После года разработки представлен (http://permalink.gmane.org/gmane.mail.postfix.announce/157) релиз новой стабильной ветки почтового сервера Postfix - 3.1.0 (http://www.postfix.org). Одновременно объявлено о прекращении поддержки ветки Postfix 2.9 (https://www.opennet.dev/opennews/art.shtml?num=32966), выпущенной в начале 2012 года.
Postfix является одним из редких проектов, сочетающих одновременно высокую безопасность, надёжность и производительность, чего удалось добиться благодаря продуманной архитектуре (http://www.postfix.org/OVERVIEW.html) и достаточно жесткой политике оформления кода и аудита патчей. В соответствии с данными, полученными (http://www.securityspace.com/s_survey/data/man.201601/mxsurv...) в результате автоматизированного опроса около двух миллионов почтовых серверов, Postfix используется на 32.80% (год назад 28.01%) почтовых серверов, доля Exim составляет 53.62% (50.65%), Sendmail - 6.38% (9.22%), Microsoft Exchange - 1.90% (5.47%).
Основные новшества (ftp://ftp.porcupine.org/mirrors/postfix-release/official/pos...):- Реализована команда "postfix tls", позволяющая быстро включить TLS-шифрование без аутентификации (opportunistic TLS) в SMTP клиенте и сервере, а также управлять сертификатами и ключами шифрования, включая обработку запросов по формированию цифровых подписей и управление записями TLSA DNS для DANE;
- В postscreen, выступающем в роли легковесного межсетевого экрана, предназначенного для первичного блокирования соединений от рассылающих спам зомби-машин, добавлена возможность установки минимального и максимального значений времени жизни (TTL) для ответов DNSBL и DNSWL (черные и белые списки, работающие через формирование DNS-запросов). Ранее параметры TTL управлялись только настройкой "postscreen_dnsbl_ttl = 1h", которая влияла лишь на время кэширования негативных ответов ("not found") DNSBL/DNSWL. В новом выпуске представлены настройки "postscreen_dnsbl_min_ttl" (по умолчанию 60 секунд) и "postscreen_dnsbl_max_ttl" (по умолчанию 1 час), определяющие минимальный и максимальный лимит на удержание в кэше результатов проверки через DNSBL или DNSWL. При этом непосредственно значение времени жизни берётся на основе значения TTL, выдаваемого DNS-сервером для заданных DNSBL и DNSWL зон. Лимиты применяются в случае, если полученный TTL не укладывается в заданный диапазон допустимых значений;
- В SMTP-сервере реализована возможность ограничения интенсивности запросов SASL AUTH (параметр "smtpd_client_auth_rate_limit", определяющий интенсивность отправки команды AUTH в привязке к IP-адресу клиента);
- Поддержка задания задержки между отправкой сообщений для снижения интенсивности доставки, не зависимо от пункта назначения (destination-independent). Например, установка "smtp_transport_rate_delay = 20s" приведёт к появлению 20-секундной задержки между доставками через транспорт SMTP, ограничив общую интенсивность доставки в три сообщения в минуту;- Возможность мягкого ограничения числа запросов на проверку адресов в активной очереди сообщений (параметр address_verify_pending_request_limit). По умолчанию значение установлено в 1/4 от максимального размера очереди.
- Добавлена команда "postqueue -j" для вывода списка элементов в очереди сообщений в формате JSON (выводится отдельный JSON-объект для каждого файла в очереди);- Поддержка задания параметров Milter-фильтров по умолчанию. Через опцию milter_macro_defaults можно перечислить список макросов в формате ключ=значение, которые будут использованы в качестве значений макросов по умолчанию, если параметры не удалось вычислить на основе данных SMTP-сеанса. Например, установка "milter_macro_defaults = auth_type=TLS" приведёт к отправке в Milter параметра auth_type=TLS во всех случаях, кроме использования клиентом аутентификации SASL;
- Прекращена поддержка протоколов SSLv2 и SSLv3, а также слабых экспортных шифров. Размер используемых для инициализации алгоритма Диффи—Хеллмана (Diffie-Hellman) простых чисел увеличен с 1024 до 2048 бит.
URL: http://permalink.gmane.org/gmane.mail.postfix.announce/157
Новость: http://www.opennet.dev/opennews/art.shtml?num=43951
Exchange очень популярен, но его редко выставляют наружу. Часто Сендмейл, Эксим, Постфикс это смартхосты для Exchange инфраструктуры.
Так что автоматизированный опрос не дает реальной картины.
>Exchange очень популярен, но его редко выставляют наружуНу и _ПОЧЕМУ_ же его редко выставляют наружу?
