Instalirajte i integrirajte rspamd

Ovo je treći dio našeg postavljanja i konfiguriranja poslužitelja pošte. U ovom ćemo vodiču proći instalaciju i konfiguraciju sustava za filtriranje neželjene pošte Rspamd i njegovu integraciju u naš poslužitelj pošte, stvarajući DKIM i DMARC DNS zapise.

Možete pitati zašto odabiremo da ide s Rspamdom, a ne sa Spamassassinom. Rspamd se aktivnije održava i piše u C-u i mnogo je brži od Spamassassina-a koji piše na Perlu. Drugi razlog je što Rspamd dolazi s modulom za potpisivanje DKIM-a, tako da nećemo morati koristiti drugi softver za potpisivanje naših odlaznih e-poruka.

Preduvjeti

Prije nego što nastavite s ovim vodičem, provjerite jeste li prijavljeni kao korisnik s povlasticama sudo.

Instalirajte Redis

Redis će Rspamd koristiti kao sustav za pohranu i predmemoriranje, da bi ga instalirali samo pokrenite:

sudo apt install redis-server

Instalirajte nevezano

Nepovezano je vrlo siguran provjeravajući, rekurzivni i keširajući DNS rezoluciju.

Glavna svrha instaliranja ove usluge je smanjenje broja vanjskih DNS zahtjeva. Ovaj korak nije obavezan i može se preskočiti.

sudo apt update sudo apt install unbound

Zadane postavke Unbound moraju biti dovoljne za većinu poslužitelja.

Da biste postavili nevezano kao primarni DNS rezoluciju vašeg poslužitelja, pokrenite sljedeće naredbe:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Ako ne koristite resolvconf tada morate / ručno urediti /etc/resolv.conf datoteku.

Instalirajte Rspamd

Instalirat ćemo najnoviju stabilnu verziju Rspamda iz njegovog službenog spremišta.

Započnite instaliranjem potrebnih paketa:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Dodajte GPG ključ spremišta u svoj ključ pogodnih izvora pomoću sljedeće wget naredbe:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Omogućite spremište Rspamd pokretanjem:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Nakon što je spremište omogućeno ažurirajte indeks paketa i instalirajte Rspamd koristeći sljedeće naredbe:

sudo apt update sudo apt install rspamd

Konfigurirajte Rspamd

Umjesto izmjene datoteka dionica config, stvorit ćemo nove datoteke u direktoriju /etc/rspamd/local.d/local.d/ koje će prebrisati zadane postavke.

Prema zadanom normal worker Rspamda, radnik koji skenira poruke e-pošte preslušava na svim sučeljima na portalu 11333. Stvorite sljedeću datoteku da biste konfigurirali Rspamd-ovog normalnog radnika da sluša samo sučelje localhost:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

proxy worker sluša na portalu 11332 i podržava milter protokol. Da bi Postfix mogao komunicirati s Rspamdom, moramo omogućiti način milter:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Zatim moramo postaviti lozinku za controller worker poslužitelj controller worker koji pruža pristup web sučelju Rspamd. Za generiranje šifrirane lozinke pokrenite:

rspamadm pw --encrypt -p P4ssvv0rD

Izlaz bi trebao izgledati ovako:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Ne zaboravite promijeniti lozinku ( P4ssvv0rD ) u nešto sigurnije.

Kopirajte lozinku s terminala i zalijepite je u konfiguracijsku datoteku:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Kasnije ćemo konfigurirati Nginx kao obrnuti proxy na web poslužitelju radnika kontrolera kako bismo mogli pristupiti web sučelju Rspamd.

Postavite Redis kao pomoćnu pomoć za statistiku Rspamd dodavanjem sljedećih redaka u datoteku classifier-bayes.conf :

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Otvorite datoteku milter_headers.conf i postavite zaglavlja miltera:

/etc/rspamd/local.d/milter_headers.conf

use =;

Ovdje možete pronaći više informacija o zaglavljama miltera.

Na kraju ponovno pokrenite Rspamd uslugu da bi promjene nastupile na snazi:

sudo systemctl restart rspamd

Konfigurirajte Nginx

U prvom dijelu ove serije stvorili smo Nginx blok poslužitelja za instancu PostfixAdmin.

Otvorite konfiguracijsku datoteku Nginx i dodajte sljedeću direktivu o lokaciji, onu koja je označena žutom bojom:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Učitajte ponovo Nginx uslugu da bi promjene stupile na snagu:

sudo systemctl reload nginx

rspamadm pw na https://mail.linuxize.com/rspamd/ , unesite lozinku koju ste prethodno stvorili pomoću naredbe rspamadm pw i prikazat će vam se web sučelje Rspamd.

Konfiguriranje Postfiksa

Moramo konfigurirati Postfix da se koristi milter Rspamd.

Izvršite sljedeću naredbu za ažuriranje glavne konfiguracijske datoteke Postfix:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Ponovno pokrenite Postfix uslugu da bi promjene stupile na snagu:

sudo systemctl restart postfix

Konfigurirajte Dovecot

Već smo instalirali i konfigurirali Dovecot u drugom dijelu ove serije, a sada ćemo instalirati modul za filtriranje sieve i integrirati Dovecot s Rspamdom.

