Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind

អត្ថបទនេះគឺអំពីរបៀបតំឡើងម៉ាស៊ីនមេសំបុត្រទំនើប។
Postfix + Dovecot ។ SPF + DKIM + rDNS ។ ជាមួយ IPv6.
ជាមួយនឹងការអ៊ិនគ្រីប TSL ។ ជាមួយនឹងការគាំទ្រសម្រាប់ដែនច្រើន - ផ្នែកដែលមានវិញ្ញាបនបត្រ SSL ពិតប្រាកដ។
ជាមួយនឹងការការពារប្រឆាំងនឹងសារឥតបានការ និងការវាយតម្លៃខ្ពស់ប្រឆាំងនឹងសារឥតបានការពីម៉ាស៊ីនមេសំបុត្រផ្សេងទៀត។
គាំទ្រចំណុចប្រទាក់រូបវន្តច្រើន។
ជាមួយ OpenVPN ការតភ្ជាប់ដែលតាមរយៈ IPv4 និងដែលផ្តល់ IPv6 ។

ប្រសិនបើ​អ្នក​មិន​ចង់​រៀន​បច្ចេកវិទ្យា​ទាំង​អស់​នេះ​ទេ ប៉ុន្តែ​ចង់​ដំឡើង​ម៉ាស៊ីន​បម្រើ​បែប​នេះ នោះ​អត្ថបទ​នេះ​គឺ​សម្រាប់​អ្នក។

អត្ថបទមិនព្យាយាមពន្យល់គ្រប់លម្អិតទេ។ ការពន្យល់ទៅអ្វីដែលមិនត្រូវបានកំណត់ជាស្តង់ដារ ឬមានសារៈសំខាន់តាមទស្សនៈរបស់អ្នកប្រើប្រាស់។

ការលើកទឹកចិត្តក្នុងការដំឡើងម៉ាស៊ីនមេគឺជាក្តីសុបិនរបស់ខ្ញុំជាយូរមកហើយ។ នេះអាចស្តាប់ទៅដូចជាល្ងង់ ប៉ុន្តែ IMHO វាប្រសើរជាងការស្រមៃចង់បានរថយន្តថ្មីពីម៉ាកដែលអ្នកចូលចិត្តទៅទៀត។

មានការលើកទឹកចិត្តពីរសម្រាប់ការដំឡើង IPv6 ។ អ្នកជំនាញផ្នែកព័ត៌មានវិទ្យាត្រូវរៀនបច្ចេកវិទ្យាថ្មីៗជានិច្ច ដើម្បីរស់រានមានជីវិត។ ខ្ញុំ​ចង់​ចូល​រួម​ចំណែក​តិចតួច​ក្នុង​ការ​ប្រយុទ្ធ​ប្រឆាំង​នឹង​ការ​ចាប់​ពិរុទ្ធ។

ការលើកទឹកចិត្តសម្រាប់ការដំឡើង OpenVPN គឺគ្រាន់តែដើម្បីទទួលបាន IPv6 ដំណើរការនៅលើម៉ាស៊ីនក្នុងស្រុក។
ការលើកទឹកចិត្តសម្រាប់ការដំឡើងចំណុចប្រទាក់រូបវន្តជាច្រើនគឺថានៅលើម៉ាស៊ីនមេរបស់ខ្ញុំខ្ញុំមានចំណុចប្រទាក់មួយ "យឺតប៉ុន្តែគ្មានដែនកំណត់" និងមួយទៀត "លឿនប៉ុន្តែមានពន្ធ" ។

ការលើកទឹកចិត្តសម្រាប់ការដំឡើងការកំណត់ Bind គឺថា ISP របស់ខ្ញុំផ្តល់នូវម៉ាស៊ីនមេ DNS ដែលមិនមានស្ថេរភាព ហើយពេលខ្លះ google ក៏បរាជ័យផងដែរ។ ខ្ញុំចង់បានម៉ាស៊ីនមេ DNS ដែលមានស្ថេរភាពសម្រាប់ការប្រើប្រាស់ផ្ទាល់ខ្លួន។

ការលើកទឹកចិត្តក្នុងការសរសេរអត្ថបទ - ខ្ញុំបានសរសេរសេចក្តីព្រាងកាលពី 10 ខែមុន ហើយខ្ញុំបានមើលវាពីរដងរួចហើយ។ ទោះបីជាអ្នកនិពន្ធត្រូវការវាជាទៀងទាត់ក៏ដោយ ក៏វាមានប្រូបាប៊ីលីតេខ្ពស់ដែលអ្នកផ្សេងទៀតនឹងត្រូវការវាផងដែរ។

មិនមានដំណោះស្រាយជាសកលសម្រាប់ម៉ាស៊ីនមេសំបុត្រទេ។ ប៉ុន្តែ​ខ្ញុំ​នឹង​ព្យាយាម​សរសេរ​អ្វី​មួយ​ដូច​ជា "ធ្វើ​បែប​នេះ ហើយ​បន្ទាប់​មក នៅ​ពេល​អ្វី​គ្រប់​យ៉ាង​ដំណើរការ​ដូច​ដែល​វា​គួរ​ធ្វើ សូម​បោះ​របស់​បន្ថែម​ចេញ"។

ក្រុមហ៊ុន tech.ru មានម៉ាស៊ីនមេ Colocation ។ វាគឺអាចធ្វើទៅបានដើម្បីប្រៀបធៀបជាមួយ OVH, Hetzner, AWS ។ ដើម្បីដោះស្រាយបញ្ហានេះ កិច្ចសហប្រតិបត្តិការជាមួយ tech.ru នឹងមានប្រសិទ្ធភាពជាង។

Debian 9 ត្រូវបានដំឡើងនៅលើម៉ាស៊ីនមេ។

ម៉ាស៊ីនមេមាន 2 ចំណុចប្រទាក់ `eno1` និង `eno2` ។ ទីមួយគឺគ្មានដែនកំណត់ ហើយទីពីរគឺលឿនរៀងៗខ្លួន។

មានអាសយដ្ឋាន IP ឋិតិវន្តចំនួន 3 គឺ XX.XX.XX.X0 និង XX.XX.XX.X1 និង XX.XX.XX.X2 នៅលើចំណុចប្រទាក់ `eno1` និង XX.XX.XX.X5 នៅលើចំណុចប្រទាក់ `eno2` .

មាន XXXX:XXXX:XXXX:XXXX::/64 បណ្តុំនៃអាសយដ្ឋាន IPv6 ដែលត្រូវបានកំណត់ទៅចំណុចប្រទាក់ `eno1` ហើយពីវា XXXX:XXXX:XXXX:XXXX:1:2::/96 ត្រូវបានចាត់ចែងទៅ `eno2` តាមសំណើរបស់ខ្ញុំ។

មាន 3 domains `domain1.com`, `domain2.com`, `domain3.com`។ មានវិញ្ញាបនបត្រ SSL សម្រាប់ `domain1.com` និង `domain3.com`។

ខ្ញុំមានគណនី Google ដែលខ្ញុំចង់ភ្ជាប់ប្រអប់សំបុត្ររបស់ខ្ញុំទៅ[អ៊ីមែលការពារ]` (ការទទួលសំបុត្រ និងផ្ញើសំបុត្រដោយផ្ទាល់ពីចំណុចប្រទាក់ gmail) ។
ត្រូវតែមានប្រអប់សំបុត្រ[អ៊ីមែលការពារ]`, ច្បាប់ចម្លងនៃអ៊ីមែលដែលខ្ញុំចង់ឃើញនៅក្នុង gmail របស់ខ្ញុំ។ ហើយវាកម្រណាស់ដែលអាចផ្ញើអ្វីមួយជំនួសឱ្យ `[អ៊ីមែលការពារ]` តាមរយៈចំណុចប្រទាក់បណ្តាញ។

ត្រូវតែមានប្រអប់សំបុត្រ[អ៊ីមែលការពារ]` ដែល Ivanov នឹងប្រើពី iPhone របស់គាត់។

អ៊ីមែលដែលបានផ្ញើត្រូវតែគោរពតាមតម្រូវការប្រឆាំងសារឥតបានការទំនើបទាំងអស់។
ត្រូវតែមានកម្រិតខ្ពស់បំផុតនៃការអ៊ិនគ្រីបដែលបានផ្តល់នៅក្នុងបណ្តាញសាធារណៈ។
គួរតែមានការគាំទ្រ IPv6 សម្រាប់ទាំងការផ្ញើ និងទទួលសំបុត្រ។
វាគួរតែមាន SpamAssassin ដែលមិនលុបអ៊ីមែល។ ហើយវានឹងលោត ឬរំលង ឬផ្ញើទៅកាន់ថត IMAP “Spam”។
ការរៀនដោយស្វ័យប្រវត្តិ SpamAssassin ត្រូវតែកំណត់រចនាសម្ព័ន្ធ៖ ប្រសិនបើខ្ញុំផ្លាស់ទីសំបុត្រទៅថត Spam នោះវានឹងរៀនពីរឿងនេះ។ ប្រសិនបើខ្ញុំផ្លាស់ទីសំបុត្រពីថត Spam វានឹងរៀនពីនេះ។ លទ្ធផលនៃការបណ្តុះបណ្តាល SpamAssassin គួរតែមានឥទ្ធិពលថាតើសំបុត្របញ្ចប់នៅក្នុងថត Spam ដែរឬទេ។
ស្គ្រីប PHP ត្រូវតែអាចផ្ញើសំបុត្រជំនួសឱ្យដែនណាមួយនៅលើម៉ាស៊ីនមេដែលបានផ្តល់ឱ្យ។
គួរតែមានសេវាកម្ម openvpn ដែលមានសមត្ថភាពប្រើ IPv6 លើម៉ាស៊ីនភ្ញៀវដែលមិនមាន IPv6 ។

