🥇Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind

Den här artikeln handlar om hur man ställer in en modern e-postserver.
Postfix + duvslag. SPF + DKIM + rDNS. Med IPv6.
Med TSL-kryptering. Med stöd för flera domäner - del med ett riktigt SSL-certifikat.
Med antispam-skydd och högt antispam-betyg från andra e-postservrar.
Stöder flera fysiska gränssnitt.
Med OpenVPN, vars anslutning sker via IPv4, och som ger IPv6.

Om du inte vill lära dig alla dessa tekniker, men vill ställa in en sådan server, är den här artikeln för dig.

Artikeln gör inga försök att förklara varje detalj. Förklaringen går till vad som inte är konfigurerat som standard eller är viktigt ur konsumentens synvinkel.

Motivationen att sätta upp en e-postserver har varit en lång dröm för mig. Detta kan låta dumt, men IMHO, det är mycket bättre än att drömma om en ny bil från ditt favoritmärke.

Det finns två motiv för att ställa in IPv6. En IT-specialist behöver hela tiden lära sig ny teknik för att överleva. Jag skulle vilja ge mitt blygsamma bidrag till kampen mot censur.

Motivationen för att ställa in OpenVPN är bara att få IPv6 att fungera på den lokala maskinen.
Motivationen för att sätta upp flera fysiska gränssnitt är att jag på min server har ett gränssnitt "långsamt men obegränsat" och ett annat "snabbt men med en tariff".

Motivationen för att sätta upp Bind-inställningar är att min internetleverantör tillhandahåller en instabil DNS-server, och google misslyckas också ibland. Jag vill ha en stabil DNS-server för personligt bruk.

Motivation att skriva en artikel - Jag skrev ett utkast för 10 månader sedan, och jag har redan tittat på det två gånger. Även om författaren regelbundet behöver det, är det stor sannolikhet att andra också kommer att behöva det.

Det finns ingen universell lösning för en e-postserver. Men jag ska försöka skriva något i stil med "gör så här och sedan, när allt fungerar som det ska, släng ut de extra sakerna."

Företaget tech.ru har en Colocation-server. Det går att jämföra med OVH, Hetzner, AWS. För att lösa detta problem kommer samarbetet med tech.ru att vara mycket effektivare.

Debian 9 är installerat på servern.

Servern har två gränssnitt `eno2` och `eno1`. Den första är obegränsad, och den andra är snabb.

Det finns 3 statiska IP-adresser, XX.XX.XX.X0 och XX.XX.XX.X1 och XX.XX.XX.X2 på "eno1"-gränssnittet och XX.XX.XX.X5 på "eno2"-gränssnittet .

Tillgänglig XXXX:XXXX:XXXX:XXXX::/64 en pool av IPv6-adresser som är tilldelade till `eno1`-gränssnittet och från den tilldelades XXXX:XXXX:XXXX:XXXX:1:2::/96 till `eno2` på min begäran.

Det finns 3 domäner `domain1.com`, `domain2.com`, `domain3.com`. Det finns ett SSL-certifikat för `domain1.com` och `domain3.com`.

Jag har ett Google-konto som jag skulle vilja länka min brevlåda till[e-postskyddad]` (ta emot e-post och skicka e-post direkt från gmail-gränssnittet).
Det måste finnas en brevlåda`[e-postskyddad]`, en kopia av e-postmeddelandet som jag vill se i min gmail. Och det är sällan man kan skicka något på uppdrag av `[e-postskyddad]` via webbgränssnittet.

Det måste finnas en brevlåda`[e-postskyddad]`, som Ivanov kommer att använda från sin iPhone.

Skickade e-postmeddelanden måste uppfylla alla moderna krav på antispam.
Det måste finnas den högsta nivån av kryptering som tillhandahålls i offentliga nätverk.
Det bör finnas IPv6-stöd för både att skicka och ta emot brev.
Det borde finnas en SpamAssassin som aldrig kommer att radera e-postmeddelanden. Och den kommer antingen att studsa eller hoppa över eller skicka till IMAP-mappen "Spam".
SpamAssassin auto-inlärning måste konfigureras: om jag flyttar ett brev till skräppostmappen kommer det att lära sig av detta; om jag flyttar ett brev från skräppostmappen kommer det att lära sig av detta. Resultaten av SpamAssassin-träningen bör påverka om brevet hamnar i skräppostmappen.
PHP-skript måste kunna skicka e-post på uppdrag av vilken domän som helst på en given server.
Det bör finnas en openvpn-tjänst, med möjlighet att använda IPv6 på en klient som inte har IPv6.

