Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + ריבוי ממשקים + SpamAssassin-learn + Bind

מאמר זה עוסק כיצד להגדיר שרת דואר מודרני.
פוסטפיקס +שובלת יונים. SPF + DKIM + rDNS. עם IPv6.
עם הצפנת TSL. עם תמיכה במספר דומיינים - חלק מתעודת SSL אמיתית.
עם הגנה נגד ספאם ודירוג אנטי ספאם גבוה משרתי דואר אחרים.
תומך במספר ממשקים פיזיים.
עם OpenVPN, שהחיבור אליו הוא באמצעות IPv4, ואשר מספק IPv6.

אם אתה לא רוצה ללמוד את כל הטכנולוגיות האלה, אבל רוצה להקים שרת כזה, אז המאמר הזה הוא בשבילך.

המאמר אינו מנסה להסביר כל פרט. ההסבר הולך למה שלא מוגדר כסטנדרט או חשוב מנקודת מבטו של הצרכן.

המוטיבציה להקים שרת דואר הייתה חלום מזמן שלי. זה אולי נשמע טיפשי, אבל IMHO, זה הרבה יותר טוב מאשר לחלום על מכונית חדשה מהמותג האהוב עליך.

יש שני מניעים להגדרת IPv6. מומחה IT צריך ללמוד כל הזמן טכנולוגיות חדשות כדי לשרוד. אני רוצה לתרום את תרומתי הצנועה למאבק בצנזורה.

המוטיבציה להגדרת OpenVPN היא רק לגרום ל-IPv6 לעבוד על המחשב המקומי.
המוטיבציה להקמת מספר ממשקים פיזיים היא שבשרת שלי יש ממשק אחד "איטי אבל בלתי מוגבל" ואחר "מהיר אבל עם תעריף".

המניע להגדרת הגדרות Bind הוא ש-ISP שלי מספק שרת DNS לא יציב, וגם גוגל לפעמים נכשל. אני רוצה שרת DNS יציב לשימוש אישי.

מוטיבציה לכתוב מאמר - כתבתי טיוטה לפני 10 חודשים, וכבר הסתכלתי עליה פעמיים. גם אם המחבר זקוק לו באופן קבוע, יש סבירות גבוהה שגם אחרים יזדקקו לו.

אין פתרון אוניברסלי לשרת דואר. אבל אני אנסה לכתוב משהו כמו "תעשה את זה ואז, כשהכל עובד כמו שצריך, לזרוק את הדברים הנוספים".

לחברת tech.ru יש שרת Colocation. אפשר להשוות עם OVH, Hetzner, AWS. כדי לפתור בעיה זו, שיתוף הפעולה עם tech.ru יהיה הרבה יותר יעיל.

דביאן 9 מותקן בשרת.

לשרת יש 2 ממשקים `eno1` ו-`eno2`. הראשון הוא בלתי מוגבל, והשני מהיר, בהתאמה.

ישנן 3 כתובות IP סטטיות, XX.XX.XX.X0 ו-XX.XX.XX.X1 ו-XX.XX.XX.X2 בממשק `eno1` ו-XX.XX.XX.X5 בממשק `eno2` .

זמין XXXX:XXXX:XXXX:XXXX::/64 מאגר של כתובות IPv6 שהוקצו לממשק `eno1` וממנו XXXX:XXXX:XXXX:XXXX:1:2::/96 הוקצה ל-`eno2` לבקשתי.

ישנם 3 דומיינים `domain1.com`, `domain2.com`, `domain3.com`. יש אישור SSL עבור `domain1.com` ו`domain3.com`.

יש לי חשבון גוגל שברצוני לקשר אליו את תיבת הדואר שלי[מוגן בדוא"ל]` (קבלת דואר ושליחת דואר ישירות מממשק ה-gmail).
חייבת להיות תיבת דואר`[מוגן בדוא"ל]`, עותק של האימייל שממנו אני רוצה לראות ב-gmail שלי. וזה נדיר להיות מסוגל לשלוח משהו בשם `[מוגן בדוא"ל]` דרך ממשק האינטרנט.

חייבת להיות תיבת דואר`[מוגן בדוא"ל]`, שבו איבנוב ישתמש מהאייפון שלו.

הודעות דוא"ל שנשלחות חייבות לעמוד בכל דרישות האנטי ספאם המודרניות.
חייבת להיות רמת ההצפנה הגבוהה ביותר המסופקת ברשתות ציבוריות.
צריכה להיות תמיכה ב-IPv6 גם בשליחת וגם בקבלה של מכתבים.
צריך להיות SpamAssassin שלעולם לא ימחק מיילים. וזה יקפיץ או ידלג או ישלח לתיקיית IMAP "דואר זבל".
יש להגדיר את הלמידה האוטומטית של SpamAssassin: אם אעביר אות לתיקיית הספאם, היא תלמד מזה; אם אעביר מכתב מתיקיית הספאם, הוא ילמד מזה. התוצאות של אימון SpamAssassin צריכות להשפיע על האם המכתב מגיע לתיקיית הספאם.
סקריפטים של PHP חייבים להיות מסוגלים לשלוח דואר בשם כל דומיין בשרת נתון.
צריך להיות שירות openvpn, עם יכולת להשתמש ב-IPv6 בלקוח שאין לו IPv6.

