Un servidor de correo electrónico OpenBSD que utiliza OpenSMTPD, Dovecot, Rspamd y RainLoop

• Introducción
• Pasos preliminares
• Configurar OpenSMTPD
• Configurar Dovecot IMAP
• Configurar Rspamd
• (Opcional) Configurar RainLoop Webmail

Introducción

Este tutorial muestra un servidor de correo electrónico con todas las funciones que se ejecuta en OpenBSD con OpenSMTPD, Dovecot, Rspamd y RainLoop. OpenSMTPD es el servidor de correo predeterminado para OpenBSD. Elija una instancia de Vultr Compute Cloud con mucho espacio de almacenamiento para el número esperado de usuarios.

Pasos preliminares

Configure su cuenta de usuario para realizar tareas como root.

su -
usermod -G wheel <username>
echo "permit nopass keepenv :wheel" > /etc/doas.conf
exit

Configure el repositorio de paquetes para OpenBSD.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Agregue los paquetes requeridos.

doas pkg_add opensmtpd-extras opensmtpd-filter-rspamd dovecot dovecot-pigeonhole rspamd redis

Configurar OpenSMTPD

Por defecto, OpenSMTPD solo escucha en localhost. Debe configurarse explícitamente para escuchar en interfaces externas. Debe configurarse para usar usuarios virtuales en lugar de usuarios del sistema por seguridad.

Haga una copia de seguridad del /etc/smtpd.confarchivo predeterminado y cree uno nuevo desde cero.

cd /etc/mail
mv smtpd.conf smtpd.conf.default

Cree uno nuevo smtpd.confcomo se muestra a continuación. Reemplace example.comcon su dominio. Esta configuración inicial no activa el filtro rspamd mientras prueba OpenSMTP. El filtro de spam se activará más tarde.

pki "mail" cert "/etc/ssl/mail.crt"
pki "mail" key "/etc/ssl/private/mail.key"

table aliases file:/etc/mail/aliases
table credentials passwd:/etc/mail/credentials
table virtuals file:/etc/mail/virtuals

filter "rspamd" proc-exec "/usr/local/libexec/smtpd/filter-rspamd"

# To accept external mail, replace with: listen on all

# listen on all tls pki "mail" hostname "mail.example.com"
listen on egress port submission tls-require pki "mail" hostname "mail.example.com" \
  auth <credentials>

action "local_mail" mbox alias <aliases>
action "domain_mail" maildir "/var/vmail/example.com/%{dest.user}" \
  virtual <virtuals>
action "outbound" relay

# Uncomment the following to accept external mail for domain "example.org"

# match from any for domain "example.com" action "domain_mail"
match from local for local action "local_mail"

match from local for any action "outbound"
match auth from any for any action "outbound"

Cree el archivo / etc / credentials

OpenSMTPD y Dovecot pueden compartir una base de datos de autenticación. Esta base de datos se parece al archivo de contraseña del sistema en formato, con dos campos adicionales para Dovecot. Los dos campos especiales definen el directorio de inicio virtual y la ubicación del correo. Las contraseñas están en formato blowfish. Este tutorial crea tres usuarios de ejemplo.

Genere las contraseñas y concatenelas con el /etc/mail/credentialsarchivo.

doas su
smtpctl encrypt example_password1 >> /etc/mail/credentials
smtpctl encrypt example_password2 >> /etc/mail/credentials
smtpctl encrypt example_password3 >> /etc/mail/credentials
exit

El resultado es similar a esto:

$2b$10$agmNBPvFm1zqCjbbZC3JbO4Ns2jJNZQfTS45MAnKi.IPrkKITyTa6
$2b$10$LwkcKVVnwG8hDxu2W4YKD.K0kQ2oylOmQ9SBUb0hIopBsmNxYPb4e
$2b$10$bgLW/GMZyRXKbROgRQIvRu4xbeOqOJJXlgEAKuS5sIrBvfdPvEzeq

Editar /etc/mail/credentialspara agregar los campos obligatorios. Cada línea se asigna a una cuenta del sistema, vmail , con UID y GID de 2000 . Reemplace example.com con su dominio. El nombre de usuario virtual es la dirección de correo electrónico completa.

john@example.com:$2b$10$agmNBPvFm1zqCjbbZC3JbO4Ns2jJNZQfTS45MAnKi.IPrkKITyTa6:vmail:2000:2000:/var/vmail/example.com/john::userdb_mail=maildir:/var/vmail/example.com/john
adam@example.com:$2b$10$LwkcKVVnwG8hDxu2W4YKD.K0kQ2oylOmQ9SBUb0hIopBsmNxYPb4e:vmail:2000:2000:/var/vmail/example.com/adam::userdb_mail=maildir:/var/vmail/example.com/adam
natalie@example.com:$2b$10$bgLW/GMZyRXKbROgRQIvRu4xbeOqOJJXlgEAKuS5sIrBvfdPvEzeq:vmail:2000:2000:/var/vmail/example.com/natalie::userdb_mail=maildir:/var/vmail/example.com/natalie

Crear cuenta de correo virtual y establecer seguridad

• Establecer /etc/mail/credentialspermisos de sólo lectura para _smtpdy _dovecotlos usuarios del sistema.

