Debian + Postfix + Dovecot + Multidomain + SSL + IPv6 + OpenVPN + Multi-Interfaces + SpamAssassin-Learn + Bind

דער אַרטיקל איז וועגן ווי צו שטעלן אַרויף אַ מאָדערן פּאָסט סערווער.
פּאָסטפיקס + דאָוועקאָט. ספּף + DKIM + רדנס. מיט IPv6.
מיט TSL ענקריפּשאַן. מיט שטיצן פֿאַר קייפל דאָומיינז - טייל מיט אַ פאַקטיש SSL באַווייַזן.
מיט אַנטי-ספּאַם שוץ און אַ הויך אַנטי-ספּאַם ראַנג פון אנדערע פּאָסט סערווערס.
שטיצט קייפל גשמיות ינטערפייסיז.
מיט OpenVPN, די קשר צו וואָס איז דורך IPv4 און וואָס גיט IPv6.

אויב איר טאָן נישט וועלן צו לערנען אַלע די טעקנאַלאַדזשיז, אָבער איר ווילן צו ינסטאַלירן אַזאַ אַ סערווער, דער אַרטיקל איז פֿאַר איר.

דער אַרטיקל מאכט קיין פּרווון צו דערקלערן יעדער דעטאַל. די דערקלערונג גייט צו וואָס איז נישט קאַנפיגיערד ווי נאָרמאַל אָדער איז וויכטיק פֿון די קאָנסומער ס פונט פון מיינונג.

די מאָוטאַוויישאַן צו שטעלן אַ פּאָסט סערווער איז געווען מיין לאַנג-טערמין חלום. דאָס קען געזונט נאַריש, אָבער IMHO, עס איז פיל בעסער ווי דרימינג פון אַ נייַ מאַשין פון דיין באַליבסטע סאָרט.

עס זענען צוויי מאָוטאַוויישאַנז פֿאַר באַשטעטיקן IPv6. אַן IT מומכע דאַרף קעסיידער לערנען נייַע טעקנאַלאַדזשיז צו בלייַבנ לעבן. איך וואָלט ווי צו מאַכן מיין באַשיידן צושטייַער צו דעם קאַמף קעגן צענזור.

די מאָוטאַוויישאַן פֿאַר באַשטעטיקן OpenVPN איז נאָר צו באַקומען IPv6 ארבעטן אויף די היגע מאַשין.
די מאָוטאַוויישאַן פֿאַר באַשטעטיקן עטלעכע גשמיות ינטערפייסיז איז אַז אויף מיין סערווער איך האָבן איין צובינד "פּאַמעלעך אָבער אַנלימאַטאַד" און אנדערן "שנעל אָבער מיט אַ צאָל".

די מאָוטאַוויישאַן פֿאַר באַשטעטיקן בינד סעטטינגס איז אַז מיין יספּ גיט אַן אַנסטייבאַל דנס סערווער, און Google אויך מאל פיילז. איך ווילן אַ סטאַביל דנס סערווער פֿאַר פּערזענלעך נוצן.

מאָוטאַוויישאַן צו שרייַבן אַן אַרטיקל - איך געשריבן אַ פּלאַן 10 חדשים צוריק, און איך האָבן שוין געקוקט אויף עס צוויי מאָל. אפילו אויב דער מחבר דאַרף עס קעסיידער, עס איז אַ הויך מאַשמאָעס אַז אנדערע וועלן אויך דאַרפֿן עס.

עס איז קיין וניווערסאַל לייזונג פֿאַר אַ פּאָסט סערווער. אָבער איך וועל פּרובירן צו שרייַבן עפּעס ווי "טאָן דאָס און דאַן, ווען אַלץ אַרבעט ווי עס זאָל, וואַרפן אויס די עקסטרע שטאָפּן."

די פירמע tech.ru האט אַ קאָלאָקאַטיאָן סערווער. עס איז מעגלעך צו פאַרגלייַכן מיט OVH, Hetzner, AWS. צו סאָלווע דעם פּראָבלעם, קוואַפּעריישאַן מיט tech.ru וועט זיין פיל מער עפעקטיוו.

דעביאַן 9 איז אינסטאַלירן אויף די סערווער.

דער סערווער האט 2 ינטערפייסיז `eno1` און `eno2`. דער ערשטער איז אַנלימאַטאַד, און די רגע איז שנעל, ריספּעקטיוולי.

עס זענען 3 סטאַטיק IP אַדרעסעס, XX.XX.XX.X0 און XX.XX.XX.X1 און XX.XX.XX.X2 אויף די 'eno1' צובינד און XX.XX.XX.X5 אויף די 'eno2' צובינד .

בנימצא XXXX:XXXX:XXXX:XXXX::/64 אַ בעקן פון IPv6 אַדרעסעס וואָס זענען אַסיינד צו די 'eno1' צובינד און פֿון עס XXXX:XXXX:XXXX:XXXX:1:2::/96 איז אַסיינד צו 'eno2' אויף מיין בקשה.

עס זענען 3 דאָומיינז `domain1.com`, `domain2.com`, `domain3.com`. עס איז אַן SSL באַווייַזן פֿאַר `domain1.com` און `domain3.com`.

איך האָבן אַ Google חשבון צו וואָס איך וואָלט ווי צו פאַרבינדן מיין בריווקאַסטן[אימעיל באשיצט]` (באַקומען פּאָסט און שיקן פּאָסט גלייך פֿון די Gmail צובינד).
עס מוז זיין אַ בריווקאַסטן`[אימעיל באשיצט]`, אַ קאָפּיע פון ​​​​די E- בריוו פון וואָס איך ווילן צו זען אין מיין Gmail. און עס איז זעלטן צו קענען צו שיקן עפּעס אויף ביכאַף פון `[אימעיל באשיצט]`דורך די וועב צובינד.

עס מוז זיין אַ בריווקאַסטן`[אימעיל באשיצט]`, וואָס יוואַנאָוו וועט נוצן פֿון זיין iPhone.

געשיקט ימיילז מוזן נאָכקומען מיט אַלע מאָדערן אַנטיספּאַם רעקווירעמענץ.
עס מוזן זיין די העכסטן שטאַפּל פון ענקריפּשאַן צוגעשטעלט אין ציבור נעטוואָרקס.
עס זאָל זיין IPv6 שטיצן פֿאַר שיקט און ריסיווינג אותיות.
עס זאָל זיין אַ SpamAssassin וואָס וועט קיינמאָל ויסמעקן ימיילז. און עס וועט אָפּשפּרונג אָדער האָפּקען אָדער שיקן צו די IMAP "ספּאַם" טעקע.
ספּאַמאַסאַססין אַוטאָ-לערנען מוזן זיין קאַנפיגיערד: אויב איך מאַך אַ בריוו צו די ספּאַם טעקע, עס וועט לערנען פון דעם; אויב איך מאַך אַ בריוו פון די ספּאַם טעקע, עס וועט לערנען פון דעם. די רעזולטאַטן פון די SpamAssassin טריינינג זאָל השפּעה צי דער בריוו ענדס אין די ספּאַם טעקע.
פפּ סקריפּס מוזן קענען צו שיקן פּאָסט אויף ביכאַף פון קיין פעלד אויף אַ געגעבן סערווער.
עס זאָל זיין אַן openvpn דינסט, מיט די פיייקייט צו נוצן IPv6 אויף אַ קליענט וואָס האט נישט IPv6.

ערשטער איר דאַרפֿן צו קאַנפיגיער ינטערפייסיז און רוטינג, אַרייַנגערעכנט IPv6.
דערנאָך איר וועט דאַרפֿן צו קאַנפיגיער OpenVPN, וואָס וועט פאַרבינדן דורך IPv4 און צושטעלן דעם קליענט אַ סטאַטיק-פאַקטיש IPv6 אַדרעס. דער קליענט וועט האָבן אַקסעס צו אַלע IPv6 באַדינונגס אויף די סערווער און אַקסעס צו קיין IPv6 רעסורסן אויף דער אינטערנעץ.
דערנאָך איר וועט דאַרפֿן צו קאַנפיגיער פּאָסטפיקס צו שיקן אותיות + SPF + DKIM + rDNS און אנדערע ענלעך קליין טינגז.
דערנאָך איר דאַרפֿן צו קאַנפיגיער דאָוועקאָט און קאַנפיגיער מולטידאָמאַין.
דערנאָך איר וועט דאַרפֿן צו קאַנפיגיער SpamAssassin און קאַנפיגיער טריינינג.
צום סוף, ינסטאַלירן Bind.

