Nainstalujte a integrujte rspamd

Toto je třetí část našeho Nastavení a konfigurace poštovního serveru. V tomto tutoriálu projdeme instalaci a konfiguraci systému filtrování nevyžádané pošty Rspamd a jeho integraci do našeho poštovního serveru a vytvoříme záznamy DNS DKIM a DMARC.

Můžete se zeptat, proč se rozhodneme jít s Rspamdem a ne se Spamassassinem. Rspamd je aktivněji udržován a psán v C a je mnohem rychlejší než Spamassassin psaný v Perlu. Dalším důvodem je to, že Rspamd je dodáván s podpisovým modulem DKIM, takže k podpisu našich odchozích e-mailů nebudeme muset používat jiný software.

Předpoklady

Před pokračováním v tomto kurzu se ujistěte, že jste přihlášeni jako uživatel s právy sudo.

Nainstalujte Redis

Redis použije Rspamd jako systém pro ukládání a ukládání do mezipaměti, k jeho instalaci stačí spustit:

sudo apt install redis-server

Nainstalovat bez závazků

Bez závazků je velmi bezpečný ověřovací, rekurzivní a mezipaměťový překladač DNS.

Hlavním účelem instalace této služby je snížení počtu externích požadavků DNS. Tento krok je volitelný a lze jej přeskočit.

sudo apt update sudo apt install unbound

Výchozí nevázané nastavení by mělo být dostatečné pro většinu serverů.

Chcete-li nastavit nevázané jako primární překladač DNS serveru, spusťte následující příkazy:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Pokud nepoužíváte resolvconf , musíte soubor /etc/resolv.conf upravit ručně.

Nainstalujte Rspamd

Nainstalujeme nejnovější stabilní verzi programu Rspamd ze svého oficiálního úložiště.

Začněte instalací potřebných balíčků:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Přidejte klíč GPG úložiště do klíčového zdroje zdrojů apt pomocí následujícího příkazu wget:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Povolte úložiště Rspamd spuštěním:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Jakmile je úložiště povoleno, aktualizujte index balíčku a nainstalujte Rspamd pomocí následujících příkazů:

sudo apt update sudo apt install rspamd

Nakonfigurujte Rspamd

Místo úpravy konfiguračních souborů akcií vytvoříme nové soubory v adresáři /etc/rspamd/local.d/local.d/ který přepíše výchozí nastavení.

Ve výchozím nastavení je normal worker Rspamdu pracovník, který skenuje e-mailové zprávy, poslouchá na všech rozhraních na portu 11333. Vytvořte následující soubor a nakonfigurujte běžného pracovníka Rspamd tak, aby poslouchal pouze rozhraní localhost:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

Pracovník proxy worker naslouchá na portu 11332 a podporuje protokol milter. Aby Postfix mohl komunikovat s Rspamdem, musíme povolit jemnější režim:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Dále musíme nastavit heslo pro controller worker server controller worker který poskytuje přístup k webovému rozhraní Rspamd. Generování běhu šifrovaného hesla:

rspamadm pw --encrypt -p P4ssvv0rD

Výstup by měl vypadat asi takto:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Nezapomeňte změnit heslo ( P4ssvv0rD ) na něco bezpečnějšího.

Zkopírujte heslo z terminálu a vložte jej do konfiguračního souboru:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Později nakonfigurujeme Nginx jako reverzní proxy na webový server pracovníka správce, abychom měli přístup k webovému rozhraní Rspamd.

Nastavte Redis jako backend pro statistiku Rspamd přidáním následujících řádků do souboru classifier-bayes.conf :

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Otevřete soubor milter_headers.conf a nastavte hlavičky milter:

/etc/rspamd/local.d/milter_headers.conf

use =;

Více informací o hlavicích frézek najdete zde.

Nakonec restartujte službu Rspamd, aby se změny projevily:

sudo systemctl restart rspamd

Nakonfigurujte Nginx

V první části této řady jsme vytvořili serverový blok Nginx pro instanci PostfixAdmin.

Otevřete konfigurační soubor Nginx a přidejte následující direktivu o umístění, která je zvýrazněna žlutě:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Znovu načtěte službu Nginx, aby se změny projevily:

sudo systemctl reload nginx

Přejděte na https://mail.linuxize.com/rspamd/ , zadejte heslo, které jste dříve vygenerovali pomocí příkazu rspamadm pw a zobrazí se webové rozhraní Rspamd.

Konfigurovat Postfix

Potřebujeme nakonfigurovat Postfix, aby používal mlýn Rspamd.

Spusťte následující příkaz k aktualizaci hlavního konfiguračního souboru Postfix:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Restartujte službu Postfix, aby se změny projevily:

sudo systemctl restart postfix

Nakonfigurujte Dovecot

Ve druhé části této řady jsme již nainstalovali a nakonfigurovali Dovecot a nyní nainstalujeme modul pro filtrování sieve a integrujeme Dovecot s Rspamd.

