Компания Proxmox, известная разработкой дистрибутива Proxmox Virtual Environment для развертывания инфраструктур виртуальных серверов, представила релиз дистрибутива Proxmox Mail Gateway 8.0. Proxmox Mail Gateway преподносится как готовое решение для быстрого создания системы контроля за почтовым трафиком и защиты внутреннего почтового сервера...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=59392
т.е. для этого целый дистрибутив линукса отдельный надо на базе дебиана?
Прикинь и еще могут выделить отдельный сервер для этого. Чудеса какието да?
можно хоть 10 серверов, но отдельный дистрибутив?
админа локалхоста видно издалека
> админа локалхоста видно издалекаперестань пялится в зеркало
Да им проще отдельными димтрибами на базе proxmox делать
Просто одна база на 3 продукта
Более чем разумно, чем пилить допы
Это вам не 3 пакета, а 100ни в обвязке
> Да им проще отдельными димтрибами на базе proxmox делать
> Просто одна база на 3 продукта
> Более чем разумно, чем пилить допы
> Это вам не 3 пакета, а 100ни в обвязкевидел я нечто подобное вокруг постфикса, Zimbra например, не впечатлило ни разу, конечно оно имеет право на существование, но это всего лишь мейл шлюз... это же даже не супервизор, попали в ловушку собственного архитектурного решения
>> Да им проще отдельными димтрибами на базе proxmox делать
>> Просто одна база на 3 продукта
>> Более чем разумно, чем пилить допы
>> Это вам не 3 пакета, а 100ни в обвязке
> видел я нечто подобное вокруг постфикса, Zimbra например, не впечатлило ни разу,
> конечно оно имеет право на существование, но это всего лишь мейл
> шлюз... это же даже не супервизор, попали в ловушку собственного архитектурного
> решенияТвои варианты как более правильно?
>>> Да им проще отдельными димтрибами на базе proxmox делать
>>> Просто одна база на 3 продукта
>>> Более чем разумно, чем пилить допы
>>> Это вам не 3 пакета, а 100ни в обвязке
>> видел я нечто подобное вокруг постфикса, Zimbra например, не впечатлило ни разу,
>> конечно оно имеет право на существование, но это всего лишь мейл
>> шлюз... это же даже не супервизор, попали в ловушку собственного архитектурного
>> решения
> Твои варианты как более правильно?ну гитлаб же как-то крутится, и саппортит как встроенный nginx так и внешний и т.д.
устанавливается одним пакетом
сам по себе не менее монструозный
И что это значит?
А ровным счетом ничего.
Почему они так сделали, надо у них спрашивать. В их случае, так правильно. А в миллионах других случаях, делают по 10 серверов с резервными энджинксами. И это тоже правильно.
Так как правильность происходит от требований. А не наоборот.
Да, отдельный дистрибутив. В чем проблемы?
Это апплайнс.
> Системная часть дистрибутива базируется на пакетной базе Debian. Возможна установка компонентов Proxmox Mail Gateway поверх уже работающих серверов на базе Debian.Какие буквы тебе незнакомы, что ты смысла не понимаешь? Можешь ставить эту шнягу на свой уже установленный дебиан, который там крутит какие-то твои шахматы с поэтессами.
Просто представь себе другую ситуацию. Кто-то написал программу для винды. Для ее работы нужна винда. На голом железе она не работает. (Пока возражений на такое состояние дел у тебя нет?). И этому кому-то с барского плеча MS разрешила с софтом распространять и винду (фиг знает что он там такого сделал всему составу директоров и главным акционерам). И теперь этот чувак, просто потому, что может, распространяет две редакции своего софта - его прога вместе с целой виндой (вдруг у тебя такой с нужной версией еще нет) и прога без винды (если у тебя ее еще нет или "гранаты другой системы" (неподходящяя версия, "от редхат")). На первый вариант так же будешь кипеть "и для этого целую винду ннада?!?!?!?!!!! Бестолочи!"
праздник для российских и китайских промышленных интеграторов (читай эникейщиков). больше это никому не нужно
То есть ты таким образом хотел сказать, что в этом ничего не понимаешь?
