ΠΡΠΎΠ΅ΠΊΡΠΈΡΠΎΠ²Π°Π½ΠΈΠ΅
Mel, mel... βPada masa ini, mana-mana pengguna baru boleh mencipta peti mel elektronik percuma sendiri, hanya mendaftar di salah satu portal Internet,β kata Wikipedia. Jadi menjalankan pelayan mel anda sendiri untuk ini agak pelik. Walau bagaimanapun, saya tidak menyesali bulan yang saya habiskan untuk ini, mengira dari hari saya memasang OS hingga hari saya menghantar surat pertama saya kepada penerima di Internet.
Malah, penerima iptv dan "komputer papan tunggal berdasarkan pemproses Baikal-T1," serta Cubieboard, Banana Pi dan peranti lain yang dilengkapi dengan mikropemproses ARM boleh diletakkan pada tahap yang sama seperti "raspberi." "Malinka" dipilih sebagai pilihan yang paling agresif diiklankan. Ia mengambil masa lebih daripada satu bulan untuk mencari sekurang-kurangnya beberapa kegunaan berguna untuk "komputer papan tunggal" ini. Akhirnya, saya memutuskan untuk melancarkan pelayan mel padanya, setelah membaca novel fiksyen sains tentang realiti maya baru-baru ini.
"Ini adalah visi yang indah tentang masa depan Web," kata Wikipedia. 20 tahun telah berlalu sejak tarikh penerbitan pertama. Masa depan telah tiba. Walau bagaimanapun, ia tidak kelihatan hebat kepada saya tanpa tujuh ribu pelanggan, sepuluh ribu rubel "pendapatan bulanan untuk tapak saya," dsb. Yang, mungkin, mendorong saya ke arah "rangkaian sosial terdesentralisasi" dengan "bilangan suka yang sedikit pada siaran (pengguna baharu - N.M.) mereka", mendaftarkan domain dan melancarkan pelayan saya sendiri.
Saya tidak pandai undang-undang. Melainkan saya menerima mesej pada telefon mudah alih saya tentang keperluan untuk mengesahkan data peribadi berkaitan dengan mula berkuat kuasa pindaan kepada undang-undang persekutuan 126-FZ, ini adalah undang-undang yang saya tahu.
Dan kemudian ternyata undang-undang ini seperti cendawan selepas hujan. Jika saya terus menggunakan mel percuma, saya mungkin tidak akan tahu.
"Dan siapa awak dan saya sekarang?"
Pertama, tiada penganjur perkhidmatan e-mel dalam undang-undang. Terdapat "penganjur perkhidmatan pemesejan segera", tetapi ini sedikit berbeza. Penambahan "untuk keperluan peribadi, keluarga dan isi rumah", sudah tentu, menghapuskan dari penganjur ini semua kewajipan yang diperuntukkan oleh undang-undang, tetapi bagaimanapun bukan dari penganjur yang diperlukan.
Dengan adanya, bersama-sama dengan undang-undang, panduan untuk Pelayan Ubuntu, saya rasa bahawa sebagai tambahan kepada sembang dengan mesej segera mereka, "untuk menerima, menghantar, menghantar dan (atau) memproses mesej elektronik pengguna Internet," perkhidmatan e-mel juga dimaksudkan (yang jelas), dan pelayan fail (yang tidak begitu jelas).
Pembangunan
Berbanding dengan artikel lain di sini dengan postfix hashtag, ciptaan saya, sudah tentu, sangat primitif. Tiada pengesahan pengguna, tiada pangkalan data, tiada pengguna yang tidak terikat dengan akaun tempatan (yang pertama dan ketiga berada dalam "pelayan mel minimum"; pangkalan data hampir di mana-mana, sama seperti dovecat).
"Menyediakan sistem mel, pada pendapat saya, adalah tugas paling sukar dalam pentadbiran sistem," tulis seorang pengguna Habra dengan sangat baik. Mengikuti (daripada ), saya, walau bagaimanapun, meninggalkan bahagian tentang pangkalan data alias, fail .forward dan alias maya.
Tetapi untuk ssl/tls saya mengambil 12 baris konfigurasi ditambah 9 baris arahan untuk bash untuk membuat sijil daripada Postfix khusus di CommunityHelpWiki (pada domain yang sama ) (hanya ssl/tls ini berfungsi - itulah persoalannya). Firewall dalam akaun peribadi pembekal, nat pada penghala (saya menangguhkan penyediaan Mikrotik selama mungkin; Saya menghantar surat dengan menyambungkan pelayan mel terus ke kabel pembekal Internet yang dipasang di apartmen), mel arahan, mailq, pengecam postsuper -d, fail juga berguna /var/log/mail.log, parameter always_add_missing_headers, maklumat tentang rekod ptr, akhirnya, tapak mail-tester.com (dengan reka bentuk oligofrenik), yang tidak ditulis dalam "mel β artikel tentang Habr, seolah-olah ia adalah satu perkara yang sudah tentu .
Sebelum membetulkan nilai parameter myhostname dalam fail /etc/postfix/main.cf
Selepas membetulkan nilai parameter myhostname dalam fail /etc/postfix/main.cf
Surat pertama daripada perkhidmatan sokongan teknikal penyedia Internet mengajar saya bahawa tidak perlu membuka surat menggunakan program konsol mel, supaya kemudiannya ia boleh dibuka dan dibaca menggunakan klien e-mel yang biasa. Nampaknya, ini bukan masalah "untuk pentadbir pemula".
Sebaliknya, dalam ulasan (kepada artikel lain dengan hashtag postfix) seorang pengguna Habr bertanya "untuk merumitkan sedikit perkara, bagaimana pula antara muka web ke bahagian yang berbeza dan pengesahan dari pangkalan data", untuk yang lain "nampaknya, ia adalah yang paling sukar bagi mereka yang tidak pernah mencuba sesuatu yang lebih manis daripada lobak: kerosakan kernel, keselamatan (selinux/apparmor), sistem yang diedarkan sedikit...", satu pertiga menulis tentang "skrip iRedmail". Anda hanya tunggu yang seterusnya mencadangkan penulisan tentang IPv6.
Perkhidmatan e-mel bukanlah kuda sfera dalam vakum, ia adalah sebahagian daripada keseluruhan - daripada memilih komputer dan nama domain kepada menyediakan penghala - yang mana tiada manual untuk menyediakan pelayan mel boleh meliputi (dan di mana anda mungkin tidak akan pernah baca perkakasan - , tersedia di laman web rasmi Postfix).
Mikrotik adalah cerita yang berbeza.
OK semuanya sudah berakhir Sekarang. E-mel tidak lagi menjadi satu set perintah konsol, fail konfigurasi (termasuk menyediakan dns), log, dokumentasi, nombor perenambelasan dan bukannya huruf Rusia (mengikut jadual aksara koi8-r) dalam surat yang diterima dan kekal sebagai e-mel biasa klien dengan protokolnya imap, pop3, smtp, akaun, mesej masuk dan dihantar.
Secara umum, ia kelihatan sama dengan rupa e-mel apabila menggunakan perkhidmatan e-mel percuma daripada syarikat IT utama.
Walaupun tanpa antara muka web.
eksploitasi
Namun, tiada jalan keluar daripada melihat log!
Saya bergegas untuk menggembirakan mereka yang mengharapkan membaca tentang darknet di sini. Kerana saya tidak boleh menyebutnya apa-apa selain daripada manifestasi beberapa darknet misteri yang diisi dengan log mel pelayan yang baru dibuat, iaitu, dalam beberapa hari (selepas menyambung secara langsung) dengan mesej tentang percubaan untuk menyambung melalui pop3 di bawah nama dari beberapa alamat IP (Saya tersilap sangka pada mulanya bahawa ia adalah pelayan secara berkala cuba menghantar dua surat dari baris gilir, dan saya tidak fikir sama sekali bahawa mel saya boleh menarik minat orang lain di Internet dengan segera).
Percubaan ini tidak berhenti walaupun selepas saya menyambungkan pelayan melalui penghala. Log hari ini penuh dengan sambungan smtp dari alamat IP yang sama yang tidak saya ketahui. Walau bagaimanapun, saya begitu yakin pada diri sendiri sehingga saya tidak mengambil sebarang tindakan terhadap perkara ini: Saya berharap walaupun nama pengguna untuk menerima surat dipilih dengan betul, penyerang tidak akan dapat meneka kata laluan. Saya pasti ramai yang akan mendapati ini tidak selamat, sama seperti serangan hari ini bergantung semata-mata pada tetapan geganti SMTP dan kawalan akses dalam /etc/postfix/main.cf.
Dan mereka akan menghancurkan perlindungan surat saya hingga berkeping-keping.
Sumber: www.habr.com