[ CoyoteKG @ 01.07.2018. 10:28 ] @
Hteo bih da zaobiđem plesk i cpanel, i da postavim ceo setup na jednom serveru koji će služiti samo tome.

Otprilike ovo znam da treba, ali šta bi moglo još?

Osnovno:
Postfix
Dovecot
Apache
php
MySQL

SPAM zaštita:
SpamAssassin

Antivirus:
Amavised-new
ClamAV

WEBmail i Administracija:
Postfixadmin
Roundcube webmail
Možda SOGo?

Dodatno:
Fail2ban
certbot let's encrypt
phpMyAdmin

Dodatni setup:
- TLS enforce
- DKIM, SPF, PTR setup
- Enabling DNSBL

Ovo znam da postavim, ali šta vi još dodatno podešavate? Šta sam zaboravio?
[ nkrgovic @ 01.07.2018. 14:58 ] @
LDAP, ako ga integrises u korporacijski directory, inace nista. Deluje skroz OK.

Ja bi izbacio phpMyAdmin. :) Los alat.
[ CoyoteKG @ 01.07.2018. 15:20 ] @
Thx na odgovoru :).

LDAP mi ne treba, mada bih mogao da probam na nekom testu da vidim kako se integrise.

U principu ne treba mi phpMyAdmin, mozda samo za neke osnovne stvari. Lakse mi nego iz terminala. MySQL Workbench sam par puta koristio, ali za moje potrebe, nekako mi lakse phpMyAdmin.
Koja je tvoja preporuka umesto njega, i sto je los alat? :)
[ nkrgovic @ 01.07.2018. 16:33 ] @
Preporuka, umesto njega, za mene je ili mysql iz konzole (za 90% stvari), ili Workbench. Za admina su po meni najbolji alati.

Zasto je los? Za pocetak zato sto kad se nakacu na server krene da divlja sa SELECT-ovima po information schema-i do mere da zna da zakuca server ako ima velikih tabela. Meni je i to samo po sebi dovoljno ;)
[ Aleksandar Đokić @ 01.07.2018. 18:09 ] @
Dobar je spisak, samo bih ja isao na sendmail umesto postfix-a.

Citat:
LDAP mi ne treba, mada bih mogao da probam na nekom testu da vidim kako se integrise.


Sto se tice ovoga, zavisi kako mejl sistem radi autentifikaciju. Autentifikaciju posebno radi MTA posebno IMAP/POP server.

Po default-u sve ce "pitati" linux da li user postoji na sistemu ili ne, a ti mozes da promenis da su user-i u nekoj mysql-like bazi. Mozes da promenis da same aplikacije rade upit, a mozes i preko linux nss-a. Imas onaj "nsswitch.conf" koji definise na koji nacin i redosled user lookup-a na lin-u. Pa instaliras mysql/postgre/nesto trece nss lib-ovel i zamenis u nsswitch.cfg. A dalje sam pises upit sta ce se vracati kao username, sta kao pass na sistemske pozive tipa getpwnam.

Btw, manuelno konfigurisan mejl server je velika muka za odrzavanje. Krene spam, pa blek liste, pa nekome ne radi mejl zbog neke gluposti a tebe smaraju... razmisli o tome.
[ nkrgovic @ 01.07.2018. 20:32 ] @
Citat:
Aleksandar Đokić: Dobar je spisak, samo bih ja isao na sendmail umesto postfix-a.

Mazohizam, fetis ka m4 ili imas neki ozbiljan razlog? :)
[ CoyoteKG @ 01.07.2018. 20:45 ] @
usere i sve cu u mysql, jer imam oko 200 mailboxeva i dvadesetak domena.
za blekliste, spam... se ionako cimam.

sto sendmail umesto postfix?
[ Aleksandar Đokić @ 01.07.2018. 21:58 ] @
Citat:
Mazohizam, fetis ka m4 ili imas neki ozbiljan razlog? :)


Ahahaa to jeste, m4 je muka.

@CoyoteKG

Sendmail mi se cini stabilniji nekako, otkud znam, A i negde mi je u malom mozgu da ima prednosti kad je u pitanju fleksibilnost konfiguracije.

