डेबियन + पोस्टफिक्स + डवकोट + मल्टीडोमैन + एसएसएल + आईपीवी 6 + ओपनवीपीएन + मल्टी-इंटरफेस + स्पैमासैसाइन-लर्न + बिंद

यह लेख एक आधुनिक मेल सर्वर स्थापित करने के तरीके के बारे में है।
उपसर्ग + कबूतर। एसपीएफ + डीकेआईएम + आरडीएनएस। IPv6 के साथ।
TLS एन्क्रिप्शन के साथ। कई डोमेन के लिए समर्थन के साथ - एक वास्तविक एसएसएल प्रमाणपत्र के साथ भाग।
अन्य मेल सर्वर पर एंटी-स्पैम सुरक्षा और उच्च एंटी-स्पैम रेटिंग के साथ।
कई भौतिक इंटरफेस के लिए समर्थन के साथ।
OpenVPN के साथ, जो IPv4 से जुड़ता है, और जो IPv6 देता है।

यदि आप इन सभी तकनीकों को सीखना नहीं चाहते हैं, लेकिन ऐसे सर्वर को कॉन्फ़िगर करना चाहते हैं, तो यह लेख आपके लिए है।

लेख में हर विवरण की व्याख्या करने का कोई प्रयास नहीं किया गया है। स्पष्टीकरण उस चीज़ पर जाता है जो मानक रूप से कॉन्फ़िगर नहीं की गई है या उपभोक्ता के दृष्टिकोण से महत्वपूर्ण है।

एक मेल सर्वर स्थापित करने की प्रेरणा मेरा पुराना सपना है। यह मूर्खतापूर्ण लग सकता है, लेकिन IMHO, यह आपके पसंदीदा ब्रांड की नई कार के सपने देखने से कहीं बेहतर है।

IPv6 को कॉन्फ़िगर करने की प्रेरणा दो है। आईटी पेशेवरों को जीवित रहने के लिए लगातार नई तकनीकों को सीखने की जरूरत है। मैं सेंसरशिप के खिलाफ लड़ाई में अपना मामूली योगदान देना चाहूंगा।

OpenVPN की स्थापना के लिए प्रेरणा केवल IPv6 के लिए स्थानीय मशीन पर काम करना है।
कई भौतिक इंटरफेस स्थापित करने की प्रेरणा यह है कि मेरे सर्वर पर एक इंटरफ़ेस "धीमा लेकिन असीमित" है और दूसरा "तेज़, लेकिन एक टैरिफ के साथ" है।

बिंद सेटिंग्स स्थापित करने के लिए प्रेरणा यह है कि मेरा प्रदाता अस्थिर DNS सर्वर प्रदान करता है, और Google क्रैश भी हो जाता है। मुझे व्यक्तिगत उपयोग के लिए एक स्थिर DNS सर्वर चाहिए।

एक लेख लिखने के लिए प्रेरणा - 10 महीने पहले एक मसौदा लिखा गया था, और मैंने पहले ही दो बार देखा है। यदि लेखक को भी नियमित रूप से इसकी आवश्यकता है, तो इस बात की अधिक संभावना है कि दूसरों को इसकी आवश्यकता होगी।

मेल सर्वर के लिए कोई सार्वभौमिक समाधान नहीं है। लेकिन मैं ऐसा कुछ लिखने की कोशिश करूंगा कि "क्या यह ऐसा है और फिर, जब सब कुछ काम करता है जैसा कि इसे करना चाहिए - अतिरिक्त बाहर फेंक दें"।

Tech.ru से एक Colocation सर्वर है। OVH, Hetzner, AWS के साथ तुलना करना संभव है। इस समस्या को हल करने के लिए, Tech.ru के साथ सहयोग अधिक प्रभावी होगा।

डेबियन 9 सर्वर पर स्थापित है।

सर्वर पर 2 इंटरफ़ेस `eno1` और` eno2` हैं। पहला असीमित है, और दूसरा क्रमशः तेज है।

इंटरफ़ेस `eno1` और इंटरफ़ेस` eno1` पर XX.XX.XX.X0 और XX.XX.XX.X1 और XX.XX.XX.X2 इंटरफ़ेस पर 3 स्थिर आईपी पते हैं।

वहाँ है XXXX: XXXX: XXXX: XXXX :: / 64 IPv6 पतों का एक पूल जो कि इंटरफ़ेस `eno1` को सौंपा गया है और इससे XXXX: XXXX: XXXX: XXXX: 1: 2 :: / 96 मेरे अनुरोध पर` eno2` को सौंपा गया है।

3 डोमेन `domain1.com`,` domain2.com`, `domain3.com` हैं। `Domain1.com` और` domain3.com` के लिए एक SSL प्रमाणपत्र है।

एक Google खाता है जिसमें आप मेलबॉक्स को `vasya.pupkin @ domain1.com` (मेल प्राप्त करना और सीधे जीमेल इंटरफेस से मेल भेजना) को बाँधना चाहते हैं।
एक मेल होना चाहिए `समर्थन @ domain2.com`, उस मेल की एक प्रति जिसमें से मैं अपने जीमेल में देखना चाहता हूं। और वेब इंटरफेस के माध्यम से 'support @ domain2.com' की ओर से कुछ भेजना शायद ही संभव हो।

एक मेलबॉक्स होना चाहिए `ivanov @ domain3.com`, जो इवानोव अपने iPhone से उपयोग करेगा।

भेजे गए पत्रों को सभी मौजूदा एंटी-स्पैम आवश्यकताओं का पालन करना चाहिए।
सार्वजनिक नेटवर्क पर प्रदत्त एन्क्रिप्शन का उच्चतम स्तर होना चाहिए।
ईमेल भेजने और प्राप्त करने दोनों के लिए IPv6 समर्थन होना चाहिए।
एक SpamAssassin होना चाहिए जो ईमेल को कभी डिलीट नहीं करेगा। और यह या तो उछाल या छोड़ देगा या स्पैम फ़ोल्डर को IMAP में भेज देगा।
SpamAssassin ऑटो-लर्निंग को कॉन्फ़िगर किया जाना चाहिए: यदि मैं पत्र को Spam फ़ोल्डर में स्थानांतरित करता हूं, तो मैं इससे सीखूंगा; यदि मैं पत्र को स्पैम फ़ोल्डर से स्थानांतरित करता हूं, तो मैं इससे सीखूंगा। SpamAssassin सीखने के परिणाम - स्पैम फ़ोल्डर में संदेश की पहुंच को प्रभावित करना चाहिए।
Php स्क्रिप्ट इस सर्वर पर किसी भी डोमेन की ओर से मेल भेजने में सक्षम होनी चाहिए।
IPv6 का उपयोग उस क्लाइंट पर करने के लिए एक Openvpn सेवा होनी चाहिए जिसमें IPv6 नहीं है।

सबसे पहले आपको IPv6 सहित इंटरफेस और रूटिंग को कॉन्फ़िगर करना होगा।
फिर आपको ओपनवीपीएन को कॉन्फ़िगर करना होगा, जो आईपीवी 4 के माध्यम से कनेक्ट होगा और क्लाइंट को एक स्थिर-वास्तविक आईपीवी 6 पता प्रदान करेगा। इस क्लाइंट के पास सर्वर पर सभी IPv6 सेवाओं तक पहुंच होगी और इंटरनेट पर किसी भी IPv6 संसाधनों तक पहुंच होगी।
फिर पत्र + एसपीएफ + डीकेआईएम + आरडीएनएस और अन्य समान trifles भेजने के लिए पोस्टफिक्स को कॉन्फ़िगर करना आवश्यक होगा।
फिर आपको Dovecot को कॉन्फ़िगर करना होगा और Multidomain को कॉन्फ़िगर करना होगा।
फिर आपको SpamAssassin को कॉन्फ़िगर करने और प्रशिक्षण को कॉन्फ़िगर करने की आवश्यकता होगी।
अंत में, बिंद स्थापित करें।

============== मल्टी-इंटरफेस ==============

इंटरफेस को कॉन्फ़िगर करने के लिए, आपको इसे "/ etc / नेटवर्क / इंटरफेस" में पंजीकृत करना होगा।

