3365 ответов в теме

[diluted]

хмммм, в принципе прикольно.
значит юзеры у нас в лдапе, а почта через jdbc в какой угодно дб.


если аутентификация через ssl, зачем еще пароль шифровать? к тому же шифрование пароля довольно трудно настроить.


показывай где он это сделал.

где ты там ssl нашел?
там тупо простым текстом фигачит
http://james.apache..../smtp_auth.html
он не умеет нормальную аутентификацию
open relay - там по умолчанию, он судя по своему конфигу его даже не проверил.

[olegus]

отож...

процитирийте, плиз...

вижу, что фаны мелких ссутся жаву и не понимают.
учиться же надо было!

Гослинг vs Булмер

[DaemoncheG]

где ты там ssl нашел?
там тупо простым текстом фигачит
http://james.apache..../smtp_auth.html
он не умеет нормальную аутентификацию
open relay - там по умолчанию, он судя по своему конфигу его даже не проверил.

plain текст может работать через ssl, это самый распространённый вид авторизации. Зачем через шифрованный канал передовать шифрованный текст?
по твоей же ссылке написно "Second, James is configured out of the box so as to not serve as an open relay for spammers." =)

[diluted]

plain текст может работать через ssl, это самый распространённый вид авторизации. Зачем через шифрованный канал передовать шифрованный текст?
по твоей же ссылке написно "Second, James is configured out of the box so as to not serve as an open relay for spammers." =)

может)
но у него не работает
ладно, не будем спорить
http://james.apache...._for_Spam_is_it
In some simple tests of mail relays James appears to be an open relay, properly configured it is not.
properly configured в его конфиге нет

[DaemoncheG]

может)
но у него не работает
ладно, не будем спорить
http://james.apache...._for_Spam_is_it
In some simple tests of mail relays James appears to be an open relay, properly configured it is not.
properly configured в его конфиге нет

с чего ты взял что там нету шифрования? такую программу не допустили бы в релиз, это явная дырень.

да и по ссылке написано совсем другое, а написано там что по тестам james будет выглядеть для спам ботов как открытый релей, принимая всю входящую почту, фильтрация происходит после приема почты. Это сделано чтобы спамеры не смогли определить какие почтовые ящики существуют на сервере простым перебором.

теперь понял?
давай еще у olegus спросим, есть там ssl/startls или нет? правда ли что сейчас в james реализована тока plain аутентификация?

Изменено: DaemoncheG, 28.05.2012 - 22:56

[diluted]

с чего ты взял что там нету шифрования? такую программу не допустили бы в релиз, это явная дырень.

да и по ссылке написано совсем другое, а написано там что по тестам james будет выглядеть для спам ботов как открытый релей, принимая всю входящую почту, фильтрация происходит после приема почты. Это сделано чтобы спамеры не смогли определить какие почтовые ящики существуют на сервере простым перебором.

теперь понял?
давай еще у olegus спросим, есть там ssl/startls или нет? правда ли что сейчас в james реализована тока plain аутентификация?

спроси)т
только он прямо не ответит - будет юлить и заговаривать зубы
это мы уже прекрасно проходили, когда он заявил что комп с убунту невозможно ввести в домен виндоус
по ссылке же прямо написано - только simple SMTP auth
At this time James only supports simple user name / password authentication.

[olegus]

теперь понял?
давай еще у olegus спросим, есть там ssl/startls или нет? правда ли что сейчас в james реализована тока plain аутентификация?

у него и с английским проблемы?

James 1.2.1 - Using TLS:
...
Using JAMES with TLS. You need to do three things over and above the normal operation of James:
In Avalon.conf.xml, uncomment the TLS listener defintion.
In JAMES.conf.xml, uncomment the <useTLS>TRUE</useTLS> element for the service you want to use TLS. It is currently available for remote manager and POP3. (If using POP3 over TLS, it is probably best to change port to 995, which is the IANA designated POP3S port).
Ensure that avalonTestKeys is in the conf directory. You may need to manually extract this from the Avalon.jar (with: jar xvf Avalon.jar conf/avalonTestKeys). Note that this is a self-signed certificate for test purposes only. You can specify a different server certificate in the Avalon.conf.xml file.

3-я версия:
tls
Set to true to support STARTTLS or SSL for the Socket. To use this you need to copy sunjce_provider.jar to /path/james/lib directory. To create a new keystore execute: keytool -genkey -alias james -keyalg RSA -keystore /path/to/james/conf/keystore. The algorithm is optional and only needs to be specified when using something other than the Sun JCE provider - You could use IbmX509 with IBM Java runtime.

