Izveidojiet savu pasta serveri, izmantojot FreeBSD 11

Sava e-pasta servera darbināšana var būt diezgan izdevīga. Jūs esat atbildīgs par saviem datiem. Tas arī nodrošina lielāku elastību attiecībā uz piegādes iespējām. Tomēr ir daži izaicinājumi. Jūs riskējat atvērt savu serveri ievainojamībām, kā arī padarīt serveri par potenciālu surogātpasta izplatītāju izmantošanu.

Tā kā tas nav noticis, ķersimies pie sava pasta servera darbināšanas.

Pārskats

Ir jāinstalē trīs nepieciešamās programmatūras daļas, kas nav iekļautas FreeBSD bāzes sistēmā:

• OpenSMTPd
• Baložu kūts
• surogātpasts

OpenSMTPd ir pasta pārsūtīšanas aģents (MTA) un pasta piegādes aģents (MDA). Tas nozīmē, ka tas var sazināties ar citiem pasta serveriem, izmantojot SMTPprotokolu, un tas arī nodrošina pasta piegādi uz atsevišķu lietotāju pastkastēm. Mēs iestatīsim OpenSMTPd, lai tas varētu sazināties ar ārējiem serveriem (filtrēts, izmantojot surogātpastu) un piegādāt pastu vietējiem lietotājiem, kā arī piegādāt vietējo pastu no lietotāja lietotājam.

Dovecot ir MDA, kas nolasa vietējās pastkastes un apkalpo tās lietotājiem, izmantojot IMAP vai POP3. Šī satura nodrošināšanai tas izmantos vietējo lietotāju pastkastes.

Spamd ir pasta filtrēšanas pakalpojums. Mēs varam pārsūtīt pastu, izmantojot surogātpastu, un tas filtrēs vēstules, pamatojoties uz dažādiem melnajiem sarakstiem, baltajiem sarakstiem un pelēko sarakstu.

Šī pasta servera vispārīgajai idejai ir nepieciešami daži dažādi ceļi:

Outside world -> Firewall -> spamd -> OpenSMTPD -> User mail boxes
Outside world -> Firewall (spamd-whitelist) -> OpenSMTPD -> User mailboxes
Outside world -> Firewall (IMAP/POP3) -> Dovecot
Outside world -> Firewall (SMTPD submission)

Šajā apmācībā mūsu ugunsmūrim izmantosim OpenBSD PF FreeBSD versiju. Varat arī izmantot ipfw, kur konfigurācija ir ļoti līdzīga.

Piezīme: Vultr pēc noklusējuma bloķē 25. portu, ko visur izmanto SMTP serveri. Ja vēlaties palaist pilnībā funkcionējošu e-pasta serveri, jums būs jāatver šis ports.

Sākotnējā iestatīšana

Pirmkārt, mums ir jāinstalē vajadzīgās programmas.

Pieņemot, ka strādājat kā lietotājs ar iestatītu sudo piekļuvi, mēs varam palaist šādas komandas. Tie atšķirsies atkarībā no tā, vai izmantojat portus vai pakotnes.

Pakas (ieteicams)

Ja vien šajās utilītprogrammās nav nepieciešama īpaša funkcionalitāte, ieteicams instalēt, izmantojot pakotnes. Tas ir vienkāršāk, aizņem mazāk servera laika un resursu, kā arī nodrošina intuitīvu, lietotājam draudzīgu saskarni.

sudo pkg install opensmtpd dovecot spamd

Šīs makekomandas sniegs jums daudz kompilēšanas opciju, noklusējuma iestatījumi darbosies labi. Nemainiet tos, ja vien precīzi nezināt, ko darāt.

sudo portsnap fetch update   # or run portsnap fetch extract if using ports for the first time
cd /usr/ports/mail/opensmtpd  
make install  # Installs openSMTPd
make clean
cd /usr/ports/mail/dovecot
make install  # Installs dovecot
make clean
cd /usr/ports/mail/spamd
make install  # Installs spamd
make clean

Mums būs jāpievieno šādas rindas /etc/rc.conf:

pf_enable="YES"
pf_rules="/usr/local/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

obspamd_enable="YES"
obspamd_flags="-v"
obspamlogd_enable="YES"

dovecot_enable="YES"

