🥇Debian + Postfix + Dovecot + 멀티도메인 + SSL + IPv6 + OpenVPN + 멀티 인터페이스 + SpamAssassin-learn + 바인딩

이 문서에서는 최신 메일 서버를 설정하는 방법에 대해 설명합니다.
접미사 + 비둘기장. SPF + DKIM + rDNS. IPv6을 사용합니다.
TSL 암호화 사용. 여러 도메인을 지원하며 실제 SSL 인증서도 포함됩니다.
스팸 방지 보호 기능과 다른 메일 서버의 높은 스팸 방지 등급을 갖추고 있습니다.
여러 물리적 인터페이스를 지원합니다.
OpenVPN을 사용하면 IPv4를 통해 연결되고 IPv6을 제공합니다.

이러한 모든 기술을 배우고 싶지 않지만 그러한 서버를 설정하고 싶다면 이 기사가 적합합니다.

이 기사에서는 모든 세부 사항을 설명하려고 시도하지 않습니다. 표준으로 구성되지 않았거나 소비자 관점에서 중요한 내용에 대해 설명합니다.

메일 서버를 구축하려는 동기는 나의 오랜 꿈이었습니다. 어리석게 들릴 수도 있지만 IMHO, 좋아하는 브랜드의 새 차를 꿈꾸는 것보다 훨씬 낫습니다.

IPv6를 설정하는 동기는 두 가지입니다. IT 전문가가 살아남기 위해서는 끊임없이 새로운 기술을 배워야 합니다. 나는 검열에 맞서 싸우는 데 조금이나마 기여하고 싶습니다.

OpenVPN을 설정하는 동기는 로컬 시스템에서 IPv6가 작동하도록 하는 것입니다.
여러 물리적 인터페이스를 설정하려는 동기는 내 서버에 "느리지만 무제한"인 인터페이스 하나와 "빠르지만 요금이 부과되는" 또 다른 인터페이스가 있다는 것입니다.

Bind 설정을 하는 이유는 제가 사용하는 ISP가 불안정한 DNS 서버를 제공하는데, Google도 가끔 실패하기 때문입니다. 개인용으로 안정적인 DNS 서버를 원합니다.

글을 쓰게 된 동기 - 10개월 전에 초안을 썼는데 벌써 두 번이나 봤어요. 작성자가 정기적으로 필요하더라도 다른 사람에게도 필요할 가능성이 높습니다.

메일 서버에 대한 보편적인 솔루션은 없습니다. 하지만 나는 "이렇게 하고 모든 것이 제대로 작동하면 여분의 것들을 버리세요"와 같은 것을 쓰려고 노력할 것입니다.

tech.ru 회사에는 Colocation 서버가 있습니다. OVH, 헤츠너, AWS와 비교가 가능합니다. 이 문제를 해결하려면 tech.ru와의 협력이 훨씬 더 효과적일 것입니다.

데비안 9가 서버에 설치되어 있습니다.

서버에는 'eno2'과 'eno1'라는 2개의 인터페이스가 있습니다. 첫 번째는 무제한이고 두 번째는 각각 빠릅니다.

'eno3' 인터페이스에는 XX.XX.XX.X0, XX.XX.XX.X1, XX.XX.XX.X2, 'eno1' 인터페이스에는 XX.XX.XX.X5 등 2개의 고정 IP 주소가 있습니다. .

사용 가능 XXXX:XXXX:XXXX:XXXX::/64 `eno6` 인터페이스에 할당된 IPv1 주소 풀과 XXXX:XXXX:XXXX:XXXX:1:2::/96이 내 요청에 따라 `eno2`에 할당되었습니다.

'domain3.com', 'domain1.com', 'domain2.com' 3개의 도메인이 있습니다. `domain1.com`과 `domain3.com`에 대한 SSL 인증서가 있습니다.

내 편지함을 연결하고 싶은 Google 계정이 있습니다.[이메일 보호]`(Gmail 인터페이스에서 직접 메일 수신 및 보내기).
우체통이 있을 거에요`[이메일 보호]`, 내 Gmail에서 보려는 이메일의 사본입니다. 그리고 '를 대신하여 무언가를 보낼 수 있는 경우는 거의 없습니다.[이메일 보호]` 웹 인터페이스를 통해.

우체통이 있을 거에요`[이메일 보호]', Ivanov가 iPhone에서 사용할 것입니다.

보낸 이메일은 모든 최신 스팸 방지 요구 사항을 준수해야 합니다.
공용 네트워크에는 최고 수준의 암호화가 제공되어야 합니다.
편지 보내기 및 받기 모두에 대해 IPv6 지원이 있어야 합니다.
이메일을 절대 삭제하지 않는 SpamAssassin이 있어야 합니다. 그러면 반송되거나 건너뛰거나 IMAP "스팸" 폴더로 전송됩니다.
SpamAssassin 자동 학습을 구성해야 합니다. 편지를 스팸 폴더로 이동하면 여기에서 학습합니다. 스팸 폴더에서 편지를 이동하면 이를 통해 학습하게 됩니다. SpamAssassin 교육 결과는 편지가 스팸 폴더에 있는지 여부에 영향을 미칩니다.
PHP 스크립트는 특정 서버의 모든 도메인을 대신하여 메일을 보낼 수 있어야 합니다.
IPv6가 없는 클라이언트에서 IPv6을 사용할 수 있는 기능을 갖춘 openvpn 서비스가 있어야 합니다.