Потому что мышкой дыры не закроешь, а по умолчанию все закрыть - мышкодавы потом открыть фичи не смогут, служба поддержки загнется им объяснять "что делать".
Раньше MS предоставляла продукт EDGE который был смартхостом. Потом решили что не выгодно его то ли поддерживать дорого то ли в принципе фильтрация национального спама для всего мира дорогая затея и локальные решения на национальных рынках выигрывают и поэтому решили снять его с продаж и объявили де "используйте сторонние решения". В результате популярным решением на смартхосте стал например постфикс с каспером.Как то так.
Все гораздо проще, M$ пошли в облака и начали продовать сервис.
Этот сервис?http://www.theregister.co.uk/2016/01/25/office_365_imap_outage/
> Этот сервис?
> http://www.theregister.co.uk/2016/01/25/office_365_imap_outage/да не ходят к нему реальные пользователи по imap, что и позволило закрывать глаза на это аж неделю
я так говорю потому что знаю почтовую специфику и давно в этом варюсь.
Ничего "простого" тут нет. Все реально сложно. Особенно когда гос.органы начинают наезжать на МС в стиле "мы купили ваш фильтр спама, а он не работает. Чините или будут санкции".
Дело пахнет керосином.
Всё это дерьмище от m$ в принципе не способно конкурировать с Postfix, ну просто потому, что мастдайники в принципе не умеют делать продукты такого уровня. Как начинаются работы, так сразу проект превращается в кривую монолитную блоатварь с кучей дыр.
Спокойно выставляется Exchange наружу, в роли Edge Transport Server, уже 9 лет как.
И не чего сравнивать Groupware типа Exchange, с обычным MTA.
Не говоря уж о том, что Exchange модульный давно.
Очередные теоретики, блин, видевшие только 5.5 ...
И логи у него понятные и пишутся оперативно? И не тупит оснастка при подгрузке туевы-хучи юзверей?
Роль Edge Transport Server есть начиная с 2007-го Exchange. Вылезайте из криокамеры!
>>Exchange очень популярен, но его редко выставляют наружу
> Ну и _ПОЧЕМУ_ же его редко выставляют наружу?Потому что "очень популярен".
ПОТОМУ ЧТО те у кого есть деньги на Exchange, обычно находят деньги и на внешний обработчик спама/вирусов и прочего dlp, например cisco ironport, pineapp и т.п.
потому что сложной корпоративной системе и незачем туда торчать неаутентифицируемыми дырками.
(хотя, на самом деле, полно и таких, которые торчат, forefront'ом кое-как прикрытые - обычно у мелких лавочек с лишними деньгами)У нормальной корпорации наружу будет смотреть что-то вроде ironport/макафя/фортинет кто там еще не знаю и знать не хочу.
А сендмэйлы с поцфиксами фронтендом к эсченджу - решения для бедных. Спрашивается, а откуда у этих бедных возьмутся деньги платить хорошим админам?Проверка на вшивость, кстати, простая: попросить показать, как обрабатывается unexisting recipient.
Т.е. вы совершенно не различаете почтовые системы предприятия (типа Exchange, Domino, Sun Java Communications Suite и проч., и к которым postfix не имеет отношения - разве что в составе связки с пачкой других софтин) и MTA, которые передают/принимают почту? Тогда что вы вообще делаете в этом треде...
>Тогда что вы вообще делаете в этом треде...Доставляет нам "the Facts"
Вы всерьез полагаете, что "почтовые системы предприятия" обязаны быть монструозным комбайном типа "все в одном", а не должны быть функционально декомпозированы на обособленные сервисы, вроде SMTP, LDA, POP/IMAP?Я бы вас к почтовой системе предприятия на пушечный выстрел не подпустил бы.
