Блог о технологиях, технократии и методиках борьбы с граблями
С завидным постоянством на одном из почтовых серверов, при отправке писем, вылазит ошибка почтового сервера EXIM, в результате которой письмо можно пытаться отправлять полчаса, после чего заколебавшись, просто перегружаешь демона экзима.
В одном из заказов потребовалось сделать запрет пользователями на удаление писем из папок почтового сервера.
В конце августа обнаружили критическую уязвимость для EXIM версий 4.92-1 и ниже. Уязвимость позволяла локальному и удаленному пользователю выполнить произвольный код с правами рута.
За праздниками как то позабыл про новую критическую уязвимость, которая найдена в пакетах почтового сервера EXIM версий от 4.87 до 4.91, позволяющую запустить процессы от root.
Поэтому крайне желательно обновить почтарь, чтобы потом не чистить зоопарк на серверах.
Мучал тут VPSку от Vultr, а точнее биллинг на ней. Долго не мог понять, почему не ходит почта с сервака – думал было что фаервол, проблемы с DNS и прочее, пока не попробовал зайти телнетом на SMTP порт какого нить почтаря.
Прикупил тут с оказией VPS на 12Gb RAM и 500Gb SSD за 8 евро для того чтобы перенести на него часть сайтов с вздорожавшего на 6 баксов штатовского виртуального хостинга, ну и перекинул до кучи TDS и почтовые дела.
Ну и в связи с тем, что у меня несколько коммерческих сайтов разной направленности висят на разных IP, то появилось желание разнести и почтовые службы, чтобы уже комар носу не подточил.
Возникла тут необходимость прикрутить все эти дурацкие гуглеводско-мейловские антиспуфинг подписи домена, поскольку до части клиентов на GMAIL письма тупо не доставлялись от слова вообще.
Дурацкие они именно потому, что помимо лишних граблей, не являются гарантией доставки писем до жумеля и, к тому же, добавляют иллюзии защиты от фрауда, из-за чего уже было несколько шикарных историй, когда пользователи GMAIL велись на мошеннические письма с подменой отправителя и переводили не слабые суммы левым дядям.
Итого после третьей предъявы, что я игнорирую столь важных человеков, пришлось, для успокоения совести, озадачиться настройкой антиспам фарша в виде связки DMARC + SPF + DKIM. И если первые две делаются элементарно на уровне сервера доменных имен, то DKIM надо прикручивать, в том числе, и на уровне механизма доставки, чтобы он подписывал письма соответствующим образом.
Что вылилось в несколько часов головняка, ибо то что описано в тырнетах, у меня не захотело работать.
АПЧём по порядку:
