Wdrożenie serwerów pocztowych dla firm — Exchange, Microsoft 365, Postfix zgodne z NIS2 i ISO 27001
Poczta firmowa to nadal podstawowy kanał komunikacji biznesowej i jednocześnie najczęściej wykorzystywany wektor ataku — według raportów ENISA i Verizon DBIR 80-90% udanych włamań zaczyna się od phishingu lub kompromitacji skrzynki e-mail. Źle skonfigurowany serwer pocztowy to nie tylko spam wpadający do skrzynek pracowników, ale też open relay wykorzystywany przez atakujących, dane handlowe wyciekające bez szyfrowania, brak archiwizacji wymaganej przez RODO i KSeF, oraz brak wiarygodności technicznej — wiadomości od firmy lądują w spamie u klientów. Z perspektywy NIS2 (art. 21 ust.
2 lit. d, e, g — ciągłość działania, kryptografia, bezpieczeństwo komunikacji) i ISO/IEC 27001:2023 (Annex A.5.14, A.8.20, A.8.23, A.8.24) serwer pocztowy jest jednym z elementów krytycznych systemu zarządzania bezpieczeństwem informacji.
Virtline projektuje i wdraża serwery pocztowe dla firm 10-2000+ użytkowników: Microsoft Exchange Server 2019 CU14 i nadchodzący Exchange Server SE, hybrid Exchange + Microsoft 365 (Exchange Online + Defender for Office 365), cloud-only Microsoft 365 Business / Enterprise, Google Workspace Business / Enterprise, open-source Postfix 3.8 + Dovecot 2.3 z Rspamd i ClamAV, Zimbra Network Edition oraz Mailcow w kontenerach Docker.
Konfigurujemy pełen zestaw uwierzytelniania nadawcy — SPF (RFC 7208), DKIM (RFC 6376), DMARC (RFC 7489) z polityką p=reject, MTA-STS (RFC 8461), TLS-RPT (RFC 8460), DANE (RFC 7672), TLS 1.3 (RFC 8446) — oraz warstwę anti-spam i anti-phishing zgodną z aktualnymi best practices: filtry treści, sandboxing załączników, ochronę przed BEC (Business Email Compromise), spoofingiem i impersonacją, archiwizację mailową zgodną z RODO i KSeF, e-discovery i journaling.
Co obejmuje wdrożenie serwera pocztowego w Virtline
Realizujemy pełen stos pocztowy — od MTA, MDA i MUA, przez uwierzytelnianie nadawcy, anti-spam i anti-malware, po archiwizację i e-discovery:
MTA — Microsoft Exchange, Postfix lub Microsoft 365 — Mail Transfer Agent jako serce systemu pocztowego: Exchange Server 2019 CU14 (rola Mailbox + Edge Transport) dla on-premises i hybrid, Postfix 3.8 dla open-source z chrootowanym smtpd, pełnym wsparciem submission (port 587) i submissions (port 465 z implicit TLS), strict TLS dla MX-to-MX, queue management.
Microsoft 365 Exchange Online jako MTA-as-a-Service dla cloud-first. Konfigurujemy connector inbound/outbound z partner relay, smart hosting, fallback MX.
SMTP relay i submission — port 25, 465, 587 z autoryzacją SASL — port 25 dla MX-to-MX (obowiązkowy TLS opportunistic, preferowany STARTTLS, idealnie MTA-STS enforced), port 587 submission z SASL AUTH dla klientów (Outlook, Thunderbird, Apple Mail) + SPF/DKIM signing per użytkownik, port 465 submissions z implicit TLS dla legacy klientów.
Wyłączamy auth na porcie 25 (relay tylko dla autoryzowanych submission). Rate limiting per user (max 100 maili/min, max 1000/h) dla ochrony przed compromised account.
IMAP / POP3 / MAPI / EWS / EAS — protokoły dostępu — Dovecot 2.3 jako MDA dla IMAP4rev1 (RFC 3501) i IMAPS na porcie 993, POP3 (RFC 1939) na 110/995 z STARTTLS, ManageSieve (RFC 5804) na 4190 dla server-side filterów.
Exchange dodaje natywnie MAPI/HTTP (Outlook MAPI over HTTPS), EWS (Exchange Web Services) i EAS (Exchange ActiveSync dla mobile). Konfigurujemy autodiscover (mail.firma.pl/autodiscover/autodiscover.xml + SRV record _autodiscover._tcp), SNI dla wielu domen, certyfikaty od Let’s Encrypt lub commercial CA z SAN dla mail/imap/smtp/autodiscover/owa.
SPF (RFC 7208) — Sender Policy Framework — rekord TXT w DNS deklarujący które serwery mogą wysyłać pocztę w imieniu domeny.
Konfigurujemy SPF strict (-all, hard fail) dla domen głównych z pełną kontrolą nadawców, ~all (soft fail) w fazie migracji. Lista mechanizmów: a, mx, include:_spf.google.com, include:spf.protection.outlook.com, ip4:X.X.X.X, ~/-all. Limit 10 DNS lookups (RFC limit) — używamy SPF flattening jeśli przekraczamy. Verification: dig +short TXT firma.pl, spfsurveyor.com, mxtoolbox.com SPF check.
DKIM (RFC 6376) — DomainKeys Identified Mail — cyfrowy podpis nagłówków i body wiadomości kluczem prywatnym serwera, weryfikowany kluczem publicznym z DNS (selector._domainkey.firma.pl TXT).
Konfigurujemy DKIM z RSA 2048-bit (preferowane) lub Ed25519 (RFC 8463) dla nowoczesnych konfiguracji, rotacja kluczy co 6-12 miesięcy (selector1/selector2 dla zero-downtime rollover), pełen signing wszystkich nadchodzących i wychodzących wiadomości (Postfix przez OpenDKIM lub Rspamd, Exchange natywnie). Header h=From:Date:Subject:To: minimum.
DMARC (RFC 7489) — Domain-based Message Authentication, Reporting & Conformance — polityka co robić z wiadomościami, które nie przeszły SPF lub DKIM.
Konfigurujemy w 3 fazach: 1) p=none + rua=mailto:dmarc@firma.pl (monitoring 4-8 tygodni, analiza raportów agregowanych), 2) p=quarantine pct=25 (postępowa eskalacja do quarantine), 3) p=reject pct=100 (pełna ochrona przed spoofingiem). Subdomain policy (sp=reject), alignment (adkim=s aspf=s — strict), forensic reports (ruf=mailto:dmarc-forensic@firma.pl) dla audytu incydentów. Narzędzia raportowania: dmarcian, Postmark DMARC Digests, Valimail.