Ugunsmūra iestatīšana

Lai konfigurētu PF, mēs varam izveidot mūsu /usr/local/etc/pf.conf:

## Set public interface ##
ext_if="vtnet0"

## set and drop IP ranges on the public interface ##
martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
          10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
          0.0.0.0/8, 240.0.0.0/4 }"

table <spamd> persist
table <spamd-white> persist

# Whitelisted webmail services
table <webmail> persist file "/usr/local/etc/pf.webmail.ip.conf"

## Skip loop back interface - Skip all PF processing on interface ##
set skip on lo

## Sets the interface for which PF should gather statistics such as bytes in/out and packets passed/blocked ##
set loginterface $ext_if

# Deal with attacks based on incorrect handling of packet fragments 
scrub in all


# Pass spamd whitelist
pass quick log on $ext_if inet proto tcp from <spamd-white> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# Pass webmail servers
rdr pass quick log on $ext_if inet proto tcp from <gmail> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# pass submission messages.
pass quick log on $ext_if inet proto tcp from any to $ext_if port submission modulate state
# Pass unknown mail to spamd
rdr pass log on $ext_if inet proto tcp from {!<spamd-white> <spamd>} to $ext_if port smtp \
    -> 127.0.0.1 port 8025 

## Blocking spoofed packets
antispoof quick for $ext_if

## Set default policy ##
block return in log all
block out all

# Drop all Non-Routable Addresses 
block drop in quick on $ext_if from $martians to any
block drop out quick on $ext_if from any to $martians

pass in inet proto tcp to $ext_if port ssh

# Allow Ping-Pong stuff. Be a good sysadmin 
pass inet proto icmp icmp-type echoreq

# Open up imap/pop3 support
pass quick on $ext_if proto tcp from any to any port {imap, imaps, pop3, pop3s} modulate state


# Allow outgoing traffic
pass out on $ext_if proto tcp from any to any modulate state
pass out on $ext_if proto udp from any to any keep state

Šī ir darba PF konfigurācija. Tas ir salīdzinoši vienkārši, taču ir jāpaskaidro arī dažas dīvainības.

Pirmkārt, mēs definējam mūsu $ext_ifmainīgo, ko mūsu vtnet0ierīcei izmantot vēlāk. Mēs arī definējam nederīgas IP adreses, kuras ir jāatmet ārējā saskarnē.

Mēs arī definējam divas tabulas, spamdun spamd-white- šīs divas tabulas ir izveidotas ar spamd tā noklusējuma konfigurācijā. Mēs arī definējam tabulu ar nosaukumu, webmailkuru izmantosim, lai ļautu tiem piekļūt dažiem lielākajiem tīmekļa pasta pakalpojumu sniedzējiem.

Lai skatītu tabulu, varat izmantot komandu, pfctl -t tablename -T showlai uzskaitītu tabulas elementus.

Mēs iestatām dažus PF noteikumus: izlaidiet apstrādi vietējā saskarnē, iespējojiet statistiku ārējā saskarnē un notīriet ienākošās paketes.

Nākamā ir viena no svarīgākajām daļām, kurā mēs pārvaldām trafika nosūtīšanu uz surogātpastu vai OpenSMTPd.

Pirmkārt, tas ir novirzīšanas noteikums (ievērojiet sintaksi šeit, FreeBSD 11 izmanto vecāku stila PF sintaksi (pirms OpenBSD 4.6), tāpēc sintakse var šķist dīvaina. Ja mēs kaut ko saņemam smtp no resursdatora, kas norādīts spamdtabulā vai nav norādīts spamd-whitegalds, mēs novirzīt savienojumu, izmantojot uz spamd dēmonam, kas nodarbojas ar šiem savienojumiem. Nākamajās trīs noteikumi ir tālāknodošana noteikumi, lai mēs faktiski var saņemt pasta sūtījumus. mums iet cauri ziņas no IP uzskaitīti sadaļā spamd-whiteun webmailtabulas taisni līdz OpenSMTPd. Mēs arī pieņemam ziņojumus iesniegšanas portā ( 587).

Pēc tam ir daži uzkopšanas noteikumi, lai iestatītu mūsu noklusējuma politiku un pieņemtu SSH un ICMP ziņojumus.

