🥇Debian + Postfix + Dovecot + マルチドメイン + SSL + IPv6 + OpenVPN + マルチインターフェース + SpamAssassin 学習 + バインド

この記事では、最新のメールサーバーをセットアップする方法について説明します。
後置 + Dovecot。 SPF + DKIM + rDNS。 IPv6あり。
TSL暗号化あり。複数のドメインのサポート - 一部には実際の SSL 証明書が含まれます。
スパム対策保護機能があり、他のメールサーバーからの高いスパム対策評価を備えています。
複数の物理インターフェイスをサポートします。
OpenVPN では、接続は IPv4 経由で行われ、IPv6 が提供されます。

これらすべてのテクノロジーを学習する必要はないが、そのようなサーバーをセットアップしたい場合は、この記事が役に立ちます。

この記事では、詳細をすべて説明するつもりはありません。標準として設定されていないもの、または消費者の観点から重要なものについて説明します。

メールサーバーをセットアップする動機は、私の長年の夢でした。ばかげているように聞こえるかもしれませんが、私の意見では、お気に入りのブランドの新車を夢見るよりもはるかに良いです。

IPv6 を設定する動機は XNUMX つあります。 IT スペシャリストは生き残るために、常に新しいテクノロジーを学習する必要があります。私は検閲との戦いにささやかな貢献をしたいと思っています。

OpenVPN をセットアップする動機は、ローカルマシン上で IPv6 を動作させることだけです。
複数の物理インターフェイスを設定する動機は、サーバー上に「低速だが無制限」のインターフェイスと、「高速だが料金がかかる」インターフェイスが XNUMX つあるからです。

バインド設定を行う動機は、ISP が提供する DNS サーバーが不安定で、Google も時々失敗するためです。個人使用のために安定した DNS サーバーが必要です。

記事を書く動機 - 10 か月前に下書きを書き、すでに XNUMX 回見ました。作成者が定期的に必要とする場合でも、他の人も必要とする可能性が高くなります。

メールサーバーには普遍的なソリューションはありません。でも、「これを実行して、すべてが正常に動作したら、余分なものを捨てる」というようなことを書こうと思います。

tech.ru という会社にはコロケーションサーバーがあります。 OVH、Hetzner、AWSとの比較が可能です。この問題を解決するには、tech.ru との協力がより効果的です。

Debian 9 がサーバーにインストールされています。

サーバーには 2 つのインターフェイス `eno1` と `eno2` があります。 XNUMX つ目は無制限、XNUMX つ目は高速です。

「eno3」インターフェースには XX.XX.XX.X0、XX.XX.XX.X1、XX.XX.XX.X2、「eno1」インターフェースには XX.XX.XX.X5 の 2 つの静的 IP アドレスがあります。。

利用可能 XXXX:XXXX:XXXX:XXXX::/64 「eno6」インターフェースに割り当てられた IPv1 アドレスのプールと、そこから XXXX:XXXX:XXXX:XXXX:1:2::/96 が私のリクエストに応じて「eno2」に割り当てられました。

`domain3.com`、`domain1.com`、`domain2.com` の 3 つのドメインがあります。「domain1.com」と「domain3.com」には SSL 証明書があります。

メールボックスをリンクしたい Google アカウントがあります[メール保護]` (Gmail インターフェイスから直接メールを受信および送信します)。
郵便受けがあるはずです`[メール保護]`、Gmail で確認したいメールのコピー。そして、` に代わって何かを送信できることはまれです。[メール保護]` Web インターフェイス経由。

郵便受けがあるはずです`[メール保護]`、イワノフは iPhone から使用します。

送信される電子メールは、最新のスパム対策要件をすべて満たしている必要があります。
パブリックネットワークでは最高レベルの暗号化が提供される必要があります。
レターの送信と受信の両方で IPv6 がサポートされる必要があります。
メールを決して削除しない SpamAssassin が存在するはずです。そして、バウンスまたはスキップされるか、IMAP の「スパム」フォルダーに送信されます。
SpamAssassin の自動学習を設定する必要があります。メールを Spam フォルダーに移動すると、そこから学習します。メールをスパムフォルダーから移動すると、そこから学習します。 SpamAssassin のトレーニングの結果は、手紙がスパムフォルダーに入るかどうかに影響を与えます。
PHP スクリプトは、特定のサーバー上の任意のドメインに代わってメールを送信できる必要があります。
IPv6 を持たないクライアントで IPv6 を使用できる openvpn サービスが必要です。

