Sukurkite savo pašto serverį naudodami „FreeBSD 11“.

Apžvalga

Pradiniai nustatymai

Ugniasienės sąranka

OpenSMTPd

Spamd konfigūravimas

Balandėliukas

Išvada

Pašto serverio valdymas gali būti gana naudingas. Jūs esate atsakingas už savo duomenis. Tai taip pat suteikia daugiau lankstumo nustatant pristatymo parinktis. Tačiau yra keletas iššūkių. Jūs rizikuojate atverti savo serverį pažeidžiamumui, taip pat paversti savo serverį potencialia siuntų siuntėjais.

To nepadarius, pradėkime paleisti savo pašto serverį.

Apžvalga

Reikia įdiegti tris programinės įrangos dalis, kurios nėra įtrauktos į FreeBSD bazinę sistemą:

• OpenSMTPd
• Balandėliukas
• spam

OpenSMTPd yra pašto siuntimo agentas (MTA) ir pašto pristatymo agentas (MDA). Tai reiškia, kad jis gali bendrauti su kitais pašto serveriais per SMTPprotokolą ir taip pat tvarko laiškų pristatymą į atskirų vartotojų pašto dėžutes. Mes nustatysime OpenSMTPd, kad jis galėtų susisiekti su išoriniais serveriais (filtruojamas per spamd) ir pristatyti paštą vietiniams vartotojams, taip pat pristatyti vietinius laiškus nuo vartotojo iki vartotojo.

„Dovecot“ yra MDA, nuskaitanti vietines pašto dėžutes ir teikianti jas vartotojams per IMAP arba POP3. Šiam turiniui teikti bus naudojamos vietinių vartotojų pašto dėžutės.

Spamd yra laiškų filtravimo paslauga. Galime persiųsti laiškus per spamd ir jis filtruos laiškus pagal įvairius juoduosius, baltuosius sąrašus ir pilkąjį sąrašą.

Bendroji šio pašto serverio idėja reikalauja kelių skirtingų kelių:

Outside world -> Firewall -> spamd -> OpenSMTPD -> User mail boxes
Outside world -> Firewall (spamd-whitelist) -> OpenSMTPD -> User mailboxes
Outside world -> Firewall (IMAP/POP3) -> Dovecot
Outside world -> Firewall (SMTPD submission)

Šioje pamokoje mes naudosime OpenBSD PF FreeBSD versiją savo ugniasienei. Taip pat galite naudoti ipfw, kur konfigūracija yra labai panaši.

Pastaba: Vultr pagal numatytuosius nustatymus blokuoja 25 prievadą, kurį visur naudoja SMTP serveriai. Jei norite paleisti visiškai funkcionalų el. pašto serverį, turėsite atidaryti tą prievadą.

Pradiniai nustatymai

Pirmiausia turime įdiegti reikiamas programas.

Darant prielaidą, kad naudojate vartotoją su sudo prieiga, galime paleisti šias komandas. Jie skirsis priklausomai nuo to, ar naudojate prievadus, ar paketus.

Paketai (rekomenduojama)

Jei jums nereikia specialių funkcijų, integruotų šiose paslaugų programose, rekomenduojama įdiegti naudojant paketus. Tai paprastesnė, užima mažiau serverio laiko ir išteklių bei suteikia intuityvią, patogią sąsają.

sudo pkg install opensmtpd dovecot spamd

Šios makekomandos suteiks daug kompiliavimo parinkčių, numatytieji nustatymai veiks gerai. Nekeiskite jų, nebent tiksliai žinote, ką darote.

sudo portsnap fetch update   # or run portsnap fetch extract if using ports for the first time
cd /usr/ports/mail/opensmtpd  
make install  # Installs openSMTPd
make clean
cd /usr/ports/mail/dovecot
make install  # Installs dovecot
make clean
cd /usr/ports/mail/spamd
make install  # Installs spamd
make clean

Turėsime pridėti šias eilutes /etc/rc.conf:

pf_enable="YES"
pf_rules="/usr/local/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

obspamd_enable="YES"
obspamd_flags="-v"
obspamlogd_enable="YES"

dovecot_enable="YES"

