Тематические термины: iRedMail, Ubuntu, Postfix, Dovecot, Roundcube, POP3, IMAP, PTR, SPF, DKIM
После установки iRedMail мы получим почтовый сервер со следующими возможностями:
Задаем правильное имя сервера:
vi /etc/hostname
mail.admins24.com
… или командой:
hostnamectl set-hostname mail.admins24.com
* имя сервера должно быть в формате FQDN, в противном случае мы получим ошибку << ERROR >> Please configure a fully qualified domain name (FQDN) in /etc/hosts before we go further.
Заданное имя сервера должно разрешаться в IP-адрес через DNS. Если на момент установки это невозможно, создадим запись в файле hosts:
vi /etc/hosts
127.0.0.1 mail.admins24.com
Останавливаем веб-сервер apache (в данном примере будет использоваться nginx):
systemctl stop apache2
systemctl disable apache2
* если не остановить apache и попытаться установить nginx, мы получим ошибку Errors were encountered while processing: nginx-full.
Заходим на страницу iredmail.org/download.html и копируем ссылку на скачивание последней версии почтового сервера:
Теперь используем ссылку для загрузки дистрибутива на сервере:
wget https://github.com/iredmail/iRedMail/archive/1.2.tar.gz
И распаковываем скачанный архив:
tar zxvf 1.2.tar.gz
Переходим в каталог с распакованным установщиком:
cd iRedMail-*/
И запускаем скрипт установки:
bash iRedMail.sh
Запустится мастер настроек. В первом окне с приветствием ответьте Yes.
В окне Default mail storage path оставляем /var/vmail и задаем свой путь для хранения сообщений:
В следующем окне Preferred web server желательно оставить Nginx:
В окне Choose preferred backend used to store mail accounts выбираем Mariadb:
И задаем пароль для пользователя СУБД:
На следующем шаге вводим наш первый почтовый домен:
Теперь вводим пароль для управления почтовыми ящиками:
В окне Optional components выбираем все доступные компоненты:
В самом конце вводим Y, чтобы подтвердить введенные настройки.
Начнется установка почтового сервера. В зависимости от производительности, процесс может занять от 10 до 20 минут. В конце система предложит активировать брандмауэр — соглашаемся вводом Y.
После завершения, установщик даст подсказку, что необходимо перезапустить сервер для начала работы всех компонентов. Выполним перезагрузку:
shutdown -r now
Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/iredadmin/
Откроется страница входа в панель управления. Вводим логин [email protected] и пароль (пароль и домен admins24.com — данные, которые мы вводили при установке iRedMail).
Создадим первого пользователя. Для этого переходим по Add — User:
Заполняем поля и создаем пользователя:
Graylisting — мощное оружие против СПАМа, но с существенным минусом — все входящие сообщения, отправленные с определенного домена в первый раз будут приходить с задержкой. На момент тестирования это создает массу неудобств.
Для отлючения серого списка, добавляем права на редактирование следующему файлу:
chmod u+w /opt/iredapd/settings.py
После открываем его:
vi /opt/iredapd/settings.py
Находим перечисление плагинов:
plugins = [«reject_null_sender», «reject_sender_login_mismatch», «greylisting», «throttle», «amavisd_wblist», «sql_alias_access_policy»]
И вырезаем greylisting.
Возвращаем права:
chmod u-w /opt/iredapd/settings.py
Перезагружаем iredapd:
systemctl restart iredapd
Для проверки сервера можно выполнить тестовую отправку и получения писем.
Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/mail/
Откроется панель для работы с почтой — вводим логин и пароль от созданного пользователя (логин должен быть с доменом, в нашем примере, [email protected])
Нажимаем Написать сообщение и отправляем тестовое сообщение на один из своих адресов:
Для возможности получать письма, необходимо прописать в DNS для нашего домена запись типа MX.
Пример такой записи:
MX 10 mail.admins24.com
* где MX — тип; 10 — приоритет (таких записей может быть несколько); mail.admins24.com — имя нашего почтового сервера (на данное имя необходима также запись типа А).
После создания такой записи необходимо подождать от 1 до 8 часов, так как настройки DNS могут применяться не сразу.
Чтобы другие почтовые системы не принимали наши письма за СПАМ, выполняем следующие рекомендации:
Для FQDN-имени почтового сервера должна быть создана А-запись в DNS. Пример записи:
mail.admins24.com A 90.156.242.197
Она должна вести на имя сервера (в данном примере, mail.admins24.com). Чтобы создать такую запись, нужно написать обращение Интернет-провайдеру или хостеру виртуальной машины. Пример записи:
171.23.222.83.in-addr.arpa name = mail.admins24.com
* данная запись соответствует IP-адресу 83.222.23.171.
Эта запись создается в DNS для домена, от которого идет отправка сообщений. Пример:
admins24.com text = «v=spf1 +mx -all»
Для начала, смотрим ключ, который был сформирован во время установки iRedMail:
amavisd-new showkeys
Пример ответа:
dkim._domainkey.admins24.com. 3600 TXT ( «v=DKIM1; p=» «MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+Ief» «zcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia» «+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHK» «d2mdqfW+emSW/paUwQIDAQAB»)
Копируем DKIM и создаем в DNS запись TXT. Пример:
admins24.com text = «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+IefzcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHKd2mdqfW+emSW/paUwQIDAQAB»
Генерируем новый ключ:
amavisd-new genrsa /var/lib/dkim/admins242.ru.pem 1024
* где admins242.ru — новый домен, для которого мы сгенерируем подпись dkim.* некоторые системы не работают с ключами более чем 1024 бит.