まず、IPv6 を含むインターフェイスとルーティングを構成する必要があります。
次に、IPv4 経由で接続し、クライアントに静的実際の IPv6 アドレスを提供する OpenVPN を構成する必要があります。このクライアントは、サーバー上のすべての IPv6 サービスと、インターネット上のすべての IPv6 リソースにアクセスできます。
次に、レター + SPF + DKIM + rDNS およびその他同様の小さなものを送信するように Postfix を設定する必要があります。
次に、Dovecot を構成し、マルチドメインを構成する必要があります。
次に、SpamAssassin を構成し、トレーニングを構成する必要があります。
最後にBindをインストールします。

============= マルチインターフェース =============

インターフェースを設定するには、「/etc/network/interfaces」にこれを記述する必要があります。

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

これらの設定は、tech.ru の任意のサーバーに適用でき (サポートとの調整が必要です)、すぐに正常に機能します。

Hetzner や OVH で同様のものをセットアップした経験がある場合は、それは異なります。より困難。

eno1 はネットワークカード #1 の名前です (低速ですが無制限)。
eno2 はネットワークカード #2 の名前です (高速ですが料金がかかります)。
tun0 は、OpenVPN の仮想ネットワークカードの名前です。
XX.XX.XX.X0 - eno4 の IPv1 #1。
XX.XX.XX.X1 - eno4 の IPv2 #1。
XX.XX.XX.X2 - eno4 の IPv3 #1。
XX.XX.XX.X5 - eno4 の IPv1 #2。
XX.XX.XX.1 - IPv4 ゲートウェイ。
XXXX:XXXX:XXXX:XXXX::/64 - サーバー全体の IPv6。
XXXX:XXXX:XXXX:XXXX:1:2::/96 - eno6 の IPv2、外部からのその他すべては eno1 に入ります。
XXXX:XXXX:XXXX:XXXX::1 — IPv6 ゲートウェイ (これは別の方法で実行できる/実行する必要があることに注意してください。IPv6 スイッチを指定します)。
dns-nameservers - 127.0.0.1 (バインドがローカルにインストールされているため) と 213.248.1.6 (これは tech.ru からのもの) が示されています。

「テーブル eno1t」および「テーブル eno2t」 - これらのルートルールの意味は、eno1 から入ったトラフィックはそこから出ていき、eno2 から入ったトラフィックはそこから出ていくということです。また、サーバーによって開始された接続も eno1 を経由します。

ip route add default via XX.XX.XX.1 table eno1t

このコマンドでは、「table eno1t」とマークされたルールに該当する理解できないトラフィックが eno1 インターフェイスに送信されるように指定します。

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

このコマンドを使用して、サーバーによって開始されたトラフィックが eno1 インターフェイスに送信されるように指定します。

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

このコマンドを使用して、トラフィックをマーキングするためのルールを設定します。

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

このブロックは、eno4 インターフェイスの 1 番目の IPvXNUMX を指定します。

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

このコマンドを使用して、OpenVPN クライアントから XX.XX.XX.X4 を除くローカル IPv0 へのルートを設定します。
なぜこのコマンドがすべての IPv4 に十分なのかはまだわかりません。

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

ここでインターフェース自体のアドレスを設定します。サーバーはそれを「送信」アドレスとして使用します。二度といかなる形でも使用されません。

「:1:1::」はなぜこんなに複雑なのでしょうか? OpenVPN が正しく機能するのは、このためだけです。これについては後で詳しく説明します。

ゲートウェイの話については、それがそのように機能するものであり、それで問題ありません。ただし、正しい方法は、サーバーが接続されているスイッチの IPv6 をここで指定することです。

ただし、これを行うと、何らかの理由で IPv6 が機能しなくなります。これはおそらく、tech.ru の問題の一種です。

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

これは、インターフェイスに IPv6 アドレスを追加します。 XNUMX 個のアドレスが必要な場合、このファイルには XNUMX 行が含まれることになります。

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

明確にするために、すべてのインターフェイスのアドレスとサブネットを書き留めました。
eno1 - 「」である必要があります/64" - これが私たちのアドレスのプール全体だからです。
tun0 - サブネットは eno1 より大きくなければなりません。そうしないと、OpenVPN クライアント用に IPv6 ゲートウェイを構成できなくなります。
eno2 - サブネットは tun0 より大きくなければなりません。そうしないと、OpenVPN クライアントはローカル IPv6 アドレスにアクセスできなくなります。
わかりやすくするために、サブネットステップ 16 を選択しましたが、必要に応じて「1」ステップを実行することもできます。
したがって、64+16 = 80、80+16 = 96 となります。

