Это проблема с датой и временем в нашем коде, область, в которой был обнаружен дефект, используется для определения того, нужно ли обновлять конфигурацию. С 13 декабря эта проверка не выполняется, и поэтому маршрутизатор не будет загружать вашу конфигурацию.

Эта проблема возникнет только в том случае, если Domino будет перезапущен 13 декабря 2024 года или позже. 13 декабря компания HCL выпустила предупреждение об ограничении воздействия.

Временное исправление было предоставлено в течение 24 часов - подробную информацию о загрузке смотрите в таблице ниже.

Эта проблема не вызвана недавним изменением кода и не влияет на безопасность. Эта ошибка существует более 30 лет и, похоже, затрагивает все версии Domino, ранее она не была обнаружена ни IBM, ни Lotus.

Последняя фраза порадовала - вот это пасхалка, так пасхалка! Сработала через 30 лет и почти положила почтовики во всем мире )))

Так вот, логинюсь как-то на сервак и ставлю джентльменский набор софта и настроек. Изюм в том, что все поставленные проги наотрез отказываются принимать данные на своих стандартных портах! В брандмауэре четыре - два (ин/аут) по два (ТКП/ЮДП) правила на стандартные порты всех используемых в решении технологий. В роутере тоже всё четко, даже DMZ пробовал. Во всех конфигах на прослушку стоит 0.0.0.0. Где же, сука, дятлиное яйцо зарыто? А я хз. Самое сумасводное - это то, что только стоит сменить порт - всё крутится-вертится. Однако смысл подключаться к серверу с софтин, не умеющих банально обрабатывать номера портов, типа подавляющего большинства почтовых клиентов.

В итоге я не знал что делать. Решил, как только появятся свободные деньги, купить/собрать сервер и самостоятельно захостить приложение заказчика. Деньги таки появились, и я налимонился и попёрся в "Савеловский", где сварганил себе компутахтер для т.н. "он-прем инфраструктуры". Купил ещё ИБП - так, на всякий пожарный случай (не правда ли, двусмысленно получилось?), ну да ладно. Все же в интересах "лучших практик", как никак... Также купил провод RJ-45 на 20 метров, дабы протянуть проводную сеть с роутера. Приехал, скоммутировал и купил домен. Ещё получил ДНС-хостинг, где в первую очередь выставил A-запись.

На следующий день установил почтовый сервер, где также провёл всю "инженерку", о которой я смог подумать. А потом удивился - почему почта не приходит, может в спам попала? Посмотрел и спам, и корзину, и даже важные. Нигде нет, хотя в админке hMailServer всё в полном порядке. Прогуглил - нужна MX-запись. В итоге полез в DNS-редактор Ru-Center'а, где сделал аменд. Только аменд этот был кривой. Значение записи продублировалось, и из-за этого запись отображалась в лукапе не как "домен.тлд", а "домен.тлд.домен.тлд", хотя в самом редакторе такого не было. Пришлось открывать тикет.

Открыл тикет в поддержке елистратора, запросил редактирование ресурсной записи MX силами специалистов саппорта, где всё прошло на редкость нормально. Однако почта всё равно не приходила, даже когда почтарь проходил все диагностики. Я уже с катух, не знаю чё делать, как я захожу в веб-клиент Яндекс Почты (ныне Yandex 360) и вижу ЭТО. Письмо один хрен с баганой кириллицей, но что же было написано в инфобаре?