Ugniasienės sąranka

Norėdami sukonfigūruoti PF, galime sukurti /usr/local/etc/pf.conf:

## Set public interface ##
ext_if="vtnet0"

## set and drop IP ranges on the public interface ##
martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
          10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
          0.0.0.0/8, 240.0.0.0/4 }"

table <spamd> persist
table <spamd-white> persist

# Whitelisted webmail services
table <webmail> persist file "/usr/local/etc/pf.webmail.ip.conf"

## Skip loop back interface - Skip all PF processing on interface ##
set skip on lo

## Sets the interface for which PF should gather statistics such as bytes in/out and packets passed/blocked ##
set loginterface $ext_if

# Deal with attacks based on incorrect handling of packet fragments 
scrub in all


# Pass spamd whitelist
pass quick log on $ext_if inet proto tcp from <spamd-white> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# Pass webmail servers
rdr pass quick log on $ext_if inet proto tcp from <gmail> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# pass submission messages.
pass quick log on $ext_if inet proto tcp from any to $ext_if port submission modulate state
# Pass unknown mail to spamd
rdr pass log on $ext_if inet proto tcp from {!<spamd-white> <spamd>} to $ext_if port smtp \
    -> 127.0.0.1 port 8025 

## Blocking spoofed packets
antispoof quick for $ext_if

## Set default policy ##
block return in log all
block out all

# Drop all Non-Routable Addresses 
block drop in quick on $ext_if from $martians to any
block drop out quick on $ext_if from any to $martians

pass in inet proto tcp to $ext_if port ssh

# Allow Ping-Pong stuff. Be a good sysadmin 
pass inet proto icmp icmp-type echoreq

# Open up imap/pop3 support
pass quick on $ext_if proto tcp from any to any port {imap, imaps, pop3, pop3s} modulate state


# Allow outgoing traffic
pass out on $ext_if proto tcp from any to any modulate state
pass out on $ext_if proto udp from any to any keep state

Tai veikianti PF konfigūracija. Tai gana paprasta, tačiau taip pat reikia paaiškinti keletą keistenybių.

Pirma, apibrėžiame savo $ext_ifkintamąjį, kurį vtnet0vėliau naudosime įrenginyje. Taip pat apibrėžiame neteisingus IP adresus, kurie turėtų būti išmesti išorinėje sąsajoje.

Taip pat apibrėžiame dvi lenteles spamdir spamd-white- šias dvi lenteles sukuria spamd pagal numatytąją konfigūraciją. Be to, apibrėžiame lentelę pavadinimu, webmailkurią naudosime kai kuriems pagrindiniams žiniatinklio pašto paslaugų teikėjams.

Norėdami peržiūrėti lentelę, galite naudoti komandą, pfctl -t tablename -T showkad pateiktumėte lentelės elementus.

Nustatėme keletą PF taisyklių: praleiskite apdorojimą vietinėje sąsajoje, įgalinkite statistiką išorinėje sąsajoje ir nuvalykite gaunamus paketus.

Kitas yra viena iš svarbesnių dalių, kurioje mes valdome srauto siuntimą į spamd arba OpenSMTPd.

Pirmiausia yra peradresavimo taisyklė (atkreipkite dėmesį į sintaksę, FreeBSD 11 naudoja senesnio stiliaus PF sintaksę (iki OpenBSD 4.6), todėl sintaksė gali atrodyti keista. Jei gauname ką nors smtp iš prieglobos, nurodytos spamdlentelėje arba nenurodytos spamd-whitestalo, mes nukreipti ryšį per į spamd demonas, kuris susijęs su šių jungčių. ateinančius trejus taisyklės yra tranzitinio ryšio taisyklės, kad mes iš tikrųjų galite gauti laiškus. mes kirsti pranešimų iš išvardytų IPS spamd-whiteir webmaillentelių tiesiai iki OpenSMTPd. Be to, priimame pranešimus pateikimo prievade ( 587).

Tada yra keletas namų tvarkymo taisyklių, leidžiančių nustatyti numatytąją politiką ir priimti SSH ir ICMP pranešimus.

