डेबियन + पोस्टफिक्स + डवकोट + मल्टीडोमेन + एसएसएल + आईपीवी 6 + ओपनवीपीएन + मल्टी-इंटरफेस + स्पैमएसासिन-लर्न + बाइंड

यह आलेख एक आधुनिक मेल सर्वर कैसे स्थापित करें इसके बारे में है।
पोस्टफ़िक्स + डवकोट। एसपीएफ़ + डीकेआईएम + आरडीएनएस। IPv6 के साथ.
टीएसएल एन्क्रिप्शन के साथ. एकाधिक डोमेन के लिए समर्थन के साथ - एक वास्तविक एसएसएल प्रमाणपत्र के साथ भाग।
एंटीस्पैम सुरक्षा और अन्य मेल सर्वर से उच्च एंटीस्पैम रेटिंग के साथ।
एकाधिक भौतिक इंटरफ़ेस का समर्थन करता है।
OpenVPN के साथ, जिसका कनेक्शन IPv4 के माध्यम से है, और जो IPv6 प्रदान करता है।

यदि आप इन सभी तकनीकों को सीखना नहीं चाहते हैं, लेकिन एक ऐसा सर्वर स्थापित करना चाहते हैं, तो यह लेख आपके लिए है।

लेख हर विवरण को समझाने का कोई प्रयास नहीं करता है। स्पष्टीकरण उस चीज़ पर जाता है जो मानक के रूप में कॉन्फ़िगर नहीं की गई है या उपभोक्ता के दृष्टिकोण से महत्वपूर्ण है।

मेल सर्वर स्थापित करने की प्रेरणा मेरा एक लंबे समय से सपना रहा है। यह मूर्खतापूर्ण लग सकता है, लेकिन आईएमएचओ, यह आपके पसंदीदा ब्रांड की नई कार का सपना देखने से कहीं बेहतर है।

IPv6 की स्थापना के लिए दो प्रेरणाएँ हैं। एक आईटी विशेषज्ञ को जीवित रहने के लिए लगातार नई तकनीकों को सीखने की जरूरत है। मैं सेंसरशिप के खिलाफ लड़ाई में अपना मामूली योगदान देना चाहूंगा।

ओपनवीपीएन स्थापित करने की प्रेरणा सिर्फ आईपीवी6 को स्थानीय मशीन पर काम कराना है।
कई भौतिक इंटरफ़ेस स्थापित करने की प्रेरणा यह है कि मेरे सर्वर पर एक इंटरफ़ेस "धीमा लेकिन असीमित" और दूसरा "तेज़ लेकिन टैरिफ के साथ" है।

बाइंड सेटिंग्स स्थापित करने की प्रेरणा यह है कि मेरा आईएसपी एक अस्थिर डीएनएस सर्वर प्रदान करता है, और Google भी कभी-कभी विफल हो जाता है। मैं व्यक्तिगत उपयोग के लिए एक स्थिर DNS सर्वर चाहता हूँ।

एक लेख लिखने की प्रेरणा - मैंने 10 महीने पहले एक मसौदा लिखा था, और मैं इसे पहले ही दो बार देख चुका हूँ। भले ही लेखक को नियमित रूप से इसकी आवश्यकता हो, इस बात की बहुत अधिक संभावना है कि दूसरों को भी इसकी आवश्यकता होगी।

मेल सर्वर के लिए कोई सार्वभौमिक समाधान नहीं है। लेकिन मैं कुछ इस तरह लिखने की कोशिश करूंगा कि "ऐसा करो और फिर, जब सब कुछ वैसा ही हो जाए जैसा होना चाहिए, तो अतिरिक्त सामान बाहर फेंक दो।"

कंपनी tech.ru के पास एक कोलोकेशन सर्वर है। इसकी तुलना OVH, Hetzner, AWS से की जा सकती है। इस समस्या को हल करने के लिए tech.ru के साथ सहयोग अधिक प्रभावी होगा।

डेबियन 9 सर्वर पर स्थापित है।

सर्वर में 2 इंटरफ़ेस `eno1` और `eno2` हैं। पहला क्रमशः असीमित है, और दूसरा तेज़ है।

`eno3` इंटरफ़ेस पर 0 स्थिर IP पते, XX.XX.XX.X1 और XX.XX.XX.X2 और XX.XX.XX.X1 और `eno5` इंटरफ़ेस पर XX.XX.XX.X2 हैं .

उपलब्ध XXXX:XXXX:XXXX:XXXX::/64 IPv6 पतों का एक पूल जो `eno1` इंटरफ़ेस को सौंपा गया है और उसमें से XXXX:XXXX:XXXX:XXXX:1:2::/96 मेरे अनुरोध पर `eno2` को सौंपा गया था।

3 डोमेन हैं `domain1.com`, `domain2.com`, `domain3.com`. `domain1.com` और `domain3.com` के लिए एक SSL प्रमाणपत्र है।

मेरे पास एक Google खाता है जिससे मैं अपना मेलबॉक्स लिंक करना चाहूंगा[ईमेल संरक्षित]` (मेल प्राप्त करना और सीधे जीमेल इंटरफ़ेस से मेल भेजना)।
एक मेलबॉक्स अवश्य होना चाहिए'[ईमेल संरक्षित]`, उस ईमेल की एक प्रति जिसे मैं अपने जीमेल में देखना चाहता हूं। और `की ओर से कुछ भेजने में सक्षम होना दुर्लभ है[ईमेल संरक्षित]`वेब इंटरफ़ेस के माध्यम से।

एक मेलबॉक्स अवश्य होना चाहिए'[ईमेल संरक्षित]`, जिसे इवानोव अपने iPhone से उपयोग करेगा।

भेजे गए ईमेल को सभी आधुनिक एंटीस्पैम आवश्यकताओं का पालन करना होगा।
सार्वजनिक नेटवर्क में उच्चतम स्तर का एन्क्रिप्शन प्रदान किया जाना चाहिए।
पत्र भेजने और प्राप्त करने दोनों के लिए IPv6 समर्थन होना चाहिए।
एक SpamAssassin होना चाहिए जो ईमेल कभी नहीं हटाएगा। और यह या तो बाउंस हो जाएगा या स्किप हो जाएगा या IMAP "स्पैम" फ़ोल्डर में भेज दिया जाएगा।
SpamAssassin ऑटो-लर्निंग को कॉन्फ़िगर किया जाना चाहिए: यदि मैं किसी पत्र को स्पैम फ़ोल्डर में ले जाता हूं, तो यह इससे सीखेगा; यदि मैं स्पैम फ़ोल्डर से कोई पत्र हटाता हूं, तो वह इससे सीख लेगा। SpamAssassin प्रशिक्षण के परिणामों को इस बात पर प्रभाव डालना चाहिए कि पत्र स्पैम फ़ोल्डर में समाप्त होता है या नहीं।
PHP स्क्रिप्ट किसी दिए गए सर्वर पर किसी भी डोमेन की ओर से मेल भेजने में सक्षम होनी चाहिए।
एक ओपनवीपीएन सेवा होनी चाहिए, जिसमें ऐसे क्लाइंट पर आईपीवी6 का उपयोग करने की क्षमता हो जिसके पास आईपीवी6 नहीं है।

सबसे पहले आपको IPv6 सहित इंटरफेस और रूटिंग को कॉन्फ़िगर करना होगा।
फिर आपको OpenVPN को कॉन्फ़िगर करने की आवश्यकता होगी, जो IPv4 के माध्यम से कनेक्ट होगा और क्लाइंट को एक स्थिर-वास्तविक IPv6 पता प्रदान करेगा। इस क्लाइंट के पास सर्वर पर सभी IPv6 सेवाओं और इंटरनेट पर किसी भी IPv6 संसाधनों तक पहुंच होगी।
फिर आपको पत्र + एसपीएफ़ + डीकेआईएम + आरडीएनएस और अन्य समान छोटी चीजें भेजने के लिए पोस्टफ़िक्स को कॉन्फ़िगर करने की आवश्यकता होगी।
फिर आपको Dovecot को कॉन्फ़िगर करने और मल्टीडोमेन को कॉन्फ़िगर करने की आवश्यकता होगी।
फिर आपको SpamAssassin को कॉन्फ़िगर करने और प्रशिक्षण को कॉन्फ़िगर करने की आवश्यकता होगी।
अंत में, बाइंड स्थापित करें।

============= मल्टी-इंटरफ़ेस =============

इंटरफ़ेस कॉन्फ़िगर करने के लिए, आपको इसे "/etc/network/interfaces" में लिखना होगा।

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

इन सेटिंग्स को tech.ru में किसी भी सर्वर पर लागू किया जा सकता है (समर्थन के साथ थोड़े से समन्वय के साथ) और यह तुरंत वैसे ही काम करेगा जैसे इसे करना चाहिए।

यदि आपके पास हेट्ज़नर, ओवीएच के लिए समान चीजें स्थापित करने का अनुभव है, तो यह वहां अलग है। अधिक मुश्किल।

eno1 नेटवर्क कार्ड #1 (धीमा लेकिन असीमित) का नाम है।
eno2 नेटवर्क कार्ड #2 का नाम है (तेज़, लेकिन टैरिफ के साथ)।
tun0 OpenVPN के वर्चुअल नेटवर्क कार्ड का नाम है।
XX.XX.XX.X0 - eno4 पर IPv1 #1।
XX.XX.XX.X1 - eno4 पर IPv2 #1।
XX.XX.XX.X2 - eno4 पर IPv3 #1।
XX.XX.XX.X5 - eno4 पर IPv1 #2।
XX.XX.XX.1 - IPv4 गेटवे।
XXXX:XXXX:XXXX:XXXX::/64 - संपूर्ण सर्वर के लिए IPv6.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - eno6 के लिए IPv2, बाहर से बाकी सब कुछ eno1 में चला जाता है।
XXXX:XXXX:XXXX:XXXX::1 - IPv6 गेटवे (यह ध्यान देने योग्य है कि इसे अलग तरीके से किया जा सकता है/चाहिए। IPv6 स्विच निर्दिष्ट करें)।
डीएनएस-नेमसर्वर - 127.0.0.1 इंगित किया गया है (क्योंकि बाइंड स्थानीय रूप से स्थापित है) और 213.248.1.6 (यह tech.ru से है)।

"टेबल eno1t" और "टेबल eno2t" - इन मार्ग-नियमों का अर्थ यह है कि eno1 के माध्यम से प्रवेश करने वाला ट्रैफ़िक -> इसके माध्यम से निकल जाएगा, और eno2 के माध्यम से प्रवेश करने वाला ट्रैफ़िक -> इसके माध्यम से निकल जाएगा। और सर्वर द्वारा शुरू किए गए कनेक्शन भी eno1 के माध्यम से जाएंगे।

ip route add default via XX.XX.XX.1 table eno1t

इस आदेश के साथ हम निर्दिष्ट करते हैं कि कोई भी समझ से बाहर होने वाला ट्रैफ़िक जो "तालिका eno1t" -> चिह्नित किसी भी नियम के अंतर्गत आता है, eno1 इंटरफ़ेस पर भेजा जाएगा।

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

इस आदेश के साथ हम निर्दिष्ट करते हैं कि सर्वर द्वारा शुरू किए गए किसी भी ट्रैफ़िक को eno1 इंटरफ़ेस पर निर्देशित किया जाना चाहिए।

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

इस आदेश से हम यातायात को चिह्नित करने के नियम निर्धारित करते हैं।

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

यह ब्लॉक eno4 इंटरफ़ेस के लिए दूसरा IPv1 निर्दिष्ट करता है।

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

इस कमांड के साथ हम XX.XX.XX.X4 को छोड़कर OpenVPN क्लाइंट से स्थानीय IPv0 तक का रूट सेट करते हैं।
मुझे अभी भी समझ नहीं आया कि यह कमांड सभी IPv4 के लिए पर्याप्त क्यों है।

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

यहीं पर हम इंटरफ़ेस के लिए पता निर्धारित करते हैं। सर्वर इसे "आउटगोइंग" पते के रूप में उपयोग करेगा। दोबारा किसी भी प्रकार से उपयोग नहीं किया जाएगा।

":1:1::" इतना जटिल क्यों है? ताकि OpenVPN सही ढंग से और केवल इसी के लिए काम करे। इस पर बाद में और अधिक जानकारी।

गेटवे के विषय पर - यह इसी तरह काम करता है और यह ठीक है। लेकिन सही तरीका यह है कि यहां उस स्विच का IPv6 दर्शाया जाए जिससे सर्वर जुड़ा है।

हालाँकि, अगर मैं ऐसा करता हूँ तो किसी कारण से IPv6 काम करना बंद कर देता है। यह संभवतः किसी प्रकार की tech.ru समस्या है।

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

यह इंटरफ़ेस में एक IPv6 पता जोड़ रहा है। यदि आपको सौ पतों की आवश्यकता है, तो इसका मतलब है कि इस फ़ाइल में सौ पंक्तियाँ हैं।

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

इसे स्पष्ट करने के लिए मैंने सभी इंटरफ़ेस के पते और सबनेट नोट कर लिए।
eno1 - होना चाहिए "/64"- क्योंकि यह हमारे पतों का संपूर्ण पूल है।
tun0 - सबनेट eno1 से बड़ा होना चाहिए। अन्यथा, OpenVPN क्लाइंट के लिए IPv6 गेटवे कॉन्फ़िगर करना संभव नहीं होगा।
eno2 - सबनेट tun0 से बड़ा होना चाहिए। अन्यथा, OpenVPN क्लाइंट स्थानीय IPv6 पतों तक नहीं पहुंच पाएंगे।
स्पष्टता के लिए, मैंने 16 का सबनेट चरण चुना, लेकिन यदि आप चाहें, तो आप "1" चरण भी कर सकते हैं।
तदनुसार, 64+16 = 80, और 80+16 = 96।

और भी अधिक स्पष्टता के लिए:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY ऐसे पते हैं जिन्हें eno1 इंटरफ़ेस पर विशिष्ट साइटों या सेवाओं को सौंपा जाना चाहिए।
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY ऐसे पते हैं जिन्हें eno2 इंटरफ़ेस पर विशिष्ट साइटों या सेवाओं को सौंपा जाना चाहिए।
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY ऐसे पते हैं जिन्हें OpenVPN ग्राहकों को सौंपा जाना चाहिए या OpenVPN सेवा पते के रूप में उपयोग किया जाना चाहिए।

नेटवर्क को कॉन्फ़िगर करने के लिए, सर्वर को पुनरारंभ करना संभव होना चाहिए।
निष्पादित होने पर IPv4 परिवर्तन उठाए जाते हैं (इसे स्क्रीन में लपेटना सुनिश्चित करें - अन्यथा यह कमांड सर्वर पर नेटवर्क को क्रैश कर देगा):

/etc/init.d/networking restart

फ़ाइल के अंत में जोड़ें "/etc/iproute2/rt_tables":

100 eno1t
101 eno2t

इसके बिना, आप "/etc/network/interfaces" फ़ाइल में कस्टम टेबल का उपयोग नहीं कर सकते।
संख्याएँ अद्वितीय और 65535 से कम होनी चाहिए।

IPv6 परिवर्तनों को रिबूट किए बिना आसानी से बदला जा सकता है, लेकिन ऐसा करने के लिए आपको कम से कम तीन कमांड सीखने की जरूरत है:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

सेटिंग "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

ये मेरे सर्वर की "sysctl" सेटिंग्स हैं। मुझे एक महत्वपूर्ण बात बताने दीजिए.

net.ipv4.ip_forward = 1

इसके बिना OpenVPN बिल्कुल भी काम नहीं करेगा.

net.ipv6.ip_nonlocal_bind = 1

जो कोई भी इंटरफ़ेस चालू होने के तुरंत बाद IPv6 (उदाहरण के लिए nginx) को बाइंड करने का प्रयास करेगा, उसे एक त्रुटि प्राप्त होगी। कि यह पता उपलब्ध नहीं है.

ऐसी स्थिति से बचने के लिए ऐसी सेटिंग की जाती है.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

इन IPv6 सेटिंग्स के बिना, OpenVPN क्लाइंट से ट्रैफ़िक दुनिया में नहीं जाता है।

अन्य सेटिंग्स या तो प्रासंगिक नहीं हैं या मुझे याद नहीं है कि वे किस लिए हैं।
लेकिन बस मामले में, मैं इसे "जैसा है" छोड़ देता हूँ।

सर्वर को रिबूट किए बिना इस फ़ाइल में परिवर्तन करने के लिए, आपको कमांड चलाने की आवश्यकता है:

sysctl -p

"तालिका" नियमों के बारे में अधिक विवरण: habr.com/post/108690

============= ओपनवीपीएन =============

OpenVPN IPv4 iptables के बिना काम नहीं करता है।

वीपीएन के लिए मेरी आईपीटेबल्स इस प्रकार हैं:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY मेरी स्थानीय मशीन का स्थिर IPv4 पता है।
10.8.0.0/24 - आईपीवी4 ओपनवीपीएन नेटवर्क। ओपनवीपीएन ग्राहकों के लिए आईपीवी4 पते।
नियमों की एकरूपता महत्वपूर्ण है.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

यह एक सीमा है ताकि केवल मैं ही अपने स्थिर आईपी से ओपनवीपीएन का उपयोग कर सकूं।

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN क्लाइंट और इंटरनेट के बीच IPv4 पैकेट अग्रेषित करने के लिए, आपको इनमें से किसी एक कमांड को पंजीकृत करना होगा।

विभिन्न मामलों के लिए, विकल्पों में से एक उपयुक्त नहीं है।
दोनों आदेश मेरे मामले के लिए उपयुक्त हैं।
दस्तावेज़ पढ़ने के बाद, मैंने पहला विकल्प चुना क्योंकि यह कम CPU का उपयोग करता है।

रीबूट के बाद सभी iptables सेटिंग्स को उठाए जाने के लिए, आपको उन्हें कहीं सहेजना होगा।

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

ऐसे नाम यूं ही नहीं चुने गए. इनका उपयोग "iptables-persistent" पैकेज द्वारा किया जाता है।

apt-get install iptables-persistent

मुख्य OpenVPN पैकेज स्थापित करना:

apt-get install openvpn easy-rsa

आइए प्रमाणपत्रों के लिए एक टेम्पलेट सेट करें (अपने मानों को प्रतिस्थापित करें):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

आइए प्रमाणपत्र टेम्पलेट सेटिंग संपादित करें:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

एक सर्वर प्रमाणपत्र बनाएं:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

आइए अंतिम "client-name.opvn" फ़ाइलें बनाने की क्षमता तैयार करें:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

आइए एक स्क्रिप्ट तैयार करें जो सभी फ़ाइलों को एक एकल ओपीवीएन फ़ाइल में मर्ज कर देगी।

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

पहला OpenVPN क्लाइंट बनाना:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

फ़ाइल "~/client-configs/files/client-name.ovpn" क्लाइंट के डिवाइस पर भेजी जाती है।

iOS क्लाइंट के लिए आपको निम्नलिखित ट्रिक करने की आवश्यकता होगी:
"tls-auth" टैग की सामग्री बिना किसी टिप्पणी के होनी चाहिए।
और "tls-auth" टैग के ठीक पहले "key-direction 1" भी लगाएं।

आइए OpenVPN सर्वर कॉन्फ़िगरेशन को कॉन्फ़िगर करें:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

प्रत्येक ग्राहक के लिए एक स्थिर पता सेट करने के लिए इसकी आवश्यकता है (आवश्यक नहीं, लेकिन मैं इसका उपयोग करता हूं):

# Client config dir
client-config-dir /etc/openvpn/ccd

सबसे कठिन और महत्वपूर्ण विवरण.

