https://opennet.me/openforum/vsluhforumID1/88135.html Предлагаю всем простейшую задачку из жизни, которую я не могу уже неделю решить.<br><br>Собственно, появилась необходимость развернуть почтовую систему для небольшой фирмы. Была произведена базовая настройка Postfix + Dovecot, всё чудно работает, почта бегает, пользователи довольны. И вот чёрт меня дёрнул захотеть сделать из почтовой системы конфетку. И начались проблемы. В связи с этим и хочу поднять эту тему. В сети масса информации о настройках postfix, но практически нет ничего по поводу некоторых крайне полезных и подчас необходимых плюшек, которые я и опишу. Вкратце что хочется:<br><br>Хочется простую в использовании (для пользователя) почтовую систему с доступом откудаприспичитпользователю, но при этом максимально безопасным. Теперь конкретика по пожеланиям: <br>1. У пользователя должен быть единый логин и пароль для SMTP и IMAP сервера, и должен быть один Maildir++ ящик на серваке.<br>2. Почтовых адресов на пользователя может быть навешено сколько угодно, с каждого из них пользователь должен иметь возможность поч https://opennet.me/openforum/vsluhforumID1/88135.html#9 Wed, 17 Feb 2010 11:16:05 GMT Добрый день!<br>По пунктам 1, 2, 4, 5 можно посмотреть в сторону данного продукта - http://www.dbmail.org/<br>Особенно по пункту 5 бакапь как хочешь. Хочешь настраивай кластер, хочешь настраивай репликацию. Хотя может я сильно ошибаюсь и этот вариант не тривиален. По поводу пункта 3 от человеческих ошибок и глупости ничего не спасёт и при особой изворотливости обвинить можно хоть кого хоть в чём. Да и так ли остро стоит необходимость в таких серьёзных мерах защиты? Секреты Пентагона, что ли в этой небольшой фирме.<br> https://opennet.me/openforum/vsluhforumID1/88135.html#8 Fri, 12 Feb 2010 08:50:19 GMT &gt;Да с довекотом-то не проблема, проблема с постфиксом))) И заключается она в <br>&gt;том, что у меня не получается сделать одновременную проверку и на <br>&gt;SASL, и на сертификат, они блин работают в связке ИЛИ только. <br><br>Как вариант - полисинг http://www.postfix.org/SMTPD_POLICY_README.html<br>Во внешней программе можно описать любую логику.<br> https://opennet.me/openforum/vsluhforumID1/88135.html#7 Fri, 12 Feb 2010 08:12:51 GMT &gt;3. Повесить два dovecot'а с разными конфигами на внутренний и внешний ип. <br>&gt;Или на разные порты и сделать редирект в пакетном фильтре, на <br>&gt;основании ип адреса клиента. <br><br>Да с довекотом-то не проблема, проблема с постфиксом))) И заключается она в том, что у меня не получается сделать одновременную проверку и на SASL, и на сертификат, они блин работают в связке ИЛИ только.<br><br>&gt;4. Используйте sender_bcc_maps, как и предлагали на постфикс.ру. Но писать скрипт я <br>&gt;бы не стал. Лучше в качестве lookup table использовать sql table. <br>&gt;В нем можно написать как минимум <br>&gt;<br>&gt;query = SELECT 'out_%s' <br>&gt;<br>&gt;а в dovecot'е через sieve письмо скинуть в outbox. Причем в sql <br>&gt;можно и реальную выборку с БД сделать.<br><br>Ага, собственно можно и проще: можно через sender_bcc_maps добавить расширения к адресу (вместо user@example.com сделать user+out@example.com), ну и немного перенастроить транспорт на dovecot, чтобы он клал письмо в папки в зависимости от расширения. Но пожалуй Sieve будет поконфигурабильней)))<br><br><br> https://opennet.me/openforum/vsluhforumID1/88135.html#6 Fri, 12 Feb 2010 08:04:51 GMT 3. Повесить два dovecot'а с разными конфигами на внутренний и внешний ип. Или на разные порты и сделать редирект в пакетном фильтре, на основании ип адреса клиента.<br><br>4. Используйте sender_bcc_maps, как и предлагали на постфикс.ру. Но писать скрипт я бы не стал. Лучше в качестве lookup table использовать sql table. В нем можно написать как минимум <br><br>query = SELECT 'out_%s'<br><br>а в dovecot'е через sieve письмо скинуть в outbox. Причем в sql можно и реальную выборку с БД сделать.<br> https://opennet.me/openforum/vsluhforumID1/88135.html#5 Fri, 12 Feb 2010 07:04:42 GMT &gt;&gt;&gt;пользователи должны с собой таскать сертификат на дискетке?<br>&gt;&gt;<br>&gt;&gt;Весь смысл в том, чтобы случайно нельзя было зайти на почту извне. <br>&gt;&gt;Тем кому надо да, должны поставить сертификат на свой компьютер. <br>&gt;<br>&gt;... или на компьютер в интернет-кафешке... <br><br>Если ко мне придёт пользователь и скажет, что он поставил свой личный сертификат на комп в кафешке, потом ввёл свой личный пароль и при этом ещё и забыл выйти из аккаунта, в результате чего у него утекла важная почта, то я ему с чистой совестью скажу, что он идиот. Если же у меня будет только один способ авторизации, то я рискую наткнуться на пользователя, который скажет, что я виноват в том, что не обезопасил его от простейшей ошибки, и виноват буду я. Как известно, система резервирования всегда должна быть двойной. Иначе она просто не имеет смысла.<br><br><br> https://opennet.me/openforum/vsluhforumID1/88135.html#4 Fri, 12 Feb 2010 06:57:35 GMT &gt;&gt;пользователи должны с собой таскать сертификат на дискетке?<br>&gt;<br>&gt;Весь смысл в том, чтобы случайно нельзя было зайти на почту извне. <br>&gt;Тем кому надо да, должны поставить сертификат на свой компьютер. <br><br>... или на компьютер в интернет-кафешке...<br><br><br> https://opennet.me/openforum/vsluhforumID1/88135.html#3 Fri, 12 Feb 2010 06:24:11 GMT &gt;пользователи должны с собой таскать сертификат на дискетке?<br><br>Весь смысл в том, чтобы случайно нельзя было зайти на почту извне. Тем кому надо да, должны поставить сертификат на свой компьютер. Нет, будет ещё доступ через веб-морду, это для хомячков. А по IMAP и SMTP нужен сертификат.<br> https://opennet.me/openforum/vsluhforumID1/88135.html#2 Fri, 12 Feb 2010 06:21:55 GMT пользователи должны с собой таскать сертификат на дискетке?<br>