ראשית עליך להגדיר ממשקים וניתוב, כולל IPv6.
לאחר מכן תצטרך להגדיר את OpenVPN, שיתחבר באמצעות IPv4 ויספק ללקוח כתובת IPv6 אמיתית סטטית. ללקוח זה תהיה גישה לכל שירותי IPv6 בשרת וגישה לכל משאבי IPv6 באינטרנט.
אז תצטרך להגדיר את Postfix לשלוח מכתבים + SPF + DKIM + rDNS ודברים קטנים דומים אחרים.
לאחר מכן תצטרך להגדיר את Dovecot ולהגדיר את Multidomain.
לאחר מכן תצטרך להגדיר את SpamAssassin ולהגדיר את ההדרכה.
לבסוף, התקן את Bind.

============= ריבוי ממשקים =============

כדי להגדיר ממשקים, עליך לכתוב זאת ב-"/etc/network/interfaces".

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

ניתן להחיל את ההגדרות הללו על כל שרת ב-tech.ru (עם מעט תיאום עם תמיכה) וזה יעבוד מיד כמו שצריך.

אם יש לך ניסיון בהקמת דברים דומים עבור Hetzner, OVH, זה שונה שם. קשה יותר.

eno1 הוא השם של כרטיס רשת מס' 1 (איטי אך בלתי מוגבל).
eno2 הוא השם של כרטיס רשת מס' 2 (מהיר, אבל עם תעריף).
tun0 הוא השם של כרטיס הרשת הווירטואלי מ-OpenVPN.
XX.XX.XX.X0 - IPv4 #1 ב-eno1.
XX.XX.XX.X1 - IPv4 #2 ב-eno1.
XX.XX.XX.X2 - IPv4 #3 ב-eno1.
XX.XX.XX.X5 - IPv4 #1 ב-eno2.
XX.XX.XX.1 - שער IPv4.
XXXX:XXXX:XXXX:XXXX::/64 - IPv6 עבור כל השרת.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - IPv6 עבור eno2, כל השאר מבחוץ נכנס ל-eno1.
XXXX:XXXX:XXXX:XXXX::1 — שער IPv6 (ראוי לציין שניתן/צריך לעשות זאת אחרת. ציין את מתג ה-IPv6).
dns-nameservers - 127.0.0.1 מצוין (מכיוון ש-bind מותקן באופן מקומי) ו-213.248.1.6 (זה מ-tech.ru).

"table eno1t" ו-"table eno2t" - המשמעות של כללי מסלול אלה היא שתנועה שנכנסת דרך eno1 -> תצא דרכו, ותנועה שנכנסת דרך eno2 -> תצא דרכה. וגם חיבורים שיזם השרת יעברו דרך eno1.

ip route add default via XX.XX.XX.1 table eno1t

עם פקודה זו אנו מציינים שכל תעבורה לא מובנת שנופלת תחת כל כלל המסומן "table eno1t" -> תישלח לממשק eno1.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

עם פקודה זו אנו מציינים שכל תעבורה שיוזמת השרת צריכה להיות מופנית לממשק eno1.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

בפקודה זו אנו קובעים את הכללים לסימון תנועה.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

בלוק זה מציין IPv4 שני עבור ממשק eno1.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

עם פקודה זו אנו מגדירים את המסלול מלקוחות OpenVPN ל-IPv4 מקומי למעט XX.XX.XX.X0.
אני עדיין לא מבין למה הפקודה הזו מספיקה לכל ה-IPv4.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

כאן אנו מגדירים את הכתובת עבור הממשק עצמו. השרת ישתמש בה ככתובת "יוצאת". לא ישמש שוב בשום צורה.

למה ":1:1::" כל כך מסובך? כך ש-OpenVPN יעבוד נכון ורק בשביל זה. עוד על כך בהמשך.

בנושא שער - ככה זה עובד וזה בסדר. אבל הדרך הנכונה היא לציין כאן את ה-IPv6 של המתג שאליו השרת מחובר.

