Projektování
Mail, mail... „V současné době si každý začínající uživatel může vytvořit vlastní bezplatnou elektronickou schránku, stačí se zaregistrovat na některém z internetových portálů,“ říká Wikipedie. Takže provozování vlastního poštovního serveru je trochu zvláštní. Přesto nelituji měsíce, který jsem nad tím strávil, počítaje ode dne instalace OS do dne, kdy jsem odeslal svůj první dopis adresátovi na internet.
Ve skutečnosti lze iptv přijímače a „jednodeskový počítač založený na procesoru Baikal-T1“, stejně jako Cubieboard, Banana Pi a další zařízení vybavená mikroprocesory ARM, umístit na stejnou úroveň jako „maliny“. „Malinka“ byla vybrána jako nejagresivněji inzerovaná varianta. Najít alespoň nějaké užitečné využití pro tento „jednodeskový počítač“ trvalo více než měsíc. Nakonec jsem se rozhodl na něm spustit poštovní server, když jsem nedávno četl sci-fi román o virtuální realitě.
„Toto je skvělá vize budoucnosti webu,“ říká Wikipedie. Od data prvního zveřejnění uplynulo 20 let. Budoucnost dorazila. Bez sedmi tisíc předplatitelů, deseti tisíc rublů „měsíčního příjmu pro můj web“ atd. se mi to však nezdá skvělé. Což mě pravděpodobně posunulo směrem k „decentralizovaným sociálním sítím“ se „skrovným počtem lajků u jejich příspěvků (nových uživatelů – N.M.), registraci domény a spuštění vlastního serveru.
Nejsem dobrý v zákonech. Pokud mi na mobil nepřišla zpráva o nutnosti potvrzení osobních údajů v souvislosti s nabytím účinnosti novel federálního zákona 126-FZ, je to zákon, který znám.
A pak se ukázalo, že těchto zákonů je jako hub po dešti. Kdybych pokračoval v používání bezplatné pošty, pravděpodobně bych to nevěděl.
"A kdo jsi ty a já teď?"
Za prvé, v zákoně prostě není žádný organizátor e-mailové služby. Existuje „organizátor služby rychlých zpráv“, ale toto je trochu jiné. Dodatek „pro osobní, rodinné a domácí potřeby“ samozřejmě zbavuje tohoto pořadatele všech povinností stanovených zákonem, nicméně nikoliv pořadatele, který je potřebný.
Mít po ruce příručku k Ubuntu Serveru spolu se zákonem si myslím, že kromě chatů s jejich rychlými zprávami „pro příjem, přenos, doručování a (nebo) zpracování elektronických zpráv od uživatelů internetu“ jsou určeny také e-mailové služby ( což je zřejmé) a souborové servery (což není tak zřejmé).
Vývoj
Oproti jiným článkům zde s hashtagem postfix je můj výtvor samozřejmě velmi primitivní. Žádná autentizace uživatele, žádná databáze, žádní uživatelé nevázaní na lokální účty (první a třetí jsou na „minimálním poštovním serveru“; databáze je téměř všude, stejně jako dovecat).
„Nastavení poštovního systému je podle mého názoru nejtěžší úkol při správě systému,“ napsal velmi dobře jeden uživatel Habra. Následující (z ), vynechal jsem však části o databázi aliasů, souborech .forward a virtuálních aliasech.
Ale pro ssl/tls jsem vzal 12 konfiguračních řádků plus 9 příkazových řádků pro bash, abych vytvořil certifikáty z vyhrazeného Postfixu na CommunityHelpWiki (na stejné doméně ) (funguje pouze toto ssl/tls - toť otázka). Firewall v osobním účtu poskytovatele, nat na routeru (nastavení Mikrotiku jsem odkládal co nejdéle; dopisy jsem posílal připojením mail serveru přímo na kabel poskytovatele internetu instalovaný v bytě), příkazy mail, mailq, postsuper -d identifikátor, užitečný byl i soubor /var/log/mail.log, parametr always_add_missing_headers, informace o záznamu ptr, konečně stránka mail-tester.com (s oligofrenním designem), o které se v „mailu nepíše ” články na Habr, jako by to byla samozřejmost .
Před opravou hodnoty parametru myhostname v souboru /etc/postfix/main.cf
Po opravě hodnoty parametru myhostname v souboru /etc/postfix/main.cf
První dopis od služby technické podpory poskytovatele internetu mě naučil, že není třeba otevírat dopisy pomocí programu poštovní konzole, takže později je lze otevřít a přečíst pomocí známého e-mailového klienta. Zdá se, že to není problém „pro začínající adminy“.
Naopak v komentářích (k dalším článkům s postfixovým hashtagem) se jeden uživatel Habr ptá „trochu to zkomplikovat, jak je to s webovými rozhraními do různých částí a autentizací z databáze“, pro jiného „zřejmě je to nejvíc obtížné pro ty, kteří nikdy nezkusili nic sladšího než ředkvičky: pády jádra, zabezpečení (selinux/apparmor), mírně distribuované systémy...“, píše třetí o „skriptu iRedmail“. Jen čekáte, až vám další navrhne psát o IPv6.
E-mailové služby nejsou kuloví koně ve vzduchoprázdnu, jsou to části celku – od výběru počítače a názvu domény až po nastavení routeru – což žádný manuál pro nastavení poštovního serveru nepokryje (a do kterého se pravděpodobně nikdy nedostanete přečtěte si hardware - , dostupný na oficiálních stránkách Postfixu).
Mikrotik je úplně jiný příběh.
Dobře, teď je po všem. Email přestal být sadou příkazů konzole, konfiguračních souborů (včetně nastavení dns), logů, dokumentace, hexadecimálních čísel namísto ruských písmen (podle tabulky znaků koi8-r) v přijatém dopise a zůstal známým emailem klient se svými protokoly imap, pop3, smtp, účty, příchozí a odeslané zprávy.
Obecně to vypadá stejně, jako vypadá e-mail při používání bezplatných e-mailových služeb od velkých IT společností.
I když bez webového rozhraní.
Vykořisťování
Přesto není úniku z prohlížení protokolů!
Spěchám, abych potěšil ty, kteří očekávali, že se zde dočtou o darknetu. Protože to nemohu nazvat jinak než projevy jakéhosi tajemného darknetu, kterým se mail log nově vytvořeného serveru zaplnil, totiž během pár dnů (po přímém připojení) zprávami o pokusech o připojení přes pop3 pod různými jména z několika IP adres (zprvu jsem se mylně domníval, že je to server, který se periodicky pokouší odeslat dvě písmena z fronty, a vůbec jsem si nemyslel, že by moje pošta mohla okamžitě zajímat někoho jiného na internetu).
Tyto pokusy neustaly ani po připojení serveru přes router. Dnešní logy jsou plné smtp připojení ze stejné, mně neznámé IP adresy. Jsem však natolik sebevědomý, že proti tomu nic nepodnikám: Doufám, že i když je uživatelské jméno pro příjem dopisů správně vybráno, útočník heslo neuhodne. Jsem si jistý, že to mnozí považují za nebezpečné, stejně jako u dnešních útoků, které se spoléhají pouze na nastavení přenosu SMTP a řízení přístupu v /etc/postfix/main.cf.
A oni rozbijí ochranu mé pošty na kousíček.
Zdroj: www.habr.com