Un server de poștă electronică OpenBSD folosind OpenSMTPD, Dovecot, Rspamd și RainLoop

• Introducere
• Etapele preliminare
• Configurați OpenSMTPD
• Configurați Dovecot IMAP
• Configurați Rspamd
• (Opțional) Configurați Webmail RainLoop

Introducere

Acest tutorial demonstrează un server de e-mail cu funcții complete care rulează pe OpenBSD folosind OpenSMTPD, Dovecot, Rspamd și RainLoop. OpenSMTPD este serverul de poștă implicit pentru OpenBSD. Alegeți o instanță Vultr Compute Cloud cu mult spațiu de stocare pentru numărul estimat de utilizatori.

Etapele preliminare

Configurați-vă contul de utilizator pentru a efectua activități ca root.

su -
usermod -G wheel <username>
echo "permit nopass keepenv :wheel" > /etc/doas.conf
exit

Configurați depozitul de pachete pentru OpenBSD.

doas su
echo "https://cdn.openbsd.org/pub/OpenBSD" > /etc/installurl
exit

Adăugați pachetele necesare.

doas pkg_add opensmtpd-extras opensmtpd-filter-rspamd dovecot dovecot-pigeonhole rspamd redis

Configurați OpenSMTPD

În mod implicit, OpenSMTPD ascultă doar localhost. Trebuie să fie configurat în mod explicit pentru a asculta pe interfețe externe. Ar trebui să fie configurat pentru a utiliza utilizatori virtuali în loc de utilizatori de sistem pentru securitate.

Faceți backup pentru /etc/smtpd.conffișierul implicit și creați unul nou de la zero.

cd /etc/mail
mv smtpd.conf smtpd.conf.default

Creați o nouă, smtpd.confașa cum se arată mai jos. Înlocuiți- example.comvă cu domeniul dvs. Această configurație inițială nu activează filtrul rspamd în timpul testării OpenSMTP. Filtrul de spam va fi activat ulterior.

pki "mail" cert "/etc/ssl/mail.crt"
pki "mail" key "/etc/ssl/private/mail.key"

table aliases file:/etc/mail/aliases
table credentials passwd:/etc/mail/credentials
table virtuals file:/etc/mail/virtuals

filter "rspamd" proc-exec "/usr/local/libexec/smtpd/filter-rspamd"

# To accept external mail, replace with: listen on all

# listen on all tls pki "mail" hostname "mail.example.com"
listen on egress port submission tls-require pki "mail" hostname "mail.example.com" \
  auth <credentials>

action "local_mail" mbox alias <aliases>
action "domain_mail" maildir "/var/vmail/example.com/%{dest.user}" \
  virtual <virtuals>
action "outbound" relay

# Uncomment the following to accept external mail for domain "example.org"

# match from any for domain "example.com" action "domain_mail"
match from local for local action "local_mail"

match from local for any action "outbound"
match auth from any for any action "outbound"

Creați fișierul / etc / credentials

OpenSMTPD și Dovecot pot partaja o bază de date de autentificare. Această bază de date seamănă cu fișierul cu parola de sistem în format, cu două câmpuri suplimentare pentru Dovecot. Cele două câmpuri speciale definesc directorul de acasă virtual și locația de e-mail. Parolele sunt în format de pește-mamă. Acest tutorial creează trei utilizatori de exemplu.

Generați parolele și concatenează-le la /etc/mail/credentialsfișier.

doas su
smtpctl encrypt example_password1 >> /etc/mail/credentials
smtpctl encrypt example_password2 >> /etc/mail/credentials
smtpctl encrypt example_password3 >> /etc/mail/credentials
exit

Rezultatul arată similar cu acesta:

$2b$10$agmNBPvFm1zqCjbbZC3JbO4Ns2jJNZQfTS45MAnKi.IPrkKITyTa6
$2b$10$LwkcKVVnwG8hDxu2W4YKD.K0kQ2oylOmQ9SBUb0hIopBsmNxYPb4e
$2b$10$bgLW/GMZyRXKbROgRQIvRu4xbeOqOJJXlgEAKuS5sIrBvfdPvEzeq

Editați /etc/mail/credentialspentru a adăuga câmpurile obligatorii. Fiecare linie mapează un cont de sistem, vmail , cu UID și GID din 2000 . Înlocuiți exemplul.com cu domeniul dvs. Numele de utilizator virtual este adresa de e-mail completă.