MTA-STS (RFC 8461) i TLS-RPT (RFC 8460) — wymuszanie TLS — MTA-STS deklaruje przez HTTPS (mta-sts.firma.pl/.well-known/mta-sts.txt) że serwer pocztowy domeny wymaga TLS dla MX-to-MX, blokując downgrade do plain text.
Polityka mode=enforce dla domen produkcyjnych, mode=testing w fazie wdrożenia. TLS-RPT (TXT record _smtp._tls.firma.pl) wskazuje gdzie raportować błędy TLS. DANE (DNS-Based Authentication of Named Entities, RFC 7672) jako uzupełnienie — TLSA record powiązany z DNSSEC dla cryptographic binding certyfikatu MX.
Anti-spam — Rspamd, SpamAssassin, Defender for Office 365 — Rspamd (preferowany dla Postfix — szybki, ML-driven, lua-scriptable, Bayesian filter, fuzzy hash, neural network module, plugin URL reputation), SpamAssassin 4.0 (klasyczny, regułowy, perl, stabilny ale wolniejszy).
Dla Microsoft 365 / Exchange natywny Exchange Online Protection (EOP) + Microsoft Defender for Office 365 Plan 1/2 (Safe Attachments — sandboxing, Safe Links — URL rewriting, anti-phishing AI). Skuteczność po tuningu: 99,5-99,9% spam blocked, < 0,1% false positive.
Anti-virus / anti-malware — ClamAV, Defender, sandboxing — ClamAV 1.x z aktualizacjami sygnatur co 1-4 h, drugi engine dla defense-in-depth (Bitdefender, ESET Mail Security, Sophos Email Appliance).
Sandboxing załączników — Microsoft Defender for Office 365 Safe Attachments (detonacja w cloud sandbox przed dostarczeniem), Proofpoint TAP, Mimecast Targeted Threat Protection. Blokujemy executable (.exe, .scr, .vbs, .js, .bat, .ps1) i archiwy z password-protected zawartością wymagającą hasła w mailu (classic exfiltration vector).
Archiwizacja i e-discovery — RODO art.
32, NIS2, KSeF compliance — journaling Exchange (kopia każdej wiadomości in/out do dedicated mailbox lub external archive), MailStore Server Business (on-prem archive z S/MIME, full-text search, retention policies per dział), Veeam Backup for Microsoft 365 (cloud archive), Postfix archive_mail z log-based archive lub MIMEDefang archive copy. Retencja: 5 lat (KC art. 86 dla dokumentów księgowych), 10 lat (CIT/VAT), wieczna dla branż regulowanych. E-discovery: Compliance Center w M365 z legal hold, In-Place eDiscovery, content search.
Korzyści z profesjonalnie wdrożonego serwera pocztowego
Dobrze zaprojektowany system pocztowy to mierzalne efekty bezpieczeństwa, compliance, dostarczalności i ciągłości komunikacji:
Wiarygodna dostarczalność — maile od firmy nie trafiają do spamu — pełen zestaw SPF (-all), DKIM (RSA 2048 lub Ed25519), DMARC p=reject, MTA-STS enforce, TLS 1.3 na MX-to-MX i poprawny PTR record (reverse DNS) zwiększa deliverability do 99%+ na Gmail, Microsoft 365, Yahoo i innych głównych providerach.
Bez tego: typowy startup z lokalnym mail serverem ma ~30-60% maili lądujących w spamie u klientów. Realne dane z naszych wdrożeń — przed: 47% w Junk u klienta na Gmail, po: < 1%.
Ochrona przed phishingiem, BEC i spoofingiem — DMARC p=reject blokuje spoofing własnej domeny (atakujący nie może wysłać maila z adresu prezes@firma.pl), Defender for Office 365 lub Mimecast wykrywa display name spoofing (od „Jan Kowalski
Konkretne dane: 60-90% redukcja udanych ataków BEC po wdrożeniu pełnego stosu (badania Microsoft, Proofpoint).
NIS2 art. 21 ust. 2 lit. d, e, g — ciągłość, kryptografia, komunikacja — dyrektywa NIS2 dla podmiotów kluczowych i ważnych wymaga środków ciągłości działania, kryptografii i bezpieczeństwa komunikacji elektronicznej.
Profesjonalny mail server z TLS 1.3, MTA-STS, DMARC enforce, archiwizacją audytowalną, HA i monitorigniem to wprost realizacja tych wymogów. Audytor NIS2 widzi raporty DMARC, kopie zapasowe poczty, dokumentację konfiguracji, SLA dostawcy — gotowy zestaw dowodów zgodności.
ISO/IEC 27001:2023 Annex A.5.14, A.8.20, A.8.23, A.8.24 — przesyłanie informacji, bezpieczeństwo sieci, filtrowanie sieci, używanie kryptografii.
Audytowalne wdrożenie poczty z TLS 1.3, S/MIME (opcjonalnie), klasyfikacją informacji (sensitivity labels w M365), DLP (Data Loss Prevention), kontrolą dostępu, archiwizacją i journaling stanowi gotową implementację kontroli A.5/A.8 dla powierzchni e-mail.
RODO art. 32 — odpowiednie środki techniczne, art.
5 — minimalizacja danych — szyfrowanie w tranzycie (TLS 1.3, MTA-STS), szyfrowanie at rest (BitLocker dla Exchange mailbox database, LUKS dla Postfix maildir), kontrola dostępu (RBAC, MFA dla webmaila, conditional access), DLP blokujące wysyłanie PESEL/numer karty kredytowej w plain text, retention policies, prawo do usunięcia danych (purge mailboxes), audyt logów dostępu do skrzynek (mailbox audit logs).
BCM i Disaster Recovery — ciągłość komunikacji — wysoka dostępność: DAG (Database Availability Group) w Exchange z 2-4 mailbox servers w klastrze, automatic failover < 30 s, RPO 0 dla replikowanych mailbox database.
Dla Postfix — replikacja master-slave z heartbeat. Microsoft 365 ma SLA 99,9% (Exchange Online). Backup poza systemem (Veeam, Acronis, NAKIVO) z izolacją od produkcji — atak ransomware na Exchange nie kompromituje archiwum. Testy DR co kwartał — odtworzenie skrzynki, point-in-time recovery.