दुर्भाग्य से, OpenVPN अभी तक नहीं जानता कि ग्राहकों के लिए IPv6 गेटवे को स्वतंत्र रूप से कैसे कॉन्फ़िगर किया जाए।
आपको इसे प्रत्येक ग्राहक के लिए "मैन्युअल रूप से" अग्रेषित करना होगा।

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

फ़ाइल "/etc/openvpn/server-clientconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

फ़ाइल "/etc/openvpn/server-clientdisconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

दोनों स्क्रिप्ट "/etc/openvpn/variables" फ़ाइल का उपयोग करती हैं:

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

मुझे यह याद रखना मुश्किल हो रहा है कि ऐसा क्यों लिखा है।

अब नेटमास्क = 112 अजीब लगता है (यह वहीं 96 होना चाहिए)।
और उपसर्ग अजीब है, यह tun0 नेटवर्क से मेल नहीं खाता।
लेकिन ठीक है, मैं इसे वैसे ही छोड़ दूँगा।

cipher DES-EDE3-CBC

यह हर किसी के लिए नहीं है - मैंने कनेक्शन को एन्क्रिप्ट करने का यह तरीका चुना है।

OpenVPN IPv4 की स्थापना के बारे में और जानें।

OpenVPN IPv6 की स्थापना के बारे में और जानें।

============= पोस्टफिक्स =============

मुख्य पैकेज स्थापित करना:

apt-get install postfix

इंस्टॉल करते समय, "इंटरनेट साइट" चुनें।

मेरा "/etc/postfix/main.cf" इस तरह दिखता है:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

आइए इस कॉन्फ़िगरेशन के विवरण देखें।

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

खाबरोवस्क निवासियों के अनुसार, इस ब्लॉक में "गलत सूचना और गलत थीसिस" हैं।अपने करियर की शुरुआत के 8 साल बाद ही मुझे समझ में आने लगा कि एसएसएल कैसे काम करता है।

इसलिए, मैं यह बताने की स्वतंत्रता लूंगा कि एसएसएल का उपयोग कैसे किया जाए ("यह कैसे काम करता है?" और "यह क्यों काम करता है?" प्रश्नों का उत्तर दिए बिना)।

आधुनिक एन्क्रिप्शन का आधार एक कुंजी जोड़ी (वर्णों की दो बहुत लंबी श्रृंखला) का निर्माण है।

एक "कुंजी" निजी है, दूसरी कुंजी "सार्वजनिक" है। हम निजी कुंजी को बहुत सावधानी से गुप्त रखते हैं। हम सभी को सार्वजनिक कुंजी वितरित करते हैं।

सार्वजनिक कुंजी का उपयोग करके, आप पाठ की एक स्ट्रिंग को एन्क्रिप्ट कर सकते हैं ताकि केवल निजी कुंजी का स्वामी ही इसे डिक्रिप्ट कर सके।
ख़ैर, यही प्रौद्योगिकी का संपूर्ण आधार है।

चरण #1 - https साइटें।
किसी साइट तक पहुंचने पर, ब्राउज़र वेब सर्वर से सीखता है कि साइट https है और इसलिए सार्वजनिक कुंजी का अनुरोध करता है।
वेब सर्वर सार्वजनिक कुंजी देता है। ब्राउज़र http-अनुरोध को एन्क्रिप्ट करने और भेजने के लिए सार्वजनिक कुंजी का उपयोग करता है।
http-अनुरोध की सामग्री केवल वे ही पढ़ सकते हैं जिनके पास निजी कुंजी है, यानी केवल वह सर्वर जिससे अनुरोध किया गया है।
Http-अनुरोध में कम से कम एक URI शामिल है। इसलिए, यदि कोई देश संपूर्ण साइट तक नहीं, बल्कि किसी विशिष्ट पृष्ठ तक पहुंच को प्रतिबंधित करने का प्रयास कर रहा है, तो https साइटों के लिए ऐसा करना असंभव है।

चरण #2 - एन्क्रिप्टेड प्रतिक्रिया।
वेब सर्वर एक उत्तर प्रदान करता है जिसे सड़क पर आसानी से पढ़ा जा सकता है।
समाधान बेहद सरल है - ब्राउज़र स्थानीय रूप से प्रत्येक https साइट के लिए समान निजी-सार्वजनिक कुंजी जोड़ी उत्पन्न करता है।
और साइट की सार्वजनिक कुंजी के अनुरोध के साथ, यह अपनी स्थानीय सार्वजनिक कुंजी भेजता है।
वेब सर्वर इसे याद रखता है और http-प्रतिक्रिया भेजते समय इसे किसी विशिष्ट क्लाइंट की सार्वजनिक कुंजी के साथ एन्क्रिप्ट करता है।
अब http-प्रतिक्रिया को केवल क्लाइंट के ब्राउज़र की निजी कुंजी (अर्थात क्लाइंट स्वयं) के स्वामी द्वारा डिक्रिप्ट किया जा सकता है।

चरण संख्या 3 - सार्वजनिक चैनल के माध्यम से एक सुरक्षित कनेक्शन स्थापित करना।
उदाहरण संख्या 2 में एक भेद्यता है - शुभचिंतकों को http-अनुरोध को रोकने और सार्वजनिक कुंजी के बारे में जानकारी संपादित करने से कोई नहीं रोकता है।
इस प्रकार, संचार चैनल बदलने तक मध्यस्थ भेजे गए और प्राप्त संदेशों की सभी सामग्री को स्पष्ट रूप से देखेगा।
इससे निपटना बेहद सरल है - बस ब्राउज़र की सार्वजनिक कुंजी को वेब सर्वर की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड संदेश के रूप में भेजें।
वेब सर्वर पहले एक प्रतिक्रिया भेजता है जैसे "आपकी सार्वजनिक कुंजी इस तरह है" और इस संदेश को उसी सार्वजनिक कुंजी के साथ एन्क्रिप्ट करता है।
ब्राउज़र प्रतिक्रिया को देखता है - यदि संदेश "आपकी सार्वजनिक कुंजी इस तरह है" प्राप्त होती है - तो यह 100% गारंटी है कि यह संचार चैनल सुरक्षित है।
यह कितना सुरक्षित है?
ऐसे सुरक्षित संचार चैनल का निर्माण पिंग*2 की गति से होता है। उदाहरण के लिए 20ms.
हमलावर के पास पहले से किसी एक पक्ष की निजी कुंजी होनी चाहिए। या कुछ मिलीसेकंड में एक निजी कुंजी ढूंढें।
एक आधुनिक निजी कुंजी को हैक करने में सुपर कंप्यूटर पर दशकों लग जाएंगे।

