áá
á˝áá áááá á¨áááĽááľ á áááá áĽáá´áľ áááá áĽáá°ááťá ááá˘
Postfix + Dovecot. SPF + DKIM + rDNSᢠᨠIPv6 áá.
ᨠTSL ááľá ፠ááᢠá¨áĽá ááŤáá˝ áľáá áá - á¨áĽááá°á SSL á°áá°ááŹáľ áŤáá áááá˘
á áá¨-á áááá áááááľ áĽá á áĽá á¨áá°á áá¨-á áááá áááááľ á°á¨á á¨ááá˝ á¨áááááľ á ááááŽá˝.
ááĽá á áŤáá á áááážá˝ áľááá˘
á OpenVPNᣠáááááą á IPv4 á áŠá ááᣠáĽá IPv6 á¨áá°á áá˘
áĽááá á áá á´áááááá˝ ááá áŤáááá ááá áá áĽáá°áá á áááľ á áááá áááá á¨ááá áá á˝áá ááĽááľá áá.
áá
á˝áá áĽáŤááłááąá áááá áááł áááĽáŤáŤáľ á ááááá. ááĽáŤáŞáŤá á áá°á áááľ áŤáá°áááá ááá á¨á°á ááá á ááťá á áľááá áá°ááá áá.
á¨áááĽááľ á áááá ááááá áŤááłáłá á¨ááľá á
áá ááᢠááááľ áááľá áá˝ááᣠáá IMHOᣠáá
áľááááąáľ á¨áááľ áľá á á˛áľ ááŞá á¨ááá á áŁá á¨á°áťá ááá˘
IPv6 á ááááá áŤáá á°ááłá˝ááľ áááľ áá. á ááľ á¨á áᲠáľááťááľáľ á ááááľ áááľá¨á á áłá˛áľ á´áááááá˝á áŤáááá¨áĽ ááá á áá áľá˘ áłááąáá ááá¨áá¨á á áá°á¨áá áľáá áá áá á¨áá á áľá°ááž ááľá¨á áĽáááááá˘
OpenVPNá á¨áááá á°ááłá˝ááľ IPv6 á á áŤáŁá˘á áá˝á áá áĽáá˛á°áŤ ááľá¨á áĽáť áá.
áĽá á áŤáá á áááážá˝á á¨áááááľ á°ááłá˝ááľ á áĽá á áááá áá á ááľ "áááá áá áŤáá°áá°á " á áááá˝ áĽá áááá "ááŁá, áá á¨áłáŞá áá" á áá.
á¨Bind á ááĽáŽá˝á á¨áááá á°ááłá˝ááľ á¨áĽá á áá¤áľá áŤáá°á¨áá á¨á˛ á¤á á¤áľ á áááá ááľá áą ááᣠáĽá ááá á ááłááľ ááá áá ááťáᢠááá áĽá á á¨á°á¨áá á¨á˛á¤áá¤áľ á áááá áĽáááááá˘
á˝ááá áááťá áŤááłáłá á¨áá ᨠ10 ááŤáľ á ááľ á¨á°áá áá, áĽá áá°á á˛á áááľ áá á°ááááťáá. ááá áĽááłá á°áŤá˛á á áá°á áááľ á¨ááŤáľáááá á˘ááá, á¨ááŤá ááá˝ á¨ááŤáľáááá¸á á¨áá°á ááľá á á.
áá°áĽáłá¤ á áááአááá á áááľ áááá°áá áááľá á¨ááᢠááá áá á ááľ ááá áááťá áĽáááŤáá "áá á áŤáľáá áĽá á¨á፠ááá ááá áĽáá°á áľáááááą á˛á°áŤ, áľáááá áŤáľáááą."
ᨠtech.ru á¨áŽááŹá˝á á áááá á áᢠᨠOVH, Hetzner, AWS áá áááłá°á ááťáá. áá áá á˝áá ááááłáľ ᨠtech.ru áá áľáĽáĽá á¨á áá áá¤áłá áááá.
á áááአá´á˘áŤá 9 á°áááá˘
á áááá 2 á áááážá˝ `eno1` áĽá `eno2` á ááᢠá¨ááááŞáŤá áŤáá°áá°á áá, áĽá ááá°áá ááŁá áá, á á á°á.
á `eno3` á áááá˝ áá 0 á¨áááááłááą á áá á áľáŤáťáá˝áŁ XX.XX.XX.X1 áĽá XX.XX.XX.X2 áĽá XX.XX.XX.X1 áĽá XX.XX.XX.X5 á `eno2` á áááá˝ áá á áᢠ.
áááá XXXX:XXX:XXX:XXX::/64 á`eno6` á áááá˝ á¨á°áá°á á á¨IPv1 á áľáŤáťáá˝ áĽá á¨áĽáą XXXX:XXX:XXX:XXX:1:2::/96 á áĽáŤáᏠá `eno2` á°ááľá§áá˘
3 ááŤáá˝ `domain1.com`ᣠ`domain2.com`ᣠ`domain3.com` á áᢠá `domain1.com` áĽá `domain3.com` á¨SSL áĽáá á áá¨áá፠á áá˘
á¨áááĽááľ áłáĽá ` áááááľ á¨ááááá á¨ááá áá፠á áá[á˘áá á¨á°á á á]` (ááľáł ááá á áĽá á ááĽáł á¨áááá á áááá˝ áááĽááľ ááá)á˘
á¨áááĽááľ áłáĽá ` ááá¨á áááŁáá˘[á˘áá á¨á°á á á]`ᣠá ááááᏠááľáĽ áá¨áľ á¨ááááá á¨ááľáł á
áᢠáĽá á ` ááá á¨áá ááá ááá ááťá áĽáá
ááá˘[á˘áá á¨á°á á á]`á áľá á áááá˝ á áŠáá˘
á¨áááĽááľ áłáĽá ` ááá¨á áááŁáá˘[á˘áá á¨á°á á á]á˘áŤáá á¨á ááá áá áááá˘
á¨á°áአá˘áááá˝ áááá áááá á¨á¸á¨-á áááá áááĽááľ ááľáááśá˝á ááá á á ááŁá¸áá˘
á á
áἠá ááłá¨ áá¨áŚá˝ ááľáĽ á¨áá¨á á á¨áá°áá á¨ááľá ፠á°á¨á ááá á áá áľá˘
á˘áááá˝á ááááá áá áááá á á¨IPv6 áľáá ááá á áá áľá˘
á˘áááá˝á áá˝á á¨ááá°áá SpamAssassin ááá á áá áľá˘ áĽá áá áŤáááá ááá áááá ááá áá° IMAP á áááá áááĽááľ á áá áááŤáá˘
SpamAssassin áŤáľ-áľáá
ááľ áááá á áá áľ: á°áĽáłá¤áá áá° á áááá áááĽááľ á áá áŤááááŠ, á¨áá
áááŤá; á¨á áááá áááĽááľ áá
á°á á°áĽáłá¤ áŤáááłááľáŠ áááŤáᢠSpamAssassin á¨áĽáá á áá¤áśá˝ - á á áááá áááĽááľ á áá ááľáĽ á¨á°áĽáłá¤á áááłáľ áá á°á˝áá áŤáłáľáŤáá˘
áá¤á˝á áľááŞááśá˝ á á°á°á á á áááá áá áááááá á፠á ááá¨á á°áĽáłá¤ ááá ááťá á ááŁá¸áá˘
IPV6 á ááá á°áá á áá IPv6 á¨áá áá á˝ááł áŤáá á¨Openvpn á áááááľ ááá á áá áľá˘
á ááááŞáŤ IPv6 á á¨áᎠá áááážá˝á áĽá áŤáá˛ááá áááá áŤáľáááááłáá˘
á¨á፠á IPv4 á áŠá á¨áááá áĽá áá°áá áá á¨áááááłááľ IPv6 á áľáŤáť á¨ááŤááá á OpenVPN á áááá áŤáľáááááłáᢠáá
á°áá á á á áááአáá áááá á¨IPv6 á áááááśá˝á ááááľ áĽá á á áááá¨áĽ áá ᨠIPv6 ááĽááśá˝á ááááľ áá˝ááá˘
á¨á፠á˘áááá˝á + SPF + DKIM + rDNS áĽá ááá˝ áľááá˝ áááŽá˝á áááá Postfix á áááá áŤáľáááááłáá˘
á¨á፠Dovecot á áááá áĽá Multidomainá áááá áŤáľáááááłáá˘
á¨á፠SpamAssassin á áááá áĽá áľáá á áááááľ áŤáľáááááłá.