Hybrid Exchange + M365 — najlepsze z obu światów — część skrzynek (kierownictwo, pracownicy z RODO sensitive data, sektor publiczny) lokalnie na Exchange Server 2019 z pełną kontrolą i kompresją, większość użytkowników w Exchange Online z mobile-first dostępem i SLA Microsoftu.
Free/busy sharing między światami, jeden GAL (Global Address List), jeden Outlook profile, AzureAD Connect dla single identity, OAuth dla Free/Busy. Migracja stopniowa per użytkownik/per dział.
Integracja z Microsoft 365 — Teams, SharePoint, OneDrive — Exchange Online jako directory backbone dla całego Microsoft 365 (kalendarz w Teams, integracja Teams Meeting z Outlook, mail integration w SharePoint document library, OneDrive jako załączniki link-based zamiast attachment).
Defender for Office 365 chroni nie tylko maile ale też pliki w SharePoint/OneDrive/Teams. Power Automate flows dla mail-driven automation. Pełna platforma vs samego maila.
Audytowalność i compliance — pełny ślad każdej wiadomości — audit log dla każdej operacji (login użytkownika, login admin do skrzynki, eksport, kopiowanie poza organizację, zmiana uprawnień), retencja log 12-36 miesięcy zgodnie z polityką.
Compliance Center w M365 z legal hold (blokuje usuwanie wiadomości dla pracowników objętych sporem prawnym), supervision review (audyt komunikacji w sektorach regulowanych — finanse, healthcare). Mailbox journaling — niezmienna kopia każdej wiadomości.
Koszty przewidywalne — subskrypcja per user, brak surprise CAPEX — Microsoft 365 Business Standard ~13 EUR/user/mc (pełen pakiet z Office, Exchange, SharePoint, Teams), Business Premium ~22 EUR/user/mc z Defender for Office 365 Plan 1, Intune, Azure Information Protection.
Exchange Online standalone ~4 EUR/user/mc. On-prem Exchange Server 2019 — CAL ~120 EUR/user one-time + Server license ~700 EUR + Software Assurance ~25% rocznie + sprzęt + administracja. Postfix open-source — zero licencji, ale rosnący koszt utrzymania w skali > 200 użytkowników.
Modele wdrożenia — od Postfix on-prem do cloud-only Microsoft 365
Architektura serwera pocztowego zależy od wielkości firmy, wymogu kontroli nad danymi, budżetu, preferowanego ekosystemu (Microsoft vs Google vs open-source) i compliance. Dobieramy model adekwatny do realiów organizacji:
On-premises Exchange Server 2019 / Exchange SE — pełna kontrola nad danymi, lokalna baza mailbox (.edb), dedykowany hardware lub maszyny wirtualne na własnej infrastrukturze.
Exchange 2019 CU14 z rolą Mailbox + Edge Transport. Wybór dla: organizacji z wymogami compliance zabraniającymi cloud (sektor publiczny, niektóre branże finansowe i medyczne), legacy LOB applications integrating with Exchange via MAPI/EWS, firm z istniejącym deployment Exchange którego nie chcą migrować. Microsoft Exchange Server SE (Subscription Edition, GA 2025) zastępuje Exchange 2019.
Hybrid Exchange — on-prem Exchange + Exchange Online — najczęstszy scenariusz dla mid-large enterprise w fazie migracji do cloud.
Część skrzynek lokalnie (kierownictwo z RODO sensitive, pracownicy z requirement on-prem), reszta w Exchange Online. Hybrid Configuration Wizard, OAuth dla free/busy, mail flow przez Exchange Online Protection lub on-prem Edge Transport. AzureAD Connect (lub teraz Microsoft Entra Connect Sync) dla unified identity. Stopniowa migracja per użytkownik.
Cloud-only Microsoft 365 Exchange Online — wszystkie skrzynki w Microsoft 365, brak on-prem Exchange (poza ewentualnym AAD Connect server dla hybrid identity z lokalnym AD).
Standardowo Business Premium lub Enterprise E3/E5 z Defender for Office 365. Wybór dla: 90% nowych wdrożeń SMB, mid-market migrującego z Exchange 2010/2013/2016 (już EOL), firm doceniających SLA Microsoft 99,9% i automatyczne patche. Najprostsza administracja, najwyższa skalowalność.
Google Workspace Business / Enterprise — alternatywa dla Microsoft 365 dla organizacji preferujących Google ecosystem (Docs, Sheets, Meet zamiast Office/Teams).
Gmail jako MTA i klient web, integracja z Google Drive, Calendar, Meet. Business Starter / Standard / Plus / Enterprise od ~6 do ~25 USD/user/mc. Plusem: świetny anty-spam Gmail (najlepszy na rynku), integracja z mobile, prosta administracja. Minusem: gorsza integracja z Microsoft-centric stack, kalendarz mniej zaawansowany niż Outlook, wymagana migracja danych z M365 dla większych organizacji.
Postfix + Dovecot + Rspamd + ClamAV — open-source on-prem — pełen stos open-source: Postfix 3.8 jako MTA, Dovecot 2.3 jako IMAP/POP3, Rspamd jako anti-spam, ClamAV jako anti-virus, Redis dla rate limiting i Rspamd cache, MariaDB/PostgreSQL dla virtual users i aliases, Roundcube/SOGo jako webmail.
Wybór dla: firm cost-sensitive (zero licencji), firm z ideologią open-source (NGO, sektor edukacji), specyficznych use cases (mail gateway, anty-spam relay przed Exchange/M365). Wymaga doświadczonego administratora.
Zimbra Network Edition — Microsoft 365 alternative on-prem — komercyjna platforma collaboration (mail + calendar + contacts + docs + chat) jako on-prem alternative dla M365.
Zimbra Open Source Edition (free) lub Network Edition (komercyjna z S/MIME, ActiveSync, mobile sync, hierarchical storage). Stack: Postfix + Cyrus IMAP + ClamAV + SpamAssassin + Jetty + MariaDB + LDAP. Wybór dla: firm preferujących on-prem alternative dla M365, hostingu maili dla wielu klientów (multi-tenant), legacy migracji ze starych Zimbra deployments.
Mailcow w Docker — nowoczesny open-source z prostą administracją — Mailcow: dockerized (~15 kontenerów) stack Postfix + Dovecot + Rspamd + ClamAV + SOGo (web + ActiveSync) + Nginx + Redis + MariaDB + Unbound z nowoczesnym admin UI.
