Názory k článku Stavíme mailový server: instalace

tych 8 litrov userov je pravda? kolko to robi in/out mailov denne? staviam teraz mail server na cca. osminovu zataz a zvazujem HW a trochu by mi to rozsirilo obzory.

pocet uzivatelu je irelevantni, dulezite je kolik mailu musi server zpracovat; ja bych s ohledem na soucasne ceny zvolil rozhodne jinou HW konfiguraci

vsak preto tam je druha DOLEZITA otazka, kolko to urobi mailov IN/OUT denne. treba citat... :)

Sotva jsem na tuhle stranku vlezl, zobrazil se mi hned pod nadpisem pres ctvrt obrazovky reklamni banner na Microsoft Windows Server 2003 - to je fakt DRSNY!!! :-(((

Tohle už tu párkrát proběhlo, pokud by M$ jen finančně podporoval servery, zabývající se free softem - nic proti!
A nebude to náhodou použitým browserem a OS? Mě se na ROOTovi v linuxové Mozille M$ bannery už dlouho nevnucují...

Zvlastni me porad. Debian/Firebird

Mně už ne (RH73/Mozilla1.4CS)

No jo, já zapoměl, že mám v Mozille zapnutý flashblock! Omlouvám se...

Mě se objevují - SuSE Linux 8.2 a Mozilla 1.5.

Ale vůbec mi to nevadí.

používejte squid a squirm a na bannery můžete zapomenout.

Halooooo! Zobudte sa!!! je to predsa obycajna reklama, nikto Ta nenuti aby si si ho kupoval, alebo sa mylim? :))

Zase si nehrajme na to, ze se jedna o beznou vec... Nevim, jestli by se v nejakych materialech Microsoftu objevila treba reklama na SuSE. Navic takhle hnusna, se kterou ma clovek na notebooku s P133MHz a 14kbps modemem celkem problemy...

vysvetlite mi niekto co je to ten tcp port 7?
Ja som bol vyucovany, ze ping je icmp echo-request-reply, takze toto mi je novinka.

Tak to se připojuji k dotazu, protože jsem v životě o pingu na tcp fakt neslyšel...

http://www.codeguru.com/network/TCPPing.html

Už mám jasno, díky.
-tomv

Ak chcete nieco blizsie ne temu instalacia secure BSD tak tu: http://www.littlewhitedog.com/reviews_other_00029.asp

Navrh: nebylo by efektivnejsi nejprve pouzit kontrolu na SPAM a pokud bude oznacen mail jako SPAM, tak ho rovnou zahodit a neprovadet uz kontrolu na viry?

Spam se vetsinou nezahazuje, jen se oznaci. Co si s oznacenym spamem udela uzivatel, to uz je jeho vec. Hrozi totiz, ze byste vyhodil nejaky spatne oznaceny nespam.

Cus,

a co treba postavit korporacni inet-mail server na technologii J.A.M.E.S (james.apache.org) ? Je tu nekdo, kdo jej pouziva ?

zasadni otazka - proc?

hehe, budes prvni na svete kdo to pouzije :)

Zcela urcite nebude. Je to dost dobre napsana vec. Vzhledem ke svym moznostem rozsirovani (je to otevrena Java aplikace s prijemnou licenci) je to ale (podle me) vhodne hlavne jako lehky smtp a fetchpop nastroj do existujicich aplikaci.

Proto :-)

protoze kdyz se trochu hloubeji podivas na jeho architekturu, ktera je zadadne odlisna od cehokoli, co je v tyhle sfere k videni (zejmena koncepce MATCHER - MAILET - _objektove tridy_) a vubec modularni objektova koncepce postavena nad jakarta avalon frameworkem, tak zjistis, ze mas k dispozici neomezenej nastroj u kteryho pochybuju, ze bys narazil na neco, co by s nim neslo resit ...

V ramci naseho reseni, jaxem psal, pisu vlastni matchery a mailety, ktery resi/budou resit nase specialni pozadavky - a uprimne receno - psat to jako objektovy tridy a manipulovat s mailem pres tak mohutnej nastroj jako je JavaMail API, je IMHO uplne jina dimenze prace a produktivity ...

