Postfix, Dovecot, Rspamd: контурдағы пошта серверін ауыстыру
Postfix, Dovecot, Rspamd: коммерциялық пошта серверін жабық контурда қалай ауыстыру, SPF DKIM DMARC орнату, антиспам, резервтеу және жеткізілімді бақылау.

Неліктен пошта серверін ауыстыру қажет және не нәрсе бұзылуы мүмкін
Коммерциялық пошта серверлерін әдетте «бәрі бірде» шешімі ретінде таңдайды. Бірақ уақыт өте келе практикалық мәселелер шығады: лицензия бағасы өседі, кейбір баптаулар жабық болады, ал кез келген ерекше талап вендормен хат алмасуға және күтуге әкеледі.
Жабық контурда бұл әсіресе айқын байқалады. Әдетте жабық контур — интернетке тікелей шығысы жоқ орта, қатаң қолжетімділік ережелері, міндетті аудит пен бұлтқа тәуелділіктің тыйымымен сипатталады. Мұнда анық баптаулар, болжамды жаңартулар және хаттардың қалай өңделетінін түсіндіре білу маңызды.
Пошта жүйесін ауыстырғанда ең жиі кездесетін проблемалар: хаттардың кешігуі, ящиктер мен кезектерді көшіру кезінде хабарламалардың алданып қалуы, спам пен фишингтің көбеюі әлсіз саясаттар себебінен, ал қолдау SMTP, IMAP, DNS және фильтрлер арасында «кім кінәлі» дегенге айналады. Тағы бір қауіпті категория — ішкі регламенттерге сәйкес келмеу: журналдар, сақтау және қолжетімділік талаптары.
Postfix + Dovecot + Rspamd комбинациясы пайдалы, өйткені рөлдер бөлінген. Postfix қабылдау мен жіберуге жауап береді, Dovecot — ящиктарға қолжетімділік, Rspamd — хаттарды тексеру мен бағалауға. Бұл диагностика мен ережелерді сіздің саясатқа сәйкестендіруге жеңілдік береді.
Бірақ «еркіндік» қателіктерден сақтамайды. Типтік сценарий: ұйым жабық сегментке ауыстырылып, ескі DNS жазбалары сақталып, жекелеген қолтаңбалау және тексеру тәртібі бекітілмейді. Нәтижесінде серіктестерде хаттардың бір бөлігі карантинге түсіп, пайдаланушылар тек «пошта істемей қалды» деп есептейді.
Серверді ауыстыру сән үшін емес, талаптарды алдын‑ала сипаттап, іске қосқаннан кейін алғашқы апталарда жеткізілімге, спамға және журналдарға мұқият қарауға дайын болғанда мағыналы болады.
Қосымша күрделіліксіз Postfix + Dovecot + Rspamd архитектурасы
Жабық контурда осы үштік ыңғайлы: әр компонент өз жұмысын нақты атқарады.
Postfix SMTP арқылы хаттарды қабылдап, әрі қарай жеткізеді. Dovecot поштаны сақтайды және IMAP арқылы пайдаланушыларға береді. Rspamd кіріс пен шығысты тексеріп, не өткізу, не белгілеу, не блоктау керектігін шешеді.
Протоколдар әдетте былайша:
- SMTP — серверлер арасындағы хат алмасу үшін қажет.
- IMAP — пайдаланушыларға әртүрлі құрылғылардан поштаны оқуға мүмкіндік береді, хаттар серверде қалады.
- LMTP көбінесе Postfix пен Dovecot арасында поштаны сақтау үшін қолданылады; бұл жеткізілім статустарын анық көрсетуге ыңғайлы (логтар үшін пайдалы).
Антиспамды бірнеше тәсілмен орналастыруға болады. Бір түйінде Postfix/Dovecot-пен бастау оңай және түйін саны аз. Ал негізгі сервердің алдында бөлек шлюз орнату оқшаулау мен периметр ережелерін айқындайды. Екі деңгей (шлюз пен ішкі фильтр) бақылауды күшейтеді, бірақ күрделілікті арттырады.
Схеманы бастаптан таңдау жақсы. Кіші ұйым үшін қарапайымдық басым болса бір машина жеткілікті. Екі машина (шлюз және ящиктер сервері) сырттан тек SMTP қолжетімділігін, ішкі желіде IMAP пен сақтау орнын қалдырады — бұл шекараны айқын бөледі.
Жай сақтау және оның қалпына келуі бөлек мәселе. Локальды диск резерві оңайырақ, бірақ жабдық істен шықса қалпына келтіру уақытына тәуелді. Желілік сақтау немесе репликация сенімділікті арттырады, бірақ өзгерістерді тәртіппен жүргізуді және сенімді желіні талап етеді. Енгізбес бұрын минимум ретінде анықтаңыз: ящиктер қайда орналасады, көшірмелер қаншалық жиі жасалады, қанша сақталады және кім бұл қалпына келтіруді кварталда кемінде бір рет тексереді.
Талаптарды жинау: пайдаланушылар, домендер, көлемдер, саясаттар
Postfix, Dovecot және Rspamd баптаудан бұрын бірнеше қарапайым көрсеткіштер мен ережелерді тіркеу пайдалы — уақыт үнемдейді және іске қосқаннан кейін тосынсыйларды азайтады.
Инвентаризациядан бастаңыз: қанша домен, қанша активті ящик, қанша жалпы ящик (мысалы, support@), күніне күтілетін хаттар саны. Сонымен бірге тіркемелердің типтік өлшемдері мен шынайы лимиттерді анықтаңыз: бір пайдаланушыға 2–5 ГБ басқа, бір бөлімде ондаған гигабайт болуы мүмкін.
Келесі қадам — есептік жазбалардың қалай жұмыс істейтінін анықтау. AD арқылы кіріс болса, логин форматын (user немесе user@domain), MFA талаптарын және сыртқы мердігерлерге қойылатын ережелерді алдын‑ала келісіңіз. Локальды пайдаланушылар болса, тіркеу, бұғаттау және қалпына келтіру процестерін ойластырыңыз, бұлар қолмен хаосқа айналмауы тиіс.
Қауіпсіздік саясаттарын миграциядан бұрын жазып алсаңыз жақсы. Әдетте келісіп қоюға жеткілікті пункттер:
- TLS кіріс пен жіберу үшін, ескі құрылғыларға арналған ерекшеліктер (қажет болса)
- пароль талаптары және ауысым мерзімі
- хаттарды сақтау мерзімі және жою/архивтеу ережелері
- журналдау, журналдардың сақталу орны және оларға кімнің қолы бар
- хат пен тіркемелердің максималды өлшемін шектеу
Миграциялық терезелерді де алдын‑ала келісіңіз: рұқсат етілген тоқтау уақыты қанша, параллель жұмыс істеуге бола ма (ескі сервер қабылдап, жаңа сервер пайдаланушыларға қызмет етеді), және хаттардың жоғалмағанын қалай тексересіз.
Практикадан мысал: филиалдары бар ұйымдарда кейбір пайдаланушылар Outlook арқылы, кейбірі мобильді клиенттер арқылы жұмыс істейді, ал жалпы ящиктер мини‑CRM ретінде пайдаланылады. Бұл протоколдар таңдауы мен лимиттерге, көшу жоспарына тікелей әсер етеді.
Жабық контурда орналастыру схемалары: қарапайымнан сенімдіге
Жабық контурда пошта әдетте бірнеше сегмент арасында орналасады: жұмыс станциялары, серверлік аймақ, кейде DMZ және әкімшілерге арналған жеке подсетьтер. Сондықтан орналастыру схемасы жиі пакет таңдауынан маңыздырақ. Бірдей Postfix + Dovecot + Rspamd жиынтығын әртүрлі жинауға болады — айырмашылық қызмет көрсетудің үзіліссіздігі мен қолдаудың ыңғайлылығында көрінеді.
Бір серверден рөлдерді бөлуге дейін
Ең қарапайым — барлығы бір серверде: қабылдау/жіберу, сақтау және фильтрация. Жылдам басталады және түсінікті. Минусы — бір ақау бүкіл қызметті тоқтатады.
Келесі қадам — рөлдерді бөлу. Жиі қолданылатын схема: бөлек SMTP‑шлюз (қабылдау, кезектер, антиспам) және бөлек ящиктер сервері (IMAP/LMTP, сақтау). Бұл компоненттерді кезекпен жаңартуға және сақтау орнын оқшаулауға мүмкіндік береді.
Егер жұмыс үзілісі қабылданбайтын болса, резерв енгізеді. Кіріс пошта үшін әдетте екі шлюз «актив‑актив» режимінде болады. Сақтау үшін көп жағдайда «актив‑пассив» таңдайды: екінші түйін дайын тұрады, бірақ бір уақытта жазбайды.
"Екі сервер" пен "екі жазба" ұғымын шатастырмаңыз. Бірдей сақтау орнында екі түйіннің бір уақытта жазуы мұқият архитектурасыз деректердің бүлінуіне әкелуі мүмкін. Ящиктер үшін актив‑актив тек жалпы сақтау орны және нақты процедуралар болса ғана мағыналы.
Сақтау және желі: алдын ала шешетіндер
Жабық контурда көбіне локальды диск пен RAID‑ден бастайды: бұл болжамды және желіге тәуелділігі аз. Бөлек сақтау орнын қолдану серверлерді тез ауыстыруға немесе көп ящиктерге мүмкіндік береді, бірақ желі сенімділігін және өзгерістер тәртібін қажет етеді.
Орнатудан бұрын қауіпсіздік және желі командаларымен келісіңіз: шлюз және ящиктер үшін қандай VLAN, әкімшілерге арналған жеке қолжетімділік (jump host немесе бөлек подсеть), қажет порттар тек мақсат бойынша ашылатынын, DNS және уақыт синхрондау қай жерде болатынын және сенім шекаралары қайда өтетінін анықтаңыз (мысалы, шлюз пен ящиктер сервері арасындағы сенім шекарасы).
Практикалық мысал: сегменттер қатты бөлінгенде пошта шлюзі серверлік аймақта қабылдап, тексеріп, кезекке қояды, ал ящиктер серверіне тек шлюз пен әкімшілер подсетьінен рұқсат беріледі. Осылай желі ерекшеліктерін азайтып, жауапкершілікті айқындайсыз.
Жеткізілімділік: SPF, DKIM, DMARC және доменнің негізгі гигиенасы
Жеткізілімділік — тек антиспам емес. Бұл хаттың өту жолы: сервер оны қабылдап немесе жіберіп, DNS және бедел бойынша тексеріліп, ящикқа түскенше өңделеді.
Postfix + Dovecot + Rspamd конфигурациясында проблемалар көбінесе алушы тарап тексергенде шығады: алыс сервер сіздің доменнен келгенін сенбейді.
Домен мен IP‑тің тазалығынан бастаңыз. Шығыс пошта үшін үш мәселе шешуші: дұрыс MX, сәйкес атаулар және кері аймақ (PTR), сондай‑ақ жіберуге рұқсат (SPF). Егер сыртқы IP біреу болса, PTR атауы сервер атауы мен SMTP‑HELO‑мен сәйкес болуы тиіс, және бұл хост қайтадан сол IP‑ге түсуі керек.
Керекті минималды DNS жазбалары:
- домен үшін пошта шлюзіне көрсетілген MX
- пошта серверінің A/AAAA жазбалары
- шынайы жіберуші IP‑ге арналған PTR (rDNS)
- жіберуге рұқсат беретін SPF (TXT)
DKIM шығыс хаттарға қолтаңба қосады. Жеке кілт серверде (әдетте шығыс шлюзте) сақталады, ашық кілт DNS‑ке TXT ретінде орналастырылады. Кілттерді жоспармен ауыстырып тұру пайдалы — мысалы 6–12 ай сайын: алдымен жаңа selector пен кілтті DNS‑ке қосып, содан кейін қолтаңбаны ауыстырып, ескі кілтті алып тастаңыз.
DMARC SPF пен DKIM‑ты байланыстырып, саясатты анықтайды. Массалық қате қабылдауларды болдырмау үшін бастапқыда p=none етіп, есептер жинаңыз. Бірнеше аптадан кейін нақты жіберушілер анықталғаннан соң quarantine‑ға, сосын ғана reject‑ке ауысыңыз.
Егер домендер көп және кей жүйелер ескілер (МФУ, legacy‑CRM) тікелей жіберсе, бәрін бір күнде бұзу дұрыс емес. Алдымен әр домен бойынша жіберушілер тізімін жинап, оларды бір үлгіге келтіріңіз: не барлығы сіздің шлюз арқылы авторизациямен жіберсін, не legacy‑жүйелерге жеке SPF пен DKIM кілттерін жасаңыз.
Rspamd-та антиспам және антифишинг: практикалық баптаулар
Rspamd осы қосымшаға жақсы келеді, бірақ оны бірінші күннен «барынша қатты» қосу қауіпті. Миграциядағы ең жиі проблема — жалған оң сәйкестік: маңызды шоттар, мемлекеттік хаттар немесе ішкі жүйелерден келген хабарламалар кенеттен спамға түседі немесе қабылданбай қалады.
Rspamd хатты түрлі сигналдар бойынша бағалайды: көздің беделі (IP, домен), хабар құрылымы, сілтемелер, тіркемелер түрі, эвристика және статистика. Жабық контурда сыртқы тексерістер қолжетімсіз болуы мүмкін, сондықтан ережелер түсінікті және пра́говтар сақтықпен таңдалуы қажет.
Құлағында бұзбау үшін неден бастау керек
Жұмсақ режимнен бастаңыз: хаттарды тақырыпқа белгілеп, «Спам» қалтасына өткізіңіз, бірақ SMTP‑та кері қайтармаңыз. 1–2 апта статистика жинауға уақыт беріп, содан кейін порогтарды күйге келтіріңіз.
Практикада бірнеше қадам жеткілікті: маркировканы қосу, нақты қоқыс үшін карантин орнату, спам, күдік тудыратын және қатты жағдайлар үшін порогтарды бөлу, қосылым және жіберу лимиттерін қою. Тіркемелер бойынша сирек кездесетін орындалатын файлдарды бірден бөгету ұсынылады; антивирусты саясат бойынша қосуға болады.
Greylisting жабық контурда әрдайым ұтымды емес. Ол қарапайым спаммен күреседі, бірақ серіктестер мен қызметтерден келетін заңды хаттарды кешіктіруі мүмкін. Көп жағдайда оны бөліктік қолданады немесе орнына лимиттер мен қатаң пра́говтар пайдаланылады.
Ақ және қара тізімдерді "мәңгілік тесіктер"сіз жүргізу
Ақ тізімді минималды ұстаңыз: тек критикалық жіберушілер мен ішкі жүйелер, және нақты адрес немесе домен бойынша белгілеңіз, тек IP диапазонын толық беру ұсынылмайды. Қара тізімді де сақтықпен қолданыңыз: егер серіктес домені бұзылса, уақытша карантин қауіпсізірек шешім болады.
Бизнестен алдын‑ала келісіп алыңыз: не тексеруге, не дереу қабылдамауға жіберіледі (мысалы, орындалатын тіркемелер немесе анық фишинг). Солай антиспам қорғайды, кедергі болмайды.
Қауіпсіздік: TLS, қолжетімділік, журналдар және негізгі шектеулер
Тіпті жабық контурда да пошта сыртқы әлеммен сөйлеседі: серіктестер, мемлекеттік органдар, банктер. Қорғаныс тасымалдау деңгейінде шифрлаудан және анық қолжетімділік ережелерінен басталады.
TLS: қайда қосу және қандай сертификат пайдалану
TLS екі жерде қажет: серверлер арасында (SMTP) және пайдаланушы мен сервер арасында (IMAP/Submission). Пайдаланушылар үшін қорғалған порттарды (IMAPS/Submission) қалдыру және ашық IMAP/SMTP‑ты өшіру дұрыс.
Сертификатты ішкі УЦ‑дан (барлық клиенттер сенетін болса) немесе сыртқы УЦ‑дан алу мүмкін. Маңыздысы — сертификаттағы атау сервердің атымен сәйкес болуы (мысалы, mail.company.kz). Әйтпесе клиенттер ескерту шығарады және адамдар айналып өту жолын іздеуі мүмкін.
Қолжетімділік және парольдік брутфорсқа қарсы қорғаныс
Ең әлсіз жер — есептік жазбалар. Құпиясөздерді ұзын және күрделі талаптаңыз, ескірген кіру әдістерін өшіріңіз және брутфорсқа қарсы базалық қорғаныс қосыңыз: IP бойынша сәтсіз тырысулардан кейін уақытша блоктау.
Сервердің спам көзіне айналмауы үшін шектеулерді тексеріңіз: ашық релей болмауы (сыртқа жіберу тек авторизациядан кейін немесе сенімді подсетьтен), жылдамдық пен хат саны бойынша лимиттер (пайдаланушылар мен қызметтік аккаунттар үшін бөлек), максималды хат өлшемі және алушылар саны, жаппай жіберулерге жеке ережелер, рөлдерді бөлу (админ, оператор, аудит) және ортақ парольдарды қолданбау.
Журналдар, аудит және жаңартулар жабық контурда
Логтар жылдам жауап беруге көмектеседі: кім қайдан кірген, қандай хат жіберген, неге хат қабылданбады. Аутентификация, жіберу, бас тартулар, антиспам әрекеттері мен конфигурация өзгерістері журналдалуы керек. Журналдарға қолжетімдікті шектеулі адамдарға беріңіз және логтарды орталықтандырылған сақтау орнына жіберіңіз.
Жаңартулар үшін жабық контурда әдетте айна репозиторийлер, тест стенді, қысқа енгізу терезесі және қайтару жоспары қолданылады.
Резервтеу және бэкап: алдын‑ала нақты ойластыру қажет
Пошта әдетте «әдемі түрде» бұзылмайды. Көбінесе кенеттен диск толып қалады, жаңарту ақауымен өтіп кетеді немесе сервер жауап бермей қалады. Егер алдын‑ала не қалпына келтірілетінін және қанша уақытта туралы келіспесеңіз, үзіліс пен жоғалған хаттар тосын сый болады.
Бэкап қызметті ғана емес, оны тез қалпына келтіруге мүмкіндік беруі тиіс. Postfix + Dovecot + Rspamd үшін маңызды нәрселер: ящиктермен қатар конфигурациялар, кілттер және ережелер сақталуы тиіс.
Әдетте резервтеледі:
- Postfix, Dovecot, Rspamd конфигурациялары (спискілер мен ережелер қоса)
- құпиялар мен кілттер, әсіресе DKIM
- пайдаланушылардың почта ящиктері (Maildir немесе қолданылатын сақтау)
- егер қолдансаңыз антиспамның қызметтік деректері (оқыту үшін)
- кезектер мен spool‑тар, егер жолда жүрген хаттарды жоғалту маңызды болса
Авария сәтінде дау туындырмау үшін RPO және RTO‑ны қарапайым тілде келісіңіз. RPO — қанша уақыттағы хаттарды жоғалтуды қабылдайсыз (мысалы, максимум 15 минут). RTO — қалпына келтіруге рұқсат етілген уақыт (мысалы, қабылдау мен жіберуді 2 сағатта қалпына келтіру). Қатаң регламенті бар жабық контурда бұл сандар жазбаша бекітілуі тиіс.
Бэкапты қалпына келтіруді тексерусіз қалдыру көбіне «формалды жұмыс» болып қалады. Айына бір рет қысқа тест жасаңыз: бөлек машинада сервис көтеріп, 1–2 ящикті қалпына келтіріп, TLS сертификаттары, DKIM және қолжетімділікті тексеріңіз.
Ауыстыру жоспары да алдын‑ала жазылсын: шешімді кім қабылдайды, DNS немесе ішкі маршрутизацияны кім ауыстырады, кезектер мен диск пен логтарды кім тексереді, пайдаланушылар мен ИБ кімге хабарланады және негізгі түйінге қалай қайта оралуыңыз керек.
Жеткізілімді бақылау: мониторинг, алерттер және тесттер
Пошта көбіне тұрып қалмайды, бірақ «тыныштықпен» бұзылады: хаттар кезекте тұрып қалады, карантинге түседі немесе уақытша 4xx қателері пайда болады. Пайдаланушылар администратордан ерте хабарлайды: "жіберілмейді".
Жеткізілімді бақылауды тұрақты процесс ретінде құрыңыз.
Күнделікті өлшенетіндер
Бірнеше метрік пен олардың динамикасы жеткілікті:
- Postfix кезегінің көлемі мен орташа жасы
- кіріс және шығыс бойынша 4xx және 5xx қатенің үлесі
- жеткізілім уақыты: Postfix қабылдауынан нақты сыртқа жіберілгенге дейін
- Rspamd арқылы карантинге немесе спамқа қалған хаттардың пайызы
- саясат бойынша бас тартулар (SPF/DKIM/DMARC) және себептері
Порогтарды сіздің қалыпты күніңізге сай етіп қойыңыз. Мысалы: кезекте 200‑ден көп хат немесе орташа жасы 15 минуттан асса, 5xx қателер айына 1–2%‑дан көп болса, карантин көлемі 2 есе өскен жағдайда т.б.
Қалай тест жүргізіп, қашан дабыл көтеру
Алерт нақты «әрекет керек» дегенді білдіруі тиіс, жай хабарламадан гөрі. Жұмыс тәжірибесі — мерзімді тесттік хаттар: бір сыртқа (контрольді жәшікке), бір ішке, бір тіркемесі бар. Егер тест N минут ішінде жетпесе, хабарлама жіберіледі.
Инцидент талдауында әрдайым жинайтын мәліметтер тізімін алдын‑ала келісіңіз: message-id, уақыт, жіберуші, алушы, Rspamd шешімі, алыс сервердің жауабы және логтар бойынша өтетін жол. Осы деректер болса, «неге жетпеді» деген сұраққа бірнеше минуттың ішінде жауап беруге болады.
Регулярлық тексерулер пайдалы:
- аптасына бір рет: кезектер, карантин және ең көп қате тізімі
- айына бір рет: DKIM қолтаңбасының бақылауы, ерекшеліктер ревизиясы, кілттерді жоспарлы ауыстыру тексерісі
- өзгерістерден кейін: алғашқы 1–2 сағатта тесттік хаттар мен метрикаларды бақылау
Қадамдық миграция жоспары: хат жоғалмай қалай көшу
Миграция орнатудан гөрі кішкене нәрселерден бұзылады: ұмытылған жүйелік жіберуші, ескі POP3 клиент, дайындалмаған откат. Сондықтан инвентаризация мен уақыт кестесін бастаңыз.
Ағымдағы жүйенің картасын жасаңыз: домендер мен ящиктер, алиастар мен жалпы ящиктер, қайта жіберу ережелері, тіркеме лимиттері, сондай‑ақ хат жіберетін барлық жүйелер (принтерлер, сервис‑деск, 1С, мониторинг). Ескі сервер конфигурацияларын сақтап, бірнеше ящиктің бақылау экспортын жасаңыз, нәтижені салыстыру үшін.
Жаңа контурды параллель іске қосыңыз. Postfix + Dovecot + Rspamd жаңа жүйесі кемінде тесттік домен немесе шағын топ үшін қабылдауды және таратуды қамтамасыз етуі тиіс. Жабық контурда пилотты 10–20 пайдаланушы мен 1–2 жүйелік жіберушіні бөліп алып, жаңа серверді бөлек ВМ немесе бөлек аппаратта көтеру ыңғайлы.
Жиі қолданылатын реттілік:
- жаңа серверді көтеріп, тесттік ящиктерде кіріс және шығысты тексеру
- хаттарды бөлім бойынша бөліп көшіру, қалталар мен құқықтарды сақтау
- клиенттерді қайта баптау (IMAP/SMTP, парольдер, мобильді құрылғылар)
- алдын‑ала келісілген терезеде MX‑ты ауыстыру және откатқа дайын тұру
- өзгерістерді тіркеу және ескі серверде өзгерістерді тоқтату
Ауыстырудан кейін критикалық сценарийлерді тексеріңіз: кіріс және шығыс, үлкен тіркемелер, жаппай жіберулер, мобильді клиенттер және ішкі жүйелердің жіберуі. Практикалық шешім — ескі серверді 48 сағат оқуға арналған ғана режимде ұстап, кезектерді бақылау, осылайша ешбір хат «көрінбей» қалып қоймайды.
Көшу кезінде жиі болатын қателіктер және олардан қалай сақтану
Postfix + Dovecot + Rspamd‑қа көшу кезіндегі қателер көбіне «Linux қиын» емес, әрекет тәртібі мен кішкене баптаулардан шығады. Олар бірінші жұмыс күнінде көрінеді: хаттардың бір бөлігі жетпейді, бір бөлігі спамқа түседі, ішкі жүйелер хабарламаны жібермейді.
Қателік 1: алғашқы күні қатты DMARC
Егер дереу DMARC‑ты reject режиміне қойсаңыз, заңды пошта көп мөлшерде қабылданбай қалуы мүмкін. Әдетте ұмытылған көздер: ескі рассылкалар, мердігерлер, басқа шлюз арқылы жіберетін бөлімдер.
Қауіпсізрек жолы — p=none режимінен бастап есептер жинау, кейін quarantine‑ға өтіп, тек барлығы анықталғаннан кейін ғана reject‑ке көшу.
Қателік 2: PTR және DNS «көзге қарағандай» жасалған
Қате MX, PTR (reverse DNS) болмауы немесе HELO атауы сәйкес келмеуі ірі провайдерлерде тез проблемалар тудырады. A, MX, PTR және TLS сертификатындағы атауларыңыздың үйлесімділігін тексеріңіз.
Қателік 3: ашық релей және әлсіз лимиттер
Бір қате параметр серверді спам таратушыға айналдырып, IP беделін тез өлтіруі мүмкін.
Жүгірту алдындағы негізгі тексерулер:
- релей әдепкіде жабық, авторизацияланған немесе сенімді желілерге ғана рұқсат
- қосылымдар мен жіберу жылдамдығы шектелген
- ішкі және сыртқы трафик үшін саясаттар бөлінген
- сырттан авторизациясыз жіберудің ызғарлық тесті (бас тартылуы тиіс)
Қателік 4: диск таусылып, кезек қараусыз қалады
Пошта "асудың" көрінбейтін түрі — сервер қабылдайды, бірақ жеткізбейді. Себептер қарапайым: диск толып кеткен, логтар үлкеюі, Postfix кезегі бақылаусыз. Диск көлемі, кезек мөлшері және жіберілген хаттар бойынша алерттер қажет.
Қателік 5: ішкі жүйелер ұмытылған
Көшу соңында принтерлерден, CRM, мониторинг және оповещеня жүйелерінен хаттар жіберілмеуі мүмкін. Мұндай көздер тізімін алдын‑ала жинап, оларды қалай жіберетіні (SMTP AUTH немесе сенімді подсеть) және олардың "From" өрісінің SPF/DKIM/DMARC‑ты бұзбайтынын тексеріңіз.
Іске қосу алдындағы қысқа чеклист және келесі қадамдар
MX‑ты ауыстырмас бұрын соңғы тексерісті сыртқы алушы сияқты орындау пайдалы: әкімші іштен қарағанда байқамайтын қателіктер тез шығады.
Алдын ала қысқа чеклист:
- DNS үйлесімі: MX дұрыс көрсетілген, SPF тым кең емес, DKIM шығыс хаттарды қолтаңбалап тұр, DMARC‑ты кемінде мониторингте қойыңыз, PTR сервер атауымен сәйкес
- Қауіпсіздік: SMTP және IMAP үшін TLS қосылған, сервер ашық релей емес, парольдарға брутфорс қорғанысы және базалық қосылым лимиттері бар
- Антиспам: карантин бар, фишинг ережелері анық, критикалық адрес пен жүйелерге арналған минималды ақ тізімдер
- Қайта қалпына келтіру: бэкапы жасалған және бір ящикті қалпына келтіру тексеріліп қойылған
- Процесс иесі: кім өзгерістерді мақұлдайды, кім инциденттерді қабылдайды, шешімдер қайда тіркеледі және жеткізілім есептерін қаншалық рет қарайды
Пилоттан кейінгі келесі қадамдарды бірден жоспарлаңыз. Нақты жүктемені бағалаңыз: пиктегі хаттар/сағ, ящик өлшемдері, бір уақытта ашық IMAP қосылымдарының саны, журналдар мен карантиннің сақталу мерзімі. Нәтижелер бойынша дискілер мен жадты күшейту немесе резервтік түйін қою қажет пе анықталады.
Егер жабық контурда «түп‑тіпті» енгізу және пошта ролдарына сервер таңдау қажет болса, жүйелік интегратормен бірге жұмыс істеу ыңғайлы. Мысалы, GSE.kz (gse.kz) жүйелік интеграциямен айналысады және корпоративтік инфрақұрылымға серверлер жеткізеді — бұл пошта талаптары, аппараттық құралдар және қолдау талаптарын бірден үйлестіруге көмектеседі.
FAQ
Когда действительно стоит менять коммерческий почтовый сервер на Postfix + Dovecot + Rspamd?
Көбінесе бұл шешім сізге теңшелетін, түсінікті конфигурация, болжамды жаңартулар және журналдарға сүйене отырып инциденттерді жылдам зерттеу қажет болғанда тиімді. Егер қазіргі жүйе баға, қолдау және қауіпсіздік бойынша сай келсе, тек қызығушылық үшін алмастырудың қажеті жоқ.
Что чаще всего идет не так в первые недели после миграции?
