Telepítse és integrálja az rspamd fájlt

Ez a levélkiszolgáló beállítása és konfigurálása című részünk harmadik része. Ebben az oktatóanyagban áttekintjük az Rspamd spamszűrő rendszer telepítését és konfigurálását, valamint az e-mail szerverbe történő integrálását, DKIM és DMARC DNS rekordok létrehozásával.

Felteheti azt a kérdést, hogy miért az Rspamd, és nem a Spamassassin mellett döntünk. Az Rspamd aktívabban karbantartott és C nyelven íródott, és sokkal gyorsabb, mint a Perlben írt Spamassassin. Egy másik ok az, hogy az Rspamd DKIM aláíró modullal érkezik, így nem kell más szoftvert használnunk a kimenő e-mailek aláírására.

Előfeltételek

Mielőtt folytatná ezt az oktatóprogramot, győződjön meg arról, hogy be van jelentkezve mint sudo jogosultságokkal rendelkező felhasználó.

Telepítse a Redis szoftvert

A Redist az Rspamd tároló- és gyorsítótárazási rendszerként fogja használni, és csak futtatásához telepítse:

sudo apt install redis-server

Telepítse a Nincs korlátozás

Nincs korlátozás egy nagyon biztonságos érvényesítő, rekurzív és gyorsítótárazó DNS-megoldó.

A szolgáltatás telepítésének fő célja a külső DNS-kérelmek számának csökkentése. Ez a lépés nem kötelező és kihagyható.

sudo apt update sudo apt install unbound

Az alapértelmezett Nincs korlátozás beállításoknak a legtöbb szervernél elegendőnek kell lenniük.

A korlátozás nélküli kiszolgáló elsődleges DNS-feloldójának beállításához futtassa a következő parancsokat:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Ha nem a resolvconf fájlt használja, akkor az /etc/resolv.conf fájlt kézzel kell szerkesztenie.

Telepítse az Rspamd alkalmazást

Telepítjük az Rspamd legújabb stabil verzióját a hivatalos lerakatból.

Kezdje a szükséges csomagok telepítésével:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Adja hozzá a lerakat GPG-kulcsot az apt források kulcstartójához a következő wget paranccsal:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Engedélyezze az Rspamd lerakat futtatásával:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Miután a tároló engedélyezve lett, frissítse a csomag indexét, és telepítse az Rspamd-ot a következő parancsokkal:

sudo apt update sudo apt install rspamd

Az Rspamd konfigurálása

Az állománykonfigurációs fájlok módosítása helyett új fájlokat hozunk létre az /etc/rspamd/local.d/local.d/ könyvtárban, amelyek felülírják az alapértelmezett beállítást.

Alapértelmezés szerint az Rspamd normal worker az e-mail üzeneteket szkennelő munkavállaló az összes interfészt meghallgatja az 11333-as porton. Hozza létre az alábbi fájlt az Rspamd normál munkavállalójának úgy konfigurálásához, hogy csak a localhost interfészt hallgassa meg:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

A proxy worker meghallgatja a 11332 portot, és támogatja a milter protokollt. Annak érdekében, hogy a Postfix kommunikáljon az Rspamddal, engedélyeznie kell a milter módot:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Ezután be kell állítanunk egy jelszót a controller worker kiszolgálóhoz, amely hozzáférést biztosít az Rspamd webes felülethez. Titkosított jelszó létrehozásához futtassa:

rspamadm pw --encrypt -p P4ssvv0rD

A kimenetnek így kell kinéznie:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Ne felejtsd el megváltoztatni a jelszót ( P4ssvv0rD ) biztonságosabbá.

Másolja a jelszót a terminálról, és illessze be a konfigurációs fájlba:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Később az Nginx-et fordított proxyként konfiguráljuk a vezérlő dolgozó webszerverére, hogy hozzáférhessünk az Rspamd webes felülethez.

Állítsa a Redis-t az Rspamd statisztikák hátterére, az alábbi sorok hozzáadásával az classifier-bayes.conf fájlhoz:

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Nyissa meg a milter_headers.conf fájlt, és állítsa be a milter_headers fejléceket:

/etc/rspamd/local.d/milter_headers.conf

use =;

További információkat az enyhébb fejlécekről itt talál.

Végül indítsa újra az Rspamd szolgáltatást, hogy a változások hatályba lépjenek:

sudo systemctl restart rspamd

Az Nginx konfigurálása

A sorozat első részében Nginx szerverblokkot hoztunk létre a PostfixAdmin példányhoz.

Nyissa meg a Nginx konfigurációs fájlt, és adja hozzá a következő, sárga színű kiemelésű helymeghatározási utasítást:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Töltse újra az Nginx szolgáltatást a módosítások hatályba lépése érdekében:

sudo systemctl reload nginx

Menjen át a https://mail.linuxize.com/rspamd/ , írja be az rspamadm pw paranccsal korábban létrehozott jelszót, és megjelenik az Rspamd webes felület.

A Postfix konfigurálása

Be kell állítanunk a Postfix-et az Rspamd milter használatához.

Futtassa a következő parancsot a Postfix fő konfigurációs fájljának frissítéséhez:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Indítsa újra a Postfix szolgáltatást, hogy a változások hatályba lépjenek:

sudo systemctl restart postfix

Konfigurálja a Dovecot-t

A Dovecot-ot már telepítettük és konfiguráltuk a sorozat második részében, és most telepítjük a szitaszűrő modult, és integráljuk a Dovecot-t az Rspamd-ra.

