ડેબિયન + પોસ્ટફિક્સ + ડોવકોટ + મલ્ટિડોમેન + SSL + IPv6 + OpenVPN + મલ્ટી-ઇન્ટરફેસ + સ્પામ એસ્સાસિન-લર્ન + બાઇન્ડ

આ લેખ આધુનિક મેઇલ સર્વર કેવી રીતે સેટ કરવું તે વિશે છે.
પોસ્ટફિક્સ + ડોવકોટ. SPF + DKIM + rDNS. IPv6 સાથે.
TSL એન્ક્રિપ્શન સાથે. બહુવિધ ડોમેન્સ માટે સમર્થન સાથે - વાસ્તવિક SSL પ્રમાણપત્ર સાથેનો ભાગ.
એન્ટિસ્પામ પ્રોટેક્શન અને અન્ય મેઇલ સર્વર્સ તરફથી ઉચ્ચ એન્ટિસ્પામ રેટિંગ સાથે.
બહુવિધ ભૌતિક ઇન્ટરફેસને સપોર્ટ કરે છે.
OpenVPN સાથે, જેનું કનેક્શન IPv4 મારફતે છે, અને જે IPv6 પ્રદાન કરે છે.

જો તમે આ બધી તકનીકો શીખવા માંગતા નથી, પરંતુ આવા સર્વર સેટ કરવા માંગતા હો, તો આ લેખ તમારા માટે છે.

લેખ દરેક વિગતવાર સમજાવવાનો કોઈ પ્રયાસ કરતું નથી. સમજૂતી એ છે કે જે પ્રમાણભૂત તરીકે રૂપરેખાંકિત નથી અથવા ગ્રાહકના દૃષ્ટિકોણથી મહત્વપૂર્ણ છે.

મેઇલ સર્વર સેટ કરવાની પ્રેરણા એ મારું લાંબા સમયથી સ્વપ્ન હતું. આ મૂર્ખ લાગે છે, પરંતુ IMHO, તમારી મનપસંદ બ્રાન્ડની નવી કારનું સ્વપ્ન જોવા કરતાં તે ઘણું સારું છે.

IPv6 સેટ કરવા માટે બે પ્રેરણા છે. IT નિષ્ણાતને ટકી રહેવા માટે સતત નવી તકનીકો શીખવાની જરૂર છે. હું સેન્સરશીપ સામેની લડાઈમાં મારું સાધારણ યોગદાન આપવા માંગુ છું.

OpenVPN સેટ કરવા માટેની પ્રેરણા માત્ર IPv6 ને સ્થાનિક મશીન પર કામ કરવા માટે છે.
ઘણા ભૌતિક ઈન્ટરફેસ સેટ કરવા માટેની પ્રેરણા એ છે કે મારા સર્વર પર મારી પાસે એક ઈન્ટરફેસ "ધીમો પરંતુ અમર્યાદિત" અને બીજું "ઝડપી પરંતુ ટેરિફ સાથે" છે.

બાઇન્ડ સેટિંગ્સ સેટ કરવા માટેની પ્રેરણા એ છે કે મારું ISP અસ્થિર DNS સર્વર પ્રદાન કરે છે, અને google પણ ક્યારેક નિષ્ફળ જાય છે. મને વ્યક્તિગત ઉપયોગ માટે સ્થિર DNS સર્વર જોઈએ છે.

લેખ લખવાની પ્રેરણા - મેં 10 મહિના પહેલા એક ડ્રાફ્ટ લખ્યો હતો, અને મેં તેને પહેલેથી જ બે વાર જોયો છે. જો લેખકને નિયમિતપણે તેની જરૂર હોય તો પણ, અન્યને પણ તેની જરૂર પડશે તેવી ઉચ્ચ સંભાવના છે.

મેઇલ સર્વર માટે કોઈ સાર્વત્રિક ઉકેલ નથી. પણ હું કંઈક લખવાનો પ્રયત્ન કરીશ "આ કરો અને પછી, જ્યારે બધું જોઈએ તે પ્રમાણે કામ કરે, વધારાની સામગ્રી ફેંકી દો."

કંપની tech.ru પાસે Colocation સર્વર છે. OVH, Hetzner, AWS સાથે સરખામણી કરવી શક્ય છે. આ સમસ્યાને ઉકેલવા માટે, tech.ru સાથે સહકાર વધુ અસરકારક રહેશે.

ડેબિયન 9 સર્વર પર ઇન્સ્ટોલ કરેલું છે.

સર્વર પાસે 2 ઇન્ટરફેસ `eno1` અને `eno2` છે. પ્રથમ અમર્યાદિત છે, અને બીજું અનુક્રમે ઝડપી છે.

ત્યાં 3 સ્થિર IP સરનામાં છે, XX.XX.XX.X0 અને XX.XX.XX.X1 અને XX.XX.XX.X2 `eno1` ઇન્ટરફેસ પર અને `eno5` ઇન્ટરફેસ પર XX.XX.XX.X2 .

ઉપલબ્ધ XXXX:XXXX:XXXX:XXXX::/64 IPv6 એડ્રેસનો પૂલ જે `eno1` ઇન્ટરફેસને અસાઇન કરવામાં આવ્યો છે અને તેમાંથી XXXX:XXXX:XXXX:XXXX:1:2::/96 મારી વિનંતી પર `eno2` ને સોંપવામાં આવ્યો છે.

ત્યાં 3 ડોમેન્સ છે `domain1.com`, `domain2.com`, `domain3.com`. `domain1.com` અને `domain3.com` માટે SSL પ્રમાણપત્ર છે.

મારી પાસે એક Google એકાઉન્ટ છે જેની સાથે હું મારા મેઇલબોક્સને લિંક કરવા માંગુ છું[ઇમેઇલ સુરક્ષિત]` (મેઇલ મેળવવું અને સીધા gmail ઇન્ટરફેસથી મેઇલ મોકલવું).
ત્યાં એક મેઈલબોક્સ હોવું જોઈએ[ઇમેઇલ સુરક્ષિત]`, ઈમેઈલની એક નકલ જેમાંથી હું મારા જીમેલમાં જોવા માંગુ છું. અને `ના વતી કંઈક મોકલવામાં સમર્થ થવું દુર્લભ છે[ઇમેઇલ સુરક્ષિત]વેબ ઈન્ટરફેસ દ્વારા.

ત્યાં એક મેઈલબોક્સ હોવું જોઈએ[ઇમેઇલ સુરક્ષિત]`, જે ઇવાનવ તેના આઇફોનમાંથી ઉપયોગ કરશે.

મોકલેલ ઈમેઈલ એ તમામ આધુનિક એન્ટીસ્પામ આવશ્યકતાઓનું પાલન કરવું જોઈએ.
સાર્વજનિક નેટવર્ક્સમાં પ્રદાન કરેલ એન્ક્રિપ્શનનું ઉચ્ચતમ સ્તર હોવું આવશ્યક છે.
પત્રો મોકલવા અને પ્રાપ્ત કરવા બંને માટે IPv6 સપોર્ટ હોવો જોઈએ.
એક સ્પામ એસ્સાસિન હોવો જોઈએ જે ક્યારેય ઈમેલ ડિલીટ ન કરે. અને તે કાં તો બાઉન્સ થશે અથવા છોડશે અથવા IMAP “સ્પામ” ફોલ્ડરમાં મોકલશે.
SpamAssassin ઓટો-લર્નિંગ ગોઠવેલું હોવું જોઈએ: જો હું સ્પામ ફોલ્ડરમાં પત્ર ખસેડું, તો તે આમાંથી શીખશે; જો હું સ્પામ ફોલ્ડરમાંથી પત્ર ખસેડું, તો તે આમાંથી શીખશે. SpamAssassin તાલીમના પરિણામોએ પત્ર સ્પામ ફોલ્ડરમાં સમાપ્ત થાય છે કે કેમ તેના પર અસર કરવી જોઈએ.
PHP સ્ક્રિપ્ટો આપેલ સર્વર પર કોઈપણ ડોમેન વતી મેઇલ મોકલવા માટે સક્ષમ હોવા જોઈએ.
IPv6 ન હોય તેવા ક્લાયન્ટ પર IPv6 નો ઉપયોગ કરવાની ક્ષમતા સાથે ઓપનવીપીએન સેવા હોવી જોઈએ.