さらに明確にするために:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY は、eno1 インターフェイス上の特定のサイトまたはサービスに割り当てる必要があるアドレスです。
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY は、eno2 インターフェイス上の特定のサイトまたはサービスに割り当てる必要があるアドレスです。
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY は、OpenVPN クライアントに割り当てるか、OpenVPN サービスアドレスとして使用するアドレスです。

ネットワークを構成するには、サーバーを再起動できる必要があります。
IPv4 の変更は、実行時に取得されます (必ず画面内でラップしてください。そうしないと、このコマンドはサーバー上のネットワークをクラッシュさせるだけです)。

/etc/init.d/networking restart

ファイル「/etc/iproute2/rt_tables」の末尾に次の内容を追加します。

100 eno1t
101 eno2t

これがないと、「/etc/network/interfaces」ファイル内のカスタムテーブルを使用できません。
番号は一意であり、65535 未満である必要があります。

IPv6 の変更は再起動せずに簡単に変更できますが、これを行うには少なくとも XNUMX つのコマンドを学ぶ必要があります。

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

「/etc/sysctl.conf」の設定

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

これらは私のサーバーの「sysctl」設定です。重要なことを指摘させてください。

net.ipv4.ip_forward = 1

これがないと、OpenVPN はまったく機能しません。

net.ipv6.ip_nonlocal_bind = 1

インターフェイスが起動した直後に IPv6 (nginx など) をバインドしようとすると、エラーが発生します。このアドレスは利用できないということです。

このような事態を避けるために、このような設定がなされている。

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

これらの IPv6 設定がないと、OpenVPN クライアントからのトラフィックは世界に送信されません。

他の設定は関連性がないか、何のためにあるのか思い出せません。
ただし、念のため「そのまま」にしておきます。

サーバーを再起動せずにこのファイルへの変更を反映するには、次のコマンドを実行する必要があります。

sysctl -p

「テーブル」ルールの詳細: habr.com/post/108690

============= OpenVPN =============

OpenVPN IPv4 は iptables なしでは機能しません。

私の iptables は VPN では次のようになります。

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY は、ローカルマシンの静的 IPv4 アドレスです。
10.8.0.0/24 - IPv4 openvpn ネットワーク。 openvpn クライアントの IPv4 アドレス。
ルールの一貫性は重要です。

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

これは、私だけが私の静的 IP から OpenVPN を使用できるようにするための制限です。

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN クライアントとインターネットの間で IPv4 パケットを転送するには、次のコマンドのいずれかを登録する必要があります。

さまざまなケースで、いずれかのオプションが適切ではありません。
どちらのコマンドも私の場合に適しています。
ドキュメントを読んだ後、CPU 使用量が少ない最初のオプションを選択しました。

再起動後にすべての iptables 設定を取得するには、それらをどこかに保存する必要があります。

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

このような名前は偶然に選ばれたわけではありません。これらは「iptables-persistent」パッケージによって使用されます。

apt-get install iptables-persistent

メインの OpenVPN パッケージをインストールします。

apt-get install openvpn easy-rsa

証明書のテンプレートを設定しましょう (値を置き換えます)。

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

証明書テンプレートの設定を編集しましょう。

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

サーバー証明書を作成します。

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

最終的な「client-name.opvn」ファイルを作成する機能を準備しましょう。

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

すべてのファイルを XNUMX つの opvn ファイルにマージするスクリプトを準備しましょう。

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

最初の OpenVPN クライアントの作成:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

ファイル「~/client-configs/files/client-name.ovpn」がクライアントのデバイスに送信されます。

iOS クライアントの場合は、次のトリックを実行する必要があります。
「tls-auth」タグの内容にはコメントを含めないでください。
また、「tls-auth」タグの直前に「key-direction 1」を追加します。

