The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Многодоменный Posfix "
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Почта)
Изначальное сообщение [ Отслеживать ]

"Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 29-Ноя-15, 02:59 
Посаны, а postfix умеет работать как Apache/Nginx?

Надо разруливать почту на несколько доменов. В общем-то оно и так рулится,
за исключением служебной инфы в теле писем.  

Например:

Return-Path: <noreply-dmarc-support@google.com>

Delivered-To: <postmaster@pipkin.net>
Received: from mail.zalupkin.ru
    by mail.zalupkin.ru (Dovecot) with LMTP id APWT1914WVbFJACCd1c7YA
    for <postmaster@pupkin.net>; Sat, 28 Nov 2015 12:49:17 +0300

Тоже самое для обратной почты. Пишут с домена pupkin.net, в теле доставленного mail.zalupkin.ru

Как вы поняли рулится два домена zalupkin.ru и pupkin.net.
И всё бы ничего, кроме того, что антиспам системы ругаются на эти различия.

В ДНС, у каждого домена MX запись указывает на один и тот же адрес.
CNAME mail. существуют.  

Дальше ещё веселее, у каждого домена есть SSL порты почты (IMAPs/POPs/SMTPs)
естественно для каждого надо выдавать свой сертификат.


Постфикс вообще умеет такое?    

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Многодоменный Posfix "  +/
Сообщение от Владимир (??) on 29-Ноя-15, 06:28 
> Дальше ещё веселее, у каждого домена есть SSL порты почты (IMAPs/POPs/SMTPs)
>естественно для каждого надо выдавать свой сертификат.

А это зачем?
Один mx обслуживает несколько доменов.

> И всё бы ничего, кроме того, что антиспам системы ругаются на эти различия.

Что именно?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Многодоменный Posfix "  +/
Сообщение от keir (ok) on 29-Ноя-15, 15:35 
> Как вы поняли рулится два домена zalupkin.ru и pupkin.net.
> И всё бы ничего, кроме того, что антиспам системы ругаются на эти
> различия.

Покажите, в чем заключается ругань. Потому как имя сервера в не зависимости от количества обслуживаемых доменов должно оставаться неизменным.

> Дальше ещё веселее, у каждого домена есть SSL порты почты (IMAPs/POPs/SMTPs)
> естественно для каждого надо выдавать свой сертификат.

Для выдачи каждому домену своего сертификата нужно вешать их на разные ip-адреса.
Я делал такое, когда была необходимость. Вопрос только - нужно ли вам это на самом деле и зачем?

> Постфикс вообще умеет такое?

Умеет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 02-Дек-15, 02:35 
>> Как вы поняли рулится два домена zalupkin.ru и pupkin.net.
>> И всё бы ничего, кроме того, что антиспам системы ругаются на эти различия.
> Покажите, в чем заключается ругань.

Это другая тема, в общем ругаются. И это правильно. Хрен бы с бесплатной почтой,
но если я пишу на root@ibm.com, а сервак отвечает, что он mail.sui-hui-v-pen.cdn.ch
пусть это даже айбиемовский CDN, это уже подозрительно.  

> Потому как имя сервера в не зависимости от количества обслуживаемых доменов должно оставаться неизменным.

А можно я буду решать какое имя должно быть у сервера домена? И ваще где это написано?


>> Дальше ещё веселее, у каждого домена есть SSL порты почты (IMAPs/POPs/SMTPs)
>> естественно для каждого надо выдавать свой сертификат.
> Для выдачи каждому домену своего сертификата нужно вешать их на разные ip-адреса.

Где написано, что сертификат привязан к IP?
Почему в Nginx/Apache я могу наплодить тонну доменов и никто слова не скажет?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

9. "Многодоменный Posfix "  +/
Сообщение от keir (ok) on 02-Дек-15, 10:10 
> А можно я буду решать какое имя должно быть у сервера домена?

Конечно можно, на здоровье. Вот только имя сервера должно всегда соответсвовать PTR-записи ip-адреса сервера, а она одна единственная. Поэтому и сервер должен представляться всегда одним именем.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

10. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 03-Дек-15, 22:58 
>> А можно я буду решать какое имя должно быть у сервера домена?
> Конечно можно, на здоровье. Вот только имя сервера должно всегда соответсвовать PTR-записи

Воооот, а много кто из хостеров/провайдеров разрешает рулить PTR ?
Поэтому, тупо хочется порулить EHLO на СВОЁМ СЕРВАКЕ.

> ip-адреса сервера, а она одна единственная. Поэтому и сервер должен представляться всегда одним именем.

