Fórum Root.cz
Hlavní témata => Server => Téma založeno: WIFT 24. 10. 2021, 22:51:45
-
Zdravím,
potýkám se s tím, že můj hostingový provider jde od desíti k pěti a pohrávám si s myšlenkou, když už mám vlastní doménu, že bych měl doma i vlastní mail server.
Může mi někdo, kdo s tím má zkušenosti, rámcově říci, co k tomu budu potřebovat a jak moc velký s tím bude voser?
Co mám:
- doménu
- jednu veřejnou statickou IP adresu, kterou nějakým způsobem dostane můj poskytovatel internetu na moje zařízení s vnitřní (10.…) IP adresou. Tím zařízením je Mikrotik, který další požadavky směruje různě dovnitř do sítě, typicky podle portu (takže třeba 443 směřuje kamsi na vnitřní stroj s Linuxem, kde běží NGINX a různé weby podle různého hosta, jiný port směřuje na jiný web server, RDP zase na další a podobně)
- nějakého poskytovatele, kde mám možnost měnit DNS záznamy od mé domény (což, jak vyplynulo z předchozího postu, už vlastně používám)
Vyhradil bych na to sólo stroj/virtuálku a na tom bych si chtěl zprovoznit několik málo e-mailových schránek a hafo různých aliasů podle potřeby. Za poměrně důležité bych považoval, aby zprávy hlavně chodily dovnitř (ven bych použil SMTP providera, i když bych se nezlobil mít vlastní SMTP server, ale netuším, jak je to např. s důvěryhodností vlastního smtp pro okolní svět a tak). A samozřejmě nějaký mocný antispam, alespoň na úrovni klasického freemailového poskytovatele, aby to, co má spadnout do spamu, většinově spadlo, a to, co tam spadnout nemá, tam pokud možno nespadlo. Značka ideál by bylo použití nějaké zabezpečené komunikace. To vše samozřejmě s free softwarem, tedy nejspíš na Linuxu.
Z Linuxu jako takového strach nemám (skoro je mi i jedno, jaká to bude distribuce, přičemž preferuji Debian nebo Fedoru a jejich různé odnože) a jestli budou potřeba nějaké drobné, které bych za něco musel připlatit, tak s tím taky obvykle problém nemám. Co se zkušeností týče, to je spíš o konkrétních technologiích a co se mailu týče, tak tady jsem klasickej noob. Už mě ale moc nebaví být závislý na poskytovateli hostingu/mailu, který dělá změny, které jsou k horšímu (teď třeba zmigrovali maily na něco, kde úplně chybí definice těch aliasů, přestože ty stávající zatím zaplaťpámbu fungují).
Pokud by moje požadavky měly být hodně mimo mísu, tak prostě zvolím jiného poskytovatele, ale alespoň jako cvičení bych to docela rád zprovoznil. Ne nutně rovnou s hlavním e-mailem, mám i nějakou zkušební prakticky nevyužívanou doménu, se kterou by to šlo nacvičit.
Zkoušel jsem kolem toho trošku googlit, ale je to úplná klasika, jak se včelařema - každý má úplně jiný názor :). Docela rád bych si tady prošel ty vaše :) (klidně se i zhádejte ;-) a na základě diskuze si pak udělal nějaký obrázek toho, co mě čeká a kudy asi tak jít a čemu se spíš vyhnout.
Díky moc.
-
https://poste.io/
-
https://github.com/docker-mailserver/docker-mailserver
-
Ja to provozuji takto doma (a z pohledu SW neni rozdil oproti tomu, kdyz to bylo v serverhousingu na mem zeleze) - v podstate je to instalace postfix+dovecot, email ucty v SQL. Mam tam dopsany custom filtry pro kontrolu SPF a black/whitelistovani nekterych odesilatelu explicitne. A taky slusny forwarding skript, kterym preposilam uz pod svoji hlavickou maily par domen pryc/ven, protoze klasicky forward proste failne v striktnim SPF nastaveni.
Bohuzel par spamu denne projde (ale zas vim ze tedy system funguje) a chtelo by to poresit DKIM nebo neco, abych ja nebyl ve spamu vuci ostatnim (coz tedy z domu mam asi horsi skore, nez z nejakeho IP prostoru patricimu housingu).
Vyhodu to ma ale mocnou - muzu si whtie/blacklist upravovat dle libosti - pripadne celkove zasahovat do vsech casti, neni to uzavrena instalace providera. A hlavne - MAM LOGY. Takze poznam kdyz je nejaka sluzba totalne lamersky udelana (typicky posilaji mail z poolu odesilajich serveru - a pro kazdej pokus si vyberou jinej, tohle veskerou heuristikou neprojde a jsou povazovany za spam.. a ze takovych je).
Vyhody u me prevazuji nad neduhy.
-
Má to takhle již téměř dva roky pro dvě domény (mailcow dockerized) a vesměs s tím problém není. Je ale potřeba opravdu stabilní linka, abys nepropásl nějakou poštu při výpadku. Mám to v Proxmoxu na starším notebooku, takže ani UPS řešit nemusím - když někdo shodí jistič. Zálohu konektivity a podobne neřeším, přeci jen je to domácí mail.
Zprovoznění bylo otázkou jednoho večera a následně jsem tomu ještě věnoval pár hodin aby to bylo konfigurované co nejlépe.
Pamatuj ale na to, že ti tvůj ISP musí být ochotný ke tvé veřejné IP nastavit reverzní DNS záznam, jinak se nikam nehneš. Tím je třeba začít, protože bez toho se fakt nikam nehneš. Současně s tím se u providera informuj, že neblokuje žádné porty - často se poštovní porty na straně ISP blokují kvůli spamu. Následně se požádej i vyjmutí IP z blacklistů - domácí rozsahy jsou většinou blokovány by-default.
Moje zkušenosti
- SMTP providera nepoužívám - mám nastavené vše co lze pro maximální důvěryhodnosti
- Občas je fajn zkontrolovat, zda ses neobjevil na nějakém blacklistu
- vyhnul bych se dockeru, pokud ho nevyužiješ pro hostování X dalších věcí - je to jen další vrstva navíc
- SPAM téměř neznám, ale asi hodně záleží, jak moc svůj email rozdáváš. Určitě bych si udělal alias(y) jen na všemožné registrace a formuláře.
-
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
-
https://poste.io/
hehe
Analogic s.r.o.
U Posty 670 :D ;D :)
-
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
Nemozem suhlasit. Pouzivam vlastny mailovy server z podobnych pohnutok ako tazatel. S jedinym rozdielom, ze to mam na VPS a nie u seba doma.
Mam to pre seba a pre rodinu. Raz som ho nastavil a dalej o nom v podstate neviem. Fungujem tak uz niekolko rokov.
Moznosti ako na to je viacero.
ja som pouzil tento navod https://workaround.org/ispmail
Step by step navod a podrobne vysvetlene co ako funguje. Odporucam.
Potom tu uz predpripravene veci, ked sa s tym clovek nechce babrat. Napriklad https://www.iredmail.org/
-
Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
Jirsák tentokrát velmi trefně! Pod to bych se podepsal.
A seznam toho, proč to nejde, je skutečně vyčerpávající a pravdivý.
Včetně tohoto: "protože je pondělí / protože má prostě blbou náladu"
Měl jsem taky ten dementní nápad to zařídit...bo na tom přece nic není...a přesně tyhle problémy jsem zaznamenal.
Proč mají lidi z IT potřebu "dělat si úplně všechno".
Doktor taky má radiologa, operatér anesteziologa..
On by tu operaci slepáku zvládnul i ten obvoďák, ale proč?
Některé věci je lepší nechat těm, pro které to je denní chléb.
Mimochodem, jak spadnete do nějakého Spammlistu, není někdy úplně jednoduché se z něj vyhrabat.
Seznam umí SMTP server na vlastní doméně.
https://napoveda.seznam.cz/cz/email-profi/napojeni-existujici-domeny/
-
Nemozem suhlasit. Pouzivam vlastny mailovy server z podobnych pohnutok ako tazatel. S jedinym rozdielom, ze to mam na VPS a nie u seba doma.
Mam to pre seba a pre rodinu. Raz som ho nastavil a dalej o nom v podstate neviem.
To jako neupdatujete??? :)
-
To jako neupdatujete??? :)
[/quote]
A naco :)
Updatujem ale to do toho neratam a je to trivialita. Co sa tyka samotneho mailoveho servera, tak som nemusel nic riesit a nemal som s tym problemy. Len same vyhody z takehoto riesenia. Za tych par eur mesacne za VPS to stoji. Zaklad bol dobre si ho nastavit na zaciatku. Fakt musim pochvalit workaround za ich navod, popis a diskusiu. Poctivo som si to precital, postudoval veci a potom som uz len doladil drobnosti, co som chcel mat inac nastavene. Kedze to mam pre uzarety okruh ludi, tak som sa ani nebal Spamu a problemov.
Proč mají lidi z IT potřebu "dělat si úplně všechno".
Doktor taky má radiologa, operatér anesteziologa..
On by tu operaci slepáku zvládnul i ten obvoďák, ale proč?
Některé věci je lepší nechat těm, pro které to je denní chléb.
Preco vsetko? Dal si zly priklad
Toto nieje ziadna raketova veda. Tuto problematiku vies v pohode nastudovat za tyzden. A nieje to "problem" len lidi z IT.
Na vsetko doma volas odbornika? Pochybujem.
-
Toto nieje ziadna raketova veda. Tuto problematiku vies v pohode nastudovat za tyzden.
Jste si jistý, že problematiku toho, jak by mohl váš server šířit viry a spam, jste za týden nastudoval? Jak jste si to ověřil, že to máte nastudované kompletně?
-
Ale musíš uznat, že trochu má pravdu, je to EASY!!!
Stejně tak operace slepého střeva je teoreticky taky jednoduchá a dá se sepsat v několika bodech.
1. uspat pacoše
2. připojit na dýchání
3. fiknout břicho
4. najít a fiknout slepák
5. zašít
6. sešít břicho
7. uklidit bordel
8. zbavit se těla :P
-
Proč mají lidi z IT potřebu "dělat si úplně všechno".
Protože se na tom něco naučí, rozhraní je jak blesk, neposílají data někam do tramtárie, když se to dobře udělá, tak to cenově vychází líp než připravené služby. Provozuju takhle NAS, Gitea, Drone CI, Home Assistanta a Viseron pro kamerový systém. Nechce to skoro nic, výkon bezkonkurenční, aktualizace mi zabírají deset minut měsíčně. Servery se aktualizují sami, u Gitea, Drone CI a Viseronu jen jednou za měsíc přepisuju čísla verzí v docker-compose.yml. Pošta jde nastavit se stejnými nároky na údržbu. Nebo snad žijete v představě, že když máte třeba email k hostingu, že to tam někdo aktualizuje?
-
Proč mají lidi z IT potřebu "dělat si úplně všechno".
Protoze pak lidi, co za ne delaji vsechno jini, chodi na forum sirit sve nahodne vyplody :P
Jestli je nekdo do IT, tak neco jako nastavit si web, mail, by melo patrit k zakladu znalosti. Druhy level je treba LFS.
-
Protoze pak lidi, co za ne delaji vsechno jini, chodi na forum sirit sve nahodne vyplody :P
Nebuď na Jirsáka tak zlý ;D :P
-
Ano, člověk se tím něco naučí. Hlavně nemusím mít svoje maily u někoho, komu nevěřím. Komu se dá dneska věřit?
-
Koukni na ISPConfig. https://www.ispconfig.org/ (https://www.ispconfig.org/)
Používám to a občas to updatuju. Jinak o tom nevim a jede to fajn. Sice je tam spousta dalších věcí (web hosting), ale třeba se to může hodit.
Instalace je rychlá pomocí scriptu. Teda je to už dávno. Nevím jak teď.
-
Ano, člověk se tím něco naučí. Hlavně nemusím mít svoje maily u někoho, komu nevěřím. Komu se dá dneska věřit?
+1
Dnes nemuzete verit ani sluzbam ktere tvrdi ze vase mejly sifruji a nesbiraji logy.
Na druhou stranu, jestli vam nekdo hodne schopny chce prisit nejakou ostudu, tak asi neni pro nej problem unest AS ISP a simulovat traffic vaseho domaciho serveru. Obema smery.
-
Já si provozuji vlastní e-mail tak patnáct let a mimo aktualizací neřeším vůbec nic. Jednou jsem to správně nastavil, nastavil slušná hesla a od té doby mi nechodí ani SPAM, na druhou stranu nevím o jediném případu, že by mi nedošlo něco, co by mělo. Tak nevím, no... Asi dělám něco blbě.
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
-
Já si provozuji vlastní e-mail tak patnáct let a mimo aktualizací neřeším vůbec nic. Jednou jsem to správně nastavil, nastavil slušná hesla a od té doby mi nechodí ani SPAM, na druhou stranu nevím o jediném případu, že by mi nedošlo něco, co by mělo. Tak nevím, no... Asi dělám něco blbě.
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
Neni problem ak nepride nieco vam ak viete ze vam ma nieco prist, horsie je ak nepride nieco o com neviete. Ak nemazete spam okamzite, tak je sanca ze sa tam raz za cas kuknete a najdete to este pred automatickym zmazanim. Problem ale je ak nieco nepride druhej strane, ktora nevie ze ma nieco od vas cakat, druha strana ktora to ma u niekoho hostovane (gmail, outlook, firemny mail) vidi vacsinou iba normalne maily, spam konci na rozhrani u poskytovatela ktory to ani len nepusti do ich schranky.
-
horsie je ak nepride nieco o com neviete.
Myslíte, že by si toho za 15 let nevšiml?
-
I kdyby nevšiml, asi to nebylo moc důležité...
-
Neni problem ak nepride nieco vam ak viete ze vam ma nieco prist, horsie je ak nepride nieco o com neviete. Ak nemazete spam okamzite, tak je sanca ze sa tam raz za cas kuknete a najdete to este pred automatickym zmazanim. Problem ale je ak nieco nepride druhej strane, ktora nevie ze ma nieco od vas cakat, druha strana ktora to ma u niekoho hostovane (gmail, outlook, firemny mail) vidi vacsinou iba normalne maily, spam konci na rozhrani u poskytovatela ktory to ani len nepusti do ich schranky.
To je ale problem, ktory nevyriesis a je to vlastnost, nie chyba. Ako mas reagovat na nieco, o com nevies? No nijako. To musi odosielatel.
Poslednou dobou sa mi obcas stava, ze volam niekomu, mne zahlasi, ze je obsadeny a dotycny nedostane ziadne info o zmeskanom hovore. Tak sa nemozem cudovat, ze mi nezavola a musim volat ja este raz ak je to dolezite.
To by muselo byt nieco ako doporuceny list. Dostanes ID danelo listu a mas moznost sledovat jeho trasu. Popripade ho vies poslat inym kanalom protistrane, ktora vdaka tomu vie, ze ma ocakvat list s takymto ID a moze rovnako sledovat stav dorucovania.
-
Jste si jistý, že problematiku toho, jak by mohl váš server šířit viry a spam, jste za týden nastudoval? Jak jste si to ověřil, že to máte nastudované kompletně?
Ano som si isty. Samozrejme, clovek musi mat urcity zakladny backgroud o tom asi ako to funguje a nebyt uplne tupy.
Ako som pisal, nieje to ziadna raketova veda a zacinat s tym na osobne pouzivanie v malom je idealny sposob ako zacat s danou problematikou. To, co potrebuje WIFT sa za tyzden da nastudovat. Osobna skusenost.
-
Neni problem ak nepride nieco vam ak viete ze vam ma nieco prist, horsie je ak nepride nieco o com neviete.
Jenomže s tím jsem se setkal i na Office 365 i u Google. Na vlastním poštovním serveru mám alespoň ty logy. U těchto služeb nemám nic.
-
Ano som si isty.
Takové mám nejradši. Ty, kteří po dokončení step-by-step návodu mají pocit, jak všemu rozumí.
-
Jenomže s tím jsem se setkal i na Office 365 i u Google. Na vlastním poštovním serveru mám alespoň ty logy. U těchto služeb nemám nic.
minimalne u google workspace ty logy mas.
-
Ahojte,
taktiez si prevadzkujem vlastny mail server zopar rokov a ako sa uz spominalo, nie je to nejaka rocket-science veda. Napriklad ja som zacal s vlastnou domenou (ako ma zadavatel prispevku) s tym, ze som si nainstaloval do virtualky (vtedy este Virtualbox) Zentyal community edition (https://zentyal.com/community/). Je to sice kanon na vrabce, ale da sa pouzit len mail. Ma to uz v sebe antivirus, SoGo webmail atd.
Potom som to prehodil na Proxmox virtualku s novym Zentyalom (je to na ubuntu LTS, takze aj updaty to ma).
Ale teraz to uz mam na VPSke, Centos 8 Stream a frci to spolahlivo. Ak by si chcel, mam celkom podrobny navod, ako to nahodit s mysql databazou, virtualnymi mailboxami, domenami atd (teraz uz spravujem asi 10 domen rodine, znamym atd).
Ako so Spamom to bolo v zaciatkoch horsie, ale uz ked sa to nastavi, staci sem tam pozriet logy, pripadne ked nieco neprejde, mrknem co sa deje a preco. Ale to je fakt tak raz za pol roka maximalne. A potom ide aj o "prestiz". Nemas nieco@gmail.com, ale napriklad ferko@mrkvicka.sk :)
Cauko
-
Takové mám nejradši.
+1
-
"vim, ze uz vsechno vim." nice...
jenom doufam,ze lidi, co investuji cas do (pro ne) tercialnich temat, potom nekde jinde nekvili, jak malo vydelavaji ve sve primarni domene.
jinak si pamatuju, jakej neskutecnej opruz to byl, starat se o mail server.
Takové mám nejradši.
+1
-
Takové mám nejradši. Ty, kteří po dokončení step-by-step návodu mají pocit, jak všemu rozumí.
Milujem, ked mi niekto strka do ust slova, ktore som nikdy nepovedal.
Nikde som nenapisal, ze vsetkemu rozumiem. Za druhe nikde som nenapisal, ze som len zobral step-by-step navod a hotovo.
S tebou je tazka debata. Mas svoju pravdu a myslis si, ze je jedina.
Ved ten clovek si chce postavit mailovy server pre seba. Nejde to stavat pre korporat s X-tisic zamestnancami?? Preber sa!!!
Tu fakt nieje ziaden dovod ho od toho odradzat.
Co sa stane pri najhorsom? Po mesiaci-dvoch to zabali a ten mail bude presunie na nejaku platformu/poskytovatela alebo skonci u freemailu.
Je v podstate nulova sanca, ze postavi open relay server(aj keby, svet sa nezruti) a zvysok pri jeho pouziti uz podstate nieje nijak dolezity a moze si ho pekne postupne vyladzovat.
"vim, ze uz vsechno vim." nice...
jenom doufam,ze lidi, co investuji cas do (pro ne) tercialnich temat, potom nekde jinde nekvili, jak malo vydelavaji ve sve primarni domene.
jinak si pamatuju, jakej neskutecnej opruz to byl, starat se o mail server.
Preco by mali kvilit. Ty nemas napriklad ziadne hobby. Pre kazdu blbost volas najlepsieho odbornika v okrese, lebo inych neuznavas?
-
Tady je ale škarohlídů a lidí, co si myslí, že to co oni umí, neumí nikdo jiný a jen postupuje dle step-by-step návodu..
Ale chápu, pokud se někdo živí poskytováním emailových služeb, bude se tu bít do prsou jak to umí dokonale a ostatní jsou jen "klikací blbové"..
Nejčastější důvod, proč nějaký mail-server rozesílá spam, je slabé heslo schránky nějakého uživatele.. Pak jsem zažil pár klientů, co si ho zkonfigurovali jako open-relay..
Dnes existuje dostatek open-source řešení, díky kterým si člověk nainstaluje a nastaví dostatečně bezpečný mail-server a nečeká ho ani hrábnutí do konfigu, například:
Mailcow, iRedMail.
Starám se o mail-servery, kde běží desítky tisíc domén a několikanásobně více schránek. Jednou jsme to nastavili, od té doby na konfiguraci nehrabeme, protože to prostě funguje. Občas se poštelují nějaká antispam pravidla, abychom odfiltrovali nějaký větší či menší shit-storm, ale jinak... Pff.. Nic... Jo, ještě updaty.. 2 příkazy, hotovo, opět no-problem.
Co sakra s těma serverama děláte, nebo co tam máte za problémy, že tam musíte furt hrabat a něco ladit?
Konfigurace a provoz vlastního mail-serveru je skvělý způsob, jak se něco naučit, pochopit pozadí za tím a zlepšit si své schopnosti..
Pokud má člověk vyřešené zálohování, copak ho může asi nejhoršího potkat?
To že rozešle pár spamů?
To že mu nepřijde nějaký mail?
Ani jedno, nevnímám jako extra problém. Odmítnutí mailu má dle standardů vyústit ve vratku a odesílatel se o této chybě dozví. Maily nikdy nebyly brány jako 100% spolehlivý způsob komunikace, na to existují jiné nástroje. Dokonce i servery Microsoftu občas vrátí serveru "200. OK" a poté zprávu sprostě zahodí... A že by to byl problém? Pff.. Evidentně není.
Za neúmyslné rozesílání spamů nikdo nikdo nikoho nepopotahoval a absolutně nikdo to neřeší..
No tak se dostane IP dočasně na black-list, no bože, to je teda problém.
Identifikuju jak se to stalo, zabráním tomu a zažádám o delist, nic tak hrozného se nestalo a je mi to naprosto jedno, pokud to netrvá nadále..
Pokud to bude trvat i nadále, IP na black-listech zůstane a problém je taky "vyřešen"..
Ohledně provozu mail-serveru doma, bych byl skeptický. Mnoho customer-providerů nemá RDNS záznamy, nebo je má vygenerované ze samotné IP a mnoho antispam nástrojů takové podezřelé adresy posílá do kšá, např:
/(\d{1,3}[\.-]\d{1,3}[\.-]\d{1,3}[\.-]\d{1,3})/ REJECT ACCESS DENIED. Your email was rejected because the sending mail server appears to be on a dynamic IP address that should not be doing direct mail delivery (${1})
/(\d{1,3}\.ip\.-\d{1,3}-\d{1,3}-\d{1,3}\.eu)/ REJECT ACCESS DENIED. Your email was rejected because the sending mail server appears to be on a dynamic IP address that should not be doing direct mail delivery (${1})
Dále bych od mail-serveru očkával maximální dostupnost, které se s provozováním doma nedá dosáhnout, jelikož doma máš asi těžko X nezávislých providerů či připojení do EL sítě.
Takže, pokud ti nevadí možná nedostupnost vlivem výpadku konektivity/EL a máš možnost nechat si změnit RDNS IP co ti jsou přiděleny, neviděl bych v provozování mail-serveru doma, absolutně žádný problém.
-
Milujem, ked mi niekto strka do ust slova, ktore som nikdy nepovel...
Dej prosim otaznik za tu vetu, zda mam nejake konicky. Nic o tom nemuzes vedet. Diky.
A nezvan. jasne si rekl, ze vis, ze si to nastudoval kompletne.
Takové mám nejradši. Ty, kteří po dokončení step-by-step návodu mají pocit, jak všemu rozumí.
Milujem, ked mi niekto strka do ust slova, ktore som nikdy nepovedal.
Nikde som nenapisal, ze vsetkemu rozumiem. Za druhe nikde som nenapisal, ze som len zobral step-by-step navod a hotovo.
S tebou je tazka debata. Mas svoju pravdu a myslis si, ze je jedina.
Ved ten clovek si chce postavit mailovy server pre seba. Nejde to stavat pre korporat s X-tisic zamestnancami?? Preber sa!!!
Tu fakt nieje ziaden dovod ho od toho odradzat.
Co sa stane pri najhorsom? Po mesiaci-dvoch to zabali a ten mail bude presunie na nejaku platformu/poskytovatela alebo skonci u freemailu.
Je v podstate nulova sanca, ze postavi open relay server(aj keby, svet sa nezruti) a zvysok pri jeho pouziti uz podstate nieje nijak dolezity a moze si ho pekne postupne vyladzovat.
"vim, ze uz vsechno vim." nice...
jenom doufam,ze lidi, co investuji cas do (pro ne) tercialnich temat, potom nekde jinde nekvili, jak malo vydelavaji ve sve primarni domene.
jinak si pamatuju, jakej neskutecnej opruz to byl, starat se o mail server.
Preco by mali kvilit. Ty nemas napriklad ziadne hobby. Pre kazdu blbost volas najlepsieho odbornika v okrese, lebo inych neuznavas?
-
Milujem, ked mi niekto strka do ust slova, ktore som nikdy nepovedal.
Nikde som nenapisal, ze vsetkemu rozumiem. Za druhe nikde som nenapisal, ze som len zobral step-by-step navod a hotovo.
Předpokládal jsem, že bude jasné, že je to nadsázka, a že každý pochopí, že je to narážka na vaše tvrzení, že rozumíte všemu co se týká e-mailových služeb. A to jste svou odpovědí „ano, jsem si jistý“ napsal.
Ved ten clovek si chce postavit mailovy server pre seba. Nejde to stavat pre korporat s X-tisic zamestnancami?? Preber sa!!!
Tím je nějak zaručeno, že ten server nebude spamovat nebo šířit viry? Jak? Podle mne je to přesně opačně – server pro korporát s X tisíci zaměstnanci nejspíš spamovta nebude, protože ho spravuje několik lidí, kteří problematice rozumí, a ten server je pod stálým dohledem. Zatímco ten server pro sebe nainstaluje jeden člověk, dál s eo to moc starat nebude. Pak si na server nainstaluje nějakou fotogalerii, vždyť to má také jenom pro sebe. No, jenže ta fotogalerie bude mít kontaktní formulář se zasíláním zpráv e-mailem, bude špatně napsaná, a rázem začne spamovat.
Co sa stane pri najhorsom? Po mesiaci-dvoch to zabali a ten mail bude presunie na nejaku platformu/poskytovatela alebo skonci u freemailu.
Akorát znova potvrzujete, že problematice nerozumíte, když vůbec netušíte, jaká existují rizika. To, že to za dva měsíce zabalí, to nikoho nezajímá. Ale jestli bude ty dva měsíce chrlit do světa spam, to je průšvih.