# The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug eno1 iface eno1 inet static address XX.XX.XX.X0/24 gateway XX.XX.XX.1 dns-nameservers 127.0.0.1 213.248.1.6 post-up ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t post-up ip route add default via XX.XX.XX.1 table eno1t post-up ip rule add table eno1t from XX.XX.XX.X0 post-up ip rule add table eno1t to XX.XX.XX.X0 auto eno1:1 iface eno1:1 inet static address XX.XX.XX.X1 netmask 255.255.255.0 post-up ip rule add table eno1t from XX.XX.XX.X1 post-up ip rule add table eno1t to XX.XX.XX.X1 post-up ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t auto eno1:2 iface eno1:2 inet static address XX.XX.XX.X2 netmask 255.255.255.0 post-up ip rule add table eno1t from XX.XX.XX.X2 post-up ip rule add table eno1t to XX.XX.XX.X2 iface eno1 inet6 static address XXXX:XXXX:XXXX:XXXX:1:1::/64 gateway XXXX:XXXX:XXXX:XXXX::1 up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:1:1:2/64 dev $IFACE # The secondary network interface allow-hotplug eno2 iface eno2 inet static address XX.XX.XX.X5 netmask 255.255.255.0 post-up ip route add XX.XX.XX.0/24 dev eno2 src XX.XX.XX.X5 table eno2t post-up ip route add default via XX.XX.XX.1 table eno2t post-up ip rule add table eno2t from XX.XX.XX.X5 post-up ip rule add table eno2t to XX.XX.XX.X5 post-up ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t post-down ip route del 10.8.0.0/24 dev tun0 src XX.XX.XX.X5 table eno2t iface eno2 inet6 static address XXXX:XXXX:XXXX:XXXX:1:2::/96 up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE up ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:1/64 dev $IFACE down ip -6 addr del XXXX:XXXX:XXXX:XXXX:1:2:1:2/64 dev $IFACE # OpenVPN network iface tun0 inet6 static address XXXX:XXXX:XXXX:XXXX:1:3::/80 

इन सेटिंग्स को tech.ru में किसी भी सर्वर पर (समर्थन के साथ थोड़ा समन्वय के साथ) लागू किया जा सकता है और यह तुरंत काम करना चाहिए जैसा कि यह चाहिए।

यदि Hetzner, OVH - वहाँ प्रेमिका के लिए समान चीजें स्थापित करने का अनुभव। जटिल।

eno1 नेटवर्क कार्ड # 1 (धीमा लेकिन असीमित) का नाम है।
eno2 नेटवर्क कार्ड # 2 (तेजी से, लेकिन एक टैरिफ के साथ) का नाम है।
tun0 OpenVPN से वर्चुअल नेटवर्क कार्ड का नाम है।
XX.XX.XX.X0 - env1 पर IPv4 # 1।
XX.XX.XX.X1 - eno1 पर IPv4 # 2।
XX.XX.XX.X2 - env1 पर IPv4 # 3।
XX.XX.XX.X5 - eno2 पर IPv4 # 1।
XX.XX.XX.1 - IPv4 गेटवे।
XXXX: XXXX: XXXX: XXXX :: / 64 - IPv6 पूरे सर्वर पर।
XXXX: XXXX: XXXX: XXXX: 1: 2 :: / 96 - eno2 के लिए IPv6, बाकी सब कुछ बाहर से eno1 में जाता है।
XXXX: XXXX: XXXX: XXXX :: 1 - IPv6 गेटवे (यह ध्यान देने योग्य है कि आप यहां एक दोस्त बनाने की आवश्यकता कर सकते हैं / IPv6 स्विच इंगित करें)।
dns-nameservers - 127.0.0.1 निर्दिष्ट हैं (क्योंकि स्थानीय रूप से बाइंड स्थापित है) और 213.248.1.6 (यह tech.ru से है)।

"तालिका eno1t" और "तालिका eno2t" - इन मार्ग-नियमों का अर्थ यह है कि eno1 के माध्यम से आने वाला यातायात -> इसके माध्यम से जाता है, और eno2 -> के माध्यम से आने वाला यातायात इसके माध्यम से जाता है। और सर्वर-आरंभ किए गए कनेक्शन भी eno1 से गुजरेंगे।

 ip route add default via XX.XX.XX.1 table eno1t 

इस कमांड के साथ हम यह निर्धारित करते हैं कि "टेबल एनो 1 टी" के साथ किसी भी नियम के तहत आने वाला कोई भी समझ से बाहर का ट्रैफिक -> एनो 1 इंटरफेस के लिए आगे।

 ip route add XX.XX.XX.0/24 dev eno1 src XX.XX.XX.X0 table eno1t 

इस कमांड से हम यह निर्धारित करते हैं कि किसी भी सर्वर द्वारा शुरू किए गए ट्रैफ़िक को eno1 इंटरफ़ेस पर निर्देशित करें

 ip rule add table eno1t from XX.XX.XX.X0 ip rule add table eno1t to XX.XX.XX.X0 

इस कमांड के साथ, हम ट्रैफिक को चिन्हित करने के नियम निर्धारित करते हैं।

 auto eno1:2 iface eno1:2 inet static address XX.XX.XX.X2 netmask 255.255.255.0 post-up ip rule add table eno1t from XX.XX.XX.X2 post-up ip rule add table eno1t to XX.XX.XX.X2 

यह ब्लॉक eno1 इंटरफ़ेस के लिए दूसरे IPv4 को परिभाषित करता है।

 ip route add 10.8.0.0/24 dev tun0 src XX.XX.XX.X1 table eno1t 

इस कमांड के साथ हम OpenVPN क्लाइंट से XX.XX.XX.X0 को छोड़कर स्थानीय IPv4 का रूट सेट करते हैं।
यह आदेश सभी IPv4 के लिए पर्याप्त क्यों है - मुझे अभी भी समझ नहीं आया है।

 iface eno1 inet6 static address XXXX:XXXX:XXXX:XXXX:1:1::/64 gateway XXXX:XXXX:XXXX:XXXX::1 

यह हम इंटरफ़ेस के लिए पता सेट करते हैं। सर्वर इसे "आउटगोइंग" पते के रूप में उपयोग करेगा। अब उपयोग नहीं किया जाएगा।

यह क्यों इंगित किया गया है ": 1: 1 ::" इतना जटिल? उस OpenVPN ने इसके लिए सही और केवल काम किया। इस पर और बाद में।

प्रवेश द्वार के विषय पर - कि यह कैसे काम करता है। लेकिन सही तरीके से - यहां आपको आईपीवी 6 स्विच को निर्दिष्ट करना होगा जिसमें सर्वर जुड़ा हुआ है।

हालांकि, किसी कारण से, अगर मैं ऐसा करता हूं तो आईपीवी 6 काम करना बंद कर देता है। शायद यह कुछ tech.ru मुसीबतों है।

 ip -6 addr add XXXX:XXXX:XXXX:XXXX:1:1:1:1/64 dev $IFACE 

यह इंटरफ़ेस में IPv6 पते जोड़ रहा है। यदि आपको सौ पते की आवश्यकता है, तो इसका मतलब है कि इस फ़ाइल में सौ लाइनें हैं।

 iface eno1 inet6 static address XXXX:XXXX:XXXX:XXXX:1:1::/64 ... iface eno2 inet6 static address XXXX:XXXX:XXXX:XXXX:1:2::/96 ... iface tun0 inet6 static address XXXX:XXXX:XXXX:XXXX:1:3::/80 

सभी इंटरफेस के पते और सबनेट को चिह्नित किया ताकि यह स्पष्ट हो।
eno1 - यह "/ 64" होना चाहिए - क्योंकि यह हमारे पते का पूरा पूल है।
tun0 - सबनेट eno1 से बड़ा होना चाहिए। अन्यथा, आप OpenVPN क्लाइंट के लिए IPv6 गेटवे कॉन्फ़िगर नहीं कर सकते।
eno2 - सबनेट ट्यून 0 से बड़ा होना चाहिए। अन्यथा, OpenVPN क्लाइंट स्थानीय IPv6 पते प्राप्त नहीं कर पाएंगे।
स्पष्टता के लिए, मैंने सबनेट चरण 16 को चुना, लेकिन आप चाहें तो "1" कदम भी उठा सकते हैं।
तदनुसार, 64 + 16 = 80, और 80 + 16 = 96।

और भी अधिक स्पष्टता के लिए:
XXXX: XXXX: XXXX: XXXX: 1: 1: YYYY: YYYY - ये ऐसे पते हैं जिन्हें eno1 इंटरफ़ेस पर विशिष्ट साइटों या सेवाओं को सौंपा जाना चाहिए।
XXXX: XXXX: XXXX: XXXX: 1: 2: YYYY: YYYY - ये ऐसे पते हैं जिन्हें eno2 इंटरफ़ेस पर विशिष्ट साइटों या सेवाओं को सौंपा जाना चाहिए।
XXXX: XXXX: XXXX: XXXX: 1: 3: YYYY: YYYY वे पते हैं जिन्हें OpenVPN ग्राहकों को सौंपा जाना चाहिए या OpenVPN सेवा पतों के रूप में उपयोग किया जाना चाहिए।