============= מולטי ינטערפייסיז ==============

צו קאַנפיגיער ינטערפייסיז, איר דאַרפֿן צו שרייַבן דעם אין "/etc/network/interfaces".

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
allow-hotplug eno1
iface eno1 inet static
        address XX.XX.XX.X0/24
        gateway XX.XX.XX.1
        dns-nameservers 127.0.0.1 213.248.1.6
        post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t
        post-up ip route add default via XX.XX.XX.1 table eno1t
        post-up ip rule add table eno1t from XX.XX.XX.X0
        post-up ip rule add table eno1t to XX.XX.XX.X0

auto eno1:1
iface eno1:1 inet static
address XX.XX.XX.X1
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X1
        post-up ip rule add table eno1t to XX.XX.XX.X1
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE

# The secondary network interface
allow-hotplug eno2
iface eno2 inet static
        address XX.XX.XX.X5
        netmask 255.255.255.0
        post-up   ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t
        post-up   ip route add default via XX.XX.XX.1 table eno2t
        post-up   ip rule add table eno2t from XX.XX.XX.X5
        post-up   ip rule add table eno2t to XX.XX.XX.X5
        post-up   ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t
        post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t

iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        up   ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE
        down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE

# OpenVPN network
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

די סעטטינגס קענען זיין געווענדט אויף קיין סערווער אין tech.ru (מיט אַ ביסל קאָואָרדאַניישאַן מיט שטיצן) און עס וועט גלייך אַרבעט ווי עס זאָל.

אויב איר האָט דערפאַרונג מיט סעטאַפּ ענלעך טינגז פֿאַר Hetzner, OVH, דאָס איז אַנדערש. שווערער.

eno1 איז דער נאָמען פון נעץ קאָרט #1 (פּאַמעלעך אָבער אַנלימאַטאַד).
eno2 איז דער נאָמען פון נעץ קאָרט #2 (שנעל, אָבער מיט אַ צאָל).
tun0 איז די נאָמען פון די ווירטואַל נעץ קאָרט פֿון OpenVPN.
XX.XX.XX.X0 - IPv4 #1 אויף ענאָ1.
XX.XX.XX.X1 - IPv4 #2 אויף ענאָ1.
XX.XX.XX.X2 - IPv4 #3 אויף ענאָ1.
XX.XX.XX.X5 - IPv4 #1 אויף ענאָ2.
XX.XX.XX.1 - IPv4 גייטוויי.
XXXX:XXXX:XXXX:XXXX::/64 - IPv6 פֿאַר די גאנצע סערווער.
XXXX:XXXX:XXXX:XXXX:1:2::/96 - IPv6 פֿאַר ענאָ2, אַלץ אַנדערש פון די אַרויס גייט אין ענאָ1.
XXXX:XXXX:XXXX:XXXX::1 — IPv6 גייטוויי (עס איז כדאי צו באמערקן אַז דאָס קען / זאָל זיין געטאן דיפערענטלי. ספּעציפיצירן די IPv6 באַשטימען).
dns-nameservers - 127.0.0.1 איז אנגעוויזן (ווייַל בינדן איז אינסטאַלירן לאָוקאַלי) און 213.248.1.6 (דאָס איז פֿון tech.ru).

"טיש ענאָ1ט" און "טיש ענאָ2ט" - די טייַטש פון די מאַרשרוט כּללים איז אַז פאַרקער קומט דורך ענאָ1 -> וואָלט לאָזן דורך עס, און פאַרקער וואָס קומט דורך ענאָ2 -> וואָלט לאָזן דורך עס. און אויך קאַנעקשאַנז ינישיייטיד דורך די סערווער וואָלט גיין דורך ענאָ1.

ip route add default via XX.XX.XX.1 table eno1t

מיט דעם באַפֿעל מיר ספּעציפיצירן אַז קיין ינגקאַמפּראַכענסיבאַל פאַרקער וואָס פאלן אונטער קיין הערשן אנגעצייכנט "טיש ענאָ1ט" -> ווערן געשיקט צו די ענאָ1 צובינד.

ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t

מיט דעם באַפֿעל מיר ספּעציפיצירן אַז קיין פאַרקער ינישיייטיד דורך די סערווער זאָל זיין דירעקטעד צו די eno1 צובינד.

ip rule add table eno1t from XX.XX.XX.X0
ip rule add table eno1t to XX.XX.XX.X0

מיט דעם באַפֿעל מיר שטעלן די כּללים פֿאַר מאַרקינג פאַרקער.

auto eno1:2
iface eno1:2 inet static
address XX.XX.XX.X2
netmask 255.255.255.0
        post-up ip rule add table eno1t from XX.XX.XX.X2
        post-up ip rule add table eno1t to XX.XX.XX.X2

דער בלאָק ספּעציפיצירט אַ צווייט IPv4 פֿאַר די eno1 צובינד.

ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t

מיט דעם באַפֿעל מיר שטעלן די מאַרשרוט פון OpenVPN קלייאַנץ צו היגע IPv4 אַחוץ XX.XX.XX.X0.
איך נאָך טאָן ניט פֿאַרשטיין וואָס דעם באַפֿעל איז גענוג פֿאַר אַלע IPv4.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
        gateway XXXX:XXXX:XXXX:XXXX::1

דאָס איז ווו מיר שטעלן די אַדרעס פֿאַר די צובינד זיך. דער סערווער וועט נוצן עס ווי אַ "אַוטגאָוינג" אַדרעס. וועט ניט זיין געוויינט אין קיין וועג ווידער.

פארוואס איז ":1:1::" אַזוי קאָמפּליצירט? אַזוי אַז OpenVPN אַרבעט ריכטיק און בלויז פֿאַר דעם. מער אויף דעם שפּעטער.

אויף דער טעמע פון ​​גייטוויי - דאָס איז ווי עס אַרבעט און דאָס איז גוט. אָבער דער ריכטיק וועג איז צו אָנווייַזן דאָ די IPv6 פון די באַשטימען צו וואָס די סערווער איז קאָננעקטעד.

אָבער, פֿאַר עטלעכע סיבה, IPv6 סטאַפּס ארבעטן אויב איך טאָן דאָס. דאָס איז מיסטאָמע אַ מין פון tech.ru פּראָבלעם.

ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE

דאָס איז אַדינג אַן IPv6 אַדרעס צו די צובינד. אויב איר דאַרפֿן אַ הונדערט אַדרעסעס, דאָס מיינט אַ הונדערט שורות אין דעם טעקע.

iface eno1 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:1::/64
...
iface eno2 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:2::/96
...
iface tun0 inet6 static
        address XXXX:XXXX:XXXX:XXXX:1:3::/80

איך באמערקט די אַדרעסעס און סובנעץ פון אַלע ינטערפייסיז צו מאַכן עס קלאָר.
eno1 - מוזן זיין "/64" - ווייַל דאָס איז אונדזער גאנצע בעקן פון אַדרעסעס.
tun0 - די סובנעט מוזן זיין גרעסער ווי ענאָ1. אַנדערש, עס וועט ניט זיין מעגלעך צו קאַנפיגיער אַן IPv6 גייטוויי פֿאַר OpenVPN קלייאַנץ.
eno2 - די סובנעט מוזן זיין גרעסער ווי tun0. אַנדערש, OpenVPN קלייאַנץ קענען נישט אַקסעס היגע IPv6 אַדרעסעס.
פֿאַר קלעריטי, איך אויסדערוויילט אַ סובנעט שריט פון 16, אָבער אויב איר ווילט, איר קענען אפילו טאָן "1" שריט.
אַקקאָרדינגלי, 64+16 = 80, און 80+16 = 96.

פֿאַר אפילו מער קלאָרקייט:
XXXX:XXXX:XXXX:XXXX:1:1:YYYY:YYYY זענען אַדרעסעס וואָס זאָל זיין אַסיינד צו ספּעציפיש זייטלעך אָדער באַדינונגס אויף די ענאָ1 צובינד.
XXXX:XXXX:XXXX:XXXX:1:2:YYYY:YYYY זענען אַדרעסעס וואָס זאָל זיין אַסיינד צו ספּעציפיש זייטלעך אָדער באַדינונגס אויף די ענאָ2 צובינד.
XXXX:XXXX:XXXX:XXXX:1:3:YYYY:YYYY זענען אַדרעסעס וואָס זאָל זיין אַסיינד צו OpenVPN קלייאַנץ אָדער געוויינט ווי OpenVPN סערוויס אַדרעסעס.