પ્રથમ તમારે IPv6 સહિત ઇન્ટરફેસ અને રૂટીંગને ગોઠવવાની જરૂર છે.
પછી તમારે OpenVPN ને ગોઠવવાની જરૂર પડશે, જે IPv4 દ્વારા કનેક્ટ થશે અને ક્લાયંટને સ્ટેટિક-રિયલ IPv6 એડ્રેસ પ્રદાન કરશે. આ ક્લાયન્ટને સર્વર પરની તમામ IPv6 સેવાઓ અને ઇન્ટરનેટ પરના કોઈપણ IPv6 સંસાધનોની ઍક્સેસ હશે.
પછી તમારે અક્ષરો + SPF + DKIM + rDNS અને અન્ય સમાન નાની વસ્તુઓ મોકલવા માટે પોસ્ટફિક્સને ગોઠવવાની જરૂર પડશે.
પછી તમારે ડોવકોટને ગોઠવવાની અને મલ્ટિડોમેનને ગોઠવવાની જરૂર પડશે.
પછી તમારે SpamAssassin ને રૂપરેખાંકિત કરવાની અને તાલીમને ગોઠવવાની જરૂર પડશે.
છેલ્લે, Bind ઇન્સ્ટોલ કરો.

============= મલ્ટિ-ઇન્ટરફેસ ==============

ઇન્ટરફેસને રૂપરેખાંકિત કરવા માટે, તમારે આને "/etc/network/interfaces" માં લખવાની જરૂર છે.

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

આ સેટિંગ્સ tech.ru માં કોઈપણ સર્વર પર લાગુ કરી શકાય છે (સમર્થન સાથે થોડા સંકલન સાથે) અને તે તરત જ કામ કરશે.

જો તમને Hetzner, OVH માટે સમાન વસ્તુઓ સેટ કરવાનો અનુભવ હોય, તો તે ત્યાં અલગ છે. વધુ મુશ્કેલ.

eno1 નેટવર્ક કાર્ડ #1 (ધીમી પરંતુ અમર્યાદિત) નું નામ છે.
eno2 એ નેટવર્ક કાર્ડ #2 નું નામ છે (ઝડપી, પરંતુ ટેરિફ સાથે).
tun0 એ OpenVPN ના વર્ચ્યુઅલ નેટવર્ક કાર્ડનું નામ છે.
XX.XX.XX.X0 - eno4 પર IPv1 #1.
XX.XX.XX.X1 - eno4 પર IPv2 #1.
XX.XX.XX.X2 - eno4 પર IPv3 #1.
XX.XX.XX.X5 - eno4 પર IPv1 #2.
XX.XX.XX.1 - IPv4 ગેટવે.
XXXX:XXX:XXX:XXXX::/64 - સમગ્ર સર્વર માટે IPv6.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - eno6 માટે IPv2, બહારથી બાકીનું બધું eno1 માં જાય છે.
XXXX:XXXX:XXXX:XXXX::1 — IPv6 ગેટવે (એ નોંધવું યોગ્ય છે કે આ અલગ રીતે કરી શકાય/કરવું જોઈએ. IPv6 સ્વીચનો ઉલ્લેખ કરો).
dns-nameservers - 127.0.0.1 સૂચવવામાં આવે છે (કારણ કે બાઇન્ડ સ્થાનિક રીતે ઇન્સ્ટોલ કરેલું છે) અને 213.248.1.6 (આ tech.ru તરફથી છે).

“ટેબલ eno1t” અને “table eno2t” - આ રૂટ-નિયમોનો અર્થ એ છે કે eno1 -> દ્વારા પ્રવેશતો ટ્રાફિક તેમાંથી નીકળશે, અને eno2 -> દ્વારા પ્રવેશતો ટ્રાફિક તેમાંથી નીકળી જશે. અને સર્વર દ્વારા શરૂ કરાયેલા જોડાણો પણ eno1 મારફતે જશે.

ip route add default via XX.XX.XX.1 table eno1t

આ આદેશ સાથે અમે સ્પષ્ટ કરીએ છીએ કે "ટેબલ eno1t" -> ચિહ્નિત કોઈપણ નિયમ હેઠળ આવતા કોઈપણ અગમ્ય ટ્રાફિકને eno1 ઈન્ટરફેસ પર મોકલવામાં આવશે.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

આ આદેશ સાથે અમે સ્પષ્ટ કરીએ છીએ કે સર્વર દ્વારા શરૂ કરાયેલ કોઈપણ ટ્રાફિક eno1 ઈન્ટરફેસ પર નિર્દેશિત થવો જોઈએ.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

આ આદેશ સાથે અમે ટ્રાફિકને માર્ક કરવાના નિયમો સેટ કરીએ છીએ.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

આ બ્લોક eno4 ઈન્ટરફેસ માટે બીજા IPv1 ને સ્પષ્ટ કરે છે.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

આ આદેશ સાથે અમે XX.XX.XX.X4 સિવાય OpenVPN ક્લાયંટથી સ્થાનિક IPv0 સુધીનો રૂટ સેટ કર્યો છે.
હું હજી પણ સમજી શકતો નથી કે આ આદેશ બધા IPv4 માટે શા માટે પૂરતો છે.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

આ તે છે જ્યાં આપણે ઇન્ટરફેસ માટે સરનામું સેટ કરીએ છીએ. સર્વર તેનો ઉપયોગ "આઉટગોઇંગ" એડ્રેસ તરીકે કરશે. ફરીથી કોઈપણ રીતે ઉપયોગ કરવામાં આવશે નહીં.

શા માટે ":1:1::" આટલું જટિલ છે? જેથી OpenVPN યોગ્ય રીતે અને માત્ર આ માટે કાર્ય કરે. આ વિશે પછીથી વધુ.

ગેટવેના વિષય પર - તે આ રીતે કાર્ય કરે છે અને તે સારું છે. પરંતુ સાચો રસ્તો એ છે કે સર્વર જે સ્વીચ સાથે જોડાયેલ છે તેનો IPv6 અહીં દર્શાવવો.

જો કે, જો હું આ કરું તો કેટલાક કારણોસર IPv6 કામ કરવાનું બંધ કરે છે. આ કદાચ અમુક પ્રકારની tech.ru સમસ્યા છે.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

આ ઇન્ટરફેસમાં IPv6 સરનામું ઉમેરી રહ્યું છે. જો તમને સો સરનામાની જરૂર હોય, તો તેનો અર્થ આ ફાઇલમાં સો લીટીઓ છે.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

મેં તેને સ્પષ્ટ કરવા માટે તમામ ઈન્ટરફેસના સરનામાં અને સબનેટની નોંધ કરી છે.
eno1 - હોવું જોઈએ "/64" - કારણ કે આ અમારા સરનામાંનો સંપૂર્ણ પૂલ છે.
tun0 - સબનેટ eno1 કરતા મોટું હોવું જોઈએ. નહિંતર, OpenVPN ક્લાયન્ટ્સ માટે IPv6 ગેટવે ગોઠવવાનું શક્ય બનશે નહીં.
eno2 - સબનેટ tun0 કરતાં મોટું હોવું જોઈએ. નહિંતર, OpenVPN ક્લાયંટ સ્થાનિક IPv6 સરનામાંઓને ઍક્સેસ કરવામાં સમર્થ હશે નહીં.
સ્પષ્ટતા માટે, મેં 16 નું સબનેટ પગલું પસંદ કર્યું, પરંતુ જો તમે ઈચ્છો, તો તમે "1" પગલું પણ કરી શકો છો.
તદનુસાર, 64+16 = 80, અને 80+16 = 96.

