Postfix как почтовый шлюз для MS Exchange Server.

Я бы не стал отключать карты локальной доставки из passwd.

>> Затем, указываем постфиксу, что локальных получателей у него нет:

local_recipient_maps =

Хороший совет, но лучше этим не пользоваться, потому что postfix при этом будет принимать почту на несуществующие адреса и тут же формировать bounce сообщение отправителю о том, что такого пользователя нет.

Не совсем понятно, для чего это вообще надо делать?

На несуществующие адреса он не будет примать сообщения - читай внимательней - в файле access прописываем получателей.

>> Указываем, с каких подсетей/ip адресов можно пересылать почту через постфикс (релей)

mynetworks = 127.0.0.0/8, 192.168.1.0/24

Никаких релей, только через sasl а в mynetworks= 127.0.0.0/8 и больше ничего.

>Не совсем понятно, для чего это вообще надо делать?

Это надо делать для того, чтобы postfix выступал в роли исключительно гейта.

> Никаких релей, только через sasl а в mynetworks= 127.0.0.0/8 и больше ничего.

Это показано ради примера, как поступать дальше решать Вам.

>Это надо делать для того, чтобы postfix выступал в роли исключительно гейта.

Прошу прощения за тупизну, но что мне это даст?

>Прошу прощения за тупизну, но что мне это даст?

Он не будет "смотреть" на локальных получателей.

кг/ам, а слабо было check_recipient_access завернуть на global catalog через ldap? какой без этого смысл прикрытьва exchange?

>> в файле access прописываем получателей.

В этом файле описывается только то от кого можно получать почту, а от кого нет и ВСЕ.

А при пустом local_recipient_maps будем принимать ненужную почту и тут же формировать bounce сообщение

>кг/ам, а слабо было check_recipient_access завернуть на global catalog через ldap? какой без этого смысл прикрытьва exchange?

Считаю безопасней "не пускать" по LDAP postfix на домен.

>в файле access прописываем получателей.

Ошибся - в файле recipients

> при пустом local_recipient_maps будем принимать ненужную почту и тут же формировать bounce сообщение

Это сильно мешает ?

Был показан ПРИМЕР, дальше поступайте как душе угодно.

>Считаю безопасней "не пускать" по LDAP postfix на домен.

ну генерите тогда бесполезные баунсы

>> Это сильно мешает ?

Это просто офигеть как будет мешать, например при поступлении почты на несуществующий ящик с обратным адресом несуществующего отправителя. Posfix будет занят рассылкой bounce и приемом обратных bounce-ов.

а для более лучшей производительности ежедневно/еженедельно создавать локальный cdb-файл с получателями и сделать так:

check_recipient_access = cdb:/etc/postfix/recipients, ldap:local_ad_server

чтобы не выполнять каждый раз запросы по LDAP.

Для чего нужно настраивать postfix в роли почтого шлюза для MS Exchange Server ?

Я не знаком с MS Exchange Server, он умеет такие вещи, которые не умеет postfix ?

>Я не знаком с MS Exchange Server, он умеет такие вещи, которые не умеет postfix ?

MAPI, централизованное управление, rpc over http, и.т.д ... имхо - это демагогия.

Нет потребности не ставь.

>Я не знаком с MS Exchange Server, он умеет такие вещи, которые не умеет postfix ?

Ну и сравнил...

Я вам одно слово скажу... CommuniGate. И не надо прикрывать жопу эксченджа постфиксом и прочего умножения сущностей.

> Для чего нужно настраивать postfix в роли почтого шлюза для MS Exchange Server ?

Ну типо задний проход прикрываем, привычно, линуксами.

> Я не знаком с MS Exchange Server, он умеет такие вещи, которые не умеет postfix ?

Конечно, MS-ES умеет мощно валиться в кору, имитировать DOS и DDOS, портить железо, увеличивать время недоступности, поражаться вируснёй, выступать в качестве открытого прокси (или это я попутал с чем) и что-то там ещё было про что сказали: "патчить это дупло у нас всех тут патчилка отсохнет! бугогагага! Балмер аут!".