먼저 IPv6를 포함하여 인터페이스와 라우팅을 구성해야 합니다.
그런 다음 IPv4를 통해 연결하고 클라이언트에 정적 실제 IPv6 주소를 제공하는 OpenVPN을 구성해야 합니다. 이 클라이언트는 서버의 모든 IPv6 서비스에 액세스할 수 있으며 인터넷의 모든 IPv6 리소스에 액세스할 수 있습니다.
그런 다음 문자 + SPF + DKIM + rDNS 및 기타 유사한 작은 항목을 보내도록 Postfix를 구성해야 합니다.
그런 다음 Dovecot을 구성하고 Multidomain을 구성해야 합니다.
그런 다음 SpamAssassin을 구성하고 교육을 구성해야 합니다.
마지막으로 바인드를 설치합니다.

============= 다중 인터페이스 =============

인터페이스를 구성하려면 "/etc/network/interfaces"에 이를 작성해야 합니다.

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

이러한 설정은 tech.ru의 모든 서버에 적용할 수 있으며(지원팀과 약간의 조정을 거쳐) 즉시 정상적으로 작동합니다.

Hetzner, OVH에서 비슷한 설정을 해본 경험이 있다면 그곳에서는 다릅니다. 더 어렵다.

eno1은 네트워크 카드 #1의 이름입니다(느리지만 무제한).
eno2는 네트워크 카드 #2의 이름입니다(빠르지만 요금이 부과됨).
tun0은 OpenVPN의 가상 네트워크 카드 이름입니다.
XX.XX.XX.X0 - eno4의 IPv1 #1.
XX.XX.XX.X1 - eno4의 IPv2 #1.
XX.XX.XX.X2 - eno4의 IPv3 #1.
XX.XX.XX.X5 - eno4의 IPv1 #2.
XX.XX.XX.1 - IPv4 게이트웨이.
XXXX:XXXX:XXXX:XXXX::/64 - 전체 서버에 대한 IPv6.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - eno6의 경우 IPv2, 외부의 다른 모든 항목은 eno1로 들어갑니다.
XXXX:XXXX:XXXX:XXXX::1 — IPv6 게이트웨이(이 작업은 다르게 수행될 수 있거나 다르게 수행되어야 한다는 점에 주목할 가치가 있습니다. IPv6 스위치를 지정하십시오).
dns-nameservers - 127.0.0.1(바인드가 로컬로 설치되어 있기 때문에) 및 213.248.1.6(tech.ru에서 가져온 것임)이 표시됩니다.

"table eno1t" 및 "table eno2t" - 이러한 경로 규칙의 의미는 eno1 ->를 통해 들어오는 트래픽이 이를 통해 나가고 eno2 ->를 통해 들어오는 트래픽이 이를 통해 나가는 것입니다. 또한 서버에 의해 시작된 연결은 eno1을 통과합니다.

ip route add default via XX.XX.XX.1 table eno1t

이 명령을 사용하여 "table eno1t" ->로 표시된 규칙에 속하는 모든 이해할 수 없는 트래픽이 eno1 인터페이스로 전송되도록 지정합니다.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

이 명령을 사용하여 서버에서 시작된 모든 트래픽이 eno1 인터페이스로 전달되도록 지정합니다.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

이 명령을 사용하여 트래픽 표시 규칙을 설정합니다.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

이 블록은 eno4 인터페이스에 대한 두 번째 IPv1를 지정합니다.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

이 명령을 사용하여 OpenVPN 클라이언트에서 XX.XX.XX.X4을 제외하고 로컬 IPv0로 경로를 설정합니다.
이 명령이 모든 IPv4에 충분한 이유를 아직도 이해하지 못합니다.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

여기에서 인터페이스 자체의 주소를 설정합니다. 서버는 이를 "발신" 주소로 사용합니다. 어떤 식으로든 다시 사용되지 않습니다.

":1:1::"이 왜 그렇게 복잡합니까? OpenVPN은 이를 위해서만 올바르게 작동합니다. 이에 대해서는 나중에 자세히 설명합니다.

게이트웨이 주제에 대해서는 이것이 작동하는 방식이며 괜찮습니다. 하지만 올바른 방법은 여기에 서버가 연결된 스위치의 IPv6을 표시하는 것입니다.