á áá¨á¨áťá, Bind á ááŤá.
============ áŁááĽá-á áááá˝ =============
á áááážá˝á ááááá áá áá á "/etc/network/interfaces" ááľáĽ ááááἠáŤáľáááááłáá˘
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
allow-hotplug eno1
iface eno1 inet static
address XX.XX.XX.X0/24
gateway XX.XX.XX.1
dns-nameservers 127.0.0.1 213.248.1.6
post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
post-up ip route add default via XX.XX.XX.1 table eno1t
post-up ip rule add table eno1t from XX.XX.XX.X0
post-up ip rule add table eno1t to XX.XX.XX.X0
auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
post-up ip rule add table eno1t from XX.XX.XX.X1
post-up ip rule add table eno1t to XX.XX.XX.X1
post-up ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
post-up ip rule add table eno1t from XX.XX.XX.X2
post-up ip rule add table eno1t to XX.XX.XX.X2
iface eno1 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:1::/64
gateway XXXX:XXXX:XXXX:XXXX::1
up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
address XX.XX.XX.X5
netmask 255.255.255.0
post-up ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
post-up ip route add default via XX.XX.XX.1 table eno2t
post-up ip rule add table eno2t from XX.XX.XX.X5
post-up ip rule add table eno2t to XX.XX.XX.X5
post-up ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
iface eno2 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:2::/96
up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
# OpenVPN network
iface tun0 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:3::/80
áĽááá á áá áśá˝ á tech.ru ááľáĽ á ááááá á áááá áá áá°áá አáá˝áá (á¨áľáá áá áľáá˝ á áá áľ) áĽá áá áĽáá° á áľáááááą áá˛áŤáá áá°áŤáá˘
á Hetzner á°ááłáłá áááŽá˝á á¨áááááľ áááľ á¨áá, OVH áĽá፠á¨á°áᨠáá. áá áἠá áľá¸ááŞ.
eno1 á¨ááľááá áŤááľ #1 áľá áá (áááá°á áá áŤáá°áá°á )á˘
eno2 á¨ááľááá áŤááľ #2 áľá áá (ááŁá ᣠáá á¨áłáŞá áá)á˘
tun0 á¨OpenVPN á¨á¨áášáá NIC áľá ááá˘
XX.XX.XX.X0 - IPv4 #1 á eno1.
XX.XX.XX.X1 - IPv4 #2 á eno1.
XX.XX.XX.X2 - IPv4 #3 á eno1.
XX.XX.XX.X5 - IPv4 #1 á eno2.
XX.XX.XX.1 - IPv4 ááá˘áŤ.
XXXX:XXX:XXX:XXX::/64 - IPv6 áááá á ááááá˘
XXXX:XXX:XXXX:XXX:1:2::/96 - IPv6 á eno2ᣠááá áá á¨áá áá° eno1 áááłáá˘
XXXX:XXXX:XXXX:XXXX:: 1 - IPv6 ááľáá (áĽáá
á á°áᨠááááľ ááŤá°áááľ áĽáá°áá˝á áἠááŁá á¨áááŁá áá. ᨠIPv6 ááá¨áŞáŤáá ááááš).
dns-nameservers - 127.0.0.1 á°ááá¸áá (ááááŤáąá áá°á á á áŤáŁá˘á áľáá°áŤá) áĽá 213.248.1.6 (áá
ᨠtech.ru áá).
"table eno1t" áĽá "table eno2t" - á¨áĽááá á¨ááááľ-á°ááŚá˝ áľááá á eno1 -> á¨ááŁá áľáŤáá á áĽáą á áŠá áááŁá, áĽá á eno2 -> á¨ááŁá áľáŤáá á áĽáą ááľáĽ áááŁá. áĽá áĽáá˛áá á á áááአá°ááłá˝ááľ áá áŤá áááááśá˝ á eno1 á áŠá áá°áá.
ip route add default via XX.XX.XX.1 table eno1t
á áá áľáĽááᣠá ááááá á°áἠáľá á¨áááľá ááááá ááá¨áłáľ á¨áááťá áľáŤáá áĽááľáááŁáá -> âá á¨á´á eno1tâ ááááľ á¨á°á°á¨áá áľ -> áá° eno1 á áááá˝ áŤáľá°ááááá˘
ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
á áá áľáĽááᣠá á áááአá¨á°ááᨠááááá áľáŤáá áá° eno1 á áááá˝ á¨áá፠áááá áĽááááááá˘
ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0
á áá áľááá, á¨áľáŤáá ááááľ ááľá¨á፠á°ááŚá˝á áĽáŤáłá˝áá áĽáááááá.
auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
post-up ip rule add table eno1t from XX.XX.XX.X2
post-up ip rule add table eno1t to XX.XX.XX.X2
áá áĽááł á eno4 á áááá˝ ááá°á IPv1 ááááťáá˘
ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
á áá
áľááá á¨XX.XX.XX.X4 á áľá°áá á¨OpenVPN á°áá áá˝ áá° á áŤáŁá˘áŤá IPv0 á¨áááľá°áá ááááľ á ááá
á°ááá˘
ááá áá
áľááá áááá IPv4 á á áá - á ááá á áááŁáá.
iface eno1 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:1::/64
gateway XXXX:XXXX:XXXX:XXXX::1
á áľáŤáťáá áá áááá˝ áĽáŤáą á ááá á°ááᢠá áááአáĽáá° âááŞâ á áľáŤáť áá ááá áłáᢠá¨áá á áá áĽá á áá á áááá.
ááááľáá ": 1: 1 ::" ááľáĽáľáĽ á¨ááá? áOpenVPN á áľááá áĽáá˛á°áŤ áĽá ááá áĽáťá˘ á áá áá á°á¨ááŞá˘
á ááľáá ááłá áá - áá á áľááá áá°áŤá. ááá áá á áľááááá áá°á¨áľ, áĽáá á áááአá¨á°áááá áľá á¨ááá¨áŞáŤ IPv6 á áááá˝ áŤáľáááááłá.
ááá áá á áŤá°á¨áá á áá ááááŤáľ IPv6 ááľáŤáľ áŤáááᢠááááŁáľ, áĽááá á ááłáᾠᨠtech.ru á˝ááŽá˝ áá¸á.
ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
áá á¨á ááv6 á áľáŤáťá áá° á áááá˝ áá¨á ááᢠá ááľ ááś á áľáŤáťáá˝ á¨ááá, á áá ááá ááľáĽ á ááľ ááś ááľááŽá˝.
