Проектування
Пошта, пошта… «В даний час будь-який користувач-початківець може завести свою безкоштовну електронну поштову скриньку, достатньо зареєструватися на одному з інтернет-порталів», — стверджує Вікіпедія. Отже, запуск для цього свого поштового сервера — це трохи дивно. Тим не менш, я не шкодую про витрачений на цей місяць, рахуючи з дня встановлення ОС до дня надсилання першого листа адресату в інтернеті.
Взагалі-то в один ряд із «малинками» можна поставити і iptv-ресивери, і «одноплатний комп'ютер на базі процесора Baikal-T1», а також Cubieboard, Banana Pi та інші пристрої, оснащені ARM-мікропроцесорами. «Малинка» була обрана як найбільш агресивно рекламований варіант. На те, щоб знайти цьому «одноплатному комп'ютеру» хоч якесь корисне застосування, пішов не один місяць. Нарешті я задумав запустити на ньому поштовий сервер, прочитавши незадовго до цього один фантастичний роман про віртуальну реальність.
"Це прекрасне бачення майбутнього Мережі", - повідомляє про нього Вікіпедія. З дати першої публікації минуло 20 років. Будше настало. Однак воно не здається мені прекрасним без семи тисяч передплатників, десяти тисяч рублів «місячного доходу мого сайту» і т.п. Що й, мабуть, підштовхнуло мене у бік «децентралізованих соціальних мереж» зі «мізерною кількістю лайків під їх (нових користувачів — Н.М.) постами», реєстрації домену та запуску свого сервера.
У законах я не сильний. Хіба що повідомлення на мобільний телефон надходило про необхідність підтвердження персональних даних у зв'язку з набранням чинності поправками до федерального закону 126-ФЗ, ось такий закон і знаю.
А тут виявилося, що цих законів — як грибів після дощу. Користувався б далі безплатною поштою — мабуть, і не впізнав би.
"І хто ми з тобою тепер"
По-перше, організатора сервісу електронної пошти в законі просто немає. Є "організатор сервісу обміну миттєвими повідомленнями", але це трохи не те. Доповнення «для особистих, сімейних та домашніх потреб» знімає, звісно, з цього організатора всі передбачені законом обов'язки, проте з того організатора, з якого потрібно.
Маючи під рукою нарівні із законом посібник з Ubuntu Server, здогадуюсь, що крім чатів з їх миттєвими повідомленнями, «для прийому, передачі, доставки та (або) обробки електронних повідомлень користувачів мережі Інтернет» призначені і сервіси електронної пошти (що очевидно), і файл-сервери (що не так очевидно).
Розробка
Порівняно з іншими місцевими статтями з хештегом postfix, мій витвір, звичайно, дуже примітивний. Ні тобі аутентифікації користувачів, ні бази даних, ні користувачів, не прив'язаних до локальних облікових записів (перше і третє є в «мінімальному поштовому сервері»; база даних є практично скрізь, як і dovecat).
"Налаштування поштової системи, на мій погляд, є найскладнішим завданням у системному адмініструванні", - дуже добре написав один хабра-користувач. Ідучи за (з ), я, проте, пропустив з неї частини про базу даних аліасів, файли .forward та віртуальні аліаси.
Натомість для ssl/tls узяв 12 конфігураційних рядків плюс 9 командних рядків для bash для створення сертифікатів із присвяченої Postfix на CommunityHelpWiki (на тому ж домені ) (тільки працює цей ssl/tls — ось у чому питання). А ще нагоді файрвол в особистому кабінеті провайдера, nat на роутері (налаштування мікротика я відкладав наскільки це було можливо; листи відправляв, підключивши поштовий сервер безпосередньо до заведеного в квартиру кабелю інтернет-провайдера), команди mail, mailq, postsuper -d іденти /var/log/mail.log, параметр always_add_missing_headers, інформація про ptr-записи, нарешті, сайт mail-tester.com (з олігофренічним дизайном), про які не пишуть у «поштових» статтях на Хабрі, начебто про саме зрозуміле .
До виправлення значення myhostname у файлі /etc/postfix/main.cf
Після виправлення значення myhostname у файлі /etc/postfix/main.cf
Перший лист від служби технічної підтримки інтернет-провайдера навчив мене тому, що не треба відкривати листи за допомогою консольної програми mail, щоб потім їх можна було відкрити і прочитати за допомогою звичного поштового клієнта. Очевидно, і це не проблема «для адмінів-початківців».
Навпаки, в коментарях (до інших статей з хештегом postfix) один користувач Хабра просить «ускладнити ж небагато, як щодо вебінтерфейсів до різних частин і аутентифікації з БД», для іншого «мабуть, вона найскладніша для тих, хто солодший за редьку нічого не пробував: падіння ядра, безпека (selinux/apparmor), трохи розподілені системи…», третій пише про «скрипт iRedmail». Так і чекаєш, що наступний запропонує написати про IPv6.
Сервіси електронної пошти - не сферичні коні у вакуумі, вони - частини цілого - від вибору комп'ютера і доменного імені до налаштування роутера - яке не зможе охопити ніякий мануал з налаштування поштового сервера (і в якому Ви, напевно, ніколи не прочитаєте матчу - , є на офіційному сайті Postfix).
Про мікротик — то взагалі окрема пісня.
Ну от і все. Електронна пошта перестала бути набором консольних команд, конфігураційних файлів (включаючи налаштування dns), логів, документації, шістнадцятирічних чисел замість російських букв (згідно з таблицею символів koi8-r) в отриманому листі і залишилася звичним поштовим клієнтом з його протоколами imap, pop3, smtp, обліковими записами, вхідними та надісланими повідомленнями.
Загалом, зовні тим самим, що є електронною поштою при використанні безкоштовних служб електронної пошти від найбільших айті-компаній.
Хоч без веб-інтерфейсу.
Експлуатація
Все-таки від перегляду ліг нікуди не подітися!
Поспішаю порадувати тих, хто чекав прочитати тут про даркне. Тому що інакше як проявами якогось таємничого даркнета я не можу назвати те, чим виявився забитий поштовий лог нового сервера, а саме протягом декількох днів (після підключення безпосередньо) повідомленнями про спроби підключитися по pop3 під різними іменами з пари ip-адрес ( я помилково спочатку думав, що це сервер періодично намагається відправити два листи з черги, а те, що моя пошта так відразу може цікавити когось ще з інтернету зовсім не припускав).
Ці спроби не припинилися і після того, як я підключив сервер через роутер. Сьогоднішні ж логи повні підключеннями по smtp з однієї і тієї ж невідомої мені ip-адреси. Тим не менш, я настільки самовпевнений, щоб не вдаватися до цього ніяких дій: сподіваюся, що і у разі вірного підбору імені користувача для отримання листів пароль зловмиснику підібрати не вдасться. Впевнений, що багато хто вважає це небезпечним, так само як і в разі сьогоднішніх атак покладатися тільки на налаштування ретрансляції SMTP та управління доступом в /etc/postfix/main.cf.
І рознесуть захист моєї пошти в пух і порох.
Джерело: habr.com