વધુ સ્પષ્ટતા માટે:
XXXX:XXX:XXXX:XXXX:1:1:YYYY:YYYY એ એવા સરનામાં છે જે eno1 ઇન્ટરફેસ પર ચોક્કસ સાઇટ્સ અથવા સેવાઓને સોંપવા જોઈએ.
XXXX:XXX:XXXX:XXXX:1:2:YYYY:YYYY એ એવા સરનામાં છે જે eno2 ઇન્ટરફેસ પર ચોક્કસ સાઇટ્સ અથવા સેવાઓને સોંપવા જોઈએ.
XXXX:XXX:XXXX:XXXX:1:3:YYYY:YYYY એ એવા સરનામાં છે કે જે OpenVPN ક્લાયંટને અસાઇન કરવા જોઈએ અથવા OpenVPN સેવા સરનામાં તરીકે ઉપયોગમાં લેવા જોઈએ.

નેટવર્કને ગોઠવવા માટે, સર્વરને પુનઃપ્રારંભ કરવાનું શક્ય હોવું જોઈએ.
જ્યારે એક્ઝિક્યુટ કરવામાં આવે ત્યારે IPv4 ફેરફારો લેવામાં આવે છે (તેને સ્ક્રીનમાં લપેટવાની ખાતરી કરો - અન્યથા આ આદેશ સર્વર પર નેટવર્કને ક્રેશ કરશે):

/etc/init.d/networking restart

ફાઇલના અંતમાં ઉમેરો “/etc/iproute2/rt_tables”:

100 eno1t
101 eno2t

આ વિના, તમે "/etc/network/interfaces" ફાઇલમાં કસ્ટમ કોષ્ટકોનો ઉપયોગ કરી શકતા નથી.
નંબરો અનન્ય અને 65535 કરતા ઓછા હોવા જોઈએ.

IPv6 ફેરફારો રીબૂટ કર્યા વિના સરળતાથી બદલી શકાય છે, પરંતુ આ કરવા માટે તમારે ઓછામાં ઓછા ત્રણ આદેશો શીખવાની જરૂર છે:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

સેટિંગ "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

આ મારા સર્વરની "sysctl" સેટિંગ્સ છે. ચાલો હું એક મહત્વપૂર્ણ વાત જણાવું.

net.ipv4.ip_forward = 1

આ વિના, OpenVPN બિલકુલ કામ કરશે નહીં.

net.ipv6.ip_nonlocal_bind = 1

કોઈપણ જે ઈન્ટરફેસ ચાલુ થયા પછી તરત જ IPv6 (ઉદાહરણ તરીકે nginx) ને બાંધવાનો પ્રયાસ કરશે તેને ભૂલ પ્રાપ્ત થશે. કે આ સરનામું ઉપલબ્ધ નથી.

આવી પરિસ્થિતિને ટાળવા માટે, આવી સેટિંગ કરવામાં આવે છે.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

આ IPv6 સેટિંગ્સ વિના, OpenVPN ક્લાયંટનો ટ્રાફિક વિશ્વમાં જતો નથી.

અન્ય સેટિંગ્સ કાં તો સંબંધિત નથી અથવા મને યાદ નથી કે તે શેના માટે છે.
પરંતુ માત્ર કિસ્સામાં, હું તેને "જેમ છે તેમ" છોડી દઉં છું.

સર્વરને રીબૂટ કર્યા વિના આ ફાઇલમાં ફેરફારો લેવા માટે, તમારે આદેશ ચલાવવાની જરૂર છે:

sysctl -p

"ટેબલ" નિયમો વિશે વધુ વિગતો: habr.com/post/108690

============= OpenVPN =============

OpenVPN IPv4 iptables વિના કામ કરતું નથી.

મારી iptables VPN માટે આના જેવી છે:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY એ સ્થાનિક મશીનનું મારું સ્થિર IPv4 સરનામું છે.
10.8.0.0/24 - IPv4 ઓપનવીપીએન નેટવર્ક. ઓપનવીપીએન ક્લાયંટ માટે IPv4 સરનામાં.
નિયમોની સુસંગતતા મહત્વપૂર્ણ છે.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

આ એક મર્યાદા છે જેથી માત્ર હું જ મારા સ્ટેટિક IPમાંથી OpenVPN નો ઉપયોગ કરી શકું.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN ક્લાયંટ અને ઈન્ટરનેટ વચ્ચે IPv4 પેકેટ્સ ફોરવર્ડ કરવા માટે, તમારે આ આદેશોમાંથી એકની નોંધણી કરવાની જરૂર છે.

વિવિધ કેસો માટે, વિકલ્પોમાંથી એક યોગ્ય નથી.
બંને આદેશો મારા કેસ માટે યોગ્ય છે.
દસ્તાવેજીકરણ વાંચ્યા પછી, મેં પ્રથમ વિકલ્પ પસંદ કર્યો કારણ કે તે ઓછા CPU વાપરે છે.

રીબૂટ કર્યા પછી તમામ iptables સેટિંગ્સને પસંદ કરવા માટે, તમારે તેમને ક્યાંક સાચવવાની જરૂર છે.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

આવા નામો તક દ્વારા પસંદ કરવામાં આવ્યા ન હતા. તેઓ "iptables-sistent" પેકેજ દ્વારા ઉપયોગમાં લેવાય છે.

apt-get install iptables-persistent

મુખ્ય OpenVPN પેકેજ ઇન્સ્ટોલ કરી રહ્યું છે:

apt-get install openvpn easy-rsa

ચાલો પ્રમાણપત્રો માટે એક ટેમ્પલેટ સેટ કરીએ (તમારા મૂલ્યોને બદલે):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

ચાલો પ્રમાણપત્ર નમૂના સેટિંગ્સ સંપાદિત કરીએ:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

સર્વર પ્રમાણપત્ર બનાવો:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

ચાલો અંતિમ “client-name.opvn” ફાઈલો બનાવવાની ક્ષમતા તૈયાર કરીએ:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

ચાલો એક સ્ક્રિપ્ટ તૈયાર કરીએ જે બધી ફાઇલોને એક opvn ફાઇલમાં મર્જ કરશે.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

પ્રથમ OpenVPN ક્લાયંટ બનાવવું:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

ફાઇલ “~/client-configs/files/client-name.ovpn” ક્લાયંટના ઉપકરણ પર મોકલવામાં આવે છે.

iOS ક્લાયંટ માટે તમારે નીચેની યુક્તિ કરવાની જરૂર પડશે:
"tls-auth" ટૅગની સામગ્રી ટિપ્પણીઓ વિનાની હોવી જોઈએ.
અને "tls-auth" ટૅગની પહેલાં તરત જ "કી-દિશા 1" પણ મૂકો.

ચાલો OpenVPN સર્વર રૂપરેખાંકન ગોઠવીએ:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

દરેક ક્લાયંટ માટે સ્થિર સરનામું સેટ કરવા માટે આ જરૂરી છે (જરૂરી નથી, પરંતુ હું તેનો ઉપયોગ કરું છું):

# Client config dir
client-config-dir /etc/openvpn/ccd

સૌથી મુશ્કેલ અને કી વિગત.