עם זאת, מסיבה כלשהי IPv6 מפסיק לעבוד אם אני עושה זאת. זו כנראה בעיה כלשהי ב-tech.ru.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

זה הוספת כתובת IPv6 לממשק. אם אתה צריך מאה כתובות, זה אומר מאה שורות בקובץ הזה.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

ציינתי את הכתובות ורשתות המשנה של כל הממשקים כדי להבהיר זאת.
eno1 - חייב להיות "/64"- כי זה כל מאגר הכתובות שלנו.
tun0 - רשת המשנה חייבת להיות גדולה מ-eno1. אחרת, לא ניתן יהיה להגדיר שער IPv6 עבור לקוחות OpenVPN.
eno2 - רשת המשנה חייבת להיות גדולה מ-tun0. אחרת, לקוחות OpenVPN לא יוכלו לגשת לכתובות IPv6 מקומיות.
למען הבהירות, בחרתי שלב רשת משנה של 16, אבל אם תרצה, אתה יכול אפילו לעשות שלב "1".
בהתאם, 64+16 = 80, ו-80+16 = 96.

לבהירות עוד יותר:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY הן כתובות שיש להקצות לאתרים או שירותים ספציפיים בממשק eno1.
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY הן כתובות שיש להקצות לאתרים או שירותים ספציפיים בממשק eno2.
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY הן כתובות שיש להקצות ללקוחות OpenVPN או להשתמש בהן ככתובות שירות OpenVPN.

כדי להגדיר את הרשת, זה אמור להיות אפשרי להפעיל מחדש את השרת.
שינויים ב-IPv4 נקלטים בעת ביצוע (הקפד לעטוף אותו במסך - אחרת הפקודה הזו פשוט תקרוס את הרשת בשרת):

/etc/init.d/networking restart

הוסף לסוף הקובץ "/etc/iproute2/rt_tables":

100 eno1t
101 eno2t

בלי זה, לא תוכל להשתמש בטבלאות מותאמות אישית בקובץ "/etc/network/interfaces".
המספרים חייבים להיות ייחודיים ופחות מ-65535.

שינויים ב-IPv6 ניתנים לשינוי בקלות ללא אתחול מחדש, אך לשם כך עליך ללמוד לפחות שלוש פקודות:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

הגדרת "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

אלו הן הגדרות "sysctl" של השרת שלי. תן לי לציין משהו חשוב.

net.ipv4.ip_forward = 1

בלי זה, OpenVPN לא יעבוד בכלל.

net.ipv6.ip_nonlocal_bind = 1

כל מי שינסה לאגד את IPv6 (לדוגמה nginx) מיד לאחר שהממשק מופעל יקבל שגיאה. שהכתובת הזו לא זמינה.

כדי למנוע מצב כזה, מתבצעת הגדרה כזו.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

ללא הגדרות IPv6 אלו, התעבורה מלקוח OpenVPN לא יוצאת לעולם.

הגדרות אחרות או שאינן רלוונטיות או שאני לא זוכר למה הן מיועדות.
אבל ליתר ביטחון, אני משאיר את זה "כמו שהוא".

על מנת ששינויים בקובץ זה ייקלטו מבלי לאתחל את השרת, עליך להפעיל את הפקודה:

sysctl -p

פרטים נוספים על כללי "שולחן": habr.com/post/108690

============= OpenVPN =============

OpenVPN IPv4 לא עובד בלי iptables.

ה-iptables שלי הם כך עבור VPN:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY היא כתובת ה-IPv4 הסטטית שלי של המחשב המקומי.
10.8.0.0/24 - רשת IPv4 openvpn. כתובות IPv4 עבור לקוחות openvpn.
העקביות של הכללים חשובה.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

זוהי מגבלה כך שרק אני יכול להשתמש ב-OpenVPN מה-IP הסטטי שלי.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

כדי להעביר מנות IPv4 בין לקוחות OpenVPN לאינטרנט, עליך לרשום אחת מהפקודות הללו.

למקרים שונים, אחת האפשרויות אינה מתאימה.
שתי הפקודות מתאימות למקרה שלי.
לאחר קריאת התיעוד, בחרתי באפשרות הראשונה מכיוון שהיא משתמשת בפחות מעבד.

כדי שכל הגדרות iptables ייקלטו לאחר אתחול מחדש, עליך לשמור אותן איפשהו.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

שמות כאלה לא נבחרו במקרה. הם משמשים את החבילה "iptables-persistent".

apt-get install iptables-persistent

התקנת חבילת OpenVPN הראשית:

apt-get install openvpn easy-rsa

בואו נגדיר תבנית לאישורים (החליפו את הערכים שלכם):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

בואו נערוך את הגדרות תבנית האישור:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

צור תעודת שרת:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

בואו נכין את היכולת ליצור את קבצי ה-"client-name.opvn" הסופיים:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

בואו נכין סקריפט שימזג את כל הקבצים לקובץ opvn בודד.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

יצירת לקוח OpenVPN הראשון:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

הקובץ "~/client-configs/files/client-name.ovpn" נשלח למכשיר הלקוח.