Začněte instalací filtračního modulu Dovecot:

sudo apt install dovecot-sieve dovecot-managesieved

Po instalaci balíčků otevřete následující soubory a upravte řádky zvýrazněné žlutě.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Uložte a zavřete soubory.

Vytvořte adresář pro sítové skripty:

mkdir -p /var/mail/vmail/sieve/global

Vytvořte globální sítový filtr a přesuňte e-maily označené jako spam do adresáře Spam :

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

Následující dva sítací skripty se spustí vždy, když přesunete e-mail do nebo z adresáře Spam :

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Restartujte službu Dovecot, aby se změny projevily:

sudo systemctl restart dovecot

Kompilace sítových skriptů a nastavení správných oprávnění:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Vytvořte klíče DKIM

DomainKeys Identified Mail (DKIM) je metoda e-mailové autentizace, která přidává kryptografický podpis k odchozím hlavičkám zpráv. Umožňuje příjemci ověřit, že e-mail, který tvrdí, že pochází z konkrétní domény, byl vlastníkem této domény skutečně autorizován. Hlavním účelem je zabránit padělaným e-mailovým zprávám.

Můžeme mít různé klíče DKIM pro všechny naše domény a dokonce i více klíčů pro jednu doménu, ale pro jednoduchost tohoto článku použijeme jeden klíč DKIM, který lze později použít pro všechny nové domény.

Vytvořte nový adresář pro uložení klíče DKIM a vygenerujte nový klíčový klíč DKIM pomocí rspamadm programu rspamadm :

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

Ve výše uvedeném příkladu používáme mail jako selektor DKIM.

Nyní byste měli mít dva nové soubory v adresáři /var/lib/rspamd/dkim/ mail.key což je náš soubor soukromých klíčů, a mail.pub soubor, který obsahuje veřejný klíč DKIM. Budeme aktualizovat naše záznamy zóny DNS později.

Nastavte správné vlastnictví a oprávnění:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Nyní musíme Rspamdu říci, kde hledat klíč DKIM, jméno selektoru a poslední řádek umožní podepisování DKIM pro adresy odesílatelů alias. Vytvořte nový soubor s následujícím obsahem:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Rspamd také podporuje podepisování podpisů ARC (Authenticated Received Chain). Více informací o specifikaci ARC najdete zde.

Rspamd používá modul DKIM pro práci s podpisy ARC, abychom mohli jednoduše zkopírovat předchozí konfiguraci:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Restartujte službu Rspamd, aby se změny projevily:

sudo systemctl restart rspamd

Nastavení DNS

Již jsme vytvořili pár klíčů DKIM a nyní musíme aktualizovat naši zónu DNS. Veřejný klíč DKIM je uložen v souboru mail.pub . Obsah souboru by měl vypadat takto:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Vytvoříme také ověření domény založené na doméně ( DMARC ), které je navrženo tak, aby přijímajícímu serveru DMARC zda přijímat e-maily od konkrétního odesílatele. V zásadě to bude chránit vaši doménu před přímým spoofingem domény a zlepšit reputaci vaší domény.

implementujeme následující zásady DMARC:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Rozdělme výše uvedený záznam DMARC:

• v=DMARC1 - Toto je identifikátor DMARC p=none - to řekne příjemci, co dělat se zprávami, které selhaly v DMARC. V našem případě je nastaven na žádný, což znamená, že v případě selhání zprávy DMARC neproběhne žádná akce. Můžete také použít 'odmítnout' nebo quarantine adkim=r a aspf=r - zarovnání DKIM a SPF , r pro Relaxed a s pro Strrict, v našem případě používáme Relaxed Alignment pro DKIM i SPF.

Stejně jako předtím, pokud provozujete vlastní server Bind DNS, stačí zkopírovat a vložit záznam do souboru zóny domény a pokud používáte jiného poskytovatele DNS, musíte vytvořit záznam TXT s _dmarc jako jméno a v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; jako hodnota / obsah.

Může chvíli trvat, než se změny DNS rozšíří. Můžete zkontrolovat, zda se záznamy šířily pomocí příkazu dig:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Můžete také zkontrolovat aktuální zásady DMARC ve své doméně nebo si zde vytvořit vlastní zásady DMARC.

Závěr

To je pro tuto část tutoriálu. V další části této série budeme pokračovat s instalací a konfigurací systému RoundCube.

mail server postfix dovecot dns rspamd

Tento příspěvek je součástí řady Nastavení a konfigurace poštovního serveru.

Další příspěvky v této sérii:

• Nastavení poštovního serveru pomocí PostfixAdmin • Instalace a konfigurace Postfix a Dovecot • Instalace a integrace Rspamd • Instalace a konfigurace Roundcube Webmail