Je v podstate nulova sanca, ze postavi open relay server(aj keby, svet sa nezruti) a zvysok pri jeho pouziti uz podstate nieje nijak dolezity a moze si ho pekne postupne vyladzovat.
Aby mohl postavit bezpečný server, musí nejprve znát možná rizika. Neznáte je ani vy, a to jste si jistý, že jste problematiku nastudoval kompletně.
Preco by mali kvilit. Ty nemas napriklad ziadne hobby. Pre kazdu blbost volas najlepsieho odbornika v okrese, lebo inych neuznavas?
On je trochu rozdíl, jestli tou „blbostí“ je pěstování mrkve nebo oprava plynového kotle v bytovém domě. Na opravy plynových spotřebičů prosím volejte odborníky, protože případný neúspěch vašeho snažení neovlivní jenom vás, ale i mnohé další lidi. S e-mailovým serverem je to podobné, i když tam nejde o životy ale jenom o tuny spamu.
-
Přirovnávat mailový server k plynovému kotli, to už chce hodně kuráže...
To je stejný argument, jako používají anti-repair lidi - když si to uděláte sami, tak to bouchne... ať už se jedná o výměnu bnaterie mobilu nebo žárovky v mikrovlnce...
Takže radši zaplaťte 10x tolik někomu, kdo o sobě tvrdí, že je odborník, ale garanci, že to nebouchne vám stejně nikdo nedá.
Google čte vaše maily aby vám mohl nabízet reklamu a stejně tak to dělají i další, případně vaše data alespoň prodají. Doma si za vše ručím sám a když se něco pokazí, mohu se zlobit jen sám na sebe. Ze strany provozovatele můžu ale u své osoby vyloučit jakékoliv zlé a vedlejší úmysly. Email není kritická služba, pro nikoho, doufám...
-
Předpokládal jsem, že bude jasné, že je to nadsázka, a že každý pochopí, že je to narážka na vaše tvrzení, že rozumíte všemu co se týká e-mailových služeb. A to jste svou odpovědí „ano, jsem si jistý“ napsal.
Pametas si na aku tvoj otazku bola ta moja odpoved?
Citujem
"Jste si jistý, že problematiku toho, jak by mohl váš server šířit viry a spam, jste za týden nastudoval?"
Takze ake je to moje tvrdenie? Kde som napisal, ze rozumiem vsetkemu?
Preto to z tvojej strany neberiem za nadsazku ale za zavadzanie a musel som sa ozvat. Ja mam praveze pocit, ze niekto iny tu rozumie vsetkemu.
-
A nechapu tu adoraci komercniho/masoveho/cloudoveho/freemail whatever poskytovatele.
Zadny takovy subjekt do spravy sveho systemu nikdy neda tolik, kolik si muzete obetovat sami (sveho casu, prostredku na hw, atd), vzdy tam bude kompromis toho, aby jim to nejakym zpusobem vydelavalo, takze jejich reseni je ciste ekonomicke optimum, ktere se nemuze kryt nikdy s provoznim optimem.
A cim vetsi provider, tim horsi podpora, hlavne kdyz jste ne-zakaznik, a potrebujete s nema resit proc to maj blbe.
Posledni zkusenost - potvrzujici email z eshopu neprisel, protoze ta firma outsourcuje maily na jineho dodavatele, ktery se venuje zejmena mass-mailu (rozesilani newsletteru, coz tak nejak prumerne otravna firma potrebuje k zivotu). Problem je, ze skrze stejny system proudi kriticke provozni maily ohledne objednavek/registraci/hesel, a co buh nechtel, servery profesionalniho dodavatele mejlovych sluzeb byly na blacklistu. Videl jsem to v logu (protoze jsem resil, proc neprisel mail ohledne zadosti o zmenu hesla), tak jim po vytvoreni objednavky mimo registrovany ucet volam - pry o tom vime, ze od nas maily nekdy nechodi.
Jo, nejspis poslechli odbornika jako je Jirsak, aby to nechali na profesionalech :-)
-
jak moc velký s tím bude voser?
Velký. Musíte se o to neustále starat – aby váš server nerozesílal spam a viry; že někdo vašeho serveru nepřijímá poštu, protože se mu nelíbí DNS název serveru / jeho IP adresa / jméno, jakým se server představuje / že posíláte hodně e-mailů / že posíláte málo e-mailů / protože je pondělí / protože má prostě blbou náladu. Navíc když máte jednu veřejnou IP adresu, nemáte vliv na to, co se děje „kolem vás“ – odešle spam někdo ze sousední IP adresy a někdo dá na blocklist celou C síť, protože proč ne. No a pak už jsou jen takové drobnosti jako příchozí spam.
Pokud si ten mail server nakonfigurujete tak, jak je třeba, starat se o to potřeba není prakticky vůbec. Ale pravda je, že je podstatně spolehlivější, když SMTP nekomuniku přímo, ale používá IP adresu nějakého VPS. Bohatě na to stačí služba za osmdesát korun měsíčně. Já osobně do konfigurace zasahuji tak jednou ročně a to ještě jen proto, že i Postfix se vyvíjí takže občas už něco historického, co v ní stále mám prostě přestane podporovat.
-
Zadny takovy subjekt do spravy sveho systemu nikdy neda tolik, kolik si muzete obetovat sami
Ano, nikdo vám nedokáže dát tolik, kolik mi vám my dokážeme slíbit. Jenom – víte o tom, že tahle průpovídka byla myšlena jako vtip?
A nechapu tu adoraci komercniho/masoveho/cloudoveho/freemail whatever poskytovatele.
Podstatné je to masového. Protože je spoustu poštovních serverů, které spravují lidé, kteří si přečetli jeden návod, takže tomu dokonale rozumí. A když si jejich uživatelé stěžovali, že nedostávají poštu z GMailu, Seznamu, Outlooku apod., tak dotyční správci přidali tyhle velké poskytovatele na whitelist. Takže e-maily od těchhle velkých poskytovatelů chodí, přestože by jinak pravidla dotyčného správce nesplnily.
Pokud si ten mail server nakonfigurujete tak, jak je třeba, starat se o to potřeba není prakticky vůbec.
Zejména pokud své uživatele vycvičíte, že e-maily od vás prostě často neodchází, a tak mají raději používat soukromý freemail.
Ale teď vážně. Starat se o to musíte alespoň tak, že máte přehled o tom, jaké e-maily od vás odcházejí a jaké se nedaří odeslat. Můžete mít štěstí, že se za několik let nepotkáte s žádným cílovým serverem, který spravuje nemehlo, které tam má bůhvíjaká pravidla. Nebo se na něj sice jeden e-mail nedoručí, ale nikomu to nevadí. A nebo taky můžete mít smůlu, na takový server narazíte, a budete to muset řešit. Takže ve skutečnosti to, jak moc se o to budete muset starat, nezáleží jen na vás. A není to věc správné konfigurace na začátku – někteří správci jsou opravdu tvůrčí v tom, jak zabránit doručování e-mailu, takže to prostě dopředu neodhadnete, jak to nastavit, aby byl cílový server spokojen.
Doma si za vše ručím sám a když se něco pokazí, mohu se zlobit jen sám na sebe. Ze strany provozovatele můžu ale u své osoby vyloučit jakékoliv zlé a vedlejší úmysly.
To jistě adresáty spamu potěší, že se na sebe zlobíte a že spam šíříte jenom s těmi nejlepšími úmysly.
Email není kritická služba, pro nikoho, doufám...
To je hezká teorie. Jenže pak zjistíte, že se e-mail používá jako digitální identita, a potřebujete ho skoro všude. Potřebujete, aby vám na něj přišel kód pro reset hesla, potvrzení přihlášení apod. A že ten kód má platnost 30 minut. Potřebujete v Praze zaplatit parkování z mobilu? Při registraci potřebujete e-mail, kam vám přijde potvrzovací kód. E-mail není kritická služba, vždyť když nefunguje, jenom dostanete pokutu za špatné parkování. Potřebujete v e-shopu objednat zapomenuté materiály pro zítřejší akci? To je sice hezké, ale máte si pamatovat heslo – reset uděláte až pozítří, až budou chodit e-maily.
To, že e-mail není kritická služba, tvrdí akorát správci, kteří za jeho provoz nechtějí být zodpovědní. Všichni ostatní ho berou jako službu, prostě neustále funguje, i když občas doručí e-mail do spamu nebo doručení pár minut trvá.
-
Pokud si ten mail server nakonfigurujete tak, jak je třeba, starat se o to potřeba není prakticky vůbec.
Zejména pokud své uživatele vycvičíte, že e-maily od vás prostě často neodchází, a tak mají raději používat soukromý freemail. Ale teď vážně. Starat se o to musíte alespoň tak, že máte přehled o tom, jaké e-maily od vás odcházejí a jaké se nedaří odeslat. Můžete mít štěstí, že se za několik let nepotkáte s žádným cílovým serverem, který spravuje nemehlo, které tam má bůhvíjaká pravidla. Nebo se na něj sice jeden e-mail nedoručí, ale nikomu to nevadí. A nebo taky můžete mít smůlu, na takový server narazíte, a budete to muset řešit. Takže ve skutečnosti to, jak moc se o to budete muset starat, nezáleží jen na vás. A není to věc správné konfigurace na začátku – někteří správci jsou opravdu tvůrčí v tom, jak zabránit doručování e-mailu, takže to prostě dopředu neodhadnete, jak to nastavit, aby byl cílový server spokojen.
To se mi nestalo celou řadu let. Asi mám štěstí. Co já vím. Jenomže to je právě věcí té správné konfigurace. A ano, než se mi povedlo nastavit všechno tak, aby můj MTA vypadal jako jakýkoliv jiný solidní MTA, trvalo to dost dlouho. Není to pro nic ani proti ničemu. Mail mi řadu let funguje natolik, aby mi to bohatě stačilo a neměl jsem s tím problém. Co přesně bych měl chtít víc?
-
Proč mají lidi z IT potřebu "dělat si úplně všechno".
Protože mi vadí, že mi Google jednu dobu nabízel kontextovou reklamu podle toho, že mi někdo o něčem napsal. Dost mě to překvapilo, byla to věc, kterou jsem sám ani nikde nehledal, takže jsem to poznal. A to už pro mě bylo trochu moc. Nevím, jestli se to děje stále.
-
To se mi nestalo celou řadu let. Asi mám štěstí. Co já vím.
Mně se to také nestalo celou řadu let (samozřejmě v době, kdy jsem poštovní server ještě provozoval). A pak se něco změnilo, přibyl další okruh adresátů, kterým se něco posílalo e-mailem, a narazil jsem na dva takové experty v rozmezí několika měsíců.
Jenomže to je právě věcí té správné konfigurace.
Není, to prostě v některých případech nestačí.
A ano, než se mi povedlo nastavit všechno tak, aby můj MTA vypadal jako jakýkoliv jiný solidní MTA, trvalo to dost dlouho.
To jste to asi dělal špatně. Tady v komentářích se přece psalo, že to jednou nastavíte podle návodu a máte hotovo.
Není to pro nic ani proti ničemu. Mail mi řadu let funguje natolik, aby mi to bohatě stačilo a neměl jsem s tím problém. Co přesně bych měl chtít víc?
To, že jste s tím neměl problém do teď, neznamená, že někdo nebude chtít zítra poslat e-mail na novou e-mailovou adresu a bude neúspěšný.
Když se někdo zeptá, jak to zprovoznit poštovní server, připadá mi fér upozornit ho, že bude trvat dost dlouho, než se mu podaří nastavit všechno tak, aby jeho MTA vypadal jako jakýkoliv jiný solidní MTA. A že ani to není záruka, že nenarazí na server nějakého experta, který uplatňuje bůhvíjaká šílená pravidla.
-
jinak si pamatuju, jakej neskutecnej opruz to byl, starat se o mail server.
+1, taky jsem si tím prošel a ...fakt to byl opruz.
Abych lidem napadal do SPAMu, aby ti toho SPAMu nechodilo tolik (tenkrát jsem používal SpamAssassin), aby mi nechodily VIRY (měl jsem v tom řetězci ještě AV). Přesto jsem lidem do spamu občas spadnul, volat jim, hledat příčinu, omlouvat se....unavovalo mě to.
Google jednu dobu nabízel kontextovou reklamu podle toho, že mi někdo o něčem napsal.
Ano, to se děje asi pořád, oni e-maily silně vytěžují svojí AI.
Resp. dělají s tím psí kusy. A všem(*) je to jedno.
Tolik k tomu, jaké by snad údajně bylo haló, kdyby se to profláklo.... (Mimo tohoto bodu s Filipem Jirsákem v této věci myslím plně souhlasím.)
připadá mi fér upozornit ho, že bude trvat dost dlouho, než se mu podaří nastavit všechno tak, aby jeho MTA vypadal jako jakýkoliv jiný solidní MTA. A že ani to není záruka
+1
-
A ano, než se mi povedlo nastavit všechno tak, aby můj MTA vypadal jako jakýkoliv jiný solidní MTA, trvalo to dost dlouho.
To jste to asi dělal špatně. Tady v komentářích se přece psalo, že to jednou nastavíte podle návodu a máte hotovo.
Není to pro nic ani proti ničemu. Mail mi řadu let funguje natolik, aby mi to bohatě stačilo a neměl jsem s tím problém. Co přesně bych měl chtít víc?
To, že jste s tím neměl problém do teď, neznamená, že někdo nebude chtít zítra poslat e-mail na novou e-mailovou adresu a bude neúspěšný.
Někdo? Ledatak já. A ano, jednou to nastavíte a máte hotovo. Když víte jak ;D
-
jinak si pamatuju, jakej neskutecnej opruz to byl, starat se o mail server.
+1, taky jsem si tím prošel a ...fakt to byl opruz.
Abych lidem napadal do SPAMu, aby ti toho SPAMu nechodilo tolik (tenkrát jsem používal SpamAssassin), aby mi nechodily VIRY (měl jsem v tom řetězci ještě AV). Přesto jsem lidem do spamu občas spadnul, volat jim, hledat příčinu, omlouvat se....unavovalo mě to.
Je fakt, že odladit to chtělo fakt trpělivost než to začalo spolehlivě fungovat tak, abych někomu "spadnul do spamu" méně často, než jednou za dva roky. Ale od té doby to běží a problémy nedělá. Postfix, SpamAssassin, Dovecot, OpenDKIM, Postgrey a Pigeonhole upgraduju společně s celým systémem, kde běží i další věci a sahat do nich třeba není. Nevím, jestli bych někomu doporučil pokud nemá o problematiku zvláštní zájem si konfigurovat MTA vlastní, rozhodně to není triviální věc pokud má dobře fungovat.
Google jednu dobu nabízel kontextovou reklamu podle toho, že mi někdo o něčem napsal.
Ano, to se děje asi pořád, oni e-maily silně vytěžují svojí AI.
Resp. dělají s tím psí kusy. A všem(*) je to jedno.
Tolik k tomu, jaké by snad údajně bylo haló, kdyby se to profláklo....
Víte co, jestli je to všem jedno je jedno zase mně. Protože mně to jedno není. Obtěžujte mě to. A tazatel se ptal, proč to lidé dělají. Tak jsem prostě napsal svojí osobní motivaci.
-
A ano, jednou to nastavíte a máte hotovo. Když víte jak ;D
Někomu by nemuselo dojít, že je to ironie. Že nikdo neví, jak se to má nastavit, protože na to nejsou žádná pravidla. Každý si nastavuje antispam podle svého. Jsou věci, které se používají často – kontrola reverzního záznamu (i když i tam je spousta možností, co vlastně kontrolovat), kontrola existence MX záznamu pro odchozí doménu, SPF, DKIM. Ale pak jsou prostě případy, že někomu rupne v bedně, rozhodne se, že zatočí se spamem, a vymyslí nějaké nové geniální pravidlo. A vy to pro něj nemůžete mít dnes nakonfigurované, protože on to pravidlo vymyslí až za týden nebo za rok.
-
Co by kdyby... Raději tedy ani z domu nevycházet... Natož pak třeba sednout do auta, protože i když máme nějaká pravidla, každý si stejně jezdí jak chce...
-
Zdravím,
potýkám se s tím, že můj hostingový provider jde od desíti k pěti a pohrávám si s myšlenkou, když už mám vlastní doménu, že bych měl doma i vlastní mail server.
Může mi někdo, kdo s tím má zkušenosti, rámcově říci, co k tomu budu potřebovat a jak moc velký s tím bude voser?
Zkoušel jsem kolem toho trošku googlit, ale je to úplná klasika, jak se včelařema - každý má úplně jiný názor :). Docela rád bych si tady prošel ty vaše :) (klidně se i zhádejte ;-) a na základě diskuze si pak udělal nějaký obrázek toho, co mě čeká a kudy asi tak jít a čemu se spíš vyhnout.
Díky moc.
Diskusia sa tu trochu zvrhla. Ak to nebol z tvojej strany len pokus o flame war a naozaj ta to zaujima, tak ti trochu obsirnejsie popisem moj nazor/skusenosti. Odpoviem na tvoje otazky alebo pre niekoho ineho.
Vlastny mailovy server pevadzkujem asi 5 rokov. Pohnutky. uz ma nebavilo pouzivat freemaily, mat to viac pod kontrolou, pre rodinu a cosi sa aj naucit. Potrebujem novy ucet, rychlo si ho vytvorim. Ziaden opruz by obnove hesla, zmeny podmienok pouzivana,... alebo rieseni problemov. Ako som uz spominal, postupoval som podla tohto step-by-step navodu https://workaround.org/ispmail/buster/. Odporucam, nieje to najlahsi sposob ako sa dopracovat k vlastnemu mailovemu serveru(ak hladas lahsiu cestu, puzi https://www.iredmail.org/ alebo nieco podobne) ale ak sa chces nieco naucit, tak je najlepsi na aky som natrafil. Kym som natrafil na tento navod, tak som ma dost znechutili rozne ine navody, diskusie, na ktore som natrafil. Tento navod bol presne to,co som potreboval. Zrozumitelne vysvetlena problematika a navod. Samozrejem nie dokonale a vsetko. To nejde ale tak aby mal clovek dobry zaklad a funkcny mailovy server, ktory moze smelo pouzivat alebo si s nim dalej hrat a ladit detialy podla svojich predstav.
Ak si ten navod precitas, tak pochopis, ze to nieje ziadna raketova veda, nieco urcene len pre vyvolenych a nieco, z coho je potrebne mat stres ako F.Jirsak(a jemu podobny) sa to tu snazi vykreslit.
Podla toho navodu si postavis server tak, ze napriklad https://www.mail-tester.com/ ti da 10 z 10 bodov.
Takze odporucam si ten navod prv cely precitat. Co ti nieje jasne, si dostudovat, dohladat, spytat sa alebo sa na to vykaslat :).
No a az potom sa pustit do setupu podla toho navodu.
Vsetko, co k tomu potrebujes je server (virtualka,VPS, fyzicky server), verejna staticka IP adresa, vediet nastavit domenu, reverzny zaznam a asi tak tyzden casu. Ten cas je orientacny a zalezi od tvojej sikovnsoti a od znalosti. Sam autor tvrdi, ze to moze trvat od 2 hodin po 2 dni. Potvrdzujem, ze je to stihnutelne.
Mozes narazit na nejaky problem pocas instalacie. Ak narazis, tak odporucam diskusiu pod danou sekciou. Je vysoka sanca, ze na rovnaky problem uz niekto narazil a bude tam riesenie. Ja som narazil na minimum problemov ako problem s pravami pouzivatelov v MariaDB alebo nejaky preklep. Navod je ale dobry a vzdy je tam postup ako si dany krok skontrolovat a tak necakas do konca a potom si trhas vlasy, ze kde je problem.
Vysledkom bude server, ktory bude mat vsetko, co ma mat v zaklade aby si sa ho nebal nasadit do ostrej prevadzky. Nemusis sa bat open relay a podobnych veci. Tieto veci su v tychto navodoch zvladnute a su dobre max tak pre F.Jirsaka na strasenie malych deti :). Budes vediet odosielat a prijmat emaily, bude fungovat filtracia spamu(s nou sa vies pohrat a urobit si ju viac alebo menej agresivnu), nebudu mat s tebou problem ine mailove servre(nestalo sa mi aby mi nejaky server odmietol postu). Tomu aby tebou odosielane maily neskonci v spame sa nevyhnes ale nebude to mat dokopy nic spolocne s konfiguraciou servra. Bud bude za to moct pouzivatel ale castejsie mailovy server na druhej strane s agresivnym spam filtrom/premotivovanym machine learningom. 99% priapdov bude preto, lebo machine learning vyhodnoti, ze to je spam. To plati pri velkych poskyovatelov ako Google, ktory maju taketo enginy. Je to ako pri inych sluzbach, kde sa automatizovane kontroluje obsah a bezne sa stava, ze nezavadzny obsah sa zablokuje. U googlu mam podozrenie, ze to robi naschval aby ta od toho odradil a hostoval maily unho :)
Ak by si chcel poskytnut svoj mail sirsiemu okruhu ludi, tak by som porozmyslal nad rate limitmi aby si snizil nasledky v pripade, ze niekomu z tvojich pouzivatelov napadnu ucet.
Inac tam prilis nieje co robit. Vies si to postupne upravovat/vylepsovat na svoj obraz ale zaklad podla toho navodu je uplne v pohode.
Aj ked to ludom ako F.Jirsak nevysvetlis. Taky mailovy server je v podstate bezudrzbovy ak ho pouzivas na take domace zuvanie.
Nastavis, doladis to podla seba a ono to funguje. Ziadna pakaren a zabijanie mnozstva hodin jeho spravou. Skor narazis na problem, ze to, co si sa naucil zabudnes, lebo na ten server nebudes potrebovat sahat.
-
Pokud vám nevadí, že to nemáte dostatečně pod kontrolou tak, abyste si mohl být téměř jistý, že ostatním nebudete škodit, pak z toho samozřejmě stres mít nemusíte. Někdo klidně řídí auto silně unavený nebo po dvou pivech, protože je přece docela nepravděpodobné, že někoho zraní nebo zabije. Někdo klidně provozuje poštovní server, i když tomu moc nerozumí, protože je docela nepravděpodobné, že udělá takovou chybu, která způsobí rozesílání spamu nebo virů. Já k takovým lidem nepatřím – snažím se minimalizovat riziko, pokud bych poškozeným nebyl já, ale někdo jiný.
Jen pro pořádek – to, že vám nějaký externí tester dá 10 z 10 bodů v žádném případě neznamená, že přes váš server nebude rozesílán spam. Ty testery testují především formality, jestli máte správně nastavené DNS záznamy apod.
-
Někdo klidně řídí auto silně unavený nebo po dvou pivech
Nebylo by prostě lepší se z té diskuse vypařit, místo vymýšlení kravin jako srovnávání řízení auta pod vlivem s instalací poštovního serveru?
-
Někdo klidně provozuje poštovní server, i když tomu moc nerozumí, protože je docela nepravděpodobné, že udělá takovou chybu, která způsobí rozesílání spamu nebo virů. Já k takovým lidem nepatřím – snažím se minimalizovat riziko, pokud bych poškozeným nebyl já, ale někdo jiný.
Poskozeny se muze obratit na abuse@provider.tld
Poskozeny se v pripade ceskeho spammera muze obratit na soud.
Jen pro pořádek – to, že vám nějaký externí tester dá 10 z 10 bodů v žádném případě neznamená, že přes váš server nebude rozesílán spam. Ty testery testují především formality, jestli máte správně nastavené DNS záznamy apod.
Prosim o dolozeni statistiky, kolik % spamu pochazi z ostrovnich MTA instalovanych pro osobni potrebu clovekem vice nez znalym - provozujicim Linux. Spamu resp. pokusu o nej mi prislo radove kolem 10M za tu dobu co provozuji vlastni server pro par domen a toho puvodem z CR bych musel opravdu dusledne hledat, treba skrze GEO IP.
Vite kolik je na internetu spamujich adres? A zmeni neco, kdyz tam bude jedna navic? Se vam asi zhrouti svet nebo nevim co vlastne cekate, ze udela existence Wift-tova MTA nebo jeho pripadna neexistence.
To, cim strasite, se evidentne nedeje. Tak uz radeji mlcte.
Pripomina mi to situaci, kdyz jako ucastnik spartan race jste cely od blata a rozbrecite se jako male dite, protoze si na vas vykona potrebu moucha :)
-
Tomu aby tebou odosielane maily neskonci v spame sa nevyhnes ale nebude to mat dokopy nic spolocne s konfiguraciou servra. Bud bude za to moct pouzivatel ale castejsie mailovy server na druhej strane
To je uplne super, vedet ze za to nemuze muj server. Ale kdyz ja spis potrebuju aby ten mail dorazil do inboxu protistrany
-
Nebylo by prostě lepší se z té diskuse vypařit, místo vymýšlení kravin jako srovnávání řízení auta pod vlivem s instalací poštovního serveru?
Nemáte povinnost komentovat vše, co nechápete.
-
Poskozeny se muze obratit na abuse@provider.tld
Poskozeny se v pripade ceskeho spammera muze obratit na soud.
Prosim o dolozeni statistiky, kolik % spamu pochazi z ostrovnich MTA instalovanych pro osobni potrebu clovekem vice nez znalym - provozujicim Linux. Spamu resp. pokusu o nej mi prislo radove kolem 10M za tu dobu co provozuji vlastni server pro par domen a toho puvodem z CR bych musel opravdu dusledne hledat, treba skrze GEO IP.
Až příště v druhé části svého komentáře vyvrátíte jeho první část, raději tu první část před odesláním smažte.
Převpaí vás to, ale osobní MTA instalované pro osobní potřebu nejsou záležitost specifická jen pro ČR. Dále vás překvapí i to, že na rozesílání spamu nemá vliv to, pro jaký účel byl server nainstalován, ale kolik e-mailů dokáže rozeslat za jednotku času a jak dlouho trvá, než si toho správce všimne a vyřeší to. A ještě jedno překvapení – to, že někdo provozuje Linux, neznamená, že je více než znalý. Důkazem čehož je i tato diskuse – znalý člověk by se asi nepotřeboval ptát na diskusním fóru. A znalý člověk si uvědomuje rizika a ta podstatná neopomene zmínit, pokud to vysvětluje někomu neznalému.