עבור לקוחות iOS תצטרך לעשות את הטריק הבא:
התוכן של תג "tls-auth" חייב להיות ללא הערות.
וגם לשים "מפתח-כיוון 1" מיד לפני תג "tls-auth".

בואו נגדיר את תצורת שרת OpenVPN:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

זה נחוץ כדי להגדיר כתובת סטטית עבור כל לקוח (לא הכרחי, אבל אני משתמש בה):

# Client config dir
client-config-dir /etc/openvpn/ccd

הפרט הקשה והמפתח ביותר.

לרוע המזל, OpenVPN עדיין לא יודע כיצד להגדיר באופן עצמאי שער IPv6 עבור לקוחות.
אתה צריך להעביר את זה "ידנית" עבור כל לקוח.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

הקובץ "/etc/openvpn/server-clientconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

הקובץ "/etc/openvpn/server-clientdisconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

שני הסקריפטים משתמשים בקובץ "/etc/openvpn/variables":

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

קשה לי לזכור למה זה כתוב ככה.

עכשיו מסכת רשת = 112 נראית מוזר (זה צריך להיות 96 שם).
והקידומת מוזרה, היא לא תואמת לרשת tun0.
אבל בסדר, אני אשאיר את זה כמו שהוא.

cipher DES-EDE3-CBC

זה לא מתאים לכולם - בחרתי בשיטה זו של הצפנת החיבור.

למידע נוסף על הגדרת OpenVPN IPv4.

למידע נוסף על הגדרת OpenVPN IPv6.

============= Postfix =============

התקנת החבילה הראשית:

apt-get install postfix

בעת ההתקנה, בחר "אתר אינטרנט".

"/etc/postfix/main.cf" שלי נראה כך:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

בואו נסתכל על הפרטים של התצורה הזו.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

לדברי תושבי חברובסק, בלוק זה מכיל "מידע מוטעה ותזות שגויות".רק 8 שנים לאחר תחילת הקריירה שלי התחלתי להבין איך SSL עובד.

לכן, אני אקח את החופש לתאר כיצד להשתמש ב-SSL (מבלי לענות על השאלות "איך זה עובד?" ו"למה זה עובד?").

הבסיס של ההצפנה המודרנית הוא יצירת זוג מפתחות (שתי מחרוזות ארוכות מאוד של תווים).

"מפתח" אחד הוא פרטי, המפתח השני הוא "ציבורי". אנו שומרים את המפתח הפרטי בסוד בזהירות רבה. אנו מחלקים את המפתח הציבורי לכולם.

באמצעות מפתח ציבורי, ניתן להצפין מחרוזת טקסט כך שרק הבעלים של המפתח הפרטי יוכל לפענח אותה.
ובכן, זה כל הבסיס של הטכנולוגיה.

שלב מס' 1 - אתרי https.
בעת גישה לאתר, הדפדפן לומד משרת האינטרנט שהאתר הוא https ולכן מבקש מפתח ציבורי.
שרת האינטרנט נותן את המפתח הציבורי. הדפדפן משתמש במפתח הציבורי כדי להצפין את http-request ולשלוח אותה.
התוכן של http-request יכול להיקרא רק על ידי מי שיש לו את המפתח הפרטי, כלומר רק השרת שאליו מתבצעת הבקשה.
Http-request מכיל URI לפחות. לכן, אם מדינה מנסה להגביל את הגישה לא לכל האתר, אלא לעמוד מסוים, אז זה בלתי אפשרי לעשות עבור אתרי https.

שלב מס' 2 - תגובה מוצפנת.
שרת האינטרנט נותן מענה שניתן לקרוא בקלות בדרכים.
הפתרון פשוט ביותר - הדפדפן מייצר באופן מקומי את אותו צמד מפתחות פרטיים-ציבוריים לכל אתר https.
ויחד עם הבקשה למפתח הציבורי של האתר, הוא שולח את המפתח הציבורי המקומי שלו.
שרת האינטרנט זוכר את זה, ובעת שליחת תגובת http, מצפין אותו במפתח הציבורי של לקוח ספציפי.
כעת ניתן לפענח http-response רק על ידי הבעלים של המפתח הפרטי של הדפדפן של הלקוח (כלומר, הלקוח עצמו).