Först måste du konfigurera gränssnitt och routing, inklusive IPv6.
Sedan måste du konfigurera OpenVPN, som kommer att ansluta via IPv4 och förse klienten med en statisk riktig IPv6-adress. Den här klienten kommer att ha tillgång till alla IPv6-tjänster på servern och tillgång till alla IPv6-resurser på Internet.
Då måste du konfigurera Postfix för att skicka brev + SPF + DKIM + rDNS och andra liknande småsaker.
Då måste du konfigurera Dovecot och konfigurera Multidomain.
Sedan måste du konfigurera SpamAssassin och konfigurera träning.
Slutligen, installera Bind.

============= Multi-gränssnitt ==============

För att konfigurera gränssnitt måste du skriva detta i "/etc/network/interfaces".

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

Dessa inställningar kan tillämpas på vilken server som helst i tech.ru (med lite samordning med support) och det kommer omedelbart att fungera som det ska.

Om du har erfarenhet av att ställa in liknande saker för Hetzner, OVH, är det annorlunda där. Svårare.

eno1 är namnet på nätverkskort #1 (långsamt men obegränsat).
eno2 är namnet på nätverkskort #2 (snabbt, men med en taxa).
tun0 är namnet på det virtuella nätverkskortet från OpenVPN.
XX.XX.XX.X0 - IPv4 #1 på eno1.
XX.XX.XX.X1 - IPv4 #2 på eno1.
XX.XX.XX.X2 - IPv4 #3 på eno1.
XX.XX.XX.X5 - IPv4 #1 på eno2.
XX.XX.XX.1 - IPv4-gateway.
XXXX:XXXX:XXXX:XXXX::/64 - IPv6 för hela servern.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - IPv6 för eno2, allt annat från utsidan går in i eno1.
XXXX:XXXX:XXXX:XXXX::1 — IPv6-gateway (det är värt att notera att detta kan/bör göras annorlunda. Ange IPv6-växeln).
dns-nameservers - 127.0.0.1 anges (eftersom bind är installerat lokalt) och 213.248.1.6 (detta är från tech.ru).

"tabell eno1t" och "tabell eno2t" - innebörden av dessa ruttregler är att trafik som kommer in genom eno1 -> skulle gå genom den, och trafik som kommer in genom eno2 -> skulle gå genom den. Och även anslutningar initierade av servern skulle gå genom eno1.

ip route add default via XX.XX.XX.1 table eno1t

Med detta kommando specificerar vi att all obegriplig trafik som faller under någon regel märkt "tabell eno1t" -> skickas till eno1-gränssnittet.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

Med detta kommando anger vi att all trafik som initieras av servern ska dirigeras till eno1-gränssnittet.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

Med detta kommando sätter vi reglerna för att markera trafik.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

Detta block specificerar en andra IPv4 för eno1-gränssnittet.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

Med detta kommando ställer vi in rutten från OpenVPN-klienter till lokal IPv4 förutom XX.XX.XX.X0.
Jag förstår fortfarande inte varför det här kommandot räcker för alla IPv4.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

Det är här vi ställer in adressen för själva gränssnittet. Servern kommer att använda den som en "utgående" adress. Kommer inte att användas på något sätt igen.

Varför är ":1:1::" så komplicerat? Så att OpenVPN fungerar korrekt och endast för detta. Mer om detta senare.

På ämnet gateway - det är så det fungerar och det är bra. Men det korrekta sättet är att här ange IPv6 för switchen som servern är ansluten till.

