Asenna ja integroi rspamd

Tämä on sähköpostipalvelimen määrittämisen ja määrittämisen kolmas osa. Tässä opetusohjelmassa käydään läpi Rspamd-roskapostisuodatusjärjestelmän asennus ja määritykset sekä sen integrointi postipalvelimeemme luomalla DKIM- ja DMARC DNS-tietueet.

Saatat kysyä, miksi valitsemme mennä Rspamdin kanssa emmekä Spamassassinin kanssa. Rspamdia ylläpidetään ja kirjoitetaan aktiivisemmin C-kielellä ja se on paljon nopeampaa kuin Perl-kirjoitettu Spamassassin. Toinen syy on se, että Rspamd toimitetaan DKIM-allekirjoitusmoduulin kanssa, joten meidän ei tarvitse käyttää toista ohjelmistoa lähtevien sähköpostien allekirjoittamiseen.

edellytykset

Ennen kuin jatkat tätä opetusohjelmaa, varmista, että olet kirjautunut sisään käyttäjänä, jolla on sudo-oikeudet.

Asenna Redis

Rspamd käyttää Redis-sovellusta tallennus- ja välimuistijärjestelmänä sen asentamiseen vain suorittamalla:

sudo apt install redis-server

Asenna Ei sitoumuksia

Ei sitoumuksia on erittäin turvallinen validoiva, rekursiivinen ja välimuistissa oleva DNS-ratkaisu.

Tämän palvelun asennuksen päätarkoitus on vähentää ulkoisten DNS-pyyntöjen määrää. Tämä vaihe on valinnainen ja voidaan ohittaa.

sudo apt update sudo apt install unbound

Oletusarvoisten sitoutumattomien asetusten tulisi olla riittäviä useimmille palvelimille.

Aseta sitoutumaton palvelimen ensisijaiseksi DNS-ratkaisijaksi suorittamalla seuraavat komennot:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Jos et käytä resolvconf tiedostoa, sinun on muokattava /etc/resolv.conf manuaalisesti.

Asenna Rspamd

Asennamme Rspamdin uusimman vakaan version virallisesta arkistostaan.

Aloita asentamalla tarvittavat paketit:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Lisää arkiston GPG-avain apt-lähteiden avainsanoihin seuraavalla wget-komennolla:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Ota Rspamd-arkisto käyttöön suorittamalla:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Kun arkisto on otettu käyttöön, päivitä pakettihakemisto ja asenna Rspamd seuraavilla komennoilla:

sudo apt update sudo apt install rspamd

Määritä Rspamd

Varastotiedostojen muokkaamisen sijasta luomme /etc/rspamd/local.d/local.d/ hakemistoon uusia tiedostoja, jotka korvaavat oletusasetuksen.

Oletusarvon mukaan Rspamdin normal worker , sähköpostiviestejä skannaava työntekijä, kuuntelee kaikkia portin 11333 rajapintoja. Luo seuraava tiedosto määrittääksesi Rspamd-normaalin työntekijän kuuntelemaan vain localhost-käyttöliittymää:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

proxy worker kuuntelee porttia 11332 ja tukee milter-protokollaa. Jotta Postfix voi kommunikoida Rspamdin kanssa, meidän on otettava käyttöön milter-tila:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Seuraavaksi meidän on määritettävä salasana controller worker joka tarjoaa pääsyn Rspamd-verkkoliittymään. Salatun salasanan luominen:

rspamadm pw --encrypt -p P4ssvv0rD

Lähdön tulisi näyttää noin:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Muista vaihtaa salasana ( P4ssvv0rD ) jotain turvallisempaa.

Kopioi salasana päätelaitteestasi ja liitä se asetustiedostoon:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Myöhemmin konfiguroimme Nginxin käänteisenä välityspalvelimena ohjaimen työntekijän verkkopalvelimelle, jotta pääsemme Rspamd-verkkoon.

Aseta Redis Rspamd-tilastojen taustana lisäämällä seuraavat rivit classifier-bayes.conf tiedostoon:

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Avaa milter_headers.conf tiedosto ja aseta milter-otsikot:

/etc/rspamd/local.d/milter_headers.conf

use =;

Löydät lisätietoja pehmeästä otsikosta täältä.

Käynnistä lopuksi Rspamd-palvelu, jotta muutokset tulevat voimaan:

sudo systemctl restart rspamd

Määritä Nginx

Tämän sarjan ensimmäisessä osassa loimme Nginx-palvelinlohkon PostfixAdmin-ilmentymään.

Avaa Nginx-määritystiedosto ja lisää seuraava sijaintidirektiivi, joka on korostettu keltaisella:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Lataa Nginx-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl reload nginx

Siirry sivulle https://mail.linuxize.com/rspamd/ , kirjoita salasana, jonka olet aikaisemmin luonut rspamadm pw -komennolla, ja sinulle annetaan Rspamd-verkkoliitäntä.

Määritä Postfix

Meidän on määritettävä Postfix käyttämään Rspamd milter -sovellusta.

Suorita seuraava komento päivittääksesi Postfix-päämääritystiedoston:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Käynnistä Postfix-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl restart postfix

Määritä Dovecot

Olemme jo asentaneet ja konfiguroineet Dovecotin tämän sarjan toiseen osaan, ja nyt asennamme seulansuodatusmoduulin ja integroimme Dovecotin Rspamdiin.

Aloita asentamalla Dovecot-suodatusmoduuli:

sudo apt install dovecot-sieve dovecot-managesieved

Kun paketit on asennettu, avaa seuraavat tiedostot ja muokkaa keltaisella korostettuja rivejä.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Tallenna ja sulje tiedostot.