Задаем права на созданный файл:
chown amavis:amavis /var/lib/dkim/admins242.ru.pem
chmod 0400 /var/lib/dkim/admins242.ru.pem
Открываем конфигурационный файл amavisd
vi /etc/amavisd.conf
Находим строчку:
dkim_key(‘admins24.com’, «dkim», «/var/lib/dkim/admins24.com.pem»);
И добавляем радом с ней новую. Получится так:
dkim_key(‘admins24.com’, «dkim», «/var/lib/dkim/admins24.com.pem»);dkim_key(‘admins242.ru’, «dkim», «/var/lib/dkim/admins242.ru.pem»);
Теперь находим строчку:
@dkim_signature_options_bysender_maps = ( { … «admins24.com» => { d => «admins24.com», a => ‘rsa-sha256’, ttl => 10*24*3600 },
И также после нее добавляем новую. Должно получиться:
@dkim_signature_options_bysender_maps = ( { … «admins24.com» => { d => «admins24.com», a => ‘rsa-sha256’, ttl => 10*24*3600 }, «admins242.ru» => { d => «admins242.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 },
Перезапускаем amavisd:
amavisd-new restart
Данная политика определяет, что делать с письмом, которое не проходит проверку. Подробнее о DMARC.
Для создания данной политики необходимо в DNS добавить TXT запись, примерно, такого содержания:
_dmarc.admins24.com. 3600 IN TXT «v=DMARC1; p=quarantine; sp=none; pct=100; fo=0; rua=mailto:[email protected]»
* данная запись означает, что все письма, которые не прошли проверку, необходимо отправить в карантин, а отчет написать на ящик [email protected].
По аналогии с тем, как мы создавали тестовую учетную запись, необходимо создать ящик [email protected]… На данный ящик могут приходить жалобы на СПАМ. Стоит время от времени просматривать его (или настроить переадресацию), и реагировать на жалобы.
Вместе с iRedMail создается самоподписный сертификат, которому по умолчанию, не доверяют другие системы. Если мы хотим, чтобы пользователи не видели предупреждений об использовании потенциально не безопасного сертификата, можно установить последний, выданный акредитованным центром сертификации. Мы же рассмотрим, как получить для iRedMail бесплатный сертификат от Let’s Encrypt (подробнее в статье получение сертификата от Let’s Encrypt).
Откроем на редактирование файл:
vi /etc/nginx/sites-enabled/00-default-ssl.conf
… и добавим в секцию server:
server { … location ~ /.well-known { root /usr/share/nginx/html; allow all; } …}
Перечитаем конфиг nginx
systemctl reload nginx
Устанавливаем утилиту для получения сертификата:
apt-get install certbot
И получаем сертификат командой:
certbot certonly —webroot —agree-tos —email [email protected] —webroot-path /usr/share/nginx/html/ -d mail.admins24.com
* подробнее параметры описаны в статье получение сертификата от Let’s Encrypt. Обратите внимание, что в данном примере мы получим сертификат для узла mail.admins24.com.
Удаляем старые сертификаты:
\rm /etc/ssl/private/iRedMail.key
\rm /etc/ssl/certs/iRedMail.crt
И создаем симлинки на полученные:
ln -s /etc/letsencrypt/live/mail.admins24.com/cert.pem /etc/ssl/certs/iRedMail.crt
ln -s /etc/letsencrypt/live/mail.admins24.com/privkey.pem /etc/ssl/private/iRedMail.key
* cert.pem и iRedMail.crt — открытые ключи (public); privkey.pem и iRedMail.key — закрытые (private); mail.admins24.com — узел, для которого был получен сертификат. Обратите внимание, что в нашем примере прописаны пути до сертификатов от Let’s Encrypt — если у вас свои сертификаты, пути должны быть соответствующими.
Перезапускаем следующие службы:
Для автоматического продления сертификата создаем в cron задачу:
crontab -e
Добавим:
0 0 * * 1,4 /usr/bin/certbot renew && systemctl reload nginx && systemctl restart iredapd
После установки iRedMail, система будет требовать от клиента безопасного соединения по TLS. При необоходимости, можно отключить данную возможность.
Открываем конфигурационный файл postfix:
/etc/postfix/main.cf
Задаем следующие настройки:
…smtpd_sasl_auth_enable = yessmtpd_sasl_security_options = noanonymous#smtpd_tls_auth_only = yes…
* где smtpd_sasl_auth_enable разрешает или запрещает аутентификацию; smtpd_sasl_security_options — дополнительные опции для аутентификации; smtpd_tls_auth_only — разрешает соединение SMTP только по TLS. В данном примере мы разрешаем аутентификацию, запрещаем анонимные соединения и комментируем опцию, которая требует только безопасного соединения.
Перезапускаем postfix:
systemctl restart postfix
Открываем конфигурационный файл dovecot:
vi /etc/dovecot/dovecot.conf
ssl = yesdisable_plaintext_auth = no
* где disable_plaintext_auth запрещает аутентификацию без защиты; ssl задает опцию защиты (в данном примере, разрешить, но не требовать).
Перезапускаем dovecot:
systemctl restart dovecot
По умолчанию, допустимый размер отправляемого вложения, отправленного через iRedMail может быть размером не больше 15 Мб. Для увеличения этого порога вводим команду:
postconf -e «message_size_limit = 52428800»
* в данном примере выставлен лимит в 50 мб.
Бесплатных аналогов данной системы, на данный момент, не существует. Максимум, можно самостоятельно настроить что-то подобное, установив все компоненты вручную.
Из платных готовых почтовых систем можно отметить:
Продолжая использовать данный сайт вы принимаете политику конфиденциальности и cookies