Uniká mi smysl blokování odchozích spojení na firewallu. Připadá mi to dobré akorát k tomu, že až to někdo hackne, tak ho to bude prudit. Já osobně bych dal přednost prevenci :-)

Ceho prevence to ma byt konkretne? Myslel jsem, ze cim mene potencialnich der, tim lepe...nicmene pokud se nekdo zarootuje, muze mu nejaky FW jit k sipku, nepletu-li se :)

Prevenci myslim kroky, kterymi predejdu a ci ucinim co nejmene pravdepodobny prunik. Blokovanim odchozich spojeni akorat trochu omezim moznosti nekoho, kdo uz tam pronikne (pochopitelne kdyz se dostane rovnou na roota, tak je to uplne jedno).
Secteno podtrzeno nevim, proc blokovat odchozi konexe a uz vubec to nechapu na serveru, na kterem krome postovnich a nekolika dalsich demonu nic nebezi (na serveru s uzivatelskymi ucty bych to jeste castecne pochopil, i kdyz by se mi to take zdalo podezrele).

Zrejme zalezi na konkretnim resiteli. Podle me to smysl ma. Napr. pokud tam mate xterm, tak se muze stat, ze ho nekdo pres blby cgi skript spusti. Nu a pokud bude razantne zamezeno odchozim spojenim, tak se xterm nebude mit moznost nakreslit u crackera na obrazovce.

Takovych variant lze vymyslet vicero.

Co se tyce toho, ze kdyz mate roota, je to zle. Pokud mate na fyzicky jinem pocitaci firewall, tak sice mate v DMZ na pocitaci roota, ale firewall neprekonfigurujete a tak se ten root bude hure pouzivat. Samozrejme pokud dodrzujete to, ze mate na firewallu jine heslo a ze firewall jako takovy treba ani nema instalovane ssh.

openBSD ma securelevely, ne? takze i kdyz se nekdo zarootuje tak pokud system bezi v pozadovanym seclevelu, nemuze bez jednouzivatelskyho pristupu menit configuraci.

Zdar,

otazka jestli prevence XOR filtrovani odchozich spojeni je principelne nesmyslna. Otazka je zakazat odchozi spojeni nebo nezakazat odchozi spojeni.

Zakazani odchozich spojeni pomuze
-v pripade automatickych udelatak/cervu/... ktere pro svou funkci predpokladaji neomezena spojeni ven
-proti moznym dalsim skodam zpusobenym utocnikem na serveru, napriklad masove rozesilani spamu, utoky na dalsi pocitace a pod.

"Hloupe utocniky" typu clovek se stazenym skriptem, kteremu nerozumi nebo automatizovana pomucka to muze rozhazet uplne, chytreho utocnika to bude prudit.

Nevyhodou jsou drobne obtize pri administraci (autor clanku zjevne server nainstaloval, ze se bude muset zaplatovat, synchronizovat cas atp. - a kvuli tomu zrejme otevirat nejaka spojeni nekam - se nejak neresi).

Neni-li vaznych duvodu povolit, tak odchozi spojeni zakazat.

Já jsem tedy na tuhle debatu moc malý pívo, ale zajímalo by mě něco jiného - čistě ze zvědavosti. Existuje OS, který je tak dokonalý, že se nedá z netu hacknout (nebo ho aspoň dodneška nikdo nahacknul)? Myslím samozřejmě případ, kdy je správce systému na úrovni a neudělá nějakou hloupou chybu v zabezpečení.
P.S. Odpovědi typu "hacknout se nedá systém, který není připojený k Síti" neberu :-)

System bez chyb neexistuje. Jedine, co muzete udelat, je ignorovat sit, pak vas pres ni nekdo tezko hackne :). Ono je to taky to tom, ze cim vic toho na serveru bezi tim hur se to sleduje, vcetne bezpecnostnich der.

Ale takovy system asi opravdu neexistuje. Muzes pouzit jen to co ma k idealne bezpecnemu systemu nejblize a to je OpenBSD.