Tada perduodame IMAP ir POP3 savo išorinėje sąsajoje, kad pasiektume Dovecot.

Galiausiai leidžiame visą išeinantį srautą. Jei norite pridėti papildomos apsaugos, galite apriboti perduodamus prievadus, bet vienkartiniam serveriui nėra problema perduoti viską.

Pradėti PF:

sudo service pf start

Dabar, kai turime užkardos sąranką, galime pereiti prie savo pašto serverio konfigūracijos.

OpenSMTPd

OpenSMTPd turi labai paprastą ir lengvai skaitomą konfigūracijos sintaksę. Visa darbo konfigūracija gali tilpti į 14 eilučių, kaip matote toliau:

#This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

ext_if=vtnet0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases   file:/etc/mail/aliases
table domains   file:/etc/mail/domains

# Keys
pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"
# If you want to listen on multiple subdomains (e.g. mail.davidlenfesty) you have to add more lines
# of keys, and more lines of listeners

# Listen for local SMTP connections
listen on localhost hostname mail.example.com

# listen for filtered spamd connections
listen on lo0 port 10026

# Listen for submissions
listen on $ext_if port 587 tls-require auth pki mail.example.com tag SUBMITTED

# Accept mail from external sources.
accept from any for domain <domains> alias <aliases> deliver to maildir "~/mail"

accept for local alias <aliases> deliver to maildir "~/mail"
accept from local for any relay tls
accept tagged SUBMITTED for any relay tls

Pirma, vėl apibrėžiame savo išorinę sąsają, taip pat keletą lentelių, slapyvardžių ir domenų. Tada pereiname prie SSL rakto ir sertifikato visiems domenams, kuriuose norime tvarkyti paštą.

Kitame skyriuje apibrėžiame sąsajas ir prievadus, kurių norime klausytis. Pirma, mes klausomės savo mail.example.comdomeno „ localhost“ dėl bet kokių vietinių ryšių. Tada mes išklausome savo el. pašto šiukšlėmis filtruotus pranešimus ir išorinėje sąsajoje pateiktus pranešimus. Galiausiai, mes klausomės pranešimų, jie vyksta prievade 587ir saugumo sumetimais reikalaujame, kad jie autentifikuotųsi.

Galiausiai yra mūsų acceptnustatymai. Priimame bet kokius pranešimus, skirtus bet kuriam domenui, apibrėžtam mūsų domainslentelėje, slapyvardžiams mūsų aliaseslentelėje, pristatyti į jų pagrindinį katalogą tokiu maildirformatu. Tada priimame visus vietinius ryšius vietinėms pašto dėžutėms ir perduodame savo pranešimus, kad galėtume siųsti el. Galiausiai priimame mūsų pateiktus pranešimus perduoti. Jei nereikalautume autentifikavimo savo pateikimo prievadui, tai būtų didelis pavojus saugumui. Tai leistų bet kam naudoti mūsų serverį kaip el. pašto šiukšles.

Pseudonimai

FreeBSD pristatomas su numatytuoju slapyvardžio failu /etc/mail/aliasestokiu formatu:

vuser1:  user1
vuser2:  user1
vuser3:  user1
vuser4:  user2

Tai apibrėžia skirtingas pašto dėžutes ir kur norime persiųsti pranešimus, išsiųstus į šias nustatytas pašto dėžutes. Savo vartotojus galime apibrėžti kaip vietinės sistemos vartotojus arba išorines pašto dėžutes, į kurias reikia siųsti. Numatytasis „FreeBSD“ failas yra gana aprašomasis, todėl galite kreiptis į jį kaip nuorodą.

Domenai

FreeBSD nepateikia numatytojo domenų failo, tačiau tai yra neįtikėtinai paprasta:

# Domains
example.com
mail.example.com
smtp.example.com

Tai tik paprasto teksto failas su kiekvienu domenu, kurį norite klausyti naujoje eilutėje. Galite komentuoti naudodami #simbolį. Šis failas egzistuoja tik tam, kad galėtumėte naudoti mažiau konfigūracijos eilučių.