Luo hakemisto seulakomentosarjoille:

mkdir -p /var/mail/vmail/sieve/global

Luo maailmanlaajuinen seulansuodatin siirtääksesi roskapostiksi merkityt sähköpostit Spam hakemistoon:

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

Seuraavat kaksi seulakomentosarjaa käynnistetään aina, kun siirrät sähköpostia Spam hakemistoon tai siitä:

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Käynnistä Dovecot-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl restart dovecot

Käännä seulakomentosarjat ja aseta oikeat käyttöoikeudet:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Luo DKIM-avaimet

DomainKeys Identified Mail (DKIM) on sähköpostitodennusmenetelmä, joka lisää salatun allekirjoituksen lähtevän viestin otsikoihin. Sen avulla vastaanottaja voi varmistaa, että kyseisen verkkotunnuksen omistaja on todella valtuuttanut tietystä verkkotunnuksesta peräisin olevan sähköpostin. Tämän päätarkoitus on estää väärennettyjä sähköpostiviestejä.

Meillä voi olla erilaisia ​​DKIM-avaimia kaikille verkkotunnuksillemme ja jopa useita avaimia yhdelle verkkotunnukselle, mutta tämän artikkelin yksinkertaisuuden vuoksi aiomme käyttää yhtä DKIM-avainta, jota voidaan myöhemmin käyttää kaikissa uusissa verkkotunnuksissa.

Luo uusi hakemisto DKIM-avaimen tallentamiseksi ja luo uusi DKIM-avainpari rspamadm apuohjelman avulla:

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

Yllä olevassa esimerkissä käytämme mail DKIM-valitsimena.

Sinulla pitäisi nyt olla kaksi uutta tiedostoa hakemistossa /var/lib/rspamd/dkim/ , mail.key joka on yksityinen avaintiedostomme, ja mail.pub tiedosto, joka sisältää julkisen DKIM-avaimen. Päivitämme DNS-vyöhykerekisterimme myöhemmin.

Aseta oikea omistajuus ja käyttöoikeudet:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Nyt meidän on kerrottava Rspamdille, mistä etsiä DKIM-avainta, valitsimen nimi ja viimeinen rivi mahdollistavat DKIM-allekirjoittamisen alias-lähettäjän osoitteille. Luo uusi tiedosto, jolla on seuraava sisältö:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Rspamd tukee myös todennettujen vastaanotettujen ketjujen (ARC) allekirjoitusten allekirjoittamista. Löydät lisätietoja ARC-eritelmistä täältä.

Rspamd käyttää DKIM-moduulia käsittelemään ARC-allekirjoituksia, jotta voimme yksinkertaisesti kopioida edellisen kokoonpanon:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Käynnistä Rspamd-palvelu uudelleen, jotta muutokset tulevat voimaan:

sudo systemctl restart rspamd

DNS-asetukset

Olemme jo luoneet DKIM-avainparin ja nyt meidän on päivitettävä DNS-vyöhykkeemme. DKIM-julkinen avain tallennetaan mail.pub tiedostoon. Tiedoston sisällön tulisi näyttää tältä:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Luomme myös verkkotunnuspohjaisen viestin todennuksen ( DMARC ), joka on tarkoitettu kertomaan vastaanottavalle palvelimelle, hyväksyykö se tietyltä lähettäjältä sähköpostin vai ei. Pohjimmiltaan se suojaa verkkotunnustasi suoralta verkkotunnuksen väärentämiseltä ja parantaa verkkotunnuksesi mainetta.

panemme täytäntöön seuraavan DMARC-käytännön:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Lasketaan yllä oleva DMARC-ennätys:

• v=DMARC1 - Tämä on DMARC-tunniste p=none - Tämä kertoo vastaanottimelle, mitä tehdä viesteille, jotka epäonnistuvat DMARC. Meidän tapauksessamme se on asetettu arvoon nolla, mikä tarkoittaa, ettei ryhdytä toimiin, jos viesti epäonnistuu DMARC. Voit käyttää myös 'hylkää' tai quarantine adkim=r ja aspf=r - aspf=r ja SPF kohdistus, r adkim=r ja s aspf=r tapauksessa käytämme rentouttavaa kohdistusta sekä DKIM: lle että SPF: lle.

Sama kuin aikaisemmin, jos käytät omaa Bind DNS -palvelinta, sinun on vain kopioitava ja liitettävä tietue verkkotunnusalueesi tiedostoon, ja jos käytät toista DNS-palveluntarjoajaa, sinun on luotava TXT-tietue nimellä _dmarc ja v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; arvona / sisällönä.

DNS-muutosten eteneminen voi viedä hetken. Voit tarkistaa, ovatko tietueet etenneet dig-komennolla:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Voit myös tarkistaa verkkotunnuksesi nykyisen DMARC-käytännön tai luoda oman DMARC-käytäntösi täällä.

johtopäätös

Se on se tässä opetusohjelman osassa. Jatkamme tämän sarjan seuraavassa osassa RoundCube-asennusta ja -määritystä.

postipalvelin postfix dovecot dns rspamd

Tämä viesti on osa sähköpostipalvelinsarjan määrittämistä ja määrittämistä.

Muut tämän sarjan viestit:

• Sähköpostipalvelimen määrittäminen PostfixAdminilla. • Asenna ja määritä Postfix ja Dovecot. • Asenna ja integroi Rspamd. • Asenna ja määritä Roundcube Webmail