Непростой выбор почтового сервера...

[no_smile]

Имеется задача выбора почтового сервера. Основные условия(требования):
1) Количество пользователей 500-1000
2) Большое количество входящих сообщений (спам сыпется жутко)
3) Возможность авторизации посредством AD (не хотелось бы создавать ещё одну базу пользователей)
4) Удобное управление пользователями и всей системой (большое количество людей увольняющихся и принимаемых на работу)
5) Linux RedHat 9

Хотелось бы послушать мнения людей эксплуатирующих подобные системы.
Спасибо.

[corvax]

Имеется задача выбора почтового сервера. Основные условия(требования):
1) Количество пользователей 500-1000

важнее не количество пользователей, а плотность потока писем

2) Большое количество входящих сообщений (спам сыпется жутко)
3) Возможность авторизации посредством AD (не хотелось бы создавать ещё одну базу пользователей)

если виртуальных доменов не будет, то exim + dovecot + pam_ldap + openldap-client

4) Удобное управление пользователями и всей системой (большое количество людей увольняющихся и принимаемых на работу)

дык, при такой постановке задачи руление юзерами будет осуществляться через AD, что тогда подразумевается под удобным управлением пользователями и всей системой?

5) Linux RedHat 9

придется обновится маленько. установить dovecot на набор библиотек из девятой шапки быстро не получится - придется много пакетов обновлять по зависимостям. легче дистр обновить полностью

Хотелось бы послушать мнения людей эксплуатирующих подобные системы.

dovecot + pam я не эксплуатировал за полной ненадобностью, но схему с exim + pam + pam_ldap + openldap-client + AD обкатывал под заказ (AD использовался при проверке данных SMTP аутентификации). с dovecot'ом тоже проблем быть не должно

правда, я обкатывал схему на FreeBSD 4.9 и 5.3
как живет pam_ldap под linux'ом, я понятия не имею

[no_smile]

важнее не количество пользователей, а плотность потока писем

До 100 тыс. входящих

если виртуальных доменов не будет, то exim + dovecot + pam_ldap + openldap-client

Пока не будет, но всё может быть.

дык, при такой постановке задачи руление юзерами будет осуществляться через AD, что тогда подразумевается под удобным управлением пользователями и всей системой?

Ну, это на тот случай если не получиться с AD. И потом, я честно говоря непонимаю пока можно ли управлять созданием алиасов, перенаправлением почты, созданием рассылок с помощью AD(LDAP) или это надо будет делать непосредственно на сервере. Это конечно не проблема, но хочется всё таки сделать систему так, чтобы мало что зависело от меня. Мало ли, придётся оставить это злачное место и всё рухнет.

придется обновится маленько. установить dovecot на набор библиотек из девятой шапки быстро не получится - придется много пакетов обновлять по зависимостям. легче дистр обновить полностью

Обновить до чего? До FreeBSD? Не имею желания. До fedora чтоли обновляться?

dovecot + pam я не эксплуатировал за полной ненадобностью, но схему с exim + pam + pam_ldap + openldap-client + AD обкатывал под заказ (AD использовался при проверке данных SMTP аутентификации). с dovecot'ом тоже проблем быть не должно

правда, я обкатывал схему на FreeBSD 4.9 и 5.3
как живет pam_ldap под linux'ом, я понятия не имею

Дык вроде Linux как раз под pam заточен, точнее наоборот.

[corvax]

важнее не количество пользователей, а плотность потока писем

До 100 тыс. входящих

коннектов?
доставленных писем?
с учетом спама?
без учета спама?
в какую единицу времени?

если виртуальных доменов не будет, то exim + dovecot + pam_ldap + openldap-client

Пока не будет, но всё может быть.

просто я слабо себе представляю, как можно будет организовать аутентификацию на основании данных из AD при использовании виртуальных доменов

дык, при такой постановке задачи руление юзерами будет осуществляться через AD, что тогда подразумевается под удобным управлением пользователями и всей системой?

Ну, это на тот случай если не получиться с AD. И потом, я честно говоря непонимаю пока можно ли управлять созданием алиасов, перенаправлением почты, созданием рассылок с помощью AD(LDAP)

так это не проблема MTA, это проблема AD. для эксима фиолетово, в каком виде в AD будут указаны алиасы, форварды, вирт. юзера и т. д. главное, чтобы способ указания этих данных был четко формализован.

или это надо будет делать непосредственно на сервере.

можно эти данные хранить и в настройках MTA. но зачем же множить сущности без крайней на то необходимости?

Это конечно не проблема, но хочется всё таки сделать систему так, чтобы мало что зависело от меня. Мало ли, придётся оставить это злачное место и всё рухнет.

при должном качестве реализации и документирования ничего не должно рухнуть

придется обновится маленько. установить dovecot на набор библиотек из девятой шапки быстро не получится - придется много пакетов обновлять по зависимостям. легче дистр обновить полностью

Обновить до чего? До FreeBSD?

если бы я имел ввиду FreeBSD, я бы написал "сменить дистр", а не "обновить дистр"

Не имею желания.