OpenVPN サーバー構成を構成しましょう。

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

これは、各クライアントに静的アドレスを設定するために必要です (必須ではありませんが、私は使用しています)。

# Client config dir
client-config-dir /etc/openvpn/ccd

最も難しく重要な詳細です。

残念ながら、OpenVPN はクライアント用に IPv6 ゲートウェイを個別に構成する方法をまだ知りません。
これをクライアントごとに「手動で」転送する必要があります。

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

ファイル「/etc/openvpn/server-clientconnect.sh」：

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

ファイル「/etc/openvpn/server-clientdisconnect.sh」：

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

どちらのスクリプトもファイル「/etc/openvpn/variables」を使用します。

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

なぜこのように書かれたのかを思い出すのは難しいと思います。

ネットマスク = 112 は奇妙に見えます (本来は 96 であるはずです)。
そして、プレフィックスが奇妙で、tun0 ネットワークと一致しません。
でも大丈夫、このままにしておきます。

cipher DES-EDE3-CBC

これはすべての人に適しているわけではありません。私はこの接続暗号化方法を選択しました。

OpenVPN IPv4 のセットアップについて詳しくは、こちらをご覧ください。

OpenVPN IPv6 のセットアップについて詳しくは、こちらをご覧ください。

============= 後置 =============

メインパッケージのインストール:

apt-get install postfix

インストールの際は「インターネットサイト」を選択してください。

私の「/etc/postfix/main.cf」は次のようになります。

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

この設定の詳細を見てみましょう。

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

ハブロフスクの住民によれば、この区画には「誤った情報と誤った論文」が含まれているという。キャリアをスタートしてからわずか 8 年後に、私は SSL がどのように機能するかを理解し始めました。

したがって、SSL の使用方法について説明します (「どのように機能するのですか?」および「なぜ機能するのですか?」という質問には答えません)。

最新の暗号化の基礎は、キーペア (XNUMX つの非常に長い文字列) の作成です。

一方の「キー」はプライベートキーで、もう一方のキーは「パブリック」キーです。私たちは秘密キーを細心の注意を払って秘密に保ちます。公開鍵を全員に配布します。

公開キーを使用すると、秘密キーの所有者だけがテキスト文字列を復号化できるようにテキスト文字列を暗号化できます。
まあ、それがテクノロジーの基礎全体です。

ステップ #1 - https サイト。
サイトにアクセスすると、ブラウザは Web サーバーからサイトが https であることを学習し、公開キーを要求します。
Web サーバーは公開キーを提供します。ブラウザは公開キーを使用して http リクエストを暗号化し、送信します。
http リクエストの内容を読み取ることができるのは、秘密キーを持っている人、つまりリクエストが行われたサーバーだけです。
HTTP リクエストには少なくとも URI が含まれます。したがって、国がサイト全体ではなく特定のページへのアクセスを制限しようとしている場合、https サイトに対してこれを行うことは不可能です。

ステップ #2 - 暗号化された応答。
Web サーバーは、外出先でも簡単に読める答えを提供します。
解決策は非常に簡単です。ブラウザは、https サイトごとに同じ秘密鍵と公開鍵のペアをローカルに生成します。
そして、サイトの公開鍵のリクエストとともに、ローカル公開鍵を送信します。
Web サーバーはそれを記憶し、http 応答を送信するときに、特定のクライアントの公開キーを使用して暗号化します。
現在、http 応答はクライアントのブラウザ秘密キーの所有者 (つまり、クライアント自体) のみが復号化できます。

ステップ 3 - パブリックチャネル経由で安全な接続を確立します。
例 2 には脆弱性があります。善意のあるユーザーが http リクエストを傍受し、公開キーに関する情報を編集することを妨げるものはありません。
したがって、仲介者は、通信チャネルが変更されるまで、送受信されたメッセージのすべての内容を明確に確認できます。
これへの対処は非常に簡単です。ブラウザの公開キーを、Web サーバーの公開キーで暗号化されたメッセージとして送信するだけです。
次に、Web サーバーはまず「あなたの公開鍵は次のとおりです」のような応答を送信し、このメッセージを同じ公開鍵で暗号化します。
ブラウザは応答を調べます。「あなたの公開鍵は次のようなものです」というメッセージを受信した場合、この通信チャネルが安全であることが 100% 保証されます。
どれくらい安全ですか?
このような安全な通信チャネルの作成自体は、ping*2 の速度で行われます。たとえば、20ms。
攻撃者は、どちらかの当事者の秘密鍵を事前に入手しておく必要があります。または、数ミリ秒で秘密キーを見つけます。
XNUMX つの最新の秘密鍵をハッキングするには、スーパーコンピューターでは数十年かかります。