કમનસીબે, OpenVPN હજુ સુધી ક્લાયન્ટ્સ માટે IPv6 ગેટવેને સ્વતંત્ર રીતે કેવી રીતે ગોઠવવું તે જાણતું નથી.
તમારે દરેક ક્લાયંટ માટે આને "મેન્યુઅલી" ફોરવર્ડ કરવું પડશે.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

ફાઇલ “/etc/openvpn/server-clientconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

ફાઇલ “/etc/openvpn/server-clientdisconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

બંને સ્ક્રિપ્ટ "/etc/openvpn/variables" ફાઇલનો ઉપયોગ કરે છે:

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

મને યાદ રાખવું મુશ્કેલ લાગે છે કે તે આવું શા માટે લખાયું છે.

હવે નેટમાસ્ક = 112 વિચિત્ર લાગે છે (તે ત્યાં 96 હોવું જોઈએ).
અને ઉપસર્ગ વિચિત્ર છે, તે tun0 નેટવર્ક સાથે મેળ ખાતો નથી.
પણ ઠીક છે, હું તેને જેમ છે તેમ છોડીશ.

cipher DES-EDE3-CBC

આ દરેક માટે નથી - મેં કનેક્શનને એન્ક્રિપ્ટ કરવાની આ પદ્ધતિ પસંદ કરી છે.

OpenVPN IPv4 સેટ કરવા વિશે વધુ જાણો.

OpenVPN IPv6 સેટ કરવા વિશે વધુ જાણો.

============== પોસ્ટફિક્સ ==============

મુખ્ય પેકેજ ઇન્સ્ટોલ કરી રહ્યું છે:

apt-get install postfix

ઇન્સ્ટોલ કરતી વખતે, "ઇન્ટરનેટ સાઇટ" પસંદ કરો.

મારું "/etc/postfix/main.cf" આના જેવું દેખાય છે:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

ચાલો આ રૂપરેખાની વિગતો જોઈએ.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

ખાબ્રોવસ્કના રહેવાસીઓના મતે, આ બ્લોકમાં "ખોટી માહિતી અને ખોટો થીસીસ" છે.મારી કારકિર્દીની શરૂઆતના માત્ર 8 વર્ષ પછી મને SSL કેવી રીતે કાર્ય કરે છે તે સમજવાનું શરૂ થયું.

તેથી, હું SSL નો ઉપયોગ કેવી રીતે કરવો તેનું વર્ણન કરવાની સ્વતંત્રતા લઈશ (“તે કેવી રીતે કાર્ય કરે છે?” અને “તે કેમ કામ કરે છે?” પ્રશ્નોના જવાબ આપ્યા વિના).

આધુનિક એન્ક્રિપ્શનનો આધાર કી જોડી (અક્ષરોની બે ખૂબ લાંબી તાર) ની રચના છે.

એક “કી” ખાનગી છે, બીજી કી “જાહેર” છે. અમે ખાનગી કીને ખૂબ જ કાળજીપૂર્વક ગુપ્ત રાખીએ છીએ. અમે દરેકને સાર્વજનિક ચાવીનું વિતરણ કરીએ છીએ.

સાર્વજનિક કીનો ઉપયોગ કરીને, તમે ટેક્સ્ટની સ્ટ્રિંગને એન્ક્રિપ્ટ કરી શકો છો જેથી ફક્ત ખાનગી કીના માલિક જ તેને ડિક્રિપ્ટ કરી શકે.
ઠીક છે, તે ટેક્નોલોજીનો સંપૂર્ણ આધાર છે.

પગલું #1 - https સાઇટ્સ.
કોઈ સાઇટને ઍક્સેસ કરતી વખતે, બ્રાઉઝર વેબ સર્વરથી શીખે છે કે સાઇટ https છે અને તેથી તે સાર્વજનિક કીની વિનંતી કરે છે.
વેબ સર્વર જાહેર કી આપે છે. બ્રાઉઝર http-રિક્વેસ્ટને એન્ક્રિપ્ટ કરવા અને તેને મોકલવા માટે સાર્વજનિક કીનો ઉપયોગ કરે છે.
http-વિનંતિની સામગ્રી ફક્ત તે જ વાંચી શકે છે જેમની પાસે ખાનગી કી છે, એટલે કે, ફક્ત તે સર્વર કે જેના પર વિનંતી કરવામાં આવી છે.
Http-વિનંતી ઓછામાં ઓછી એક URI ધરાવે છે. તેથી, જો કોઈ દેશ સમગ્ર સાઇટ પર નહીં, પરંતુ ચોક્કસ પૃષ્ઠ પર ઍક્સેસને પ્રતિબંધિત કરવાનો પ્રયાસ કરી રહ્યો છે, તો https સાઇટ્સ માટે આ કરવું અશક્ય છે.

પગલું #2 - એન્ક્રિપ્ટેડ પ્રતિસાદ.
વેબ સર્વર એક જવાબ આપે છે જે રસ્તા પર સરળતાથી વાંચી શકાય છે.
ઉકેલ અત્યંત સરળ છે - બ્રાઉઝર સ્થાનિક રીતે દરેક https સાઇટ માટે સમાન ખાનગી-જાહેર કી જોડી બનાવે છે.
અને સાઇટની સાર્વજનિક કી માટેની વિનંતી સાથે, તે તેની સ્થાનિક જાહેર કી મોકલે છે.
વેબ સર્વર તેને યાદ રાખે છે અને, જ્યારે http-પ્રતિસાદ મોકલે છે, ત્યારે તેને ચોક્કસ ક્લાયંટની સાર્વજનિક કી સાથે એન્ક્રિપ્ટ કરે છે.
હવે http-પ્રતિસાદ ફક્ત ક્લાયંટના બ્રાઉઝર ખાનગી કીના માલિક દ્વારા જ ડિક્રિપ્ટ કરી શકાય છે (એટલે ​​​​કે, ક્લાયન્ટ પોતે).

પગલું નંબર 3 - સાર્વજનિક ચેનલ દ્વારા સુરક્ષિત કનેક્શન સ્થાપિત કરવું.
ઉદાહરણ નંબર 2 માં એક નબળાઈ છે - શુભચિંતકોને http-વિનંતી અટકાવવા અને સાર્વજનિક કી વિશેની માહિતીને સંપાદિત કરવાથી કંઈપણ અટકાવતું નથી.
આમ, સંદેશાવ્યવહાર ચેનલ બદલાય ત્યાં સુધી મધ્યસ્થી મોકલેલા અને પ્રાપ્ત સંદેશાઓની તમામ સામગ્રી સ્પષ્ટપણે જોશે.
આની સાથે વ્યવહાર કરવો અત્યંત સરળ છે - ફક્ત વેબ સર્વરની સાર્વજનિક કી સાથે એન્ક્રિપ્ટેડ સંદેશ તરીકે બ્રાઉઝરની સાર્વજનિક કી મોકલો.
વેબ સર્વર પછી પ્રથમ "તમારી સાર્વજનિક કી આના જેવી છે" જેવો પ્રતિભાવ મોકલે છે અને તે જ સાર્વજનિક કી વડે આ સંદેશને એન્ક્રિપ્ટ કરે છે.
બ્રાઉઝર પ્રતિસાદને જુએ છે - જો "તમારી સાર્વજનિક કી આના જેવી છે" સંદેશ પ્રાપ્ત થાય છે - તો આ 100% ગેરેંટી છે કે આ સંચાર ચેનલ સુરક્ષિત છે.
તે કેટલું સલામત છે?
આવી સુરક્ષિત કોમ્યુનિકેશન ચેનલનું નિર્માણ પિંગ*2 ની ઝડપે થાય છે. ઉદાહરણ તરીકે 20ms.
હુમલાખોર પાસે અગાઉથી એક પક્ષની ખાનગી ચાવી હોવી આવશ્યક છે. અથવા બે મિલીસેકંડમાં ખાનગી કી શોધો.
સુપર કોમ્પ્યુટર પર એક આધુનિક ખાનગી કીને હેક કરવામાં દાયકાઓ લાગી જશે.