Хорошо, что не вам принимать решения о подпуске меня к чему-либо :)По существу:
Если это утверждение "крупные системы это отвратительно, скомбинировать различные обособленные сервисы самостоятельно это правильный выбор" - то, боюсь, вы плохо представляете себе требования к почте крупных предприятий, провайдеров, больших университетов и подобного. Понятно, что можно самостоятельно настроить все компоненты по отдельности, загнать все в LDAP, обеспечить адресные книги, управление задач, прикрутить к этому мессейджинг, продумать хранение, написать инструменты для управления этим (задачи типа добавить/удалить/изменить пользователей должны решаться не админом), организовать архивирование, отказоусточивость и тому подобное. Так делают, и бывают системы, где это приемлемо. Но возникает целый набор проблем. Во-первых, на создание этого и доведения до ума (чтобы с точки зрения бизнеса это ДЕЙСТВИТЕЛЬНО выполняло все задачи и не вызывало никаких проблем) нужно потратить много времени; поддерживать свой набор костылей тоже потом не так просто, нужны люди. Я полагаю, большинство обитающих на этом форуме работают в IT-компаниях. Представляете ли вы всю сложность нахождения действительно крутых IT-специалистов в крупную компанию, не имеющую отношения к IT? Которая не может заинтересовать этих самых специалистов своим бизнесом, а задачи, тем не менее, крупные. Готовый комплекс, решающий эти задачи, который можно приобрести вместе с поддержкой оказывается намного практичнее, чем пытаться где-то найти людей, способных создать это из компонентов. Нет, обычный админ, которого можно быстро найти, вывесив вакансию НЕ справится с этой задачей. То, что он сделает и что будет казаться ему "нормальным" создаст массу проблем. А серьезных специалистов на создание (и на поддержку потом) в подобную компанию заманить сложно.Статистика использования этих самых комплексов на предприятиях это неплохо подтверждает. Вот пример - не самый новый, 2005 год, но тем не менее. Топ 10 по самым крупным почтовым системам, общее число ящиков активных пользователей: https://blogs.oracle.com/jhawk/entry/ferris_newsletter_sun_e...
Если же это было утверждение "почтовая система должна состоять из обособленных модулей" - конечно, на практике так и есть. Посмотрите сколько компонент в том же Sun Java Communication Suite (сейчас уже Oracle). Все совершенно отдельные, с хорошей поддержкой дублирования этих самых компонентов по нескольким серверам для отказоустойчивости и производительности (чтобы тысячи одновременно работающих пользователей не клали сервер).
А, например, в Zimbra входит в том числе и postfix.
> боюсь, вы плохо представляете себе требования к почте крупных
> предприятий, провайдеров, больших университетов и подобного.Так уж получилось, что я занимался ИТ вообще и почтой в частности в местном горисполкоме, университете, на крупном заводе, а сейчас аутсорсю для разных фирм от 20 до 2000 почтовых аккаунтов в них. И требования представляю себе ооочень хорошо - за 20+ лет сисадминства.
Мне доводилось выкорчевывать кривые поделия рукожопов и ставить нормальный почтовый сервис более десятка раз. Это было что угодно - от постфикса/экзима, зимбры/колаба и до эксченджа включительно. В двух особо тяжелых случаях - winroute mail server.
Знаете, что нужно бизнесу?
Вовсе не свистелки-перделки, и, как ни странно, вовсе не поддержка. Нужна стабильность, надежность, доступность сервиса, чтобы нужды в поддержке вообще не возникало. Чтобы сервис просто работал, как часы. Годами. Или десятилетиями, как это имеет место с двумя моими клиентами.А знаете, в чем главная проблема бизнеса в ИТ-сфере?
Это не дефицит грамотных инженеров, админов и программеров. Главная, если не единственная проблема - это отсутствие грамотного ИТ-менеджмента, способного взвешенно и рационально выбрать инструментарий и принять обоснованное решение. Обычный менеджмент собирает буклеты от проприетарщиков, и внедряет очередное монструозище за безумные деньги лишь потому, что это "энтерпрайз", и никто потом не станет винить менеджера в плохом качестве сервиса.Именно потому в энтерпрайзе буйно цветут решения, слабо соотносящиеся со здравым рассудком. Просто потому, что это надежный способ для менеджмента спихнуть с себя ответственность. Даром, что такое решение обходится предприятию в 5 баксов с учетки в месяц. Ну и что, что дорого - все так делают, так принято... Хотя почтовик типа гугломыла вполне может обходиться предприятию в 30 центов на аккаунт в месяц, не более. Просто нужно знать, уметь и быть готовым нести ответственность за решения.
> требования представляю себе ооочень хорошо - за 20+ лет сисадминства.Вот и видно, что за 20 лет вы ничего нового не узнали и не поняли. Exchange давно уже модульный, с внятной ролевой моделью, отлично кластеризуется и прекрасно масштабируется.
Требования? О! Это песня просто! "Стабильность, надежность, доступность" - очередные сказки линуксоида, не видевшего никогда ПО уровня Notes или Outlook, считающего тормозной и глюкавый Thunderbird вершиной творения?
Люди, реально пользующиеся в бизнесе общими календарями, адресными книгами и прочими прелестями, типа доступа к своему ящику из любого места не через убогий WEB-интерфейс, почему-то совсем не хотят от них отказываться, и многие даже платить за это готовы по $60 за тот же Outlook - сюрприз?
И насчет стандартных решений в Enterprise - логика так же проста, не все готовы ждать по полгода после увольнения старого админа, пока новый в его костылях разберется и всё по своему переделает.
