Server de mail sub Debian
#37
Posted 31 March 2015 - 21:34
Nu am inteles de ce ai nevoie de webmail. Nu ajunge IMAP sau POP3?
|
#38
Posted 31 March 2015 - 21:37
dexterash, on 31 martie 2015 - 21:34, said:
Nu am inteles de ce ai nevoie de webmail. Nu ajunge IMAP sau POP3? Pai e blocat in afara retelei interne, nu au cum sa il acceseze. Decat daca le fac o "gaura" prin firewall pe un ip fix. Exista o metoda sa "fortezi" fail2ban-ul...pentru accesul pe pop3 . Dupa care o sa ai un server de relay foarte fain. Edited by bumpocbum, 31 March 2015 - 21:43. |
#39
Posted 31 March 2015 - 21:39
Si crezi ca e mai sigur webmailul decat IMAP/POP3?
Eu as face o miscare non-standard: IMAP sau POP3 (strict) dus pe un port sus, peste 1024. |
#40
Posted 31 March 2015 - 21:49
Apash-ul/php-ul reusesc sa le tin sub control. Nu stiu ce naiba scripturi/masinarii de scanare au ca orice port deschis il gasesc rapid. Sa nu crezi ca nu am incercat si metoda asta. Probabil ca e concurenta mare....Cat dureaza daca ai banda buna sa iti scaneze 65535 de porturi ?
Din cauza asta incerc sa pun un minim de servicii pe servere si foarte bine controlate. Minunea aia de ISPConfig 3 imi scapa de sub control . Si daca nu inteleg foarte bine ce face si ce nu face un serviciu nu ii dau drumul la server in exploatare. La mine fiecare distributie incepe cu vulnerabilitatile. Necazul e ca ma ocup de subiectul asta la cativa ani... Din cauza asta va rog mult sa mai imi dati ceva sfaturi, ca nu mai sunt in tema. Azi la prima vedere mergea foarte bine serverul conform ghidului de mai sus dar..... Edited by bumpocbum, 31 March 2015 - 21:56. |
#41
Posted 31 March 2015 - 21:56
Daca ai puncte de lucru in alte parti, foloseste tunele VPN.
Sper ca nu oferi webmail asa "chior" pentru utilizatori de pe net, fara macar un SSL. |
#42
Posted 31 March 2015 - 21:57
bumpocbum, on 31 martie 2015 - 21:49, said:
Apash-ul/php-ul reusesc sa le tin sub control. Nu stiu ce naiba scripturi/masinarii de scanare au ca orice port deschis il gasesc rapid. Sa nu crezi ca nu am incercat si metoda asta. Probabil ca e concurenta mare....Cat dureaza daca ai banda buna sa iti scaneze 65535 mii de porturi ? Da, dar depinzi de 3 chestii care pot crea probleme: Apache(+module), PHP, Scriptul de WebMail. Asa, in cazul IMAP depinzi doar de unul singur. |
#43
Posted 31 March 2015 - 22:03
Pentru punctele de lucru din alte parti am VPN, dar si clienti care vor sa acceseze email-ul direct pe mobil. Si mai sunt si din alte tari. Treaba cu https-ul e bine supravegheata .
@dexterash daca "ti-a picat pe unu" in cat timp ii scanezi serverul ? Chiar daca e ilegal ii doare "la basca"....Companiile importante sunt bine "testate" .... PHP-ul e un pic mai vulnerabil...la POP 3 insa.... ia vezi ce vulnerabilitati are dovecot-ul... Edited by bumpocbum, 31 March 2015 - 22:07. |
#44
Posted 31 March 2015 - 22:07
bumpocbum, on 31 martie 2015 - 22:03, said:
@dexterash daca "ti-a picat pe unu" bumpocbum, on 31 martie 2015 - 22:03, said:
in cat timp ii scanezi serverul ? Chiar daca e ilegal ii doare "la basca"....Companiile importante sunt bine "testate" .... PHP-ul e un pic mai vulnerabil...la POP 3 insa.... Depinde ce inseamna "scanare". Poti pentru porturi deschise, pentru amprentare, pentru pentesting etc. Plus ca depinde si de cat rapid raspunde serverul din capat si cum este configurat. Este o adevarata "teorie" . L.E. http://www.cvedetail...85/Dovecot.html http://www.cvedetail...28/PHP-PHP.html http://www.cvedetail...uirrelmail.html Parca nu este asa de grav cu dovecot, totusi... Edited by dexterash, 31 March 2015 - 22:20. |
#45
Posted 31 March 2015 - 22:19
Sunt metode sa limitezi viteza de scanare, sunt multe chestii care le poti folosi. Dar asta inseamna sa ai o gramada de timp. Pe care eu nu il am. Si eventual sa excelezi in Linux. Legal si la cerere...poti sa ceri un test de vulnerabilitate, mai ales daca vrei sa te certifici,, asta e legal, dar mai exista o parte care te scaneaza gratuit si ilegal. In cazul in care ai o vulnerabilitate s-ar putea sa te trezesti ca participi la daramarea google-ului sau a unei banci mai stiu eu prin ce tara. Nu mai zic ca intr-o zi s-ar putea sa te trezesti cu SRI-ul-FBI-ul la poarta. Or eu incerc sa evit aceste neplaceri.... Acum chiar nu stiu ce ghid e mai de incredere si ce anume sa folosesc....Daca mai aveti idei raman dator de cinste...
|
#46
Posted 31 March 2015 - 22:22
^Vezi ca am facut update cu CVEurile (vulnerabilitatile).