[email protected]:$2b$10$agmNBPvFm1zqCjbbZC3JbO4Ns2jJNZQfTS45MAnKi.IPrkKITyTa6:vmail:2000:2000:/var/vmail/example.com/john::userdb_mail=maildir:/var/vmail/example.com/john
[email protected]:$2b$10$LwkcKVVnwG8hDxu2W4YKD.K0kQ2oylOmQ9SBUb0hIopBsmNxYPb4e:vmail:2000:2000:/var/vmail/example.com/adam::userdb_mail=maildir:/var/vmail/example.com/adam
[email protected]:$2b$10$bgLW/GMZyRXKbROgRQIvRu4xbeOqOJJXlgEAKuS5sIrBvfdPvEzeq:vmail:2000:2000:/var/vmail/example.com/natalie::userdb_mail=maildir:/var/vmail/example.com/natalie

Creați un cont de poștă virtuală și setați securitatea

• Setați /etc/mail/credentialspermisiunile numai pentru citire pentru utilizatorii _smtpdși _dovecotsistemele.

• Creați directorul vmailutilizatorului, grupului și acasă.

  • Când creați utilizatorul sistemului vmail, veți primi următorul avertisment: useradd: Warning: home directory '/var/vmail' doesn't exist, and -m was not specified. Acest lucru este de așteptat. Acest lucru evită aglomerarea directorului cu fișiere punct /etc/skel. Nu sunt necesare deoarece contul vmail nu permite autentificarea.

    doas chmod 0440 / etc / mail / credentials doas chown smtpd: dovecot / etc / mail / credentials doas useradd -c "Virtual Mail Account" -d / var / vmail -s / sbin nologin -u 2000 -g = uid -L personal vmail doas mkdir / var / vmail doas chown vmail: vmail / var / vmail

Creați maparea virtuală a utilizatorilor

Creează /etc/mail/virtualspentru a defini adresele de e-mail valide.

• Primele patru linii alocă alias [email protected] pentru abuz , mastermaster , postmaster și webmaster .
• Ultimele trei rânduri mapează adresele de e-mail către contul vmail. OpenSMTPD va livra mesajele către /var/vmail/example.com/<user>.

• Încercarea de livrare prin poștă pentru adresele care nu sunt definite în acest fișier va fi transmisă cu o notificare de stare a livrării.

  [email protected]: [email protected] [email protected]: [email protected] [email protected]: [email protected] [email protected]: [email protected] [email protected]: vmail [email protected]: vmail [email protected]: vmail

Creați chei publice / private pentru OpenSMTPD

Acest exemplu utilizează un certificat autofirmat. Utilizați un certificat semnat valid dacă aveți unul. Când vi se solicită numele comun, asigurați-vă că acesta se potrivește cu FQDN al serverului. Acest exemplu folosește mail.example.com.

doas su
cd /etc/ssl
openssl genrsa -out private/mail.key 4096
openssl req -x509 -new -nodes -key private/mail.key -out mail.crt -days 3650 -sha256
chmod 0400 /etc/ssl/private/mail.key
exit

Testați serverul

Utilizați verificatorul de sintaxă de configurare OpenSMTPD. Dacă nu se găsesc probleme, reporniți demonul smtpd.

doas smtpd -n
doas rcctl restart smtpd

De la un cont de poștă extern, trimiteți un e-mail de testare unuia dintre utilizatori.

• OpenSMTPD va crea structura folderului maildir de mai jos /var/vmailși va livra mailul către /var/vmail/example.com/<username>/new.
• Pe măsură ce utilizatorul rădăcină, navigați la această locație și verifiy aveți un fișier numit similar cu acesta: 1576339842.4d64757b.example.com:2,.

• Verificați conținutul fișierului, inclusiv toate anteturile de e-mail, pentru a verifica funcționarea corectă a livrării prin e-mail.

  Return-Path: <n0244e80da3-54b1ed125c5342fc-adam===example.org@bounce.example.org>
  Delivered-To: [email protected]
  Received: from spruce-goose-ba.twitter.com (spruce-goose-ba.twitter.com [199.59.150.96])
      by mail.example.com (OpenSMTPD) with ESMTPS id 75b514d3 (TLSv1.2:ECDHE-RSA-AES256-GCM-    SHA384:256:NO)
      for <[email protected]>;
      Sat, 14 Dec 2019 11:10:40 -0500 (EST)
  DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=twitter.com;
      s=dkim-201406; t=1576339839;
      bh=jhKB5/w9v87GaXSuizT576ntJ/72gvLRDhsqmGQQrCE=;
      h=Date:From:To:Subject:MIME-Version:Content-Type:List-Unsubscribe:
      Message-ID;
      b=TWn/QVUJ1VDlWiweWoanwHLABCL1nqmm0+TBzh3PjmYNm0quRMXB7QL2ykzHGME5A
      DTz/JFHa0cOvQsrdhxxbjOLFKimK0nF+Ou5kI+2HzTzfVNZS0qGnTVP/tZyaIsWjjl
      an5EiR6HFOHG4iClOOEOJW4oLDEZfPTefrlW+378bmHGIRUNDvVKrbXKunL9fJFAb3
      JSrhWQNwbrF/aARFzw4nKfb1I7vTRSrN1eXE5JxzGwI2XAjqDIWdR5ExwUNbJH5ZPs
      wQ85j8KLZEEgQkbH9CypgeUMJWsVK95FqOCCaqKMS10M7intGMb3aeiiFcB7yDHi9t
      u7rVESm4eGp/g==
  X-MSFBL: DM7pSZns+YDRgNEmGNre9aPjZTtc1tDlN97w5rQDBts=|eyJ1IjoibWF0dEBnb2J
      sYWNrY2F0LmNvbUBpaWQjIzU0YjFlZDEyNWM1MzQyZmNiNThiMzVmNzI0NDZlMGF
      mQHVzYiMjNkAyNDRAMTA4MjgwNTAxMDYzNzk1MDk3NkAwQDA4MjY5ZWI4OTI3YzR
      kNTFiNTZkMjY3YzY2OGRmN2IwY2Y4M2ExZGIiLCJyIjoibWF0dEBnb2JsYWNrY2F
      0LmNvbSIsImciOiJCdWxrIiwiYiI6InNtZjEtYmd4LTM0LXNyMS1CdWxrLjE4NiJ
      9
  Date: Sat, 14 Dec 2019 16:10:39 +0000
  ...
  

Configurați Dovecot IMAP

Setați Clasa de conectare

Dovecot necesită capacitatea de a avea un număr mai mare de fișiere deschise pentru citire și scriere decât permite clasa implicită. Dacă nu faceți acest lucru, va cauza erori dificil de depanat.

Definiți o clasă de conectare pentru daemon Dovecot. În partea de jos se /etc/login.confadaugă următoarele rânduri.

    dovecot:\
        :openfiles-cur=1024:\
        :openfiles-max=2048:\
        :tc=daemon:    

Creați fișierul de configurare Dovecot

Creați /etc/dovecot/local.conf.

auth_mechanisms = plain
first_valid_uid = 2000
first_valid_gid = 2000
mail_location = maildir:/var/vmail/%d/%n
mail_plugin_dir = /usr/local/lib/dovecot
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex  imap4flags copy include variables body enotify environment mailbox date index ihave duplicate mime foreverypart extracttext imapsieve vnd.dovecot.imapsieve
mbox_write_locks = fcntl
mmap_disable = yes
namespace inbox {
  inbox = yes
  location =
  mailbox Archive {
  auto = subscribe
  special_use = \Archive
  }
  mailbox Drafts {
  auto = subscribe
  special_use = \Drafts
  }
  mailbox Junk {
  auto = subscribe
  special_use = \Junk
  }
  mailbox Sent {
  auto = subscribe
  special_use = \Sent
  }
  mailbox Trash {
  auto = subscribe
  special_use = \Trash
  }
  prefix =
}
passdb {
  args = scheme=CRYPT username_format=%u /etc/mail/credentials
  driver = passwd-file
  name =
}
plugin {
  imapsieve_mailbox1_before = file:/usr/local/lib/dovecot/sieve/report-spam.sieve
  imapsieve_mailbox1_causes = COPY
  imapsieve_mailbox1_name = Junk
  imapsieve_mailbox2_before = file:/usr/local/lib/dovecot/sieve/report-ham.sieve
  imapsieve_mailbox2_causes = COPY
  imapsieve_mailbox2_from = Junk
  imapsieve_mailbox2_name = *
  sieve = file:~/sieve;active=~/.dovecot.sieve
  sieve_global_extensions = +vnd.dovecot.pipe +vnd.dovecot.environment
  sieve_pipe_bin_dir = /usr/local/lib/dovecot/sieve
  sieve_plugins = sieve_imapsieve sieve_extprograms
}
protocols = imap sieve
service imap-login {
  inet_listener imaps {
  port = 0
  }
}
service managesieve-login {
  inet_listener sieve {
  port = 4190
  }
  inet_listener sieve_deprecated {
  port = 2000
  }
}
ssl_cert = </etc/ssl/mail.crt
ssl_key = </etc/ssl/private/mail.key
userdb {
  args = username_format=%u /etc/mail/credentials
  driver = passwd-file
  name =
}
protocol imap {
  mail_plugins = " imap_sieve"
}

Dovecot Bug Fix

În Dovecot există o eroare în care setările ssl_certși ssl_keysetările nu sunt suprasolicitate în local.conffișier, așa că trebuie să le comentăm. Dacă ratați acest pas, Dovecot nu va începe corect.

Modificați /etc/dovecot/conf.d/10-ssl.confdupă cum se arată.

...
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
#ssl_cert = </etc/ssl/dovecotcert.pem
#ssl_key = </etc/ssl/private/dovecot.pem
...

Creați scripturile de setare

Scripturile de setare antrenează Rspamd pe spam și ham . Mutarea e-mailului în și în folderul junk declanșează un eveniment pentru a antrena Rspamd.

Aceste fișiere sunt localizate la /usr/local/lib/dovecot/sieve.

Creați report-ham.sievefișierul.

require ["vnd.dovecot.pipe", "copy", "imapsieve", "environment", "variables"];

if environment :matches "imap.mailbox" "*" {
  set "mailbox" "${1}";
}

if string "${mailbox}" "Trash" {
  stop;
}

if environment :matches "imap.user" "*" {
  set "username" "${1}";
}

pipe :copy "sa-learn-ham.sh" [ "${username}" ];

Creați report-spam.sievefișierul.

require ["vnd.dovecot.pipe", "copy", "imapsieve", "environment", "variables"];

if environment :matches "imap.user" "*" {
  set "username" "${1}";
}

pipe :copy "sa-learn-spam.sh" [ "${username}" ];

Compilați fișierele.

sievec report-ham.sieve
sievec report-spam.sieve 

Creați următoarele două scripturi shell în /usr/local/lib/dovecot/sieve

Adăugați următoarele în sa-learn-ham.sh

#!/bin/sh
exec /usr/local/bin/rspamc -d "${1}" learn_ham

Adăugați următoarele în sa-learn-spam.sh

#!/bin/sh
exec /usr/local/bin/rspamc -d "${1}" learn_spam

Faceți fișierele executabile.

chmod 0755 sa-learn-ham.sh
chmod 0755 sa-learn-spam.sh

Activați și porniți Dovecot.

rcctl enable dovecot
rcctl start dovecot

Verificați dacă Dovecot a pornit corect.

ps ax | grep dovecot

88005 ??  I        0:00.11 /usr/local/sbin/dovecot
69640 ??  I        0:00.03 dovecot/anvil
91207 ??  I        0:00.03 dovecot/log
98178 ??  I        0:00.19 dovecot/config
34712 ??  I        0:00.06 dovecot/stats
96674 ??  I        0:00.03 dovecot/imap-login
 8891 ??  S        0:00.02 dovecot/imap

Verificați că Dovecot poate citi corect /etc/mail/credentials

doveadm user [email protected]

field    value
uid      2000
gid      2000
home /var/vmail/example.com/john
mail maildir:/var/vmail/example.com/john

Verificați dacă un utilizator de poștă se poate autentifica.

doveadm auth login [email protected]

Password: ********
passdb: [email protected] auth succeeded
extra fields:
  [email protected]

userdb extra fields:
  [email protected]
  mail=maildir:/var/vmail/example.com/john
  uid=2000
  gid=2000
  home=/var/vmail/example.com/john
  auth_mech=PLAIN

Configurați Rspamd

Aceasta este o configurație de bază Rspamd, consultați documentația oficială pentru mai multe detalii. Acest exemplu creează o definiție pentru domeniul nostru pentru a permite semnarea DKIM.

Creați o cheie publică / privată de cheie /etc/mail/dkimși setați permisiunile corecte.

doas su
mkdir /etc/mail/dkim
cd /etc/mail/dkim
openssl genrsa -out private.key 1024
openssl rsa -in private.key -pubout -out public.key
chmod 0440 private.key
chown root:_rspamd private.key

Creați o înregistrare DNS pentru DKIM care conține cheia publică. Consultați furnizorul DNS pentru detalii despre crearea unei înregistrări DKIM. Copiați conținutul /etc/mail/dkim/public.keyși lipiți-l după p=partea înregistrării DKIM, așa cum se arată mai jos. Rețineți că acest exemplu creează și o înregistrare SPF.

default._domainkey.example.com. IN TXT "v=DKIM1;k=rsa;p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQClcuK3FV3Ug64li8iFsuJ2ykgb7FMZsujk9uG79ppPUp57vCfjzO7F+HBfx5qIwvlGxv2IJXK86FZwhpUX+HFCDUtfB2z0ZNGerWcZfNzM1w1Bru/fdMd2tCYkiHEa5RWIkLfs/Fm+neXxRZfAG2UDWmAghNbgzYv7xViwgufDIQIDAQAB"
example.com. IN TXT "v=spf1 a ip4:192.0.2.1 mx ~all"

Creați o înregistrare DMARC.

_dmarc.example.com. IN TXT "v=DMARC1;p=none;pct=100;rua=mailto:[email protected]"

Creați /etc/rspamd/local.d/dkim_signing.conffișierul de configurare.

• selector="default";Linia este derivată din prima parte a înregistrării DKIM DNS ( default._domainkey....) creat mai sus.

  domain {
      example.com {
          path = "/etc/mail/dkim/example.com.key";
          selector = "default";
      }
  }
  

Activați și porniți Rspamd.

doas rcctl enable redis rspamd
doas rcctl start redis rspamd

Modificați liniile de mai jos în /etc/mail/smtpd.confși reporniți OpenSMTPD pentru a activa Rspamd.