नेटवर्क को कॉन्फ़िगर करने के लिए - सर्वर को पुनरारंभ करना संभव होना चाहिए।
IPv4 परिवर्तन निष्पादन के दौरान उठाए जाते हैं (स्क्रीन में इसे लपेटना सुनिश्चित करें - अन्यथा यह कमांड बस सर्वर पर नेटवर्क को छोड़ देगा):

 /etc/init.d/networking restart 

फ़ाइल में "/ etc / iproute2 / rt_tables" अंत में जोड़ें:

 100 eno1t 101 eno2t 

इसके बिना, आप फ़ाइल में कस्टम टेबल का उपयोग नहीं कर सकते "/ etc / नेटवर्क / इंटरफेस"।
संख्या अद्वितीय और 65535 से कम होनी चाहिए।

IPv6 बिना रीबूट किए आसानी से बदल जाता है, लेकिन इसके लिए आपको कम से कम तीन कमांड सीखने की जरूरत है:

 ip -6 addr ... ip -6 route ... ip -6 neigh ... 

"/Etc/sysctl.conf" सेट करना

 # Uncomment the next line to enable packet forwarding for IPv4 net.ipv4.ip_forward = 1 # Do not accept ICMP redirects (prevent MITM attacks) net.ipv4.conf.all.accept_redirects = 0 net.ipv6.conf.all.accept_redirects = 0 # Do not send ICMP redirects (we are not a router) net.ipv4.conf.all.send_redirects = 0 # For receiving ARP replies net.ipv4.conf.all.arp_filter = 0 net.ipv4.conf.default.arp_filter = 0 # For sending ARP net.ipv4.conf.all.arp_announce = 0 net.ipv4.conf.default.arp_announce = 0 # Enable IPv6 net.ipv6.conf.all.disable_ipv6 = 0 net.ipv6.conf.default.disable_ipv6 = 0 net.ipv6.conf.lo.disable_ipv6 = 0 # IPv6 configuration net.ipv6.conf.all.autoconf = 1 net.ipv6.conf.all.accept_ra = 0 # For OpenVPN net.ipv6.conf.all.forwarding = 1 net.ipv6.conf.all.proxy_ndp = 1 # For nginx on boot net.ipv6.ip_nonlocal_bind = 1 

ये मेरे सर्वर की sysctl सेटिंग्स हैं। मैं महत्वपूर्ण नोट करता हूं।

 net.ipv4.ip_forward = 1 

इसके बिना, OpenVPN किसी भी तरह से काम नहीं करेगा।

 net.ipv6.ip_nonlocal_bind = 1 

जो कोई भी IPv6 (उदाहरण के लिए nginx) को बाँधने की कोशिश करेगा, इंटरफ़ेस ठीक होने के बाद उसे एक त्रुटि मिलेगी। ऐसा पता उपलब्ध नहीं है।

ऐसी स्थिति से बचने के लिए ऐसी सेटिंग की जाती है।

 net.ipv6.conf.all.forwarding = 1 net.ipv6.conf.all.proxy_ndp = 1 

इन IPv6 सेटिंग्स के बिना, OpenVPN क्लाइंट का ट्रैफ़िक दुनिया में नहीं जाता है।

अन्य सेटिंग्स या तो अप्रासंगिक हैं या मुझे याद नहीं है कि वे क्यों हैं।
लेकिन सिर्फ मामले में, मैं "जैसा है" छोड़ देता हूं।

सर्वर को रिबूट किए बिना इस फ़ाइल में होने वाले परिवर्तनों के लिए, आपको कमांड चलाने की आवश्यकता है:

 sysctl -p 

"टेबल" नियमों के बारे में अधिक जानकारी: habr.com/post/108690

============== ओपनवीपीएन ============

OpenVPN IPv4 iptables के बिना काम नहीं करता है।

वीपीएन के लिए मेरे पास ये iptables हैं:

 iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0 ##iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j DROP iptables -A FORWARD -p udp --dport 1194 -j DROP 

YY.YY.YY.YY स्थानीय मशीन का मेरा स्थिर IPv4 पता है।
10.8.0.0/24 - आईपीवी 4 ओपनवैप नेटवर्क। Openvpn ग्राहकों के लिए IPv4 पते।
नियमों का क्रम महत्वपूर्ण है।

 iptables -A INPUT -p udp -s YY.YY.YY.YY --dport 1194 -j ACCEPT iptables -A FORWARD -i tun0 -o eno1 -j ACCEPT ... iptables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -A INPUT -p udp --dport 1194 -j DROP iptables -A FORWARD -p udp --dport 1194 -j DROP 

यह एक सीमा है ताकि केवल मैं अपने स्थिर आईपी से OpenVPN का उपयोग कर सकूं।

 iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j SNAT --to-source XX.XX.XX.X0 --  -- iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eno1 -j MASQUERADE 

OpenVPN क्लाइंट्स और इंटरनेट के बीच IPv4 पैकेट्स को फॉरवर्ड करने के लिए, आपको इनमें से एक कमांड को रजिस्टर करना होगा।

विभिन्न मामलों के लिए, विकल्पों में से एक उपयुक्त नहीं है।
दोनों टीमें मेरे मामले के लिए उपयुक्त हैं।
प्रलेखन पढ़ने के बाद, मैंने पहला विकल्प चुना, क्योंकि यह कम सीपीयू खाता है।

ताकि रिबूट के बाद सभी iptables सेटिंग्स को उठाया जाए - आपको उन्हें कहीं और सहेजने की आवश्यकता है।

 iptables-save > /etc/iptables/rules.v4 ip6tables-save > /etc/iptables/rules.v6 

ऐसे नामों को संयोग से नहीं चुना गया। Iptables-persistent पैकेज उनका उपयोग करता है।

 apt-get install iptables-persistent 

मुख्य OpenVPN पैकेज स्थापित करना:

 apt-get install openvpn easy-rsa 

प्रमाणपत्रों के लिए एक खाका तैयार करें (अपने मूल्यों को बदलें):

 make-cadir ~/openvpn-ca cd ~/openvpn-ca ln -s openssl-1.0.0.cnf openssl.cnf 

आइए प्रमाणपत्र टेम्पलेट सेटिंग्स को संपादित करें:

 mcedit vars 

 ... # These are the default values for fields # which will be placed in the certificate. # Don't leave any of these fields blank. export KEY_COUNTRY="RU" export KEY_PROVINCE="Krasnodar" export KEY_CITY="Dinskaya" export KEY_ORG="Own" export KEY_EMAIL="admin@domain1.com" export KEY_OU="VPN" # X509 Subject Field export KEY_NAME="server" ... 

एक सर्वर प्रमाणपत्र बनाएं:

 cd ~/openvpn-ca source vars ./clean-all ./build-ca ./build-key-server server ./build-dh openvpn --genkey --secret keys/ta.key 

हम परिणामी "क्लाइंट-नेम.ओपवन" फाइल बनाने का अवसर तैयार करेंगे:

 mkdir -p ~/client-configs/files chmod 700 ~/client-configs/files cp /usr/share/doc/openvpn/examples/sample-config-files/client.conf ~/client-configs/base.conf mcedit ~/client-configs/base.conf 

 # Client mode client # Interface tunnel type dev tun # TCP protocol proto tcp-client # Address/Port of VPN server remote XX.XX.XX.X0 1194 # Don't bind to local port/address nobind # Don't need to re-read keys and re-create tun at restart persist-key persist-tun # Remote peer must have a signed certificate remote-cert-tls server ns-cert-type server # Enable compression comp-lzo # Custom ns-cert-type server tls-auth ta.key 1 cipher DES-EDE3-CBC 

हम एक ऐसी स्क्रिप्ट तैयार करेंगे जो सभी फाइलों को एक सिंगल ओप्विन फाइल में सिलेगी।

 mcedit ~/client-configs/make_config.sh chmod 700 ~/client-configs/make_config.sh 

 #!/bin/bash # First argument: Client identifier KEY_DIR=~/openvpn-ca/keys OUTPUT_DIR=~/client-configs/files BASE_CONFIG=~/client-configs/base.conf cat ${BASE_CONFIG} \ <(echo -e '<ca>') \ ${KEY_DIR}/ca.crt \ <(echo -e '</ca>\n<cert>') \ ${KEY_DIR}/${1}.crt \ <(echo -e '</cert>\n<key>') \ ${KEY_DIR}/${1}.key \ <(echo -e '</key>\n<tls-auth>') \ ${KEY_DIR}/ta.key \ <(echo -e '</tls-auth>') \ > ${OUTPUT_DIR}/${1}.ovpn 