Әдетте бірінші апталарда ең көп кездесетін мәселелер — жеткізілім мен репутация: кешігу, уақытша 4xx қателері, серіктестерде хаттардың карантинге түсуі (DNS және саясаттар салдарынан), сондай‑ақ ішкі жүйелердің хабарламаларын жіберуді тоқтатуы. Қатерлерді азайтуға көмектеседі: пилоттық топ, ескі және жаңа контурдың параллель жұмысы және алдын ала келісілген SPF/DKIM/DMARC ережелері.
Зачем разделять роли Postfix, Dovecot и Rspamd, а не ставить «все в одном»?
Postfix — SMTP арқылы қабылдау және жіберу, Dovecot — пошталық қораптарды сақтау және IMAP арқылы қолжетімді ету, Rspamd — хабарларды тексеру және антифишинг. Ролдерді бөлу ақауды табуды жеңілдетеді: қай жерде проблема — жеткізілім кезегінде, аутентификацияда, сақтау орнында немесе фильтрацияда — тез анықтауға болады.
Что выбрать в закрытом контуре: один сервер или схему со шлюзом и сервером ящиков?
Егер басты мақсат — қарапайымдық және минималды инфрақұрылым болса, бір серверден бастаңыз, бірақ кез келген ақау бүкіл сервиске әсер етуі мүмкін. Қатаң оқшаулау мен басқаруды қаласаңыз, SMTP-шлюз пен пошталық серверді бөлу пайдалы: сыртқа тек SMTP ашылады, ал IMAP пен сақтау ішкі желіде қалады.
Какие требования нужно собрать до настройки, чтобы потом не переделывать?
Бастапқыда тіркеңіз: домендер, активті және жалпы ящиктер саны, нақты трафик және тіркемелер өлшемдері; кейін — есептік жазбалардың қалай тіркелетіні (AD немесе локальды) және журналдар мен сақтау мерзімдері бойынша талаптар. Бұл көрсеткіштер лимиттерді, дисктерді, миграция терезелерін және тар жерлерді анықтайды.
Что обязательно настроить в DNS для нормальной доставляемости (SPF/DKIM/DMARC)?
Минимум: домен үшін дұрыс көрсетілген MX және A/AAAA, сыртқы IP үшін тікелей PTR (rDNS) және SPF — рұқсат етілген жіберушілер тізімі. Одан кейін DKIM қосып, DMARC‑ты мониторинг режимінен бастап іске қосыңыз, қатаң саясатқа біртіндеп өтіңіз.
Как безопасно включить Rspamd, чтобы не «сломать» легитимные письма?
Бастапқы күні қатты пра́говтарды және SMTP‑та дереу қабылдамау ережелерін қоспаңыз. Алдымен хаттарды тақырыптармен белгілеңіз, «Спам» ішкі қалтаға өткізіңіз, статистика жинаңыз да порогтарды біртіндеп реттеңіз. Қауіпті заттар үшін карантин орнатыңыз, бірақ маңызды жіберушілер үшін жұмсақ ерекшеліктер қалдырыңыз.
Как правильно вести белые и черные списки, чтобы не ухудшить безопасность?
Ақ тізімді қысқа және нақты ұстаңыз — тек критикалық жіберушілер мен ішкі жүйелер үшін, «сол IP‑ден бәріне» деген босату жасаудан сақтаныңыз. Егер серіктес домені компрометатталса, уақытша карантин қауіпсізрек, бірден толық блоктау емес. Бизнеспен алдын ала келісіп, карантинге түскендерді тексеру процесін анықтаңыз.
Какие базовые меры безопасности важны для почты в закрытом контуре?
Пайдаланушыларға тек қорғалған порттарды қалдырыңыз (IMAPS және Submission TLS арқылы), сертификаттағы атау сервердің нақты атауымен сәйкес болуын қадағалаңыз. Қосымша: парольдарды күшті етіп талап ету, әртүрлі кіріс әдістерін өшіру, попытка‑логиндерге уақытша блоктау, ашық релеяға тыйым және жіберулерге базалық лимиттер.
Что обязательно бэкапить в связке Postfix + Dovecot + Rspamd и как проверять восстановление?
Резерв бірге неғұрлым маңызды нәрселерді қамтуы керек: ящиктер, конфигурациялар, кілттер (әсіресе DKIM), және поштаның болжамды жұмысын қамтамасыз ететін қызметтік деректер. Жүйені қалпына келтіруді тексеріңіз — тесттік машинда таңдамалы 1–2 ящик қалпына келтіріп жұмысын тексеру қажет.