одного желания или нежелания чаще всего недостаточно для принятия оптимальных решений

До fedora чтоли обновляться?

да. Fedora Core является прямым правоприемником RedHat Linux

dovecot + pam я не эксплуатировал за полной ненадобностью, но схему с exim + pam + pam_ldap + openldap-client + AD обкатывал под заказ (AD использовался при проверке данных SMTP аутентификации). с dovecot'ом тоже проблем быть не должно

правда, я обкатывал схему на FreeBSD 4.9 и 5.3
как живет pam_ldap под linux'ом, я понятия не имею

Дык вроде Linux как раз под pam заточен, точнее наоборот.

я не имею ввиду Pluggable Authentication Modules как таковые, я имею ввиду именно pam_ldap

[no_smile]

важнее не количество пользователей, а плотность потока писем

До 100 тыс. входящих

коннектов?
доставленных писем?
с учетом спама?
без учета спама?
в какую единицу времени?

Писем с учетом спама (сейчас нет никакого антиспама) в день.

так это не проблема MTA, это проблема AD. для эксима фиолетово, в каком виде в AD будут указаны алиасы, форварды, вирт. юзера и т. д. главное, чтобы способ указания этих данных был четко формализован.

Вот я про это и хотел узнать. Насколько я понимаю (начитался тут всего про mail+ldap) существует определенная ldap схема под каждый
mail.  И если там не описано ничего про алиасы, форварды и т.д. то вряд ли МТА поймёт что к чему.

И всё таки почему именно exim, в чём преимущество его в данной ситуации или он просто "ближе к телу"?

[corvax]

dovecot + pam я не эксплуатировал за полной ненадобностью, но схему с exim + pam + pam_ldap + openldap-client + AD обкатывал под заказ (AD использовался при проверке данных SMTP аутентификации). с dovecot'ом тоже проблем быть не должно

правда, я обкатывал схему на FreeBSD 4.9 и 5.3
как живет pam_ldap под linux'ом, я понятия не имею

Дык вроде Linux как раз под pam заточен, точнее наоборот.

самый старый из тазиков, который я нашел:
Fedora Core 1
dovecot-0.99.10.4-3
openldap-2.1.29-1
pam_ldap.so из nss_ldap-207-6

схема с аутентификацией imap'овых пользователей в AD заработала сразу. при этом письма можно хранить как в maildir'ах, так и в mailbox'ах. но это будут не системные mailbox'ы (как в /var/mail), т. к. владельцем всех mailbox'ов будет пользователь, от имени которого выполняется dovecot, ведь почтовых пользователей нет в системе...

в общем, все работать будет
в схеме только одно неудобство - отсутствие виртуальных доменов

[corvax]

До 100 тыс. входящих

коннектов?
доставленных писем?
с учетом спама?
без учета спама?
в какую единицу времени?

Писем с учетом спама (сейчас нет никакого антиспама) в день.

собственно я вот сейчас думаю, для чего я это уточнял? ибо даже с такой плотности доставки неспамовых писем в сутки любой вменяемый MTA справится (я имею ввиду по крайней мере sendmail и exim), главное, чтобы канал и железка, на которой все это будет крутиться, справились...

так это не проблема MTA, это проблема AD. для эксима фиолетово, в каком виде в AD будут указаны алиасы, форварды, вирт. юзера и т. д. главное, чтобы способ указания этих данных был четко формализован.

Вот я про это и хотел узнать. Насколько я понимаю (начитался тут всего про mail+ldap) существует определенная ldap схема под каждый mail.

я exim могу изогнуть под любую схему, применяемую для хранения алиасов, форвардов, вирт. юзеров, etc. вернее, это не я могу, это возможность такого изгибания есть...

И если там не описано ничего про алиасы, форварды и т.д. то вряд ли МТА поймёт что к чему.

вывод неверный. схему можно подрихтовать. и научить MTA работать с подрихтованной схемой

И всё таки почему именно exim, в чём преимущество его в данной ситуации или он просто "ближе к телу"?

ближе к телу мне наверное sendmail. хотя... уже тяжело сказать. но точно не qmail

но реализация работы с LDAP в exim'е мне нравится на много больше, чем в sendmail'е.
кроме того, я уже отрабатывал схему SMTP auth в AD для exim'а, поэтому и предложил использовать его. ну, а аутентификацию dovecot'а в AD я опробовал только что. так что схема полностью рабочая

[no_smile]

Да подрихтовать можно всё и вся. Вопрос тока какими силами и средствами.

Спасибо за советы начну пробовать, пожалуй, с exim'a

[corvax]

Да подрихтовать можно всё и вся. Вопрос тока какими силами и средствами.

схему подрихтовать несложно, нужно хитрое такое средство - текстовый редактор
работать с новыми атрибутами можно из любого web ориентированного LDAP браузера, благо их развелось немерянно и несчитано.
а уж exim изогнуть можно под любую схему, об этом я уже упоминал.

Спасибо за советы начну пробовать, пожалуй, с exim'a

да можно еще подождать, может завтра кто-нить еще что-нить предложит, все же сегодня выходной

[apelsin]

Каким образом планируется огранизовать доступ к почте для [большинства ]юзеров?  (POP3-клиент, IMAP-клиент, IMAP-webmail)?