चरण #4 - सार्वजनिक कुंजियों का सार्वजनिक डेटाबेस।
जाहिर है, इस पूरी कहानी में एक हमलावर के लिए क्लाइंट और सर्वर के बीच संचार चैनल पर बैठने का अवसर है।
क्लाइंट सर्वर होने का दिखावा कर सकता है, और सर्वर क्लाइंट होने का दिखावा कर सकता है। और दोनों दिशाओं में चाबियों की एक जोड़ी का अनुकरण करें।
तब हमलावर सारा ट्रैफ़िक देखेगा और ट्रैफ़िक को "संपादित" करने में सक्षम होगा।
उदाहरण के लिए, पैसे भेजने का पता बदलें या ऑनलाइन बैंकिंग से पासवर्ड कॉपी करें या "आपत्तिजनक" सामग्री को ब्लॉक करें।
ऐसे हमलावरों से निपटने के लिए, वे प्रत्येक https साइट के लिए सार्वजनिक कुंजी के साथ एक सार्वजनिक डेटाबेस लेकर आए।
प्रत्येक ब्राउज़र लगभग 200 ऐसे डेटाबेस के अस्तित्व के बारे में "जानता" है। यह हर ब्राउज़र में पहले से इंस्टॉल आता है।
"ज्ञान" प्रत्येक प्रमाणपत्र से एक सार्वजनिक कुंजी द्वारा समर्थित है। अर्थात्, प्रत्येक विशिष्ट प्रमाणन प्राधिकारी से कनेक्शन नकली नहीं हो सकता।

अब https के लिए SSL का उपयोग कैसे करें इसकी एक सरल समझ है।
यदि आप अपने दिमाग का उपयोग करें, तो यह स्पष्ट हो जाएगा कि विशेष सेवाएँ इस संरचना में किसी चीज़ को कैसे हैक कर सकती हैं। लेकिन इसके लिए उन्हें भारी प्रयासों की कीमत चुकानी पड़ेगी।
और एनएसए या सीआईए से छोटे संगठनों के लिए सुरक्षा के मौजूदा स्तर को हैक करना लगभग असंभव है, यहां तक ​​कि वीआईपी के लिए भी।

मैं ssh कनेक्शन के बारे में भी जोड़ूंगा। वहां कोई सार्वजनिक कुंजी नहीं है, तो आप क्या कर सकते हैं? इस मुद्दे को दो तरीकों से हल किया गया है।
विकल्प एसएसएच-बाय-पासवर्ड:
पहले कनेक्शन के दौरान, ssh क्लाइंट को चेतावनी देनी चाहिए कि हमारे पास ssh सर्वर से एक नई सार्वजनिक कुंजी है।
और आगे के कनेक्शन के दौरान, यदि चेतावनी "एसएसएच सर्वर से नई सार्वजनिक कुंजी" दिखाई देती है, तो इसका मतलब यह होगा कि वे आपकी जासूसी करने की कोशिश कर रहे हैं।
या आपके पहले कनेक्शन के बारे में आपसे कुछ कहा गया था, लेकिन अब आप बिचौलियों के बिना सर्वर से संचार करते हैं।
दरअसल, इस तथ्य के कारण कि वायरटैपिंग का तथ्य आसानी से, जल्दी और सहजता से सामने आ जाता है, इस हमले का उपयोग किसी विशिष्ट ग्राहक के लिए विशेष मामलों में ही किया जाता है।

विकल्प ssh-दर-कुंजी:
हम एक फ्लैश ड्राइव लेते हैं, उस पर एसएसएच सर्वर के लिए निजी कुंजी लिखते हैं (इसके लिए शर्तें और कई महत्वपूर्ण बारीकियां हैं, लेकिन मैं एक शैक्षिक कार्यक्रम लिख रहा हूं, उपयोग के लिए निर्देश नहीं)।
हम सार्वजनिक कुंजी को मशीन पर छोड़ देते हैं जहां एसएसएच क्लाइंट होगा और हम इसे गुप्त भी रखते हैं।
हम फ्लैश ड्राइव को सर्वर पर लाते हैं, उसे डालते हैं, निजी कुंजी की प्रतिलिपि बनाते हैं, और फ्लैश ड्राइव को जलाते हैं और राख को हवा में बिखेर देते हैं (या कम से कम इसे शून्य के साथ प्रारूपित करते हैं)।
बस इतना ही - ऐसे ऑपरेशन के बाद ऐसे ssh कनेक्शन को हैक करना असंभव होगा। बेशक, 10 वर्षों में सुपरकंप्यूटर पर ट्रैफ़िक देखना संभव होगा - लेकिन यह एक अलग कहानी है।

मैं अपमानजनक के लिए माफी माँगता हूँ।

तो अब यह सिद्धांत ज्ञात हो गया है। मैं आपको एसएसएल प्रमाणपत्र बनाने के प्रवाह के बारे में बताऊंगा।

"openssl genrsa" का उपयोग करके हम एक निजी कुंजी और सार्वजनिक कुंजी के लिए "रिक्त स्थान" बनाते हैं।
हम "रिक्त स्थान" एक तृतीय-पक्ष कंपनी को भेजते हैं, जिसे हम सबसे सरल प्रमाणपत्र के लिए लगभग $9 का भुगतान करते हैं।

कुछ घंटों के बाद, हमें इस तृतीय-पक्ष कंपनी से हमारी "सार्वजनिक" कुंजी और कई सार्वजनिक कुंजियों का एक सेट प्राप्त होता है।

किसी तृतीय-पक्ष कंपनी को मेरी सार्वजनिक कुंजी के पंजीकरण के लिए भुगतान क्यों करना चाहिए यह एक अलग प्रश्न है, हम यहां इस पर विचार नहीं करेंगे।

अब यह स्पष्ट है कि शिलालेख का अर्थ क्या है:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

"/etc/ssl" फ़ोल्डर में SSL समस्याओं के लिए सभी फ़ाइलें शामिल हैं।
Domain1.com - डोमेन नाम.
2018 प्रमुख सृजन का वर्ष है।
"कुंजी" - पदनाम कि फ़ाइल एक निजी कुंजी है।