iface eno1 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
address XXXX:XXXX:XXXX:XXXX:1:3::/80
ááá˝ áááľá¨á á¨ááá á áááážá˝ á áľáŤáťáá˝ áĽá áááľ á ááłá¨ áá¨áŚá˝ ááááľ á°á°áááŁá¸ááá˘
eno1 - ááá á áá áľ/64"- ááááŤáąá áá á¨áĽá á¨á áľáŤáť áááł á áá ááá˘
tun0 - áłáĽáᾠᨠeno1 á áá ááá á áá áľá˘ áŤáá áá፠áOpenVPN á°áá áὠᨠIPv6 ááá˘áŤ á áá áááá á áá˝ááá˘
eno2 - áłáĽáᾠᨠtun0 á áá ááá á áá áľá˘ áŤáá áá፠á¨OpenVPN á°áá áá˝ áá° IPv6 á áŤáŁá˘áŤá á áľáŤáťáá˝ ááľá¨áľ á áá˝ááá˘
ááá áááľá¨á ᣠáááľááľ á°á¨á 16á áááŤáá ᣠáá á¨ááá ᣠâ1â áĽááá áĽááłá ááľá¨á áá˝ááá˘
á áá áá á¨áľ 64+16 = 80, áĽá 80+16 = 96.áá áá ááá˝ááľáĄ-
XXXX:XXX:XXX:XXX:XXXX:1:1:áĽá á á :á á á á˘á˘á˘á˘á1 áá áá°áá°á áŁá˘áŤáá˝ ááá á áááááśá˝ ááá°áĽ áŤááŁá¸á á áľáŤáťáá˝ áá¸áá˘
XXXX:XXX:XXX:XXX:XXXX:1:2:áĽá á á :á á á á˘á˘á˘á˘á2 áá áá°áá°á áŁá˘áŤáá˝ ááá á áááááśá˝ ááá°áĽ áŤááŁá¸á á áľáŤáťáá˝ áá¸áá˘
XXXX:XXX:XXX:XXX:XXX:1:3:á á á :á á á áOpenVPN á°áá áá˝ á¨ááá°áĄ ááá áĽáá° OpenVPN á áááááľ á áľáŤáť á¨ááŤáááá á áľáŤáťáá˝ áá¸áá˘
á ááłá¨ áá¨áĄá ááááá á ááááŠá áĽáá°áá ááľááá ááťá á áá áľá˘
ᨠIPv4 áááŚá˝ á á áááá áá ááá°áłá (á á፠ááš áá áá á
áááá áŤá¨ááᥠ- á áá áá፠áá
áľáĽáá á á áááአáá á ááá á ááłá¨áá¨áĄá ááĽáá)
/etc/init.d/networking restart
á "/etc/iproute2/rt_tables" ááá ááľáĽ áá° áá¨á¨áťá áŤáááľáĄ-
100 eno1t
101 eno2t
áŤááá
, á "/etc/network/interfaces" ááá ááľáĽ áĽá á°áá á¨áŚá˝á áá áá á áá˝áá.
á ááá˝ áአáĽá á¨65535 áŤááą ááá á ááŁá¸áá˘
ᨠIPv6 áááŚá˝ áŤá áłáá ááľááłáľ á ááá ááá¨áŤáᣠáá ááá á˘áŤááľ áśáľáľ áľáááá˝á ááá áŤáľáááááłáá˘
ip -6 addr ...
ip -6 route ...
ip -6 neigh ...
"/etc/sysctl.conf" á áááá á áá
# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1
# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0
# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0
# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0
# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0
# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0
# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1
# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1
áĽááá á¨á á áááá "sysctl" ááźáśá˝ áá¸áᢠá ááľ á áá ááá áĽá ááááá˘
net.ipv4.ip_forward = 1
áŤááá ᣠOpenVPN á ááá ááááľ á áá°áŤáá˘
net.ipv6.ip_nonlocal_bind = 1
á ááááš á¨á áŤá á áá IPv6 (áĽáá° nginx) ááá°á á¨áááá ááááá á°á áľá á°áľ áá°ááľá áłáᢠáĽáá°áá áŤá á áľáŤáť á ááááá˘
áĽáá°áá á áááľ áááłá áááľáááľ áĽáá˛á á áááľ á ááĽá áá°á¨áá.
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1
áĽááá á ááĽáŽá˝ á¨ááᣠá¨OpenVPN á°áá á á¨áááŁá á¨IPv6 áľáŤáá áá° ááá á áááľáá˘
áááš ááźáśá˝ ááá á°ááá
ááľ á¨áá¸áá ááá ááá áĽáá°áá á ááľáłááľáá˘
áá áĽáá°á፠á¨áá âáĽáá°ááâ áľáźáááá˘
á áá ááá áá á¨áá°á¨á áááŚá˝ á ááááŠá áĽáá°áá áłáááአáĽáá˛ááą áľáááá ááľáŹáľ áŤáľáááááłááĄ-
sysctl -p
áľá "á á¨á´á" á°ááŚá˝ á°á¨á᪠ááááŽá˝:
============ OpenVPN ==============
OpenVPN IPv4 áŤá iptables á áá°áŤáá˘
á VPN áĽáá°áá áŤá iptables á áááĄ-
iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP
á.á.á.á¨á áŤáŁá˘á áá˝á á¨áááááłááľ IPv4 á áľáŤáťáŹ ááá˘
10.8.0.0/24 - IPv4 openvpn á ááłá¨ áá¨áĽ. IPv4 á áľáŤáťáá˝ á openvpn á°áá áá˝á˘
á¨á°ááŚáš á
á°á á°á¨á°á á áľááá áá.
iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP
áĽá áĽáť OpenVPNá á¨áľáłá˛áľá˛á á ááᏠáá áá áĽááľá˝á áá áá°áĽ ááá˘
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
-- иНи --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
á OpenVPN á°áá áá˝ áĽá á áááá¨áĽ ááŤá¨á ᨠIPv4 ááŹáá˝á áááľá°ááá á¨áĽááá áľáááá˝ ááľáĽ á ááąá ááááἠá ááĽááľá˘
áá°ááŤáŠ ááłáŽá˝, á ááą á ááŤáŽá˝ á°áľáá á áá°áá.
áááąá áľáááá˝ áááłáŹ á°áľáá áá¸áá˘
á°ááśášá áŤáá áĽáŠ á áá á¨ááááŞáŤáá á ááŤá áááŤáá, ááááŤáąá á ááľá°á á˛áአáľááá á.
áłáá á¨á°ááł á áá ááá ᨠiptables á ááĽáŽá˝ áĽáá˛ááąáŁ á¨áá áŚáł ááľááἠáŤáľáááááłáá˘
iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6
áĽááá áľáá˝ á á ááŁá á áá°áá¨áĄá. á "iptables-áá" áĽá á áĽá á áá áááá.
apt-get install iptables-persistent
áááá á¨OpenVPN áĽá á á ááŤá áááĄ-
apt-get install openvpn easy-rsa
ááĽáá á áá¨áááŤáá˝ á áĽááľ áŤááá (á¨áŤáľáá áĽá´áśá˝ áá°áŠ)
make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf
á¨áĽáá á áá¨áá፠á áĽááľ á ááĽáŽá˝á áĽáááľááĄ-
mcedit vars
...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"
# X509 Subject Field
export KEY_NAME="server"
...
á¨á áááá á¨ááľáá áá¨ááľ ááá áŠáĄ
cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key
á¨áá¨á¨áťáá "client-name.opvn" áááá˝á á¨ááá á á˝ááłá áĽáááá áĄ-
mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf
# Client mode
client
# Interface tunnel type
dev tun
# TCP protocol
proto tcp-client
# Address/Port of VPN server
remote XX.XX.XX.X0 1194
# Don't bind to local port/address
nobind
# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun
# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server
# Enable compression
comp-lzo
# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC
áááá áááá˝ áá° á ááľ á¨áŚááŞá ááá á¨ááŤáá áľ áľááŞááľ áĽáááá á˘
mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh
#!/bin/bash
# First argument: Client identifier
KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf
cat ${BASE_CONFIG}
<(echo -e '<ca>')
${KEY_DIR}/ca.crt
<(echo -e '</ca>n<cert>')
${KEY_DIR}/.crt
<(echo -e '</cert>n<key>')
${KEY_DIR}/.key
<(echo -e '</key>n<tls-auth>')
${KEY_DIR}/ta.key
<(echo -e '</tls-auth>')
> ${OUTPUT_DIR}/.ovpn
á¨ááááŞáŤáá á¨OpenVPN á°áá á ááá áŠáĄ
cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name
ááá "~/client-configs/files/client-name.ovpn" áá° ááłáŞáŤá áá° á°áá áá áááŤá.
á iOS á°áá áá˝, áá
áá áá´ ááľá¨á áŤáľáááááłá:
á¨"tls-auth" áá፠áááľ áŤá á áľá°áŤá¨áśá˝ ááá á áá áľá˘
áĽáá˛áá á¨"tls-auth" áá፠á ááľ áá˛áŤáá "key-direction 1" áŤáľáááĄá˘
á¨OpenVPN á áááá áá á áŤáá áŠ
cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf
# Listen port
port 1194
# Protocol
proto tcp-server
# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6
# Master certificate
ca ca.crt
# Server certificate
cert server.crt
# Server private key
key server.key
# Diffie-Hellman parameters
dh dh2048.pem
# Allow clients to communicate with each other
client-to-client
# Client config dir
client-config-dir /etc/openvpn/ccd
# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"
# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet
# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"
# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS
# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun
# Ping every 10s. Timeout of 120s.
keepalive 10 120
# Enable compression
comp-lzo
# User and group
user vpn
group vpn
# Log a short status
status openvpn-status.log
# Logging verbosity
##verb 4
# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC
ááĽáŤááłááą á°áá á á¨áááááłááľ á áľáŤáť ááááááľ áá á áľááá áá (á áľááá á áá°ááᣠáá áĽá áĽá áááá)
# Client config dir
client-config-dir /etc/openvpn/ccd
á áŁá á áľá¸á᪠áĽá ááá áááá.