Вот что. Оказ Чу.Почта ненавидит серваки без PTR-записей. Перегуглил, узнал про enterprise-grade антиспамы и их фуфлоособенности. Полез в Хабр из гугловской карусели с картинками, находящейся непосредственно под рекламой и пнулся на картинку (внизу):

Казалось бы, триумф, верно? Как бы не так! Короче, я зашёл в чат приложения Мой МТС и вышел на оператора (онна, какая-то Марина), сослался на картинку выше. И представляете, вместо того, чтобы сделать мне PTR-запись, она просто взяла и подключила мне статический IP-адрес, даже не взглянув на то, что он у меня уже подключён! Я ей ровно три раза сообщил, что мне нужен не статический IP, а именно PTR-запись для почтового сервера, потому что белый адрес у меня есть. После минуты молчания эта Я-Не-Знаю-Как-Назвать просто взяла и крякнула мне вот это:

Но это не самое скверное. Самое скверное то, что людской опыт говорит о совершенно обратной ситуации:

Ой да ладно! Какие ещё в МТС/МГТС "обращения"! Только многоканальные телефоны и чаты с рандомным выбором операторов, только хардкор!

Ну и что с этим делать? Я призываю бороться, воевать до конца. Ведь сетью Интернет пользуются не только недоразвитые макаки, которым только поигрульки и подрочульки, но и действительно умный и прогрессивный люд, который замедлит глобальное потепление и построит колонии на Марсе способен поднимать серваки на собственной инфраструктуре, как следствие экономить и иметь действительный аптайм. Проблема в том, что ЦА шаражкиных контор типа МТСа строится не столько на последних, сколько на первых, и это определяет ключевые стратегии их ведения бизнеса. Пожалуйста, распространяйте этот пост! Мы хотим, чтобы люди могли свободно вести сети, и никто не имеет право лишать пользователей их услуг.

Теперь создаём почтовые ящики. Идём Управление – Учётные записи, в правой части кликаем по шестерёнке и Создать. Задаём имя учётной записи и имя пользователя. Опускаемся чуть ниже и в поле Пароль задаём пароль и его подтверждение. Если необходимо, можно поставить галочку «Требуется сменить пароль», тогда, при первом входе пользователя, Zimbra потребует сменить пароль. При необходимости, чуть выше, в поле «Установка учётной записи», можно назначить пользователя Администратором, для этого ставим галочку «Глобальный администратор».

Таким образом создаём нужное количество ящиков и пользуемся почтовым сервером

Перенос писем

Тут есть два варианта - imapsync и перенос руками через почтовый клиент типа Thunderbird. Тут у меня провал в знаниях, ибо всем клиентам, кому я переносил почту, на архив было по барабану и временно оставили доступ к Яндекс.Почте со всем архивом писем, благо за это Яндекс деньги не берёт

systemctl status chronyd

Если она не запущена, то запускаем:

systemctl enable chronyd --now

Если не установлена, то устанавливаем и запускаем:

yum install chrony
systemctl enable chronyd --now

Если Вы решили использовать RHEL-подобную систему, то рекомендуется отключить SELinux. Для этого используем две команды:

setenforce 0
sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config

Для своей работы Zimbra OSE использует следующие порты:
25 — основной порт для обмена почтой по протоколу SMTP
80 — веб-интерфейс для чтения почты (http)
443 — SSL веб-интерфейс для чтения почты (https)
465 — безопасный SMTP для отправки почты с почтового клиента
993 — SSL IMAP для работы с почтовым ящиком с помощью клиента
995 — SSL POP3 для загрузки почты
7071 — для защищенного доступа к администраторской консоли
Т.к. у нас Zimbra будет работать в связке с PMG, то 25 порт заменится на 26.

Если Zimbra стоит за NAT’ом, то рекомендую не прокидывать порт 7071, а использовать его только внутри сети. Так безопаснее. В любом случае, необходимо открыть эти порты в файерволле:

firewall-cmd --permanent --add-port={26,80,443,465,993,995,7071}/tcp

firewall-cmd –reload

Для Zimbra важно, что бы её внешнее имя было прописано локально. Поэтому задаём имя сервера:

hostnamectl set-hostname mail.example.org

Теперь открываем файл hosts:

nano /etc/hosts

И добавляем:

IP_адрес mail.example.org mail

На этом подготовка завершена

Установка Zimbra

Страница загрузки находится по адресу https://www.zimbra.com/downloads/zimbra-collaboration-open-source . Ищем нужную версию и скачиваем дистрибутив на сервер:

wget https://files.zimbra.com/downloads/8.8.15_GA/zcs-8.8.15_GA_4362.RHEL8_64.20220721104405.tgz

Распаковываем скачанный архив:

tar -xzvf zcs-*.tgz

Переходим в каталог:

cd zcs-*/

Запускаем установку:

./install.sh

Появится вопрос о принятии лицензионного соглашения – принимаем:

Do you agree with the terms of the software license agreement? [N] Y

Разрешаем использование репозитория Zimbra:

Use Zimbra's package repository [Y] Y

И соглашаемся на установку всех модулей, кроме zimbra-imapd:

Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-dnscache [Y] Y
Install zimbra-snmp [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-convertd [Y] Y
Install zimbra-memcached [Y] Y
Install zimbra-proxy [Y] Y
Install zimbra-archiving [N] Y
Install zimbra-drive [Y] Y
Install zimbra-imapd (BETA - for evaluation only) [N] N
Install zimbra-network-modules-ng [Y] Y
Install zimbra-talk [Y] Y

Подтверждаем ранее введённые настройки:

The system will be modified. Continue? [N] Y

Начался процесс установки, ждём окончания.

Если Ваш сервер находится за NAT или Вы ещё не настроили домен, то появился сообщение, что нет записи MX:

It is suggested that the domain name have an MX record configured in DNS

Просто игнорируем его.

Установщик предложит поменять домен – не соглашаемся

Change domain name? [Yes] No

Далее установщик покажет меню настройки. Нас интересует строка Admin Password UNSET. Вводим 7, затем 4 и устанавливаем пароль администратора. Затем выходим из меню (r) и применяем настройки (a).

Сохраняем конфигурацию:

Save configuration data to a file? [Yes] Y

The system will be modified - continue? [No] Y

И ждём окончания установки. На запрос отправки уведомления об установке отвечаем по своему усмотрению (по умолчанию Да)

Notify Zimbra of your installation? [Yes]

В конце концов всё установится, и просто нажимаем Enter

Configuration complete - press return to exit

Установщик меняет пароль root, поэтому необходимо изменить его обратно:

passwd root

Небольшая донастройка

Вместе с Zimbra поставился пакет dnscache, установщик меняет DNS-сервера в сервере и перестаёт работать разрешение DNS имён. Исправим это. Для начала посмотрим, какой мастер DNS прописан в конфигурации:

su - zimbra -c "zmprov getServer 'mail.example.org' | grep DNSMasterIP"

В моём случае последний октет разный, пусть будет 127.0.0.48:

zimbraDNSMasterIP: 127.0.0.48

Удаляем данную запись:

su - zimbra -c "zmprov ms 'mail.example.org' -zimbraDNSMasterIP 127.0.0.48"

И добавляем свои DNS сервера:

su - zimbra -c "zmprov ms 'mail.example.org' +zimbraDNSMasterIP  IP_адрес"

Если сервер находится за NAT, то после настройки сервер не сможет принимать почту, а в логах можно увидеть ошибку delivery temporarily suspended: connect to 7025: Connection refused). Это происходит из-за попытки передать письмо из очереди в ящик по внешнему порту 7025, который недоступен из-за NAT. Исправим это:

su - zimbra -c "zmprov ms mail.example.org zimbraMtaLmtpHostLookup native"

su - zimbra -c "zmprov mcf zimbraMtaLmtpHostLookup native"

Т.к. Zimbra работает в связке с PMG, то добавим для SMTP 26 порт:

nano /opt/zimbra/common/conf/master.cf.in

И после строки

smtp inet n - n - 1 postscreen

Добавляем строку

26 inet n - n - - smtpd

После всех манипуляций перезапускаем службы:

su - zimbra -c "zmmtactl restart"