צו קאַנפיגיער די נעץ, עס זאָל זיין מעגלעך צו ריסטאַרט די סערווער.
IPv4 ענדערונגען זענען פּיקט זיך ווען עקסאַקיוטאַד (זיין זיכער צו ייַנוויקלען עס אין פאַרשטעלן - אַנדערש דעם באַפֿעל וועט פשוט קראַך די נעץ אויף די סערווער):

/etc/init.d/networking restart

לייג צו די סוף פון דער טעקע "/etc/iproute2/rt_tables":

100 eno1t
101 eno2t

אָן דעם, איר קענען נישט נוצן מנהג טישן אין די "/etc/network/interfaces" טעקע.
די נומערן מוזן זיין יינציק און ווייניקער ווי 65535.

IPv6 ענדערונגען קענען זיין טשיינדזשד לייכט אָן רעבאָאָטינג, אָבער צו טאָן דאָס, איר דאַרפֿן צו לערנען אין מינדסטער דריי קאַמאַנדז:

ip -6 addr ...
ip -6 route ...
ip -6 neigh ...

באַשטעטיקן "/etc/sysctl.conf"

# Uncomment the next line to enable packet forwarding for IPv4
net.ipv4.ip_forward = 1

# Do not accept ICMP redirects (prevent MITM attacks)
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0

# Do not send ICMP redirects (we are not a router)
net.ipv4.conf.all.send_redirects = 0

# For receiving ARP replies
net.ipv4.conf.all.arp_filter = 0
net.ipv4.conf.default.arp_filter = 0

# For sending ARP
net.ipv4.conf.all.arp_announce = 0
net.ipv4.conf.default.arp_announce = 0

# Enable IPv6
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.lo.disable_ipv6 = 0

# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

# For nginx on boot
net.ipv6.ip_nonlocal_bind = 1

דאָס זענען די סעטטינגס פון מיין סערווירער "Sysctl". לאמיך אנווייזן עפעס וויכטיג.

net.ipv4.ip_forward = 1

אָן דעם, OpenVPN וועט נישט אַרבעטן אין אַלע.

net.ipv6.ip_nonlocal_bind = 1

ווער עס יז וואס פרוווט צו בינדן IPv6 (למשל nginx) גלייך נאָך די צובינד איז אַרויף וועט באַקומען אַ טעות. אַז דאָס אַדרעס איז נישט בנימצא.

צו ויסמיידן אַזאַ אַ סיטואַציע, אַזאַ אַ באַשטעטיקן איז געמאכט.

net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1

אָן די IPv6 סעטטינגס, פאַרקער פון די OpenVPN קליענט איז נישט אין דער וועלט.

אנדערע סעטטינגס זענען אָדער נישט באַטייַטיק אָדער איך טאָן ניט געדענקען וואָס זיי זענען פֿאַר.
אָבער נאָר אין פאַל, איך לאָזן עס "ווי איז."

כּדי ענדערונגען צו דעם טעקע זאָל זיין פּיקט אָן ריסטאַרטינג די סערווער, איר דאַרפֿן צו לויפן די באַפֿעל:

sysctl -p

מער דעטאַילס וועגן "טיש" כּללים: habr.com/post/108690

============== OpenVPN =============

OpenVPN IPv4 טוט נישט אַרבעטן אָן יפּטאַבלעס.

מייַן יפּטאַבלעס זענען ווי דאָס פֿאַר VPN:

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

YY.YY.YY.YY איז מיין סטאַטיק IPv4 אַדרעס פון די היגע מאַשין.
10.8.0.0/24 - IPv4 openvpn נעץ. IPv4 אַדרעסז פֿאַר אָפּענוופּן קלייאַנץ.
די קאָנסיסטענסי פון די כּללים איז וויכטיק.

iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT
iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT
...
iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 1194 -j DROP
iptables -A FORWARD -p udp --dport 1194 -j DROP

דאָס איז אַ באַגרענעצונג אַזוי אַז בלויז איך קענען נוצן OpenVPN פֿון מיין סטאַטיק IP.

iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0
  -- или --
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE

צו פֿאָרווערטס IPv4 פּאַקיץ צווישן OpenVPN קלייאַנץ און די אינטערנעט, איר דאַרפֿן צו רעגיסטרירן איינער פון די קאַמאַנדז.

פֿאַר פאַרשידענע קאַסעס, איינער פון די אָפּציעס איז נישט פּאַסיק.
ביידע קאַמאַנדז זענען פּאַסיק פֿאַר מיין פאַל.
נאָך לייענען די דאַקיומענטיישאַן, איך אויסדערוויילט דער ערשטער אָפּציע ווייַל עס ניצט ווייניקער קפּו.

כּדי אַלע יפּטאַבלעס סעטטינגס זאָל זיין פּיקט זיך נאָך רעבאָאָט, איר דאַרפֿן צו ראַטעווען זיי ערגעץ.

iptables-save > /etc/iptables/rules.v4
ip6tables-save > /etc/iptables/rules.v6

אזעלכ ע נעמע ן זײנע ן ניש ט געקליב ן געװארן . זיי זענען געניצט דורך די "iptables-persistent" פּעקל.

apt-get install iptables-persistent

ינסטאָלינג די הויפּט OpenVPN פּעקל:

apt-get install openvpn easy-rsa

לאָמיר שטעלן אַ מוסטער פֿאַר סערטיפיקאַץ (פאַרטרעטער דיין וואַלועס):

make-cadir ~/openvpn-ca
cd ~/openvpn-ca
ln -s openssl-1.0.0.cnf openssl.cnf

זאל ס רעדאַגירן די באַווייַזן מוסטער סעטטינגס:

mcedit vars

...
# These are the default values for fields
# which will be placed in the certificate.
# Don't leave any of these fields blank.
export KEY_COUNTRY="RU"
export KEY_PROVINCE="Krasnodar"
export KEY_CITY="Dinskaya"
export KEY_ORG="Own"
export KEY_EMAIL="[email protected]"
export KEY_OU="VPN"

# X509 Subject Field
export KEY_NAME="server"
...

שאַפֿן אַ סערווער באַווייַזן:

cd ~/openvpn-ca
source vars
./clean-all
./build-ca
./build-key-server server
./build-dh
openvpn --genkey --secret keys/ta.key

לאָמיר צוגרייטן די פיייקייט צו שאַפֿן די לעצט "קליענט-נאַמע.אָפּוון" טעקעס:

mkdir -p ~/client-configs/files
chmod 700 ~/client-configs/files
cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf
mcedit ~/client-configs/base.conf

# Client mode
client

# Interface tunnel type
dev tun

# TCP protocol
proto tcp-client

# Address/Port of VPN server
remote XX.XX.XX.X0 1194

# Don't bind to local port/address
nobind

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Remote peer must have a signed certificate
remote-cert-tls server
ns-cert-type server

# Enable compression
comp-lzo

# Custom
ns-cert-type server
tls-auth ta.key 1
cipher DES-EDE3-CBC

לאָמיר צוגרייטן אַ שריפט וואָס וועט צונויפגיסן אַלע טעקעס אין אַ איין אָפּוון טעקע.

mcedit ~/client-configs/make_config.sh
chmod 700 ~/client-configs/make_config.sh

#!/bin/bash

# First argument: Client identifier

KEY_DIR=~/openvpn-ca/keys
OUTPUT_DIR=~/client-configs/files
BASE_CONFIG=~/client-configs/base.conf

cat ${BASE_CONFIG} 
    <(echo -e '<ca>') 
    ${KEY_DIR}/ca.crt 
    <(echo -e '</ca>n<cert>') 
    ${KEY_DIR}/.crt 
    <(echo -e '</cert>n<key>') 
    ${KEY_DIR}/.key 
    <(echo -e '</key>n<tls-auth>') 
    ${KEY_DIR}/ta.key 
    <(echo -e '</tls-auth>') 
    > ${OUTPUT_DIR}/.ovpn

קריייטינג דער ערשטער OpenVPN קליענט:

cd ~/openvpn-ca
source vars
./build-key client-name
cd ~/client-configs
./make_config.sh client-name

דער טעקע "~/client-configs/files/client-name.ovpn" איז געשיקט צו דעם קליענט ס מיטל.