שלב מס' 3 - יצירת חיבור מאובטח בערוץ ציבורי.
ישנה פגיעות בדוגמה מס' 2 - שום דבר לא מונע ממיטיבי לכת ליירט בקשת http ולערוך מידע על המפתח הציבורי.
כך, המתווך יראה בבירור את כל תוכן ההודעות שנשלחו והתקבלו עד לשינוי ערוץ התקשורת.
ההתמודדות עם זה היא פשוטה ביותר - פשוט שלח את המפתח הציבורי של הדפדפן כהודעה מוצפנת עם המפתח הציבורי של שרת האינטרנט.
לאחר מכן, שרת האינטרנט שולח תחילה תגובה כמו "המפתח הציבורי שלך הוא כזה" ומצפין הודעה זו עם אותו מפתח ציבורי.
הדפדפן בוחן את התגובה - אם ההודעה "המפתח הציבורי שלך הוא כזה" מתקבלת - אז זוהי ערובה של 100% לערוץ התקשורת הזה מאובטח.
עד כמה זה בטוח?
עצם היצירה של ערוץ תקשורת מאובטח כזה מתרחשת במהירות של ping*2. למשל 20ms.
על התוקף להחזיק את המפתח הפרטי של אחד הצדדים מראש. או למצוא מפתח פרטי תוך כמה אלפיות שניות.
פריצת מפתח פרטי מודרני אחד תארך עשרות שנים במחשב על.

שלב מס' 4 - מסד נתונים ציבורי של מפתחות ציבוריים.
ברור שבכל הסיפור הזה יש הזדמנות לתוקף לשבת על ערוץ התקשורת בין הלקוח לשרת.
הלקוח יכול להעמיד פנים שהוא השרת, והשרת יכול להעמיד פנים שהוא הלקוח. ולדמות זוג מפתחות בשני הכיוונים.
אז התוקף יראה את כל התעבורה ויוכל "לערוך" את התעבורה.
לדוגמה, שנה את הכתובת לאן לשלוח כסף או העתק את הסיסמה מהבנקאות המקוונת או חסום תוכן "מעורר התנגדות".
כדי להילחם בתוקפים כאלה, הם המציאו מסד נתונים ציבורי עם מפתחות ציבוריים לכל אתר https.
כל דפדפן "יודע" על קיומם של כ-200 מאגרי מידע כאלה. זה מותקן מראש בכל דפדפן.
"ידע" מגובה במפתח ציבורי מכל תעודה. כלומר, לא ניתן לזייף את החיבור לכל רשות אישורים ספציפית.

כעת יש הבנה פשוטה כיצד להשתמש ב-SSL עבור https.
אם תשתמש במוח שלך, יתברר איך השירותים המיוחדים יכולים לפרוץ משהו במבנה הזה. אבל זה יעלה להם מאמצים מפלצתיים.
וארגונים קטנים יותר מה-NSA או ה-CIA - כמעט בלתי אפשרי לפרוץ את רמת ההגנה הקיימת, אפילו עבור VIPs.

אוסיף גם על חיבורי ssh. אין שם מפתחות ציבוריים, אז מה אתה יכול לעשות? הבעיה נפתרת בשתי דרכים.
אפשרות ssh-by-password:
במהלך החיבור הראשון, לקוח ssh צריך להזהיר שיש לנו מפתח ציבורי חדש משרת ssh.
ובמהלך חיבורים נוספים, אם תופיע האזהרה "מפתח ציבורי חדש משרת ה-ssh", זה אומר שהם מנסים לצותת לך.
או שציתתו אותך לחיבור הראשון שלך, אבל עכשיו אתה מתקשר עם השרת ללא מתווכים.
למעשה, בשל העובדה שעובדת האזנת סתר נחשפת בקלות, במהירות וללא מאמץ, מתקפה זו משמשת רק במקרים מיוחדים עבור לקוח ספציפי.

אפשרות ssh-by-key:
אנחנו לוקחים כונן הבזק, כותבים עליו את המפתח הפרטי של שרת ה-ssh (יש לזה מונחים והרבה ניואנסים חשובים, אבל אני כותב תוכנית חינוכית, לא הוראות שימוש).
אנחנו משאירים את המפתח הציבורי במכונה שבה יהיה לקוח ssh ואנחנו גם שומרים אותו בסוד.
אנחנו מביאים את כונן ההבזק לשרת, מכניסים אותו, מעתיקים את המפתח הפרטי וצורבים את כונן ההבזק ומפזרים את האפר לרוח (או לפחות מפרמטים אותו באפסים).
זה הכל - אחרי פעולה כזו אי אפשר יהיה לפרוץ לחיבור ssh כזה. כמובן, בעוד 10 שנים אפשר יהיה לצפות בתעבורה במחשב על - אבל זה כבר סיפור אחר.

אני מתנצל על האופי טופיק.

אז עכשיו כשהתיאוריה ידועה. אני אספר לכם על הזרימה של יצירת תעודת SSL.

באמצעות "openssl genrsa" אנו יוצרים מפתח פרטי ו"חסר" עבור המפתח הציבורי.
אנו שולחים את ה"חסר" לחברת צד שלישי, אליה אנו משלמים כ-9$ עבור התעודה הפשוטה ביותר.

לאחר מספר שעות, אנו מקבלים את המפתח "הציבורי" שלנו וקבוצה של מספר מפתחות ציבוריים מחברת צד שלישי זו.

