diseño
Correo, correo... “Actualmente, cualquier usuario novato puede crear su propio buzón de correo electrónico gratuito, basta con registrarse en uno de los portales de Internet”, dice Wikipedia. Entonces, ejecutar su propio servidor de correo para esto es un poco extraño. Sin embargo, no me arrepiento del mes que dediqué a esto, contando desde el día en que instalé el sistema operativo hasta el día en que envié mi primera carta al destinatario en Internet.
De hecho, los receptores de IPTV y una “computadora de placa única basada en el procesador Baikal-T1”, así como Cubieboard, Banana Pi y otros dispositivos equipados con microprocesadores ARM se pueden colocar al mismo nivel que las “frambuesas”. “Malinka” fue elegida como la opción publicitada más agresivamente. Fue necesario más de un mes para encontrar al menos algún uso útil para este “ordenador de placa única”. Finalmente, decidí iniciar un servidor de correo en él, después de haber leído recientemente una novela de ciencia ficción sobre la realidad virtual.
"Ésta es una visión maravillosa del futuro de la Web", dice Wikipedia. Han pasado 20 años desde la fecha de la primera publicación. El futuro ha llegado. Sin embargo, no me parece genial sin siete mil suscriptores, diez mil rublos de “ingresos mensuales para mi sitio”, etc. Lo que, probablemente, me empujó hacia las “redes sociales descentralizadas” con “un escaso número de me gusta en sus publicaciones (nuevos usuarios - N.M.)”, registrando un dominio y lanzando mi propio servidor.
No soy bueno con las leyes. A menos que haya recibido un mensaje en mi teléfono móvil sobre la necesidad de confirmar datos personales en relación con la entrada en vigor de las enmiendas a la ley federal 126-FZ, esta es la ley que conozco.
Y luego resultó que estas leyes son como hongos después de la lluvia. Si hubiera seguido usando el correo gratuito, probablemente no lo habría sabido.
“¿Y quiénes somos tú y yo ahora?”
En primer lugar, la ley simplemente no establece ningún organizador del servicio de correo electrónico. Existe un “organizador de servicios de mensajería instantánea”, pero este es un poco diferente. La adición "para necesidades personales, familiares y domésticas", por supuesto, elimina de este organizador todas las obligaciones previstas por la ley, pero no del organizador que se necesita.
Teniendo a mano el manual de Ubuntu Server, junto con la ley, supongo que además de los chats con sus mensajes instantáneos, “para recibir, transmitir, entregar y (o) procesar mensajes electrónicos de los internautas”, también están destinados los servicios de correo electrónico ( lo cual es obvio) y servidores de archivos (lo cual no es tan obvio).
Desarrollo
En comparación con otros artículos aquí con el sufijo hashtag, mi creación, por supuesto, es muy primitiva. Sin autenticación de usuario, sin base de datos, sin usuarios no vinculados a cuentas locales (el primero y el tercero están en el "servidor de correo mínimo"; la base de datos está en casi todas partes, al igual que dovecat).
“En mi opinión, configurar un sistema de correo es la tarea más difícil en la administración de sistemas”, escribió muy bien un usuario de Habra. Siguiente (de ), Sin embargo, omití las partes sobre la base de datos de alias, los archivos .forward y los alias virtuales.
Pero para ssl/tls tomé 12 líneas de configuración más 9 líneas de comando para bash para crear certificados desde el Postfix dedicado. en CommunityHelpWiki (en el mismo dominio ) (solo funciona este ssl/tls; esa es la pregunta). El firewall en la cuenta personal del proveedor, nat en el enrutador (dejé de configurar Mikrotik el mayor tiempo posible; envié cartas conectando el servidor de correo directamente al cable del proveedor de Internet instalado en el apartamento), los comandos mail, mailq, También fue útil el identificador postsuper -d, el archivo /var/log/mail.log, el parámetro always_add_missing_headers, información sobre el registro ptr, finalmente, el sitio mail-tester.com (con diseño oligofrénico), sobre el cual no está escrito en “mail”. "Artículos sobre Habr, como si fuera algo natural".
Antes de corregir el valor del parámetro myhostname en el archivo /etc/postfix/main.cf
Después de corregir el valor del parámetro myhostname en el archivo /etc/postfix/main.cf
La primera carta del servicio de soporte técnico del proveedor de Internet me enseñó que no es necesario abrir cartas usando el programa de la consola de correo, para luego poder abrirlas y leerlas usando un cliente de correo electrónico familiar. Aparentemente, esto no es un problema "para administradores novatos".
Por el contrario, en los comentarios (a otros artículos con el hashtag postfix) un usuario de Habr pregunta "para complicar un poco las cosas, ¿qué tal las interfaces web para diferentes partes y la autenticación desde la base de datos", para otro "aparentemente, es lo más difícil para aquellos que nunca han probado nada más dulce que un rábano: fallos del kernel, seguridad (selinux/apparmor), sistemas ligeramente distribuidos...", escribe un tercero sobre el "script iRedmail". Sólo hay que esperar a que el próximo sugiera escribir sobre IPv6.
Los servicios de correo electrónico no son caballos esféricos aislados en el vacío, son partes de un todo -desde la elección de una computadora y un nombre de dominio hasta la configuración de un enrutador- que ningún manual para configurar un servidor de correo puede cubrir (y en el que probablemente nunca lee el hardware - , disponible en el sitio web oficial de Postfix).
Mikrotik es una historia completamente diferente.
OK, todo ha terminado. El correo electrónico ha dejado de ser un conjunto de comandos de consola, archivos de configuración (incluida la configuración de DNS), registros, documentación, números hexadecimales en lugar de letras rusas (según la tabla de caracteres koi8-r) en la carta recibida y sigue siendo un correo electrónico familiar. cliente con sus protocolos imap, pop3, smtp, cuentas, mensajes entrantes y enviados.
En general, tiene el mismo aspecto que el correo electrónico cuando se utilizan los servicios de correo electrónico gratuitos de las principales empresas de TI.
Aunque sin interfaz web.
explotación
Aún así, ¡no hay forma de escapar de ver los registros!
Me apresuro a complacer a aquellos que esperaban leer aquí sobre la red oscura. Porque no puedo llamarlo de otra manera que manifestaciones de alguna misteriosa red oscura, con la que se llenó el registro de correo del servidor recién creado, es decir, un par de días (después de conectarse directamente) con mensajes sobre intentos de conectarse a través de pop3 en diferentes nombres de un par de direcciones IP (al principio pensé erróneamente que era el servidor el que intentaba periódicamente enviar dos cartas de la cola, y no pensé en absoluto que mi correo pudiera interesar inmediatamente a alguien más en Internet).
Estos intentos no se detuvieron incluso después de conectar el servidor a través del enrutador. Los registros de hoy están llenos de conexiones SMTP desde la misma dirección IP que desconozco. Sin embargo, tengo tanta confianza en mí mismo que no tomo ninguna medida al respecto: espero que incluso si el nombre de usuario para recibir cartas está seleccionado correctamente, el atacante no podrá adivinar la contraseña. Estoy seguro de que muchos encontrarán esto inseguro, al igual que los ataques actuales que se basan únicamente en la configuración de retransmisión SMTP y los controles de acceso en /etc/postfix/main.cf.
Y harán añicos la protección de mi correo.
Fuente: habr.com