• Cree el vmailusuario del sistema, el grupo y el directorio de inicio.

  • Cuando se crea el usuario del sistema vmail, recibirá la siguiente advertencia: useradd: Warning: home directory '/var/vmail' doesn't exist, and -m was not specified. Esto es de esperarse. Esto evita abarrotar el directorio con archivos de puntos /etc/skel. No son necesarios porque la cuenta de vmail no permite iniciar sesión.

    doas chmod 0440 / etc / mail / credentials doas chown smtpd: dovecot / etc / mail / credentials doas useradd -c "Cuenta de correo virtual" -d / var / vmail -s / sbin nologin -u 2000 -g = uid -L staff vmail doas mkdir / var / vmail doas chown vmail: vmail / var / vmail

Crear la asignación de usuario virtual

Crear /etc/mail/virtualspara definir las direcciones de correo electrónico válidas.

• Las primeras cuatro líneas asignan alias john@example.com para abuso , hostmaster , postmaster y webmaster .
• Las últimas tres líneas asignan las direcciones de correo electrónico a la cuenta de vmail. OpenSMTPD entregará los mensajes a /var/vmail/example.com/<user>.

• La entrega de correo intentada para direcciones no definidas en este archivo será devuelta con una Notificación de estado de entrega.

  abuso@ejemplo.com: juan@ejemplo.com hostmaster@ejemplo.com: juan@ejemplo.com postmaster@ejemplo.com: juan@ejemplo.com webmaster@ejemplo.com: juan@ejemplo.com juan@ejemplo.com: vmail adam@ejemplo.com: vmail natalie@ejemplo.com: vmail

Crear claves públicas / privadas para OpenSMTPD

Este ejemplo utiliza un certificado autofirmado. Use un certificado firmado válido si tiene uno. Cuando se le solicite el nombre común, asegúrese de que coincida con el FQDN del servidor. Este ejemplo usa mail.example.com.

doas su
cd /etc/ssl
openssl genrsa -out private/mail.key 4096
openssl req -x509 -new -nodes -key private/mail.key -out mail.crt -days 3650 -sha256
chmod 0400 /etc/ssl/private/mail.key
exit

Probar el servidor

Utilice el verificador de sintaxis de configuración de OpenSMTPD. Si no se encuentran problemas, reinicie el demonio smtpd.

doas smtpd -n
doas rcctl restart smtpd

Desde una cuenta de correo externa, envíe un correo electrónico de prueba a uno de los usuarios.

• OpenSMTPD creará la estructura de carpetas de maildir a continuación /var/vmaily entregará el correo a /var/vmail/example.com/<username>/new.
• Como usuario root, vaya a esta ubicación y verifiy tiene un archivo llamado similar a esto: 1576339842.4d64757b.example.com:2,.

• Revise el contenido del archivo, incluidos todos los encabezados de correo, para verificar que la entrega del correo electrónico funcione correctamente.