SSL сертификат Let’s Encrypt

Без этого сертификата не будут работать почтовые клиенты, а также, при входе через WEB, будет выскакивать назойливое сообщение о небезопасном подключении. Так приступим же к установке!

yum install certbot

Перед выпуском сертификата выполняем тестовый выпуск:

certbot certonly --dry-run --standalone -d mail.example.org

Если всё хорошо и ошибок нет, то выпускаем сертификат:

certbot certonly --standalone -d mail.example.org

В процессе будет запрошен e-mail администратора и два вопроса:
1) О согласии с лицензионным соглашением
2) О предоставлении своего почтового ящика для рассылки
Соглашаться ли со вторым пунктом – дело Ваше

После выпуска сертификата переходим в каталог Let’s Encrypt с Вашим доменом, качаем корневые сертификаты и формируем корректную цепочку, что бы Zimbra её приняла:

cd /etc/letsencrypt/live/mail.example.org/
wget -4 -O /etc/letsencrypt/live/mail.example.org/isrgrootx1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
wget -4 -O /etc/letsencrypt/live/mail.example.org/letsencryptauthorityx3.pem https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt
cat /etc/letsencrypt/live/mail.example.org/isrgrootx1.pem > /etc/letsencrypt/live/mail.example.org/zimbra_chain.pem
cat /etc/letsencrypt/live/mail.example.org/letsencryptauthorityx3.pem >> /etc/letsencrypt/live/mail.example.org/zimbra_chain.pem
cat /etc/letsencrypt/live/mail.example.org/chain.pem >> /etc/letsencrypt/live/$DOMAIN/zimbra_chain.pem

Создадим папку letsencrypt в структуре каталогов Zimbra и скопируем туда полученные сертификаты:

mkdir /opt/zimbra/ssl/letsencrypt

cp /etc/letsencrypt/live/mail.example.org/* /opt/zimbra/ssl/letsencrypt/

Назначим права на эти файлы и проведем верификацию:

chown zimbra:zimbra -R /opt/zimbra/ssl/letsencrypt

su - zimbra -c "zmcertmgr verifycrt comm /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem"

Успешный вывод:

** Verifying '/opt/zimbra/ssl/letsencrypt/cert.pem' against '/opt/zimbra/ssl/letsencrypt/privkey.pem'

Certificate '/opt/zimbra/ssl/letsencrypt/cert.pem' and private key '/opt/zimbra/ssl/letsencrypt/privkey.pem' match.

** Verifying '/opt/zimbra/ssl/letsencrypt/cert.pem' against '/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem'

Valid certificate chain: /opt/zimbra/ssl/letsencrypt/cert1.pem: OK

Переименовываем закрытый ключ, перемещаем в каталог коммерческих сертификатов, выполняем установку и перезапускаем службы Zimbra:

mv /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

su - zimbra -c "zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem"

su - zimbra -c "zmcontrol restart"

Данный сертификат выпускается на 3 месяца. В последние дни сертификата его необходимо перевыпустить:

certbot renew

После чего повторяем все шаги, начиная с «После выпуска сертификата переходим в каталог Let’s Encrypt»

На этом установка Zimbra завершена

Весь этот набор я, обычно, ставлю на Proxmox VE – гипервизор, в котором создаю 2 виртуалки, одну для Zimbr’ы, вторую для PMG. Во первых, не надо плодить лишнего железа, а во вторых будет проще перенести виртуалки на другой сервер, если с железом что-то случится, чем заново всё поднимать и раскатывать из бэкапов. Ну и сами бэкапы виртуалок тоже просто делать, буквально пару кликов мышки.

Весь этот набор, на одной из последних инсталляций, крутится на HP Proliant DL320 G6 с процессором Intel Xeon E5630 и 32 GB RAM с 50 средне-активными ящиками, примерно по 30 писем в день на каждом. Для PMG выдано 4 потока процессора и 4 GB RAM, для Zimbra 4 потока и 8 GB RAM. В принципе, хватает. И да, я знаю, что сервер старый. Все риски с заказчиком проговорили, таков путь его бюджет.