Pēc tam mēs nododam IMAP un POP3 mūsu ārējā saskarnē, lai piekļūtu Dovecot.

Visbeidzot, mēs atļaujam visu izejošo trafiku. Ja vēlaties pievienot papildu drošību, varat ierobežot caurlaidīgos portus, taču vienreiz lietojamam serverim nav problēmu nodot visu.

Sākt PF:

sudo service pf start

Tagad, kad esam iestatījuši ugunsmūri, varam pāriet uz pasta servera konfigurāciju.

OpenSMTPd

OpenSMTPd ir ļoti vienkārša un viegli lasāma konfigurācijas sintakse. Visa darba konfigurācija var ietilpt 14 rindās, kā redzams zemāk:

#This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

ext_if=vtnet0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases   file:/etc/mail/aliases
table domains   file:/etc/mail/domains

# Keys
pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"
# If you want to listen on multiple subdomains (e.g. mail.davidlenfesty) you have to add more lines
# of keys, and more lines of listeners

# Listen for local SMTP connections
listen on localhost hostname mail.example.com

# listen for filtered spamd connections
listen on lo0 port 10026

# Listen for submissions
listen on $ext_if port 587 tls-require auth pki mail.example.com tag SUBMITTED

# Accept mail from external sources.
accept from any for domain <domains> alias <aliases> deliver to maildir "~/mail"

accept for local alias <aliases> deliver to maildir "~/mail"
accept from local for any relay tls
accept tagged SUBMITTED for any relay tls

Pirmkārt, mēs atkal definējam savu ārējo saskarni, kā arī dažas tabulas, aizstājvārdus un domēnus. Pēc tam mēs pārejam pie SSL atslēgas un sertifikāta visiem domēniem, kuros vēlamies apstrādāt pastu.

Nākamajā sadaļā mēs definējam saskarnes un portus, kuros vēlamies klausīties. Pirmkārt, mēs uzklausām mūsu mail.example.comdomēna vietni localhost par jebkādiem vietējiem savienojumiem. Pēc tam mēs klausāmies mūsu surogātpasta filtrētos ziņojumus un iesniegtos ziņojumus ārējā saskarnē. Visbeidzot, mēs klausāmies iesniegumus, tie notiek ostā, 587un drošības apsvērumu dēļ mēs pieprasām tos autentificēt.

Visbeidzot, mūsu acceptiestatījumi. Mēs pieņemam visus ziņojumus par jebkuru no mūsu domainstabulā definētajiem domēniem mūsu tabulā aliasesesošajiem aizstājvārdiem , lai tie tiktu piegādāti viņu mājas direktorijā šādā maildirformātā. Pēc tam mēs pieņemam visus vietējos savienojumus vietējām pastkastēm un izplatām savus ziņojumus, lai mēs varētu nosūtīt e-pastu. Visbeidzot, mēs pieņemam mūsu iesniegtos ziņojumus pārraidīšanai. Ja mēs nepieprasītu autentifikāciju mūsu iesniegšanas portam, tas būtu liels drošības apdraudējums. Tas ļautu ikvienam izmantot mūsu serveri kā surogātpasta sūtītāju.

Pseidonīmi

FreeBSD tiek piegādāts ar noklusējuma aizstājvārda failu /etc/mail/aliasesšādā formātā:

vuser1:  user1
vuser2:  user1
vuser3:  user1
vuser4:  user2

Tas nosaka dažādas pastkastes un to, kur mēs vēlamies pārsūtīt ziņojumus, kas nosūtīti uz šīm definētajām pastkastēm. Mēs varam definēt savus lietotājus kā lokālās sistēmas lietotājus vai ārējās pastkastes, uz kurām pārsūtīt. Noklusējuma FreeBSD fails ir diezgan aprakstošs, tāpēc varat atsaukties uz to.

Domēni

FreeBSD nepiegādā noklusējuma domēnu failu, taču tas ir neticami vienkārši:

# Domains
example.com
mail.example.com
smtp.example.com

Šis ir tikai teksta fails ar katru domēnu, kuru vēlaties klausīties jaunā rindā. Varat pievienot komentāru, izmantojot #simbolu. Šis fails pastāv, lai jūs varētu izmantot mazāk konfigurācijas rindu.