по релеям:
handler.authorizedAddresses
Authorize specific addresses/networks. If you use SMTP AUTH, addresses that match those specified here will be permitted to relay without SMTP AUTH. If you do not use SMTP AUTH, and you specify addreses here, then only addresses that match those specified will be permitted to relay. Addresses may be specified as a an IP address or domain name, with an optional netmask, e.g., 127.*, 127.0.0.0/8, 127.0.0.0/255.0.0.0, and localhost/8 are all the same See also the RemoteAddrNotInNetwork matcher in the transport processor. You would generally use one OR the other approach.

handler.smtpGreeting
This sets the SMTPGreeting which will be used when connect to the smtpserver If none is specified a default is generated
представляемся, как эксченж и ловим лулзы

вообще открытые проекты по умолчанию на порядок продуманней и на 2 порядка безопасней.

кстати, я вижу, что многие виндузятники не понимают роль, цели и задачи mta. Тут помочь сложно - надо матчасть для начала подтягивать.

[DaemoncheG]

спроси)т
только он прямо не ответит - будет юлить и заговаривать зубы
это мы уже прекрасно проходили, когда он заявил что комп с убунту невозможно ввести в домен виндоус
по ссылке же прямо написано - только simple SMTP auth
At this time James only supports simple user name / password authentication.

вот и ответ.
Значит всё таки уязвимости с релеем нету, шифрованный канал аутентификации работает.
Я думаю уместно извинится перед olegus

[diluted]

вот и ответ.
Значит всё таки уязвимости с релеем нету, шифрованный канал аутентификации работает.
Я думаю уместно извинится перед olegus

мы говорим абсолютно о разных вещах же))
service you want to use TLS. It is currently available for remote manager and POP3
только для pop3 (который уже нафиг никому не нужен) и удаленного управления
я ж ссылку дал где прямым текстом все написано
пожалуй, на этом закончим

[DaemoncheG]

olegus подними тестовый James с шифрованной аутентификацией для imap =) это становится вопросом чести
что то мне подсказывает что оно там всё таки есть.

еси чо
http://james.apache....ig-ssl-tls.html

Изменено: DaemoncheG, 29.05.2012 - 13:58

[olegus]

olegus подними тестовый James с шифрованной аутентификацией для imap =) это становится вопросом чести
что то мне подсказывает что оно там всё таки есть.

еси чо
http://james.apache....ig-ssl-tls.html

я так понимаю ключевые слова:
Each of the servers SMTP, POP3 and IMAP supports use of SSL/TLS?

Сервер будет поднят в любом случае (ибо задача уже есть). кавтушки предоставлены желающим, но в рамках данной темы - условие:
Разбавленный готов выпить при мне 2 литра нефильтрованного непастеризованного ейского пива за мой счёт? или же может предложить аналогичные условия.

Да! для танкистов: мта не занимается поп3.

[diluted]

olegus подними тестовый James с шифрованной аутентификацией для imap =) это становится вопросом чести
что то мне подсказывает что оно там всё таки есть.

еси чо
http://james.apache....ig-ssl-tls.html

ну так допилить напильником после конкретных замечаний сертифицированного специалиста это понятно, сделает - хотя и не факт
прикрутит еще что нибудь, получится зоопарк, завязанный под одного человека, а не промышленное решение.
дело просто в подходе
товарищ настроил абы как, ни фига не продумав сразу ключевые моменты и сдуру, решив "блеснуть" конфигом в консоли его выложил, не подумав что есть люди, которые понимают) и в очередной раз сфейлился
подход системного инженера - он другой
сначала, проектируй, проверяй - а потом внедряй
программные продукты и операционные системы тут не причем - это едино для всего
ИМХО разумется

[DaemoncheG]

ну так допилить напильником после конкретных замечаний сертифицированного специалиста это понятно, сделает - хотя и не факт
прикрутит еще что нибудь, получится зоопарк, завязанный под одного человека, а не промышленное решение.
дело просто в подходе
товарищ настроил абы как, ни фига не продумав сразу ключевые моменты и сдуру, решив "блеснуть" конфигом в консоли его выложил, не подумав что есть люди, которые понимают) и в очередной раз сфейлился
подход системного инженера - он другой
сначала, проектируй, проверяй - а потом внедряй
программные продукты и операционные системы тут не причем - это едино для всего
ИМХО разумется

прям лучше президента получилось =) нифига не понял - что, зачем, кто ну и главно почемууу )))
просто я аж напугался, т.к. тока что наконец закончил (всем поплювать три раза) настройку почтового сервера и теперь вот думаю где сертифицированные спецы у меня найдут ошибки.