ដំបូងអ្នកត្រូវកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ និងការកំណត់ផ្លូវ រួមទាំង IPv6 ។
បន្ទាប់មកអ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធ OpenVPN ដែលនឹងភ្ជាប់តាមរយៈ IPv4 និងផ្តល់ឱ្យអតិថិជននូវអាសយដ្ឋាន IPv6 ឋិតិវន្តពិតប្រាកដ។ ម៉ាស៊ីនភ្ញៀវនេះនឹងមានសិទ្ធិចូលប្រើសេវាកម្ម IPv6 ទាំងអស់នៅលើម៉ាស៊ីនមេ និងការចូលប្រើធនធាន IPv6 ណាមួយនៅលើអ៊ីនធឺណិត។
បន្ទាប់មកអ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធ Postfix ដើម្បីផ្ញើសំបុត្រ + SPF + DKIM + rDNS និងរបស់តូចៗស្រដៀងគ្នាផ្សេងទៀត។
បន្ទាប់មកអ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធ Dovecot និងកំណត់រចនាសម្ព័ន្ធ Multidomain ។
បន្ទាប់មកអ្នកនឹងត្រូវកំណត់រចនាសម្ព័ន្ធ SpamAssassin និងកំណត់រចនាសម្ព័ន្ធការបណ្តុះបណ្តាល។
ជាចុងក្រោយ ដំឡើង Bind ។

============= ពហុចំណុចប្រទាក់ =============

ដើម្បីកំណត់រចនាសម្ព័ន្ធចំណុចប្រទាក់ អ្នកត្រូវសរសេរវានៅក្នុង “/etc/network/interfaces”។

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

ការកំណត់ទាំងនេះអាចត្រូវបានអនុវត្តនៅលើម៉ាស៊ីនមេណាមួយនៅក្នុង tech.ru (ដោយមានការសម្របសម្រួលបន្តិចបន្តួចជាមួយការគាំទ្រ) ហើយវានឹងដំណើរការភ្លាមៗដូចដែលវាគួរតែ។

ប្រសិនបើអ្នកមានបទពិសោធន៍រៀបចំរបស់ស្រដៀងគ្នាសម្រាប់ Hetzner, OVH វាខុសគ្នានៅទីនោះ។ ពិបាកជាង។

eno1 គឺជាឈ្មោះនៃកាតបណ្តាញលេខ 1 (យឺត ប៉ុន្តែគ្មានដែនកំណត់)។
eno2 គឺជា​ឈ្មោះ​កាត​បណ្តាញ​លេខ 2 (លឿន ប៉ុន្តែ​មាន​ពន្ធ)។
tun0 គឺជាឈ្មោះកាតបណ្តាញនិម្មិតពី OpenVPN ។
XX.XX.XX.X0 - IPv4 #1 នៅលើ eno1។
XX.XX.XX.X1 - IPv4 #2 នៅលើ eno1។
XX.XX.XX.X2 - IPv4 #3 នៅលើ eno1។
XX.XX.XX.X5 - IPv4 #1 នៅលើ eno2។
XX.XX.XX.1 - ច្រក IPv4 ។
XXXX:XXXX:XXXX:XXXX::/64 - IPv6 សម្រាប់ម៉ាស៊ីនមេទាំងមូល។
XXXX:XXXX:XXXX:XXXX:1:2::/96 - IPv6 សម្រាប់ eno2 អ្វីៗផ្សេងទៀតពីខាងក្រៅចូលទៅក្នុង eno1។
XXXX:XXXX:XXXX:XXXX::1 — IPv6 gateway (គួរកត់សំគាល់ថានេះអាច/គួរត្រូវបានធ្វើខុសគ្នា។ បញ្ជាក់ IPv6 switch)។
dns-nameservers - 127.0.0.1 ត្រូវបានចង្អុលបង្ហាញ (ដោយសារតែ bind ត្រូវបានដំឡើងក្នុងមូលដ្ឋាន) និង 213.248.1.6 (នេះគឺមកពី tech.ru)។

"តារាង eno1t" និង "តារាង eno2t" - អត្ថន័យនៃផ្លូវ - ច្បាប់នេះគឺថាចរាចរណ៍ដែលចូលតាមរយៈ eno1 -> នឹងចាកចេញតាមរយៈវាហើយចរាចរដែលចូលតាមរយៈ eno2 -> នឹងចាកចេញតាមរយៈវា។ ហើយការតភ្ជាប់ដែលផ្តួចផ្តើមដោយម៉ាស៊ីនមេនឹងឆ្លងកាត់អ៊ីណូ១។

ip route add default via XX.XX.XX.1 table eno1t

ជាមួយនឹងពាក្យបញ្ជានេះ យើងបញ្ជាក់ថាចរាចរណ៍ដែលមិនអាចយល់បានដែលស្ថិតនៅក្រោមច្បាប់ណាមួយដែលបានសម្គាល់ "table eno1t" -> ត្រូវបានផ្ញើទៅកាន់ចំណុចប្រទាក់ eno1 ។

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

ជាមួយនឹងពាក្យបញ្ជានេះ យើងបញ្ជាក់ថាចរាចរណាមួយដែលផ្តួចផ្តើមដោយម៉ាស៊ីនមេ គួរតែត្រូវបានដឹកនាំទៅកាន់ចំណុចប្រទាក់ eno1 ។

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

ជាមួយនឹងពាក្យបញ្ជានេះយើងកំណត់ច្បាប់សម្រាប់ការសម្គាល់ចរាចរណ៍។

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

ប្លុកនេះបញ្ជាក់ IPv4 ទីពីរសម្រាប់ចំណុចប្រទាក់ eno1 ។

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

ជាមួយនឹងពាក្យបញ្ជានេះ យើងកំណត់ផ្លូវពីអតិថិជន OpenVPN ទៅ IPv4 មូលដ្ឋាន លើកលែងតែ XX.XX.XX.X0 ។
ខ្ញុំនៅតែមិនយល់ពីមូលហេតុដែលពាក្យបញ្ជានេះគឺគ្រប់គ្រាន់សម្រាប់ IPv4 ទាំងអស់។

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

នេះគឺជាកន្លែងដែលយើងកំណត់អាសយដ្ឋានសម្រាប់ចំណុចប្រទាក់ខ្លួនឯង។ ម៉ាស៊ីនមេនឹងប្រើវាជាអាសយដ្ឋាន "ចេញ" ។ នឹង​មិន​ត្រូវ​បាន​ប្រើ​ក្នុង​វិធី​ណា​មួយ​ម្តង​ទៀត​។

ហេតុអ្វី ":1:1::" ស្មុគស្មាញម្ល៉េះ? ដូច្នេះ OpenVPN ដំណើរការបានត្រឹមត្រូវ ហើយសម្រាប់តែរឿងនេះប៉ុណ្ណោះ។ បន្ថែមទៀតអំពីរឿងនេះនៅពេលក្រោយ។

នៅលើប្រធានបទនៃច្រកផ្លូវ - នោះហើយជារបៀបដែលវាដំណើរការហើយនោះជាការល្អ។ ប៉ុន្តែវិធីត្រឹមត្រូវគឺត្រូវចង្អុលបង្ហាញនៅទីនេះ IPv6 នៃកុងតាក់ដែលម៉ាស៊ីនមេត្រូវបានភ្ជាប់។

ទោះយ៉ាងណាក៏ដោយ សម្រាប់ហេតុផលមួយចំនួន IPv6 ឈប់ដំណើរការ ប្រសិនបើខ្ញុំធ្វើបែបនេះ។ នេះប្រហែលជាប្រភេទនៃបញ្ហា tech.ru មួយចំនួន។

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

នេះកំពុងបន្ថែមអាសយដ្ឋាន IPv6 ទៅចំណុចប្រទាក់។ ប្រសិនបើអ្នកត្រូវការអាសយដ្ឋានមួយរយ នោះមានន័យថាមួយរយបន្ទាត់នៅក្នុងឯកសារនេះ។