हम पहला OpenVPN क्लाइंट बनाते हैं:

 cd ~/openvpn-ca source vars ./build-key client-name cd ~/client-configs ./make_config.sh client-name 

फ़ाइल "~ / क्लाइंट-कॉन्फिगर / फाइलें / क्लाइंट-name.ovpn" क्लाइंट को भेजी जाती है।

IOS क्लाइंट के लिए, आपको ट्रिक करने की आवश्यकता होगी:
Tls- ऑर्गनाइज़ टैग की सामग्री बिना किसी टिप्पणी के होनी चाहिए।
और "कुंजी-दिशा 1" भी टैग "tls- ऑर्किटेक्ट" से पहले डालें।

OpenVPN सर्वर कॉन्फ़िगरेशन कॉन्फ़िगर करें:

 cd ~/openvpn-ca/keys cp ca.crt ca.key server.crt server.key ta.key dh2048.pem /etc/openvpn gunzip -c /usr/share/doc/openvpn/examples/sample-config-files/server.conf.gz | tee /etc/openvpn/server.conf mcedit /etc/openvpn/server.conf 

 # Listen port port 1194 # Protocol proto tcp-server # IP tunnel dev tun0 tun-ipv6 push tun-ipv6 # Master certificate ca ca.crt # Server certificate cert server.crt # Server private key key server.key # Diffie-Hellman parameters dh dh2048.pem # Allow clients to communicate with each other client-to-client # Client config dir client-config-dir /etc/openvpn/ccd # Run client-specific script on connection and disconnection script-security 2 client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh" client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh" # Server mode and client subnets server 10.8.0.0 255.255.255.0 server-ipv6 XXXX:XXXX:XXXX:XXXX:1:3::/80 topology subnet # IPv6 routes push "route-ipv6 XXXX:XXXX:XXXX:XXXX::/64" push "route-ipv6 2000::/3" # DNS (for Windows) # These are OpenDNS push "dhcp-option DNS 208.67.222.222" push "dhcp-option DNS 208.67.220.220" # Configure all clients to redirect their default network gateway through the VPN push "redirect-gateway def1 bypass-dhcp" push "redirect-gateway ipv6" #For iOS # Don't need to re-read keys and re-create tun at restart persist-key persist-tun # Ping every 10s. Timeout of 120s. keepalive 10 120 # Enable compression comp-lzo # User and group user vpn group vpn # Log a short status status openvpn-status.log # Logging verbosity ##verb 4 # Custom config tls-auth ta.key 0 cipher DES-EDE3-CBC 

प्रत्येक ग्राहक के लिए स्थैतिक पता सेट करने के लिए यह आवश्यक है (आवश्यक नहीं, लेकिन मैं उपयोग करता हूं):

 # Client config dir client-config-dir /etc/openvpn/ccd 

सबसे कठिन और महत्वपूर्ण विवरण।

दुर्भाग्य से, OpenVPN अभी तक ग्राहकों के लिए IPv6 गेटवे को स्वतंत्र रूप से कॉन्फ़िगर करने में सक्षम नहीं है।
हमें प्रत्येक क्लाइंट के लिए इसे मैन्युअल रूप से फॉरवर्ड करना होगा।

 # Run client-specific script on connection and disconnection script-security 2 client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh" client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh" 

फ़ाइल "/etc/openvpn/server-clientconnect.sh":

 #!/bin/sh # Check client variables if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then echo "Missing environment variable." exit 1 fi # Load server variables . /etc/openvpn/variables ipv6="" # Find out if there is a specific config with fixed IPv6 for this client if [ -f "/etc/openvpn/ccd/$common_name" ]; then # Get fixed IPv6 from client config file ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ \t]+([0-9a-fA-F\\:]+).*$/\1/p' "/etc/openvpn/ccd/$common_name") echo $ipv6 fi # Get IPv6 from IPv4 if [ -z "$ipv6" ]; then ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4) if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then echo "Invalid IPv4 part." exit 1 fi hexipp=$(printf '%x' $ipp) ipv6="$prefix$hexipp" fi # Create proxy rule /sbin/ip -6 neigh add proxy $ipv6 dev eno1 

फ़ाइल "/etc/openvpn/server-clientdisconnect.sh"

 #!/bin/sh # Check client variables if [ -z "$ifconfig_pool_remote_ip" ] || [ -z "$common_name" ]; then echo "Missing environment variable." exit 1 fi # Load server variables . /etc/openvpn/variables ipv6="" # Find out if there is a specific config with fixed IPv6 for this client if [ -f "/etc/openvpn/ccd/$common_name" ]; then # Get fixed IPv6 from client config file ipv6=$(sed -nr 's/^.*ifconfig-ipv6-push[ \t]+([0-9a-fA-F\\:]+).*$/\1/p' "/etc/openvpn/ccd/$common_name") fi # Get IPv6 from IPv4 if [ -z "$ipv6" ]; then ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4) if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then echo "Invalid IPv4 part." exit 1 fi hexipp=$(printf '%x' $ipp) ipv6="$prefix$hexipp" fi # Delete proxy rule /sbin/ip -6 neigh del proxy $ipv6 dev eno1 

दोनों स्क्रिप्ट "/ etc / openvpn / वैरिएबल" फ़ाइल का उपयोग करती हैं:

 # Subnet prefix=XXXX:XXXX:XXXX:XXXX:2: # netmask prefixlen=112 

यहाँ क्यों लिखा गया है - मुझे याद रखना मुश्किल है।

अब यह अजीब नेटमैस्क = 112 दिखता है (सही 96 होना चाहिए)।
और उपसर्ग अजीब है, ट्यून नेटवर्क से मेल नहीं खाता है।
लेकिन ठीक है, मैं इसे "जैसा है" छोड़ देता हूं।

 cipher DES-EDE3-CBC 

यह एक शौकिया है - मैंने कनेक्शन को एन्क्रिप्ट करने का यह तरीका चुना।

OpenVPN IPv4 की स्थापना के बारे में अधिक।

OpenVPN IPv6 की स्थापना के बारे में अधिक।

============== उपसर्ग ==============

मुख्य पैकेज स्थापित करना:

 apt-get install postfix 

इंस्टॉल करते समय, "इंटरनेट-साइट" चुनें।

मेरा "/etc/postfix/main.cf" इस तरह दिखता है:

 smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no readme_directory = no # See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on # fresh installs. compatibility_level = 2 # TLS parameters smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key smtpd_use_tls=yes smtpd_tls_auth_only = yes smtp_bind_address = XX.XX.XX.X0 smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1 smtp_tls_security_level = may smtp_tls_ciphers = export smtp_tls_protocols = !SSLv2, !SSLv3 smtp_tls_loglevel = 1 smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination myhostname = domain1.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = domain1.com mydestination = localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = ipv4 internal_mail_filter_classes = bounce # Storage type virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf # SMTP-Auth settings smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, #reject_invalid_hostname, #reject_unknown_recipient_domain, reject_unauth_destination, reject_rbl_client sbl.spamhaus.org, check_policy_service unix:private/policyd-spf smtpd_helo_restrictions = #reject_invalid_helo_hostname, #reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, permit # SPF policyd-spf_time_limit = 3600 # OpenDKIM milter_default_action = accept milter_protocol = 6 smtpd_milters = unix:var/run/opendkim/opendkim.sock non_smtpd_milters = unix:var/run/opendkim/opendkim.sock # IP address per domain sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre 

आइए इस कॉन्फ़िगरेशन के विवरण पर विचार करें।

 smtpd_tls_cert_file=/etc/ssl/domain1.com.2018.chained.crt smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key 

---

खाबरोवस्क नागरिकों के अनुसार, इस ब्लॉक में `गलत सूचना और झूठे शोध` शामिल हैं।

अपने करियर की शुरुआत के 8 साल बाद ही मुझे समझ में आने लगा कि SSL कैसे काम करता है।

इसलिए, मैं एसएसएल का उपयोग करने के तरीके का वर्णन करने के लिए स्वतंत्रता का उपयोग करूंगा (सवालों के जवाब के बिना "यह कैसे काम करता है?" और "यह काम क्यों करता है?")।

