Как развернуть почту отдельно?

Question

[Сергей Сахаров]

Дано: домашняя сеть. В ней крутится помимо прочего вебсервер.
На роутере внешняя статика и в NAT проброшены порты 80 и 443
Хочется:
- развернуть почтовый сервер и получить для него сертификат Letsencrypt
- Выставить наружу порты 25 и 465 (клиент почты в той же сети, так что 110 и 143 наружу не надо)
- Поднять PostfixAdmin
- по возможности желательно (но не обязательно) поднять (и выставить наружу) веб-морду для просмотра писем

Пока надумал только вариант с тем, чтобы расшарить нужный серт по NFS,
Развёртывать почтовый на веб-сервере не хочется.
Но и не представляю как сделать, чтобы веб-интерфейс почты крутился не на почтовом, а на веб-сервере, то есть отдельно.

Всё это только для того, чтобы восстановить два почтовых ящика, которые пропали когда Яндекс наелся рыбного супа и стал требовать денежку за админку.

Comments

[aleks-th]

25 порт скорее всего зарубит провайдер, поэтому сначала с провайдером согласуй чтобы не случился нежданчик.

Вебморда, да легко порт просто откроешь дла нее не 80 а любой другой - скажем 23456 и все.
И никаких конфликтов с вебсервером не будет.
Кто тебе запретит на свой почтовик по другому порту ходить

Ну и потом так ли тебе нужен именно твой SMTP на пару ящиков, ведь чтобы твои письма хоть куда то доходили не попадая в спам тебе придется еще с провайдером договориться чтобы он тебе PTR запись для твоего домена сделал.
А это с домашними провайдерами ну очень нетривиально получить.

[Ziptar]

Восстановить в смысле письма, или в смысле чтобы работала на отправку/получение? Без ptr почтовик так себе удовольствие, для серьезных целей это только корпоративный пров, или нормальный хостер

Upd иногда лучше сначала читать, что уже написали другие - про ptr каждый написал)) я, правда, не уверен, что прям доходить не будет, но в спам валиться запросто может

[Сергей Сахаров]

Ziptar, чтобы работала на отправку-получение.
ПЯ в почтовике и старые письма в них сохранены. Соответственно, никто не мешает перенести их в локальные папки и настроить новые почтовые ящики.
Другое дело, что эти почтовые адреса у меня указаны во всех визитках и резюме.
Хотелось бы снова сделать их действующими, благо домены тоже мои.

И имя дам от прова, и ptr разрешается.
Пусть даже в виде addr.dynamic.provider.ru - но ведь разрешается же...
IP статический.

[Ziptar]

Сергей Сахаров, имхо, надо поднимать MTA на VPS у любого хостера, предоставляющего PTR, и пользоваться через обычный гмейл/яндекс. Постфикса достаточно для этого. Из плюсов - нагрузка на MTA околонулевая, соответственно самой дешёвой впски достаточно, и, что немаловажно для почтовика, аптайм не зависит от отключения света или интернета дома. Ну и интерфейс того же гмейла удобнее, чем все эти полусамопальные вебморды. Из минусов - таки впс платно.

Answer 1

[Дмитрий]

да пофиг где вебинтерфейс почты, он к почтовому серверу как почтовый клиент обращается , 100% roundcube так делает.

Comments

[Сергей Сахаров]

Спасибо, это уже интереснее!

Answer 2

[Rsa97]

Но и не представляю как сделать, чтобы веб-интерфейс почты крутился не на почтовом, а на веб-сервере, то есть отдельно.

На основном веб-сервере настроить реверс-прокси на почтовый. При этом почтовый сервер может работать во внутренней сети по http без сертификата, а снаружи будет виден основной сервер по https.

С почтовым сервером есть нюансы. Вам надо будет запросить у провайдера, выдавшего вам IP-адрес, добавление PTR-записи в его DNS. Без PTR многие почтовые серверы не будут принимать от вас почту, считая спамером.
Так же нужно настроить SPF, DKIM и DMARK.
TLS и/или STARTTLS на SMTP-сервере желательны, но не обязательны.