áĽáá° á áááłá°á áá OpenVPN áá°áá áá˝ á¨á ááv6 ááá˘áŤ á áá á áŤáą áĽáá´áľ áááá áĽáá°ááťá áĽáľáŤáá á áŤáá
áá˘
áá
áá ááĽáŤááłááą á°áá á "á áĽá
" ááľá°ááá á ááĽááľ.
# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"
ááá "/etc/openvpn/server-clientconnect.sh"áĄ-
#!/bin/sh
# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
echo "Missing environment variable."
exit 1
fi
# Load server variables
. /etc/openvpn/variables
ipv6=""
# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
# Get fixed IPv6 from client config file
ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
echo $ipv6
fi
# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
echo "Invalid IPv4 part."
exit 1
fi
hexipp=$(printf '%x' $ipp)
ipv6="$prefix$hexipp"
fi
# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1
ááá "/etc/openvpn/server-clientdisconnect.sh"áĄ-
#!/bin/sh
# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
echo "Missing environment variable."
exit 1
fi
# Load server variables
. /etc/openvpn/variables
ipv6=""
# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
# Get fixed IPv6 from client config file
ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi
# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
echo "Invalid IPv4 part."
exit 1
fi
hexipp=$(printf '%x' $ipp)
ipv6="$prefix$hexipp"
fi
# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1
áááąá áľááŞááśá˝ á¨"/etc/openvpn/variables" áááá áá ááááĄ-
# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112
ááá áĽáá á°áá - áááľáłááľ áá¨áĽá°ááá˘
á áá áĽáááł áááľáá netmask = 112 (áĽááŤá 96 ááá á áá áľ).
áĽá á
áľá á
áĽáŤá áĽáááł ááᣠᨠtun0 á ááłá¨ áá¨áĽ áá á ááááľáá˘
áá áĽáş áĽáá°áá áĽá°ááááá˘
cipher DES-EDE3-CBC
áá áááá á°á á¨ááá á áá°áá - áááááąá ááááľá á áá á áá´ áááŤáá.
=========== áľá ᨠáĽáá ===============
áááá áĽá á ááŤá;
apt-get install postfix
á ááŤáá áľ áá "á˘áá°áááľ-áŁá˘áŤ" á¨áááá ááá¨áĄ.
á¨áĽá "/etc/postfix/main.cf" áá á áááľáááĄ-
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
readme_directory = no
# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1
smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4
internal_mail_filter_classes = bounce
# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_sasl_authenticated,
permit_mynetworks,
#reject_invalid_hostname,
#reject_unknown_recipient_domain,
reject_unauth_destination,
reject_rbl_client sbl.spamhaus.org,
check_policy_service unix:private/policyd-spf
smtpd_helo_restrictions =
#reject_invalid_helo_hostname,
#reject_non_fqdn_helo_hostname,
reject_unknown_helo_hostname
smtpd_client_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_helo_hostname,
permit
# SPF
policyd-spf_time_limit = 3600
# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock
# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre
á¨áá á áá á¨áľ áááá áĽáááá¨áľá˘
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
áĽáá° áŤáĽáŽáŞáľáľáŁ áá áĽáá 'á¨á°ááá˝ áá¨á áĽá á¨á°áłáłáą ááĽáŚá˝' áááá˘áĽáŤáŹá á¨áááአá¨8 áááłáľ á ááᣠSSL áĽáá´áľ áĽáá°áá°áŤ áá¨áłáľ ááááŠá˘
áľááá á¤áľá¤áľá¤áá áĽáá´áľ áá áá áĽááłááĽá á¨áááá ááááľá áĽááľáłáá (âáĽáá´áľ áá á¨áá°áŤá?â áĽá âááá áá°áŤá?â ááááľ áĽáŤááá˝ áááľ áłáá°áĽá˘
á¨áááá ááľá ፠áá á¨áľ á¨ááá áĽááľ (áááľ á áŁá á¨á á á¨ááááá˝ ááĽá¨ááááá˝) ááá á ááá˘
á áá°áá "ááá" á¨áá áá, áááá ááá "á¨á ááĽ" áá. á¨áá ááá á áŁá á áĽááá ááľáĽáŤá áá. á¨á á°áŁáŁá áááá áááá áĽáá°áŤáŤááá˘
á¨áá áááá á°á á áá á¨ááá ááá áŁáá¤áľ áĽáť áááłáľ áĽáá˛á˝á á¨á˝áá ááĽá¨ááá áááľá á áľá˝ááá á˘
á°á á ᣠ፠á á ááá á¨á´áááá áá á¨áľ ááá˘á°á¨á #1 - https áŁá˘áŤáá˝.
á áłáš áŁá˘áŤáá á˛á°ááľ á¨áľá á áááá áŁá˘áŤá https áááá áááŤá áĽá áľááá á¨á áἠáááá áá áááá˘
á¨áľá á áááአá¨á áἠáááá áá°áŁáᢠá áłáš http-áĽáŤááá ááááľá á á¨á áἠáááá áá ááá áĽá áááŤáá˘
ᨠhttp-request áááľ ááá ἠá¨áá˝áá á¨áá ááá áŁáá á°á áĽáť ááᣠáááľá áĽá¨á°á¨á° áŤáá á áááá áĽáť ááá˘
á¨á¤á˝á˛á˛á áĽáŤá á˘áŤááľ áŠá áá á áááᢠáľááá á ááľ á áá áá° á á ááá áŁá˘áŤá áłááá áá° á ááľ á¨á°áá°á áá˝ ááłá¨áťá áááá°áĽ á¨áá¨á¨ áá á https áŁá˘áŤáá˝ áá¨ááá á áá˝ááá˘á°á¨á #2 - á¨á°áá°á ᨠááá˝á˘
á¨áľá á áááአá ááááľ áá á ááá ááá ἠá¨áá˝á ááá˝ áá°áŁá.
áááľáá áĽá á á áŁá ááá áá - á áłáš á á áŤáŁá˘á ááĽáŤááłááą https áŁá˘áŤ á ááľ á áááľ á¨áá-á¨áá ááá áĽááľ áŤáááŤáá˘
áĽá á¨áŁá˘áŤá á¨á áἠááá áĽáŤá áá, á¨á áŤáŁá˘áá á¨á áἠááá áááŤá.
á¨áľá á áááአáŤáľáłáá°áá áĽá http-response á á˛áá á á ááľ á¨á°áá°á á°áá á ááá ááá áŤááľáĽá¨ááá˘
á áá http-ááá˝ á˛ááŞááľ áá°á¨á á¨áá˝áá á á°áá áá á áłá˝ á¨áá ááá áŁáá¤áľ áĽáť áá (áá á á°áá áá áŤáą)á˘á°á¨á ááĽá 3 - á ááá áťáá áá á°á áááą á¨á°á á á áááááľ ááá áá˘
á ááłá ááĽá 2 áá á¨á°áááááľ á˝áá á á - ááá ááá á á ááááá˝ http-áĽáŤááá á¨ááĽáá áĽá áľá á ááŁá ááá áá¨áá á¨áááľá á¨áá¨áááá¸á ááá á¨ááá˘
áľááá ᣠááŤá¨ááá á¨áááá áťáá áĽáľáŞáá¨á áľá¨áľ á¨á°áአáĽá á¨á°áá áá¸áá áááááśá˝ á áá áááľ áá¨áľ áá˝ááá˘
áá áá ááľá°áááľ áĽá á á áŁá ááá áá - á¨á áłášá á¨á áἠááá á áľá á áááá á¨á áἠááá á¨á°áá°á ᨠáááĽááľ áĽáť áááŠá˘
á¨áľá á áááአá ááááŞáŤ áĽáá° "á¨áĽááľá ááá ááá áĽáá°áá áá" á¨áá ááá˝ áááŤá áĽá áá á áááĽááľ á á°ááłáłáŠ á¨á á°áŁáŁá ááá áŤááľáĽá¨ááá˘
á áłáš áááąá áááá¨áłá - "á¨á á°áŁáŁá áááá áĽáá°áá áá" á¨ááá áááĽááľ á¨á°á¨á° áá á¨áááááľ áŁá˘áŤ á°á áááą á¨á°á á á áááá 100% ááľáľá ááá˘
áá áŤá á á áľá°ááá áá?
