Проектирование
Paštas, paštas... „Šiuo metu kiekvienas pradedantysis vartotojas gali susikurti savo nemokamą elektroninę pašto dėžutę, tereikia užsiregistruoti viename iš interneto portalų“, – rašoma Vikipedijoje. Taigi tam paleisti savo pašto serverį yra šiek tiek keista. Nepaisant to, nesigailiu dėl to praleisto mėnesio, skaičiuojant nuo OS įdiegimo dienos iki tos dienos, kai išsiunčiau pirmąjį laišką adresatui internete.
Tiesą sakant, iptv imtuvai ir „vienos plokštės kompiuteris, pagrįstas Baikal-T1 procesoriumi“, taip pat „Cubieboard“, „Banana Pi“ ir kiti įrenginiai su ARM mikroprocesoriais gali būti dedami į tą patį lygį kaip „avietės“. „Malinka“ buvo pasirinktas kaip agresyviausiai reklamuojamas variantas. Prireikė daugiau nei vieno mėnesio, kol šiam „vienos plokštės kompiuteriui“ pavyko rasti bent kokį naudingą panaudojimą. Galiausiai nusprendžiau jame paleisti pašto serverį, neseniai perskaičiusi mokslinės fantastikos romaną apie virtualią realybę.
„Tai nuostabi žiniatinklio ateities vizija“, – sakoma Vikipedijoje. Nuo pirmojo paskelbimo praėjo 20 metų. Ateitis atėjo. Tačiau man neatrodo puiku be septynių tūkstančių prenumeratorių, dešimties tūkstančių rublių „mėnesinių pajamų mano svetainei“ ir pan. Tai, ko gero, pastūmėjo mane link „decentralizuotų socialinių tinklų“ su „negausu skaičiumi like ant jų (naujų vartotojų - N.M.) įrašų“, užregistravau domeną ir paleidau savo serverį.
Aš nemoku įstatymų. Nebent į savo mobilųjį telefoną gavau pranešimą apie būtinybę patvirtinti asmens duomenis, susijusius su federalinio įstatymo 126-FZ pataisų įsigaliojimu, tai yra įstatymas, kurį žinau.
Ir tada paaiškėjo, kad šie dėsniai – kaip grybai po lietaus. Jei būčiau ir toliau naudojęsis nemokamu paštu, tikriausiai nebūčiau žinojęs.
"O kas tu ir aš dabar?"
Pirma, įstatyme tiesiog nėra el. pašto paslaugos organizatoriaus. Yra „momentinių pranešimų paslaugos organizatorius“, tačiau tai šiek tiek skiriasi. Papildymas „asmeniniams, šeimos ir buities reikmėms“, žinoma, panaikina šiam organizatoriui visus įstatyme numatytus įsipareigojimus, bet vis dėlto ne organizatoriui, kurio reikia.
Turėdamas po ranka Ubuntu serverio vadovą ir įstatymą, manau, kad be pokalbių su jų momentinėmis žinutėmis, „elektroniniams pranešimams iš interneto vartotojų gauti, perduoti, pristatyti ir (ar) apdoroti“, yra skirtos ir el. pašto paslaugos ( kas yra akivaizdu), ir failų serveriai (o tai nėra taip akivaizdu).
Vystymasis
Palyginti su kitais čia esančiais straipsniais su grotažyme postfix, mano kūryba, žinoma, labai primityvi. Jokio vartotojo autentifikavimo, jokios duomenų bazės, su vietinėmis paskyromis nesusietų vartotojų (pirmasis ir trečiasis yra „minimaliame pašto serveryje“; duomenų bazė yra beveik visur, kaip ir „dovecat“).
„Mano nuomone, pašto sistemos nustatymas yra sunkiausia sistemos administravimo užduotis“, – puikiai rašė vienas Habra vartotojas. Sekant (iš ), aš praleidau dalis apie slapyvardžių duomenų bazę, .forward failus ir virtualius slapyvardžius.