Men av någon anledning slutar IPv6 att fungera om jag gör detta. Det här är förmodligen något slags tech.ru-problem.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

Detta lägger till en IPv6-adress till gränssnittet. Om du behöver hundra adresser betyder det hundra rader i den här filen.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

Jag noterade adresserna och undernäten för alla gränssnitt för att göra det tydligt.
eno1 - måste vara "/64" - för det här är hela vår pool av adresser.
tun0 - undernätet måste vara större än eno1. Annars kommer det inte att vara möjligt att konfigurera en IPv6-gateway för OpenVPN-klienter.
eno2 - undernätet måste vara större än tun0. Annars kommer OpenVPN-klienter inte att kunna komma åt lokala IPv6-adresser.
För tydlighetens skull valde jag ett subnätsteg på 16, men om du vill kan du till och med göra "1" steg.
Följaktligen är 64+16 = 80 och 80+16 = 96.

För ännu större tydlighet:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY är adresser som bör tilldelas specifika webbplatser eller tjänster på eno1-gränssnittet.
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY är adresser som bör tilldelas specifika webbplatser eller tjänster på eno2-gränssnittet.
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY är adresser som ska tilldelas OpenVPN-klienter eller användas som OpenVPN-tjänstadresser.

För att konfigurera nätverket bör det vara möjligt att starta om servern.
IPv4-ändringar plockas upp när de körs (se till att linda in det på skärmen - annars kommer detta kommando helt enkelt att krascha nätverket på servern):

/etc/init.d/networking restart

Lägg till i slutet av filen "/etc/iproute2/rt_tables":

100 eno1t
101 eno2t

Utan detta kan du inte använda anpassade tabeller i filen "/etc/network/interfaces".
Numren måste vara unika och mindre än 65535.

IPv6-ändringar kan enkelt ändras utan att starta om, men för att göra detta måste du lära dig minst tre kommandon:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

Inställning av "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

Det här är min servers "sysctl"-inställningar. Låt mig påpeka något viktigt.

net.ipv4.ip_forward = 1

Utan detta kommer OpenVPN inte att fungera alls.

net.ipv6.ip_nonlocal_bind = 1

Den som försöker binda IPv6 (till exempel nginx) direkt efter att gränssnittet är uppe får ett felmeddelande. Att denna adress inte är tillgänglig.

För att undvika en sådan situation görs en sådan inställning.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

Utan dessa IPv6-inställningar går inte trafik från OpenVPN-klienten ut i världen.

Andra inställningar är antingen inte relevanta eller så kommer jag inte ihåg vad de är till för.
Men för säkerhets skull låter jag det vara som det är.

För att ändringar i den här filen ska kunna hämtas utan att starta om servern måste du köra kommandot:

sysctl -p

Mer information om "tabell"-regler: habr.com/post/108690

============= OpenVPN ==============

OpenVPN IPv4 fungerar inte utan iptables.

Mina iptables är så här för VPN:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY är min statiska IPv4-adress för den lokala maskinen.
10.8.0.0/24 - IPv4 openvpn-nätverk. IPv4-adresser för openvpn-klienter.
Det är viktigt att reglerna är konsekventa.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

Detta är en begränsning så att bara jag kan använda OpenVPN från min statiska IP.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

För att vidarebefordra IPv4-paket mellan OpenVPN-klienter och Internet måste du registrera ett av dessa kommandon.

För olika fall är ett av alternativen inte lämpligt.
Båda kommandona är lämpliga för mitt fall.
Efter att ha läst dokumentationen valde jag det första alternativet eftersom det använder mindre CPU.

För att alla iptables-inställningar ska kunna hämtas efter omstart måste du spara dem någonstans.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

Sådana namn valdes inte av en slump. De används av paketet "iptables-persistent".

apt-get install iptables-persistent

Installera huvudpaketet OpenVPN:

apt-get install openvpn easy-rsa

Låt oss skapa en mall för certifikat (ersätt dina värden):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

Låt oss redigera certifikatmallens inställningar:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

Skapa ett servercertifikat:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

Låt oss förbereda möjligheten att skapa de sista "klient-namn.opvn"-filerna:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

Låt oss förbereda ett skript som kommer att slå samman alla filer till en enda opvn-fil.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

Skapa den första OpenVPN-klienten:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

Filen "~/client-configs/files/client-name.ovpn" skickas till klientens enhet.