áĽáá˛á ááááąá á°á áááą á¨á°á á á á¨áááááľ áŁá˘áŤ ááá á á ááá * 2 ááĽááľ áá¨á°áłáᢠáááłá 20 á.
á áĽáá á¨á áá°ááá ááá á¨áá ááá á áľááľá ááá¨á áááŁáᢠááá á¨áá áááá á áááľ ááá°á¨ááśá˝ ááľáĽ áŤááąá˘
á ááľ áááá á¨áá ááá ááľá á á áąáá áŽáááá°á áá á áĽáá° áááłáľá áááľáłáá˘á°á¨á 4 - á¨á áἠáááá˝ á¨á áἠáłáłá¤áá˘
á ááá˝ ááá¨áľ áĽáá°ááťáá á áá áłáŞá ááľáĽ á áĽá á á°áá áá áĽá á á áááአááŤá¨á áŁáá á¨áááááľ áŁá˘áŤ áá áááἠáá˝ááá˘
áá°áá áá áĽáá° á áááá á¨ááłá¨áľ á˝ááł áĽá á áááአáĽáá° á°áá á á¨ááłá¨áľ á˝ááłá˘ áĽá á áááąá á á áŁáŤáá˝ áĽááľ áááá˝á á áľááľáá.
á¨á፠á áĽáá áááá áľáŤáá áŤáŤá áĽá áľáŤááŠá "áá¨á" áá˝ááá˘
áááłá áááἠá¨áááŠá áľá á áľáŤáť áááአááá á¨ááá ááá á¨ááľáá áá áŁáá áá áą ááá "á¨áááá" áááľá áŤááąá˘
áĽáá°áá á áááľ á°áá ááŚá˝á áááááľ ááĽáŤááłááą https áľá¨-áá˝ á¨á áἠáááá˝á á¨áŤá á¨á áἠáłáłá¤á ááá ááĄá˘
áĽáŤááłááą á áłá˝ 200 á¨ááŤá á áĽáá°áá áŤá á¨ááἠááłáá˝ áááŤá¸áá "áŤáááá". á áĽáŤááłááą á áłá˝ á áľááľá á°áááá˘
"áĽáááľ" á¨áĽáŤááłááą á¨ááľáá áá¨ááľ á áá ááá á¨á°á°áá ááᢠáŤá áááľ á¨áĽáŤááłááą á¨á°áᨠá¨ááľáá áá¨ááľ áŁááľááŁá áá áŤáá áááááľ áá¸áľ ááá á áá˝áá.á áá SSL á https áĽáá´áľ áá áá áĽáá°ááťá ááá áááᤠá áá˘
á áĽááŽáá áŤáááłááą áአá áááááśá˝ á áá ááá á ááľáĽ á¨áá ááá áĽáá´áľ áĽáá°áá°áá ááá˝ áááá. áá á¨áá°á áĽá¨áľ áŤáľá¨ááá¸ááá˘
áĽá á¨á¤áá¤áľá¤ ááá á˛á áᤠáŤááą áľáá áśá˝ ááŁáŠá á¨áĽá á á°á¨á ááŞá áĽááłá ááľá á áá˝á á¨áááťá ááá ááá˘áĽáá˛áá áľá ssh áááááśá˝ áĽá¨ááŤáá. áĽáá´áľ ááá áĽáá°ááťá, ááá á¨á áἠáááá˝ á¨áá. á˝áአá¨áááłá á áááľ ááááľ ááá˘
ssh-by-password á ááŤááĄ-
á ááááŞáŤá áááááľ á¨ssh á°áá á ᨠssh á áááá á á˛áľ á¨á áἠááá áĽááłáá ááľá ááá á áá áľá˘
áĽá á¨á°á¨á᪠áááááśá˝ áá âᨠssh á áááá á á˛áľ á¨á áἠáááâ ááľá ááá፠á¨áłá¨ áĽááľáá áááłáἠáĽá¨áá¨áŠ áá áááľ ááá˘
ááá á ááááŞáŤ áááááľ á°áá°á áá áᣠáĽá á áá áŤá á ááá á¨á áááአáá áááááá˘
áĽáá° áĽáááą á¨áá, á¨á˝áŚ áá¨áť áĽáááł á ááá, á ááĽááľ áĽá áŤáááá áĽá¨áľ á áááᥠááááŤáľ, áá áĽááľ áá ááľ á°áá á áአá áá ááłáŽá˝ áá áĽáť áĽá á áá áááá.ssh-á -ááá á ááŤááĄ-
ááá˝ á ááá áĽáááľáłáá ᣠá ssh á áááá á¨áá ááá áĽáá˝ááá (ááá ááá˝ áĽá áĽá á áľááá ááŠááśá˝ á á ᣠáá áĽá á¨áá˝áá áľáá ááłá ááŽááŤá áĽáá á¨á á ááá áááŞáŤ á áá°áá)á˘
á¨á áἠáááá ᨠssh á°áá á á áááá áľ áá˝á áá áĽáá°ááá áĽá ááľá˘áŠáá áĽááááááá˘
ááá˝ á ááááá áá° á áááአáĽáááŁááᣠáĽáááĽááᣠá¨áá áááá áááĽá á ááá˝ á ááááá á ááĽáá á ááąá á áááľ áĽáá áľáááá (ááá á˘áŤááľ á áᎠáá˛áá áĽáááá¸ááá)á˘
፠áĽáť áá - á¨áĽáá°áá á áááľ ááś áĽáá á áá áĽáá˛á áŤááá ᨠssh áááááľ áááĽáá á¨áááťá áááá. á áĽááἠá 10 áááłáľ ááľáĽ á áąáá áŽáááŠá°á áá áľáŤáá áá¨áľ ááťáá - áá áá á¨á°áᨠáłáŞá áá.á¨áááą á᪠áá ááł áĽá ááááá˘
áľááá , á áá á˝áá°-ááłáĄ ááłááá. ᨠssl á°áá°ááŹáľ áľáááá á áá°áľ áĽáááŤá˝áááá˘
á "openssl genrsa" áĽáá á¨áá ááá áĽá "áŁáś" áá
áἠááá áĽáááĽáŤáá.
ááśáľá°á ááá áŠáŁá፠"áŁáś" áĽáááŤáá, áááá á¨ááľáá áá¨ááľ 9 áśáá áĽáá¨áááá.
á¨áĽááľ á°ááłáľ á ááᣠá¨áá á¨áśáľá°á ááá áŠáŁá፠á¨áá âá¨á ááĽâ ááá áĽá á ááŤáł á¨á áἠáááá˝á áĽááá áááá˘
ááá á¨áśáľá°á ááá áŠáŁá፠áá áἠááá ááááá˘áŤ á¨áá¨ááá á¨á°áᨠááłá ááᣠáĽáá á áááá¨á°ááá˘
á áá á¨á˝áá áľááá áá áĽáá°áá ááá˝ áá-
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
á¨"/ááá°/ssl" á áá áá¤áľá¤áľá¤á áĽáŤááá˝ áááá áááá˝ áááá˘
domain1.com á¨á፠áľá ááá˘
2018 áááá˝ á¨á°áá áŠá áľ áááľ áá.
"ááá" á¨ááá áľáŤá ááá á¨áá ááá ááá˘
áĽá á¨áá ááá áľááááĄ-
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com á¨á፠áľá ááá˘
2018 áááá˝ á¨á°áá áŠá áľ áááľ áá.
á á°áá°ááľ á¨áłá°á¨ - á¨á
áἠáááá˝ á°áá°ááľ áĽááłá áá°á¨á (á¨ááááŞáŤá á¨á
áἠááá á˛áá á¨á°áá¨á á¨á
áἠááá áŤááŁá áŠáŁá፠á¨áᣠáá)á˘
crt - ááá á¨áá á¨ááľáá áá¨ááľ (á¨áá ááá á¨á´áááŤá ááĽáŤáŞáŤáá˝ áá) áááŠá áá°á¨á.