Aktualizacje update.sh, full backup z mailcow-backup. Wybór dla: mid-market open-source friendly (50-500 użytkowników), MSP hostujących pocztę dla wielu klientów, firm chcących open-source ale bez doświadczenia z Postfix from scratch.
Technologie, licencjonowanie i ekosystem
Dobór platformy, modelu licencyjnego, anti-spam i security gateway to integralna część projektu:
Microsoft Exchange Server 2019 CU14 i Exchange Server SE — Exchange 2019 to ostatnia perpetual license wersja, mainstream support do 10/2025, extended do 10/2026 (już po EOL w momencie pisania — wymaga upgrade).
Exchange Server Subscription Edition (SE) — następna wersja jako subscription only (CSP), GA 2025, in-place upgrade z 2019 CU14 z aktywnym SA. Wymaga Windows Server 2019/2022, .NET Framework, IIS, Active Directory schema extension. Role: Mailbox (combined), Edge Transport (DMZ relay). Licencjonowanie: Server license + CAL per user lub per device.
Microsoft 365 — Business vs Enterprise SKU — Business Basic (~5 EUR — Exchange + Teams + SharePoint, brak Office desktop), Business Standard (~13 EUR — pełne Office), Business Premium (~22 EUR — + Defender for Office 365 Plan 1, Intune, AIP).
Enterprise: E3 (~36 EUR — pełne Office + Exchange + Teams + SharePoint + Power Platform basic), E5 (~57 EUR — + Defender for Office 365 Plan 2, Defender for Endpoint, Power BI Pro, Audio Conferencing, Phone System). Business SKU do 300 użytkowników, Enterprise bez limitu. Frontline F1/F3 dla pracowników terenowych (kiosk, brak desktop Office).
Google Workspace — Business / Enterprise tiers — Business Starter (~6 USD — 30 GB/user, podstawowy Meet), Business Standard (~12 USD — 2 TB/user, nagrywanie Meet), Business Plus (~18 USD — 5 TB/user, advanced endpoint mgmt, eDiscovery, retention), Enterprise (~25 USD/user — unlimited storage, advanced security, DLP, S/MIME, Vault).
Plusem: świetny anty-spam (Gmail najlepszy w branży, niemal zero false positives), prosta administracja. Minusem: gorsze integration z Microsoft-centric tooling, brak desktop Office (tylko Docs/Sheets/Slides web).
Postfix 3.8 + Dovecot 2.3 — open-source stack — Postfix 3.8 jako MTA: bezpieczny (chrootowany smtpd), wydajny (1k+ msg/s na single core), modułowy (Wietse Venema design).
Dovecot 2.3 jako IMAP/POP3 z Sieve filters, replication master-replica, full-text search (Solr/Lucene), shared mailboxes, ManageSieve. Rspamd jako anti-spam (lepszy niż SpamAssassin — ML-driven, neural network, lua scripting). OpenDKIM + opendmarc dla DKIM/DMARC signing/verification. Postscreen dla early reject botów. Zero licencji, koszt to administracja.
Anti-spam: Rspamd vs SpamAssassin vs commercial — Rspamd (preferowany open-source) — ~5-10× szybszy niż SpamAssassin (C-based vs Perl), ML i neural network module, Bayesian filter z auto-learn, plugin URL reputation (Phishtank, URIBL), fuzzy hashing, lua-scriptable.
SpamAssassin 4.0 — klasyczny, stabilny, ogromna baza reguł od community (sa-update), ale wolniejszy i więcej false positives po default. Commercial: Mimecast (~7-15 EUR/user/mc — pełen security gateway z anti-phishing AI, sandboxing), Proofpoint TAP (~10-20 EUR/user/mc — top-tier, sektor finansowy), Microsoft Defender for Office 365 (wbudowany w M365).
Anti-phishing i sandbox: Defender for Office 365 vs Mimecast vs Proofpoint — Microsoft Defender for Office 365 Plan 1 (Safe Links — URL rewriting i detonation przy kliknięciu, Safe Attachments — sandboxing załączników, anti-phishing AI) lub Plan 2 (+ Threat Explorer, Attack Simulator, Automated Investigation and Response).
Mimecast (managed cloud gateway przed M365/Exchange z TTP — Targeted Threat Protection, archive, continuity). Proofpoint TAP (top-tier, sektor finansowy i healthcare, AI-driven threat detection, Email Fraud Defense dla BEC). Dla 90% klientów Defender for Office 365 wystarcza w cenie M365 Business Premium.
Email archiving: MailStore vs Veeam vs Microsoft 365 Compliance — MailStore Server Business (~50 EUR/user/yr — on-prem archive z full-text search, S/MIME, retention policies, legal hold, exports do PST/EML/MBOX).
MailStore Service Provider Edition dla MSP. Veeam Backup for Microsoft 365 (cloud backup Exchange Online + SharePoint + OneDrive + Teams). Microsoft 365 Compliance Center (natywny — archive mailboxes do 1.5 TB, legal hold, retention labels) w E3/E5 lub jako standalone Exchange Online Archiving (~3 EUR/user/mc). RODO i KSeF — minimum 5 lat retencji dla dokumentów handlowych.
Mobile sync — ActiveSync vs IMAP IDLE vs MAPI/HTTP — Exchange ActiveSync (EAS) — bidirectional push synchronization dla mobile (iOS Mail, Android, Outlook Mobile).
Native iOS/Android EAS clients lub Outlook Mobile (preferowany — lepsza integracja z Defender for Office 365, conditional access). IMAP IDLE — open-source alternative dla EAS, działa z Dovecot, K-9 Mail, Apple Mail. MAPI/HTTP — natywny protokół Outlook desktop. Conditional Access (Intune lub Microsoft Entra) — blokowanie sync z niezarządzanych urządzeń, wymóg PIN, encryption, remote wipe.
Dla kogo wdrażamy serwery pocztowe — segmenty i scenariusze
Skalę, architekturę i licencjonowanie dopasowujemy do wielkości organizacji, profilu danych i wymogów branżowych:
Małe firmy (10-50 użytkowników) — Microsoft 365 Business Standard / Premium — cloud-only Microsoft 365 jako domyślny wybór: pełen Office desktop, Exchange Online, Teams, SharePoint, OneDrive, Defender for Office 365 Plan 1 (w Premium).