आधुनिक एन्क्रिप्शन का आधार एक महत्वपूर्ण जोड़ी (पात्रों की दो बहुत लंबी लाइनें) का निर्माण है।

एक "कुंजी" निजी है, दूसरा "सार्वजनिक" है। हम गुप्त रूप से निजी कुंजी को बहुत सावधानी से रखते हैं। हम सभी को सार्वजनिक कुंजी वितरित करते हैं।

एक सार्वजनिक कुंजी का उपयोग करके, आप पाठ का एक स्ट्रिंग एन्क्रिप्ट कर सकते हैं ताकि केवल निजी कुंजी का स्वामी डिक्रिप्ट कर सके।
खैर, यह तकनीक की पूरी नींव है।

चरण # 1 - https साइटें।
साइट को एक्सेस करते समय, ब्राउज़र वेब सर्वर से सीखता है कि साइट https है और इसलिए एक सार्वजनिक कुंजी का अनुरोध करता है।
वेब सर्वर सार्वजनिक कुंजी देता है। सार्वजनिक कुंजी का उपयोग करते हुए, ब्राउज़र http-request को एन्क्रिप्ट करता है और भेजता है।
Http-request की सामग्री को केवल उसी व्यक्ति द्वारा पढ़ा जा सकता है जिसके पास एक निजी कुंजी है, अर्थात, केवल सर्वर जिसे कॉल किया जाता है।
Http-request में कम से कम URI होता है। इसलिए, यदि देश संपूर्ण साइट पर नहीं, बल्कि एक विशिष्ट पृष्ठ तक पहुंच को प्रतिबंधित करने का प्रयास कर रहा है, तो https साइटों के लिए ऐसा नहीं किया जा सकता है।

चरण # 2 एन्क्रिप्टेड उत्तर है।
वेब सर्वर एक उत्तर प्रदान करता है जिसे आसानी से रास्ते में पढ़ा जा सकता है।
समाधान बेहद सरल है - ब्राउज़र स्थानीय रूप से प्रत्येक https साइट के लिए एक ही निजी-सार्वजनिक कुंजी जोड़ी बनाता है।
और साइट की सार्वजनिक कुंजी के लिए अनुरोध के साथ, यह अपनी स्थानीय सार्वजनिक कुंजी भेजता है।
वेब सर्वर इसे याद रखता है और http-response भेजते समय, एक विशिष्ट क्लाइंट की इस सार्वजनिक कुंजी के साथ प्रयास करता है।
अब http-response को केवल ग्राहक के ब्राउज़र की निजी कुंजी के स्वामी (अर्थात, ग्राहक स्वयं) द्वारा डिक्रिप्ट किया जा सकता है।

चरण संख्या 3 - एक सार्वजनिक चैनल के माध्यम से एक सुरक्षित कनेक्शन स्थापित करें।
उदाहरण संख्या 2 में भेद्यता है - कुछ भी शुभचिंतकों को http-अनुरोध को रोकने और सार्वजनिक कुंजी जानकारी को संपादित करने से रोकता है।
इस प्रकार, मध्यस्थ तब तक भेजे गए और प्राप्त किए गए संदेशों की लगभग सभी सामग्री देखेंगे जब तक संचार चैनल नहीं बदलता।
यह लड़ना बेहद सरल है - बस वेब सर्वर की सार्वजनिक कुंजी के साथ एन्क्रिप्ट किए गए संदेश के रूप में ब्राउज़र की सार्वजनिक कुंजी भेजें।
फिर वेब सर्वर सबसे पहले "आपकी सार्वजनिक कुंजी इस तरह है" जैसी प्रतिक्रिया भेजता है और इस संदेश को उसी सार्वजनिक कुंजी के साथ एन्क्रिप्ट करता है।
ब्राउज़र उत्तर को देखता है - यदि संदेश "आपकी सार्वजनिक कुंजी इस तरह है" प्राप्त होती है - तो यह 100% गारंटी है कि यह संचार चैनल सुरक्षित है।
यह कितना सुरक्षित है?
ऐसे सुरक्षित संचार चैनल का निर्माण स्वयं पिंग * 2 गति से होता है। उदाहरण के लिए, 20ms।
एक हमलावर के पास या तो पार्टियों में से एक निजी कुंजी पहले से होनी चाहिए। या मिलीसेकेंड के एक जोड़े के लिए एक निजी कुंजी उठाओ।
एक आधुनिक निजी कुंजी को हैक करने से एक सुपर कंप्यूटर पर दशकों का समय लगेगा।

चरण # 4 - सार्वजनिक कुंजी का सार्वजनिक डेटाबेस।
जाहिर है, इस पूरी कहानी में क्लाइंट और सर्वर के बीच संचार चैनल पर एक हमलावर के बैठने की संभावना है।
क्लाइंट को अवसर सर्वर द्वारा प्रस्तुत किया जाता है, और क्लाइंट द्वारा प्रस्तुत किए जाने वाले सर्वर को। और दोनों दिशाओं में एक महत्वपूर्ण जोड़ी का अनुकरण करें।
फिर हमलावर सभी ट्रैफ़िक को देखेगा और ट्रैफ़िक को "संपादित" कर सकेगा।
उदाहरण के लिए, उस पते को बदलें जहां पैसे भेजने या ऑनलाइन बैंक से पासवर्ड कॉपी करने के लिए या "आपत्तिजनक" सामग्री को ब्लॉक करें।
ऐसे हमलावरों का मुकाबला करने के लिए, वे प्रत्येक https साइट के लिए सार्वजनिक कुंजी के साथ एक सार्वजनिक डेटाबेस के साथ आए।
इनमें से लगभग 200 डेटाबेस के अस्तित्व के बारे में प्रत्येक ब्राउज़र "जानता है"। यह प्रत्येक ब्राउज़र में पूर्वस्थापित है।
"ज्ञान" प्रत्येक प्रमाण पत्र के लिए एक सार्वजनिक कुंजी द्वारा समर्थित है। यही है, प्रत्येक विशिष्ट प्रमाणीकरण प्राधिकरण के साथ एक कनेक्शन को नकली करना असंभव है।

अब एक सरल समझ है कि SSL का उपयोग https के लिए कैसे करें।
यदि आप अपने दिमाग को स्थानांतरित करते हैं, तो यह स्पष्ट हो जाएगा कि विशेष सेवाएं इस डिजाइन में कुछ कैसे दरार कर सकती हैं। लेकिन यह उन्हें भारी प्रयासों की लागत होगी।
और एनएसए या सीआईए की तुलना में छोटे संगठन - सुरक्षा के मौजूदा स्तर को तोड़ना लगभग असंभव है, यहां तक ​​कि वीआईपी के लिए भी।

मैं ssh कनेक्शन के बारे में भी जोड़ूंगा। कोई सार्वजनिक कुंजी नहीं है, क्या करना है। समस्या को दो तरीकों से हल किया जाता है।
Ssh पासवर्ड विकल्प:
पहले कनेक्शन पर, ssh क्लाइंट को चेतावनी दी जानी चाहिए कि यहाँ हमारे पास ssh सर्वर से एक नई सार्वजनिक कुंजी है।
और आगे के कनेक्शन के साथ, अगर चेतावनी "ssh सर्वर से एक नई सार्वजनिक कुंजी" दिखाई देती है, तो इसका मतलब यह होगा कि वे आपको सुनने की कोशिश कर रहे हैं।
या पहले कनेक्शन पर आपकी बात सुनी गई थी, और अब आप बिचौलियों के बिना सर्वर से बात कर रहे हैं।
दरअसल, इस तथ्य के कारण कि वायरटैपिंग का तथ्य आसानी से, जल्दी और आसानी से पता चलता है, इस हमले का उपयोग केवल एक विशिष्ट ग्राहक के लिए विशेष मामलों में किया जाता है।

कुंजी ssh विकल्प:
हम एक फ्लैश ड्राइव लेते हैं, उस पर ssh सर्वर के लिए एक निजी कुंजी लिखते हैं (इसके लिए शब्द और महत्वपूर्ण बारीकियों का एक गुच्छा है, लेकिन मैं एक शैक्षिक कार्यक्रम लिख रहा हूं, उपयोग के लिए निर्देश नहीं)।
हम मशीन पर सार्वजनिक कुंजी छोड़ते हैं जहां ssh क्लाइंट होगा और हम इसे गुप्त भी रखते हैं।
हम फ्लैश ड्राइव को सर्वर में लाते हैं, सम्मिलित करते हैं, निजी कुंजी को कॉपी करते हैं, और फ्लैश ड्राइव को जलाते हैं और हवा में धूल को बिखेरते हैं (या कम से कम इसे शून्य के साथ प्रारूपित करें)।
यह सब है - इस तरह के ऑपरेशन के बाद इस तरह के ssh कनेक्शन को क्रैक करना असंभव होगा। बेशक, 10 वर्षों में आप सुपर कंप्यूटर पर ट्रैफ़िक देख सकते हैं - लेकिन यह एक अलग कहानी है।