פֿאַר יאָס קלייאַנץ איר דאַרפֿן צו טאָן די פאלגענדע טריק:
דער אינהאַלט פון די "tls-auth" קוויטל מוזן זיין אָן באַמערקונגען.
און אויך שטעלן "שליסל-ריכטונג 1" גלייך איידער די "tls-auth" קוויטל.

לאָמיר קאַנפיגיער די OpenVPN סערווער קאַנפיגיעריישאַן:

cd ~/openvpn-ca/keys
cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn
gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf
mcedit /etc/openvpn/server.conf

# Listen port
port 1194

# Protocol
proto tcp-server

# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6

# Master certificate
ca ca.crt

# Server certificate
cert server.crt

# Server private key
key server.key

# Diffie-Hellman parameters
dh dh2048.pem

# Allow clients to communicate with each other
client-to-client

# Client config dir
client-config-dir /etc/openvpn/ccd

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80
topology subnet

# IPv6 routes
push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64"
push "route-ipv6 2000::/3"

# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS

# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun

# Ping every 10s. Timeout of 120s.
keepalive 10 120

# Enable compression
comp-lzo

# User and group
user vpn
group vpn

# Log a short status
status openvpn-status.log

# Logging verbosity
##verb 4

# Custom config
tls-auth ta.key 0
cipher DES-EDE3-CBC

דאָס איז דארף אין סדר צו שטעלן אַ סטאַטיק אַדרעס פֿאַר יעדער קליענט (ניט נייטיק, אָבער איך נוצן עס):

# Client config dir
client-config-dir /etc/openvpn/ccd

די מערסט שווער און שליסל דעטאַל.

צום באַדויערן, OpenVPN קען נאָך נישט וויסן ווי צו ינדיפּענדאַנטלי קאַנפיגיער אַן IPv6 גייטוויי פֿאַר קלייאַנץ.
איר האָבן צו "מאַניואַלי" פאָרויס דעם פֿאַר יעדער קליענט.

# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"

טעקע "/etc/openvpn/server-clientconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
        echo $ipv6
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Create proxy rule
/sbin/ip -6 neigh add proxy $ipv6 dev eno1

טעקע "/etc/openvpn/server-clientdisconnect.sh":

#!/bin/sh

# Check client variables
if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then
        echo "Missing environment variable."
        exit 1
fi

# Load server variables
. /etc/openvpn/variables

ipv6=""

# Find out if there is a specific config with fixed IPv6 for this client
if [ -f "/etc/openvpn/ccd/$common_name" ]; then
        # Get fixed IPv6 from client config file
        ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ t]+([0-9a-fA-F:]+).*$/1/p' "/etc/openvpn/ccd/$common_name")
fi

# Get IPv6 from IPv4
if [ -z "$ipv6" ]; then
        ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
        if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
                echo "Invalid IPv4 part."
                exit 1
        fi
        hexipp=$(printf '%x' $ipp)
        ipv6="$prefix$hexipp"
fi

# Delete proxy rule
/sbin/ip -6 neigh del proxy $ipv6 dev eno1

ביידע סקריפּס נוצן די טעקע "/etc/openvpn/variables":

# Subnet
prefix=XXXX:XXXX:XXXX:XXXX:2:
# netmask
prefixlen=112

איך גלייב שווער צו געדענקען פארוואס עס שטייט אזוי געשריבן.

איצט נעטמאַסק = 112 קוקט מאָדנע (עס זאָל זיין 96 רעכט דאָרט).
און די פּרעפיקס איז מאָדנע, עס קען נישט גלייַכן די tun0 נעץ.
אבער אָוקיי, איך וועט לאָזן עס ווי איז.

cipher DES-EDE3-CBC

דאָס איז נישט פֿאַר אַלעמען - איך אויסדערוויילט דעם אופֿן פון ענקריפּטינג די קשר.

לערנען מער וועגן באַשטעטיקן OpenVPN IPv4.

לערנען מער וועגן באַשטעטיקן OpenVPN IPv6.

============= פּאָסטפיקס =============

ינסטאַלירן די הויפּט פּעקל:

apt-get install postfix

ווען ינסטאָלינג, סעלעקטירן "אינטערנעט פּלאַץ".

מיין "/etc/postfix/main.cf" קוקט ווי דאָס:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

readme_directory = no

# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key
smtpd_use_tls=yes
smtpd_tls_auth_only = yes
smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

smtp_tls_security_level = may
smtp_tls_ciphers = export
smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_loglevel = 1

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = domain1.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = domain1.com
mydestination = localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = ipv4

internal_mail_filter_classes = bounce

# Storage type
virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
        permit_sasl_authenticated,
        permit_mynetworks,
        #reject_invalid_hostname,
        #reject_unknown_recipient_domain,
        reject_unauth_destination,
        reject_rbl_client sbl.spamhaus.org,
        check_policy_service unix:private/policyd-spf

smtpd_helo_restrictions =
        #reject_invalid_helo_hostname,
        #reject_non_fqdn_helo_hostname,
        reject_unknown_helo_hostname

smtpd_client_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        reject_non_fqdn_helo_hostname,
        permit

# SPF
policyd-spf_time_limit = 3600

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

זאל ס קוק אין די דעטאַילס פון דעם קאָנפיגוראַטיאָן.

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

לויט די כאַבראָווסק רעזידאַנץ, דעם בלאָק כּולל "מיס אינפֿאָרמאַציע און פאַלש טעזיס."בלויז 8 יאָר נאָך די אָנהייב פון מיין קאַריערע איך אנגעהויבן צו פֿאַרשטיין ווי SSL אַרבעט.

דעריבער, איך וועל נעמען די פרייהייט פון דיסקרייבינג ווי צו נוצן SSL (אָן ענטפֿערן די פראגעס "ווי טוט עס אַרבעט?" און "פארוואס טוט עס אַרבעט?").

די יקער פון מאָדערן ענקריפּשאַן איז די שאַפונג פון אַ שליסל פּאָר (צוויי זייער לאַנג סטרינגס פון אותיות).

איין "שליסל" איז פּריוואַט, די אנדערע שליסל איז "ציבור". מיר האַלטן די פּריוואַט שליסל זייער קערפאַלי סוד. מיר פאַרשפּרייטן דעם ציבור שליסל צו אַלעמען.

ניצן אַ ציבור שליסל, איר קענען ענקריפּט אַ שטריקל פון טעקסט אַזוי אַז בלויז די באַזיצער פון די פּריוואַט שליסל קענען דעקריפּט עס.
נו, דאָס איז די גאנצע יקער פון די טעכנאָלאָגיע.

שריט #1 - הטטפּס זייטלעך.
ווען אַקסעסינג אַ פּלאַץ, דער בלעטערער לערנט פון די וועב סערווער אַז די פּלאַץ איז https און דעריבער ריקוועס אַ ציבור שליסל.
דער וועב סערווער גיט דעם ציבור שליסל. דער בלעטערער ניצט דעם ציבור שליסל צו ענקריפּט די הטטפּ-בעטן און שיקן עס.
דער אינהאַלט פון אַ הטטפּ-בעטן קענען זיין לייענען בלויז דורך די וואס האָבן די פּריוואַט שליסל, דאָס איז בלויז די סערווער צו וואָס די בקשה איז געמאכט.
הטטפּ בעטן כּולל לפּחות אַ URI. דעריבער, אויב אַ מדינה איז טריינג צו באַגרענעצן אַקסעס נישט צו די גאנצע פּלאַץ, אָבער צו אַ ספּעציפיש בלאַט, דאָס איז אוממעגלעך צו טאָן פֿאַר https זייטלעך.

שריט #2 - ינקריפּטיד ענטפער.
דער וועב סערווער גיט אַן ענטפער וואָס קענען זיין לייכט לייענען אויף די וועג.
די לייזונג איז גאָר פּשוט - דער בלעטערער לאָוקאַלי דזשענערייץ די זעלבע פּריוואַט-ציבור שליסל פּאָר פֿאַר יעדער https פּלאַץ.
און צוזאמען מיט די בעטן פֿאַר די פּלאַץ ס ציבור שליסל, עס סענדז זיין היגע ציבור שליסל.
דער וועב סערווער געדענקט עס און, ווען שיקט הטטפּ-ענטפער, ענקריפּט עס מיט די ציבור שליסל פון אַ ספּעציפיש קליענט.
איצט http-ענטפער קענען זיין דעקריפּטיד בלויז דורך די באַזיצער פון דעם קליענט ס בלעטערער פּריוואַט שליסל (דאָס איז, דער קליענט זיך).

שריט נומ 3 - גרינדן אַ זיכער קשר דורך אַ ציבור קאַנאַל.
עס איז אַ וואַלנעראַביליטי אין בייַשפּיל נומ 2 - גאָרנישט פּריווענץ געזונט-ווישערז פון ינטערסעפּטינג אַ הטטפּ-בעטן און רעדאַגירן אינפֿאָרמאַציע וועגן דעם ציבור שליסל.
אזוי, די ינטערמידיערי וועט קלאר זען אַלע די אינהאַלט פון געשיקט און באקומען אַרטיקלען ביז די קאָמוניקאַציע קאַנאַל ענדערונגען.
די האַנדלינג מיט דעם איז גאָר פּשוט - נאָר שיקן דעם בלעטערער ס ציבור שליסל ווי אַ אָנזאָג ינקריפּטיד מיט די וועב סערווער ס ציבור שליסל.
דער וועב סערווער ערשטער סענדז אַ ענטפער ווי "דיין ציבור שליסל איז ווי דאָס" און ענקריפּט דעם אָנזאָג מיט דער זעלביקער ציבור שליסל.
דער בלעטערער קוקט אויף דעם ענטפער - אויב דער אָנזאָג "דיין ציבור שליסל איז ווי דאָס" איז באקומען - דאָס איז אַ 100% גאַראַנטירן אַז דער קאָמוניקאַציע קאַנאַל איז זיכער.
ווי זיכער איז עס?
די שאַפונג פון אַזאַ אַ זיכער קאָמוניקאַציע קאַנאַל אַקערז מיט אַ גיכקייַט פון פּינג * 2. פֿאַר בייַשפּיל 20ms.
דער אַטאַקער מוזן האָבן די פּריוואַט שליסל פון איינער פון די פּאַרטיעס אין שטייַגן. אָדער געפֿינען אַ פּריוואַט שליסל אין אַ פּאָר פון מיליסעקאַנדז.
כאַקינג איין מאָדערן פּריוואַט שליסל וועט נעמען דעקאַדעס אויף אַ סופּערקאַמפּיוטער.

שריט #4 - עפנטלעך דאַטאַבייס פון ציבור שליסלען.
דאָך, אין דער גאנצער געשיכטע עס איז אַ געלעגנהייט פֿאַר אַ אַטאַקער צו זיצן אויף די קאָמוניקאַציע קאַנאַל צווישן דעם קליענט און די סערווער.
דער קליענט קענען פאַרהיטן צו זיין דער סערווער, און דער סערווער קען פאַרהיטן צו זיין דער קליענט. און עמיאַלייט אַ פּאָר פון שליסלען אין ביידע אינסטרוקציעס.
דערנאָך דער אַטאַקער וועט זען אַלע די פאַרקער און קענען "רעדאַגירן" דעם פאַרקער.
למשל, טוישן די אַדרעס ווו צו שיקן געלט אָדער נאָכמאַכן די פּאַראָל פון אָנליין באַנקינג אָדער פאַרשפּאַרן "אַבדזשעקשאַנאַבאַל" אינהאַלט.
צו קאַמבאַט אַזאַ אַטאַקערז, זיי האָבן אַ עפנטלעך דאַטאַבייס מיט עפנטלעך שליסלען פֿאַר יעדער https פּלאַץ.
יעדער בלעטערער "וויסן" וועגן די עקזיסטענץ פון וועגן 200 אַזאַ דאַטאַבייסיז. דאָס איז פאַר-אינסטאַלירן אין יעדער בלעטערער.
"וויסן" איז באַקט דורך אַ ציבור שליסל פון יעדער באַווייַזן. אַז איז, די קשר צו יעדער ספּעציפיש סערטאַפאַקיישאַן אויטאָריטעט קענען ניט זיין פיייק.

איצט עס איז אַ פּשוט פארשטאנד פון ווי צו נוצן SSL פֿאַר https.
אויב איר נוצן דיין מאַרך, עס וועט זיין קלאָר ווי די ספּעציעל סערוויסעס קענען כאַק עפּעס אין דעם סטרוקטור. אבער עס וועט קאָסטן זיי מאַנסטראַס השתדלות.
און אָרגאַנאַזיישאַנז קלענערער ווי די NSA אָדער CIA - עס איז כּמעט אוממעגלעך צו כאַק די יגזיסטינג מדרגה פון שוץ, אפילו פֿאַר וויפּס.

איך וועט אויך לייגן וועגן ssh קאַנעקשאַנז. עס זענען קיין ציבור שליסלען דאָרט, אַזוי וואָס קענען איר טאָן? דער ענין איז סאַלווד אין צוויי וועגן.
אָפּציע ssh-by-password:
בעשאַס דער ערשטער קשר, דער ssh קליענט זאָל וואָרענען אַז מיר האָבן אַ נייַע ציבור שליסל פֿון די ssh סערווער.
און בעשאַס ווייַטער קאַנעקשאַנז, אויב די ווארענונג "נייַע ציבור שליסל פֿון די ssh סערווער" איז ארויס, דאָס וועט מיינען אַז זיי זענען טריינג צו עוזדראָפּ אויף איר.
אָדער איר זענען יווזדראַפּט אויף דיין ערשטער קשר, אָבער איצט איר יבערגעבן מיט די סערווער אָן ינערמידיעריז.
אַקטואַללי, רעכט צו דעם פאַקט אַז דער פאַקט פון ווירעטאַפּינג איז לייכט, געשווינד און עפערטלאַסלי גילוי, דעם באַפאַלן איז געניצט בלויז אין ספּעציעל קאַסעס פֿאַר אַ ספּעציפיש קליענט.

אָפּציע ssh-by-key:
מיר נעמען אַ בליץ פאָר, שרייַבן די פּריוואַט שליסל פֿאַר די ssh סערווער אויף עס (עס זענען טערמינען און אַ פּלאַץ פון וויכטיק נואַנסיז פֿאַר דעם, אָבער איך שרייַבן אַ בילדונגקרייז פּראָגראַם, נישט ינסטראַקשאַנז פֿאַר נוצן).
מיר לאָזן די ציבור שליסל אויף די מאַשין ווו דער ssh קליענט וועט זיין און מיר אויך האַלטן עס סוד.
מיר ברענגען די בליץ פאָר צו די סערווער, אַרייַנלייגן עס, נאָכמאַכן די פּריוואַט שליסל, און פאַרברענען די בליץ פאָר און צעוואַרפן די אש צו די ווינט (אָדער לפּחות פֿאָרמאַט עס מיט זעראָס).
אַז ס אַלע - נאָך אַזאַ אַ אָפּעראַציע עס וועט זיין אוממעגלעך צו כאַק אַזאַ אַ סש קשר. דאָך, אין 10 יאָר עס וועט זיין מעגלעך צו זען פאַרקער אויף אַ סופּערקאַמפּיוטער - אָבער דאָס איז אַ אַנדערש געשיכטע.

איך בין אַנטשולדיקט פֿאַר די אָפטאָפּיק.

אַזוי איצט אַז די טעאָריע איז באקאנט. איך וועט זאָגן איר וועגן די לויפן פון קריייטינג אַ SSL באַווייַזן.

ניצן "אָפּענססל גענרסאַ" מיר מאַכן אַ פּריוואַט שליסל און "בלאַנקס" פֿאַר די ציבור שליסל.
מיר שיקן די "בלאַנקס" צו אַ דריט-פּאַרטיי פירמע, צו וואָס מיר באַצאָלן בעערעך $ 9 פֿאַר די סימפּלאַסט באַווייַזן.

נאָך אַ פּאָר פון שעה, מיר באַקומען אונדזער "ציבור" שליסל און אַ סכום פון עטלעכע ציבור שליסלען פון דעם דריט-פּאַרטיי פירמע.

פארוואס זאָל אַ דריט-פּאַרטיי פירמע באַצאָלן פֿאַר די רעגיסטראַציע פון ​​מיין ציבור שליסל איז אַ באַזונדער קשיא, מיר וועלן נישט באַטראַכטן עס דאָ.

איצט עס איז קלאָר וואָס די טייַטש פון די ינסקריפּשאַן איז:

smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key

די "/etc/ssl" טעקע כּולל אַלע די טעקעס פֿאַר ssl ישוז.
domain1.com - פעלד נאָמען.
2018 איז די יאָר פון שליסל שאַפונג.
"שליסל" - באַצייכענונג אַז די טעקע איז אַ פּריוואַט שליסל.