Сложные пути выбираешь для этого
Да что вы накинулись на дитя, оно же честно призналось, что еще мало - посмотрите на никнейм - "12yoexpert", т.е. "12 year old expert". Оно еще только начинает мир познавать, в столбик умножать учится.
Чоткие пацанчики ставят эксчендж, забывая попутно настроить DNS и заголовки, потому что считают, что домен это AD.
Да что ты несёшь, оспадя(
OpenZFS, постгрес, серьезно? На почтовом шлюзе?А, и спамассасин тут же, прям все, как я люблю.
Из коробки решение, чтобы ваша почта стала глючить и тормозить.
> Для разблокировки можно использовать код восстановления доступа или отправить запрос администратору.
И еще юзерам туда доступ давать? Отлично отлично например, ну прям все-все, как я люблю.
> И еще юзерам туда доступ давать?нда.
Что "нда"? Зачем юзеру доступ на почтовый гейт?
Нда, это удивление, как такая мысль могла прийти в голову админа ?
Можно даже всю систему на ZFS и нормально.
> Можно даже всю систему на ZFS и нормально.У них до недавнего времени целевая фс под все была ZFS. Теперь на btrfs переехали, как я понимаю, из-за более дружелюбных лицензий и полной поддержки в ядре, но ZFS так и осталась для обратной совместимости.
postgres в KSMG вас не удивляет?
И да, у него тоже есть доступ пользователей к бэкапу сообщений
Это ср ный почтовый гейт, какой там может быть бэкап сообщений и зачем?
Могу предположить, что штатные средства бэкапа почтовика exchange весьма ограничены, а тут можно тюнинг.
> Из коробки решение, чтобы ваша почта стала глючить и тормозить.для подвала с десятком прикованных рабов - вполне сойдет, десяток их ценных писем в день как-нибудь да доедет.
> И еще юзерам туда доступ давать?
да ты, смотрю, и до подвального админства еще не дотянул? О сколько ж тебя ждет неожиданных открытий когда ты покинешь локалхост...
чОрная тема есть.
Без неё никак!Чёт кол-во новых фич прям как в последних поколениях айфонов.
А зачем улучшать идеал?Ну, а кроме шуток, тут скорее основная фишка - переход на новый дебиан. Остальное завезут позже.
Надо поставить в виртуалку. Глянуть как у умных сделано, ведь проблема Васяна не в том, что он не знает как его зовут, мне уже много раз об этом напомнили. А спросишь как, правильно - говорят что в гугле забанили. Хоть посмотрю как у людей кудри вьются. Иххх, о бедном Васяне, замолвите слово.
Заманчивая штука, попробовал, попользовался, проблевался и выкинул.То есть вроде бы этот продукт работает, но как нормальный аплаянс для фильтрации почты оно не тянет. И вот вам несколько причин:
1. Он не знает, что такое recipient-фильтр
По идее, аплаянсы подобного типа должны отсечь письмо, если они не знают поле "To:"
И они отсекают, по принципу нет ящика/алиаса в инфраструктура - нет смысла делать запросы во внутреннюю инфраструктуру.
Принцип обычного аплаянса:
- загружаем и синхронизируем адресную книгу из внутренней инфраструктуры в локальный LDAP
- проверяем входящие письма на основе полей объекта inetOrgPerson (rfc2798)
- отсекаем письма с неверным recepient
- шлём стилизированные баунсы про "письмо не доставлено"
Принцип проксмокса:
- все письма, которые были проверены пайпланами проксмокса верны
- есть получатель или нет проверять нет смысла
- все письма шлём по SMTP во внутреннюю инфраструктуру.
