Synology MailPlus - тестируем отказоустойчивый почтовый кластер на NAS-ах
Электронная почта на сегодняшний день является наиболее взломоустойчивым средством общения, более надёжным, чем «неизвестно на чём зарабатывающие бесплатные мессенджеры», и вы сами можете установить в офисе свой собственный почтовый сервер.
Ваш почтовый сервер - это:
- Ваш антивирус
- Ваш антиспам
- Ваша приватность
- Ваша защита и отказоустойчивость
- Ваш веб-интерфейс без рекламы
- (шёпотом): Это ваша свобода писать что хотите, не опасаясь, что через два дня со всех страниц интернет-сайтов вам будут рекламировать то, о чём вы переписывались с друзьями.
Обычно, в компании сисадмин настраивает почтовый сервер, базу данных учётных записей, отдельный POP/IMAP сервер и систему обновления сертификатов. Всю эту почтовую связку нужно обновлять, ведь уязвимости в OpenSource такие, что порой способны положить целиком сервер.
Конфигурация тестового стенда:
NAS:
OS:
|
С другой стороны, у вас уже есть Synology с его закрытой операционной системой и такими же закрытыми пакетами. Для корпоративного применения компания предлагает почтовый сервер MailPlus Server с современным Web-клиентом MailPlus и возможностью работы в отказоустойчивом кластере. Вся установка сводится к одному клику мышкой, а настройка производится через web-интерфейс NAS-а без командной строки и правки конфигов. И прежде чем я нажму кнопку установки MailPlus, давайте поставим задачу: мне нужна личная защищённая почта с современным интерфейсом и доступом с мобильных. И если какой-то робот читает ваши письма, то это мой робот, и если где-то есть ключи шифрования, то они у меня на сервере, а не у хакера.
Для того, чтобы наша почта выдерживала выход из строя одного сервера, возьмём два NAS-а. Это совершенно разные по отношению друг к другу модели, в которых общего - только логотип производителя и операционная система Synology DSM.
FlashStation FS1018:
- Настольный сервер типа All-Flash-Array
- Начальный серверный процессор Intel Pentium D1508 (2C/4T, 2.2-2.6 GHz, 3Mb L3, Broadwell)
- Серверная память 8 Гб DDR4 2400 ECC (расширение до 32 Гб)
- 12 отсеков для 2.5" SATA SSD 7.5 мм (расширение до 36 отсеков с помощью дисковых модулей)
Вообще, до Synology никто не выпускал настольные All-Flash массивы, и даже FlashStation FS1018 была для компании эдаким экспериментом. Ну посудите сами: 12-дисковый мощнейший настольный NAS поставляется в базовой комплектации лишь с 4-мя 1-гигабитными сетевыми портами, и чтобы использовать устройство на полную мощность, приходится устанавливать сетевую карту, такую как Intel X550-T2. Но с процессором Pentium D как-то не разгуляешься.
RackStation RS1619xs+
- Сервер 1U для установки в стойку
- Серверный SoC для СХД, Intel Xeon D-1527 (4C/8T, 2.2-2.7 GHz, 6Mb L3, Broadwell)
- Серверная память 8 Гб DDR4 2400 ECC (расширение до 64 Гб)
- 4 отсека для 3.5" SATA HDD / SSD (расширение до 16 отсеков с помощью дисковых полок)
Полная противоположность первому - модель RackStation RS1619xs+. Здесь уже установлен достаточно мощный SoC семейства Xeon D, на котором можно поднять и шлюз безопасности, и какую-то базу данных, и кэширующие приложения в вашей сети, но этой вычислительной мощности сопутствуют лишь 4 отсека для жёстких дисков без слотов для SSD. Сервер имеет 1 слот расширения, который можно занять либо 10-гигабитной сетевой картой, либо платой для пары M.2 накопителей под SSD кэш (как работает SSD кэш в Synology читайте в нашей статье).
Настройка отказоустойчивого кластера
Установка почтового сервера на Synology - это нажатие одной кнопки в интерфейсе "центра управления пакетами", после чего в систему будут установлены сам сервер MailPlus Server (включает SMTP и POP3/IMAP серверы) и веб-интерфейс чтения почты, MailPlus. Так как мы собираемся настраивать отказоустойчивую конфигурацию, нам потребуется привязать к серверу аккаунты из домена. Для демонстрации мы будем использовать сервер аутентификации на одном из NAS-ов, но для полной отказоустойчивости кластера вам нужно использовать не встроенный LDAP-сервер, устанавливающийся через пакеты Synology, а какое-то стороннее решение с репликацией, которое можно развернуть в виртуалке на том же NAS-е с помощью Virtual Machine Manager.