પગલું #4 - સાર્વજનિક કીઓનો સાર્વજનિક ડેટાબેઝ.
દેખીતી રીતે, આ આખી વાર્તામાં ક્લાયંટ અને સર્વર વચ્ચેના સંચાર ચેનલ પર હુમલાખોરને બેસવાની તક છે.
ક્લાયંટ સર્વર હોવાનો ડોળ કરી શકે છે, અને સર્વર ક્લાયંટ હોવાનો ડોળ કરી શકે છે. અને બંને દિશામાં ચાવીઓની જોડીનું અનુકરણ કરો.
પછી હુમલાખોર તમામ ટ્રાફિક જોશે અને ટ્રાફિકને "સંપાદિત" કરવામાં સક્ષમ હશે.
ઉદાહરણ તરીકે, જ્યાં પૈસા મોકલવા તે સરનામું બદલો અથવા ઓનલાઈન બેંકિંગમાંથી પાસવર્ડ કોપી કરો અથવા "વાંધાજનક" સામગ્રીને અવરોધિત કરો.
આવા હુમલાખોરોનો સામનો કરવા માટે, તેઓ દરેક https સાઇટ માટે સાર્વજનિક કી સાથે સાર્વજનિક ડેટાબેઝ સાથે આવ્યા હતા.
દરેક બ્રાઉઝર આવા 200 જેટલા ડેટાબેસેસના અસ્તિત્વ વિશે "જાણે છે". આ દરેક બ્રાઉઝરમાં પહેલાથી ઇન્સ્ટોલ કરેલું આવે છે.
દરેક પ્રમાણપત્રની સાર્વજનિક કી દ્વારા "જ્ઞાન" સમર્થિત છે. એટલે કે, દરેક ચોક્કસ પ્રમાણપત્ર સત્તાધિકારી સાથેનું જોડાણ બનાવટી કરી શકાતું નથી.

હવે https માટે SSL નો ઉપયોગ કેવી રીતે કરવો તેની સરળ સમજ છે.
જો તમે તમારા મગજનો ઉપયોગ કરો છો, તો તે સ્પષ્ટ થઈ જશે કે કેવી રીતે વિશેષ સેવાઓ આ માળખામાં કંઈક હેક કરી શકે છે. પરંતુ તે તેમને ભયંકર પ્રયત્નો ખર્ચ કરશે.
અને NSA અથવા CIA કરતાં નાની સંસ્થાઓ - VIPs માટે પણ હાલના સુરક્ષા સ્તરને હેક કરવું લગભગ અશક્ય છે.

હું ssh કનેક્શન્સ વિશે પણ ઉમેરીશ. ત્યાં કોઈ સાર્વજનિક કીઓ નથી, તો તમે શું કરી શકો? સમસ્યા બે રીતે ઉકેલાય છે.
વિકલ્પ ssh-બાય-પાસવર્ડ:
પ્રથમ કનેક્શન દરમિયાન, ssh ક્લાયન્ટે ચેતવણી આપવી જોઈએ કે અમારી પાસે ssh સર્વરમાંથી નવી સાર્વજનિક કી છે.
અને આગળના જોડાણો દરમિયાન, જો ચેતવણી "ssh સર્વર તરફથી નવી સાર્વજનિક કી" દેખાય છે, તો તેનો અર્થ એ થશે કે તેઓ તમારી વાત સાંભળવાનો પ્રયાસ કરી રહ્યાં છે.
અથવા તમે તમારા પ્રથમ કનેક્શન પર સાંભળ્યા હતા, પરંતુ હવે તમે મધ્યસ્થી વિના સર્વર સાથે વાતચીત કરો છો.
વાસ્તવમાં, વાયરટેપીંગની હકીકત સહેલાઈથી, ઝડપથી અને સહેલાઈથી જાહેર થઈ જાય તે હકીકતને કારણે, આ હુમલાનો ઉપયોગ ચોક્કસ ક્લાયન્ટ માટેના ખાસ કિસ્સાઓમાં જ થાય છે.

વિકલ્પ ssh-by-key:
અમે એક ફ્લેશ ડ્રાઇવ લઈએ છીએ, તેના પર ssh સર્વર માટે ખાનગી કી લખીએ છીએ (આ માટે શરતો અને ઘણી મહત્વપૂર્ણ ઘોંઘાટ છે, પરંતુ હું શૈક્ષણિક પ્રોગ્રામ લખી રહ્યો છું, ઉપયોગ માટેની સૂચનાઓ નહીં).
અમે મશીન પર સાર્વજનિક કી છોડીએ છીએ જ્યાં ssh ક્લાયંટ હશે અને અમે તેને ગુપ્ત પણ રાખીએ છીએ.
અમે ફ્લેશ ડ્રાઇવને સર્વર પર લાવીએ છીએ, તેને દાખલ કરીએ છીએ, ખાનગી કીની નકલ કરીએ છીએ, અને ફ્લેશ ડ્રાઇવને બાળી નાખીએ છીએ અને રાખને પવનમાં વેરવિખેર કરીએ છીએ (અથવા ઓછામાં ઓછું તેને શૂન્ય સાથે ફોર્મેટ કરીએ છીએ).
તે બધુ જ છે - આવા ઓપરેશન પછી આવા ssh કનેક્શનને હેક કરવું અશક્ય હશે. અલબત્ત, 10 વર્ષમાં સુપર કોમ્પ્યુટર પર ટ્રાફિક જોવાનું શક્ય બનશે - પરંતુ તે એક અલગ વાર્તા છે.

હું ઑફટોપિક માટે માફી માંગુ છું.

તેથી હવે થિયરી જાણીતી છે. હું તમને SSL પ્રમાણપત્ર બનાવવાના પ્રવાહ વિશે કહીશ.

"openssl genrsa" નો ઉપયોગ કરીને અમે જાહેર કી માટે ખાનગી કી અને "બ્લેન્ક" બનાવીએ છીએ.
અમે તૃતીય-પક્ષ કંપનીને "ખાલી જગ્યાઓ" મોકલીએ છીએ, જેને અમે સૌથી સરળ પ્રમાણપત્ર માટે આશરે $9 ચૂકવીએ છીએ.

થોડા કલાકો પછી, અમને આ તૃતીય-પક્ષ કંપની તરફથી અમારી "જાહેર" કી અને ઘણી સાર્વજનિક કીઓનો સમૂહ પ્રાપ્ત થાય છે.

મારી સાર્વજનિક કીની નોંધણી માટે તૃતીય-પક્ષ કંપનીએ શા માટે ચૂકવણી કરવી જોઈએ તે એક અલગ પ્રશ્ન છે, અમે તેને અહીં ધ્યાનમાં લઈશું નહીં.

હવે તે સ્પષ્ટ છે કે શિલાલેખનો અર્થ શું છે:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

"/etc/ssl" ફોલ્ડરમાં ssl સમસ્યાઓ માટેની બધી ફાઇલો છે.
domain1.com — ડોમેન નામ.
2018 કી રચનાનું વર્ષ છે.
"કી" - હોદ્દો કે ફાઇલ ખાનગી કી છે.