То есть чисто теоретически можно самим поднять OpenLDAP, самим присосать адресную книгу из внутренней инфраструктуры и преобразовать её в удобоваримый формат для постфикса, самим подключить это к постфиксу и потом самим следить через консоль за своим фильтром, потому что интерфейс PMG это не поймёт. И это при том, что там LDAP-синхронизация есть, но она для другого... Она даёт пользователям из некоторого каталога доступ к веб-интерфейсу, чтобы менеджить ящик карантина, который PMG на себе держит.2. Вечные проблемы с non-ASCII
Разработчики Proxmox не умеют решать проблемы с кодировками. Если вы так любите свой Perl5, так научитесь блин в нём писать с поддержкой Unicode. Хотя бы делайте Unicode Escape как в JSON. То есть русские буквы в имени пользователя приходили из LDAP-каталога и криво писались в строки, потому что строки не мультибайтные. А потом эти кракозяблики подавались во все интерфейсы вебки, потому что ни один вызов REST API в проксмоксовской вебке и помыслить не может, что что-то может прийти в другой кодировке.
Причем проблемы доходили до смешного. На 25-м порту висит postscreen, заворачивающий письмо в perl-скрипт. Письмо виснет в очереди, потому что в его заголовках присутствуют мультибайтные символы.
Когда я пробовал эти баги еще не были решены:
https://bugzilla.proxmox.com/show_bug.cgi?id=3005
https://bugzilla.proxmox.com/show_bug.cgi?id=2465
Я сталкивался с обоими. Сейчас вроде исправлены, но пробовать и искать новые проблемы с кодировками я уже не хочу. И если вы внимательно посмотрите на даты, то поймете сколько времени занимает у Proxmox исправления собственного неумения работать с мультибайтовыми символами. Перлопроблемы...3. Пользователям из РФ на заметку. Cisco не даёт ClamAV в Россию, поэтому PMG, который его использует из коробки у вас не заработает. Настраивайте прокси-сервер и ходите за обновлениями через другую страну.
4. Оно конечно может быть отказоустойчивым и сбалансированным, но только через NAT/DR.
Его можно сделать отказоустойчивым через keepalived+conntrackd. 3 PMG + 2 балансировщика. Я использовал NAT для организации балансировки нагрузки, потому что сервера PMG по смыслу должны располагаться в DMZ.А вот если вы попробуете настроить HAproxy с использованием милтера для Postfix, который она предоставляет для балансировки 25-го порта, то вы горя хапнете, когда откроете конфигурацию PMG и попытаетесь туда добавить. Заодно посмотрите, что они там навертели.
5. Как и многие разработчики Linux в Proxmox не умеют работать с каталогами.
Вот есть у вас служба каталогов во внутренней инфраструктуре с LDAP-ом и тикетами Kerberos. И вот вы хотите предоставить доступ к веб-интерфейсу управления карантинными ящиками.
Обычный аплаянс:
- заводится сервисная учетка
- настраивается делегирование и SPN
- HTTP Basic конвертируется в Kerberos
- приложение в DMZ ходит на выделеные сервера каталогов за аутентификацией и данными, на которых нет хэша паролей, аутентификация идёт по цепочке (приложение-> периметрически каталог-> внутренний каталог)
- предоставляется опция прицепить OpenID/SAML2, чтобы вынести аутентификацию вебки на прокси-сервера служб децентрализированной аутентификации в том же периметре.PMG:
- зацепиться к основному каталогу по голому LDAP (порт 389)
- высосать объекты пользователей вместе с паролями
- хранить хэши паролей внутри LDAP-кэша перловых плугинах в недоверенной сетевой зоне.
Б - значит БЕЗОПАСНОСТЬ.Причем я, конечно, могу поставить периметрический RODC (в случае с AD) или любой другой каталог с кастомным LDAP-фильтром, но PMG всё равно хочет хэши паролей, потому что аутентифицирует только через свою перловую форму и только относительно базы или кэша.
Ирония в том, что это решение должно было быть средством безопасности, а не дырой внутри нее. А еще оно должно быть антиспамом и мейл гейтвеем, который должен защитить от наплыва мусорного спама. И еще её кто-то там продвигал как решение для РФ, с тонной постоянно вылазящих проблем с кириллицей и заблокированным в РФ антивирусом. Ой всё...
Спасибо! Если 1. я не осознал полностью, то п.2 сберёг мне немножко этого лета. Отложу до холодов.
А разве postfwd не заменит это чудо ?