"idealne bezpecnemu systemu nejblize a to je OpenBSD."

To je absolutni nesmysl (a i kdyby misto OpenBSD byl uveden jiny OS). Jednak zalezi na konkretni situaci, takovy vyrok v uplne obecnosti nema smysl.

Btw "bezpecny operacni system" ma spis dva vyznamy
- jeden, kdy to souvisi s pojmy jako "pocet der za rok" nebo "dostupnost exploitu" nebo "dostupnost zaplat" a obecne "dobra implementace
- druhy, kde to souvisi s pojmy jako "formalni model bezpecnosti", "MAC", "CC" a pod.

V bezpecnosti prvniho typu je na tom dobre spravovany OpenBSN system mozna malinko lepsi nez treba dobre spravovany FreeBSD system.

Bezpecnost druheho typu je IMHO "ta dulezitelsi" bezpecnost, a OpenBSD je v ni z rozsirenych BDS/GNU OS zdaleka nejhorsi.

Kdyby Vas to tema zajimalo, hodte si do Googlu treba "trusted os", "trustedbsd", "kernel security modules", "rsbac", "eros os".

Nevim jak jste k tomuto zaveru dosel, nicmene zde se asi neshodneme. Dle meho nazoru je v soucasnosti OBSD opravdu ten nejbezpecnejsi system (vseobecne vzato) jaky je volne k dispozici. Neopiram se pouze o svuj nazor ale take o nazory mnoha studijnich praci.
Ovsem co me tyce, nevyhovujici je podle me i Unix jako takovy vcetne "klonu" Linuxu apod. Problemem je, ze ani jeden z techto systemu nebyl nikdy primarne zameren na bezpecnost nebo se ni prilis nezaobiral.
Dle meho nazoru je nacase vytvorit uplne novy system na kompletne novem zaklade, ktery bude splnovat vsechna kriteria bezpecnosti, spolehlivosti a vykonosti. Neni preci mozne jeste v tretim tisicileti neustale cerpat ze zdroju 20 a vice let starych.

Začal bych tím, že se zahodí kolo -
tak je to stará vykopávka :-)

O bezpecnostnich navycich ted pisu clanek do Softwarovejch novin a taky ted bude ode me v Linux+ neco o firewallech, v obou z nich dohromady je podrobnejs rozepsano to, ze nasleduje.
Obecne se da rict, ze pokud nepotrebujes na svou masinu zvenku (vetsina BFU nepotrebuje), tak proste postavis paketovej filter, co vsechno zvenku, co nepatri k zadny konexi navazany zevnitr, zahodi, a vis, co Ti pak muzou :)
Pokud ses za maskaradou, taky na Tebe nikdo krom vnitrni site nemuze.
Nejvetsi pruser jsou uzivatele, jejich blby navyky a snadno uhodnutelny hesla. Jakmile povolis byt~ i jen kousicek (jen ssh zvenku) a zalepujes diry jak blazen, vzdycky se muze stat, ze nakymu blbymu uzivateli utece heslo (protoze ma treba stejny na vic masinach nebo se loguje PerMviodkud) a v tu chvili Ti bezpecnost OS je na nic... (samozrejme na rozumne udrzovanym systemu da hackerovi daleko vic prace povysit z uzivatele na roota, ale uz ma podstatne lepsi moznosti, nez kdyby byl uplne venku).

Trochu bych ti oponoval - "pokud ses za maskaradou, taky na Tebe nikdo krom vnitrni site nemuze" - takhle jednoduse napsat nejde.