מדוע חברת צד שלישי צריכה לשלם עבור רישום המפתח הציבורי שלי היא שאלה נפרדת, לא נשקול אותה כאן.

עכשיו ברור מה המשמעות של הכתובת:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

התיקיה "/etc/ssl" מכילה את כל הקבצים לבעיות ssl.
domain1.com - שם דומיין.
2018 היא שנת יצירת המפתח.
"מפתח" - ציון שהקובץ הוא מפתח פרטי.

והמשמעות של הקובץ הזה:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com - שם דומיין.
2018 היא שנת יצירת המפתח.
chained - ציון שיש שרשרת של מפתחות ציבוריים (הראשון הוא המפתח הציבורי שלנו והשאר הם מה שהגיע מהחברה שהנפיקה את המפתח הציבורי).
crt - ציון שיש תעודה מוכנה (מפתח ציבורי עם הסברים טכניים).

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

הגדרה זו אינה משמשת במקרה זה, אלא כתובה כדוגמה.

כי טעות בפרמטר זה תוביל לשליחת דואר זבל מהשרת שלך (ללא רצונך).

אז תוכיח לכולם שאתה לא אשם.

recipient_delimiter = +

אנשים רבים אולי לא יודעים, אבל זהו תו תקן לדירוג מיילים, והוא נתמך על ידי רוב שרתי הדואר המודרניים.

לדוגמה, אם יש לך תיבת דואר "[מוגן בדוא"ל]"נסה לשלוח ל"[מוגן בדוא"ל]"- תראה מה יוצא מזה.

inet_protocols = ipv4

זה עשוי להיות מבלבל.

אבל זה לא סתם ככה. כל דומיין חדש הוא כברירת מחדל רק IPv4, ואז אני מפעיל את IPv6 עבור כל אחד בנפרד.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

כאן אנו מציינים שכל הדואר הנכנס עובר לשוברת יונים.
והכללים לדומיין, תיבת דואר, כינוי - חפש במסד הנתונים.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

כעת, postfix יודע שניתן לקבל דואר לשליחה נוספת רק לאחר אישור עם קו יונים.

אני באמת לא ממש מבין למה זה משוכפל כאן. כבר פירטנו את כל מה שצריך ב"הובלה_וירטואלית".

אבל מערכת הפוסט-תיקון ישנה מאוד - כנראה שזו חזרה מהימים ההם.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

ניתן להגדיר זאת באופן שונה עבור כל שרת דואר.

לרשותי עומדים 3 שרתי דואר וההגדרות הללו שונות מאוד בגלל דרישות שימוש שונות.

אתה צריך להגדיר את זה בזהירות - אחרת ספאם יזרום אליך, או גרוע מכך - ספאם ישפך ממך.

# SPF
policyd-spf_time_limit = 3600

הגדרה של תוסף כלשהו הקשור לבדיקת SPF של מכתבים נכנסים.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

ההגדרה היא שעלינו לספק חתימת DKIM עם כל האימיילים היוצאים.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

זהו פרט מרכזי בניתוב מכתבים בעת שליחת מכתבים מסקריפטים של PHP.

הקובץ "/etc/postfix/sdd_transport.pcre":

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

בצד שמאל יש ביטויים רגולריים. בצד ימין יש תווית המסמנת את האות.
Postfix בהתאם לתווית - ייקח בחשבון עוד כמה שורות תצורה לאות ספציפית.

כיצד בדיוק יוגדר מחדש postfix עבור אות ספציפית יצוין ב- "master.cf".

קווים 4, 5, 6 הם העיקריים שבהם. מטעם איזה דומיין אנו שולחים את המכתב, אנו שמים את התווית הזו.
אבל השדה "מאת" לא תמיד מצוין בסקריפטים של PHP בקוד הישן. ואז שם המשתמש בא לעזרה.

המאמר כבר נרחב - לא הייתי רוצה להיות מוסחת על ידי הגדרת nginx+fpm.

בקצרה, לכל אתר אנו מגדירים בעלים משלו ל-Linux. ובהתאם ל-fpm-pool שלך.

Fpm-pool משתמש בכל גרסה של php (זה נהדר כאשר באותו שרת אתה יכול להשתמש בגרסאות שונות של php ואפילו php.ini שונה עבור אתרים שכנים ללא בעיות).

אז, למשתמש לינוקס ספציפי "www-domain2" יש אתר domain2.com. באתר זה יש קוד לשליחת מיילים מבלי לציין את השדה מאת.

לכן, גם במקרה זה, המכתבים יישלחו בצורה נכונה ולעולם לא יגיעו לספאם.

