https://slinkov.ru/openforum/vsluhforumID1/87918.html Посоветуйте пожалуйста как организовать почтовую систему для организации.<br><br>Исходные данные:<br><br>1. Шлюз интернет с ОС FreeBSD находиться в первом здании, подключен через ADSL 2 Mb/s, первый провайдер<br>2. Шлюз интернет с ОС FreeBSD находиться во втором здании, подключен через ADSL 8 Mb/s, второй провайдер<br>3. VDSL Модем между зданиями ~ 30-40 Mb/s<br><br>Помимо почты по VDSL линии будут ходить пакеты от AD, DNS, SMB, FTP ну все как обычно.<br><br>Внутри ЛВС пользователи должны работать с почтой по протоколу IMAP. Почтовых аккаунтов будет ~ 20.<br><br>В корневых DNS будет:<br>MX 10 mx1.domain.ru шлюз1<br>MX 20 mx2.domain.ru шлюз2<br><br>С этим думаю понятно, чего я хочу.<br><br>В качестве почтового(ых) сервера(ов) будет использоваться zimbra, выбор руководителя.<br>Основной вопрос как сделать?<br><br>1. Вариант 1. <br><br>На шлюзе 1 делаем проброс портов на виртуальный сервер 1 с MTA. <br>На шлюзе 2 делаем проброс портов на виртуальный сервер 2 с MTA. <br>Они соответственно складывают почту на отдельный виртуальный сервер хранилище, откуда пользов https://slinkov.ru/openforum/vsluhforumID1/87918.html#20 Thu, 28 Jan 2010 19:09:35 GMT &gt;Посоветуйте пожалуйста как организовать почтовую систему для организации. <br>&gt;<br>&gt;Исходные данные: <br>&gt;<br>&gt;1. Шлюз интернет с ОС FreeBSD находиться в первом здании, подключен через <br>&gt;ADSL 2 Mb/s, первый провайдер <br><br>ОК сетка 1<br> <br>&gt;2. Шлюз интернет с ОС FreeBSD находиться во втором здании, подключен через <br>&gt;ADSL 8 Mb/s, второй провайдер<br><br>ОК сетка 2<br> <br>&gt;3. VDSL Модем между зданиями ~ 30-40 Mb/s <br>&gt;<br><br>VPN маршрутизация между сетками 1 и 2. И как она предполагается ? Это можно только если во Фре - по 3 сетевых карты. И настраивать роутинг. Для первого раза - не такая и тривиальная задача.<br><br>&gt;Помимо почты по VDSL линии будут ходить пакеты от AD, DNS, SMB, <br>&gt;FTP ну все как обычно. <br><br>ОК<br><br><br>&gt;<br>&gt;Внутри ЛВС пользователи должны работать с почтой по протоколу IMAP. Почтовых аккаунтов <br>&gt;будет ~ 20. <br>&gt;<br><br>мало как-то на весь паровоз<br><br>&gt;В корневых DNS будет: <br>&gt;MX 10 mx1.domain.ru шлюз1 <br>&gt;MX 20 mx2.domain.ru шлюз2 <br>&gt;<br>&gt;С этим думаю понятно, чего я хочу. <br>&gt;<br><br>ОК<br><br>&gt;В качестве почтового(ых) сервера(ов) будет и https://slinkov.ru/openforum/vsluhforumID1/87918.html#19 Thu, 28 Jan 2010 15:57:16 GMT &gt;Вот как считаете если допустим на SMTP сделать авторизацию для отправки почты, <br>&gt;откуда вирус спамбот узнает логин/пароль? Разве что украдет? - Но это <br>&gt;мне кажется для него не будет легкой задачей. Ну да на <br>&gt;счет сессий а также всевозможного "брутфорса" можно и позаботиться конечно, будет <br>&gt;не лишним. А так в целом согласен. Но может я в <br>&gt;чем не прав ? <br>&gt;<br>&gt;По идее то на всех шлюзах к внешним smtp пропускаем тока почтовик, <br>&gt;другие тачки записываем и периодически проверяем логи фаера, или вообще делаем <br>&gt;немедленное уведомление на почту <br><br>Если честно, я не очень в курсе, как организовано взаимодействие разных MUA с программами, которые хотят отправить почту, но у меня сильное подозрение, что спамбот может через соответствующий API рассылать сообщения через MUA, в котором сохранены все необходимые пароли. Например, у SpamAssassin'а есть правила, нацеленные на отлов сообщений, отправленных Outlook и Outlook Express - насколько я понимаю, бот просто передаёт им тело письма и адрес, а остальное они д https://slinkov.ru/openforum/vsluhforumID1/87918.html#18 Thu, 28 Jan 2010 15:42:11 GMT &gt; А можно поподробнее с этого момента<br><br>"Нормальный" MTA поступает с письмом так: берёт доменную часть адреса и ищёт для неё в DNS MX-запись. Если такой нет - ищет A-запись (т.е. просто IP-адрес).<br>Если есть MX-запись (или, при её отсутствии, A-запись) - коннектится к полученному IP на 25 порт и передаёт ему письмо. Если нет, или подключиться не может - отбивает сообщение об ошибке.<br>В некоторых случаях это не нужно (например, если это файл/SQL/http/... сервер, на котором MTA нужен только для того, чтобы репорты на мэйл админа скидывать), тогда на MTA прописывают адрес форвардера (полноценного MTA), которому данный урезанный MTA будет передавать всю почту, а тот уже будет отправлять её по назначению.