Сборка почтового сервера linux

Готовые почтовые решения под linux

iRedMail знаю, не подошёл т.к. бесплатная версия урезана. Вручную долго и геморно, ко всему прочему не получается и впадлу. Нужен какой-нибудь скрипт уровня далее-далее-готово, который автоматом бы поднимал dovecot+postfix, при этом имел морду для администрирования оного.

Какие ещё есть? Может кто-нибудь посоветует годноту?

В proxmox готовых виртуалок нет?

какой-нибудь скрипт уровня далее-далее-готово, который автоматом бы поднимал dovecot+postfix

почтовый хостинг копейки стоит

В режиме далее-далее-готово ты хорошую почту не сделаешь.

Кроме базового постфикса нужны серые списки, спамфильтр, специальные костыли для outlook-клиентов, которые не умеют работать по стандартам, нужно вынимать свой айпишник из чужих blacklist-ов.. и т.д. и т.п.

Это ни разу не интересная задача, чтобы ею заниматься самостоятельно.

А что нет в бесплатной версии iRedMail? Дополнить функционал можно поставив после сабжа postfixadmin.

Это ни разу не интересная задача, чтобы ею заниматься самостоятельно.

Прям за душу взяли. Сейчас вынужден крутить вручную почтовый сервер и это ад. Я ещё столько раз не стрял себе в ногу.

Ну возможно это подойдет https://mailu.io/

Когда я первый раз озадачился своим почтовиком — я тоже хотел чтоб быстро, из коробки и все работало. Выбрал Zimbra. Через несколько месяцев нормальной работы, мне пришлось провести несколько дней в поисках причин, почему это «чудо-юдо» вдруг перестало работать, да еще и стало Open-relay’ем. В итоге поднял все вручную. Больше времени убил не на изучение, а на то чтоб вытащить свои IPшники из блэк-листов. 2-ой год работает на ура, сэкономил кучу времени на администрировании.

будет жрать ресурсы так как ява, а у автора слабые vps-ки. плюс при любой ошибке автор застрелится разбирать явовые эксепшены. ну и dovecot там нет, вместо него черный ящик на яве.

отдайте сервера другим админить, это не ваше.

kolab community version, но там openldap и cyrus переделанный под них, и еще все через api и под себя его вам будет труднее крутить С другой стороны с вашим опытом вы все равно ничего под себя не сделаете.Но админка там полная и неплохая.

P.S. Я ожидаю еще постов 5 от вас по дальнейшим почтовым проблемам)

еще можете почтавить ispconfig только с ролью почты и админокой. и у вас будет постовик. внутри там все прекрасно,разве что sogo нет, но вы про календари и книги не писали. но это можно отдельно прикрутить. а потом дойдете до кластера из ispconfig серверов, что оочень подходит ддя вашей задачи,которую вы описывали в другом посте.

Возьми готовые модули для Puppet или плейбуки для Ансибл, проставь свои данный и вуаля. Или вот: https://github.com/tomav/docker-mailserver. docker run docker-compose up, и ты в шоколаде.

Так надо после установки проводить настройки по защите от исходящего спама. Вот недавно взломали учетку на Zimbra. Стали рассылать спам, разумеется Open Relay нет.

В логах только и видно поле from:spamer_tvou_diviziu@pipec.com и т.д.

В очереди 30к писем, всякие отчёты NDR.

Я нифуя уя, че делать. Начали проверять ящики, хопа, видим что в одном ящике много исходящиж с поддельным from.

Заблочилм учетку и начали правильно настраивать Zimbra. Поле from теперь совпадает с почтовым ящиком, стоят лимиты на отправку и в логах видно с какого ящика летит письмо.

Смотрядля чего. Если себе любимому, то любой sendmail и fetchmail. А если soho офис, то уже без ручного профайлинга не обойтись, а решения «из коробки» для профайлинга не предназначены.