Why Do My PTR and EHLO Records Need to Match?

Importance: Moderate

The EHLO/PTR match is a test to make sure the sender is who they say they are.

Best Practices: The SMTP client must, if possible, ensure that the domain parameter
to the EHLO command is a valid principal host name (not a CNAME or MX name) for its host.
If this is not possible (e.g., when the client's address is dynamically assigned and the
client does not have an obvious name), a literal address should be substituted for the
domain name and supplemental information provided that will assist in identifying the
client. However, an SMTP server may verify that the domain name parameter in the EHLO
command actually corresponds to the IP address of the client.

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 03-Дек-15, 23:00 
fork

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

3. "Многодоменный Posfix "  +/
Сообщение от asavah (ok) on 29-Ноя-15, 16:00 
> Постфикс вообще умеет такое?

умеет, и очень хорошо
вообще выдавать для каждого домена свой сертификат обычно не нужно,
как уже правильно сказали для этого нужен отдельный ипшник для каждого домена, а их уже не напасёшься, экономить надо

я делаю так:
есть "главный" домен скажем main.tld
делаем A запись для mail.main.tld
делаем MX запись для main.tld ессно указывая mail.main.tld
пинаем прова на предмет PTR записи

для всех дочерних доменов указываем MX mail.main.tld
делаем честный бесплатный сертификат для mail.main.tld
всех почтовых клиентов настраиваем на mail.main.tld и никаких проблем с руганью клиентов

всё остальное - это уже как настраивать виртуальные домены через postfixadmin или ручками ваять базу

у меня на 2х почтовиках на такой схеме никто не ругается, а там over 20 доменов на каждом, даже гугол хавает,
но у меня везде настроены SPF и DKIM


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 02-Дек-15, 02:43 
> для всех дочерних доменов указываем MX mail.main.tld
> делаем честный бесплатный сертификат для mail.main.tld
> всех почтовых клиентов настраиваем на mail.main.tld и никаких проблем с руганью клиентов

Собственно, часть доменов так и работает. Но согласись, забавно будет выглядеть
почтовый сервак mail.xxxsluts.pron для домена stockexchange.com.

Я, например, при анализе фирм и их сайтов всегда смотрю, где хостится почта, да и сам домен.
Если бесплатная свалка от гугла, яндыкса, йаху,... естественно эти фирмы идут лесом
и никаких денежных операций с ними не будет. Максимум - доставка с курьером за налик.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

4. "Многодоменный Posfix "  +/
Сообщение от ALex_hha (ok) on 01-Дек-15, 12:40 
> Посаны, а postfix умеет работать как Apache/Nginx?

посаны, а лада калина умеет летать как Boeing 737?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 02-Дек-15, 03:04 
>> Посаны, а postfix умеет работать как Apache/Nginx?
> посаны, а лада калина умеет летать как Boeing 737?

Прикинь, и с почтовым и веб серваками можно общаться через telnet, а Boeing 737 у Курского вокзала не посадишь.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

12. "Многодоменный Posfix "  +/
Сообщение от ALex_hha (ok) on 12-Дек-15, 16:51 
> Прикинь, и с почтовым и веб серваками можно общаться через telnet, а
> Boeing 737 у Курского вокзала не посадишь.

:facepalm: покажи мне диалог общения с nginx по https протоколу с использованием telnet или с smtp.googlemail.com на порту 465. А то я может что пропустил

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

13. "Многодоменный Posfix "  +/
Сообщение от PavelR (??) on 13-Дек-15, 18:01 
>> Прикинь, и с почтовым и веб серваками можно общаться через telnet, а
>> Boeing 737 у Курского вокзала не посадишь.
>А то я может что пропустил

Пропустил, пропустил.


> :facepalm: покажи мне диалог общения с nginx по https протоколу с использованием
> telnet или с smtp.googlemail.com на порту 465.