...
listen on all tls pki "mail" hostname "mail.example.com" filter "rspamd"
listen on egress port submission tls-require pki "mail" hostname "mail.example.com" \
  auth <credentials> filter "rspamd"
...
rcctl restart smtpd

Testați serverul de poștă cu clientul de email POP3 sau IMAP. Dacă nu aveți nevoie de webmail, opriți-vă aici.

(Opțional) Configurați Webmail RainLoop

Instalați pachete prealabile

Când vi se solicită, vă rugăm să alegeți cea mai actuală versiune de PHP.

pkg_add php php-curl php-pdo_sqlite php-zip pecl73-mcrypt zip unzip wget curl

Primiți tariful de e-mail RainLoop și extrageți-l la /var/www/htdocs/.

Utilizați ediția standard care include un actualizator automat.

cd /tmp
wget https://www.rainloop.net/repository/webmail/rainloop-latest.zip
unzip rainloop-latest.zip -d /var/www/htdocs/rainloop
chown -R www:www /var/www/htdocs

Creați certificatul SSL Let's Encrypt

• Copiați /etc/examples/acme-client.confîn/etc

• Adăugați următoarele linii în partea de jos a fișierului:

  domain webmail.example.com {
  domain key "/etc/ssl/private/webmail.example.com.key"
  domain full chain certificate "/etc/ssl/webmail.example.com.crt"
  sign with letsencrypt
  }
  

Configurați httpd

• Creați o intrare DNS (CNAME sau A record) pentru subdomeniu webmail.example.com

• Editați /etc/httpd.confurmând exemplul de mai jos.

  prefork 3
  types { include "/usr/share/misc/mime.types" }
  
  server "default" {
      listen on egress port 80 
      root "/htdocs"
      directory index index.html
  
      location "/.well-known/acme-challenge/*" {
              root "/acme"
              request strip 2
      }
  }
  

Executați verificarea sintaxei httpd.

httpd -n

Activați și porniți httpd.

rcctl enable httpd
rcctl start httpd

Solicitați certificatul Let's Encrypt.

acme-client -v webmail.example.com

Adăugați definițiile serverului pentru RainLoop la /etc/httpd.conf

server "webmail.example.com" {
    listen on egress port 80
    block return 302 "https://$SERVER_NAME$REQUEST_URI"
}

server "webmail.example.com" {
    listen on egress tls port 443
    root "/htdocs/rainloop"
    directory index "index.php"

    tcp { nodelay, backlog 10 }

    tls {
            certificate "/etc/ssl/webmail.example.com.crt"
            key "/etc/ssl/private/webmail.example.com.key"
    }

    hsts {
            max-age 31556952
            preload
    }

    # Value below is 25MB in bytes. 1MB = 1048576 bytes
    connection max request body 26214400

    location "/data*" {
            block return 403
    }

    location "*.php*" {
            fastcgi socket "/run/php-fpm.sock"
    }
}

Configurați PHP pentru a permite atașări de până la 25 de megabyte. Faceți următoarele modificări în /etc/php-7.3.ini:

; Maximum allowed size for uploaded files.
; http://php.net/upload-max-filesize
upload_max_filesize = 25M
...
; Maximum size of POST data that PHP will accept.
; Its value may be 0 to disable the limit. It is ignored if POST data reading
; is disabled through enable_post_data_reading.
; http://php.net/post-max-size
post_max_size = 29M

Activați modulele PHP necesare copiind fișierele lor de configurare în /etc/php-7.3/

cp /etc/php-7.3.sample/* /etc/php-7.3/.

Verificați sintaxa de /etc/httpd.conf

httpd -n

Activați și porniți httpd și php-fpm.

rcctl reload httpd
rcctl enable php73_fpm
rcctl start php73_fpm

Test final

Navigați în https://webmail.example.com/?admin.

Numele de utilizator implicit este: admin
Parola implicită este: 12345 .

Parcurgeți fiecare dintre secțiunile de configurare și efectuați modificările dorite. După ce ați terminat cu configurația, conectați-vă la un e-mail lahttps://webmail.example.com