Greg M

Вы ищете почтовый комплекс, а не SMTP-сервер.
Лучшие: Mailcow и Mail-in-a-box.

iRedMail?

Ну собственно всё быстро решается как оказалось.
В настройках профиля PPP надо отключить change-tcp-mss. Что бы тик, перстал пхать свои правила в мангл.
Затем привести его к примерно такому виду (у меня лично заколосилось на таких значениях), где pppoe-out1 ваш pppoe интерфейс:

[admin@MikroTik] > ip firewall mangle print 
Flags: X - disabled, I - invalid, D - dynamic 
 0    chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp in-interface=pppoe-out1 tcp-mss=1300-65535 log=no log-prefix="" 

 1    chain=forward action=change-mss new-mss=clamp-to-pmtu passthrough=no tcp-flags=syn protocol=tcp out-interface=pppoe-out1 tcp-mss=1300-65535 log=no log-prefix=""

www.kiwix.org/wiki/Main_Page/ru

dumps.wikimedia.org/backup-index.html

Использовать путь, не связанный с конкретным сайтом, а в конфиге веб-сервера указать отдельный локейшен для летсэнкриптовского урла /.well-known/acme-challenge.

Я правильно понимаю, что клиентам нужно запретить полноценный терминальный вход на сервер, но оставить возможность использования опубликованных приложений RemoteApp?

Если так - то все достаточно просто. Вам нужно сделать новую коллекцию сеансов УРС, добавить в неё нужную группу пользователей и выбрать серверы для коллекции. При чем, обратите внимание, что для коллекции RemoteApp нужно взять сервер, который не входит в коллекцию полноценного УРС. Так у вас может быть две и более коллекций как удаленных рабочих столов, так и опубликованных приложений RemoteAPP. И для каждой вы можете задать список пользователей, кому какими ресурсами можно пользоваться.

1. Создать локальную группу TerminalAdmins и добавить в неё пользователей
2. На диске С создать каталог AdminTools и разместить в нём скрипт NoRDP.cmd
Содержание скрипта:
@echo OFF
net localgroup TerminalAdmins | find /i "%username%"
if %ERRORLEVEL% == 0 goto admin
logoff.exe
exit
:admin
start /B explorer.exe
exit
3. В gpedit.msc изменить групповую политику:
User Configuration -> Administrative Templates -> Windows Components -> Terminal Services -> Policy
Start a program on connection = Enabled
Program path and file name = C:\AdminTools\NoRDP.cmd
4. Выполнить в CMD от имени Администратора: gpupdate /force
Либо перезагрузить сервер.

Теперь при подключении пользователя по RDP скрипт проверит, входит ли пользователь в группу TerminalAdmins.
Если пользователь в группу не входит, он будет сразу же разлогинен.

Acronis True Image 2018

А почему вы выбрали именно его? Существуют и другие бэкаперы и клонаторы, в т.ч. и не менее известные - скажем, Norton Ghost. Кроме того, опция создания образа диска и его клонирования есть во многих продвинутых менеджерах разделов - например, в парагоновском HDM и AOMEI Partition Assistant. Это я намекаю на то, что если Acronis TI создаёт проблемы, то на нём свет клином не сошёлся.

Я выполнял вполне тривиальную задачу по переносу операционной системы ноутбука с HDD на SSD. ...снял полный образ HDD. Далее запустил процедуру восстановления.

Ваш выбор способа выполнения этой задачи неверен. Штатно для этого в тех же продвинутых менеджерах разделов есть опция "Автоматическая миграция ОС на SSD", правильнее использовать её, поскольку она гарантирует правильную работу при разных размерах исходного и целевого дисков (ну и учитывает некоторые специфические нюансы). Также непонятно, зачем для этой процедуры вам понадобился образ диска - он уместнее при бэкапе, а клонирование можно делать без промежуточных операций, напрямую с диска на диск.