मैं अपमानजनक के लिए माफी माँगता हूँ।

तो अब यह सिद्धांत ज्ञात है। मैं ssl प्रमाणपत्र के निर्माण के प्रवाह के बारे में बताऊंगा।

"ओपनस्ले जेनरासा" का उपयोग करके हम एक निजी कुंजी बनाते हैं और सार्वजनिक कुंजी के लिए "ब्लैंक" बनाते हैं।
हम "रिक्त स्थान" एक तृतीय-पक्ष कंपनी को भेजते हैं, जिसमें हम सबसे सरल प्रमाण पत्र के लिए लगभग $ 9 का भुगतान करते हैं।

कुछ घंटों में, हम इस तृतीय-पक्ष कंपनी से हमारी "सार्वजनिक" कुंजी और कई सार्वजनिक कुंजी का एक और सेट प्राप्त करते हैं।

एक तीसरे पक्ष की कंपनी को मेरी सार्वजनिक कुंजी जारी करने के लिए भुगतान क्यों करना चाहिए - एक अलग मुद्दा, हम यहां इस पर विचार नहीं करेंगे।

अब यह स्पष्ट है कि शिलालेख का अर्थ क्या है:

 smtpd_tls_key_file=/etc/ssl/domain1.com.2018.key 

फ़ोल्डर "/ etc / ssl" में ssl प्रश्नों की सभी फाइलें संग्रहीत हैं।
domain1.com - डोमेन नाम।
2018 चाबियों के निर्माण का वर्ष है।
"की" - पदनाम कि फ़ाइल निजी-कुंजी है।

और इस फ़ाइल का अर्थ:

smtpd_tls_cert_file = / etc / ssl / domain1.com.2018.chained.crt
domain1.com - डोमेन नाम।
2018 चाबियों के निर्माण का वर्ष है।
जंजीर - एक पदनाम जो सार्वजनिक कुंजी की एक श्रृंखला है (पहला हमारी सार्वजनिक कुंजी है और बाकी वही है जो उस कंपनी से आया था जिसने सार्वजनिक कुंजी जारी की थी)।
crt - पदनाम कि एक तैयार प्रमाण पत्र है (तकनीकी स्पष्टीकरण के साथ सार्वजनिक कुंजी)।

 smtp_bind_address = XX.XX.XX.X0 smtp_bind_address6 = XXXX:XXXX:XXXX:XXXX:1:1:1:1 

यह सेटिंग इस मामले में उपयोग नहीं की जाती है, लेकिन एक उदाहरण के रूप में लिखी जाती है।

क्योंकि इस पैरामीटर में एक त्रुटि आपके सर्वर (आपकी इच्छा के बिना) से स्पैम भेजने की ओर ले जाएगी।

फिर सभी को साबित करें कि आपको दोष नहीं देना है।

 recipient_delimiter = + 

शायद बहुत से लोग नहीं जानते हैं, इसलिए यह चराई के लिए एक मानक प्रतीक है, और यह अधिकांश आधुनिक मेल सर्वरों द्वारा समर्थित है।

उदाहरण के लिए, यदि आपके पास एक मेलबॉक्स "username@gmail.com" है, तो इसे "username+spam@gmail.com" पर भेजने का प्रयास करें - देखें कि क्या होता है।

 inet_protocols = ipv4 

शायद यह भ्रामक होगा।

लेकिन यह सिर्फ नहीं है। प्रत्येक नया डोमेन डिफ़ॉल्ट रूप से केवल IPv4 है, फिर मैं व्यक्तिगत रूप से प्रत्येक के लिए IPv6 सक्षम करता हूं।

 virtual_transport = lmtp:unix:private/dovecot-lmtp virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf virtual_alias_maps = mysql:/etc/postfix/mysql-virtual-alias-maps.cf 

यहाँ हम सेट करते हैं कि सभी आने वाले मेल dovecot पर जाते हैं।
और डोमेन, मेलबॉक्स, उपनाम के नियम - डेटाबेस में देखें।

/etc/postfix/mysql-virtual-mailbox-domains.cf

 user = usermail password = mailpassword hosts = 127.0.0.1 dbname = servermail query = SELECT 1 FROM virtual_domains WHERE name='%s' 

/etc/postfix/mysql-virtual-mailbox-maps.cf

 user = usermail password = mailpassword hosts = 127.0.0.1 dbname = servermail query = SELECT 1 FROM virtual_users WHERE email='%s' 

/etc/postfix/mysql-virtual-alias-maps.cf

 user = usermail password = mailpassword hosts = 127.0.0.1 dbname = servermail query = SELECT destination FROM virtual_aliases WHERE source='%s' 

 # SMTP-Auth settings smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_auth_enable = yes 

अब पोस्टफिक्स जानता है कि आप केवल dovecot के साथ प्राधिकरण द्वारा आगे भेजने के लिए मेल स्वीकार कर सकते हैं।

मुझे वास्तव में समझ में नहीं आता है कि यह यहाँ क्यों दोहराया गया है। हमने पहले से ही virtual_transport में संकेत दिया है कि सभी की जरूरत है।

लेकिन उपसर्ग प्रणाली बहुत पुरानी है - यह पुराने दिनों से संभवतः महल है।

 smtpd_recipient_restrictions = ... smtpd_helo_restrictions = ... smtpd_client_restrictions = ... 

यह प्रत्येक मेल सर्वर के लिए अपने तरीके से कॉन्फ़िगर किया गया है।

मेरे पास मेरे निपटान में 3 मेल सर्वर हैं और ये सेटिंग्स विभिन्न उपयोग आवश्यकताओं के कारण बहुत भिन्न हैं।

आपको सावधानी से कॉन्फ़िगर करना होगा - अन्यथा स्पैम आपको बाढ़ देगा या बदतर, स्पैम आपको बाढ़ देगा।

 # SPF policyd-spf_time_limit = 3600 

आने वाले संदेशों की SPF जाँच से संबंधित किसी प्रकार के प्लगइन के लिए विन्यास करना।

 # OpenDKIM milter_default_action = accept milter_protocol = 6 smtpd_milters = unix:var/run/opendkim/opendkim.sock non_smtpd_milters = unix:var/run/opendkim/opendkim.sock 

कॉन्फ़िगर करना कि सभी निवर्तमान पत्रों को हमें DKIM हस्ताक्षर प्रदान करना चाहिए।

 # IP address per domain sender_dependent_default_transport_maps = pcre:/etc/postfix/sdd_transport.pcre 

यह php स्क्रिप्ट से ईमेल भेजते समय ईमेल रूटिंग में एक महत्वपूर्ण विवरण है।

फ़ाइल "/etc/postfix/sdd_transport.pcre":

 /^www-domain1@domain1\.com$/ domain1: /^www-domain2@domain1\.com$/ domain2: /^www-domain3@domain1\.com$/ domain3: /@domain1\.com$/ domain1: /@domain2\.com$/ domain2: /@domain3\.com$/ domain3: 

— . — , .
Postfix — .

postfix — «master.cf».

4, 5, 6 — . — .
php «from». .

— nginx+fpm.

— linux-user . fpm-pool.

