Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + മൾട്ടി-ഇന്റർഫേസുകൾ + SpamAssassin-learn + Bind

ഒരു ആധുനിക മെയിൽ സെർവർ എങ്ങനെ സജ്ജീകരിക്കാം എന്നതിനെക്കുറിച്ചാണ് ഈ ലേഖനം.
പോസ്റ്റ്ഫിക്സ് + ഡോവ്കോട്ട്. SPF + DKIM + rDNS. IPv6 ഉപയോഗിച്ച്.
TSL എൻക്രിപ്ഷൻ ഉപയോഗിച്ച്. ഒന്നിലധികം ഡൊമെയ്‌നുകൾക്കുള്ള പിന്തുണയോടെ - ഒരു യഥാർത്ഥ SSL സർട്ടിഫിക്കറ്റ് ഉള്ള ഭാഗം.
ആന്റിസ്പാം പരിരക്ഷയും മറ്റ് മെയിൽ സെർവറുകളിൽ നിന്നുള്ള ഉയർന്ന ആന്റിസ്പാം റേറ്റിംഗും.
ഒന്നിലധികം ഫിസിക്കൽ ഇന്റർഫേസുകളെ പിന്തുണയ്ക്കുന്നു.
OpenVPN ഉപയോഗിച്ച്, IPv4 വഴിയുള്ള കണക്ഷൻ, IPv6 നൽകുന്നു.

നിങ്ങൾക്ക് ഈ സാങ്കേതികവിദ്യകളെല്ലാം പഠിക്കാൻ താൽപ്പര്യമില്ലെങ്കിൽ, എന്നാൽ അത്തരമൊരു സെർവർ സജ്ജീകരിക്കാൻ ആഗ്രഹിക്കുന്നുവെങ്കിൽ, ഈ ലേഖനം നിങ്ങൾക്കുള്ളതാണ്.

എല്ലാ വിശദാംശങ്ങളും വിശദീകരിക്കാൻ ലേഖനം ശ്രമിക്കുന്നില്ല. സ്റ്റാൻഡേർഡ് ആയി കോൺഫിഗർ ചെയ്യാത്തതോ ഉപഭോക്താവിന്റെ കാഴ്ചപ്പാടിൽ പ്രധാനപ്പെട്ടതോ ആയ കാര്യങ്ങളിലേക്കാണ് വിശദീകരണം പോകുന്നത്.

ഒരു മെയിൽ സെർവർ സജ്ജീകരിക്കാനുള്ള പ്രചോദനം എന്റെ ദീർഘകാല സ്വപ്നമാണ്. ഇത് മണ്ടത്തരമായി തോന്നാം, പക്ഷേ IMHO, നിങ്ങളുടെ പ്രിയപ്പെട്ട ബ്രാൻഡിൽ നിന്നുള്ള ഒരു പുതിയ കാർ സ്വപ്നം കാണുന്നതിനേക്കാൾ വളരെ മികച്ചതാണ്.

IPv6 സജ്ജീകരിക്കുന്നതിന് രണ്ട് പ്രചോദനങ്ങളുണ്ട്. ഒരു ഐടി സ്പെഷ്യലിസ്റ്റ് അതിജീവിക്കാൻ പുതിയ സാങ്കേതികവിദ്യകൾ നിരന്തരം പഠിക്കേണ്ടതുണ്ട്. സെൻസർഷിപ്പിനെതിരായ പോരാട്ടത്തിൽ എന്റെ എളിയ സംഭാവന നൽകാൻ ഞാൻ ആഗ്രഹിക്കുന്നു.

ഓപ്പൺവിപിഎൻ സജ്ജീകരിക്കുന്നതിനുള്ള പ്രചോദനം ലോക്കൽ മെഷീനിൽ IPv6 പ്രവർത്തിക്കുക എന്നതാണ്.
നിരവധി ഫിസിക്കൽ ഇന്റർഫേസുകൾ സജ്ജീകരിക്കുന്നതിനുള്ള പ്രചോദനം, എന്റെ സെർവറിൽ എനിക്ക് ഒരു ഇന്റർഫേസ് "സ്ലോ എന്നാൽ അൺലിമിറ്റഡ്" മറ്റൊന്നും "വേഗതയുള്ളതും എന്നാൽ താരിഫ് ഉള്ളതും" ആണ്.

ബൈൻഡ് ക്രമീകരണങ്ങൾ സജ്ജീകരിക്കുന്നതിനുള്ള പ്രചോദനം, എന്റെ ISP ഒരു അസ്ഥിരമായ DNS സെർവർ നൽകുന്നു, ഗൂഗിളും ചിലപ്പോൾ പരാജയപ്പെടുന്നു എന്നതാണ്. വ്യക്തിപരമായ ഉപയോഗത്തിനായി എനിക്ക് സ്ഥിരതയുള്ള ഒരു DNS സെർവർ വേണം.

ഒരു ലേഖനം എഴുതാനുള്ള പ്രചോദനം - ഞാൻ 10 മാസം മുമ്പ് ഒരു ഡ്രാഫ്റ്റ് എഴുതി, ഞാൻ ഇതിനകം രണ്ടുതവണ നോക്കിയിട്ടുണ്ട്. രചയിതാവിന് ഇത് സ്ഥിരമായി ആവശ്യമാണെങ്കിലും, മറ്റുള്ളവർക്കും അത് ആവശ്യമായി വരാനുള്ള ഉയർന്ന സാധ്യതയുണ്ട്.

ഒരു മെയിൽ സെർവറിന് സാർവത്രിക പരിഹാരമില്ല. പക്ഷേ, "ഇത് ചെയ്യുക, എല്ലാം ശരിയായി പ്രവർത്തിക്കുമ്പോൾ, അധിക സാധനങ്ങൾ വലിച്ചെറിയുക" എന്നതുപോലുള്ള എന്തെങ്കിലും എഴുതാൻ ഞാൻ ശ്രമിക്കും.

tech.ru എന്ന കമ്പനിക്ക് ഒരു Colocation സെർവർ ഉണ്ട്. OVH, Hetzner, AWS എന്നിവയുമായി താരതമ്യം ചെയ്യാം. ഈ പ്രശ്നം പരിഹരിക്കാൻ, tech.ru-യുമായുള്ള സഹകരണം കൂടുതൽ ഫലപ്രദമാകും.

സെർവറിൽ ഡെബിയൻ 9 ഇൻസ്റ്റാൾ ചെയ്തിട്ടുണ്ട്.

സെർവറിന് `eno2`, `eno1` എന്നീ 2 ഇന്റർഫേസുകളുണ്ട്. ആദ്യത്തേത് പരിധിയില്ലാത്തതാണ്, രണ്ടാമത്തേത് യഥാക്രമം വേഗതയുള്ളതാണ്.

3 സ്റ്റാറ്റിക് ഐപി വിലാസങ്ങളുണ്ട്, `eno0` ഇന്റർഫേസിൽ XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X1, `eno5` ഇന്റർഫേസിൽ XX.XX.XX.X2. .

ലഭ്യമാണ് XXXX:XXXX:XXXX:XXXX::/64 `eno6` ഇന്റർഫേസിലേക്ക് അസൈൻ ചെയ്‌തിരിക്കുന്ന IPv1 വിലാസങ്ങളുടെ ഒരു കൂട്ടം അതിൽ നിന്ന് XXXX:XXXX:XXXX:XXXX:1:2::/96 എന്റെ അഭ്യർത്ഥനപ്രകാരം `eno2`-ലേക്ക് അസൈൻ ചെയ്‌തു.

3 ഡൊമെയ്‌നുകൾ ഉണ്ട് `domain1.com`, `domain2.com`, `domain3.com`. `domain1.com`, `domain3.com` എന്നിവയ്‌ക്കായി ഒരു SSL സർട്ടിഫിക്കറ്റ് ഉണ്ട്.

എന്റെ മെയിൽബോക്‌സ് ലിങ്ക് ചെയ്യാൻ ആഗ്രഹിക്കുന്ന ഒരു Google അക്കൗണ്ട് എനിക്കുണ്ട്[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]` (മെയിൽ സ്വീകരിക്കുകയും gmail ഇന്റർഫേസിൽ നിന്ന് നേരിട്ട് മെയിൽ അയയ്ക്കുകയും ചെയ്യുന്നു).
ഒരു മെയിൽബോക്സ് ഉണ്ടായിരിക്കണം`[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]`, ഞാൻ എന്റെ gmail-ൽ കാണാൻ ആഗ്രഹിക്കുന്ന ഇമെയിലിന്റെ ഒരു പകർപ്പ്. കൂടാതെ ` എന്ന പേരിൽ എന്തെങ്കിലും അയയ്ക്കാൻ കഴിയുന്നത് അപൂർവമാണ്[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]` വെബ് ഇന്റർഫേസ് വഴി.

ഒരു മെയിൽബോക്സ് ഉണ്ടായിരിക്കണം`[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]`, ഇവാനോവ് തന്റെ ഐഫോണിൽ നിന്ന് ഉപയോഗിക്കും.

അയച്ച ഇമെയിലുകൾ എല്ലാ ആധുനിക ആന്റിസ്പാം ആവശ്യകതകൾക്കും അനുസൃതമായിരിക്കണം.
പൊതു നെറ്റ്‌വർക്കുകളിൽ നൽകിയിരിക്കുന്ന ഏറ്റവും ഉയർന്ന എൻക്രിപ്ഷൻ ഉണ്ടായിരിക്കണം.
കത്തുകൾ അയയ്ക്കുന്നതിനും സ്വീകരിക്കുന്നതിനും IPv6 പിന്തുണ ഉണ്ടായിരിക്കണം.
ഇമെയിലുകൾ ഒരിക്കലും ഡിലീറ്റ് ചെയ്യാത്ത ഒരു SpamAssassin ഉണ്ടായിരിക്കണം. അത് ഒന്നുകിൽ ബൗൺസ് ചെയ്യുകയോ ഒഴിവാക്കുകയോ IMAP "സ്പാം" ഫോൾഡറിലേക്ക് അയയ്ക്കുകയോ ചെയ്യും.
SpamAssassin ഓട്ടോ-ലേണിംഗ് കോൺഫിഗർ ചെയ്തിരിക്കണം: ഞാൻ ഒരു കത്ത് സ്പാം ഫോൾഡറിലേക്ക് നീക്കുകയാണെങ്കിൽ, അത് ഇതിൽ നിന്ന് പഠിക്കും; ഞാൻ സ്പാം ഫോൾഡറിൽ നിന്ന് ഒരു കത്ത് നീക്കുകയാണെങ്കിൽ, അത് ഇതിൽ നിന്ന് പഠിക്കും. SpamAssassin പരിശീലനത്തിന്റെ ഫലങ്ങൾ, കത്ത് സ്പാം ഫോൾഡറിൽ അവസാനിക്കുമോ എന്നതിനെ സ്വാധീനിക്കണം.
തന്നിരിക്കുന്ന സെർവറിലെ ഏതെങ്കിലും ഡൊമെയ്‌നിന് വേണ്ടി PHP സ്‌ക്രിപ്റ്റുകൾക്ക് മെയിൽ അയയ്‌ക്കാൻ കഴിയണം.
IPv6 ഇല്ലാത്ത ഒരു ക്ലയന്റിൽ IPv6 ഉപയോഗിക്കാനുള്ള കഴിവുള്ള ഒരു openvpn സേവനം ഉണ്ടായിരിക്കണം.