> Не совсем понятно, для чего это вообще надо делать?

Во-первых - тонкая настройка фильтра почты на уровне самого postfix. Во-вторых - детализированные логи почтового обмена, что не делает Exchange В-третьих - ClamAV, SpamAsassin - ну это уже на любителя. И не в-последних - я знаю какие дыры есть в постфиксе. А ты знаешь, какие дыры есть в Exchange на данный момент?

Кстати, я вместо local_recipient_maps сделал так:

smtpd_recipient_restrictions = permit_mynetworks, check_recipient_access hash:/usr/local/etc/postfix/recipient_access

А в exchange поставил проверку по AD, тем самым избавив себя от головной боли с екселем. Скорость при этом не падает, т.к. постфикс результаты кеширует

>> smtpd_recipient_restrictions = permit_mynetworks,

Можно только при условии, что

mynetworks =127.0.0.0/8 и больше ничего.

>> smtpd_recipient_restrictions = permit_mynetworks,

> Можно только при условии, что > mynetworks =127.0.0.0/8 и больше ничего.

Ну и кроме 127.0.0.1 ещё адрес самого exchange'a, т.к. во избежание недоразумений SMTP-соединения через гейт у меня заблокированы брандмауэром.

Exchange умеет миллион вещей которые постфиксу и не снились. не надо сравнивать хер с жопой. у них разные ниши. Ексчандж это группваре. под линух ничего подобного нет. Аутлук - мировой лидер среди пользовательских интерфейсо группваре, не даром Эволюшн его копирует во всем

> Exchange умеет миллион вещей которые постфиксу и не снились...

> Аутлук - мировой лидер...

Многоуважаемый, никто, собсно и не спорит. Evolution'у до Exchange пока очень далеко. Речь о том, как сделать наш почтовый обмен надёжнее и безопаснее. Или вам повезло и ваш Exchange никогда не взламывали?

> Exchange умеет миллион вещей которые постфиксу и не снились

А постфикс умеет миллион вещей, которые Exchange'у и не снились.

И сервер групваре (что бы это ни было) я никогда не выставлю в открытый интернет.

По этому-то, ИМХО, эти два продукта весьма органично друг-друга дополняют.

>Многоуважаемый, никто, собсно и не спорит. Evolution'у до Exchange пока очень далеко. Речь о том, как сделать наш почтовый обмен надёжнее и безопаснее. Или вам повезло и ваш Exchange никогда не взламывали?

ну во первых повезло, или может просто я чтото не так делал :) во вторых я просто отвечал на постинг с вопросом что умеет Ексчандж и не умеет постфикс... просто многие знакомые мне фанаты юниксов гнушаются глянуть что хорошего есть у того же M$ и постоянно ищут свой истинный путь. а я из тех изгоев что не приняли ни одну религию и используют различные решения в соответствии с задачей, а не своими предпочтениями :) и нападки на ексчандж меня уже раздражают, у него много проблем но тем не менее в своей нише он первый на сегодня.

>А постфикс умеет миллион вещей, которые Exchange'у и не снились.

:)

>И сервер групваре (что бы это ни было) я никогда не выставлю в открытый интернет.

спрячьте его за фаерволом

>По этому-то, ИМХО, эти два продукта весьма органично друг-друга дополняют.

бесспорно :)

> ну во первых повезло

Повезло. Меня проломали quick'n'dirty через дырку в Exchange, о которой я узнал только через месяц. Правда ещё в Exchange 2k.

На сегодняшний день Cisco + Linux/FreeBSD + оффтопик, кто бы что не говорил, является со всех сторон оптимальной связкой. Каждому своё. Я не против линуха на рабочих станциях наших бухов и манагеров. Но ещё не время.