[CyClone]

тока что наконец закончил (всем поплювать три раза) настройку почтового сервера

на James?

[DaemoncheG]

на James?

нет, dovecot-postfix на ubuntu 12.04 железо mac mini 5.3

[DaemoncheG]

на James?

olegus делает сервера на атомах, а я на миниках =)

из настроек
ос
1) установка минимал или сервер 12.04 не забываем придумать нормальное имя машины, нужно будет что то вроде mymailserver.mydomain.com, а то потом придётся переименовывать.
2) ставим почтовый сервер dovecot-postfix
3) прописываем нужные ип и днс в /etc/interfaces
почтовый сервер
1) завели пользователей
2) скопировали старую почту в новые ящики
3) настроил внешний релей (т.к. внутренний IP был в черном списке)
настройки сети
1) в маршрутизаторе прописываем перенаправления портов
2) настраиваем внутренние и внешние днс для нашего серера
3) прописываем во внешнем днс spf запись

Вроде и всё, остальное уже работает из коробки.
Осталось только объяснить заказчику что мак мини хорош, но нужен нормальный сервер с рейдом и кучей кулеров, если не получится буду настраивать ещё полный бекап ос

[CyClone]

Осталось только объяснить заказчику что мак мини хорош, но нужен нормальный сервер с рейдом и кучей кулеров, если не получится буду настраивать ещё полный бекап ос

С этого надо было начинать
Предвижу ответ - Зачем ещё сервер, если и так работает?

А и на самом деле - зачем сервер с рейдом для почтовика? Простого системника с двумя винтами более чем достаточно...

Изменено: CyClone, 30.05.2012 - 13:03

[olegus]

А и на самом деле - зачем сервер с рейдом для почтовика? Простого системника с двумя винтами более чем достаточно...

почтовик - это как ни крути, данные. Основная работа почтовика - файловый обмен (т.е. скорость) + сохранность. По этому в идеале 5 или 10 надо-бы иметь. Но это не проблема в линуксах, тем более, что аппаратный рейд даже на middle серверах сейчас редкость. Везде тупые fake-рейды, которые наивная винда принимает за настоящие
А процессорные мощности (да и память) таки да - не важны.

Кстати, я хочу в данной задаче соорудить trash 2-ого уровня, т.к. многие удаляют почту не глядя, а потом бегают выпучив глаза.

И вопрос виндузятникам: как на smb-файлопомойке соорудить trash для вин-клиентов?

Изменено: olegus, 30.05.2012 - 14:06

[CyClone]

почтовик - это как ни крути, данные. Основная работа почтовика - файловый обмен (т.е. скорость) + сохранность. По этому в идеале 5 или 10 надо-бы иметь. Но это не проблема в линуксах, тем более, что аппаратный рейд даже на middle серверах сейчас редкость. Везде тупые fake-рейды, которые наивная винда принимает за настоящие
А процессорные мощности (да и память) таки да - не важны.

Кстати, я хочу в данной задаче соорудить trash 2-ого уровня, т.к. многие удаляют почту не глядя, а потом бегают выпучив глаза.

??? зачем?
При удалении файла из "входящих" он не удаляется физически, а помечается удалённым и копируется в "корзину". Пользователь во "входящих" его не видит, но до тех пор, пока папка не будет "сжата", его можно восстановить...

Кроме того, у нас вся входящая внешняя почта (кроме спама) 3 месяца хранится на Яндексе, и каждую ночь делается бэкап всей внутренней почты.

И вопрос виндузятникам: как на smb-файлопомойке соорудить trash для вин-клиентов?

smb на линуксе?

[diluted]

С этого надо было начинать
Предвижу ответ - Зачем ещё сервер, если и так работает?

А и на самом деле - зачем сервер с рейдом для почтовика? Простого системника с двумя винтами более чем достаточно...

нельзя использовать простые системники в качестве серверов даже для примитивных задач, как эта
дело не в производительности - ее сейчас везде с избытком
дело в надежности комплектующих - серверное железо изначально отбирается и тестируется совершенно по другим параметрам, оно предназначено для беспрерывной работы

почтовик - это как ни крути, данные. Основная работа почтовика - файловый обмен (т.е. скорость) + сохранность. По этому в идеале 5 или 10 надо-бы иметь. Но это не проблема в линуксах, тем более, что аппаратный рейд даже на middle серверах сейчас редкость. Везде тупые fake-рейды, которые наивная винда принимает за настоящие
А процессорные мощности (да и память) таки да - не важны.