# openssl s_client -crlf -connect smtp.googlemail.com:465
CONNECTED(00000003)
depth=2 C = US, O = GeoTrust Inc., CN = GeoTrust Global CA
verify error:num=20:unable to get local issuer certificate
verify return:0
---
Certificate chain
0 s:/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.googlemail.com
   i:/C=US/O=Google Inc/CN=Google Internet Authority G2
1 s:/C=US/O=Google Inc/CN=Google Internet Authority G2
   i:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
2 s:/C=US/O=GeoTrust Inc./CN=GeoTrust Global CA
   i:/C=US/O=Equifax/OU=Equifax Secure Certificate Authority
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=California/L=Mountain View/O=Google Inc/CN=smtp.googlemail.com
issuer=/C=US/O=Google Inc/CN=Google Internet Authority G2
---
No client certificate CA names sent
---
SSL handshake has read 3737 bytes and written 424 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES128-GCM-SHA256
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES128-GCM-SHA256
    Session-ID: EB7B1D7C848AC493FB43F0FDCD7FE9D2E29917733F6B0A2AF6A8758DBC885911
    Session-ID-ctx:
    Master-Key: 76D3612D1EF3DF17AB1618C7A970648E3727BD8B1500D0BEF196A579962EBE63                                                                  87AD35FFCE042E19B6F20804C0A8BE00
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 100800 (seconds)
    TLS session ticket:
    0000 - a3 92 bc 94 db 12 84 ce-35 64 58 e0 80 a0 fe 57   ........5dX....W
    0010 - 17 e7 f4 a9 c1 c5 71 94-ed 51 18 fc d1 f8 f4 e2   ......q..Q......
    0020 - eb 07 24 ef 8b bc be eb-77 22 a4 25 bf 58 e6 2c   ..$.....w".%.X.,
    0030 - a6 48 8c 04 c1 8f 90 a0-8a 1c 0a ec 4f 0f 4b 04   .H..........O.K.
    0040 - 69 8b 04 7e dd 36 db a1-70 6a 6c e4 e1 f8 41 50   i..~.6..pjl...AP
    0050 - ff 66 93 54 b0 b7 23 48-bf f3 34 18 ec 3f e0 14   .f.T..#H..4..?..
    0060 - 8d 00 cb 82 17 05 32 51-19 2b 00 21 90 7d b1 0d   ......2Q.+.!.}..
    0070 - e6 6f 3c 10 71 49 c0 2a-f0 fd 03 be 39 46 db aa   .o<.qI.*....9F..
    0080 - 55 9e a5 70 16 f6 17 4a-32 32 41 12 42 ec 3f a1   U..p...J22A.B.?.
    0090 - 27 88 49 2f 48 7f c9 13-ad 6c 0f 6e 3a fb 77 d5   '.I/H....l.n:.w.
    00a0 - 9f c6 75 2e                                       ..u.

    Start Time: 1450018675
    Timeout   : 300 (sec)
    Verify return code: 20 (unable to get local issuer certificate)
---
220 smtp.googlemail.com ESMTP k12sm1645629lfg.29 - gsmtp
EHLO q
250-smtp.googlemail.com at your service, [11.22.33.44]
250-SIZE 35882577
250-8BITMIME
250-AUTH LOGIN PLAIN XOAUTH2 PLAIN-CLIENTTOKEN OAUTHBEARER XOAUTH
250-ENHANCEDSTATUSCODES
250-PIPELINING
250-CHUNKING
250 SMTPUTF8
QUIT
DONE


с nginx наверное уже и не интересно?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "Многодоменный Posfix "  +/
Сообщение от ALex_hha (ok) on 13-Дек-15, 23:11 
> Прикинь, и с почтовым и веб серваками можно общаться через telnet
> # openssl s_client -crlf -connect smtp.googlemail.com:465

т.е. telnet от openssl не отличаем?! :facepalm: Это ведь одно и то же, просто пишутся по разному. А я то думал ...

> с nginx наверное уже и не интересно?

после первого ответа, больше вопросов нет. Вам с ТС явно есть о чем поговорить :D

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "Многодоменный Posfix "  +/
Сообщение от PavelR (??) on 14-Дек-15, 09:34 
>> Прикинь, и с почтовым и веб серваками можно общаться через telnet
>> # openssl s_client -crlf -connect smtp.googlemail.com:465
> т.е. telnet от openssl не отличаем?!

Я знал ))

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "Многодоменный Posfix "  +/
Сообщение от PavelR (??) on 15-Дек-15, 16:09 
>> Прикинь, и с почтовым и веб серваками можно общаться через telnet
>> # openssl s_client -crlf -connect smtp.googlemail.com:465
> т.е. telnet от openssl не отличаем?! :facepalm: Это ведь одно и то
> же, просто пишутся по разному. А я то думал ...
>> с nginx наверное уже и не интересно?
> после первого ответа, больше вопросов нет. Вам с ТС явно есть о
> чем поговорить :D

а можно еще stunnel поднять и к нему телнетом...

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

8. "Многодоменный Posfix "  +/
Сообщение от pavlinux (ok) on 02-Дек-15, 03:07 
/* dedup me */
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру