Почтовый сервер Windows. Почтовый сервер для начинающих. Настраиваем DNS зону
Программное обеспечение Microsoft Exchange Server 2010 на сегодняшний день является одним из наиболее мощных корпоративных почтовых серверов. Обратной стороной этого является некоторая сложность в развертывании данного продукта для администраторов, которые никогда не сталкивались с такой задачей. Поэтому сегодня мы рассмотрим процесс установки и минимального конфигурирования Microsoft Exchange Server 2010 в типовой сети небольшого размера.
Ни для кого не секрет, что Exchange Server 2010 на сегодняшний день является одним из наиболее мощных корпоративных почтовых серверов . Обратной стороной этого является некоторая сложность в развертывании данного продукта для администраторов, которые никогда не сталкивались с такой задачей. Поэтому сегодня мы рассмотрим процесс установки и минимального конфигурирования в типовой сети небольшого размера.
Перед развертыванием необходимо подготовить три вещи. Во-первых, это доменное имя, на котором будет размещаться корпоративная почта. Домен должен быть зарегистрирован на компанию и в DNS-зону должны быть внесены записи, указывающие на IP-адрес сервера, на котором будет размещаться наш сервер.
Во-вторых, необходим компьютер, на котором будет развернут . В принципе, в небольшой сети данный продукт можно установить непосредственно на контроллер домена. Хотя надо учитывать, что рассматриваемый почтовый сервер - продукт весьма ресурсоемкий. Поэтому рекомендуется выносить его на отдельную аппаратную платформу. Кроме того, он существует только в 64-битной версии, а значит, операционная системам на сервере также должна быть 64-разрядной.
В-третьих, в сети должен быть развернут домен и настроена служба Active Directory. Причем для разворачивания требуется домен уровня не ниже Windows Server 2003. Дело в том, что почтовый сервер очень тесно интегрируется с Active Directory и использует его для многих целей (для хранения конфигурации, информации о получателях и пр.).
Установка Microsoft Exchange Server 2010
Итак, предположим, что все предварительные шаги у нас сделаны. Теперь можно приступать к инсталляции . Запускаем дистрибутив продукта. При этом осуществляется проверка на соответствие компьютера и операционной системы основным требованиям, после которой на экране появляется приветственное окно. В первую очередь необходимо установить язык или языки, доступные в нашем . Для этого кликаем мышкой на пункте "Выберите язык Exchange" и выбираем в раскрывшемся меню "Установить только языки, содержащиеся на DVD-диске" (предполагаем, что у нас русскоязычный дистрибутив продукта). Затем кликаем на ссылку "Установите Microsoft Exchange " и дожидаемся распаковки всех необходимых файлов.
После распаковки открывается окно мастера инсталляции продукта. Оно состоит из нескольких вкладок, каждая из которых соответствует одному этапу процесса установки. Начинается все с "Введения". Это просто информационное окно, на котором нажимаем на кнопку "Далее". Второй этап – лицензионное соглашение. Как обычно, его нужно прочитать и принять. Следующий шаг – соглашение на отправку отчетов об ошибках в Microsoft . На странице установки рекомендуется включить этот пункт. Однако по умолчанию он выключен, поэтому мы оставим эту настройку «как есть».
Четвертый шаг очень важен. На нем выбирается тип установки. Всего доступно два варианта. В нашем случае, то есть для локальной сети небольшого размера, лучше выбрать обычную установку. При этом будет инсталлировано все, что нужно для работы почтового сервера : транспортный сервер, клиентский доступ, средства управления и пр. Дополнительно активируем чекбокс "Автоматически установить роли и компоненты Windows Server, необходимые для сервера Exchange Server ". В случае необходимости меняем папку, в которую будет инсталлирован почтовый сервер.
На следующем этапе вводим название нашей организации. Отмечать чекбокс "Применить модель безопасности разделенных разрешений Active Directory в организации Exchange" не нужно. Эта настройка нужна лишь для крупных информационных систем, в которых управление доменом и почтовым сервером осуществляется разными сотрудниками. Далее указываем, есть или нет в корпоративной сети клиенты Microsoft Outlook 2003, для подключения которых требуется наличие базы данных общих папок. Отвечаем положительно: даже если сейчас таких клиентов нет, то, вполне возможно, они появятся в будущем.
Следующий шаг – настройка домена для доступа к устанавливаемому серверу из Интернета. Он необходим для того, чтобы сотрудники компании могли работать с корпоративными ящиками не только из внутренней сети, но и, например, из дома. Для этого активируем чекбокс "Роль сервера клиентского доступа будет с выходом в Интернет" и вводим в строке нужный домен. В его качестве удобнее всего использовать поддомен корпоративного домена, например, mail.mycompany.ru.
Далее инсталлятор предлагает нам присоединиться к программе улучшения качества программного обеспечения Microsoft . Соглашаться на это или нет – личное дело каждого. Мы в нашем примере отказываемся и переходим к следующему этапу. Это проверка предварительных требований, в ходе которой система выявляет, действительно ли все готово для установки почтового сервера. Если каких-то компонентов не хватает или при проверке были обнаружены другие ошибки, инсталлятор уведомит об этом, причем не просто сообщит о проблеме, но и приведет подробную информацию о ней вплоть до ссылки на веб-страницу, на которой описано ее решение. В этом случае исправляем недочеты и заново запускаем мастер инсталляции.
Если же все в порядке, то просто нажимаем на кнопку "Установка", после чего программа начинает непосредственно процесс инсталляции. Сразу отметим, что эта процедура весьма длительная. Время, необходимое на ее выполнения, зависит от доступных вычислительных ресурсов и производительности сервера. Однако в любом случае придется запастись терпением. После завершения инсталляции остается нажать на кнопку "Завершить". На последнем этапе можно обновить . Для этого нужно в основном окне выбрать шаг "Загрузите важные обновления для Microsoft Exchange ".
Первоначальная настройка Microsoft Exchange Server 2010
Теперь можно переходить к конфигурированию . Вообще, по этой теме можно писать целые книги – всевозможных настроек в данном продукте огромное множество. Однако мы ограничимся лишь необходимым минимумом. Нам важно, чтобы пользователи нашей небольшой компании могли работать с корпоративными почтовыми ящиками. Вся настройка осуществляется с помощью специальной консоли управления.
Итак, запускаем консоль управления и подключаемся к локальному серверу. В первую очередь необходимо настроить домен, который будет считаться почтовым. Дело в том, что по умолчанию устанавливает в его качестве домен Active Directory, но так почти никогда не бывает. Поэтому открываем в консоли пункт "Конфигурация организации->Транспортный сервер-концентратор" и переходим на вкладку "Обслуживаемые домены". Выбираем в меню "Действие" пункт "Создать обслуживаемый домен". В открывшемся окне вводим имя и сам домен, после чего устанавливаем переключатель в положение "Уполномоченный домен".
Затем в том же окне переходим на вкладку "Политики адресов электронной почты" и создаем новую политику, которая разрешит создавать ящики с почтовым доменом, а не с доменом Active Directory. Для этого выбираем в меню "Действие" пункт "Создать политику адресов электронной почты". В открывшемся окне вводим название политики (проще всего указать имя домена), нажимаем на кнопку "Обзор" и выбираем контейнер Users. После этого дважды нажимаем на кнопку "Далее" и переходим на страницу определения правил автоматического формирования адресов электронной почты сотрудников компании. Нажимаем на кнопку "Добавить" и выбираем в открывшемся окне способ генерации первой части адреса (например, "Имя.Фамилия"), устанавливаем переключатель на пункт "Выберите принятый домен для адресов электронной почты" и выбираем с помощью кнопки "Обзор" наш почтовый домен. Все остальные шаги мы пропускаем с помощью кнопки "Далее", а в завершение нажимаем на кнопку "Создать".
В принципе, после проведения описанных шагов можно считать настроенным и работающим. С его помощью можно отправлять и получать письма, но только в пределах своего почтового домена. То есть он позволяет сотрудникам обмениваться письмами друг с другом. Для того чтобы "научить" почтовый сервер отправлять почту в Интернет, нужно настроить так называемее коннекторы отправки. Это правила, определяющие действия сервера для писем, которые адресованы на "внешние" домены.
Итак, открываем в консоли пункт "Конфигурация организации->Транспортный сервер-концетратор" и переходим на вкладку "Соединители отправки". По умолчанию никаких элементов в нем нет. Выбираем в меню "Действие" пункт "Создать соединитель отправки". В открывшемся окне вводим имя нового коннектора, указываем наш почтовый домен и нажимаем на кнопку "Далее". На следующей странице надо ввести домены, для которых будет срабатывать данный коннектор. Понято, что в нашем случае письма должны уходить на любые адреса, а поэтому мы нажимаем на кнопку "Добавить" и в строке "Адресное пространство" вводим "звездочку". Переходим на следующую страницу и выбираем на ней пункт "Использовать MX-записи DNS для автоматической маршрутизации электронной почты". Все остальные шаги пропускаем с помощью кнопки "Далее" и для окончания создания настройки нажимаем на кнопку "Создать".
Следующий этап настройки необходим для того, чтобы смогу получать почту из Интернета, то есть от внешних почтовых адресов. Для его осуществления открываем в консоли пункт "Настройка серверов->Транспортный сервер-концентратор". По умолчанию при установке сервера создается два соединителя получения с именами Client и Default. Первый из них предназначен для получения почты от клиентов Outlook Express. И поскольку такая возможность вряд ли используется, его можно отключить.
Соединитель же Default требует дополнительной настройки. Дело в том, что по умолчанию в запрещен прием почты от анонимных серверов, то есть от серверов, не прошедших аутентификацию. К этой категории относятся все сервера в Интернете, именно поэтому почта с них и не поступает. Для исправления данной проблемы дважды кликаем мышкой по коннектору. При этом открывается окно его свойств. На вкладке "Общие" меняем доменное имя на реальное. После этого переходим на вкладку "Группы разрешений" и активируем чекбокс "Анонимные пользователи". Далее открываем вкладку "Проверка подлинности" и отключаем на ней чекбокс "Проверка подлинности Exchange Server".
Собственно говоря, на этом минимальную настройку можно считать завершенной. Сервер может принимать и отправлять корреспонденцию как внутри обслуживаемого домена, так и на внешние почтовые ящики.
Электронная почта - это не просто веб-сайт, на котором вы можете обмениваться сообщениями, такой как вконтакте или фейсбук. Это более сложный механизм, который работает с помощью собственного протокола. В сети почтовые клиенты отправляют письма на почтовый сервер, затем они уже направляются к адресату. Именно потому мы можем отправлять почту всем адресатам, независимо от их домена, mail, gmail, yandex и т д. На низком уровне эти сервисы работают по одному протоколу.
Чтобы отправить сообщение почтовый сервер использует программу MTA (Mail Transfer Agent).
MTA - это приложение, которое определяет маршруты и передает электронную почту от одного узла в сети к другому. Для этого используется протокол SMTP - Simple Mail Transfer Protocol или простой протокол передачи почты.
Для отправки почты используется почтовый клиент, он может отправлять и получать письма от почтового сервера и тоже использует SMTP, но это необязательно MTA.
MTA работают на сервере, а на компьютерах используются почтовые клиенты, такие как Mozilla Thunderbird, Evolution, Outlook и т д. В этой статье мы рассмотрим лучшие почтовые серверы Linux.
1. Sendmail
Почтовый сервер Sendmail теперь известный как Proofpoint, после того как Proofpoint Inc приобрела Sendmail Inc. На сегодняшний день - это самый популярный и самый старый MTA для операционной системы Linux. Если сравнивать Sendmail и более современные почтовые серверы, то здесь есть много ограничений.
Настройка сервера очень сложная, а система безопасности слабая, поэтому были разработаны альтернативные почтовые серверы. Но все же он достаточно хорошо справляется со своей задачей. Продолжим наш обзор почтовых серверов linux более современными вариантами.
2. Postfix
Postfix - это еще один кроссплатформенный, популярный почтовый сервер, который был разработан Wietse Zweitze Venema для собственного почтового сервера, когда он работал в научно-исследовательском отделе IBM.
Он составляет сильную конкуренцию для очень популярного Sendmail и может работать на Linux, MacOS, Solaris и других Unix подобных системах.
Здесь позаимствовано много свойств Sendmail, но есть и множество отличий и улучшений. Postfix быстрый, безопасный и легкий в настройке. Основные функции:
- Контроль пропускаемой почты;
- Поддержка нескольких протоколов;
- Поддержка баз данных;
- Поддержка почтовых ящиков;
- Поддержка изменений адресов;
3. Exim
Exim - это свободный почтовый сервер для Linux, разработанный также для Mac OS, Solaris и других Unix подобных систем. Здесь есть огромные возможности по маршрутизации почты, а также механизмы слежения за входящим потоком.
Основные возможности:
- Нет поддержки протоколов POP3 и IMAP;
- Поддерживает протоколы RFC 2821 SMTP и RFC 2033 LMTP для передачи сообщений электронной почты;
- Настройка списков доступа, сканирования содержимого, шифрования, контроля маршрутизации и многое другое;
- Отличная документация;
- Поддерживаются плагины, например Lemonade, который добавляет поддержку протоколов POP3 и IMAP.
4. Qmail
Qmail - еще один свободный и современный сервер отправки электронной почты с открытым исходным кодом. Он простой, надежный и эффективный, предлагает широкие возможности безопасности.
Можно сказать, что это небольшой, но функциональный MTA. Вот его основные функции:
- Работает не только на linux, но и на нескольких Unix подобных операционных системах, например: FreeBSD, Solaris, Mac OSX;
- Простая и быстрая установка;
- Автоматическая настройка хоста;
- Четкое разделение между адресами, файлами и программами;
- Полная поддержка адресных групп;
- Позволяет каждому пользователю управлять своими рассылками;
- Поддерживает VERP;
- Поддерживает автоматическое предотвращение зацикливание рассылки;
- Поддерживает менеджер списков рассылки ezmlm.
5. Mutt
Mutt - это небольшой, но мощный консольный клиент для Unix подобных систем. У него есть несколько интересных функций, несмотря на то что это всего лишь терминальный клиент:
- Разделение сообщения на потоки;
- поддержка IMAP и POP3;
- Поддержка нескольких форматов почтовых ящиков: MBox, MH, Maildir, MMDF;
- Поддержка статуса доставки;
- Поддержка PGP / MIME (RFC2015);
- Поддержка рассылок с помощью списков;
- Полный контроль над заголовком сообщения;
- Прост в установке и настройке;
- Активное сообщество разработчиков и пользователей;
6. Alpine
Alpine - представляет из себя простой в использовании и быстрый клиент электронной почты. Он основан на системе обмена сообщениями Pine и отлично подходит как для опытных, так и для начинающих пользователей. Для получения справки можно воспользоваться встроенным инструментов подсказок.
Выводы
В этой статье мы рассмотрели как передается электронная почта по сети, а также лучшие почтовые серверы Linux (MTA). Еще мы затронули тему консольных почтовых клиентов. Для обработки почты на Losst используется Postfix. А какой почтовый сервер используете вы? Какой считаете лучшим? Почему? Напишите в комментариях!
Серия заметок по настройке почтовой системы в отдельно взятом частном случае (на основе Postfix
, Dovecot
+ разное). Это главная, "родительская" страница, содержащая ссылки на весь список заметок (с кратким описанием).
Почту в таком формате - "с нуля", настраивал впервые. Ранее приходилось иметь с этим дело только эпизодически, "по касательной". Выбор в пользу определенной конфигурации сделан после перечитывания массы документации, статей и форумов. С учетом задачи, - поднять почтовую систему для быстрой и безотказной работы небольшого количества почтовых ящиков - выбрана такая сборка:
Postfix
+ Dovecot 2
+ MySQL
+ PostfixAdmin
+ Postgrey
+ Postscreen
+ ClamAV
+ DKIM
+ Sieve
+ RoundCube
(+плагины к RoundCube, включая парочку, написанных тут же, "с лету", своих экспериментальных). OC - Debian
.
Список всех пакетов для установки в Debian . Пример настройки всех основных конфигов всех элементов рассматриваемой здесь почтовой системы. Этот пример - всего лишь частный случай, для определенных конкретных задач.
Присутствует возможность получить конфиги настроенные под себя (можно указать свои данные и конфиги будут автоматически перестроены под них).
Краткое описание подопытной конфигурации. Список портов и интерфейсов.
Примеры прохождения письма по всей цепочке внутри системы:
- Что происходит с письмом, когда почта снаружи приходит на сервер. Все его "приключения" внутри почтовой системы.
- Отправка писем - общие сведения в контексте рассматриваемой конфигурации.
- и т.п.
Отправленные письма автоматически сохраняются клиентом MUA в "Отправленные". Но не все письма отправляются с использованием MUA. Таким образом часть отправленных теряется. Проблему можно решить, подключив принудительные BCC (скрытые копии) всех отправляемых, которые Postfix может автоматически пересылать в заданные ящики...
Вольный перевод избранных частей официальной документации Postfix. Разобраны некоторые механизмы работы, приведен список инструментов командной строки, рассмотрены параметры настроек (выборочно) конфигурационных файлов и пр.
Postfix - Milter, вольный перевод некоторых частей официальной документации + отсебятина. Фильтрация писем до попадания в очередь сообщений, на этапе SMTP-сессии, эмуляция SMTP для не-SMTP почты, и пр.
Фильтрация в Postfix уже после попадания письма в очередь. Вольный перевод некоторых частей официальной документации + отсебятина. Простые и сложные примеры, разные фильтры для разных доменов, и пр.
Использование свежей разработки Postfix, - блокировщика зомби Postscreen. Эмуляция SMTP-сессии для ботов вместо реального соединения с smtpd . Вольный перевод некоторых частей официальной документации + отсебятина.
Описание ключевых параметров конфигурации, состав Dovecot, терминология, настройка и т.п. Как происходит аутентификация, совместная работа с Postfix, с SQL-базой PostfixAdmin и т.п. Вольный перевод некоторых выборочных частей официальной документации + отсебятина.
Мой плагин New User Autosubscribe. Автоматическая привязка IMAP папок для нового пользователя. Плагин позволяет сразу связать нового пользователя с его IMAP-папками, без дополнительных манипуляций с настройками. Плагин кроме того позволяет задать порядок папок (например "Отправленные" после "Входящие", вместо "Черновики", как это обычно устанавливается по умолчанию).
Мой плагин View Username. Показывает имя текущего пользователя (адрес) рядом с логотипом. Интерфейс Roundcube в стандартном варианте не отображает текущего пользователя. Если ящиков несколько, то тяжело понять какой сейчас открыт. Плагин выводит имя пользователя (адрес) на основной странице.
Обзор нескольких автоответчиков (включая сторонние, в т.ч. и платные продукты). Особенности настройки, плюсы и минусы разных вариантов, сложности в конфигурировании, и механизмы реализации.
Важные определения
В этом разделе - ключевые определения, которые желательно понимать и помнить.
MTA (Mail T ransfer Agent) - почтовый сервер, отвечающий за пересылку почты. Общается с внешним миром, принимая и отправляя почту таким же как он сам по всей мировой сети. "В тылу" у него, в пределах родных доменов трудится MDA. MDA (Mail D elivery Agent) - рассовывает почту по ящикам, обычно внутри конкретного физического сервера - по каталогам (папкам) файловой системы, заданным настройками для этих целей. Кладовщик, расфасовщик и грузчик, привязанный к одному "складу". Кроме того, в описываемой здесь конфигурации выполняет роль вахтера-постового (проверяет пароль и дает "добро" или запрещает доставку почты). MUA (Mail U ser Agent) - конечная программа просмотра ящиков и управления почтой для юзеров. Например Outlook, Bat, Gmail, или его родственник - RoundCube.
MSA
(Mail Submission Agent) - "кусок" MTA, отнимающий у него функцию приема авторизованных SMTP-подключений перед отправкой почты.
MUA-клиент подключается на 587 порт MSA, проходит аутентификацию и все необходимые этапы (TLS и т.п.), и всю отправляемую почту отдает своему MTA. Такой механизм разделения обязанностей между 25 и 587 портом повышает надежность, оставляя на 25 порту только "чистые" MTA-функции.
SMTPd - Сервер, работающий по протоколу SMTP. Здесь - часть MTA. Основное назначение - принимать почту. Принимает ее только для того, чтобы тут же ее передать другим внутренним сервисам, обычно лишь ненадолго задерживая ее во временном внутреннем "отстойнике" - в очереди (в специальной папке на диске).
LMTPd - Тоже, что и SMTPd, но только "L" - это local (локальный). Сервер, работающий по протоколу LMTP. Здесь - часть MDA (+ клиент в MTA), - среднее звено из цепочки между менеджером очереди сообщений в Postfix-MTA и обработчиком почты в Dovecot-MDA/LDA. Здесь - работает над unix-сокетом (указывается полный путь к "файлу обмена"; на практике, в Postfix, настройка клиента lmtp может выглядеть например так: "lmtp:unix:/path/to/sock-file"). В некоторых задачах - конкурент LDA.
IMAPd - Сервер, работающий по протоколу IMAP. Здесь - часть MDA. Используется для доступа MUA в папки почтового ящика. Позволяет не хранить почту на клиенте, а работать с сервером в онлайн-режиме (этот его плюс, иногда бывает минусом).
SASL - это фреймворк (набор правил и механизмов) аутентификации. Работает ПОД протоколом (напр. LMTP), НАД соединением. В описываемой конфигурации используется в механизме передачи данных через unix-сокеты.
TLS/SSL - протоколы шифрования данных. В описываемой здесь конфигурации их использование обязательно для внешних подключений MUA.
MX - Прямая запись для почтового сервера (создается напр. на DNS регистратора домена). Примерно так: mail.domain.tld -> IP.IP.IP.IP
PTR - Обратная запись для сервера (настраивается со стороны подсети которой принадлежит IP сервер). Позволяет по IP определить связанное доменное имя. Важна для проверки спам-фильтрами. Примерно так: IP.IP.IP.IP -> mail.domain.tld
SPF - Запись в DNS перечисляющая сервера, которым разрешено отправлять почту от Вашего домена.
Postfix - MTA + дополнения. Говорят что он настолько крут, что автор за его взлом предлагает награду. Быстрый, надежный, простой в настройке, по сравнению с exim, но не такой как exim гибкий. Связка с Dovecot стала почти стандартом. Хорош для небольших почтовых систем (хотя недавно на глаза попался заголовок статьи о том, что - Microsoft выбирает Postfix:)). Дублирует некоторые функции Dovecot (которыми конечно можно не пользоваться).
Включает в себя (перечислено не всё):
PostfixAdmin - Web-интерфейс к Postfix. Настройку Postfix на нем сделать невозможно, а вот создать домены/ящики, редактировать их свойства - как раз его работа. Хранит информацию в БД-SQL, которую использует его "папа" - Postfix, и даже Dovecot. Позволяет создать частичную автоматизацию пост-событий добавления/удаления/редактирования ящиков/доменов, которая ограничена возможностями стандартных прав пользователя Apache (хотя и здесь есть варианты). Есть два входа: для интерфейса суперадмина - domain.tld/postfixadmin , и для пользователей (например, чтобы отредактировать свои автоответчики) - domain.tld/postfixadmin/users . Впрочем второе может быть небезопасно для системы в целом.
ViMbAdmin - Альтернатива PostfixAdmin. Мне не понравилось в нем то, что для работы требует Zend Framework, Doctrine, Smarty, - и всё это обязательно устаревших версий! Т.е. установив последние версии рискуешь нарваться на глюки в его работе.
Dovecot - MDA + дополнения. Гибкий, имеет высокое быстродействие. Упор в разработке делался на безопасность. За взлом так же назначена награда от автора. :) Дублирует некоторые функции Postfix.
Состоит и поддерживает (перечислено не всё):
Milter
(Mail Filter) - почтовый фильтр. Здесь - часть Postfix. Реализован как поддержка протокола Sendmail 8 Milter, и позволяет обрабатывать SMTP-события (CONNECT, DISCONNECT), SMTP-команды (HELO, MAIL FROM, и т.д.), а также почтовый контент (headers, body), - до
попадания письма в очередь
. Присутствует в двух ипостасях - для smtpd и для не smtp почты.
См. заметку
ACL
(Access Contfol List) - список контроля доступа. Часть Dovecot. Позволяет для виртуальных пользователей (пока только
виртуальных) задавать права в стиле системных Unix-пользователей на IMAP-папки. Удобен для блокирования прав на некоторые папки ящиков обычным пользователям, и, наоборот - для расширения прав на ящики master-пользователю. ACL есть двух типов: ACL и IMAP-ACL. ACL - создается и поддерживается администратором. IMAP-ACL - создается и поддерживается пользователями при использовании IMAP.
См. заметку
Sieve
- язык для написания правил предварительного анализа почты перед ее сохранением, и управлением дальнейшей судьбой сообщений. Работает в составе Dovecot. Позволяет задавать глобальные правила, а также пользовательские правила (ManageSieve), назначаемые себе пользователем самостоятельно.
См. заметку
Postgrey
- отсеивает входящую почту, путем проверки характера настойчивости отправляющих MTA. Не настойчивые - отбрасываются. Те, кто прошел проверку - попадают в белый список на какое-то продолжительное время (например месяц). В период экзамена учет ведется в "сером списке", после прохождения которого определяется дальнейшая судьба "экзаменуемых".
См. заметку .
DKIM
- цифровая подпись для исходящей почты. Не обязательный, но желательный элемент почтовой системы. Теоретически, - позволяет не только подтвердить связь отправителя с его доменом (через открытый ключ доступный прямо в DNS), но и то, что письмо не подвергалось изменениям в процессе доставки.
См. заметку .
ClamAV
- антивирус, проверяющий содержимое поступающих писем на предмет наличия в них вредоносного кода. Его антивирусные базы нужно постоянно пополнять.
См. заметку .
Spamassassin - "оценщик" угрозы спама. Программа, которая по массе критериев назначает для каждого письма баллы (очки), по которым можно определить вероятность, - является ли письмо спамом. Оценка производится еще в Postfix, а решение может принимать уже Dovecot, например с помощью Sieve перемещая письма с высоким баллом вероятности спама в соответствующую папку.
Как наладить работу почтового сервера, умеющего принимать и отправлять электронную корреспонденцию, бороться со спамом, взаимодействовать с клиентами? На самом деле, всё довольно просто.
Сегодня поговорим о почтовых серверах на Linux. Мы расскажем о том, как настроить сервер, о широко распространённом в интернете протоколе SMTP, а также о других протоколах, таких, как POP и IMAP. В итоге вы окажетесь обладателем полноценной системы для работы с электронной почтой.
Начнём с SMTP-сервера на Linux
SMTP-сервер
Протокол SMTP (Simple Mail Transfer Protocol) определяет правила пересылки почты между компьютерами, при этом, он не регламентирует правила хранения или визуализации сообщений. Это системно-независимый протокол, то есть, отправитель и получатель почты могут иметь различные ОС.
SMTP требует лишь чтобы сервер был способен отправлять обычный ASCII-текст другому серверу, используя порт 25 , который является стандартным портом SMTP.
Сегодня в большинство дистрибутивов Linux встроены две наиболее распространённых реализации SMTP: sendmail и postfix .
Sendmail - это популярный почтовый сервер с открытым кодом, используемый во многих дистрибутивах Linux. К его минусам можно отнести несколько усложнённую архитектуру и недостаточно высокий уровень защиты.
Postfix - система немного более продвинутая, при разработке этого почтового сервера особое внимание было уделено вопросам безопасности.
Компоненты почтовой службы
Типичная почтовая служба состоит из трёх основных компонентов:
Почтовый клиент , который ещё называют почтовым агентом (Mail User Agent, MUA). Именно с ним взаимодействует пользователь, например - это почтовые клиенты Thunderbird или Microsoft Outlook. Они позволяют пользователю читать почту и писать электронные письма.
Почтовый сервер , или агент пересылки сообщений (Mail Transport Agent, MTA). Этот компонент ответственен за перемещение электронной почты между системами, этим занимаются, например, Sendmail и Postfix.
Агент доставки электронной почты (Mail Delivery Agent, MDA). Этот компонент ответственен за распределение полученных сообщений по почтовым ящикам пользователей. Например, это Postfix-maildrop и Procmail.
Установка почтового сервера
Для настройки нашего сервера был выбран пакет Postfix. Это - популярный среди системных администраторов выбор, стандартный почтовый сервер в большинстве современных дистрибутивов Linux.
Начнём, проверив, установлен ли Postfix в системе:
$ rpm -qa | grep postfix
Если обнаружить Postfix не удалось, установить его, например, в дистрибутивах, основанных на Red Hat, можно с помощью такой команды:
$ dnf -y install postfix
Затем запустим службу postfix и организуем её автозапуск при загрузке системы:
$ systemctl start postfix $ systemctl enable postfix
В дистрибутивах, основанных на Debian, вроде Ubuntu, установить Postfix можно так:
$ apt-get -y install postfix
В ходе установки будет предложено выбрать конфигурацию сервера. Среди доступных четырёх вариантов (No configuration, Internet site, Internet with smarthost, Satellite system and Local only), мы выберем No configuration , что приведёт к созданию необходимых Postfix учётных записей пользователя и группы.
Настройка сервера
После установки почтового сервера Postfix, его нужно настроить. Большинство конфигурационных файлов находятся в директории /etc/postfix/ .
Главный конфигурационный файл Postfix можно найти по адресу /etc/postfix/main.cf . Здесь имеется множество параметров, рассмотрим самые важные.
myhostname
Этот параметр используется для указания имени хоста почтовой системы. Это - имя хоста в интернете, для которого Postfix будет получать почту.
Типичные примеры имён хостов почтовых серверов - mail.example.com и smtp.example.com.
Настраивают этот параметр так:
Myhostname = mail.example.com
mydomain
Эта настройка позволяет указать почтовый домен, обслуживанием которого занимается сервер, например - example.com:
Mydomain = example.com
myorigin
Этот параметр позволяет указать доменное имя, используемое в почте, отправленной с сервера. Присвоим ему значение $mydomain:
Myorigin = $mydomain
В настройках можно ссылаться на параметры, добавляя знак $ перед именем переменной.
mydestination
Этот параметр содержит список доменов, которые сервер Postfix будет считать конечными пунктами назначения для входящей почты.
В нашем случае здесь будут имя хоста сервера и доменное имя, но данный параметр может содержать и другие имена:
Mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain, www.$mydomain
mail_spool_directory
Почтовый сервер Postfix может использовать два режима доставки почты:
- Непосредственно в почтовый ящик пользователя.
- В центральную директорию очередей, при этом почта попадает в папку /var/spool/mail , где имеется файл для каждого пользователя.
mynetworks
Эта переменная - важный параметр настройки. Она позволяет указывать то, какие сервера могут пересылать почту через сервер Postfix.
Обычно разрешают передачу почты только от локальных клиентских компьютеров. В противном случае вашим сервером могут заинтересоваться спамеры.
Если неправильно настроить параметр mynetworks , спамеры вполне смогут воспользоваться сервером как ретранслятором почты. Это очень быстро приведёт к тому, что какая-нибудь система борьбы со спамом поместит его в один из чёрных списков, вроде DNS Blacklist (DNSBL), или Realtime Blackhole List (RBL). Как только сервер попадёт в подобный список, очень немногие смогут получить письма, отправленные с его помощью.
Вот как может выглядеть настройка этого параметра:
Mynetworks = 127.0.0.0/8, 192.168.1.0/24
smtpd_banner
Эта переменная позволяет задать ответ, который возвращает сервер при подключении клиентов.
Лучше всего поменять это значение так, чтобы оно не указывало на то, какой именно используется почтовый сервер.
inet_protocols
Эта переменная позволяет задавать версию IP, которую будет использовать Postfix при установлении соединений.
Inet_protocols = ipv4
Для того, чтобы изменения, внесённые в конфигурационные файлы, вступили в силу, службу Postfix надо перезагрузить:
$ systemctl reload postfix
На самом деле, в конфигурационном файле Postfix можно ещё много чего настроить. Например - управлять уровнями безопасности, задавать опции отладки и другие параметры.
Возможно, настраивая сервер, вводя значения параметров, вы допустите ошибку. Проверить правильность настроек можно с помощью такой команды:
$ postfix check
С помощью этого средства можно найти строку, в которой допущена ошибка, и исправить её.
Проверка очереди сообщений
Иногда очередь почтовых сообщений переполняется. Это может быть вызвано множеством факторов, вроде сетевой ошибки, или по любой причине, способной задержать отправку почты.
Для того чтобы проверить очередь сообщений, воспользуйтесь такой командой:
Она выведет сообщения, находящиеся в очереди. Если очередь переполнена и на отправку сообщения уходит по несколько часов, можно инициировать процесс отправки сообщений такой командой:
$ postfix flush
Если теперь проверить очередь, она должна оказаться пустой.
Тестирование почтового сервера
После настройки сервера на Postfix, его надо протестировать. Первый шаг в тестировании - использование локального почтового клиента, вроде mailx или mail (это - символьная ссылка на mailx).
Попробуйте отправить письмо кому-нибудь, чей адрес обслуживается на том же сервере, а если это сработает - отправьте письмо на адрес, который находится где-нибудь ещё.
$ echo "This is message body" | mailx -s "This is Subject" -r "likegeeks
Затем попробуйте принять письмо, отправленное с другого сервера.
Если вы столкнётесь с проблемами - проверьте логи. В дистрибутивах, основанных на Red Hat, то, что вам надо, можно найти по адресу /var/log/maillog . В Debian-дистрибутивах нужный файл можно найти здесь: /var/log/mail.log , или же по пути, заданному в настройках rsyslogd. Вот , если нужно, материал о логировании в Linux, и о том, как настраивать rsyslogd.
Если проблемы всё ещё не решены, попытайтесь проверить настройки DNS, взгляните на MX-записи, используя сетевые команды Linux .
Борьба со спамом
Существует немало решений для выявления среди почтовых сообщений нежелательных писем - спама. Одно из лучших - проект с открытым исходным кодом SpamAssassin.
Установить его можно так:
$ dnf -y install spamassassin
Затем надо запустить соответствующую службу и добавить её в автозагрузку:
$ systemctl start spamassassin $ systemctl enable spamassassin
После установки SpamAssassin, взгляните на его настройки в файле /etc/mail/spamassassin/local.cf .
SpamAssassin умеет отличать обычные письма от спама, основываясь на результатах исследования корреспонденции с помощью различных скриптов. Результаты проверок оцениваются в баллах.
Чем выше итоговая оценка письма - тем выше и вероятность того, что оно является спамом.
В конфигурационном файле параметр required_hits 5 указывает на то, что SpamAssassin пометит сообщение как спам, если его рейтинг составляет 5 или выше.
Параметр report_safe принимает значения 0, 1, или 2. Установка его в 0 означает, что письма, помеченные как спам, пересылаются в исходном виде, но их заголовок модифицируется с указанием на то, что они являются спамом.
Если этот параметр установлен в значение 1 или 2, SpamAssassin сгенерирует отчёт и отправит его получателю.
Разница между значениями 1 и 2 заключается в том, что в первом случае спам-сообщение будет закодировано в формате message/rfc822, а во втором - в формате text/plain.
Кодирование text/plain безопаснее, так как некоторые почтовые клиенты исполняют сообщения формата message/rfc822, что при определённых условиях может привести к заражению клиентского компьютера вирусом.
После установки и настройки SpamAssassin, нужно интегрировать его с Postfix. Пожалуй, легче всего это сделать с помощью использования procmail.
Создадим файл /etc/procmailrc и добавим в него следующее:
:0 hbfw | /usr/bin/spamc
Затем отредактируем файл настроек Postfix - /etc/postfix/main.cf , задав параметр mailbox_command следующим образом:
Mailbox_command = /usr/bin/procmail
И, наконец, перезапустим службы Postfix и SpamAssassin:
$ systemctl restart spamassassin
Надо сказать, что SpamAssassin не всегда распознаёт спам, что ведёт к наполнению почтовых ящиков ненужными письмами.
К счастью, сообщения, прежде чем они достигнут почтового сервера на Postfix, можно фильтровать, используя Realtime Blackhole Lists (RBLs). Это снизит нагрузку на почтовый сервер и поможет сохранить его в чистоте.