Btw, resi odmah probleme tipa sta se desava sa istim username-om na dva razlicita domena - to moras da mapiras u sistemski user koji ne sme da ima "@"... i izronice ti tu jos tih stvari.

[ CoyoteKG @ 01.07.2018. 22:08 ] @
Useri su mi u mysql, nisu sistemski.
ne kapiram :).
[ nkrgovic @ 02.07.2018. 08:39 ] @
Citat:
Aleksandar Đokić:
Sendmail mi se cini stabilniji nekako, otkud znam, A i negde mi je u malom mozgu da ima prednosti kad je u pitanju fleksibilnost konfiguracije.

Meni je u glavi par nekih prastarih exploit-a za sendmail i kernel 2.2 i od tad sam, negde, presao da koristim nesto drugo. Prvo qmail, pa onda postfix. Iskreno, nisam dosao u situaciju da ne mogu da napravim nesto uz postfix sto mi realno treba....

A i realno, ovo je vise vezba. Danas obicno za bilo kakav enter-paradajz stavim ili iRedMail ili Zimbra-u i miran sam. Postfix mozda za neki ISP koji drzi nisko opterecenje, a daje svima mail-ove, mada i ISP-ovi sad mail otvaraju samo na zahtev.... ;) Svi su presli na public email providers.
[ CoyoteKG @ 02.07.2018. 12:21 ] @
kad pomenu iRedMail. Koristio si?
Sinoć sam slučajno naleteo na to.
Koliko sam shvatio, sve ovo što bih ja jedno po jedno instalirao, to bih sa iRedMail spucao sa tom nekom njihovom skriptom?
A koji su nedostaci toga?
[ nkrgovic @ 02.07.2018. 15:52 ] @
Nedostaci su sto podrazumeva cist klot server, sve mora kroz njih ili imas problem. Takodje, SE Linux mozes da zaboravis.

Prednosti su sto se lako instalira, lako podesi i sve radi. Dobijes i fail2ban i skroz razuman security. Takodje, administracija je skroz kroz GUI, mozes da das nekom drugom, tipa HR, small business owner, tako nekom da bude admin i da odradi deo posla.
[ agvozden @ 03.07.2018. 10:57 ] @
Ja bih isao bez apache, php... ne potrebno. Jedino zbog Roundcube-ta

instaliraj Virtualmin i imaces sve ovo. Potrebno je minimalno da se doradi (spam filteri i konkretna podesavanja)
[ srbaja @ 03.07.2018. 11:51 ] @
Za firmu te velicine (narocito ako je opterecena manjkom IT osoblja) ja bih ipak preporucio neki od hosted email servisa.....
[ CoyoteKG @ 03.07.2018. 12:00 ] @
pa treba mi roundcube...

A kao sto rekoh, postavih ovu temu da izbegnem cpanel i plesk, pa mi onda virtualmin nema baš onda nekog smisla :)
[ agvozden @ 03.07.2018. 12:23 ] @
Virtualmin je besplatan / postoji i placen support.

Bice nezgodno odrzavati mejl naloge bez nekog panela. To sam jednom pokusao da radim, pa se nisam usrecio.

Takodje, ne svidja mi se ideja podizanja apache/php samo zbog webmail-a. Ja bih pre postavio neki menje zahtevniji klijent, ili bih ga drzao na nekom mestu gde vec ima tih kombinacija.
[ CoyoteKG @ 03.07.2018. 12:32 ] @
Pored roundcube koristio bih Postfixadmin pa mi treba php. I on je besplatan. Kroz njega mogu da dodajem mailboxove, domene, aliase, pa ako zatreba čak i admin naloge.

Citat:
ili bih ga drzao na nekom mestu gde vec ima tih kombinacija.

Nisam skontao. Misliš da mi Roundcube bude na nekom zasebnom serveru gde imam već apache i webmail? Pa može i ta kombinacija, samo u ovom momentu nisam razmišljao o tome i nemam ideju kako.
[ nkrgovic @ 03.07.2018. 16:35 ] @
Citat:
agvozden:
Ja bih isao bez apache, php... ne potrebno. Jedino zbog Roundcube-ta

Uopste se ne slazem. Nema nijednog razloga da WebMail bude odvojen od mail servera. Pricamo o enterprise okruzenju. Ono sto moze da se radi je da se ogranici pristup web serveru, zbog security-ja, npr. enforce-ujuci VPN za konekciju na port 443 (TLS je obavezan), ili dodavanjem nekog HTTP Basic Auth-a na konekcije van LAN-a (i VPN-a).
Citat:

instaliraj Virtualmin i imaces sve ovo. Potrebno je minimalno da se doradi (spam filteri i konkretna podesavanja)

Opet se ne slazem. Covek pravi corporate email, ne hosting. Ne trazi zamenu za cPanel koju nece da plati, ne pravi mail za 3000 domena koji ce dobiti neku uslugu - treba mu ozbiljan email, sa dodacima, pomenuo je o SOGo groupware i sve. Nece imati pola toga.

Ako hoce "box" solution ima iRedMail ili Zimbra - to su corporate mail resenja. Virtualmin je druga prica - to je kad hoces da imas shared hosting ili tako nesto. On odrzava samo svoje interne sajtvove u svom (small) enterprise okruzenju.
[ CoyoteKG @ 03.07.2018. 17:23 ] @
Da, kad kažem da ne želim cpanel i plesk, ne mislim na cenu njihovih licenci jer već imam par servera.

Email na postfixu mi treba uglavnom za nase interne potrebe. Čak mi ni sogo nije neophodan ali bi bio koristan zbog zajedničkog kalendara, i ništa više. Nemam iskustva još sa njim.

Mi interno imamo jedno dvadesetak domena, ali uglavnom su forwaderi kojekakvi. Pored toga imamo još dvadesetak klijentskih domena. Ali oni su više prijatelji firme nego klijenti. Firmice kojima smo uradili neke sajtiće i hostujemo ih, pa usput i mailove tipa office@imefirme.com, i to su uglavnom forwaderi na neki privatni acc, mozda par mailboxeva baš aktivno.

Znam da niko ne koristi mailbox za newsletter ili nekako zloupotrebljava, jer im obicno ja podesavam i instaliram klijente i telefone, pa znam cemu sluzi.

Dakle meni bitno da zastitim nas i njih od spama, i to je to. Da cemo mi da zavrsimo na blacklistama, retkost odnosno desilo se jednom pre par godina kad sam poceo da se bavim ovim stvarima i nasledio sam servere od peethodnika koji bas nije nesto pazio... pa navukao neki malware. Mislim da ima ovde tema gde sam trazio savet kako da resim. Posle toga ni jednom.

Pored toga bitan mi je backup, i to cu videti kako. Verovatno cela virtualka plus nekako mailboxevi i setup.

Kako da opisem...
Ako padne server, nece biti toliko strasno i napeto ako ne radi par sati ili ceo dan.
Dakle nije nesto preozbiljno gde mi je bitan HA, ali naravno pozeljno bi bilo da se nikad ne desi problem :) i voleo bih da bude odličan setup, ne zbog drugih nego zbog moje neke lične satisfakcije

[Ovu poruku je menjao CoyoteKG dana 03.07.2018. u 18:39 GMT+1]
[ nkrgovic @ 03.07.2018. 19:52 ] @
HA za mail server moze da bude malo problematicno resenje. Generalno se svodi na :

- Sam mail server ide kao VM, kome se lako pravi snapshot.
- Mail storage ide odvojeno, na neki storage uredjaj koji ima HA kao deo sebe (GlusterFS storage, neki NetAPP filer preko NFS-a, FC storage....) - i koji opet ima snapshots.
- Neki mail VM odvojeno, kao secundary MX / forwarder, da dok traje downtime mailovi mogu da stizu nesmetano.

U nekom SMB varijanti, gde mail storage nije prevelik, moze i sve u jedan VM, pa samo povremeno snapshot i zdravo, dovidjenja.