ステップ #4 - 公開鍵の公開データベース。
明らかに、この全体のストーリーにおいて、攻撃者がクライアントとサーバー間の通信チャネルに侵入する機会が存在します。
クライアントはサーバーのふりをすることができ、サーバーはクライアントのふりをすることができます。そして、キーのペアを両方向でエミュレートします。
その後、攻撃者はすべてのトラフィックを確認し、トラフィックを「編集」できるようになります。
たとえば、送金先のアドレスを変更したり、オンラインバンキングからパスワードをコピーしたり、「不快な」コンテンツをブロックしたりできます。
このような攻撃者に対抗するために、彼らは各 https サイトの公開鍵を含む公開データベースを考案しました。
各ブラウザは、約 200 のそのようなデータベースの存在を「認識」しています。これはすべてのブラウザにプリインストールされています。
「知識」は、各証明書の公開鍵によって裏付けられます。つまり、それぞれの特定の認証局への接続を偽装することはできません。

これで、https で SSL を使用する方法が簡単に理解できました。
頭を使えば、特別なサービスがどのようにしてこの構造内の何かをハッキングできるかが明らかになるでしょう。しかし、それには途方もない努力が必要になるだろう。
NSA や CIA よりも小規模な組織では、たとえ VIP であっても、既存の保護レベルをハッキングすることはほぼ不可能です。

ssh接続についても追記しておきます。そこには公開鍵がないので、何ができるでしょうか? この問題は XNUMX つの方法で解決されます。
オプション ssh-by-password:
最初の接続中に、ssh クライアントは ssh サーバーから新しい公開キーを取得したことを警告する必要があります。
さらに接続中に「ssh サーバーからの新しい公開キー」という警告が表示された場合は、盗聴しようとしていることを意味します。
または、最初の接続時に盗聴されましたが、現在は仲介者なしでサーバーと通信しています。
実際には、この攻撃は盗聴の事実が簡単かつ迅速に容易に明らかにされるため、特定のクライアントに対する特別な場合にのみ使用されます。

オプション ssh-by-key:
フラッシュドライブを用意し、そこに ssh サーバーの秘密キーを書き込みます (これには用語や重要なニュアンスがたくさんありますが、私は使用説明書ではなく教育プログラムを書いています)。
公開鍵は ssh クライアントが存在するマシン上に残し、これも秘密にします。
フラッシュドライブをサーバーに持ち込み、挿入し、秘密キーをコピーして、フラッシュドライブを焼き、灰を風に飛ばします（または少なくともゼロでフォーマットします）。
それだけです - このような操作の後は、そのような ssh 接続をハッキングすることは不可能になります。もちろん、10 年後にはスーパーコンピューターでトラフィックを表示できるようになるでしょうが、それは別の話です。

オフトピックをお詫び申し上げます。

これで理論は判明しました。 SSL証明書の作成の流れを説明します。

「openssl genrsa」を使用して、秘密キーと公開キーの「空白」を作成します。
当社は「ブランク」をサードパーティ会社に送信し、最も単純な証明書に対して約 9 ドルを支払います。

数時間後、このサードパーティ企業から「公開」キーといくつかの公開キーのセットを受け取ります。

なぜサードパーティ企業が私の公開鍵の登録費用を支払わなければならないのかは別の問題であり、ここでは検討しません。

これで、碑文の意味が明らかになりました。

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

「/etc/ssl」フォルダーには、SSL 問題に関するすべてのファイルが含まれています。
Domain1.com — ドメイン名。
2018 年は鍵作成の年です。
「key」 - ファイルが秘密鍵であることを指定します。

そして、このファイルの意味は次のとおりです。

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
Domain1.com — ドメイン名。
2018 年は鍵作成の年です。
連鎖 - 公開鍵の連鎖があることを示します (最初の公開鍵は私たちの公開鍵で、残りは公開鍵を発行した会社からのものです)。
crt - 既製の証明書 (技術的な説明付きの公開キー) があることを示します。