एफपीएम-पूल php के किसी भी संस्करण का उपयोग करता है (यह बहुत अच्छा है जब आप php के एक अलग संस्करण और पड़ोसी साइटों के लिए एक ही सर्वर पर एक अलग php.ini का उपयोग कर सकते हैं)।

तो एक विशेष linux- उपयोगकर्ता "www-domain2" एक domain2.com साइट है। इस साइट में फ़ील्ड से निर्दिष्ट किए बिना पत्र भेजने के लिए एक कोड है।

तो इस मामले में भी, अक्षर सही ढंग से चले जाएंगे और कभी भी स्पैम में नहीं आएंगे।

मेरा "/etc/postfix/master.cf" इस तरह दिखता है:

 ... smtp inet n - y - - smtpd -o content_filter=spamassassin ... submission inet n - y - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject ... policyd-spf unix - nn - 0 spawn user=policyd-spf argv=/usr/bin/policyd-spf spamassassin unix - nn - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient} ... domain1 unix - - n - - smtp -o smtp_bind_address=XX.XX.XX.X1 -o smtp_helo_name=domain1.com -o inet_protocols=all -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1 -o syslog_name=postfix-domain1 domain2 unix - - n - - smtp -o smtp_bind_address=XX.XX.XX.X5 -o smtp_helo_name=domain2.com -o inet_protocols=all -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:2:1:1 -o syslog_name=postfix-domain2 domain3 unix - - n - - smtp -o smtp_bind_address=XX.XX.XX.X2 -o smtp_helo_name=domain3 -o inet_protocols=all -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:5:1 -o syslog_name=postfix-domain3 

फ़ाइल पूरी तरह से नहीं दी गई है - यह पहले से ही बहुत बड़ी है।
केवल वही नहीं जो बदला गया है।

 smtp inet n - y - - smtpd -o content_filter=spamassassin ... spamassassin unix - nn - - pipe user=spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient} 

ये स्पैमसैसिन से संबंधित सेटिंग्स हैं, इसके बारे में बाद में।

 submission inet n - y - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject 

हम आपको पोर्ट 587 के माध्यम से मेल सर्वर से कनेक्ट करने की अनुमति देते हैं।
ऐसा करने के लिए, लॉग इन करना सुनिश्चित करें।

 policyd-spf unix - nn - 0 spawn user=policyd-spf argv=/usr/bin/policyd-spf 

एसपीएफ सत्यापन चालू करें।

 apt-get install postfix-policyd-spf-python 

ऊपर SPF जाँच के लिए पैकेज स्थापित करें।

 domain1 unix - - n - - smtp -o smtp_bind_address=XX.XX.XX.X1 -o smtp_helo_name=domain1.com -o inet_protocols=all -o smtp_bind_address6=XXXX:XXXX:XXXX:XXXX:1:1:1:1 -o syslog_name=postfix-domain1 

. IPv4/IPv6 .

rDNS. rDNS — - IP .
, helo rDNS , email.

helo , — .

Helo rDNS — .
IP .
OVH — rDNS.
tech.ru — .
AWS — .
"Inet_protocols" और "smtp_bind_address6" - यह है कि हम IPP6 समर्थन कैसे सक्षम करते हैं।
IPv6 के लिए, आपको rDNS को पंजीकृत करना होगा।
"Syslog_name" - और यह लॉग पढ़ने की सुविधा के लिए है।

मैं यहां प्रमाण पत्र खरीदने की सलाह देता हूं ।

यहां पोस्टफिक्स + डवकोट का एक समूह स्थापित करना ।

एसपीएफ़ सेटअप।

============== कबूतर ==============

 apt-get install dovecot-imapd dovecot-pop3d dovecot-lmtpd dovecot-mysql dovecot-antispam 

Mysql कॉन्फ़िगर करें, संकुल को स्वयं स्थापित करें।

फ़ाइल "/etc/dovecot/conf.d/10-auth.conf"

 disable_plaintext_auth = yes auth_mechanisms = plain login 

प्राधिकरण केवल एन्क्रिप्टेड है।

फ़ाइल "/etc/dovecot/conf.d/10-mail.conf"

 mail_location = maildir:/var/mail/vhosts/%d/%n 

यहां हम अक्षरों के स्थान को इंगित करते हैं।

मैं चाहता हूं कि उन्हें फ़ाइलों में संग्रहीत किया जाए और डोमेन द्वारा समूहीकृत किया जाए।

फ़ाइल "/etc/dovecot/conf.d/10-master.conf"

 service imap-login { inet_listener imap { port = 0 } inet_listener imaps { address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1] port = 993 ssl = yes } } service pop3-login { inet_listener pop3 { port = 0 } inet_listener pop3s { address = XX.XX.XX.X1, XX.XX.XX.X2, XX.XX.XX.X5, [XXXX:XXXX:XXXX:XXXX:1:1:1:1], [XXXX:XXXX:XXXX:XXXX:1:2:1:1], [XXXX:XXXX:XXXX:XXXX:1:1:5:1] port = 995 ssl = yes } } service lmtp { unix_listener /var/spool/postfix/private/dovecot-lmtp { mode = 0600 user = postfix group = postfix } } service imap { } service pop3 { } service auth { unix_listener auth-userdb { mode = 0600 user = vmail } unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } user = dovecot } service auth-worker { user = vmail } service dict { unix_listener dict { } } 

यह मुख्य dovecot सेटिंग फ़ाइल है।
यहां हम असुरक्षित कनेक्शन को डिस्कनेक्ट करते हैं।
और सुरक्षित कनेक्शन सक्षम करें।

फ़ाइल "/etc/dovecot/conf.d/10-ssl.conf"

 ssl = required ssl_cert = </etc/nginx/ssl/domain1.com.2018.chained.crt ssl_key = </etc/nginx/ssl/domain1.com.2018.key local XX.XX.XX.X5 { ssl_cert = </etc/nginx/ssl/domain2.com.2018.chained.crt ssl_key = </etc/nginx/ssl/domain2.com.2018.key } 

Ssl कॉन्फ़िगर करें। हम इंगित करते हैं कि एसएसएल की आवश्यकता है।
और प्रमाण पत्र ही। और एक महत्वपूर्ण विवरण "स्थानीय" निर्देश है। किस स्थानीय IPv4 से कनेक्ट करते समय इंगित करता है - जो ssl प्रमाणपत्र का उपयोग करना है।

वैसे, आईपीवी 6 को यहां कॉन्फ़िगर नहीं किया गया है, मैं बाद में एक थ्रेड के रूप में इस चूक को ठीक करूंगा।
XX.XX.XX.X5 (domain2) - कोई प्रमाण पत्र नहीं। ग्राहकों को जोड़ने के लिए, आपको domain1.com निर्दिष्ट करना होगा।
XX.XX.XX.X2 (domain3) - एक प्रमाण पत्र है, आप ग्राहकों को जोड़ने के लिए domain1.com या domain3.com निर्दिष्ट कर सकते हैं।

फ़ाइल "/etc/dovecot/conf.d/15-lda.conf"

 protocol lda { mail_plugins = $mail_plugins sieve } 

यह भविष्य में स्पैमसैस के लिए आवश्यक होगा।

फ़ाइल "/etc/dovecot/conf.d/20-imap.conf"

 protocol imap { mail_plugins = $mail_plugins antispam } 

यह एक एंटीस्पैम प्लगइन है। स्पैम फ़ोल्डर से / के लिए स्थानांतरण के समय स्पैममासिन को प्रशिक्षित करना आवश्यक है।

फ़ाइल "/etc/dovecot/conf.d/20-pop3.conf"

 protocol pop3 { } 

बस ऐसी फाइल है।

फ़ाइल "/etc/dovecot/conf.d/20-lmtp.conf"

 protocol lmtp { mail_plugins = $mail_plugins sieve postmaster_address = admin@domain1.com } 

कॉन्फ़िगर करें lmtp।

फ़ाइल "/etc/dovecot/conf.d/90-antispam.conf"

 plugin { antispam_backend = pipe antispam_trash = Trash;trash antispam_spam = Junk;Spam;SPAM antispam_pipe_program_spam_arg = --spam antispam_pipe_program_notspam_arg = --ham antispam_pipe_program = /usr/bin/sa-learn antispam_pipe_program_args = --username=%Lu } 

स्पैम फ़ोल्डर से / के स्थानांतरण के समय स्पैमासिन प्रशिक्षण सेटिंग्स।

फ़ाइल "/etc/dovecot/conf.d/90-sieve.conf"

 plugin { sieve = ~/.dovecot.sieve sieve_dir = ~/sieve sieve_after = /var/lib/dovecot/sieve/default.sieve } 

एक फ़ाइल जो इंगित करती है कि आने वाले ईमेल के साथ क्या करना है।

फ़ाइल "/var/lib/dovecot/sieve/default.sieve"

 require ["fileinto", "mailbox"]; if header :contains "X-Spam-Flag" "YES" { fileinto :create "Spam"; } 

फ़ाइल को संकलित करना आवश्यक है: "sievec default.sieve"।

फ़ाइल "/etc/dovecot/conf.d/auth-sql.conf.ext"

 passdb { driver = sql args = /etc/dovecot/dovecot-sql.conf.ext } userdb { driver = static args = uid=vmail gid=vmail home=/var/mail/vhosts/%d/%n } 