Vite kolik je na internetu spamujich adres? A zmeni neco, kdyz tam bude jedna navic?
Ony to obyvkle nejsou adresy, ale servery… Spamu je tolik proto, že k tomu spousta lidí přistupuje způsobem, jako vy. Pro mne to, že jsou na zemi odpadky, není omluva pro to, abych tam přihodil další. A považuju za samozřejmé na to upozornit někoho, kdo se v oblasti zatím neorientuje. Protože jak je vidět i v této diskusi, uvědomit si ta rizika není úplně samozřejmé. A navézt někoho do toho, že nevědomky začne škodit ostatním, to není můj styl. Pokud bude znát rizika, přesto se do toho pustí a jeho server pak bude spamovat, je to jeho problém. Já jsem udělal, co bylo v mé moci.
To, cim strasite, se evidentne nedeje. Tak uz radeji mlcte.
Děje se to. A mlčet nebudu – když něčemu nerozumíte, tak to klidně nahlas řeknu.
-
Všichni okolo jsou blbové, ale pan "J" ví všechno nejlépe, tak by se dalo shrnout působení pana "J" v těchto diskuzích.
Ta arogance je až donebevolající.. Zvláště, když neposkytne konkrétní rady, ale jen odrazuje lidi od sebevzdělávání radami typu "outsourcuj to, nikdy to nedokážeš".
Rozesílání spamu, jednoduše zabránit NEJDE.
Ano, jde to OMEZIT, ale adresátovi je skutečně fuk, jestli mu pošle jeden server jednu zprávu, deset zpráv, nebo deset serverů po jedné zprávě.
Drtivá většina spamů, pochází z mailových schánek, ke kterým uniklo heslo. Boti jen šmějdí všude možně, zkouší se lognout a jak se jim to povede, pošlou mraky spamů.
Nějaký server ho zastaví? Nevadí, jdou o dům dále.. Dokud budou uživatelé tak tupí, že budou stále používat hesla typu "Heslo123", nebo stejná hesla na různých službách, nebude tomu jinak a vsadím se, že proti tomuto, se nedokáže ubránit ani mail-server, co používá pan "J", jednoduše není jak. :-)
A nebo mohou uživatelé odeslat jen 10 zpráv za hodinu, což může být dost limitující i pro standardní provoz.. Nicméně ani to NEZARUČÍ, že těch 10 zpráv, nebude SPAM, když bude k té schránce prolomen přístup.
V praxi to ale funguje tak, že limity jsou nastaveny rozumně, například 500-1000 zpráv za den.. Bot zjistí zranitelnou schránku, pošle 1000 zpráv a co se stane?
- Regulérní uživatel už nemůže odeslat nic, kontaktuje provozovatele a ten koumá.
- Regulérnímu uživateli začne chodit velký množství vratek..-> Zeptá se provozovatele co to je, ten to vysvětlí a doporučí změnu hesla.
Z těch 1000 zpráv dojde většinou jen nepatrná část, servery jsou natolik chytré, že při shit-stormu budou další zprávy odmítat s temporary errorem a zprávy začnou zůstávat v queue na odchozím serveru.
Kdyby pan "J" bez toho stupidního odrazování raději řekl, ať provozovatelé alespoň monitorují počet zpráv v queue, mohl si tyto stupidní elaboráty ušetřit a tazateli rovnou věcně poradit.
Ale tak co, bez pana "J" by tu byla asi nuda.
-
Všichni okolo jsou blbové, ale pan "J" ví všechno nejlépe,
....
Kdyby pan "J" bez toho stupidního odrazování raději řekl, ať provozovatelé alespoň monitorují počet zpráv v queue, mohl si tyto stupidní elaboráty ušetřit a tazateli rovnou věcně poradit.
Ale tak co, bez pana "J" by tu byla asi nuda.
Ja som sa rozhodol ho ignorovat, lebo rozumna debata s nim nieje. Furt si hlada nieco, nejaku blbost aby to mohol napadnut a ak nahodou nic nenajde, tak si nieco vymysli. Nepovie, co je zle, alebo co ako ako to robit lepsie ale vytiahne blost ako aj z mojho posledneho komentara.
Chceli by sme od neho vela aby si ten navod precital(alebo aspon na rychlo preletel, je dost obsiahly) a okomentoval, pridal nejake rady alebo postrehy. Rad by som si vypocul od nejakeho odbornika(ja nim niesom), co je na tom navode zle, co vylepsit, upravit. Mna krasne uviedol do problematiky a cennim si, ze si s tym ten clovek dal pracu a dava pracu. Lebo s kazdou novou verziou Debianu ten navod aktualizuje.
Bohuzial pan "J" tu neprispieva preto aby poradil.
-
Ony to obyvkle nejsou adresy, ale servery… Spamu je tolik proto, že k tomu spousta lidí přistupuje způsobem, jako vy.
Drtivou vetsinu spamu neposilaji spravne nakonfigurovane emailove servery (lze to poznat napr. podle toho, ze tam neni MX, zadny ID serveru, atd). Kdyby jste provozoval MTA, tak by jste to vedel. Nechapu proc se ucastnite diskuze, kdyz o dnesni realite nemate jakekoliv tuseni. Jste pouhy teoretik, a to jeste velice spatnej.
-
Drtivou vetsinu spamu neposilaji spravne nakonfigurovane emailove servery (lze to poznat napr. podle toho, ze tam neni MX, zadny ID serveru, atd). Kdyby jste provozoval MTA, tak by jste to vedel. Nechapu proc se ucastnite diskuze, kdyz o dnesni realite nemate jakekoliv tuseni. Jste pouhy teoretik, a to jeste velice spatnej.
Počítač, který odesílá e-mail z nějaké domény, nemusí být ten samý, který e-maily přijímá. DNS server vám nemusí vracet všechny možné MX záznamy, takže i když ten počítač může e-maily pro danou doménu přijímat, nemusíte to podle MX záznamů poznat. Nechápu, proč se účastníte diskuze, když o e-mailových protokolech nevíte vůbec nic.
Mimochodem, správně nakonfigurovaný poštovní server samozřejmě spam nerozesílá (pokud to není pár zpráv, které pošle oprávněný uživatel). Jenže tady se právě bavíme o tom, jak ten server nakonfigurovat a provozovat správně.
-
Drtivou vetsinu spamu neposilaji spravne nakonfigurovane emailove servery (lze to poznat napr. podle toho, ze tam neni MX, zadny ID serveru, atd). Kdyby jste provozoval MTA, tak by jste to vedel. Nechapu proc se ucastnite diskuze, kdyz o dnesni realite nemate jakekoliv tuseni. Jste pouhy teoretik, a to jeste velice spatnej.
Počítač, který odesílá e-mail z nějaké domény, nemusí být ten samý, který e-maily přijímá. DNS server vám nemusí vracet všechny možné MX záznamy, takže i když ten počítač může e-maily pro danou doménu přijímat, nemusíte to podle MX záznamů poznat. Nechápu, proč se účastníte diskuze, když o e-mailových protokolech nevíte vůbec nic.
Mimochodem, správně nakonfigurovaný poštovní server samozřejmě spam nerozesílá (pokud to není pár zpráv, které pošle oprávněný uživatel). Jenže tady se právě bavíme o tom, jak ten server nakonfigurovat a provozovat správně.
Ucastnim se teto diskuze, protoze provozuji vlastni server pro par domen.
Na rozdil od vas, kdyz vy nejste schopen ani sledovat trendy, natoz neco nakonfigurovat a provozovat!
Logy z dnesniho rana:
Oct 28 10:06:22 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[110.50.84.48]: 554 5.7.1 Service unavailable; Client host [110.50.84.48] blocked using zen.spamhaus.org
Oct 28 10:06:42 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[110.50.84.48]: 554 5.7.1 Service unavailable; Client host [110.50.84.48] blocked using zen.spamhaus.org
Oct 28 10:07:20 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[39.34.128.109]: 554 5.7.1 Service unavailable; Client host [39.34.128.109] blocked using zen.spamhaus.org
Oct 28 10:08:48 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[121.34.49.121]: 554 5.7.1 Service unavailable; Client host [121.34.49.121] blocked using zen.spamhaus.org
Oct 28 10:11:58 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[103.99.150.183]: 554 5.7.1 Service unavailable; Client host [103.99.150.183] blocked using zen.spamhaus.org
Oct 28 10:21:00 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[106.220.150.168]: 554 5.7.1 Service unavailable; Client host [106.220.150.168] blocked using zen.spamhaus.org
Oct 28 10:33:58 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[116.73.214.59]: 554 5.7.1 Service unavailable; Client host [116.73.214.59] blocked using zen.spamhaus.org
Oct 28 10:45:10 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[183.238.56.16]: 554 5.7.1 Service unavailable; Client host [183.238.56.16] blocked using zen.spamhaus.org
Oct 28 10:50:06 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[120.235.87.210]: 554 5.7.1 Service unavailable; Client host [120.235.87.210] blocked using zen.spamhaus.org
Oct 28 11:01:02 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[59.88.108.155]: 554 5.7.1 Service unavailable; Client host [59.88.108.155] blocked using zen.spamhaus.org
Oct 28 11:06:08 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[119.123.1.93]: 554 5.7.1 Service unavailable; Client host [119.123.1.93] blocked using zen.spamhaus.org
Oct 28 11:09:50 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[103.122.66.61]: 554 5.7.1 Service unavailable; Client host [103.122.66.61] blocked using zen.spamhaus.org
Oct 28 11:38:37 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[27.7.170.162]: 554 5.7.1 Service unavailable; Client host [27.7.170.162] blocked using zen.spamhaus.org
Oct 28 11:46:14 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[77.247.110.15]: 554 5.7.1 Service unavailable; Client host [77.247.110.15] blocked using zen.spamhaus.org
Oct 28 11:47:22 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[43.239.112.135]: 554 5.7.1 Service unavailable; Client host [43.239.112.135] blocked using zen.spamhaus.org
Oct 28 11:51:02 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[113.116.49.80]: 554 5.7.1 Service unavailable; Client host [113.116.49.80] blocked using zen.spamhaus.org
Oct 28 11:51:26 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[45.138.74.100]: 554 5.7.1 Service unavailable; Client host [45.138.74.100] blocked using bl.spamcop.net
Oct 28 11:51:55 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[112.85.23.206]: 554 5.7.1 Service unavailable; Client host [112.85.23.206] blocked using zen.spamhaus.org
Oct 28 11:53:16 [postfix/smtpd] NOQUEUE: reject: RCPT from unknown[222.77.198.254]: 554 5.7.1 Service unavailable; Client host [222.77.198.254] blocked using zen.spamhaus.org
Mam za to, ze ani jedna z techto adres nepatri regulernimu MTA, natoz aby to byl nejaky IP pool cloudoveho providera - podle vasich predstav.
Takze veskere snahy o teoretizovani nad tim, ze odesilajici a prijimaci server jsou ruzne a nelze je identifikovat jsou totalne mimo misu.
Takova je realita dnesniho mailoveho spamu - jsou to vyhradne botnety - bezici at uz na deravych win, nebo IOT zarizenich.
Provoz z cloud / MTA poolu, ktery typicky na me konfiguraci spada do graylistu a jede tedy s malym zpozdenim (protoze odesilatel pouziva randomizovanou skoro-spamovaci adresu) vypada pak napr. takto:
Oct 28 08:56:28 [postfix/smtpd] NOQUEUE: reject: RCPT from web01.groups.io[66.175.222.12]: 450 4.7.1 <***@***>: Recipient address rejected: No MX exists for your server (web01.groups.io), fix it for faster delivery or just try again later; from=<bounce+***+***+***+***@***> to=<***@***> proto=ESMTP helo=<web01.groups.io>
Oct 28 12:35:44 [postfix/smtpd] NOQUEUE: reject: RCPT from mxphxpool1018.ebay.com[66.211.184.84]: 450 4.7.1 <***@***>: Recipient address rejected: No MX exists for your server (mxphxpool1018.ebay.com), fix it for faster delivery or just try again later; from=<***_*y*2*0*q*o*@members.ebay.co.uk> to=<***@***> proto=ESMTP helo=<mxphxpool1018.ebay.com>
Oct 28 13:41:45 [postfix/smtpd] NOQUEUE: reject: RCPT from maile-ae.linkedin.com[108.174.3.197]: 450 4.7.1 <***@***>: Recipient address rejected: No MX exists for your server (maile-ae.linkedin.com), fix it for faster delivery or just try again later; from=<m-*3*x*o*t*u*h*j*p*k*7*y*0*i*w*d*t*9*4*1*h*1*h*o*w*5*6*l*8*@bounce.linkedin.com> to=<***@***> proto=ESMTP helo=<maile-ae.linkedin.com>
Kdyby pouzivali jednoznacnou emailovou adresu, tak nebudou spozdeni na kazdem pokusu, ale jenom na prvnim pro kazdou IP ze sveho poolu. Na tomto nesou tedy svoji vinu ale ve vysledku je mira kompromisu akceptovatelna - nejedna se o casove kriticky provoz - na to email nikdy staven nebyl - ani teoreticky ani prakticky.
-
Ucastnim se teto diskuze, protoze provozuji vlastni server pro par domen.
Což bohužel nezaručuje, že problematice rozumíte.
Na rozdil od vas, kdyz vy nejste schopen ani sledovat trendy, natoz neco nakonfigurovat a provozovat!
Kecy.
Mam za to, ze ani jedna z techto adres nepatri regulernimu MTA, natoz aby to byl nejaky IP pool cloudoveho providera - podle vasich predstav.
Takze veskere snahy o teoretizovani nad tim, ze odesilajici a prijimaci server jsou ruzne a nelze je identifikovat jsou totalne mimo misu.
Kde tam máte jaké MX záznamy? Možná provozujete vlastní server, ale nerozumíte tomu, co se tam doopravdy děje. Tvrdíte nesmysl, pak předložíte výpis, který nic takového (logicky) nedokazuje.
Takova je realita dnesniho mailoveho spamu - jsou to vyhradne botnety - bezici at uz na deravych win, nebo IOT zarizenich.
Nejsou to výhradně botnety. Sám z toho logu vidíte, že jsou to známé IP adresy, které už jsou na blocklistu. Ty blokujete, takže by vám neměl chodit žádný spam. Což se ale neděje, že…
protoze odesilatel pouziva randomizovanou skoro-spamovaci adresu
Byly tady dotazy, jaká šílená pravidla používají různí „takysprávci“ pro blokaci „spamu“. Když jsem psal, že jsou to třeba pravidla založená na názvu serveru, někteří se tu ohrazovali, že je to nesmysl. No, tak tady máme jeden konkrétní případ. Sice ty e-maily rovnou neblokuje, ale za znak spamu to považuje.
Recipient address rejected: No MX exists for your server (web01.groups.io), fix it for faster delivery or just try again later
A tady máme další příklad. Proč by měl mít DNS název, pod kterým neexistují žádné e-mailové adresy, MX záznam?
Kdyby pouzivali jednoznacnou emailovou adresu, tak nebudou spozdeni na kazdem pokusu, ale jenom na prvnim pro kazdou IP ze sveho poolu. Na tomto nesou tedy svoji vinu ale ve vysledku je mira kompromisu akceptovatelna - nejedna se o casove kriticky provoz - na to email nikdy staven nebyl - ani teoreticky ani prakticky.
Takže RDa, který nerozumí ani tomu, jak fungují MX záznamy, tady tvrdí, že správci poštovních serverů eBay nebo LinkedIn problematice nerozumí, zatímco RDa tomu rozumí lépe. Aha.
Takže to je odpověď pro WIFTa – představte si, že budete přes váš server potřebovat doručit e-mail na server, který spravuje RDa. Chcete něco takového řešit?
-
Dopytle, co by měl řešit, vždyť server RDa vrátil temporary error a při dalších pokusech to pustí.. :o
Greylisting je běžně užívaná a účinná praktika, jak bojovat se stroji, co jen posílají jeden bordel za druhým a nedrží maily v queue pro pozdější doručení.
-
Je sice fakt, ze odesilajici server nemusi mit MX, ale WIFT by si mel spise predstavit, kam asi tak bude volat a jak se domahat napravy u molochu jako MS nebo google. S RDa se domluvi spise :)
Postoj p. Jirsaka je hodne nestastny. S takovym pristupem by nikdy nevznikl zadny program, vyrobek ani sluzba. A vira, ze v korparatu tomu rozumeji vic je usmevna.
PS jinak u nas treba greylistingem penalizujeme pouze servery bez SPF zaznamu pro odesilatele z obalky.
-
Dopytle, co by měl řešit, vždyť server RDa vrátil temporary error a při dalších pokusech to pustí.. :o
Třeba to, že RDa nerozumí tomu, k čemu slouží MX záznamy, a chce poučovat ostatní, jak mají konfigurovat poštovní server. To, že po nesmyslné kontrole vrací temporary error, není omluva. Problém není v návratovém kódu, problém je v nesmyslné kontrole.
Greylisting je běžně užívaná a účinná praktika, jak bojovat se stroji, co jen posílají jeden bordel za druhým a nedrží maily v queue pro pozdější doručení.
Kritizoval jsem snad něco na greylistingu?
S takovym pristupem by nikdy nevznikl zadny program, vyrobek ani sluzba.
Já jsem snad někde psal, že nikdo nemá stavět nový poštovní server? Já jsem jenom psal, že provoz poštovního serveru není tak jednoduchý, jak to na první pohled vypadá. Že může člověk snadno skončit jako RDa, který si myslí, jak tomu rozumí, myslí si, že je mistr světa a může poučovat správce serverů, které za den doručí víc e-mailů, než jeho server za celý život – a přitom ani nechápe, jak fungují MX záznamy.
A vira, ze v korparatu tomu rozumeji vic je usmevna.
Psal jsem snad něco o korporátu?
-
Recipient address rejected: No MX exists for your server (web01.groups.io), fix it for faster delivery or just try again later
A tady máme další příklad. Proč by měl mít DNS název, pod kterým neexistují žádné e-mailové adresy, MX záznam?
Muzete s tim nesouhlasit, ale to je tak vsechno. Pravidla sveho serveru si urcuji ja - na to mam pravo - ostatne je to temporary error a duvod neakceptace jsem uvedl myslim dost jednoznacne. Neexistuje zadne RFC, ktere by me narizovalo cokoliv bezvyhradne prijmout (snad vyjma specialnich schranek jako abuse/postmaster).
Toto pradavne pravidlo (mit existujici MX zaznam i pro odchozi emailovou branu) pochazi z doby pred SPF pro otagovani hosta privilegovaneho k odesilani emailu (skrze jiny kanal - DNS) a jeho rozliseni od ostatnich hostu pod danou domenou, ktere k odesilani mailu urceny opravdu nejsou. Spravci emailu tohle pouzivali a jedna se o jedno z mnoha nepsanych pravidel co nemaj RFC, ktere muzete nasadit pro boj se spamem. Ze to nemuzete nasadit jako striktni deny, je snad jasny z podstaty veci.
-
S takovym pristupem by nikdy nevznikl zadny program, vyrobek ani sluzba.
Já jsem snad někde psal, že nikdo nemá stavět nový poštovní server? Já jsem jenom psal, že provoz poštovního serveru není tak jednoduchý, jak to na první pohled vypadá. Že může člověk snadno skončit jako RDa, který si myslí, jak tomu rozumí, myslí si, že je mistr světa a může poučovat správce serverů, které za den doručí víc e-mailů, než jeho server za celý život – a přitom ani nechápe, jak fungují MX záznamy.
Nuz, RDa je velice spokojenej se svym serverem a hromadou vlastnich custom scriptu, ktere odpinknou jakehokoliv hosta, ktery se jim kvuli necemu nelibi. At uz je to cizokrajni TLD, vysoka entropie jmena schranky, nebo cokoliv jinak podivneho. Je to valka (se spamem) a mit obranu zakazany neni. Navic kazde reseni, ktere neni sablonovite okopirovane, je k prospechu veci - protoze obejit ruzne divna pravidla se spammerum nevyplati - kdezto veci jako SPF a DKIM uz maj davno v malicku.
Pokud to zhrnu, tak jste do tohoto vlakna neprispel nicim konstruktivnim. Proc sem prispivate, kdyz nic nespravujete a ani se nepodelite o to, co jsou ty vase teoreticke good-practices z oblasti SMTP ?
-
Třeba to, že RDa nerozumí tomu, k čemu slouží MX záznamy, a chce poučovat ostatní, jak mají konfigurovat poštovní server. To, že po nesmyslné kontrole vrací temporary error, není omluva. Problém není v návratovém kódu, problém je v nesmyslné kontrole.
Tohle pravidlo mi smysl dává, jelikož znám také pravidlo, které dle mě i najdeš v RFC, že když někdo vrátí temporary error s určitým stavovým kódem, máš to zkoušet dál.
To jaké kroky směřují k "pouhému" temporary erroru, mě tak nějak nezajímají, když se tak nebude dít u naprosto každé zprávy co pošlu v průběhu času.
Kritizoval jsem snad něco na greylistingu?
Princip toho, že neznámé servery na prvním připojení odpálkuješ stavovým kódem, který říká ať to zkousíš znovu, je právě greylisting. Pletu se?
-
Muzete s tim nesouhlasit, ale to je tak vsechno. Pravidla sveho serveru si urcuji ja
Já jsem ale nepsal, že s tím nesouhlasil. Já jsem pouze konstatoval, že je to jeden z důkazů, že fungování e-mailu nerozumíte. A upozorňoval jsem tazatele, že jste důkaz mého tvrzení, že poštovní servery občas spravují lidé, kteří tomu nerozumí – a on se s takovými servery bude muset při provozu svého serveru potýkat.
Ve vedlejší diskusi se řešilo, jaká jsou pravidla pro správnou konfiguraci poštovního serveru. Podobní „správci“ jako vy tvrdili, že je to pár pravidel, podle kterých stačí server nakonfigurovat (přičemž ta pravidla nedokázali sepsat…) Vy jste perfektní ukázka toho, že to není pravda. Někdo může mít server nakonfigurovaný bezchybně, a vy ho stejně za konfiguraci penalizujete a pošlete na greylist. Kdyby konfiguraci rozbil, budete spokojen a greylistu se asi vyhne. No a podobní „experti“ jako vy v podobných případech nepoužívají greylisting, ale třeba přidají za tuhle správnou konfiguraci pár negativních bodů do spam skóre, nebo e-mail rovnou odmítnou.
Toto pradavne pravidlo (mit existujici MX zaznam i pro odchozi emailovou branu) pochazi z doby pred SPF pro otagovani hosta privilegovaneho k odesilani emailu (skrze jiny kanal - DNS) a jeho rozliseni od ostatnich hostu pod danou domenou, ktere k odesilani mailu urceny opravdu nejsou. Spravci emailu tohle pouzivali a jedna se o jedno z mnoha nepsanych pravidel co nemaj RFC, ktere muzete nasadit pro boj se spamem. Ze to nemuzete nasadit jako striktni deny, je snad jasny z podstaty veci.
Ne, takovéhle pravidlo se nikdy nějak masivněji nepoužívalo. Navíc kdyby někdo přizpůsobil nastavení serveru tomu vašemu pravidlu, rozbije tím jinou kontrolu, která dává daleko větší smysl – totiž kontrolu, zda pro doménu odesílatele je kam doručovat e-maily, např. odpovědi nebo chybové zprávy. Vy ovšem chcete provozovatele jiný serverů donutit, aby nastavili MX záznamy i pro domény, kde žádné schránky nejsou, takže uvedená kontrola se stane neúčinnou.
Nuz, RDa je velice spokojenej se svym serverem a hromadou vlastnich custom scriptu, ktere odpinknou jakehokoliv hosta, ktery se jim kvuli necemu nelibi. At uz je to cizokrajni TLD, vysoka entropie jmena schranky, nebo cokoliv jinak podivneho. Je to valka (se spamem) a mit obranu zakazany neni. Navic kazde reseni, ktere neni sablonovite okopirovane, je k prospechu veci - protoze obejit ruzne divna pravidla se spammerum nevyplati - kdezto veci jako SPF a DKIM uz maj davno v malicku.
Ještě napište, kolik procent spamu zastavíte, a bude to vypadat, že vaše komentáře píšu já, abych potvrdil, že takoví „správci“ opravdu existují.
Pokud to zhrnu, tak jste do tohoto vlakna neprispel nicim konstruktivnim. Proc sem prispivate, kdyz nic nespravujete a ani se nepodelite o to, co jsou ty vase teoreticke good-practices z oblasti SMTP ?
Dotaz byl, jaké máme zkušenosti s provozem poštovního serveru a jaký s tím bude voser. Na to já jsem odpověděl a pak jsem vás donutil se odkopat, aby tazatel viděl, že si nevymýšlím.
-
Tohle pravidlo mi smysl dává, jelikož znám také pravidlo, které dle mě i najdeš v RFC, že když někdo vrátí temporary error s určitým stavovým kódem, máš to zkoušet dál.
To jaké kroky směřují k "pouhému" temporary erroru, mě tak nějak nezajímají, když se tak nebude dít u naprosto každé zprávy co pošlu v průběhu času.
Zkuste nad tím ještě chvíli přemýšlet. Chápu, je to pro vás komplikované, jsou tam dvě věci – ale když se budete soustředit, tak to rozlišíte. Jedna věc je pravidlo, druhá věc je činnost po nesplnění toho pravidla. Znovu připomínám, že já kritizuju pravidlo, o té činnosti jsem nenapsal ani čárku.
Princip toho, že neznámé servery na prvním připojení odpálkuješ stavovým kódem, který říká ať to zkousíš znovu, je právě greylisting. Pletu se?
Pletete se v tom, že tohle pravidlo vyhledává neznámé servery. To pravdilo testuje něco jiného.
-
Kritizoval jsem snad něco na greylistingu?
Princip toho, že neznámé servery na prvním připojení odpálkuješ stavovým kódem, který říká ať to zkousíš znovu, je právě greylisting. Pletu se?
Mam to per envelope (musi sedet trojice IP-FROM-RCPT), protoze jenom podle IP/nazvu serveru to nejde delat - typicky spam host posle tech mejlu nekolik ruznych, ale od nahodne generovane schranky.
A pak pri splneni nekterych podminek, je tam greylist-bypass (napr. se to tyka toho MX checku, toho ze jsem sam poslal neco nekam a prichazi odpoved, toho ze je domena ci server je na explicitnim whitelistu, a podobne).
