Развертывание сервера почтовых рассылок на hMail Server с защищённой сетевой инфраструктурой

Задача

Клиенту требовалась локальная система для массовых корпоративных рассылок (внутренние оповещения, информационные бюллетени), полностью независимая от внешних SaaS-платформ и облаков. Основные требования:

• развернуть почтовый сервер на hMail Server (Windows + MS SQL),
• обеспечить безопасное межофисное взаимодействие через зашифрованные каналы,
• настроить удалённый доступ для администраторов,
• реализовать строгую фильтрацию трафика на уровне приложений,
• всё — локально, в российском ЦОД, без передачи данных третьим лицам.

Решение

Проект выполнен на базе Sangfor NGAF, Cisco и hMail Server, с полным контролем на уровне сети и приложений.

1. Почтовый сервер

• Установлен hMail Server на Windows Server 2022,
• База данных — MS SQL Express (локально),
• Настроены домены рассылок (news.company.ru, alerts.company.ru),
• Все исходящие письма проходят через внутренний SMTP-релей с ограничением по количеству сообщений в минуту.

2. Сетевая защита и маршрутизация (Sangfor NGAF + Cisco)

• Настроены IPsec-туннели (IKEv1 и IKEv2) между головным офисом и 5 филиалами через Sangfor NGAF, с fallback на IKEv1 в регионах с устаревшими маршрутизаторами Cisco.
• Внутри IPsec-туннелей развёрнуты GRE-туннели для поддержки динамической маршрутизации BGP — это позволило автоматически обновлять таблицы маршрутизации при изменении топологии.
• Настроены правила SNAT/DNAT на Sangfor NGAF:
• DNAT — для публикации SMTP-порта (587) внутрь к hMail Server,
• SNAT — для исходящих подключений с сервера в интернет (например, для проверки DNSBL).
• Реализован Application Control: трафик к портам 25/587/465 разрешён только для hMail Server, все остальные хосты заблокированы на уровне приложения (не только по IP/порту).

3. Удалённый доступ

• Настроено SSL VPN на Sangfor NGAF с авторизацией через LDAP (Active Directory).
• Администраторы подключаются к веб-интерфейсу hMail Server через защищённый туннель без публикации портов в интернет.
• Доступ ограничен по группе безопасности в AD — только члены группы «Mail Admins».

4. Мониторинг и поддержка

• Сервер включён в систему Zabbix: контроль загрузки CPU, диска, очереди писем.
• Все сетевые события логируются в Sangfor Log Center — с возможностью поиска по приложению, IP, времени.
• Предоставляется техническая поддержка 8×5: настройка новых рассылок, диагностика доставки, обновление правил.

Результат

• Развёрнута полностью локальная система рассылок на базе hMail Server — без зависимости от Mailchimp, SendGrid и других облаков.
• Все межофисные каналы — зашифрованы (IPsec + GRE + BGP) и динамически маршрутизируются.
• Доступ к серверу — только через SSL VPN с LDAP-аутентификацией, без открытых портов в интернет.
• Фильтрация на уровне приложений исключает несанкционированное использование SMTP.
• Система соответствует требованиям по локализации данных и контролю трафика.

Сегодня почтовые рассылки компании — это не внешний сервис, а часть внутренней, защищённой и управляемой ИТ-инфраструктуры.