> Люди, реально пользующиеся в бизнесе общими календарями, адресными книгамифейспалм.тхт
> прочими прелестями, типа доступа к своему ящику из любого места
> не через убогий WEB-интерфейсдаблфейспалм.тхт
Друг мой!
Все, вами перечисленное - и общие календари, и общие адресные книги, и общие подкаталоги в инбоксах, и масштабирование, и модульность, и отправка из любых сетей через SMTPS, и доступ к ящику через POP3S/IMAPS/TLS с любого устройства и клиентского софта - будь то "убогий веб-интерфейс", или аутлук, или цундерберд, или зебат, или любой андроид/иос/винмобайл клиент - все это настолько тривиально и настолько давно и КАЧЕСТВЕННО реализовано в опенсорсе, что выставлять эти "достижения", как преимущества эксченджа, можно только от полного невладения предметом.Если вы настолько уверены в преимуществах эксченджа, вот вам домашнее задание:
Есть отдел продаж, где сидит надцать человек сейлзов.
Свежий клиент пишет письмо на сейлз@домен.
Письмо видят во входящих все сейлзы ровно до момента, пока один из них (и.и.иванов@домен) не ответит на него. После этого вся переписка идет напрямую между клиентом и этим сейлом.Придумаете, как эту крайне полезную в бизнесе схему можно реализовать в эксчендже штатными - да хрен с ним! - ЛЮБЫМИ возможными средствами, приходите. Мы тут все посмеемся.
> Есть отдел продаж, где сидит надцать человек сейлзов.
> Свежий клиент пишет письмо на сейлз@домен.
> Письмо видят во входящих все сейлзы ровно до момента, пока один из
> них (и.и.иванов@домен) не ответит на него. После этого вся переписка идет
> напрямую между клиентом и этим сейлом.
> Придумаете, как эту крайне полезную в бизнесе схему можно реализовать в эксчендже
> штатными - да хрен с ним! - ЛЮБЫМИ возможными средствами, приходите.
> Мы тут все посмеемся.Помнится, давно, сталкивался с такой задачей и единственным решением, которое нашлось на тот момент, были следующие действия, нужно было настроить Outlook и Active Directory так, чтобы у каждого сотрудника тех. поддержки, была возможность отправить из Outlook письмо, не от своей учетной записи, а от Send on Behalf of (Отослать от лица), т.е. от вашего сейлз@домен.
> Есть отдел продаж, где сидит надцать человек сейлзов.
> Свежий клиент пишет письмо на сейлз@домен.
> Письмо видят во входящих все сейлзы ровно до момента, пока один из них (и.и.иванов@домен) не > ответит на него. После этого вся переписка идет напрямую между клиентом и этим сейлом.Оставляя за скобками логичный вопрос "Зачем такие извращения, где нормальная CRM?", и учитывая нечеткую формулировку (не ясно, должны ли куда-то деться письма из папки входящие у всех остальных после ответа Иванова, или они могут там остаться), предположу, что задачка элементарно решается "общими папками" - да поправят меня знающие Exchange лучше...
Such butthurt? ok...
Неужели _это_ у линуксоидов уже считается достижением?
Не то что не смешно, плакать хочется.Решение-то элементарное - заводим юзера-заглушку (или общую папку, если зачем-то хочется иметь эти входящие для истории), даём ему адрес сэйлс@домен и включаем безусловную переадресацию на группу "Продажники". Вуаля. Делается штатно за 2 минуты (включая налитие кофе).
Встречный вопрос - сколько времени в случае вашей безвременной и внезапной кончины (тьфу три раза) у вашего экономного работодателя уйдет на поиски на рынке труда такого же, несомненно, талантливого админа-линуксоида, и за какое время оный разгребет нагромождение ваших, никак не документированных костылей?
> энтерпрайз [...] способ для менеджмента спихнуть с себя ответственностьИменно. Причём похоже, теперь по мотивам столкновений с клиническими случаями будет вспоминаться "вы хоть понимаете, что натворили?"...
Просто сайтов с MTA больше, чем компаний со своей почтой.
Балбес глуповатый, Postfix это MTA, а exchange больше не MTA и как MTA он полное дерьмище. Этим и объясняется почему мордой в общественные места торчат прочие альтернативы.
Пользуюсь в составе Iredmail.
Держи в курсе. Переживал за тебя.
Есть опасение, что выход новой версии Postfix на твою инфсталяцию iredmail вообще никак не влияет. Ну то есть там решение готовое, так что что там внутри - никого не волнует, это и назвается - "у меня работает iredmail".
кто-то пользуется здесь postscreen, есть ли реальный профит?
тк щас модно реджектить в дата стейдж или еом, то вряд ли..