Započnite instaliranjem Dovecot modula za filtriranje:

sudo apt install dovecot-sieve dovecot-managesieved

Nakon instaliranja paketa otvorite sljedeće datoteke i uredite linije označene žutom bojom.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Spremite i zatvorite datoteke.

Napravite direktorij za skripte za sito:

mkdir -p /var/mail/vmail/sieve/global

Napravite globalni filtar za sito da biste e-poštu označenu kao neželjenu premjestili u direktorij Spam :

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

Sljedeća dva sita skripta aktivirat će se svaki put kad premjestite e-poštu u ili iz Spam direktorija:

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Ponovo pokrenite Dovecot uslugu da bi promjene stupile na snagu:

sudo systemctl restart dovecot

Sastavite sito skripte i postavite ispravna dopuštenja:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Izradite DKIM ključeve

Identificirana poštanska adresa domene (DKIM) je metoda provjere identiteta e-pošte koja dodaje kriptografski potpis izlaznim zaglavljima poruka. To omogućuje primatelju da provjeri je li e-poštu za koju tvrdi da potječe iz određene domene stvarno ovlašten od vlasnika te domene. Glavna svrha toga je spriječiti krivotvorene poruke e-pošte.

Možemo imati različite DKIM ključeve za sve naše domene, pa čak i više ključeva za jednu domenu, ali za jednostavnost ovog članka koristit ćemo jedan ključ DKIM koji se kasnije može koristiti za sve nove domene.

Napravite novi direktorij za spremanje DKIM ključa i generiranje nove DKIM tipke pomoću rspamadm programa rspamadm :

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

U gornjem primjeru koristimo mail kao birač DKIM-a.

Sada bi trebali imati dvije nove datoteke u /var/lib/rspamd/dkim/ direktoriju, mail.key koja je naša datoteka privatnog ključa i mail.pub datoteku koja sadrži javni ključ DKIM-a. Kasnije ćemo ažurirati naše zapise o DNS zoni.

Postavite ispravno vlasništvo i dozvole:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Sada moramo reći Rspamdu gdje tražiti DKIM ključ, ime selektora i zadnji redak omogućit će potpisivanje DKIM-a za pseudonim adrese pošiljatelja. Da biste to stvorili, stvorite novu datoteku sa sljedećim sadržajem:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Rspamd također podržava potpisivanje potpisa za autentificirani primljeni lanac (ARC). Ovdje možete pronaći više informacija o ARC specifikaciji.

Rspamd koristi DKIM modul za obradu potpisa ARC-a tako da jednostavno možemo kopirati prethodnu konfiguraciju:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Ponovno pokrenite Rspamd uslugu da bi promjene stupile na snagu:

sudo systemctl restart rspamd

DNS postavke

Već smo stvorili par ključeva DKIM i sada moramo ažurirati našu DNS zonu. Javni ključ DKIM-a pohranjuje se u datoteci mail.pub . Sadržaj datoteke trebao bi izgledati ovako:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Također ćemo izraditi provjeru autentifikacije poruke temeljene na domeni ( DMARC ) koja je osmišljena da obavijesti prijemni poslužitelj hoće li prihvatiti e-poštu određenog pošiljatelja ili ne. U osnovi će zaštititi vašu domenu od izravnog krivotvorenja domena i poboljšati ugled vaše domene.

provodit ćemo sljedeće DMARC politike:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Raščlanimo gornji DMARC zapis:

• v=DMARC1 - Ovo je DMARC identifikator p=none - Ovo govori primatelju što da radi s porukama koje ne odgovaraju DMARC-u. U našem slučaju je postavljeno na nijedno, što znači da ne poduzimate ništa ako poruka ne uspije s DMARC-om. Također možete koristiti 'odbiti' ili quarantine adkim=r i aspf=r - poravnanje DKIM i SPF , r za opušteno i s za strogo, u našem slučaju koristimo opušteno poravnanje i za DKIM i za SPF.

Isto kao i prije ako imate vlastiti Bind DNS poslužitelj, jednostavno morate kopirati i zalijepiti zapis u datoteku svoje zone domena, a ako koristite drugog DNS davatelja, potrebno je stvoriti TXT zapis s _dmarc kao imenom i v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; kao vrijednost / sadržaj.

Proširivanje DNS promjena može potrajati neko vrijeme. Možete provjeriti jesu li se zapisi razmnožavali pomoću naredbe dig:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Ovdje možete provjeriti i trenutnu DMARC politiku svoje domene ili ovdje stvoriti svoju DMARC politiku.

Zaključak

To je to za ovaj dio udžbenika. U sljedećem dijelu ove serije nastavit ćemo s instalacijom i konfiguracijom RoundCube-a.

poslužitelj pošte postfix dovecot dns rspamd

Ovaj je post dio postavljanja i konfiguriranja serije poslužitelja e-pošte.

Ostali postovi u ovoj seriji:

• Postavljanje poslužitelja pošte s PostfixAdmin • Instalacija i konfiguriranje Postfixa i Dovecota • Instalacija i integracija Rspamda • Instalacija i konfiguriranje Roundcube Webmail