Prakticke moznosti utoku na pocitac zahazujici prichozi spojeni, avsak vyuzivany k nejake praci - see
http://www.krypta.cz/articles.php?ID=128

No dobry, ale za to uz nemuze system, ale blbec uzivatel :) (tedy to, co ja neustale propaguju :)). Ja osobne maily ctu nalogovanim via ssh na vzdaleny server a web pouzivam jen omezene na selected mnozinu stranek, navic muj browsic o sobe prohlasi, ze je "Frigidni sestra", a jinak nic (OK, kazdemu je pak asi jasne, ze to je Links :)).
Ale nebudu nikoho vyzyvat, at mi hekne masinu, protoze otevreny porty na ni jsou, takze se rozhodne nechova podle schematu dokonale bezpecneho pocitace :)

Rozhodně, bez uživatelů by počítače byly mnohem bezpečnější :))

U toho co popisujes staci ovladnout ten vzdaleny server a pockat si na diru v ssh klientu.

Uplne idealni by bylo napsat si vlastni OS a vsechny programy co budes pouzivat... kdyz ho nedas nikomu jinemu dost tim snizis riziko (uspesneho) napadeni...

A ikdyby se ti tam nekdo prolamal, tak se v tom stejne nevyzna... :)

No,

kdyz uz se hleda opravdu bezpecne reseni, vetsinou to nebyva na unixove bazi. Jako die-hard VMSak samozrejme odkazu na OpenVMS (klidne vystavim na internet neopatchovanou defaultni instalaci, pokud si nekdo chcete zaradit :-)), ale i IBM mainframy jsou na tom dost slusne..

U tech unixu je to tezke, ale obecne plati, ze pokud spravce patchuje a stara se, je jedno, na cem bezi. Kdyz nepatchuje, nejaka remote dira se casem vzdycky najde a potom uz je to jen otazka schopnosti/motivovace utocnika, nez se k rootu prokouse :-))

NO FLAMES, pouze vyjadruji svuj nazor!

Woland

(...z realnych zkusenosti Postfix+filtry)

"Při rozdělování disku tedy můžeme celý systém umístit na jednu partition."

Asi docela dává smysl oddělit /var, v pripade havarii/DoS utoku/... je mensi riziko poskozeni root fs.

Pripadne vyhradit zvláštní fs pro frontu posty a kontroly. Vyhrat si pak lze treba s nastavenim nosuid noeexec vlastnosti fs.

"Naroky na server pri 8000 uzivatelich".

Pokud ti uzivatele dostavaji i nejaky docela predstavitelny pocet mailu, treba 50/den, 400000 msgs/day... 8msgs/sec tak te konfiguraci serveru neverim. Postfix to v pohode zvladne, ale ze to kombinace antiviru a predevsim Spamassassina zvladne filtrovat pri 128M pameti v rozumnem case?

Este bych se chtel zeptat - s tim hafem kompresnich programku - co ta konfigurace rika na "(Zip/Arj/RAR...)ofDEATH" utoky?

na jednom zo serverov bezim podobne riesenie, aj na podobnom hardwari (amd 800mhz, 128mb ram), akurat namiesto amavisu mam mailscanner a je to pod linuxom. mailscanner si strazi odvisnutie utilitiek ktore vola, takze by to malo byt vcelku odolne.

prave vcera vecer som tomu stroju pomahal spamatat sa. rano sa zakusol freshclam (raz za par mesiacov sa mu to stane), co je utilitka na stahovanie virovej databazy. kvoli tomu sa zastavilo procesovanie mailov. vecer som ho zabil, a server isiel do sraciek. load na strope, odozvy priserne. on totiz spustil paralelne scannovanie viacerych mailov, co samozrejme trvalo dlhsie nez ked sa scannuje len jeden, uplynul timeout, mailscanner odstrelil childa, a za chvilu to pustil zas. hodnu chvilu som sa hral s konfiguraciou, az som mu natiahol timeouty a znizil pocet paralelnych procesov tak, ze tie timeouty mali este nejaky zmysel. mailscanner si childov este chvilu strielal, ale nieco sa vzdy prescannovalo a fronta sa asi za pol hodiny vyprazdnila. to najlepsie si nechavam na koniec - vo fronte tam stalo 91 mailov pricom len cca 5 z nich malo nieco cez megabajt. smutneee.