और इस फ़ाइल का अर्थ:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.चेनड.crt
Domain1.com - डोमेन नाम.
2018 प्रमुख सृजन का वर्ष है।
जंजीर - पदनाम कि सार्वजनिक कुंजी की एक श्रृंखला है (पहली हमारी सार्वजनिक कुंजी है और बाकी वह कंपनी है जिसने सार्वजनिक कुंजी जारी की है)।
सीआरटी - पदनाम कि एक तैयार प्रमाणपत्र है (तकनीकी स्पष्टीकरण के साथ सार्वजनिक कुंजी)।

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

इस सेटिंग का उपयोग इस मामले में नहीं किया गया है, बल्कि इसे एक उदाहरण के रूप में लिखा गया है।

क्योंकि इस पैरामीटर में त्रुटि के कारण आपके सर्वर से (आपकी इच्छा के बिना) स्पैम भेजा जाएगा।

फिर सबको साबित करो कि तुम दोषी नहीं हो।

recipient_delimiter = +

बहुत से लोग नहीं जानते होंगे, लेकिन यह ईमेल रैंकिंग के लिए एक मानक वर्ण है, और यह अधिकांश आधुनिक मेल सर्वरों द्वारा समर्थित है।

उदाहरण के लिए, यदि आपके पास एक मेलबॉक्स है "[ईमेल संरक्षित]"भेजने का प्रयास करें"[ईमेल संरक्षित]"- देखो इससे क्या होता है।

inet_protocols = ipv4

यह भ्रमित करने वाला हो सकता है.

लेकिन ये सिर्फ इतना ही नहीं है. प्रत्येक नया डोमेन डिफ़ॉल्ट रूप से केवल IPv4 है, फिर मैं प्रत्येक के लिए अलग से IPv6 चालू करता हूँ।

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

यहां हम निर्दिष्ट करते हैं कि आने वाली सभी मेल डवकॉट को जाती हैं।
और डोमेन, मेलबॉक्स, उपनाम के नियम - डेटाबेस में देखें।

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

अब पोस्टफ़िक्स जानता है कि मेल को आगे भेजने के लिए डवकॉट से प्राधिकरण के बाद ही स्वीकार किया जा सकता है।

मैं वास्तव में यह नहीं समझ पा रहा हूं कि इसे यहां क्यों दोहराया गया है। हमने पहले ही वह सब कुछ निर्दिष्ट कर दिया है जो "वर्चुअल_ट्रांसपोर्ट" में आवश्यक है।

लेकिन पोस्टफिक्स प्रणाली बहुत पुरानी है - शायद यह पुराने दिनों की याद है।

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

इसे प्रत्येक मेल सर्वर के लिए अलग-अलग कॉन्फ़िगर किया जा सकता है।

मेरे पास 3 मेल सर्वर हैं और अलग-अलग उपयोग आवश्यकताओं के कारण ये सेटिंग्स बहुत भिन्न हैं।

आपको इसे सावधानीपूर्वक कॉन्फ़िगर करने की आवश्यकता है - अन्यथा स्पैम आपके पास आ जाएगा, या इससे भी बदतर - स्पैम आपके पास आ जाएगा।

# SPF
policyd-spf_time_limit = 3600

आने वाले पत्रों के एसपीएफ़ की जाँच से संबंधित कुछ प्लगइन की स्थापना।

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

सेटिंग यह है कि हमें सभी आउटगोइंग ईमेल के साथ एक DKIM हस्ताक्षर प्रदान करना होगा।

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

PHP स्क्रिप्ट से पत्र भेजते समय लेटर रूटिंग में यह एक महत्वपूर्ण विवरण है।

फ़ाइल "/etc/postfix/sdd_transport.pcre":

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

बाईं ओर रेगुलर एक्सप्रेशन हैं. दाईं ओर एक लेबल है जो अक्षर को चिह्नित करता है।
लेबल के अनुसार पोस्टफिक्स - एक विशिष्ट पत्र के लिए कुछ और कॉन्फ़िगरेशन लाइनों को ध्यान में रखेगा।

किसी विशिष्ट अक्षर के लिए पोस्टफ़िक्स को वास्तव में कैसे पुन: कॉन्फ़िगर किया जाएगा, यह "master.cf" में दर्शाया जाएगा।

पंक्तियाँ 4, 5, 6 मुख्य हैं। हम किस डोमेन की ओर से पत्र भेज रहे हैं, यह लेबल लगाते हैं।
लेकिन पुराने कोड में PHP स्क्रिप्ट में "from" फ़ील्ड हमेशा इंगित नहीं किया जाता है। तब उपयोगकर्ता नाम बचाव के लिए आता है।

लेख पहले से ही व्यापक है - मैं nginx+fpm की स्थापना से विचलित नहीं होना चाहूँगा।

संक्षेप में, प्रत्येक साइट के लिए हम अपना स्वयं का लिनक्स-उपयोगकर्ता स्वामी निर्धारित करते हैं। और तदनुसार आपका एफपीएम-पूल।

एफपीएम-पूल php के किसी भी संस्करण का उपयोग करता है (यह बहुत अच्छा है जब एक ही सर्वर पर आप php के विभिन्न संस्करणों और यहां तक ​​कि पड़ोसी साइटों के लिए बिना किसी समस्या के php.ini का उपयोग कर सकते हैं)।

तो, एक विशिष्ट लिनक्स-उपयोगकर्ता "www-domain2" के पास एक वेबसाइट Domain2.com है। इस साइट में 'से' फ़ील्ड निर्दिष्ट किए बिना ईमेल भेजने के लिए एक कोड है।

तो, इस मामले में भी, पत्र सही ढंग से भेजे जाएंगे और कभी भी स्पैम में नहीं जाएंगे।

मेरा "/etc/postfix/master.cf" इस तरह दिखता है:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

फ़ाइल पूरी तरह से प्रदान नहीं की गई है - यह पहले से ही बहुत बड़ी है।
मैंने केवल वही नोट किया जो बदला गया था।

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

ये स्पैमैसैसिन से संबंधित सेटिंग्स हैं, इस पर बाद में और अधिक जानकारी दी जाएगी।

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

हम आपको पोर्ट 587 के माध्यम से मेल सर्वर से कनेक्ट करने की अनुमति देते हैं।
ऐसा करने के लिए, आपको लॉग इन करना होगा।

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

एसपीएफ़ जांच सक्षम करें.

