Свой почтовый сервер?

Question

[tau shaso]

Здравствуйте такой подскажите новичку чайнику , хочу сделать свой почтовый сервер на Zimbra есть локальный днс сервер на windows server 2008 есть локальный домен и куплен белый ip дальше мне что надо сделать? привязать этот домен к белому ip и nat Настроить и все?

Comments

[ArcticFox_wap]

1. Настроить А и MX на корневых DNS там где вы покeпали домен.
2. Настроить А и MX на внутреннем DNS сервере
настроить DKIM и DMARC настроить TXT запись на домен.
лезем на https://www.mail-tester.com/ и делаем отладку до 10/10 может не получиться если домен относится к
3. экзотическим зонам. Настроить проброс портов

По необходимости в прослойку засунуть Proxmox Mail Gateway

Ближе к вечеру попробую написать подробную инструкцию по развертыванию Zimbra (давно было желание сервер сделать, а тут и время есть и напомнили.)

Answer 1

[Алексей Черемисин]

1) не делать свой почтовый сервер
2) хорошо подумать, и не делать свой почтовый сервер
3) если все равно хочется сделать, но еще раз подумать, и не делать почтовый сервер.
Ну и нужно настроить:
- записи MX, SPF, DKIM
- настроить подписи DKIM
- установить SMTP-вервер (opensmtpd например),
- установить POP и/или IMAP серверы
- настроить TLS на всем этом с сертификатами
- очень желательно настроить антиспам типа spamassist
А также по просьбе старого друга и авторитетного администратора крупных почтовых (и не только) сервисов Alexey Dmitriev

Просьба добавить в свой правильный список - настройку записи DMARC и PTR - для полноты картины.

Без этого тоже никуда никто не едет.
И еще раз крепко подумать, нужна ли Вам эта головная боль и разбирательства, "почему меня все блокируют"...
Один из выходов, хостить почту у провайдеров почты, а себе забирать архивы раз в день...

PS, И да, если уж речь зашла о настройках, Всякие PTR, SPF, MX, DKIM, DMARC и прочие вещи я не всегда знаю сам как автоматизировать. В основном ручками все собираю по привычке и правлю конфиги. А в больших инсталляциях еще и разношу на несколько серверов.
И все равно, почта требует практически еженедельного (если не ежедневного, в больших инсталляциях) присмотра и ухода, чистки очередей, разгрузки сервисов, борьбы со спамом и прочей хренью.

PPS. Лет 25 назад доставляло мне удовольствие, забирать отдавать почту по UUCP по модемному коннекту на организацию в 100 человек :)
Теперь нет никакого удовольствия. Это все равно что содержать ftp-сервер. Старый протокол, старые технологии, куча говна и палок.

Ну и коли пошла такая пьянка, некоторые корпоративные почтовики оборудуют всякими фильтрами:
- первое письмо не проходит, и его нужно ставить в отдельную очередь на минут 20-30 для повторного ответа - не выдержал таймаут - БАН
- первое письмо просто валится в спам - повторная отправка - БАН
- нельзя отправлять почту более 10 ресипиентам - БАН
- пигн-понг короткими сообщениями - иначе БАН

Ну и прочие чудеса эквилибристики почтовых администраторов.

Comments

[ValdikSS]

Не экстраполируйте ваш опыт на всех. Современные почтовые серверы настраиваются несложно, проблем с доставкой не будет, если IP-адрес не из подсети спамеров и домен не зарегистрирован только что.
Хостить почту на собственной инфраструктуре можно и нужно.

[Алексей Черемисин]

ValdikSS, Ваши слова - елей, которые все портит подчинительный союз "если". И напомните мне, когда это "новичку чайнику" удавалось не просрать домен и IP в первые же часы установки SMTP, а потом долго выкарабкавыться из спам-листов.
Возможно здесь есть еще с десяток "если" и "но"?

Еще раз, новичку лучше этим не заниматься!

[ValdikSS]

Алексей Черемисин, новичку-чайнику следует устанавливать почтовые комплексы, вроде mail-in-a-box или mailcow, которые содержат детальную документацию и пошаговые меню по настройкам.

Автор задал вопрос про zimbra — с ней дел не имел, но полагаю, что там похожий пошаговый процесс настройки, который исключает возможность некорректной конфигурации вроде open relay.

[Алексей Черемисин]

ValdikSS,

Автор задал вопрос про zimbra — с ней дел не имел

- Вот! Вот про это я и говорю. Не следует советовать новичкам, что, чего сами не делали.

[Alexey Dmitriev]

Алексей Черемисин
Просьба добавить в свой правильный список - настройку записи DMARC и PTR - для полноты картины.

[Алексей Черемисин]

Alexey Dmitriev, Будет сделано, шеф :)))

[Ивор Барханский]

А бы ж то с почтовыми провайдерами было меньше проблем. Те не отдают архивы - бекапьте на клиенте каждого клиента отдельно, те не позволяют архивацию старых писем - пусь каждый владелец ящика (и только владелец ящика!, никаких админов!) чистит свой ящик сам, то какие-то всратые лимиты по 50МБ на ящик и крыло боинга если надо больше. Всё это множится на всё растущую абонплату, потому что пользователей не становится меньше..
Может вы знаете адекватный по всем параметрам сервис? Небольшая компания в несколько сот ящиков, пару сот гигов файлов с приростом 2-3 гига\месяц с радостью переедет подальше от геморроя.