און דער טייַטש פון דעם טעקע:

smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt
domain1.com - פעלד נאָמען.
2018 איז די יאָר פון שליסל שאַפונג.
chained - באַצייכענונג אַז עס איז אַ קייט פון ציבור שליסלען (דער ערשטער איז אונדזער ציבור שליסל און די מנוחה זענען וואָס געקומען פון די פירמע וואָס ארויס די ציבור שליסל).
crt - באַצייכענונג אַז עס איז אַ פאַרטיק באַווייַזן (ציבור שליסל מיט טעכניש דערקלערונגען).

smtp_bind_address = XX.XX.XX.X0
smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1

די באַשטעטיקן איז נישט געניצט אין דעם פאַל, אָבער איז געשריבן ווי אַ בייַשפּיל.

ווייַל אַ טעות אין דעם פּאַראַמעטער וועט פירן צו ספּאַם פון דיין סערווער (אָן דיין וועט).

דעמאלט באווייזן אלעמען אז דו ביסט נישט שולדיק.

recipient_delimiter = +

פילע מענטשן קען נישט וויסן, אָבער דאָס איז אַ נאָרמאַל כאַראַקטער פֿאַר רייטינג ימיילז, און עס איז געשטיצט דורך רובֿ מאָדערן פּאָסט סערווערס.

פֿאַר בייַשפּיל, אויב איר האָבן אַ בריווקאַסטן "[אימעיל באשיצט]"פּרובירן שיקן צו"[אימעיל באשיצט]"- קוק וואָס קומט פון אים.

inet_protocols = ipv4

דאָס קען זיין קאַנפיוזינג.

אבער עס איז נישט נאָר אַזוי. יעדער נייַ פעלד איז ביי פעליקייַט בלויז IPv4, און איך קער אויף IPv6 פֿאַר יעדער איינער סעפּעראַטלי.

virtual_transport = lmtp:unix:private/dovecot-lmtp
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

דאָ מיר ספּעציפיצירן אַז אַלע ינקאַמינג פּאָסט גייט צו דאָוועקאָט.
און די כּללים פֿאַר פעלד, בריווקאַסטן, אַליאַס - קוק אין די דאַטאַבייס.

/etc/postfix/mysql-virtual-mailbox-domains.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_domains WHERE name='%s'

/etc/postfix/mysql-virtual-mailbox-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT 1 FROM virtual_users WHERE email='%s'

/etc/postfix/mysql-virtual-alias-maps.cf

user = usermail
password = mailpassword
hosts = 127.0.0.1
dbname = servermail
query = SELECT destination FROM virtual_aliases WHERE source='%s'

# SMTP-Auth settings
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes

איצט פּאָסטפיקס ווייסט אַז עס איז מעגלעך צו אָננעמען פּאָסט פֿאַר ווייַטער שיקן בלויז נאָך דערלויבעניש מיט דאָוועקאָט.

איך טאַקע טאָן ניט פֿאַרשטיין וואָס דאָס איז דופּליקייטיד דאָ. מיר האָבן שוין ספּעציפיצירט אַלץ וואָס איז דארף אין "ווירטואַל_טראַנספּאָרט".

אָבער די פּאָסטפיקס סיסטעם איז זייער אַלט - מיסטאָמע עס איז אַ צוריקקער פון די אַלט טעג.

smtpd_recipient_restrictions =
        ...

smtpd_helo_restrictions =
        ...

smtpd_client_restrictions =
        ...

דעם קענען זיין קאַנפיגיערד דיפערענטלי פֿאַר יעדער פּאָסט סערווער.

איך האָבן 3 פּאָסט סערווערס צו מיין באַזייַטיקונג און די סעטטינגס זענען זייער אַנדערש רעכט צו פאַרשידענע באַניץ רעקווירעמענץ.

איר דאַרפֿן צו קאַנפיגיער עס קערפאַלי - אַנדערש ספּאַם וועט גיסן אין איר, אָדער אפילו ערגער - ספּאַם וועט גיסן אויס פון איר.

# SPF
policyd-spf_time_limit = 3600

באַשטעטיקן פֿאַר עטלעכע פּלוגין שייַכות צו קאָנטראָלירן די SPF פון ינקאַמינג אותיות.

# OpenDKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = unix:var/run/opendkim/opendkim.sock
non_smtpd_milters = unix:var/run/opendkim/opendkim.sock

די באַשטעטיקן איז אַז מיר מוזן צושטעלן אַ DKIM כסימע מיט אַלע אַוטגאָוינג ימיילז.

# IP address per domain
sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre

דאָס איז אַ שליסל דעטאַל אין בריוו רוטינג ווען איר שיקן אותיות פֿון PHP סקריפּס.

טעקע "/etc/postfix/sdd_transport.pcre":

/^[email protected]$/ domain1:
/^[email protected]$/ domain2:
/^[email protected]$/ domain3:
/@domain1.com$/             domain1:
/@domain2.com$/             domain2:
/@domain3.com$/             domain3:

אויף די לינקס זענען רעגולער אויסדרוקן. אויף די רעכט איז אַ פירמע וואָס מאַרקס די בריוו.
פּאָסטפיקס אין לויט מיט די פירמע - וועט נעמען אין חשבון אַ ביסל מער קאַנפיגיעריישאַן שורות פֿאַר אַ ספּעציפיש בריוו.

ווי פּונקט פּאָסטפיקס וועט זיין ריקאַנפיגיערד פֿאַר אַ ספּעציפיש בריוו וועט זיין אנגעוויזן אין "master.cf".

שורות 4, 5, 6 זענען די הויפּט. אויף ביכאַף פון וואָס פעלד מיר שיקן דעם בריוו, מיר שטעלן דעם פירמע.
אָבער די "פֿון" פעלד איז ניט שטענדיק אנגעוויזן אין PHP סקריפּס אין די אַלט קאָד. דערנאָך דער באַניצער נאָמען קומט צו ראַטעווען.

דער אַרטיקל איז שוין ברייט - איך וואָלט נישט וועלן צו זיין דיסטראַקטאַד דורך באַשטעטיקן nginx + fpm.

בעקיצער, פֿאַר יעדער פּלאַץ מיר שטעלן זיין אייגענע לינוקס באַניצער באַזיצער. און אַקאָרדינגלי דיין fpm-בעקן.

Fpm-pool ניצט קיין ווערסיע פון ​​​​php (עס איז גרויס ווען אויף דער זעלביקער סערווער איר קענען נוצן פאַרשידענע ווערסיעס פון php און אפילו פאַרשידענע php.ini פֿאַר ארומיקע זייטלעך אָן פראבלעמען).

אַזוי, אַ ספּעציפיש לינוקס באַניצער "וווווו-דאָמאַין2" האט אַ וועבזייטל domain2.com. דער פּלאַץ האט אַ קאָד פֿאַר שיקט ימיילז אָן ספּעציפיצירן די פֿון פעלד.

אַזוי, אפילו אין דעם פאַל, די בריוו וועט זיין געשיקט ריכטיק און וועט קיינמאָל סוף אין ספּאַם.

מיין "/etc/postfix/master.cf" קוקט ווי דאָס:

...
smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
...
policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}
...
domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

domain2  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X5
   -o smtp_helo_name=domain2.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1
   -o syslog_name=postfix-domain2

domain3  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X2
   -o smtp_helo_name=domain3
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1
   -o syslog_name=postfix-domain3

דער טעקע איז נישט צוגעשטעלט אין פול - עס איז שוין זייער גרויס.
איך האב נאר באמערקט וואס איז געענדערט געווארן.

smtp      inet  n       -       y       -       -       smtpd
  -o content_filter=spamassassin
...
spamassassin unix -     n       n       -       -       pipe
    user=spamd argv=/usr/bin/spamc -f -e
    /usr/sbin/sendmail -oi -f ${sender} ${recipient}

דאָס זענען סעטטינגס שייַכות צו ספּאַמאַסאַססין, מער אויף דעם שפּעטער.

submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

מיר לאָזן איר צו פאַרבינדן צו די פּאָסט סערווער דורך פּאָרט 587.
צו טאָן דאָס, איר מוזן קלאָץ אין.

policyd-spf  unix  -       n       n       -       0       spawn
    user=policyd-spf argv=/usr/bin/policyd-spf

געבן SPF טשעק.

apt-get install postfix-policyd-spf-python

לאָמיר ינסטאַלירן דעם פּעקל פֿאַר SPF טשעקס אויבן.

domain1  unix -       -       n       -       -       smtp
   -o smtp_bind_address=XX.XX.XX.X1
   -o smtp_helo_name=domain1.com
   -o inet_protocols=all
   -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1
   -o syslog_name=postfix-domain1

און דאָס איז די מערסט טשיקאַווע זאַך. דאָס איז די פיייקייט צו שיקן אותיות פֿאַר אַ ספּעציפיש פעלד פֿון אַ ספּעציפיש IPv4 / IPv6 אַדרעס.