För iOS-klienter måste du göra följande trick:
Innehållet i "tls-auth"-taggen måste vara utan kommentarer.
Och sätt också "nyckelriktning 1" omedelbart före "tls-auth"-taggen.

Låt oss konfigurera OpenVPN-serverns konfiguration:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

Detta behövs för att ställa in en statisk adress för varje klient (inte nödvändigt, men jag använder det):

# Client config dir
client-config-dir /etc/openvpn/ccd

Den svåraste och viktigaste detaljen.

Tyvärr vet OpenVPN ännu inte hur man självständigt konfigurerar en IPv6-gateway för klienter.
Du måste "manuellt" vidarebefordra detta för varje kund.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

Filen "/etc/openvpn/server-clientconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

Filen "/etc/openvpn/server-clientdisconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

Båda skripten använder filen "/etc/openvpn/variables":

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

Jag har svårt att komma ihåg varför det är skrivet så här.

Nu ser nätmask = 112 konstigt ut (det borde vara 96 där).
Och prefixet är konstigt, det matchar inte tun0-nätverket.
Men okej, jag låter det vara som det är.

cipher DES-EDE3-CBC

Detta är inte för alla - jag valde den här metoden för att kryptera anslutningen.

Läs mer om hur du ställer in OpenVPN IPv4.

Läs mer om hur du ställer in OpenVPN IPv6.

============= Postfix ==============

Installera huvudpaketet:

apt-get install postfix

När du installerar, välj "webbplats".

Mitt "/etc/postfix/main.cf" ser ut så här:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

Låt oss titta på detaljerna i denna konfiguration.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

Enligt Khabrovsk-invånarna innehåller detta block "felinformation och felaktiga teser."Först 8 år efter starten av min karriär började jag förstå hur SSL fungerar.

Därför tar jag mig friheten att beskriva hur man använder SSL (utan att svara på frågorna "Hur fungerar det?" och "Varför fungerar det?").

Grunden för modern kryptering är skapandet av ett nyckelpar (två mycket långa teckensträngar).

En "nyckel" är privat, den andra nyckeln är "offentlig". Vi håller den privata nyckeln mycket noggrant hemlig. Vi delar ut den publika nyckeln till alla.

Med hjälp av en offentlig nyckel kan du kryptera en textsträng så att endast ägaren till den privata nyckeln kan dekryptera den.
Tja, det är hela grunden för tekniken.

Steg #1 - https-webbplatser.
När du kommer åt en webbplats lär webbläsaren från webbservern att webbplatsen är https och begär därför en offentlig nyckel.
Webbservern ger den publika nyckeln. Webbläsaren använder den publika nyckeln för att kryptera http-förfrågan och skicka den.
Innehållet i en http-förfrågan kan endast läsas av de som har den privata nyckeln, det vill säga endast servern som begäran görs till.
Http-begäran innehåller minst en URI. Därför, om ett land försöker begränsa åtkomsten inte till hela webbplatsen, utan till en specifik sida, är detta omöjligt att göra för https-webbplatser.

Steg #2 - krypterat svar.
Webbservern ger ett svar som lätt kan läsas på vägen.
Lösningen är extremt enkel - webbläsaren genererar lokalt samma privata och offentliga nyckelpar för varje https-sida.
Och tillsammans med begäran om webbplatsens publika nyckel skickar den sin lokala publika nyckel.
Webbservern kommer ihåg det och, när du skickar http-svar, krypterar det med den publika nyckeln för en specifik klient.
Nu kan http-svar bara dekrypteras av ägaren av klientens privata webbläsarnyckel (det vill säga klienten själv).

