ساختن سرور پست الکترونیکی خود با FreeBSD 11

• بررسی اجمالی
• راه اندازی اولیه
• راه اندازی فایروال
• OpenSMTPd
• پیکربندی هرزنامه
• کبوتر
• نتیجه

اجرای سرور ایمیل خود می تواند بسیار سودمند باشد. شما مسئول اطلاعات خود هستید. همچنین به شما امکان انعطاف پذیری بیشتر با گزینه های تحویل خود را می دهد. با این حال ، چند چالش وجود دارد. شما خطر باز کردن سرور خود را در برابر آسیب پذیری ها ، و همچنین تبدیل سرور خود به یک رله احتمالی برای استفاده از اسپم ها بر عهده دارید.

با این کار ، بیایید به سراغ سرور پست الکترونیکی خود برویم.

بررسی اجمالی

سه قطعه نرم افزار لازم برای نصب وجود دارد که در سیستم پایه FreeBSD گنجانده نشده است:

• OpenSMTPd
• کبوتر
• هرزنامه

OpenSMTPd یک عامل انتقال نامه پستی (MTA) و نماینده ارسال نامه پستی (MDA) است. این بدان معنی است که می تواند با سایر سرورهای پستی از طریق SMTPپروتکل ارتباط برقرار کند ، و همچنین می تواند نامه را به صندوق های پستی کاربران شخصی منتقل کند. ما OpenSMTPd را تنظیم می کنیم تا بتواند به سرورهای خارجی (از طریق اسپم فیلتر شده) ارتباط برقرار کند و نامه را به کاربران محلی ارسال کند ، و همچنین نامه محلی را از کاربر به کاربر ارسال کند.

Dovecot MDA است که صندوق های پستی محلی را می خواند و آنها را از طریق IMAP یا POP3 در اختیار کاربران قرار می دهد. از صندوق پستی کاربران محلی برای ارائه این محتوا استفاده خواهد کرد.

Spamd یک سرویس فیلتر پستی است. ما می توانیم نامه را از طریق spamd ارسال کنیم ، و نامه را بر اساس انواع لیست های سیاه ، لیست سفید ، و لیست های تبلیغاتی فیلتر می کنیم.

ایده کلی برای این سرور نامه نیاز به چند مسیر متفاوت دارد:

Outside world -> Firewall -> spamd -> OpenSMTPD -> User mail boxes
Outside world -> Firewall (spamd-whitelist) -> OpenSMTPD -> User mailboxes
Outside world -> Firewall (IMAP/POP3) -> Dovecot
Outside world -> Firewall (SMTPD submission)

برای این آموزش از نسخه FreeBSD از OpenBSD's PF برای دیواره آتش استفاده خواهیم کرد. همچنین می توانید از ipfwمکانهایی که پیکربندی آن بسیار مشابه است استفاده کنید.

توجه: Vultr به طور پیش فرض پورت 25 را مسدود می کند ، که توسط سرورهای SMTP در همه جا مورد استفاده قرار می گیرد. اگر می خواهید یک سرور ایمیل کاملاً کاربردی را اجرا کنید ، مجبور خواهید بود که آن پورت را باز کنید.

راه اندازی اولیه

ابتدا باید برنامه های مورد نیاز را نصب کنیم.

با فرض اینکه شما به عنوان یک کاربر با دسترسی دسترسی به sudo در حال اجرا هستید ، می توانیم دستورات زیر را اجرا کنیم. بسته به اینکه آیا از پورت یا بسته استفاده می کنید ، آنها متفاوت خواهند بود.

بسته ها (توصیه می شود)

مگر در مواردی که به عملکرد خاصی در این سرویس ها احتیاج داشته باشید ، نیاز به نصب از طریق بسته ها دارید. این آسان تر است ، زمان و منابع کمتری را می گیرد و رابط بصری و کاربر پسندی را فراهم می کند.

sudo pkg install opensmtpd dovecot spamd

makeدستورات زیر گزینه های کامپایل زیادی را در اختیار شما قرار می دهد ، پیش فرض ها خوب کار می کنند. اینها را تغییر ندهید مگر اینکه دقیقاً بدانید که چه کاری انجام می دهید.

sudo portsnap fetch update   # or run portsnap fetch extract if using ports for the first time
cd /usr/ports/mail/opensmtpd  
make install  # Installs openSMTPd
make clean
cd /usr/ports/mail/dovecot
make install  # Installs dovecot
make clean
cd /usr/ports/mail/spamd
make install  # Installs spamd
make clean

