Разыскивается приятный в эсплуатации почтовый сервер

localhost (via ssh tunnel) + opensmtpd + ssh + mutt

ssh + mutt

Офигенная вебморда:)

А что нынче можно назвать удобным почтовым сервером?

postfix

Просто чтобы удобно и красиво.

CommuniGate

iRedMail

Как почтовый сервер - postfix
Веб-морда по вкусу: postfixadmin, redmail

Zimbra

postfix+dovecot+roundcube

Спасибо. Выглядит неплохо.

И работает)

А что нынче можно назвать удобным почтовым сервером?

Хочется чтобы настраивалось без бубна и чтобы веб-морда была.

Т.е. особых каких-то требований нет.

Просто чтобы удобно и красиво.

gmail.com

Citadel

CommuniGate - действительно просто, поставил и работает. Но ни фига не красиво, никак не могу привыкнуть к его админке.

Странно, что еще никто не предложил qmail.

Kerio Connect. Если свербит на тему бесплатности, Zimbra.

google => atmail.

На работе использую exim + postfixadmin

Секс гарантирован:

1) Добавление spf, dkim и dmarc записей в dns и прикручивание их к mta

2) удаление ip с блэклистов.

Это помимо настройки самого mta и pop/imap:-)

Секс гарантирован

Я рад, что у тебя с половой жизнью всё хорошо, но мне бы чего-то попроще: стар я уже. Не стоит у меня на конфиги.:)

Если ты хочешь чтобы все работало - извини, придется по%#@$@тся. Скажи спасибо спамерам.

Ахда, еще п.3: ssl :-)

Если хочется готового - iRedMail. Это уже настроенная сборка exim, dovecot, roundcube и еще чего-то там. Как я понял требует минимум вмешательства.

Кстати да, его тут уже упоминали.

Использую 389-ds + sssd + sendmail + dovecot + roundcube + spamass-milter + owncloud. Настраивается несложно, и потом «просто работает».

А можно поподробнее об 389-ds, sssd и owncloud? В часности как оно все закручено.

Поддержу коллег за Постфикс. Гибкий, очень удобно настраивается, интегрируется с чем угодно. Вдобавок быстр - аж шуба заворачивается. Правда иногда кажется, что его писали инопланетяне для инопланетян.

Exim тоже очень ничего. Исповедует совсем другой подход, конфиг настолько наворочаный, что можно программировать (даже переменные поддерживает). Некоторые джедаи кодят на этом конфиге такие спамобойки, что spamassassin нервно курит у забора.

Сам юзаю Постфикс с Довекотом, много лет - ни одной новой дырки.

Плюсую OpenSMTP. Использую его уже пару лет в связке с spamd и dovecot.

389-ds - это же просто LDAP-каталог с набором тулзов? А зачем в этой связке sssd? И как туда завязан owncloud?

Сам раздумываю над развертыванием pwncloud, хочется придумать как его потеснее синтегрировать в существующую инфраструктуру.

Хайвмайнд, лол.

А можно поподробнее об 389-ds, sssd и owncloud? В часности как оно все закручено.

Юзеры заведены в LDAP'е.

Система (и соответственно dovecot и sendmail) берут юзеров из sssd, а sssd в свою очередь берёт их из LDAP.

Аутентификация OwnCloud прикручена напрямую к LDAP.

Апач в некоторых местах также прикручен Basic-аутентификацией к LDAP.

sendmail умеет аутентификацию через sasl, который идёт на sssd.

Поднят ejeabberd (который опять таки зацеплен на LDAP).

Почтовым клиентом - Thunderbird (с расширениями SOGO Connector и Lightning) и Evolution.

Основная задача OwnCloud в этой схеме - поддержка персональных серверных контактлистов и календарей через CardDAV и CalDAV. Ну и файлообменник по мелочи.