Steg nr 3 - upprättande av en säker anslutning via en offentlig kanal.
Det finns en sårbarhet i exempel nr 2 - ingenting hindrar välvilliga från att fånga upp en http-förfrågan och redigera information om den publika nyckeln.
Således kommer mellanhanden tydligt att se allt innehåll i skickade och mottagna meddelanden tills kommunikationskanalen ändras.
Att hantera detta är extremt enkelt - skicka bara webbläsarens publika nyckel som ett meddelande krypterat med webbserverns publika nyckel.
Webbservern skickar sedan först ett svar som "din offentliga nyckel är så här" och krypterar detta meddelande med samma publika nyckel.
Webbläsaren tittar på svaret - om meddelandet "din offentliga nyckel är så här" tas emot - så är detta en 100% garanti för att denna kommunikationskanal är säker.
Hur säkert är det?
Själva skapandet av en sådan säker kommunikationskanal sker med en hastighet av ping*2. Till exempel 20ms.
Angriparen måste ha en av parternas privata nyckel i förväg. Eller hitta en privat nyckel på ett par millisekunder.
Att hacka en modern privat nyckel kommer att ta decennier på en superdator.

Steg #4 - offentlig databas med publika nycklar.
Uppenbarligen finns det i hela den här historien en möjlighet för en angripare att sitta på kommunikationskanalen mellan klienten och servern.
Klienten kan låtsas vara servern och servern kan låtsas vara klienten. Och efterlikna ett par nycklar i båda riktningarna.
Då kommer angriparen att se all trafik och kommer att kunna "redigera" trafiken.
Ändra till exempel adressen dit du ska skicka pengar eller kopiera lösenordet från nätbanken eller blockera "stötande" innehåll.
För att bekämpa sådana angripare kom de med en offentlig databas med publika nycklar för varje https-sajt.
Varje webbläsare "vet" om förekomsten av cirka 200 sådana databaser. Detta kommer förinstallerat i alla webbläsare.
"Kunskap" backas upp av en publik nyckel från varje certifikat. Det vill säga att kopplingen till varje specifik certifieringsmyndighet inte kan fejkas.

Nu finns det en enkel förståelse för hur man använder SSL för https.
Om du använder din hjärna kommer det att bli tydligt hur specialtjänsterna kan hacka något i den här strukturen. Men det kommer att kosta dem monstruösa ansträngningar.
Och organisationer mindre än NSA eller CIA - det är nästan omöjligt att hacka den befintliga skyddsnivån, även för VIP.

Jag kommer också att lägga till om ssh-anslutningar. Det finns inga publika nycklar där, så vad kan du göra? Problemet löses på två sätt.
Alternativ ssh-by-password:
Under den första anslutningen bör ssh-klienten varna att vi har en ny publik nyckel från ssh-servern.
Och under ytterligare anslutningar, om varningen "ny offentlig nyckel från ssh-servern" visas, kommer det att betyda att de försöker avlyssna dig.
Eller så blev du avlyssnad på din första anslutning, men nu kommunicerar du med servern utan mellanhänder.
På grund av det faktum att avlyssning enkelt, snabbt och utan ansträngning avslöjas, används denna attack endast i speciella fall för en specifik klient.

Alternativ ssh-by-key:
Vi tar en flash-enhet, skriver ner den privata nyckeln för ssh-servern på den (det finns termer och många viktiga nyanser för detta, men jag skriver ett utbildningsprogram, inte instruktioner för användning).
Vi lämnar den publika nyckeln på maskinen där ssh-klienten kommer att vara och vi håller den också hemlig.
Vi tar flashenheten till servern, sätter in den, kopierar den privata nyckeln och bränner flashenheten och sprider askan för vinden (eller åtminstone formatera den med nollor).
Det är allt - efter en sådan operation kommer det att vara omöjligt att hacka en sådan ssh-anslutning. Naturligtvis kommer det om 10 år att vara möjligt att se trafik på en superdator - men det är en annan historia.

Jag ber om ursäkt för offtopic.

Så nu när teorin är känd. Jag ska berätta om flödet för att skapa ett SSL-certifikat.

Genom att använda "openssl genrsa" skapar vi en privat nyckel och "blanks" för den publika nyckeln.
Vi skickar "blanks" till ett tredjepartsföretag, till vilket vi betalar cirka $9 för det enklaste certifikatet.

Efter ett par timmar får vi vår "offentliga" nyckel och en uppsättning med flera publika nycklar från detta tredjepartsföretag.

Varför ska ett tredjepartsföretag betala för registreringen av min publika nyckel är en separat fråga, vi kommer inte att överväga det här.