как вариант для рассмотрения, я бы посоветовал Cyrus IMAP  вместо dovecot.

[corvax]

Каким образом планируется огранизовать доступ к почте для [большинства ]юзеров?  (POP3-клиент, IMAP-клиент, IMAP-webmail)?

как вариант для рассмотрения, я бы посоветовал Cyrus IMAP  вместо dovecot.

на самом деле подойдет любой LDA, который сможет аутентифицировать юзеров через PAM

и, кстати, исходя из вышеуказанного вопроса о способе доступа к почте cyrus imapd не имеет ощутимых преимуществ перед dovecot'ом

[apelsin]

Cyrus IMAP специально предназначен для 'backbox' майл сервера, то есть такого где юзера не имеют lоcal accts.
Cyrus имеет определенные полезные фичи, как-то
::'shared mailboxes with ACL'  (очень удобно для мailboxos для групп, вроде sales@domain.tld)
:: per-mailbox quotas
:: mailbox migration (to diff partition/server)
:: фильтры на сервере SIEVE ("vocation auto-reply", правила сортировки почты и тд)

недостатки у  Cyrus тоже есть, но пусть их кто-нибудь другой озвучит

[corvax]

Cyrus IMAP специально предназначен для 'backbox' майл сервера, то есть такого где юзера не имеют lоcal accts.

это не есть преимущество перед dovtcot'ом

Cyrus имеет определенные полезные фичи, как-то
::'shared mailboxes with ACL'  (очень удобно для мailboxos для групп, вроде sales@domain.tld)

согласен. и как я уже указал, это преимущество не имеет ничего общего с вопросом о способе доступа к почте из прошлого письма.
опять же, в постановке задачи что-то было о shared folders?

:: per-mailbox quotas

без проблем реализуется средствами того же exim'а практически для любого imap/pop3 сервера с учетом времени суток, свободного места на разделе, направления ветра и атмосферного давления...

:: mailbox migration (to diff partition/server)

вот это я не совсем понял

:: фильтры на сервере SIEVE ("vocation auto-reply", правила сортировки почты и тд)

в предложенной мной схеме фильтрацию можно проводить средствами MTA. при этом на этапе фильтрации будет доступна практически вся информация, известная MTA о письме к этому моменту. так что по части фильтров sieve - это никак не преимущество

недостатки у  Cyrus тоже есть, но пусть их кто-нибудь другой озвучит

смысла нет. для решения проблемы, описанной в корневой мессаге треда, хватит как dovecot'а, так и cyrus-imapd

[corvax]

как вариант для рассмотрения, я бы посоветовал Cyrus IMAP  вместо dovecot.

моих скудных познаний в cyrus-imapd немного не хватает...
я так понимаю, что для аутентификации в AD придется юзать цепочку
cyrus-imapd -> sasl -> pam -> pam_ldap -> openldap-client
?

[apelsin]

согласен. и как я уже указал, это преимущество не имеет ничего общего с вопросом о способе доступа к почте из прошлого письма.
опять же, в постановке задачи что-то было о shared folders?

лучше иметь чем не иметь, эта полезная утилита,  несмотря на то что при постановке задачи ее не упомянули как требование.  

без проблем реализуется средствами того же exim'а практически для любого imap/pop3 сервера с учетом времени суток, свободного места на разделе, направления ветра и атмосферного давления...

возможно ... а при фильтровании средствами МТА что происходит когда юзер достиг, ну скажем, 90% квоты?  ... ничего + при переполнении почте отлуп?  Cyrus квоты дают предупреждение ... при $QUOTA_WARNING_LEVEL

:: mailbox migration (to diff partition/server)

вот это я не совсем понял

не хватает места на /var/mail (места где майлбоксы лежат ), добавляем новых диск, (или array) монтируем /var/mail2 и с помощью специальной утилиты можно "мигрировать" часть маилбоксов туда, не перегужая сервер.  

:: фильтры на сервере SIEVE ("vocation auto-reply", правила сортировки почты и тд)

в предложенной мной схеме фильтрацию можно проводить средствами MTA. при этом на этапе фильтрации будет доступна практически вся информация, известная MTA о письме к этому моменту. так что по части фильтров sieve - это никак не преимущество

тут такое дело: как зделать vocation autoreply?  (vocation util in  $HOME?)
или как зделать правила для каждого юзера:  у меня есть папка
"LISTS" , я хочу всю почту от $MAILING_LIST откладывать туда автоматочески.  В вашем решении как это сделать? (promail and rules in
.forward?)  Проблема в том как такие правила создавать/менять (без участия админа) делать backup...  SIEVE позволяет хранить такие правила на клиенте (то есть где угодно: sql/ldap) но исполнять на сервере.

недостатки у  Cyrus тоже есть, но пусть их кто-нибудь другой озвучит

смысла нет. для решения проблемы, описанной в корневой мессаге треда, хватит как dovecot'а, так и cyrus-imapd

более или мение согласен.  А какие преимущества у dovecot'a? На чем основана рекомендация?