그러나 이렇게 하면 어떤 이유로 IPv6가 작동하지 않습니다. 이것은 아마도 일종의 tech.ru 문제일 것입니다.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

이는 인터페이스에 IPv6 주소를 추가하는 것입니다. XNUMX개의 주소가 필요하다면 이는 이 파일에 XNUMX개의 줄이 있다는 의미입니다.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

명확하게 하기 위해 모든 인터페이스의 주소와 서브넷을 기록했습니다.
eno1 - "이어야 합니다./64" - 이것이 우리의 전체 주소 풀이기 때문입니다.
tun0 - 서브넷은 eno1보다 커야 합니다. 그렇지 않으면 OpenVPN 클라이언트에 대해 IPv6 게이트웨이를 구성할 수 없습니다.
eno2 - 서브넷은 tun0보다 커야 합니다. 그렇지 않으면 OpenVPN 클라이언트가 로컬 IPv6 주소에 액세스할 수 없습니다.
명확하게 하기 위해 서브넷 단계를 16으로 선택했지만 원하시면 "1" 단계도 수행할 수 있습니다.
따라서 64+16 = 80, 80+16 = 96입니다.

더욱 명확하게 하기 위해:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY는 eno1 인터페이스의 특정 사이트 또는 서비스에 할당되어야 하는 주소입니다.
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY는 eno2 인터페이스의 특정 사이트 또는 서비스에 할당되어야 하는 주소입니다.
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY는 OpenVPN 클라이언트에 할당되거나 OpenVPN 서비스 주소로 사용되어야 하는 주소입니다.

네트워크를 구성하려면 서버를 다시 시작할 수 있어야 합니다.
IPv4 변경 사항은 실행 시 선택됩니다(화면에 래핑해야 합니다. 그렇지 않으면 이 명령은 단순히 서버의 네트워크를 중단시킬 것입니다).

/etc/init.d/networking restart

"/etc/iproute2/rt_tables" 파일 끝에 추가합니다.

100 eno1t
101 eno2t

이것이 없으면 "/etc/network/interfaces" 파일에서 사용자 정의 테이블을 사용할 수 없습니다.
숫자는 고유해야 하며 65535보다 작아야 합니다.

IPv6 변경 사항은 재부팅하지 않고도 쉽게 변경할 수 있지만 이렇게 하려면 최소한 세 가지 명령을 배워야 합니다.

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

"/etc/sysctl.conf" 설정

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

이것이 내 서버의 "sysctl" 설정입니다. 중요한 점을 지적하겠습니다.

net.ipv4.ip_forward = 1

이것이 없으면 OpenVPN은 전혀 작동하지 않습니다.

net.ipv6.ip_nonlocal_bind = 1

인터페이스가 작동된 직후 IPv6(예: nginx)를 바인딩하려고 시도하면 오류가 발생합니다. 이 주소는 사용할 수 없습니다.

이러한 상황을 방지하기 위해 이러한 설정이 이루어집니다.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

이러한 IPv6 설정이 없으면 OpenVPN 클라이언트의 트래픽이 외부로 나가지 않습니다.

다른 설정은 관련이 없거나 그 용도가 기억나지 않습니다.
하지만 만약을 대비해 "그대로" 두겠습니다.

서버를 재부팅하지 않고 이 파일의 변경 사항을 적용하려면 다음 명령을 실행해야 합니다.

sysctl -p

"테이블" 규칙에 대한 자세한 내용: habr.com/post/108690

============= OpenVPN ==============

OpenVPN IPv4는 iptables 없이는 작동하지 않습니다.

VPN에 대한 내 iptables는 다음과 같습니다.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY는 로컬 시스템의 고정 IPv4 주소입니다.
10.8.0.0/24 - IPv4 openvpn 네트워크. openvpn 클라이언트의 IPv4 주소입니다.
규칙의 일관성이 중요합니다.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

이는 내 고정 IP에서 나만 OpenVPN을 사용할 수 있도록 하는 제한 사항입니다.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN 클라이언트와 인터넷 간에 IPv4 패킷을 전달하려면 다음 명령 중 하나를 등록해야 합니다.

다른 경우에는 옵션 중 하나가 적합하지 않습니다.
두 명령 모두 내 경우에 적합합니다.
문서를 읽은 후 CPU를 덜 사용하기 때문에 첫 번째 옵션을 선택했습니다.

재부팅 후 모든 iptables 설정을 선택하려면 해당 설정을 어딘가에 저장해야 합니다.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

그러한 이름은 우연히 선택된 것이 아닙니다. "iptables-perpersist" 패키지에서 사용됩니다.

apt-get install iptables-persistent

기본 OpenVPN 패키지 설치:

apt-get install openvpn easy-rsa

인증서용 템플릿을 설정해 보겠습니다(귀하의 값으로 대체).

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

인증서 템플릿 설정을 편집해 보겠습니다.

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

서버 인증서를 생성합니다:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

최종 "client-name.opvn" 파일을 생성하는 기능을 준비해 보겠습니다.