А, там LDAP. У нас его нет, поэтому я взял за основу exim (из-за его acl-ек и обилия манов), dovecot (используется только imap), в качестве веб-интерфейса roundcube, и для администрирования postfixadmin. Часть спама (совсем тупого) рубится на стадии ACL в exim`е, остальное обрабатывает spamassassin, ну и плюс естественно ClamAV. К домену прикручены SPF, DKIM, DMARC (cпасибо за эти плюшки dns.he.net) Прикручен еще sieve, чтобы юзеры в roundcub`е могли сами создавать антиспам-правила. Ну и по мелочи плюшки - квоты, возможность смены пароля юзеру в веб-морде, автоматическое добавление емейла в книгу при отправке письма. Кстати говоря, несмотря на то, что раньше использовался аутлук - он был послан лесом из-за неумения cram-md5 - все пароли шифруются, в качестве клиента (кто раньше пользовался аутлуком - тандерберд), кто веб-мордой - морда в виде roundcube. Вроде работает, и спам неплохо режет) Даже заметил такую вещь - когда поднимал - был огромный поток спама, который резался (судя по логам). Потом - то ли боты умные, то ли хз - этот поток просто спал, видимо боты если не могут взят нахрапом сервак, они отстают от него.

Потому я сразу сказал, что если хочется простоты, то не получится, т.к. нужно все же создать удобство пользователям, особенно если эти пользователи - технически неграмотны.

Если ТСу все это интересно, я могу даже поделится готовыми конфигами)

А, еще забыл - настроено SSL, все шифруется (можно использовать как STARTTLS на 143-м так и SSL на 993-м для IMAP, аналогично для SMTP). Сертификат свой подсовывал, да)

он был послан лесом из-за неумения cram-md5

настроено SSL, все шифруется

Рассмеялся.

А ничего, что если кто-то имеет доступ к БД, тот имеет доступ к паролям, не?

В качетсве базы мускуль кстати.

Расскажите еще больше как exim\dovecot не умеет в хеширование.

Странно, что еще никто не предложил qmail.

Видимо, люди поняли, что qmail - это заготовка для почтового сервера. А для эксплуатации надо кодить и кодить, чтобы привести его работу в соответствие с RFC хотябы.

Юзеры заведены в LDAP'е.
Система (и соответственно dovecot и sendmail) берут юзеров из sssd, а sssd в свою очередь берёт их из LDAP.
sendmail умеет аутентификацию через sasl, который идёт на sssd.

Понятно, что всё настроено и работает, но я бы упростил.

1. Во главу угла - Cyrus-IMAP (где у него юзеры - его дело, можно и LDAP)
2. Sendmail ничего не знает про юзеров и тупо спрашивает у Cyrus, обращаясь к smmapd (один из сервисов Cyrus) в момент приёма сообщения, есть ли юзер (http://open-sendmail.sourceforge.net/rtcyrus3/)
3. Для SMTP-авторизации Sendmail использует sasl rimap, обращаясь к тому же Cyrus-IMAP, опять же, ничего не зная про юзеров.

Ну и дополнительно. Вместо spamass-milter - mailfromd. Со spamassassin тоже работать может, но ещё чёрта лысого в конфиге можно накуролесить.

Что значит не умеет в хеширование? Речь про cram/digest-md5, sha1 в БД или что?

Просто чтобы удобно и красиво.

Взять дистрибутив для ленивых, который при установке сразу разворачивает MTA+MDA+WEB-MUA+WEB-admin'ка

настроено SSL, все шифруется

И зачем cram-md5, который к тому же не совместим с самым распространенным почтовым клиентом?

Я написал почему. В БД ты хэш положишь или plain text?

Хэш, или пачку хэшей.

Ок. Каким образом ты будешь выгребать пароль от туда?

Просто если оно там «на лету» хэширует и ложит в базу пароль зашифрованый, а отдает в plain - то пруф пожалуйста.

Что? Зачем мне plain пароль в базе?

Microsoft Exchange ещё не советовали? :)

А я и прошу пруф, как ты будешь отдавать зашифрованый пароль (из БД) пользователю в plain text.