Migracja z Gmail / Postfix / Exchange 2016 w 1-2 tygodnie. Konfiguracja SPF/DKIM/DMARC, MFA dla wszystkich, Conditional Access dla mobile, retention policies, MailStore lub Veeam jako archive. Koszt: 13-22 EUR/user/mc, brak CAPEX, SLA 99,9%.
Mid-market (50-250 użytkowników) — hybrid Exchange + M365 — część skrzynek w Exchange Online (Business / Enterprise E3), część on-prem (Exchange 2019 / SE) dla kierownictwa i wrażliwych danych.
AzureAD Connect / Microsoft Entra Connect Sync dla unified identity, Hybrid Configuration Wizard, OAuth dla free/busy, MailStore lub Veeam dla archiwizacji. Migracja stopniowa per dział. Defender for Office 365 Plan 1/2 dla wszystkich, Intune dla MDM.
Enterprise (250-2000+) — Exchange Online E3/E5 + on-prem Exchange dla legacy — pełna platforma Microsoft 365 Enterprise E5 z Defender for Office 365 Plan 2, Defender for Endpoint, Microsoft Sentinel jako SIEM, Compliance Center z legal hold i eDiscovery, Information Protection z sensitivity labels, DLP, Conditional Access advanced policies.
Hybrid Exchange dla legacy LOB integration (faks gateway, manufacturing systems, ERP integration). Dedykowany security architect, SOC 24/7.
Sektor publiczny i regulowany — on-premises Exchange / Postfix — niektóre instytucje publiczne i branże regulowane (obronność, niektóre części finansów i healthcare) mają wymóg lokalizacji danych w PL/EU bez ryzyka US CLOUD Act.
Wybór: Exchange Server 2019 / SE on-prem lub Postfix + Dovecot z polskim hostingiem. Pełna kontrola, zerowy cloud exposure. Wymaga większego CAPEX (~200-500 tys. zł) i dedykowanej obsługi administracyjnej (1-2 etaty).
Firmy NIS2 — podmioty kluczowe i ważne — wdrożenie wymogu art.
21 NIS2: kryptografia (TLS 1.3 enforce, MTA-STS, DMARC p=reject), bezpieczeństwo komunikacji, ciągłość działania (DAG, backup, DR), monitoring incydentów (mail flow analysis, anomaly detection, SIEM integration), zarządzanie podatnościami (regularny patching Exchange CVE — historycznie sporo, łącznie z 2021 ProxyLogon, 2022 ProxyShell).
Firmy z RODO sensitive — DLP i archive — DLP (Data Loss Prevention) w M365 lub Mimecast blokujące wysyłanie PESEL, numer karty kredytowej, danych medycznych w plain text, sensitivity labels (Public/Internal/Confidential/Highly Confidential), encrypted mail (S/MIME lub Microsoft 365 Message Encryption — OME), audyt mailbox access, journaling do dedicated archive, retention policies (5/10/25 lat per typ danych).
Branża finansowa i prawnicza — supervision i compliance — wymóg Komisji Nadzoru Finansowego (KNF) na nadzór nad komunikacją (Rekomendacja D dla banków, dyrektywa MiFID II), Rules for Lawyers — archive z legal hold, supervision review (sample-based review komunikacji pracowników), eDiscovery dla sporów prawnych.
Microsoft 365 E5 z Compliance Center, Mimecast Supervision lub Smarsh dla supervision-as-a-service.
Firmy z legacy mail (Exchange 2010/2013/2016 EOL) — migracja z out-of-support Exchange Server (2010 EOL 10/2020, 2013 EOL 04/2023, 2016 EOL 10/2025) do Exchange 2019 → Exchange SE lub do Microsoft 365 Exchange Online.
Migration path: in-place upgrade nie istnieje pomiędzy major versions — wymagana koegzystencja (Hybrid Configuration Wizard), migracja per mailbox (Microsoft 365 Migration Manager lub MigrationWiz, BitTitan, SkyKick). Czas migracji: 2-6 miesięcy dla 500-2000 użytkowników.
Etapy współpracy — od audytu obecnej poczty do SLA
Każde wdrożenie serwera pocztowego prowadzimy w 5 udokumentowanych etapach z punktami akceptacji klienta:
1.
Audyt obecnego systemu pocztowego i wymagań — inwentaryzacja: liczba użytkowników, rozkład per dział, wielkość mailboxów (średnia, percentyle, top 10), wolumen ruchu (msg/day in/out), główne kontakty zewnętrzne, lista domen (główna, brand, aliasy, parking), aktualny stack (MTA, MDA, anty-spam, archive), licencje, integracje LOB (ERP, CRM, e-podpis, faks gateway, custom apps). Audyt deliverability: testy do Gmail/M365/Yahoo, sprawdzenie blacklist (Spamhaus, Barracuda, SORBS), audyt rekordów DNS (SPF, DKIM, DMARC, MX, PTR, MTA-STS), test mail-tester.com, raporty DMARC (jeśli istnieją).
2.
Projekt + plan migracji — architektura, licencje, timeline — wybór platformy (Microsoft 365 vs hybrid vs on-prem vs Postfix), kalkulacja licencji per SKU per user, projekt architektury (single-server vs HA, role Exchange, segmentacja sieci dla on-prem, Edge Transport w DMZ), strategia migracji (cutover dla < 150 użytkowników, staged dla 150-500, hybrid dla > 500 lub regulated), strategia DNS (lowering TTL przed cutover do 300 s, plan rollback), strategia archive (retention policies, legal hold, journaling), strategia security (MFA, Conditional Access, Defender for Office 365 policies, DLP rules).
3.
Wdrożenie + konfiguracja SPF/DKIM/DMARC/MTA-STS — provisioning Microsoft 365 tenant lub instalacja Exchange Server / Postfix on-prem, konfiguracja SPF (-all hard fail), DKIM (2048-bit RSA, primary + backup selector), DMARC w 3 fazach (p=none → p=quarantine → p=reject z monitoringiem raportów przez 4-12 tygodni), MTA-STS (policy w mta-sts.firma.pl/.well-known/mta-sts.txt + TXT _mta-sts), TLS-RPT, TLS 1.3 enforce, BIMI (opcjonalnie — logo w Gmail Promotion tab), reverse DNS PTR record dla mail server IP, opt-out z głównych blacklist jeśli IP był używany wcześniej.
4.