SSL sertifikatai

Yra du būdai, kaip apsaugoti ryšį su pašto serveriu: savarankiškai pasirašyti ir pasirašyti sertifikatai. Žinoma, galima savarankiškai pasirašyti sertifikatus, tačiau tokios paslaugos kaip Let's Encrypt suteikia nemokamą ir neįtikėtinai paprastą pasirašymą.

Pirmiausia turime įdiegti programą certbot.

sudo pkg install py-certbot

Arba jis gali būti įdiegtas su prievadais:

cd /usr/ports/security/py-certbot
make install
make clean

Tada, norėdami gauti sertifikatą, turite įsitikinti, kad atidarėte prievadą 80išorinėje sąsajoje. Kur nors savo filtravimo taisyklėse pridėkite šias eilutes /usr/local/etc/pf.conf:

pass quick on $ext_if from any to any port http

Tada paleiskite pfctl -f /usr/local/etc/pf.confiš naujo įkelti taisyklių rinkinį.

Tada galite paleisti komandą bet kuriems domenams, kuriems norite gauti sertifikatą:

certbot certonly --standalone -d mail.example.com

Rekomenduojama nustatyti crontab įrašą, kuris būtų paleistas certbot renewkartą per 6 mėnesius, siekiant užtikrinti, kad jūsų sertifikatai nesibaigtų.

Tada kiekvienam atitinkamam domenui galite modifikuoti eilutes, kad nukreiptumėte į tinkamą rakto failą:

pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"

Redaguoti vertybinius popierius:

sudo chmod 700 /usr/local/etc/letsencrypt/archive/mail.example.com/*

Pastaba: turėsite tai padaryti kiekvienam pradiniam rakto failui, kitaip OpenSMTPd jų neatidarys.

Dabar galime pradėti teikti paslaugą:

sudo service smtpd start

Spamd konfigūravimas

Čia mes naudojame OpenBSD spamd demoną, kad sumažintume iš interneto gaunamo šlamšto kiekį. Iš esmės tai išfiltruoja pranešimus iš IP, kurie yra žinomi kaip blogi iš įvairių šlamšto šaltinių, taip pat (pagal numatytuosius nustatymus) į „pilkąjį sąrašą“ įtrauktus gaunamus ryšius. „Spamd“ taip pat bando eikvoti nepageidaujamo pašto siuntėjo laiką „mikčiodama“ į juodąjį ir pilkąjį sąrašą įtrauktas jungtis, o tai reiškia, kad atsakymas paskirstomas per kelias sekundes, todėl klientas turi likti atviras ilgiau nei įprastai.

Ryšys įtraukiamas į pilkąjį sąrašą, kai prisijungia bet koks naujas IP adresas, kurio nėra jokiame juodajame ar baltajame sąraše. Kai naujas adresas prisijungs, spamd atmeta pranešimą su nepavojingu klaidos pranešimu, tada prideda jį prie laikinojo sąrašo. Kadangi šlamšto siuntėjai gauna atlyginimą už pristatytus pranešimus, jie nebandys dar kartą dėl klaidos, o teisėta paslauga palyginti greitai bandys dar kartą.

Norėdami montuoti, turėsite atlikti šiuos veiksmus fdescfs:

mount -t fdescfs null /dev/fd

Tada turėsite pridėti šią eilutę prie /etc/fstab:

fdescfs     /dev/fd     fdescfs rw      0       0

Numatytasis konfigūracijos failas (rastas /usr/local/etc/spamd/spamd.conf.sample) veiks gerai. Galite jį redaguoti, kad pridėtumėte naujų šaltinių arba pakeistumėte naudojamus šaltinius:

sudo cp /usr/local/etc/spamd/spamd.conf.sample /usr/local/etc/spamd/spamd.conf

Paslaugą galime pradėti nuo šių dalykų:

sudo service obspamd start

Šiuo metu yra nustatytas spamd.