અને આ ફાઇલનો અર્થ:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com — ડોમેન નામ.
2018 કી રચનાનું વર્ષ છે.
સાંકળો - હોદ્દો કે સાર્વજનિક કીની સાંકળ છે (પ્રથમ અમારી સાર્વજનિક કી છે અને બાકીની તે કંપની છે જેણે જાહેર કી જારી કરી છે).
સીઆરટી - હોદ્દો કે ત્યાં તૈયાર પ્રમાણપત્ર છે (તકનીકી સ્પષ્ટતા સાથે જાહેર કી).

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

આ સેટિંગ આ કિસ્સામાં ઉપયોગમાં લેવાતી નથી, પરંતુ ઉદાહરણ તરીકે લખાયેલ છે.

કારણ કે આ પરિમાણમાં ભૂલને કારણે તમારા સર્વરમાંથી સ્પામ મોકલવામાં આવશે (તમારી ઇચ્છા વિના).

પછી દરેકને સાબિત કરો કે તમે દોષિત નથી.

recipient_delimiter = +

ઘણા લોકો કદાચ જાણતા ન હોય, પરંતુ આ રેન્કિંગ ઈમેલ માટેનું પ્રમાણભૂત પાત્ર છે, અને તે મોટાભાગના આધુનિક મેઈલ સર્વર્સ દ્વારા સપોર્ટેડ છે.

ઉદાહરણ તરીકે, જો તમારી પાસે મેઈલબોક્સ છે "[ઇમેઇલ સુરક્ષિત]"ને મોકલવાનો પ્રયાસ કરો"[ઇમેઇલ સુરક્ષિત]"- જુઓ તેમાંથી શું આવે છે.

inet_protocols = ipv4

આ મૂંઝવણભર્યું હોઈ શકે છે.

પરંતુ તે માત્ર એવું નથી. દરેક નવું ડોમેન મૂળભૂત રીતે ફક્ત IPv4 છે, પછી હું દરેક માટે અલગથી IPv6 ચાલુ કરું છું.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

અહીં અમે સ્પષ્ટ કરીએ છીએ કે તમામ ઇનકમિંગ મેઇલ ડવકોટ પર જાય છે.
અને ડોમેન, મેઇલબોક્સ, ઉપનામ માટેના નિયમો - ડેટાબેઝમાં જુઓ.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

હવે પોસ્ટફિક્સ જાણે છે કે ડોવકોટ સાથે અધિકૃતતા પછી જ વધુ મોકલવા માટે મેઇલ સ્વીકારી શકાય છે.

હું ખરેખર સમજી શકતો નથી કે આ અહીં શા માટે ડુપ્લિકેટ છે. "વર્ચ્યુઅલ_ટ્રાન્સપોર્ટ" માં જરૂરી છે તે બધું અમે પહેલેથી જ સ્પષ્ટ કરી દીધું છે.

પરંતુ પોસ્ટફિક્સ સિસ્ટમ ખૂબ જ જૂની છે - કદાચ તે જૂના દિવસોથી થ્રોબેક છે.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

આ દરેક મેઇલ સર્વર માટે અલગ રીતે ગોઠવી શકાય છે.

મારી પાસે મારા નિકાલ પર 3 મેઇલ સર્વર છે અને આ સેટિંગ્સ વિવિધ ઉપયોગની આવશ્યકતાઓને કારણે ખૂબ જ અલગ છે.

તમારે તેને કાળજીપૂર્વક રૂપરેખાંકિત કરવાની જરૂર છે - અન્યથા સ્પામ તમારામાં રેડશે, અથવા તેનાથી પણ ખરાબ - સ્પામ તમારી પાસેથી રેડશે.

# SPF
policyd-spf_time_limit = 3600

આવનારા પત્રોના SPFને તપાસવા સંબંધિત કેટલાક પ્લગઇન માટે સેટઅપ કરવું.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

સેટિંગ એ છે કે આપણે બધા આઉટગોઇંગ ઇમેઇલ્સ સાથે DKIM સહી પ્રદાન કરવી આવશ્યક છે.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

PHP સ્ક્રિપ્ટોમાંથી પત્રો મોકલતી વખતે આ લેટર રૂટીંગમાં મુખ્ય વિગત છે.

ફાઇલ “/etc/postfix/sdd_transport.pcre”:

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

ડાબી બાજુએ નિયમિત અભિવ્યક્તિઓ છે. જમણી બાજુએ એક લેબલ છે જે અક્ષરને ચિહ્નિત કરે છે.
લેબલ અનુસાર પોસ્ટફિક્સ - ચોક્કસ અક્ષર માટે થોડી વધુ ગોઠવણી રેખાઓ ધ્યાનમાં લેશે.

ચોક્કસ અક્ષર માટે પોસ્ટફિક્સ કેવી રીતે ફરીથી ગોઠવવામાં આવશે તે “master.cf” માં સૂચવવામાં આવશે.

લીટીઓ 4, 5, 6 મુખ્ય છે. અમે કયા ડોમેન વતી પત્ર મોકલીએ છીએ, અમે આ લેબલ મૂકીએ છીએ.
પરંતુ જૂના કોડમાં PHP સ્ક્રિપ્ટ્સમાં "ફ્રોમ" ફીલ્ડ હંમેશા સૂચવવામાં આવતું નથી. પછી વપરાશકર્તા નામ બચાવમાં આવે છે.

લેખ પહેલેથી જ વ્યાપક છે - હું nginx+fpm સેટ કરીને વિચલિત થવા માંગતો નથી.

સંક્ષિપ્તમાં, દરેક સાઇટ માટે અમે તેના પોતાના લિનક્સ-વપરાશકર્તા માલિકને સેટ કરીએ છીએ. અને તે મુજબ તમારું fpm-પૂલ.

Fpm-pool php ના કોઈપણ સંસ્કરણનો ઉપયોગ કરે છે (જ્યારે તે જ સર્વર પર તમે php ના વિવિધ સંસ્કરણોનો ઉપયોગ કરી શકો છો અને પડોશી સાઇટ્સ માટે સમસ્યા વિના અલગ php.ini પણ વાપરી શકો છો ત્યારે તે સરસ છે).

તેથી, ચોક્કસ લિનક્સ-વપરાશકર્તા "www-domain2" ની વેબસાઇટ domain2.com છે. આ સાઇટમાં ફ્રોમ ફીલ્ડનો ઉલ્લેખ કર્યા વગર ઈમેલ મોકલવા માટેનો કોડ છે.

તેથી, આ કિસ્સામાં પણ, પત્રો યોગ્ય રીતે મોકલવામાં આવશે અને સ્પામમાં ક્યારેય સમાપ્ત થશે નહીં.

મારું "/etc/postfix/master.cf" આના જેવું દેખાય છે:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

ફાઇલ સંપૂર્ણ રીતે પ્રદાન કરવામાં આવી નથી - તે પહેલેથી જ ખૂબ મોટી છે.
મેં ફક્ત નોંધ્યું કે શું બદલાયું છે.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

આ સ્પામાસાસીન સંબંધિત સેટિંગ્સ છે, તેના પર પછીથી વધુ.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

અમે તમને પોર્ટ 587 દ્વારા મેઇલ સર્વર સાથે કનેક્ટ થવાની મંજૂરી આપીએ છીએ.
આ કરવા માટે, તમારે લૉગ ઇન કરવું આવશ્યક છે.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

SPF ચેક સક્ષમ કરો.

apt-get install postfix-policyd-spf-python

ચાલો ઉપરોક્ત SPF તપાસો માટે પેકેજ ઇન્સ્ટોલ કરીએ.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

અને આ સૌથી રસપ્રદ બાબત છે. આ ચોક્કસ IPv4/IPv6 સરનામાંમાંથી ચોક્કસ ડોમેન માટે પત્રો મોકલવાની ક્ષમતા છે.