  Return-Path: <n0244e80da3-54b1ed125c5342fc-adam===example.org@bounce.example.org>
  Delivered-To: adam@example.com
  Received: from spruce-goose-ba.twitter.com (spruce-goose-ba.twitter.com [199.59.150.96])
      by mail.example.com (OpenSMTPD) with ESMTPS id 75b514d3 (TLSv1.2:ECDHE-RSA-AES256-GCM-    SHA384:256:NO)
      for <adam@example.com>;
      Sat, 14 Dec 2019 11:10:40 -0500 (EST)
  DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=twitter.com;
      s=dkim-201406; t=1576339839;
      bh=jhKB5/w9v87GaXSuizT576ntJ/72gvLRDhsqmGQQrCE=;
      h=Date:From:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:
      Message-ID;
      b=TWn/QVUJ1VDlWiweWoanwHLABCL1nqmm0+TBzh3PjmYNm0quRMXB7QL2ykzHGME5A
      DTz/JFHa0cOvQsrdhxxbjOLFKimK0nF+Ou5kI+2HzTzfVNZS0qGnTVP/tZyaIsWjjl
      an5EiR6HFOHG4iClOOEOJW4oLDEZfPTefrlW+378bmHGIRUNDvVKrbXKunL9fJFAb3
      JSrhWQNwbrF/aARFzw4nKfb1I7vTRSrN1eXE5JxzGwI2XAjqDIWdR5ExwUNbJH5ZPs
      wQ85j8KLZEEgQkbH9CypgeUMJWsVK95FqOCCaqKMS10M7intGMb3aeiiFcB7yDHi9t
      u7rVESm4eGp/g==
  X-MSFBL: DM7pSZns+YDRgNEmGNre9aPjZTtc1tDlN97w5rQDBts=|eyJ1IjoibWF0dEBnb2J
      sYWNrY2F0LmNvbUBpaWQjIzU0YjFlZDEyNWM1MzQyZmNiNThiMzVmNzI0NDZlMGF
      mQHVzYiMjNkAyNDRAMTA4MjgwNTAxMDYzNzk1MDk3NkAwQDA4MjY5ZWI4OTI3YzR
      kNTFiNTZkMjY3YzY2OGRmN2IwY2Y4M2ExZGIiLCJyIjoibWF0dEBnb2JsYWNrY2F
      0LmNvbSIsImciOiJCdWxrIiwiYiI6InNtZjEtYmd4LTM0LXNyMS1CdWxrLjE4NiJ
      9
  Date: Sat, 14 Dec 2019 16:10:39 +0000
  ...
  

Configurar Dovecot IMAP

Establecer la clase de inicio de sesión

Dovecot requiere la capacidad de tener una mayor cantidad de archivos abiertos para lectura y escritura de lo que permite la clase predeterminada. De lo contrario, se producirán errores difíciles de solucionar.

Defina una clase de inicio de sesión para el demonio Dovecot. En la parte inferior de /etc/login.confagregar las siguientes líneas.

    dovecot:\
        :openfiles-cur=1024:\
        :openfiles-max=2048:\
        :tc=daemon:    

Crear el archivo de configuración de Dovecot

Crear /etc/dovecot/local.conf.

auth_mechanisms = plain
first_valid_uid = 2000
first_valid_gid = 2000
mail_location = maildir:/var/vmail/%d/%n
mail_plugin_dir = /usr/local/lib/dovecot
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex  imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext imapsieve vnd.dovecot.imapsieve
mbox_write_locks = fcntl
mmap_disable = yes
namespace inbox {
  inbox = yes
  location =
  mailbox Archive {
  auto = subscribe
  special_use = \Archive
  }
  mailbox Drafts {
  auto = subscribe
  special_use = \Drafts
  }
  mailbox Junk {
  auto = subscribe
  special_use = \Junk
  }
  mailbox Sent {
  auto = subscribe
  special_use = \Sent
  }
  mailbox Trash {
  auto = subscribe
  special_use = \Trash
  }
  prefix =
}
passdb {
  args = scheme=CRYPT username_format=%u /etc/mail/credentials
  driver = passwd-file
  name =
}
plugin {
  imapsieve_mailbox1_before = file:/usr/local/lib/dovecot/sieve/report-spam.sieve
  imapsieve_mailbox1_causes = COPY
  imapsieve_mailbox1_name = Junk
  imapsieve_mailbox2_before = file:/usr/local/lib/dovecot/sieve/report-ham.sieve
  imapsieve_mailbox2_causes = COPY
  imapsieve_mailbox2_from = Junk
  imapsieve_mailbox2_name = *
  sieve = file:~/sieve;active=~/.dovecot.sieve
  sieve_global_extensions = +vnd.dovecot.pipe +vnd.dovecot.environment
  sieve_pipe_bin_dir = /usr/local/lib/dovecot/sieve
  sieve_plugins = sieve_imapsieve sieve_extprograms
}
protocols = imap sieve
service imap-login {
  inet_listener imaps {
  port = 0
  }
}
service managesieve-login {
  inet_listener sieve {
  port = 4190
  }
  inet_listener sieve_deprecated {
  port = 2000
  }
}
ssl_cert = </etc/ssl/mail.crt
ssl_key = </etc/ssl/private/mail.key
userdb {
  args = username_format=%u /etc/mail/credentials
  driver = passwd-file
  name =
}
protocol imap {
  mail_plugins = " imap_sieve"
}

Dovecot Bug Fix

Hay un error en Dovecot donde la configuración ssl_certy ssl_keyno se anula en el local.confarchivo, por lo que debemos comentarlos. Si omite este paso, Dovecot no se iniciará correctamente.