Nelibilo se mi jednoduse pausalne pozdrzet vsechny mejly. Tedy 4xx duvod "protoze graylist a zkus to znova" ani nemam - vzdy je tam jina podminka, ktera si ten graylist vyzadala a error je indikovan pak prislusne tomu duvodu.
-
Pokud to zhrnu, tak jste do tohoto vlakna neprispel nicim konstruktivnim. Proc sem prispivate, kdyz nic nespravujete a ani se nepodelite o to, co jsou ty vase teoreticke good-practices z oblasti SMTP ?
Dotaz byl, jaké máme zkušenosti s provozem poštovního serveru a jaký s tím bude voser. Na to já jsem odpověděl a pak jsem vás donutil se odkopat, aby tazatel viděl, že si nevymýšlím.
Vy jste teda narcis. Situace je takova, ze z nas dvou jsem to jenom ja, kdo ma vlastni server, ktery funguje mnoho let, nespamuje svet, prijima nepatrne mnozstvi spamu, protoze preferuji radeji neprijit o legitimni postu, ale ano.. jsem se vazne odkopal. A ted tu o Karkulce :-)
-
Ty jo, vy se furt ještě hádáte? To by zasloužilo snad i nějakou věcnou cenu nebo alespoň titul :o
-
Ty jo, vy se furt ještě hádáte? To by zasloužilo snad i nějakou věcnou cenu nebo alespoň titul :o
p. Jirsák zvyšuje počet svých příspěvků a stále má málo - jen 4 713
Jinak od něho raději nic lepšího nečekejte, kromě "nastudované" teorie. Praxe už kulhá
-
No já stojím za Filipem Jirsákem, v této oblasti. V jiných oblastech bych dal za RDa ruku do ohně.
Ve skutečnosti si myslím, že pravdu mají oba.
(https://previews.123rf.com/images/kraphix/kraphix1411/kraphix141100039/34052094-philosophy-concept-illustration-with-two-businessmen-arguing-whether-a-number-on-the-floor-is-a-6-or.jpg)
Provozovat doma poštovní server je blbost, protože to je dost náročné vychytat a starat se o to. Ale možné to samozřejmě je.
Jen mě udivuje ta vytrvalost.... :o
-
Ja jsem si z cele diskuze odnesl, ze vyzkouset si instalaci postovniho serveru ano, ale provozovat ho realne je uz vyssi divci.
-
provozovat ho realne je uz vyssi divci
Prostě to je věc o kterou se pak musíš starat.
Když si pořídíš benzínovou sekačku, měl bys jí po sezóně vyčistit, vylít starý benzín, promazat, zakonzervovat.
Je to prostě určitá námaha, určitý čas, který tomu musíš věnovat.
Když si můžeš od souseda půjčit robotickou sekačku, byť tě u toho šmíruje, může to pro tebe být pohodlnější.
Kdy má vlastní "sekačka" smysl:
- když máš exchange server
- když chceš posílat nějaká upozornění a reálně e-maily nepřijímáš (nemusíš se starat o spoustu věcí)
- když jsi paranoidní a máš pocit, že tvoje žvásty pročítá nějaká pokročilá inteligence, která se jim směje
Kdy nemá vlastní "sekačka" smysl:
- když je to pro jednoho až dvacet lidí, protože by ti péče o sekačku zabrala nějaký ten čas
-
provozovat ho realne je uz vyssi divci
Prostě to je věc o kterou se pak musíš starat.
Když si pořídíš benzínovou sekačku, měl bys jí po sezóně vyčistit, vylít starý benzín, promazat, zakonzervovat.
Je to prostě určitá námaha, určitý čas, který tomu musíš věnovat.
Když si můžeš od souseda půjčit robotickou sekačku, byť tě u toho šmíruje, může to pro tebe být pohodlnější.
Kdy má vlastní "sekačka" smysl:
- když máš exchange server
- když chceš posílat nějaká upozornění a reálně e-maily nepřijímáš (nemusíš se starat o spoustu věcí)
- když jsi paranoidní a máš pocit, že tvoje žvásty pročítá nějaká pokročilá inteligence, která se jim směje
Kdy nemá vlastní "sekačka" smysl:
- když je to pro jednoho až dvacet lidí, protože by ti péče o sekačku zabrala nějaký ten čas
No ja si pamatuju, ze jsem nekdy pred 20 lety mel referat na felu o sendmailu a uz tehdy mne to prislo dost hardcore a to jeste tenkrat nebyl SPAM.
-
Až takovy masakr to není, hlavně když máš nějaký drobný prašule a nahodíš si rd.party virtuál na gumování spamu a virů. (Aktualizuje se!)Tvůj virtuál přijme poštu, předá jí tomu sráči, a ten jí vyčištěnou vrátí. Spam se otaguje a Viry na něm uváznou. Ma to třeba i webksicht, abys mohl kontrolovat maily v karanténě
Pak jde jen o to, nastavit tvůj pošťák, aby maily z něj nepadaly zákazníků do spamu, což se bohužel běžně stává a chce si s tím pohrát. Neni to raketová věda, ale může to být opruz. Opruz 1. - lidi chtějí webovou poštu, je to další sraní. Opruz 2. - lidi chtějí webovou poštu v mobilu a přístupnou z netu. Opruz 3. - obnov mi ten smazaný e-mail. Opruz 4. - nedělal jsem to, protože ten mail u nich skončil ve spam....
Od seznamu je služba mail na vlastni doméně a to je prostě pohodlné.
EDIT: Takže pravdu - podle mě - má Filip i RDa. Jen každý to má asi z jiného úhlu pohledu.
-
Nemáte povinnost komentovat vše, co nechápete.
Jj, to vám uniká už od začátku.
Pořád tu melete něco o rozesílání spamu. Tak mi řekněte, nastavím si svůj email pomocí iRedMail, budu ho používat třeba jen já a moje žena. Ven půjde jen SMTP port, IMAP a webmail. Jak tenhle setup může ohrozit konzistenci emailových služeb celého světa? Open relay z toho není by default, jen stěží nám utečou přihlašovací údaje, přímý útok na webmail je spíš ze světa SciFi, zvlášť, když to je aktualizovaná instance a útok přes samotné zprávy je ještě vzácnější. O všech tu prohlašujete, že tomu nerozumí, tak mi prosím nadhoďte pár příkladů, jak takovýto emailový server může začít rozesílat spam a ohrožovat tím své okolí? Ta šance u takhle malých instancí je úplně mizivá. I na serveru s tisícovkou uživatelů jsme takovéto incidenty řešili jen párkrát do roka.
-
Pořád tu melete něco o rozesílání spamu. Tak mi řekněte, nastavím si svůj email pomocí iRedMail, budu ho používat třeba jen já a moje žena. Ven půjde jen SMTP port, IMAP a webmail. Jak tenhle setup může ohrozit konzistenci emailových služeb celého světa? Open relay z toho není by default, jen stěží nám utečou přihlašovací údaje, přímý útok na webmail je spíš ze světa SciFi, zvlášť, když to je aktualizovaná instance a útok přes samotné zprávy je ještě vzácnější. O všech tu prohlašujete, že tomu nerozumí, tak mi prosím nadhoďte pár příkladů, jak takovýto emailový server může začít rozesílat spam a ohrožovat tím své okolí? Ta šance u takhle malých instancí je úplně mizivá. I na serveru s tisícovkou uživatelů jsme takovéto incidenty řešili jen párkrát do roka.
Největší problém je to, že máte utkvělou představu, že server musí být open relay, aby přes něj někdo rozesílal spam. Na tom serveru můžete mít jinou děravou webovou aplikaci (nebo jinou aplikaci), můžete mít špatně nakonfigurované posílání nedoručenek, díru ve webmailu bych rozhodně nepovažoval za sci-fi. Vy nebo vaše žena můžete mít napadený počítač. No a že to není open relay by default, to neznamená, že nebude někdo vylepšovat konfiguraci a server neotevře, třeba jen trochu. Zejména když se na fóru dočte, že to přece nic není a nemůže se nic stát.
-
Ano, to jsou časté chyby, kdy při nějaké pozdější konfiguraci dojde k vytvoření bezpečnostního problému.
Na druhou stranu, velmi rychle se objeví na blacklistech, což ho přiměje zkontrolovat nastavení.
Filipe, zjevně má času jako nakakáno, tak proč ho od toho odrazovat, ať si to zkusí ne?
Já bych mu popřál hodně úspěchů, třeba z něj bude špičkový e-mailový provider, takové lidi potřebujeme.
-
Největší problém je to, že máte utkvělou představu, že server musí být open relay, aby přes něj někdo rozesílal spam. Na tom serveru můžete mít jinou děravou webovou aplikaci (nebo jinou aplikaci), můžete mít špatně nakonfigurované posílání nedoručenek, díru ve webmailu bych rozhodně nepovažoval za sci-fi. Vy nebo vaše žena můžete mít napadený počítač. No a že to není open relay by default, to neznamená, že nebude někdo vylepšovat konfiguraci a server neotevře, třeba jen trochu. Zejména když se na fóru dočte, že to přece nic není a nemůže se nic stát.
Vsechny vyjmenovane vektory utoku jsou zcela ortogonalni k existenci instance MTA instalovane a spravovane tazatelem a muzou nastat zcela se stejnou pravdepodobnosti ve spojitosti s vnejsi instalaci a spravovanim od kohokoliv jineho.
Nebylo by jednodussi pane Jirsaku, doporucovat vsem uzivatelum roota zcela generickou a vsespasnou radu, aby pocitac vubec nepouzivali, nezapojovali do site, ani do te elektricke, vubec nezapinali, hlavne ani nevlastnili a nedejboze aby se na ne dovolili vubec podivati v obchodech a behem rodinnych navstev?
Protoze hrozba svetoveho kolapsu je 2 minuty pred dvanactou!!!
-
Takže, směle do toho.
Doporučuji tento setup - Nějaký malý VLASTNÍ virtualizační server.
1. VPS: Doporučuji automaticky aktualizovaný systém s řízeným firewallem.
Je to trochu opruz, mít to oddělené, ale nevadí.
Úkol tohoto VPS je převzít data a předat na samotný živý systém.
Požadavky: Cca 2 sdílená jádra a 256mb paměti, systém samozřejmě bez GUI, zakázat všechny nepotřebné porty.
Tento VPS může být nahrazen firewallem v modemu, někde jinde. Ale SKUTEČNĚ NIKDY, nespojujte funkci mailového serveru a firewallu.
2. VPS: Tady budou bydlet data a samotný MTA, takový klasický je Postfix, proč ne...
3. VPS: Použít Security for Mail Server
https://www.kaspersky.com/small-to-medium-business-security/mail-server (https://www.kaspersky.com/small-to-medium-business-security/mail-server)
Cena za užíváka je asi 29 dolarů ročně, ale každý ten jeden dolar stojí za to, systém se sám aktualizuje a je schopný zlikvidovat většinu bordelu.
Data putují z VPS 1 přesměrováním do VPS 2, to je pošle na VPS 3 a vrací se na VPS 2.
Každý ten stroj se dá zálohovat a obnovovat samostatně, VPS 3 se dá odstavit a VPS 1 se dá snadno reinstalovat.
Samotné e-maily jsou uložené na VPS 2.
Konfiguračních možností je víc, je na každém, jaký komunikační řetězec preferuje.
Tohle samozřejmě není jediný setup, ale drbání se spamassasinem...řešení AV, zasekávání celého řetězce.
Takhle to je out of the box, směrem k vám by se měly ztratit jen viry a SPAM.
Abyste nekončil v koši u ostatních lidí, je velmi rozumné používat Outlook.
Pochopte:
Thunderbird -> Thunderbird je OK.
Thunderbird -> Seznam/Google je OK.
Outlook -> Thunderbird je OK.
Thunderbird -> Outlook končí často ve spamu!
Propojení se serverem třeba IMAP.
Na web mail se vykašlete, stejně tak na mail v mobilu.
Jsou za tím s*a*ky, zbytečnosti a bezpečnostní problémy.
Veřte mi, NECHCETE OTVÍRAT IMAP do internetu.
Rozhodně ne s trapně jednoduchým firewallem.
IMAP můžete otevřít do internetu...(v ostrém rozporu s mým předchozím tvrzením)... ale potřebujete například vymezit určité rozsahy IP adres. Třeba pouze pro základní rozsahy používané O2/Tmobile/Vodafonem nebo od koho máte server.
Lepší firewally dokáží rozpoznat pouze adresy v ČR, je to maglajs, ale skutečně stačí ty hlavní ČR sítě, aby to fungovalo dostatečně dobře. A co s dovolenou? PORT KNOCKING! Pokud pošlete na port 12345 paket dlouhý přesně 666B, což lze realizovat prostým příkazem PING, zdrojová adresa se zadá do povolených na firewallu.
Přiznám se, že jsem na sobě zkoušel skutečně obří anální kolík a bylo to podobně zvrhle znepokojivé jako provozovat vlastní poštovní server. Člověk tak nějak podvědomě chápe, že to je dost divné a nechutné, ale zároveň zvrhle uspokojivé. Takže vám držím palce! A pokud by vás ten poštovní server omrzel, zkuste na sobě ten obří anální kolík, budete mít podobné pocity jako při provozu vlastního mailového řešení.
https://aukro.cz/obri-dildo-dinoo-hung-analni-kolik-rimba-s-liscim-ohonem-a-vibratorem-6969853858 (https://aukro.cz/obri-dildo-dinoo-hung-analni-kolik-rimba-s-liscim-ohonem-a-vibratorem-6969853858)
-
Na tom serveru můžete mít jinou děravou webovou aplikaci (nebo jinou aplikaci), můžete mít špatně nakonfigurované posílání nedoručenek, díru ve webmailu bych rozhodně nepovažoval za sci-fi. Vy nebo vaše žena můžete mít napadený počítač. No a že to není open relay by default, to neznamená, že nebude někdo vylepšovat konfiguraci a server neotevře, třeba jen trochu. Zejména když se na fóru dočte, že to přece nic není a nemůže se nic stát.
Tak nějak jsem si to myslel, že to je buď problém, který se může objevit kdekoli a je na providerovi nezávislý a nebo jde o vyloženě okrajové záležitosti, ke kterým při nějakém rozumném setupu nedojde. Ono obecně jste si půlku reakce mohl odpustit, protože dostat se do webmailu neznamená dostat se mimo prostor webového serveru, natož měnit nějaká serverová nastavení. Pak ta zmínka o vylepšení konfigurace je jen takové plácnutí do vody, protože fakt nevidím, jak by k ní ve vámi vyjmenovaných případech mohlo dojít.
Sice se tu snažíte všem vysvětlit, jak nezvládnou provozovat poštovní server, ale sám nedokážete napsat konkrétní scénář, který by ukázal proč. A nemusíte se o to snažit, protože cokoli, co si vycucáte z prstu, už je něco, co musíte odargumentovat a to vám teda nejde.
-
Vsechny vyjmenovane vektory utoku jsou zcela ortogonalni k existenci instance MTA instalovane a spravovane tazatelem a muzou nastat zcela se stejnou pravdepodobnosti ve spojitosti s vnejsi instalaci a spravovanim od kohokoliv jineho.
Aha, to jste mne špatně pochopil. Já jsem nikdy netvrdil, že problém je v uživateli WIFT. Problém je ve znalostech a zkušenostech, které má správce serveru, a také v času, který správě serveru věnuje. Kdyby měl WIFT znalosti a zkušenosti provozovatelů komerčních řešení, tak se tady takhle neptá. A čas chce také asi trávit i něčím jiným, než správou poštovního serveru.
Nebylo by jednodussi pane Jirsaku, doporucovat vsem uzivatelum roota zcela generickou a vsespasnou radu, aby pocitac vubec nepouzivali, nezapojovali do site, ani do te elektricke, vubec nezapinali, hlavne ani nevlastnili a nedejboze aby se na ne dovolili vubec podivati v obchodech a behem rodinnych navstev?
Já jsem ale nepsal, že WIFT domácí server nemá provozovat. Já jsem jenom popsal, co to znamená provozovat poštovní server – a je na WIFTovi, aby zvážil, jestli to chce dělat nebo ne.
-
Tak nějak jsem si to myslel, že to je buď problém, který se může objevit kdekoli a je na providerovi nezávislý a nebo jde o vyloženě okrajové záležitosti, ke kterým při nějakém rozumném setupu nedojde.
Aha, takže problémy, které podle zdjších komentářů neexistují, se najednou mohou objevit kdekoli. Zajímavé. Ano, uvedené problémy se mohou objevit kdekoli – ale u provozovatele, který spravuje velké množství schránek, už se ty problémy projevily a on má vybudované mechanismy, jak je co nejdřív rozpoznat a zablokovat. Stejně tak je pravda, že je potřeba mít poštovní server a jeho prostředí rozumně nastavené. Ale to já tady tvrdím celou dobu, zatímco oponenti tvrdí, že poštovní server prakticky nejde nastavit špatně, že stačí postupovat podle návodu a tím pádem server nebude open relay, takže je všechno v pořádku.
Ono obecně jste si půlku reakce mohl odpustit, protože dostat se do webmailu neznamená dostat se mimo prostor webového serveru, natož měnit nějaká serverová nastavení.
Jenom je škoda, že jsem o webmailu ve skutečnosti napsal jenom to, že i v něm může být chyba.
Pak ta zmínka o vylepšení konfigurace je jen takové plácnutí do vody, protože fakt nevidím, jak by k ní ve vámi vyjmenovaných případech mohlo dojít.
No to je právě ten problém, že tu o konfiguraci poštovního serveru píšou lidé, kteří nevědí, co by mohlo být špatně. Tak třeba bude chtít tazatel posílat e-maily z nějakých IoT zařízení, která neumí autentizaci nebo je její konfigurace pracná Tak povolí odesílat e-maily z lokální sítě bez autentizace. Nebo to povolí pro lokální počítač, protože bude chtít odesílat e-maily skriptem nebo z lokální aplikace. A už se ten server pomalu otevírá…
Sice se tu snažíte všem vysvětlit, jak nezvládnou provozovat poštovní server, ale sám nedokážete napsat konkrétní scénář, který by ukázal proč. A nemusíte se o to snažit, protože cokoli, co si vycucáte z prstu, už je něco, co musíte odargumentovat a to vám teda nejde.
Problém je v tom, že nejde o pár konkrétních scénářů. Jde o to chápat celek a umět posoudit, jak nebezpečné jsou které oblasti toho celku. Jinak konkrétní scénáře jsem uváděl a reakce na to jsou „no a proč by zrovna tenhle konkrétní scénář měl nastat“.
-
tak mi prosím nadhoďte pár příkladů, jak takovýto emailový server může začít rozesílat spam a ohrožovat tím své okolí?
Ve SPAM bussinessu se toci neuveritelne penize coz zpusobuje, ze dobre zaplaceni SPAMeri maji na takove uvahy nasobne vic casu a dalsich prostredku nez jim muzete venovat vy. Sance ze na zpusob jak vas server zneuzit prijde SPAMer, je nepomerne vyssi nez ze napadne vas a vy ho predem eliminujete (pokud se nejedna u nejakou notoricky znamou techniku).
-
(https://i.ibb.co/0j4gThV/mail.png)
-
No to je právě ten problém, že tu o konfiguraci poštovního serveru píšou lidé, kteří nevědí, co by mohlo být špatně. Tak třeba bude chtít tazatel posílat e-maily z nějakých IoT zařízení, která neumí autentizaci nebo je její konfigurace pracná Tak povolí odesílat e-maily z lokální sítě bez autentizace. Nebo to povolí pro lokální počítač, protože bude chtít odesílat e-maily skriptem nebo z lokální aplikace. A už se ten server pomalu otevírá…
S každým vašim komentářem mám pocit, že vyloženě teoretizujete a vůbec netušíte, jak vypadá reálný svět. Viděl jste IoT zařízení, které by chtělo posílat emaily a nepodporovalo ověření? Já totiž ne a to jich tu mám hromadu.
Problém je v tom, že nejde o pár konkrétních scénářů. Jde o to chápat celek a umět posoudit, jak nebezpečné jsou které oblasti toho celku. Jinak konkrétní scénáře jsem uváděl a reakce na to jsou „no a proč by zrovna tenhle konkrétní scénář měl nastat“.
Přesně takové reakce si to ale zaslouží. Když napíšete, proč by se něco mohlo stát, tak vám někdo napíše proč se to pravděpodobně nestane. Jen tu vaříte vodu.
Ono to je jednoduché. Pokud má poštovní server problém, tak ho ostatní odmítnou a tak to řešíte. Problém s ním budou mít jen když bude rozesílat spam. Pokud eliminujete možnosti, aby rozesílal spam, což je u serveru pro pár lidí triviální, tak na nic z těch vašich teorií nedojde.
-
Ve SPAM bussinessu se toci neuveritelne penize coz zpusobuje, ze dobre zaplaceni SPAMeri maji na takove uvahy nasobne vic casu a dalsich prostredku nez jim muzete venovat vy. Sance ze na zpusob jak vas server zneuzit prijde SPAMer, je nepomerne vyssi nez ze napadne vas a vy ho predem eliminujete (pokud se nejedna u nejakou notoricky znamou techniku).
Spammerovi je váš SMTP server u řitě. Projde pár milionů SMTP serverů a pokusí se na ně aplikovat nějakou svou sadu exploitů. Pak mrkne jak se daří jeho botnetu a stáhne si z něj přihlašovací údaje ke schránkám jeho obětí a nakrmí s nimi svou rozesílací farmu. Pak možná ještě vyzkouší získané kreditní karty, aby s nimi nakoupil VPSka různých providerů a rozesílal chvíli z nich. Pokoušet se lámat nějaký malý server uprostřed ČR je ztráta času.
-
S každým vašim komentářem mám pocit, že vyloženě teoretizujete a vůbec netušíte, jak vypadá reálný svět. Viděl jste IoT zařízení, které by chtělo posílat emaily a nepodporovalo ověření? Já totiž ne a to jich tu mám hromadu.
Zkuste si ještě jednou a pozorněji přečíst, co jsem napsal.
Přesně takové reakce si to ale zaslouží. Když napíšete, proč by se něco mohlo stát, tak vám někdo napíše proč se to pravděpodobně nestane. Jen tu vaříte vodu.
Pravděpodobně se to nestane proto, že se o server stará někdo, kdo rozumí problematice a správě serveru věnuje čas. A o tom tady celou dobu píšu.
Ono to je jednoduché. Pokud má poštovní server problém, tak ho ostatní odmítnou a tak to řešíte. Problém s ním budou mít jen když bude rozesílat spam.
Za prvé, jak je vidět i z příkladů tady v diskusi, to, že někdo odmítá přijímat e-maily z nějaké ho serveru, ještě neznamená, že je chyba v konfiguraci toho poštovního serveru. že to způsobuje problém správci toho správně nakonfigurovaného odesílajícího serveru a ne správci toho špatně nakonfigurovaného příchozího serveru, to je bohužel pravda. Za druhé, pokud už server rozesílá spam a ostatní ho kvůli tomu začnou odmítat, je to pozdě.
Pokud eliminujete možnosti, aby rozesílal spam, což je u serveru pro pár lidí triviální, tak na nic z těch vašich teorií nedojde.
Ano, pokud někdo problematice rozumí a dokáže tak posoudit, že jeho požadavky lze řešit triviálně, pak je to vskutku triviální. jenže pokud se někdo v problematice neorientuje dostatečně, jako třeba někteří zdejší diskutující, nemusí si uvědomit všechny důsledky. Někdo k tomu může přistupovat způsobem „no a co, jeden spamující server navíc, to je jen kapka v moři“. Někdo se chová zodpovědně a nechce, aby jeho server spamoval. Mně připadá fér člověku, který se na to ptá, říct, jak to doopravdy je. A ne tvrdit „je to triviální“, aby z vás po několika stránkách diskuse vypadlo upřesnění „je to triviální za určitých podmínek“, přičemž ty podmínky nedokážete nadefinovat.
„Pro pár lidí“ není dostatečná omezující podmínka – pokud mezi těmi pár lidmi budete mít jednoho člověka, který má notoricky počítač plný malware; dalšího, který používá všude stejné slabé heslo; dalšího, který má za to, že všichni ostatní rozesílají spam, jenom on lákavé nabídky; a dalšího, který si jen na svůj webík nahodil jednoduchou appku, která určitě nemůže škodit – pak máte s provozem poštovího serveru dost problém. Ale očekávám, že vy zase budete tvrdit, že to určitě není WIFTův případ.
-
A nie je celý problém len v tom že mailserver postavený na Postfix/Dovecot je nevhodný ( hlavne časová námaha na konfiguraciu) ak niekto chce domaci email server pre jedneho použivatela ?
Neexistuje nejakí jednoduchší softvér (hoci aj plateny) na "domace použitie pre jedného použivatela ? " KISS princíp ?
Vyskúšal som volakedy davno (10rokov dozadu) rozbehnúť Postfix + Dovecot doma. Na antispam filter som už nemal silu.
-
A nie je celý problém len v tom že mailserver postavený na Postfix/Dovecot je nevhodný ( hlavne časová námaha na konfiguraciu) ak niekto chce domaci email server pre jedneho použivatela ?
Neexistuje nejakí jednoduchší softvér (hoci aj plateny) na "domace použitie pre jedného použivatela ? " KISS princíp ?
Vyskúšal som volakedy davno (10rokov dozadu) rozbehnúť Postfix + Dovecot doma. Na antispam filter som už nemal silu.
Konfigurace MTA+MDA není zdaleka vše, co je potřeba při provozu poštovního serveru řešit. To je právě ten mylný dojem, kteří tady někteří vytvářejí, že jde jenom o to správně opsat konfigurační soubory z nějakého návodu. Tak to ale není.
Nicméně máte pravdu v tom, že spousta „nákladů“ při správě poštovního serveru je fixních, tedy budete to muset řešit úplně stejně, jestli máte na serveru dvě schránky nebo dvě stě schránek.
-
Konfigurace MTA+MDA není zdaleka vše, co je potřeba při provozu poštovního serveru řešit.
Jeste je potreba X, Y a Z, ktere sice nezna ani Jirsak, ale bez toho budou ostatni postovni servery ten tvuj sikanovat a nedorazi ani jeden email, natoz aby se nekdo pokousel k tobe neco dorucit.