Nu är det klart vad innebörden av inskriptionen är:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

Mappen "/etc/ssl" innehåller alla filer för ssl-problem.
domain1.com — domännamn.
2018 är nyckelskapandets år.
"nyckel" - beteckning på att filen är en privat nyckel.

Och innebörden av denna fil:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com — domännamn.
2018 är nyckelskapandets år.
kedjad - beteckning på att det finns en kedja av publika nycklar (den första är vår publika nyckel och resten är vad som kom från företaget som utfärdade den publika nyckeln).
crt - beteckning på att det finns ett färdigt certifikat (offentlig nyckel med tekniska förklaringar).

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

Denna inställning används inte i det här fallet, utan är skriven som ett exempel.

Eftersom ett fel i denna parameter kommer att leda till att spam skickas från din server (utan din vilja).

Bevisa sedan för alla att du inte är skyldig.

recipient_delimiter = +

Många kanske inte vet, men detta är ett standardtecken för att rangordna e-postmeddelanden, och det stöds av de flesta moderna e-postservrar.

Till exempel, om du har en brevlåda "[e-postskyddad]"försök att skicka till"[e-postskyddad]"- titta vad som kommer av det.

inet_protocols = ipv4

Detta kan vara förvirrande.

Men det är inte bara så. Varje ny domän är som standard endast IPv4, sedan slår jag på IPv6 för var och en separat.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

Här anger vi att all inkommande post går till dovecot.
Och reglerna för domän, brevlåda, alias - titta i databasen.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

Nu vet postfix att det är möjligt att acceptera post för vidare sändning endast efter auktorisation med dovecot.

Jag förstår verkligen inte varför detta dupliceras här. Vi har redan specificerat allt som behövs i "virtuell_transport".

Men postfix-systemet är väldigt gammalt - förmodligen är det en tillbakagång från gamla dagar.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

Detta kan konfigureras på olika sätt för varje e-postserver.

Jag har 3 e-postservrar till mitt förfogande och dessa inställningar är väldigt olika på grund av olika användningskrav.

Du måste konfigurera det noggrant - annars kommer spam att strömma in till dig, eller ännu värre - spam kommer att strömma ut från dig.

# SPF
policyd-spf_time_limit = 3600

Konfigurera för något plugin relaterat till att kontrollera SPF för inkommande brev.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

Inställningen är att vi måste tillhandahålla en DKIM-signatur med alla utgående e-postmeddelanden.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

Detta är en nyckeldetalj i brevdirigering när du skickar brev från PHP-skript.

Filen "/etc/postfix/sdd_transport.pcre":

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

Till vänster finns reguljära uttryck. Till höger finns en etikett som markerar bokstaven.
Postfix i enlighet med etiketten - kommer att ta hänsyn till några fler konfigurationsrader för en specifik bokstav.

Exakt hur postfix kommer att omkonfigureras för en specifik bokstav kommer att anges i "master.cf".

Raderna 4, 5, 6 är de viktigaste. På uppdrag av vilken domän vi skickar brevet sätter vi denna etikett.
Men "från"-fältet anges inte alltid i PHP-skript i den gamla koden. Då kommer användarnamnet till undsättning.

Artikeln är redan omfattande - jag skulle inte vilja bli distraherad av att ställa in nginx+fpm.

Kortfattat, för varje webbplats anger vi en egen linux-användarägare. Och därmed din fpm-pool.

Fpm-pool använder vilken version av php som helst (det är bra när du på samma server kan använda olika versioner av php och till och med olika php.ini för angränsande webbplatser utan problem).

Så, en specifik linux-användare "www-domain2" har en webbplats domain2.com. Den här sidan har en kod för att skicka e-postmeddelanden utan att ange från-fältet.

Så även i det här fallet kommer breven att skickas korrekt och kommer aldrig att hamna i spam.

Mitt "/etc/postfix/master.cf" ser ut så här:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

Filen tillhandahålls inte i sin helhet - den är redan mycket stor.
Jag noterade bara vad som ändrades.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Det här är inställningar relaterade till spamassasin, mer om det senare.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Vi tillåter dig att ansluta till e-postservern via port 587.
För att göra detta måste du logga in.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

Aktivera SPF-kontroll.

apt-get install postfix-policyd-spf-python

Låt oss installera paketet för SPF-kontroller ovan.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

Och det här är det mest intressanta. Detta är möjligheten att skicka brev för en specifik domän från en specifik IPv4/IPv6-adress.

Detta görs för rDNS skull. rDNS är processen att ta emot en sträng per IP-adress.
Och för e-post används den här funktionen för att bekräfta att helo exakt matchar rDNS för adressen från vilken e-postmeddelandet skickades.

Om helo inte stämmer överens med e-postdomänen för vilken brevet skickades tilldelas spampoäng.

Helo matchar inte rDNS - många skräppostpoäng delas ut.
Följaktligen måste varje domän ha sin egen IP-adress.
För OVH - i konsolen är det möjligt att ange rDNS.
För tech.ru - problemet löses genom support.
För AWS löses problemet genom support.
"inet_protocols" och "smtp_bind_address6" - vi aktiverar IPv6-stöd.
För IPv6 behöver du också registrera rDNS.
"syslog_name" - och detta är för att underlätta läsning av loggar.

Köp certifikat Jag rekommenderar här.

Ställer in postfix+dovecot länk här.

Ställa in SPF.

============== Duvsko ==============

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

Konfigurera mysql, installera själva paketen.

Filen "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

Auktorisering är endast krypterad.

Filen "/etc/dovecot/conf.d/10-mail.conf"

mail_location = maildir:/var/mail/vhosts/%d/%n

Här anger vi förvaringsplatsen för bokstäverna.

Jag vill att de ska lagras i filer och grupperas efter domän.

Filen "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

Detta är den huvudsakliga dovecot-konfigurationsfilen.
Här inaktiverar vi osäkra anslutningar.
Och möjliggör säkra anslutningar.

Filen "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

Konfigurera ssl. Vi anger att ssl krävs.
Och själva certifikatet. Och en viktig detalj är det "lokala" direktivet. Indikerar vilket SSL-certifikat som ska användas vid anslutning till vilken lokal IPv4.

Förresten, IPv6 är inte konfigurerat här, jag kommer att korrigera detta utelämnande senare.
XX.XX.XX.X5 (domän2) – inget certifikat. För att ansluta klienter måste du ange domain1.com.
XX.XX.XX.X2 (domän3) - det finns ett certifikat, du kan ange domain1.com eller domain3.com för att ansluta klienter.

Filen "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

Detta kommer att behövas för spamassassin i framtiden.

Filen "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

Detta är ett antispam-plugin. Behövs för träning av spamassasin vid tidpunkten för överföring till/från "Spam"-mappen.

Filen "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

Det finns just en sådan fil.

Filen "/etc/dovecot/conf.d/20-lmtp.conf"

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

Konfigurera lmtp.

Filen "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

Spamassasin träningsinställningar vid tidpunkten för överföring till/från skräppostmappen.

Filen "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

En fil som anger vad som ska göras med inkommande brev.

Filen "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

Du måste kompilera filen: "sievec default.sieve".

Filen "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

Ange sql-filer för auktorisering.
Och själva filen används som auktoriseringsmetod.

Filen "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

Detta motsvarar liknande inställningar för postfix.

Filen "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

Huvudkonfigurationsfil.
Det viktiga är att vi anger här - lägg till protokoll.

============= SpamAssassin ==============

apt-get install spamassassin spamc

Låt oss installera paketen.

adduser spamd --disabled-login

Låt oss lägga till en användare på vars vägnar.

systemctl enable spamassassin.service

Vi aktiverar automatisk laddning av spamassassin-tjänst vid laddning.

Filen "/etc/default/spamassassin":

CRON=1

Genom att aktivera automatisk uppdatering av regler "som standard".

Filen "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

Du måste skapa en databas "sa" i mysql med användaren "sa" med lösenordet "lösenord" (ersätt med något adekvat).

report_safe - detta kommer att skicka en rapport om skräppost istället för ett brev.
use_bayes är spamassassin maskininlärningsinställningar.

De återstående spamassassin-inställningarna användes tidigare i artikeln.

Allmän inställning "spamassassin".
Om att flytta nya skräppostmeddelanden till IMAP-mappen "Spam"..
Om en enkel kombination av Dovecot + SpamAssassin.
Jag rekommenderar att du läser spamassasin-inlärningsteorin när du flyttar bokstäver i imap-mappar (och jag rekommenderar inte att du använder den).

============= Vädja till samhället ==============

Jag skulle också vilja slänga in en idé i samhället om hur man kan öka säkerhetsnivån för vidarebefordrade brev. Eftersom jag är så djupt fördjupad i ämnet mail.

Så att användaren kan skapa ett par nycklar på sin klient (outlook, thunderbird, browser-plugin, ...). Offentliga och privata. Public - skicka till DNS. Privat - spara på klienten. E-postservrar skulle kunna använda en offentlig nyckel för att skicka till en specifik mottagare.

Och för att skydda mot spam med sådana brev (ja, e-postservern kommer inte att kunna se innehållet) - du måste införa tre regler:

Obligatorisk riktig DKIM-signatur, obligatorisk SPF, obligatorisk rDNS.
Ett neuralt nätverk i ämnet antispam-träning + en databas för det på klientsidan.
Krypteringsalgoritmen måste vara sådan att den sändande sidan måste spendera 100 gånger mer CPU-kraft på kryptering än den mottagande sidan.

Utöver offentliga brev, utveckla ett standardförslagsbrev "för att börja säker korrespondens." En av användarna (brevlåda) skickar ett brev med en bilaga till en annan brevlåda. Brevet innehåller ett textförslag om att starta en säker kommunikationskanal för korrespondens och den offentliga nyckeln till ägaren av brevlådan (med en privat nyckel på klientsidan).

Du kan till och med skapa ett par nycklar specifikt för varje korrespondens. Den mottagande användaren kan acceptera detta erbjudande och skicka sin publika nyckel (även gjord speciellt för denna korrespondens). Därefter skickar den första användaren ett tjänstekontrollbrev (krypterat med den andra användarens publika nyckel) - vid mottagandet av vilket den andra användaren kan betrakta den bildade kommunikationskanalen som tillförlitlig. Därefter skickar den andra användaren ett kontrollbrev - och då kan den första användaren också betrakta den bildade kanalen som säker.

För att bekämpa avlyssning av nycklar på vägen måste protokollet tillhandahålla möjligheten att överföra minst en offentlig nyckel med hjälp av en flash-enhet.

Och det viktigaste är att allt fungerar (frågan är "vem ska betala för det?"):
Ange postbevis som börjar på $10 för 3 år. Vilket gör att avsändaren kan indikera i dns att "mina publika nycklar är där borta." Och de kommer att ge dig möjligheten att starta en säker anslutning. Samtidigt är det gratis att acceptera sådana anslutningar.
Gmail tjänar äntligen pengar på sina användare. För $10 per 3 år - rätten att skapa säkra korrespondenskanaler.

============= Slutsats ==============

För att testa hela artikeln tänkte jag hyra en dedikerad server i en månad och köpa en domän med SSL-certifikat.

Men livsförhållandena utvecklades så den här frågan drog ut på tiden i 2 månader.
Och så, när jag hade ledig tid igen, bestämde jag mig för att publicera artikeln som den är, snarare än att riskera att publiceringen skulle dra ut på tiden ett år till.

Om det finns ganska många frågor som "men det här beskrivs inte tillräckligt detaljerat", så kommer det förmodligen finnas styrka att ta en dedikerad server med en ny domän och ett nytt SSL-certifikat och beskriva det ännu mer detaljerat och, de flesta Viktigt, identifiera alla saknade viktiga detaljer.

Jag skulle också vilja ha feedback på idéer om postbevis. Om du gillar idén ska jag försöka hitta styrkan att skriva ett utkast till rfc.

När du kopierar stora delar av en artikel, ange en länk till den här artikeln.
När du översätter till något annat språk, tillhandahåll en länk till den här artikeln.
Jag ska själv försöka översätta den till engelska och lämna korsreferenser.

Källa: will.com

Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-interfaces + SpamAssassin-learn + Bind