ডেবিয়ান + পোস্টফিক্স + ডভকোট + মাল্টিডোমেন + SSL + IPv6 + OpenVPN + মাল্টি-ইন্টারফেস + স্প্যামঅ্যাসাসিন-লার্ন + বিন্ড

এই নিবন্ধটি একটি আধুনিক মেল সার্ভার কিভাবে সেট আপ করতে হয় সে সম্পর্কে।
পোস্টফিক্স + ডভকোট। SPF + DKIM + rDNS। IPv6 সহ।
TSL এনক্রিপশন সহ। একাধিক ডোমেনের সমর্থন সহ - একটি বাস্তব SSL শংসাপত্র সহ অংশ৷
অ্যান্টিস্প্যাম সুরক্ষা এবং অন্যান্য মেল সার্ভার থেকে একটি উচ্চ অ্যান্টিস্প্যাম রেটিং সহ৷
একাধিক শারীরিক ইন্টারফেস সমর্থন করে।
OpenVPN এর সাথে, যার সাথে সংযোগ IPv4 এর মাধ্যমে, এবং যা IPv6 প্রদান করে।

আপনি যদি এই সমস্ত প্রযুক্তি শিখতে না চান তবে এই জাতীয় সার্ভার সেট আপ করতে চান তবে এই নিবন্ধটি আপনার জন্য।

নিবন্ধটি প্রতিটি বিস্তারিত ব্যাখ্যা করার কোন চেষ্টা করে না। ব্যাখ্যাটি স্ট্যান্ডার্ড হিসাবে কনফিগার করা হয়নি বা ভোক্তার দৃষ্টিকোণ থেকে গুরুত্বপূর্ণ।

একটি মেইল ​​সার্ভার সেট আপ করার অনুপ্রেরণা আমার দীর্ঘদিনের স্বপ্ন ছিল। এটি বোকা লাগতে পারে, কিন্তু IMHO, এটি আপনার প্রিয় ব্র্যান্ডের একটি নতুন গাড়ির স্বপ্ন দেখার চেয়ে অনেক ভালো।

IPv6 সেট আপ করার জন্য দুটি প্রেরণা আছে। একজন আইটি বিশেষজ্ঞকে বেঁচে থাকার জন্য প্রতিনিয়ত নতুন প্রযুক্তি শিখতে হবে। আমি সেন্সরশিপের বিরুদ্ধে লড়াইয়ে আমার সামান্য অবদান রাখতে চাই।

OpenVPN সেট আপ করার প্রেরণা হল স্থানীয় মেশিনে IPv6 কাজ করা।
বেশ কয়েকটি শারীরিক ইন্টারফেস সেট আপ করার প্রেরণা হল যে আমার সার্ভারে আমার একটি ইন্টারফেস "ধীর কিন্তু সীমাহীন" এবং আরেকটি "দ্রুত কিন্তু একটি ট্যারিফ সহ" আছে।

Bind সেটিংস সেট আপ করার জন্য অনুপ্রেরণা হল যে আমার ISP একটি অস্থির DNS সার্ভার প্রদান করে, এবং google কখনও কখনও ব্যর্থ হয়। আমি ব্যক্তিগত ব্যবহারের জন্য একটি স্থিতিশীল DNS সার্ভার চাই।

একটি নিবন্ধ লিখতে অনুপ্রেরণা - আমি 10 মাস আগে একটি খসড়া লিখেছিলাম, এবং আমি ইতিমধ্যে এটি দুবার দেখেছি। এমনকি যদি লেখকের নিয়মিত এটির প্রয়োজন হয় তবে অন্যদেরও এটির প্রয়োজন হওয়ার একটি উচ্চ সম্ভাবনা রয়েছে।

একটি মেইল ​​সার্ভারের জন্য কোন সার্বজনীন সমাধান নেই। তবে আমি এমন কিছু লেখার চেষ্টা করব "এটি করুন এবং তারপরে, যখন সবকিছু ঠিক মত কাজ করবে, তখন অতিরিক্ত জিনিসগুলি ফেলে দিন"।

কোম্পানি tech.ru এর একটি Colocation সার্ভার আছে। OVH, Hetzner, AWS এর সাথে তুলনা করা সম্ভব। এই সমস্যা সমাধানের জন্য, tech.ru এর সাথে সহযোগিতা অনেক বেশি কার্যকর হবে।

ডেবিয়ান 9 সার্ভারে ইনস্টল করা আছে।

সার্ভারে 2টি ইন্টারফেস আছে `eno1` এবং `eno2`। প্রথমটি যথাক্রমে সীমাহীন এবং দ্বিতীয়টি দ্রুত।

3টি স্ট্যাটিক আইপি অ্যাড্রেস আছে, 'eno0' ইন্টারফেসে XX.XX.XX.X1 এবং XX.XX.XX.X2 এবং XX.XX.XX.X1 এবং 'eno5' ইন্টারফেসে XX.XX.XX.X2 .

উপলব্ধ XXXX:XXXX:XXXX:XXXX::/64 IPv6 ঠিকানাগুলির একটি পুল যা `eno1` ইন্টারফেসে বরাদ্দ করা হয়েছে এবং এটি থেকে XXXX:XXXX:XXXX:XXXX:1:2::/96 আমার অনুরোধে `eno2`-এ বরাদ্দ করা হয়েছিল।

3টি ডোমেন আছে `domain1.com`, `domain2.com`, `domain3.com`। `domain1.com` এবং `domain3.com` এর জন্য একটি SSL শংসাপত্র আছে।

আমার একটি Google অ্যাকাউন্ট আছে যেটিতে আমি আমার মেলবক্স লিঙ্ক করতে চাই৷[ইমেল সুরক্ষিত]` (মেইল গ্রহণ করা এবং সরাসরি জিমেইল ইন্টারফেস থেকে মেল পাঠানো)।
একটি ডাকবাক্স থাকতে হবে[ইমেল সুরক্ষিত]`, ইমেইলের একটি কপি যা থেকে আমি আমার জিমেইলে দেখতে চাই। এবং `এর পক্ষে কিছু পাঠাতে পারা বিরল[ইমেল সুরক্ষিত]` ওয়েব ইন্টারফেসের মাধ্যমে।

একটি ডাকবাক্স থাকতে হবে[ইমেল সুরক্ষিত]`, যা ইভানভ তার আইফোন থেকে ব্যবহার করবেন।

প্রেরিত ইমেলগুলিকে অবশ্যই সমস্ত আধুনিক এন্টিস্প্যাম প্রয়োজনীয়তা মেনে চলতে হবে।
সর্বজনীন নেটওয়ার্কগুলিতে প্রদান করা এনক্রিপশনের সর্বোচ্চ স্তর থাকতে হবে৷
চিঠি পাঠানো এবং গ্রহণ উভয়ের জন্য IPv6 সমর্থন থাকা উচিত।
একটি SpamAssassin থাকা উচিত যে ইমেল মুছে ফেলবে না। এবং এটি হয় বাউন্স হবে বা এড়িয়ে যাবে বা IMAP "স্প্যাম" ফোল্ডারে পাঠাবে৷
SpamAssassin স্বয়ংক্রিয়-লার্নিং কনফিগার করা আবশ্যক: যদি আমি স্প্যাম ফোল্ডারে একটি চিঠি স্থানান্তর করি তবে এটি এখান থেকে শিখবে; আমি স্প্যাম ফোল্ডার থেকে একটি চিঠি সরানো হলে, এটি এখান থেকে শিখবে। SpamAssassin প্রশিক্ষণের ফলাফলগুলি স্প্যাম ফোল্ডারে চিঠিটি শেষ হয় কিনা তা প্রভাবিত করবে।
পিএইচপি স্ক্রিপ্টগুলি অবশ্যই একটি প্রদত্ত সার্ভারে যে কোনও ডোমেনের পক্ষে মেল পাঠাতে সক্ষম হবে।
IPv6 নেই এমন ক্লায়েন্টে IPv6 ব্যবহার করার ক্ষমতা সহ একটি openvpn পরিষেবা থাকা উচিত।

প্রথমে আপনাকে IPv6 সহ ইন্টারফেস এবং রাউটিং কনফিগার করতে হবে।
তারপরে আপনাকে OpenVPN কনফিগার করতে হবে, যা IPv4 এর মাধ্যমে সংযোগ করবে এবং ক্লায়েন্টকে একটি স্ট্যাটিক-রিয়েল IPv6 ঠিকানা প্রদান করবে। এই ক্লায়েন্টের সার্ভারে সমস্ত IPv6 পরিষেবা এবং ইন্টারনেটে যে কোনও IPv6 সংস্থানগুলিতে অ্যাক্সেস থাকবে৷
তারপরে আপনাকে অক্ষর পাঠাতে পোস্টফিক্স কনফিগার করতে হবে + SPF + DKIM + rDNS এবং অন্যান্য অনুরূপ ছোট জিনিসগুলি।
তারপর আপনাকে Dovecot কনফিগার করতে হবে এবং Multidomain কনফিগার করতে হবে।
তারপর আপনাকে SpamAssassin কনফিগার করতে হবে এবং প্রশিক্ষণ কনফিগার করতে হবে।
অবশেষে, Bind ইনস্টল করুন।

============= মাল্টি-ইন্টারফেস =============

ইন্টারফেস কনফিগার করতে, আপনাকে এটি লিখতে হবে "/etc/network/interfaces" এ।

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

এই সেটিংসগুলি tech.ru-এর যেকোনো সার্ভারে প্রয়োগ করা যেতে পারে (সহায়তার সাথে সামান্য সমন্বয়ের সাথে) এবং এটি অবিলম্বে এটির মতো কাজ করবে।

আপনার যদি Hetzner, OVH এর জন্য অনুরূপ জিনিসগুলি সেট আপ করার অভিজ্ঞতা থাকে তবে এটি সেখানে আলাদা। অধিকতর কঠিন.

eno1 হল নেটওয়ার্ক কার্ড #1 এর নাম (ধীর কিন্তু সীমাহীন)।
eno2 হল নেটওয়ার্ক কার্ড #2 এর নাম (দ্রুত, কিন্তু ট্যারিফ সহ)।
tun0 হল OpenVPN থেকে ভার্চুয়াল নেটওয়ার্ক কার্ডের নাম।
XX.XX.XX.X0 - eno4 এ IPv1 #1।
XX.XX.XX.X1 - eno4 এ IPv2 #1।
XX.XX.XX.X2 - eno4 এ IPv3 #1।
XX.XX.XX.X5 - eno4 এ IPv1 #2।
XX.XX.XX.1 - IPv4 গেটওয়ে।
XXXX:XXXX:XXXX:XXXX::/64 - সমগ্র সার্ভারের জন্য IPv6।
XXXX:XXXX:XXXX:XXXX:1:2::/96 - eno6-এর জন্য IPv2, বাইরে থেকে বাকি সবকিছু eno1-এ যায়।
XXXX:XXXX:XXXX:XXXX::1 — IPv6 গেটওয়ে (এটি লক্ষণীয় যে এটি ভিন্নভাবে করা যেতে পারে/উচিত। IPv6 সুইচটি নির্দিষ্ট করুন)।
dns-nameservers - 127.0.0.1 নির্দেশিত (কারণ বাইন্ড স্থানীয়ভাবে ইনস্টল করা হয়েছে) এবং 213.248.1.6 (এটি tech.ru থেকে)।

"টেবিল eno1t" এবং "টেবিল eno2t" - এই রুট-নিয়মগুলির অর্থ হল যে eno1 -> দিয়ে প্রবেশকারী ট্রাফিক এর মধ্য দিয়ে চলে যাবে এবং eno2 -> দিয়ে প্রবেশকারী ট্রাফিক এর মধ্য দিয়ে চলে যাবে। এবং সার্ভার দ্বারা সূচিত সংযোগগুলি eno1 এর মাধ্যমে যাবে।

ip route add default via XX.XX.XX.1 table eno1t

এই কমান্ডের সাহায্যে আমরা উল্লেখ করি যে "টেবিল eno1t" -> চিহ্নিত যেকোন নিয়মের অধীনে যে কোনও বোধগম্য ট্র্যাফিক eno1 ইন্টারফেসে পাঠানো হবে।

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

এই কমান্ডের সাহায্যে আমরা উল্লেখ করি যে সার্ভার দ্বারা শুরু করা যেকোনো ট্র্যাফিক eno1 ইন্টারফেসে নির্দেশিত হওয়া উচিত।

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

এই কমান্ডের সাহায্যে আমরা ট্রাফিক চিহ্নিত করার নিয়ম সেট করি।

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

এই ব্লকটি eno4 ইন্টারফেসের জন্য একটি দ্বিতীয় IPv1 নির্দিষ্ট করে।

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

এই কমান্ডের সাহায্যে আমরা XX.XX.XX.X4 ছাড়া OpenVPN ক্লায়েন্ট থেকে স্থানীয় IPv0-এ রুট সেট করি।
আমি এখনও বুঝতে পারছি না কেন এই কমান্ডটি সমস্ত IPv4 এর জন্য যথেষ্ট।

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

এখানেই আমরা ইন্টারফেসের জন্য ঠিকানা সেট করি। সার্ভার এটিকে একটি "আউটগোয়িং" ঠিকানা হিসেবে ব্যবহার করবে। আর কোনোভাবেই ব্যবহার করা হবে না।

কেন ":1:1::" এত জটিল? যাতে OpenVPN সঠিকভাবে এবং শুধুমাত্র এই জন্য কাজ করে। এই বিষয়ে পরে আরো.

গেটওয়ের বিষয়ে - এটি কীভাবে কাজ করে এবং এটি ঠিক আছে। কিন্তু সঠিক উপায় হল সার্ভারটি যে সুইচের সাথে সংযুক্ত রয়েছে তার IPv6 এখানে নির্দেশ করা।

যাইহোক, কিছু কারণে IPv6 কাজ করা বন্ধ করে দেয় যদি আমি এটি করি। এটি সম্ভবত tech.ru সমস্যা কিছু ধরনের.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

এটি ইন্টারফেসে একটি IPv6 ঠিকানা যোগ করছে। আপনার যদি একশটি ঠিকানার প্রয়োজন হয়, তার মানে এই ফাইলটিতে একশ লাইন।

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

আমি এটি পরিষ্কার করার জন্য সমস্ত ইন্টারফেসের ঠিকানা এবং সাবনেটগুলি নোট করেছি।
eno1 - হতে হবে "/64" - কারণ এটি আমাদের ঠিকানার সম্পূর্ণ পুল।
tun0 - সাবনেট অবশ্যই eno1 এর চেয়ে বড় হতে হবে। অন্যথায়, OpenVPN ক্লায়েন্টদের জন্য একটি IPv6 গেটওয়ে কনফিগার করা সম্ভব হবে না।
eno2 - সাবনেটটি tun0 এর চেয়ে বড় হতে হবে। অন্যথায়, OpenVPN ক্লায়েন্ট স্থানীয় IPv6 ঠিকানাগুলি অ্যাক্সেস করতে সক্ষম হবে না।
স্পষ্টতার জন্য, আমি 16-এর একটি সাবনেট ধাপ বেছে নিয়েছি, কিন্তু আপনি যদি চান, তাহলে আপনি "1" ধাপও করতে পারেন।
তদনুসারে, 64+16 = 80, এবং 80+16 = 96।

আরও বৃহত্তর স্পষ্টতার জন্য:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY হল ঠিকানা যা eno1 ইন্টারফেসে নির্দিষ্ট সাইট বা পরিষেবাগুলিতে বরাদ্দ করা উচিত৷
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY হল ঠিকানা যা eno2 ইন্টারফেসে নির্দিষ্ট সাইট বা পরিষেবাগুলিতে বরাদ্দ করা উচিত৷
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY হল ঠিকানা যা OpenVPN ক্লায়েন্টদের জন্য বরাদ্দ করা উচিত বা OpenVPN পরিষেবা ঠিকানা হিসাবে ব্যবহার করা উচিত৷

নেটওয়ার্ক কনফিগার করতে, সার্ভারটি পুনরায় চালু করা সম্ভব হওয়া উচিত।
আইপিভি 4 পরিবর্তনগুলি কার্যকর করার সময় তোলা হয় (এটি স্ক্রিনে মোড়ানো নিশ্চিত করুন - অন্যথায় এই কমান্ডটি সার্ভারে নেটওয়ার্ক ক্র্যাশ করবে):

/etc/init.d/networking restart

ফাইলের শেষে যোগ করুন “/etc/iproute2/rt_tables”:

100 eno1t
101 eno2t

এটি ছাড়া, আপনি "/etc/network/interfaces" ফাইলে কাস্টম টেবিল ব্যবহার করতে পারবেন না।
সংখ্যাগুলি অবশ্যই অনন্য এবং 65535 এর কম হতে হবে।

IPv6 পরিবর্তনগুলি রিবুট না করে সহজেই পরিবর্তন করা যেতে পারে, তবে এটি করার জন্য আপনাকে কমপক্ষে তিনটি কমান্ড শিখতে হবে:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

"/etc/sysctl.conf" সেট করা হচ্ছে

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

এগুলি আমার সার্ভারের "sysctl" সেটিংস। আমাকে কিছু গুরুত্বপূর্ণ উল্লেখ করা যাক.

net.ipv4.ip_forward = 1

এটি ছাড়া, OpenVPN মোটেই কাজ করবে না।

net.ipv6.ip_nonlocal_bind = 1

ইন্টারফেস চালু হওয়ার পরপরই যে কেউ IPv6 (উদাহরণস্বরূপ nginx) আবদ্ধ করার চেষ্টা করে সে একটি ত্রুটি পাবে। যে এই ঠিকানা পাওয়া যায় না.

এমন পরিস্থিতি এড়াতে এমন সেটিং করা হয়।

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

এই IPv6 সেটিংস ছাড়া, OpenVPN ক্লায়েন্ট থেকে ট্রাফিক বিশ্বের বাইরে যায় না।

অন্যান্য সেটিংস হয় প্রাসঙ্গিক নয় বা সেগুলি কীসের জন্য তা আমার মনে নেই।
কিন্তু শুধুমাত্র ক্ষেত্রে, আমি এটি "যেমন আছে" রেখেছি।

সার্ভার রিবুট না করেই এই ফাইলে পরিবর্তনগুলি নেওয়ার জন্য, আপনাকে কমান্ডটি চালাতে হবে:

sysctl -p

"টেবিল" নিয়ম সম্পর্কে আরও বিশদ: habr.com/post/108690

============= OpenVPN =============

OpenVPN IPv4 iptables ছাড়া কাজ করে না।

আমার iptables ভিপিএন এর জন্য এই মত:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY স্থানীয় মেশিনের আমার স্ট্যাটিক IPv4 ঠিকানা।
10.8.0.0/24 - IPv4 openvpn নেটওয়ার্ক। Openvpn ক্লায়েন্টদের জন্য IPv4 ঠিকানা।
নিয়মের ধারাবাহিকতা গুরুত্বপূর্ণ।

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

এটি একটি সীমাবদ্ধতা যাতে শুধুমাত্র আমি আমার স্ট্যাটিক আইপি থেকে OpenVPN ব্যবহার করতে পারি।

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN ক্লায়েন্ট এবং ইন্টারনেটের মধ্যে IPv4 প্যাকেট ফরওয়ার্ড করতে, আপনাকে এই কমান্ডগুলির মধ্যে একটি নিবন্ধন করতে হবে।

বিভিন্ন ক্ষেত্রে, বিকল্পগুলির মধ্যে একটি উপযুক্ত নয়।
উভয় কমান্ড আমার ক্ষেত্রে উপযুক্ত।
ডকুমেন্টেশন পড়ার পরে, আমি প্রথম বিকল্পটি বেছে নিয়েছি কারণ এটি কম CPU ব্যবহার করে।

রিবুট করার পরে সমস্ত iptables সেটিংস বাছাই করার জন্য, আপনাকে সেগুলি কোথাও সংরক্ষণ করতে হবে।

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

এই ধরনের নাম সুযোগ দ্বারা নির্বাচিত করা হয়নি. এগুলি "iptables-persistent" প্যাকেজ দ্বারা ব্যবহৃত হয়।

apt-get install iptables-persistent

প্রধান OpenVPN প্যাকেজ ইনস্টল করা হচ্ছে:

apt-get install openvpn easy-rsa

আসুন শংসাপত্রের জন্য একটি টেমপ্লেট সেট আপ করি (আপনার মানগুলি প্রতিস্থাপন করুন):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

শংসাপত্র টেমপ্লেট সেটিংস সম্পাদনা করা যাক:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

একটি সার্ভার শংসাপত্র তৈরি করুন:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

আসুন চূড়ান্ত "client-name.opvn" ফাইল তৈরি করার ক্ষমতা প্রস্তুত করি:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

আসুন একটি স্ক্রিপ্ট প্রস্তুত করি যা সমস্ত ফাইলকে একটি একক opvn ফাইলে একত্রিত করবে।

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

প্রথম OpenVPN ক্লায়েন্ট তৈরি করা হচ্ছে:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

"~/client-configs/files/client-name.ovpn" ফাইলটি ক্লায়েন্টের ডিভাইসে পাঠানো হয়।

iOS ক্লায়েন্টদের জন্য আপনাকে নিম্নলিখিত কৌশলটি করতে হবে:
"tls-auth" ট্যাগের বিষয়বস্তু অবশ্যই মন্তব্য ছাড়াই হতে হবে।
এবং "tls-auth" ট্যাগের ঠিক আগে "কী-নির্দেশ 1" রাখুন।

আসুন OpenVPN সার্ভার কনফিগার কনফিগার করি:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

প্রতিটি ক্লায়েন্টের জন্য একটি স্ট্যাটিক ঠিকানা সেট করার জন্য এটি প্রয়োজন (প্রয়োজনীয় নয়, তবে আমি এটি ব্যবহার করি):

# Client config dir
client-config-dir /etc/openvpn/ccd

সবচেয়ে কঠিন এবং মূল বিবরণ.

দুর্ভাগ্যবশত, OpenVPN এখনও ক্লায়েন্টদের জন্য একটি IPv6 গেটওয়ে স্বাধীনভাবে কনফিগার করতে জানে না।
আপনাকে প্রতিটি ক্লায়েন্টের জন্য এটি "ম্যানুয়ালি" ফরোয়ার্ড করতে হবে।

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

ফাইল “/etc/openvpn/server-clientconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

ফাইল “/etc/openvpn/server-clientdisconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

উভয় স্ক্রিপ্ট ফাইল ব্যবহার করে "/etc/openvpn/variables":

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

মনে করতে কষ্ট হয় কেন এমন লেখা।

এখন নেটমাস্ক = 112 অদ্ভুত দেখাচ্ছে (এটি সেখানে 96 হওয়া উচিত)।
এবং উপসর্গটি অদ্ভুত, এটি tun0 নেটওয়ার্কের সাথে মেলে না।
কিন্তু ঠিক আছে, আমি এটা যেমন আছে ছেড়ে দেব.

cipher DES-EDE3-CBC

এটি সবার জন্য নয় - আমি সংযোগটি এনক্রিপ্ট করার এই পদ্ধতিটি বেছে নিয়েছি।

OpenVPN IPv4 সেট আপ সম্পর্কে আরও জানুন।

OpenVPN IPv6 সেট আপ সম্পর্কে আরও জানুন।

============== পোস্টফিক্স =============

প্রধান প্যাকেজ ইনস্টল করা হচ্ছে:

apt-get install postfix

ইনস্টল করার সময়, "ইন্টারনেট সাইট" নির্বাচন করুন।

আমার "/etc/postfix/main.cf" এর মত দেখাচ্ছে:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

আসুন এই কনফিগারেশনের বিস্তারিত দেখুন।

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

খাব্রোভস্কের বাসিন্দাদের মতে, এই ব্লকে "ভুল তথ্য এবং ভুল থিসিস" রয়েছে।আমার কর্মজীবন শুরু হওয়ার মাত্র 8 বছর পরে আমি বুঝতে শুরু করেছি কিভাবে SSL কাজ করে।

অতএব, আমি কীভাবে SSL ব্যবহার করতে হয় তা বর্ণনা করার স্বাধীনতা নেব ("এটি কীভাবে কাজ করে?" এবং "কেন এটি কাজ করে?" প্রশ্নের উত্তর না দিয়ে)।

আধুনিক এনক্রিপশনের ভিত্তি হল একটি কী জোড়া (অক্ষরের দুটি খুব দীর্ঘ স্ট্রিং) তৈরি করা।

একটি "কী" ব্যক্তিগত, অন্য কী "পাবলিক"। আমরা প্রাইভেট কী খুব সাবধানে গোপন রাখি। আমরা সবার কাছে পাবলিক চাবি বিতরণ করি।

একটি সর্বজনীন কী ব্যবহার করে, আপনি পাঠ্যের একটি স্ট্রিং এনক্রিপ্ট করতে পারেন যাতে শুধুমাত্র ব্যক্তিগত কীটির মালিক এটিকে ডিক্রিপ্ট করতে পারে।
ঠিক আছে, এটি প্রযুক্তির পুরো ভিত্তি।

ধাপ #1 - https সাইট।
একটি সাইট অ্যাক্সেস করার সময়, ব্রাউজার ওয়েব সার্ভার থেকে জানতে পারে যে সাইটটি https এবং তাই একটি পাবলিক কী অনুরোধ করে।
ওয়েব সার্ভার পাবলিক কী দেয়। HTTP-অনুরোধ এনক্রিপ্ট করতে এবং পাঠাতে ব্রাউজার সর্বজনীন কী ব্যবহার করে।
একটি http-অনুরোধের বিষয়বস্তু শুধুমাত্র তারাই পড়তে পারে যাদের কাছে প্রাইভেট কী আছে, অর্থাৎ শুধুমাত্র সেই সার্ভারের কাছে যা অনুরোধ করা হয়েছে।
Http-অনুরোধে অন্তত একটি URI রয়েছে। অতএব, যদি একটি দেশ সমগ্র সাইটে নয়, একটি নির্দিষ্ট পৃষ্ঠায় অ্যাক্সেস সীমাবদ্ধ করার চেষ্টা করে, তাহলে https সাইটের জন্য এটি করা অসম্ভব।

ধাপ #2 - এনক্রিপ্ট করা প্রতিক্রিয়া।
ওয়েব সার্ভার একটি উত্তর প্রদান করে যা রাস্তায় সহজেই পড়া যায়।
সমাধানটি অত্যন্ত সহজ - ব্রাউজার স্থানীয়ভাবে প্রতিটি https সাইটের জন্য একই ব্যক্তিগত-পাবলিক কী জোড়া তৈরি করে।
এবং সাইটের সর্বজনীন কী অনুরোধের সাথে, এটি তার স্থানীয় পাবলিক কী পাঠায়।
ওয়েব সার্ভার এটি মনে রাখে এবং, যখন http-প্রতিক্রিয়া পাঠায়, একটি নির্দিষ্ট ক্লায়েন্টের সর্বজনীন কী দিয়ে এটি এনক্রিপ্ট করে।
এখন http-প্রতিক্রিয়া শুধুমাত্র ক্লায়েন্টের ব্রাউজার প্রাইভেট কী (অর্থাৎ ক্লায়েন্ট নিজেই) এর মালিক দ্বারা ডিক্রিপ্ট করা যেতে পারে।

ধাপ নং 3 - একটি পাবলিক চ্যানেলের মাধ্যমে একটি নিরাপদ সংযোগ স্থাপন করা।
উদাহরণ নং 2-এ একটি দুর্বলতা রয়েছে - শুভাকাঙ্ক্ষীদের একটি http-অনুরোধ এবং পাবলিক কী সম্পর্কে তথ্য সম্পাদনা করতে বাধা দিতে কিছুই বাধা দেয় না।
এইভাবে, যোগাযোগ চ্যানেল পরিবর্তন না হওয়া পর্যন্ত মধ্যস্থতাকারী প্রেরিত এবং প্রাপ্ত বার্তাগুলির সমস্ত বিষয়বস্তু স্পষ্টভাবে দেখতে পাবে।
এটির সাথে মোকাবিলা করা অত্যন্ত সহজ - ওয়েব সার্ভারের সর্বজনীন কী দিয়ে এনক্রিপ্ট করা একটি বার্তা হিসাবে ব্রাউজারের সর্বজনীন কী পাঠান।
ওয়েব সার্ভার প্রথমে একটি প্রতিক্রিয়া পাঠায় যেমন "আপনার সর্বজনীন কী এই রকম" এবং এই বার্তাটিকে একই পাবলিক কী দিয়ে এনক্রিপ্ট করে।
ব্রাউজারটি প্রতিক্রিয়াটি দেখে - যদি "আপনার সর্বজনীন কী এই রকম" বার্তাটি প্রাপ্ত হয় - তবে এটি একটি 100% গ্যারান্টি যে এই যোগাযোগ চ্যানেলটি সুরক্ষিত৷
এটা কতটা নিরাপদ?
এই ধরনের একটি সুরক্ষিত যোগাযোগ চ্যানেলের সৃষ্টিটি পিং*2 এর গতিতে ঘটে। উদাহরণস্বরূপ 20ms।
আক্রমণকারীর কাছে অবশ্যই একটি পক্ষের ব্যক্তিগত চাবি থাকতে হবে। অথবা কয়েক মিলিসেকেন্ডের মধ্যে একটি ব্যক্তিগত কী খুঁজুন।
একটি আধুনিক ব্যক্তিগত কী হ্যাক করতে একটি সুপার কম্পিউটারে কয়েক দশক সময় লাগবে।

ধাপ #4 - পাবলিক কীগুলির সর্বজনীন ডাটাবেস।
স্পষ্টতই, এই পুরো গল্পে একজন আক্রমণকারীর জন্য ক্লায়েন্ট এবং সার্ভারের মধ্যে যোগাযোগের চ্যানেলে বসার সুযোগ রয়েছে।
ক্লায়েন্ট সার্ভার হওয়ার ভান করতে পারে এবং সার্ভার ক্লায়েন্ট হওয়ার ভান করতে পারে। এবং উভয় দিকে এক জোড়া কী অনুকরণ করুন।
তারপর আক্রমণকারী সমস্ত ট্র্যাফিক দেখতে পাবে এবং ট্র্যাফিক "সম্পাদনা" করতে সক্ষম হবে।
উদাহরণস্বরূপ, ঠিকানা পরিবর্তন করুন যেখানে টাকা পাঠাতে হবে বা অনলাইন ব্যাঙ্কিং থেকে পাসওয়ার্ড কপি করুন বা "আপত্তিকর" সামগ্রী ব্লক করুন৷
এই ধরনের আক্রমণকারীদের মোকাবেলা করার জন্য, তারা প্রতিটি https সাইটের জন্য পাবলিক কী সহ একটি পাবলিক ডাটাবেস নিয়ে এসেছিল।
প্রতিটি ব্রাউজার প্রায় 200টি ডাটাবেসের অস্তিত্ব সম্পর্কে "জানে"। এটি প্রতিটি ব্রাউজারে আগে থেকে ইনস্টল করা হয়।
"জ্ঞান" প্রতিটি শংসাপত্র থেকে একটি পাবলিক কী দ্বারা সমর্থিত। অর্থাৎ, প্রতিটি নির্দিষ্ট সার্টিফিকেশন কর্তৃপক্ষের সাথে সংযোগ জাল করা যাবে না।

এখন https এর জন্য SSL কিভাবে ব্যবহার করতে হয় সে সম্পর্কে একটি সহজ বোধগম্যতা রয়েছে।
আপনি যদি আপনার মস্তিষ্ক ব্যবহার করেন তবে এটি পরিষ্কার হয়ে যাবে যে কীভাবে বিশেষ পরিষেবাগুলি এই কাঠামোতে কিছু হ্যাক করতে পারে। কিন্তু এটা তাদের দানবীয় প্রচেষ্টা খরচ হবে.
এবং এনএসএ বা সিআইএ-এর চেয়ে ছোট সংস্থাগুলি - ভিআইপিদের জন্যও বিদ্যমান সুরক্ষার স্তর হ্যাক করা প্রায় অসম্ভব।

আমি ssh সংযোগ সম্পর্কেও যোগ করব। সেখানে কোন পাবলিক কী নেই, তাই আপনি কি করতে পারেন? সমস্যা দুটি উপায়ে সমাধান করা হয়.
বিকল্প ssh-বাই-পাসওয়ার্ড:
প্রথম সংযোগের সময়, ssh ক্লায়েন্টকে সতর্ক করা উচিত যে আমাদের কাছে ssh সার্ভার থেকে একটি নতুন পাবলিক কী আছে।
এবং পরবর্তী সংযোগের সময়, যদি সতর্কতা "ssh সার্ভার থেকে নতুন সর্বজনীন কী" উপস্থিত হয়, তাহলে এর অর্থ হবে যে তারা আপনার কথা শোনার চেষ্টা করছে৷
অথবা আপনি আপনার প্রথম সংযোগে কান ধরেছেন, কিন্তু এখন আপনি মধ্যস্থতাকারী ছাড়াই সার্ভারের সাথে যোগাযোগ করছেন।
প্রকৃতপক্ষে, ওয়্যারট্যাপিংয়ের সত্যটি সহজে, দ্রুত এবং অনায়াসে প্রকাশিত হওয়ার কারণে, এই আক্রমণটি শুধুমাত্র একটি নির্দিষ্ট ক্লায়েন্টের জন্য বিশেষ ক্ষেত্রে ব্যবহৃত হয়।

বিকল্প ssh-বাই-কি:
আমরা একটি ফ্ল্যাশ ড্রাইভ নিই, এটিতে ssh সার্ভারের জন্য ব্যক্তিগত কী লিখি (এর জন্য শর্তাবলী এবং অনেকগুলি গুরুত্বপূর্ণ সূক্ষ্মতা রয়েছে, তবে আমি একটি শিক্ষামূলক প্রোগ্রাম লিখছি, ব্যবহারের জন্য নির্দেশাবলী নয়)।
আমরা ssh ক্লায়েন্ট যেখানে থাকবে সেই মেশিনে পাবলিক কী রেখে দেই এবং আমরা এটি গোপন রাখি।
আমরা ফ্ল্যাশ ড্রাইভটি সার্ভারে নিয়ে আসি, এটি সন্নিবেশ করি, ব্যক্তিগত কীটি অনুলিপি করি এবং ফ্ল্যাশ ড্রাইভটি পুড়িয়ে ফেলি এবং ছাইকে বাতাসে ছড়িয়ে দিই (বা অন্তত শূন্য দিয়ে এটিকে বিন্যাস করুন)।
এই সব - এই ধরনের একটি অপারেশন পরে এই ধরনের একটি ssh সংযোগ হ্যাক করা অসম্ভব হবে। অবশ্যই, 10 বছরে একটি সুপার কম্পিউটারে ট্রাফিক দেখা সম্ভব হবে - কিন্তু এটি একটি ভিন্ন গল্প।

আমি অফটপিক জন্য ক্ষমাপ্রার্থী.

তাই এখন যে তত্ত্ব জানা যায়। আমি আপনাকে একটি SSL শংসাপত্র তৈরির প্রবাহ সম্পর্কে বলব।

"openssl genrsa" ব্যবহার করে আমরা একটি প্রাইভেট কী তৈরি করি এবং পাবলিক কী-এর জন্য "খালি" তৈরি করি।
আমরা একটি তৃতীয় পক্ষের কোম্পানিতে "খালি জায়গা" পাঠাই, যেখানে আমরা সবচেয়ে সহজ শংসাপত্রের জন্য প্রায় $9 প্রদান করি।

কয়েক ঘন্টা পরে, আমরা এই তৃতীয় পক্ষের কোম্পানি থেকে আমাদের "পাবলিক" কী এবং বেশ কয়েকটি পাবলিক কীগুলির একটি সেট পাই৷

কেন একটি তৃতীয় পক্ষের কোম্পানি আমার পাবলিক কী নিবন্ধনের জন্য অর্থ প্রদান করবে একটি পৃথক প্রশ্ন, আমরা এখানে এটি বিবেচনা করব না।

এখন শিলালিপিটির অর্থ কী তা স্পষ্ট:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

"/etc/ssl" ফোল্ডারে ssl সমস্যার জন্য সমস্ত ফাইল রয়েছে।
domain1.com — ডোমেইন নাম।
2018 হল মূল সৃষ্টির বছর।
"কী" - উপাধি যে ফাইলটি একটি ব্যক্তিগত কী।

এবং এই ফাইলের অর্থ:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com — ডোমেইন নাম।
2018 হল মূল সৃষ্টির বছর।
শৃঙ্খলিত - পদবী যে পাবলিক কীগুলির একটি চেইন রয়েছে (প্রথমটি আমাদের সর্বজনীন কী এবং বাকিগুলি যা পাবলিক কী জারিকারী সংস্থার কাছ থেকে এসেছে)।
crt - একটি রেডিমেড সার্টিফিকেট আছে এমন উপাধি (প্রযুক্তিগত ব্যাখ্যা সহ পাবলিক কী)।

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

এই সেটিং এই ক্ষেত্রে ব্যবহার করা হয় না, কিন্তু একটি উদাহরণ হিসাবে লেখা হয়.

কারণ এই প্যারামিটারে ত্রুটির কারণে আপনার সার্ভার থেকে স্প্যাম পাঠানো হবে (আপনার ইচ্ছা ছাড়াই)।

তারপর সকলের কাছে প্রমাণ করুন যে আপনি দোষী নন।

recipient_delimiter = +

অনেকেই হয়তো জানেন না, কিন্তু এটি র‍্যাঙ্কিং ইমেলের জন্য একটি আদর্শ অক্ষর, এবং এটি বেশিরভাগ আধুনিক মেল সার্ভার দ্বারা সমর্থিত।

উদাহরণস্বরূপ, যদি আপনার একটি মেইলবক্স থাকে "[ইমেল সুরক্ষিত]"এ পাঠানোর চেষ্টা করুন"[ইমেল সুরক্ষিত]"- দেখো তাতে কি আসে যায়।

inet_protocols = ipv4

এই বিভ্রান্তিকর হতে পারে.

কিন্তু এটা ঠিক যে মত না. প্রতিটি নতুন ডোমেন ডিফল্টরূপে শুধুমাত্র IPv4, তারপর আমি প্রত্যেকটির জন্য আলাদাভাবে IPv6 চালু করি।

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

এখানে আমরা উল্লেখ করছি যে সমস্ত ইনকামিং মেল ডভকোটে যায়।
এবং ডোমেইন, মেইলবক্স, উপনাম-এর নিয়মাবলী ডাটাবেসে দেখুন।

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

এখন পোস্টফিক্স জানে যে ডভকোট দিয়ে অনুমোদনের পরেই আরও পাঠানোর জন্য মেইল ​​গ্রহণ করা যেতে পারে।

আমি সত্যিই বুঝতে পারছি না কেন এটি এখানে নকল করা হয়েছে। আমরা ইতিমধ্যেই "ভার্চুয়াল_ট্রান্সপোর্ট"-এ প্রয়োজনীয় সবকিছু উল্লেখ করেছি।

কিন্তু পোস্টফিক্স সিস্টেম খুব পুরানো - সম্ভবত এটি পুরানো দিনের থেকে একটি থ্রোব্যাক।

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

এটি প্রতিটি মেল সার্ভারের জন্য আলাদাভাবে কনফিগার করা যেতে পারে।

আমার হাতে 3টি মেল সার্ভার রয়েছে এবং বিভিন্ন ব্যবহারের প্রয়োজনীয়তার কারণে এই সেটিংসগুলি খুব আলাদা।

আপনাকে এটিকে সাবধানে কনফিগার করতে হবে - অন্যথায় স্প্যাম আপনার কাছে ঢেলে দেবে, বা আরও খারাপ - আপনার থেকে স্প্যাম ঢেলে যাবে৷

# SPF
policyd-spf_time_limit = 3600

ইনকামিং অক্ষরগুলির SPF চেক করার সাথে সম্পর্কিত কিছু প্লাগইন সেট আপ করা হচ্ছে।

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

সেটিং হল যে সমস্ত বহির্গামী ইমেলের সাথে আমাদের অবশ্যই একটি DKIM স্বাক্ষর প্রদান করতে হবে।

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

পিএইচপি স্ক্রিপ্ট থেকে চিঠি পাঠানোর সময় এটি অক্ষর রাউটিং একটি মূল বিশদ।

ফাইল “/etc/postfix/sdd_transport.pcre”:

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

বাম দিকে রেগুলার এক্সপ্রেশন আছে। ডানদিকে একটি লেবেল যা চিঠিটিকে চিহ্নিত করে।
লেবেল অনুসারে পোস্টফিক্স - একটি নির্দিষ্ট চিঠির জন্য আরও কয়েকটি কনফিগারেশন লাইন বিবেচনা করবে।

একটি নির্দিষ্ট অক্ষরের জন্য ঠিক কিভাবে পোস্টফিক্স পুনরায় কনফিগার করা হবে তা “master.cf”-এ নির্দেশিত হবে।

লাইন 4, 5, 6 প্রধান বেশী. কোন ডোমেইনের পক্ষ থেকে আমরা চিঠিটি পাঠাচ্ছি, আমরা এই লেবেলটি দিয়েছি।
কিন্তু পুরানো কোডের পিএইচপি স্ক্রিপ্টগুলিতে "থেকে" ক্ষেত্রটি সর্বদা নির্দেশিত হয় না। তারপর ব্যবহারকারীর নাম উদ্ধার আসে.

নিবন্ধটি ইতিমধ্যে বিস্তৃত - আমি nginx+fpm সেট আপ করে বিভ্রান্ত হতে চাই না।

সংক্ষেপে, প্রতিটি সাইটের জন্য আমরা তার নিজস্ব লিনাক্স-ব্যবহারকারীর মালিক সেট করি। এবং সেই অনুযায়ী আপনার fpm-পুল।

Fpm-pool php-এর যেকোনো সংস্করণ ব্যবহার করে (একই সার্ভারে আপনি php-এর বিভিন্ন সংস্করণ এমনকি পার্শ্ববর্তী সাইটগুলির জন্য সমস্যা ছাড়াই বিভিন্ন php.ini ব্যবহার করতে পারলে এটি দুর্দান্ত)।

সুতরাং, একটি নির্দিষ্ট লিনাক্স-ব্যবহারকারী "www-domain2" এর একটি ওয়েবসাইট domain2.com আছে। এই সাইটে থেকে ক্ষেত্র নির্দিষ্ট না করে ইমেল পাঠানোর জন্য একটি কোড আছে।

সুতরাং, এমনকি এই ক্ষেত্রেও, চিঠিগুলি সঠিকভাবে পাঠানো হবে এবং কখনই স্প্যামে শেষ হবে না।

আমার "/etc/postfix/master.cf" এর মত দেখাচ্ছে:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

ফাইলটি সম্পূর্ণরূপে প্রদান করা হয়নি - এটি ইতিমধ্যেই অনেক বড়৷
আমি শুধু কি পরিবর্তন করা হয়েছে নোট.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

এগুলি স্প্যামাসাসিন সম্পর্কিত সেটিংস, এর পরে আরও কিছু।

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

আমরা আপনাকে পোর্ট 587 এর মাধ্যমে মেল সার্ভারের সাথে সংযোগ করার অনুমতি দিই।
এটি করতে, আপনাকে লগ ইন করতে হবে।

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

এসপিএফ চেক সক্ষম করুন।

apt-get install postfix-policyd-spf-python

উপরে SPF চেকের জন্য প্যাকেজটি ইনস্টল করা যাক।

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

এবং এটি সবচেয়ে আকর্ষণীয় জিনিস। এটি একটি নির্দিষ্ট IPv4/IPv6 ঠিকানা থেকে একটি নির্দিষ্ট ডোমেনের জন্য চিঠি পাঠানোর ক্ষমতা।

এটি rDNS এর জন্য করা হয়। rDNS হল IP ঠিকানা দ্বারা একটি স্ট্রিং গ্রহণের প্রক্রিয়া।
এবং মেলের জন্য, এই বৈশিষ্ট্যটি নিশ্চিত করতে ব্যবহৃত হয় যে হেলোটি যে ঠিকানা থেকে ইমেলটি পাঠানো হয়েছিল তার rDNS-এর সাথে ঠিক মেলে।

যদি হেলো ইমেল ডোমেনের সাথে মেলে না যার পক্ষে চিঠিটি পাঠানো হয়েছিল, স্প্যাম পয়েন্ট দেওয়া হয়।

হেলো আরডিএনএস-এর সাথে মেলে না - প্রচুর স্প্যাম পয়েন্ট দেওয়া হয়।
তদনুসারে, প্রতিটি ডোমেনের নিজস্ব আইপি ঠিকানা থাকতে হবে।
OVH-এর জন্য - কনসোলে rDNS নির্দিষ্ট করা সম্ভব।
tech.ru এর জন্য - সমস্যাটি সমর্থনের মাধ্যমে সমাধান করা হয়েছে।
AWS-এর জন্য, সহায়তার মাধ্যমে সমস্যাটি সমাধান করা হয়।
"inet_protocols" এবং "smtp_bind_address6" - আমরা IPv6 সমর্থন সক্ষম করি।
IPv6 এর জন্য আপনাকে rDNS নিবন্ধন করতে হবে।
"syslog_name" - এবং এটি লগ পড়ার সুবিধার জন্য।

সার্টিফিকেট কিনুন আমি এখানে সুপারিশ.

পোস্টফিক্স+ডোভকোট লিঙ্ক এখানে সেট আপ করা হচ্ছে.

SPF সেট করা।

============== ঘুঘু =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

মাইএসকিউএল সেট আপ করা, প্যাকেজগুলি নিজেরাই ইনস্টল করা।

ফাইল "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

অনুমোদন শুধুমাত্র এনক্রিপ্ট করা হয়.

ফাইল "/etc/dovecot/conf.d/10-mail.conf"

mail_location = maildir:/var/mail/vhosts/%d/%n

এখানে আমরা অক্ষরের জন্য স্টোরেজ অবস্থান নির্দেশ করি।

আমি সেগুলিকে ফাইলগুলিতে সংরক্ষণ করতে এবং ডোমেন দ্বারা গোষ্ঠীবদ্ধ করতে চাই৷

ফাইল "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

এটি প্রধান ডভকোট কনফিগারেশন ফাইল।
এখানে আমরা অসুরক্ষিত সংযোগ নিষ্ক্রিয় করি।
এবং সুরক্ষিত সংযোগ সক্ষম করুন।

ফাইল "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

এসএসএল সেট আপ করা হচ্ছে। আমরা নির্দেশ করি যে এসএসএল প্রয়োজন।
এবং সার্টিফিকেট নিজেই। এবং একটি গুরুত্বপূর্ণ বিশদ হল "স্থানীয়" নির্দেশিকা। কোন স্থানীয় IPv4 এর সাথে সংযোগ করার সময় কোন SSL শংসাপত্র ব্যবহার করতে হবে তা নির্দেশ করে৷

যাইহোক, IPv6 এখানে কনফিগার করা হয়নি, আমি পরে এই বাদ সংশোধন করব।
XX.XX.XX.X5 (ডোমেইন2) - কোনো শংসাপত্র নেই। ক্লায়েন্টদের সাথে সংযোগ করতে আপনাকে domain1.com নির্দিষ্ট করতে হবে।
XX.XX.XX.X2 (ডোমেইন3) - একটি শংসাপত্র আছে, আপনি ক্লায়েন্টদের সাথে সংযোগ করতে domain1.com বা domain3.com নির্দিষ্ট করতে পারেন।

ফাইল "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

এটি ভবিষ্যতে spamassassin জন্য প্রয়োজন হবে.

ফাইল "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

এটি একটি এন্টিস্প্যাম প্লাগইন। "স্প্যাম" ফোল্ডারে/থেকে স্থানান্তরের সময় স্প্যামাসাসিন প্রশিক্ষণের জন্য প্রয়োজন।

ফাইল "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

ঠিক যেমন একটি ফাইল আছে.

ফাইল “/etc/dovecot/conf.d/20-lmtp.conf”

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

lmtp সেট আপ করা হচ্ছে।

ফাইল "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

স্প্যাম ফোল্ডারে/থেকে স্থানান্তরের সময় স্প্যামাসাসিন প্রশিক্ষণ সেটিংস।

ফাইল "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

একটি ফাইল যা আগত অক্ষরগুলির সাথে কী করতে হবে তা নির্দিষ্ট করে৷

ফাইল "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

আপনাকে ফাইলটি কম্পাইল করতে হবে: "sievec default.sieve"।

ফাইল "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

অনুমোদনের জন্য sql ফাইল নির্দিষ্ট করা।
এবং ফাইল নিজেই অনুমোদনের একটি পদ্ধতি হিসাবে ব্যবহৃত হয়।

ফাইল "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

এটি পোস্টফিক্সের জন্য অনুরূপ সেটিংসের সাথে মিলে যায়।

ফাইল "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

প্রধান কনফিগারেশন ফাইল।
গুরুত্বপূর্ণ বিষয় হল যে আমরা এখানে নির্দেশ করি - প্রোটোকল যোগ করুন।

============= SpamAssassin ==============

apt-get install spamassassin spamc

প্যাকেজ ইনস্টল করা যাক.

adduser spamd --disabled-login

এর কার পক্ষে একজন ব্যবহারকারী যোগ করা যাক.

systemctl enable spamassassin.service

আমরা লোড হওয়ার পরে স্বয়ংক্রিয় লোডিং স্প্যামাসাসিন পরিষেবা সক্ষম করি৷

ফাইল "/etc/default/spamassassin":

CRON=1

"ডিফল্টরূপে" নিয়মগুলির স্বয়ংক্রিয় আপডেট সক্ষম করে৷

ফাইল "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

আপনাকে mysql-এ একটি ডাটাবেস "sa" তৈরি করতে হবে ব্যবহারকারীর সাথে "sa" পাসওয়ার্ড দিয়ে "পাসওয়ার্ড" (পর্যাপ্ত কিছু দিয়ে প্রতিস্থাপন করুন)।

রিপোর্ট_সেফ - এটি একটি চিঠির পরিবর্তে স্প্যাম ইমেলের একটি প্রতিবেদন পাঠাবে।
use_bayes হল স্প্যামাসাসিন মেশিন লার্নিং সেটিংস।

অবশিষ্ট স্প্যামাসাসিন সেটিংস নিবন্ধে আগে ব্যবহার করা হয়েছিল।

সাধারণ সেটিং "স্প্যামাসাসিন".
IMAP "স্প্যাম" ফোল্ডারে নতুন স্প্যাম ইমেলগুলি সরানোর বিষয়ে৷.
Dovecot + SpamAssassin এর একটি সাধারণ সমন্বয় সম্পর্কে.
imap ফোল্ডারে অক্ষর সরানোর সময় আমি স্প্যামাসাসিন শেখার তত্ত্ব পড়ার পরামর্শ দিই (এবং আমি এটি ব্যবহার করার পরামর্শ দিই না).

============= সম্প্রদায়ের কাছে আবেদন =============

আমি কীভাবে ফরোয়ার্ড করা চিঠিগুলির নিরাপত্তার স্তর বাড়ানো যায় সে সম্পর্কে সম্প্রদায়ের মধ্যে একটি ধারণা নিক্ষেপ করতে চাই৷ যেহেতু আমি মেইলের বিষয়ে গভীরভাবে নিমজ্জিত।

যাতে ব্যবহারকারী তার ক্লায়েন্টে একজোড়া কী তৈরি করতে পারে (আউটলুক, থান্ডারবার্ড, ব্রাউজার-প্লাগইন, ...)। সরকারি ও বেসরকারি। সর্বজনীন - DNS এ পাঠান। ব্যক্তিগত - ক্লায়েন্ট সংরক্ষণ করুন. মেল সার্ভারগুলি একটি নির্দিষ্ট প্রাপককে পাঠাতে একটি পাবলিক কী ব্যবহার করতে সক্ষম হবে।

এবং এই জাতীয় অক্ষরগুলির সাথে স্প্যাম থেকে রক্ষা করার জন্য (হ্যাঁ, মেল সার্ভার সামগ্রীটি দেখতে সক্ষম হবে না) - আপনাকে 3 টি নিয়ম চালু করতে হবে:

1. বাধ্যতামূলক বাস্তব DKIM স্বাক্ষর, বাধ্যতামূলক SPF, বাধ্যতামূলক rDNS।
2. অ্যান্টিস্প্যাম প্রশিক্ষণের বিষয়ে একটি নিউরাল নেটওয়ার্ক + ক্লায়েন্ট সাইডে এটির জন্য একটি ডাটাবেস।
3. এনক্রিপশন অ্যালগরিদম অবশ্যই এমন হতে হবে যাতে প্রেরণকারী পক্ষকে অবশ্যই প্রাপ্ত পক্ষের তুলনায় এনক্রিপশনে 100 গুণ বেশি CPU শক্তি ব্যয় করতে হবে।

পাবলিক চিঠির পাশাপাশি, "নিরাপদ চিঠিপত্র শুরু করতে" একটি আদর্শ প্রস্তাবপত্র তৈরি করুন। ব্যবহারকারীদের একজন (মেইলবক্স) অন্য মেলবক্সে একটি সংযুক্তি সহ একটি চিঠি পাঠায়। চিঠিতে চিঠিপত্রের জন্য একটি নিরাপদ যোগাযোগ চ্যানেল শুরু করার জন্য একটি পাঠ্য প্রস্তাব এবং মেলবক্সের মালিকের সর্বজনীন কী (ক্লায়েন্টের পাশে একটি ব্যক্তিগত কী সহ) রয়েছে।

এমনকি আপনি প্রতিটি চিঠিপত্রের জন্য বিশেষভাবে কয়েকটি কী তৈরি করতে পারেন। প্রাপক ব্যবহারকারী এই অফারটি গ্রহণ করতে পারেন এবং তার সর্বজনীন কী পাঠাতে পারেন (এছাড়াও এই চিঠিপত্রের জন্য বিশেষভাবে তৈরি)। এর পরে, প্রথম ব্যবহারকারী একটি পরিষেবা নিয়ন্ত্রণ চিঠি পাঠায় (দ্বিতীয় ব্যবহারকারীর সর্বজনীন কী দিয়ে এনক্রিপ্ট করা) - যা প্রাপ্তির পরে দ্বিতীয় ব্যবহারকারী গঠিত যোগাযোগ চ্যানেলটিকে নির্ভরযোগ্য বিবেচনা করতে পারে। এর পরে, দ্বিতীয় ব্যবহারকারী একটি নিয়ন্ত্রণ চিঠি পাঠায় - এবং তারপরে প্রথম ব্যবহারকারী গঠিত চ্যানেলটিকে সুরক্ষিত বিবেচনা করতে পারে।

রাস্তায় কীগুলির বাধার বিরুদ্ধে লড়াই করার জন্য, প্রোটোকলটি অবশ্যই একটি ফ্ল্যাশ ড্রাইভ ব্যবহার করে কমপক্ষে একটি সর্বজনীন কী প্রেরণের সম্ভাবনা সরবরাহ করবে।

এবং সবচেয়ে গুরুত্বপূর্ণ বিষয় হল এটি সব কাজ করে (প্রশ্ন হল "কে এর জন্য অর্থ প্রদান করবে?"):
10 বছরের জন্য $3 থেকে শুরু করে পোস্টাল সার্টিফিকেট লিখুন। যা প্রেরককে ডিএনএস-এ ইঙ্গিত করার অনুমতি দেবে যে "আমার সর্বজনীন কী সেখানে রয়েছে।" এবং তারা আপনাকে একটি নিরাপদ সংযোগ শুরু করার সুযোগ দেবে। একই সময়ে, এই ধরনের সংযোগ গ্রহণ বিনামূল্যে.
gmail অবশেষে তার ব্যবহারকারীদের নগদীকরণ করছে। প্রতি 10 বছরে $3 - সুরক্ষিত চিঠিপত্রের চ্যানেল তৈরি করার অধিকার।

============= উপসংহার =============

সম্পূর্ণ নিবন্ধটি পরীক্ষা করার জন্য, আমি এক মাসের জন্য একটি ডেডিকেটেড সার্ভার ভাড়া করতে যাচ্ছিলাম এবং একটি SSL শংসাপত্র সহ একটি ডোমেন কিনতে যাচ্ছিলাম।

কিন্তু জীবনের পরিস্থিতি তৈরি হয়েছে তাই এই সমস্যাটি 2 মাস ধরে টেনেছে।
এবং তাই, যখন আমার আবার অবসর সময় ছিল, তখন প্রকাশনাটি আরও এক বছরের জন্য টেনে নিয়ে যাওয়ার ঝুঁকির পরিবর্তে আমি নিবন্ধটি যথারীতি প্রকাশ করার সিদ্ধান্ত নিয়েছি।

যদি "কিন্তু এটি পর্যাপ্ত বিশদে বর্ণনা করা হয় না" এর মতো অনেক প্রশ্ন থাকে, তাহলে সম্ভবত একটি নতুন ডোমেন এবং একটি নতুন SSL শংসাপত্র সহ একটি ডেডিকেটেড সার্ভার নেওয়ার এবং এটিকে আরও বিশদে বর্ণনা করার শক্তি থাকবে এবং বেশিরভাগ গুরুত্বপূর্ণভাবে, সমস্ত অনুপস্থিত গুরুত্বপূর্ণ বিবরণ সনাক্ত করুন।

আমি পোস্টাল সার্টিফিকেট সম্পর্কে ধারণা সম্পর্কে প্রতিক্রিয়া পেতে চাই। আপনি যদি ধারণাটি পছন্দ করেন, আমি rfc-এর জন্য একটি খসড়া লেখার শক্তি খুঁজে বের করার চেষ্টা করব।

একটি নিবন্ধের বড় অংশ অনুলিপি করার সময়, এই নিবন্ধটির একটি লিঙ্ক প্রদান করুন।
অন্য কোনো ভাষায় অনুবাদ করার সময়, এই নিবন্ধটির একটি লিঙ্ক প্রদান করুন।
আমি নিজে এটি ইংরেজিতে অনুবাদ করার চেষ্টা করব এবং ক্রস-রেফারেন্স ছেড়ে দেব।

উত্স: www.habr.com