным камнях этого прекрасного мероприятия.
В первую очередь, чтобы поднять свой почтовый сервер нам понадобятся три составляющие:
- Понимание того, что свой почтовый сервер в 2020 — это просто;
- Сервер, на котором все будет крутиться-вращаться;
- Личный домен.
Начнем с общего. Все эти разговоры про свой почтовый сервер, безопасность, настройку анти-спама и прочее ввергают большинство людей в состоянии фрустрации.
Проблема в том, что большинство из нас почерпнуло базовые знания о поднятии собственного почтового сервера еще в конце 90-х и начале 00-х, то есть, по меркам IT-индустрии, еще в дремучей древности. Да 20 лет — это почти вечность назад!
Чтобы вы понимали, насколько это было давно. В 2000 году релизнули первую версию Symbian, AMD представила революционный Athlon с частотой 1 GHz, вышла в свет Windows 2000, а на прилавках появилась PlayStation 2. В тот же год начал лопаться пузырь доткомов, а Bon Jovi выпустил сингл «It’s My Life».
И вот примерно из той эпохи и произрастают представления о почтовых серверах тех, кто толком с ними никогда не имел дела. На самом деле сейчас все намного проще.
Первый шаг по поднятию почтового сервера — поиск подходящего вам доменного имени, на которое мы повесим все хозяйство. Где покупать домены — дело ваше. Можно за границей, можно у reg.ru или другого крупного местного продавца, тут дело исключительно вкуса.
Второй шаг — это покупка сервера под ваши нужды. Ну тут мы скромно порекомендуем наши VPS — отличное решение для такой легковесной вещи, как почтовый сервер. И на машине сразу будет готов выбранный Linux-дистрибутив.
Третий шаг может быть двух типов. Простой и сложный.
Простой вариант выглядит как покупка VPS с Ubuntu и команда в консоли:
# apt install postfix
В процессе установки указываем в качестве интернет-сайта ваш личный домен, а в параметре
mydestination
указываем mydestination = $mydomain, localhost.$mydomain, localhost
Уходим на ребут и все! Вы невероятны и с собственным почтовым сервером!
Есть вариант посложнее для тех, кто предпочитает все контролировать.
Вместо почти стандартного уже Postfix, разработка которого началась еще в 1998 году, вы можете выбрать любой другой сервер, например Qmail, Exim, Citadel, Zimbra, или даже платный MailerQ. В поиске чаще всего упоминаются именно эти ребята.
Например, Exim — родом из кабинетов Кембриджского Университета, распространяется свободно по лицензии GNU, а разработка ведется еще с 90-х годов. Из приятного: по этому серверу есть вся возможная документация, так как ваялось это, очевидно, не на коленке. Имеет достаточно широкий набор готовых конфигураций под Unix-системы, в том числе под не слишком известные и местами специфические дистрибутивы.
Exim — легкий, с широкими возможностями и жирной документацией вариант для людей, готовых поработать над настройкой. Единственное, что омрачает картину — эксплуатация уязвимости Exim летом 2019 года в версиях 4.87-4.91 (актуальная — 4.94). Тогда под удар попали миллионы почтовых серверов, а сам эксплоит оценили на 9,8 из 10. Подробнее можно почитать тут и тут, писали на Хабре.
Настолько же «древним мастодонтом» является и Qmail, первая версия которого вышла почти 25 лет назад, в декабре 1995 года. Он прост, быстр, надежен
Вообще не удивительно, что наиболее популярные решения для Linux берут свое начало еще в 90-х годах, когда интернет и unix-системы активно развивались. Привычных публичных сервисов электронной почты тогда еще толком и не существовало, либо они были настолько дырявыми и опасными, что проще было поднять собственный сервер.
Также внимательный администратор озаботится настройкой анти-спам защиты. По этому запросу поисковик может посоветовать вам SpamAssassin, который упоминается в ряде материалов по теме за последние 5 лет, в том числе в одной из наших статей. Этот проект стагнировал с 2015 по 2018 годы, так что захотите ли вы им пользоваться сейчас — вопрос открытый. Последнее обновление SpamAssassin вышло в январе этого года и в целом, патчи он получает +\- раз в год. Но SpamAssassin'у есть масса альтернатив, тот же rspamd. Вообще, о ручной настройке почтового сервера мы писали еще в 2017 году, почитайте, там разложены основные моменты, с которыми вам придется иметь дело. Само собой, еще большую ценность представляют комментарии к ней, как это обычно бывает на Хабре.