આ rDNS ખાતર કરવામાં આવે છે. rDNS એ IP એડ્રેસ દ્વારા સ્ટ્રિંગ મેળવવાની પ્રક્રિયા છે.
અને મેઇલ માટે, આ સુવિધાનો ઉપયોગ પુષ્ટિ કરવા માટે થાય છે કે હેલો એ સરનામાંના rDNS સાથે બરાબર મેળ ખાય છે જેમાંથી ઇમેઇલ મોકલવામાં આવ્યો હતો.

જો હેલો એ ઇમેઇલ ડોમેન સાથે મેળ ખાતો નથી કે જેના વતી પત્ર મોકલવામાં આવ્યો હતો, તો સ્પામ પોઈન્ટ આપવામાં આવે છે.

Helo rDNS સાથે મેળ ખાતો નથી - ઘણા બધા સ્પામ પોઈન્ટ આપવામાં આવે છે.
તદનુસાર, દરેક ડોમેનનું પોતાનું IP સરનામું હોવું આવશ્યક છે.
OVH માટે - કન્સોલમાં rDNS નો ઉલ્લેખ કરવો શક્ય છે.
tech.ru માટે - સમસ્યાને સમર્થન દ્વારા ઉકેલવામાં આવે છે.
AWS માટે, સમસ્યાને સમર્થન દ્વારા ઉકેલવામાં આવે છે.
“inet_protocols” અને “smtp_bind_address6” - અમે IPv6 સપોર્ટને સક્ષમ કરીએ છીએ.
IPv6 માટે તમારે rDNS રજીસ્ટર કરવાની પણ જરૂર છે.
"syslog_name" - અને આ લોગ વાંચવામાં સરળતા માટે છે.

પ્રમાણપત્રો ખરીદો હું અહીં ભલામણ કરું છું.

પોસ્ટફિક્સ+ડોવકોટ લિંક અહીં સેટ કરી રહ્યું છે.

એસપીએફ સેટ કરી રહ્યું છે.

============== કબૂતર =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

mysql સુયોજિત કરી રહ્યા છીએ, પેકેજો જાતે સ્થાપિત કરી રહ્યા છીએ.

ફાઇલ "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

અધિકૃતતા માત્ર એન્ક્રિપ્ટેડ છે.

ફાઇલ “/etc/dovecot/conf.d/10-mail.conf”

mail_location = maildir:/var/mail/vhosts/%d/%n

અહીં અમે અક્ષરો માટે સંગ્રહ સ્થાન સૂચવીએ છીએ.

હું ઇચ્છું છું કે તેમને ફાઇલોમાં સંગ્રહિત કરવામાં આવે અને ડોમેન દ્વારા જૂથબદ્ધ કરવામાં આવે.

ફાઇલ "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

આ મુખ્ય dovecot રૂપરેખાંકન ફાઈલ છે.
અહીં અમે અસુરક્ષિત જોડાણોને અક્ષમ કરીએ છીએ.
અને સુરક્ષિત જોડાણો સક્ષમ કરો.

ફાઇલ "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

SSL સુયોજિત કરી રહ્યા છીએ. અમે સૂચવીએ છીએ કે ssl જરૂરી છે.
અને પ્રમાણપત્ર પોતે. અને એક મહત્વપૂર્ણ વિગત એ "સ્થાનિક" નિર્દેશ છે. કયા સ્થાનિક IPv4 સાથે કનેક્ટ કરતી વખતે કયા SSL પ્રમાણપત્રનો ઉપયોગ કરવો તે સૂચવે છે.

માર્ગ દ્વારા, IPv6 અહીં ગોઠવેલ નથી, હું આ ભૂલને પછીથી સુધારીશ.
XX.XX.XX.X5 (domain2) - કોઈ પ્રમાણપત્ર નથી. ક્લાયન્ટ્સને કનેક્ટ કરવા માટે તમારે domain1.com નો ઉલ્લેખ કરવાની જરૂર છે.
XX.XX.XX.X2 (domain3) - એક પ્રમાણપત્ર છે, તમે ક્લાયંટને કનેક્ટ કરવા માટે domain1.com અથવા domain3.com નો ઉલ્લેખ કરી શકો છો.

ફાઇલ "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

ભવિષ્યમાં સ્પામાસાસિન માટે આની જરૂર પડશે.

ફાઇલ "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

આ એક એન્ટિસ્પામ પ્લગઇન છે. "સ્પામ" ફોલ્ડરમાં/માંથી ટ્રાન્સફર સમયે સ્પામાસાસીનને તાલીમ આપવા માટે જરૂરી છે.

ફાઇલ "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

આવી જ એક ફાઇલ છે.

ફાઇલ “/etc/dovecot/conf.d/20-lmtp.conf”

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

lmtp સેટ કરી રહ્યું છે.

ફાઇલ "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

સ્પામ ફોલ્ડરમાં/થી ટ્રાન્સફર સમયે સ્પામાસાસિન તાલીમ સેટિંગ્સ.

ફાઇલ "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

એક ફાઇલ કે જે સ્પષ્ટ કરે છે કે આવનારા અક્ષરોનું શું કરવું.

ફાઇલ "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

તમારે ફાઈલ કમ્પાઈલ કરવાની જરૂર છે: “sievec default.sieve”.

ફાઇલ "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

અધિકૃતતા માટે sql ફાઇલોનો ઉલ્લેખ કરવો.
અને ફાઇલનો ઉપયોગ અધિકૃતતાની પદ્ધતિ તરીકે થાય છે.

ફાઇલ "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

આ પોસ્ટફિક્સ માટે સમાન સેટિંગ્સને અનુરૂપ છે.

ફાઇલ "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

મુખ્ય રૂપરેખાંકન ફાઇલ.
મહત્વની બાબત એ છે કે અમે અહીં સૂચવીએ છીએ - પ્રોટોકોલ્સ ઉમેરો.

============= SpamAssassin ==============

apt-get install spamassassin spamc

ચાલો પેકેજો ઇન્સ્ટોલ કરીએ.

adduser spamd --disabled-login

ચાલો એક વપરાશકર્તા ઉમેરીએ જેના વતી.

systemctl enable spamassassin.service

અમે લોડ થવા પર ઓટો-લોડિંગ સ્પામાસાસિન સેવાને સક્ષમ કરીએ છીએ.

ફાઇલ "/etc/default/spamassassin":

CRON=1

"મૂળભૂત રીતે" નિયમોના સ્વચાલિત અપડેટને સક્ષમ કરીને.

ફાઇલ “/etc/spamassassin/local.cf”:

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

તમારે mysql માં ડેટાબેઝ "sa" બનાવવાની જરૂર છે, જેમાં વપરાશકર્તા "sa" પાસવર્ડ "પાસવર્ડ" સાથે (પર્યાપ્ત કંઈક સાથે બદલો).

report_safe - આ પત્રને બદલે સ્પામ ઈમેલનો રિપોર્ટ મોકલશે.
use_bayes spamassassin મશીન લર્નિંગ સેટિંગ્સ છે.

બાકીની સ્પામાસાસિન સેટિંગ્સનો ઉપયોગ લેખમાં અગાઉ કરવામાં આવ્યો હતો.