प्राधिकरण के लिए एसक्यूएल फ़ाइलों को निर्दिष्ट करना।
और फ़ाइल ही प्राधिकरण का एक तरीका है।

फ़ाइल "/etc/dovecot/dovecot-sql.conf.ext"

 driver = mysql connect = host=127.0.0.1 dbname=servermail user=usermail password=password default_pass_scheme = SHA512-CRYPT password_query = SELECT email as user, password FROM virtual_users WHERE email='%u'; 

यह पोस्टफ़िक्स के लिए समान सेटिंग्स से मेल खाती है।

फ़ाइल "/etc/dovecot/dovecot.conf"

 protocols = imap lmtp pop3 listen = *, :: dict { } !include conf.d/*.conf !include_try local.conf 

मुख्य कॉन्फ़िगरेशन फ़ाइल।
महत्वपूर्ण बात यह है कि हम यहां निर्दिष्ट करते हैं, प्रोटोकॉल जोड़ते हैं।

============== SpamAssassin ==============

 apt-get install spamassassin spamc 

पैकेज स्थापित करें।

 adduser spamd --disabled-login 

जिसकी ओर से एक उपयोगकर्ता जोड़ें।

 systemctl enable spamassassin.service 

बूट पर ऑटो-डाउनलोड स्पैमस्सेन सेवा चालू करें।

फ़ाइल "/ etc / default / spamassassin":

 CRON=1 

डिफ़ॉल्ट रूप से नियमों के स्वचालित अपडेट को चालू करें।

फ़ाइल "/etc/spamassassin/local.cf":

 report_safe 0 use_bayes 1 bayes_auto_learn 1 bayes_auto_expire 1 bayes_store_module Mail::SpamAssassin::BayesStore::MySQL bayes_sql_dsn DBI:mysql:sa:localhost:3306 bayes_sql_username sa bayes_sql_password password 

डेटाबेस "सा" को माईस्कल में उपयोगकर्ता "सा" के साथ पासवर्ड "पासवर्ड" (पर्याप्त पर्याप्त के साथ बदलना) के साथ बनाना आवश्यक है।

report_safe - एक पत्र के बजाय, स्पैम संदेश पर एक रिपोर्ट भेजी जाएगी।
use_bayes spamassassin मशीन लर्निंग सेटिंग्स हैं।

शेष स्पैमासिक हत्यारे सेटिंग्स को पहले लेख में लागू किया गया था।

सामान्य सेटिंग अनैच्छिक है ।
IMAP स्पैम फ़ोल्डर में नए स्पैम ईमेल को स्थानांतरित करने के बारे में ।
Dovecot + SpamAssassin के एक सरल समूह के बारे में ।
मैं इमैपासिन सीखने के सिद्धांत को पढ़ने की सलाह देता हूं जब इमैप फोल्डर में अक्षर चलते हैं (और उपयोग के लिए इसकी अनुशंसा नहीं करते हैं) ।

============== समुदाय से संपर्क करना ==============

मैं इस समुदाय में एक विचार फेंकना चाहूंगा कि अग्रेषित पत्रों की सुरक्षा के स्तर को कैसे बढ़ाया जाए। चूंकि मैं मेल के विषय में इतनी गहराई से डूबा हुआ हूं।

ताकि उपयोगकर्ता अपने ग्राहक (आउटलुक, थंडरबर्ड, ब्राउज़र-प्लगइन, ...) पर एक महत्वपूर्ण जोड़ी बना सके। सार्वजनिक और निजी। सार्वजनिक - डीएनएस को भेजें। निजी - ग्राहक को बचाओ। मेल सर्वर एक विशिष्ट प्राप्तकर्ता को भेजने के लिए सार्वजनिक कुंजी का उपयोग करने में सक्षम होंगे।

और ऐसे ईमेल के साथ स्पैम से बचाने के लिए (हाँ, मेल सर्वर सामग्री को देखने में सक्षम नहीं होगा) - 3 नियमों को लागू करना आवश्यक होगा:

1. अनिवार्य वास्तविक DKIM हस्ताक्षर, अनिवार्य SPF, अनिवार्य rDNS।
2. ग्राहक पक्ष पर एंटीस्पैम प्रशिक्षण + डीबी के विषय पर एक तंत्रिका नेटवर्क।
3. एन्क्रिप्शन एल्गोरिथ्म ऐसा होना चाहिए कि भेजने वाला पक्ष प्राप्त करने वाले पक्ष की तुलना में एन्क्रिप्शन पर 100 गुना अधिक सीपीयू शक्ति खर्च करे।

सार्वजनिक पत्रों के अलावा - निमंत्रण का एक मानक पत्र विकसित करने के लिए "सुरक्षित पत्राचार शुरू करने के लिए।" उपयोगकर्ताओं में से एक (मेलबॉक्स) संलग्नक के साथ अन्य मेलबॉक्स को एक पत्र भेजता है। पत्र में, पत्राचार के लिए एक सुरक्षित संचार चैनल और मेलबॉक्स के मालिक की सार्वजनिक कुंजी (ग्राहक पक्ष पर निजी कुंजी के साथ) शुरू करने का पाठ-प्रस्ताव।

तुम भी विशेष रूप से प्रत्येक पत्राचार के लिए कुंजी की एक जोड़ी बना सकते हैं। प्राप्तकर्ता उपयोगकर्ता इस प्रस्ताव को स्वीकार कर सकता है और अपनी सार्वजनिक कुंजी (विशेष रूप से इस पत्राचार के लिए बनाई गई) भी भेज सकता है। अगला, पहला उपयोगकर्ता एक सेवा नियंत्रण पत्र भेजता है (दूसरे उपयोगकर्ता की सार्वजनिक कुंजी के साथ एन्क्रिप्टेड) ​​- जिसके प्राप्त होने पर दूसरा उपयोगकर्ता गठित संचार चैनल को विश्वसनीय मान सकता है। फिर दूसरा उपयोगकर्ता एक नियंत्रण पत्र भेजता है - और फिर पहला उपयोगकर्ता गठित चैनल को भी संरक्षित मान सकता है।

सड़क पर चाबियों के अवरोधन का मुकाबला करने के लिए - प्रोटोकॉल में फ्लैश ड्राइव का उपयोग करके कम से कम एक सार्वजनिक कुंजी को संचारित करने की संभावना प्रदान करना आवश्यक है।

और सबसे महत्वपूर्ण बात यह है कि यह सब काम करता है (प्रश्न "इसके लिए भुगतान कौन करेगा?"):
3 वर्षों के लिए $ 10 के मूल्य वाले मेल प्रमाणपत्रों का परिचय दें। जो प्रेषक को डीएनएस में इंगित करने की अनुमति देगा कि "मेरी सार्वजनिक कुंजी बाहर हैं।" और वे एक सुरक्षित कनेक्शन शुरू करने का अवसर देंगे। इसी समय, ऐसे यौगिकों को मुफ्त में लें।
जीमेल अंत में अपने उपयोगकर्ताओं को मुद्रीकृत करता है। 3 वर्षों में $ 10 के लिए - पत्राचार के सुरक्षित चैनल बनाने का अधिकार।

============== निष्कर्ष ==============

पूरे लेख का परीक्षण करने के लिए, मैं एक महीने के लिए एक समर्पित सर्वर किराए पर लेने जा रहा था और एक एसएसएल प्रमाणपत्र के साथ एक डोमेन खरीद रहा था।

लेकिन जीवन की परिस्थितियों का विकास हुआ, इसलिए इस मुद्दे को 2 महीने तक खींचा गया।
और जब खाली समय फिर से दिखाई दिया - मैंने लेख को प्रकाशित करने का फैसला किया है, और जोखिम नहीं है कि प्रकाशन एक और वर्ष के लिए विलंबित होगा।

यदि बहुत सारे प्रश्न हैं जैसे "लेकिन यह पर्याप्त विवरण में वर्णित नहीं है" - तो संभवतः एक नया डोमेन और एक नया एसएसएल प्रमाणपत्र के साथ एक समर्पित सर्वर लेने के लिए और अधिक विस्तार से वर्णन करना होगा और सबसे महत्वपूर्ण बात - सभी लापता महत्वपूर्ण विवरणों की पहचान करें।

मैं मेल सर्टिफिकेट के बारे में विचारों के विषय पर प्रतिक्रिया प्राप्त करना चाहूंगा। यदि आप विचार पसंद करते हैं, तो मैं आरएफसी के लिए एक मसौदा लिखने की ताकत खोजने की कोशिश करूंगा।

— .
— .
.