Как ставить PVE и PMG есть куча статей в инете, здесь я расскажу про настройку PMG, установку и настройку Zimbra, а так же настройку домена.

Самое главное – у почтового сервера должен быть белый IP-адрес. Сервер не обязательно должен смотреть напрямую в интернет, можно через роутер пустить, но тогда необходимо прокинуть порты на него.

Настройка домена

Для начала определимся в типах записи домена

А – служит для преобразования имени хоста в IP-адрес
MX – определяет, на каком хосте находится почтовый сервер, а так же порядок его использования
TXT – общая текстовая информация, в данном случае служит для настройки записей SPF, DMARC и DKIM
PTR – обратная запись DNS. Служит для проверки нахождения почтового сервера на конкретном IP-адресе
SPF – служит для проверки, с каких почтовых серверов разрешена отправка писем
DMARC – указывает, что делать с письмами, если записи SPF и DKIM окажутся некорректными
DKIM – служит для подписания писем закрытым ключом, таким образом, сервер-получатель знает, что письмо отправлено именно с Вашего почтового сервера, а не с фишингового.

Наш почтовый сервер будет иметь домен mail.example.org. Для начала, необходимо запросить у провайдера/хостера (смотря где находится сервер) прописать PTR-запись на Ваш IP-адрес вида mail.example.org
Затем идём в управление DNS-зонами домена (если используете DNS регистратора) и добавляем следующие записи:

1) Создаём домен mail.example.org, делаем запись типа А с IP-адресом сервера.
2) Переходим в домен example.org, добавляем записи MX с приоритетом 10 и адресом mail.example.org и TXT запись со значением v=spf1 mx –all.
3) Создаём домен _dmarc.example.org и добавляем туда TXT запись со значением v=DMARC1; p=none

Обновление DNS-записей домена может доходить до суток, но на моей практике всё обновлялось в течении 30 минут.

PMG

После установки PMG заходим по SSH и, первым делом, отключаем коммерческий репозиторий и добавляем бесплатный:

rm /etc/apt/sources.list.d/pmg-enterprise.list
touch /etc/apt/sources.list.d/pmg-no-subscription.list

Заходим в pmg-no-subscription.list:

nano /etc/apt/sources.list.d/pmg-no-subscription.list

И добавляем репозиторий:

deb http://download.proxmox.com/debian/pmg bullseye pmg-no-subscription

Выходим с сохранением (Ctrl+X) и обновляем систему:

apt update && apt upgrade –y

Если в списке обновляемых файлов было ядро (pve-kernel-*), то перезагружаем PMG после обновления, что бы он загрузился на новом ядре:

reboot

Проверяем, что бы имя сервера соответствовало его локальному IP-адресу

nano /etc/hosts

В этом файле должна быть запись вида IP_адрес mail-gw.example.org mail-gw, при этом IP_адрес НЕ 127.0.0.1.

После всех описанных процедур заходим браузером на https://ip:8006 и вводим логин-пароль, который указали при установке

Идём во вкладку Configuration-Network/Timeи, при необходимости, правим часовой пояс, время и настройки DNS

Затем идём в Options и правим настройки отчётов

А теперь переходим к настройке самого релея. Идём в Configuration – Mail Proxy и указываем в поле Default Relay адрес почтового сервера, на который PMG будет пересылать всю почту

Далее в Relay Domains указываем, какие домены будет обслуживать PMG и почтовый сервер. Это один из этапов защиты, если не указать домен, то письма будут автоматически отбрасываться.
Во вкладке Ports указываем наружный и внутренний SMTP порты. Советую оставить по умолчанию, далее в Zimbra заменим порт SMTP на 26.
Во вкладке Options я, как правило, правлю 3 пункта – Message Size (размер письма, ставлю 50 мбайт), Use SPF = yes (SPF-запись нужна для настройки домена, что бы другие почтовые сервера понимали, с каких серверов для этого домена разрешена отправка писем) и SMTPD Banner (что бы при приветствии сервера по SMTP протоколу не палиться, что это PMG).