Na finom si putu. :D
[ CoyoteKG @ 03.07.2018. 20:30 ] @
Za HA sam mislio da je potrebna neka kombinacija sa Smart Hostom, šta god da je to :D. naravno kao sekundarni MX. Nego nisam čitao kako to ide oko storage, i oko sinhronizacije baza...
[ Aleksandar Đokić @ 04.07.2018. 12:28 ] @
Smarthost je kad hoces da koristis eksterni mejl server za dostavu... u MTA podesis smarthost adresu i on umesto da dostavlja "sam" salje smarthost-u.

A to drugo kako ide je dobro pitanje. To je vec kako ti izvedes i generalno prilicno komplikovano pitanje i zavisi od fajlsistema - jer mora da bude shared kako bi vise nodova mogla da pristupa (mountuje) u isto vreme. Kad vise nodova pristupa kako se resava lokovanje i treba ti fs koji to moze... pa zavsis na nekom cluster resenju (btw ekstra je da pogledas RedHat Cluster Suite ako nisi upoznat).

Da bi imao neki HA na backend-u treba ti frontend koji to moze. Mozes da stavis 2 servera kao loadbalanceri i oni da budu MX.

Uglavnom ko sto rekose na dobrom si putu da udjes u prave probleme :). A resenje za to vec nema uniformnih i univerzalnih, i niti jedno radi savrseno i 100%.
[ nkrgovic @ 04.07.2018. 12:43 ] @
OK, ako je mali mail server ima brzo resenje:

U tri nocu shutdown MTA i MDA, fsync na ruke, snapshot - i to je to. Ako je virtuelizacija na nekom filesystemu koji podrzava brze snapshote i ima copy on write, downtime je ispod 5 min - i mirna backa. Ne treba mu smarthost ili bilo sta, samo eventualno sekundarni MX.

Ako to nije prihvatljivo i treba HA, onda da: Mail storage ide na shared filesystem, koji ima HA i koji ima snapshots (ja bi isao na GlusterFS), ili ne neki namenski storage tipa NetAPP, i onda pocinje igranka bez prestanka ;) Ali, ovo sto on opisuje je daleko od budzeta za tako nesto. :)

[ bachi @ 08.07.2018. 21:25 ] @
Druže, poslušaj moj savet, ne želiš da nametneš sebi obavezu da budeš mail administrator.

Lekovi za smirenje neće pomoći, možda u kombinaciji sa alkoholom.
[ CoyoteKG @ 08.07.2018. 22:26 ] @
bachi, nije valjda toliko strašno :)

[Ovu poruku je menjao CoyoteKG dana 09.07.2018. u 12:10 GMT+1]
[ bachi @ 09.07.2018. 13:25 ] @
Evo u jednoj firmi sam imao situaciju da hostuju mailove kod nesrećne Loopie koja ima antispam i anti virus zaštitu, ali im opušteno prolazi neki najnoviji ransomware sa word attachmentom.

Ne bio ti u koži da si ti odgovoran za mail, prođe ransomware, neki lUser otvori to i napravi haos.

Jedan sitan primer, a dovoljno da se je*eš zašto si zapao na crnu listu ili zašto si nekome na crnoj listi pa se prenemažeš sa njihovim adminom ili spam listama, pa mail "ne stigne nekom" ili "neko mu je poslao, ali nije primio mail", ima da osediš ko zmaj.
[ CoyoteKG @ 09.07.2018. 13:51 ] @
da sad je jasnije...
Za spam i blackliste tu se već borim svakako i to mi nije problem jer nas nema puno.

Ransomware zvuči kao realan problem zbog kojeg treba razmisliti o ovome, ali mislim da i kod pomenute Loopie drzimo mailove da bi opet bila moja odgovornost ne njihova.
Jedino O365 ili neki sličan servis, ali to je onda prilično skuplje. Svakako ransomware je dobar argument za razmisliti o "ceni" :)
[ nkrgovic @ 09.07.2018. 14:16 ] @
Gledaj, procitaj malo security reports, imas Cisco, imas CheckPoint, Kaspesky. Svi se slazu, postoje dve vrste preduzeca: Ona koja su imala intrusion i ona koja jos nisu detektovala intrusion. :)

Ne mozes mail serverom resiti to. Ne tako jednostavno. Treba ti viseslojna zastita, defence in depth. Treba ti ozbiljan projekat.