דאָס איז געטאן פֿאַר די צוליב פון רדנס. rDNS איז דער פּראָצעס פון ריסיווינג אַ שטריקל דורך IP אַדרעס.
און פֿאַר פּאָסט, דעם שטריך איז געניצט צו באַשטעטיקן אַז די העלאָ פּונקט שוועבעלעך די רדנס פון די אַדרעס פֿון וואָס די E- בריוו איז געשיקט.

אויב די העלאָ איז נישט פּאַסיק פֿאַר די בליצפּאָסט פעלד אויף ביכאַף פון וועמען דער בריוו איז געשיקט, ספּאַם פונקטן זענען אַוואָרדיד.

העלאָ קען נישט גלייַכן רדנס - אַ פּלאַץ פון ספּאַם פונקטן זענען אַוואָרדיד.
אַקקאָרדינגלי, יעדער פעלד מוזן האָבן זיין אייגענע IP אַדרעס.
פֿאַר OVH - אין די קאַנסאָול עס איז מעגלעך צו ספּעציפיצירן רדנס.
פֿאַר tech.ru - די אַרויסגעבן איז סאַלווד דורך שטיצן.
פֿאַר AWS, די אַרויסגעבן איז סאַלווד דורך שטיצן.
"inet_protocols" און "smtp_bind_address6" - מיר געבן IPv6 שטיצן.
פֿאַר IPv6 איר אויך דאַרפֿן צו רעגיסטרירן רדנס.
"syslog_name" - און דאָס איז פֿאַר יז פון לייענען לאָגס.

קויפן סערטיפיקאַץ איך רעקאָמענדירן דאָ.

באַשטעטיקן פּאָסטפיקס + דאָוועקאָט לינק דאָ.

באַשטעטיקן SPF.

================================

apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam

באַשטעטיקן mysql, ינסטאַלירן די פּאַקאַדזשאַז זיך.

טעקע "/etc/dovecot/conf.d/10-auth.conf"

disable_plaintext_auth = yes
auth_mechanisms = plain login

דערלויבעניש איז בלויז ינקריפּטיד.

טעקע "/etc/dovecot/conf.d/10-mail.conf"

mail_location = maildir:/var/mail/vhosts/%d/%n

דאָ מיר אָנווייַזן די סטאָרידזש אָרט פֿאַר די אותיות.

איך ווילן זיי צו זיין סטאָרד אין טעקעס און גרופּט דורך פעלד.

טעקע "/etc/dovecot/conf.d/10-master.conf"

service imap-login {
  inet_listener imap {
    port = 0
  }
  inet_listener imaps {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 993
    ssl = yes
  }
}
service pop3-login {
  inet_listener pop3 {
    port = 0
  }
  inet_listener pop3s {
    address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1]
    port = 995
    ssl = yes
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}
service imap {
}
service pop3 {
}
service auth {
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }

  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
  user = dovecot
}
service auth-worker {
  user = vmail
}
service dict {
  unix_listener dict {
  }
}

דאָס איז די הויפּט דאָוועקאָט קאַנפיגיעריישאַן טעקע.
דאָ מיר דיסייבאַל אַנסיקיורד קאַנעקשאַנז.
און געבן זיכער קאַנעקשאַנז.

טעקע "/etc/dovecot/conf.d/10-ssl.conf"

ssl = required
ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt
ssl_key = </etc/nginx/ssl/domain1.com.2018.key
local XX.XX.XX.X5 {
  ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt
  ssl_key =  </etc/nginx/ssl/domain2.com.2018.key
}

באַשטעטיקן ssl. מיר אָנווייַזן אַז ssl איז פארלאנגט.
און די באַווייַזן זיך. און אַ וויכטיק דעטאַל איז די "היגע" דירעקטיוו. ינדיקייץ וואָס ssl באַווייַזן צו נוצן ווען קאַנעקטינג צו וואָס היגע IPv4.

דורך דעם וועג, IPv6 איז נישט קאַנפיגיערד דאָ, איך וועט פאַרריכטן דעם אָומישאַן שפּעטער.
XX.XX.XX.X5 (Domain2) - קיין באַווייַזן. צו פאַרבינדן קלייאַנץ איר דאַרפֿן צו ספּעציפיצירן domain1.com.
XX.XX.XX.X2 (domain3) - עס איז אַ באַווייַזן, איר קענען ספּעציפיצירן domain1.com אָדער domain3.com צו פאַרבינדן קלייאַנץ.

טעקע "/etc/dovecot/conf.d/15-lda.conf"

protocol lda {
  mail_plugins = $mail_plugins sieve
}

דאָס וועט זיין נויטיק פֿאַר ספּאַמאַסאַססין אין דער צוקונפֿט.

טעקע "/etc/dovecot/conf.d/20-imap.conf"

protocol imap {
  mail_plugins = $mail_plugins antispam
}

דאָס איז אַן אַנטיספּאַם פּלוגין. נויטיק פֿאַר טריינינג ספּאַמאַסאַסין אין דער צייט פון אַריבערפירן צו / פֿון די "ספּאַם" טעקע.

טעקע "/etc/dovecot/conf.d/20-pop3.conf"

protocol pop3 {
}

עס איז פּונקט אַזאַ אַ טעקע.

טעקע "/etc/dovecot/conf.d/20-lmtp.conf"

protocol lmtp {
  mail_plugins = $mail_plugins sieve
  postmaster_address = [email protected]
}

באַשטעטיקן למטפּ.

טעקע "/etc/dovecot/conf.d/90-antispam.conf"

plugin {
  antispam_backend = pipe
  antispam_trash = Trash;trash
  antispam_spam = Junk;Spam;SPAM
  antispam_pipe_program_spam_arg = --spam
  antispam_pipe_program_notspam_arg = --ham
  antispam_pipe_program = /usr/bin/sa-learn
  antispam_pipe_program_args = --username=%Lu
}

ספּאַמאַסאַסין טריינינג סעטטינגס אין דער צייט פון אַריבערפירן צו / פֿון די ספּאַם טעקע.

טעקע "/etc/dovecot/conf.d/90-sieve.conf"

plugin {
  sieve = ~/.dovecot.sieve
  sieve_dir = ~/sieve
  sieve_after = /var/lib/dovecot/sieve/default.sieve
}

א טעקע וואָס ספּעציפיצירט וואָס צו טאָן מיט ינקאַמינג אותיות.

טעקע "/var/lib/dovecot/sieve/default.sieve"

require ["fileinto", "mailbox"];

if header :contains "X-Spam-Flag" "YES" {
        fileinto :create "Spam";
}

איר דאַרפֿן צו זאַמלען די טעקע: "sievec default.sieve".

טעקע "/etc/dovecot/conf.d/auth-sql.conf.ext"

passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n
}

ספּעציפיצירן sql טעקעס פֿאַר דערלויבעניש.
און דער טעקע זיך איז געניצט ווי אַ אופֿן פון דערלויבעניש.

טעקע "/etc/dovecot/dovecot-sql.conf.ext"

driver = mysql
connect = host=127.0.0.1 dbname=servermail user=usermail password=password
default_pass_scheme = SHA512-CRYPT
password_query = SELECT email as user, password FROM virtual_users WHERE email='%u';

דאָס קאָראַספּאַנדז צו ענלעך סעטטינגס פֿאַר פּאָסטפיקס.

טעקע "/etc/dovecot/dovecot.conf"

protocols = imap lmtp pop3
listen = *, ::
dict {
}
!include conf.d/*.conf
!include_try local.conf

הויפּט קאַנפיגיעריישאַן טעקע.
די וויכטיק זאַך איז אַז מיר אָנווייַזן דאָ - לייגן פּראָטאָקאָלס.

============= SpamAssassin =============

apt-get install spamassassin spamc

לאָמיר ינסטאַלירן די פּאַקאַדזשאַז.

adduser spamd --disabled-login

לאמיר צוגעבן א באנוצער אויף וועמענס נאמען.

systemctl enable spamassassin.service

מיר געבן אַוטאָ-לאָודינג ספּאַמאַסאַססין דינסט ביי לאָודינג.

טעקע "/etc/default/spamassassin":

CRON=1

דורך געבן אָטאַמאַטיק אַפּדייטינג פון כּללים "דורך פעליקייַט".

טעקע "/etc/spamassassin/local.cf":

report_safe 0

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa:localhost:3306
bayes_sql_username sa
bayes_sql_password password

איר דאַרפֿן צו שאַפֿן אַ דאַטאַבייס "סאַ" אין mysql מיט דער באַניצער "סאַ" מיט די פּאַראָל "פּאַראָל" (פאַרבייַטן מיט עפּעס טויגן).

report_safe - דאָס וועט שיקן אַ באַריכט פון ספּאַם בליצפּאָסט אַנשטאָט פון אַ בריוו.
use_bayes זענען ספּאַמאַסאַססין סעטטינגס פֿאַר מאַשין לערנען.

די רוען ספּאַמאַסאַססין סעטטינגס זענען געניצט פריער אין דעם אַרטיקל.

אַלגעמיינע באַשטעטיקן "ספּאַמאַסאַססין".
וועגן מאָווינג נייַ ספּאַם ימיילז צו די IMAP "ספּאַם" טעקע.
וועגן אַ פּשוט קאָמבינאַציע פון ​​דאָוועקאָט + ספּאַמאַסאַססין.
איך רעקאָמענדירן לייענען די ספּאַמאַסאַססין לערנען טעאָריע ווען מאָווינג אותיות אין ימאַפּ פאָלדערס (און איך טאָן נישט רעקאָמענדירן צו נוצן עס).

============= אַפּעלירן צו די קהל =============

איך וואָלט אויך ווי צו וואַרפן אַ געדאַנק אין די קהל ווי צו פאַרגרעסערן די זיכערהייט מדרגה פון פאָרווערדיד בריוו. זינט איך בין אַזוי טיף פאַרטיפט אין די טעמע פון ​​פּאָסט.

אַזוי אַז דער באַניצער קענען מאַכן אַ פּאָר פון שליסלען אויף זיין קליענט (אַוטלוק, טאַנדערבירד, בלעטערער-פּלוגין, ...). ציבור און פּריוואַט. ציבור - שיקן צו דנס. פּריוואַט - ראַטעווען אויף דעם קליענט. מעיל סערווערס וואָלט קענען צו נוצן אַ ציבור שליסל צו שיקן צו אַ ספּעציפיש באַקומער.

און צו באַשיצן קעגן ספּאַם מיט אַזאַ אותיות (יאָ, די פּאָסט סערווער וועט נישט קענען צו זען די אינהאַלט) - איר דאַרפֿן צו באַקענען 3 כּללים:

1. מאַנדאַטאָרי פאַקטיש DKIM כסימע, מאַנדאַטאָרי ספּף, מאַנדאַטאָרי רדנס.
2. א נעוראַל נעץ אויף די טעמע פון ​​אַנטיספּאַם טריינינג + אַ דאַטאַבייס פֿאַר עס אויף דער קליענט זייַט.
3. די ענקריפּשאַן אַלגערידאַם מוזן זיין אַזוי אַז די שיקט זייַט מוזן פאַרברענגען 100 מאל מער קפּו מאַכט אויף ענקריפּשאַן ווי די ריסיווינג זייַט.

אין אַדישאַן צו ציבור בריוו, אַנטוויקלען אַ נאָרמאַל פאָרשלאָג בריוו "צו אָנהייבן זיכער קאָרעספּאָנדענץ." איינער פון די באנוצער ( בריווקאַסטן ) שיקט אַ בריוו מיט אַ אַטאַטשמאַנט צו אן אנדער בריווקאַסטן. דער בריוו כּולל אַ טעקסט פאָרשלאָג צו אָנהייבן אַ זיכער קאָמוניקאַציע קאַנאַל פֿאַר קאָרעספּאָנדענץ און דער ציבור שליסל פון די באַזיצער פון די בריווקאַסטן (מיט אַ פּריוואַט שליסל אויף די קליענט זייַט).

איר קענען אפילו מאַכן אַ פּאָר פון שליסלען ספּאַסיפיקלי פֿאַר יעדער קאָרעספּאָנדענץ. דער באַקומער באַניצער קענען אָננעמען דעם פאָרשלאָג און שיקן זיין ציבור שליסל (אויך געמאכט ספּאַסיפיקלי פֿאַר דעם קאָרעספּאָנדענץ). ווייַטער, דער ערשטער באַניצער סענדז אַ סערוויס קאָנטראָל בריוו (ענקריפּטיד מיט די ציבור שליסל פון די רגע באַניצער) - אויף קאַבאָלע פון ​​וואָס די רגע באַניצער קענען באַטראַכטן די געגרינדעט קאָמוניקאַציע קאַנאַל פאַרלאָזלעך. דערנאָך, דער צווייטער באַניצער סענדז אַ קאָנטראָל בריוו - און דער ערשטער באַניצער קענען אויך באַטראַכטן די געשאפן קאַנאַל זיכער.

צו קאַמבאַט די ינטערסעפּשאַן פון שליסלען אויף די וועג, דער פּראָטאָקאָל מוזן צושטעלן די מעגלעכקייט פון טראַנסמיטינג בייַ מינדסטער איין ציבור שליסל מיט אַ בליץ פאָר.

און די מערסט וויכטיק זאַך איז אַז אַלץ אַרבעט (די קשיא איז "ווער וועט באַצאָלן פֿאַר עס?"):
אַרייַן פּאָוסטאַל סערטיפיקאַץ סטאַרטינג בייַ $ 10 פֿאַר 3 יאָר. וואָס וועט לאָזן די סענדער צו אָנווייַזן אין די דנס אַז "מיין ציבור שליסלען זענען דאָרט." און זיי וועלן געבן איר די געלעגנהייט צו אָנהייבן אַ זיכער קשר. אין דער זעלביקער צייַט, אַקסעפּטינג אַזאַ קאַנעקשאַנז איז פריי.
Gmail איז לעסאָף מאָנעטיזינג זיין יוזערז. פֿאַר $ 10 פּער 3 יאָר - די רעכט צו שאַפֿן זיכער קאָרעספּאָנדענץ טשאַנאַלז.

============= מסקנא =============

צו פּרובירן די גאנצע אַרטיקל, איך געגאנגען צו דינגען אַ דעדאַקייטאַד סערווער פֿאַר אַ חודש און קויפן אַ פעלד מיט אַ SSL באַווייַזן.

אָבער לעבן צושטאנדן דעוועלאָפּעד אַזוי דעם אַרויסגעבן דראַגד אויף פֿאַר 2 חדשים.
און דערפאר, ווען איך האב ווידער געהאט פרייע צייט, האב איך באשלאסן צו פארעפנטלעכן דעם ארטיקל אזוי ווי עס איז, נישט צו ריזיקירן אז די ארויסגעבן וועט זיך שלעפן נאך א יאר.

אויב עס זענען גאַנץ אַ פּלאַץ פון פראגעס ווי "אָבער דאָס איז נישט דיסקרייבד אין גענוג דעטאַל", עס וועט מיסטאָמע זיין שטאַרקייט צו נעמען אַ דעדאַקייטאַד סערווער מיט אַ נייַע פעלד און אַ נייַע SSL באַווייַזן און באַשרייַבן עס אין אפילו מער דעטאַל און, רובֿ ימפּאָרטאַנטלי, ידענטיפיצירן אַלע די פעלנדיק וויכטיק דעטאַילס.

איך וואָלט אויך ווי צו באַקומען באַמערקונגען אויף געדאנקען וועגן פּאָוסטאַל סערטיפיקאַץ. אויב איר ווי דער געדאַנק, איך וועט פּרובירן צו געפֿינען די שטאַרקייט צו שרייַבן אַ פּלאַן פֿאַר rfc.

ווען קאַפּיינג גרויס טיילן פון אַן אַרטיקל, צושטעלן אַ לינק צו דעם אַרטיקל.
ווען איבערזעצן אין קיין אנדערע שפּראַך, צושטעלן אַ לינק צו דעם אַרטיקל.
איך וועל אליין פרובירן עס איבערצוזעצן אויף ענגליש און איבערלאזן קרייז-רעפערענצן.

מקור: www.habr.com