Далее – DKIM. Включаем подпись DKIM, указываем селектор и говорим, что необходимо подписывать все исходящие письма DKIM-ключом

Затем, чуть ниже в Sign Domains добавляем домен example.org.
Затем идём в генератор DKIM (например, https://2ip.ru/dkim), задаём имя домена example.org, селектор mail и размер ключа (2048). Получаем три записи – Private Key, Public Key и TXT-запись в домен. Если присмотреться, то увидите, что в TXT записи есть пробелы – это нормально, так и должно быть. Опять идём в управление DNS-зонами домена и добавляем домен mail._domainkey.example.org, создаём в нём TXT запись и вставляем всё, что окажется в поле «TXT запись», начиная с V=DKIM и до конца, исключая кавычки. Для проверки, что DKIM-запись в домене появилась и она правильная, идём на сервис проверки DKIM (например, https://dmarcian.com/dkim-inspector), прописываем имя домена, селектор и нажимаем «Inspect DKIM». Если запись правильная, то появится надпись «Congratulations! Your DKIM record is valid».
Затем подключаемся по SSH к PMG и открываем файл /etc/pmg/dkim/mail.private

nano /etc/pmg/dkim/mail.private

Удаляем всё содержимое и вставляем с поля «Приватный ключ» с сайта 2ip.ru.

Может возникнуть вопрос – а зачем было менять ключ, если он есть, почему нельзя было его скопировать в DNS-запись? Отвечаю – отсутствие пробелов в нужных местах. В DNS родная запись PMG будет выглядеть одной строкой, и такая запись будет невалидна из-за своей длины.

И есть ещё 3 неочевидных момента, с которыми я, на первой инсталляции, промучался долго.

SMTP_HELO

SMTP_HELO - это приветствие между почтовыми серверами. Сервер должен представляться своим почтовым доменом (в нашем случае mail.example.org), однако PMG подставляет туда своё локальное имя (в моём случае mail-gw.example.local). Исправим это.

Проверяем, что существует папка /etc/pmg/templates. Если нет, то создадим её

mkdir /etc/pmg/templates

Копируем шаблон настроек и открываем в редакторе

cp /var/lib/pmg/templates/main.cf.in /etc/pmg/templates/main.cf.in

nano /etc/pmg/templates/main.cf.in

Находим строку smtpd_banner = $myhostname [% pmg.mail.banner %] и меняем $myhostname на mail.example.org
Ищем строку biff = no и, после неё, добавляем строку smtp_helo_name = mail.example.org

Затем перезагружаем PMG, что бы он принял конфиг

pmgconfig sync --restart 1

RAR архивы

Изначально PMG не может просканировать RAR архивы во вложениях на предмет вирусов. Исправим это

Добавим non-free репозитории. Открываем на редактирование sources.list

nano /etc/apt/sources.list

И приводим содержимое к следующему виду:

deb http://deb.debian.org/debian bullseye main contrib non-free
deb-src http://deb.debian.org/debian bullseye main contrib non-free
deb http://deb.debian.org/debian bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free

После чего устанавливаем пакеты

apt update && apt install libclamunrar p7zip-rar

Готово, теперь PMG сможет сканировать RAR архивы

Ошибка SPF-записи

Если PMG использует DNS сервера внутри сети, то может происходить следующее - иногда сервера получателей не могут проверить SPF запись и не принимают письмо, хотя сама SPF запись есть и настроена корректна. Этот момент не всегда очевиден и легко пропустить в логах. Решение простое - добавить SPF запись на локальном DNS сервере. Если PMG использует внешние публичные DNS-сервера, то такой проблемы нет.

На этом настройка PMG закончена, можно приступать к установке и настройке Zimbra