સામાન્ય સેટિંગ "સ્પામાસેસિન".
નવા સ્પામ ઇમેઇલ્સને IMAP “સ્પામ” ફોલ્ડરમાં ખસેડવા વિશે.
Dovecot + SpamAssassin ના સરળ સંયોજન વિશે.
ઇમૅપ ફોલ્ડર્સમાં અક્ષરો ખસેડતી વખતે હું સ્પામાસાસિન લર્નિંગ થિયરી વાંચવાની ભલામણ કરું છું (અને હું તેનો ઉપયોગ કરવાની ભલામણ કરતો નથી).

============= સમુદાયને અપીલ =============

ફોરવર્ડ કરેલા પત્રોની સુરક્ષાનું સ્તર કેવી રીતે વધારવું તે અંગે હું સમુદાયમાં એક વિચાર ફેંકવા માંગુ છું. કારણ કે હું મેઇલના વિષયમાં ખૂબ જ ડૂબી ગયો છું.

જેથી વપરાશકર્તા તેના ક્લાયન્ટ (આઉટલુક, થંડરબર્ડ, બ્રાઉઝર-પ્લગઇન, ...) પર કીની જોડી બનાવી શકે. જાહેર અને ખાનગી. સાર્વજનિક - DNS પર મોકલો. ખાનગી - ક્લાયંટ પર સાચવો. મેઇલ સર્વર્સ ચોક્કસ પ્રાપ્તકર્તાને મોકલવા માટે સાર્વજનિક કીનો ઉપયોગ કરી શકશે.

અને આવા અક્ષરો સાથે સ્પામ સામે રક્ષણ આપવા માટે (હા, મેઇલ સર્વર સામગ્રી જોઈ શકશે નહીં) - તમારે 3 નિયમો રજૂ કરવાની જરૂર પડશે:

1. ફરજિયાત વાસ્તવિક DKIM સહી, ફરજિયાત SPF, ફરજિયાત rDNS.
2. એન્ટિસ્પામ તાલીમ વિષય પર ન્યુરલ નેટવર્ક + ક્લાયંટ બાજુ પર તેના માટે ડેટાબેઝ.
3. એન્ક્રિપ્શન એલ્ગોરિધમ એવું હોવું જોઈએ કે મોકલનાર બાજુએ પ્રાપ્ત બાજુ કરતાં એન્ક્રિપ્શન પર 100 ગણો વધુ CPU પાવર ખર્ચ કરવો જોઈએ.

જાહેર પત્રો ઉપરાંત, "સુરક્ષિત પત્રવ્યવહાર શરૂ કરવા માટે" માનક દરખાસ્ત પત્ર વિકસાવો. વપરાશકર્તાઓમાંથી એક (મેલબોક્સ) બીજા મેઇલબોક્સમાં જોડાણ સાથેનો પત્ર મોકલે છે. પત્રમાં પત્રવ્યવહાર માટે સુરક્ષિત સંદેશાવ્યવહાર ચેનલ શરૂ કરવા માટેની ટેક્સ્ટ દરખાસ્ત અને મેઇલબોક્સના માલિકની જાહેર કી (ક્લાયન્ટ બાજુ પર ખાનગી કી સાથે) શામેલ છે.

તમે દરેક પત્રવ્યવહાર માટે ખાસ કરીને કેટલીક ચાવીઓ પણ બનાવી શકો છો. પ્રાપ્તકર્તા વપરાશકર્તા આ ઓફર સ્વીકારી શકે છે અને તેની સાર્વજનિક કી મોકલી શકે છે (ખાસ કરીને આ પત્રવ્યવહાર માટે પણ બનાવેલ છે). આગળ, પ્રથમ વપરાશકર્તા સેવા નિયંત્રણ પત્ર (બીજા વપરાશકર્તાની સાર્વજનિક કી સાથે એન્ક્રિપ્ટેડ) મોકલે છે - જેની પ્રાપ્તિ પર બીજો વપરાશકર્તા રચાયેલ સંચાર ચેનલને વિશ્વસનીય માની શકે છે. આગળ, બીજો વપરાશકર્તા નિયંત્રણ પત્ર મોકલે છે - અને પછી પ્રથમ વપરાશકર્તા પણ રચાયેલી ચેનલને સુરક્ષિત ગણી શકે છે.

રસ્તા પરની ચાવીઓના વિક્ષેપનો સામનો કરવા માટે, પ્રોટોકોલમાં ફ્લેશ ડ્રાઇવનો ઉપયોગ કરીને ઓછામાં ઓછી એક સાર્વજનિક કીને પ્રસારિત કરવાની સંભાવના પ્રદાન કરવી આવશ્યક છે.

અને સૌથી મહત્વની બાબત એ છે કે તે બધું કામ કરે છે (પ્રશ્ન એ છે કે "તેના માટે કોણ ચૂકવણી કરશે?"):
10 વર્ષ માટે $3 થી શરૂ થતા પોસ્ટલ પ્રમાણપત્રો દાખલ કરો. જે પ્રેષકને dns માં સૂચવવા માટે પરવાનગી આપશે કે "મારી સાર્વજનિક ચાવીઓ ત્યાં છે." અને તેઓ તમને સુરક્ષિત કનેક્શન શરૂ કરવાની તક આપશે. તે જ સમયે, આવા જોડાણો સ્વીકારવાનું મફત છે.
જીમેલ આખરે તેના વપરાશકર્તાઓનું મુદ્રીકરણ કરી રહ્યું છે. 10 વર્ષ દીઠ $3 માટે - સુરક્ષિત પત્રવ્યવહાર ચેનલો બનાવવાનો અધિકાર.

============= નિષ્કર્ષ =============

આખા લેખને ચકાસવા માટે, હું એક મહિના માટે સમર્પિત સર્વર ભાડે લેવા જઈ રહ્યો હતો અને SSL પ્રમાણપત્ર સાથે ડોમેન ખરીદવા જઈ રહ્યો હતો.

પરંતુ જીવન સંજોગો વિકસિત થયા તેથી આ મુદ્દો 2 મહિના સુધી ખેંચાયો.
અને તેથી, જ્યારે મારી પાસે ફરીથી ખાલી સમય હતો, ત્યારે મેં પ્રકાશનને વધુ એક વર્ષ સુધી ખેંચી લેવાના જોખમને બદલે લેખને જેમ છે તેમ પ્રકાશિત કરવાનું નક્કી કર્યું.

જો ત્યાં ઘણા બધા પ્રશ્નો છે જેમ કે "પરંતુ આનું પર્યાપ્ત વિગતવાર વર્ણન કરવામાં આવ્યું નથી", તો પછી નવા ડોમેન અને નવા SSL પ્રમાણપત્ર સાથે સમર્પિત સર્વર લેવાની અને તેનું વધુ વિગતવાર વર્ણન કરવાની શક્તિ હશે અને, મોટા ભાગના અગત્યની રીતે, ખૂટતી તમામ મહત્વપૂર્ણ વિગતોને ઓળખો.

હું પોસ્ટલ સર્ટિફિકેટ વિશેના વિચારો પર પ્રતિસાદ પણ મેળવવા માંગુ છું. જો તમને વિચાર ગમ્યો હોય, તો હું rfc માટે ડ્રાફ્ટ લખવાની તાકાત શોધવાનો પ્રયત્ન કરીશ.

લેખના મોટા ભાગની નકલ કરતી વખતે, આ લેખની લિંક આપો.
અન્ય કોઈપણ ભાષામાં અનુવાદ કરતી વખતે, આ લેખની લિંક આપો.
હું તેને જાતે અંગ્રેજીમાં અનુવાદિત કરવાનો પ્રયત્ન કરીશ અને ક્રોસ-રેફરન્સ છોડીશ.

સોર્સ: www.habr.com