Migracja skrzynek + cutover + UAT — migracja mailbox data ze starego systemu (PST export, IMAP migration, Microsoft 365 Migration Manager, MigrationWiz, BitTitan, SkyKick), test pre-cutover na sample mailbox, koegzystencja przez Hybrid Configuration Wizard lub mail forwarding dla cutover migration. Lowering DNS TTL 24 h przed cutover (MX TTL 300 s, autodiscover 300 s). Cutover w oknie serwisowym (zwykle weekend lub 22:00-04:00). Test akceptacyjny: send/receive na wszystkie strony, free/busy, calendar, mobile sync, OWA, Outlook desktop, autodiscover, autocomplete cache.
5.
SLA, monitoring i ciągłe utrzymanie — outsourcing administracji mail systemu z SLA (15-minutowy czas reakcji dla awarii P1), monitoring automatyczny w trybie ciągłym (Exchange Health Monitor, Microsoft 365 Service Health, custom Prometheus exporters dla Postfix, Grafana dashboards), monitoring DMARC raportów (dmarcian, Postmark DMARC Digests), tygodniowy raport (deliverability, spam blocked, malware detected, DMARC pass/fail rate, top senders/recipients), kwartalny audyt konfiguracji (CIS Benchmark for Exchange, M365 Secure Score), patching CVE w 48 h (Exchange historically wysokie ryzyko).
Dlaczego serwer pocztowy z Virtline
Łączymy 15+ lat wdrożeń pocztowych z odpowiedzialnością za dostępność, dostarczalność i bezpieczeństwo Twojej komunikacji:
Certyfikat ISO/IEC 27001:2023 — wystawiony przez TÜV NORD, nr AC090 121/2469/6137/2026 (ważny do 02.2029).
Wdrażamy serwery pocztowe zgodnie z udokumentowanym Systemem Zarządzania Bezpieczeństwem Informacji — administratorzy mają NDA, procedury zmian, regularne szkolenia, audyty wewnętrzne. Dla klienta to gwarancja, że pracujemy zgodnie z normą, nie ad hoc.
Certyfikowani inżynierowie Microsoft i open-source — Microsoft 365 Certified: Enterprise Administrator Expert (MS-100/MS-101), Messaging Administrator Associate (MS-203), Security Administrator Associate (MS-500), Microsoft Certified Trainer dla Exchange.
Dla open-source — wieloletnie doświadczenie Postfix/Dovecot/Rspamd, certyfikaty Linux LFCE/RHCE. Realne wdrożenia produkcji dla aplikacji 10-2000+ użytkowników w finansach, e-commerce, sektorze publicznym, mediach i SaaS.
Dostarczalność 99%+ — pełen stos SPF/DKIM/DMARC/MTA-STS — wdrożenia z udokumentowanymi wynikami: nadawca z naszą konfiguracją dostarcza do Gmail/M365/Yahoo z deliverability 98-99% (mail-tester.com 9-10/10).
Phase rollout DMARC do p=reject z monitoringiem raportów. Pełna BIMI z Verified Mark Certificate (VMC) na życzenie — logo w Gmail/Yahoo Promotion tab. Optymalizacja domen brand i parking dla ochrony przed spoofingiem.
Ochrona przed phishingiem, BEC i ransomware w mailu — Defender for Office 365 z Safe Links/Safe Attachments dla M365, Mimecast/Proofpoint dla on-prem, ClamAV + Rspamd dla open-source, antyphishingowy awareness training (KnowBe4, Microsoft Attack Simulator) dla pracowników klienta.
Pre/post BEC simulation, audyt incydentów i incident response. 60-90% redukcja udanych ataków po wdrożeniu pełnego stosu.
SLA 24/7 i monitoring z raportami DMARC — monitoring stanu mail systemu, deliverability, anty-spam efficiency, DMARC pass rate, ekspozycji na blacklisty (Spamhaus, Barracuda, SORBS).
Reakcja na alert P1 (mail down, certyfikat wygasł, błąd DNS) w 15 minut, eskalacja do inżyniera dyżurnego w 30 minut, helpdesk po polsku. Tygodniowy raport stanu, kwartalny audyt konfiguracji (M365 Secure Score, CIS Benchmark for Exchange).
FAQ: Wdrożenie serwera pocztowego — najczęstsze pytania
Exchange on-premises vs Microsoft 365 — kiedy co wybrać?
Microsoft 365 Exchange Online to domyślny wybór dla 90% nowych wdrożeń — niższy CAPEX (subskrypcja zamiast licencji + sprzętu), SLA 99,9% bez wysiłku, automatyczne patche bezpieczeństwa (Exchange on-prem historycznie miewa krytyczne CVE — ProxyLogon 2021, ProxyShell 2021, ProxyNotShell 2022 — wymaga szybkiego patchingu), integracja z Teams/SharePoint/OneDrive, Defender for Office 365, Compliance Center.
Exchange Server 2019 / SE on-premises ma sens dla: 1) organizacji z compliance zabraniającym cloud (sektor publiczny, niektóre części obronności, healthcare z bardzo specyficznym RODO interpretation), 2) firm z LOB applications wymagającymi MAPI/EWS access do mailboxów na on-prem, 3) regionów bez dobrego Microsoft 365 datacenter (poza EU/US — rzadszy scenariusz), 4) bardzo dużych deployments (10k+ użytkowników) gdzie kalkulacja licencji może wyjść na korzyść on-prem przy 5-7 letnim TCO. Dla większości polskich firm: Exchange Online w M365 Business Premium lub Enterprise E3/E5.
SPF, DKIM i DMARC — czy są obowiązkowe i jak je wdrożyć?
Tak, w 2024-2026 to praktyczny obowiązek. Google i Yahoo od lutego 2024 wymagają od bulk senderów (5000+ maili/dzień) SPF + DKIM + DMARC z minimum p=none oraz one-click unsubscribe. Microsoft 365 podobnie egzekwuje. Bez SPF/DKIM/DMARC twoje maile lądują w spamie lub są odrzucane. Wdrożenie: 1) SPF — TXT record `v=spf1 include:_spf.google.com -all` (dla Google) lub `v=spf1 include:spf.protection.outlook.com -all` (dla M365) lub `v=spf1 ip4:X.X.X.X mx -all` (dla on-prem). 2) DKIM — wygeneruj klucz RSA 2048-bit, opublikuj public key jako TXT record `selector._domainkey.firma.pl`, skonfiguruj signing w Exchange/Postfix/M365.
