Izdelava lastnega poštnega strežnika s FreeBSD 11

Zagon lastnega e-poštnega strežnika je lahko zelo koristen. Vi ste odgovorni za svoje podatke. Omogoča vam tudi večjo prilagodljivost pri možnostih dostave. Vendar pa obstaja nekaj izzivov. Tvegate, da bo vaš strežnik odkril ranljivosti in da bo vaš strežnik potencialni rele za pošiljatelje neželene pošte.

Ko to ne bo, pojdimo na zagon lastnega poštnega strežnika.

Pregled

Za namestitev so potrebni trije potrebni kosi programske opreme, ki niso vključeni v osnovni sistem FreeBSD:

• OpenSMTPd
• Golobnjak
• spamd

OpenSMTPd je agent za prenos pošte (MTA) in agent za dostavo pošte (MDA). To pomeni, da lahko prek SMTPprotokola komunicira z drugimi poštnimi strežniki , prav tako pa skrbi za dostavo pošte v nabiralnike posameznih uporabnikov. OpenSMTPd bomo nastavili tako, da bo lahko komuniciral z zunanjimi strežniki (filtriran prek neželene pošte) in dostavljal pošto lokalnim uporabnikom ter dostavljal lokalno pošto od uporabnika do uporabnika.

Dovecot je MDA, ki bere lokalne poštne predale in jih uporabnikom posreduje prek IMAP ali POP3. Za serviranje te vsebine bo uporabljal nabiralnike lokalnih uporabnikov.

Spamd je storitev filtriranja pošte. E-pošto lahko posredujemo prek neželene pošte, ki bo filtrirala pošto na podlagi različnih črnih seznamov, belih in sivih seznamov.

Splošna ideja za ta poštni strežnik zahteva nekaj različnih poti:

Outside world -> Firewall -> spamd -> OpenSMTPD -> User mail boxes
Outside world -> Firewall (spamd-whitelist) -> OpenSMTPD -> User mailboxes
Outside world -> Firewall (IMAP/POP3) -> Dovecot
Outside world -> Firewall (SMTPD submission)

Za to vadnico bomo za požarni zid uporabljali različico FreeBSD OpenBSD PF. Uporabite lahko tudi ipfw, kjer je konfiguracija zelo podobna.

Opomba: Vultr privzeto blokira vrata 25, ki jih strežniki SMTP uporabljajo povsod. Če želite zagnati popolnoma delujoč e-poštni strežnik, boste morali ta vrata odpreti.

Začetna nastavitev

Najprej moramo namestiti potrebne programe.

Ob predpostavki, da delujete kot uporabnik z nastavljenim dostopom sudo, lahko zaženemo naslednje ukaze. Razlikujejo se glede na to, ali uporabljate vrata ali pakete.

Paketi (priporočeno)

Razen če potrebujete posebno funkcionalnost, vgrajeno v te pripomočke, je priporočljiva namestitev prek paketov. Je enostavnejši, zahteva manj časa in sredstev strežnika ter nudi intuitiven, uporabniku prijazen vmesnik.

sudo pkg install opensmtpd dovecot spamd

Naslednji makeukazi vam bodo dali veliko možnosti prevajanja, privzete nastavitve bodo delovale dobro. Teh ne spreminjajte, razen če natančno veste, kaj počnete.

sudo portsnap fetch update   # or run portsnap fetch extract if using ports for the first time
cd /usr/ports/mail/opensmtpd  
make install  # Installs openSMTPd
make clean
cd /usr/ports/mail/dovecot
make install  # Installs dovecot
make clean
cd /usr/ports/mail/spamd
make install  # Installs spamd
make clean

Naslednje vrstice bomo morali dodati /etc/rc.conf:

pf_enable="YES"
pf_rules="/usr/local/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

obspamd_enable="YES"
obspamd_flags="-v"
obspamlogd_enable="YES"

dovecot_enable="YES"

Nastavitev požarnega zidu

Za konfiguracijo PF lahko ustvarimo naš /usr/local/etc/pf.conf:

## Set public interface ##
ext_if="vtnet0"

## set and drop IP ranges on the public interface ##
martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
          10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
          0.0.0.0/8, 240.0.0.0/4 }"

table <spamd> persist
table <spamd-white> persist

# Whitelisted webmail services
table <webmail> persist file "/usr/local/etc/pf.webmail.ip.conf"

## Skip loop back interface - Skip all PF processing on interface ##
set skip on lo

## Sets the interface for which PF should gather statistics such as bytes in/out and packets passed/blocked ##
set loginterface $ext_if

# Deal with attacks based on incorrect handling of packet fragments 
scrub in all


# Pass spamd whitelist
pass quick log on $ext_if inet proto tcp from <spamd-white> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# Pass webmail servers
rdr pass quick log on $ext_if inet proto tcp from <gmail> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# pass submission messages.
pass quick log on $ext_if inet proto tcp from any to $ext_if port submission modulate state
# Pass unknown mail to spamd
rdr pass log on $ext_if inet proto tcp from {!<spamd-white> <spamd>} to $ext_if port smtp \
    -> 127.0.0.1 port 8025 

## Blocking spoofed packets
antispoof quick for $ext_if

## Set default policy ##
block return in log all
block out all

# Drop all Non-Routable Addresses 
block drop in quick on $ext_if from $martians to any
block drop out quick on $ext_if from any to $martians

pass in inet proto tcp to $ext_if port ssh

# Allow Ping-Pong stuff. Be a good sysadmin 
pass inet proto icmp icmp-type echoreq

# Open up imap/pop3 support
pass quick on $ext_if proto tcp from any to any port {imap, imaps, pop3, pop3s} modulate state


# Allow outgoing traffic
pass out on $ext_if proto tcp from any to any modulate state
pass out on $ext_if proto udp from any to any keep state

To je delujoča PF konfiguracija. To je razmeroma preprosto, vendar je treba razložiti tudi nekaj posebnosti.

Najprej definiramo našo $ext_ifspremenljivko, ki jo bo naša vtnet0naprava uporabljala pozneje. Določimo tudi neveljavne naslove IP, ki jih je treba izpustiti na zunanjem vmesniku.

Prav tako definiramo dve tabeli spamdin spamd-white- ti dve tabeli ustvari spamd v svoji privzeti konfiguraciji. Prav tako definiramo tabelo z imenom, webmailki jo bomo uporabili, da bomo nekaterim večjim ponudnikom spletne pošte omogočili prehod.

Če si želite ogledati tabelo, lahko uporabite ukaz pfctl -t tablename -T showza seznam elementov v tabeli.

Nastavili smo nekaj pravil PF: preskočimo obdelavo na lokalnem vmesniku, omogočimo statistiko na zunanjem vmesniku in počistimo dohodne pakete.

Naslednji je eden pomembnejših delov, kjer upravljamo s pošiljanjem prometa na spamd ali OpenSMTPd.

Najprej je pravilo preusmeritve (tukaj upoštevajte sintakso, FreeBSD 11 uporablja sintakso PF starejšega sloga (pred OpenBSD 4.6), zato se lahko sintaksa zdi čudna. Če prejmemo karkoli na smtp od gostitelja, ki je naveden v spamdtabeli ali ni naveden v spamd-whitemiza, preusmerimo povezavo prek na spamd daemon, ki se ukvarja s temi povezavami. naslednji trije predpisi so Prehodni pravila, tako da bomo lahko dejansko prejemanje e-pošte. Peljemo skozi sporočili iz preiskave, navedene v spamd-whitein webmailtabel naravnost do OpenSMTPd Sprejemamo tudi sporočila na vratih za oddajo ( 587).