ما باید خطوط زیر را به این موارد اضافه کنیم /etc/rc.conf:

pf_enable="YES"
pf_rules="/usr/local/etc/pf.conf"
pflog_enable="YES"
pflog_logfile="/var/log/pflog"

obspamd_enable="YES"
obspamd_flags="-v"
obspamlogd_enable="YES"

dovecot_enable="YES"

راه اندازی فایروال

برای پیکربندی PF ، می توانیم /usr/local/etc/pf.conf:

## Set public interface ##
ext_if="vtnet0"

## set and drop IP ranges on the public interface ##
martians = "{ 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, \
          10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, \
          0.0.0.0/8, 240.0.0.0/4 }"

table <spamd> persist
table <spamd-white> persist

# Whitelisted webmail services
table <webmail> persist file "/usr/local/etc/pf.webmail.ip.conf"

## Skip loop back interface - Skip all PF processing on interface ##
set skip on lo

## Sets the interface for which PF should gather statistics such as bytes in/out and packets passed/blocked ##
set loginterface $ext_if

# Deal with attacks based on incorrect handling of packet fragments 
scrub in all


# Pass spamd whitelist
pass quick log on $ext_if inet proto tcp from <spamd-white> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# Pass webmail servers
rdr pass quick log on $ext_if inet proto tcp from <gmail> to $ext_if port smtp \
    -> 127.0.0.1 port 25
# pass submission messages.
pass quick log on $ext_if inet proto tcp from any to $ext_if port submission modulate state
# Pass unknown mail to spamd
rdr pass log on $ext_if inet proto tcp from {!<spamd-white> <spamd>} to $ext_if port smtp \
    -> 127.0.0.1 port 8025 

## Blocking spoofed packets
antispoof quick for $ext_if

## Set default policy ##
block return in log all
block out all

# Drop all Non-Routable Addresses 
block drop in quick on $ext_if from $martians to any
block drop out quick on $ext_if from any to $martians

pass in inet proto tcp to $ext_if port ssh

# Allow Ping-Pong stuff. Be a good sysadmin 
pass inet proto icmp icmp-type echoreq

# Open up imap/pop3 support
pass quick on $ext_if proto tcp from any to any port {imap, imaps, pop3, pop3s} modulate state


# Allow outgoing traffic
pass out on $ext_if proto tcp from any to any modulate state
pass out on $ext_if proto udp from any to any keep state

این یک پیکربندی PF کار است. این نسبتاً ساده است ، اما چند سوال برای توضیح وجود دارد.

در مرحله اول ، $ext_ifمتغیر خود vtnet0را برای استفاده دستگاه خود تعریف می کنیم تا بعدا استفاده شود. ما همچنین آدرس های IP نامعتبری را تعریف می کنیم که باید در رابط خارجی رها شوند.

ما دو جدول را نیز تعریف می کنیم ، spamdو spamd-white- این دو جدول توسط spamd در پیکربندی پیش فرض ایجاد می شوند. همچنین ، ما یک جدول به نام خود تعریف خواهیم کرد webmailکه از آنها استفاده خواهیم کرد تا به برخی از ارائه دهندگان اصلی ایمیل دسترسی پیدا کنیم.

برای مشاهده یک جدول ، می توانید از دستور استفاده کنید pfctl -t tablename -T showتا عناصر را در یک جدول فهرست کنید.

ما چند قانون PF را تنظیم می کنیم: پردازش را بر روی رابط محلی بگذارید ، آماری را در رابط خارجی فعال کنید و بسته های ورودی را اسکراب کنید.

یکی دیگر از بخش های مهم ، جایی که ما می توانیم ترافیک خود را به هرزنامه یا OpenSMTPd ارسال کنیم.

اول یک قانون تغییر مسیر (توجه داشته باشید نحو در اینجا، بورس 11 با استفاده از سبک های قدیمی تر PF نحو (قبل از عاملها 4.6) به طوری نحو ممکن به نظر می رسد عجیب و غریب. اگر ما هر چیزی را در SMTP دریافت از یک میزبان ذکر شده در spamdجدول و یا در لیست وجود ندارد spamd-whiteجدول، ما اتصال از طریق به شبح اسپمدی، می پردازد که با این اتصالات. سه قانون بعدی قوانین عبوری هستند به طوری که ما در واقع می تواند ایمیل دریافت خواهید کرد تغییر مسیر. ما از طریق پیام از پلیس عراقی و ذکر شده در عبور spamd-whiteو webmailجداول از طریق به راست OpenSMTPd. همچنین ، ما پیامهایی را در درگاه ارسال ( 587) می پذیریم .