3) DMARC — TXT `_dmarc.firma.pl v=DMARC1; p=none; rua=mailto:dmarc@firma.pl; pct=100`, monitoruj raporty 4-8 tygodni, eskalacja do p=quarantine pct=25 → pct=100 → p=reject pct=100. Cały proces zajmuje 2-4 miesiące do osiągnięcia p=reject.
DMARC p=reject vs p=quarantine — jaką politykę wybrać?
p=reject to docelowa polityka i tu trzeba dążyć — wymaga od odbiorcy odrzucenia maili nieautoryzowanych jako spoofing. Pełna ochrona przed atakami spoofującymi twoją domenę. Ale wymaga 100% pewności że wszystkie legitimate sourcy maili są zadeklarowane w SPF i sign DKIM. p=quarantine to środkowy step — odbiorca kładzie podejrzane maile do spamu zamiast odrzucać. Mniej agresywne, daje margines błędu. p=none to monitoring-only — tylko zbieranie raportów, brak akcji.
Rekomendowana droga: 4 tygodnie p=none + monitoring rua (raporty agregowane do dmarcian / Postmark DMARC Digests) → identyfikacja wszystkich legitimate senderów (marketing automation, helpdesk, CRM, monitoring alerts) → dodanie ich do SPF i DKIM → eskalacja do p=quarantine pct=25 (25% maili nieautoryzowanych do spam) → pct=100 → p=reject pct=100. Cały proces 3-6 miesięcy dla średniej firmy. Skok od razu na p=reject = ryzyko zablokowania legitimate komunikacji.
Czy potrzebny jest secondary MX (backup MX)?
Zwykle NIE — secondary MX był best practice w erze niezawodnych połączeń sieciowych lat 2000, dzisiaj jest często szkodliwy. Dlaczego: 1) SMTP ma wbudowany retry mechanism — jeśli MX1 nie odpowiada, sending MTA próbuje przez 4-5 dni z exponential backoff (każdy major MTA — Postfix, Exchange, Sendmail), więc maile nie giną. 2) Secondary MX to dodatkowy attack surface — atakujący kierują maile na słabszy backup MX (zwykle mniej hardened, czasami bez anti-spam) żeby ominąć główny gateway. 3) Większość spam botów próbuje secondary MX jako bypass.
Wyjątki: organizacje z bardzo niestabilnym łączem internetowym (ale w 2024 to rzadkość), organizacje z critical comm wymagającą SLA wyższego niż jeden ISP — wtedy lepszy multihoming z BGP zamiast secondary MX. Dla Microsoft 365 i Google Workspace secondary MX jest zbędny — ich infrastruktura ma redundancję wbudowaną. Wniosek: skup się na hardening primary MX, MTA-STS enforce i SLA łącza zamiast inwestować w backup MX.
Anti-spam — Rspamd vs SpamAssassin — co wybrać do open-source?
Rspamd to nowoczesny wybór i polecamy go dla nowych wdrożeń Postfix. Plusy: ~5-10× szybszy niż SpamAssassin (C-based zamiast Perl), ML i neural network module (samodzielne uczenie się od false positives/negatives), Bayesian filter z auto-learn, plugin URL reputation (PhishTank, URIBL, SURBL real-time), fuzzy hashing (wykrywanie wariantów tego samego spamu), lua-scriptable (custom rules), HTTP RPC i web UI (statystyki, debugowanie), proxy mode dla SMTPD. SpamAssassin 4.0 — klasyczny wybór: stabilny, ogromna baza reguł od community (sa-update — codzienne aktualizacje), perlowa modułowość, Bayesian filter, łatwiejsza krzywa nauki (dokumentacja przez 20 lat). Minusy: wolniejszy, częściej false positives po default, regex-heavy.
Migracja SpamAssassin → Rspamd to projekt 2-4 tygodni dla średniej firmy. Realnie: nowe wdrożenia — Rspamd, istniejące działające SpamAssassin — zostawić w spokoju jeśli skuteczność > 99%.
Postfix vs Exchange — czy open-source warto dla mid-market?
Dla 50-300 użytkowników to konkretny trade-off. Postfix + Dovecot + Rspamd + ClamAV + Roundcube/SOGo — zero kosztu licencji, pełna kontrola, brak vendor lock-in, można uruchomić na 4 vCPU + 8 GB RAM Linux serwerze. Ale: 1) wymaga doświadczonego administratora (Postfix configuration to nie GUI, to plik main.cf + master.cf + maps), 2) brak natywnego MAPI/EWS — klienci tylko IMAP/SMTP (Outlook też, ale traci niektóre advanced features), 3) brak natywnego Exchange ActiveSync (Z-Push lub SOGo as workaround), 4) anti-spam wymaga tuning Rspamd, 5) brak integracji jednym kliknięciem z Teams/SharePoint.
Exchange / M365: pełna platforma collaboration, mniej administracji, ale ~13-22 EUR/user/mc subskrypcja albo CAPEX licencji Exchange (~700 EUR Server + 120 EUR/CAL). Kalkulacja dla 100 użytkowników: Postfix ~5 tys. zł setup + 2-3 tys. zł/mc obsługi = 36 tys. zł/yr; M365 Business Premium 100×22 EUR×12 = ~26 tys. EUR (~110 tys. zł/yr) ale z całym Office, Teams, SharePoint, OneDrive, Defender. Decyzja zależy od czego potrzebuje firma — sam mail czy pełna platforma.
Kiedy ma sens hybrid Exchange + Microsoft 365?
Hybrid Exchange to scenariusz dla organizacji w trakcie migracji do cloud (zwykle trwa 6-24 miesięcy), które mają powód do utrzymywania części użytkowników on-prem. Konkretne scenariusze: 1) Mid-large enterprise (250+ users) migrujący stopniowo per dział, 2) Organizacje z LOB application integration przez MAPI/EWS do on-prem Exchange (typowo manufacturing, ERP integration, custom apps z 2010-2015 era), 3) Część kierownictwa / RODO sensitive accounts pozostająca on-prem ze względów compliance, 4) Coexistence przed pełnym M365 cutover (free/busy sharing, calendar sharing, GAL sync, jeden Outlook profile dla obu światów). Hybrid Configuration Wizard automatyzuje setup.
