Почти каждому, у кого есть сервера с привязанными к ним доменами, так или иначе приходится решать вопрос с почтой, как минимум с доступностью адресов вида webmaster/postmaster/abuse@domain.
Кто-то учит M4 и настраивает встроенный sendmail, кто-то использует сторонние сервисы ( например от Google ), кто-то — поднимает стандартную связку postfix+courier-imap+mysql ( ну или аналоги ).
Мне первое было делать лениво, второе — не хотелось по идеологическим причинам, а третье — слишком избыточно. Поэтому я нашел свой «срединный путь», о чем и хочу рассказать в этой статье.
Prerequirements
При написании этого руководства я предполагал, что пользователь способен взаимодействовать с *nix-системами посредством консоли, умеет устанавливать пакеты своего дистрибутива и владеет как минимум одним текстовым редактором для редактирования конфигов. В качестве примера я буду устанавливать пакеты на Arch Linux, поскольку это мой домашний дистрибутив.
Постановка задачи
Прежде чем что-то делать нужно понять, зачем это делать. Описываемая конфигурация имеет смысл в том случае, если:
- Количество локальных пользователей невелико и для них допустимо создать записи в /etc/passwd
- Количество обслуживаемых доменов > 1, иначе нас спасает «sendmail по-умолчанию» ИЛИ
- Нужны какие-то дополнительные вещи, например SSL/TLS или аутентификация ИЛИ
- Конфигурация сервера недостаточна, чтоб запускать там тяжелые MTA
В моем случае совпали все пункты: небольшая виртуалка, на которой я паркую десяток доменов для друзей и знакомых.
Установка UW IMAP — опциональная часть. Я не ставил его до тех пор, пока у меня не появилось дополнительных пользователей в системе, поскольку сам я без проблем заходил по ssh и делал mutt.
Установка и первичная настройка OpenSMTPD
В Arch Linux установка занимает секунд 5 :-)
Конфигурация состоит из одного файла smtpd.conf и опциональных файлов с таблицами. Мой первоначальный конфиг выглядит так:
# разрешаем работу только по ipv4
limit mta inet4
# слушаем порт 25 на all, представляемся как server.com
listen on 0.0.0.0 port 25 hostname server.com
# таблицы можно вынести в отдельные файлы. Сейчас они маленькие и умещаются в тексте конфига
table aliases { root = kreon, abuse = kreon, postmaster = kreon, webmaster = kreon }
table domains { server.com, domain1.ru, domain2.net, domain3.in }
# Принимаем почту для указанных алиасов этих доменов и доставляем в локальный почтовый ящик (mbox)
accept from any for domain <domains> alias <aliases> deliver to mbox
# Пересылаем почту, полученную от локальных пользователей ( отправленную командой mail например )
accept from local for any relay
# Все остальное - не принимаем
reject from any for any
Как видите — ничего сложно, любая почта проходит по всем цепочкам reject/accept до тех пор, пока не попадет под какое-либо правило.
Пытаемся отправить почту на root@domain1.ru…
И смотрим в вывод сервера
Mutt подтверждает — почта доставлена!
Этой минимальной конфигурации вполне достаточно для приема технической почты для десятка-другого доменов.