Поле from теперь совпадает с почтовым ящиком, стоят лимиты на отправку и в логах видно с какого ящика летит письмо.

Я при установке iredmail сразу сделал эти поправки. Хотя независимо от сборки или поштучного изготовления почтовика Все это делается правкой main.cf постфикса. Был у меня уже опыт с постфиксом на федоре 2004 года. админские грабли известные. 🙂

Это хорошо что голый Postfix. В Zimbra 8 нельзя в ручную редактировать конфиги. Для это существуют специальные утилиты, вот например:

— Отображение отправителя в логах — zmprov mcf zimbraMtaSmtpdSaslAuthenticatedHeader yes zmmtactl restart

postconf -v | grep smtpd_sasl_authenticated_header

— Отправка только с полем from вашего домена —

zmprov mcf zimbraMtaSmtpdSenderLoginMaps proxy:ldap:/opt/zimbra/conf/ldap-slm.cf +zimbraMtaSmtpdSenderRestrictions reject_authenticated_sender_login_mismatch vi /opt/zimbra/conf/zmconfigd/smtpd_sender_restrictions.cf permit_mynetworks, reject_sender_login_mismatch

— Проверка переменной mynetworks, с которой идут письма без авторизации —

$ su zimbra $ zmprov ms mail.company.ru zimbraMtaMyNetworks ‘127.0.0.0/8’ $ postfix reload

Проверка: $ postconf mynetworks

С зимброй дела не имел. Получается если вы добавите вручную (без использования утилит) в конфиг постфикса следуещее:

#Уменьшили количество писем за 5 мин всего 30 сообщений с одного адреса
anvil_rate_time_unit = 300s
smtpd_client_message_rate_limit = 30
smtpd_client_event_limit_exceptions = 10.12.0.0/24 127.0.0.0/8 10.12.1.1 10.12.1.2 94.100.0.0/16
10.12.1.3 10.12.1.6
#логин отправителя должен соответствовать полю Frом
reject_sender_login_mismatch
#

То все упадет набок?

Не упадет, просто они при перезапуске Zimbra исчезнут. Поэтому чтобы они «закрепились», требуется редактировать их через встроенные утилиты.

Источник

Полноценный почтовый сервер с iRedMail на Ubuntu

После установки iRedMail мы получим почтовый сервер со следующими возможностями:

• Управление почтовыми ящиками с помощью веб-интерфейса.
• Поддержка виртуальных доменов и почтовых ящиков.
• Подключение к ящикам по POP3 и IMAP.
• Хранение данных в СУБД.
• Возможность работать с почтой удаленно с помощью браузера.
• Шифрование при передаче сообщений.
• Защита от СПАМа и вирусов.
• Защита сообщений от попадания в СПАМ.

Подготовка сервера

Задаем правильное имя сервера:

hostnamectl set-hostname mail.dmosk.ru

* имя сервера должно быть в формате FQDN, в противном случае мы получим ошибку > Please configure a fully qualified domain name (FQDN) in /etc/hosts before we go further.

Заданное имя сервера должно разрешаться в IP-адрес через DNS. Если на момент установки это невозможно, создадим запись в файле hosts:

Останавливаем веб-сервер apache (в данном примере будет использоваться nginx):

systemctl stop apache2

systemctl disable apache2

* если не остановить apache и попытаться установить nginx, мы получим ошибку Errors were encountered while processing: nginx-full.

Если в нашей системе настроен брандмауэр, мы должны открыть следующие порты:

iptables -I INPUT -p tcp —match multiport —dports 25,80,110,143,443,465,587,993,995 -j ACCEPT

* где мы откроем следующие порты:

• 25 — стандартный SMTP (без шифрования или через STARTTLS);
• 80 — HTTP для порталов iRedAdmin и Roundcube;
• 110 — стандартный POP3 (без шифрования или через STARTTLS);
• 143 — стандартный IMAP (без шифрования или через STARTTLS);
• 443 — защищенный HTTPS для порталов iRedAdmin и Roundcube;
• 465 — защищенный SMTP через SSL/TLS;
• 587 — защищенный SMTP через STARTTLS;
• 993 — защищенный IMAP через SSL/TLS;
• 995 — защищенный POP3 через SSL/TLS.