Kezdje a Dovecot szűrőmodul telepítésével:

sudo apt install dovecot-sieve dovecot-managesieved

A csomagok telepítése után nyissa meg a következő fájlokat, és szerkessze a sárga színű vonalakat.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Mentse és zárja be a fájlokat.

Hozzon létre egy könyvtárat a szita parancsfájlok számára:

mkdir -p /var/mail/vmail/sieve/global

Hozzon létre egy globális szűrőt a spamként megjelölt e-mailek áthelyezéséhez a Spam könyvtárba:

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

A következő két szitán parancsfájl aktiválódik, amikor e-mailt Spam a Spam könyvtárba vagy onnan:

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Indítsa újra a Dovecot szolgáltatást, hogy a változások hatályba lépjenek:

sudo systemctl restart dovecot

Fordítsa le a szita parancsfájlokat és állítsa be a helyes engedélyeket:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Hozzon létre DKIM kulcsokat

A DomainKeys azonosított levele (DKIM) egy e-mail hitelesítési módszer, amely kriptográfiai aláírást ad a kimenő üzenet fejlécéhez. Ez lehetővé teszi a címzettnek, hogy ellenőrizze, hogy egy adott domainről származó állítólagos e-mailt valóban engedélyez-e a domain tulajdonosa. Ennek fő célja a hamis e-mailek megakadályozása.

Különböző DKIM kulcsok lehetnek minden domainhez, sőt több kulcs is lehet egyetlen domainhez, de a cikk egyszerűsítése érdekében egyetlen DKIM kulcsot fogunk használni, amelyet később felhasználhatunk minden új domainhez.

Hozzon létre egy új könyvtárat a DKIM kulcs tárolására, és hozzon létre egy új DKIM kulcspárt az rspamadm segédprogrammal:

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

A fenti példában az e- mail használjuk DKIM választóként.

Két új fájlnak kell lennie a /var/lib/rspamd/dkim/ könyvtárban, a mail.key amely a privát kulcsfájlunk, és a mail.pub fájl, amely tartalmazza a DKIM nyilvános kulcsot. Később frissítjük a DNS-zóna rekordjainkat.

Állítsa be a megfelelő tulajdonjogot és engedélyeket:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Most meg kell mondanunk az Rspamdnak, hogy hol kell keresni a DKIM kulcsot, a választó neve és az utolsó sor lehetővé teszi a DKIM aláírását az álnév feladó címeihez. Ehhez hozzon létre egy új fájlt a következő tartalommal:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Az Rspamd támogatja a hitelesített fogadott lánc (ARC) aláírások aláírását is. Az ARC specifikációval kapcsolatos további információ itt található.

Az Rspamd a DKIM modult használja az ARC aláírások kezelésére, hogy egyszerűen lemásoljuk az előző konfigurációt:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Indítsa újra az Rspamd szolgáltatást, hogy a változások hatályba lépjenek:

sudo systemctl restart rspamd

DNS-beállítások

Már létrehozott egy DKIM kulcspárt, és most frissítenünk kell a DNS-zónát. A DKIM nyilvános kulcsot a mail.pub fájl tárolja. A fájl tartalmának így kell kinéznie:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Ezenkívül létrehozunk egy domain alapú üzenet-hitelesítést ( DMARC ), amelynek célja, hogy megmondja a fogadó szervernek, hogy elfogad-e e-mailt egy adott feladótól. Alapvetően megvédi domainjét a közvetlen domain hamisítás ellen, és javítja a domain hírnevét.

végrehajtjuk a következő DMARC irányelvet:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Bontjuk le a fenti DMARC rekordot:

• v=DMARC1 - Ez a v=DMARC1 azonosító p=none - Ez megmondja a vevőnek, hogy mit kell tenni az üzenetekkel, amelyek nem teljesítik a DMARC-t. Esetünkben nincs értékre állítva, ami azt jelenti, hogy semmilyen intézkedést nem kell tenni, ha az üzenet nem sikerül a DMARC-re. Használhatja az 'elutasítás' vagy quarantine adkim=r és aspf=r - DKIM és SPF igazítást, r a Relaxed és az s a Stricket, ebben az esetben a Relaced Alignment-t használjuk mind a DKIM, mind az SPF számára.

Ugyanúgy, mint korábban, ha saját Bind DNS szervert futtat, akkor csak át kell másolnia és be kell illesztenie a rekordot a domain zónafájlba, és ha másik DNS szolgáltatót használ, létre kell hoznia egy TXT rekordot _dmarc névvel és v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; mint érték / tartalom.

A DNS-változások terjedése eltarthat egy ideig. A dig paranccsal ellenőrizheti, hogy a rekordok terjedtek-e:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Megvizsgálhatja a domain jelenlegi DMARC-irányelveit, vagy itt létrehozhat saját DMARC-irányelveit.

Következtetés

Ez az oktatóanyag ezen részéhez tartozik. A sorozat következő részében folytatjuk a RoundCube telepítését és konfigurálását.

mail szerver postfix dovecot dns rspamd

Ez a bejegyzés a levelezőkiszolgáló-sorozat beállítása és konfigurálása része.

A sorozat többi hozzászólása:

• E-mail szerver beállítása a PostfixAdmin segítségével • A Postfix és a Dovecot telepítése és konfigurálása • Az Rspamd telepítése és integrálása • A Roundcube Webmail telepítése és konfigurálása