Answer 2

[Александр Фалалеев]

Если знакомы все эти термины для dns:

@ 1800 IN MX 10 mail.вашdomain.ru

@ 1800 IN SPF "v=spf1 ip4:вашIP -all"

@ 3600 IN TXT "v=spf1 ip4:вашIP -all"

_dmarc 1800 IN TXT "v=DMARC1; p=reject; sp=reject; adkim=s; aspf=s; fo=1; ruf=mailto:вашemail1@xxx.ru; rua=mailto:вашemail2@xxx.ru"

_mta-sts 3600 IN TXT "v=STSv1; id=номер"

default._bimi 3600 IN TXT "v=BIMI1;l=https://ххх.ru/logo.svg;"

_adsp._domainkey 1800 IN TXT "dkim=discardable"

_smtp._tls 3600 IN TXT "v=TLSRPTv1; rua=mailto:вашemail@ххх.ru"

_25._tcp.mail 3600 IN TLSA 3 1 1 ключ

dkim._domainkey 1800 IN TXT "v=DKIM1; k=rsa; t=s; s=email; p=ключ"

mail 3600 IN TXT "v=spf1 ip4:вашIP -all"

_domainkey 3600 IN TXT "o=-"

_policy._domainkey 3600 IN TXT "o=-"

mail 1800 IN A вашIP

mail 3600 IN CAA 128 iodef "mailto:вашemail@xxx.ru"

mail 3600 IN CAA 128 issue "yyy.com"

reverseвашIP.in-addr.arpa 3600 IN PTR mail.вашdomain.ru

Если знаете как сделать в этом тесте ssl для почтовых серверов рейтинг А+ и все четыре "зелёных" квадратика соответствия стандартам:

https://www.immuniweb.com/ssl/mail.babai.ru/WxGZsI4I/

Если готовы на хорошем английском общаться с postmaster-ами Микрософта объясняя почему Вы не спамер а ваша рассылка легитимная.

Если сможете вашего хостера пинать в тикетах до посинения чтобы он ip вашего почтовика вытаскивал из блэклистов спамхауса.

То тогда собственный почтовый сервер это Ваш выбор :) !

Comments

[ArcticFox_wap]

Александр Фалалеев - я не спорю, что вы хороший специалист в области почтовых серверов, но зачем вы людей дезинформируете людей, на данном ресурсе практически не возможно половиной серверов получить рейтинг А+ так как данный сервис насколько понимаю заточен под продукты Microsoft.

"Если готовы на хорошем английском общаться с postmaster-ами Микрософта объясняя почему Вы не спамер а ваша рассылка легитимная." - вот это, простите, к чему было?

"Если сможете вашего хостера пинать в тикетах до посинения чтобы он ip вашего почтовика вытаскивал из блэклистов спамхауса." - Это вообще бред полнейший. Для этого есть прямые механизмы и какой нафиг хостер если человек сервер у себя разворачивает внутри?

spoiler

Я уже молчу что у вас в DNS записях есть не действительные переменные, которые признаны устаревшими.

[Александр Фалалеев]

ArcticFox_wap,

1.

Причём здесь где сервер разворачивает ? IP чей ? Или думаете он ЛИР со своей АС ?

IP принадлежит хостеру, а очень часто спамхаус банит просто сетями - Вы можете быть белым и пушистым и с IP вашего сервера нет спама, но вот всю сетку вашего хостера вместе с вашим IP спамхаус посчитал зловредной. И самому писать в спамхаус бесполезно. Они отвечают только владельцу сетки.

2.

Не заточен сервис под Майкрософт - что за бред ? У меня обычный exim на centоs и как видите А+

3.

Майкрософт грёбанные параноики - переодически они могут внести ваш ip в свой собственный (не публичный) черный список и на аутлук письма перестают доходить. В письмах не всегда получается убедить, а вот если позвонить то получается объясниться.

Ответил на вопросы ?

[ArcticFox_wap]

1. IP принадлежит или канальному оператору или провайдеру последней мили. Я понимаю что вы привыкли общаться с хостерами, где скопление почтовых серверов, возможно их и банят, пулы адресов операторов связи не банят никогда, только избирательно если идет ненормальный трафик с адреса. В моей практике такое было только 1 раз и то для выхода потребовалось устранить проблему (трояны спамили) и нажать 1 кнопочку.
2. exim может и проходит тест, пропустил на С+ по той причине, что не понял архитектуру почтовика, которая не стандартная, а он я так понимаю, искал web сервер там где его нет, и автоматом завалил тест на еды 1.3 который на этом сервере так же не предусмотрен, плюс докопался до мультидоменного сертификата.
3. Моя контора вообще в черном списке половины штатовских IT компаний для взаимодействия. Я подозреваю, что они вообще ни в каком виде со мной общаться не будут, однако проблем как то не наблюдается с прохождением почты. Что наверное показывает, что не надо пользоваться продуктами с проблемами.

Answer 3

[Drno]

Ну направить нужный домен на Zimbra, так же сделать DKMI и прочие подписи для почты, чтоб письма в спам не уходили
ну и открыть порты на вход, если доступ к этой Zimbra извне нужен

Windows server тут вообще по идее в процессе не участвует

Answer 4

[meDveD_spb]

Делать свой селф-хостет почтовик можно, если знаете, что никто из ваших не будет спамить и заниматься рассылками, вернее и этим тоже можно заниматься, но надо уметь настраивать. Я бы на вашем месте глянул еще в сторону iRedMail, еще есть такой инструмент, как Proxmox Mail Gateway. Удачи.

Answer 5

[TOParh]

Есть цикл статей по Zimbra на русском языке. Там всё подробно описано, я сам лет десять назад начинал с них. После этого было более 10 установленных почтовых систем.