Откройте конфигурационный файл Postfix /etc/postfix/main.cf , измените параметр smtpd_recipient_restrictions и настройте другие параметры следующим образом:
Strict_rfc821_envelopes = yes relay_domains_reject_code = 554 unknown_address_reject_code = 554 unknown_client_reject_code = 554 unknown_hostname_reject_code = 554 unknown_local_recipient_reject_code = 554 unknown_relay_recipient_reject_code = 554 unverified_recipient_reject_code = 554 smtpd_recipient_restrictions = reject_invalid_hostname, reject_unknown_recipient_domain, reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_rbl_client dsn.rfc-ignorant.org, reject_rbl_client dul.dnsbl.sorbs.net, reject_rbl_client list.dsbl.org, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.sorbs.net, permit
Затем перезагрузите сервер Postfix:
$ systemctl restart postfix
Вышеприведённые чёрные списки используются чаще всего, но вы можете найти и другие подобные сервера.
Защита SMTP-соединения
Лучше всего передавать SMTP-трафик по TLS для защиты его от атаки через посредника.
Для начала нужно сгенерировать сертификат и ключ с использованием команды openssl
:
$ openssl genrsa -des3 -out mail.key $ openssl req -new -key mail.key -out mail.csr $ cp mail.key mail.key.original $ openssl rsa -in mail.key.original -out mail_secure.key $ openssl x509 -req -days 365 -in mail_secure.csr -signkey mail_secure.key -out mail_secure.crt $ cp mail_secure.crt /etc/postfix/ $ cp mail_secure.key /etc/postfix/
Затем надо добавить в файл настроек Postfix /etc/postfix/main.cf следующее:
Smtpd_use_tls = yes smtpd_tls_cert_file = /etc/postfix/mail_secure.crt smtpd_tls_key_file = /etc/postfix/mail_secure.key smtp_tls_security_level = may
И, наконец, нужно перезагрузить службу Postfix:
$ systemctl restart postfix
Теперь, при подключении клиента к серверу, нужно выбрать TLS. Тут вы, при первой отправке почты после изменении настроек, увидите предупреждение, так как сертификат не подписан.
Основы протоколов POP3 и IMAP
Итак, мы наладили процесс отправки и получения электронных писем по SMTP, но на этом организация полноценной почтовой службы не заканчивается. Рассмотрим следующие ситуации:
- Пользователям нужны локальные копии электронных писем для их просмотра без подключения к интернету.
- Почтовые клиенты пользователей не поддерживают формат файлов mbox. Это - простой текстовый формат, который могут читать многие консольные почтовые клиенты, вроде mailx и mutt.
- Пользователи не могут постоянно пользоваться быстрым подключением для доступа к файловой системе сервера и для работы с mbox-файлами, в итоге нужно сделать локальную копию для работы с ними без подключения к сети.
- Ограничения безопасности указывают на то, чтобы у пользователей не было прямого доступа к шлюзу электронной почты, например, не допускается работа с общедоступными папками очередей сообщений.
Для того, чтобы учесть все эти особые случаи, были созданы другие протоколы. Их можно описать как протоколы для доступа к электронной почте.
Сильнее всего распространены два популярных протокола доступа к почте - POP (Post Office Protocol), и IMAP (Internet Message Access Protocol).
В основе POP лежит очень простая идея. Центральный почтовый сервер на Linux всё время подключён к интернету, он получает и сохраняет письма для всех пользователей. Все полученные письма остаются в очереди на сервере до тех пор, пока пользователь не подключится к нему по протоколу POP и не загрузит письма.
Когда пользователь хочет отправить письмо, почтовый клиент обычно передаёт его через центральный сервер по SMTP.
Обратите внимание на то, что SMTP-сервер и POP-сервер могут без проблем работать на одной и той же машине. В наши дни это - обычная практика.
Возможности, вроде хранения исходных экземпляров писем пользователей на сервере с хранением на клиенте лишь кэшированных копий, в POP отсутствуют. Это привело к разработке протокола IMAP.
Используя IMAP, сервер будет поддерживать три режима доступа к почте:
- Онлайн-режим похож на прямой доступ к файловой системе на почтовом сервере.
- Оффлайн-режим похож на то, как работает POP, когда клиент отключается от сети после получения своих писем. В этом режиме сервер обычно не хранит копии писем.
- Автономный режим позволяет пользователям хранить кэшированные копии своих писем, а сервер так же хранит копии этих писем.
Существуют различные реализации IMAP и POP, в этой сфере весьма популярен сервер Dovecot, который позволяет работать с обоими протоколами.
Сервера POP3, POP3S, IMAP, и IMAPS слушают, соответственно, порты 110, 995, 143, и 993.
Установка Dovecot
Большинство дистрибутивов Linux содержат предустановленный Dovecot, однако, его можно установить и самостоятельно. В системах, основанных на Red Hat, это делается так:
$ dnf -y install dovecot
В системах, основанных на Debian, функционал IMAP и POP3 предоставляются в двух разных пакетах:
$ apt-get -y install dovecot-imapd dovecot-pop3d
Тут вам предложат создать самозаверенный сертификат для работы с IMAP и POP3 по SSL/TLS. Ответьте на вопрос yes и, при появлении соответствующего запроса, введите имя хоста вашей системы.
Затем можно запустить соответствующую службу и добавить её в автозагрузку:
$ systemctl start dovecot $ systemctl enable dovecot
Настройка Dovecot
Главный файл настроек Dovecot расположен по адресу /etc/dovecot/dovecot.conf . В некоторых дистрибутивах Linux этот файл размещается в папке /etc/dovecot/conf.d/ и, для подключения файлов настроек, используется директива include.
Вот некоторые из параметров, используемых для настройки Dovecot.
protocols : протоколы, которые надо поддерживать.
Protocols = imap pop3 lmtp
Здесь lmtp означает Local Mail Transfer Protocol. listen : IP-адрес, который будет слушать сервер.
Listen = *, ::
Здесь звёздочка означает все интерфейсы IPv4, двойное двоеточие означает все интерфейсы IPv6.
userdb : база данных пользователей для аутентификации.