Bet ssl/tls paėmiau 12 konfigūracijos eilučių ir 9 komandų eilutes bash, kad sukurčiau sertifikatus iš tam skirto Postfix CommunityHelpWiki (tame pačiame domene ) (tik šis ssl/tls veikia – štai koks klausimas). Tiekėjo asmeninėje paskyroje ugniasienė, maršrutizatoriuje nat (Mikrotik nustatymą atidėliojau kuo ilgiau; laiškus siunčiau jungdamas pašto serverį tiesiai prie bute įrengto interneto tiekėjo kabelio), komandos mail, mailq, postsuper -d identifikatorius, failas taip pat buvo naudingas /var/log/mail.log, parametras always_add_missing_headers, informacija apie ptr įrašą, galiausiai, svetainė mail-tester.com (su oligofrenišku dizainu), apie kurią nerašoma „mail“ “ straipsniai apie Habrą, tarsi tai būtų savaime suprantamas dalykas .
Prieš taisydami myhostname parametro reikšmę /etc/postfix/main.cf faile
Pataisę myhostname parametro reikšmę /etc/postfix/main.cf faile
Pirmasis interneto tiekėjo techninės pagalbos tarnybos laiškas mane išmokė, kad laiškų nereikia atidaryti naudojant pašto konsolės programą, kad vėliau juos būtų galima atidaryti ir perskaityti naudojant pažįstamą el. Matyt, tai nėra „pradedančių administratorių“ problema.
Atvirkščiai, komentaruose (prie kitų straipsnių su postfix grotažyme) vienas Habr vartotojas prašo „šiek tiek apsunkinti, o kaip su žiniatinklio sąsajomis į skirtingas dalis ir autentifikavimu iš duomenų bazės“, kito „matyt, tai labiausiai sunku tiems, kurie niekada nebandė nieko saldesnio už ridikėlį: branduolio gedimai, saugumas (selinux/apparmor), šiek tiek paskirstytos sistemos...“, – apie „iRedmail script“ rašo treti. Tiesiog laukite kito pasiūlymo rašyti apie IPv6.
El. pašto paslaugos nėra sferiniai arkliai vakuume, jos yra visumos dalys – nuo kompiuterio ir domeno vardo pasirinkimo iki maršruto parinktuvo nustatymo – kurio negali aprėpti joks pašto serverio nustatymo vadovas (ir kurio tikriausiai niekada nepadarysi). skaityti aparatūrą - , galima rasti oficialioje Postfix svetainėje).
Mikrotik yra visiškai kita istorija.
Gerai, dabar viskas. El. paštas gautame laiške nustojo būti konsolės komandų, konfigūracijos failų (įskaitant dns nustatymą), žurnalų, dokumentacijos, šešioliktainių skaičių, o ne rusiškų raidžių (pagal koi8-r simbolių lentelę) rinkiniu ir liko pažįstamas el. klientas su savo protokolais imap, pop3, smtp, abonementais, gaunamais ir išsiųstais pranešimais.
Apskritai tai atrodo taip pat, kaip atrodo el. paštas naudojant nemokamas didžiųjų IT įmonių el. pašto paslaugas.
Nors be interneto sąsajos.
Išnaudojimas
Vis dėlto nepabėgsi apžiūrėti rąstų!
Skubu įtikti tiems, kurie tikėjosi čia skaityti apie „darknet“. Nes negaliu to pavadinti kitaip, kaip kažkokio paslaptingo tamsaus tinklo apraiškomis, kuriomis buvo užpildytas naujai sukurto serverio pašto žurnalas, būtent per porą dienų (prisijungus tiesiogiai) pranešimais apie bandymus prisijungti per pop3 pagal skirtingus vardai iš kelių IP adresų (iš pradžių klaidingai maniau, kad tai serveris periodiškai bando išsiųsti dvi raides iš eilės, ir visai nemaniau, kad mano paštas gali iš karto sudominti ką nors kitą internete).
Šie bandymai nesiliovė net ir prijungus serverį per maršrutizatorių. Šiandienos žurnaluose pilna smtp jungčių iš to paties man nežinomo IP adreso. Tačiau aš taip pasitikiu savimi, kad nesiimu jokių veiksmų prieš tai: tikiuosi, kad net ir teisingai pasirinkus vartotojo vardą laiškų gavimui, užpuolikas negalės atspėti slaptažodžio. Esu tikras, kad daugeliui tai bus nesaugu, kaip ir su šiandieninėmis atakomis, kurios priklauso tik nuo SMTP perdavimo nustatymų ir prieigos kontrolės, esančios /etc/postfix/main.cf.
Ir jie sudaužys mano pašto apsaugą.
Šaltinis: www.habr.com