Synology MailPlus - тестируем отказоустойчивый почтовый кластер на NAS-ах

Электронная почта на сегодняшний день является наиболее взломоустойчивым средством общения, более надёжным, чем «неизвестно на чём зарабатывающие бесплатные мессенджеры», и вы сами можете установить в офисе свой собственный почтовый сервер.

Ваш почтовый сервер - это:

  • Ваш антивирус
  • Ваш антиспам
  • Ваша приватность
  • Ваша защита и отказоустойчивость
  • Ваш веб-интерфейс без рекламы
  • (шёпотом): Это ваша свобода писать что хотите, не опасаясь, что через два дня со всех страниц интернет-сайтов вам будут рекламировать то, о чём вы переписывались с друзьями.

Обычно, в компании сисадмин настраивает почтовый сервер, базу данных учётных записей, отдельный POP/IMAP сервер и систему обновления сертификатов. Всю эту почтовую связку нужно обновлять, ведь уязвимости в OpenSource такие, что порой способны положить целиком сервер.

Конфигурация тестового стенда:

NAS:

OS:

  • Windows Server 2016

С другой стороны, у вас уже есть Synology с его закрытой операционной системой и такими же закрытыми пакетами. Для корпоративного применения компания предлагает почтовый сервер MailPlus Server с современным Web-клиентом MailPlus и возможностью работы в отказоустойчивом кластере. Вся установка сводится к одному клику мышкой, а настройка производится через web-интерфейс NAS-а без командной строки и правки конфигов. И прежде чем я нажму кнопку установки MailPlus, давайте поставим задачу: мне нужна личная защищённая почта с современным интерфейсом и доступом с мобильных. И если какой-то робот читает ваши письма, то это мой робот, и если где-то есть ключи шифрования, то они у меня на сервере, а не у хакера.

Для того, чтобы наша почта выдерживала выход из строя одного сервера, возьмём два NAS-а. Это совершенно разные по отношению друг к другу модели, в которых общего - только логотип производителя и операционная система Synology DSM.

FlashStation FS1018:

  • Настольный сервер типа All-Flash-Array
  • Начальный серверный процессор Intel Pentium D1508 (2C/4T, 2.2-2.6 GHz, 3Mb L3, Broadwell)
  • Серверная память 8 Гб DDR4 2400 ECC (расширение до 32 Гб)
  • 12 отсеков для 2.5" SATA SSD 7.5 мм (расширение до 36 отсеков с помощью дисковых модулей)

Вообще, до Synology никто не выпускал настольные All-Flash массивы, и даже FlashStation FS1018 была для компании эдаким экспериментом. Ну посудите сами: 12-дисковый мощнейший настольный NAS поставляется в базовой комплектации лишь с 4-мя 1-гигабитными сетевыми портами, и чтобы использовать устройство на полную мощность, приходится устанавливать сетевую карту, такую как Intel X550-T2. Но с процессором Pentium D как-то не разгуляешься.

RackStation RS1619xs+

  • Сервер 1U для установки в стойку
  • Серверный SoC для СХД, Intel Xeon D-1527 (4C/8T, 2.2-2.7 GHz, 6Mb L3, Broadwell)
  • Серверная память 8 Гб DDR4 2400 ECC (расширение до 64 Гб)
  • 4 отсека для 3.5" SATA HDD / SSD (расширение до 16 отсеков с помощью дисковых полок)

Полная противоположность первому - модель RackStation RS1619xs+. Здесь уже установлен достаточно мощный SoC семейства Xeon D, на котором можно поднять и шлюз безопасности, и какую-то базу данных, и кэширующие приложения в вашей сети, но этой вычислительной мощности сопутствуют лишь 4 отсека для жёстких дисков без слотов для SSD. Сервер имеет 1 слот расширения, который можно занять либо 10-гигабитной сетевой картой, либо платой для пары M.2 накопителей под SSD кэш (как работает SSD кэш в Synology читайте в нашей статье).

Настройка отказоустойчивого кластера

Установка почтового сервера на Synology - это нажатие одной кнопки в интерфейсе "центра управления пакетами", после чего в систему будут установлены сам сервер MailPlus Server (включает SMTP и POP3/IMAP серверы) и веб-интерфейс чтения почты, MailPlus. Так как мы собираемся настраивать отказоустойчивую конфигурацию, нам потребуется привязать к серверу аккаунты из домена. Для демонстрации мы будем использовать сервер аутентификации на одном из NAS-ов, но для полной отказоустойчивости кластера вам нужно использовать не встроенный LDAP-сервер, устанавливающийся через пакеты Synology, а какое-то стороннее решение с репликацией, которое можно развернуть в виртуалке на том же NAS-е с помощью Virtual Machine Manager.

Для чего всё это делается, объяснять не нужно: у нас два SMTP-сервера, которые откуда-то должны брать данные о своих пользователях, и LDAP в данном случае - лучшее решение, хотя можно использовать и домен Windows. В отказоустойчивой конфигурации всегда будет один главный сервер с полным функционалом и один - ведомый, на котором например, вы не сможете читать почту через Web-интерфейс или менять настройки кластера. Давайте посмотрим, о каких вообще настройках идёт речь.

Главное в MailPlus Server - это не запутаться в доменах, потому что у вас могут быть почтовые домены и поддомены вида:

  • hwp.ru
  • mail.hwp.ru
  • smtp.hwp.ru

Не забудьте в настройках DNS прописать MX-записи на каждый из этих почтовых доменов. Но у вас так же может быть домен LDAP вида local.hwp.test, и пользователь admin@local.hwp.test может иметь почту вида user@hwp.ru, а почтовым сервером может выступать mail.hwp.ru или вообще любой другой. Зато, для каждого пользователя можно легко импортировать почту с другого сервера, например, с mail.ru или Gmail. Для подключения почтовых клиентов (thunderbird, почта windows или каких-то CRM) поддерживаются IMAP/POP3 протоколы.

Технически, MailPlus Server может работать через внешний шлюз, или сам выступать в роли шлюза, если например, ваш провайдер закрыл 25-й порт, и вы вынуждены арендовать VPS для трансляции почты через канал хостера.

Защита от спама и безопасность

Конечно, в современных реалиях просто отправка почты - это копейка, а спам-защита - это рубль, поэтому нам очень интересно, какие методы предлагает сервер Synology Mail Plus. Начнём, наверное, с проверки собственного IP-адреса в чёрных списках DNSBL. Ваш адрес может годами значиться спамным, и пока вы не напишете жалобу службе поддержки блэклиста - никто его не удалит и не амнистирует. Synology проверяет ваш IP-адрес по 55 базам спам-листов (готов поспорить, вы не знали, что их так много). Такие вещи нужно отслеживать, потому что никто не знает, какому спам-листу доверяет сервер вашего контрагента. Вот например, полгода назад я занялся вычищением нашего IP из спам-листов и жил счастливо, но почтовая система сказала, что в двух базах HWP числится как спамер.

Во вторую очередь нужно настроить собственные спам-листы: здесь их не так много. Обычно, для комфортной работы хватает одного-двух поставщиков DNSBL. Кстати, вас никогда не интересовало, почему они называются DNSBL? Обмен списками спамных IP-адресов осуществляется по протоколу UDP (так быстрее). Списки хранят и кешируют DNS-серверы, в том числе локальные. Когда почтовый сервер делает обратный запрос поставщику чёрных списков, на него может ответить собственный DNS-сервер, что займёт буквально пару милисекунд. Сервер возвращает ответ вида 127.x.y.z, где

  • z - оценка заспамленности,
  • y - вид спама (почтовый/хакеры/вирусы),
  • x - принимает значения не равные 0, если произошла какая-то ошибка.

Сервисы DNSBL работают настолько быстро, что иногда проверку ставят на web-сайтах для каждого посетителя, и вы её даже не замечаете: ничего не тормозит, так что в почтовом сервисе её лучше держать включённой.

Есть функция встроенного антивируса, поддерживающая два движка: бесплатный ClamAV и коммерческий McAfee. Так же имеется поддержка списка безопасных ссылок в сообщениях, Google SafeBrowsing. Есть поддержка сторонних баз данных, но без каких-то настроек.

Для проверки подлинности отправителя реализованы три механизма использования ресурсных записей:
  • SPF - через специальную запись в DNS-сервере домена отправителя. О том, как настраивается SPF на хостинге, читайте в инструкции Яндекса (https://yandex.ru/support/pdd/set-mail/spf.html)
  • DKIM - технология передачи ключей шифрования через DNS с проверкой подписи на стороне получателя.
  • DMARC - идентификация почтового домена отправителя по признакам, заданным на стороне сервера адресата.

Для достаточной защиты от фишинговых сообщений можно использовать SPF + DKIM.

Фильтрация по содержимому позволяет отклонять не только приаттаченные файлы с определёнными разрешениями, но и HTML-тэги iFrame, вызов скриптов и формы, причём вы можете выбрать функцию изменения указанных тегов, чтобы они уже не работали, но при этом письмо к вам приходило без нежелательного содержимого.

Ну и конечно же, вы можете вручную прописать правила фильтрации текстового содержимого. Самый простой сценарий использования - предотвращение отправки номеров кредитных карт по почте или запрет на доставку почты с определённых адресов и доменов.

Как вы обычно бэкапите ваш почтовый сервер? Ну, наверное, отдельно сохраняете конфигурационные файлы и отдельно - почту пользователей, если она хранится в виде файлов, или в базе данных. В NAS-ах Synology вам достаточно просто выбрать резервирование приложения MailPlus Server - и не задумываться о том, что и как сохраняется: в случае какой-либо аварии, сервер восстановится целиком со всеми настройками и письмами пользователей. И поскольку компания Synology активно развивает свой пакет Active Backup for Business (читайте наш большой тест-обзор), я очень надеюсь, что все функции резервирования будут консолидированы в единое приложение с единой контрольной панелью.

Интерфейс MailPlus

Если в вашей компании на компьютеры не принято устанавливать стороннее программное обеспечение, вы можете использовать Web-интерфейс для доступа к почте, MailPlus, доступ к которому можно настроить для группы или пользователя отдельно. Мы рекомендуем вам сразу поменять обои в настройках интерфейса - это оживит достаточно прагматичный внешний вид Web-оболочки..

Здесь имеются стандартные для почтовых клиентов функции цветовых меток и прочие не особо интересные, с моей точки зрения, функции, но вот что действительно круто - это то, что Synology уже строит свою так называемую "экосистему", где в одном окне Web-браузера ваши сотрудники пользуются всеми сервисами. Помимо почты, это ещё и корпоративный чат и календарь. Помните, я в самом начале статьи упомянул бесплатные, неизвестно на чём зарабатывающие мессенджеры? Так вот, если уж вам важна приватность - пользуйтесь веб-чатом Synology, который работает на вашем сервере, с вашим администрированием и не сливает персональные данные.

Чат

Конечно же, у Synology есть мобильные клиенты для почты и чата, которые могут работать через публичный домен вашего NAS-а или через аккаунт QuickConnect.

Тестирование

При нормальной работе кластера, главный и второстепенный серверы в реальном времени синхронизируют данные почтовых ящиков и календарей пользователя. При этом, поскольку оба устройства работают с одним IP-адресом, отключение любого из NAS-ов никак не влияет на работу почтовой системы. Когда же работа второго устройства в кластере восстанавливается, то проходит некоторое время, в течение которого синхронизируются данные между NAS-ами.

Помимо отказоустойчивости, почтовый кластер имеет полезную функцию балансировки нагрузки между серверами. Давайте проведём несколько тестов, которые покажет нам балансировку нагрузки и общую производительность кластера. Будем использовать тестовый стенд следующей конфигурации, а в качестве нагрузки - почтовый сервер postal:

/usr/sbin/postal -M 25 -m 256 -t 32 -c 3
Схема тестового стенда

Вообще, 10-гигабитная сеть для таких экспериментов оказалась не нужна: общая производительность сети редко превышала 400 Мбит/с.

Как видите, сильнее всего на производительность почтового кластера влияют фильтры безопасности, и конечно же, RackStation RS1619xs+ вытягивает производительность всего кластера за счёт своего более мощного процессора. Но без фильтрации, когда роль CPU не так важна, уже мы начинаем упираться в синхронизацию между двумя машинами и скорость дисковой системы, поэтому в данном режиме одна FlashStation FS1018 работает быстрее.