Edite /etc/dovecot/conf.d/10-ssl.confcomo se muestra.

...
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
#ssl_cert = </etc/ssl/dovecotcert.pem
#ssl_key = </etc/ssl/private/dovecot.pem
...

Crear las secuencias de comandos de tamiz

Las secuencias de comandos Sieve entrenan a Rspamd en spam y jamón . Mover el correo electrónico dentro y fuera de la carpeta basura activa un evento para entrenar Rspamd.

Estos archivos se encuentran en /usr/local/lib/dovecot/sieve.

Crea el report-ham.sievearchivo.

require ["vnd.dovecot.pipe", "copy", "imapsieve", "environment", "variables"];

if environment :matches "imap.mailbox" "*" {
  set "mailbox" "${1}";
}

if string "${mailbox}" "Trash" {
  stop;
}

if environment :matches "imap.user" "*" {
  set "username" "${1}";
}

pipe :copy "sa-learn-ham.sh" [ "${username}" ];

Crea el report-spam.sievearchivo.

require ["vnd.dovecot.pipe", "copy", "imapsieve", "environment", "variables"];

if environment :matches "imap.user" "*" {
  set "username" "${1}";
}

pipe :copy "sa-learn-spam.sh" [ "${username}" ];

Compila los archivos.

sievec report-ham.sieve
sievec report-spam.sieve 

Cree los siguientes dos scripts de shell en /usr/local/lib/dovecot/sieve

Agregue lo siguiente a sa-learn-ham.sh

#!/bin/sh
exec /usr/local/bin/rspamc -d "${1}" learn_ham

Agregue lo siguiente a sa-learn-spam.sh

#!/bin/sh
exec /usr/local/bin/rspamc -d "${1}" learn_spam

Haga que los archivos sean ejecutables.

chmod 0755 sa-learn-ham.sh
chmod 0755 sa-learn-spam.sh

Habilita e inicia Dovecot.

rcctl enable dovecot
rcctl start dovecot

Verifique que Dovecot haya comenzado correctamente.

ps ax | grep dovecot

88005 ??  I        0:00.11 /usr/local/sbin/dovecot
69640 ??  I        0:00.03 dovecot/anvil
91207 ??  I        0:00.03 dovecot/log
98178 ??  I        0:00.19 dovecot/config
34712 ??  I        0:00.06 dovecot/stats
96674 ??  I        0:00.03 dovecot/imap-login
 8891 ??  S        0:00.02 dovecot/imap

Verifique que Dovecot pueda leer correctamente /etc/mail/credentials

doveadm user john@example.com

field    value
uid      2000
gid      2000
home /var/vmail/example.com/john
mail maildir:/var/vmail/example.com/john

Verifique que un usuario de correo pueda iniciar sesión.

doveadm auth login john@example.com

Password: ********
passdb: john@example.com auth succeeded
extra fields:
  user=john@example.com

userdb extra fields:
  john@example.com
  mail=maildir:/var/vmail/example.com/john
  uid=2000
  gid=2000
  home=/var/vmail/example.com/john
  auth_mech=PLAIN

Configurar Rspamd

Esta es una configuración básica de Rspamd, consulte la documentación oficial para obtener más detalles. Este ejemplo crea una definición para nuestro dominio para habilitar la firma DKIM.

Cree un par de claves público / privado /etc/mail/dkimy establezca los permisos correctos.

doas su
mkdir /etc/mail/dkim
cd /etc/mail/dkim
openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key
chmod 0440 private.key
chown root:_rspamd private.key

Cree un registro DNS para DKIM que contenga la clave pública. Consulte a su proveedor de DNS para obtener detalles sobre cómo crear un registro DKIM. Copie el contenido /etc/mail/dkim/public.keyy péguelo después de la p=parte del registro DKIM como se muestra a continuación. Tenga en cuenta que este ejemplo también crea un registro SPF.

default._domainkey.example.com. IN TXT "v=DKIM1;k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQClcuK3FV3Ug64li8iFsuJ2ykgb7FMZsujk9uG79ppPUp57vCfjzO7F+HBfx5qIwvlGxv2IJXK86FZwhpUX+HFCDUtfB2z0ZNGerWcZfNzM1w1Bru/fdMd2tCYkiHEa5RWIkLfs/Fm+neXxRZfAG2UDWmAghNbgzYv7xViwgufDIQIDAQAB"
example.com. IN TXT "v=spf1 a ip4:192.0.2.1 mx ~all"

Crea un registro DMARC.