Žiniatinklio pašto paslaugų įgalinimas

Viena iš „pilkojo sąrašo“ metodo problemų yra ta, kad didelės pašto tarnybos dažnai siunčia laiškus per vieną iš daugelio skirtingų rinkinių, ir jūs negarantuojate, kad kiekvieną kartą gausite tą patį serverį, kuris siųs pranešimą. Vienas iš sprendimų yra įtraukti įvairių žiniatinklio pašto paslaugų IP diapazonus į baltąjį sąrašą. Tam naudojama žiniatinklio pašto lentelė PF konfigūracijoje. Ši strategija gali būti priešinga, jei įtrauksite IP adresą, kurį naudoja el. pašto siuntėjas, bet jei atidžiai nustatysite, kokius diapazonus įtrauksite į lentelę, viskas bus gerai.

Norėdami pridėti el. pašto diapazoną prie žiniatinklio pašto lentelės, galite paleisti šią komandą:

pfctl -t webmail -T add 192.0.2.0/24

Balandėliukas

Jei norite, kad vartotojai galėtų pasiekti savo paštą neprisijungę per SSH, jums reikės MDA, palaikančio IMAP ir (arba) POP3. Labai populiari programa yra Dovecot, turinti gana paprastą konfigūraciją ir galingas funkcijas.

Galime nukopijuoti numatytąją konfigūraciją:

cd /usr/local/etc/dovecot
cp -R example-config/* ./

Konfigūraciją sudaro gana daug skirtingų failų. Norėdami pamatyti skirtumus tarp konfigūracijos ir numatytųjų balandėlio nustatymų, paleiskite toliau pateiktą komandą:

sudo doveconf -n

Toliau pateikiama paprasta, veikianti konfigūracija:

# 2.3.2.1 (0719df592): /usr/local/etc/dovecot/dovecot.conf
# OS: FreeBSD 11.2-RELEASE amd64  
# Hostname: mail.example.com
hostname = mail.example.com
mail_location = maildir:~/mail
namespace inbox {
  inbox = yes
  location = 
  mailbox Archive {
    auto = create
    special_use = \Archive
  }
  mailbox Archives {
    auto = create
    special_use = \Archive
  }
  mailbox Drafts {
    auto = subscribe
    special_use = \Drafts
  }
  mailbox Junk {
    auto = create
    autoexpunge = 60 days
    special_use = \Junk
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Mail" {
    auto = no
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    auto = no
    special_use = \Sent
  }
  mailbox Spam {
    auto = no
    special_use = \Junk
  }
  mailbox Trash {
    auto = no
    autoexpunge = 90 days
    special_use = \Trash
  }
  prefix = 
  separator = /
}
passdb {
  args = imap
  driver = pam
}
ssl = required
ssl_cert = </usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem
ssl_dh = </usr/local/etc/dovecot/dh.pem
ssl_key = </usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem
userdb {
  driver = passwd
}

Dauguma konfigūracijos failų bus conf.d

Svarbiausi yra 10-auth.conf, 10-mail.conf, ir 10-ssl.conf.

Galite konfigūruoti skirtingas pašto dėžutes, kurias naudojate 15-mailboxes.conf. Tai, ką matote aukščiau, yra gera daugelio sistemų konfigūracija, tačiau jūsų rida gali skirtis. Rekomenduojama žaisti su kuo daugiau skirtingų klientų.

Autentifikavimas

Dauguma numatytųjų nustatymų bus teisingi. Jei norite autentifikuoti naudoti sistemos vartotojus, turėsite redaguoti 10-auth.conf.

Panaikinkite šios eilutės komentarą:

!include auth-system.conf.ext

Šifravimas

Turime sugeneruoti Diffie-Hellman parametrus:

sudo nohup openssl dhparam -out /usr/local/etc/dovecot/dh.pem

Pastaba: tai užtruks ilgai. Daug ilgiau, nei galite tikėtis.

Dabar galime paleisti „Dovecot“:

sudo service dovecot start

Išvada

Šiuo metu turime funkcionalų, saugų ir santykinai be šiukšlių pašto serverį.

Dar keletas dalykų, į kuriuos reikia atkreipti dėmesį, yra SpamAssassin naudojimas euristiniam šlamšto pašalinimui, taip pat daugiau nepageidaujamų el. pašto juodųjų sąrašų, sudarytų iš šaltinių, kuriais pasitikite.