Для сохранения правил установим утилиту iptables-persistent:

apt-get install iptables-persistent

Установка iRedMail

Заходим на страницу iredmail.org/download.html и копируем ссылку на скачивание последней версии почтового сервера:

Теперь используем ссылку для загрузки дистрибутива на сервере:

И распаковываем скачанный архив:

tar zxvf 1.4.0.tar.gz

Переходим в каталог с распакованным установщиком:

И запускаем скрипт установки:

Запустится мастер настроек. В первом окне с приветствием ответьте Yes.

В окне Default mail storage path оставляем /var/vmail и задаем свой путь для хранения сообщений:

В следующем окне Preferred web server желательно оставить Nginx:

В окне Choose preferred backend used to store mail accounts выбираем Mariadb:

И задаем пароль для пользователя СУБД:

На следующем шаге вводим наш первый почтовый домен:

Теперь вводим пароль для управления почтовыми ящиками:

В окне Optional components выбираем все доступные компоненты:

В самом конце вводим Y, чтобы подтвердить введенные настройки.

Начнется установка почтового сервера. В зависимости от производительности, процесс может занять от 10 до 20 минут. В конце система предложит активировать брандмауэр — соглашаемся вводом Y.

После завершения, установщик даст подсказку, что необходимо перезапустить сервер для начала работы всех компонентов. Выполним перезагрузку:

Настройка iRedMail

Создание пользователя

Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/iredadmin/

Откроется страница входа в панель управления. Вводим логин postmaster@dmosk.ru и пароль (пароль и домен dmosk.ru — данные, которые мы вводили при установке iRedMail).

Создадим первого пользователя. Для этого переходим по Add — User:

Заполняем поля и создаем пользователя:

Отключение Graylisting

Graylisting — мощное оружие против СПАМа, но с существенным минусом — все входящие сообщения, отправленные с определенного домена в первый раз будут приходить с задержкой. На момент тестирования это создает массу неудобств.

Для отлючения серого списка, добавляем права на редактирование следующему файлу:

chmod u+w /opt/iredapd/settings.py

После открываем его:

Находим перечисление плагинов:

plugins = [«reject_null_sender», «reject_sender_login_mismatch», «greylisting», «throttle», «amavisd_wblist», «sql_alias_access_policy»]

И вырезаем greylisting.

chmod u-w /opt/iredapd/settings.py

systemctl restart iredapd

Проверяем работу сервера

Для проверки сервера можно выполнить тестовую отправку и получения писем.

Отправка

Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/mail/

Откроется панель для работы с почтой — вводим логин и пароль от созданного пользователя (логин должен быть с доменом, в нашем примере, test1@dmosk.ru)

Нажимаем Написать сообщение и отправляем тестовое сообщение на один из своих адресов:

Получение

Для возможности получать письма, необходимо прописать в DNS для нашего домена запись типа MX.

Пример такой записи:

MX 10 mail.dmosk.ru

* где MX — тип; 10 — приоритет (таких записей может быть несколько); mail.dmosk.ru — имя нашего почтового сервера (на данное имя необходима также запись типа А).

После создания такой записи необходимо подождать от 1 до 8 часов, так как настройки DNS могут применяться не сразу.

Защищаем сообщения от попадания в СПАМ

Чтобы другие почтовые системы не принимали наши письма за СПАМ, выполняем следующие рекомендации:

А-запись в DNS

Для FQDN-имени почтового сервера должна быть создана А-запись в DNS. Пример записи:

mail.dmosk.ru A 90.156.242.197

Создаем PTR-запись для внешнего IP-адреса

Она должна вести на имя сервера (в данном примере, mail.dmosk.ru). Чтобы создать такую запись, нужно написать обращение Интернет-провайдеру или хостеру виртуальной машины. Пример записи:

171.23.222.83.in-addr.arpa name = mail.dmosk.ru

* данная запись соответствует IP-адресу 83.222.23.171.