Кстати, я хочу в данной задаче соорудить trash 2-ого уровня, т.к. многие удаляют почту не глядя, а потом бегают выпучив глаза.

в данной задаче ты уже обделался так, что отмыться врядли удастся)
из Аутлука почта якобы удаленная восстанавливается за 5 минут не вставая с рабочего места.
но восстанавливать письма в ящиках пользователей - это не правильно.
нужные письма пользователи не должны иметь возможности удалять
ну то есть они думают что их удаляют, а на самом деле никуда оно не удаляется)

[olegus]

При удалении файла из "входящих" он не удаляется физически, а помечается удалённым и копируется в "корзину".

Это какое хранилище так делает?
Кстати, пометка "на удаление" (в чём?!?) и копирование (чего?!!?откуда и куда?) - это разные вещи.

Пользователь во "входящих" его не видит, но до тех пор, пока папка не будет "сжата", его можно восстановить...

я даже не рассматриваю локальные аксесовские базы а-ля аутглюк, ибо это неверный подход. Мне интересно, как подобное реализуется на сервере.

smb на линуксе?

а есть разница? будучи знакомым с этим недопротоколом (а винда другой штатно не умеет) знаю, что деб умеет создавать траш. Но как в винде включить его для самбы?

Изменено: olegus, 30.05.2012 - 20:39

[diluted]

Это какое хранилище так делает?



я даже не рассматриваю локальные аксесовские базы а-ля аутглюк, ибо это неверный подход. Мне интересно, как подобное реализуется на сервере.

аутлук локально только кеш хранит)
если почта в Эксчендже, разумеется
не надоело еще позориться?

[CyClone]

нельзя использовать простые системники в качестве серверов даже для примитивных задач, как эта
дело не в производительности - ее сейчас везде с избытком
дело в надежности комплектующих - серверное железо изначально отбирается и тестируется совершенно по другим параметрам, оно предназначено для беспрерывной работы

Не могу согласиться.
Вот у меня например Веб-хостинг работает на "плите" НР - выбрали её как раз из соображений надёжности. После 2 лет непрерывной работы загудел один из вентиляторов. Из-за этого сервер после перезагрузки без толчка не запускается.
Весь блок вентиляторов стОит - мама не горюй! Купить один вентилятор отдельно нереально. Снять блок и отдать в ремонт невозможно - я не могу останавливать сервер на несколько дней. Перенести "малой кровью" хостинг на другую платформу даже временно не представляется возможным, второго такого сервера нет. Что делать? - я пока не знаю...
Почтовик же, напротив, вместе с проксей и файлопомойкой уже три раза безболезненно переезжали на новый комп, каждый раз обрастая дополнительным функционалом. Сбоев связанных с неисправностью железа небыло ниразу. На крайний случай - есть бэкап.

Да, хорошо конечно, если есть возможность потраться на сервер стоимостью 200 тыс.руб. с рейдом 5 и т.д.
Но даже такой сервер не сравнится по надёжности с отказоустойчивым кластером из 3-х системников по 15 тыс

[CyClone]

Это какое хранилище так делает?
Кстати, пометка "на удаление" (в чём?!?) и копирование (чего?!!?откуда и куда?) - это разные вещи.


я даже не рассматриваю локальные аксесовские базы а-ля аутглюк, ибо это неверный подход. Мне интересно, как подобное реализуется на сервере.

Вы меня в тупик ставите такими вопросами. Я думал что любой ИМАП -сервер это делает... ибо даже Эксченьч так работает по-умолчанию...
Хм... надо будет задать вопрос своему админу...

а есть разница? будучи знакомым с этим недопротоколом (а винда другой штатно не умеет) знаю, что деб умеет создавать траш. Но как в винде включить его для самбы?

Конечно, есть разница. В винде нет самбы То что в линуксе называется самбой - в винде называется общим доступом к файлам и принтерам.
Насколько я знаю, винда ни на каких внешних носителях, включая сетевые диски не создаёт корзину. Так что "трэш" придётся создавать средствами ОС или дополнительным ПО на стороне сервера.

[CyClone]

Вы меня в тупик ставите такими вопросами. Я думал что любой ИМАП -сервер это делает... ибо даже Эксченьч так работает по-умолчанию...

ну вот же, есть даже в настройках веб-клиента:

Прикрепленные файлы:

•  roundcube.jpg   34,86 Кб   9 раз скачано