Для чего всё это делается, объяснять не нужно: у нас два SMTP-сервера, которые откуда-то должны брать данные о своих пользователях, и LDAP в данном случае - лучшее решение, хотя можно использовать и домен Windows. В отказоустойчивой конфигурации всегда будет один главный сервер с полным функционалом и один - ведомый, на котором например, вы не сможете читать почту через Web-интерфейс или менять настройки кластера. Давайте посмотрим, о каких вообще настройках идёт речь.
Главное в MailPlus Server - это не запутаться в доменах, потому что у вас могут быть почтовые домены и поддомены вида:
- hwp.ru
- mail.hwp.ru
- smtp.hwp.ru
Не забудьте в настройках DNS прописать MX-записи на каждый из этих почтовых доменов. Но у вас так же может быть домен LDAP вида local.hwp.test, и пользователь admin@local.hwp.test может иметь почту вида user@hwp.ru, а почтовым сервером может выступать mail.hwp.ru или вообще любой другой. Зато, для каждого пользователя можно легко импортировать почту с другого сервера, например, с mail.ru или Gmail. Для подключения почтовых клиентов (thunderbird, почта windows или каких-то CRM) поддерживаются IMAP/POP3 протоколы.
Технически, MailPlus Server может работать через внешний шлюз, или сам выступать в роли шлюза, если например, ваш провайдер закрыл 25-й порт, и вы вынуждены арендовать VPS для трансляции почты через канал хостера.
Защита от спама и безопасность
Конечно, в современных реалиях просто отправка почты - это копейка, а спам-защита - это рубль, поэтому нам очень интересно, какие методы предлагает сервер Synology Mail Plus. Начнём, наверное, с проверки собственного IP-адреса в чёрных списках DNSBL. Ваш адрес может годами значиться спамным, и пока вы не напишете жалобу службе поддержки блэклиста - никто его не удалит и не амнистирует. Synology проверяет ваш IP-адрес по 55 базам спам-листов (готов поспорить, вы не знали, что их так много). Такие вещи нужно отслеживать, потому что никто не знает, какому спам-листу доверяет сервер вашего контрагента. Вот например, полгода назад я занялся вычищением нашего IP из спам-листов и жил счастливо, но почтовая система сказала, что в двух базах HWP числится как спамер.
Во вторую очередь нужно настроить собственные спам-листы: здесь их не так много. Обычно, для комфортной работы хватает одного-двух поставщиков DNSBL. Кстати, вас никогда не интересовало, почему они называются DNSBL? Обмен списками спамных IP-адресов осуществляется по протоколу UDP (так быстрее). Списки хранят и кешируют DNS-серверы, в том числе локальные. Когда почтовый сервер делает обратный запрос поставщику чёрных списков, на него может ответить собственный DNS-сервер, что займёт буквально пару милисекунд. Сервер возвращает ответ вида 127.x.y.z, где
- z - оценка заспамленности,
- y - вид спама (почтовый/хакеры/вирусы),
- x - принимает значения не равные 0, если произошла какая-то ошибка.
Сервисы DNSBL работают настолько быстро, что иногда проверку ставят на web-сайтах для каждого посетителя, и вы её даже не замечаете: ничего не тормозит, так что в почтовом сервисе её лучше держать включённой.
Есть функция встроенного антивируса, поддерживающая два движка: бесплатный ClamAV и коммерческий McAfee. Так же имеется поддержка списка безопасных ссылок в сообщениях, Google SafeBrowsing. Есть поддержка сторонних баз данных, но без каких-то настроек.
Для проверки подлинности отправителя реализованы три механизма использования ресурсных записей:- SPF - через специальную запись в DNS-сервере домена отправителя. О том, как настраивается SPF на хостинге, читайте в инструкции Яндекса (https://yandex.ru/support/pdd/set-mail/spf.html)
- DKIM - технология передачи ключей шифрования через DNS с проверкой подписи на стороне получателя.
- DMARC - идентификация почтового домена отправителя по признакам, заданным на стороне сервера адресата.
Для достаточной защиты от фишинговых сообщений можно использовать SPF + DKIM.
Фильтрация по содержимому позволяет отклонять не только приаттаченные файлы с определёнными разрешениями, но и HTML-тэги iFrame, вызов скриптов и формы, причём вы можете выбрать функцию изменения указанных тегов, чтобы они уже не работали, но при этом письмо к вам приходило без нежелательного содержимого.
Ну и конечно же, вы можете вручную прописать правила фильтрации текстового содержимого. Самый простой сценарий использования - предотвращение отправки номеров кредитных карт по почте или запрет на доставку почты с определённых адресов и доменов.
Как вы обычно бэкапите ваш почтовый сервер? Ну, наверное, отдельно сохраняете конфигурационные файлы и отдельно - почту пользователей, если она хранится в виде файлов, или в базе данных. В NAS-ах Synology вам достаточно просто выбрать резервирование приложения MailPlus Server - и не задумываться о том, что и как сохраняется: в случае какой-либо аварии, сервер восстановится целиком со всеми настройками и письмами пользователей. И поскольку компания Synology активно развивает свой пакет Active Backup for Business (читайте наш большой тест-обзор), я очень надеюсь, что все функции резервирования будут консолидированы в единое приложение с единой контрольной панелью.