_dmarc.example.com. IN TXT "v=DMARC1;p=none;pct=100;rua=mailto:postmaster@example.com"

Crea el /etc/rspamd/local.d/dkim_signing.confarchivo de configuración.

• La selector="default";línea se deriva de la primera parte del registro DNS DKIM ( default._domainkey....) creado anteriormente.

  domain {
      example.com {
          path = "/etc/mail/dkim/example.com.key";
          selector = "default";
      }
  }
  

Habilite e inicie Rspamd.

doas rcctl enable redis rspamd
doas rcctl start redis rspamd

Cambie las líneas a continuación /etc/mail/smtpd.confy reinicie OpenSMTPD para habilitar Rspamd.

...
listen on all tls pki "mail" hostname "mail.example.com" filter "rspamd"
listen on egress port submission tls-require pki "mail" hostname "mail.example.com" \
  auth <credentials> filter "rspamd"
...
rcctl restart smtpd

Pruebe el servidor de correo con el cliente de correo electrónico POP3 o IMAP. Si no necesita correo web, deténgase aquí.

(Opcional) Configurar RainLoop Webmail

Instalar paquetes de requisitos previos

Cuando se le solicite, elija la versión más reciente de PHP.

pkg_add php php-curl php-pdo_sqlite php-zip pecl73-mcrypt zip unzip wget curl

Obtenga el tarball webmail RainLoop y extráigalo /var/www/htdocs/.

Utilice la edición estándar que incluye un actualizador automático.

cd /tmp
wget https://www.rainloop.net/repository/webmail/rainloop-latest.zip
unzip rainloop-latest.zip -d /var/www/htdocs/rainloop
chown -R www:www /var/www/htdocs

Cree el certificado SSL Let's Encrypt

• Copiar /etc/examples/acme-client.confa/etc

• Agregue las siguientes líneas al final del archivo:

  domain webmail.example.com {
  domain key "/etc/ssl/private/webmail.example.com.key"
  domain full chain certificate "/etc/ssl/webmail.example.com.crt"
  sign with letsencrypt
  }
  

Configurar httpd

• Cree una entrada DNS (ya sea CNAME o registro A) para el subdominio webmail.example.com

• Edite /etc/httpd.confsiguiendo el ejemplo a continuación.

  prefork 3
  types { include "/usr/share/misc/mime.types" }
  
  server "default" {
      listen on egress port 80 
      root "/htdocs"
      directory index index.html
  
      location "/.well-known/acme-challenge/*" {
              root "/acme"
              request strip 2
      }
  }
  

Ejecute la comprobación de sintaxis httpd.

httpd -n

Habilite e inicie httpd.

rcctl enable httpd
rcctl start httpd

Solicite el certificado Let's Encrypt.

acme-client -v webmail.example.com

Agregue las definiciones de servidor para RainLoop a /etc/httpd.conf

server "webmail.example.com" {
    listen on egress port 80
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "webmail.example.com" {
    listen on egress tls port 443
    root "/htdocs/rainloop"
    directory index "index.php"

    tcp { nodelay, backlog 10 }

    tls {
            certificate "/etc/ssl/webmail.example.com.crt"
            key "/etc/ssl/private/webmail.example.com.key"
    }

    hsts {
            max-age 31556952
            preload
    }

    # Value below is 25MB in bytes. 1MB = 1048576 bytes
    connection max request body 26214400

    location "/data*" {
            block return 403
    }

    location "*.php*" {
            fastcgi socket "/run/php-fpm.sock"
    }
}

Configure PHP para permitir archivos adjuntos de hasta 25 megabytes. Realice los siguientes cambios en /etc/php-7.3.ini:

; Maximum allowed size for uploaded files.
; http://php.net/upload-max-filesize
upload_max_filesize = 25M
...
; Maximum size of POST data that PHP will accept.
; Its value may be 0 to disable the limit. It is ignored if POST data reading
; is disabled through enable_post_data_reading.
; http://php.net/post-max-size
post_max_size = 29M

Habilite los módulos PHP necesarios copiando sus archivos de configuración a /etc/php-7.3/

cp /etc/php-7.3.sample/* /etc/php-7.3/.

Verifique la sintaxis de /etc/httpd.conf

httpd -n

Habilite e inicie httpd y php-fpm.

rcctl reload httpd
rcctl enable php73_fpm
rcctl start php73_fpm

Examen final

Vaya a https://webmail.example.com/?admin.

El nombre de usuario predeterminado es: admin
La contraseña predeterminada es: 12345 .

Navegue a cada una de las secciones de configuración y realice los cambios que desee. Una vez que haya terminado con la configuración, inicie sesión en webmail enhttps://webmail.example.com