SSL sertifikāti

Ir divi veidi, kā nodrošināt sakarus ar pasta serveri: pašparakstītie un parakstītie sertifikāti. Noteikti ir iespējams parakstīt savus sertifikātus, taču tādi pakalpojumi kā Let's Encrypt nodrošina bezmaksas un neticami viegli lietojamu parakstīšanu.

Vispirms mums ir jāinstalē programma certbot.

sudo pkg install py-certbot

Alternatīvi to var uzstādīt ar pieslēgvietām:

cd /usr/ports/security/py-certbot
make install
make clean

Pēc tam, lai iegūtu sertifikātu, jums ir jāpārliecinās, ka esat atvēris 80ārējā interfeisa portu . Pievienojiet tālāk norādītās rindiņas kaut kur savos filtrēšanas noteikumos /usr/local/etc/pf.conf:

pass quick on $ext_if from any to any port http

Pēc tam palaidiet, pfctl -f /usr/local/etc/pf.conflai atkārtoti ielādētu noteikumu kopu.

Pēc tam varat palaist komandu visiem domēniem, kuriem vēlaties iegūt sertifikātu:

certbot certonly --standalone -d mail.example.com

Ieteicams iestatīt crontab ierakstu, lai tas tiktu palaists certbot renewreizi 6 mēnešos, lai nodrošinātu, ka jūsu sertifikāti nebeidzas.

Pēc tam katram atbilstošajam domēnam varat modificēt rindas, lai norādītu uz pareizo atslēgas failu:

pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"

Rediģēt vērtspapīrus:

sudo chmod 700 /usr/local/etc/letsencrypt/archive/mail.example.com/*

Piezīme. Tas būs jādara katram oriģinālajam atslēgas failam, pretējā gadījumā OpenSMTPd tos neatvērs.

Tagad mēs varam sākt pakalpojumu:

sudo service smtpd start

Notiek surogātpasta konfigurēšana

Šeit mēs izmantojam OpenBSD surogātpasta dēmonu, lai samazinātu surogātpasta daudzumu, ko saņemam no interneta. Būtībā tas filtrē ziņojumus no IP, kas ir zināmi kā slikti no dažādiem surogātpasta avotiem, kā arī (pēc noklusējuma) "pelēkajā sarakstā" iekļautos ienākošos savienojumus. Pakalpojums Spamd arī mēģina tērēt surogātpasta sūtītāja laiku, "stostīdams" melnajā un pelēkajā sarakstā iekļautos savienojumus, kas nozīmē, ka tas izplata savu atbildi vairāku sekunžu laikā, kas liek klientam palikt atvērtam ilgāk nekā parasti.

Savienojuma iekļaušana pelēkajā sarakstā tiek veikta, kad tiek pievienota jauna IP adrese, kas nav iekļauta nevienā melnajā vai baltajā sarakstā. Kad jaunā adrese ir savienota, spamd nomet ziņojumu ar nekaitīgu kļūdas ziņojumu un pēc tam pievieno to pagaidu sarakstam. Tā kā surogātpasta sūtītāji saņem samaksu par piegādātajiem ziņojumiem, viņi nemēģinās atkārtoti pieļaut kļūdu, savukārt likumīgs pakalpojums mēģinās vēlreiz salīdzinoši drīz.

Lai uzstādītu, jums būs jāveic šādas darbības fdescfs:

mount -t fdescfs null /dev/fd

Tad jums būs jāpievieno šī rinda /etc/fstab:

fdescfs     /dev/fd     fdescfs rw      0       0

Noklusējuma konfigurācijas fails (atrodams /usr/local/etc/spamd/spamd.conf.sample) darbosies labi. Varat to rediģēt, lai pievienotu jaunus avotus vai mainītu izmantotos avotus.

sudo cp /usr/local/etc/spamd/spamd.conf.sample /usr/local/etc/spamd/spamd.conf

Mēs varam sākt pakalpojumu ar sekojošo:

sudo service obspamd start

Šajā brīdī ir iestatīts surogātpasts.

Tīmekļa pasta pakalpojumu iespējošana

Viena no pelēkā saraksta pieejas problēmām ir tā, ka lielie pasta pakalpojumi bieži sūta vēstules, izmantojot vienu no daudzajām dažādajām spolēm, un jums nav garantijas, ka katru reizi saņemsit vienu un to pašu serveri, kas nosūta ziņojumu. Viens no risinājumiem ir iekļaut baltajā sarakstā IP diapazonus, ko izmanto dažādi tīmekļa pasta pakalpojumi. Šim nolūkam PF konfigurācijā tiek izmantota tīmekļa pasta tabula. Šī stratēģija var izrādīties neveiksmīga, ja iekļaujat surogātpasta izplatītāja izmantoto IP adresi, taču, ja vien būsiet uzmanīgs ar tabulā iekļautajiem diapazoniem, jums viss būs kārtībā.

Lai tīmekļa pasta tabulai pievienotu e-pasta diapazonu, varat palaist šādu komandu:

pfctl -t webmail -T add 192.0.2.0/24

Baložu kūts

Ja vēlaties, lai lietotāji varētu piekļūt savam pastam, nepiesakoties, izmantojot SSH, jums būs nepieciešama MDA, kas atbalsta IMAP un/vai POP3. Ļoti populāra programma ir Dovecot ar diezgan vienkāršu konfigurāciju un jaudīgām funkcijām.

Mēs varam pārkopēt noklusējuma konfigurāciju:

cd /usr/local/etc/dovecot
cp -R example-config/* ./

Konfigurācija sastāv no diezgan daudziem dažādiem failiem. Lai redzētu atšķirības starp konfigurāciju un baložu novietnes noklusējuma iestatījumiem, palaidiet tālāk norādīto komandu:

sudo doveconf -n

Tālāk ir sniegta vienkārša, funkcionējoša konfigurācija:

# 2.3.2.1 (0719df592): /usr/local/etc/dovecot/dovecot.conf
# OS: FreeBSD 11.2-RELEASE amd64  
# Hostname: mail.example.com
hostname = mail.example.com
mail_location = maildir:~/mail
namespace inbox {
  inbox = yes
  location = 
  mailbox Archive {
    auto = create
    special_use = \Archive
  }
  mailbox Archives {
    auto = create
    special_use = \Archive
  }
  mailbox Drafts {
    auto = subscribe
    special_use = \Drafts
  }
  mailbox Junk {
    auto = create
    autoexpunge = 60 days
    special_use = \Junk
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Mail" {
    auto = no
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    auto = no
    special_use = \Sent
  }
  mailbox Spam {
    auto = no
    special_use = \Junk
  }
  mailbox Trash {
    auto = no
    autoexpunge = 90 days
    special_use = \Trash
  }
  prefix = 
  separator = /
}
passdb {
  args = imap
  driver = pam
}
ssl = required
ssl_cert = </usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem
ssl_dh = </usr/local/etc/dovecot/dh.pem
ssl_key = </usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem
userdb {
  driver = passwd
}

Lielākā daļa konfigurācijas failu būs iekšā conf.d

Svarīgākie ir 10-auth.conf, 10-mail.conf, un 10-ssl.conf.

Varat konfigurēt dažādās pastkastes, kuras izmantojat programmā 15-mailboxes.conf. Iepriekš redzamā konfigurācija ir laba daudzām sistēmām, taču jūsu nobraukums var atšķirties. Ieteicams ar to paspēlēties ar pēc iespējas vairāk dažādu klientu.

Autentifikācija

Lielākā daļa noklusējuma iestatījumu būs pareizi. Ja vēlaties autentifikācijai izmantot sistēmas lietotājus, jums būs jārediģē 10-auth.conf.

Atceliet šādas rindiņas komentārus:

!include auth-system.conf.ext

Šifrēšana

Mums ir jāģenerē Difija-Helmana parametri:

sudo nohup openssl dhparam -out /usr/local/etc/dovecot/dh.pem

Piezīme. Tas prasīs ilgu laiku. Daudz ilgāk, nekā jūs varētu gaidīt.

Tagad mēs varam palaist Dovecot:

sudo service dovecot start

Secinājums

Šobrīd mums ir funkcionāls, drošs un salīdzinoši bez surogātpasta pasta serveris.

Šeit ir vēl dažas lietas, kas jāņem vērā, piemēram, izmantojot SpamAssassin, lai heiristiski atbrīvotos no surogātpasta, kā arī atrastu citus surogātpasta melnos sarakstus, ko izveidojuši uzticami avoti.