> Повезло. Меня проломали quick'n'dirty через дырку в Exchange, о которой я узнал только через месяц. Правда ещё в Exchange 2

не думаю что дело в везении :) cisco NAT + IP/FWPlus Feature, и ваш ексчандж будет здоров :) использовал ексчандж еще со времен пятой версии :)

> не думаю что дело в везении :)

Ответил, собсно, в том же посте. Насколько я помню атака заключалась в malformed message, против которого IP/FWPlus не поможет. Вернее не поможет против взлома. От установленного тогда мне FTP-сервера спасло бы. Тут нужен PIX, в качестве content-filtering, как минимум. Или Postfix =)

(Ну где-же завсегдатаи ЛОРа, которые бы сейчас нас с вами, уважаемый, закидали бы тряпками за обсуждение проприетарных платформ?)

1. Exchange 2003 уже довольно устойчив сам по себе. 2. Для параноиков есть варианты с Front-End сервером. 3. Ну и выставлять Exch наружу не через FireWall - это просто даунизм в любом разе.

>Ответил, собсно, в том же посте. Насколько я помню атака заключалась в malformed message, против которого не поможет. Вернее не поможет против взлома. От установленного тогда мне FTP-сервера спасло бы. Тут нужен PIX, в качестве content-filtering, как минимум. Или Postfix =)

это уже детали, в любом случае проблема бы не возникла даже со столь минимальной защитой как NAT + IP/FWPlus :) :) :) это также как с дырами в соляре которыми все тут тычут Санычу :) при правильном подходе к безопасности, как правило, воспользоваться уязвимостью невозможно :) жаль этому не учат в институтах, приходится на своих шишках учиться :) я вот думаю Вас уже не смогут сломать :) :) :) ибо грабли пройдены :)

>(Ну где-же завсегдатаи ЛОРа, которые бы сейчас нас с вами, уважаемый, закидали бы тряпками за обсуждение проприетарных платформ?)

наверно клинское "без понтов" у метро пьют... студенты... пятница... :) :) :)

Это самые дешевые трюки, которые он умеет вытворять...

>Ну и выставлять Exch наружу не через FireWall - это просто даунизм в любом разе.

Любая сеть без FireWall в наши дни даунизм

Можно свою лепту внести в обсуждение? У меня стоит связка Freebsd+Postfix+amavis+spamassasin+clamav+greylist для маршрутизации внешней почты на 9 exchange-серверов во внутренней распределенной корпоративной сетке (по одному серверу в каждом домене АД). Статистика показывает что на postfix полностью блокируются письма с вирусам и почти полностью письма со спамом (Количество блокируемых писем ежедевно составляет до 100 тысяч). Настройка всего хозяйства на фряхе заняла 2 дня. Админ первый раз устанавливал боевой сервер и тем более все перечисленное ПО. Как тут говорят, аптайм-системы около года. Вся система работа около 3 лет. Перешли без проблем с 4.10 на 4.11, потом на 5.2 сейчас на 6.2 Останавливали за это время всего 3 раза. Админы часто менялись, пока поймет как обновлять правильно... Зато с exchange-серверами все в дер.... И вроде два админа (это совсем другие люди - элита :) ) не глупые и сертификатами настоящими обвешены с ног до головы и делали все по документации от мелкомяхких. Практически каждый день проблемы с внутренней почтой. То у них разсинхронизация домена, то сервсы exchangей сами отваливаются, то очереди начинают копиться. История продолжается уже 3 года - причин назвать не могут. Сначала валили на каналы связи - сделали 10 мбит/сек. Сейчас вообще всякаую ахинею несут. И ведь что странно, не могут даже предложить план локализации проблемы. :) Валят на глюки мелкомягких :) Но слышать ни очем кроме мелкомягких не хотят - пусть и дерьмо за то свое родное. :) И выгнать начальство их соглашается.