Potem je tu nekaj pravil gospodinjstva, da nastavite našo privzeto politiko in sprejmete sporočila SSH in ICMP.

Nato preko našega zunanjega vmesnika posredujemo IMAP in POP3, da dostopamo do Dovecota.

Nazadnje dovolimo ves odhodni promet. Če bi želeli dodati dodatno varnost, bi lahko omejili vrata, ki jih posredujete, vendar za strežnik za enkratno uporabo ni problem prenesti vsega.

Začni PF:

sudo service pf start

Zdaj, ko imamo nastavljen požarni zid, lahko nadaljujemo s konfiguracijo poštnega strežnika.

OpenSMTPd

OpenSMTPd ima zelo preprosto in lahko berljivo konfiguracijsko sintakso. Celotna delovna konfiguracija se lahko prilega 14 vrsticam, kot lahko vidite spodaj:

#This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

ext_if=vtnet0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases   file:/etc/mail/aliases
table domains   file:/etc/mail/domains

# Keys
pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"
# If you want to listen on multiple subdomains (e.g. mail.davidlenfesty) you have to add more lines
# of keys, and more lines of listeners

# Listen for local SMTP connections
listen on localhost hostname mail.example.com

# listen for filtered spamd connections
listen on lo0 port 10026

# Listen for submissions
listen on $ext_if port 587 tls-require auth pki mail.example.com tag SUBMITTED

# Accept mail from external sources.
accept from any for domain <domains> alias <aliases> deliver to maildir "~/mail"

accept for local alias <aliases> deliver to maildir "~/mail"
accept from local for any relay tls
accept tagged SUBMITTED for any relay tls

Najprej ponovno definiramo naš zunanji vmesnik, pa tudi nekaj tabel, vzdevkov in domen. Nato preidemo na ključ in potrdilo SSL za vse domene, pod katerimi želimo obdelati pošto.

V naslednjem razdelku definiramo vmesnike in vrata, ki jih želimo poslušati. Najprej poslušamo na localhost za našo mail.example.comdomeno, za vse lokalne povezave. Nato na zunanjem vmesniku poslušamo naša sporočila, filtrirana z neželeno pošto, in poslana sporočila. Nazadnje poslušamo predložitve, ki se zgodijo v pristanišču 587in zahtevamo, da se preverijo pristnosti iz varnostnih razlogov.

Nazadnje so naše acceptnastavitve. Sprejemamo vsa sporočila za katero koli od naših domen, definiranih v naši domainstabeli za vzdevke v naši aliasestabeli, za dostavo v njihov domači imenik v maildirobliki. Nato sprejmemo vse lokalne povezave za lokalne poštne predale in posredujemo naša sporočila, da lahko pošiljamo e-pošto. Nazadnje sprejmemo naša poslana sporočila za posredovanje. Če ne bi zahtevali preverjanja pristnosti za naša vrata za predložitev, bi to predstavljalo veliko varnostno nevarnost. Tako bi lahko kdorkoli uporabljal naš strežnik kot pošiljatelj neželene pošte.

vzdevki

FreeBSD je dobavljen s privzeto datoteko vzdevka /etc/mail/aliasesv naslednji obliki:

vuser1:  user1
vuser2:  user1
vuser3:  user1
vuser4:  user2

To določa različne poštne predale in kam želimo posredovati sporočila, poslana v te definirane nabiralnike. Naše uporabnike lahko opredelimo kot lokalne uporabnike sistema ali zunanje nabiralnike, kamor jih želimo posredovati. Privzeta datoteka FreeBSD je precej opisna, tako da jo lahko uporabite za referenco.

domene

FreeBSD ne zagotavlja privzete datoteke domen, vendar je to neverjetno preprosto:

# Domains
example.com
mail.example.com
smtp.example.com

To je samo besedilna datoteka z vsako domeno, ki jo želite poslušati v novi vrstici. Komentirate lahko s #simbolom. Ta datoteka obstaja preprosto zato, da lahko uporabite manj konfiguracijskih vrstic.

