Juergen Pabst wrote:
Hallo Sandy!
Kein RAID? Das würde ich für einen Firmenserver in jedem Fall anraten! Mir ist gestern wieder eine Platte gestorben (privat). Auch wenn die wichtigen Daten auf DLT gesichert waren, ist es doch sehr ärgerlich, und bei einem Server kommt immer die Downtime hinzu.
Das ist ein wunder Punkt, denn a) kein RAID und b) nicht mal ein Backup. Aber das liegt nun mal leider nicht in meiner Macht. Bisher ist das (leider) auch gut gegangen.
Leider ist meine Erfahrung, dass es genau deshalb nicht mehr lange gut geht. Statistisch gesehen bist du wahrscheinlich überfällig. (^-^) Überlege dir einfach mal, ob du nicht die wichtigsten Sachen wie /etc/ /var/log /var/spool/imap usw. auf einen anderen Server spiegeln kannst (rsnapshot).
Mache dir auch Gedanken über Backup, jetzt, wo die Katastrophe noch nicht passiert ist! (^-^)
Zumindest die Konfigurationsdateien sind auf einem anderen (RAID-)Server gesichert.
Schaue dir einfach mal an, was du brauchst, um Cyrus wieder herzustellen, angefangen von der Konfiguration in /etc und sasl incl. Benutzerdatenbanken bis zu den Cyrus-Datenbanken, die am besten vor dem Backup noch einmal als plain text exportiert werden sollten.
Das A und O der Spambekämpfung ist, so viele Spammails wie möglich direkt abzuweisen und gar nicht erst anzunehmen. Postfix kennt da bereits viele Möglichkeiten. Bei uns weist Postfix bereits etwa 90-95% aller Spams ab, bevor Amavis sie überhaupt zu sehen bekommt. Der Rest wird dann von Spamassassin markiert und zugestellt.
In diese (Postfix-)Richtung habe ich auch schon gedacht, zusätzlich an RulesDuJour. Damit erhoffe ich mir, dass die Benutzer schon spürbar von dem Müll entlastet werden (echt Wahnsinn, was da zur Zeit in den Mailboxen an Spam aufschlägt).
Alle Postfix-Konfigurationen gehen von der Annahme aus, dass die Mail per SMTP reinkommt und direkt vom Client geliefert werden, nicht vom ISP-Mailserver. Wenn das nicht der Fall ist, hast du eigentlich schon verloren.
Wenn du mir aber für die Konfiguration von Postfix noch ein paar sachdienliche Links zur Spamabwehr nennen könntest, wäre ich dir sehr dankbar.
Dafür brauche ich ein paar Informationen bezüglich eurer Struktur: - Eigene Domain, die auf eurem Mailserver gehostet wird? Wenn nicht, dann wird es erheblich schwieriger. - Feste IP?
In diesem Zusammenhang spielt es sicher keine Rolle, dass mit Zeitpunkt des Wechsels auf den neuen Server dieser nicht mehr direkt aus dem Internet erreichbar sein wird, sondern die Mails dann von einem Mailgateway via SMTP erhält.
Das spielt genau ein wesentliche Rolle!! Die Kontrolle, welche Mails akzepiert und zugestellt oder direkt abgelehnt werden, findet genau auf dem Mailgateway statt! Ich gehe davon aus, dass du die Konfiguration dieses Mailgateways unter deiner Kontrolle hast oder zumindest dem Admin sagen kannst, was eingestellt werden soll. Wichtigste Regel ist, dass das Mailgateway alle gültigen Emailadressen kennen muss. Ungültige Adressen müssen direkt abgelehnt werden. Dazu zählt auch, keinen sogenannten Catch-all-Account einzurichten, denn dieser zieht den Spam magisch an, da alle ungültigen Adressen in dieses Postfach einlaufen. Danach definiere auf dem Mailgateway die Regeln, die für die anzunehmenden Mails bzw die einliefernden Clients gelten sollen. Dazu gehören RBLs, HELO-Checks und sonstige Prüfungen. Diese Regeln weisen den überwiegenden Teil der Spams ab. Das entlastet auch den Server von den CPU-intensiven Amavis-Checks. Auf gar keinen Fall solltest du erst alle Mail vom Gateway annehmen lassen, dann zum internen Server leiten lassen, und dieser weist dann alle ungültigen Adressen ab, welche das Gateway dann als Bounce an den Absender schickt. Dumm ist nur, wenn es eine Spammail war und der Absender gefälscht ist. Dann schickt nämlich plötzlich euer Server eine Spammail an einen dritten, der sich aufregt und euren Server als Spamserver ansieht. Der Begriff dafür ist "Backscatter". Wahrscheinlich habt auch ihr mal Mails bekommen, die angeblich von euch stammen und als "Bounce" zu euch zurückgeschickt wurden. Sobald einer eurer Server die Mail entgegengenommen hat, geht die Verantwortung für diese Mail auf euer System über. Deshalb ist es so wichtig, dass nicht zustellbare Mails (für nicht existierende User) auch nicht angenommen werden.
Sieve läuft auf dem Server ab, bevor der Client die Mail überhaupt sieht. Sinn macht das aber erst wirklich mit IMAP, da POP Ordner nicht unterstützt.
Klar soweit. Mails mit Sieve löschen ginge ja, ist mir aber zu riskant. Könnte man sie auch an einen anderen Account weiterleiten?
Ja, das geht. Meistens wird das dafür verwendet, entweder nach Betreff oder Headerzeile die Mails in einen anderen Ordner zu schicken.
Eine weitere Frage bezieht sich auf die Migration? Kennt jemand vielleicht eine Möglichkeit, die Mailboxen vom alten Server auf den neuen Cyrus zu migrieren?
Je nach Anzahl der User ist es am einfachsten, wenn die User sich ein neues Konto anlegen und dann ihre Sachen vom alten auf das neue Konto rüberschieben. Wenn es mehr als einige Dutzend sind, kann das aber dauern.
Hmm, das verstehe ich nicht ganz. Die (Cyrus-)Konten auf dem neuen Server habe ich schon angelegt, dürften so um die 150 sein. Wenn der neue Mailserver in Betrieb geht, ist der alte nicht mehr erreichbar. Insofern ist mir nicht ganz klar, was du mit "rüberschieben" meinst. Das "rüberschieben" muss _ich_ leider irgendwie hinbekommen, und zwar von mbox in die Cyrus-Verzeichnis-Struktur. Oder ich müsste jede einzelne Mail, die vor der Umstellung noch auf dem alten Server lagert, händisch auf den neuen Server weiterleiten.
Diese mbox-Dateien sind doch meistens schon bei den Usern abgerufen und nicht mehr auf dem Server bei POP3, oder? Jedenfalls hat Cyrus ein eigenes Ablagesystem, welches eine Art Maildir mit Datenbank ist. Deshalb kann man nicht unbedingt Die Dateien einfach rüberschieben. Du kannst die Mails in den mbox-Dateien erneut zustellen über formail: formail -Y -s /usr/sbin/sendmail newaddress@example.com < /path/to/mbox Es gibt aber auch einige Tools, welche von mbox direkt nach imap rüberschaufeln können. Unter dieser URL gibt es ein paar Perlscripte, die dir helfen können dabei: http://www.oreilly.com/catalog/mimap/chapter/ch09.html Sandy -- Antworten bitte nur in die Mailingliste! PMs bitte an: news-reply2 (@) japantest (.) homelinux (.) com