Userdb { driver = pam }
mail_location : это запись в файле /etc/dovecot/conf.d/10-mail.conf . Выглядит она так:
Mail_location = mbox:~/mail:INBOX=/var/mail/%u
Dovecot поставляется со стандартными SSL-сертификатами и файлами ключей, которые используются в файле /etc/dovecot/conf.d/10-ssl.conf .
Ssl_cert =
Когда пользователь пытается подключиться к Dovecot, сервер покажет предупреждение, так как сертификаты не подписаны. Если нужно, подписанные сертификаты можно приобрести в подходящем центре сертификации.
Не забудьте открыть порты сервера Dovecot на файрволе.
$ iptables -A INPUT -p tcp --dport 110 -j ACCEPT $ iptables -A INPUT -p tcp --dport 995 -j ACCEPT $ iptables -A INPUT -p tcp --dport 143 -j ACCEPT $ iptables -A INPUT -p tcp --dport 993 -j ACCEPT
И про SMTP-порт не забудьте.
$ iptables -A INPUT -p tcp --dport 25 -j ACCEPT
Затем сохраните правила. Если хотите освежить в памяти особенности работы с iptables в Linux, взгляните на этот материал.
Или, если вы используете firewalld, можете поступить так:
$ firewall-cmd --permanent --add-port=110/tcp --add-port=995 $ firewall-cmd --permanent --add-port=143/tcp --add-port=993 $ firewall-cmd --reload
А, если что-то пошло не так, посмотрите лог-файлы /var/log/messages , /var/log/maillog, и /var/log/mail.log .
Итоги
Теперь вы можете настроить почтовую службу на своём Linux-сервере. Как видите, много времени это не займёт. Конечно, у рассмотренных здесь пакетов, вроде Postfix, уйма настроек, но если вы освоили описанную здесь последовательность действий и разобрались с основами, то всё, что вам понадобится, несложно будет выяснить из документации.
Уважаемые читатели! А как вы настраиваете почтовые сервера на Linux?
Представляет собой bash-скрипт установки программного обеспечения, необходимого для развёртывания сервера электронной почты. В него входят следующие компоненты:
- Dovecot - POP3 и IMAP службы;
- Postfix - SMTP-сервер;
- Cluebringer - служба политик сервера Postfix;
- SpamAssassin - фильтр спама;
- ClamAV - антивирус;
- Amavisd - интерфейс между агентом пересылки сообщений - MTA, антивирусным сканером (ClamAV) и фильтром антиспама (SpamAssassin);
- Fail2ban - программа сканирования лог-файлы и блокирующая подбор паролей к различным службам;
- RoundCube - web-интерфейс для входа в почтовый ящик и управления письмами и контактами;
- iRedAdmin - web-интерфейс для управления пользователями, почтовыми ящиками и почтовыми доменами.
iRedMail также имеет возможность выбора и установки вспомогательных служб для работы вышеперечисленных компонентов (web-сервер Apache, PHP, базы данных MySQL, PostgreSQL или служба каталогов OpenLDAP). В зависимости от выбора iRedMail также установит необходимые компоненты для управления через web-интерфейс (phpMyAdmin, phpPgAdmin или phpLDAPadmin).
В этой статье рассмотрим установки почтового сервера с помощью iRedMail 0.8.6 (на момент написания статьи - последняя версия) на операционной системе Ubuntu Server 13.10
При установки операционной системы необходимо задать имя хоста вида mail.localserver56.ru (зависит от доменного имени)
Перед тем, как выполнить все действия, необходимо, чтобы была настроена сеть, и желательно установлен Midnight Commander. Первичные настройки после инсталляции можно посмотреть .
Устанавливать почтовик необходимо только на свежеустановленном и обновлённом сервере. Также важно учесть, что для внедрения сервера требуется соответствующие A и MX-записи на DNS-сервере.
На этом скриншоте показан пример настройки DNS-зоны localserver56.ru (для этой статьи).
Приступим к установке.
Обновляем систему:
sudo apt-get upgrade
sudo apt-get update
Открываем файл /etc/hosts и в нём пропишем:
127.0.0.1 mail.localserver56.ru mail localhost
Сохраняем и закрываем файл.
Создадим папку install в папке /tmp
sudo mkdir /tmp/install
перейдём в неё
и закачаем в неё архив iRedMail-0.8.6.tar.bz2
sudo wget https://bitbucket.org/zhb/iredmail/downloads/iRedMail-0.8.6.tar.bz2
распаковываем архив
sudo tar xjf iRedMail-0.8.6.tar.bz2
переходим в папку распакованную iRedMail-0.8.6
и в ней запускаем скрипт установки и настройки
Появится диалоговое окно приветствия
Жмём Yes и увидим окно выбора папки, где будет храниться почта.
Оставляем по умолчанию и жмём Next . Предлагается выбрать способ хранения учётных записей.
Выбираем MySQL и жмём Next . После этого необходимо создать пароль администратора MySQL.
Вводим пароль и жмём Next . Затем необходимо ввести первое доменное имя для почты.
Вводим и жмём Next . После этого необходимо создать пароль администратора домена для входа в web-интерфейс управления.
Вводим и жмём Next . Появится окно с выбором устанавливаемых компонентов.
Оставляем всё по умолчанию (устанавливаться у нас будут все компоненты) и жмём Next . Появится вопрос необходимо ли продолжать установку
Жмём клавишу y .
Скрипт начал устанавливать всё необходимое программное обеспечение для организации почтового сервера.
Жмём Y .
После этого появится вопрос о рестарте файрволла и SSHD.
Жмём Y .
Всё, готово! Перезагружаем машину:
и на другой машине проверим:
Запустим почтовый клиент и настроим учётную запись по умолчанию postmaster (электронная почта [email protected]):
На этом скриншоте показано, как настраивается почтовый клиент Mozilla Thunderbird. Он поймал все настройки автоматически и готов к использованию сервера.
P.S.: команда обновления антивируса ClamAV:
Приятного использования:-).
Если Вам помогла статья, вы можете отблагодарить автора:
перечислить на WMR кошелёк (WebMoney): R301575071888
перечислить на Яндекс.Кошелёк: 410011003938168
или на PayPal:
