apt update\napt install mimedefang -y<\/code><\/pre>Правим файл \/etc\/default\/mimedefang<\/i>:<\/p>\nSOCKET=\/var\/spool\/postfix\/mimedefang\/mimedefang.sock\nMD_ALLOW_GROUP_ACCESS=yes<\/code><\/pre>Добавляем пользователя postfix<\/i> в группу defang<\/i>:<\/p>\nusermod -aG defang postfix<\/code><\/pre>Так как postfix работает в chroot-окружении, создаем папку для сокета mimedefang:<\/p>\n
mkdir \/var\/spool\/postfix\/mimedefang<\/code><\/pre>Правим \/etc\/postfix\/main.cf<\/i>:<\/p>\nmilter_default_action = accept\nmilter_protocol = 6\nsmtpd_milters = unix:mimedefang\/mimedefang.sock\nnon_smtpd_milters = unix:mimedefang\/mimedefang.sock<\/code><\/pre>Теперь нужно добавить следующее в конец функции filter<\/i> в файле \/etc\/mail\/mimedefang-filter<\/i>:<\/p>\n# Если файл больше указанного размера, он удаляется из письма,\n # его копия остается на диске, а вместо него предоставляется ссылка, по которой его можно скачать.\n\n # Максимальный размер вложения (например, 10MB)\n my $MAX_ATTACHMENT_SIZE = 10 * 1024 * 1024;\n # Директория для сохранения вложений\n my $ATTACHMENTS_DIR = "\/var\/mail\/attachments";\n # URL, по которому будут доступны вложения\n my $ATTACHMENTS_URL = "https:\/\/mail.kini24.ru\/attachments";\n\n # Создаем директорию, если её нет\n mkdir $ATTACHMENTS_DIR unless -d $ATTACHMENTS_DIR;\n\n $size = (stat($entity->bodyhandle->path))[7];\n if ($size > $MAX_ATTACHMENT_SIZE) {\n md_graphdefang_log("The attached file $fname is too big, replaced with a link");\n return action_replace_with_url($entity,\n "$ATTACHMENTS_DIR",\n "$ATTACHMENTS_URL",\n "Размер вложения превысил ограничения сервера, поэтому оно было удалено.\\n" .\n "Вы можете скачать его по следующей ссылке:\\n\\n" .\n "_URL_");\n }<\/code><\/pre>В результате аыполнения функции action_replace_with_url<\/i> в конец письма будет вставлен текст и ссылка для скачивания вложения, а сам файл бует сохранен в папку \/var\/mail\/attachments<\/i>. Надо, кстати, покопаться и найти как вставлять ссылку в текст самого письма. Но пока что оставим как есть.<\/p>\n
У меня почтовый и веб-сервер находятся на разных виртуальных машинах, поэтому папку \/var\/mail\/attachments<\/i> надо сделать общей. На почтовом сервере устанавливаем пакет сервера NFS:<\/p>\napt install nfs-kernel-server -y<\/code><\/pre>Открываем файл \/etc\/exports<\/i> и вписываем в конец файла что-то вроде такого:<\/p>\n\/var\/mail\/attachments 192.168.1.0\/24(rw,sync,no_subtree_check)<\/code><\/pre>И выполняем в консоли команду:<\/p>\n
exportfs -a<\/code><\/pre>Теперь переходим на веб-сервер и выполняем следующие команды:<\/p>\n
apt update\napt install nfs-common -y<\/code><\/pre>Открываем файл \/etc\/fstab<\/i> и дописываем в конец:<\/p>\n192.168.1.12:\/var\/mail\/attachments \/var\/www\/mail\/attachments nfs4 defaults 0 0<\/code><\/pre>где 192.168.1.12 — IP-адрес почтового сервера.
\nДальше выполняем команды:<\/p>\n
mkdir -p \/var\/www\/mail\/attachments\nchown -R www-data:www-data \/var\/www\/mail\/attachments\nmount -a<\/code><\/pre>И проверяем что папка смонтировалась:<\/p>\n
ls -l \/var\/www\/mail\/attachments<\/code><\/pre>После этого все вложения, которые были удалены из писем, должны стать доступны для скачивания.<\/p>\n",
"date_published": "2025-03-31T11:45:17+05:00",
"date_modified": "2025-03-31T11:45:06+05:00",
"tags": [
"debian",
"linux",
"mimedefang",
"postfix",
"вложение",
"замена",
"почта",
"сервер",
"Ссылка"
],
"author": {
"name": "Копытов Иван",
"url": "https:\/\/kini24.ru\/",
"avatar": ""
},
"_date_published_rfc2822": "Mon, 31 Mar 2025 11:45:17 +0500",
"_rss_guid_is_permalink": "false",
"_rss_guid": "135414",
"_rss_enclosures": [],
"_e2_data": {
"is_favourite": false,
"links_required": null,
"og_images": []
}
},
{
"id": "125842",
"url": "https:\/\/kini24.ru\/all\/svoy-server-otp\/",
"title": "Свой сервер OTP",
"content_html": "
Достаточно давно появилось желание завести свой сервер одноразовых паролей. Искал, не особо торопливо, как обычно. Отчасти потому, что еще немногие серверы поддерживали такой механизм аутентификации. Да и данных, которые нужно защищать было немного. Позже появились сервисы типа госуслуг, в почте стало храниться больше «чувствительных» данных, стало необходимо ограничить доступ к некоторым функциям своего сервера... В общем, причин накопилось достаточно. Про сервер OTP (One Time Password) стал вспоминать всё чаще и вот на днях мне попалась один простой, но в тоже время достаточно функциональный сервер 2FAuth<\/a>.
\nКак пишет автор, он создал его потому, что:<\/p>\n\nЯ хотел, чтобы мои учетные записи 2FA хранились в отдельной базе данных и я мог легко создавать и восстанавливать ее резервные копии.<\/i>
\nЯ ненавижу доставать свой смартфон, чтобы получить OTP, когда пользуюсь настольным компьютером.<\/i>
\nЯ люблю программировать и люблю самостоятельные решения.<\/i><\/p>\n<\/blockquote>\n
Какие есть «плюсы» данного решения:<\/p>\n
\n- возможность регистрации новых пользователей. Кто-то отнесет ее к «минусам», я не вижу ничего плохого. Способа отключить не нашел.<\/li>\n
- Восстановление пароля от своей учетной записи, используемой для входа. Не проверял.<\/li>\n
- Возможность импорта и экспорта данных.<\/li>\n
- Возможность загрузки QR-кода из файла.<\/li>\n
- Возможность ручного ввода данных (сервис, учетная запись, секретный шифр).<\/li>\n
- Поддержка TOTP, HOTP, Steam, WebAuthn.<\/li>\n
- Загрузка логотипов. Мелочь, а приятно.<\/li>\n
- Поддержка SQLite, MariaDB, MySQL, PostgreSQL и SQL Server (внезапно).<\/li>\n
- Присутствует REST API (снова сюрприз).<\/li>\n
- Есть темная тема.<\/li>\n<\/ul>\n
Пройдемся по «минусам»:<\/p>\n
\n- Отсутствует приложение для мобильных телефонов, только веб-страница.<\/li>\n
- Нет поддержки кодов, генерируемых Яндексом. То есть у вас не получится запихать в сервис OTP от Яндекса. Ну тут «на любителя».<\/li>\n
- На мой непрофессиональный взгляд слишком много файлов находится в папке.<\/li>\n<\/ul>\n
Теперь немного скриншотов:<\/p>\n
\n\n![\"Вход](\"https:\/\/kini24.ru\/pictures\/0001@2x.png\")
\n![\"Список](\"https:\/\/kini24.ru\/pictures\/0002@2x.png\")
\n![\"Создание](\"https:\/\/kini24.ru\/pictures\/0003@2x.png\")
\n![\"Редактирование](\"https:\/\/kini24.ru\/pictures\/0004@2x.png\")
\n![\"Создание](\"https:\/\/kini24.ru\/pictures\/0005@2x.png\")
\n![\"Настройки\"](\"https:\/\/kini24.ru\/pictures\/0006@2x.png.jpg\")
\n![\"Настройки\"](\"https:\/\/kini24.ru\/pictures\/0007@2x.png\")
\n![\"Настройки\"](\"https:\/\/kini24.ru\/pictures\/0008@2x.png\")
\n![\"Настройки\"](\"https:\/\/kini24.ru\/pictures\/0009@2x.png\")
\n<\/div>\n<\/div>\n",
"date_published": "2024-02-10T22:58:59+05:00",
"date_modified": "2024-02-10T22:58:55+05:00",
"tags": [
"2fauth",
"github",
"hotp",
"otp",
"php",
"Self-Hosted",
"steam",
"totp",
"двуфакторная авторизация",
"свой",
"сервер"
],
"author": {
"name": "Копытов Иван",
"url": "https:\/\/kini24.ru\/",
"avatar": ""
},
"_date_published_rfc2822": "Sat, 10 Feb 2024 22:58:59 +0500",
"_rss_guid_is_permalink": "false",
"_rss_guid": "125842",
"_rss_enclosures": [],
"_e2_data": {
"is_favourite": false,
"links_required": null,
"og_images": []
}
},
{
"id": "125446",
"url": "https:\/\/kini24.ru\/all\/uhod-s-domoticz-na-home-assistant\/",
"title": "Уход с Domoticz на Home Assistant",
"content_html": "Попробую сравнить эти две системы «умного дома».
\nНа Domoticz я «просидел» несколько лет. Эта система была хороша тем, что имела низкий порог вхождения, не требовала особых ресурсов и имела достаточно много возможностей. Что я понял спустя некоторое время:<\/p>\n
\n- Интерфейс достаточно жестко закреплен. Вы не можете создавать свои вкладки (разделы), только заданные разработчиками.<\/li>\n
- Нельзя сгруппировать датчики одного устройства в группу. Один датчик — одна карточка. Которые могут быть разнесены по разным разделам. Например, данные из домашней метеостанции будут присутствовать в трех разделах, между которыми нужно переключаться, чтобы получить всю информацию от нее.<\/li>\n
- Есть темы оформления, но их мало и не все работают корректно. Некоторые предъявляют требования к именам устройств, чтобы была возможность объединить их в одну карточку.<\/li>\n
- Чтобы получить данные с сайта, из операционной системы или что-то еще, выходящее за рамки протокола MQTT — придется использовать python или lua. Тут, кстати, небольшой «плюс» — скрипты хранятся в базе данных. После запуска Domoticz они выгружаются во внешние файлы. Зачем? Ладно, пусть.<\/li>\n
- База данных имеет формат SQLite. Тут свои «плюсы» и «минусы».<\/li>\n
- Группа Domoticz в Telegram, в которой я состоял, «топит» за использование «домика» в связке c Node-Red. Я не любитель установки множества программ на сервер, поэтому от последнего отказался. Что, с одной стороны, сильно меня ограничило в изменении интерфейса системы, с другой... Да ну его нафиг! Там свои ограничения.<\/li>\n
- Несмотря за заявленную несколько лет назад возможность синхронизации данных между несколькими серверами Domoticz, она так и не была реализована. Судя по некоторым данным, разработчики просто «забили» на неё.<\/li>\n
- Мне так и не удалось подключить часть устройств, типа пылесоса Xiaomi, телевизора Samsung, чайника Redmond. И, уверен, в ближайшее время, этого не будет в «домике».<\/li>\n
- Система может просто не запуститься после обновления ОС или если вы допустили ошибку с своем скрипте. Может не понравиться версия glibc, python или его библиотеки. Проверка целостности отсутствует напрочь.<\/li>\n
- «Умные» колонки вы не подключите.<\/li>\n<\/ol>\n
Скорее всего, было что-то еще, что меня не устраивало в этой системе, но я перечислил основное. К тому же на меня порой «находит» и я начинаю экспериментировать. Поэтому качаем образ Home Assistant для KVM и начинаем пробовать что он может.<\/p>\n
\n- У меня много «простых» устройств, работающих по протоколу MQTT. Их пришлось прописать ручками. Копипаста с небольшими правками сильно помогла. Это был начальный этап, я еще ничего не знал. НА может обнаруживать такие устройства сама.<\/li>\n
- Пылесос, телевизор, чайник «влетели» как родные, после установки нужных дополнений.<\/li>\n
- Базу данных в формате MySQL пришлось подключать ручками. Основной формат опять же был SQLite, но для большой истории показаний он не годится. Перенес данные из Domoticz в Home Assistant (есть скрипт в интернете).<\/li>\n
- Сделал нужные мне разделы (вкладки) в интерфейсе, занес в них нужные устройства с нужными параметрами. Разница с Domoticz просто огромная.<\/li>\n
- Оповещения в Jabber, Telegram, на почту подключаются достаточно просто.<\/li>\n
- Нашел несколько групп в Telegram по этой системе. Общение между участниками идет постоянно, поэтому пришлось отключить уведомления.<\/li>\n
- Парсинг данных с сайтов вообще порадовал — достаточно указать URL, с которого будешь забирать данные и тэг, который нужно искать. Ну и номер тэга иногда.<\/li>\n
- Есть проверка ошибок конфигурации перед перезапуском. Если найдет — выдаст предупреждение. Это вообще кайф :-)<\/li>\n
- По ресурсам, конечно, более требовательна, но оно того стоит.<\/li>\n
- Хотите подключить колонку яндекса или марусю — не вопрос!<\/li>\n<\/ol>\n
Наверное, на этом закончу. Продолжу тему в другой заметке — там уже много чего описать.<\/p>\n",
"date_published": "2024-01-13T14:36:35+05:00",
"date_modified": "2024-01-13T14:37:23+05:00",
"tags": [
"domoticz",
"home assistant",
"переход",
"сервер",
"сравнение",
"умный дом"
],
"author": {
"name": "Копытов Иван",
"url": "https:\/\/kini24.ru\/",
"avatar": ""
},
"_date_published_rfc2822": "Sat, 13 Jan 2024 14:36:35 +0500",
"_rss_guid_is_permalink": "false",
"_rss_guid": "125446",
"_rss_enclosures": [],
"_e2_data": {
"is_favourite": false,
"links_required": null,
"og_images": []
}
},
{
"id": "125690",
"url": "https:\/\/kini24.ru\/all\/servisy-dlya-testirovaniya-veb-i-pochtovyh-serverov\/",
"title": "Сервисы для тестирования веб, почты и других серверов (обновляемая запись)",
"content_html": "
Соберу, пожалуй, в одном месте список серверов для тестирования различных сервисов. Одни сервисы уходят, другие приходят, поэтому постараюсь сделать этот список обновляемым. Да и просто порой открываешь для себя новые сервисы и хочется их сохранить для использования в дальнейшем.<\/p>\n
Почта<\/b>
\nCheckTLS<\/a>. Очень любопытный сервис проверки почты. Наблюдаем за прогрессом в реальном времени.<\/p>\nDKIM Core Tools<\/a>. Генерация и проверка настроек DKIM.<\/p>\nDMARC Inspector<\/a>. Проверка корректности записи DMARC.<\/p>\nESMTP email<\/a>. Проверка настройки MTA-STS. Это функция, призывающая удаленные серверы обмениваться почтовыми сообщениями, используя защищенное соединение.<\/p>\nMail tester<\/a>. Всё время «теряю» этот сервис. Отправляете письмо на указанный адрес и через некоторое время можете посмотреть отчет о прохождении письма.<\/p>\nMX Toolbox<\/a>. Сервис проверки почтового сервера и, немножко, веб-сервера. Множество самых различных тестов. Имхо, один из самых лучших сервисов.<\/p>\nSSL Tools<\/a>. Старый и уже позабытый мной сервис проверки SSL почтового сервера. Также есть проверка web-сервера и некоторых уязвимостей.<\/p>\nUptimeBot<\/a>. Можно по быстрому посмотреть на каких портах поддерживается TLS\/STARTTLS. А также проверить DKIM, DMARC, SPF, Whois.<\/p>\nСканеры открытых портов<\/b>
\nСканер IPv6<\/a>. Сканирует на выбор либо только указанный порт, либо все часто используемые. В первом случае можно указать использовать TCP или UDP протокол.<\/p>\nJabber<\/b>
\nТест jabber-сервера<\/a>. Проверка jabber-сервера на наличие часто используемых функций.<\/p>\nIPv6<\/b>
\nТест IPv6<\/a>. Тест доступности сервера по IPv6. Краткий, но доступный для понимания проблем отчет.<\/p>\nIPv6 тест<\/a>. Назвал так, потому что название схоже с предыдущим сервером, только поменяны местами два слова. Функционал такой же, как и у сервера выше. Также позволяет проверить скорость соединения, пропинговать сервер и показывает статистику распространения протокола по странам. Позабавило, что Россию исключили из списка, раньше она там точно была.<\/p>\nЧерепашка<\/a>. Если вы видите танцующую черепашку, то доступ к страницам, работающим по IPv6, у вас есть.<\/p>\nСкорость соединения<\/b>