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

この設定はこの場合には使用されませんが、例として書かれています。

このパラメータにエラーがあると、(ユーザーの意志に関係なく) サーバーからスパムが送信されることになるためです。

そして、あなたが無罪であることを皆に証明してください。

recipient_delimiter = +

知らない人も多いかもしれませんが、これはメールをランク付けするための標準文字であり、最新のメールサーバーのほとんどでサポートされています。

たとえば、メールボックスがある場合、「[メール保護]「に送信してみてください」[メール保護]「――それがどうなるかを見てください。

inet_protocols = ipv4

これは混乱を招くかもしれません。

しかし、それだけではありません。新しいドメインはそれぞれデフォルトで IPv4 のみなので、それぞれのドメインで個別に IPv6 をオンにします。

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

ここでは、すべての受信メールが dovecot に送信されるように指定します。
そして、ドメイン、メールボックス、エイリアスのルールについては、データベースを調べてください。

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

これで、postfix は dovecot による承認後にのみメールのさらなる送信が受け入れられることを認識しました。

なぜこれがここで重複するのか本当にわかりません。「virtual_transport」に必要なものはすべてすでに指定されています。

しかし、postfix システムは非常に古く、おそらく昔からの逆戻りです。

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

これはメールサーバーごとに異なる構成が可能です。

私は 3 つのメールサーバーを自由に使用できますが、使用要件が異なるため、これらの設定は大きく異なります。

慎重に設定する必要があります。設定しないと、スパムが大量に流入することになります。さらに悪いことに、スパムが流出することになります。

# SPF
policyd-spf_time_limit = 3600

受信レターの SPF チェックに関連するプラグインのセットアップ。

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

すべての送信電子メールに DKIM 署名を提供する必要があるという設定です。

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

これは、PHP スクリプトからレターを送信するときのレタールーティングの重要な詳細です。

ファイル「/etc/postfix/sdd_transport.pcre」：

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

左側は正規表現です。右側には文字をマークするラベルがあります。
ラベルに従って Postfix - 特定の文字に対してさらにいくつかの設定行が考慮されます。

特定の文字に対して postfix がどのように正確に再設定されるかは、「master.cf」に示されます。

4、5、6行目がメインです。レターを送信するドメインを代表して、このラベルを付けます。
ただし、古いコードの PHP スクリプトでは、「from」フィールドが常に示されているわけではありません。そこで役に立つのがユーザー名です。

この記事はすでに広範囲にわたっています。nginx+fpm の設定に気をとられたくありません。

簡単に言うと、サイトごとに独自の Linux ユーザー所有者を設定します。それに応じて fpm プールも作成します。

Fpm-pool は任意のバージョンの php を使用します (同じサーバー上で異なるバージョンの php を使用したり、隣接するサイトで異なる php.ini を問題なく使用したりできるのは素晴らしいことです)。

したがって、特定の Linux ユーザー「www-domain2」には Web サイト「domain2.com」があります。このサイトには、差出人フィールドを指定せずにメールを送信するためのコードがあります。

したがって、この場合でも、レターは正しく送信され、スパムになることはありません。

私の「/etc/postfix/master.cf」は次のようになります。

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

ファイルは完全には提供されていません。すでに非常に大きいファイルです。
変更点のみメモしました。

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

これらは spamassasin に関連する設定です。詳細については後ほど説明します。

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

ポート 587 経由でメールサーバーに接続できるようにします。
これを行うには、ログインする必要があります。

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

SPFチェックを有効にします。

apt-get install postfix-policyd-spf-python

上記のSPFチェック用のパッケージをインストールしましょう。

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

そして、これが最も興味深いことです。これは、特定の IPv4/IPv6 アドレスから特定のドメインにレターを送信する機能です。

これは rDNS のために行われます。 rDNS は、IP アドレスによって文字列を受信するプロセスです。
また、メールの場合、この機能は、helo が電子メールの送信元アドレスの rDNS と正確に一致することを確認するために使用されます。

helo が手紙の送信者に代わって電子メールドメインと一致しない場合、スパムポイントが付与されます。

Helo は rDNS と一致しません - 多くのスパムポイントが付与されます。
したがって、各ドメインには独自の IP アドレスが必要です。
OVH の場合、コンソールで rDNS を指定できます。
tech.ru の場合 - 問題はサポートを通じて解決されます。
AWS の場合、この問題はサポートを通じて解決されます。
「inet_protocols」および「smtp_bind_address6」 - IPv6 サポートを有効にします。
IPv6 の場合は、rDNS も登録する必要があります。
「syslog_name」 - これはログを読みやすくするためのものです。

証明書を購入するここをお勧めします.