AzureAD Connect (Microsoft Entra Connect Sync) replikuje identity z lokalnego AD do Entra ID. OAuth dla free/busy między światami. Wada: złożoność administracji (dwa systemy), wyższy koszt (subskrypcja + on-prem licencja + sprzęt), potencjalne źródło błędów. Dla małych firm — hybrid to over-engineering, lepiej pełny cutover do M365. Dla > 250 użytkowników — hybrid jako bezpieczny migration path.
Wymagania archiwizacji maili — NIS2, RODO, KSeF — co i ile czasu?
Kompozytowy zestaw wymogów. KC (Kodeks cywilny) art. 86 — dokumenty księgowe 5 lat. CIT/VAT — dokumenty podatkowe 5 lat od końca roku obrotowego. KSeF (Krajowy System e-Faktur) — faktury 10 lat. RODO art. 32 — odpowiednie środki techniczne i organizacyjne (DLP, encryption, audit), art. 5 — minimalizacja (nie archiwizować dłużej niż uzasadnione). NIS2 art. 21 — audytowalność incydentów (logi, mail flow). Dla branż regulowanych: KNF Rekomendacja D dla banków (komunikacja zachowana 5-10 lat z legal hold capability), MiFID II dla firm inwestycyjnych (taping i archive transakcji komunikacji 5-7 lat), supervision wymóg.
Praktyczna polityka: 7 lat default dla wszystkich pracowników, 10 lat dla działu finansowego, wieczna dla zarządu i compliance, legal hold dla pracowników w trakcie sporu. Narzędzia: Microsoft 365 Compliance Center (natywny), MailStore Server Business (on-prem), Veeam Backup for Microsoft 365 (cloud).
Migracja Exchange on-prem → Microsoft 365 — pułapki i czas trwania?
Migracja standard zajmuje 2-6 miesięcy dla 200-1000 użytkowników. Phases: 1) Discovery i planning (2-4 tyg.) — audyt mailbox sizes, distribution lists, public folders, custom apps, Outlook add-ins, mobile sync, archive PSTs. 2) Setup M365 tenant + Hybrid Configuration Wizard (1-2 tyg.) — Entra Connect Sync setup, OAuth, hybrid mail flow. 3) Pilot migration (2-4 tyg.) — 5-10 użytkowników pilot, test wszystkich scenariuszy (send/receive, calendar, mobile, OWA, autodiscover). 4) Production migration — fala per dział lub office (kilka tygodni do kilku miesięcy), zwykle 50-100 mailboxów na noc. 5) Cutover i decommissioning on-prem Exchange (1-2 tyg.).
Pułapki: a) PSTs nie zarchiwizowane wcześniej — duże skrzynki migrują wolno (1-5 GB/h per mailbox), b) Custom Outlook add-ins niezgodne z Outlook online, c) Public folders — Microsoft preferuje migrację do Microsoft 365 Groups, ale niektóre legacy use cases wymagają public folders w cloud (więcej pracy), d) Autodiscover misconfiguration (najczęstsza przyczyna problemów z Outlook po migracji), e) DKIM signing — wymaga rotacji selectorów przed pełnym cutover, f) Mobile users — Outlook Mobile preferowany nad native iOS/Android mail (lepsza integracja z Defender for Office 365), wymagana komunikacja do użytkowników.
Defender for Office 365 vs Mimecast vs Proofpoint — które wybrać?
Microsoft Defender for Office 365 Plan 1 (~2 EUR/user/mc lub w Business Premium) — natywna integracja z M365: Safe Links (URL rewriting i sandbox detonation przy kliknięciu — rewrite https://safelinks.protection.outlook.com/?url=…), Safe Attachments (sandbox detonation załączników w cloud przed dostarczeniem), anti-phishing AI z impersonation protection. Plan 2 (~5 EUR/user/mc lub w E5) dodaje Threat Explorer (forensic investigation), Attack Simulator (phishing simulations dla awareness), Automated Investigation and Response (AIR). Dla 80-90% klientów wystarcza.
Mimecast (~7-15 EUR/user/mc) — managed cloud gateway przed M365/Exchange/Google Workspace, Targeted Threat Protection (URL Protect, Attachment Protect, Impersonation Protect), Continuity (kontynuacja maili w wypadku awarii M365 — własna kolejka i webmail), Archive (z legal hold, supervision, eDiscovery). Wybór dla: firm z multi-platform mail (M365 + on-prem + Google), wymogu archive + continuity razem, sektora finansowego/medycznego z compliance requirement na third-party security. Proofpoint TAP (~10-20 EUR/user/mc) — top-tier dla finansów i healthcare, najbardziej zaawansowane anti-BEC i email fraud defense. Realnie: Defender for Office 365 Plan 1/2 dla 90% klientów, Mimecast/Proofpoint dla regulowanych branż lub multi-platform setupów.
Certyfikacja ISO/IEC 27001:2023
Serwery pocztowe wdrażamy zgodnie z normą ISO 27001
Virtline posiada certyfikat PN-EN ISO/IEC 27001:2023-08 wydany przez TÜV NORD. Numer certyfikatu: AC090 121/2469/6137/2026, ważny do 02.2029. Nasze wdrożenia serwerów pocztowych realizują wymagania Annex A.5.14 (przesyłanie informacji), A.8.20 (bezpieczeństwo sieci), A.8.23 (filtrowanie sieci) i A.8.24 (używanie kryptografii) oraz A.5.15-A.5.18 (kontrola dostępu), wspierają zgodność z dyrektywą NIS2, rozporządzeniem DORA, wymogami RODO oraz dobrymi praktykami M3AAWG dla dostarczalności.
- Outsourcing IT — kompleksowa obsługa informatyczna
- Wdrożenie Active Directory — domena Windows i hybrid identity
- Wdrożenie serwerów plików — SMB, DFS, S2D
- Wdrożenie serwerów WWW — Nginx, Apache, IIS
- Monitoring IT 24/7 — Zabbix, Prometheus, Grafana
- Dyrektywa NIS2 — zgodność dla podmiotów kluczowych
- MFA — uwierzytelnianie wieloskładnikowe
- EDR — Endpoint Detection and Response
- Audyt sieci komputerowych — topologia, segmentacja, podatności
Skontaktuj się z ekspertem Virtline
Zdefiniujemy zakres projektu, zaproponujemy architekturę i przygotujemy stałą wycenę w ciągu 5 dni roboczych. Bez zobowiązań — od pierwszej rozmowy rozmawiasz z inżynierami, nie ze sprzedawcami.