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1
áá á ááĽá á áá ááłá áá áĽá á áá á áááá, ááá áá áĽáá° ááłá á°á˝áá.
ááááŤáąá á áá áá¤áľ ááľáĽ áŤá áľá á°áľ á¨á ááááá áá° á áááá áááĽááľ áĽáá˛áá áŤá°ááá (áŤá áááľ)á˘
á¨ááŤá áĽáá°á áĽááłáááá˝á áááá á á¨áááĄá˘
recipient_delimiter = +
ááááŁáľ áĽááá˝ á áŤááááŁáľááá áá pasma á°á¨ááá á¨á á á ááá ááᣠáĽá á á áĽááááš áááá á¨ááľáł á ááááŽá˝ áá°áááá˘
áááłá á¨áááĽááľ áłáĽá áŤáá [á˘áá á¨á°á á á]Âť áááá ááá[á˘áá á¨á°á á á]- áá áĽáá°ááá á á°ááá¨áľ.
inet_protocols = ipv4
ááááŁáľ áá á፠á¨ááŤáᣠáááá.
áá ፠áĽáť á áá°ááᢠáĽáŤááłááą á á˛áľ á፠- á ááŁáŞááľ IPv4 áĽáť, á¨ááŤá ááĽáŤááłááą ááĽáťá IPv6 á á á áŤáá.
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf
áĽáá
ááá áᢠáááááľ áá° áĽááἠá¨áááľ áááá áĽááááááá˘
áĽá áá፠ᣠá¨áááĽááľ áłáĽá ᣠá°ááá áľá á
áá˝ - á áá¨á ááą ááľáĽ áááá¨áąá˘
/etc/postfix/mysql-virtual-mailbox-domains.cf
user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'
/etc/postfix/mysql-virtual-mailbox-maps.cf
user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'
/etc/postfix/mysql-virtual-alias-maps.cf
user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'
# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
á áá ááľáľáááľ áá áá ááá á°áĽáłá¤ ááá á á¨ááťáá á áĽááἠáááľ áĽáť áááá áŤáááá˘
áá ááá áĽáá áĽáá°á°á°áá á áľááá á áááŁááᢠá "áááŁá_áľáŤááľáááľ" ááľáĽ á¨ááŤáľááááľá áááŽá˝ á áá á áľááľáá á áááá°ááá˘
ááá áá á¨áľá ᨠáá¨áá áľáááľ á áŁá áŤá¨á áá - ááááŁáľ á¨áľáŽá ááá á¨á°ááł ááá˘
smtpd_recipient_restrictions =
...
smtpd_helo_restrictions =
...
smtpd_client_restrictions =
...
áá ááĽáŤááłááą á°áĽáłá¤ á áááá á áŤáą ááááľ á¨á°ááᨠááá˘
á áĽá áá 3 á¨áááĽááľ á ááááŽá˝ á áá áĽá áĽááá ááźáśá˝ á á°ááŤáŠ á¨á á ááá ááľáááśá˝ ááááŤáľ á áŁá á¨á°ááŤáŠ áá¸áá˘
á áĽááá áááá áŤáľáááááłá - áŤáá áá፠á áááá áááĽááľ áá° áĽááľá áŤáĽááááá ááá áĽáá˛áŤáá á¨á¨á - á áááá áááĽááľ á¨áĽááľá áááááá˘
# SPF
policyd-spf_time_limit = 3600
á¨áᢠá˘áááá˝á SPF á¨ááá°á˝ áá á¨á°ááá áá ááłááľ á°á°áŞ ááááá˘
# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock
ááá á᪠áá°áá˝ á¨DKIM ááá áá á¨áĽ áĽááłááĽá á áááááľ ááá˘
# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre
ᨠphp áľááŞááśá˝ á˘áááá˝á á˛áአáá á á˘áá ááááá ááľáĽ ááá áááá áá á˘
ááá "/etc/postfix/sdd_transport.pcre"áĄ-
/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/ domain1:
/@domain2.com$/ domain2:
/@domain3.com$/ domain3:
á á፠á áŠá áá°á á ááááŤáá˝ á á. á áá á áŠá áá°áá á¨ááŤááááľ áá፠á á.
á áááŤá áá á¨áľ Postfix - áá ááľ á¨á°áá°á áá°á áĽááľ á°á¨á᪠á¨áááá ááľááŽá˝á áááľ ááľáĽ áŤáľááŁáá˘ááľáľáááľ áá ááľ á¨á°áá°á áá°á áĽáá´áľ áĽáá°áá áĽáá°áááá á "master.cf" ááľáĽ ááááťáá˘
ááľááŽá˝ 4, 5, 6 ááááš áá¸á. á¨áľááá á፠á ááá¨á á°áĽáłá¤ áĽáááŤáá - áĽáá°áá á áááľ áá፠áĽáá°áááá.
ááá áá áááá á php áľááŞááśá˝ ááľáĽ á á áŽáá áŽáľ ááľáĽ "á¨" ááľá ááááťá. á¨á፠á¨á°á áá áľá áááłá áááŁáá˘á˝áá ááľááá á°á áá - nginx + fpm á á áááá á áá¨ááá á áááááá˘
á á áአ- ááĽáŤááłááą áŁá˘áŤ á¨áŤáłá˝áá á¨ááááľ á°á áá áŁáá¤áľ á ááá á°ááᢠáĽá á áá áá°á¨áľ á¨áĽááľá fpm-pool.
Fpm-pool áááááá ᨠphp áľáŞáľ áá ááá (á¨á°ááŤáŠ ᨠphp áĽá ááá áááś á¨á°ááŤáŠ php.ini áľáŞáśá˝á á á°ááłáłá á áááá áá ááá¨á¤áľ áŁá˘áŤáá˝ áŤáá˝áá áá áá á˛á˝á á áŁá áĽáŠ áá)á˘
áľááá ᣠá ááľ á¨á°áá°á ááááľ-á°á áá "www-domain2" áŁá˘áŤ domain2.com á ááᢠáá áľá¨-áá˝ á¨ááľá áá áłáááá˝ á˘áááá˝á áááá á¨ááŤáľá˝á áŽáľ á ááá˘
áľááá á áá áááł ááľáĽ áĽááłá, á°áĽáłá¤ááš á áľááá áá°áá áĽá á ááŤá˝ á áááá áááááľ ááľáĽ á áááĄá.
á¨áĽá "/etc/postfix/master.cf" áá á áááľáááĄ-
...
smtp inet n - y - - smtpd
-o content_filter=spamassassin
...
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf unix - n n - 0 spawn
user=policyd-spf argv=/usr/bin/policyd-spf
spamassassin unix - n n - - pipe
user=spamd argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1 unix - - n - - smtp
-o smtp_bind_address=XX.XX.XX.X1
-o smtp_helo_name=domain1.com
-o inet_protocols=all
-o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
-o syslog_name=postfix-domain1
domain2 unix - - n - - smtp
-o smtp_bind_address=XX.XX.XX.X5
-o smtp_helo_name=domain2.com
-o inet_protocols=all
-o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
-o syslog_name=postfix-domain2
domain3 unix - - n - - smtp
-o smtp_bind_address=XX.XX.XX.X2
-o smtp_helo_name=domain3
-o inet_protocols=all
-o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
-o syslog_name=postfix-domain3
ááá áá á áá á ááłáá - ááľááá á áŁá áľáá
áá.