سپس برای تنظیم خط مشی پیش فرض و پذیرش پیام های SSH و ICMP ، چند قانون خانه داری وجود دارد.

سپس IMAP و POP3 را برای دسترسی به Dovecot روی رابط خارجی خود می گذاریم.

و در آخر اینکه همه ترافیک های خروجی را مجاز می کنیم. اگر می خواهید امنیت اضافی اضافه کنید ، می توانید پورت هایی را که منتقل می کنید محدود کنید ، اما برای سرور یکبار مصرف مشکلی نیست که همه چیز را منتقل کنید.

شروع PF:

sudo service pf start

اکنون که تنظیم فایروال خود را داریم ، می توانیم به پیکربندی سرور پست الکترونیکی خود برویم.

OpenSMTPd

OpenSMTPd دارای نحوی پیکربندی بسیار ساده و آسان برای خواندن است. همانطور که در زیر مشاهده می کنید ، یک پیکربندی کامل کار می تواند در 14 خط جای بگیرد:

#This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

ext_if=vtnet0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases   file:/etc/mail/aliases
table domains   file:/etc/mail/domains

# Keys
pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"
# If you want to listen on multiple subdomains (e.g. mail.davidlenfesty) you have to add more lines
# of keys, and more lines of listeners

# Listen for local SMTP connections
listen on localhost hostname mail.example.com

# listen for filtered spamd connections
listen on lo0 port 10026

# Listen for submissions
listen on $ext_if port 587 tls-require auth pki mail.example.com tag SUBMITTED

# Accept mail from external sources.
accept from any for domain <domains> alias <aliases> deliver to maildir "~/mail"

accept for local alias <aliases> deliver to maildir "~/mail"
accept from local for any relay tls
accept tagged SUBMITTED for any relay tls

اولا ، ما دوباره رابط خارجی خود و همچنین چند جدول ، نام مستعار و دامنه را تعریف می کنیم. سپس به سمت کلید SSL و گواهی نامه برای هر دامنه ای که می خواهیم از طریق نامه تحت کنترل قرار گیرد حرکت می کنیم.

در بخش بعدی ، رابط ها و پورت هایی را که می خواهیم در آن گوش دهیم تعریف می کنیم. اولا ، ما برای mail.example.comدامنه خود ، و هرگونه ارتباط محلی ، در localhost گوش می کنیم . سپس ما به پیام های فیلتر شده اسپم و پیام های ارسال شده در رابط خارجی گوش می دهیم. آخر اینکه ، ما به ارسال ها گوش می دهیم ، این اتفاقات در بندر رخ می دهد 587و ما به دلایل امنیتی از آنها احتیاج داریم تا احراز هویت کنند.

در آخر acceptتنظیمات ما هستند. ما هر پیام را برای هر یک از دامنه های ما در domainsجدول تعریف شده برای نام های مستعار در aliasesجدول ما ، قبول می کنیم تا به فهرست خانه آنها با maildirفرمت تحویل دهیم. سپس کلیه اتصالات محلی را برای صندوق های پستی محلی می پذیریم و پیام های خود را رله می کنیم ، بنابراین می توانیم ایمیل ارسال کنیم. در آخر ، ما پیامهای ارسالی خود را برای رله قبول می کنیم. اگر برای درگاه ارسال درخواست احتیاج به تأیید اعتبار نداریم ، این یک خطر بزرگ امنیتی است. این باعث می شود هر کسی از سرور ما به عنوان رله اسپم استفاده کند.

نام مستعار

FreeBSD با یک پرونده مستعار مستقل /etc/mail/aliasesدر قالب زیر ارسال می شود:

vuser1:  user1
vuser2:  user1
vuser3:  user1
vuser4:  user2

این جعبه های پستی مختلف را تعریف می کند ، و در جایی که می خواهیم پیام های ارسالی به این صندوق های پستی تعریف شده را ارسال کنیم ما یا می توانیم کاربران خود را بعنوان کاربر سیستم محلی یا صندوق های پستی خارجی تعریف کنیم تا به آنها مراجعه کنیم. پرونده پیش فرض FreeBSD کاملاً توصیفی است ، بنابراین می توانید برای مرجع به آن مراجعه کنید.