"/etc/postfix/master.cf" שלי נראה כך:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

הקובץ לא מסופק במלואו - הוא כבר גדול מאוד.
ציינתי רק מה השתנה.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

אלו הגדרות הקשורות לספאמאססין, על כך בהמשך.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

אנו מאפשרים לך להתחבר לשרת הדואר דרך יציאה 587.
כדי לעשות זאת, עליך להתחבר.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

אפשר בדיקת SPF.

apt-get install postfix-policyd-spf-python

בוא נתקין את החבילה לבדיקות SPF למעלה.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

וזה הדבר הכי מעניין. זוהי היכולת לשלוח מכתבים עבור דומיין ספציפי מכתובת IPv4/IPv6 ספציפית.

זה נעשה למען rDNS. rDNS הוא תהליך של קבלת מחרוזת לפי כתובת IP.
ולמייל, תכונה זו משמשת כדי לאשר שה-helo תואם בדיוק ל-rDNS של הכתובת שממנה נשלח האימייל.

אם ה-helo אינו תואם לדומיין הדוא"ל שבשמו נשלח המכתב, מוענקות נקודות ספאם.

Helo לא תואם rDNS - מוענקות הרבה נקודות ספאם.
בהתאם לכך, לכל דומיין חייבת להיות כתובת IP משלו.
עבור OVH - בקונסולה ניתן לציין rDNS.
עבור tech.ru - הבעיה נפתרת באמצעות תמיכה.
עבור AWS, הבעיה נפתרת באמצעות תמיכה.
"inet_protocols" ו-"smtp_bind_address6" - אנו מאפשרים תמיכה ב-IPv6.
עבור IPv6 אתה גם צריך לרשום rDNS.
"syslog_name" - וזה כדי להקל על קריאת יומנים.

קנה תעודות אני ממליץ כאן.

הגדרת postfix+קישור יונים כאן.

הגדרת SPF.

============= סוללת יונים =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

הגדרת mysql, התקנת החבילות עצמן.

קובץ "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

ההרשאה מוצפנת בלבד.

הקובץ "/etc/dovecot/conf.d/10-mail.conf"

mail_location = maildir:/var/mail/vhosts/%d/%n

כאן אנו מציינים את מיקום האחסון של האותיות.

אני רוצה שהם יאוחסנו בקבצים ויקובצו לפי תחום.

קובץ "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

זהו קובץ התצורה הראשי של ציבת היונים.
כאן אנו משביתים חיבורים לא מאובטחים.
ואפשר חיבורים מאובטחים.

קובץ "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

הגדרת ssl. אנו מציינים כי נדרש ssl.
והתעודה עצמה. ופרט חשוב הוא ההנחיה ה"מקומית". מציין באיזה אישור SSL להשתמש בעת חיבור לאיזה IPv4 מקומי.

אגב, IPv6 לא מוגדר כאן, אני אתקן את ההשמטה הזו מאוחר יותר.
XX.XX.XX.X5 (דומיין2) - ללא אישור. כדי לחבר לקוחות עליך לציין domain1.com.
XX.XX.XX.X2 (domain3) - יש אישור, אתה יכול לציין domain1.com או domain3.com כדי לחבר לקוחות.

קובץ "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

זה יהיה נחוץ עבור spamassassin בעתיד.

הקובץ "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

זהו תוסף אנטי ספאם. דרוש לאימון spamassasin בזמן ההעברה אל/מתיקיית "ספאם".

קובץ "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

יש בדיוק קובץ כזה.

הקובץ "/etc/dovecot/conf.d/20-lmtp.conf"

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

הגדרת lmtp.

קובץ "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

Spamassasin הגדרות אימון בזמן ההעברה אל/מתיקיית הספאם.

קובץ "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

קובץ המציין מה לעשות עם מכתבים נכנסים.

קובץ "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

עליך להרכיב את הקובץ: "sievec default.sieve".

הקובץ "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

ציון קבצי sql להרשאה.
והקובץ עצמו משמש כשיטת הרשאה.

הקובץ "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

זה מתאים להגדרות דומות עבור postfix.

הקובץ "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

קובץ תצורה ראשי.
הדבר החשוב הוא שנציין כאן - הוסף פרוטוקולים.

============= SpamAssassin =============

apt-get install spamassassin spamc

בואו נתקין את החבילות.

adduser spamd --disabled-login

בואו נוסיף משתמש מטעמו.

systemctl enable spamassassin.service

אנו מאפשרים טעינה אוטומטית של שירות spamassassin בעת הטעינה.

קובץ "/etc/default/spamassassin":

CRON=1

על ידי הפעלת עדכון אוטומטי של כללים "כברירת מחדל".

קובץ "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

אתה צריך ליצור מסד נתונים "sa" ב-mysql עם המשתמש "sa" עם הסיסמה "סיסמה" (החלף במשהו מתאים).

report_safe - זה ישלח דיווח על דואר זבל במקום מכתב.
use_bayes הן הגדרות למידת מכונה של spamassassin.

