Forum Debian Users Gang

Pozfix i Dovecot, to nie jest chop-siup - tylko całkiem sporo zabawy z profesjonalnym serwerem.
Musisz w nim zrobić porządne zabezpieczenia, zarówno wszystkich usług Postfixa i Dovecota,(najgroźniejszy jest proces Postfix master - wisi na otwartym porcie z uprawnieniami roota,  i niewiele można na to poradzić), filtry spamowe, zablokować open-relay i skonfigurować domenę do wysyłania poczty.
Do tego solidny firewall, żeby tego Postfixa i Dovecota chroniły przed atakami siłowymi, przez  mechanizm limitowania połączeń.
I standardowo do Postfixa, Amavisd,  Spamassassin, Clamav.

Jeśli to mały serwer, to nawiasem pisząc, nie potrzebujesz takiego bajzlu, możesz sobie pocztę we własnej domenie załatwić gdziekolwiek, a zainstalować i skonfigurować ESMTP. żeby zapewnił w systemie polecenie sendmail do wysyłania poczty, ale pchał ją przez zewnętrzne konto mailowe na innym serwerze, przez ssl, z autoryzacją.
Zarówno system, jak i serwer www z php mogą tą drogą wysyłać pocztę.
Albo zostawić wewnętrzny domyślny exim, a puścić go przez smarthosta, żeby chodził tak samo, jak ESMTP.
Postfixa też można tak ustawić, jak się go nie wystawia na świat, ale puszcza przez smarthosta.

Tylko musi to być sensownie skonfigurowane, żeby miało ręce i nogi. :D

Jeśli natomiast musi być serwer SMTP i POP3/IMAP to jest większa robota,
niż Nginx z php-fpm i do tego Lighttpd do skryptów cgi razem wzięte.

Pozdro
;-)

Ostatnio edytowany przez Jacekalex (2013-07-26 03:12:23)

Shorewall, to strzał w stopę z przeciwpancernego, skonfiguruj porządnie Iptables, i przede wszystkim napisz, co to za VPS, czy chroot na sterydach -OpenVZ, czy prawdziwa wirtualizacja typu  XEN lub KVM.

Różnica między tymi typami jest zasadnicza.

Przy OpenVZ zazwyczaj nie masz nawet standardowych modułów firewalla, jak hashlimit czy recent, nie wspominając o systemie ACL, jak Apparmor czy Selinux, czy łatce Grsecurity.
A to bardzo utrudnia postawienie solidnego serwera, ja bym w ogóle nie wystawiał przez internet zadnej publicznie dostępnej usługi, która wisi z uprawnieniami roota na otwartym porcie, jeśli nie jest chroniona solidnym systemem ACL.
Wyjątek od tej reguły, to serwer ssh, ale ten powinien być, schowany, i dostępny tylko dla administratora, najlepiej logowanie wyłącznie przez klucz {rsa|dsa|ecdsa}.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2013-07-26 03:24:49)

A co to za aplikacje?
Esmtp zapewnia istnienie polecenia sendmail w systemie.

Exim czy Postfix w wersji Light, schowany z a firewallem, do wysyłania poczty przez smathosta działa tak samo, ale też nie wisi jeszcze w internecie,, te wszystkie wersje zakładają, że masz usługę poczty elektronicznej na innej maszynie w internecie, porządnie skonfigurowaną.

Jeśli natomiast na tej maszynie, masz OpenVZ, i koniecznie chcesz całą pocztę na nim trzymać, to masz do roboty serwer SMTP (Postfix, Exim albo Qmail), server IMAP/POP3 (Dovecot), filtrowanie antywirusowe, dwustopniowe filtrowanie spamu (filtry działające w trakcie sesji SMTP) i Spamassassin czy Amavis w trakcie zapisywania maila do kolejki wiadomości.

Taki pełnowartościowy serwer jest o tyle trudny, że takie instalacje są na celowniku spamerów, a żeby ktoś się nie zaopiekował tym serwerem, to musi być bardzo staranna konfiguracja.

Z tego samego powodu dobrze serwer smtp wzmocnić jakimś systemem ACL, ale to już nie na OpenVZ, do takich rzeczy trzeba mieć własne jajo do dyspozycji, czyli pełną wirtualizację.

Czy usunięcie pakietów coś załatwi?
Nic nie załatwi, trzeba się na jakiś system pocztowy zdecydować, i potem go skonfigurować, a roboty z tym nie brakuje.

Na standardowej maszynie OpenVZ poza tym nie za bardzo widzę miejsce na skrzynki mailowe, i w ogóle OpenVZ, to jest taki chroot na sterydach, a nie prawdziwa wirtualizacja.

Więc się na coś docelowo musisz zdecydować, jak to ma być pełnowymiarowy serwer SMTP, to przygotuj się na dwa dni roboty, i podziel ją na etapy, żeby po każdym, etapie sprawdzić, co już działa, a co jeszcze jest do zrobienia.

To by było na tyle
;-)

Ostatnio edytowany przez Jacekalex (2013-07-26 18:43:23)