Почтовый сервер для группы компаний

Задачи

Перейти с публичных серверов корпоративной почты yandex и mailru на собственный сервер. Несколько организаций, разные доменные имена, первоначальное количество ящиков до 50шт. Возможность самостоятельного управления данными. Минимизация рисков хранения информации на сторонних публичных серверах.

Выбор и проектирование:

Был выбран сервер 2U для размещения в дата-центре, характеристики приведены ниже.

Наименование	Dell R370
Процессор	Intel Xeon E5-2609v4 8C 1.7GHz
Оперативная память	64gb DDR4 1866MHz коррекцией ошибок
Диски	SATA: 4шт емкостью 3TB, 1шт емкостью 6TB.
Блок питания	2шт мощностью 1100W
Raid контроллер	Dell PERC H730, 1Gb кэша, аккумулятор
Удаленное управление	IDRAC 8 Enterprise

Аппаратная Безопасность данных (raid)

Из четырех дисков сформирован RAID массив версии 10, на два диска записывается информация, оставшиеся два диска в массиве дублируют их на случай выхода из строя. Объем массива – 6TB, для использования после установки операционных систем нам доступно ~5.5TB

Удаленное управление сервером

Производитель серверов Dell предлагает к своим продуктам два типа плат для удаленного управления – IDRAC Express и IDRAC Enterprise.

Плата с наименованием Express реализует функционал удаленного мониторинга основных аппаратных параметров сервера (температура, скорость вентиляторов, потребление энергии и т.п.), базового управления сервером (включение, пеоезагрузка), также информирует об установленных компонентах, открытии\закрытии крышки сервера.

Плата Enterprise в дополнение к вышеперечисленным возможностям активирует возможность удаленного доступа к экрану, клавиатуре и мышке сервера. Также появляется возможность подключить виртуальный диск\флешку для установки системы и обслуживания сервера.
Доступ к IDRAC осуществляется через выделенный интернет порт на плате.

Размещение в дата-центре (услуги, стоимость)

Клиентом был выбран дата-центр Selectel на цветочной улице. Стоит отметить с положительной стороны услугу доставки сервера на такси за счет дата-центра и быструю реакцию техподдержки на тикеты.

На сервер провайдер выдает 5 внешних IP адресов из одной подсети.

Стоимость размещения данного сервера сложилась из следующих пунктов: 

Услуга размещения сервера размера 2U (+розетка до 300W + интернет порт) – 3700р.\мес.

Дополнительная розетка для второго блока питания (до 300W) – 500р.\мес.

Дополнительный интернет порт для платы IDRAC - 255р.\мес.

Итого 4455р.\мес.

Решения

Операционные системы

В качестве операционной системы на физическом сервере используется Windows Hyper-V Server 2019 – бесплатное и надежное решение виртуализации от Microsoft.
В ней созданы «виртуальные машины» почтового сервера и роутера. Управляется непосредственно из консоли сервера либо через интернет с использованием утилиты администрирования Windows Admin Center.

Операционная система виртуального почтового сервера – Ubuntu Server 18.04, бесплатная Linux система. Выбрана в соответствии с рекомендациями компании Zimbra, предоставляющей ПО для почтового сервера.

Операционная система роутера – Mikrotik Cloud Hosted Router. Бесплатная, с ограничением – ее нельзя обновлять до новых версий. Закрывает внутреннюю сеть от доступа извне, открытыми остаются только нужные для работы почты порты.

Почта

В качестве почтового сервера был выбран продукт Zimbra Open Source Edition.

Сервер построен на открытом программном обеспечении и собственных наработках компании. Предоставляет функционал почты, веб интерфейса для почты, обмена контактами\календарями\файлами через web версию интерфейса.

Программный продукт поддерживает работу с несколькими доменами, в т.ч. частично с национальными доменами.

Есть возможность использования русского языка при работе с web интерфейсом

Используется встроенный антивирус и самообучаемая защита от спама.

Безопасность

Для каждого домена сформированы настройки безопасности, соответствующие всем современным требованиям, основные термины описаны ниже:

·         SPF (Sender Policy Framework) - защищает домен от несанкционированного использования. Не позволяет допустить ситуации, когда от имени наших доменов будут рассылаться мошеннические письма с подменой домена;

·         DKIM (DomainKeys Identified Mail) - технология позволяет передавать открытые ключи шифрования и затем автоматически проверять подпись на стороне получателя письма. Подпись в виде скрытого кода добавляется в письмо, а затем подтверждает получателю, что письмо отправлено именно с того домена, который указан;

·         DMARC (Domain-based Message Authentication, Reporting and Conformance) - дает возможность проверить, соответствует ли домен в заголовке (адрес отправителя) идентификаторам SPF и DKIM.

Для точки входа в почтовый web интерфейс mail.domdevel.ru настроено защищенное соединение по протоколу https. Для домена сформирован бесплатный SSL сертификат, на основе которого производится шифрование данных в web при работе пользователь-сервер. Отключена возможность работать с web интерфейсом без шифрования, все такие запросы автоматически переводятся на защищенное соединение.

Тот же сертификат и тип шифрования используется для протоколов приема-отправки почты, при соответствующей настройке в почтовых клиентах.

При использовании шифрования нет никакой возможности перехватить письмо по пути от сервера к пользователю и прочитать его содержание

Резервное копирование

На виртуальном почтовом сервере реализовано резервное копирование всей виртуальной машины с почтой каждый день в 3:00 по Московскому времени на отдельный физический жесткий диск емкостью 6TB.

Мониторинг

В операционные системы физического и виртуального сервера установлены системы мониторинга Zabbix, которые в реальном времени отправляют информацию о состоянии системы\сервера на наши сервера мониторинга.

В случае каких-либо неполадок или потери соединения сервера с сетью ответственному лицу немедленно приходит уведомление для последующей реакции.

Дополнительно ответственному лицу на почту приходят уведомления о состоянии физического сервера (открытие крышки сервера, изменения в аппаратной конфигурации и т.п.) от встроенного в него контроллера IDRAC, если таковые возникнут.

Фото проекта