Добавляем SPF-запись для домена

Эта запись создается в DNS для домена, от которого идет отправка сообщений. Пример:

dmosk.ru text = «v=spf1 +mx -all»

Прописываем DKIM в DNS

Для начала, смотрим ключ, который был сформирован во время установки iRedMail:

dkim._domainkey.dmosk.ru. 3600 TXT (
«v=DKIM1; p=»
«MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+Ief»
«zcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia»
«+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHK»
«d2mdqfW+emSW/paUwQIDAQAB»)

Копируем DKIM и создаем в DNS запись TXT. Пример:

dmosk.ru text = «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+IefzcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHKd2mdqfW+emSW/paUwQIDAQAB»

Создать другую подпись DKIM

Генерируем новый ключ:

amavisd-new genrsa /var/lib/dkim/dmosk2.ru.pem 1024

* где dmosk2.ru — новый домен, для которого мы сгенерируем подпись dkim.
* некоторые системы не работают с ключами более чем 1024 бит.

Задаем права на созданный файл:

chown amavis:amavis /var/lib/dkim/dmosk2.ru.pem

chmod 0400 /var/lib/dkim/dmosk2.ru.pem

Открываем конфигурационный файл amavisd

dkim_key(‘dmosk.ru’, «dkim», «/var/lib/dkim/dmosk.ru.pem»);

И добавляем радом с ней новую. Получится так:

dkim_key(‘dmosk.ru’, «dkim», «/var/lib/dkim/dmosk.ru.pem»);
dkim_key(‘dmosk2.ru’, «dkim», «/var/lib/dkim/dmosk2.ru.pem»);

Теперь находим строчку:

@dkim_signature_options_bysender_maps = ( <
.
«dmosk.ru» => < d =>«dmosk.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 >,

И также после нее добавляем новую. Должно получиться:

@dkim_signature_options_bysender_maps = ( <
.
«dmosk.ru» => < d =>«dmosk.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 >,
«dmosk2.ru» => < d =>«dmosk2.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 >,

Политика DMARC

Данная политика определяет, что делать с письмом, которое не проходит проверку. Подробнее о DMARC.

Для создания данной политики необходимо в DNS добавить TXT запись, примерно, такого содержания:

_dmarc.dmosk.ru. 3600 IN TXT «v=DMARC1; p=quarantine; sp=none; pct=100; fo=0; rua=mailto:postmaster@dmosk.ru»

* данная запись означает, что все письма, которые не прошли проверку, необходимо отправить в карантин, а отчет написать на ящик postmaster@dmosk.ru.

Ящик abuse

По аналогии с тем, как мы создавали тестовую учетную запись, необходимо создать ящик abuse@. На данный ящик могут приходить жалобы на СПАМ. Стоит время от времени просматривать его (или настроить переадресацию), и реагировать на жалобы.

Установка сертификата

Вместе с iRedMail создается самоподписный сертификат, которому по умолчанию, не доверяют другие системы. Если мы хотим, чтобы пользователи не видели предупреждений об использовании потенциально не безопасного сертификата, можно установить последний, выданный акредитованным центром сертификации. Мы же рассмотрим, как получить для iRedMail бесплатный сертификат от Let’s Encrypt (подробнее в статье получение сертификата от Let’s Encrypt).