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

모든 파일을 단일 opvn 파일로 병합하는 스크립트를 준비합시다.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

첫 번째 OpenVPN 클라이언트 생성:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

"~/client-configs/files/client-name.ovpn" 파일이 클라이언트 장치로 전송됩니다.

iOS 클라이언트의 경우 다음 트릭을 수행해야 합니다.
"tls-auth" 태그의 내용에는 주석이 없어야 합니다.
또한 "tls-auth" 태그 바로 앞에 "key-direction 1"을 넣습니다.

OpenVPN 서버 구성을 구성해 보겠습니다.

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

이는 각 클라이언트에 대한 고정 주소를 설정하는 데 필요합니다(필수는 아니지만 사용합니다).

# Client config dir
client-config-dir /etc/openvpn/ccd

가장 어렵고 중요한 세부 사항입니다.

안타깝게도 OpenVPN은 아직 클라이언트용 IPv6 게이트웨이를 독립적으로 구성하는 방법을 모릅니다.
각 클라이언트에 대해 이를 "수동으로" 전달해야 합니다.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

파일 "/etc/openvpn/server-clientconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

파일 "/etc/openvpn/server-clientdisconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

두 스크립트 모두 "/etc/openvpn/variables" 파일을 사용합니다.

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

왜 이렇게 쓰여졌는지 기억하기 어렵습니다.

이제 netmask = 112가 이상해 보입니다(바로 96이어야 합니다).
그리고 접두사가 이상합니다. tun0 네트워크와 일치하지 않습니다.
하지만 알겠습니다. 그대로 두겠습니다.

cipher DES-EDE3-CBC

이것은 모든 사람을 위한 것은 아닙니다. 저는 이 연결 암호화 방법을 선택했습니다.

OpenVPN IPv4 설정에 대해 자세히 알아보세요.

OpenVPN IPv6 설정에 대해 자세히 알아보세요.

============= 접미사 =============

메인 패키지 설치:

apt-get install postfix

설치시 '인터넷사이트'를 선택하세요.

내 "/etc/postfix/main.cf"는 다음과 같습니다:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

이 구성의 세부 사항을 살펴 보겠습니다.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

하브로브스크 주민들에 따르면 이 블록에는 "잘못된 정보와 잘못된 주장"이 포함되어 있습니다.저는 경력을 시작한 지 불과 8년 만에 SSL이 어떻게 작동하는지 이해하기 시작했습니다.

따라서 SSL을 사용하는 방법을 자유롭게 설명하겠습니다("어떻게 작동합니까?" 및 "왜 작동합니까?"라는 질문에 대답하지 않고).

최신 암호화의 기본은 키 쌍(두 개의 매우 긴 문자열)을 생성하는 것입니다.

하나의 "키"는 비공개이고 다른 키는 "공개"입니다. 우리는 개인 키를 매우 조심스럽게 비밀로 유지합니다. 우리는 공개 키를 모든 사람에게 배포합니다.

공개 키를 사용하면 개인 키 소유자만 해독할 수 있도록 텍스트 문자열을 암호화할 수 있습니다.
글쎄, 그것은 기술의 전체 기초입니다.

1단계 - https 사이트.
사이트에 액세스할 때 브라우저는 웹 서버로부터 해당 사이트가 https라는 사실을 알게 되어 공개 키를 요청합니다.
웹 서버는 공개 키를 제공합니다. 브라우저는 공개 키를 사용하여 http 요청을 암호화하고 보냅니다.
http 요청의 내용은 개인 키를 가진 사람, 즉 요청이 이루어진 서버만 읽을 수 있습니다.
Http-request에는 최소한 하나의 URI가 포함되어 있습니다. 따라서 국가에서 전체 사이트가 아닌 특정 페이지에 대한 액세스를 제한하려는 경우 https 사이트에서는 이것이 불가능합니다.

2단계 - 암호화된 응답.
웹 서버는 이동 중에도 쉽게 읽을 수 있는 답변을 제공합니다.
해결책은 매우 간단합니다. 브라우저는 각 https 사이트에 대해 동일한 개인-공개 키 쌍을 로컬로 생성합니다.
그리고 사이트의 공개 키 요청과 함께 로컬 공개 키를 보냅니다.
웹 서버는 이를 기억하고 있으며, http 응답을 보낼 때 특정 클라이언트의 공개 키로 암호화합니다.
이제 http 응답은 클라이언트의 브라우저 개인 키 소유자(즉, 클라이언트 자체)만 해독할 수 있습니다.