SSL certifikati

Obstajata dva načina za zaščito vaše komunikacije s svojim poštnim strežnikom, samopodpisana in podpisana potrdila. Svoja potrdila je vsekakor mogoče samopodpisati, vendar storitve, kot je Let's Encrypt, zagotavljajo brezplačno in neverjetno enostavno podpisovanje.

Najprej moramo namestiti program certbot.

sudo pkg install py-certbot

Druga možnost je, da se namesti z vrati:

cd /usr/ports/security/py-certbot
make install
make clean

Nato se morate za pridobitev potrdila prepričati, da ste odprli vrata 80na zunanjem vmesniku. Dodajte naslednje vrstice nekje v pravila filtriranja v /usr/local/etc/pf.conf:

pass quick on $ext_if from any to any port http

Nato zaženite, pfctl -f /usr/local/etc/pf.confda znova naložite nabor pravil.

Nato lahko zaženete ukaz za vse domene, za katere želite pridobiti potrdilo:

certbot certonly --standalone -d mail.example.com

Priporočljivo je, da nastavite vnos crontab, ki se izvaja certbot renewvsakih 6 mesecev, da zagotovite, da vaši certifikati ne potečejo.

Nato lahko za vsako ustrezno domeno spremenite vrstice, da kažejo na pravilno ključno datoteko:

pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"

Uredite vrednostne papirje:

sudo chmod 700 /usr/local/etc/letsencrypt/archive/mail.example.com/*

Opomba: To boste morali storiti za vsako izvirno ključno datoteko, sicer jih OpenSMTPd ne bo odprl.

Zdaj lahko začnemo s storitvijo:

sudo service smtpd start

Konfiguriranje spamd

Tukaj uporabljamo demon spamd OpenBSD, da zmanjšamo količino neželene pošte, ki jo dobimo iz interneta. V bistvu to filtrira sporočila z IP-jev, ki so znani kot slabi iz različnih virov neželene pošte, kot tudi (privzeto) dohodne povezave na "sivih seznamih". Spamd skuša tudi zapraviti čas pošiljatelja neželene pošte z "mucanjem" povezav na črni in sivi listi, kar pomeni, da svoj odziv razporedi na nekaj sekund, zaradi česar odjemalec ostane odprt dlje kot običajno.

Sivi seznam povezave se izvede, ko se poveže kateri koli nov naslov IP, ki ni na nobenem črnem ali belem seznamu. Ko se novi naslov poveže, spamd spusti sporočilo z neškodljivim sporočilom o napaki, nato pa ga doda na začasni seznam. Ker pošiljatelji neželene pošte plačajo za dostavljena sporočila, ne bodo znova poskusili ob napaki, medtem ko bo zakonita storitev ponovno poskusila relativno kmalu.

Za montažo boste morali zagnati naslednje fdescfs:

mount -t fdescfs null /dev/fd

Nato boste morali dodati to vrstico v /etc/fstab:

fdescfs     /dev/fd     fdescfs rw      0       0

Privzeta konfiguracijska datoteka (najdete jo v /usr/local/etc/spamd/spamd.conf.sample) bo delovala v redu. Lahko ga uredite, da dodate nove vire ali spremenite vire, ki jih uporabljate:

sudo cp /usr/local/etc/spamd/spamd.conf.sample /usr/local/etc/spamd/spamd.conf

Storitev lahko začnemo z naslednjim:

sudo service obspamd start

Na tej točki je spamd nastavljen.