Зачем мне отдавать пользователю plain text пароль? Это противоречит всякой логике. Впрочем, пруф: http://wiki2.dovecot.org/Authentication/PasswordSchemes .

Non-plaintext authentication mechanisms

See Authentication/Mechanisms for explanation of auth mechanisms. Most installations use only plaintext mechanisms, so you can skip this section unless you know you want to use them.

The problem with non-plaintext auth mechanisms is that the password must be stored either in plaintext, or using a mechanism-specific scheme that's incompatible with all other non-plaintext mechanisms. In addition, the mechanism-specific schemes often offer very little protection.

For example if you're going to use CRAM-MD5 authentication, the password needs to be stored in either PLAIN or CRAM-MD5 scheme. If you want to allow both CRAM-MD5 and DIGEST-MD5, the password must be stored in plaintext.

In future it's possible that Dovecot could support multiple passwords in different schemes for a single user.

LANMAN: DES-based encryption. Used sometimes with NTLM mechanism.

NTLM: MD4 sum of the password stored in hex. Used with NTLM mechanism.

RPA: Used with RPA mechanism.

CRAM-MD5: Used with CRAM-MD5 mechanism.

DIGEST-MD5: Used with DIGEST-MD5 mechanism. The username is included in the hash, so it's not possible to use the hash for different usernames.

SCRAM-SHA-1: Used with SCRAM-SHA-1 mechanism. (v2.2+)

Читал. Использую cram-md5. Или я должен был увидеть какую-то другую секцию?

Ну и используй, няша.

Просто я не совсем понимаю, к чему весь этот сыр-бор. Аутлук научился что-то отличное от plain/text? Насколько я читал - кто-то писал, что оно умеет digest-md5, потом все же наткнулся, что он нихрена не умеет, только plain text. В итоге оно было послано лесом, используется cram-md5, Thunderbird - все довольны.

Чем вас не устраивает plain auth если, по вашим же словам, вся сессия обязательно шифруется? Изначальный посыл был таким. Оказался невероятно тонким(

Я написал чем не устраивает) Тем что в БД пароль хранится в открытом виде. Теперь выясняется, что он лежит все-таки в зашифрованом, только как отдать зашифрованный пароль почтовому клиенту в plain text я не совсем понял))

Братюнь, ты только что копипастил из dovecot wiki. Хватит взрывать мой моск! Ну зачем!1 ЗАЧЕМ отдавать клиенту plain пароль то. Ты сервер или что или как или где!? Клиент тебе отдает пароль plain, а ты решаешь слать на юг или письмицо показать.

Ок, пардон, неправильно выразился. Тогда опиши пжлст, каким макаром ты будешь хранить пароли в БД, каким макаром smtp-сервер сможет авторизоваться, и сказать «вот я, братюнь, отправь письмо» - Мы используем только авторизированый релей, из-за дохрена кол-ва хостов с вирусней - можу даже лог кинуть на 21М со спамом)), каким макаром по imap клиент будет получать письмо, опять же, используя плаин текст. Примеры конфигов dovecot хотя-бы. Ну если можно, то exim/postfix.

For example if you're going to use CRAM-MD5 authentication, the password needs to be stored in either PLAIN or CRAM-MD5 scheme. If you want to allow both CRAM-MD5 and DIGEST-MD5, the password must be stored in plaintext.

Итак

• отдавайте из базы любым захешированным методом, который поддерживает dovecot;
• забудьте про CRAM-MD5/DIGEST-MD5 и тому подобное гоавно, только PLAIN только LOGIN!1;
• exim авторизуйте через dovecot;
• PROFIT!!1

Если в придачу очинь-очинь-нууу-очинь нужен CRAM-MD5, добавьте еще один passdb и храните для отдельных пользователей еще и CRAM-MD5 хэш, чоуж.

Т.е. храня пароль в cram-md5 его можно принимать в plain и собственно cram-md5?