Так нужен ли почтовый сервер или нет
Собственно, идея проста: персональный почтовый сервер в 2020 году — это сравнительно просто, если не углубляться в конфигурацию, и сравнительно доступно.
Личный почтовый сервер требует денежных вливаний, в первую очередь — на доменное имя и, собственно, само оборудование. И если VPS можно купить за сравнительно небольшую плату, плюс «крутить» на нем что-нибудь еще кроме почты, то стоимость аренды домена в год колеблется от нескольких сотен рублей и до бесконечности.
Если вы — малый бизнес и сам себе гендиректор, инженер и сисадмин, то стоит все же посмотреть на готовые решения типа G Suite от Google или другой крупной компании, предоставляющей похожие услуги.
В 100% случаев свой почтовый сервер — это поле для экспериментов и получение навыков настройки и администрирования, ну и, конечно же, средство для борьбы со слежкой или собственной паранойей на эту же тему. Что в современных реалиях почти одно и тоже и не осуждается.
Нужно только для себя решить, совпадают ли ваши цели и желания с тем, что вы получите в итоге.
Crazyvlad
У личного сервера есть неприятная особенность — домен периодически может попадать в стоп (спам) листы…
YMA
А какие могут быть для этого причины? Допустим, что SMTP у нас закрытый, дырок для рассылки спама нет, IP-адрес давно арендован и в нежелательной активности не светился, все цифровые подписи настроены как положено. Еще чем-то надо озадачиться?
Есть желание поэкспериментировать, пока использую Яндекс.Коннект (и он меня вполне устраивает), но всякое бывает…
Sergey-S-Kovalev
… и тут пользователь запускает какую то фигню, которая начинает фоном через его почтовое приложение сотнями в секунду слать спам.
slavius
Это и на своем сервере может произойти. Если через почтовое приложение.
Sergey-S-Kovalev
Все зависит от того, позволяет ли почтовый сервер слать избыточно большое количество писем своим пользователям. Облачные почтовые сервисы — не позволяют по умолчанию. Они сразу триггерятся на это.
Свои почтовые сервера, обычно до первого такого попадалова :)
Crazyvlad
Ага. Сталкивался с этим (((
podde
Если пользователь "запускает какую-то фигню" – это проблема не пользователя или темы почтового сервера, а проблема вас, как сисадмина.
Sergey-S-Kovalev
Простите, коллега.
А как моё сисадминство спасет меня от внезапного 0-day эксплойта пришедшего по почте в docx/xlsx/pdf документе с ящика контрагента?
Или вы считаете, что я как сисадмин, должен вести со всеми пользователи беседы, как отличить письмо мошенников от письма нормальных людей? Дык у меня их тысячи, где ж я столько времени возьму, а работу кто работать будет? Ну я могу набросать шаблон, что бы HR разослал, но как Вы написали, пользователям же пофиг — это не их проблема.
Или мне каждое входящее письмо из тех обычных 18к+ писем за день просматривать и аппрувить, если норм?
А как мне заблокировать спам с взломанных ящиков, с которых рассылают делают медленные рассылки по 50-150 писем в течение дня? А на следующий день это уже новый ящик с другого домена и ip адреса, но получатели в корп сети все те же.
Или у Вас на любую проблему сисадмин сразу виноват? Недоглядел же. Виноват! Некомпетентен!
podde
1. Еженедельная маленькая рассылка по компании с акцентированием внимания на тех или иных аспектах безопасности;
2. База знаний, с картинками, блэкджеком и пошаговым описанием, что и как делать/не делать.
Да, это не последняя инстанция и не гарантирует от всего-всего. Да, это требует усилий. А кто сказал, что админить – это только в Кваку играть?
А вот это тоже ваша работа. Пока пользователь по Базе знаний лазает, вы админьте и разбирайтесь с этим.