Comments

[Сергей Сахаров]

Спасибо, я в курсе. Это не первый мой почтовый сервер.

По поводу PTR... Его сейчас используют далеко не все - вроде даже у нас на работе.
И вообще многие госструктуры этого правила не соблюдают (раньше я, кстати, тоже соблюдал - и регулярно огребал проблемы из-за того, что мой почтовик давал отлуп тем, кто не соблюдает).

На основном веб-сервере настроить реверс-прокси на почтовый.

В nginx это можно сделать?

[Rsa97]

Сергей Сахаров,
У меня на работе требование PTR стоит, за много лет пока только один раз пришлось исключение прописывать.
По nginx:
https://docs.nginx.com/nginx/admin-guide/web-serve...

[shurshur]

Сергей Сахаров, без PTR почта практически гарантировано никуда не дойдёт.

[CityCat4]

Без PTR многие почтовые серверы не будут принимать от вас почту, считая спамером.

Давно устарело. Раньше я тоже требовал, чтобы пров прописывал мне PTR, но потом перестал - единственный известный мне сервер, отказывающий в приеме был рассыльщик новостных сервисов (majordomo) FreeBSD. К тому времени FreeBSD была для меня неактуально, я просто забил. Да, у меня ящик малонагружен. Но я пишу и не думаю, что куда-то не уйдет.

[CityCat4]

shurshur, Ага, щаз. Без SPF/DKIM - не дойдет, а на PTR все забили давно, да и раньше не особо им пользовались.

[Сергей Сахаров]

shurshur, а проблема-то в чём? Провайдер и так разрешает адрес в имя.
Другой вопрос, что это имя мало похоже на mail.example.com
Ну и что? Что мне мешает поднять почтовик с этим именем?

[shurshur]

Сергей Сахаров, поднять почтовик можно, но что будет при отправке угадать нельзя.

Я уже не говорю о том, что сейчас некоторые почтовики и спамлисты могут резать пулы динамических IP провайдеров по готовым спискам (тем более что сами пулы эти обычно очень "грязные" по спамфильтровым критериям) или по причине похожести разрешённого через PTR-запрос имени на имя динамического IP.

Домашний сервер всё же не лучшее место для почтовика...

[Сергей Сахаров]

shurshur,

Домашний сервер всё же не лучшее место для почтовика...

Предложите другой вариант. Платный, на Яндексе - не предлагать!
VDS тоже не самый дешёвый вариант, да и места там обычно не более 30 гиг, из них для ПЯ можно отдать примерно 15.

Я не спорю с тем, что место не самое лучшее, но и в этой ситуации имеются преимущества.
1. Пусть виртуалка и работает меньше, чем аналогичная в ДЦ, зато она всегда под рукой и всегда можно сделать бекап - как почтовика, так и писем.
2. Если даже сервер виртуалок выйдет из строя - виртуалку всегда можно мигрировать на другой сервер.
3. Место под почту не ограничено - можно отдать хоть терабайт (кстати, у нас на работе ПЯ по гигабайту - для сравнения).
4. Немаловажный параметр - цена вопроса...

Answer 3

[Drno]

Nginx reverse proxy

Answer 4

[LetuchiZ]

У меня сделано так: на vdsina.ru арендован самый минимальный vps, на нем развернут CHR. С домашней сети (даже не нужен статический ip) туннель. В домашней сети развернут hmail-server+roundcube. vdsina позволяет самому указать PTR (из админки). 25 порт открывается по письму в тех поддержку. hmail вполне себе поддерживает dkim. SPF и прочее прописано в DNS. обслуживается несколько почтовых доменов, все крутится уже несколько лет. Почта в спамы не попадает, веб-интерфейс и Outlook работают.