apt-get install postfix-policyd-spf-python

आइए उपरोक्त एसपीएफ़ जांच के लिए पैकेज स्थापित करें।

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

और ये सबसे दिलचस्प बात है. यह एक विशिष्ट IPv4/IPv6 पते से किसी विशिष्ट डोमेन के लिए पत्र भेजने की क्षमता है।

यह rDNS के लिए किया जाता है. rDNS IP पते द्वारा एक स्ट्रिंग प्राप्त करने की प्रक्रिया है।
और मेल के लिए, इस सुविधा का उपयोग यह पुष्टि करने के लिए किया जाता है कि हेलो उस पते के आरडीएनएस से बिल्कुल मेल खाता है जहां से ईमेल भेजा गया था।

यदि हेलो उस ईमेल डोमेन से मेल नहीं खाता जिसकी ओर से पत्र भेजा गया था, तो स्पैम अंक दिए जाते हैं।

हेलो rDNS से ​​मेल नहीं खाता - बहुत सारे स्पैम अंक दिए जाते हैं।
तदनुसार, प्रत्येक डोमेन का अपना आईपी पता होना चाहिए।
ओवीएच के लिए - कंसोल में आरडीएनएस निर्दिष्ट करना संभव है।
Tech.ru के लिए - समस्या का समाधान समर्थन के माध्यम से किया गया है।
AWS के लिए, समस्या का समाधान समर्थन के माध्यम से किया जाता है।
"inet_protocols" और "smtp_bind_address6" - हम IPv6 समर्थन सक्षम करते हैं।
IPv6 के लिए आपको rDNS भी पंजीकृत करना होगा।
"syslog_name" - और यह लॉग पढ़ने में आसानी के लिए है।

प्रमाणपत्र खरीदें मैं यहां अनुशंसा करता हूं.

यहां पोस्टफिक्स+डवकॉट लिंक सेट कर रहा हूं.

एसपीएफ़ सेट करना.

============= डवकोट =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

MySQL की स्थापना करना, पैकेजों को स्वयं स्थापित करना।

फ़ाइल "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

प्राधिकरण केवल एन्क्रिप्टेड है.

फ़ाइल “/etc/dovecot/conf.d/10-mail.conf”

mail_location = maildir:/var/mail/vhosts/%d/%n

यहां हम पत्रों के लिए भंडारण स्थान का संकेत देते हैं।

मैं चाहता हूं कि उन्हें फाइलों में संग्रहीत किया जाए और डोमेन द्वारा समूहीकृत किया जाए।

फ़ाइल "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

यह मुख्य डवकोट कॉन्फ़िगरेशन फ़ाइल है।
यहां हम असुरक्षित कनेक्शन को अक्षम कर देते हैं।
और सुरक्षित कनेक्शन सक्षम करें.

फ़ाइल "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

एसएसएल की स्थापना. हम इंगित करते हैं कि एसएसएल आवश्यक है।
और प्रमाण पत्र ही. और एक महत्वपूर्ण विवरण "स्थानीय" निर्देश है। यह दर्शाता है कि किस स्थानीय IPv4 से कनेक्ट करते समय किस SSL प्रमाणपत्र का उपयोग करना है।

वैसे, IPv6 यहां कॉन्फ़िगर नहीं है, मैं इस चूक को बाद में ठीक कर दूंगा।
XX.XX.XX.X5 (डोमेन2) - कोई प्रमाणपत्र नहीं। ग्राहकों को जोड़ने के लिए आपको Domain1.com निर्दिष्ट करना होगा।
XX.XX.XX.X2 (domain3) - एक प्रमाणपत्र है, आप ग्राहकों को जोड़ने के लिए Domain1.com या Domain3.com निर्दिष्ट कर सकते हैं।

फ़ाइल "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

भविष्य में स्पैमैसैसिन के लिए इसकी आवश्यकता होगी।

फ़ाइल "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

यह एक एंटीस्पैम प्लगइन है. "स्पैम" फ़ोल्डर में/से स्थानांतरण के समय स्पैमैसासिन के प्रशिक्षण के लिए आवश्यक।

फ़ाइल "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

ऐसी ही एक फाइल है.

फ़ाइल “/etc/dovecot/conf.d/20-lmtp.conf”

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

एलएमटीपी की स्थापना.

फ़ाइल "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

स्पैम फ़ोल्डर में/से स्थानांतरण के समय स्पैमाससिन प्रशिक्षण सेटिंग्स।

फ़ाइल "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

एक फ़ाइल जो निर्दिष्ट करती है कि आने वाले पत्रों के साथ क्या करना है।

फ़ाइल "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

आपको फ़ाइल संकलित करने की आवश्यकता है: "sievec default.sieve"।

फ़ाइल "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

प्राधिकरण के लिए एसक्यूएल फ़ाइलें निर्दिष्ट करना।
और फ़ाइल का उपयोग प्राधिकरण की एक विधि के रूप में किया जाता है।

फ़ाइल "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

यह पोस्टफ़िक्स के लिए समान सेटिंग्स से मेल खाता है।

फ़ाइल "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

मुख्य कॉन्फ़िगरेशन फ़ाइल.
महत्वपूर्ण बात यह है कि हम यहां संकेत देते हैं - प्रोटोकॉल जोड़ें।

============= SpamAssassin =============

apt-get install spamassassin spamc

आइए पैकेज स्थापित करें।

adduser spamd --disabled-login

आइए किसकी ओर से एक उपयोगकर्ता जोड़ें।

systemctl enable spamassassin.service

हम लोड होने पर ऑटो-लोडिंग स्पैमैसैसिन सेवा सक्षम करते हैं।

फ़ाइल "/आदि/डिफ़ॉल्ट/स्पैमासैसिन":

CRON=1

"डिफ़ॉल्ट रूप से" नियमों के स्वचालित अद्यतन को सक्षम करके।

फ़ाइल "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

आपको MySQL में उपयोगकर्ता "sa" के साथ पासवर्ड "password" (किसी पर्याप्त चीज़ से बदलें) के साथ एक डेटाबेस "sa" बनाना होगा।

रिपोर्ट_सेफ - यह एक पत्र के बजाय स्पैम ईमेल की रिपोर्ट भेजेगा।
use_bayes स्पैमैसैसिन मशीन लर्निंग सेटिंग्स हैं।

शेष स्पैमास्सैसिन सेटिंग्स का उपयोग पहले लेख में किया गया था।

सामान्य सेटिंग "स्पैमसैसिन".
नए स्पैम ईमेल को IMAP "स्पैम" फ़ोल्डर में ले जाने के बारे में.
Dovecot + SpamAssassin के एक सरल संयोजन के बारे में.
मैं आईमैप फ़ोल्डरों में अक्षरों को स्थानांतरित करते समय स्पैमैसासिन सीखने के सिद्धांत को पढ़ने की सलाह देता हूं (और मैं इसका उपयोग करने की अनुशंसा नहीं करता हूं).