\nSpeedtest<\/a>. Всем известный ресурс проверки скорости соединения. Настолько известный, что почти все провайдеры так или иначе мухлюют при обращении клиента к этому сайту, чтобы он показал скорость выше той, что есть на самом деле.<\/p>\nТест от Cloudflare<\/a>. Не менее известный сервис проверки скорости соединения.<\/p>\nОбщее<\/b>
\nDNS Checker<\/a>. Несмотря на название, это комплекс утилит для проверки почты, домена и т. д. В чем-то схож с MX Toolbox<\/a>.<\/p>\nHSTS Preload<\/a>. Сервис проверки на включение вашего сервера в список HSTS Preload. Это список серверов, при обращении к которым будет сразу использоваться HTTPS-соединение, минуя HTTP. На мой взгляд, сейчас не сильно актуально, потому все поголовно переходят на HTTPS. Там же находятся рекомендации по настройке сервера для последующего включения его в список. Если проверка прошла успешно, фон страницы станет зеленым. Эта настройка отображается в отчете SSL Labs.<\/p>\nHardenize<\/a>. Проверяет веб- и почтовый серверы. Выдает информацию по зоне, DNS-записям и настройкам. Среди проверяемых функций такие как: DNSSEC, CAA, MTA-STS, TLSRPT, SPF, DMARC, DANE, заголовки ответов и прочее. Выдает достаточно информативный отчет.<\/p>\nImmuniweb<\/a>. Есть два неплохих теста: SSL<\/a> и безопасности сайта<\/a>. В первом проверяет настройки сервера на соответствие стандартам PCI DSS, HIPAA and NIST и Industry Best Practices. Второй проверяет GDPR Compliance, PCI DSS и заголовки ответов (куда же без них?).<\/p>\ninternet.nl<\/a>. Позволяет проверить настройки веб- и почтового серверов. Тестирует DNSSEC, IPv6, DANE, заголовки ответов и RPKI. Для меня лично новинкой стала проверка файла security.txt.<\/p>\nNetTools<\/a>. Сборник самых различных тестов: почта, веб-сервер, сканер открытых портов, скорости соединения, NTP-сервера, DNS, FTP..<\/p>\nSecurity Headers<\/a>. Проверяет заголовки ответов веб-сервера. Пройдя по ссылкам, можно попасть на блог Scott Helme<\/a> и узнать как настроить тот или иной заголовок. Вообще в блоге много полезной информации. Единственный «минус» — всё на английском.<\/p>\nSSL Labs<\/a>. Один из самых популярных сервисов тестирования веб-серверов. Проверяет сертификаты, используемые шифры, протоколы (HTTP, HTTP\/2), совместимость с популярными браузерами, наличие уязвимостей и некоторых настроек (HSTS, OCSP, HPKP и другие). К сожалению, почту проверять не умеет.<\/p>\nVerisign анализатор<\/a>. Быстрая проверка DNSSEC. Не могли что ли сделать шрифт покрупнее в отчете?<\/p>\nZoneMaster<\/a>. Проводит полную проверку вашего доменного имени.<\/p>\nПроверка STUN и TURN<\/a>. Собственно весь функционал описан в названии. В случае корректной настройки STUN должен вернуть «srflx» в списке. В случае с TURN — «relay».<\/p>\nТест DoH<\/a>. Проверка работоспособности DNS-over-HTTPS от Cloudflare. Показывает «Yes» только в случае, если вы настроили DoH на их серверы. В противном случае стоит ориентироваться на ASN.<\/p>\nТест утечки DNS<\/a>. Отображает серверы, которым вы «доверяете» хранить и, возможно, использовать информацию о том, к каким серверам или сайтам вы подключаетесь.<\/p>\nГенераторы настроек<\/b>
\nГенератор настроек SSL<\/a>. Генератор настроек SSL от Mozilla для различных программ.<\/p>\nГенератор файла security.txt<\/a> Удобная форма генератора security.txt.<\/p>\n