Интерфейс MailPlus
Если в вашей компании на компьютеры не принято устанавливать стороннее программное обеспечение, вы можете использовать Web-интерфейс для доступа к почте, MailPlus, доступ к которому можно настроить для группы или пользователя отдельно. Мы рекомендуем вам сразу поменять обои в настройках интерфейса - это оживит достаточно прагматичный внешний вид Web-оболочки..
Здесь имеются стандартные для почтовых клиентов функции цветовых меток и прочие не особо интересные, с моей точки зрения, функции, но вот что действительно круто - это то, что Synology уже строит свою так называемую "экосистему", где в одном окне Web-браузера ваши сотрудники пользуются всеми сервисами. Помимо почты, это ещё и корпоративный чат и календарь. Помните, я в самом начале статьи упомянул бесплатные, неизвестно на чём зарабатывающие мессенджеры? Так вот, если уж вам важна приватность - пользуйтесь веб-чатом Synology, который работает на вашем сервере, с вашим администрированием и не сливает персональные данные.
Конечно же, у Synology есть мобильные клиенты для почты и чата, которые могут работать через публичный домен вашего NAS-а или через аккаунт QuickConnect.
Тестирование
При нормальной работе кластера, главный и второстепенный серверы в реальном времени синхронизируют данные почтовых ящиков и календарей пользователя. При этом, поскольку оба устройства работают с одним IP-адресом, отключение любого из NAS-ов никак не влияет на работу почтовой системы. Когда же работа второго устройства в кластере восстанавливается, то проходит некоторое время, в течение которого синхронизируются данные между NAS-ами.
Помимо отказоустойчивости, почтовый кластер имеет полезную функцию балансировки нагрузки между серверами. Давайте проведём несколько тестов, которые покажет нам балансировку нагрузки и общую производительность кластера. Будем использовать тестовый стенд следующей конфигурации, а в качестве нагрузки - почтовый сервер postal:
Вообще, 10-гигабитная сеть для таких экспериментов оказалась не нужна: общая производительность сети редко превышала 400 Мбит/с.
Как видите, сильнее всего на производительность почтового кластера влияют фильтры безопасности, и конечно же, RackStation RS1619xs+ вытягивает производительность всего кластера за счёт своего более мощного процессора. Но без фильтрации, когда роль CPU не так важна, уже мы начинаем упираться в синхронизацию между двумя машинами и скорость дисковой системы, поэтому в данном режиме одна FlashStation FS1018 работает быстрее.
Мы при тестировании использовали 1.92-терабайтные SSD Kingston серии DC500M, где в названии DC угадывается Data Center. Эти накопители имеют встроенную защиту от внезапного отключения питания (PLP), гарантирующую что содержимое кэша накопителя будет записано в ячейки NAND-памяти даже если сервер внезапно отключится.
Kingston подчёркивает, что SSD-накопители DC500M имеют поддержку QoS, благодаря чему могут использоваться с разноплановой нагрузкой, например где на одном пуле накопителей размещаются тома для баз данных, бэкапов и виртуальных машин. Один накопитель в тесте показывает 83 тысячи операций чтения и 61 тысячу операций записи в секунду, что действительно круто для SATA-устройства, но по-настоящему эти SSD раскроются у вас именно в чём-то вроде FS3017 (читайте наш обзор Synology FlashStation FS3017), на которой крутятся все сервисы вашей компании, включая виртуальные машины (читайте как мы настраиваем отказоустойчивый кластер на Synology), контейнеры, отказоустойчивое видеонаблюдение и большой бэкап всего, что только есть, включая настольные ПК, сервера и виртуалки ( читайте Большой тест Synology Active Backup for business - восстанавливаемся из бэкапа за 11 секунд!).
Цена вопроса и выводы
Есть и неприятная сторона вопроса: компания Synology считает, что за отказоустойчивый почтовый сервер надо платить, поэтому в базовый пакет включена лицензия лишь на 5 пользователей. Своим заказчикам Synology предлагает приобретать лицензии на 5 и 20 бессрочных учётных записей. В кластере по умолчанию активированы 10 лицензий на учётные записи, и дополнительные лицензии применяются уже к кластеру целиком.
Если это вас не останавливает, то в целом MailPlus Server - это тот самый случай, когда настройка почтового сервера столь же проста, как и всё, что мы привыкли связывать с Synology. Никаких особых знаний или опыта работы с почтовыми серверами не потребуется: всё интуитивно понятно, включая графический интерфейс мониторинга активности и отражённых угроз. Шаг за шагом Synology переносит ваши сервисы со стороннего облако в локальное, добавляя к этому процессу лёгкость администрирования и отказоустойчивость. Дошло дело и до корпоративной почты.