ここで postfix+dovecot リンクを設定します.

SPFの設定。

============= Dovecot =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

mysql をセットアップし、パッケージ自体をインストールします。

ファイル「/etc/dovecot/conf.d/10-auth.conf」

disable_plaintext_auth = yes
auth_mechanisms = plain login

認証は暗号化のみされます。

ファイル「/etc/dovecot/conf.d/10-mail.conf」

mail_location = maildir:/var/mail/vhosts/%d/%n

ここで手紙の保管場所を示します。

それらをファイルに保存し、ドメインごとにグループ化したいと考えています。

ファイル「/etc/dovecot/conf.d/10-master.conf」

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

これは、dovecot のメイン構成ファイルです。
ここでは、保護されていない接続を無効にします。
そして安全な接続を有効にします。

ファイル「/etc/dovecot/conf.d/10-ssl.conf」

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

SSLの設定をしています。 ssl が必要であることを示します。
そして証明書そのもの。そして重要な点は「ローカル」ディレクティブです。どのローカル IPv4 に接続するときにどの SSL 証明書を使用するかを示します。

ちなみにここではIPv6の設定はしていませんので、後ほど修正します。
XX.XX.XX.X5 (ドメイン 2) - 証明書がありません。クライアントに接続するには、domain1.com を指定する必要があります。
XX.XX.XX.X2 (ドメイン 3) - 証明書があり、クライアントに接続するためにドメイン 1.com またはドメイン 3.com を指定できます。

ファイル「/etc/dovecot/conf.d/15-lda.conf」

protocol lda {
  mail_plugins = $mail_plugins sieve
}

これは将来スパマサシンに必要になります。

ファイル「/etc/dovecot/conf.d/20-imap.conf」

protocol imap {
  mail_plugins = $mail_plugins antispam
}

これはスパム対策プラグインです。「スパム」フォルダへの転送時、または「スパム」フォルダからの転送時にスパマサシンを訓練するために必要です。

ファイル「/etc/dovecot/conf.d/20-pop3.conf」

protocol pop3 {
}

ちょうどそのようなファイルがあります。

ファイル「/etc/dovecot/conf.d/20-lmtp.conf」

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

lmtpの設定をしています。

ファイル「/etc/dovecot/conf.d/90-antispam.conf」

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

スパムフォルダーへの転送またはスパムフォルダーからの転送時のスパマサシンのトレーニング設定。

ファイル「/etc/dovecot/conf.d/90-sieve.conf」

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

受信した文字をどう処理するかを指定するファイル。

ファイル「/var/lib/dovecot/sieve/default.sieve」

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

ファイル「sievecdefault.sieve」をコンパイルする必要があります。

ファイル「/etc/dovecot/conf.d/auth-sql.conf.ext」

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

認可用のSQLファイルを指定します。
そして、ファイル自体が認証方法として使用されます。

ファイル「/etc/dovecot/dovecot-sql.conf.ext」

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

これは、postfix の同様の設定に対応します。

ファイル「/etc/dovecot/dovecot.conf」

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

メインの設定ファイル。
重要なことは、ここでプロトコルを追加することを示していることです。

============= SpamAssassin =============

apt-get install spamassassin spamc

パッケージをインストールしましょう。

adduser spamd --disabled-login

誰に代わってユーザーを追加しましょう。

systemctl enable spamassassin.service

spamassassin サービスの読み込み時に自動読み込みを有効にします。

ファイル「/etc/default/spamassassin」:

CRON=1

「デフォルトで」ルールの自動更新を有効にする。

ファイル「/etc/spamassassin/local.cf」:

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

mysql にデータベース「sa」を作成し、ユーザー「sa」、パスワード「password」(適切なものに置き換えてください)を作成する必要があります。

report_safe - 手紙の代わりにスパムメールのレポートを送信します。
use_bayes は spamassassin の機械学習設定です。

残りの spamassassin 設定は、この記事の前半で使用したものです。

一般設定「スパマサシン」.
新規スパムメールのIMAP「スパム」フォルダへの移動について.
Dovecot + SpamAssassin の簡単な組み合わせについて.
imap フォルダー内の文字を移動するときは、spamassasin 学習理論を読むことをお勧めします (使用はお勧めしません)。.