Omogočanje storitev spletne pošte

Ena od težav s pristopom sivih seznamov je, da velike poštne storitve pogosto pošiljajo pošto prek enega od številnih različnih tuljajev in ni vam jamčimo, da bo isti strežnik vsakič poslal sporočilo. Ena od rešitev za to je uvrstitev na seznam dovoljenih obsegov IP-jev, ki jih uporabljajo različne storitve spletne pošte. Za to se uporablja tabela spletne pošte v konfiguraciji PF. Ta strategija se lahko povrne, če vključite naslov IP, ki ga uporablja pošiljatelj neželene pošte, vendar dokler ste previdni pri obsegu, ki ga vnesete v tabelo, bo vse v redu.

Če želite v tabelo spletne pošte dodati obseg e-pošte, lahko zaženete naslednji ukaz:

pfctl -t webmail -T add 192.0.2.0/24

Golobnjak

Če želite, da uporabniki dostopajo do svoje pošte brez prijave prek SSH, boste potrebovali MDA, ki podpira IMAP in/ali POP3. Zelo priljubljen program je Dovecot, ki ima dokaj preprosto konfiguracijo in zmogljive funkcije.

Prekopiramo lahko privzeto konfiguracijo:

cd /usr/local/etc/dovecot
cp -R example-config/* ./

Konfiguracija je sestavljena iz kar nekaj različnih datotek. Če želite videti razlike med vašo konfiguracijo in privzetimi nastavitvami golobnjaka, zaženite spodnji ukaz:

sudo doveconf -n

Naslednja je preprosta, delujoča konfiguracija:

# 2.3.2.1 (0719df592): /usr/local/etc/dovecot/dovecot.conf
# OS: FreeBSD 11.2-RELEASE amd64  
# Hostname: mail.example.com
hostname = mail.example.com
mail_location = maildir:~/mail
namespace inbox {
  inbox = yes
  location = 
  mailbox Archive {
    auto = create
    special_use = \Archive
  }
  mailbox Archives {
    auto = create
    special_use = \Archive
  }
  mailbox Drafts {
    auto = subscribe
    special_use = \Drafts
  }
  mailbox Junk {
    auto = create
    autoexpunge = 60 days
    special_use = \Junk
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Mail" {
    auto = no
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    auto = no
    special_use = \Sent
  }
  mailbox Spam {
    auto = no
    special_use = \Junk
  }
  mailbox Trash {
    auto = no
    autoexpunge = 90 days
    special_use = \Trash
  }
  prefix = 
  separator = /
}
passdb {
  args = imap
  driver = pam
}
ssl = required
ssl_cert = </usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem
ssl_dh = </usr/local/etc/dovecot/dh.pem
ssl_key = </usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem
userdb {
  driver = passwd
}

Večina konfiguracijskih datotek bo v conf.d

Pomembni so 10-auth.conf, 10-mail.conf, in 10-ssl.conf.

Konfigurirate lahko različne nabiralnike, ki jih uporabljate v 15-mailboxes.conf. Kar vidite zgoraj, je dobra konfiguracija za številne sisteme, vendar se lahko vaša kilometrina razlikuje. Priporočljivo je, da se s tem poigrate s čim več različnimi strankami.

Preverjanje pristnosti

Večina privzetih nastavitev bo pravilnih. Če želite uporabiti sistemske uporabnike za preverjanje pristnosti, boste morali urediti 10-auth.conf.

Odkomentiraj naslednjo vrstico:

!vključi auth-system.conf.ext

Šifriranje

Ustvariti moramo Diffie-Hellmanove parametre:

sudo nohup openssl dhparam -out /usr/local/etc/dovecot/dh.pem

Opomba: to bo trajalo dolgo časa. Veliko dlje, kot bi lahko pričakovali.

Zdaj lahko začnemo Dovecot:

sudo service dovecot start

Zaključek

Na tej točki imamo funkcionalen, varen in relativno brez neželene pošte poštni strežnik.

Nekaj ​​​​drugih stvari, ki jih je treba pogledati od tukaj, je uporaba SpamAssassin za hevristično odstranjevanje neželene pošte, pa tudi iskanje več črnih seznamov neželene pošte, ki jih objavijo viri, ki jim zaupate.