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

ខ្ញុំបានកត់សម្គាល់អាសយដ្ឋាន និងបណ្តាញរងនៃចំណុចប្រទាក់ទាំងអស់ដើម្បីធ្វើឱ្យវាច្បាស់។
eno1 - ត្រូវតែ "/64" - ដោយសារតែនេះគឺជាបណ្តុំនៃអាសយដ្ឋានរបស់យើង។
tun0 - បណ្តាញរងត្រូវតែធំជាង eno1 ។ បើមិនដូច្នោះទេ វានឹងមិនអាចកំណត់រចនាសម្ព័ន្ធច្រក IPv6 សម្រាប់អតិថិជន OpenVPN បានទេ។
eno2 - បណ្តាញរងត្រូវតែធំជាង tun0 ។ បើមិនដូច្នោះទេ អតិថិជន OpenVPN នឹងមិនអាចចូលប្រើអាសយដ្ឋាន IPv6 ក្នុងស្រុកបានទេ។
សម្រាប់ភាពច្បាស់លាស់ ខ្ញុំបានជ្រើសរើសជំហានបណ្តាញរងនៃ 16 ប៉ុន្តែប្រសិនបើអ្នកចង់ អ្នកក៏អាចធ្វើជំហាន "1" ផងដែរ។
ដូច្នោះហើយ 64+16=80 និង 80+16=96។

ដើម្បីឱ្យកាន់តែច្បាស់៖
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY គឺជាអាសយដ្ឋានដែលគួរតែត្រូវបានកំណត់ទៅគេហទំព័រ ឬសេវាកម្មជាក់លាក់នៅលើចំណុចប្រទាក់ eno1។
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY គឺជាអាសយដ្ឋានដែលគួរតែត្រូវបានកំណត់ទៅគេហទំព័រ ឬសេវាកម្មជាក់លាក់នៅលើចំណុចប្រទាក់ eno2។
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY គឺជាអាសយដ្ឋានដែលគួរតែត្រូវបានកំណត់ទៅអតិថិជន OpenVPN ឬប្រើជាអាសយដ្ឋានសេវាកម្ម OpenVPN។

ដើម្បីកំណត់រចនាសម្ព័ន្ធបណ្តាញ វាគួរតែអាចចាប់ផ្តើមម៉ាស៊ីនមេឡើងវិញ។
ការផ្លាស់ប្តូរ IPv4 ត្រូវបានជ្រើសរើសនៅពេលប្រតិបត្តិ (ត្រូវប្រាកដថារុំវានៅលើអេក្រង់ - បើមិនដូច្នេះទេពាក្យបញ្ជានេះនឹងគាំងបណ្តាញនៅលើម៉ាស៊ីនមេ):

/etc/init.d/networking restart

បន្ថែមទៅចុងបញ្ចប់នៃឯកសារ “/etc/iproute2/rt_tables”៖

100 eno1t
101 eno2t

បើគ្មាននេះទេ អ្នកមិនអាចប្រើតារាងផ្ទាល់ខ្លួននៅក្នុងឯកសារ “/etc/network/interfaces” បានទេ។
លេខត្រូវតែមានតែមួយគត់ និងតិចជាង 65535។

ការផ្លាស់ប្តូរ IPv6 អាចត្រូវបានផ្លាស់ប្តូរយ៉ាងងាយស្រួលដោយមិនចាំបាច់ចាប់ផ្តើមឡើងវិញ ប៉ុន្តែដើម្បីធ្វើដូច្នេះអ្នកត្រូវរៀនយ៉ាងហោចណាស់បីពាក្យបញ្ជា៖

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

ការកំណត់ "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

ទាំងនេះគឺជាការកំណត់ "sysctl" របស់ម៉ាស៊ីនមេរបស់ខ្ញុំ។ ខ្ញុំ​សូម​ចង្អុល​បង្ហាញ​រឿង​សំខាន់។

net.ipv4.ip_forward = 1

បើគ្មាននេះទេ OpenVPN នឹងមិនដំណើរការទាល់តែសោះ។

net.ipv6.ip_nonlocal_bind = 1

នរណាម្នាក់ដែលព្យាយាមភ្ជាប់ IPv6 (ឧទាហរណ៍ nginx) ភ្លាមៗបន្ទាប់ពីចំណុចប្រទាក់ត្រូវបានដំឡើងនឹងទទួលបានកំហុស។ ថាអាសយដ្ឋាននេះមិនមានទេ។

ដើម្បីជៀសវាងស្ថានភាពបែបនេះ ការកំណត់បែបនេះត្រូវបានធ្វើឡើង។

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

បើគ្មានការកំណត់ IPv6 ទាំងនេះទេ ចរាចរណ៍ពីម៉ាស៊ីនភ្ញៀវ OpenVPN មិនចេញទៅក្រៅពិភពលោកទេ។

ការ​កំណត់​ផ្សេង​ទៀត​មិន​ពាក់ព័ន្ធ ឬ​ខ្ញុំ​មិន​ចាំ​ថា​វា​សម្រាប់​អ្វី​ទេ។
ប៉ុន្តែក្នុងករណីខ្ញុំទុកវា "ដូចដែលធ្លាប់មាន"។

ដើម្បីឱ្យការផ្លាស់ប្ដូរឯកសារនេះត្រូវបានទាញយកដោយមិនចាំបាច់ចាប់ផ្ដើមម៉ាស៊ីនមេឡើងវិញ អ្នកត្រូវដំណើរការពាក្យបញ្ជា៖

sysctl -p

ព័ត៌មានលម្អិតបន្ថែមអំពីច្បាប់ "តារាង"៖ habr.com/post/108690

============= OpenVPN =============

OpenVPN IPv4 មិនដំណើរការដោយគ្មាន iptables ទេ។

iptables របស់ខ្ញុំគឺដូចនេះសម្រាប់ VPN៖

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY គឺជាអាសយដ្ឋាន IPv4 ឋិតិវន្តរបស់ខ្ញុំនៃម៉ាស៊ីនមូលដ្ឋាន។
10.8.0.0/24 - បណ្តាញ IPv4 openvpn ។ អាសយដ្ឋាន IPv4 សម្រាប់អតិថិជន openvpn ។
ភាពជាប់លាប់នៃច្បាប់មានសារៈសំខាន់។

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

នេះគឺជាដែនកំណត់ ដូច្នេះមានតែខ្ញុំទេដែលអាចប្រើ OpenVPN ពី IP ឋិតិវន្តរបស់ខ្ញុំ។

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

ដើម្បីបញ្ជូនបន្តកញ្ចប់ IPv4 រវាងម៉ាស៊ីនភ្ញៀវ OpenVPN និងអ៊ីនធឺណិត អ្នកត្រូវចុះឈ្មោះពាក្យបញ្ជាមួយក្នុងចំណោមពាក្យបញ្ជាទាំងនេះ។

សម្រាប់ករណីផ្សេងៗគ្នា ជម្រើសមួយក្នុងចំណោមជម្រើសមិនសមរម្យទេ។
ពាក្យបញ្ជាទាំងពីរគឺសមរម្យសម្រាប់ករណីរបស់ខ្ញុំ។
បន្ទាប់​ពី​បាន​អាន​ឯកសារ​រួច ខ្ញុំ​បាន​ជ្រើសរើស​ជម្រើស​ដំបូង​ព្រោះ​វា​ប្រើ CPU តិច។

ដើម្បីឱ្យការកំណត់ iptables ទាំងអស់ត្រូវបានជ្រើសរើសបន្ទាប់ពីការចាប់ផ្ដើមឡើងវិញ អ្នកត្រូវរក្សាទុកពួកវានៅកន្លែងណាមួយ។

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

ឈ្មោះបែបនេះមិនត្រូវបានជ្រើសរើសដោយចៃដន្យទេ។ ពួកវាត្រូវបានប្រើដោយកញ្ចប់ "iptables-persistent" ។

apt-get install iptables-persistent

ការដំឡើងកញ្ចប់ OpenVPN ចម្បង៖

apt-get install openvpn easy-rsa

តោះរៀបចំគំរូសម្រាប់វិញ្ញាបនបត្រ (ជំនួសតម្លៃរបស់អ្នក)៖

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

តោះកែសម្រួលការកំណត់គំរូវិញ្ញាបនបត្រ៖

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

បង្កើតវិញ្ញាបនបត្រម៉ាស៊ីនមេ៖

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

តោះរៀបចំសមត្ថភាពក្នុងការបង្កើតឯកសារ "client-name.opvn" ចុងក្រោយ៖

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

ចូរយើងរៀបចំស្គ្រីបដែលនឹងបញ្ចូលឯកសារទាំងអស់ទៅក្នុងឯកសារ opvn តែមួយ។

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

ការបង្កើតម៉ាស៊ីនភ្ញៀវ OpenVPN ដំបូង៖

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

ឯកសារ “~/client-configs/files/client-name.ovpn” ត្រូវបានផ្ញើទៅកាន់ឧបករណ៍របស់អតិថិជន។

សម្រាប់​អតិថិជន iOS អ្នក​នឹង​ត្រូវ​ធ្វើ​ល្បិច​ដូច​ខាង​ក្រោម៖
ខ្លឹមសារនៃស្លាក "tls-auth" ត្រូវតែគ្មានមតិយោបល់។
ហើយដាក់ “key-direction 1” ភ្លាមៗមុនស្លាក “tls-auth” ។