Не спора ради. Но ваша позиция кажется мне немного странной и эмоциональной.
okjaeo
У нас в дополнение к этому ещё есть ответственность работника. Пусть лучше лишний раз попросят проверить, зато понимают, что запуск шифровальщика будет и их ответственностью тоже.
podde
Тоже верно.
Sergey-S-Kovalev
Хорошая позиция, но я пожалуй приведу аналогию: Вам каждый день, по два раза, в разное время, с разных номеров, звонит бот и предлагает практически один и тот же спам. И как же вы будете его фильтровать, если телефон не подсвечивает этот звонок как спам, а вам звонят со всей страны по долгу службы совершенно разные люди? Для правдоподобности добавим условие, что нет никакой организации, в которую можно было бы пожаловаться на такие звонки. Ну и генеральный тоже недоволен и просит вас решить эту проблему оперативно, ему тоже звонят.
Как решить эту проблему?
Возможно странная, но как говорится каждый варится со своим набором специй.
Эмоциональная — это точно. В этих эмоциях много боли и страданий.
dominigato
dragoangel
Rate-limits на rspamd к примеру очень хорош и мониторинг mailq ваше все. Если у вас в очереди сообщений более чем 50 писем пора задуматься, если более 100 скорее всего пора бить тревогу. Есть куча возможностей как это мониторить: ELK, Graylog, Zabbix и тд
pae174
> и тут пользователь запускает какую то фигню
Для этого на сервере можно настраивать лимиты на количество сообщений за единицу времен и автоматическое сообщение о превышении таких лимитов.
Кроме того исходящие письма можно проверять на спам так же, как и входящие. И в случае обнаружения массы исходящего спама присылать письмо счастья.
Sergey-S-Kovalev
Вооот! Вот наш победитель.
selivanov_pavel
Из моего опыта, правда уже давнего: почтовый сервер, рассылающий исключительно служебные письма одной софтины корпоративным пользователям этой софтины, лёгко и непринуждённо попадает в список Spamhaus. Взломан он был очень вряд ли, снаружи он был доступен только по ssh на нестандартном порту по ключам, подозрительной активности я не замечал.
И чтобы его достать из этого списка Spamhaus, требовалось пройти какой-то нездоровый квест по доказательству того, что я не спамер, и по-моему заплатить им денег. В итоге оказалось проще завести корпоративным пользователям ещё одну почту на провайдере, не учитывающем рейтинг Smaphaus.
dragoangel
Никогда и никому за делистинг платить не нужно. Rbl/Dnsbl имеет право:
1) зарабатывать на донате
2) взымать стоимость за использование их сервиса для проверки почты
Но никогда не имеет права взымать за делист, не порите чушь.
selivanov_pavel
Запомнилось, что каких-то денег от меня вроде хотели. Но это давно было, могу ошибаться.
JerleShannara
Спамхаус — ооочень сильно вероятно, что хотели бабла за исключение из списка, можете поискать в гугле, там хватает историй. Причём, иногда их списки используют не только для блеклистинга почты.
JerleShannara
А что делать с террористами в лице Spamhaus? Эти [много текста censored] обожают требовать бабло, а некоторые админы сдуру используют этих террористов.
dragoangel
что вы подразумеваете под «террористами в лице Spamhaus»? Fake RBL?
JerleShannara
RBL который вносит подсеть, в которой находится твой сервер в блэклист из-за одного чьего-то хоста, а на запросы о удалении из листа не чешется, пока ему не начнут долбить крупные провайдеры, а порой ещё за это исключение требует бабло на мой взгляд не отличается от террориста, который захватил здание и требует выкуп. Гугл полон «щясливых» историй по борьбе с этой чумой блэклистов.