دامنه ها

FreeBSD یک پرونده دامنه پیش فرض را ارائه نمی دهد ، اما این فوق العاده ساده است:

# Domains
example.com
mail.example.com
smtp.example.com

این فقط یک فایل متنی ساده با هر دامنه ای است که می خواهید در یک خط جدید به آن گوش دهید. با استفاده از #نماد می توانید نظر دهید . این پرونده به سادگی وجود دارد که می توانید از خطوط پیکربندی کمتری استفاده کنید.

گواهینامه های SSL

دو روش وجود دارد که می توانید ارتباط خود را با سرور پست الکترونیکی خود ، گواهی های خود امضا شده و امضا شده تأمین کنید. مطمئناً می توانید گواهینامه های خود را امضا کنید ، اما خدماتی مانند Let Encrypt امضای رایگان و فوق العاده آسان را ارائه می دهند.

ابتدا باید برنامه certbot را نصب کنیم.

sudo pkg install py-certbot

از طرف دیگر می توان آن را با پورت ها نصب کرد:

cd /usr/ports/security/py-certbot
make install
make clean

سپس ، برای دریافت گواهینامه خود ، باید اطمینان حاصل کنید که درگاه 80خارجی رابط خود را باز کرده اید. خطهای زیر را در جایی در قوانین فیلتر خود اضافه کنید /usr/local/etc/pf.conf:

pass quick on $ext_if from any to any port http

سپس اجرا کنید pfctl -f /usr/local/etc/pf.confتا مجدداً بارگیری کنید.

سپس می توانید برای هر دامنه ای که می خواهید مجوز دریافت کنید ، این دستور را اجرا کنید:

certbot certonly --standalone -d mail.example.com

توصیه می شود یک ورودی crontab را برای اجرا certbot renewهر 6 ماه یک بار تنظیم کنید تا اطمینان حاصل شود که گواهینامه شما تمام نشده است.

سپس برای هر دامنه مربوط می توانید خطوط را تغییر دهید تا به فایل صحیح کلید اشاره کنید:

pki mail.example.com key "/usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem"
pki mail.example.com certificate "/usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem"

اوراق بهادار را ویرایش کنید:

sudo chmod 700 /usr/local/etc/letsencrypt/archive/mail.example.com/*

توجه: شما باید این کار را برای هر کلید اصلی اصلی انجام دهید وگرنه OpenSMTPd آنها را باز نمی کند.

اکنون می توانیم خدمات را شروع کنیم:

sudo service smtpd start

پیکربندی هرزنامه

در اینجا ما از دیمن اسپم OpenBSD برای کاهش میزان اسپم از اینترنت استفاده می کنیم. در اصل ، این پیام های IP را که از منابع اسپم مختلف بد شناخته می شوند ، و همچنین (به طور پیش فرض) اتصالات ورودی "greylisting" فیلتر می کند. Spamd همچنین سعی دارد تایم اسپمر را با "لکنت" اتصال به لیست های سیاه و لیست شده حذف کند ، به این معنی که پاسخ آن را در طی چند ثانیه پخش می کند و باعث می شود مشتری برای مدت طولانی تر از حد معمول باز بماند.

لیست گرایی اتصال هنگامی انجام می شود که هر آدرس IP جدید متصل شود که در لیست سیاه یا لیست سفید قرار ندارد. پس از اتصال آدرس جدید ، هرزنامه پیام را با یک پیام خطای تلقین رها می کند ، سپس آن را به لیست موقت اضافه می کند. از آنجا که هرزنامه ها برای پیام های تحویل داده شده پرداخت می شوند ، دیگر خطایی را امتحان نمی کنند ، در حالی که یک سرویس قانونی نسبتاً به زودی امتحان می شود.

برای سوار شدن باید موارد زیر را اجرا کنید fdescfs:

mount -t fdescfs null /dev/fd

سپس باید این خط را به این موارد اضافه کنید /etc/fstab:

fdescfs     /dev/fd     fdescfs rw      0       0

پرونده پیکربندی پیش فرض (موجود در /usr/local/etc/spamd/spamd.conf.sample) خوب کار خواهد کرد. می توانید آن را ویرایش کنید تا منابع جدید اضافه کنید یا منابعی را که استفاده می کنید تغییر دهید:

sudo cp /usr/local/etc/spamd/spamd.conf.sample /usr/local/etc/spamd/spamd.conf

ما می توانیم خدمات را با موارد زیر شروع کنیم:

sudo service obspamd start

در این مرحله اسپم تنظیم شده است.