Я ни на кого не наезжаю (боже упаси), просто рассказал что наболело. :) А могу еще рассказать как в течение 1 года решали проблемы с расшаренными принтерами и работой на сервере по терминальному доступу :)

Можно свою лепту внести в обсуждение? У меня стоит связка Freebsd+Postfix+amavis+spamassasin+clamav+greylist для маршрутизации внешней почты на 9 exchange-серверов во внутренней распределенной корпоративной сетке (по одному серверу в каждом домене АД). Статистика показывает что на postfix полностью блокируются письма с вирусам и почти полностью письма со спамом (Количество блокируемых писем ежедевно составляет до 100 тысяч). Настройка всего хозяйства на фряхе заняла 2 дня. Админ первый раз устанавливал боевой сервер и тем более все перечисленное ПО. Как тут говорят, аптайм-системы около года. Вся система работа около 3 лет. Перешли без проблем с 4.10 на 4.11, потом на 5.2 сейчас на 6.2 Останавливали за это время всего 3 раза. Админы часто менялись (студентов садили для подработки), пока поймет как обновлять правильно... Зато с exchange-серверами все в дер.... И вроде два админа (это совсем другие люди - элита :) ) не глупые и сертификатами настоящими обвешены с ног до головы и делали все по документации от мелкомяхких. Практически каждый день проблемы с внутренней почтой. То у них разсинхронизация домена, то сервсы exchangей сами отваливаются, то очереди начинают копиться. История продолжается уже 3 года - причин назвать не могут. Сначала валили на каналы связи - сделали 10 мбит/сек. Сейчас вообще всякаую ахинею несут. И ведь что странно, не могут даже предложить план локализации проблемы. :) Валят на глюки мелкомягких :) Но слышать ни очем кроме мелкомягких не хотят - пусть и дерьмо за то свое родное. :) И выгнать начальство их не соглашается. Престижно иметь обвешенных сертификатами админов :)

Я ни на кого не наезжаю (боже упаси), просто рассказал что наболело. :) А могу еще рассказать как в течение 1 года решали проблемы с расшаренными принтерами и работой на сервере по терминальному доступу :)

> И вроде два админа (это совсем другие люди - элита :) ) не глупые и сертификатами настоящими обвешены с ног до головы

Чем отличается сертифицированный специалист от несертифицированного? Несертифицированный специалист решит задачу, но никто не будет знать как. Сертифицированный специалист, основываясь на своих сертификатах, расскажет, почему эту же задачу решить невозможно.

Умоих коллег один очень и неоднократно сертифицированный спец из одной очень крупной компании (лидер среди компаний-интеграторов, не буду тыкать пальцем, догадайтесь сами) апгрейдил домен NT4 до 2k3. За большие деньги причём.

Вся информационная система и критически важные приложения лежали три дня в лёжку.

Гнать надо таких в шею.

У меня же живёт FreeBSD+postfix <-> AD (4 сайта, на каждом сайте свой exchange)

Третий год полёт нормальный.

Я бы понял, если бы эта статья была датирована годом 2001-ым. Но в 2007ом она выглядит окаменелой древностью.

>Как поставить Postfix из исходников Для выполнения функций транзитного релея в любом дистрибутиве подойдёт штатно собраный постфикс.

>Задаём имена доменов, для которых мы будем принимать почту: >mydestination = $myhostname, localhost.$mydomain, $mydomain, faq-cisco.ru, firma.ru

mydestination - это домены, для которых MTA будет являться _конечной_ точкой. Правильно будет перечислить эти домены в relay_domains, тогда не придётся делать (см. далее)

>local_recipient_maps = Прощайте, алиасы, прощай, нормальное хождение почты пользователям на этой машине.

Совет руками выдирать пользователей из AD просто светится своей оригинальностью. Автор не знает, что из postfix'а к AD можно ходить в realtime? Или как минимум периодически вытаскивать пользователей автоматически, обскриптовав это дело?

Более того, если пользоваться рекомендациями автора статьи, можно помахать ручкой exchange'овым группам, спискам рассылки, etc

Дальше смотреть не стал. Статья не просто неграмотная, это просто какая-то диверсия. Того, кто последует ей, ждёт огромный ворох граблей, которые автор раскидал в изобилии.