שאר הגדרות spamassassin שימשו מוקדם יותר במאמר.

הגדרה כללית "spamassassin".
על העברת הודעות דואר זבל חדשות לתיקיית IMAP "דואר זבל"..
על שילוב פשוט של Dovecot + SpamAssassin.
אני ממליץ לקרוא את תורת הלמידה של spamassasin בעת העברת אותיות בתיקיות imap (ואני לא ממליץ להשתמש בה).

============= פנייה לקהילה =============

אני גם רוצה לזרוק רעיון לקהילה כיצד להגביר את רמת האבטחה של מכתבים שהועברו. מאז אני שקוע כל כך עמוק בנושא הדואר.

כך שהמשתמש יוכל ליצור זוג מפתחות בלקוח שלו (אאוטלוק, thunderbird, plugin-דפדפן,...). ציבורי ופרטי. ציבורי - שלח ל-DNS. פרטי - חסוך על הלקוח. שרתי דואר יוכלו להשתמש במפתח ציבורי כדי לשלוח לנמען ספציפי.

וכדי להגן מפני דואר זבל עם אותיות כאלה (כן, שרת הדואר לא יוכל לראות את התוכן) - תצטרך להציג 3 כללים:

1. חתימת DKIM אמיתית חובה, SPF חובה, rDNS חובה.
2. רשת נוירונים בנושא הדרכה נגד ספאם + מסד נתונים עבורו בצד הלקוח.
3. אלגוריתם ההצפנה חייב להיות כזה שהצד השולח חייב להוציא פי 100 יותר כוח מעבד בהצפנה מאשר הצד המקבל.

בנוסף למכתבים פומביים, פתח מכתב הצעה סטנדרטי "כדי להתחיל התכתבות מאובטחת". אחד המשתמשים (תיבת דואר) שולח מכתב עם קובץ מצורף לתיבת דואר אחרת. המכתב מכיל הצעת טקסט לפתיחת ערוץ תקשורת מאובטח להתכתבות ומפתח ציבורי של בעל תיבת הדואר (עם מפתח פרטי בצד הלקוח).

אתה יכול אפילו ליצור כמה מפתחות במיוחד עבור כל התכתבות. המשתמש הנמען יכול לקבל הצעה זו ולשלוח את המפתח הציבורי שלו (נעשה גם במיוחד עבור התכתבות זו). לאחר מכן, המשתמש הראשון שולח מכתב בקרת שירות (מוצפן עם המפתח הציבורי של המשתמש השני) - עם קבלתו יכול המשתמש השני לראות את ערוץ התקשורת שנוצר כאמין. לאחר מכן, המשתמש השני שולח מכתב בקרה - ואז המשתמש הראשון יכול גם להתייחס לאבטחת הערוץ שנוצר.

כדי להילחם ביירוט מפתחות על הכביש, הפרוטוקול חייב לאפשר העברת מפתח ציבורי אחד לפחות באמצעות כונן הבזק.

והדבר הכי חשוב הוא שהכל עובד (השאלה היא "מי ישלם על זה?"):
הזן תעודות דואר החל מ-$10 ל-3 שנים. מה שיאפשר לשולח לציין ב-dns ש"המפתחות הציבוריים שלי נמצאים שם." והם יתנו לך את ההזדמנות להתחיל חיבור מאובטח. יחד עם זאת, קבלת קשרים כאלה היא בחינם.
gmail סוף סוף מייצרת רווחים מהמשתמשים שלה. תמורת 10$ ל-3 שנים - הזכות ליצור ערוצי התכתבות מאובטחים.

============= מסקנה =============

כדי לבדוק את המאמר כולו, התכוונתי לשכור שרת ייעודי לחודש ולקנות דומיין עם תעודת SSL.

אבל נסיבות החיים התפתחו כך שהנושא הזה נמשך חודשיים.
וכך, כששוב היה לי זמן פנוי, החלטתי לפרסם את המאמר כפי שהוא, במקום להסתכן שהפרסום יימשך עוד שנה.

אם יש די הרבה שאלות כמו "אבל זה לא מתואר בפירוט מספיק", אז כנראה יהיה כוח לקחת שרת ייעודי עם דומיין חדש ותעודת SSL חדשה ולתאר את זה ביתר פירוט, ורוב חשוב לזהות את כל הפרטים החשובים החסרים.

אני גם רוצה לקבל משוב על רעיונות לגבי תעודות דואר. אם אתה אוהב את הרעיון, אני אנסה למצוא את הכוח לכתוב טיוטה עבור rfc.

בעת העתקת חלקים גדולים ממאמר, ספק קישור למאמר זה.
בעת תרגום לכל שפה אחרת, ספק קישור למאמר זה.
אנסה לתרגם אותו לאנגלית בעצמי ולהשאיר הפניות מוצלבות.

מקור: www.habr.com