SMTPS/TLS, аутентификация и внешняя фильтрация
В opensmtpd аутентифицированный пользователь становится local. Аутентификация включается ключевым словом auth ( или auth-optional ) в строке с listen, но предварительно надо настроить smtps/tls. Дверенный сертификат и можно получить в разных местах, например у StartSSL. В любом случае предполагаем, что у вас есть 3 файла в формате PEM:
- server.crt — сертификат сервера
- server.key — приватный ключ от сертификата
- cachain.crt — цепочтка подтверждающих сертификатов
Теперь мы можем включить smtps/tls и аутентификацию:
# указываем где лежит сертификат, ключ и ca
pki server certificate "/etc/ssl/certs/server.crt"
pki server key "/etc/ssl/private/server.key"
pki server ca "/etc/ssl/certs/cachain.crt"
# разрешаем работу только по ipv4
limit mta inet4
# слушаем порт 25 на all, представляемся как server.com, разрешаем startssl и аутентификацию по желанию
listen on 0.0.0.0 port 25 tls pki server hostname server.com auth-optional
# слушаем порт 465 на all, представляемся как server.com, требуем ssl и аутентификацию, прячем в заголовках ip отправителя
listen on 0.0.0.0 port 465 smtps pki server hostname server.com auth mask-source
# таблицы можно вынести в отдельные файлы. Сейчас они маленькие и умещаются в тексте конфига
table aliases { root = kreon, abuse = kreon, postmaster = kreon, webmaster = kreon }
table domains { server.com, domain1.ru, domain2.net, domain3.in }
# Принимаем почту для указанных алиасов этих доменов и доставляем в локальный почтовый ящик (mbox)
accept from any for domain <domains> alias <aliases> deliver to mbox
# Пересылаем почту, полученную от локальных пользователей ( отправленную командой mail например )
accept from local for any relay
# Все остальное - не принимаем
reject from any for any
Теперь клиенты могут отправлять почту наружу с ssl и аутентификацией.
Отправляем письмо:
Смотрим на output сервера:
Mutt (обратите внимание на Received заголовок ):
Антиспам и прочее
Например, можно добавить антиспам через spampd.
# указываем где лежит сертификат, ключ и ca
pki server certificate "/etc/ssl/certs/server.crt"
pki server key "/etc/ssl/private/server.key"
pki server ca "/etc/ssl/certs/cachain.crt"
# разрешаем работу только по ipv4
limit mta inet4
# слушаем порт 25 на all, представляемся как server.com, разрешаем startssl и аутентификацию по желанию
listen on 0.0.0.0 port 25 tls pki server hostname server.com auth-optional
# слушаем порт 465 на all, представляемся как server.com, требуем ssl и аутентификацию, прячем в заголовках ip отправителя
listen on 0.0.0.0 port 465 smtps pki server hostname server.com auth mask-source
# На этом порту мы получаем почту от spampd - уже фильтрованную
listen on 127.0.0.1 port 10026 tag Filtered
# таблицы можно вынести в отдельные файлы. Сейчас они маленькие и умещаются в тексте конфига
table aliases { root = kreon, abuse = kreon, postmaster = kreon, webmaster = kreon }
table domains { server.com, domain1.ru, domain2.net, domain3.in }
# Принимаем уже отфильтрованную почту и доставляем в mbox
accept tagged Filtered for domain <domains> alias <aliases> deliver to mbox
# Принимаем почту для указанных алиасов этих доменов и отправляем ее к spampd
accept from any for domain <domains> relay via "smtp://127.0.0.1:10025"
# Остальное по тегу Filtered удаляем - чтоб антиспам случайно кому-то чего-то не послал
reject tagged Filtered
# Пересылаем почту, полученную от локальных пользователей ( отправленную командой mail например )
accept from local for any relay
# Все остальное - не принимаем
reject from any for any
И снова ничего сложного, легко настраивается по аналогии с фаерволом или другим поточным фильтром.
Установка и настройка UW IMAP
Как я уже писал, это часть опциональна, если на сервере один пользователь-сисадмин, то скорее всего imap там и не нужен.
Установка:
Настройка:
Сначала из ключа, сертификата сервера и сертификатов CA создаем PEM-файл для imapd ( его имя фиксированно ), потом создаем xinetd-unit для xinetd и запускаем xinetd соответственно. Все, ура :-)
Проверяем почту и сравниваем с тем, что было в MUTT
Итого
Мы получили полноценную почтовую систему, с SSL/TLS и аутентификацией, способную работать даже на микроволновке и не требующую при этом часов вдумчивого чтения манов. По желанию можно расширить ее дальше, добавив например DKIM, backup MX, Greylisting и многое другое. В качестве бонуса: OpenSMTPD делает команда OpenBSD, а значит шанс на наличие там критической уязвимости очень и очень мал.
Спасибо за внимание.
Автор: kreon