Мы при тестировании использовали 1.92-терабайтные SSD Kingston серии DC500M, где в названии DC угадывается Data Center. Эти накопители имеют встроенную защиту от внезапного отключения питания (PLP), гарантирующую что содержимое кэша накопителя будет записано в ячейки NAND-памяти даже если сервер внезапно отключится.

Тест Kingston DC500M

Kingston подчёркивает, что SSD-накопители DC500M имеют поддержку QoS, благодаря чему могут использоваться с разноплановой нагрузкой, например где на одном пуле накопителей размещаются тома для баз данных, бэкапов и виртуальных машин. Один накопитель в тесте показывает 83 тысячи операций чтения и 61 тысячу операций записи в секунду, что действительно круто для SATA-устройства, но по-настоящему эти SSD раскроются у вас именно в чём-то вроде FS3017 (читайте наш обзор Synology FlashStation FS3017), на которой крутятся все сервисы вашей компании, включая виртуальные машины (читайте как мы настраиваем отказоустойчивый кластер на Synology), контейнеры, отказоустойчивое видеонаблюдение и большой бэкап всего, что только есть, включая настольные ПК, сервера и виртуалки ( читайте Большой тест Synology Active Backup for business - восстанавливаемся из бэкапа за 11 секунд!).

Цена вопроса и выводы

Есть и неприятная сторона вопроса: компания Synology считает, что за отказоустойчивый почтовый сервер надо платить, поэтому в базовый пакет включена лицензия лишь на 5 пользователей. Своим заказчикам Synology предлагает приобретать лицензии на 5 и 20 бессрочных учётных записей. В кластере по умолчанию активированы 10 лицензий на учётные записи, и дополнительные лицензии применяются уже к кластеру целиком.

Если это вас не останавливает, то в целом MailPlus Server - это тот самый случай, когда настройка почтового сервера столь же проста, как и всё, что мы привыкли связывать с Synology. Никаких особых знаний или опыта работы с почтовыми серверами не потребуется: всё интуитивно понятно, включая графический интерфейс мониторинга активности и отражённых угроз. Шаг за шагом Synology переносит ваши сервисы со стороннего облако в локальное, добавляя к этому процессу лёгкость администрирования и отказоустойчивость. Дошло дело и до корпоративной почты.


Похожие статьи:

На что можно заменить Synology в условиях санкций. Часть 2: выбираем сервисы

Самое сложное - это даже не подобрать пакеты для замены сервисов Synology на бесплатные, а поддерживать их работу, оперативно реагируя на глюки и обновления. Это непростая, но выполнимая задача, с которой можно справиться за нес...

На что можно заменить Synology в условиях санкций. Часть 1: выбираем устойчивую платформу.

Вам очень повезло, если вы использовали NAS-ы этой компании только для хранения файлов: вы легко подберёте себе замену. Куда хуже, если ваш бизнес активно завязан на сервисы DSM, в том числе связанные с виртуализацией, видеонабл...

Эксклюзивное интервью c генеральным директором Synology GmbH, Джеффри Хуаном

Внедрит ли компания Vendor Lock, как компания пережила майнинговую лихорадку, как смотрит на Web3 и децентрализацию, на ZFS и RAID 2.0+, будет ли DSM продаваться отдельно? Об этом и других темах беседуем с генеральным директором...

Неприступный NAS: настраиваем безопасность и защищаем Synology

Современный NAS вполне способен защитить себя от большинства атак и гарантировать не только непрерывность сервиса, но и неприкосновенность хранимых данных. Даже при осуществлении минимальных настроек и следованию рекомендаций производителя, ...

Обзор Synology RS4021xs+. Недорогой NAS, в котором есть всё!

Перед нами типичный бизнес-NAS класса Mainstream: с двумя 10-гигабитными сетевыми портами, отказоустойчивым блоком питания и 8-ядерным процессором Intel Xeon D-1541. Это решение для большинства крупных и мелких организаций, на к...