Откроем на редактирование файл:

. и добавим в секцию server (выше include):

root /var/www/html;
index index.php index.html;

/.well-known <
root /usr/share/nginx/html;
allow all;
>

Перечитаем конфиг nginx

systemctl reload nginx

Устанавливаем утилиту для получения сертификата:

apt-get install certbot

Для нашего удобства, создаем переменную с нашим доменом, для которого мы будем получать сертификат:

И получаем сертификат командой:

certbot certonly —webroot —agree-tos —email postmaster@dmosk.ru —webroot-path /usr/share/nginx/html/ -d $DOMAIN

* подробнее параметры описаны в статье получение сертификата от Let’s Encrypt. Обратите внимание, что в данном примере мы получим сертификат для узла mail.dmosk.ru.

Удаляем старые сертификаты:

И создаем симлинки на полученные:

ln -s /etc/letsencrypt/live/$DOMAIN/fullchain.pem /etc/ssl/certs/iRedMail.crt

ln -s /etc/letsencrypt/live/$DOMAIN/privkey.pem /etc/ssl/private/iRedMail.key

* cert.pem и iRedMail.crt — открытые ключи (public); privkey.pem и iRedMail.key — закрытые (private); $DOMAIN — переменная, которая содержит наш домен.

Перезапускаем службы nginx, postfix и dovecot:

systemctl reload nginx postfix dovecot

Для автоматического продления сертификата создаем в cron задачу:

0 0 * * 1,4 /usr/bin/certbot renew && systemctl reload nginx postfix dovecot

Отключение антивируса и антиспама

Отключить защиту для почты может понадобиться при различных обстоятельствах, например:

1. Для диагностики проблем отправки сообщений.
2. Экономии ресурсов (антивирус может слишком много потреблять ресурсов).
3. При отсутствии необходимости.

И так, для отключения amavis (clam + spamassassin) открываем файл:

Приводим к следующему виду настройку:

@bypass_virus_checks_maps = (1);
@bypass_spam_checks_maps = (1);

* в данном примере мы сняли комментарий с данных строк (если они были закомментированы) и задаем для них значение 1. Опция bypass_virus_checks_maps отвечает за включение проверки писем на вирусы; bypass_spam_checks_maps — на СПАМ.

Перезапускаем службу amavis:

systemctl restart amavis

После данной настройки письма будут отправляться без проверок. Однако, сервис антивируса будет, по-прежнему, работать.

Останавливаем и отключаем сервис clamd:

systemctl disable clamav-daemon

systemctl stop clamav-daemon

Разрешить соединение без STARTTLS

После установки iRedMail, система будет требовать от клиента безопасного соединения по TLS. При необоходимости, можно отключить данную возможность.

Отключение для SMTP

Открываем конфигурационный файл postfix:

Задаем следующие настройки:

.
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
#smtpd_tls_auth_only = yes
.

* где smtpd_sasl_auth_enable разрешает или запрещает аутентификацию; smtpd_sasl_security_options — дополнительные опции для аутентификации; smtpd_tls_auth_only — разрешает соединение SMTP только по TLS. В данном примере мы разрешаем аутентификацию, запрещаем анонимные соединения и комментируем опцию, которая требует только безопасного соединения.

systemctl restart postfix

Отключение для IMAP/POP3

Открываем конфигурационный файл dovecot:

Задаем следующие настройки:

ssl = yes
disable_plaintext_auth = no

* где disable_plaintext_auth запрещает аутентификацию без защиты; ssl задает опцию защиты (в данном примере, разрешить, но не требовать).

systemctl restart dovecot

Дополнительные настройки

Настройка лимита на объем вложения

По умолчанию, допустимый размер отправляемого вложения, отправленного через iRedMail может быть размером не больше 15 Мб. Для увеличения этого порога вводим команду:

postconf -e «message_size_limit = 52428800»

* в данном примере выставлен лимит в 50 мб.

Аналоги iRedMail

Бесплатных аналогов данной системы, на данный момент, не существует. Максимум, можно самостоятельно настроить что-то подобное, установив все компоненты вручную.

Из платных готовых почтовых систем можно отметить:

1. Microsoft Exchange Server (на Windows).
2. Zimbra (на Linux).

Источник