Design
Poczta, poczta... „Obecnie każdy początkujący użytkownik może stworzyć własną, bezpłatną elektroniczną skrzynkę pocztową, wystarczy zarejestrować się na jednym z portali internetowych” – podaje Wikipedia. Zatem prowadzenie własnego serwera pocztowego w tym celu jest trochę dziwne. Niemniej jednak nie żałuję miesiąca, który na to poświęciłem, licząc od dnia zainstalowania systemu operacyjnego do dnia, w którym wysłałem swój pierwszy list do adresata w Internecie.
Tak naprawdę odbiorniki iptv i „komputer jednopłytkowy oparty na procesorze Baikal-T1”, a także Cubieboard, Banana Pi i inne urządzenia wyposażone w mikroprocesory ARM można postawić na tym samym poziomie, co „maliny”. Jako najbardziej agresywnie reklamowaną opcję wybrano „Malinkę”. Znalezienie przynajmniej przydatnego zastosowania dla tego „komputera jednopłytkowego” zajęło ponad miesiąc. W końcu zdecydowałem się uruchomić na nim serwer pocztowy, po przeczytaniu niedawno powieści science fiction o wirtualnej rzeczywistości.
„To wspaniała wizja przyszłości sieci” – podaje Wikipedia. Od daty pierwszej publikacji minęło 20 lat. Przyszłość nadeszła. Jednak nie wydaje mi się to wspaniałe bez siedmiu tysięcy subskrybentów, dziesięciu tysięcy rubli „miesięcznych dochodów z mojej witryny” itp. Co prawdopodobnie popchnęło mnie w stronę „zdecentralizowanych sieci społecznościowych” z „skromną liczbą polubień ich (nowych użytkowników - N.M.) postów”, zarejestrowania domeny i uruchomienia własnego serwera.
Nie jestem dobry z prawa. O ile nie dostałem na telefon komórkowy wiadomości o konieczności potwierdzenia danych osobowych w związku z wejściem w życie nowelizacji ustawy federalnej 126-FZ, to jest to prawo, które znam.
A potem okazało się, że te prawa są jak grzyby po deszczu. Gdybym nadal korzystał z bezpłatnej poczty, prawdopodobnie bym nie wiedział.
„A kim teraz jesteśmy ty i ja?”
Po pierwsze, w prawie nie ma po prostu organizatora usługi poczty elektronicznej. Istnieje „organizator usług przesyłania wiadomości błyskawicznych”, ale to jest trochę inne. Dodatek „na potrzeby osobiste, rodzinne i domowe” oczywiście zdejmuje z tego organizatora wszelkie obowiązki przewidziane prawem, ale jednak nie z organizatora, który jest potrzebny.
Mając pod ręką instrukcję Ubuntu Server, wraz z przepisami prawa, sądzę, że oprócz rozmów za pomocą komunikatorów internetowych, „do odbierania, przesyłania, dostarczania i (lub) przetwarzania wiadomości elektronicznych od użytkowników Internetu”, przeznaczone są także usługi e-mail ( co jest oczywiste) i serwerów plików (co nie jest takie oczywiste).
Rozwój
W porównaniu do innych artykułów tutaj z postfiksem hashtagu, moja twórczość jest oczywiście bardzo prymitywna. Żadnego uwierzytelniania użytkowników, żadnej bazy danych, żadnych użytkowników niepowiązanych z kontami lokalnymi (pierwszy i trzeci znajdują się na „minimalnym serwerze pocztowym”; baza danych jest prawie wszędzie, podobnie jak dovecat).
„Moim zdaniem skonfigurowanie systemu pocztowego jest najtrudniejszym zadaniem w administrowaniu systemem” – napisał bardzo dobrze jeden z użytkowników Habry. Następny (od ), pominąłem jednak fragmenty dotyczące bazy danych aliasów, plików .forward i aliasów wirtualnych.
Ale w przypadku ssl/tls wziąłem 12 linii konfiguracyjnych plus 9 linii poleceń dla bash, aby utworzyć certyfikaty z dedykowanego Postfixa na CommunityHelpWiki (w tej samej domenie ) (tylko czy to ssl/tls działa - oto jest pytanie). Firewall na koncie osobistym dostawcy, nat na routerze (z konfiguracją Mikrotika odkładałem jak najdłużej; listy wysyłałem podłączając serwer pocztowy bezpośrednio do kabla dostawcy Internetu zainstalowanego w mieszkaniu), komendy mail, mailq, postsuper -d identyfikator, przydał się także plik /var/log/mail.log, parametr Always_add_missing_headers, informacja o rekordzie ptr, wreszcie strona mail-tester.com (o oligofrenicznej konstrukcji), o której nie pisze się w „mailu” ” artykuły na temat Habr, jakby to było oczywistością.
Przed poprawieniem wartości parametru myhostname w pliku /etc/postfix/main.cf
Po poprawieniu wartości parametru myhostname w pliku /etc/postfix/main.cf
Pierwszy list od pomocy technicznej dostawcy Internetu nauczył mnie, że nie ma potrzeby otwierania listów za pomocą programu konsoli pocztowej, aby później można było je otworzyć i przeczytać za pomocą znanego klienta poczty e-mail. Najwyraźniej nie jest to problem „dla początkujących administratorów”.
Wręcz przeciwnie, w komentarzach (do innych artykułów z hasztagiem Postfix) jeden użytkownik Habr pyta „aby trochę skomplikować sprawę, a co z interfejsami sieciowymi do różnych części i uwierzytelnianiem z bazy danych”, inny „najwyraźniej jest to najbardziej trudne dla tych, którzy nigdy nie próbowali niczego słodszego od rzodkiewki: awarie jądra, bezpieczeństwo (selinux/apparmor), systemy nieco rozproszone…”, trzecia pisze o „skrypcie iRedmail”. Pozostaje tylko czekać na kolejną, która zasugeruje napisanie o IPv6.
Usługi poczty e-mail nie są kulami w próżni, są częścią całości – od wyboru komputera i nazwy domeny po konfigurację routera – czego nie omówi żadna instrukcja konfiguracji serwera pocztowego (i której prawdopodobnie nigdy nie omówisz). przeczytaj sprzęt - , dostępne na oficjalnej stronie Postfix).
Mikrotik to zupełnie inna historia.
OK, wszystko już skończone. E-mail przestał być w otrzymanym piśmie zbiorem poleceń konsoli, plików konfiguracyjnych (w tym konfiguracyjnych dns), logów, dokumentacji, liczb szesnastkowych zamiast rosyjskich liter (zgodnie z tabelą znaków koi8-r) i pozostał znajomym e-mailem klient z jego protokołami imap, pop3, smtp, kontami, wiadomościami przychodzącymi i wysłanymi.
Ogólnie wygląda to tak samo, jak poczta elektroniczna w przypadku korzystania z bezpłatnych usług pocztowych największych firm IT.
Chociaż bez interfejsu internetowego.
Eksploatacja
Mimo to nie ma ucieczki od przeglądania dzienników!
Spieszę zadowolić tych, którzy spodziewali się przeczytać tutaj o Darknecie. Bo inaczej nie mogę tego nazwać przejawami jakiegoś tajemniczego darknetu, którym zapełnił się dziennik poczty nowo utworzonego serwera, a mianowicie w ciągu kilku dni (po bezpośrednim połączeniu) komunikatami o próbach połączenia przez pop3 pod różnymi adresami nazwy z kilku adresów IP (początkowo błędnie myślałem, że to serwer okresowo próbuje wysłać dwa listy z kolejki, a wcale nie myślałem, że moja poczta może od razu zainteresować kogoś innego w Internecie).
Próby te nie ustały nawet po podłączeniu serwera przez router. Dzisiejsze logi są pełne połączeń smtp z tego samego, nieznanego mi adresu IP. Jestem jednak na tyle pewny siebie, że nie podejmuję w związku z tym żadnych działań: mam nadzieję, że nawet jeśli nazwa użytkownika do otrzymywania listów zostanie wybrana poprawnie, atakujący nie będzie w stanie odgadnąć hasła. Jestem pewien, że wielu uzna to za niebezpieczne, podobnie jak dzisiejsze ataki polegające wyłącznie na ustawieniach przekaźnika SMTP i kontroli dostępu w pliku /etc/postfix/main.cf.
I rozwalą na kawałki ochronę mojej poczty.
Źródło: www.habr.com