Раньше я уже разворачивал образы с большего по объему HDD на меньший SSD и все было ровно

Возможно, в нынешний раз вы запустили точное копирование, которое учитывает не только файлы, но и не занятое файлами пространство, а надо было включить опцию его игнорирования (она есть во многих бэкаперах/клонаторах).

И ещё один нюанс.

Создал загрузочную флешку Acronis' a,

Это лишняя работа, которая к тому же сделала вас пиратом (вы ведь вряд ли покупали Acronis TI, стоящий несколько тысяч руб, верно?). Правильнее привыкнуть к использованию универсальных ремонтно-восстановительных LiveDVD/LiveUSB. Такой инструмент достаточно создать один раз и навсегда, а не делать к каждому применению, как это получается у вас. Лично я использую MultiBoot, который и вам порекомендую. Он содержит все вышеперечисленные программы и ещё несколько сотен других, и пригодился бы не только в данном случае, но и в тысячах других случаев, похожих и совершенно непохожих.

Любой современный рейд позволяет постепенное увеличение размера. Соответственно, меняем один диск, ребилдим, меняем второй, ребилдим (для винды все это время ничего не менялось), увеличиваем массив (винда внезапно обнаружила, что она живет на диске побольше, чем раньше), растягиваем системный раздел (если это надо).

Как вариант (нет полной уверенности в успехе):
Втыкаем 2 новых винта, делаем новый рейд, инициализируем
В винде новый рейд делаем динамическим диском, там же делаем мирроринг
Убираем старый рейд
Убираем мирроринг

Что-то подобное удавалось, если память не врет, на 3805, правда это был несколько вынужденный эксперимент — сдох диск, а другого такого же мелко не было. Последовательность была такая:
1). Заменяю диск. Рейд перестраивается
2). Чешу репу, заменяю второй диск. Рейд перестраивается. Adaptec Storage Manager намекает, что логический девайс можно экспанднуть.
3). В винде расширяю партицию до новых размеров.

C виндой не знаю, а с линуксом прокатил бы такой финт:
1. Вынимаем один из дисков, RAID становится degraded
2. Добавляем новый диск, делаем ребилд массив.
3. удаляем старый диск, RAID опять degraded.
4. добавляем новый диск, опять ребилд.
5. Expand массив на весь диски.
6. увеличение нужных разделов из под ОС.

какая вообще разница использовать pre-shared-key или сертификат?

pre-shared-key - это аутентификация по паролю. Она плоха тем что можно сбутфорсить пароль или сделать MITM атаку
сертификат - более продвинутая версия аутентификации когда проверяется вторая сторона. сбутфорсить или сделать MITM атаку практически нереально (читай невозможно если ты простой смертный, а не сотрудник АНБ). В сертификатах есть проверка по IP еще, очень полезная штука.

можно ли и если да, то как, использовать ключ, созданный в меню IP - IPSec - Keys, для VPN между Mikrotik и клиентом Windows;

Для IPsec сертификат должен иметь IPsec галочки в настройках генерации сертификата, сертификат желательно привязать к IP. Потом полученный сертификат (его открытый ключ) экспортировать в windows в центр корневых сертификатов. Я настроил IPsec с гибриной авторизацией только на микротиках, на windows переностить настройки никогда небыло нужды, но сертификаты от других служб экспортировать приходилось и их нужно сувать именно в корневые сертификаты.

в чем отличие ключа из IP - IPSec - Keys и сертификатов из System - Certificate;

IP - IPSec - Keys = нет привязки к IP и скорее всего этот сертификат только для авторизации на микротиках, для windows нужен другой из System - Certificate.

правильно ли я понимаю, что связь IPSec, установленная между компьютером и сервером VPN, при использовании pre-shared-key отличается от нее же, но с использованием сертификата/ключа, более легкой возможностью подбора?

грубо говоря да pre-shared-key это полное говно и его никогда нельзя использовать. только сертификаты с проверкой сервера и клиента. сертификаты сервера нужно экспортировать на клента, а клиентские сертификаты нужно экспортировать с клиента на сервер, чтобы они друг друга знали, иначе соединиться не получится.

-----
Обязательные нстройки:
для L2TP (PPP > L2TP_Server) Use IPsec: reguired - требовать IPsec и без него не поднимать L2TP
В профиле L2TP (PPP > Profiles) Use Encryption: required - требовать шифрование.
для IPsec
(IP > IPsec > Peer_Profiles) и (IP > IPsec > Peers) настроить так чтобы использовалось шифрование не ниже AES. DES, 3DES - явно уязвимы. blowfish - есть вероятность что уязвим.

(IP > IPsec > Policies)
Action : encryption
Level : required
IPsec Protocols : esp (не вздумай поставить ah, труба всему шифрованию, его тупо не будет. только esp)

IP > IPsec > Installed_SAs
тут после соединения проверь чтобы было шифрование три колонки (Auth. Algorithm; Encr. Algorithm; Encr. Key Size) алгоримм подписи пакета, алгоритм шифрования и размер ключа шифрования.

вот хорошая статься по IPsec: https://habr.com/ru/post/438176/

Чем вам не угодил AWS или Azure когда там есть шикарнейший free tier? Не умеете настраивать сервера?

Ни в коем случае не ставить никаких ISP Manager / Vesta / CPanel, иначе никогда не научитесь тому, чему хотите научиться. Кроме того, они жрут ресурсы. Даже Vesta, которая самая легкая, их жрет прилично, а я сильно сомневаюсь, что у вас VPS c 8+ Gb памяти.

Изучать надо по урокам и статьям, читая мануалы и best practices по каждому package. Порядок, плюс-минус, таков:

- развернули ось
- сделали сразу апдейты
- создали и настроили swap
- поменяли пароль рута на что-нибудь супер-мега-сложное (его мы использовать все равно не будем)
- создали себе обычного юзера с паролем нормальной сложности (он будет использоваться для sudo)
- дали юзеру права sudo
- закрутили гайки по SSH - сменили порт, запретили вход руту и вход по паролю (только по ssh-ключам), разрешили вход только одному своему новому логину
- настроили UFW - простой, но эффективный firewall на основе iptables - default deny, allow http, https, свой кастомный ssh-порт. Если логиниться будете только из нескольких мест (офис, дом) - можно вообще ssh разрешить только на эти IP.
- sudo dpkg-reconfigure tzdata чтобы установить свою временную зону, так логи потом легче читать и понимать
- настроили logrotate
- настроили logwatch
- настроили Postfix, чтобы сервер вам письма мог слать (мы его настраиваем на внешний мейлер, например Mandrill, чтобы все письма точно в спам не падали)
- настроили fail2ban (потом, после установки и настройки веб-сервера и сайтов, в fail2ban можно дополнения писать, например мы на WordPress-сайтах мониторим попытки авторизации в админку и блочим тем же fail2ban)
- дальше ставим все что нужно - Git, Nginx, HHVM, PHP5-FPM, MariaDB, Memcached/Redis и так далее.

Регулярно заходите на сервер, делайте apt-get update && apt-get dist-upgrade.

p.s.: это по ubuntu/debian, для других систем все то же самое, но packages и команды могут немного отличаться

так он правильно делает, вам по хорошему их нужно добавлять.

RewriteCond %{REQUEST_URI} \..+$
# Если файл содержит точку. 
RewriteCond %{REQUEST_FILENAME} !-d 
# И это не директория. 
RewriteCond %{REQUEST_FILENAME} -f
# Является файлом. 
RewriteCond %{REQUEST_URI} ^(.+)/$ 
# И в конце URL есть слеш. 
RewriteRule ^(.+)/$ /$1 [R=301,L] # Исключить слеш.