Eu as merge pe Dovecot, de preferat prin VPN. Daca nu poti... Da, poti limita viteza de scanare. Pana la un punct . Cat despre ce s-ar putea intampla - sa zicem ca stiu. |
|
#47
Posted 31 March 2015 - 22:25
Din pacate nu merge, nu pot sa impun clientului sa se conecteze pe telefon la VPN si de acolo la pop3...
Am vazut update-urile, o parte le stiam...dar am impresia (e doar o impresie) ca mai sunt si altele....marea majoritate a atacurilor sunt pe dovecot si nu pe php...apache... E un script care sare de firewall pe dovecot si nu pot sa il blochez.. e foarte rar... Edited by bumpocbum, 31 March 2015 - 22:34. |
#49
Posted 31 March 2015 - 22:38
Pai clientu vrea sa trimita si email-uri... Neaparat cu adresa asta. Si trebuie sa ma feresc si de virusii lui.... Aia mai imi lipseste sa ma trezesc listat...nu virgula ca ar fi prima oara...
Edited by bumpocbum, 31 March 2015 - 22:41. |
#50
Posted 03 April 2015 - 16:32
Dupa aproape 1 saptamana de studiu inca nu am fost in stare sa instalez postfix-ul. O parere despre acesta schema daca se poate, pare mai apropiata de ce vreau eu, sau una mai buna daca se poate. Multumesc.
PS: Am vazut ca se mai recomanda ca livrarea email-ului in Maildir sa se faca prin dovecot si nu prin postfix. Care e motivul ? Attached FilesEdited by bumpocbum, 03 April 2015 - 16:39. |
#51
Posted 04 April 2015 - 13:49
Ar mai fi si solutia aceasta, dar nu sunt sigur daca se merita. Motivul ar fi doar sieve sau mai sunt si altele ? Un sfat doar daca se poate. Din pacate cunostintele mele in materie de linux sunt foarte limitate...
Attached FilesEdited by bumpocbum, 04 April 2015 - 13:53. |
|
#52
Posted 04 April 2015 - 13:58
#53
Posted 04 April 2015 - 14:29
Ok, e bun si acest raspuns si inteleg si de ce.
Cel mai simplu ar fi un Fortimail. Il pui si gata, din 3 setari merge. Dar depind de altii (abonament pentru scanare si eventual cloud pentru backup). Si tot nu am livrate email-urile atat de rapid cum as dori. Am gasit raspunsurile la intrebarile mele. Iar cu partea de delivery prin Dovecot nu sunt sigur ca imi trebuie, adica quota si autoresponder si... Serverul actual l-am facut in 3 luni, acum 2 ani, pentru ca habar nu aveam ce trebuie facut. Acum nu am mai plecat chiar de la 0. Ceva detalii. You'll need multiple applications, I would suggest Postfix (the for mail transport) and Dovecot (for IMAP). You may want virtual domains and users, in which case you can use something like mysql or openldap. We went the LDAP route, but there's less help out there than there is for mysql. Regarding users and automation, I think using virtual Domains and Users is the best way (a little more complicated to install but a lot easier to use) as you add new domains, users or mail forwarding adding a single record (username, password, quota for new users and for Domains or e-mail forwarding it's even simpler) in your database (I use mysql for this part) so you can easily add them from php or from where you need to. Aici ma opresc cu postarile pe acest topic. Multumesc pentru ajutorul acordat. Edited by bumpocbum, 04 April 2015 - 14:37. |
#54
Posted 28 April 2015 - 19:19
Ma apropii de sfarsit cu testarea serverului. Sieve - dupa ceva dureri de cap am reusit sa imi dau seama ca e totusi un limbaj decent si usor de implementat. Amavis destul de OK, analizeaza foarte bine continutul arhivelor dar am inca probleme cu versiunile peste 5 din arhivele de tip RAR, comprimate cu RAR5. Ca o paranteza spre uimirea mea debianul recunoaste cheia de licentiere pentru pachetul de 100 de licente RAR cumparate pentru firma. Din pacate Amavis-ul refuza sa decomprime acest tip de arhive, chiar cu softul licentiat de la WinRAR. E ceva de munca pentru asta si nu e conform RFC...
Nu imi dau seama cum pot sa il setez ca in cazul in care nu poate sa decomprime o arhiva de tip RAR5 sa o redirecteze totusi intr-un cont separat si nu sa ii dea drumul cu atributul de CLEAN. O lada de bere virtuala din partea mea pentru recomandarea cu Clonezilla. Si eventual sunt dator de cinste cu ceva bere reala. @dani.user multumesc de ajutor dar recomandarile ulterioare m-au dezamagit complet. Multumesc deasemenea pentru ajutorul cu java dar sunt alte solutii deja verificate si folosite cu success in servere de business. Gen Amavis. Si incluse in RFC-uri. @dexterash multumesc de ajutor dar .... Serverul anterior l-am facut urmand ceva sfaturi dezinteresate a doi romani plecati demult peste hotare.....Si merge excelent dar din pacate e depasit de evenimente. Inca nu au reusit sa il sparga in ciuda zecilor de incercari zilnice. Dar asta nu inseamna ca rezista la o persoana/grup cu adevarat dotat/a.... O sa mai revin cu cateva sfaturi dupa ceva timp de functionare a serverului in productie. O precizare, Roundcube necesita SQL. Si eu nu folosesc baze de date pentru un server care nu are domenii virtuale !. PS: chiar daca cunostintele mele de linux sunt foarte limitate asta nu inseamna ca nu pot sa le extind.....atunci cand trebuie. Edited by bumpocbum, 28 April 2015 - 19:42. |
Anunturi
▶ 0 user(s) are reading this topic
0 members, 0 guests, 0 anonymous users