-
A nie je celý problém len v tom že mailserver postavený na Postfix/Dovecot je nevhodný ( hlavne časová námaha na konfiguraciu) ak niekto chce domaci email server pre jedneho použivatela ?
Neexistuje nejakí jednoduchší softvér (hoci aj plateny) na "domace použitie pre jedného použivatela ? " KISS princíp ?
Vyskúšal som volakedy davno (10rokov dozadu) rozbehnúť Postfix + Dovecot doma. Na antispam filter som už nemal silu.
10+ let mam ten postfix + dovecot + mysql/mariadb a jel jsem podle nejakeho virtual mail hosting setup guide (nejspis neco od Gentoo, ale ted tam maj nejaky navod s klikatkem.. coz ja nemam - staci me PMA na obcasnou zmenu useru/aliasu/opravneni). Zrejme jsem mel vetsi vydrz, znalosti, nebo potrebu - abych to dotahnul do funkcniho stavu.
Osobne nemam pocit, ze by emailova cast serveru vyzadovala pravidelnou peci jak se tady snazi nekdo tvrdit.
Co jsem resil vice nez jednou (cca 3x) za ty roky provozu byl rozbity clamav - kvuli tomu ze ten jejich distribucni system a freshclam jsou prilis frikulinske - pokud to pustite moc casto dostanete ban ke stahovani updatu, pokud to nepustite spravne casto, tak vyjedete z incremental update rozsahu. A pak se snazi ten updater resit stazenim plne verze, ale kvuli nejake chybe se to neprovede spravne, pokusi se to pak znova a skonci to banem :P Spoustecim faktorem tohoto rozbiti jsou paradoxne vypadky na strane poskytovatele updatu. Holt neni vsechno dostatecne robustni a sem tam natrefite na corner case.
Osobne mam pocit, ze soucasne harakiri kolem vynucovani HTTPS je narocnejsi na spravu, nez mail, minimalne proto, ze jsem vyuzil jeden z mene beznych rezimu Apache, ktery pak byl pozdeji odstranen, takze me ceka prekopani celeho konceptu hostovani. U mailu se mi tohle nikdy nestalo. Nebo pak neustale zmeny verzi SSL, ktere vas fungujici client-server system rozeserou, protoze po updatu se nenajde spolecny prunik verzi a protokolu.
Takze zlaty email - ten je to posledni co vyzaduje pravidelnou peci. Funguje? Tak na to nesahej.
-
On to pan Jirsák, jako vždy, dost přehání. O e-mail server se prostě není potřeba starat, já to nedělám, pokud se něco po extra době nerozbije, jako ten Clamav. To se stává minimálně a přijde mi e-mail, že se nepodařil update, no. To znají asi všichni. Spam mi nechodí žádný, naschvál jsem si prošel 14 dní zpět a nemám jediný. Na tuto konfiguraci jsem prostě sáhl dvakrát potom, co jsem to celé rozjel, abych doladil Assassina a smtp.
Na druhou stranu má pravdu, že by se do toho neměl pouštět každý Lojza, co o tom neví nic a chce si to jen zkusit, protože ze serverů takových Lojzů se právě skládají ty rozesílací farmy spamu. Ale to je úplně se vším, dnes je moderní, díky nízkým cenám, že má každý někde svůj server a ti lidé na to prostě nemají. Nastavit to podle návodu, aniž bych pochopil co to dělá vede přesně k cílovému stavu, na který pan Jirsák, upozorňuje.
A nie je celý problém len v tom že mailserver postavený na Postfix/Dovecot je nevhodný ( hlavne časová námaha na konfiguraciu) ak niekto chce domaci email server pre jedneho použivatela ?
Neexistuje nejakí jednoduchší softvér (hoci aj plateny) na "domace použitie pre jedného použivatela ? " KISS princíp ?
Vyskúšal som volakedy davno (10rokov dozadu) rozbehnúť Postfix + Dovecot doma. Na antispam filter som už nemal silu.
10+ let mam ten postfix + dovecot + mysql/mariadb a jel jsem podle nejakeho virtual mail hosting setup guide (nejspis neco od Gentoo, ale ted tam maj nejaky navod s klikatkem.. coz ja nemam - staci me PMA na obcasnou zmenu useru/aliasu/opravneni). Zrejme jsem mel vetsi vydrz, znalosti, nebo potrebu - abych to dotahnul do funkcniho stavu.
Osobne nemam pocit, ze by emailova cast serveru vyzadovala pravidelnou peci jak se tady snazi nekdo tvrdit.
Co jsem resil vice nez jednou (cca 3x) za ty roky provozu byl rozbity clamav - kvuli tomu ze ten jejich distribucni system a freshclam jsou prilis frikulinske - pokud to pustite moc casto dostanete ban ke stahovani updatu, pokud to nepustite spravne casto, tak vyjedete z incremental update rozsahu. A pak se snazi ten updater resit stazenim plne verze, ale kvuli nejake chybe se to neprovede spravne, pokusi se to pak znova a skonci to banem :P Spoustecim faktorem tohoto rozbiti jsou paradoxne vypadky na strane poskytovatele updatu. Holt neni vsechno dostatecne robustni a sem tam natrefite na corner case.
Osobne mam pocit, ze soucasne harakiri kolem vynucovani HTTPS je narocnejsi na spravu, nez mail, minimalne proto, ze jsem vyuzil jeden z mene beznych rezimu Apache, ktery pak byl pozdeji odstranen, takze me ceka prekopani celeho konceptu hostovani. U mailu se mi tohle nikdy nestalo. Nebo pak neustale zmeny verzi SSL, ktere vas fungujici client-server system rozeserou, protoze po updatu se nenajde spolecny prunik verzi a protokolu.
Takze zlaty email - ten je to posledni co vyzaduje pravidelnou peci. Funguje? Tak na to nesahej.
-
Konfigurace MTA+MDA není zdaleka vše, co je potřeba při provozu poštovního serveru řešit.
Jeste je potreba X, Y a Z, ktere sice nezna ani Jirsak, ale bez toho budou ostatni postovni servery ten tvuj sikanovat a nedorazi ani jeden email, natoz aby se nekdo pokousel k tobe neco dorucit.
To, že neumíte číst, je váš problém, ne můj.
-
Osobne mam pocit, ze soucasne harakiri kolem vynucovani HTTPS je narocnejsi na spravu, nez mail, minimalne proto, ze jsem vyuzil jeden z mene beznych rezimu Apache, ktery pak byl pozdeji odstranen, takze me ceka prekopani celeho konceptu hostovani. U mailu se mi tohle nikdy nestalo. Nebo pak neustale zmeny verzi SSL, ktere vas fungujici client-server system rozeserou, protoze po updatu se nenajde spolecny prunik verzi a protokolu.
TLS se postupně zavádí i pro SMTP. Např. poštovní servery, které patří do kritické infrastruktury státu, budou mít v příštím roce povinnost použít TLS tam, kde je podporováno, a mezi sebou budou muset používat TLS bez výjimky. Pokud chcete argumentovat tím, že nespravujete žádný takový server, popřemýšlejte o tom, jestli je jednodušší nakonfigurovat server tak, aby vyžadoval funkční TLS všude, kde server TLS podporuje, nebo aby ho vyžadoval jen u určitých domén (jejichž seznam se neustále mění).
-
Na druhou stranu má pravdu, že by se do toho neměl pouštět každý Lojza, co o tom neví nic a chce si to jen zkusit, protože ze serverů takových Lojzů se právě skládají ty rozesílací farmy spamu.
Nejaky dokaz o tomto?
Taky server za chvilu skonci na nejakom black liste a Lojza to bud da do poriadku alebo sa nato vykasle. Preto nieje ziaden problem ak sa do toho ten Lojza pusti.
jenže pokud se někdo v problematice neorientuje dostatečně, jako třeba někteří zdejší diskutující, nemusí si uvědomit všechny důsledky.
To iste tu.
Ake dosledky? Poprosim aspon jeden konkretny a fakt vazny dosledok.
To, ze sa po chvili dostane na blacklist a nebude vediet odoslat emaily?
Tak bud si to da do poriadku alebo to vzda. Nevidim v tom ziaden problem a nieje dovod ho do toho takto odradzat. Upozornit ho na to ale neodradzat ho takto.
Ja nepovazujem to, ze v najhorsom pripade posle nejaky spam za vazny dosledok. Drvivu vecsinu spamu, co dostavam nieje od spamerov typu "vyhral som v loterii" alebo "volam sa Anna, chces vidiet moje steklive fotky" ale kopec informacnych mailov, notifikacii a ponuk od firiem a sluzieb, pre jednu stranu uplne regulerne emaily ale pre mna Spam.
Ak by isiel riesit nieco ine s realnym vaznejsim dopadom, tak ho varujem a vystriham od toho. Ale tu nema, co pokazit, zle smerovat/unasat komunikaciu alebo nieco podobne vazne.
Beries to prils vazne.
-
Ake dosledky? Poprosim aspon jeden konkretny a fakt vazny dosledok.
Přečtěte si diskusi. Nevidím důvod se opakovat.
Upozornit ho na to ale neodradzat ho takto.
Ná nikoho neodrazuju. Jenom jsem pospal, jak to je.
Ja nepovazujem to, ze v najhorsom pripade posle nejaky spam za vazny dosledok.
Ano, to je problém, že dnes spravují zařízení připojená do internetu lidé, kterým nevadí, když škodí ostatním.
-
Jako ta slovanská povaha se tady nezapře ;D
Začíná to vypadat takhle: https://youtu.be/aGweP9mCMKo?t=593 (https://youtu.be/aGweP9mCMKo?t=593)
-
Zde souhlasím zcela určitě, morálka lidí se snižuje. Že někdo považuje za zcela v pořádku to, že přes něho prošel spam, je zarážející, dřív to tak lidé neměli.
Ake dosledky? Poprosim aspon jeden konkretny a fakt vazny dosledok.
Přečtěte si diskusi. Nevidím důvod se opakovat.
Upozornit ho na to ale neodradzat ho takto.
Ná nikoho neodrazuju. Jenom jsem pospal, jak to je.
Ja nepovazujem to, ze v najhorsom pripade posle nejaky spam za vazny dosledok.
Ano, to je problém, že dnes spravují zařízení připojená do internetu lidé, kterým nevadí, když škodí ostatním.
-
To, že neumíte číst, je váš problém, ne můj.
Takhle odsud to skoro vypada, ze vam dosly argumenty.
-
To, že neumíte číst, je váš problém, ne můj.
Takhle odsud to skoro vypada, ze vam dosly argumenty.
Samozřejmě. Argumenty jsou totiž napsané, to byste musel umět číst, abyste se je dozvěděl.
-
Samozřejmě. Argumenty jsou totiž napsané, to byste musel umět číst, abyste se je dozvěděl.
Ze sem chrlite hromadu textu jeste neznamena, ze jde o validni argumenty.
-
Ze sem chrlite hromadu textu jeste neznamena, ze jde o validni argumenty.
Vida, takže argumenty vidíte. Teď ještě abyste pochopil, že když se vám nějaký argument nelíbí, neznamená to, že neexistuje.
-
Správa SMTP serveru a klienta je otrava a ztráta času pro toho, koho to nebaví. Za tu dobu, co to tady rozebíráme, by průměrný programátor naprogramoval kostru SMTP serveru.
Takže z mých zkušeností bych doporučoval udělat ještě jeden krok dál a naprogramovat si to sám. Udržovat konfigurační soubory a aktualizace je hrozná nuda, ale hrábnout do kódu a udělat si to přesně tak, jak chci, to teprve přináší pocity uspokojení 8) Možná ještě více pro toho, kdo není profesionální programátor.
Výhoda SMTP je, že kód nemusí být nějak zvlášť optimalizovaný a rychlý. U emailů si vždycky můžeš dát voraz.
Dále: základ SMTP je děsivě primitivní: HELO - OK - MAIL FROM - OK - RCPT TO - OK - DATA - OK - QUIT.
Je dobré oddělit démona pro příjem a odesílání pošty, a každého si pohlídat zvlášť. Např. SMTP klient samozřejmě přijímá požadavky jen přímo ode mne, ošetřené např. přes firewall a pak přímo v kódu. Je dobré všechny kontroly duplikovat a pak ještě sledovat logy.
Když uslyšíš o nějaké zranitelnosti v jiných klientech, hned přemýšlíš - mohlo by se to stát i mně? Někdy zjistíš, že jo, a musíš to celé přepsat. Opruz! Anebo zábava :D To už má každý jinak.
Tento přístup má ale jednu velkou nevýhodu: jakmile se ti to povede, máš chuť si pak programovat sám všechno: web server, šifrování, imap,... Protože žádná aplikace nikdy nebude přesně taková, jakou chceš a potřebuješ, a musíš si ji pak napsat sám. ;)
-
Spravujeme v týmu několik desítek mailových serverů pro klienty. Starat se o to nemusím, pokud posílám a přijímám minimum emailů, jakmile ale chci psát kdekomu, začíná to správný kolečko.
Dovecot má CVE skoro každý měsíc, zejména poslední dobou, jsou to různé chyby parsování, zaměnitelné UTF-8, chyby oprávněné. Roboti, kteří to zkouší jsou děsně rychlí, na některých prostředích trvalo hodiny než došlo k využití zranitelnosti. Pak to jsou hodiny práce udělat čistku postiženého prostředí.
Např. deset let staré nastavení nejspíš neobsahuje DKIM, to se objevilo později, je to jeden z důležitých bezpečnostních mechanismů při posílání emailů.
Hodně bude záležet s kým si píši emaily. Nejvíce času tráví kluci s řešením nedoručování emailů (na obou stranách). Běžně končí na různých gray listech (zdravím virusfree.cz) a vzniká zpoždění. Občas druhá strana má nevalidně nastavený email (řada malých společností to má v dezolátním stavu), takže je nutné jim napsat, zajistit nějaký workaround. MS Office 365 má hodně přísná pravidla a vyplňujeme jeho hlášení často. Velký problém je blokování celých subnetů, takže stačí neukázněný soused a kolečko odstranění ze spam listů trvá (ne každý má na vlastní AS nebo celý subnet). Byl bych opatrný v tvrzení, že emailový server nepotřebuje pozornost, zejména, když nevím dopředu s kým budu komunikovat a jak často.
Mít ho na příjem pár newsletterů, pár notifikací a poslání několika emailů, proč ne, ale ta nejistota při poslání emailu, jestli se odeslal mě občas ničí. Běžně je odchozí log plný hromady chyb při posílání, pořád hlídat, jestli můj email odešel je prostě nepříjemné a pokud to někdo nesleduje, rád bych ty logy ze zajímavosti viděl, co vlastně obsahují.
Teď třeba u některých řešíme úpravu, kdy se nám díky relay objevuje v hlavičkách Received from: localhost, což se některým spam filtrům nelíbí a chtějí tam mít IP adresu serveru. Dříve to nebylo potřeba, nově je.
Spam, velikosti schránek, push notifikace a připojení z různých klientů ani nezmiňuji. Další velký problém vlastního řešení je kontrola a upozornění na podvodné emaily, některé umí být hodně zdařilé, dnešní emailoví klienti strašně rádi cokoliv rovnou otevírají a načítají, pak stačí jednoduchý cílený útok a mám díru do vlastního systému, zpravidla o tom úspěšném ani nevím...
-
Myslím si, že to je přesně to, za co tu naše partaj (vedená vůdcem Filipem Jirsákem) naráží.
Tak to prostě je.
-
Např. deset let staré nastavení nejspíš neobsahuje DKIM, to se objevilo později, je to jeden z důležitých bezpečnostních mechanismů při posílání emailů.
DKIM neresi spam, ale podvrzene/modifikovane maily. Prevazna vetsina doruceneho spamu u me ma spravny DKIM... spammeri si udelaj domenu, zaplati VPS a vesele posilaji svoje h**na.
Hodně bude záležet s kým si píši emaily. Nejvíce času tráví kluci s řešením nedoručování emailů (na obou stranách). Běžně končí na různých gray listech (zdravím virusfree.cz) a vzniká zpoždění. Občas druhá strana má nevalidně nastavený email (řada malých společností to má v dezolátním stavu), takže je nutné jim napsat, zajistit nějaký workaround. MS Office 365 má hodně přísná pravidla a vyplňujeme jeho hlášení často. Velký problém je blokování celých subnetů, takže stačí neukázněný soused a kolečko odstranění ze spam listů trvá (ne každý má na vlastní AS nebo celý subnet). Byl bych opatrný v tvrzení, že emailový server nepotřebuje pozornost, zejména, když nevím dopředu s kým budu komunikovat a jak často.
Takze vy mate nejvetsi problem s profesionalama od takoveho majkrosoftu? A jste jim vyplnujete nejake lejstra?? wtf??? To zcela vyvraci predpoklad Filipa, ze potizisti jsme my - mali samodomo spravci. Vy mate taky problemy se sousednima IP? Bozemuj, co jste to za providera?? To bych cekal jedine u na kolene udelaneho MTA. Zpozdeni emailu je ale normalni - nikde neni dano, ze email ma byt nahrazka IM sluzby. A ze jini profici zpozduji vsechno (a ja jenom ty, ktere se me nelibi..) zcela vyvraci predpoklady zdejsiho panacka jirsacka.. ktery tak strasne rad kyda sva pseudomoudra proti me.
Takze si to zhrnme - prvni profesional co se tady vyjadril - ma omnoho vetsi problemy jako bezny franta admin (aka RDa), se svyma mejlama :) tak to je docela k smichu tedy :)) Nemyslite? Myslim ze neco delate hooodne spatne, pokud je nase skore takove, jake je. Nechtete prozradit, co jste to za sluzbu? At se vam vsichni obloukem vyhnou.
-
Není moc zřejmé, jestli píšete se sarkasmem nebo ne. Ale Tomáš to popsal dobře, tak to je. Minimálně nějakou dobu po nastavení serveru musíte logy sledovat a být si jistý, že e-maily odchází. Dojít může k mnoha problémům a že má nějaký velký poskytovatel nějaké své řešení antispamu, to je nakonec váš problém, protože vašim uživatelům e-maily neodejdou (a kdyby použili jiného poskytovatele, tak by to fungovalo) - takže to musí fungovat i u vás. Pak jdete a ověřujete doménu, přidáváte TXT do DNS a děláte všechno možné...
-
Takze si to zhrnme - prvni profesional co se tady vyjadril - ma omnoho vetsi problemy jako bezny franta admin (aka RDa), se svyma mejlama :) tak to je docela k smichu tedy :)) Nemyslite? Myslim ze neco delate hooodne spatne, pokud je nase skore takove, jake je. Nechtete prozradit, co jste to za sluzbu? At se vam vsichni obloukem vyhnou.
Jasně, když už jste do toho šlápl, tak se v tom ještě pořádně vyválejte…
Mýlíte se ovšem v tom, že je rozdíl, kdo jaké problémy má. Ne, rozdíl je v tom, kdo o problémech ví.
Nicméně i to je zpráva pro WIFTa. Pokud nejste takový mistr světa jako RDa, který provozuje domácí mail server a poučuje o správě poštovního serveru LinkedIn, eBay nebo správce desítek poštovních serverů, pak s provozem poštovního serveru můžete mít docela voser.
-
Pokud nejste takový mistr světa
Zase nemusíš být hnusnej, oba popisujete dvě strany stejné mince.
-
Pokud nejste takový mistr světa
Zase nemusíš být hnusnej, oba popisujete dvě strany stejné mince.
Já hnusnej nejsem. Hnusnej je RDa, když zesměšňuje _Tomáše_ a jeho kolegy. Jenom proto, že _Tomáš_ pravdivě popsal něco, o čem RDa nic neví.
-
Celé jsem to nečetl, ale osobně se mi osvědčil jeden opensource produkt. A tím je ISPConfig. Webhosting a Emaily a vše co je k tomu třeba na jednom serveru a je vystaráno. Chce to samozřejmě taky vlastní zkušenosti s konfigurací, ale ISPConfig značně usnadní pozdější správu subdomén, aliasů apod. Jsem s tím již roky spokojený.
-
Není moc zřejmé, jestli píšete se sarkasmem nebo ne. Ale Tomáš to popsal dobře, tak to je. Minimálně nějakou dobu po nastavení serveru musíte logy sledovat a být si jistý, že e-maily odchází.
Logy sleduji treba porad (tedy, sleduje je za me stroj). Co by to byl za admina, kdyby resil dohled nad svoji sluzbou jen pri instalaci a behem produkcniho provozu se na to vykaslal.
Casto jsou ale situace, kdy v logu mam ze protistrana vrati 200 OK, ale pak to krutoprisnej filtr zamete do spamu - treba kvuli priloham (pdf, firmware binarky, a pod). Mam jednoho UK zakaznika, kteri outsourcuji mailove sluzby a nejsem jedinej, u koho si musi davat pozor. Bohuzel nedokazou prijit na to, proc se to deje, ale nastesti mame i jine kanaly, nez mail, kdyz se neco aktivne resi. (mx je pod smtp-engine.com)
-
Casto jsou ale situace, kdy v logu mam ze protistrana vrati 200 OK
Jestli e-maily zkoušíte doručovat ostatním serverům přes HTTP, leccos to vysvětluje…
(Určitě se zase dozvíme, že to byl jenom překlep, vždyť pětka je tak blízko nule. Ale když vy v téhle diskusi máte na tyhle drobnosti takovou smůlu…)
-
Casto jsou ale situace, kdy v logu mam ze protistrana vrati 200 OK
Jestli e-maily zkoušíte doručovat ostatním serverům přes HTTP, leccos to vysvětluje…
(Určitě se zase dozvíme, že to byl jenom překlep, vždyť pětka je tak blízko nule. Ale když vy v téhle diskusi máte na tyhle drobnosti takovou smůlu…)
Vynechal jsem tecky z 2.0.0 dsn .. proto beru 200 jako success kod k doruceni
status=sent (250 2.0.0 Mail 600467936 queued for delivery in session 7dac0000002b.)
viz:
2.0.0 – Email has been delivered to the Inbox.
Ale ne vzdy to plati ze to je v Inboxu (muze to byt prave ve spamfolderu), to se pak blbe ladi kdyz MTA lze :-)
-
Ne, tak to není. Já pracoval u nejmenované společnosti asi před deseti lety, neprovozovali jsme desítky e-mail serverů, spíš tisíce, takže zkušenost mám také. A ano, neustále jsme něco řešili, ale dokola to bylo to, že někomu uhodli heslo 1234, ten rozeslal spam a IP se dostala na blacklisty. Nevím, jestli se doba o tolik změnila, ale záplatovat CVE jsme do druhého dne nemuseli... Pokud udržuje člověk e-mail pro pár lidí a nemá tam masy troubů, co si neumí nastavit heslo, ten problém prostě není. Skóre mám 10/10 při odesílání pryč a při tomto skóre mi dojde naprosto všechno a všude. Pokud by něco takového někdo zahodil, neprošlo by mu nic a toho by si asi všimli.
Pokud máte nízké skóre při odesílání, protože vám něco chybí nebo podobně, je to prostě vaše chyba.
Myslím si, že to je přesně to, za co tu naše partaj (vedená vůdcem Filipem Jirsákem) naráží.
Tak to prostě je.
-
Skóre mám 10/10 při odesílání pryč a při tomto skóre mi dojde naprosto všechno a všude. Pokud by něco takového někdo zahodil, neprošlo by mu nic a toho by si asi všimli.
To je skóre doručení do inboxu? Jak ho víte? Nebude ono to spíš skóre e-mailů, které vám protistrana neodmítne?
Víte co je zajímavé? Jak všichni, kteří se chlubí 100% úspěšností při odesílání e-mailů nebo eliminaci spamu, ani nevědí, co vlastně znamená který ukazatel.
-
Já mám rád tohle.
https://www.mail-tester.com/
Z čeho jsi přesně nabral dojmu, že nevím, co znamená který ukazatel?
Skóre mám 10/10 při odesílání pryč a při tomto skóre mi dojde naprosto všechno a všude. Pokud by něco takového někdo zahodil, neprošlo by mu nic a toho by si asi všimli.
To je skóre doručení do inboxu? Jak ho víte? Nebude ono to spíš skóre e-mailů, které vám protistrana neodmítne?
Víte co je zajímavé? Jak všichni, kteří se chlubí 100% úspěšností při odesílání e-mailů nebo eliminaci spamu, ani nevědí, co vlastně znamená který ukazatel.
-
Z čeho jsi přesně nabral dojmu, že nevím, co znamená který ukazatel?
Protože znáte akorát počet zpráv, které vám server neodmítnul – nevíte, kolik z nich následně skončí ve spamu. Takže tvrdit, že máte 10/10 zpráv doručených, je poněkud předčasné.
-
Protože znáte akorát počet zpráv, které vám server neodmítnul – nevíte, kolik z nich následně skončí ve spamu. Takže tvrdit, že máte 10/10 zpráv doručených, je poněkud předčasné.
Pokud přijímající server zprávu od vás přebere, ale nedoručí, je to _chyba_ na jeho straně. Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte. Pokud jí hodí do spamu příjemce, je to jeho věc, třeba vás nemá rád. A i když se zpráva dostane až na obrazovku příjemce a ten si jí přečte, stejně vám nemusí odpovědět.
-
Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte.
NE!
Pokaždé, když se vám nepovede doručit e-mail prostistraně, je to především VÁŠ problém.
Protože legitimní e-maily ve spamu prostě nekončí!
Pokud máte firmu, tak vám dost záleží na tom, aby vaše emaily lidi nemuseli vyhrabávat ze spamu!
Pokud máte firmu, nechcete se partnerům omlouvat, že máte zamrdaný mail, který končí ve spamu.
Jak se jim jednou začnete omlouvat, máte peška. Jak jim voláte, mají pocit, že je uháníte.
Když nevíte, kde váš e-mail skončí, je to další starost.
Pokud je někdo kokot a takových starostí si nabere hodně, celkem logicky se z toho pooooootentočkuje.
Auto...jen takové co asi dojede...dá-li bůh, dojede.
Mail, co možná neskončí ve spammu...dá-li bůh, dorazí.
Nářadí/nástroje, co možná bude fungovat...dá-li bůh, tak to půjde.