فعال کردن خدمات Webmail

یك مشكل در مورد رویكرد لیست بندی این است كه خدمات پستی بزرگ غالباً نامه را از طریق بسیاری از قرقره های مختلف ارسال می كنند ، و شما تضمین نمی شوید كه هر بار همان سرور را ارسال كنید. یک راه حل برای این کار ، سفید کردن لیست IP است که توسط سرویس های مختلف ایمیل استفاده می شود. این همان چیزی است که از جدول Webmail در پیکربندی PF استفاده می شود. اگر شامل آدرس IP ای باشید که spammer از آن استفاده می کند ، این استراتژی می تواند به عقب بیفتد ، اما تا زمانی که مراقب این هستید که در چه محدوده هایی در جدول قرار دهید ، خوب خواهید بود.

برای افزودن دامنه ایمیل به فهرست وب ، می توانید دستور زیر را اجرا کنید:

pfctl -t webmail -T add 192.0.2.0/24

کبوتر

اگر می خواهید کاربران بدون ورود به سیستم از طریق SSH به نامه های خود دسترسی پیدا کنند ، به MDA نیاز دارید که از IMAP و / یا POP3 پشتیبانی می کند. یک برنامه بسیار محبوب Dovecot است ، با پیکربندی نسبتاً ساده و ویژگیهای قدرتمند.

ما می توانیم از پیکربندی پیش فرض کپی کنیم:

cd /usr/local/etc/dovecot
cp -R example-config/* ./

پیکربندی از چند پرونده متفاوت تشکیل شده است. برای دیدن تفاوت های بین پیکربندی خود و پیش فرض های کبوتر ، دستور زیر را اجرا کنید:

sudo doveconf -n

موارد زیر یک پیکربندی ساده و کار است:

# 2.3.2.1 (0719df592): /usr/local/etc/dovecot/dovecot.conf
# OS: FreeBSD 11.2-RELEASE amd64  
# Hostname: mail.example.com
hostname = mail.example.com
mail_location = maildir:~/mail
namespace inbox {
  inbox = yes
  location = 
  mailbox Archive {
    auto = create
    special_use = \Archive
  }
  mailbox Archives {
    auto = create
    special_use = \Archive
  }
  mailbox Drafts {
    auto = subscribe
    special_use = \Drafts
  }
  mailbox Junk {
    auto = create
    autoexpunge = 60 days
    special_use = \Junk
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Mail" {
    auto = no
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    auto = no
    special_use = \Sent
  }
  mailbox Spam {
    auto = no
    special_use = \Junk
  }
  mailbox Trash {
    auto = no
    autoexpunge = 90 days
    special_use = \Trash
  }
  prefix = 
  separator = /
}
passdb {
  args = imap
  driver = pam
}
ssl = required
ssl_cert = </usr/local/etc/letsencrypt/live/mail.example.com/fullchain.pem
ssl_dh = </usr/local/etc/dovecot/dh.pem
ssl_key = </usr/local/etc/letsencrypt/live/mail.example.com/privkey.pem
userdb {
  driver = passwd
}

بیشتر پرونده های پیکربندی در خواهند بود conf.d

آنهایی که مهم هستند 10-auth.conf، 10-mail.confو 10-ssl.conf.

می توانید صندوق های پستی مختلفی که از آنها استفاده می کنید پیکربندی کنید 15-mailboxes.conf. آنچه در بالا مشاهده می کنید برای بسیاری از سیستم ها پیکربندی مناسبی است اما مسافت پیموده شده شما ممکن است متفاوت باشد. توصیه می شود با هر مشتری مختلفی که می توانید با آن بازی کنید.

احراز هویت

بیشتر تنظیمات پیش فرض صحیح است. اگر می خواهید از کاربران سیستم برای تأیید اعتبار استفاده کنید ، باید ویرایش کنید 10-auth.conf.

خط زیر را لغو کنید:

شامل auth-system.conf.ext

رمزگذاری

ما باید پارامترهای Diffie-Hellman را تولید کنیم:

sudo nohup openssl dhparam -out /usr/local/etc/dovecot/dh.pem

توجه: این کار برای مدت زمان طولانی طول می کشد. بسیار طولانی تر از آنچه انتظار دارید.

اکنون می توانیم Dovecot را شروع کنیم:

sudo service dovecot start

نتیجه

در این مرحله ، ما یک سرور پست الکترونیکی کاربردی ، ایمن و نسبتاً بدون اسپم داریم.

موارد دیگری که باید از اینجا جستجو کنیم ، استفاده از SpamAssassin برای خلاص شدن از شر هرزنامه ها ، و همچنین یافتن لیست های سیاه بیشتر اسپم توسط منابع مورد اعتماد شماست.