============= समुदाय से अपील =============

मैं समुदाय में यह विचार भी रखना चाहूंगा कि अग्रेषित पत्रों की सुरक्षा के स्तर को कैसे बढ़ाया जाए। चूँकि मैं मेल के विषय में बहुत गहराई से डूबा हुआ हूँ।

ताकि उपयोगकर्ता अपने क्लाइंट (आउटलुक, थंडरबर्ड, ब्राउज़र-प्लगइन, ...) पर कुंजियों की एक जोड़ी बना सके। सार्वजनिक और निजी। सार्वजनिक - DNS को भेजें। निजी - ग्राहक पर बचत करें। मेल सर्वर किसी विशिष्ट प्राप्तकर्ता को भेजने के लिए सार्वजनिक कुंजी का उपयोग करने में सक्षम होंगे।

और ऐसे पत्रों के साथ स्पैम से बचाव के लिए (हाँ, मेल सर्वर सामग्री नहीं देख पाएगा) - आपको 3 नियम लागू करने होंगे:

1. अनिवार्य वास्तविक डीकेआईएम हस्ताक्षर, अनिवार्य एसपीएफ़, अनिवार्य आरडीएनएस।
2. एंटीस्पैम प्रशिक्षण के विषय पर एक तंत्रिका नेटवर्क + क्लाइंट पक्ष पर इसके लिए एक डेटाबेस।
3. एन्क्रिप्शन एल्गोरिथ्म ऐसा होना चाहिए कि भेजने वाले पक्ष को प्राप्तकर्ता पक्ष की तुलना में एन्क्रिप्शन पर 100 गुना अधिक सीपीयू शक्ति खर्च करनी पड़े।

सार्वजनिक पत्रों के अलावा, "सुरक्षित पत्राचार शुरू करने के लिए" एक मानक प्रस्ताव पत्र विकसित करें। उपयोगकर्ताओं में से एक (मेलबॉक्स) दूसरे मेलबॉक्स में अनुलग्नक के साथ एक पत्र भेजता है। पत्र में पत्राचार के लिए एक सुरक्षित संचार चैनल शुरू करने के लिए एक पाठ प्रस्ताव और मेलबॉक्स के मालिक की सार्वजनिक कुंजी (क्लाइंट पक्ष पर एक निजी कुंजी के साथ) शामिल है।

आप प्रत्येक पत्राचार के लिए विशेष रूप से कुछ कुंजियाँ भी बना सकते हैं। प्राप्तकर्ता उपयोगकर्ता इस प्रस्ताव को स्वीकार कर सकता है और अपनी सार्वजनिक कुंजी (विशेष रूप से इस पत्राचार के लिए बनाई गई) भेज सकता है। इसके बाद, पहला उपयोगकर्ता एक सेवा नियंत्रण पत्र (दूसरे उपयोगकर्ता की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड) ​​भेजता है - जिसके प्राप्त होने पर दूसरा उपयोगकर्ता गठित संचार चैनल को विश्वसनीय मान सकता है। इसके बाद, दूसरा उपयोगकर्ता एक नियंत्रण पत्र भेजता है - और फिर पहला उपयोगकर्ता भी गठित चैनल को सुरक्षित मान सकता है।

सड़क पर चाबियों के अवरोधन से निपटने के लिए, प्रोटोकॉल को फ्लैश ड्राइव का उपयोग करके कम से कम एक सार्वजनिक कुंजी संचारित करने की संभावना प्रदान करनी चाहिए।

और सबसे महत्वपूर्ण बात यह है कि यह सब काम करता है (सवाल यह है कि "इसके लिए भुगतान कौन करेगा?"):
10 वर्षों के लिए $3 से शुरू होने वाले डाक प्रमाणपत्र दर्ज करें। जो प्रेषक को डीएनएस में यह इंगित करने की अनुमति देगा कि "मेरी सार्वजनिक कुंजी वहां पर हैं।" और वे आपको एक सुरक्षित कनेक्शन शुरू करने का अवसर देंगे। वहीं, ऐसे कनेक्शन स्वीकार करना निःशुल्क है।
जीमेल आखिरकार अपने उपयोगकर्ताओं से कमाई कर रहा है। $10 प्रति 3 वर्ष के लिए - सुरक्षित पत्राचार चैनल बनाने का अधिकार।

============= निष्कर्ष =============

पूरे लेख का परीक्षण करने के लिए, मैं एक महीने के लिए एक समर्पित सर्वर किराए पर लेने और एसएसएल प्रमाणपत्र के साथ एक डोमेन खरीदने जा रहा था।

लेकिन जीवन की परिस्थितियाँ ऐसी विकसित हुईं कि यह मुद्दा 2 महीने तक खिंच गया।
और इसलिए, जब मेरे पास फिर से खाली समय था, तो मैंने लेख को वैसे ही प्रकाशित करने का फैसला किया, बजाय इसके कि यह जोखिम उठाया जाए कि प्रकाशन एक और साल तक खिंच जाएगा।

यदि बहुत सारे प्रश्न हैं जैसे "लेकिन इसका पर्याप्त विवरण में वर्णन नहीं किया गया है", तो संभवतः एक नए डोमेन और एक नए एसएसएल प्रमाणपत्र के साथ एक समर्पित सर्वर लेने और इसे और भी अधिक विस्तार से वर्णन करने की ताकत होगी और, सबसे महत्वपूर्ण रूप से, सभी छूटे हुए महत्वपूर्ण विवरणों की पहचान करें।

मैं डाक प्रमाणपत्रों के बारे में विचारों पर भी प्रतिक्रिया प्राप्त करना चाहूंगा। यदि आपको विचार पसंद आया, तो मैं आरएफसी के लिए ड्राफ्ट लिखने की ताकत ढूंढने का प्रयास करूंगा।

किसी लेख के बड़े हिस्से की प्रतिलिपि बनाते समय, इस लेख का लिंक प्रदान करें।
किसी अन्य भाषा में अनुवाद करते समय, इस लेख का लिंक प्रदान करें।
मैं स्वयं इसका अंग्रेजी में अनुवाद करने का प्रयास करूंगा और क्रॉस-रेफरेंस छोड़ दूंगा।

स्रोत: www.habr.com