Да хоть вот с хабра: либо про ДДоС (который они честно заслужили), либо мат и ругань habr.com/ru/search/?q=%5Bspamhaus%5D&target_type=posts
dragoangel
ок, вот тут люди тоже пишут https://habr.com/ru/post/141231/ про "терроризм", но кхм, я с таким не сталкивался, и если бы столкнулся послал бы на 3 буквы. Может потому что я если и делистил то только /32 IP, а не обращался как провайдер, у которого забанили всю /24 или несколько подстетей. В банах больших подсетей можно долго спорить кто прав, а кто видноват, но о том что за 1 хулигана с /32 банят всю /24 подсеть банят, я не очень верю. Думаю там минимум таких накапливалось по 5 штук. ISP в таком случае должны просто за стандарт брать и банить outbound tcp 25 port и делать разблокировку только по запросу. В случае abuse репорт — блочить опять пока не почистят mailq и не исправят первопричину (будть то openrelay или скомпрометированый юзер). За несколько повторений с клиента взымать штраф за нарушение правил испрользования хостинга это тоже нормальная практика и вот такое я видел у некоторых в договоре.
А так, все делисты что я видел происходили либо вебсайт с аля капчей либо через почту (через postmaster@ptr.strip(host) к примеру).
Делистил у около 10 RBL, в том числе и у в том числе Spamhause, делист везде происходил менее чем за сутки.
Запомнилось мне 2 особых белклиста:
JerleShannara
Я собственно говоря тоже очень люблю отлупы от MXов в виде «451: Your server in shitty RBL, go fsck ur brain hahaha» и тех админов, которые эти самые RBL проверяют в постфиксе, а не в антиспаме потом, но увы, тут анекдот про проблемы коренного населения Америки и интимную жизнь шерифа во всей своей красе, пользователю пофигу почему мыло не дошло.
Я лет пятнадцать назад даже с paypal-ом ругался на весьма смешную тему — у них один из MX серверов чудил по полной (HELO с кривым доменом, нет PTR-а и т.д.) в результате у меня постфикс периодически режектил почту от палки ещё на этапе заголовков, переписка не дала результатов, пришлось плюнуть на это.
dragoangel
А и с Symantec подвох был в том что мой сотрудник ловил bounce от итальянского территориального фришного почтового сервиса (на подобии mail.ru только поменьше) и от французского, но в ответе отказа не было указано по какому rbl меня отбросили, но явно говорилось что bounce я получил именно за блеклист. Стучался к обоим: конечно же postmaster not existing mailbox, как и abuse. Через форму обратной связи: у французов она сломана напрочь была — требовала attachment который некуда было подложить, а у итальянцев все же методом тыка и с google translate я умудрился найти перечень rbl которая их система использовала и методом исключения я нашел что это был Symantec.
Вообще по всему прочему бесит тот факт что люди игнорируют отсутствие таких важных аккаунтов/алиасов как postmaster или abuse на своих доменах. Спам на них не идет никогда — и логично, это просьба о пермобане :D. Но людю продолжают их не создавать. А если и создают не отключают часто для них антиспам в результате чего postmaster тоже не может принять проблемное (возможно даже local blacklist письмо) что лишает смыла данную учётную запись.
Да что там говорить — начинаешь слать dmarc reports и такое видишь… 40% rua адресов: mailbox not exist/user is over quota (даже у Яндекса по 4 раза на год)/mimetype isn't allowed. Последний кейс вообще ор выше гор: ребята хотят получить репорт zip с xml но даже не удосужились проверить, а не блочит ли их спам фильтр эти форматы? Ор...
JerleShannara
From: "Canadian Pharmacy" <vuhhuia@****.com>
To: <postmaster@****.ru>
Subject: *****SPAM***** ( 12.5 ) The best price for Viagra Professional
Никогда? =) Хотя да, слать спам на постмастера действительно просьба пристрелить из противотанкового гранатомёта.
Crazyvlad
IP адреса из вашей сетки /24 были замечены в спаме. Ваш адрес могли использовать в атаках (путём подмены само собой). Ваши пользователи имеют зараженные ПК.
В общем расслабляться нельзя… Не факт, что произойдет, но из опыта, даже у крупных корпораций почтовики попадали в стоп листы… Просто нужно иметь это в виду и знать, что делать.
dragoangel
Первое — не стоит хостить почтовик "где попало", в данном случае хороший ISP с заблокированным 25 портом по умолчанию, это правильный выбор. К примеру OVH я бы не рекомендовал как площадку для хостинга почтовика ;). Тогда и случаи попадания целых /24, а то и выше подсетей стремятся к нулю. Ну и конечно же можно подписаться на рассылку от mxtoolbox.com на проверку на блеклисты, а так же самому раз в неделю поглядывать на http://multirbl.valli.org/. Увы symantec, cyren и еще некоторые корпоративные rbl/dnsbl не разрешают публично их опрашивать, по этому их список можно держать отдельно и проверять уже когда начинаются проблемы с большимы делеями или баунсами.