á¨á°ááá áá áĽáť ááááľ á áľáááŤááá˘
smtp inet n - y - - smtpd
-o content_filter=spamassassin
...
spamassassin unix - n n - - pipe
user=spamd argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}
áĽááá ᨠspamassasin áá á¨á°ááá á ááĽáŽá˝ áá¸áᣠá á áá á°á¨ááŞá˘
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
á áááľ 587 á áŠá á¨á°áĽáłá¤ á áááá áá áĽáá˛ááá áĽááá
áłááá˘
áá
áá áááľá¨á, áááŁáľ á ááĽááľ.
policyd-spf unix - n n - 0 spawn
user=policyd-spf argv=/usr/bin/policyd-spf
ᨠSPF áá°áťá áŤáĽáŠá˘
apt-get install postfix-policyd-spf-python
á¨áá á SPF áźáŽá˝ áĽá áá ááŤáá˘
domain1 unix - - n - - smtp
-o smtp_bind_address=XX.XX.XX.X1
-o smtp_helo_name=domain1.com
-o inet_protocols=all
-o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
-o syslog_name=postfix-domain1
áĽá áá á áŁá á¨ááľáĽ áá. áá á¨á ááľ á¨á°áá°á IPv4/IPv6 á áľáŤáť áá°áá°á á፠á˘áááá˝á á¨ááá á˝ááł ááá˘
áá á¨áá°á¨áá á rDNS áĽá á ááᢠrDNS á¨á°áá°á ááĽá¨ááá á á áá á áľáŤáť áĽáŤáá ááá˘
áĽá áááľáłáŁ áá áŁá ᪠áá á˘ááá á¨á°áá¨á áľ á áľáŤáť rDNS áá á áľááá áĽáá°ááááľ ááá¨ááἠáá á ááá˘áá á°áĽáłá¤á á¨á°áá¨á áľá á¨ááľáł á፠á¨áááááľ á¨ááᣠá¨á áááá áááĽááľ ááĽáŚá˝ á°á°áĽá°ááá˘
áá ᨠrDNS áá á áŤá¨áĽáá - áĽá á áááá áááááľ ááĽáŚá˝ á°á°áĽá°ááá˘
á áá áá á¨áľ áĽáŤááłááą á፠á¨áŤáą á áá á áľáŤáť ááá¨á áááŁáá˘
á OVH, á áŽááśá ááľáĽ rDNS á áááá˝ ááťáá.
á tech.ru ááłáŠ á áľáá á°ááˇá.
áAWSᣠááłáŠ á¨áááłá á áľáá ááá˘
"inet_protocols" áĽá "smtp_bind_address6" - á¨IPv6 áľááá áĽáááááá˘
áIPv6ᣠrDNS áááááĽá á ááŚáľá˘
"syslog_name" - áĽá áá á¨áááἠááľáłááťáá˝á áááá ἠáážáľ áá.
á¨ááľáá áá¨ááśá˝á ááá
=========== Dovecot ===============
apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam
mysql á á áááá, áĽá áášá áĽáŤáłá¸á ááŤá.
ááá "/etc/dovecot/conf.d/10-auth.conf"
disable_plaintext_auth = yes
auth_mechanisms = plain login
áááľ á¨á°áá°á ᨠáĽáť ááá˘
ááá "/etc/dovecot/conf.d/10-mail.conf"
mail_location = maildir:/var/mail/vhosts/%d/%n
áĽáá áá°áá˝ á¨ááááĄá áľá áŚáł áĽáá áááá.
á áááá˝ ááľáĽ áĽáá˛ááᥠáĽá á á፠áĽáá˛áá°áĄ áĽáááááá˘
ááá "/etc/dovecot/conf.d/10-master.conf"
service imap-login {
inet_listener imap {
port = 0
}
inet_listener imaps {
address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
port = 993
ssl = yes
}
}
service pop3-login {
inet_listener pop3 {
port = 0
}
inet_listener pop3s {
address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
port = 995
ssl = yes
}
}
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
mode = 0600
user = postfix
group = postfix
}
}
service imap {
}
service pop3 {
}
service auth {
unix_listener auth-userdb {
mode = 0600
user = vmail
}
unix_listener /var/spool/postfix/private/auth {
mode = 0666
user = postfix
group = postfix
}
user = dovecot
}
service auth-worker {
user = vmail
}
service dict {
unix_listener dict {
}
}
áá
ááá á¨áĽááἠáá
á ááá ááá˘
áĽáá
á°á
áááą áŤáá°á á á áááááśá˝á áĽáá°áááááá˘
áĽá á áľá°ááá áááááśá˝á á ááá˘
ááá "/etc/dovecot/conf.d/10-ssl.conf"
ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain2.com.2018.key
}
á¤áľá¤áľá¤áá áŤáá áŠá˘ á¤áľá¤áľá¤á áĽáá°ááŤáľááá áĽáá ááááá˘
áĽá á¨ááľáá áá¨ááą áŤáąá˘ áĽá á áľááá áááá "á áŤáŁá˘áŤá" áááŞáŤ áá. á¨á¨áľáá á áŤáŁá˘áŤá IPv4 áá á˛ááá á¨áľááá á¨á¤áľá¤áľá¤á á°áá°ááŹáľ áá áá áĽááłáá áľ ááááťáá˘á áááŤá˝á áá IPv6 áĽáá á áá°ááá¨á, áá áá ááľááľ áĽáá° áá á áá á áľá°áŤááá.
XX.XX.XX.X5 (domain2) - ááá á¨ááľáá áá¨ááľ á¨áá. á°áá áá˝á ááááááľ domain1.com á áááá˝ áŤáľáááááłáá˘
XX.XX.XX.X2 (domain3) - á¨ááľáá áá¨ááľ á á, á°áá áá˝á ááááááľ domain1.com ááá domain3.com áááá˝ áá˝áá.
ááá "/etc/dovecot/conf.d/15-lda.conf"
protocol lda {
mail_plugins = $mail_plugins sieve
}
áá á áá áá á spamassassin áŤáľááááá˘
ááá "/etc/dovecot/conf.d/20-imap.conf"
protocol imap {
mail_plugins = $mail_plugins antispam
}
áá áá¨-á áááá áááááľ áááá ááᢠáá° / ᨠ"á áááá áááĽááľ" á áá á áá°áááá áľ áá áľáááłá˛á ááá°áá á áŤáľáááá.
ááá "/etc/dovecot/conf.d/20-pop3.conf"
protocol pop3 {
}
áá áĽáá°áá áŤá ááá á á.
ááá "/etc/dovecot/conf.d/20-lmtp.conf"
protocol lmtp {
mail_plugins = $mail_plugins sieve
postmaster_address = [email protected]
}
lmtp á áááá á ááá˘
ááá "/etc/dovecot/conf.d/90-antispam.conf"
plugin {
antispam_backend = pipe
antispam_trash = Trash;trash
antispam_spam = Junk;Spam;SPAM
antispam_pipe_program_spam_arg = --spam
antispam_pipe_program_notspam_arg = --ham
antispam_pipe_program = /usr/bin/sa-learn
antispam_pipe_program_args = --username=%Lu
}
áá° / ᨠ"á áááá áááĽááľ" á áá á áá°áááá áľ áá ᨠSpamassasin á¨áĽáá á á ááĽáŽá˝.
ááá "/etc/dovecot/conf.d/90-sieve.conf"
plugin {
sieve = ~/.dovecot.sieve
sieve_dir = ~/sieve
sieve_after = /var/lib/dovecot/sieve/default.sieve
}
á á᪠áááááśá˝ áá ááľá¨á áĽááłáá áľ á¨áááá˝ áááá˘
ááá "/var/lib/dovecot/sieve/default.sieve"
require ["fileinto", "mailbox"];
if header :contains "X-Spam-Flag" "YES" {
fileinto :create "Spam";
}
áááá áá ááá á áľááá áá: "sievec default.sieve".
ááá "/etc/dovecot/conf.d/auth-sql.conf.ext"
passdb {
driver = sql
args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
driver = static
args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}
ááááľ sql áááá˝á á áááá˝ ááá˘
áĽá ááá áŤáą - áĽáá° áááľ ááááľ.
ááá "/etc/dovecot/dovecot-sql.conf.ext"
driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';
áá ááľá á¨-á áĽáŤ á°ááłáłá á ááĽáŽá˝ áá ááááłáá˘
ááá "/etc/dovecot/dovecot.conf"
protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf
ááá á¨ááááŞáŤ ááá.