<br><br><br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#17 Wed, 27 Jan 2010 10:37:40 GMT &gt;&gt;для исходящей? <br>&gt;<br>&gt;Да. Вначале всегда кажется - у нас антивирус, у нас флешки запрещены, <br>&gt;у нас доступ в Интернет только по служебкам, у нас вообще <br>&gt;всё закрыто, а потом откуда-то всё-таки появляется спамбот, который начинает рассылать <br>&gt;спам. Кстати, поэтому на внутреннем MTA тоже надо ставить ограничение на <br>&gt;число одновременных соединений и троттлинг (представьте себе, сколько сообщений он запихнёт <br>&gt;в очередь MTA, прежде чем кто-то что-то заметит). <br><br>Вот как считаете если допустим на SMTP сделать авторизацию для отправки почты, откуда вирус спамбот узнает логин/пароль? Разве что украдет? - Но это мне кажется для него не будет легкой задачей. Ну да на счет сессий а также всевозможного "брутфорса" можно и позаботиться конечно, будет не лишним. А так в целом согласен. Но может я в чем не прав ?<br><br>По идее то на всех шлюзах к внешним smtp пропускаем тока почтовик, другие тачки записываем и периодически проверяем логи фаера, или вообще делаем немедленное уведомление на почту<br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#16 Wed, 27 Jan 2010 10:31:12 GMT &gt;Разные записи есть, но когда пакет придёт на вторичный шлюз, тот прокинет <br>&gt;его во внутреннюю сетку к MTA, а тот отправит ответный пакет <br>&gt;по своему дефолтному маршруту, в результате к удалённому хосту придёт пакет <br>&gt;с src-IP вашего основного шлюза, а он отправлял - на вторичный. <br><br>С этим согласен, а можно ли как нибудь заставить систему работать как бы с двумя шлюзами?<br>Просто практически возможна такая конфигурация как вы считаете ?<br><br>Ну думаю вы меня поняли<br>Или это полный бред - такое невозможно, сейчас даже мне кажется это невозможным<br>Или же это лишнее нагромождение в любом случае получиться и стоит все таки остановиться на варианте с тремя MTA<br><br><br>&gt;При двух MTA надо будет внутреннему MTA указать другой адрес форвардера. <br><br> А можно поподробнее с этого момента, ну пожалуйста. Совсем не понимаю что это может значить на деле ;(<br><br>Спасибо за помощь!<br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#15 Tue, 26 Jan 2010 14:42:12 GMT &gt;для исходящей? <br><br>Да. Вначале всегда кажется - у нас антивирус, у нас флешки запрещены, у нас доступ в Интернет только по служебкам, у нас вообще всё закрыто, а потом откуда-то всё-таки появляется спамбот, который начинает рассылать спам. Кстати, поэтому на внутреннем MTA тоже надо ставить ограничение на число одновременных соединений и троттлинг (представьте себе, сколько сообщений он запихнёт в очередь MTA, прежде чем кто-то что-то заметит).<br><br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#14 Tue, 26 Jan 2010 14:37:03 GMT &gt;[оверквотинг удален]<br>&gt;ip <br>&gt;<br>&gt;т.е. при одном хосте с MTA мне нужно будет перенастраивать основной шлюз <br>&gt;каждый в зависимости от того, где есть инет и через какой <br>&gt;шлюз я хочу отправлять почту. <br>&gt;<br>&gt;а вот при двух МТА вообще ни чего трогать не нужно будет <br>&gt;да? <br>&gt;<br>&gt;или какие могут быть еще телодвижения? <br><br>Разные записи есть, но когда пакет придёт на вторичный шлюз, тот прокинет его во внутреннюю сетку к MTA, а тот отправит ответный пакет по своему дефолтному маршруту, в результате к удалённому хосту придёт пакет с src-IP вашего основного шлюза, а он отправлял - на вторичный.<br>При двух MTA надо будет внутреннему MTA указать другой адрес форвардера.<br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#13 Tue, 26 Jan 2010 14:10:38 GMT &gt;не много ли для 20 пользователей заморочек? <br><br>Многовато :))<br>Просто при схеме с одним MTA во внутренней сетке (к которому форвардятся пакеты на 25 порт от обоих шлюзов) при смене канала придётся:<br>1. поменять в ДНС MX-запись для домена, которая при такой схеме будет только одна (если на MTA просто прописан маршрут через основной канал), ждать час (обычное значение для "expires") пока новые данные сменят в кэшах старые.<br>2. Поменять в настройках MTA имя, с которым он представляется в SMTP-команде HELO (оно должно совпадать с PTR-записью для внешнего IP-адреса шлюза)<br>3. Поменять маршрутизацию на хосте, где живёт MTA.<br>Больше всего времени требует внесение изменений в ДНС, хорошо если ваш DNS не зависит от состояния ваших каналов и вы можете его быстро поменять (например, через web-интерфейс, если вы юзаете DNS от RU-Center или что-то типа того)<br>Это всё, вобщем-то, несложно, но если с канала на канал приходится перескакивать часто - напрягает.<br><br> https://slinkov.ru/openforum/vsluhforumID1/87918.html#12 Tue, 26 Jan 2010 12:24:06 GMT &gt;обойтись меньшим количеством телодвижений при переходе с одного канала на другой. <br><br>с входящей почтой почти все ясно, есть две mx записи на разные ip<br><br>т.е. при одном хосте с MTA мне нужно будет перенастраивать основной шлюз каждый в зависимости от того, где есть инет и через какой шлюз я хочу отправлять почту.<br><br>а вот при двух МТА вообще ни чего трогать не нужно будет да?<br><br>или какие могут быть еще телодвижения? <br>