Vaše výtvory, programy, věci, které možná budou fungovat, protože jsou poskládané ze sraček, co možná budou fungovat, tak ...dá-li bůh, to nějak bude fungovat.
Tohle kua není profesionalita!
Ale samozřejmě, vy si to dělejte po svém.
A tohle není určeno vám, ale kéž by všechny e-maily od blbců automaticky končily ve spamu!
-
Myslím si, že to je přesně to, za co tu naše partaj (vedená vůdcem Filipem Jirsákem) naráží.
Tak to prostě je.
Nechci přilévat oleje do ohně, ale myslím, že nosná myšlenka F. Jirsáka je zde, že nezkušený správce mail serveru zahltí svět spamy :-) , ne problémy, o kterých píše Tomáš. A prosím, v ev. reakci nebuďte sprostý. Že ne , CENZORE ?!
-
NE!
Pokaždé, když se vám nepovede doručit e-mail prostistraně, je to především VÁŠ problém.
Protože legitimní e-maily ve spamu prostě nekončí!
Pokud máte firmu, tak vám dost záleží na tom, aby vaše emaily lidi nemuseli vyhrabávat ze spamu!
Pokud máte firmu, nechcete se partnerům omlouvat, že máte zamrdaný mail, který končí ve spamu.
Jak se jim jednou začnete omlouvat, máte peška. Jak jim voláte, mají pocit, že je uháníte.
Když nevíte, kde váš e-mail skončí, je to další starost.
Pokud je někdo kokot a takových starostí si nabere hodně, celkem logicky se z toho pooooootentočkuje.
Auto...jen takové co asi dojede...dá-li bůh, dojede.
Mail, co možná neskončí ve spammu...dá-li bůh, dorazí.
Nářadí/nástroje, co možná bude fungovat...dá-li bůh, tak to půjde.
Vaše výtvory, programy, věci, které možná budou fungovat, protože jsou poskládané ze sraček, co možná budou fungovat, tak ...dá-li bůh, to nějak bude fungovat.
Tohle kua není profesionalita!
Ale samozřejmě, vy si to dělejte po svém.
A tohle není určeno vám, ale kéž by všechny e-maily od blbců automaticky končily ve spamu!
A já blbec každý mail, který na přijímajícím serveru nehodlám z nějakého důvodu doručit, odmítnu už v okamžiku, kdy se mi ho pokoušejí doručit. Ale všiml jsem si, že jsou takoví experti, kteří klidně potvdí přijetí a potom to zahodí.
-
Protože znáte akorát počet zpráv, které vám server neodmítnul – nevíte, kolik z nich následně skončí ve spamu. Takže tvrdit, že máte 10/10 zpráv doručených, je poněkud předčasné.
Pokud přijímající server zprávu od vás přebere, ale nedoručí, je to _chyba_ na jeho straně. Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte. Pokud jí hodí do spamu příjemce, je to jeho věc, třeba vás nemá rád. A i když se zpráva dostane až na obrazovku příjemce a ten si jí přečte, stejně vám nemusí odpovědět.
+1
-
Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte.
NE!
Pokaždé, když se vám nepovede doručit e-mail prostistraně, je to především VÁŠ problém.
Protože legitimní e-maily ve spamu prostě nekončí!
Pane,
a) kroťte se výrazech
b) Tohle není pravda, protože poslední instance je heuristika a pravidla dodavatele antispamu, pro kterou můžete tak akorát nastavit level přísnosti podle false positive. Proto bych doporučil spamy označovat a nechat na rozhodnutí adresáta, ne je mazat. Samozřejmě po předfiltraci, než jim antispam nastaví skóre.
Třeba outlook.com mi háže do spamu půlku věcí z domény.cz a žiju.
-
Nechci přilévat oleje do ohně, ale myslím, že nosná myšlenka F. Jirsáka je zde, že nezkušený správce mail serveru zahltí svět spamy :-) , ne problémy, o kterých píše Tomáš.
Ne, způsobů, jak pokazit něco na poštovním serveru je spousta. Jenže pokud se nebudou doručovat e-maily jeho uživatelů, je to problém jeho a jeho uživatelů. Pokud se nedaří doručovat na ten server, je to problém jeho, jeho uživatelů – a také těch, kteří se jim snaží e-mail poslat, ale to je zpravidla pořád někdo, kdo s těmi lidmi má nějaké kontakty. Když ten server bude šířit spam, bude tím postiženo spoustu nevinných lidí.
Takže nezkušený správce toho může pokazit mnoho, ale důsledky jsou různě závažné.
-
Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte.
Ne, samozřejmě může být chyba i na straně odesílatele. Ostatně kdyby to tak nebylo, není potřeba vůbec antispamovou kontrolu e-mailů provádět. Informace, které se používají pro tvrdé odmítání e-mailů v rámci spojení, se místo toho mohou použít jako váhy pro antispam. Třeba pokud budete mít špatně DKIM, nemusí cílový server hned e-mail odmítnout, jenom ho hodí do spamu.
Proto bych doporučil spamy označovat a nechat na rozhodnutí adresáta, ne je mazat.
O mazání tady ale nikdo nepsal, s tím přišel bůhvíproč až RM RF. Jenže ve skutečnosti doručení do spamu není zas tak odlišné od smazání e-mailu, protože uživatelé do spamu chodí jenom v případě, kdy očekávají konkrétní e-mail a v doručené poště není.
-
O mazání tady ale nikdo nepsal, s tím přišel bůhvíproč až RM RF.
Vy jste kouzelnej. Sám každého kritizujete, jak neumí číst a sám to nezvládáte.
-
Třeba pokud budete mít špatně DKIM, nemusí cílový server hned e-mail odmítnout, jenom ho hodí do spamu.
Mé servery poštu nezahazují, ani jí neházejí do spamu. Spam je věcí uživatele. Ale může se vám stát, že vaše pošta nebude serverem vůbec přijata, nicméně o tom se jako odesílatel dozvíte. (Pokud vám váš odesílající server o tom vygeneruje hlášku, což by snad ale mohl, pokud nejste velkospamer, kterého to nezajímá.)
-
Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte.
NE!
Pokaždé, když se vám nepovede doručit e-mail prostistraně, je to především VÁŠ problém.
Protože legitimní e-maily ve spamu prostě nekončí!
To se mylis. Pokud si protistrana najme jeste nejakou treti stranu na provoz emailu, tak indikace "2.0.0 doruceno" smerem ke me, zatimco nastane fakticke nedoruceni (resp. skryti do spamu) je ciste problem jich dvou.
Jak jsem zminoval - posilam treba firmware binarky a dumpy a to se priserne nelibi jednomu antispam reseni. Davat to na nejaky GDrive ci dropbox je opruz a taky to pusobi neprofesionalne. A ta treti strana - odbornici na mail - nam jednoduse kazi praci a normalni fungovani a neni s nemi rec. Samozrejme, ze to protistrana reportovala na sve IT oddeleni, ale doposud se nevyresil ani whitelist, ani se mi nikdo neozval, ze co je spatne. Proc taky, spatne na odesilateli neni nic a oni si budou stat tvrde za tim, ze binarky a archivy do priloh korporatniho mejlu nepatri.
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
-
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
Někdy v roce ~2003 šel návrh, aby se do RFC dalo, že na e-mail, který má jít do spamu, se má adresátovi odpovídat buď "neodpovídá pravidlům" nebo by měl odejít mail s odkazem na provozovatele captcha serveru (klidně třetí strany). Po vyplnění captcha odesilatelem by byl e-mail dorazil. Ohledně příloh tam padlo doporučení, že by se sporné přílohy odebraly a byly dostupné po odsouhlasení upozornění. Byly tam i doporučení ohledně implementace whitelistů a dokonce nějakých stromů důvěry (tj. pokud já napíšu první jemu, zpátky jeho e-mail mi neskončí ve spamu). Vůbec to nebylo hloupé! Kupodivu nebylo...
Celé to bylo smetené ze stolu, že e-mail je mrtvý, že všichni používají skype, ICQ a že už je to zbytečné, že stejně brzo zanikne. No a ta jebka (mail) nám tu straší ...dalších dvacet let... spam pořád chodí, podvodné maily...
Protože prý "e-mail nemá budoucnost a jeho větší rozvoj je zbytečný".
-
potvdí přijetí a potom to zahodí
Něco zahodí "filtr" AV/SPAM/Klasifikace po cestě, něco zahodí svévolně i klient sám.
A všichni si žijí spokojeně a hezky.
AD: Filip Jirsák
Filip Jirsák to popsal správně, jde to, někdo to tak dělá, ale ... má to smysl?
Takže, skutečně chcete trávit svůj čas starostí o službu, kterou SEZNAM poskytuje na kvalitní úrovni, s webovým rozhraním (které většina uživatelů zná), s celkem slušným AV/spamovým filtrem a plně aktualizovanou?
SAMOZŘEJMĚ NA VAŠÍ VLASTNÍ DOMÉNĚ?
Google nabízí možná lepší služby, ale já lidem doporučuju mail na vlastní doméně od seznamu, protože znají rozhraní mailového klienta, nemusí řešit webový server, na kterém by rozhraní běželo, nemusí řešit aktualizace, platit za solidní AV, nemusí se rozčilovat s hromadou věcí...
A z toho, co napsal Filip, si myslím, že přesně na to poukazuje.
Ne, že by to nešlo. Ne, že by se to nedalo zvládnout. Ne, že by to byla ekonomická sebevražda.
Jen to je nepohodlné a pokud máte i jinou práci, je lepší dělat něco, co vám vydělá peníze, v čem jste dobří.
Proč si přidělávat vrásky na čele tam, kde to nemá smysl?
Tak chápu já to, co píše Filip.
-
Doporučuju přečíst všem, co si chtějí postavit nebo už provozují poštovní server (informace jsou i pro ty, co jen poštu odesílají a správu serveru na starosti nemají):
https://support.google.com/mail/answer/81126
;)
-
O mazání tady ale nikdo nepsal, s tím přišel bůhvíproč až RM RF.
Vy jste kouzelnej. Sám každého kritizujete, jak neumí číst a sám to nezvládáte.
Číst asi neumíte vy. Reagoval jste na můj komentář. V mém komentáři o mazání nic nebylo.
Mé servery poštu nezahazují, ani jí neházejí do spamu. Spam je věcí uživatele.
Chudáci vaši uživatelé.
-
Pokud si protistrana najme jeste nejakou treti stranu na provoz emailu, tak indikace "2.0.0 doruceno" smerem ke me, zatimco nastane fakticke nedoruceni (resp. skryti do spamu) je ciste problem jich dvou.
Jaký rozšířený stavový kód by vám měl server přesně vrátit, když e-mail doručí do složky Spam? Co když e-mail doručí do uživatelem definované složky? Co když na základě pravidel uživatele e-mail smaže? Co když e-mail uloží do fronty k pozdější analýze a doručení?
Jak jsem zminoval - posilam treba firmware binarky a dumpy a to se priserne nelibi jednomu antispam reseni. Davat to na nejaky GDrive ci dropbox je opruz a taky to pusobi neprofesionalne. A ta treti strana - odbornici na mail - nam jednoduse kazi praci a normalni fungovani a neni s nemi rec. Samozrejme, ze to protistrana reportovala na sve IT oddeleni, ale doposud se nevyresil ani whitelist, ani se mi nikdo neozval, ze co je spatne. Proc taky, spatne na odesilateli neni nic a oni si budou stat tvrde za tim, ze binarky a archivy do priloh korporatniho mejlu nepatri.
Zdá se, že karma funguje. Vlastně jsem rád, že jste narazil na někoho, kdo k tomu přistupuje stejně jako vy.
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
No, ideální… Z těch špatných řešení je to to nejméně špatné. Jako podstatná (vlastně asi nejdůležitější) výhoda e-mailu se vždy uvádí to, e je univerzální – můžete tak komunikovat s kýmkoli z celého světa, aniž byste s ním komunikoval kdykoli před tím. Whitelisty jdou přesně proti tomuhle principu. Ale souhlasím, že mít takovýhle whitelist je hodně muziky za málo peněz. Akorát je potřeba si dávat majzla na to, aby se k vám dostaly i regulérní e-maily od odesílatelů, kteří nejsou na tom whitelistu.
Mimochodem, pokud používáte ten whitelist, nějak nechápu, proč u vás šel LinkedIn a eBay na greylist. To jste od nich nikdy dříve e-maily nedostali a zrovna náhodou to vyšlo až na teď, když jste tady citoval log?
-
O mazání tady ale nikdo nepsal, s tím přišel bůhvíproč až RM RF.
Vy jste kouzelnej. Sám každého kritizujete, jak neumí číst a sám to nezvládáte.
Číst asi neumíte vy. Reagoval jste na můj komentář. V mém komentáři o mazání nic nebylo.
Mé servery poštu nezahazují, ani jí neházejí do spamu. Spam je věcí uživatele.
Chudáci vaši uživatelé.
Tak já nevím, jestli neumíte číst nebo jestli schválně lžete. Ale klidně si dělejte, co uznáte za vhodné, je mi to fuk.
-
Pokud si protistrana najme jeste nejakou treti stranu na provoz emailu, tak indikace "2.0.0 doruceno" smerem ke me, zatimco nastane fakticke nedoruceni (resp. skryti do spamu) je ciste problem jich dvou.
Jaký rozšířený stavový kód by vám měl server přesně vrátit, když e-mail doručí do složky Spam? Co když e-mail doručí do uživatelem definované složky? Co když na základě pravidel uživatele e-mail smaže? Co když e-mail uloží do fronty k pozdější analýze a doručení?
Jak jsem zminoval - posilam treba firmware binarky a dumpy a to se priserne nelibi jednomu antispam reseni. Davat to na nejaky GDrive ci dropbox je opruz a taky to pusobi neprofesionalne. A ta treti strana - odbornici na mail - nam jednoduse kazi praci a normalni fungovani a neni s nemi rec. Samozrejme, ze to protistrana reportovala na sve IT oddeleni, ale doposud se nevyresil ani whitelist, ani se mi nikdo neozval, ze co je spatne. Proc taky, spatne na odesilateli neni nic a oni si budou stat tvrde za tim, ze binarky a archivy do priloh korporatniho mejlu nepatri.
Zdá se, že karma funguje. Vlastně jsem rád, že jste narazil na někoho, kdo k tomu přistupuje stejně jako vy.
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
No, ideální… Z těch špatných řešení je to to nejméně špatné. Jako podstatná (vlastně asi nejdůležitější) výhoda e-mailu se vždy uvádí to, e je univerzální – můžete tak komunikovat s kýmkoli z celého světa, aniž byste s ním komunikoval kdykoli před tím. Whitelisty jdou přesně proti tomuhle principu. Ale souhlasím, že mít takovýhle whitelist je hodně muziky za málo peněz. Akorát je potřeba si dávat majzla na to, aby se k vám dostaly i regulérní e-maily od odesílatelů, kteří nejsou na tom whitelistu.
Mimochodem, pokud používáte ten whitelist, nějak nechápu, proč u vás šel LinkedIn a eBay na greylist. To jste od nich nikdy dříve e-maily nedostali a zrovna náhodou to vyšlo až na teď, když jste tady citoval log?
Proti jakemu principu jde whitelist = kdyz se s protistranou dohodnete, ze vam muze volne posilat soubory, ktere obecně neprijimate? Zipy, excel atp.
-
Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte.
NE!
Pokaždé, když se vám nepovede doručit e-mail prostistraně, je to především VÁŠ problém.
Protože legitimní e-maily ve spamu prostě nekončí!
To se mylis. Pokud si protistrana najme jeste nejakou treti stranu na provoz emailu, tak indikace "2.0.0 doruceno" smerem ke me, zatimco nastane fakticke nedoruceni (resp. skryti do spamu) je ciste problem jich dvou.
Jak jsem zminoval - posilam treba firmware binarky a dumpy a to se priserne nelibi jednomu antispam reseni. Davat to na nejaky GDrive ci dropbox je opruz a taky to pusobi neprofesionalne. A ta treti strana - odbornici na mail - nam jednoduse kazi praci a normalni fungovani a neni s nemi rec. Samozrejme, ze to protistrana reportovala na sve IT oddeleni, ale doposud se nevyresil ani whitelist, ani se mi nikdo neozval, ze co je spatne. Proc taky, spatne na odesilateli neni nic a oni si budou stat tvrde za tim, ze binarky a archivy do priloh korporatniho mejlu nepatri.
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
Taky jsem zažil, že naše (velká) banka poslala naší účetní update bankovnictví mailem jako .exe. Borci si ode mne vyslechli svoje.:-)
Nemyslím, že filtrovat podle typu přílohy je neslušné, ale musí se to denně sledovat.
-
Zdá se, že karma funguje. Vlastně jsem rád, že jste narazil na někoho, kdo k tomu přistupuje stejně jako vy.
Az na to, ze ja jsem schopen zmenit pravidla (resp. delat vyjimky), pokud to bude nutne, oni nikoliv.
Filtrovat podle typu prilohy je uz za hranici slusnosti.
Se podivejte proc si WIFT chce udelat vlastni server - protoze neni spokojenej se stavajicim stavem. Ale jako osoba sama za sebe, se muze rozhodnout ze to zmeni, nebo udela sam. V korporatu udelat zmenu zajeteho dodavatele nejde - a to muze byt teda klidne hodne spatny a porad je to brano jako mensi zlo nez udelat zmenu.
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
No, ideální… Z těch špatných řešení je to to nejméně špatné. Jako podstatná (vlastně asi nejdůležitější) výhoda e-mailu se vždy uvádí to, e je univerzální – můžete tak komunikovat s kýmkoli z celého světa, aniž byste s ním komunikoval kdykoli před tím. Whitelisty jdou přesně proti tomuhle principu. Ale souhlasím, že mít takovýhle whitelist je hodně muziky za málo peněz. Akorát je potřeba si dávat majzla na to, aby se k vám dostaly i regulérní e-maily od odesílatelů, kteří nejsou na tom whitelistu.
Nerozumite co ten whitelist je. Nikde jsem netvrdil ze JENOM ti, co jsou na seznamu budou pusteni a zbytek odmitnut. Ma to byt seznam tech, kteri nebudou podrobovani kontrolam a zpozdenim.
Mimochodem, pokud používáte ten whitelist, nějak nechápu, proč u vás šel LinkedIn a eBay na greylist. To jste od nich nikdy dříve e-maily nedostali a zrovna náhodou to vyšlo až na teď, když jste tady citoval log?
Mam whitelistovane konkretni emaily (obchodnich partneru).
Anonymizovana random adresa odesilatele, skrze server s nahodou IP si takovou wildcard propustku nezaslouzi (ne, ze bych to neumel dle domeny odesilatele, nebo hostname - ale tohle z principu neudeluji). Takze holt kazdy jejich pokus je unikatni z pohledu serveru a jede to na gray. Nektere upozorneni co chodi ze stejne zdrojove adresy se doruci samozrejme okamzite. Nevidim prakticky prinos udelit tyto vyjimky.
-
Tak já nevím, jestli neumíte číst nebo jestli schválně lžete. Ale klidně si dělejte, co uznáte za vhodné, je mi to fuk.
Číst umím. Ale svoje komentáře si číst nepotřebuju – pamatuju si, o čem píšu.
Tohle je váš komentář, pamatujete?
Pokud přijímající server zprávu od vás přebere, ale nedoručí, je to _chyba_ na jeho straně. Pokud jí i doručí, ale do spamu jí hodí poštovní program, je to problém nastavení toho programu, se kterým toho moc nenaděláte. Pokud jí hodí do spamu příjemce, je to jeho věc, třeba vás nemá rád. A i když se zpráva dostane až na obrazovku příjemce a ten si jí přečte, stejně vám nemusí odpovědět.
První věta je o zahození spamu (o tom já jsem nic nepsal). Druhá je o vložení (programem) do složky se spamem (o tom jsem psal). Třetí je o tom, že to do spamu přesune ručně uživatel, to nás nezajímá.
-
Proti jakemu principu jde whitelist = kdyz se s protistranou dohodnete, ze vam muze volne posilat soubory, ktere obecně neprijimate? Zipy, excel atp.
Whitelist znamená něco jiného – že e-maily od některých odesílatelů nebo serverů přeskakují některé kontroly. Posílání souborů je jenom jedna z mnoha možných kontrol, kterou může whitelist přeskočit.
-
Az na to, ze ja jsem schopen zmenit pravidla (resp. delat vyjimky), pokud to bude nutne, oni nikoliv.
Oni jsou také schopní dělat výjimky, pokud je to nutné. Akorát to ve vašem případě za nutné nepovažují.
Filtrovat podle typu prilohy je uz za hranici slusnosti.
Jiní správci, zejména vašeho typu, zase budou tvrdit, že nepropouštět emaily s některými typy příloh je základ.
Nerozumite co ten whitelist je.
Rozumím.
Nikde jsem netvrdil ze JENOM ti, co jsou na seznamu budou pusteni a zbytek odmitnut.
Já jsem také nic takového netvrdil. Naopak kdybyste si můj komentář přečetl pořádně, výslovně jsem uváděl, že ty e-maily, které neprojdou přes whitelist, musí mít rozumnou šanci být doručené. Protože to je přesně to, co se různým „takysprávcům“ stává – že jim většinu e-mailů propustí whitelist, a oni si pak nevšimnou, že ty ostatní e-maily jsou proakticky nedoručitelné. Tj. že pravidla mimo whitelist mají nastavená špatně.
Mam whitelistovane konkretni emaily (obchodnich partneru).
Proč ne konkrétní domény?
Anonymizovana random adresa odesilatele, skrze server s nahodou IP si takovou wildcard propustku nezaslouzi (ne, ze bych to neumel dle domeny odesilatele, nebo hostname - ale tohle z principu neudeluji).
Proč, co je na tom špatně? Naopak je to doporučený postup při přeposílání e-mailů.
Nevidim prakticky prinos udelit tyto vyjimky.
Jako u každéjo jiného záznamu na whitelistu – přeskakovat zbytečné kontroly u důvěryhodných e-mailů (šteříte tím vaše prostředky), přeskakovat zbytečný greylist (zase šetříte prostředky a urychlíte doručení e-mailu) a eliminovat možné problémy, kdyby e-mail nějakou následnou kontrolou neprošel. Účelem antispamových kontrol je eliminovat spam, ne buzerovat odesílatele regulérních e-mailů.
-
Az na to, ze ja jsem schopen zmenit pravidla (resp. delat vyjimky), pokud to bude nutne, oni nikoliv.
Oni jsou také schopní dělat výjimky, pokud je to nutné. Akorát to ve vašem případě za nutné nepovažují.
Nikde jsem netvrdil ze JENOM ti, co jsou na seznamu budou pusteni a zbytek odmitnut.
Já jsem také nic takového netvrdil. Naopak kdybyste si můj komentář přečetl pořádně, výslovně jsem uváděl, že ty e-maily, které neprojdou přes whitelist, musí mít rozumnou šanci být doručené. Protože to je přesně to, co se různým „takysprávcům“ stává – že jim většinu e-mailů propustí whitelist, a oni si pak nevšimnou, že ty ostatní e-maily jsou proakticky nedoručitelné. Tj. že pravidla mimo whitelist mají nastavená špatně.
Nevidim prakticky prinos udelit tyto vyjimky.
Jako u každéjo jiného záznamu na whitelistu – přeskakovat zbytečné kontroly u důvěryhodných e-mailů (šteříte tím vaše prostředky), přeskakovat zbytečný greylist (zase šetříte prostředky a urychlíte doručení e-mailu) a eliminovat možné problémy, kdyby e-mail nějakou následnou kontrolou neprošel. Účelem antispamových kontrol je eliminovat spam, ne buzerovat odesílatele regulérních e-mailů.
Vidite, a ja to nepovazuji za nutne v tomto pripade. Si tady tak nejak protirecite - jednou varujete pred pouzivanim whitelistu a podruhe me vybizite abych si tam pridaval cele domeny. Whitelist mam ale jako krajni moznost pro reseni a/nebo predchazeni problemu tam, kde na tom doopravdy zalezi.
-
Myslim ze idealni reseni pro firemni komunikaci je auto-whitelist, proste s partnerem se kterym neco resite mejlama mate vzajemnou duveru, kterou musi respekovat/implementovat mailove reseni. Tento pristup ale neni bezny.
Mam whitelistovane konkretni emaily (obchodnich partneru).
Vidite, a ja to nepovazuji za nutne v tomto pripade. Si tady tak nejak protirecite - jednou varujete pred pouzivanim whitelistu a podruhe me vybizite abych si tam pridaval cele domeny. Whitelist mam ale jako krajni moznost pro reseni a/nebo predchazeni problemu tam, kde na tom doopravdy zalezi.
Aha, tak nejprve je to věc důvěry, pak je to najednou krajní možnost pro řešení problémů. A že to nepovažujete za nutné – víte, já si pořád myslím, že e-mail by se měl doručit bez zbytečných nákladů a zdržení. Takže byste se neměl ptát, zda je nutné kontroly přeskočit, ale naopak zda je nutné, aby e-mail kontroly absolvoval.
Jinak nikde jsem nevaroval před použitím whitelistu, naopak jsem to doporučoval. Varoval jsem před tím, aby kvůli whitelistu správce nezapomněl na ty e-maily, které se musí probojovat „normální“ cestou.
-
Takže asi toľko na tému "Mail u sebe doma". Dostali sme sa cez 10 stránok príspevkov a téma zďaleka nie je vyčerpaná. Zdá sa že existuje veľa prístupov a prah bolesti (rozumej trpezlivosť používateľov, ich ochota akceptovať určitú úroveň služby), sa pohybuje v širokom rozsahu. Zdá sa že pod pojmami "fungujúci mail server", "naštudovať si základy", "vyžaduje si minimálnu správu", sa môže skrývať všeličo.
Rozumný zakladateľ threadu si z toho predpokladám vyberie svoje. A hlupák tiež...
-
Takže asi toľko na tému "Mail u sebe doma". Dostali sme sa cez 10 stránok príspevkov a téma zďaleka nie je vyčerpaná. [...]
Rozumný zakladateľ threadu si z toho predpokladám vyberie svoje. A hlupák tiež...
Já jsem si z toho vybral hlavně to (celé jsem to ale nečetl, ztráta času), že pan Jirsák naprosto není schopen odlišit správu MTA pro více klientů a správu MTA určeného jen pro sebe. To se pak těžko o něčem diskutuje. Nepřekvapuje mě to u něj, upřímně, mám s ním podobné zkušenosti i z jiných diskuzí. Nic ve zlém. Bohužel.
-
Já jsem si z toho vybral hlavně to (celé jsem to ale nečetl, ztráta času), že pan Jirsák naprosto není schopen odlišit správu MTA pro více klientů a správu MTA určeného jen pro sebe. To se pak těžko o něčem diskutuje. Nepřekvapuje mě to u něj, upřímně, mám s ním podobné zkušenosti i z jiných diskuzí. Nic ve zlém. Bohužel.
(celé jsem to ale nečetl)
Pan Jirsák má samozřejmě pravdu - ať už spravujete mail server pro 2 nebo 2000 uživatelů, tak musíte (měl byste) některým věcem věnovat stejně času (správná konfigurace, bezpečnost, aktualizace). Pokud to tedy chcete dělat pořádně.
Jestli jsem to pochopil špatně (pointu sdělení pana Jirsáka), tak se omlouvám (celé jsem to nečetl)...
(celé jsem to ale nečetl :) )
Btw. řešili se v rámci diskuse i jiné "výhody" umístění mail serveru doma? Jako třeba konektivita, napájení, zálohování?
-
Btw. řešili se v rámci diskuse i jiné "výhody" umístění mail serveru doma? Jako třeba konektivita, napájení, zálohování?
Neřešili.
-
konektivita, napájení
Email je historicky, by desighn, připravený se vypořádat s výpadky.
Pokud je e-mailový server nedostupný, opakování se zkouší znovu.
(Od .... nějakého pokusu o doručení ti odesílací server generuje mail, že se mail zatím nepovedlo doručit.)
Jinými slovy, když ti shoří server a spravíš ho do druhého dne, neměl bys o nic přijít...teoreticky.
Kdyby byla vůle, bylo možné se vypořádat i se spamem.....a zabezpečnou výměnou https (jako web).
-
Btw. řešili se v rámci diskuse i jiné "výhody" umístění mail serveru doma? Jako třeba konektivita, napájení, zálohování?
Nastesti je posilani emailu velice tolerantni na vypadky (pokusu o doruceni je nekolik, v ramci cca 2 dnu, s prodluzujicim se casem), coz znamena ze nemusite mit nijak kriticky / zdvojene resenou konektivitu ci napajeni. Kratkodoba nedostupnost serveru vyusti jenom o trocha opozdene doruceni.
Pro typickeho domaciho uzivatele to tedy nehraje zadnou roli, a ze sve zkusenosti muzu rict ze to nehraje zadnou roli ani pro malou firmu - protoze pokud nejede proud ci internet, tak je velka sance, ze veskera moznost prace je omezena.
Vice pocitite pak vypadek schranky samotne z pohledu prijemce - takze v klientske aplikaci mam nastaveny nektere slozky pro pouzivani i v offline rezimu. Tohle stejne tak potrebujete, pokud s notebookem litate po vsech certech a nemuzete se spolehnout na to, ze budete pripojeni vsude.
Pro zalohovani plati vse stejne jako pro jina data. Osobne mam (jednosmerne) synclou plnou kopii serveru/sluzeb, takze neni problem vrazit tento klon do jineho zeleza a nasadit to do provozu (pozustatek toho, kdyz jsem syncoval server z housingu na domaci klon - kdyby se cokoliv tomu serveru stalo a bylo potreba ho nahradit, bylo by to temer bez prace).
A jo - u konektivity potrebujete verejnou adresu a nefiltrovany port 25 (to byva blokovano), pripadne dalsi (465-smtps, 993-imaps).
-
Bohužel, tahle spolehlivost už je dávno přič. Nedoručenka, v případě nedostupnosti serveru, přijde často okamžitě a žádné další pokusy o doručení se nekonají. Spousta serverů asi počítá s tím, že má poskytovatel mailu datacentra po celém světě...
A u mého osobního serveru je mi vlastně úplně jedno, jestli mi někdo něco není schopen doručit, respektive se o to ani nepokouší, protože zde se dá použít analogie s Českou Poštou... Poskytovatelů služeb je mnoho, někteří spolehlivější než jiní a nelze se přizpůsobovat všem.
Já mám u své infrastruktury bežně uptime i rok. Konektivita přes optiku také výpadky většinou moc netrpí, ale většinou to ISP moc neřeší (údržba ve tři ráno), protože je k tomu nic nenutí. Ani distributoři elektřiny negarantují 24/7 dodávky a když vypadne proud, tak v kdejaké obci neteče voda a ani si nezavoláte z mobilu. Email, pro svou potřebu či rodinu, opravdu není to nejdůležitější na světě.
A co se týče zálohování:
- Záložní konektivita přes LTE nestojí skoro nic, ale konfigurace bude řádově složitější
- Záložní napájení se dá vyřešit díky UPS za pár tisíc, do které to vše zapojíte
- Záloha dat - denně zálohuji celou VM na druhý disk a zálohy záloh pak do jiné lokality
Většinou ale opravdu narazíte na to, že záložním napájením nedisponuje váš ISP, takže pokud jste na vsi a někde spadne strom na dráty, tak jste pár hodin odříznuti od světa.
Dříve bylo běžné si doma hostovat i vlastní weby a všelijaké blogísky. Dneska už se to asi moc nenosí, ale to přece není důvod to nedělat.
-
Nezapomeňte na to, že e-mail se často používá jako identifikátor a zaslání e-mailu jako ověření toho identifikátoru. Takže se vám třeba může stát, že budete potřebovat zaplatit za parkování, budete kvůli tomu potřebovat do aplikace přidat novou platební kartu – a aplikace umožní jen přihlášení skrze kód zaslaný e-mailem. Že je to špatně navržené workflow aplikace, s tím souhlasím – ale takovéhle aplikace existují, je to realita. Stejně tak se e-mail často používá pro reset hesla. Opět – zapomenete heslo, a bez funkčního e-mailu se už nepřihlásíte.
Takže to, že e-mail je negarantovaná služba, je sice hezká teorie, ale v praxi vám může nedostupnost e-mailu pěkně zatopit.
-
DKIM neresi spam, ale podvrzene/modifikovane maily. Prevazna vetsina doruceneho spamu u me ma spravny DKIM... spammeri si udelaj domenu, zaplati VPS a vesele posilaji svoje h**na.
tak DKIM máš na obou stranách, tady jsem mluvil o tom, že bys měl naptřičné podpisy a hlavičky dávat do email při odeslání a před 10 lety to ještě nebylo. Přidá to jistou integritou proti změně cestou a přidá pár bodíku do score při vyhodnocení spamu.
Takze vy mate nejvetsi problem s profesionalama od takoveho majkrosoftu? A jste jim vyplnujete nejake lejstra?? wtf??? To zcela vyvraci predpoklad Filipa, ze potizisti jsme my - mali samodomo spravci. Vy mate taky problemy se sousednima IP? Bozemuj, co jste to za providera?? To bych cekal jedine u na kolene udelaneho MTA. Zpozdeni emailu je ale normalni - nikde neni dano, ze email ma byt nahrazka IM sluzby. A ze jini profici zpozduji vsechno (a ja jenom ty, ktere se me nelibi..) zcela vyvraci predpoklady zdejsiho panacka jirsacka.. ktery tak strasne rad kyda sva pseudomoudra proti me.
Takze si to zhrnme - prvni profesional co se tady vyjadril - ma omnoho vetsi problemy jako bezny franta admin (aka RDa), se svyma mejlama :) tak to je docela k smichu tedy :)) Nemyslite? Myslim ze neco delate hooodne spatne, pokud je nase skore takove, jake je. Nechtete prozradit, co jste to za sluzbu? At se vam vsichni obloukem vyhnou.
Neposkytujeme placenou službu na emaily, ale děláme na klíč konfigurace a správu emailů pro firmy (primárně pro transakční komunikaci, nikoliv pro hromadnou), které to chtějí mít doma. Takže zdroje jako IP adresy jsou v režiji klientů a můžeme dát nanejvýše doporučení. Je to okrajová činnost, ale pár firem si to ještě nechává takhle spravovat. Popsal jsem největší problémy, které se vyskytují a které by si každý, kdo si chce sám provozovat email měl zvážit a ověřit.
Pro odborný růst je samozřejmě dobré si tím procesem projít, zjistit si sám, co to dělá za problémy. U sebe si mohu dovolit jistou nespolehlivost. Změny, které se udělali na tomhle poli v poslední letech jsou značené, odkázaná pravidla pro Google od McFly jsou špička ledovce, každý větší poskytovatel má takovýhle elaborát toho co musím dodržet jinak emaily nedoručí či mají jiné problémy, to se týká zrovna třeba i toho, které přílohy projdou, jestli budou zachyceny, skenovány či jak se k nim zachová. Dokonce se používají i řešení, kde přílohy na protistrany, které mají s jejich doručováním problémy se převedou na odkazy na uložiště a přílohy se tam nahrají automaticky, zase to jde ve prospěch uživatelů, kteří jsou čím dál více požitkáři, kteží chtějí fungující věci.
-
Neposkytujeme placenou službu na emaily, ale děláme na klíč konfigurace a správu emailů pro firmy (primárně pro transakční komunikaci, nikoliv pro hromadnou), které to chtějí mít doma. Takže zdroje jako IP adresy jsou v režiji klientů a můžeme dát nanejvýše doporučení. Je to okrajová činnost, ale pár firem si to ještě nechává takhle spravovat. Popsal jsem největší problémy, které se vyskytují a které by si každý, kdo si chce sám provozovat email měl zvážit a ověřit.
.... Změny, které se udělali na tomhle poli v poslední letech jsou značené, odkázaná pravidla pro Google od McFly jsou špička ledovce, každý větší poskytovatel má takovýhle elaborát toho co musím dodržet jinak emaily nedoručí či mají jiné problémy, to se týká zrovna třeba i toho, které přílohy projdou, jestli budou zachyceny, skenovány či jak se k nim zachová. ....
Diky, takto to dava vetsi smysl, kdyz zname kontext! A omlouvam se za drsnejsi text.
Ono to zverejnovani interni konfigurace vidim jako dvojsecnou zbran - samozrejme ze je to dobry, kdyz to spravci protistrany vi - co je ceka a nemine, ale na druhou stranu to dava spammerum informace, co by meli vylepsit a zmenit.
Treba ten text od Googlu je celkem obecne sepsany, to jo - ale ty bys treba zverejnil elaborat ohledne nejakeho setupu, pokud si to protistrana vyzada, nebo bys resil spis interaktivne a jenom konkretni problem?
-
(celé jsem to ale nečetl)
Pan Jirsák má samozřejmě pravdu - ať už spravujete mail server pro 2 nebo 2000 uživatelů, tak musíte (měl byste) některým věcem věnovat stejně času (správná konfigurace, bezpečnost, aktualizace). Pokud to tedy chcete dělat pořádně.
Jestli jsem to pochopil špatně (pointu sdělení pana Jirsáka), tak se omlouvám (celé jsem to nečetl)...
Praveze toto neni zdeleni F.Jirsaka. Jeho zdelnim je, ze nie niektorym veciam musite venovat rovnaky cas ale vsetkym bez ohladu ci je to server pre 2 alebo 2000 uzivatelov a aj bez ohladu, co su to za uzivatelia. A to som s nim rozporoval od zaciatku a toto je hlavnym kamenom urazu celej tejto diskusie. F.Jirsak je v tejto oblasti nieco ako fatalista, clovek, co neuznava odtiene sedej. Uznava len bielu alebo len ciernu a to len svoju verziu bielej a ciernej. Ma svoje kriteria a tie povazuje za jedine spravne, co ja povazujem za blbost a obmedzenost(tymto ho nechcem nijako urazit).
S nim by sme sa nezhodli na definicii slova kvalita.
-
Praveze toto neni zdeleni F.Jirsaka. Jeho zdelnim je, ze nie niektorym veciam musite venovat rovnaky cas ale vsetkym bez ohladu ci je to server pre 2 alebo 2000 uzivatelov a aj bez ohladu, co su to za uzivatelia.
Mýlíte se. Robac to napsal správně.
-
Doporučuju přečíst všem, co si chtějí postavit nebo už provozují poštovní server (informace jsou i pro ty, co jen poštu odesílají a správu serveru na starosti nemají):
https://support.google.com/mail/answer/81126
;)
Super info ! Dík. Použitelné obecně IMHO. Něco podobného bych potřeboval pro outlook. Pravidelně mi první zprávu od nějaké domény (eshop).cz háže do spamu.
-
Ono to zverejnovani interni konfigurace vidim jako dvojsecnou zbran - samozrejme ze je to dobry, kdyz to spravci protistrany vi - co je ceka a nemine, ale na druhou stranu to dava spammerum informace, co by meli vylepsit a zmenit.
klasicke: Security by obscurity
-
Já jsem si z toho vybral hlavně to (celé jsem to ale nečetl, ztráta času), že pan Jirsák naprosto není schopen odlišit správu MTA pro více klientů a správu MTA určeného jen pro sebe.
(celé jsem to ale nečetl)
Pan Jirsák má samozřejmě pravdu - ať už spravujete mail server pro 2 nebo 2000 uživatelů, tak musíte (měl byste) některým věcem věnovat stejně času (správná konfigurace, bezpečnost, aktualizace).
Já ale píši pro sebe. Ne pro dva uživatele. Pro sebe. Ostatně doma to tak částečně mám. E-maily mé ženy rovnou forwarduji na její freemail ačkoliv odchozí pošta jde přes náš MTA všechna kvůli DKIM protože máme vlastní domény.
Nevím, jaký je rozdíl mezi 2 a 2 000 uživateli. Ale vím, jaký je rozdíl mezi 1 a 2 uživateli. Velký.
-
Ahoj,
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
https://365tips.be/en/how-to-create-your-own-office-365-tenant/
Stoji to podobne jako virtulka doma a je to bez starosti....
Zdravi tvuj,
Kapitan Varlatko
-
Tak jasně.
https://downdetector.com/status/office-365/
Ahoj,
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
https://365tips.be/en/how-to-create-your-own-office-365-tenant/
Stoji to podobne jako virtulka doma a je to bez starosti....
Zdravi tvuj,
Kapitan Varlatko
-
Tak jasně.
https://downdetector.com/status/office-365/
Aby to dávalo smysl, bylo by potřeba vidět srovnání s několika nezávislými servery, které spravujete vy nebo někdo podobný.
-
Ten report ukazuje presne na co, ze nekomu v Asii neslo 20 sekund prihlaseni pres web?
Usmevne...
Tak jasně.
https://downdetector.com/status/office-365/
Ahoj,
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
https://365tips.be/en/how-to-create-your-own-office-365-tenant/
Stoji to podobne jako virtulka doma a je to bez starosti....
Zdravi tvuj,
Kapitan Varlatko
-
A která část toho Office 365 běží doma?
-
Vskutku úsměvné:
https://www.crn.com/news/cloud/-very-frustrating-microsoft-office-365-outage-hits-u-s-again
Ten report ukazuje presne na co, ze nekomu v Asii neslo 20 sekund prihlaseni pres web?
Usmevne...
Tak jasně.
https://downdetector.com/status/office-365/
Ahoj,
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
https://365tips.be/en/how-to-create-your-own-office-365-tenant/
Stoji to podobne jako virtulka doma a je to bez starosti....
Zdravi tvuj,
Kapitan Varlatko
-
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
Vy jste moc nepochopil, co tu řešíme, že?
-
Třeba to myslí tak, že když si nainstalujete Outlook, tak máte mail u sebe doma... ;D
-
Existuje vůbec nějaký mail server, který vám ukáže, co se tam děje? Kdysi jsem spravoval exchange pro ožralé milionáře a tam není vidět vůbec nic. Jen stovky logů. Teď exchange na online office365 to samé. Když si nainstalujete munin na linuxu, tak to alespoň ukáže, že nějaké maily odcházejí/přicházejí na exim4 nebo postfix serveru.
-
Open Source Edition of Zimbra Collaboration :
https://www.zimbra.com/open-source-email-overview/
-
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
To, ze nekdo ma potrebu provozovat si neco doma tak uplne nechapu, to mate asi pravdu.
Tvuj Kapitan Varlatko.
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
Vy jste moc nepochopil, co tu řešíme, že?
-
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
To, ze nekdo ma potrebu provozovat si neco doma tak uplne nechapu, to mate asi pravdu.
Tvuj Kapitan Varlatko.
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
Vy jste moc nepochopil, co tu řešíme, že?
Co třeba proto, aby se to naučil a pak to mohl takovým varlátkům, co to pro ně je pár drobných, prodávat?
-
Abych se neco naucil, musim doma provozovat mail server?
Vy jste teda sama legrace.
Zdravi Kapitan Varlatko.
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
To, ze nekdo ma potrebu provozovat si neco doma tak uplne nechapu, to mate asi pravdu.
Tvuj Kapitan Varlatko.
mail u sebe doma pro 2 a vice uzivatelu se jmenuje Microsoft/Office365.
Vy jste moc nepochopil, co tu řešíme, že?
Co třeba proto, aby se to naučil a pak to mohl takovým varlátkům, co to pro ně je pár drobných, prodávat?
-
Abych se neco naucil, musim doma provozovat mail server?
Vy jste teda sama legrace.
Zdravi Kapitan Varlatko.
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
To, ze nekdo ma potrebu provozovat si neco doma tak uplne nechapu, to mate asi pravdu.
Tvuj Kapitan Varlatko.
Ano, praxe je nejlepší škola. Já si tím zkouším nové technologie, nové postupy, mohu si dovolit experimentovat a mám lepší pocit, že to mám pod kontrolou. Zároveň vlastní email servery používám i jako sondy pro sledování plošných útoků, mám tak k dispozici daleko podrobnější data než mi poskytují hostované řešení. To se hodí např. pro hlášení spamerů providerům a hostérům.
Ber to tak, že jsou lidi, kteří v těch technologiích žijí a baví je to, kdyby je to nebavilo, asi to ani dělat nebudou. Je to stejné jak proč si někdo doma vaří, když si jídlo může objednat nebo si na něj zajít.
Jinak sice se tady mluví o provozování "doma", prakticky ale to bude mít řada lidí v DC, kde bude mít umístěné servery nebo si ty servery pronajímají a na tom to provozuji. Nemusí to znamenat, že mají na půdě umístěný notebook, na kterém jim běží emailový server.
-
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Nějak nevidím důvod platit za službu kterou můžu mít zdarma, navíc v mé moci konfigurovatelnou a open source.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
Nějaký konkrétní rozpočet?
-
Zdarma? Vy mate zdarma energie, konetkivitu a HW...Muzu si u vas nahostovat par mining rigu a odebrat od vas nekolik serveru?
Cenik O365/M365 veci je na netu - zdarma k prohlednuti.
Pokud je tu averze k MS produktum, sluzbam muzu doporucit hosting u AWS nejakyho VMka s unix\linux like distribuci a na nem nejaky ten zdarma OpenSource.
Uz jen nastaveni bude trvat cirka na 5-8 hodin, teda pokud nebude vse default :D, ale chapu ten cas je zdarma, vzdyt jde o vas zivot a ten je preci zdarma.
Hosi, hosi doma hostovat cokoliv je opruz a rozhodne to neni zdarma :D
Pekny den ti preje Kapitan Varlatko.
Nejak nevidim duvod proc provozovat server doma, kdyz si sluzbu muzu zaplatit a zit tak nejak bez starosti.
Nějak nevidím důvod platit za službu kterou můžu mít zdarma, navíc v mé moci konfigurovatelnou a open source.
Pokud srovnam cenu za energi, hw, pripadne sw atd. tak jsem na cene nad licenci na zaklad u O365/M365.
Nějaký konkrétní rozpočet?
-
Spotřeba mail serveru je pár max. desítek wattů. Konektivitu už doma snad všichni mají a tam se snad platí paušálně. HW spousta lidí už doma také má. Může to bežet třeba na NASu, takže náklady navíc jsou téměř nic.
To nastavení bude trvat stejně dlouho bez ohledu na to kde ta VM běží.
Docela irelevantní argumenty, tvůj život musí být fakt opruz.
-
Uz jen nastaveni bude trvat cirka na 5-8 hodin, teda pokud nebude vse default :D, ale chapu ten cas je zdarma, vzdyt jde o vas zivot a ten je preci zdarma.
Je to něco za něco. Někomu těch 8h za to stojí a motivace mohou být různé. Mít kontrolu nad svými daty je silný argument pro kdekoho. Že pro tebe třeba ne nic neznamená.
-
Jsi zabavny.
Doma uz mam vsechno, takze jsem za to neplatil, neplatim je to zdarma :D
Dik za tvuj relevantni prispevek, diky podobnym tvrzenim muj zivot uz neni takovy opruz. Nejsi ty nahodou politik, nebo starosta?
Krasny den ti preju Tvuj Kapitan Varlatko.
-
Ano chapu to, ale od toho je preci sifrovani. A to lze delat i v cloudu, bez starosti o HW.
-
Ano chapu to, ale od toho je preci sifrovani. A to lze delat i v cloudu, bez starosti o HW.
Tak to úplně nefunguje. Šifrování není automaticky soukromí. Obecně email je dost nebezpečný způsob komunikace, ale provozem v cloudu má pak jeden provider celý big picture, což je právě to, co vlastní mail server minimalizuje.
-
Ano chapu to, ale od toho je preci sifrovani. A to lze delat i v cloudu, bez starosti o HW.
Tak to úplně nefunguje. Šifrování není automaticky soukromí. Obecně email je dost nebezpečný způsob komunikace, ale provozem v cloudu má pak jeden provider celý big picture, což je právě to, co vlastní mail server minimalizuje.
Provoz mail serveru u sebe doma (dle mě) hlavně minimalizuje možnost odesílat/přijímat maily.
Vy jste zatím zůstali u abstraktních debat typu (celé jsem to nečetl): zvládnu to správně/bezpečně nastavit, budu mít větší soukromí/kontrolu, jednou to nastavím a pak na to nemusím 10 let šáhnou :) atp., ale má to i další aspekty. Ne každý má doma cluster hypervizorů s vMotion (nebo obdobou), ne každý má spolehlivou duální konektivitu, ne každý dokáže vyřešit, když mu vypadne elektřina (a na potvoru je zrovna na 14ti denní dovolené v Pyrenejích), ne každý má ISP, který nefiltruje SMTP do internetu nebo mu nastaví PTR record, ne každý si dělá (a chce dělat) off-site backupy (kdyby mu vyhořel barák)...
Ale abychom si rozuměli - obecně to samozřejmě provozovat lze a nikomu v tom nebráním, když se s tím chce "p.cat" :)
-
Díky všem za podnětnou diskuzi (ještě pořád i tento typ debaty nazývám diskuzí), závěr je jasný, se*u na to. Hlavním důvodem bude ten reverzní záznam, ten bych asi loudil marně. Jinak by to bylo bezesporu hezké cvičení :). Někdy si tuhle debatu hodím bokem, protože je výživná a věřím, že v ní najdou i další laici zajímavé informace.
Takže ještě jednou, díky všem a klidně pokračujte v debatě :).
-
Zřízení reverzního záznamu pro mne byla otázka jednoho emailu a druhý den jsem ho měl. Neříkám, že je tomu tak vždy a všude, ale za zkoušku člověk nic nedá. Jak jsem psal ve své první odpovědi (o 13 stran zpět), dokud nemá člověk reverzní záznam, nemá cenu se ničím dalším zabývat.
Hodně záleží, jakou má člověk motivaci a proč vůbec o něčem podobném uvažuje. Není to hračka na jedno odpoledne. Já se zbavil všech cloudů a většiny služeb "zdarma".
-
Zřízení reverzního záznamu pro mne byla otázka jednoho emailu a druhý den jsem ho měl. Neříkám, že je tomu tak vždy a všude, ale za zkoušku člověk nic nedá. Jak jsem psal ve své první odpovědi (o 13 stran zpět), dokud nemá člověk reverzní záznam, nemá cenu se ničím dalším zabývat.
Je dobré být si vědom toho, že takové řešení reverzního záznamu je na straně ISP často řešené nějak nestandardně – např. admin upraví příslušný konfigurační soubor. Takže se to pak může občas rozbít, když dělá ISP nějaké změny a zapomene, že má někde něco ručně přepsaného.
-
Provoz mailserveru doma je proste nesmysl. Cvicit si to muzes v cloudu a za min penez ve vyssi kvalite. Nebo si muzes koupit sluzbu jako treba O365, nebo protonmail , google.....atp.
Tvuj Kapitan Varlatko.
Díky všem za podnětnou diskuzi (ještě pořád i tento typ debaty nazývám diskuzí), závěr je jasný, se*u na to. Hlavním důvodem bude ten reverzní záznam, ten bych asi loudil marně. Jinak by to bylo bezesporu hezké cvičení :). Někdy si tuhle debatu hodím bokem, protože je výživná a věřím, že v ní najdou i další laici zajímavé informace.
Takže ještě jednou, díky všem a klidně pokračujte v debatě :).
-
Zřízení reverzního záznamu pro mne byla otázka jednoho emailu a druhý den jsem ho měl. Neříkám, že je tomu tak vždy a všude, ale za zkoušku člověk nic nedá. Jak jsem psal ve své první odpovědi (o 13 stran zpět), dokud nemá člověk reverzní záznam, nemá cenu se ničím dalším zabývat.
Je dobré být si vědom toho, že takové řešení reverzního záznamu je na straně ISP často řešené nějak nestandardně – např. admin upraví příslušný konfigurační soubor. Takže se to pak může občas rozbít, když dělá ISP nějaké změny a zapomene, že má někde něco ručně přepsaného.
Tak spatne to resili i v server housingu, kde jsem tenkrat mel svuj fyzicky server. Stavalo se to opakovane, ale stacilo napsat na support a nekdo to bud pregeneroval nebo opravil preklep.
A je to zas o jeden duvod vic se presunout domu - tech rozdilu v kvalite sluzby bylo mene a mene - jasne ze doma vypadne net, kdyz se poroucha zarizeni ISP, ale v housingu zas bylo nespocet situaci kdy nejaky cizi DDoS ovlivnilo provoz i meho serveru.
-
Provoz mailserveru doma je proste nesmysl. Cvicit si to muzes v cloudu a za min penez ve vyssi kvalite. Nebo si muzes koupit sluzbu jako treba O365, nebo protonmail , google.....atp.
Tvuj Kapitan Varlatko.
Sám jsi nesmysl.
-
A je to zas o jeden duvod vic se presunout domu - tech rozdilu v kvalite sluzby bylo mene a mene - jasne ze doma vypadne net, kdyz se poroucha zarizeni ISP, ale v housingu zas bylo nespocet situaci kdy nejaky cizi DDoS ovlivnilo provoz i meho serveru.
V takovém případě bych spíš zvážil přechod k jinému hostingu, jehož služby se nebudou neustále zhoršovat.
-
Zřízení reverzního záznamu pro mne byla otázka jednoho emailu a druhý den jsem ho měl. Neříkám, že je tomu tak vždy a všude, ale za zkoušku člověk nic nedá. Jak jsem psal ve své první odpovědi (o 13 stran zpět), dokud nemá člověk reverzní záznam, nemá cenu se ničím dalším zabývat.
Je dobré být si vědom toho, že takové řešení reverzního záznamu je na straně ISP často řešené nějak nestandardně – např. admin upraví příslušný konfigurační soubor. Takže se to pak může občas rozbít, když dělá ISP nějaké změny a zapomene, že má někde něco ručně přepsaného.
Do toho nevidím, ale už dva roky to funguje.
Na neschopnost lze narazit všude. Můžeme mít redundatní konektivitu, ale když někde spadne strom na dráty, můžete čekat na obnovení dodávek elektřiny hodiny. A nebo naopak, překopnutý optický kabel na páteřní trase odpojí půl kraje od intenernetu.
Datacentrum na tohle bude z větší části připravené, ale zase je takové řešení náchylné na interní problémy - nenaběhne generátor, zkolabuje UPS, někdo někde něco špatně nakonfiguruje...
-
Chlapce...
Je mi te uprimne lito.
Tvuj Kapitan Varlatko.
Provoz mailserveru doma je proste nesmysl. Cvicit si to muzes v cloudu a za min penez ve vyssi kvalite. Nebo si muzes koupit sluzbu jako treba O365, nebo protonmail , google.....atp.
Tvuj Kapitan Varlatko.
Sám jsi nesmysl.
-
Chlapce...
Je mi te uprimne lito.
Tvuj Kapitan Varlatko.
Lítost od nějakého genitála si snad ani nezasloužím :D
-
Toto téma mě zajímalo a nebýt teoretických exhibicí některých potrefených hus, šlo by i o hodnotné informace a rady, které jsou takto přehlušeny hýkáním a argumentací na slaměnné panáky.
Co mě ale zajímá konkrétně proč se tak lpí na "správné hodnotě PTR záznamu" a jaký je jeho význam pro (bezpečnost) e-mailu. A řeší se PTR pro směr ven(odesilatel, posílající sere) nebo dovnitř (smtp server pro příjem). Já si myslím, že pro první směr (ven), ale klidně mě opravte. ...A tedy znamená to, že je to nějaká další pojistka aby mail nemohl odesílat kde kdo, kdo má doménu, ale musí to být posvěcené providerem (který má v moci změnu PTR)?
A to hlavní, jak velký problém toto pravidlo PTR vytváří pro případ, kdy mailingová společnost (nebo hostér mailu) používá typicky jeden odchozí mail server, ale hostuje stovky domén(zákazníků, firem).
Z podstaty věci PTR záznam je je unikátní mapování z IP na PTR hostname No a to jako seznam.cz třeba má jako pro každou doménu post,email,seznam mailserver(y) s více IP adresami (nemusí to být nutně více mailserverů, může mít přiřazeno více IP). To se mi zdá absurdní a že mám v úvaze někde chybu. Jako 77.75.1.1 bude mít PTR pro email.cz, 1.2 pro post.... A to nemluvě o Email Profi na vlastní doméně, těch bude tisíce. Nebo tenhle problém 1:1 PTR záznamu pro potřeby obsluhování více odchozích doméén jedním mailserverem ( N:1) řeší SPF?
(Úplně tuším přesně, který teoretik mi odpoví a dopředu děkuju, pokud odpoví, na to co jsem se ptal a né že to dělat nemám. Ale na rozdíl od původního tazatele se ptám teoreticky)
-
PTR záznam neřeší bezpečnost. Používá se pro to, že uživatelé domácích/spotřebitelských přípojek obvykle nemohou PTR záznam správně nastavit. Používá se to tedy jako rozlišení domácích přípojek, protože se předpokládá, že na nich nemá být nic, co by e-maily rozesílalo. Předpokládá se tedy, že „mail u sebe doma“ nikdo neprovozuje. Někteří *** to povýšili na vyšší úroveň, takže i když máte správný PTR záznam, kontrolují jeho obsah – takže za spamera považují třeba i toho, jehož PTR záznam obsahuje číslice. Protože takové PTR záznamy opět používají ISP často na domácích přípojkách…
Používá se to jako antispamová ochrana, tedy když email odesíláte (jste tedy v roli SMTP klienta).
Problém se stovkami domén není žádný – jméno serveru nemusí nijak souviset s doménou, ze které se e-mail rozesílá. Takže server se může klidně jmenovat a.smtp.example.com, a přitom bude rozesílat e-maily s odchozí e-mailovou adresou z doméně example.net a seznam.cz a email.cz atd.
-
Já to pro jistotu zopakuju a vyhledal jsem si odkaz (https://support.google.com/mail/answer/81126)v tomto vlákně: (samozřejmě doufám že se myslím IP adresa odesílajícího SMTP serveru a ne samotného uživatele ;D )
Dodržujte tyto doporučené postupy pro poštovní servery, které odesílají e-maily uživatelům Gmailu:
Ověření záznamu PTR odesílajícího serveru
Důležité: IP adresa odesílatele musí odpovídat IP adrese názvu hostitele uvedené v záznamu PTR. Záznamy PTR se nazývají také reverzní záznamy DNS.
IP adresa odesílatele musí mít záznam PTR. Záznamy PTR ověřují, že název hostitele odesílatele je propojen s jeho IP adresou. Každá IP adresa musí být v záznamu PTR namapována na název hostitele.
A co ti domácí uživatelé, kterým provider dokáže změnit PTR . Těm závidím a závidíš? Nebo takový provider "domácí přípojky" to nesmí změnit (a kdo mu to přikazuje a kdo to hlídá vymáhá a pokutuje)?
Co tedy znamená správný PTR ? Já měl za to, že správný PTR je takový jako "doména emailové schránky odesilatele od kterého přišel mail" . Pak tedy nechápu vyjádření i když máte správný PTR záznam .... jehož PTR obsahuje číslice Tím jsi myslel opravdu vzácné příklady jako domény gifts4you.com nebo 123autobazar.cz nebo 98-12.brno-venkov.cz?
A kruciální otázka k poslednímu odstavci:
Pokud tedy jméno serveru nemusí nijak souviset s doménou:
1. Není to ve sporu s tím citovaným úryvkem nápovědy google
2. Jak je pak řešena triviální obrana, že někdo z tramtárie posíla poštu jménem @policie.cz . Zkusím si odpovědět sám - přeci SPF záznamem (který "uložil policejní ajťák 8)" "na doménu" policie.cz do TXT políčka 8) )
3. Ano, takové případy v praxi existují - ten zmíněný email.cz na vlastní doméně a nebo z jiného soudku velké e-shopy, co outsourcují odesílání infomailů na "velké (spammerské) ryby" jako list-manage, ecomail atfuj.
4. K čemu tedy to "šílenství" s správným PTR, když to není ochrana a řeší to lépe SPF nebo DKIM (stačí jedno z toho)
-
Co tedy znamená správný PTR ? Já měl za to, že správný PTR je takový jako "doména emailové schránky odesilatele od kterého přišel mail" .
Obecně se od PTR záznamu vyžaduje jenom to, aby jméno, na který ukazuje, vedlo i na IP adresu, ke kteréten záznam patří. Nebo-li když bude PTR záznam pro adresu 192.168.0.1 ukazovat na jméno mail.example.com, má existovat i A záznam pro mail.example.com, který vede na 192.168.0.1.
S e-mailovou adresou odesílatele ten PTR záznam nijak nesouvisí. Je běžné, že jeden poštovní server (který má jedno jméno) odesílá e-maily pro stovky domén.
jehož PTR obsahuje číslice[/i][/b] Tím jsi myslel opravdu vzácné příklady jako domény gifts4you.com nebo 123autobazar.cz nebo 98-12.brno-venkov.cz?
Cílí to především na to poslední, ale bůhví, jak to mají tihle vynálezci nastavené. Obvykle se řídí heslem „když se kácí les, létají kusy lesa“ a detaily svého nastavení obvykle tají s odůvodněním, že „přece nebudou napovídat spamerům“. Já bych tedy určitě nedával číslici do názvu zařízení (poslední doménové jméno). A pokud si pro vázev serveru můžete vybrat více domén a některá z nich obshuje číslici, pokud můžete, vyhněte se jí. Pro jistotu. Také je dobré vybrat starší doménu, to také může mít vliv.
Pokud tedy jméno serveru nemusí nijak souviset s doménou:
Přesně tak, nemusí a velice často nesouvisí.
1. Není to ve sporu s tím citovaným úryvkem nápovědy google
V čem je to podle vás v rozporu? Tam se o doméně e-mailové adresy nic nepíše.
2. Jak je pak řešena triviální obrana, že někdo z tramtárie posíla poštu jménem @policie.cz . Zkusím si odpovědět sám - přeci SPF záznamem (který "uložil policejní ajťák 8)" "na doménu" policie.cz do TXT políčka 8) )
Ano, SPF a/nebo DKIM. PTR s tím nijak nesouvisí.
4. K čemu tedy to "šílenství" s správným PTR, když to není ochrana a řeší to lépe SPF nebo DKIM (stačí jedno z toho)
To je dotaz na ty, kdo tu kontrolu PTR záznamů na svých poštovních serverech dělají. Já jsem to vždy považoval za nesmysl.
Jak už jsem psal, někteří správci poštovních serverů bojují se spamem tak usilovně, že je nezajímají žádné ztráty regulérních e-mailů – a vymýšlejí nejrůznější obskurní pravidla, která podle nich správný odesílatel musí splnit. Tak proč ne PTR záznamy? Zejména když každé zařízení připojené do internetu by mělo mít (ne musí, ale koho to zajímá, že) PTR záznam se jménem a to jméno by se logicky mělo překládat zpět na IP adresu toho zařízení. To, že stejné standardy říkají „buď striktní v tom, co odesíláš, a buď benevolentní v tom, co přijímáš“, už ti správci obvykle nevidí.
-
Plny souhlas s „buď striktní v tom, co odesíláš, a buď benevolentní v tom, co přijímáš“. Ja jsem treba extremne benevolentni v tom, co prijimam. Neprijimam velmi malo veci - napriklad neprijimam zadnou komunikaci od vozraleho, pobliteho a pochcaneho bezdomovce, coz je v smtp svete server bez spravne resolvujiciho PTR zaznamu :) Je to proste stejne jako v realnem zivote. Chces-li s nekym normalnim mluvit, musis dodrzet nejaky minimalni kulturni standard.
Jinak vyznam neexistence PTR nahradit SPF ani DKMI nejde. SPF a DKIM si lehce nastavi kazdy, kdo si koupi libovolnou domenu. Zatimco nastavit PTR zaznam u napadeneho pocitace nejakeho duchodce uz je ukol uplne jineho radu.
-
Zřejmě patřím k do tábora oněch "usilovných bojovníků se spamem". Pro mne je nastavení A/AAAA/PTR záznamů prvním krokem k rozpoznání toho, zda to správce dotyčného stroje myslí s provozováním poštovního serveru vážně. Něco jako prokázání základní úrovně kvalifikace. Kdo tímto testem neprojde, s tím se nebavím. Může se mu to nelíbit, může s tím i nesouhlasit, ale to je asi tak všechno. U serveru se správně nastavenými DNS záznamy je naděje, že mne nebude zahlcovat tunami spamu a phishingu generovanými nějakými breberkami. A na filtraci tohoto spamu nebudu muset obětovat příliš mnoho výkonu mého serveru.
-
Oba dva jste napsali jenom o tom, kolik omezíte spamu, ale nenapsali jste, kolik omezíte regulérní pošty. Pokud by vás ale opravdu zajímalo jen omezení spamu a omezení regulérních e-mailů neřešíte, pak je nejlepší poštovní server úplně vypnout – tím zastavíte 100 % spamu.
-
Oba dva jste napsali jenom o tom, kolik omezíte spamu, ale nenapsali jste, kolik omezíte regulérní pošty.
V dlouhodobém průměru nula nula nic.
Snad takový správce umí ve svém mailboxu najít příslušnou nedoručenku. A zeptat se (z jiné mailové adresy), jaký s ním asi tak mám problém. Na to samozřejmě reaguju a slušně odepíšu. No a on je buď schopen problém odstranit, nebo své regulérní maily společně s ostatními členy rodiny či jiného gangu bude muset posílat od různých seznamů, gmailů a jim podobných. Nevidím v tom problém.
-
V dlouhodobém průměru nula nula nic.
Snad takový správce umí ve svém mailboxu najít příslušnou nedoručenku. A zeptat se (z jiné mailové adresy), jaký s ním asi tak mám problém. Na to samozřejmě reaguju a slušně odepíšu. No a on je buď schopen problém odstranit, nebo své regulérní maily společně s ostatními členy rodiny či jiného gangu bude muset posílat od různých seznamů, gmailů a jim podobných. Nevidím v tom problém.
To ovšem znamená, že e-maily odmítáte tak, že se o tom odesílatel může dozvědět. Což není samozřejmé. Pak je samozřejmě otázka, zda se ta nedoručenka k odesílateli skutečně dostane, a také zda bude vědět, co s ní, a zda to bude chtít řešit.
Jinak reálně dnes asi nikdo poštovní server s chybně nastaveným PTR záznamem neprovozuje, protože už to požaduje tolik serverů, že by pořád řešil jen neodeslané e-maily. Zajímavější tohle bylo někdy před patnácti lety, kdy to začínalo.
Na druhou stranu, dnes už s tím zase mnoho ISP počítá a rovnou mají PTR nastavené správně, případně to umožňují změnit.
-
To ovšem znamená, že e-maily odmítáte tak, že se o tom odesílatel může dozvědět.
Můžu odmítat různým způsobem. Na správně nastaveném serveru odesilatele se o tom uživatel dozví v (dejme tomu) obou dvou možných situacích. Buď mail odmítnu ve fázi navázaného smtp spojení. Tím se o problému odesílající server, jeho postmaster i odesilatel mohou dozvědět prakticky v reálném čase. Pokud bych vůbec nedovolil navázat smtp spojení, tak by totéž mělo nastat po cca 3-5 dnech. Tj. za dobu, po kterou mail u odesilatele stál ve frontě a byly činěny pokusy ho odeslat, navázat smtp spojení s protistranou.
Samozřejmě záleží na tom, zda na odesílajícím serveru se na chybové události nějak reaguje, jak je v případě postfixu nastaveno notify_classes, zda ty nedoručenky vůbec někdo čte apod.
Pro ilustraci, k celkovému počtu 12500 mailů přijímaných za včerejší neděli jednou z "mých" přijímacích bran (a připuštěných až k rozhodnutí spam/ham) je potřeba připočíst dalších zhruba 31000 mailů zamítnutých na nižší úrovni postfixem právě kvůli problémům s PTR záznamem. Jsem ale lidumil a zamítám je s kódem 4xx. Takže ve skutečnosti jich je znatelně méně, započítávají se zde i opakované pokusy. (Lze jistě diskutovat, zda v této situaci odmítat s kódem 4xx je lepší nebo horší než s 5xx)
-
Můžu odmítat různým způsobem. Na správně nastaveném serveru odesilatele se o tom uživatel dozví v (dejme tomu) obou dvou možných situacích. Buď mail odmítnu ve fázi navázaného smtp spojení. Tím se o problému odesílající server, jeho postmaster i odesilatel mohou dozvědět prakticky v reálném čase. Pokud bych vůbec nedovolil navázat smtp spojení, tak by totéž mělo nastat po cca 3-5 dnech. Tj. za dobu, po kterou mail u odesilatele stál ve frontě a byly činěny pokusy ho odeslat, navázat smtp spojení s protistranou.
Pak ještě existuje třetí způsob, který vy třeba nepoužíváte, ale jiní ano – e-mail jakoby přijmete k doručení a pak ho zahodíte.
Samozřejmě záleží na tom, zda na odesílajícím serveru se na chybové události nějak reaguje, jak je v případě postfixu nastaveno notify_classes, zda ty nedoručenky vůbec někdo čte apod.
Také může být problém, pokud se na straně odesílatele e-mail hned nedoručuje adresátovi, ale předává se přes několik serverů. Pak může být problém zpět vracet jenom ty nedoručenky, u kterých máme jistotu, kdo byl odesílatelem.
Pro ilustraci, k celkovému počtu 12500 mailů přijímaných za včerejší neděli jednou z "mých" přijímacích bran (a připuštěných až k rozhodnutí spam/ham) je potřeba připočíst dalších zhruba 31000 mailů zamítnutých na nižší úrovni postfixem právě kvůli problémům s PTR záznamem.
Takže ale nevíte, kolik z těch 31000 zamítnutých e-mailů byl regulérní e-mail.
Jak jsem psal, pokud se chcete chlubit jenom tím, kolik spamu zastavíte, pak je nejlepší odmítat všechny e-maily. Odpověď „z 43500 pokusů o doručení e-mailu server 31000 pokusů rovnou zamítl, poměr spam/ham u zamítnutých e-mailů neznám, ale jsem přesvědčený, že hamu je tam velmi málo, protože se ke mně za 5 let nedostala žádná informace o problémech s doručením“ považuji za férovou – prostě něco nevíte, ale máte dobrý důvod si myslet, že moc hamu neodmítáte. Pokud ale někdo napíše jenom „odmítám e-maily z klientů s chybným PTR záznamem a zbavím se tak spousty spamu“, svědčí to akorát o tom, že dotyčný moc nepřemýšlí o tom, co dělá, a kdyby se mu ztrácela pětina e-mailů, nejspíš to ani nezjistí.
Jen aby bylo jasno. Já netvrdím, že se má někdo pokoušet provozovat SMTP klienta na zařízení se špatně nastaveným PTR záznamem. Sice je ta kontrola principiálně špatně, ale dneska je holt nutné počítat s tím, že to kontroluje prakticky každý. Takže pokud někdo chce z nějakého zařízení rozesílat e-maily, ať pro tu IP adresu zajistí správný PTR záznam. A provozovatelé SMTP serevrů by si na oplátku mohli zkontrolovat, jak bude jejich řešení fungovat, až začnou e-maily přijímat přes IPv6.
-
Oba dva jste napsali jenom o tom, kolik omezíte spamu, ale nenapsali jste, kolik omezíte regulérní pošty. Pokud by vás ale opravdu zajímalo jen omezení spamu a omezení regulérních e-mailů neřešíte, pak je nejlepší poštovní server úplně vypnout – tím zastavíte 100 % spamu.
No jeje! A tech genialnich napadu od bezdomovcu, se kterejma se taky nebavim, myslite, ze tech bylo taky hodne?
-
mailserver mam zatim porad doma po presunu z dedikovaneho serveru, PTR mi nastavil provider internetu na fqdn VPS, mikrotik NATuje 25, 143, 993, 587 a 465 tusim, dovnitr na proxmox s tim danym virtualem, pokud nebude mit provider vypadek 5-7 dnu tak by se prichozi posta nemela nikam ztratit (s takovym vypadkem internetu by byl tento provider uz stejne minulosti, minus jeho predni zuby)
idealni by bylo mit jeste nekde nejaky virtual jako backup mx a taky to prestehovat nekam ven (mimo cloudy tam je posta blokovana a spravovat to je stupidni prace v kazdem smeru)
potom se da pouzit proxmox mail gateway jako "prostrednik" (nastaven v MX zaznamech jako postovni server) filtrujici spamy, viry, greylisting atd. a odtud to smerovat na ruzne dalsi mailservery apod. varianty, ale to jsou zase jine pribehy...
-
Jenomže s tím jsem se setkal i na Office 365 i u Google. Na vlastním poštovním serveru mám alespoň ty logy. U těchto služeb nemám nic.
minimalne u google workspace ty logy mas.
a u Microsoft 365 taky :)
-
už tu toho napsalo hodně lidí, přečetl jsem si prvních 6 stran diskuze, dál už jsem to vzdal.
já se přikláním spíš ke kolegům, kteří nedoporučují starat se o vlastní poštovní server. já jsem s tím taky začal někdy v roce 2005. měl jsem kompletní server včetně domény, založený na windows sbs 2003, později na 2008, následně samostatných produktů windows server 2012 a exchange server 2013 a nově Microsoft 365/Exchange Online.
pro začátek to byla dobrá škola, získal jsem tak praxi řešením problémů u sebe a následně pak i u zákazníků. nicméně časem už to je občas opruz když máte potíže s doručováním pošty. jak píšou ostatní, zdrojem problémů může být mnoho různých potíží, jak označení za spam, třeba i neoprávněně, což se mi tak nestávalo často, jako spíše různé provozní/technické potíže a zejména nejčastěji potíže se změnami IP adres nebo PTR záznamu ...
email je rozhodně kritická služba a je nesmysl tvrdit opak. přepokládám že si chceš zřídit mail proto abys jej používal, musíš se pak rozhodnout jestli máš čas případně i řešit potíže, které ti můžou někdy trvat i hodiny. to je to co mě časem utvrdilo v tom, že ač nerad, přemístil jsem poštu do cloudu. když se něco stane, stará se microsoft a ne já.
kdysi jsem měl hodně času, a mohl si hrát s kdekým/kdečím, teď ale se potřebuji soustředit na svou práci a ne zničeho nic všeho nechat a řešit proč nefunguje pošta ...
pokud nejsi spokojen se stávajícím isp, doporučuji přejít na microsoft 365, nebo google workspace. obě služby jsou léty prověřené a stabilní.
-
už tu toho napsalo hodně lidí, přečetl jsem si prvních 6 stran diskuze, dál už jsem to vzdal.
já se přikláním spíš ke kolegům, kteří nedoporučují starat se o vlastní poštovní server. já jsem s tím taky začal někdy v roce 2005. měl jsem kompletní server včetně domény, založený na windows sbs 2003, později na 2008, následně samostatných produktů windows server 2012 a exchange server 2013 a nově Microsoft 365/Exchange Online.
pro začátek to byla dobrá škola, získal jsem tak praxi řešením problémů u sebe a následně pak i u zákazníků. nicméně časem už to je občas opruz když máte potíže s doručováním pošty. jak píšou ostatní, zdrojem problémů může být mnoho různých potíží, jak označení za spam, třeba i neoprávněně, což se mi tak nestávalo často, jako spíše různé provozní/technické potíže a zejména nejčastěji potíže se změnami IP adres nebo PTR záznamu ...
email je rozhodně kritická služba a je nesmysl tvrdit opak. přepokládám že si chceš zřídit mail proto abys jej používal, musíš se pak rozhodnout jestli máš čas případně i řešit potíže, které ti můžou někdy trvat i hodiny. to je to co mě časem utvrdilo v tom, že ač nerad, přemístil jsem poštu do cloudu. když se něco stane, stará se microsoft a ne já.
kdysi jsem měl hodně času, a mohl si hrát s kdekým/kdečím, teď ale se potřebuji soustředit na svou práci a ne zničeho nic všeho nechat a řešit proč nefunguje pošta ...
pokud nejsi spokojen se stávajícím isp, doporučuji přejít na microsoft 365, nebo google workspace. obě služby jsou léty prověřené a stabilní.
Jiste pane predsedo, a ted zpatky do chliva - protoze jenom prase udela datum jako 32 bit a musi to byt fest divocak, aby to meli jako signed, protoze tri kralove se jiste domlouvali na navsteve betlema skrze mejly... :-)
https://www.root.cz/zpravicky/rok-2022-zpusobil-chybu-v-serveru-microsoft-exchange/
(soudny clovek nezvoli MS platformu pro maily, takze vsechno spatne, uz od doby co jste sahl na pocitac)
-
Od žádný korporace typu Google a Microsoft nechci nic ani zadarmo. Osobní email není kritická služba. O svou ledničku se taky starám sám a to si myslím, že je o dost důležitější, než nějaký email.
Firemní email je něco jinýho, ale zase firma má jiný prostředky k zajištění spolehlivosti. Je potřeba si spočítat případné škody při výpadku, ale to platí u všeho.
Samo od sebe se v IT pokazí málo co. Většinou k poruše dojde při nějakém zásahu - změna konfigurace, aktualizace, migrace a podobně. A zrovna minulý rok byl na podobné výpadky u globálních poskytovatelů docela plodný. O vyhořelých datacentrech ani nemluvě...
-
Jiste pane predsedo, a ted zpatky do chliva - protoze jenom prase udela datum jako 32 bit a musi to byt fest divocak, aby to meli jako signed, protoze tri kralove se jiste domlouvali na navsteve betlema skrze mejly... :-)
https://www.root.cz/zpravicky/rok-2022-zpusobil-chybu-v-serveru-microsoft-exchange/
kdyby jsi četl pozorně, všiml by sis, že problém je pouze na onpremise platformě, to je ta co již nepoužívám :) takže mne se daný problém nijak netýkal :)
mimochodem samozřejmě, exchange a obecně windows jsou jediný a chybný sw, vše ostatní je naprosto bezchybné a sluníčkové :)
(soudny clovek nezvoli MS platformu pro maily, takze vsechno spatne, uz od doby co jste sahl na pocitac)
samozřejmě, jediný a správný OS je jen a pouze Linux a nic jiného :D
mám jeden takový drobný problém, jak jsem měl v roce 1989 pracovat s počítačem? měl jsem zavolat Linusovi aby s tím pohnul a uveřejnil svoje jádro dříve? nebo mi měl poskytnout nějakou alfaverzi? a jak jsem se měl o existenci Linuxu dozvědět? :)
nebo možná asi jsem ten počítač neměl ani zapínat, protože jsem měl už v tu dobu vědět, že za dva roky vznikne něco krásného a nádherného, co ovlivní celý svět, že? :D