Σχεδιασμός
Mail, mail... «Προς το παρόν, κάθε αρχάριος χρήστης μπορεί να δημιουργήσει το δικό του δωρεάν ηλεκτρονικό γραμματοκιβώτιο, απλώς εγγραφείτε σε μία από τις πύλες του Διαδικτύου», λέει η Wikipedia. Επομένως, η λειτουργία του δικού σας διακομιστή αλληλογραφίας για αυτό είναι λίγο περίεργη. Ωστόσο, δεν μετανιώνω για τον μήνα που πέρασα σε αυτό, μετρώντας από την ημέρα που εγκατέστησα το λειτουργικό σύστημα μέχρι την ημέρα που έστειλα την πρώτη μου επιστολή στον παραλήπτη στο Διαδίκτυο.
Στην πραγματικότητα, οι δέκτες iptv και ένας "υπολογιστής μίας πλακέτας βασισμένος στον επεξεργαστή Baikal-T1", καθώς και οι Cubieboard, Banana Pi και άλλες συσκευές εξοπλισμένες με μικροεπεξεργαστές ARM μπορούν να τοποθετηθούν στο ίδιο επίπεδο με το "raspberries". Το "Malinka" επιλέχθηκε ως η πιο επιθετικά διαφημιζόμενη επιλογή. Χρειάστηκε περισσότερο από ένα μήνα για να βρεθεί τουλάχιστον κάποια χρήσιμη χρήση αυτού του «υπολογιστή μίας πλακέτας». Τελικά, αποφάσισα να ξεκινήσω έναν διακομιστή αλληλογραφίας σε αυτό, έχοντας πρόσφατα διαβάσει ένα μυθιστόρημα επιστημονικής φαντασίας για την εικονική πραγματικότητα.
«Αυτό είναι ένα υπέροχο όραμα για το μέλλον του Ιστού», λέει η Wikipedia. Έχουν περάσει 20 χρόνια από την ημερομηνία της πρώτης δημοσίευσης. Το μέλλον έφτασε. Ωστόσο, δεν μου φαίνεται υπέροχο χωρίς επτά χιλιάδες συνδρομητές, δέκα χιλιάδες ρούβλια "μηνιαίο εισόδημα για τον ιστότοπό μου" κ.λπ. Κάτι που, πιθανότατα, με ώθησε προς τα «αποκεντρωμένα κοινωνικά δίκτυα» με «ένα πενιχρό αριθμό likes στις αναρτήσεις τους (νέοι χρήστες - N.M.), κατοχυρώνοντας έναν τομέα και λανσάροντας τον δικό μου διακομιστή.
Δεν είμαι καλός στους νόμους. Εκτός αν έλαβα ένα μήνυμα στο κινητό μου τηλέφωνο σχετικά με την ανάγκη επιβεβαίωσης προσωπικών δεδομένων σε σχέση με την έναρξη ισχύος των τροποποιήσεων του ομοσπονδιακού νόμου 126-FZ, αυτός είναι ο νόμος που γνωρίζω.
Και μετά αποδείχθηκε ότι αυτοί οι νόμοι είναι σαν τα μανιτάρια μετά τη βροχή. Αν είχα συνεχίσει να χρησιμοποιώ δωρεάν αλληλογραφία, μάλλον δεν θα το ήξερα.
«Και ποιοι είμαστε εσύ και εγώ τώρα;»
Πρώτον, απλώς δεν υπάρχει κανένας διοργανωτής της υπηρεσίας email στο νόμο. Υπάρχει ένας "οργανωτής υπηρεσίας άμεσων μηνυμάτων", αλλά αυτό είναι λίγο διαφορετικό. Η προσθήκη «για προσωπικές, οικογενειακές και οικιακές ανάγκες», φυσικά αφαιρεί από αυτόν τον διοργανωτή όλες τις υποχρεώσεις που προβλέπει ο νόμος, αλλά όχι και από τον διοργανωτή που χρειάζεται.
Έχοντας διαθέσιμο το εγχειρίδιο του Ubuntu Server, μαζί με το νόμο, υποθέτω ότι εκτός από τις συνομιλίες με τα άμεσα μηνύματά τους, «για λήψη, μετάδοση, παράδοση και (ή) επεξεργασία ηλεκτρονικών μηνυμάτων από χρήστες του Διαδικτύου, προορίζονται επίσης υπηρεσίες email ( που είναι προφανές) και διακομιστές αρχείων (που δεν είναι τόσο προφανές).
Ανάπτυξη
Σε σύγκριση με άλλα άρθρα εδώ με το hashtag postfix, η δημιουργία μου, φυσικά, είναι πολύ πρωτόγονη. Κανένας έλεγχος ταυτότητας χρήστη, καμία βάση δεδομένων, κανένας χρήστης που δεν είναι συνδεδεμένος με τοπικούς λογαριασμούς (ο πρώτος και ο τρίτος βρίσκονται στον "ελάχιστο διακομιστή αλληλογραφίας"· η βάση δεδομένων είναι σχεδόν παντού, ακριβώς όπως το dovecat).
«Η δημιουργία ενός συστήματος αλληλογραφίας, κατά τη γνώμη μου, είναι η πιο δύσκολη εργασία στη διαχείριση του συστήματος», έγραψε πολύ καλά ένας χρήστης της Habra. ΕΠΟΜΕΝΟ (από ), ωστόσο, παρέλειψα τα μέρη σχετικά με τη βάση δεδομένων ψευδωνύμων, τα αρχεία .forward και τα εικονικά ψευδώνυμα.
Αλλά για το ssl/tls πήρα 12 γραμμές διαμόρφωσης συν 9 γραμμές εντολών για το bash για να δημιουργήσω πιστοποιητικά από το αποκλειστικό Postfix στο CommunityHelpWiki (στον ίδιο τομέα ) (μόνο αυτό το ssl/tls λειτουργεί - αυτό είναι το ερώτημα). Το τείχος προστασίας στον προσωπικό λογαριασμό του παρόχου, nat στο δρομολογητή (ανέβαλα τη ρύθμιση του Mikrotik όσο το δυνατόν περισσότερο, έστειλα γράμματα συνδέοντας τον διακομιστή αλληλογραφίας απευθείας στο καλώδιο του παρόχου Internet που είναι εγκατεστημένο στο διαμέρισμα), οι εντολές mail, mailq, Το αναγνωριστικό postsuper -d, το αρχείο ήταν επίσης χρήσιμα /var/log/mail.log, παράμετρος always_add_missing_headers, πληροφορίες σχετικά με την εγγραφή ptr, τέλος, ο ιστότοπος mail-tester.com (με ολιγοφρενικό σχεδιασμό), για τον οποίο δεν αναγράφεται στο "mail » άρθρα για το Habr, σαν να ήταν αυτονόητο .
Πριν διορθώσετε την τιμή της παραμέτρου myhostname στο αρχείο /etc/postfix/main.cf
Αφού διορθώσετε την τιμή της παραμέτρου myhostname στο αρχείο /etc/postfix/main.cf
Η πρώτη επιστολή από την υπηρεσία τεχνικής υποστήριξης του παρόχου Διαδικτύου με δίδαξε ότι δεν χρειάζεται να ανοίγω γράμματα χρησιμοποιώντας το πρόγραμμα κονσόλας αλληλογραφίας, ώστε αργότερα να ανοίγονται και να διαβάζονται χρησιμοποιώντας ένα οικείο πρόγραμμα-πελάτη email. Προφανώς, αυτό δεν είναι πρόβλημα "για αρχάριους διαχειριστές".
Αντίθετα, στα σχόλια (σε άλλα άρθρα με το postfix hashtag) ένας χρήστης Habr ρωτά «για να το περιπλέκουμε λίγο, τι γίνεται με τις διεπαφές ιστού σε διαφορετικά μέρη και τον έλεγχο ταυτότητας από τη βάση δεδομένων», για έναν άλλον «προφανώς, είναι το πιο δύσκολο για όσους δεν έχουν δοκιμάσει ποτέ κάτι πιο γλυκό από ένα ραπανάκι: κολλήματα πυρήνα, ασφάλεια (selinux/apparmor), ελαφρώς κατανεμημένα συστήματα...», γράφει ένας τρίτος για το «σενάριο iRedmail». Απλώς περιμένετε τον επόμενο να σας προτείνει να γράψετε για το IPv6.
Οι υπηρεσίες email δεν είναι σφαιρικά άλογα στο κενό, είναι μέρη ενός συνόλου - από την επιλογή ενός υπολογιστή και ενός ονόματος τομέα έως τη ρύθμιση ενός δρομολογητή - που κανένα εγχειρίδιο για τη ρύθμιση ενός διακομιστή αλληλογραφίας δεν μπορεί να καλύψει (και στο οποίο πιθανώς δεν θα καλύψετε ποτέ διαβάστε το υλικό - , διαθέσιμο στον επίσημο ιστότοπο της Postfix).
Το Mikrotik είναι μια εντελώς διαφορετική ιστορία.
Εντάξει όλα τελείωσαν τώρα. Το email έπαψε να είναι ένα σύνολο εντολών κονσόλας, αρχεία διαμόρφωσης (συμπεριλαμβανομένης της ρύθμισης dns), αρχεία καταγραφής, τεκμηρίωση, δεκαεξαδικοί αριθμοί αντί για ρωσικά γράμματα (σύμφωνα με τον πίνακα χαρακτήρων koi8-r) στο ληφθέν γράμμα και παρέμεινε ένα οικείο email πελάτη με τα πρωτόκολλα imap, pop3, smtp, λογαριασμούς, εισερχόμενα και απεσταλμένα μηνύματα.
Σε γενικές γραμμές, μοιάζει με αυτό που μοιάζει με το email όταν χρησιμοποιείτε δωρεάν υπηρεσίες email από μεγάλες εταιρείες πληροφορικής.
Αν και χωρίς διεπαφή ιστού.
Εκμετάλλευση
Ωστόσο, δεν υπάρχει διαφυγή από την προβολή των αρχείων καταγραφής!
Σπεύδω να ευχαριστήσω όσους περίμεναν να διαβάσουν για το darknet εδώ. Επειδή δεν μπορώ να το ονομάσω διαφορετικά από εκδηλώσεις κάποιου μυστηριώδους σκοτεινού δικτύου με το οποίο γέμισε το αρχείο καταγραφής αλληλογραφίας του πρόσφατα δημιουργημένου διακομιστή, δηλαδή, μέσα σε λίγες μέρες (μετά τη σύνδεση απευθείας) με μηνύματα σχετικά με προσπάθειες σύνδεσης μέσω pop3 σε διαφορετικά ονόματα από μερικές διευθύνσεις IP (Στην αρχή νόμιζα λανθασμένα ότι ο διακομιστής προσπαθούσε περιοδικά να στείλει δύο γράμματα από την ουρά και δεν πίστευα καθόλου ότι η αλληλογραφία μου θα μπορούσε να ενδιαφέρει αμέσως κάποιον άλλο στο Διαδίκτυο).
Αυτές οι προσπάθειες δεν σταμάτησαν ακόμη και αφού σύνδεσα τον διακομιστή μέσω του δρομολογητή. Τα σημερινά αρχεία καταγραφής είναι γεμάτα συνδέσεις smtp από την ίδια άγνωστη σε εμένα διεύθυνση IP. Ωστόσο, έχω τόση αυτοπεποίθηση που δεν κάνω καμία ενέργεια εναντίον αυτού: ελπίζω ότι ακόμα και αν το όνομα χρήστη για τη λήψη γραμμάτων έχει επιλεγεί σωστά, ο εισβολέας δεν θα μπορεί να μαντέψει τον κωδικό πρόσβασης. Είμαι βέβαιος ότι πολλοί θα το βρουν αυτό μη ασφαλές, όπως συμβαίνει με τις σημερινές επιθέσεις που βασίζονται αποκλειστικά στις ρυθμίσεις του ρελέ SMTP και στα στοιχεία ελέγχου πρόσβασης στο /etc/postfix/main.cf.
Και θα συντρίψουν την προστασία της αλληλογραφίας μου στα smithereens.
Πηγή: www.habr.com