ആദ്യം നിങ്ങൾ IPv6 ഉൾപ്പെടെയുള്ള ഇന്റർഫേസുകളും റൂട്ടിംഗും കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്.
തുടർന്ന് നിങ്ങൾ OpenVPN കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്, അത് IPv4 വഴി കണക്റ്റുചെയ്യുകയും ക്ലയന്റിന് ഒരു സ്റ്റാറ്റിക്-റിയൽ IPv6 വിലാസം നൽകുകയും ചെയ്യും. ഈ ക്ലയന്റിന് സെർവറിലെ എല്ലാ IPv6 സേവനങ്ങളിലേക്കും ഇൻറർനെറ്റിലെ ഏതെങ്കിലും IPv6 ഉറവിടങ്ങളിലേക്കും ആക്‌സസ് ഉണ്ടായിരിക്കും.
അക്ഷരങ്ങൾ + SPF + DKIM + rDNS എന്നിവയും സമാനമായ മറ്റ് ചെറിയ കാര്യങ്ങളും അയയ്‌ക്കുന്നതിന് നിങ്ങൾ പോസ്റ്റ്ഫിക്‌സ് കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട്.
അപ്പോൾ നിങ്ങൾ ഡോവ്കോട്ട് കോൺഫിഗർ ചെയ്യുകയും മൾട്ടിഡൊമെയ്ൻ കോൺഫിഗർ ചെയ്യുകയും വേണം.
അപ്പോൾ നിങ്ങൾ SpamAssassin കോൺഫിഗർ ചെയ്യുകയും പരിശീലനം ക്രമീകരിക്കുകയും ചെയ്യേണ്ടതുണ്ട്.
അവസാനമായി, Bind ഇൻസ്റ്റാൾ ചെയ്യുക.

============= മൾട്ടി-ഇന്റർഫേസുകൾ =============

ഇന്റർഫേസുകൾ ക്രമീകരിക്കുന്നതിന്, നിങ്ങൾ ഇത് "/etc/network/interfaces" എന്നതിൽ എഴുതേണ്ടതുണ്ട്.

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

ഈ ക്രമീകരണങ്ങൾ tech.ru- ലെ ഏത് സെർവറിലും പ്രയോഗിക്കാൻ കഴിയും (പിന്തുണയോടുകൂടിയ ഒരു ചെറിയ ഏകോപനത്തോടെ) അത് ഉടൻ തന്നെ പ്രവർത്തിക്കും.

Hetzner, OVH എന്നിവയ്‌ക്കായി സമാനമായ കാര്യങ്ങൾ സജ്ജീകരിക്കുന്നതിന് നിങ്ങൾക്ക് അനുഭവമുണ്ടെങ്കിൽ, അത് അവിടെ വ്യത്യസ്തമാണ്. കൂടുതൽ പ്രയാസമാണ്.

eno1 എന്നത് നെറ്റ്‌വർക്ക് കാർഡ് #1 ന്റെ പേരാണ് (സ്ലോ എന്നാൽ അൺലിമിറ്റഡ്).
eno2 എന്നത് നെറ്റ്‌വർക്ക് കാർഡ് #2 ന്റെ പേരാണ് (വേഗതയുള്ള, എന്നാൽ താരിഫ് ഉള്ളത്).
tun0 എന്നത് OpenVPN-ൽ നിന്നുള്ള വെർച്വൽ നെറ്റ്‌വർക്ക് കാർഡിന്റെ പേരാണ്.
Eno0-ൽ XX.XX.XX.X4 - IPv1 #1.
Eno1-ൽ XX.XX.XX.X4 - IPv2 #1.
Eno2-ൽ XX.XX.XX.X4 - IPv3 #1.
Eno5-ൽ XX.XX.XX.X4 - IPv1 #2.
XX.XX.XX.1 - IPv4 ഗേറ്റ്‌വേ.
XXXX:XXX:XXXX:XXXX::/64 - മുഴുവൻ സെർവറിനുമായി IPv6.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - IPv6 eno2-ന്, പുറത്തുനിന്നുള്ള മറ്റെല്ലാം eno1-ലേക്ക് പോകുന്നു.
XXXX:XXXX:XXXX:XXXX::1 — IPv6 ഗേറ്റ്‌വേ (ഇത് വ്യത്യസ്‌തമായി ചെയ്യാനാകുമെന്നത് ശ്രദ്ധേയമാണ്. IPv6 സ്വിച്ച് വ്യക്തമാക്കുക).
dns-nameservers - 127.0.0.1 സൂചിപ്പിച്ചിരിക്കുന്നു (ബൈൻഡ് പ്രാദേശികമായി ഇൻസ്റ്റാൾ ചെയ്തതിനാൽ) കൂടാതെ 213.248.1.6 (ഇത് tech.ru-ൽ നിന്നുള്ളതാണ്).

“table eno1t”, “table eno2t” - ഈ റൂട്ട്-റൂളുകളുടെ അർത്ഥം, eno1 -> വഴി പ്രവേശിക്കുന്ന ട്രാഫിക്ക് അതിലൂടെ പോകും, ​​eno2 -> വഴി പ്രവേശിക്കുന്ന ട്രാഫിക് അതിലൂടെ പോകും എന്നതാണ്. കൂടാതെ സെർവർ ആരംഭിച്ച കണക്ഷനുകൾ eno1 വഴി കടന്നുപോകും.

ip route add default via XX.XX.XX.1 table eno1t

"table eno1t" -> എന്ന് അടയാളപ്പെടുത്തിയിരിക്കുന്ന ഏതെങ്കിലും നിയമത്തിന് കീഴിലുള്ള മനസ്സിലാക്കാൻ കഴിയാത്ത ട്രാഫിക്കുകൾ ഈ കമാൻഡ് ഉപയോഗിച്ച്, eno1 ഇന്റർഫേസിലേക്ക് അയയ്ക്കുമെന്ന് ഞങ്ങൾ വ്യക്തമാക്കുന്നു.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

ഈ കമാൻഡ് ഉപയോഗിച്ച് സെർവർ ആരംഭിക്കുന്ന ഏതൊരു ട്രാഫിക്കും eno1 ഇന്റർഫേസിലേക്ക് നയിക്കണമെന്ന് ഞങ്ങൾ വ്യക്തമാക്കുന്നു.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

ഈ കമാൻഡ് ഉപയോഗിച്ച് ഞങ്ങൾ ട്രാഫിക് അടയാളപ്പെടുത്തുന്നതിനുള്ള നിയമങ്ങൾ സജ്ജമാക്കി.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

ഈ ബ്ലോക്ക് എനോ4 ഇന്റർഫേസിനായി രണ്ടാമത്തെ IPv1 വ്യക്തമാക്കുന്നു.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

ഈ കമാൻഡ് ഉപയോഗിച്ച് ഞങ്ങൾ OpenVPN ക്ലയന്റുകളിൽ നിന്ന് XX.XX.XX.X4 ഒഴികെ ലോക്കൽ IPv0 ലേക്ക് റൂട്ട് സജ്ജമാക്കുന്നു.
എല്ലാ IPv4-നും ഈ കമാൻഡ് മതിയാകുന്നത് എന്തുകൊണ്ടാണെന്ന് എനിക്ക് ഇപ്പോഴും മനസ്സിലാകുന്നില്ല.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

ഇവിടെയാണ് ഞങ്ങൾ ഇന്റർഫേസിന്റെ വിലാസം സജ്ജമാക്കുന്നത്. സെർവർ അതിനെ ഒരു "ഔട്ട്‌ഗോയിംഗ്" വിലാസമായി ഉപയോഗിക്കും. ഇനി ഒരു തരത്തിലും ഉപയോഗിക്കില്ല.

എന്തുകൊണ്ടാണ് ":1:1::" ഇത്ര സങ്കീർണ്ണമായത്? അതിനാൽ OpenVPN ശരിയായി പ്രവർത്തിക്കുന്നു, ഇതിനായി മാത്രം. ഇതിനെക്കുറിച്ച് കൂടുതൽ പിന്നീട്.

ഗേറ്റ്‌വേ എന്ന വിഷയത്തിൽ - അങ്ങനെയാണ് ഇത് പ്രവർത്തിക്കുന്നത്, അത് നല്ലതാണ്. എന്നാൽ സെർവർ ബന്ധിപ്പിച്ചിരിക്കുന്ന സ്വിച്ചിന്റെ IPv6 ഇവിടെ സൂചിപ്പിക്കുക എന്നതാണ് ശരിയായ മാർഗം.

എന്നിരുന്നാലും, ചില കാരണങ്ങളാൽ ഞാൻ ഇത് ചെയ്താൽ IPv6 പ്രവർത്തിക്കുന്നത് നിർത്തുന്നു. ഇത് ഒരുപക്ഷേ ഏതെങ്കിലും തരത്തിലുള്ള tech.ru പ്രശ്നമാണ്.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

ഇത് ഇന്റർഫേസിലേക്ക് ഒരു IPv6 വിലാസം ചേർക്കുന്നു. നിങ്ങൾക്ക് നൂറ് വിലാസങ്ങൾ ആവശ്യമുണ്ടെങ്കിൽ, അതിനർത്ഥം ഈ ഫയലിൽ നൂറ് വരികൾ എന്നാണ്.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

അത് വ്യക്തമാക്കുന്നതിന് എല്ലാ ഇന്റർഫേസുകളുടെയും വിലാസങ്ങളും സബ്‌നെറ്റുകളും ഞാൻ കുറിച്ചു.
eno1 - ആയിരിക്കണം "/64"- കാരണം ഇത് ഞങ്ങളുടെ മുഴുവൻ വിലാസങ്ങളും ആണ്.
tun0 - സബ്നെറ്റ് eno1 നേക്കാൾ വലുതായിരിക്കണം. അല്ലെങ്കിൽ, OpenVPN ക്ലയന്റുകൾക്കായി ഒരു IPv6 ഗേറ്റ്‌വേ ക്രമീകരിക്കാൻ സാധ്യമല്ല.
eno2 - സബ്‌നെറ്റ് tun0 നേക്കാൾ വലുതായിരിക്കണം. അല്ലെങ്കിൽ, OpenVPN ക്ലയന്റുകൾക്ക് പ്രാദേശിക IPv6 വിലാസങ്ങൾ ആക്സസ് ചെയ്യാൻ കഴിയില്ല.
വ്യക്തതയ്ക്കായി, ഞാൻ 16-ന്റെ ഒരു സബ്നെറ്റ് ഘട്ടം തിരഞ്ഞെടുത്തു, എന്നാൽ നിങ്ങൾക്ക് വേണമെങ്കിൽ, നിങ്ങൾക്ക് "1" ഘട്ടം പോലും ചെയ്യാം.
അതനുസരിച്ച്, 64+16 = 80, 80+16 = 96.

കൂടുതൽ വ്യക്തതയ്ക്കായി:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY എന്നത് എനോ1 ഇന്റർഫേസിലെ നിർദ്ദിഷ്ട സൈറ്റുകൾക്കോ ​​സേവനങ്ങൾക്കോ ​​നൽകേണ്ട വിലാസങ്ങളാണ്.
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY എന്നത് എനോ2 ഇന്റർഫേസിലെ നിർദ്ദിഷ്ട സൈറ്റുകൾക്കോ ​​സേവനങ്ങൾക്കോ ​​നൽകേണ്ട വിലാസങ്ങളാണ്.
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY എന്നത് OpenVPN ക്ലയന്റുകൾക്ക് അസൈൻ ചെയ്യേണ്ട അല്ലെങ്കിൽ OpenVPN സേവന വിലാസങ്ങളായി ഉപയോഗിക്കേണ്ട വിലാസങ്ങളാണ്.

നെറ്റ്‌വർക്ക് കോൺഫിഗർ ചെയ്യുന്നതിന്, സെർവർ പുനരാരംഭിക്കുന്നത് സാധ്യമായിരിക്കണം.
എക്സിക്യൂട്ട് ചെയ്യുമ്പോൾ IPv4 മാറ്റങ്ങൾ എടുക്കുന്നു (അത് സ്ക്രീനിൽ പൊതിയുന്നത് ഉറപ്പാക്കുക - അല്ലാത്തപക്ഷം ഈ കമാൻഡ് സെർവറിലെ നെറ്റ്‌വർക്ക് ക്രാഷ് ചെയ്യും):

/etc/init.d/networking restart

“/etc/iproute2/rt_tables” ഫയലിന്റെ അവസാനം ചേർക്കുക:

100 eno1t
101 eno2t

ഇത് കൂടാതെ, "/etc/network/interfaces" ഫയലിൽ നിങ്ങൾക്ക് ഇഷ്ടാനുസൃത പട്ടികകൾ ഉപയോഗിക്കാൻ കഴിയില്ല.
സംഖ്യകൾ അദ്വിതീയവും 65535-ൽ കുറവും ആയിരിക്കണം.

റീബൂട്ട് ചെയ്യാതെ തന്നെ IPv6 മാറ്റങ്ങൾ എളുപ്പത്തിൽ മാറ്റാൻ കഴിയും, എന്നാൽ ഇത് ചെയ്യുന്നതിന് നിങ്ങൾ കുറഞ്ഞത് മൂന്ന് കമാൻഡുകളെങ്കിലും പഠിക്കേണ്ടതുണ്ട്:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

ക്രമീകരണം "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

ഇവ എന്റെ സെർവറിന്റെ "sysctl" ക്രമീകരണങ്ങളാണ്. പ്രധാനപ്പെട്ട ഒരു കാര്യം സൂചിപ്പിക്കട്ടെ.

net.ipv4.ip_forward = 1

ഇത് കൂടാതെ, OpenVPN പ്രവർത്തിക്കില്ല.

net.ipv6.ip_nonlocal_bind = 1

ഇന്റർഫേസ് അപ് ആയ ഉടൻ തന്നെ IPv6 (ഉദാഹരണത്തിന് nginx) ബൈൻഡ് ചെയ്യാൻ ശ്രമിക്കുന്ന ആർക്കും ഒരു പിശക് ലഭിക്കും. ഈ വിലാസം ലഭ്യമല്ല എന്ന്.

അത്തരമൊരു സാഹചര്യം ഒഴിവാക്കാൻ, അത്തരമൊരു ക്രമീകരണം ഉണ്ടാക്കുന്നു.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

ഈ IPv6 ക്രമീകരണങ്ങൾ ഇല്ലാതെ, OpenVPN ക്ലയന്റിൽ നിന്നുള്ള ട്രാഫിക് ലോകത്തേക്ക് പോകില്ല.

മറ്റ് ക്രമീകരണങ്ങൾ ഒന്നുകിൽ പ്രസക്തമല്ല അല്ലെങ്കിൽ അവ എന്തിനുവേണ്ടിയാണെന്ന് ഞാൻ ഓർക്കുന്നില്ല.
പക്ഷേ, ഞാൻ അത് "അതുപോലെ തന്നെ" ഉപേക്ഷിക്കുന്നു.

സെർവർ റീബൂട്ട് ചെയ്യാതെ തന്നെ ഈ ഫയലിലെ മാറ്റങ്ങൾ എടുക്കുന്നതിന്, നിങ്ങൾ കമാൻഡ് പ്രവർത്തിപ്പിക്കേണ്ടതുണ്ട്:

sysctl -p

"ടേബിൾ" നിയമങ്ങളെക്കുറിച്ചുള്ള കൂടുതൽ വിശദാംശങ്ങൾ: habr.com/post/108690

============== OpenVPN ==============

iptables ഇല്ലാതെ OpenVPN IPv4 പ്രവർത്തിക്കില്ല.

VPN-നായി എന്റെ iptables ഇതുപോലെയാണ്:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY എന്നത് ലോക്കൽ മെഷീന്റെ എന്റെ സ്റ്റാറ്റിക് IPv4 വിലാസമാണ്.
10.8.0.0/24 - IPv4 openvpn നെറ്റ്‌വർക്ക്. openvpn ക്ലയന്റുകൾക്കായുള്ള IPv4 വിലാസങ്ങൾ.
നിയമങ്ങളുടെ സ്ഥിരത പ്രധാനമാണ്.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

ഇത് ഒരു പരിമിതിയാണ്, അതിനാൽ എനിക്ക് മാത്രമേ എന്റെ സ്റ്റാറ്റിക് ഐപിയിൽ നിന്ന് OpenVPN ഉപയോഗിക്കാൻ കഴിയൂ.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

OpenVPN ക്ലയന്റുകൾക്കും ഇന്റർനെറ്റിനും ഇടയിൽ IPv4 പാക്കറ്റുകൾ കൈമാറുന്നതിന്, നിങ്ങൾ ഈ കമാൻഡുകളിലൊന്ന് രജിസ്റ്റർ ചെയ്യേണ്ടതുണ്ട്.

വ്യത്യസ്ത സന്ദർഭങ്ങളിൽ, ഓപ്ഷനുകളിലൊന്ന് അനുയോജ്യമല്ല.
രണ്ട് കമാൻഡുകളും എന്റെ കാര്യത്തിൽ അനുയോജ്യമാണ്.
ഡോക്യുമെന്റേഷൻ വായിച്ചതിനുശേഷം, ഞാൻ ആദ്യ ഓപ്ഷൻ തിരഞ്ഞെടുത്തു, കാരണം അത് കുറച്ച് സിപിയു ഉപയോഗിക്കുന്നു.

റീബൂട്ടിന് ശേഷം എല്ലാ iptables ക്രമീകരണങ്ങളും എടുക്കുന്നതിന്, നിങ്ങൾ അവ എവിടെയെങ്കിലും സംരക്ഷിക്കേണ്ടതുണ്ട്.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

അത്തരം പേരുകൾ ആകസ്മികമായി തിരഞ്ഞെടുത്തതല്ല. "iptables-persistent" പാക്കേജാണ് അവ ഉപയോഗിക്കുന്നത്.

apt-get install iptables-persistent

പ്രധാന OpenVPN പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുന്നു:

apt-get install openvpn easy-rsa

സർട്ടിഫിക്കറ്റുകൾക്കായി നമുക്ക് ഒരു ടെംപ്ലേറ്റ് സജ്ജീകരിക്കാം (നിങ്ങളുടെ മൂല്യങ്ങൾ മാറ്റിസ്ഥാപിക്കുക):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

സർട്ടിഫിക്കറ്റ് ടെംപ്ലേറ്റ് ക്രമീകരണങ്ങൾ നമുക്ക് എഡിറ്റ് ചെയ്യാം:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

ഒരു സെർവർ സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുക:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

അന്തിമ “client-name.opvn” ഫയലുകൾ സൃഷ്ടിക്കാനുള്ള കഴിവ് നമുക്ക് തയ്യാറാക്കാം:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

എല്ലാ ഫയലുകളും ഒരൊറ്റ opvn ഫയലിലേക്ക് ലയിപ്പിക്കുന്ന ഒരു സ്ക്രിപ്റ്റ് തയ്യാറാക്കാം.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

ആദ്യത്തെ OpenVPN ക്ലയന്റ് സൃഷ്ടിക്കുന്നു:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

“~/client-configs/files/client-name.ovpn” എന്ന ഫയൽ ക്ലയന്റ് ഉപകരണത്തിലേക്ക് അയച്ചു.

iOS ക്ലയന്റുകൾക്കായി നിങ്ങൾ ഇനിപ്പറയുന്ന ട്രിക്ക് ചെയ്യേണ്ടതുണ്ട്:
"tls-auth" ടാഗിന്റെ ഉള്ളടക്കം അഭിപ്രായങ്ങളില്ലാത്തതായിരിക്കണം.
കൂടാതെ "tls-auth" ടാഗിന് തൊട്ടുമുമ്പ് "കീ-ദിശ 1" ഇടുക.

നമുക്ക് OpenVPN സെർവർ കോൺഫിഗർ ക്രമീകരിക്കാം:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

ഓരോ ക്ലയന്റിനും ഒരു സ്റ്റാറ്റിക് വിലാസം സജ്ജീകരിക്കുന്നതിന് ഇത് ആവശ്യമാണ് (ആവശ്യമില്ല, പക്ഷേ ഞാൻ അത് ഉപയോഗിക്കുന്നു):

# Client config dir
client-config-dir /etc/openvpn/ccd

ഏറ്റവും ബുദ്ധിമുട്ടുള്ളതും പ്രധാനവുമായ വിശദാംശങ്ങൾ.

നിർഭാഗ്യവശാൽ, ക്ലയന്റുകൾക്കായി ഒരു IPv6 ഗേറ്റ്‌വേ എങ്ങനെ സ്വതന്ത്രമായി ക്രമീകരിക്കാമെന്ന് OpenVPN-ന് ഇതുവരെ അറിയില്ല.
ഓരോ ക്ലയന്റിനും നിങ്ങൾ ഇത് "മാനുവലായി" ഫോർവേഡ് ചെയ്യണം.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

ഫയൽ “/etc/openvpn/server-clientconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

ഫയൽ “/etc/openvpn/server-clientdisconnect.sh”:

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

രണ്ട് സ്ക്രിപ്റ്റുകളും "/etc/openvpn/variables" എന്ന ഫയൽ ഉപയോഗിക്കുന്നു:

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

എന്തുകൊണ്ടാണ് ഇങ്ങനെ എഴുതിയതെന്ന് ഓർക്കാൻ പ്രയാസമാണ്.

ഇപ്പോൾ നെറ്റ്മാസ്ക് = 112 വിചിത്രമായി തോന്നുന്നു (അത് അവിടെ തന്നെ 96 ആയിരിക്കണം).
കൂടാതെ പ്രിഫിക്‌സ് വിചിത്രമാണ്, ഇത് tun0 നെറ്റ്‌വർക്കുമായി പൊരുത്തപ്പെടുന്നില്ല.
എന്നാൽ ശരി, ഞാൻ അത് അതേപടി വിടാം.

cipher DES-EDE3-CBC

ഇത് എല്ലാവർക്കുമുള്ളതല്ല - കണക്ഷൻ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനുള്ള ഈ രീതി ഞാൻ തിരഞ്ഞെടുത്തു.

OpenVPN IPv4 സജ്ജീകരിക്കുന്നതിനെക്കുറിച്ച് കൂടുതലറിയുക.

OpenVPN IPv6 സജ്ജീകരിക്കുന്നതിനെക്കുറിച്ച് കൂടുതലറിയുക.

============= പോസ്റ്റ്ഫിക്സ് =============

പ്രധാന പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യുന്നു:

apt-get install postfix

ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, "ഇന്റർനെറ്റ് സൈറ്റ്" തിരഞ്ഞെടുക്കുക.

എന്റെ "/etc/postfix/main.cf" ഇതുപോലെ കാണപ്പെടുന്നു:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

ഈ കോൺഫിഗറേഷന്റെ വിശദാംശങ്ങൾ നോക്കാം.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

ഖബ്രോവ്സ്ക് നിവാസികളുടെ അഭിപ്രായത്തിൽ, ഈ ബ്ലോക്കിൽ "തെറ്റായ വിവരങ്ങളും തെറ്റായ പ്രബന്ധങ്ങളും" അടങ്ങിയിരിക്കുന്നു.എന്റെ കരിയർ ആരംഭിച്ച് 8 വർഷത്തിനുശേഷം മാത്രമാണ് എസ്എസ്എൽ എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്ന് ഞാൻ മനസ്സിലാക്കാൻ തുടങ്ങിയത്.

അതിനാൽ, SSL എങ്ങനെ ഉപയോഗിക്കണമെന്ന് വിവരിക്കുന്നതിനുള്ള സ്വാതന്ത്ര്യം ഞാൻ എടുക്കും (“ഇത് എങ്ങനെ പ്രവർത്തിക്കുന്നു?”, “എന്തുകൊണ്ടാണ് ഇത് പ്രവർത്തിക്കുന്നത്?” എന്നീ ചോദ്യങ്ങൾക്ക് ഉത്തരം നൽകാതെ).

ആധുനിക എൻക്രിപ്ഷന്റെ അടിസ്ഥാനം ഒരു കീ ജോഡി (വളരെ നീളമുള്ള രണ്ട് പ്രതീകങ്ങൾ) സൃഷ്ടിക്കുന്നതാണ്.

ഒരു "കീ" സ്വകാര്യമാണ്, മറ്റേ കീ "പബ്ലിക്ക്" ആണ്. ഞങ്ങൾ സ്വകാര്യ കീ വളരെ ശ്രദ്ധാപൂർവ്വം രഹസ്യമായി സൂക്ഷിക്കുന്നു. ഞങ്ങൾ എല്ലാവർക്കും പബ്ലിക് കീ വിതരണം ചെയ്യുന്നു.

ഒരു പൊതു കീ ഉപയോഗിച്ച്, നിങ്ങൾക്ക് ഒരു വാചകം എൻക്രിപ്റ്റ് ചെയ്യാൻ കഴിയും, അതുവഴി സ്വകാര്യ കീയുടെ ഉടമയ്ക്ക് മാത്രമേ അത് ഡീക്രിപ്റ്റ് ചെയ്യാൻ കഴിയൂ.
ശരി, അതാണ് സാങ്കേതികവിദ്യയുടെ മുഴുവൻ അടിസ്ഥാനവും.

ഘട്ടം #1 - https സൈറ്റുകൾ.
ഒരു സൈറ്റ് ആക്സസ് ചെയ്യുമ്പോൾ, വെബ് സെർവറിൽ നിന്ന് ആ സൈറ്റ് https ആണെന്ന് ബ്രൗസർ മനസ്സിലാക്കുന്നു, അതിനാൽ ഒരു പൊതു കീ അഭ്യർത്ഥിക്കുന്നു.
വെബ് സെർവർ പൊതു കീ നൽകുന്നു. http-അഭ്യർത്ഥന എൻക്രിപ്റ്റ് ചെയ്യാനും അയയ്ക്കാനും ബ്രൗസർ പൊതു കീ ഉപയോഗിക്കുന്നു.
ഒരു http-അഭ്യർത്ഥനയുടെ ഉള്ളടക്കം സ്വകാര്യ കീ ഉള്ളവർക്ക് മാത്രമേ വായിക്കാൻ കഴിയൂ, അതായത്, അഭ്യർത്ഥന നടത്തുന്ന സെർവർ മാത്രം.
Http-അഭ്യർത്ഥനയിൽ ഒരു URI എങ്കിലും അടങ്ങിയിരിക്കുന്നു. അതിനാൽ, ഒരു രാജ്യം മുഴുവൻ സൈറ്റിലേക്കല്ല, ഒരു പ്രത്യേക പേജിലേക്കാണ് ആക്സസ് പരിമിതപ്പെടുത്താൻ ശ്രമിക്കുന്നതെങ്കിൽ, https സൈറ്റുകൾക്കായി ഇത് ചെയ്യുന്നത് അസാധ്യമാണ്.

ഘട്ടം #2 - എൻക്രിപ്റ്റ് ചെയ്ത പ്രതികരണം.
റോഡിൽ എളുപ്പത്തിൽ വായിക്കാൻ കഴിയുന്ന ഒരു ഉത്തരം വെബ് സെർവർ നൽകുന്നു.
പരിഹാരം വളരെ ലളിതമാണ് - ഓരോ https സൈറ്റിനും ബ്രൗസർ പ്രാദേശികമായി ഒരേ സ്വകാര്യ-പൊതു കീ ജോഡി സൃഷ്ടിക്കുന്നു.
സൈറ്റിന്റെ പൊതു കീയ്ക്കുള്ള അഭ്യർത്ഥനയ്‌ക്കൊപ്പം, അത് അതിന്റെ ലോക്കൽ പബ്ലിക് കീ അയയ്‌ക്കുന്നു.
വെബ് സെർവർ അത് ഓർമ്മിക്കുകയും, http-പ്രതികരണം അയയ്‌ക്കുമ്പോൾ, ഒരു പ്രത്യേക ക്ലയന്റിന്റെ പൊതു കീ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യുകയും ചെയ്യുന്നു.
ഇപ്പോൾ http-പ്രതികരണം ക്ലയന്റിന്റെ ബ്രൗസർ സ്വകാര്യ കീയുടെ (അതായത്, ക്ലയന്റ് തന്നെ) ഉടമയ്ക്ക് മാത്രമേ ഡീക്രിപ്റ്റ് ചെയ്യാൻ കഴിയൂ.

ഘട്ടം നമ്പർ 3 - ഒരു പൊതു ചാനൽ വഴി ഒരു സുരക്ഷിത കണക്ഷൻ സ്ഥാപിക്കൽ.
ഉദാഹരണം നമ്പർ 2-ൽ ഒരു അപകടസാധ്യതയുണ്ട് - http-അഭ്യർത്ഥന തടസ്സപ്പെടുത്തുന്നതിൽ നിന്നും പൊതു കീയെക്കുറിച്ചുള്ള വിവരങ്ങൾ എഡിറ്റ് ചെയ്യുന്നതിൽ നിന്നും അഭ്യുദയകാംക്ഷികളെ ഒന്നും തടയുന്നില്ല.
അങ്ങനെ, ആശയവിനിമയ ചാനൽ മാറുന്നതുവരെ അയച്ചതും സ്വീകരിച്ചതുമായ സന്ദേശങ്ങളുടെ എല്ലാ ഉള്ളടക്കവും ഇടനിലക്കാരൻ വ്യക്തമായി കാണും.
ഇത് കൈകാര്യം ചെയ്യുന്നത് വളരെ ലളിതമാണ് - വെബ് സെർവറിന്റെ പൊതു കീ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്ത സന്ദേശമായി ബ്രൗസറിന്റെ പൊതു കീ അയക്കുക.
വെബ് സെർവർ ആദ്യം "നിങ്ങളുടെ പൊതു കീ ഇതുപോലെയാണ്" എന്നതുപോലുള്ള ഒരു പ്രതികരണം അയയ്‌ക്കുകയും അതേ പബ്ലിക് കീ ഉപയോഗിച്ച് ഈ സന്ദേശം എൻക്രിപ്റ്റ് ചെയ്യുകയും ചെയ്യുന്നു.
ബ്രൗസർ പ്രതികരണം നോക്കുന്നു - "നിങ്ങളുടെ പൊതു കീ ഇതുപോലെയാണ്" എന്ന സന്ദേശം ലഭിച്ചാൽ - ഈ ആശയവിനിമയ ചാനൽ സുരക്ഷിതമാണെന്ന് ഇത് 100% ഉറപ്പ് നൽകുന്നു.
അത് എത്രത്തോളം സുരക്ഷിതമാണ്?
അത്തരമൊരു സുരക്ഷിത ആശയവിനിമയ ചാനലിന്റെ സൃഷ്ടി തന്നെ പിംഗ് * 2 വേഗതയിലാണ് സംഭവിക്കുന്നത്. ഉദാഹരണത്തിന് 20 മി.
ആക്രമണകാരിക്ക് ഒരു കക്ഷിയുടെ സ്വകാര്യ താക്കോൽ മുൻകൂട്ടി ഉണ്ടായിരിക്കണം. അല്ലെങ്കിൽ രണ്ട് മില്ലിസെക്കൻഡിനുള്ളിൽ ഒരു സ്വകാര്യ കീ കണ്ടെത്തുക.
ഒരു ആധുനിക സ്വകാര്യ കീ ഹാക്ക് ചെയ്യുന്നത് ഒരു സൂപ്പർ കമ്പ്യൂട്ടറിൽ പതിറ്റാണ്ടുകളെടുക്കും.

ഘട്ടം #4 - പൊതു കീകളുടെ പൊതു ഡാറ്റാബേസ്.
വ്യക്തമായും, ഈ മുഴുവൻ കഥയിലും ഒരു ആക്രമണകാരിക്ക് ക്ലയന്റും സെർവറും തമ്മിലുള്ള ആശയവിനിമയ ചാനലിൽ ഇരിക്കാനുള്ള അവസരമുണ്ട്.
ഉപഭോക്താവിന് സെർവറായി നടിക്കാൻ കഴിയും, കൂടാതെ സെർവറിന് ക്ലയന്റാണെന്ന് നടിക്കാം. രണ്ട് ദിശകളിലും ഒരു ജോടി കീകൾ അനുകരിക്കുക.
അപ്പോൾ അക്രമി എല്ലാ ട്രാഫിക്കും കാണുകയും ട്രാഫിക്ക് "എഡിറ്റ്" ചെയ്യാൻ കഴിയുകയും ചെയ്യും.
ഉദാഹരണത്തിന്, പണം അയയ്‌ക്കേണ്ട വിലാസം മാറ്റുക അല്ലെങ്കിൽ ഓൺലൈൻ ബാങ്കിംഗിൽ നിന്ന് പാസ്‌വേഡ് പകർത്തുക അല്ലെങ്കിൽ "ആക്ഷേപകരമായ" ഉള്ളടക്കം തടയുക.
അത്തരം ആക്രമണകാരികളെ നേരിടാൻ, ഓരോ https സൈറ്റുകൾക്കുമായി പൊതു കീകളുള്ള ഒരു പൊതു ഡാറ്റാബേസ് അവർ കൊണ്ടുവന്നു.
അത്തരം 200 ഡാറ്റാബേസുകളുടെ നിലനിൽപ്പിനെക്കുറിച്ച് ഓരോ ബ്രൗസറിനും "അറിയാം". ഇത് എല്ലാ ബ്രൗസറിലും മുൻകൂട്ടി ഇൻസ്റ്റാൾ ചെയ്തതാണ്.
"അറിവ്" എന്നത് ഓരോ സർട്ടിഫിക്കറ്റിൽ നിന്നും ഒരു പബ്ലിക് കീ ഉപയോഗിച്ച് പിന്തുണയ്ക്കുന്നു. അതായത്, ഓരോ നിർദ്ദിഷ്ട സർട്ടിഫിക്കേഷൻ അതോറിറ്റിയുമായുള്ള ബന്ധം വ്യാജമാക്കാൻ കഴിയില്ല.

Https-ന് SSL എങ്ങനെ ഉപയോഗിക്കണമെന്ന് ഇപ്പോൾ ഒരു ലളിതമായ ധാരണയുണ്ട്.
നിങ്ങളുടെ മസ്തിഷ്കം ഉപയോഗിക്കുകയാണെങ്കിൽ, ഈ ഘടനയിൽ എന്തെങ്കിലും ഹാക്ക് ചെയ്യാൻ പ്രത്യേക സേവനങ്ങൾക്ക് എങ്ങനെ കഴിയുമെന്ന് വ്യക്തമാകും. എന്നാൽ അത് അവർക്ക് കഠിനമായ പരിശ്രമങ്ങൾ ചിലവാക്കും.
കൂടാതെ NSA അല്ലെങ്കിൽ CIA എന്നിവയെക്കാളും ചെറിയ ഓർഗനൈസേഷനുകൾ - വിഐപികൾക്ക് പോലും നിലവിലുള്ള പരിരക്ഷയുടെ നിലവാരം ഹാക്ക് ചെയ്യുന്നത് മിക്കവാറും അസാധ്യമാണ്.

ssh കണക്ഷനുകളെക്കുറിച്ചും ഞാൻ ചേർക്കും. അവിടെ പൊതു കീകൾ ഒന്നുമില്ല, അതിനാൽ നിങ്ങൾക്ക് എന്തുചെയ്യാൻ കഴിയും? പ്രശ്നം രണ്ട് തരത്തിൽ പരിഹരിക്കപ്പെടുന്നു.
ssh-ബൈ-പാസ്‌വേഡ് ഓപ്ഷൻ:
ആദ്യ കണക്ഷൻ സമയത്ത്, ssh സെർവറിൽ നിന്ന് ഞങ്ങൾക്ക് ഒരു പുതിയ പൊതു കീ ഉണ്ടെന്ന് ssh ക്ലയന്റ് മുന്നറിയിപ്പ് നൽകണം.
കൂടുതൽ കണക്ഷനുകൾക്കിടയിൽ, "ssh സെർവറിൽ നിന്നുള്ള പുതിയ പൊതു കീ" എന്ന മുന്നറിയിപ്പ് ദൃശ്യമാകുകയാണെങ്കിൽ, അവർ നിങ്ങളെ ചോർത്താൻ ശ്രമിക്കുന്നുവെന്നാണ് അർത്ഥമാക്കുന്നത്.
അല്ലെങ്കിൽ നിങ്ങളുടെ ആദ്യ കണക്ഷൻ നിങ്ങൾ ചോർത്തപ്പെട്ടു, എന്നാൽ ഇപ്പോൾ നിങ്ങൾ ഇടനിലക്കാരില്ലാതെ സെർവറുമായി ആശയവിനിമയം നടത്തുന്നു.
യഥാർത്ഥത്തിൽ, വയർടാപ്പിംഗിന്റെ വസ്തുത എളുപ്പത്തിലും വേഗത്തിലും അനായാസമായും വെളിപ്പെടുത്തുന്ന വസ്തുത കാരണം, ഈ ആക്രമണം ഒരു നിർദ്ദിഷ്ട ക്ലയന്റിനായി പ്രത്യേക സന്ദർഭങ്ങളിൽ മാത്രമേ ഉപയോഗിക്കൂ.

ഓപ്ഷൻ ssh-ബൈ-കീ:
ഞങ്ങൾ ഒരു ഫ്ലാഷ് ഡ്രൈവ് എടുക്കുന്നു, അതിൽ ssh സെർവറിനായി സ്വകാര്യ കീ എഴുതുക (ഇതിനായി നിരവധി നിബന്ധനകളും പ്രധാനപ്പെട്ട സൂക്ഷ്മതകളും ഉണ്ട്, പക്ഷേ ഞാൻ ഒരു വിദ്യാഭ്യാസ പ്രോഗ്രാം എഴുതുകയാണ്, ഉപയോഗത്തിനുള്ള നിർദ്ദേശങ്ങളല്ല).
ssh ക്ലയന്റ് ഉള്ള മെഷീനിൽ ഞങ്ങൾ പബ്ലിക് കീ വിടുകയും ഞങ്ങൾ അത് രഹസ്യമായി സൂക്ഷിക്കുകയും ചെയ്യുന്നു.
ഞങ്ങൾ ഫ്ലാഷ് ഡ്രൈവ് സെർവറിലേക്ക് കൊണ്ടുവരുന്നു, അത് തിരുകുക, സ്വകാര്യ കീ പകർത്തുക, ഫ്ലാഷ് ഡ്രൈവ് കത്തിച്ച് ചാരം കാറ്റിലേക്ക് വിതറുക (അല്ലെങ്കിൽ കുറഞ്ഞത് പൂജ്യങ്ങളാൽ ഫോർമാറ്റ് ചെയ്യുക).
അത്രയേയുള്ളൂ - അത്തരമൊരു പ്രവർത്തനത്തിന് ശേഷം അത്തരമൊരു ssh കണക്ഷൻ ഹാക്ക് ചെയ്യുന്നത് അസാധ്യമാണ്. തീർച്ചയായും, 10 വർഷത്തിനുള്ളിൽ ഒരു സൂപ്പർ കമ്പ്യൂട്ടറിൽ ട്രാഫിക് കാണാൻ കഴിയും - എന്നാൽ ഇത് മറ്റൊരു കഥയാണ്.

ഓഫ് ടോപ്പിക്ക് ഞാൻ ക്ഷമ ചോദിക്കുന്നു.

അതിനാൽ ഇപ്പോൾ സിദ്ധാന്തം അറിയാം. ഒരു SSL സർട്ടിഫിക്കറ്റ് സൃഷ്ടിക്കുന്നതിന്റെ ഒഴുക്കിനെക്കുറിച്ച് ഞാൻ നിങ്ങളോട് പറയും.

“openssl genrsa” ഉപയോഗിച്ച് ഞങ്ങൾ ഒരു സ്വകാര്യ കീയും പബ്ലിക് കീക്കായി “ബ്ലാങ്കുകളും” സൃഷ്ടിക്കുന്നു.
ഞങ്ങൾ "ശൂന്യത" ഒരു മൂന്നാം കക്ഷി കമ്പനിക്ക് അയയ്ക്കുന്നു, ഏറ്റവും ലളിതമായ സർട്ടിഫിക്കറ്റിനായി ഞങ്ങൾ ഏകദേശം $9 അടയ്ക്കുന്നു.

കുറച്ച് മണിക്കൂറുകൾക്ക് ശേഷം, ഈ മൂന്നാം കക്ഷി കമ്പനിയിൽ നിന്ന് ഞങ്ങളുടെ "പബ്ലിക്" കീയും നിരവധി പൊതു കീകളുടെ ഒരു സെറ്റും ഞങ്ങൾക്ക് ലഭിക്കും.

എന്റെ പൊതു കീയുടെ രജിസ്ട്രേഷനായി ഒരു മൂന്നാം കക്ഷി കമ്പനി എന്തിന് പണം നൽകണം എന്നത് ഒരു പ്രത്യേക ചോദ്യമാണ്, ഞങ്ങൾ അത് ഇവിടെ പരിഗണിക്കില്ല.

ലിഖിതത്തിന്റെ അർത്ഥം എന്താണെന്ന് ഇപ്പോൾ വ്യക്തമാണ്:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

"/etc/ssl" ഫോൾഡറിൽ ssl പ്രശ്നങ്ങൾക്കുള്ള എല്ലാ ഫയലുകളും അടങ്ങിയിരിക്കുന്നു.
domain1.com — ഡൊമെയ്ൻ നാമം.
2018 പ്രധാന സൃഷ്ടിയുടെ വർഷമാണ്.
“കീ” - ഫയൽ ഒരു സ്വകാര്യ കീയാണെന്ന പദവി.

കൂടാതെ ഈ ഫയലിന്റെ അർത്ഥം:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com — ഡൊമെയ്ൻ നാമം.
2018 പ്രധാന സൃഷ്ടിയുടെ വർഷമാണ്.
ചങ്ങല - പൊതു കീകളുടെ ഒരു ശൃംഖലയുണ്ടെന്ന പദവി (ആദ്യത്തേത് ഞങ്ങളുടെ പബ്ലിക് കീയാണ്, ബാക്കിയുള്ളവ പബ്ലിക് കീ നൽകിയ കമ്പനിയിൽ നിന്നാണ് വന്നത്).
crt - ഒരു റെഡിമെയ്ഡ് സർട്ടിഫിക്കറ്റ് ഉണ്ടെന്നുള്ള പദവി (സാങ്കേതിക വിശദീകരണങ്ങളുള്ള പൊതു കീ).

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

ഈ സാഹചര്യത്തിൽ ഈ ക്രമീകരണം ഉപയോഗിക്കുന്നില്ല, പക്ഷേ ഒരു ഉദാഹരണമായി എഴുതിയിരിക്കുന്നു.

കാരണം ഈ പരാമീറ്ററിലെ ഒരു പിശക് നിങ്ങളുടെ സെർവറിൽ നിന്ന് (നിങ്ങളുടെ ഇഷ്ടമില്ലാതെ) സ്പാം അയയ്ക്കുന്നതിലേക്ക് നയിക്കും.

എന്നിട്ട് നിങ്ങൾ കുറ്റക്കാരനല്ലെന്ന് എല്ലാവരോടും തെളിയിക്കുക.

recipient_delimiter = +

പലർക്കും അറിയില്ലായിരിക്കാം, എന്നാൽ ഇമെയിലുകൾ റാങ്ക് ചെയ്യുന്നതിനുള്ള ഒരു സാധാരണ പ്രതീകമാണിത്, മിക്ക ആധുനിക മെയിൽ സെർവറുകളും ഇത് പിന്തുണയ്ക്കുന്നു.

ഉദാഹരണത്തിന്, നിങ്ങൾക്ക് ഒരു മെയിൽബോക്സ് ഉണ്ടെങ്കിൽ "[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]"ഇതിലേക്ക് അയയ്ക്കാൻ ശ്രമിക്കുക"[ഇമെയിൽ പരിരക്ഷിച്ചിരിക്കുന്നു]"- അതിൽ എന്താണ് വരുന്നതെന്ന് നോക്കൂ.

inet_protocols = ipv4

ഇത് ആശയക്കുഴപ്പമുണ്ടാക്കിയേക്കാം.

എന്നാൽ അത് അങ്ങനെയല്ല. ഓരോ പുതിയ ഡൊമെയ്‌നും ഡിഫോൾട്ടായി IPv4 മാത്രമായിരിക്കും, തുടർന്ന് ഞാൻ ഓരോന്നിനും വെവ്വേറെ IPv6 ഓണാക്കുന്നു.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

എല്ലാ ഇൻകമിംഗ് മെയിലുകളും dovecot-ലേക്ക് പോകുന്നുവെന്ന് ഞങ്ങൾ ഇവിടെ വ്യക്തമാക്കുന്നു.
ഡൊമെയ്ൻ, മെയിൽബോക്സ്, അപരനാമം - ഡാറ്റാബേസിൽ നോക്കുക എന്നിവയ്ക്കുള്ള നിയമങ്ങൾ.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

ഡോവ്‌കോട്ട് ഉപയോഗിച്ചുള്ള അംഗീകാരത്തിന് ശേഷം മാത്രമേ കൂടുതൽ അയയ്‌ക്കുന്നതിന് മെയിൽ സ്വീകരിക്കാൻ കഴിയൂ എന്ന് പോസ്റ്റ്ഫിക്‌സിന് അറിയാം.

എന്തുകൊണ്ടാണ് ഇത് ഇവിടെ തനിപ്പകർപ്പാക്കിയതെന്ന് എനിക്ക് ശരിക്കും മനസ്സിലാകുന്നില്ല. "വെർച്വൽ_ട്രാൻസ്പോർട്ടിൽ" ആവശ്യമായ എല്ലാ കാര്യങ്ങളും ഞങ്ങൾ ഇതിനകം വ്യക്തമാക്കിയിട്ടുണ്ട്.

എന്നാൽ പോസ്റ്റ്ഫിക്സ് സിസ്റ്റം വളരെ പഴയതാണ് - ഒരുപക്ഷേ ഇത് പഴയ ദിവസങ്ങളിൽ നിന്നുള്ള ഒരു തിരിച്ചുവരവാണ്.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

ഓരോ മെയിൽ സെർവറിനും ഇത് വ്യത്യസ്തമായി ക്രമീകരിക്കാം.

എനിക്ക് 3 മെയിൽ സെർവറുകൾ ഉണ്ട്, വ്യത്യസ്ത ഉപയോഗ ആവശ്യകതകൾ കാരണം ഈ ക്രമീകരണങ്ങൾ വളരെ വ്യത്യസ്തമാണ്.

നിങ്ങൾ ഇത് ശ്രദ്ധാപൂർവ്വം കോൺഫിഗർ ചെയ്യേണ്ടതുണ്ട് - അല്ലാത്തപക്ഷം സ്പാം നിങ്ങളിലേക്ക് പകരും, അല്ലെങ്കിൽ അതിലും മോശം - സ്പാം നിങ്ങളിൽ നിന്ന് ഒഴുകും.

# SPF
policyd-spf_time_limit = 3600

ഇൻകമിംഗ് അക്ഷരങ്ങളുടെ SPF പരിശോധിക്കുന്നതുമായി ബന്ധപ്പെട്ട ചില പ്ലഗിൻ സജ്ജീകരിക്കുന്നു.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

എല്ലാ ഔട്ട്‌ഗോയിംഗ് ഇമെയിലുകൾക്കൊപ്പം ഞങ്ങൾ ഒരു DKIM ഒപ്പ് നൽകണം എന്നതാണ് ക്രമീകരണം.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

PHP സ്ക്രിപ്റ്റുകളിൽ നിന്ന് കത്തുകൾ അയയ്ക്കുമ്പോൾ ലെറ്റർ റൂട്ടിംഗിലെ ഒരു പ്രധാന വിശദാംശമാണിത്.

ഫയൽ “/etc/postfix/sdd_transport.pcre”:

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

ഇടതുവശത്ത് പതിവ് പദപ്രയോഗങ്ങളുണ്ട്. വലതുവശത്ത് അക്ഷരം അടയാളപ്പെടുത്തുന്ന ഒരു ലേബൽ ഉണ്ട്.
ലേബലിന് അനുസൃതമായി പോസ്റ്റ്ഫിക്സ് - ഒരു നിർദ്ദിഷ്ട അക്ഷരത്തിനായി കുറച്ച് കോൺഫിഗറേഷൻ ലൈനുകൾ കൂടി കണക്കിലെടുക്കും.

ഒരു നിർദ്ദിഷ്‌ട അക്ഷരത്തിനായി പോസ്റ്റ്ഫിക്‌സ് എങ്ങനെ കൃത്യമായി പുനഃക്രമീകരിക്കും എന്ന് "master.cf" ൽ സൂചിപ്പിക്കും.

4, 5, 6 വരികളാണ് പ്രധാനം. ഏത് ഡൊമെയ്‌നിന് വേണ്ടിയാണ് ഞങ്ങൾ കത്ത് അയയ്ക്കുന്നത്, ഞങ്ങൾ ഈ ലേബൽ ഇടുന്നു.
എന്നാൽ പഴയ കോഡിലെ PHP സ്ക്രിപ്റ്റുകളിൽ "നിന്ന്" ഫീൽഡ് എല്ലായ്പ്പോഴും സൂചിപ്പിച്ചിട്ടില്ല. അപ്പോൾ ഉപയോക്തൃനാമം രക്ഷാപ്രവർത്തനത്തിലേക്ക് വരുന്നു.

ലേഖനം ഇതിനകം തന്നെ വിപുലമാണ് - nginx+fpm സജ്ജീകരിച്ച് ശ്രദ്ധ തിരിക്കാൻ ഞാൻ ആഗ്രഹിക്കുന്നില്ല.

ചുരുക്കത്തിൽ, ഓരോ സൈറ്റിനും ഞങ്ങൾ അതിന്റേതായ ലിനക്സ്-ഉപയോക്തൃ ഉടമയെ സജ്ജമാക്കുന്നു. അതനുസരിച്ച് നിങ്ങളുടെ fpm-പൂൾ.

Fpm-pool php-യുടെ ഏത് പതിപ്പും ഉപയോഗിക്കുന്നു (ഒരേ സെർവറിൽ നിങ്ങൾക്ക് php യുടെ വ്യത്യസ്ത പതിപ്പുകളും വ്യത്യസ്‌ത php.ini-യും പ്രശ്‌നങ്ങളില്ലാതെ അയൽ സൈറ്റുകൾക്കായി ഉപയോഗിക്കുമ്പോൾ ഇത് വളരെ മികച്ചതാണ്).

അതിനാൽ, ഒരു നിർദ്ദിഷ്ട ലിനക്സ്-ഉപയോക്താവിന് "www-domain2" ഒരു വെബ്സൈറ്റ് domain2.com ഉണ്ട്. ഫ്രം ഫീൽഡ് വ്യക്തമാക്കാതെ ഇമെയിലുകൾ അയയ്‌ക്കുന്നതിനുള്ള ഒരു കോഡ് ഈ സൈറ്റിലുണ്ട്.

അതിനാൽ, ഈ സാഹചര്യത്തിൽ പോലും, അക്ഷരങ്ങൾ കൃത്യമായി അയയ്‌ക്കും, അവ ഒരിക്കലും സ്‌പാമിൽ അവസാനിക്കില്ല.

എന്റെ "/etc/postfix/master.cf" ഇതുപോലെ കാണപ്പെടുന്നു:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

ഫയൽ പൂർണ്ണമായി നൽകിയിട്ടില്ല - ഇത് ഇതിനകം വളരെ വലുതാണ്.
എന്താണ് മാറിയതെന്ന് മാത്രം ഞാൻ ശ്രദ്ധിച്ചു.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

ഇവ സ്പാമസാസിനുമായി ബന്ധപ്പെട്ട ക്രമീകരണങ്ങളാണ്, പിന്നീട് കൂടുതൽ.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

പോർട്ട് 587 വഴി മെയിൽ സെർവറിലേക്ക് കണക്റ്റുചെയ്യാൻ ഞങ്ങൾ നിങ്ങളെ അനുവദിക്കുന്നു.
ഇത് ചെയ്യുന്നതിന്, നിങ്ങൾ ലോഗിൻ ചെയ്യണം.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

SPF പരിശോധന പ്രവർത്തനക്ഷമമാക്കുക.

apt-get install postfix-policyd-spf-python

മുകളിലുള്ള SPF പരിശോധനകൾക്കായി നമുക്ക് പാക്കേജ് ഇൻസ്റ്റാൾ ചെയ്യാം.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

കൂടാതെ ഏറ്റവും രസകരമായ കാര്യം ഇതാണ്. ഒരു നിർദ്ദിഷ്ട IPv4/IPv6 വിലാസത്തിൽ നിന്ന് ഒരു നിർദ്ദിഷ്‌ട ഡൊമെയ്‌നിനായി അക്ഷരങ്ങൾ അയയ്‌ക്കാനുള്ള കഴിവാണിത്.

rDNS ന് വേണ്ടിയാണ് ഇത് ചെയ്യുന്നത്. ഐപി വിലാസം വഴി ഒരു സ്ട്രിംഗ് സ്വീകരിക്കുന്ന പ്രക്രിയയാണ് rDNS.
മെയിലിനായി, ഇമെയിൽ അയച്ച വിലാസത്തിന്റെ ആർഡിഎൻഎസുമായി ഹെലോ കൃത്യമായി പൊരുത്തപ്പെടുന്നുവെന്ന് സ്ഥിരീകരിക്കാൻ ഈ സവിശേഷത ഉപയോഗിക്കുന്നു.

കത്ത് അയച്ച വ്യക്തിയുടെ ഇമെയിൽ ഡൊമെയ്‌നുമായി ഹെലോ പൊരുത്തപ്പെടുന്നില്ലെങ്കിൽ, സ്പാം പോയിന്റുകൾ നൽകും.

Helo rDNS-മായി പൊരുത്തപ്പെടുന്നില്ല - ധാരാളം സ്പാം പോയിന്റുകൾ നൽകുന്നു.
അതനുസരിച്ച്, ഓരോ ഡൊമെയ്‌നിനും അതിന്റേതായ IP വിലാസം ഉണ്ടായിരിക്കണം.
OVH-ന് - കൺസോളിൽ rDNS വ്യക്തമാക്കാൻ സാധിക്കും.
tech.ru നായി - പിന്തുണയിലൂടെ പ്രശ്നം പരിഹരിക്കപ്പെടുന്നു.
AWS-നെ സംബന്ധിച്ചിടത്തോളം, പിന്തുണയിലൂടെ പ്രശ്നം പരിഹരിക്കപ്പെടുന്നു.
“inet_protocols”, “smtp_bind_address6” - ഞങ്ങൾ IPv6 പിന്തുണ പ്രവർത്തനക്ഷമമാക്കുന്നു.
IPv6-നായി നിങ്ങൾ rDNS-ലും രജിസ്റ്റർ ചെയ്യേണ്ടതുണ്ട്.
“syslog_name” - ഇത് ലോഗുകൾ വായിക്കുന്നതിനുള്ള എളുപ്പത്തിനായാണ്.

സർട്ടിഫിക്കറ്റുകൾ വാങ്ങുക ഞാൻ ഇവിടെ ശുപാർശ ചെയ്യുന്നു.

postfix+dovecot ലിങ്ക് ഇവിടെ സജ്ജീകരിക്കുന്നു.

SPF ക്രമീകരണം.

============== പ്രാവ് ==============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

mysql സജ്ജീകരിക്കുന്നു, പാക്കേജുകൾ സ്വയം ഇൻസ്റ്റാൾ ചെയ്യുന്നു.

ഫയൽ "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

അംഗീകാരം എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു.

ഫയൽ “/etc/dovecot/conf.d/10-mail.conf”

mail_location = maildir:/var/mail/vhosts/%d/%n

ഇവിടെ നമ്മൾ അക്ഷരങ്ങളുടെ സംഭരണ ​​സ്ഥാനം സൂചിപ്പിക്കുന്നു.

അവ ഫയലുകളിൽ സംഭരിക്കാനും ഡൊമെയ്‌ൻ പ്രകാരം ഗ്രൂപ്പുചെയ്യാനും ഞാൻ ആഗ്രഹിക്കുന്നു.

ഫയൽ "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

ഇതാണ് പ്രധാന dovecot കോൺഫിഗറേഷൻ ഫയൽ.
ഇവിടെ ഞങ്ങൾ സുരക്ഷിതമല്ലാത്ത കണക്ഷനുകൾ പ്രവർത്തനരഹിതമാക്കുന്നു.
കൂടാതെ സുരക്ഷിത കണക്ഷനുകൾ പ്രവർത്തനക്ഷമമാക്കുക.

ഫയൽ "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

ssl സജ്ജീകരിക്കുന്നു. ssl ആവശ്യമാണെന്ന് ഞങ്ങൾ സൂചിപ്പിക്കുന്നു.
പിന്നെ സർട്ടിഫിക്കറ്റ് തന്നെ. ഒരു പ്രധാന വിശദാംശം "പ്രാദേശിക" നിർദ്ദേശമാണ്. ഏത് ലോക്കൽ IPv4-ലേക്ക് ബന്ധിപ്പിക്കുമ്പോൾ ഏത് ssl സർട്ടിഫിക്കറ്റ് ഉപയോഗിക്കണമെന്ന് സൂചിപ്പിക്കുന്നു.

വഴിയിൽ, IPv6 ഇവിടെ കോൺഫിഗർ ചെയ്തിട്ടില്ല, ഈ ഒഴിവാക്കൽ ഞാൻ പിന്നീട് ശരിയാക്കാം.
XX.XX.XX.X5 (domain2) - സർട്ടിഫിക്കറ്റ് ഇല്ല. ക്ലയന്റുകളെ ബന്ധിപ്പിക്കുന്നതിന് നിങ്ങൾ domain1.com വ്യക്തമാക്കേണ്ടതുണ്ട്.
XX.XX.XX.X2 (domain3) - ഒരു സർട്ടിഫിക്കറ്റ് ഉണ്ട്, ക്ലയന്റുകളെ ബന്ധിപ്പിക്കുന്നതിന് നിങ്ങൾക്ക് domain1.com അല്ലെങ്കിൽ domain3.com വ്യക്തമാക്കാം.

ഫയൽ "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

ഇത് ഭാവിയിൽ സ്പാമസാസിൻ വേണ്ടി വരും.

ഫയൽ "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

ഇതൊരു ആന്റിസ്പാം പ്ലഗിൻ ആണ്. "സ്പാം" ഫോൾഡറിലേക്ക്/അതിൽ നിന്ന് ട്രാൻസ്ഫർ ചെയ്യുന്ന സമയത്ത് സ്പാമസ്സാസിൻ പരിശീലനത്തിന് ആവശ്യമാണ്.

ഫയൽ "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

അത്തരത്തിലുള്ള ഒരു ഫയൽ മാത്രമേയുള്ളൂ.

ഫയൽ “/etc/dovecot/conf.d/20-lmtp.conf”

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

lmtp സജ്ജീകരിക്കുന്നു.

ഫയൽ "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

സ്‌പാം ഫോൾഡറിലേക്ക്/അതിൽ നിന്ന് കൈമാറ്റം ചെയ്യപ്പെടുന്ന സമയത്ത് സ്‌പാമാസാസിൻ പരിശീലന ക്രമീകരണം.

ഫയൽ "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

ഇൻകമിംഗ് അക്ഷരങ്ങൾ എന്തുചെയ്യണമെന്ന് വ്യക്തമാക്കുന്ന ഒരു ഫയൽ.

ഫയൽ "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

നിങ്ങൾ ഫയൽ കംപൈൽ ചെയ്യേണ്ടതുണ്ട്: "sievec default.sieve".

ഫയൽ "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

അംഗീകാരത്തിനായി sql ഫയലുകൾ വ്യക്തമാക്കുന്നു.
കൂടാതെ ഫയൽ തന്നെ ഒരു അംഗീകാര രീതിയായി ഉപയോഗിക്കുന്നു.

ഫയൽ "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

ഇത് പോസ്റ്റ്ഫിക്സിനുള്ള സമാന ക്രമീകരണങ്ങളുമായി പൊരുത്തപ്പെടുന്നു.

ഫയൽ "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

പ്രധാന കോൺഫിഗറേഷൻ ഫയൽ.
പ്രധാന കാര്യം ഞങ്ങൾ ഇവിടെ സൂചിപ്പിക്കുന്നു എന്നതാണ് - പ്രോട്ടോക്കോളുകൾ ചേർക്കുക.

============= SpamAssassin =============

apt-get install spamassassin spamc

നമുക്ക് പാക്കേജുകൾ ഇൻസ്റ്റാൾ ചെയ്യാം.

adduser spamd --disabled-login

ആരുടെ പേരിൽ ഒരു ഉപയോക്താവിനെ ചേർക്കാം.

systemctl enable spamassassin.service

ലോഡുചെയ്യുമ്പോൾ സ്‌പാമാസാസിൻ സേവനം ഞങ്ങൾ സ്വയമേവ ലോഡുചെയ്യുന്നത് പ്രവർത്തനക്ഷമമാക്കുന്നു.

ഫയൽ "/etc/default/spamassassin":

CRON=1

"സ്ഥിരസ്ഥിതിയായി" നിയമങ്ങളുടെ യാന്ത്രിക അപ്ഡേറ്റ് പ്രവർത്തനക്ഷമമാക്കുന്നതിലൂടെ.

ഫയൽ “/etc/spamassassin/local.cf”:

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

നിങ്ങൾ mysql-ൽ "sa" എന്ന ഉപയോക്താവ് "പാസ്‌വേഡ്" എന്ന പാസ്‌വേഡ് ഉപയോഗിച്ച് ഒരു ഡാറ്റാബേസ് സൃഷ്ടിക്കേണ്ടതുണ്ട് (പര്യാപ്തമായ എന്തെങ്കിലും ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുക).

റിപ്പോർട്ട്_സേഫ് - ഇത് ഒരു കത്തിന് പകരം സ്പാം ഇമെയിലിന്റെ റിപ്പോർട്ട് അയയ്ക്കും.
സ്‌പാമാസാസിൻ മെഷീൻ ലേണിംഗ് ക്രമീകരണങ്ങളാണ് use_bayes.

ശേഷിക്കുന്ന സ്പാമസാസിൻ ക്രമീകരണങ്ങൾ ലേഖനത്തിൽ നേരത്തെ ഉപയോഗിച്ചിരുന്നു.

പൊതുവായ ക്രമീകരണം "സ്പാമാസാസിൻ".
IMAP "സ്പാം" ഫോൾഡറിലേക്ക് പുതിയ സ്പാം ഇമെയിലുകൾ നീക്കുന്നതിനെക്കുറിച്ച്.
Dovecot + SpamAssassin എന്ന ലളിതമായ സംയോജനത്തെക്കുറിച്ച്.
Imap ഫോൾഡറുകളിൽ അക്ഷരങ്ങൾ നീക്കുമ്പോൾ സ്പാമസാസിൻ പഠന സിദ്ധാന്തം വായിക്കാൻ ഞാൻ ശുപാർശ ചെയ്യുന്നു (അത് ഉപയോഗിക്കാൻ ഞാൻ ശുപാർശ ചെയ്യുന്നില്ല).

============= സമൂഹത്തോട് അഭ്യർത്ഥിക്കുക =============

ഫോർവേഡ് ചെയ്ത കത്തുകളുടെ സുരക്ഷ എങ്ങനെ വർദ്ധിപ്പിക്കാം എന്നതിനെക്കുറിച്ചുള്ള ഒരു ആശയം സമൂഹത്തിലേക്ക് എറിയാനും ഞാൻ ആഗ്രഹിക്കുന്നു. മെയിൽ എന്ന വിഷയത്തിൽ ഞാൻ ആഴത്തിൽ മുഴുകിയിരിക്കുന്നതിനാൽ.

അതുവഴി ഉപയോക്താവിന് തന്റെ ക്ലയന്റിൽ ഒരു ജോടി കീകൾ സൃഷ്ടിക്കാൻ കഴിയും (ഔട്ട്ലുക്ക്, തണ്ടർബേർഡ്, ബ്രൗസർ-പ്ലഗിൻ, ...). പൊതുവും സ്വകാര്യവും. പൊതുവായത് - DNS-ലേക്ക് അയയ്ക്കുക. സ്വകാര്യം - ക്ലയന്റിൽ സംരക്ഷിക്കുക. ഒരു നിർദ്ദിഷ്‌ട സ്വീകർത്താവിന് അയയ്‌ക്കാൻ മെയിൽ സെർവറുകൾക്ക് ഒരു പൊതു കീ ഉപയോഗിക്കാൻ കഴിയും.

അത്തരം അക്ഷരങ്ങളുള്ള സ്പാമിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് (അതെ, മെയിൽ സെർവറിന് ഉള്ളടക്കം കാണാൻ കഴിയില്ല) - നിങ്ങൾ 3 നിയമങ്ങൾ അവതരിപ്പിക്കേണ്ടതുണ്ട്:

1. നിർബന്ധിത യഥാർത്ഥ DKIM ഒപ്പ്, നിർബന്ധിത SPF, നിർബന്ധിത rDNS.
2. ആന്റിസ്പാം പരിശീലന വിഷയത്തെക്കുറിച്ചുള്ള ഒരു ന്യൂറൽ നെറ്റ്‌വർക്ക് + ക്ലയന്റ് ഭാഗത്ത് അതിനുള്ള ഒരു ഡാറ്റാബേസ്.
3. എൻക്രിപ്ഷൻ അൽഗോരിതം അയക്കുന്ന വശം സ്വീകരിക്കുന്ന വശത്തേക്കാൾ 100 മടങ്ങ് കൂടുതൽ സിപിയു പവർ എൻക്രിപ്ഷനിൽ ചെലവഴിക്കണം.

പൊതു കത്തുകൾക്ക് പുറമേ, "സുരക്ഷിത കത്തിടപാടുകൾ ആരംഭിക്കുന്നതിന്" ഒരു സ്റ്റാൻഡേർഡ് പ്രൊപ്പോസൽ ലെറ്റർ വികസിപ്പിക്കുക. ഉപയോക്താക്കളിൽ ഒരാൾ (മെയിൽബോക്സ്) മറ്റൊരു മെയിൽബോക്സിലേക്ക് ഒരു അറ്റാച്ച്മെന്റ് ഉള്ള ഒരു കത്ത് അയയ്ക്കുന്നു. കത്തിടപാടുകൾക്കായി ഒരു സുരക്ഷിത ആശയവിനിമയ ചാനൽ ആരംഭിക്കുന്നതിനുള്ള ഒരു വാചക നിർദ്ദേശവും മെയിൽബോക്സിന്റെ ഉടമയുടെ പൊതു കീയും (ക്ലയന്റ് വശത്ത് ഒരു സ്വകാര്യ കീ ഉപയോഗിച്ച്) കത്തിൽ അടങ്ങിയിരിക്കുന്നു.

ഓരോ കത്തിടപാടുകൾക്കും നിങ്ങൾക്ക് പ്രത്യേകമായി രണ്ട് കീകൾ ഉണ്ടാക്കാം. സ്വീകർത്താവ് ഉപയോക്താവിന് ഈ ഓഫർ സ്വീകരിക്കാനും അവന്റെ പബ്ലിക് കീ അയയ്‌ക്കാനും കഴിയും (ഈ കത്തിടപാടുകൾക്കായി പ്രത്യേകം തയ്യാറാക്കിയത്). അടുത്തതായി, ആദ്യ ഉപയോക്താവ് ഒരു സേവന നിയന്ത്രണ കത്ത് അയയ്‌ക്കുന്നു (രണ്ടാമത്തെ ഉപയോക്താവിന്റെ പൊതു കീ ഉപയോഗിച്ച് എൻ‌ക്രിപ്റ്റ് ചെയ്‌തത്) - അത് ലഭിച്ചാൽ രണ്ടാമത്തെ ഉപയോക്താവിന് രൂപീകരിച്ച ആശയവിനിമയ ചാനൽ വിശ്വസനീയമായി കണക്കാക്കാം. അടുത്തതായി, രണ്ടാമത്തെ ഉപയോക്താവ് ഒരു നിയന്ത്രണ കത്ത് അയയ്ക്കുന്നു - തുടർന്ന് ആദ്യത്തെ ഉപയോക്താവിന് രൂപീകരിച്ച ചാനൽ സുരക്ഷിതമായി പരിഗണിക്കാം.

റോഡിലെ കീകളുടെ തടസ്സത്തെ ചെറുക്കുന്നതിന്, ഒരു ഫ്ലാഷ് ഡ്രൈവ് ഉപയോഗിച്ച് കുറഞ്ഞത് ഒരു പൊതു കീ എങ്കിലും കൈമാറുന്നതിനുള്ള സാധ്യത പ്രോട്ടോക്കോൾ നൽകണം.

ഏറ്റവും പ്രധാനപ്പെട്ട കാര്യം എല്ലാം പ്രവർത്തിക്കുന്നു എന്നതാണ് (ചോദ്യം "ആരാണ് ഇതിന് പണം നൽകുന്നത്?"):
10 വർഷത്തേക്ക് $3 മുതൽ ആരംഭിക്കുന്ന തപാൽ സർട്ടിഫിക്കറ്റുകൾ നൽകുക. "എന്റെ പൊതു കീകൾ അവിടെയുണ്ട്" എന്ന് dns-ൽ സൂചിപ്പിക്കാൻ അയച്ചയാളെ ഇത് അനുവദിക്കും. സുരക്ഷിതമായ ഒരു കണക്ഷൻ ആരംഭിക്കാനുള്ള അവസരം അവർ നിങ്ങൾക്ക് നൽകും. അതേ സമയം, അത്തരം കണക്ഷനുകൾ സ്വീകരിക്കുന്നത് സൗജന്യമാണ്.
gmail ഒടുവിൽ അതിന്റെ ഉപയോക്താക്കളെ ധനസമ്പാദനം നടത്തുന്നു. 10 വർഷത്തിൽ $3-ന് - സുരക്ഷിതമായ കത്തിടപാടുകൾ ചാനലുകൾ സൃഷ്ടിക്കുന്നതിനുള്ള അവകാശം.

============= നിഗമനം ================

മുഴുവൻ ലേഖനവും പരിശോധിക്കാൻ, ഞാൻ ഒരു മാസത്തേക്ക് ഒരു സമർപ്പിത സെർവർ വാടകയ്‌ക്കെടുക്കാനും ഒരു SSL സർട്ടിഫിക്കറ്റ് ഉള്ള ഒരു ഡൊമെയ്‌ൻ വാങ്ങാനും പോകുകയായിരുന്നു.

എന്നാൽ ജീവിതസാഹചര്യങ്ങൾ വികസിപ്പിച്ചതിനാൽ ഈ പ്രശ്നം 2 മാസത്തോളം നീണ്ടു.
അതിനാൽ, എനിക്ക് വീണ്ടും ഒഴിവു സമയം ലഭിച്ചപ്പോൾ, പ്രസിദ്ധീകരണം മറ്റൊരു വർഷത്തേക്ക് വലിച്ചിടുമെന്ന അപകടത്തെക്കാൾ, ലേഖനം അതേപടി പ്രസിദ്ധീകരിക്കാൻ ഞാൻ തീരുമാനിച്ചു.

“എന്നാൽ ഇത് വേണ്ടത്ര വിശദമായി വിവരിച്ചിട്ടില്ല” എന്നതുപോലുള്ള ധാരാളം ചോദ്യങ്ങളുണ്ടെങ്കിൽ, ഒരു പുതിയ ഡൊമെയ്‌നും ഒരു പുതിയ SSL സർട്ടിഫിക്കറ്റും ഉള്ള ഒരു സമർപ്പിത സെർവർ എടുത്ത് കൂടുതൽ വിശദമായി വിവരിക്കുന്നതിനുള്ള ശക്തി ഉണ്ടായിരിക്കും. പ്രധാനമായി, നഷ്ടപ്പെട്ട എല്ലാ പ്രധാന വിശദാംശങ്ങളും തിരിച്ചറിയുക.

തപാൽ സർട്ടിഫിക്കറ്റുകളെക്കുറിച്ചുള്ള ആശയങ്ങളെക്കുറിച്ചുള്ള ഫീഡ്‌ബാക്ക് ലഭിക്കാനും ഞാൻ ആഗ്രഹിക്കുന്നു. നിങ്ങൾക്ക് ആശയം ഇഷ്ടമാണെങ്കിൽ, rfc-യ്‌ക്കായി ഒരു ഡ്രാഫ്റ്റ് എഴുതാനുള്ള ശക്തി കണ്ടെത്താൻ ഞാൻ ശ്രമിക്കും.

ഒരു ലേഖനത്തിന്റെ വലിയ ഭാഗങ്ങൾ പകർത്തുമ്പോൾ, ഈ ലേഖനത്തിലേക്കുള്ള ഒരു ലിങ്ക് നൽകുക.
മറ്റേതെങ്കിലും ഭാഷയിലേക്ക് വിവർത്തനം ചെയ്യുമ്പോൾ, ഈ ലേഖനത്തിലേക്കുള്ള ഒരു ലിങ്ക് നൽകുക.
ഞാൻ തന്നെ അത് ഇംഗ്ലീഷിലേക്ക് വിവർത്തനം ചെയ്ത് ക്രോസ് റഫറൻസുകൾ ഇടാൻ ശ്രമിക്കും.

അവലംബം: www.habr.com