តោះកំណត់រចនាសម្ព័ន្ធម៉ាស៊ីនមេ OpenVPN៖

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

វាចាំបាច់ដើម្បីកំណត់អាសយដ្ឋានឋិតិវន្តសម្រាប់អតិថិជននីមួយៗ (មិនចាំបាច់ ប៉ុន្តែខ្ញុំប្រើវា)៖

# Client config dir
client-config-dir /etc/openvpn/ccd

ព័ត៌មានលម្អិតនិងពិបាកបំផុត។

ជាអកុសល OpenVPN មិនទាន់ដឹងពីរបៀបកំណត់រចនាសម្ព័ន្ធច្រក IPv6 ដោយឯករាជ្យសម្រាប់អតិថិជនទេ។
អ្នកត្រូវតែ "ដោយដៃ" បញ្ជូនបន្តនេះសម្រាប់អតិថិជននីមួយៗ។

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

ឯកសារ “/etc/openvpn/server-clientconnect.sh”៖

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

ឯកសារ “/etc/openvpn/server-clientdisconnect.sh”៖

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

ស្គ្រីបទាំងពីរប្រើឯកសារ “/etc/openvpn/variables”៖

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

ខ្ញុំពិបាកចាំថាហេតុអ្វីបានជាគេសរសេរបែបនេះ។

ឥឡូវនេះ netmask = 112 មើលទៅចម្លែក (វាគួរតែមាន 96 នៅទីនោះ) ។
ហើយបុព្វបទគឺចម្លែកវាមិនត្រូវគ្នានឹងបណ្តាញ tun0 ទេ។
ប៉ុន្តែមិនអីទេ ខ្ញុំនឹងទុកវាចោលដូចដើម។

cipher DES-EDE3-CBC

នេះមិនមែនសម្រាប់មនុស្សគ្រប់គ្នាទេ - ខ្ញុំបានជ្រើសរើសវិធីសាស្ត្រនៃការអ៊ិនគ្រីបការតភ្ជាប់នេះ។

ស្វែងយល់បន្ថែមអំពីការដំឡើង OpenVPN IPv4 ។

ស្វែងយល់បន្ថែមអំពីការដំឡើង OpenVPN IPv6 ។

============= Postfix =============

ការដំឡើងកញ្ចប់សំខាន់៖

apt-get install postfix

នៅពេលដំឡើងសូមជ្រើសរើស "គេហទំព័រអ៊ីនធឺណិត" ។

"/etc/postfix/main.cf" របស់ខ្ញុំមើលទៅដូចនេះ៖

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

សូមក្រឡេកមើលព័ត៌មានលម្អិតនៃការកំណត់នេះ។

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

យោងតាមអ្នកស្រុក Khabrovsk ប្លុកនេះមាន "ព័ត៌មានមិនត្រឹមត្រូវ និងព័ត៌មានទាំងនេះមិនត្រឹមត្រូវ" ។ត្រឹមតែ 8 ឆ្នាំបន្ទាប់ពីការចាប់ផ្តើមអាជីពរបស់ខ្ញុំ ខ្ញុំចាប់ផ្តើមយល់ពីរបៀបដែល SSL ដំណើរការ។

ដូច្នេះ ខ្ញុំនឹងទទួលយកសេរីភាពក្នុងការពិពណ៌នាអំពីរបៀបប្រើ SSL (ដោយមិនឆ្លើយសំណួរ "តើវាដំណើរការយ៉ាងដូចម្តេច?" និង "ហេតុអ្វីវាដំណើរការ?") ។

មូលដ្ឋាននៃការអ៊ិនគ្រីបទំនើបគឺការបង្កើតគូសោមួយ (ខ្សែអក្សរវែងបំផុតពីរ) ។

"កូនសោ" មួយគឺឯកជន សោផ្សេងទៀតគឺ "សាធារណៈ" ។ យើងរក្សាសោឯកជនយ៉ាងប្រុងប្រយ័ត្នជាសម្ងាត់។ យើងចែកចាយកូនសោសាធារណៈដល់អ្នករាល់គ្នា។

ដោយប្រើសោសាធារណៈ អ្នកអាចអ៊ិនគ្រីបអក្សរមួយឃ្លា ដូច្នេះមានតែម្ចាស់សោឯកជនប៉ុណ្ណោះដែលអាចឌិគ្រីបវាបាន។
ជាការប្រសើរណាស់, នោះហើយជាមូលដ្ឋានទាំងមូលនៃបច្ចេកវិទ្យា។

ជំហានទី 1 - គេហទំព័រ https ។
នៅពេលចូលប្រើគេហទំព័រ កម្មវិធីរុករកតាមអ៊ីនធឺណិតរៀនពីម៉ាស៊ីនមេគេហទំព័រថាគេហទំព័រគឺ https ដូច្នេះហើយស្នើសុំសោសាធារណៈ។
ម៉ាស៊ីនមេគេហទំព័រផ្តល់សោសាធារណៈ។ កម្មវិធីរុករកប្រើសោសាធារណៈដើម្បីអ៊ិនគ្រីបសំណើរ http ហើយផ្ញើវា។
ខ្លឹមសារនៃសំណើរ http អាចអានបានតែអ្នកដែលមានកូនសោឯកជន ពោលគឺមានតែម៉ាស៊ីនមេប៉ុណ្ណោះដែលសំណើនេះត្រូវបានធ្វើឡើង។
Http-request មានយ៉ាងហោចណាស់ URI ។ ដូច្នេះ ប្រសិនបើប្រទេសមួយកំពុងព្យាយាមដាក់កម្រិតការចូលប្រើមិនមែនទៅកាន់គេហទំព័រទាំងមូលនោះទេ ប៉ុន្តែទៅកាន់ទំព័រជាក់លាក់នោះ វាមិនអាចទៅរួចទេក្នុងការធ្វើសម្រាប់គេហទំព័រ https ។

ជំហានទី 2 - ការឆ្លើយតបដែលបានអ៊ិនគ្រីប។
ម៉ាស៊ីនមេគេហទំព័រផ្តល់ចម្លើយដែលអាចអានបានយ៉ាងងាយស្រួលនៅលើផ្លូវ។
ដំណោះស្រាយគឺសាមញ្ញបំផុត - កម្មវិធីរុករកតាមមូលដ្ឋានបង្កើតគូសោឯកជន-សាធារណៈដូចគ្នាសម្រាប់គេហទំព័រ https នីមួយៗ។
ហើយរួមជាមួយនឹងការស្នើសុំសោសាធារណៈរបស់គេហទំព័រ វាផ្ញើសោសាធារណៈក្នុងតំបន់របស់វា។
ម៉ាស៊ីនមេគេហទំព័រចងចាំវា ហើយនៅពេលផ្ញើ http-response អ៊ិនគ្រីបវាដោយប្រើសោសាធារណៈរបស់អតិថិជនជាក់លាក់។
ឥឡូវនេះ http-response អាចត្រូវបានឌិគ្រីបបានតែដោយម្ចាស់នៃ browser private key របស់អតិថិជន (នោះគឺអតិថិជនខ្លួនឯង)។

ជំហានទី 3 - ការបង្កើតការតភ្ជាប់សុវត្ថិភាពតាមរយៈឆានែលសាធារណៈ។
មានភាពងាយរងគ្រោះនៅក្នុងឧទាហរណ៍លេខ 2 - គ្មានអ្វីរារាំងអ្នកប្រាថ្នាល្អពីការស្ទាក់ចាប់សំណើ http និងកែសម្រួលព័ត៌មានអំពីសោសាធារណៈនោះទេ។
ដូច្នេះ អន្តរការីនឹងឃើញយ៉ាងច្បាស់នូវខ្លឹមសារទាំងអស់នៃសារដែលបានផ្ញើ និងទទួល រហូតដល់ការផ្លាស់ប្តូរបណ្តាញទំនាក់ទំនង។
ការដោះស្រាយបញ្ហានេះគឺសាមញ្ញបំផុត - គ្រាន់តែផ្ញើសោសាធារណៈរបស់កម្មវិធីរុករកតាមអ៊ីនធឺណិតជាសារដែលបានអ៊ិនគ្រីបជាមួយនឹងសោសាធារណៈរបស់ម៉ាស៊ីនមេគេហទំព័រ។
បន្ទាប់មកម៉ាស៊ីនមេគេហទំព័រដំបូងផ្ញើការឆ្លើយតបដូចជា "សោសាធារណៈរបស់អ្នកគឺដូចនេះ" ហើយអ៊ិនគ្រីបសារនេះដោយប្រើសោសាធារណៈដូចគ្នា។
កម្មវិធីរុករកតាមអ៊ីនធឺណិតមើលការឆ្លើយតប - ប្រសិនបើសារ "សោសាធារណៈរបស់អ្នកគឺដូចនេះ" ត្រូវបានទទួល - នោះគឺជាការធានា 100% ថាបណ្តាញទំនាក់ទំនងនេះមានសុវត្ថិភាព។
តើវាមានសុវត្ថិភាពប៉ុណ្ណា?
ការបង្កើតបណ្តាញទំនាក់ទំនងដែលមានសុវត្ថិភាពបែបនេះកើតឡើងក្នុងល្បឿន ping*2។ ឧទាហរណ៍ 20ms ។
អ្នកវាយប្រហារត្រូវតែមានសោឯកជនរបស់ភាគីណាមួយជាមុន។ ឬស្វែងរកសោឯកជនក្នុងរយៈពេលពីរបីមិល្លីវិនាទី។
ការលួចយកសោឯកជនទំនើបមួយនឹងចំណាយពេលច្រើនទសវត្សរ៍លើកុំព្យូទ័រទំនើប។

ជំហានទី 4 - មូលដ្ឋានទិន្នន័យសាធារណៈនៃសោសាធារណៈ។
ជាក់ស្តែងនៅក្នុងរឿងទាំងមូលនេះ មានឱកាសសម្រាប់អ្នកវាយប្រហារអង្គុយលើបណ្តាញទំនាក់ទំនងរវាងម៉ាស៊ីនភ្ញៀវ និងម៉ាស៊ីនមេ។
ម៉ាស៊ីនភ្ញៀវអាចធ្វើពុតជាម៉ាស៊ីនមេ ហើយម៉ាស៊ីនមេអាចធ្វើពុតជាអតិថិជន។ ហើយត្រាប់តាមកូនសោមួយគូក្នុងទិសដៅទាំងពីរ។
បន្ទាប់មក អ្នកវាយប្រហារនឹងឃើញចរាចរណ៍ទាំងអស់ ហើយនឹងអាច "កែសម្រួល" ចរាចរណ៍បាន។
ឧទាហរណ៍ ផ្លាស់ប្តូរអាសយដ្ឋានកន្លែងដែលត្រូវផ្ញើប្រាក់ ឬចម្លងពាក្យសម្ងាត់ពីធនាគារតាមអ៊ីនធឺណិត ឬរារាំងខ្លឹមសារ "មិនពេញចិត្ត"។
ដើម្បីប្រយុទ្ធប្រឆាំងនឹងអ្នកវាយប្រហារបែបនេះ ពួកគេបានបង្កើតមូលដ្ឋានទិន្នន័យសាធារណៈដែលមានសោសាធារណៈសម្រាប់គេហទំព័រ https នីមួយៗ។
កម្មវិធីរុករកនីមួយៗ "ដឹង" អំពីអត្ថិភាពនៃមូលដ្ឋានទិន្នន័យបែបនេះប្រហែល 200 ។ វាត្រូវបានដំឡើងជាមុននៅក្នុងកម្មវិធីរុករកនីមួយៗ។
“ចំណេះដឹង” ត្រូវបានគាំទ្រដោយសោសាធារណៈពីវិញ្ញាបនបត្រនីមួយៗ។ នោះគឺការភ្ជាប់ទៅអាជ្ញាធរបញ្ជាក់ជាក់លាក់នីមួយៗមិនអាចក្លែងបន្លំបានទេ។

ឥឡូវនេះមានការយល់ដឹងសាមញ្ញអំពីរបៀបប្រើ SSL សម្រាប់ https ។
ប្រសិនបើអ្នកប្រើខួរក្បាលរបស់អ្នក វានឹងច្បាស់អំពីរបៀបដែលសេវាកម្មពិសេសអាច hack អ្វីមួយនៅក្នុងរចនាសម្ព័ន្ធនេះ។ ប៉ុន្តែ​នេះ​នឹង​ធ្វើ​ឱ្យ​ពួក​គេ​ចំណាយ​ការ​ប្រឹងប្រែង​យ៉ាង​សម្បើម។
និងអង្គការតូចជាង NSA ឬ CIA - វាស្ទើរតែមិនអាចទៅរួចទេក្នុងការ hack កម្រិតនៃការការពារដែលមានស្រាប់ សូម្បីតែ VIPs ក៏ដោយ។

ខ្ញុំក៏នឹងបន្ថែមអំពីការភ្ជាប់ ssh ផងដែរ។ មិនមានសោសាធារណៈនៅទីនោះទេ ដូច្នេះតើអ្នកអាចធ្វើអ្វីបាន? បញ្ហាត្រូវបានដោះស្រាយតាមពីរវិធី។
ជម្រើស ssh-by-password៖
កំឡុងពេលភ្ជាប់ដំបូង អតិថិជន ssh គួរតែព្រមានថាយើងមានសោសាធារណៈថ្មីពីម៉ាស៊ីនមេ ssh ។
ហើយក្នុងអំឡុងពេលភ្ជាប់បន្ថែមទៀត ប្រសិនបើការព្រមាន "សោសាធារណៈថ្មីពីម៉ាស៊ីនមេ ssh" លេចឡើង វានឹងមានន័យថាពួកគេកំពុងព្យាយាមលួចស្តាប់អ្នក។
ឬអ្នកត្រូវបានគេលួចស្តាប់នៅលើការតភ្ជាប់ដំបូងរបស់អ្នក ប៉ុន្តែឥឡូវនេះអ្នកទាក់ទងជាមួយម៉ាស៊ីនមេដោយគ្មានអន្តរការី។
ជាការពិតណាស់ ដោយសារតែការពិតនៃការភ្ជាប់ខ្សែគឺងាយស្រួល រហ័ស និងដោយមិនប្រឹងប្រែង ការវាយប្រហារនេះត្រូវបានប្រើតែនៅក្នុងករណីពិសេសសម្រាប់អតិថិជនជាក់លាក់ប៉ុណ្ណោះ។

ជម្រើស ssh-by-key៖
យើងយក flash drive សរសេរកូនសោឯកជនសម្រាប់ម៉ាស៊ីនមេ ssh នៅលើវា (មានលក្ខខណ្ឌ និងចំណុចសំខាន់ៗជាច្រើនសម្រាប់រឿងនេះ ប៉ុន្តែខ្ញុំកំពុងសរសេរកម្មវិធីអប់រំ មិនមែនការណែនាំសម្រាប់ប្រើទេ)។
យើងទុកសោសាធារណៈនៅលើម៉ាស៊ីនដែលម៉ាស៊ីនភ្ញៀវ ssh នឹងនៅ ហើយយើងក៏រក្សាវាទុកជាសម្ងាត់ផងដែរ។
យើងនាំយក flash drive ទៅម៉ាស៊ីនមេ បញ្ចូលវា ចម្លងសោឯកជន ហើយដុត flash drive ហើយខ្ចាត់ខ្ចាយផេះទៅខ្យល់ (ឬយ៉ាងហោចណាស់ធ្វើទ្រង់ទ្រាយវាដោយលេខសូន្យ)។
នោះហើយជាទាំងអស់ - បន្ទាប់ពីប្រតិបត្តិការបែបនេះវានឹងមិនអាចទៅរួចទេក្នុងការ hack ការតភ្ជាប់ ssh បែបនេះ។ ជាការពិតណាស់ក្នុងរយៈពេល 10 ឆ្នាំ វានឹងអាចមើលចរាចរណ៍នៅលើកុំព្យូទ័រទំនើបបាន ប៉ុន្តែវាជារឿងផ្សេង។

ខ្ញុំសុំទោសចំពោះប្រធានបទក្រៅ។

ដូច្នេះ​ឥឡូវ​នេះ​ថា​ទ្រឹស្តី​ត្រូវ​បាន​គេ​ដឹង​។ ខ្ញុំនឹងប្រាប់អ្នកអំពីលំហូរនៃការបង្កើតវិញ្ញាបនបត្រ SSL ។

ដោយប្រើ "openssl genrsa" យើងបង្កើតសោឯកជន និង "ចន្លោះ" សម្រាប់សោសាធារណៈ។
យើងផ្ញើ "ចន្លោះ" ទៅក្រុមហ៊ុនភាគីទីបី ដែលយើងចំណាយប្រហែល 9 ដុល្លារសម្រាប់វិញ្ញាបនបត្រសាមញ្ញបំផុត។

បន្ទាប់ពីពីរបីម៉ោង យើងទទួលបានសោ "សាធារណៈ" របស់យើង និងសំណុំនៃសោសាធារណៈជាច្រើនពីក្រុមហ៊ុនភាគីទីបីនេះ។

ហេតុអ្វីបានជាក្រុមហ៊ុនភាគីទីបីគួរតែបង់ប្រាក់សម្រាប់ការចុះឈ្មោះសោសាធារណៈរបស់ខ្ញុំគឺជាសំណួរដាច់ដោយឡែកមួយ យើងនឹងមិនពិចារណាវានៅទីនេះទេ។

ឥឡូវនេះវាច្បាស់ថាអត្ថន័យនៃសិលាចារឹកគឺ៖

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

ថត “/etc/ssl” មានឯកសារទាំងអស់សម្រាប់បញ្ហា ssl ។
domain1.com - ឈ្មោះដែន។
ឆ្នាំ 2018 គឺជាឆ្នាំនៃការបង្កើតគន្លឹះ។
"កូនសោ" - ការកំណត់ថាឯកសារគឺជាសោឯកជន។

ហើយអត្ថន័យនៃឯកសារនេះ៖

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com - ឈ្មោះដែន។
ឆ្នាំ 2018 គឺជាឆ្នាំនៃការបង្កើតគន្លឹះ។
chained - ការ​កំណត់​ថា​មាន​ច្រវាក់​នៃ​សោ​សាធារណៈ (ទីមួយ​គឺ​ជា​កូនសោ​សាធារណៈ​របស់​យើង ហើយ​អ្វី​ដែល​នៅ​សល់​គឺ​ជា​អ្វី​ដែល​បាន​មក​ពី​ក្រុមហ៊ុន​ដែល​បាន​ចេញ​សោសាធារណៈ)។
crt - ការកំណត់ថាមានវិញ្ញាបនបត្រដែលត្រៀមរួចជាស្រេច (សោសាធារណៈជាមួយនឹងការពន្យល់បច្ចេកទេស) ។

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

ការកំណត់នេះមិនត្រូវបានប្រើក្នុងករណីនេះទេ ប៉ុន្តែត្រូវបានសរសេរជាឧទាហរណ៍។

ដោយសារតែកំហុសនៅក្នុងប៉ារ៉ាម៉ែត្រនេះនឹងនាំឱ្យមានសារឥតបានការត្រូវបានផ្ញើពីម៉ាស៊ីនមេរបស់អ្នក (ដោយគ្មានឆន្ទៈរបស់អ្នក) ។

បន្ទាប់​មក​បញ្ជាក់​ដល់​អ្នក​រាល់​គ្នា​ថា​អ្នក​មិន​មាន​កំហុស​ទេ។

recipient_delimiter = +

មនុស្សជាច្រើនប្រហែលជាមិនដឹង ប៉ុន្តែនេះគឺជាតួអក្សរស្តង់ដារសម្រាប់ចំណាត់ថ្នាក់អ៊ីមែល ហើយវាត្រូវបានគាំទ្រដោយម៉ាស៊ីនមេសំបុត្រទំនើបភាគច្រើន។

ឧទាហរណ៍ ប្រសិនបើអ្នកមានប្រអប់សំបុត្រ "[អ៊ីមែលការពារ]"ព្យាយាមផ្ញើទៅ"[អ៊ីមែលការពារ]"- មើលអ្វីដែលមកពីវា។

inet_protocols = ipv4

នេះប្រហែលជាមានការភ័ន្តច្រឡំ។

ប៉ុន្តែវាមិនមែនគ្រាន់តែបែបនោះទេ។ ដែនថ្មីនីមួយៗគឺតាមលំនាំដើមតែ IPv4 បន្ទាប់មកខ្ញុំបើក IPv6 សម្រាប់នីមួយៗដាច់ដោយឡែក។

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

នៅទីនេះយើងបញ្ជាក់ថាសំបុត្រចូលទាំងអស់ទៅ dovecot ។
និងច្បាប់សម្រាប់ដែន ប្រអប់សំបុត្រ ឈ្មោះក្លែងក្លាយ - រកមើលនៅក្នុងមូលដ្ឋានទិន្នន័យ។

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

ឥឡូវនេះ postfix ដឹងថាសំបុត្រអាចត្រូវបានទទួលយកសម្រាប់ការផ្ញើបន្ថែមទៀតបន្ទាប់ពីការអនុញ្ញាតជាមួយ dovecot ។

ខ្ញុំ​ពិត​ជា​មិន​យល់​ថា​ហេតុ​អ្វី​បាន​ចម្លង​នៅ​ទីនេះ។ យើងបានបញ្ជាក់រួចហើយនូវអ្វីគ្រប់យ៉ាងដែលត្រូវការនៅក្នុង "virtual_transport"។

ប៉ុន្តែប្រព័ន្ធ postfix គឺចាស់ណាស់ - ប្រហែលជាវាជាការបោះចោលពីថ្ងៃចាស់។

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

នេះអាចត្រូវបានកំណត់រចនាសម្ព័ន្ធផ្សេងគ្នាសម្រាប់ម៉ាស៊ីនមេសំបុត្រនីមួយៗ។

ខ្ញុំ​មាន​ម៉ាស៊ីន​មេ​សំបុត្រ​ចំនួន 3 នៅ​ក្នុង​ការ​បោះ​ចោល​របស់​ខ្ញុំ ហើយ​ការ​កំណត់​ទាំង​នេះ​មាន​ភាព​ខុស​គ្នា​ខ្លាំង​ដោយ​សារ​តម្រូវ​ការ​ប្រើ​ប្រាស់​ខុស​គ្នា។

អ្នកត្រូវកំណត់រចនាសម្ព័ន្ធវាដោយប្រុងប្រយ័ត្ន - បើមិនដូច្នេះទេ សារឥតបានការនឹងហូរចូលមកអ្នក ឬសូម្បីតែអាក្រក់ជាងនេះទៅទៀត សារឥតបានការនឹងហូរចេញពីអ្នក។

# SPF
policyd-spf_time_limit = 3600

ការដំឡើងកម្មវិធីជំនួយមួយចំនួនទាក់ទងនឹងការពិនិត្យមើល SPF នៃអក្សរចូល។

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

ការកំណត់គឺថាយើងត្រូវផ្តល់ហត្ថលេខា DKIM ជាមួយនឹងអ៊ីមែលដែលចេញទាំងអស់។

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

នេះ​ជា​ព័ត៌មាន​លម្អិត​សំខាន់​ក្នុង​ការ​បញ្ជូន​សំបុត្រ​ពី​ស្គ្រីប PHP។

ឯកសារ “/etc/postfix/sdd_transport.pcre”៖

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

នៅខាងឆ្វេងគឺជាកន្សោមធម្មតា។ នៅខាងស្តាំគឺជាស្លាកសញ្ញាសម្គាល់អក្សរ។
Postfix អនុលោមតាមស្លាក - នឹងពិចារណាលើបន្ទាត់កំណត់រចនាសម្ព័ន្ធមួយចំនួនបន្ថែមទៀតសម្រាប់លិខិតជាក់លាក់មួយ។

របៀបដែល postfix នឹងត្រូវបានកំណត់ឡើងវិញសម្រាប់លិខិតជាក់លាក់មួយនឹងត្រូវបានចង្អុលបង្ហាញនៅក្នុង "master.cf" ។

ជួរទី 4, 5, 6 គឺជាខ្សែសំខាន់។ ក្នុងនាមដែនណាមួយដែលយើងកំពុងផ្ញើលិខិតនោះ យើងដាក់ស្លាកនេះ។
ប៉ុន្តែវាល "ពី" មិនតែងតែត្រូវបានចង្អុលបង្ហាញនៅក្នុងស្គ្រីប PHP នៅក្នុងកូដចាស់នោះទេ។ បន្ទាប់មកឈ្មោះអ្នកប្រើមកជួយសង្គ្រោះ។

អត្ថបទគឺទូលំទូលាយរួចហើយ - ខ្ញុំមិនចង់រំខានដោយការដំឡើង nginx+fpm ទេ។

ដោយសង្ខេប សម្រាប់គេហទំព័រនីមួយៗ យើងកំណត់ម្ចាស់អ្នកប្រើប្រាស់ linux ផ្ទាល់ខ្លួន។ ហើយយោងទៅតាម fpm-pool របស់អ្នក។

Fpm-pool ប្រើកំណែណាមួយនៃ php (វាល្អណាស់នៅពេលដែលនៅលើម៉ាស៊ីនមេដូចគ្នាអ្នកអាចប្រើកំណែផ្សេងគ្នានៃ php និងសូម្បីតែ php.ini ផ្សេងគ្នាសម្រាប់គេហទំព័រជិតខាងដោយគ្មានបញ្ហា) ។

ដូច្នេះ អ្នកប្រើប្រាស់លីនុចជាក់លាក់ “www-domain2” មានគេហទំព័រ domain2.com ។ គេហទំព័រនេះមានលេខកូដសម្រាប់ផ្ញើអ៊ីមែលដោយមិនបញ្ជាក់ពីវាល។

ដូច្នេះ ទោះបីជាក្នុងករណីនេះក៏ដោយ សំបុត្រនឹងត្រូវបានផ្ញើយ៉ាងត្រឹមត្រូវ ហើយនឹងមិនបញ្ចប់ដោយសារឥតបានការឡើយ។

"/etc/postfix/master.cf" របស់ខ្ញុំមើលទៅដូចនេះ៖

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

ឯកសារមិនត្រូវបានផ្តល់ឱ្យពេញលេញទេ - វាមានទំហំធំណាស់រួចទៅហើយ។
ខ្ញុំគ្រាន់តែកត់សម្គាល់អ្វីដែលបានផ្លាស់ប្តូរ។

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

ទាំងនេះគឺជាការកំណត់ទាក់ទងនឹង spamassasin បន្ថែមទៀតនៅពេលក្រោយ។

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

យើងអនុញ្ញាតឱ្យអ្នកភ្ជាប់ទៅម៉ាស៊ីនមេតាមរយៈច្រក 587 ។
ដើម្បីធ្វើដូចនេះអ្នកត្រូវចូល។

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

បើកការត្រួតពិនិត្យ SPF ។

apt-get install postfix-policyd-spf-python

តោះដំឡើងកញ្ចប់សម្រាប់ការពិនិត្យ SPF ខាងលើ។

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

ហើយនេះគឺជាអ្វីដែលគួរឱ្យចាប់អារម្មណ៍បំផុត។ នេះគឺជាសមត្ថភាពក្នុងការផ្ញើសំបុត្រសម្រាប់ដែនជាក់លាក់មួយពីអាសយដ្ឋាន IPv4/IPv6 ជាក់លាក់។

នេះត្រូវបានធ្វើសម្រាប់ជាប្រយោជន៍នៃ rDNS ។ rDNS គឺជាដំណើរការនៃការទទួលខ្សែអក្សរដោយអាសយដ្ឋាន IP ។
ហើយសម្រាប់សំបុត្រ មុខងារនេះត្រូវបានប្រើដើម្បីបញ្ជាក់ថា ហេឡូពិតជាត្រូវគ្នានឹង rDNS នៃអាសយដ្ឋានដែលអ៊ីមែលត្រូវបានផ្ញើ។

ប្រសិនបើហេឡូមិនត្រូវគ្នានឹងដែនអ៊ីមែលក្នុងនាមអ្នកដែលសំបុត្រត្រូវបានផ្ញើនោះ ពិន្ទុសារឥតបានការត្រូវបានផ្តល់រង្វាន់។

Helo មិនត្រូវគ្នានឹង rDNS ទេ - ពិន្ទុ spam ជាច្រើនត្រូវបានផ្តល់រង្វាន់។
ដូច្នោះហើយ ដែននីមួយៗត្រូវតែមានអាសយដ្ឋាន IP ផ្ទាល់ខ្លួន។
សម្រាប់ OVH - នៅក្នុងកុងសូលវាអាចធ្វើទៅបានដើម្បីបញ្ជាក់ rDNS ។
សម្រាប់ tech.ru - បញ្ហាត្រូវបានដោះស្រាយតាមរយៈការគាំទ្រ។
សម្រាប់ AWS បញ្ហាត្រូវបានដោះស្រាយតាមរយៈការគាំទ្រ។
"inet_protocols" និង "smtp_bind_address6" - យើងបើកការគាំទ្រ IPv6 ។
សម្រាប់ IPv6 អ្នកក៏ត្រូវចុះឈ្មោះ rDNS ផងដែរ។
“syslog_name” - ហើយនេះគឺសម្រាប់ភាពងាយស្រួលនៃការអានកំណត់ហេតុ។

ទិញវិញ្ញាបនបត្រ ខ្ញុំសូមណែនាំនៅទីនេះ.

ការដំឡើងតំណ postfix+dovecot នៅទីនេះ.

ការកំណត់ SPF ។

============= Dovecot =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

ការដំឡើង mysql ដំឡើងកញ្ចប់ដោយខ្លួនឯង។

ឯកសារ "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

ការអនុញ្ញាតត្រូវបានអ៊ិនគ្រីបតែប៉ុណ្ណោះ។

ឯកសារ “/etc/dovecot/conf.d/10-mail.conf”

mail_location = maildir:/var/mail/vhosts/%d/%n

នៅទីនេះយើងចង្អុលបង្ហាញទីតាំងផ្ទុកសម្រាប់អក្សរ។

ខ្ញុំចង់ឱ្យពួកវាត្រូវបានរក្សាទុកក្នុងឯកសារ និងដាក់ជាក្រុមតាមដែន។

ឯកសារ "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

នេះគឺជាឯកសារកំណត់រចនាសម្ព័ន្ធ dovecot ចម្បង។
នៅទីនេះយើងបិទការភ្ជាប់ដែលមិនមានសុវត្ថិភាព។
និងបើកការតភ្ជាប់សុវត្ថិភាព។

ឯកសារ "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

ការដំឡើង ssl ។ យើងបង្ហាញថា ssl ត្រូវបានទាមទារ។
និងវិញ្ញាបនបត្រខ្លួនឯង។ ហើយព័ត៌មានលម្អិតសំខាន់គឺការណែនាំ "ក្នុងស្រុក" ។ ចង្អុលបង្ហាញថាវិញ្ញាបនបត្រ ssl មួយណាដែលត្រូវប្រើនៅពេលភ្ជាប់ទៅ IPv4 មូលដ្ឋានណាមួយ។

និយាយអញ្ចឹង IPv6 មិនត្រូវបានកំណត់នៅទីនេះទេ ខ្ញុំនឹងកែតម្រូវការខកខាននេះនៅពេលក្រោយ។
XX.XX.XX.X5 (domain2) - គ្មានវិញ្ញាបនបត្រ។ ដើម្បីភ្ជាប់អតិថិជន អ្នកត្រូវបញ្ជាក់ domain1.com។
XX.XX.XX.X2 (domain3) - មានវិញ្ញាបនបត្រ អ្នកអាចបញ្ជាក់ domain1.com ឬ domain3.com ដើម្បីភ្ជាប់អតិថិជន។

ឯកសារ "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

វានឹងចាំបាច់សម្រាប់ spamassassin នាពេលអនាគត។

ឯកសារ "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

នេះគឺជាកម្មវិធីជំនួយប្រឆាំងសារឥតបានការ។ ត្រូវការសម្រាប់ការបណ្តុះបណ្តាល spamassasin នៅពេលផ្ទេរទៅ/ពីថត “Spam”។

ឯកសារ "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

មានតែឯកសារបែបនេះទេ។

ឯកសារ “/etc/dovecot/conf.d/20-lmtp.conf”

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

ការដំឡើង lmtp ។

ឯកសារ "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

ការកំណត់ការបណ្តុះបណ្តាល Spamassasin នៅពេលផ្ទេរទៅ/ពីថតសារឥតបានការ។

ឯកសារ "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

ឯកសារដែលបញ្ជាក់ពីអ្វីដែលត្រូវធ្វើជាមួយអក្សរចូល។

ឯកសារ "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

អ្នកត្រូវចងក្រងឯកសារ៖ “sievec default.sieve”។

ឯកសារ "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

បញ្ជាក់ឯកសារ sql សម្រាប់ការអនុញ្ញាត។
ហើយឯកសារខ្លួនវាត្រូវបានគេប្រើជាវិធីសាស្រ្តនៃការអនុញ្ញាត។

ឯកសារ "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

នេះត្រូវគ្នាទៅនឹងការកំណត់ស្រដៀងគ្នាសម្រាប់ postfix ។

ឯកសារ "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

ឯកសារកំណត់រចនាសម្ព័ន្ធសំខាន់។
រឿងសំខាន់គឺថាយើងចង្អុលបង្ហាញនៅទីនេះ - បន្ថែមពិធីការ។

============= SpamAssassin =============

apt-get install spamassassin spamc

តោះដំឡើងកញ្ចប់។

adduser spamd --disabled-login

តោះបន្ថែមអ្នកប្រើប្រាស់ក្នុងនាមអ្នកណា។

systemctl enable spamassassin.service

យើងបើកសេវាកម្ម spamassassin ផ្ទុកដោយស្វ័យប្រវត្តិនៅពេលផ្ទុក។

ឯកសារ "/etc/default/spamassassin":

CRON=1

ដោយបើកដំណើរការការធ្វើបច្ចុប្បន្នភាពដោយស្វ័យប្រវត្តិនៃច្បាប់ "តាមលំនាំដើម"។

ឯកសារ “/etc/spamassassin/local.cf”៖

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

អ្នកត្រូវបង្កើតមូលដ្ឋានទិន្នន័យ “sa” នៅក្នុង mysql ជាមួយអ្នកប្រើប្រាស់ “sa” ជាមួយនឹងពាក្យសម្ងាត់ “password” (ជំនួសដោយអ្វីមួយដែលគ្រប់គ្រាន់)។

report_safe - វានឹងផ្ញើរបាយការណ៍នៃអ៊ីម៉ែលសារឥតបានការជំនួសឱ្យលិខិតមួយ។
use_bayes គឺជាការកំណត់ការរៀនម៉ាស៊ីន spamassassin ។

ការកំណត់ spamassassin ដែលនៅសេសសល់ត្រូវបានប្រើប្រាស់មុនក្នុងអត្ថបទ។

ការកំណត់ទូទៅ "spamassassin".
អំពីការផ្លាស់ទីអ៊ីមែលសារឥតបានការថ្មីទៅកាន់ថត IMAP “Spam”.
អំពីការរួមបញ្ចូលគ្នាដ៏សាមញ្ញនៃ Dovecot + SpamAssassin.
ខ្ញុំសូមណែនាំឱ្យអានទ្រឹស្ដីសិក្សា spamassasin នៅពេលផ្លាស់ទីអក្សរនៅក្នុងថត imap (ហើយខ្ញុំមិនណែនាំឱ្យប្រើវាទេ).

============= អំពាវនាវដល់សហគមន៍ =============

ខ្ញុំ​ក៏​ចង់​បោះ​គំនិត​មួយ​ទៅ​សហគមន៍​អំពី​របៀប​បង្កើន​កម្រិត​សុវត្ថិភាព​នៃ​សំបុត្រ​បញ្ជូន​បន្ត។ ដោយសារ​តែ​ខ្ញុំ​ចូល​ចិត្ត​យ៉ាង​ខ្លាំង​ក្នុង​ប្រធានបទ​សំបុត្រ។

ដូច្នេះ​អ្នក​ប្រើ​អាច​បង្កើត​សោ​មួយ​គូ​នៅ​លើ​ម៉ាស៊ីន​ភ្ញៀវ​របស់​គាត់ (ទស្សនវិស័យ, ផ្គរលាន់, កម្មវិធី​ជំនួយ​កម្មវិធី​អ៊ីនធឺណិត, ... )។ សាធារណៈ និងឯកជន។ សាធារណៈ - ផ្ញើទៅ DNS ។ ឯកជន - រក្សាទុកនៅលើម៉ាស៊ីនភ្ញៀវ។ ម៉ាស៊ីនមេអ៊ីមែលនឹងអាចប្រើសោសាធារណៈដើម្បីផ្ញើទៅអ្នកទទួលជាក់លាក់។

ហើយដើម្បីការពារប្រឆាំងនឹងសារឥតបានការជាមួយនឹងអក្សរបែបនេះ (បាទ ម៉ាស៊ីនមេនឹងមិនអាចមើលខ្លឹមសារបានទេ) - អ្នកនឹងត្រូវណែនាំច្បាប់ចំនួន 3៖

1. ហត្ថលេខា DKIM ពិតប្រាកដចាំបាច់ SPF ចាំបាច់ rDNS ចាំបាច់។
2. បណ្តាញសរសៃប្រសាទលើប្រធានបទនៃការបណ្តុះបណ្តាលប្រឆាំងសារឥតបានការ + មូលដ្ឋានទិន្នន័យសម្រាប់វានៅខាងអតិថិជន។
3. ក្បួនដោះស្រាយការអ៊ិនគ្រីបត្រូវតែមានដូចដែលភាគីបញ្ជូនត្រូវចំណាយថាមពលស៊ីភីយូ 100 ដងលើការអ៊ិនគ្រីបជាងផ្នែកទទួល។

បន្ថែមពីលើលិខិតសាធារណៈ សូមបង្កើតលិខិតស្នើសុំស្តង់ដារ “ដើម្បីចាប់ផ្តើមការឆ្លើយឆ្លងប្រកបដោយសុវត្ថិភាព”។ អ្នកប្រើប្រាស់ម្នាក់ (ប្រអប់សំបុត្រ) ផ្ញើសំបុត្រដែលមានឯកសារភ្ជាប់ទៅកាន់ប្រអប់សំបុត្រផ្សេងទៀត។ សំបុត្រមានសំណើជាអត្ថបទដើម្បីចាប់ផ្តើមបណ្តាញទំនាក់ទំនងដែលមានសុវត្ថិភាពសម្រាប់ការឆ្លើយឆ្លង និងសោសាធារណៈរបស់ម្ចាស់ប្រអប់សំបុត្រ (ជាមួយសោឯកជននៅខាងអតិថិជន)។

អ្នកថែមទាំងអាចបង្កើតកូនសោពីរយ៉ាងពិសេសសម្រាប់ការឆ្លើយឆ្លងនីមួយៗ។ អ្នកប្រើប្រាស់អ្នកទទួលអាចទទួលយកការផ្តល់ជូននេះ ហើយផ្ញើសោសាធារណៈរបស់គាត់ (ក៏ធ្វើឡើងជាពិសេសសម្រាប់ការឆ្លើយឆ្លងនេះផងដែរ)។ បន្ទាប់មក អ្នកប្រើប្រាស់ទីមួយផ្ញើលិខិតត្រួតពិនិត្យសេវាកម្ម (អ៊ិនគ្រីបដោយប្រើសោសាធារណៈរបស់អ្នកប្រើទីពីរ) - នៅពេលទទួលបានអ្នកប្រើប្រាស់ទីពីរអាចពិចារណាបណ្តាញទំនាក់ទំនងដែលបានបង្កើតឡើងដែលអាចទុកចិត្តបាន។ បន្ទាប់មក អ្នកប្រើប្រាស់ទីពីរផ្ញើលិខិតបញ្ជា - ហើយបន្ទាប់មក អ្នកប្រើប្រាស់ទីមួយក៏អាចពិចារណាឆានែលដែលបានបង្កើតមានសុវត្ថិភាពផងដែរ។

ដើម្បីប្រយុទ្ធប្រឆាំងនឹងការស្ទាក់ចាប់សោនៅលើផ្លូវ ពិធីការត្រូវតែផ្តល់លទ្ធភាពនៃការបញ្ជូនសោសាធារណៈយ៉ាងហោចណាស់មួយដោយប្រើ flash drive។

ហើយអ្វីដែលសំខាន់បំផុតនោះគឺថាវាដំណើរការទាំងអស់ (សំណួរគឺ "តើអ្នកណានឹងចំណាយសម្រាប់វា?")៖
បញ្ចូលវិញ្ញាបនបត្រប្រៃសណីយ៍ចាប់ពី $10 សម្រាប់រយៈពេល 3 ឆ្នាំ។ ដែលនឹងអនុញ្ញាតឱ្យអ្នកផ្ញើបង្ហាញនៅក្នុង dns ថា "សោសាធារណៈរបស់ខ្ញុំគឺនៅទីនោះ" ។ ហើយពួកគេនឹងផ្តល់ឱ្យអ្នកនូវឱកាសដើម្បីចាប់ផ្តើមការតភ្ជាប់ដែលមានសុវត្ថិភាព។ ទន្ទឹមនឹងនេះការទទួលយកការតភ្ជាប់បែបនេះគឺមិនគិតថ្លៃទេ។
ទីបំផុត gmail កំពុងរកប្រាក់ពីអ្នកប្រើប្រាស់របស់ខ្លួន។ សម្រាប់ $10 ក្នុងរយៈពេល 3 ឆ្នាំ - សិទ្ធិក្នុងការបង្កើតបណ្តាញឆ្លើយឆ្លងដែលមានសុវត្ថិភាព។

============= សេចក្តីសន្និដ្ឋាន =============

ដើម្បីសាកល្បងអត្ថបទទាំងមូល ខ្ញុំនឹងជួលម៉ាស៊ីនមេសម្រាប់មួយខែ ហើយទិញដែនដែលមានវិញ្ញាបនបត្រ SSL ។

ប៉ុន្តែ​ស្ថានភាព​ជីវិត​បាន​វិវឌ្ឍន៍ ដូច្នេះ​បញ្ហា​នេះ​បាន​អូសបន្លាយ​រយៈពេល ២ ខែ។
ដូច្នេះហើយ នៅពេលដែលខ្ញុំមានពេលទំនេរម្តងទៀត ខ្ញុំបានសម្រេចចិត្តបោះពុម្ភអត្ថបទដូចមុន ជាជាងប្រថុយនឹងការបោះពុម្ពនេះរយៈពេលមួយឆ្នាំទៀត។

ប្រសិនបើមានសំណួរជាច្រើនដូចជា "ប៉ុន្តែនេះមិនត្រូវបានពិពណ៌នាលម្អិតគ្រប់គ្រាន់ទេ" នោះប្រហែលជាមានកម្លាំងដើម្បីយកម៉ាស៊ីនមេដែលខិតខំប្រឹងប្រែងជាមួយដែនថ្មី និងវិញ្ញាបនបត្រ SSL ថ្មី ហើយពិពណ៌នាវាឱ្យកាន់តែលម្អិត ហើយភាគច្រើន សំខាន់ កំណត់អត្តសញ្ញាណព័ត៌មានលម្អិតសំខាន់ៗដែលបាត់។

ខ្ញុំក៏ចង់ទទួលបានមតិកែលម្អលើគំនិតអំពីវិញ្ញាបនបត្រប្រៃសណីយ៍ផងដែរ។ ប្រសិនបើអ្នកចូលចិត្តគំនិត ខ្ញុំនឹងព្យាយាមស្វែងរកកម្លាំងដើម្បីសរសេរសេចក្តីព្រាងសម្រាប់ rfc ។

នៅពេលចម្លងផ្នែកធំនៃអត្ថបទ សូមផ្តល់តំណភ្ជាប់ទៅកាន់អត្ថបទនេះ។
នៅពេលបកប្រែជាភាសាផ្សេងទៀត សូមផ្តល់តំណទៅកាន់អត្ថបទនេះ។
ខ្ញុំនឹងព្យាយាមបកប្រែវាជាភាសាអង់គ្លេសដោយខ្លួនឯង ហើយទុកឯកសារយោងឆ្លងកាត់។

ប្រភព: www.habr.com