3단계 - 공개 채널을 통해 보안 연결을 설정합니다.
예제 2에는 취약점이 있습니다. 선의의 사람들이 http 요청을 가로채고 공개 키에 대한 정보를 편집하는 것을 막을 수 있는 방법은 없습니다.
따라서 중개자는 통신 채널이 변경될 때까지 보내고 받은 메시지의 모든 내용을 명확하게 볼 수 있습니다.
이를 처리하는 것은 매우 간단합니다. 브라우저의 공개 키를 웹 서버의 공개 키로 암호화된 메시지로 보내면 됩니다.
그런 다음 웹 서버는 먼저 "공개 키는 다음과 같습니다."와 같은 응답을 보내고 동일한 공개 키로 이 메시지를 암호화합니다.
브라우저는 응답을 확인합니다. "공개 키는 다음과 같습니다."라는 메시지가 수신되면 이는 이 통신 채널이 안전하다는 것을 100% 보장합니다.
얼마나 안전합니까?
이러한 보안 통신 채널의 생성은 ping*2의 속도로 이루어집니다. 예를 들어 20ms입니다.
공격자는 당사자 중 한 사람의 개인 키를 미리 가지고 있어야 합니다. 아니면 몇 밀리초 안에 개인 키를 찾으세요.
슈퍼컴퓨터에서는 최신 개인 키 하나를 해킹하는 데 수십 년이 걸립니다.

4단계 - 공개 키의 공개 데이터베이스.
분명히 이 전체 이야기에는 공격자가 클라이언트와 서버 사이의 통신 채널에 앉을 기회가 있습니다.
클라이언트는 서버인 척할 수 있고, 서버는 클라이언트인 척할 수 있습니다. 그리고 양방향으로 한 쌍의 키를 에뮬레이트합니다.
그런 다음 공격자는 모든 트래픽을 보고 트래픽을 "편집"할 수 있습니다.
예를 들어 송금 주소를 변경하거나 온라인 뱅킹에서 비밀번호를 복사하거나 "불쾌한" 콘텐츠를 차단할 수 있습니다.
이러한 공격자들에 맞서기 위해 그들은 각 https 사이트에 대한 공개 키가 포함된 공개 데이터베이스를 마련했습니다.
각 브라우저는 약 200개의 이러한 데이터베이스가 존재한다는 사실을 "알고 있습니다". 이는 모든 브라우저에 사전 설치되어 제공됩니다.
"지식"은 각 인증서의 공개 키로 뒷받침됩니다. 즉, 각 특정 인증 기관에 대한 연결을 위조할 수 없습니다.

이제 https에 SSL을 사용하는 방법을 간단하게 이해했습니다.
두뇌를 사용하면 특수 서비스가 어떻게 이 구조의 무언가를 해킹할 수 있는지 분명해질 것입니다. 그러나 그것은 그들에게 엄청난 노력을 요할 것입니다.
NSA나 CIA보다 작은 조직에서는 VIP의 경우에도 기존 보호 수준을 해킹하는 것이 거의 불가능합니다.

SSH 연결에 대해서도 추가하겠습니다. 거기에는 공개 키가 없습니다. 그러면 무엇을 할 수 있습니까? 문제는 두 가지 방법으로 해결됩니다.
옵션 ssh-by-password:
첫 번째 연결 중에 SSH 클라이언트는 SSH 서버에서 새 공개 키가 있음을 경고해야 합니다.
그리고 추가 연결 중에 "ssh 서버의 새 공개 키"라는 경고가 나타나면 그들이 도청을 시도하고 있다는 의미입니다.
또는 첫 번째 연결에서 도청을 당했지만 이제는 중개자 없이 서버와 통신합니다.
실제로 도청 사실이 쉽고, 빠르고, 쉽게 드러나기 때문에 이 공격은 특정 클라이언트에 대한 특별한 경우에만 사용된다.

옵션 SSH별 키:
플래시 드라이브를 가져와 그 위에 SSH 서버의 개인 키를 작성합니다(이에 대한 용어와 중요한 뉘앙스가 많이 있지만 저는 사용 지침이 아닌 교육 프로그램을 작성하고 있습니다).
SSH 클라이언트가 있을 머신에 공개 키를 남겨두고 비밀로 유지합니다.
플래시 드라이브를 서버에 가져와 삽입하고 개인 키를 복사한 다음 플래시 드라이브를 태워 재를 바람에 흩뿌립니다(또는 최소한 XNUMX으로 포맷).
그게 전부입니다. 그러한 작업 후에는 그러한 SSH 연결을 해킹하는 것이 불가능합니다. 물론 10년 후에는 슈퍼컴퓨터에서 트래픽을 볼 수 있게 될 것입니다. 그러나 그것은 다른 이야기입니다.

나는 theftopic에 대해 사과한다.

이제 이론이 알려졌습니다. SSL 인증서 생성 과정을 알려드리겠습니다.

"openssl genrsa"를 사용하여 개인 키와 공개 키에 대한 "공백"을 만듭니다.
우리는 "공백"을 제9자 회사에 보내고 가장 간단한 인증서에 대해 약 XNUMX달러를 지불합니다.

몇 시간 후에 우리는 이 제XNUMX자 회사로부터 "공개" 키와 여러 공개 키 세트를 받습니다.

내 공개 키 등록 비용을 제XNUMX자 회사가 지불해야 하는 이유는 별도의 질문이므로 여기서는 고려하지 않겠습니다.

이제 비문의 의미가 무엇인지 분명합니다.

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

"/etc/ssl" 폴더에는 SSL 문제에 대한 모든 파일이 포함되어 있습니다.
domain1.com — 도메인 이름.
2018년은 키 생성의 해입니다.
"키" - 파일이 개인 키임을 나타냅니다.

이 파일의 의미는 다음과 같습니다.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com — 도메인 이름.
2018년은 키 생성의 해입니다.
체인화됨 - 공개 키 체인이 있음을 나타냅니다(첫 번째는 공개 키이고 나머지는 공개 키를 발행한 회사에서 가져온 것입니다).
crt - 기성 인증서(기술적 설명이 포함된 공개 키)가 있음을 나타냅니다.

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

이 설정은 이 경우에는 사용되지 않고 예시로 작성되었습니다.

이 매개변수의 오류로 인해 (귀하의 의지 없이) 귀하의 서버에서 스팸이 전송될 수 있기 때문입니다.

그런 다음 당신이 무죄임을 모든 사람에게 증명하십시오.

recipient_delimiter = +

많은 사람들이 알지 못할 수도 있지만 이는 이메일 순위를 지정하는 표준 문자이며 대부분의 최신 메일 서버에서 지원됩니다.

예를 들어, 사서함이 있는 경우 "[이메일 보호]"다음으로 보내보세요"[이메일 보호]"-무슨 일이 일어나는지보세요.

inet_protocols = ipv4

혼란스러울 수도 있습니다.

그러나 그것은 단지 그런 것이 아닙니다. 각각의 새 도메인은 기본적으로 IPv4로만 구성되어 있으며 각 도메인에 대해 개별적으로 IPv6을 활성화합니다.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

여기에서는 들어오는 모든 메일이 비둘기장으로 이동하도록 지정합니다.
그리고 도메인, 사서함, 별칭에 대한 규칙은 데이터베이스를 살펴보세요.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

이제 postfix는 dovecot으로 승인을 받은 후에만 추가 전송을 위해 메일을 수락할 수 있다는 것을 알고 있습니다.

이게 왜 여기서 중복되는지 정말 이해가 안가네요. 우리는 이미 "virtual_transport"에 필요한 모든 것을 지정했습니다.

하지만 접미사 시스템은 매우 오래되었습니다. 아마도 옛날로부터의 후퇴일 것입니다.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

메일서버마다 다르게 구성할 수 있습니다.

제가 사용할 수 있는 메일 서버는 3개이며 이러한 설정은 사용 요구 사항이 다르기 때문에 매우 다릅니다.

주의 깊게 구성해야 합니다. 그렇지 않으면 스팸이 쏟아져 들어오거나 더 나쁜 경우에는 스팸이 쏟아져 나옵니다.

# SPF
policyd-spf_time_limit = 3600

수신 편지의 SPF 확인과 관련된 일부 플러그인을 설정합니다.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

모든 발신 이메일에 DKIM 서명을 제공해야 한다는 설정이 있습니다.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

이는 PHP 스크립트에서 편지를 보낼 때 편지 라우팅의 주요 세부 사항입니다.

파일 "/etc/postfix/sdd_transport.pcre":

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

왼쪽에는 정규 표현식이 있습니다. 오른쪽에는 문자를 표시하는 라벨이 있습니다.
라벨에 따른 접미사 - 특정 문자에 대해 몇 가지 추가 구성 줄을 고려합니다.

특정 문자에 대해 접미사가 얼마나 정확하게 재구성되는지는 "master.cf"에 표시됩니다.

4, 5, 6행이 주요 행이다. 우리가 편지를 보내는 도메인을 대신하여 이 라벨을 붙입니다.
그러나 이전 코드의 PHP 스크립트에는 "from" 필드가 항상 표시되지는 않습니다. 그런 다음 사용자 이름이 구출됩니다.

기사는 이미 광범위합니다. nginx+fpm 설정으로 인해 주의가 산만해지고 싶지 않습니다.

간단히 말해서 각 사이트에 대해 자체 Linux 사용자 소유자를 설정합니다. 따라서 fpm-pool.

Fpm-pool은 모든 버전의 PHP를 사용합니다(동일한 서버에서 다른 버전의 PHP를 사용할 수 있고 이웃 사이트에 대해 문제 없이 다른 php.ini를 사용할 수 있으면 좋습니다).

따라서 특정 Linux 사용자 "www-domain2"는 domain2.com 웹사이트를 가지고 있습니다. 이 사이트에는 보낸 사람 필드를 지정하지 않고 이메일을 보내는 코드가 있습니다.

따라서 이 경우에도 편지는 올바르게 전송되며 스팸으로 끝나는 일이 없습니다.

내 "/etc/postfix/master.cf"는 다음과 같습니다:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

파일 전체가 제공되지는 않습니다. 이미 용량이 매우 큽니다.
변경된 사항만 참고했습니다.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

이는 spamassasin과 관련된 설정이며 나중에 자세히 설명합니다.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

포트 587을 통해 메일 서버에 연결할 수 있습니다.
이렇게 하려면 로그인해야 합니다.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

SPF 확인을 활성화합니다.

apt-get install postfix-policyd-spf-python

위의 SPF 검사용 패키지를 설치해 보겠습니다.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

그리고 이것이 가장 흥미로운 것입니다. 이는 특정 IPv4/IPv6 주소에서 특정 도메인에 대한 편지를 보내는 기능입니다.

이는 rDNS를 위해 수행됩니다. rDNS는 IP 주소로 문자열을 수신하는 프로세스입니다.
메일의 경우 이 기능은 helo가 이메일이 전송된 주소의 rDNS와 정확히 일치하는지 확인하는 데 사용됩니다.

helo가 편지를 보낸 사람을 대신하여 이메일 도메인과 일치하지 않으면 스팸 포인트가 부여됩니다.

Helo는 rDNS와 일치하지 않습니다. 많은 스팸 포인트가 부여됩니다.
따라서 각 도메인에는 고유한 IP 주소가 있어야 합니다.
OVH의 경우 - 콘솔에서 rDNS를 지정할 수 있습니다.
tech.ru의 경우 - 문제는 지원을 통해 해결됩니다.
AWS의 경우 지원을 통해 문제가 해결됩니다.
"inet_protocols" 및 "smtp_bind_address6" - IPv6 지원을 활성화합니다.
IPv6의 경우 rDNS도 등록해야 합니다.
"syslog_name" - 이는 로그를 쉽게 읽을 수 있도록 하기 위한 것입니다.

인증서 구매 나는 여기를 추천한다.

여기에 postfix+dovecot 링크 설정.

SPF 설정.

============= 비둘기장 =============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

mysql을 설정하고 패키지 자체를 설치합니다.

파일 "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

승인은 암호화만 됩니다.

파일 "/etc/dovecot/conf.d/10-mail.conf"

mail_location = maildir:/var/mail/vhosts/%d/%n

여기서는 문자 저장 위치를 나타냅니다.

파일에 저장하고 도메인별로 그룹화하고 싶습니다.

파일 "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

이것은 주요 비둘기장 구성 파일입니다.
여기서는 보안되지 않은 연결을 비활성화합니다.
그리고 보안 연결을 활성화하세요.

파일 "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

SSL을 설정합니다. SSL이 필요함을 나타냅니다.
그리고 인증서 자체. 그리고 중요한 세부 사항은 "local" 지시어입니다. 어떤 로컬 IPv4에 연결할 때 사용할 SSL 인증서를 나타냅니다.

그런데 여기서는 IPv6가 구성되어 있지 않으므로 나중에 이 누락 부분을 수정하겠습니다.
XX.XX.XX.X5(도메인2) - 인증서가 없습니다. 클라이언트를 연결하려면 domain1.com을 지정해야 합니다.
XX.XX.XX.X2(domain3) - 인증서가 있으므로 domain1.com 또는 domain3.com을 지정하여 클라이언트를 연결할 수 있습니다.

파일 "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

이는 향후 spamassassin에 필요할 것입니다.

파일 "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

스팸방지 플러그인입니다. "스팸" 폴더로/에서 전송 시 스팸사신 교육에 필요합니다.

파일 "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

그런 파일이 있습니다.

파일 "/etc/dovecot/conf.d/20-lmtp.conf"

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

lmtp를 설정합니다.

파일 "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

스팸 폴더로/에서 전송 시 Spamassasin 교육 설정입니다.

파일 "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

들어오는 편지를 어떻게 처리할지 지정하는 파일입니다.

파일 "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

"sievec default.sieve" 파일을 컴파일해야 합니다.

파일 "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

인증을 위해 SQL 파일을 지정합니다.
그리고 파일 자체가 인증 수단으로 사용됩니다.

파일 "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

이는 postfix의 유사한 설정에 해당합니다.

파일 "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

기본 구성 파일.
여기서 중요한 것은 프로토콜을 추가한다는 것입니다.

============= SpamAssassin =============

apt-get install spamassassin spamc

패키지를 설치해 보겠습니다.

adduser spamd --disabled-login

누구를 대신하여 사용자를 추가해 보겠습니다.

systemctl enable spamassassin.service

로딩 시 spamassassin 서비스 자동 로딩을 활성화합니다.

파일 "/etc/default/spamassassin":

CRON=1

"기본적으로" 규칙 자동 업데이트를 활성화합니다.

파일 "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

사용자 "sa"와 비밀번호 "password"를 사용하여 mysql에 데이터베이스 "sa"를 생성해야 합니다(적절한 것으로 교체).

report_safe - 편지 대신 스팸 이메일 보고서를 보냅니다.
use_bayes는 spamassassin 기계 학습 설정입니다.

나머지 spamassassin 설정은 기사 앞부분에서 사용되었습니다.

일반 설정 "spamassassin".
새 스팸 이메일을 IMAP "스팸" 폴더로 이동하는 방법.
Dovecot + SpamAssassin의 간단한 조합에 대해.
imap 폴더에 글자를 옮길 때 스팸사신 학습이론을 읽어보시길 권합니다(그리고 사용하지 않는걸 추천드립니다).

============= 커뮤니티에 호소하기 =============

또한 전달된 편지의 보안 수준을 높이는 방법에 대한 아이디어를 커뮤니티에 던지고 싶습니다. 제가 메일이라는 주제에 너무 깊이 빠져있거든요.

사용자가 클라이언트에서 키 쌍(Outlook, Thunderbird, 브라우저 플러그인 등)을 생성할 수 있도록 합니다. 공개 및 비공개. 공개 - DNS로 보냅니다. 비공개 - 클라이언트에 저장합니다. 메일 서버는 공개 키를 사용하여 특정 수신자에게 보낼 수 있습니다.

그리고 이러한 문자로 스팸을 방지하려면(예, 메일 서버에서 콘텐츠를 볼 수 없습니다) 3가지 규칙을 도입해야 합니다.

필수 실제 DKIM 서명, 필수 SPF, 필수 rDNS.
스팸 방지 교육 주제에 대한 신경망 + 클라이언트 측 데이터베이스.
암호화 알고리즘은 보내는 쪽이 받는 쪽보다 암호화에 100배 더 많은 CPU 전력을 소비해야 하는 방식이어야 합니다.

공개 서신 외에도 "보안 서신을 시작하기 위한" 표준 제안 서신을 개발하십시오. 사용자(사서함) 중 한 명이 첨부 파일이 포함된 편지를 다른 사서함으로 보냅니다. 편지에는 서신을 위한 보안 통신 채널을 시작하기 위한 텍스트 제안과 사서함 소유자의 공개 키(클라이언트 측의 개인 키 포함)가 포함되어 있습니다.

각 서신에 대해 특별히 두 개의 키를 만들 수도 있습니다. 수신자 사용자는 이 제안을 수락하고 자신의 공개 키(이 통신을 위해 특별히 만들어진)를 보낼 수 있습니다. 다음으로, 첫 번째 사용자는 서비스 제어 편지(두 번째 사용자의 공개 키로 암호화됨)를 보냅니다. 이를 수신하면 두 번째 사용자는 형성된 통신 채널이 신뢰할 수 있다고 생각할 수 있습니다. 다음으로, 두 번째 사용자는 제어 문자를 보냅니다. 그러면 첫 번째 사용자도 형성된 채널이 안전하다고 생각할 수 있습니다.

도로에서 키가 가로채는 것을 방지하기 위해 프로토콜은 플래시 드라이브를 사용하여 최소한 하나의 공개 키를 전송할 수 있는 가능성을 제공해야 합니다.

그리고 가장 중요한 것은 모든 것이 작동한다는 것입니다(질문은 "누가 비용을 지불할 것인가?"입니다).
10년 동안 $3부터 시작하는 우편 증명서를 입력하세요. 그러면 발신자는 DNS에 "내 공개 키가 저기에 있습니다."라고 표시할 수 있습니다. 그리고 보안 연결을 시작할 수 있는 기회를 제공할 것입니다. 동시에 그러한 연결을 수락하는 것은 무료입니다.
Gmail은 마침내 사용자로부터 수익을 창출하고 있습니다. 10년마다 3달러 - 안전한 통신 채널을 만들 수 있는 권리.

============= 결론 =============

전체 기사를 테스트하기 위해 한 달 동안 전용 서버를 임대하고 SSL 인증서가 있는 도메인을 구입하려고 했습니다.

그러나 생활 환경이 발전하여 이 문제가 2개월 동안 지속되었습니다.
그래서 다시 여유 시간이 생겼을 때 출판이 XNUMX년 더 지연될 위험을 감수하기보다는 기사를 있는 그대로 출판하기로 결정했습니다.

"그러나 이것은 충분히 자세히 설명되지 않았습니다"와 같은 질문이 꽤 많다면 아마도 새로운 도메인과 새로운 SSL 인증서가 있는 전용 서버를 선택하여 더 자세히 설명하는 것이 힘이 될 것입니다. 중요한 것은 누락된 중요한 세부 사항을 모두 식별하는 것입니다.

또한 우편 증명서에 관한 아이디어에 대한 피드백을 받고 싶습니다. 아이디어가 마음에 드시면 RFC 초안을 작성할 힘을 얻으려고 노력하겠습니다.

기사의 많은 부분을 복사할 경우 해당 기사에 대한 링크를 제공하세요.
다른 언어로 번역할 때는 이 기사에 대한 링크를 제공하세요.
제가 직접 영어로 번역해보고 상호참조도 남겨보도록 하겠습니다.

출처 : habr.com

Debian + Postfix + Dovecot + 멀티도메인 + SSL + IPv6 + OpenVPN + 멀티 인터페이스 + SpamAssassin-learn + 바인딩