ááá ááá ááŽáśáŽáá˝á áĽáá
ááááá˝á ááá˘
============ SpamAssassin =============
apt-get install spamassassin spamc
áĽá áášá áĽááŤáá˘
adduser spamd --disabled-login
á áá ááľá á°á áá áŤááá˘
systemctl enable spamassassin.service
á áááłá áľ áá á¨á áááá áááĽááľ á áłáłá˝ á áááááľá á áŤáľ-á°á ááŤáá áŤááá˘
ááá "/etc/default/spamassassin"áĄ
CRON=1
á ááŁáŞ á°ááŚá˝á á áŤáľ á°á ááááá á ááááľá˘
ááá "/etc/spamassassin/local.cf"áĄ
report_safe 0
use_bayes 1
bayes_auto_learn 1
bayes_auto_expire 1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password
á¨ááἠááł "sa" á mysql á¨á°á ááá "sa" áá á ááá áá "ááá áá" (á á á áá ááá áá°áŤáľ) á áľááá áá.
report_safe - áá
á¨á°áĽáłá¤ ááá
á¨á áááá áááĽááľ áŞáááľ áááŤáá˘
use_bayes spamassassin áá˝á áááŞáŤ ááźáśá˝ áá¸áá˘
á¨á°ááŠáľ ᨠspamassassin á áá áśá˝ á á áááš ááľáĽ áá°á áĽáá á°á°ááĽá¨áá.
============ á¨áá á á¨á°áĽ áááŁá ==============
áĽáá˛áá á¨á°ááá á°áĽáłá¤áá˝á á¨á°á áááľ á°á¨á áĽáá´áľ áĽáá°áá¨áá áá° áá á á¨á°áĄ á ááľ ááłáĽ ááŁá áĽáááááᢠá ááľáł áááľ ááľáĽ á áŁá áľáá°á áá áá˘
á°á ááá á á°áá áá áá á¨ááá áĽááľ ááá á áĽáá˛á˝á (á á°áŤáᣠá°áá°áá ááľáŁ á áłá˝-ááááᣠ...)ᢠá¨á áἠáĽá á¨áá. ááá - áᰠᲠá¤á á¤áľ áááŠá˘ á¨áá - á á°áá áá áá áŤáľáááĄ. á¨á°áĽáłá¤ á ááááŽá˝ áá ááľ á¨á°áá°á á°ááŁá áááá á¨áá áááá áá áá áá˝ááá˘
áĽá áĽáá°áá áŁá áá°áá˝ á áááá áááááľá ááá¨áá¨á (á á, á¨áááááľ á áááአáááąá áá¨áľ á áá˝áá) - 3 á áá˝á ááľááŁáľ áŤáľáááááłá:
- á¨áá´áł áĽááá°á DKIM áááᣠá¨áá´áł SPFᣠá¨áá´áł rDNSá˘
- á¸á¨-á áááá áááááľá á ááá áááľ áá á¨ááá á ááłá¨áá¨áĽ + á¨ááἠááł á á°áá áá á áŠáá˘
- á¨á˘áááŞáá˝á á áááŞáá ááŞá ááá á¨á°ááŁáŠ ááá 100 áĽáĽá á¨á áá á¨á˛áአááá áĽáá˛áŤá á ááá á áá áľá˘
á¨á ááŁá á°áĽáłá¤áá˝ á á°á¨á᪠âá°á áááą á¨á°á á á á¨áááĽááľ áááἠáááááâ á¨áľáŚáł á°áĽáłá¤ á°á¨áá áŤáááᢠá¨á°á áááá˝ á ááą (á¨áááĽááľ áłáĽá) á¨áá á¨áááĽááľ áłáĽá áá á áŁáŞ á¨áŤá á°áĽáłá¤ áááŤáᢠá á°áĽáłá¤á ááľáĽ ᣠáá°áĽáłá¤áá˝ á°á áááą á¨á°á á á á¨áááááľ á°áἠááááá á¨á˝áá-á á¨áá° ááá áĽá á¨áááĽááľ áłáĽá áŁáá¤áľ á¨á áἠááá (á á°áá áá á áŠá áŤáá á¨áá ááá áá)á˘
ááĽáŤááłááą á¨á°áĽáłá¤ áááἠá á°áá áááľ áááá˝á ááľáŤáľ áľá˝ááá ᢠá°ááŁáŠ á°á áá áá á á áá˝ á°ááĽá ááá áááá ááá áá˝áá (áĽáá˛áá ááá á°áĽáłá¤ á¨á°ááá)ᢠá ááá á, á¨ááááŞáŤá á°á áá á¨á áááááľ áááŁá áŞáŤ á°áĽáłá¤ (á ááá°áá á°á áá á¨á áἠááá á¨á°áá°á á¨) áááŤá, ááá°áá á°á áá áĽáá°á°á¨á°á á¨á°ááááá á¨áááááľ áŁá˘áŤ á áľá°ááá á áľáá áááĽá¨á áá˝áá. á¨á፠ááá°áá á°á áá á¨ááĽáĽá á°áĽáłá¤ áááŤá - áĽá á¨á፠á¨ááááŞáŤá á°á áá á¨á°áá á¨áá á°áἠá°á áááą á¨á°á á á áĽáá°áá áááĽá¨á áá˝ááá˘
á ááááľ áá áŤááľá áááá˝ ááĽááá áááááľ á ááŽáśáŽá ááľáĽ ááá˝ á áááá á áá áá á˘áŤááľ á ááľ á¨á áἠáááá áááľá°ááá áĽáľáá ááľá áľ áŤáľáááá á˘
áĽá á áŁá á áľáááá ááá ááá áá°áŤá (áĽáŤáá "ááá
áá áá¨ááá?")
á 10 áááłáľ á¨$3 á¨ááŤáᥠá¨ááľáł á¨ááľáá áá¨ááśá˝á áŤáľá°áááᢠááŞá á Რá¤á á¤áľ ááľáĽ "á¨áĽá ááá ááááź áĽá፠á á" áĽá áĽáá˛ááá˝ á¨ááŤáľá˝áá á¨áľáá ááᢠáĽá á áľá°ááá áááááľ ááááá áĽáľáá áá°áŁá. á á°ááłáłá áá - áĽáá°áá
áŤá áááááśá˝á á ááť áááá á.
gmail á áá¨á¨áť á°á áááášá áᢠáĽá¨áá ᨠááᢠá 10 áááłáľ ááľáĽ á 3 áśáá - á°á
áááą á¨á°á á á á¨áááĽááľ ááľááŽá˝á á¨ááá á ááĽáľá˘
=========== áá°áá°á፠===============
áááá á˝áá áááá°á˝ áá ááľ áá á¨á°áᨠá áááá á°á¨áŤááź á ssl á°áá°ááŹáľ á፠ááá áá áá˘
ááá áá á¨á
áááľ áááłáá˝ á°ááĽá¨áá áľááá
áá
ááłá á 2 ááŤáľ áŤá
á áááá.
áĽá áá áá áĽáá°áá á˛ááἠᣠá˝ááá áĽáá°áá á¨á ááá°á áá°áአáĽá á
áľááą ááá áááľ áĽáá˛áá á áá°á¨ááá˘
áĽáá° âááá áá áĽáá á á á áááł á áá°ááá¸áâ áŤá áĽá áĽáŤááá˝ áŤáᣠá ááá á¨á°áá°á á áááá á á á˛áľ á፠áĽá á á˛áľ á¨á¤áľá¤áľá¤á á°áá°ááŹáľ áááá°áľ áĽá á¨á áá á áááá ááááá˝ áĽááŤáŹ ááá áá˝ááᢠá á áľááá áááł, áááá áŤááᥠá áľááá ááááŽá˝á ááá¨áľ.
áĽáá˛áá á á°áĽáłá¤ á¨ááľáá áá¨ááśá˝ ááłáĽ áá á áľá°áŤá¨áľ ááá á áĽáááááᢠááłáĄá á¨áá°áąáľ, á rfc á¨áá áááťá áĽááŤáŹá áááááľ áĽáááŤáá.
á¨á ááľá á˝áá áľááá
áááĽáŤáŽá˝ á áááá áĄá áľ áá, á¨áá
á á˝áá á ááá áŤááááą.
áá° áá ááá á˛á°á¨ááᣠáá°áá
ááŁáĽá á¨áááľáľ á ááá áŤá
ááĄá˘
áĽá áŤá´ áá° áĽááááá ááá°ááá áĽáááŤáá áĽá ááŁááťáá˝á ááá°á áĽáááŤááá˘
ááá: hab.com