Za pocetak, mozes da sve to predstavis menagamentu, da napravite ceo spisak sta sve mozete da imate, da odaberete sta zelite od toga, i da napravite plan implementacije. U svakom slucaju, mail server ne moze biti zastita za sve, niti mail admin moze biti odgovoran za sve. :)
[ CoyoteKG @ 09.07.2018. 14:24 ] @
Pa jasno da server ne treba da bude jedina zaštita od virusa, nego i klijent koji taj mail otvara.
Mi koristimo neke free antiviruse, ali upravo dok ovo čitam sam se registrovao na Kaspersky da probam Kaspersky Endpoint Security Cloud.
S obzirom da nemamo nikakvo domensko okruženje, ni server, ni neke potrebe za tim... Ranije kad sam razmišljao o Kaspersky, imali su neki kontrolni management koji je morao negde u lokalu da se instalira pa sam tada odustao od toga.
Sad vidim da imaju ovu Cloud varijantu, ali kako izgleda, ne može na Win servere što mi je bitnije. :/
[ bachi @ 09.07.2018. 14:25 ] @
Citat:
CoyoteKG:
da sad je jasnije...
Za spam i blackliste tu se već borim svakako i to mi nije problem jer nas nema puno.

Ransomware zvuči kao realan problem zbog kojeg treba razmisliti o ovome, ali mislim da i kod pomenute Loopie drzimo mailove da bi opet bila moja odgovornost ne njihova.
Jedino O365 ili neki sličan servis, ali to je onda prilično skuplje. Svakako ransomware je dobar argument za razmisliti o "ceni" :)

Taj deo odgovornosti ne bi bio tvoj, najčešće je upravo email vektor za ransomware napada, ti se braniš koliko možeš i čime možeš, mahom zavisi i od budžeta, ali mail server prepusti da nekom drugom bude briga, nije vredno.

Mislim, u redu je da se vežbaš i da učiš i da na kraju znaš sve to da podesiš, ali sam da držiš mail server u produkciji...

Edit: U jednoj firmi koristimo Kaspersky endpoint cloud security i može na servere, trenutno je na 2 Windows 2012 R2 servera. Samo što na serveru ne rade svi moduli, već samo file anti virus i network attack bloker, što kad razmisliš i ima smisla.
[ CoyoteKG @ 09.07.2018. 14:42 ] @
Sjajno, meni su samo te dve stvari i bitne za Server.
[ nkrgovic @ 09.07.2018. 15:43 ] @
Vodi racuna o traffic-u kroz mrezu, vodi racuna da treba da pratis traffic i na ulazu u mrezu i lateralno (east-west, izmedju racunara) kao vektor sirenja, vodi racuna da ti treba neki file trajectory alat za pracenje fajlova koje nije pokupio signature based antivirus (near-zero day attacks), vodi racuna da ti treba i prekidanje C&C traffic-a.... Vrlo siroka prica.

Za pocetak, probaj da dodas OpenDNS. Koristi ga da ti blokira DNS komunikaciju ka poznatim C&C serverima za mallware. Vajdica. :)
[ Zlatni_bg @ 09.07.2018. 18:24 ] @
Gledam ovu diskusiju i pitam se jednu stvar. Ima li poente drzati MS u kontejneru?
[ nkrgovic @ 09.07.2018. 23:17 ] @
Ne.

Mislim, ako pricamo o docker / kubernetes, ne. Kontejner je nesto optimizovano za stateless, eventualno ima smisla i za dev/test env, nikako za produkcioni statefull server.
[ .LoG @ 10.07.2018. 10:43 ] @
A mailcow: dockerized ?
Meni ovo deluje dobro uklopljeno, čak sam razmišljao da ga probam i na jednom produkcionom serveru, ali me odbija baš to "dockerized".
I ja tražim nešto uklopljeno u jedan interface, sa SPAM kontrolom i AD integracijom (samo da povlači korisnike iz AD).

Do sada mi mailcow: dockerized i Modoboa izgledaju najbolje.