Так же не лишним будет зарегистрироваться на dnswl.org, а так же на feed back loop от returnpath, yahoo и в программе репутации microsoft.
selivanov_pavel
Ну то есть свой почтвый сервер — это не "поставил, включил авто-обновление и забыл", а "поставил и теперь трахайся с постоянной поддержкой".
dragoangel
Зато если у вас не пойми почему валидные письма попадают в спам вы можете сами все исправить, а не ждать ответа от саппорта, и подобных кейсов много. Это как иметь свою квартиру или съёмную. Да в своей квартире нужно иногда делать ремонт самому или нанимать людей, в съемной — ремонт делает хозяин, но вопрос насколько хозяин заинтересован в ремонте вашей съемной квартиры?) Все же как по мне своя лучше и на душе приятнее. А если хозяин цену поднимает? А если он монополист… И тд и тп.
selivanov_pavel
Это понятно, но в большинстве случаев человеку нужен просто работающий сервис, а не дополнительные траты сил и времени, так что проще и эффективнее купить готовый. Если не нужны какие-то прямо особенные фишки.
В статье пишут — поставь постфикс, пропиши домен и дальше всё само работает, а я говорю, что это не совсем так.
Кстати, а почему вдруг? Если использовать LTS дистрибутив, где прилетают только исправления ошибок, и не получится нарваться на несовместимость конфигов новой и старой версии — да пусть сам обновляется, если пара секунд секунд даунтайма раз в неделю на рестарт сервиса погоды не делают.
gecube
Павел, поддерживаю!!!
Кстати, это не совсем так. Был печальный опыт с панелью Веста, экзимом/dovecot на вполне лтсной центос 7. В какой-то момент с обновлением конфиг почтовика превратился в тыкву, но это по ходу больше виновата Веста…
dragoangel
Exim по жизни = проблемы, и если честно с каждым годом у них их больше. Как можно 3 раза не суметь пофиксить валидацию символа окончания строки и наступать на те же грабли мне не понятно. Postfix one love в общем.
dragoangel
Если стек простенький то вканает, если сложный — то полетят головы рано или поздно и дело даже будет не в конфигах а в фиксе бага который сделал еще 3 бага. Dovecot часто ломает или полностью или частично (что еще хуже) репликацию. Я вообще пользуюсь mailcow, это docker-compose, там обновления работают отлично, но локальные модификации могут быть перезатерты при git checkout, по этому там обновление ручное. Я и администратор и девопс, и на поддержке куча сервисов, не вижу проблем выдилить 3-4 часа жизни в месяц на почтовик — это моя работа, я за нее деньги получаю, и удовольствие тоже.
selivanov_pavel
Если конфиг несложный и используются только пакеты из дистрибутива — то автообновление прокатит. Для LTS дистрибутивов обновления пакетов включают только фиксы ошибок, не ломая обратной совместимости.
Если там что-то сложное, или даунтайм недопустим, то не прокатит конечно.
Но в общем случае я стараюсь автообновления включать, где это возможно. Мне нравится идея, что в случае моего увольнения/отпуска/смерти/похищения инопланетянами сервер будет самостоятельно жить без дырок в безопасности до конца срока жизни дистрибутива.
m0ze
Из личного опыта, так сказать. Нередко такие проблемы друг другу устраивают конкуренты, благо реализация простейшая и не стоит ничего, а вот «принимающая» сторона из-за ряда факторов может застрять в проблемах на несколько дней.
Собственно, описанное выше за «дыру» никто не считает ровно до первых проблем со всеми этими рассылками и спам-листами, и прицепом мысль о
перестаёт иметь право на жизнь.
jorikaaa
Вы мне поветите, но очень многие облака тоже иногда этим грешат.