a este jeden priklad - nasadzoval som spamassassin k jednemu zakaznikovi na relayovaci mailserver (pii 433, 64mb). siel tam len samotny spamassassin (spamd), maily rozkladal sendmailovy milter. takmer kazde rano ten stroj odvisol, nezvladal ranne spicky. pocet mailov neviem, ale bude to okolo tisicky denne. vyriesil to upgrade na dnesny podpriemer (pIII 1,7ghz, 256MB RAM).

po tychto skusenostiach si myslim ze zelezo spominane v clanku zvladne 8000 uzivatelov leda tak v pripade, ze kazdy uzivatel dostane max jeden mail rocne... ;-p

JoJo to je ta spatna architektura, ale je to vsechno o penezich. Popisovane stroje jsou servery jen podle nazvu ale v podstate nezvladnou jednoho narocnejsiho uzivatele a jak by asi mohly zvladnout treba jen 8 narocnych uzivatelu? Mimochodem to zelezo pIII 1,7 bude mozna za rok potreba zase nahradit. :-)

Predpokladam, ze kazdy user dostane 50 mailu za den
a ze maily budou chodit rovnomerne po celou 8-mihodinovou pracovni dobu. Otazka je, kolik mailu bude chodit za sekundu:

bc 1.06
Copyright 1991-1994, 1997, 1998, 2000 Free Software Foundation, Inc.
This is free software with ABSOLUTELY NO WARRANTY.
For details type `warranty'.
50*8000/8/3600
13

Zkousel jsem ClamAVem nechat prekontrolovat muj skromny archiv zavirovanych e-malu (cca 500ks) a ziskal jsem na PIII 500 vykon cca 10 za sekundu.

Z toho soudim, ze uvedena HW konfigurace neni uplne mimo misu. Verim, ze muze bezny provoz s prehledem zvladnout.

Avsak obaval bych se, ze pujde do kolen v pripade
takovych tech zalezitosti, jako jsou obrovske spicky
zpusobene prave viry a nebo zdroji spamu.

Hmmm 8k uzivatelov, to je dost. Mna by zaujimalo ako ix potom spravovat. Ked v 50% fy. zabudne kazda 2. sekretarka svoje heslo na mail.
Viete nejaky dobry spravcovsky system pre postfix? Nieco ako nejaky wizard pre M$ Exchange, alebo ked uz nie GUI tak nieco cez www rozhranie?

Nejznamejsi je asi webmin lze s nim "nahrubo" spravovat cely server, ale neni to moc o bezpecnosti i kdyz lze pouzit i prez ssl.

Vyborny serial na vybornu temu. Zelam vela stastia k dalsim dielom.

Predem je ciry nesmysl domnivat se ze pri beznem email provozu, by takovyto hw mohl byt pouzitelny.
S resenimi obdobneho rozsahu mam jakesi zkusenosti, nejsem hw specialista, na to jsou u nas jini, ale takovyto server by potreboval nejmene cca. 0,5 Gbyte RAM a cca. 2 Ghz CPU (pokud by se melo jednat o x86), tedy k tomu aby se byl schopen udrzet v chodu a nepadat pri sebemensim zvyseni provozu napr. "v jakesi spicce".
Dale k reseni samotneho email serveru vyhrady nemam, snad bych jen do komercniho nasazeni pouzil take komercni antivir, nejlepe NOD32, ktery je co si budem povidat podstatne rychlejsi a i v detekci lepsi nez Amavis.

Co se tyce fw, jednoznacne souhlasim s tim, ze je zejmena u takto dulezitych serveru povolit obousmerne a trvale jen nutne spojeni, bez jakekoliv prihlasovaci sluzby, snad vyjma MAC autentizace pres FreeSWan tunel, ciste zevnitr.

Zdravím Vás všechny mám problém s instalací, nainstaluji openbsd dám halt a pak reboot systému a napíše mi to že USING DRIVE 0,partions 3 loading ... ERR M tot vše neívm co stím:(

musím mít nainstalovaný dos nebo něco dělal jsem to na zformátovaný hdd, nějak se moc v linuxu ani BSD nevyznám děkuji za rady.

Bude mi stačit na zkušební server pouze 1GB HDD je to pro 5 uživatelů