============= コミュニティへのアピール =============

また、転送された手紙のセキュリティレベルを高める方法についてのアイデアをコミュニティに提案したいと考えています。私はメールの話題にどっぷり浸かってしまっているので。

これにより、ユーザーはクライアント (Outlook、Thunderbird、ブラウザプラグインなど) でキーのペアを作成できるようになります。パブリックとプライベート。パブリック - DNS に送信します。プライベート - クライアントに保存します。メールサーバーは公開キーを使用して特定の受信者に送信できます。

そして、そのような文字を含むスパムから保護するには (はい、メールサーバーはコンテンツを表示できません)、次の 3 つのルールを導入する必要があります。

必須の実際の DKIM 署名、必須の SPF、必須の rDNS。
スパム対策トレーニングをテーマとしたニューラルネットワークとクライアント側のデータベース。
暗号化アルゴリズムは、送信側が受信側の 100 倍の CPU パワーを暗号化に費やす必要があります。

公開書簡に加えて、「安全な通信を開始するため」の標準的な提案書を作成します。ユーザーの XNUMX 人 (メールボックス) が添付ファイル付きのレターを別のメールボックスに送信します。このレターには、通信用の安全な通信チャネルを開始するための提案文と、メールボックスの所有者の公開キー (クライアント側の秘密キーを使用) が含まれています。

通信ごとに特別にいくつかのキーを作成することもできます。受信側ユーザーはこのオファーを受け入れ、自分の公開キー (これもこの通信のために特別に作成されたもの) を送信できます。次に、最初のユーザーはサービス制御レター (XNUMX 番目のユーザーの公開キーで暗号化された) を送信します。これを受信すると、XNUMX 番目のユーザーは、形成された通信チャネルが信頼できると判断できます。次に、XNUMX 番目のユーザーがコントロールレターを送信します。その後、最初のユーザーも、形成されたチャネルが安全であるとみなすことができます。

路上でのキーの傍受に対抗するために、プロトコルはフラッシュドライブを使用して少なくとも XNUMX つの公開キーを送信できるようにする必要があります。

そして最も重要なことは、それがすべて機能するということです (問題は「誰がその費用を支払うのか?」ということです)。
10 年間 3 ドルからの郵便証明書を入力してください。これにより、送信者は DNS で「私の公開鍵はそこにあります」と示すことができます。そして、安全な接続を開始する機会が与えられます。同時に、そのような接続を受け入れることは無料です。
Gmail はついにユーザーを収益化します。 10 年間あたり 3 ドルで、安全な通信チャネルを作成する権利。

============= 結論 =============

記事全体をテストするために、専用サーバーを XNUMX か月間レンタルし、SSL 証明書のあるドメインを購入するつもりでした。

しかし、生活状況が悪化したため、この問題は2か月間続きました。
そこで、再び自由な時間ができたときに、出版がさらに XNUMX 年続く危険を冒すよりも、記事をそのまま公開することにしました。

「しかし、十分に詳細に説明されていない」というような質問が非常に多くある場合は、新しいドメインと新しい SSL 証明書を備えた専用サーバーを使用して、さらに詳細に説明することができるでしょう。重要なのは、欠けている重要な詳細をすべて特定することです。

郵便証明書に関するアイデアについてもフィードバックをいただきたいと思っています。このアイデアが気に入っていただければ、rfc 用の草稿を書く力を養おうと思います。

記事の大部分をコピーする場合は、この記事へのリンクを提供してください。
他の言語に翻訳する場合は、この記事へのリンクを提供してください。
自分で英語に翻訳して、相互参照を残しておきます。

出所： habr.com

Debian + Postfix + Dovecot + マルチドメイン + SSL + IPv6 + OpenVPN + マルチインターフェース + SpamAssassin-learn + バインド

============= マルチインターフェース =============

============= OpenVPN =============

============= 後置 =============

============= Dovecot =============

============= SpamAssassin =============

============= コミュニティへのアピール =============

============= 結論 =============

コメントを追加します返信をキャンセル

Debian + Postfix + Dovecot + マルチドメイン + SSL + IPv6 + OpenVPN + マルチインターフェース + SpamAssassin-learn + バインド

============= マルチインターフェース =============

============= OpenVPN =============

============= 後置 =============

============= Dovecot =============

============= SpamAssassin =============

============= コミュニティへのアピール =============

============= 結論 =============

コメントを追加します 返信をキャンセル

コメントを追加します返信をキャンセル