Прикладная некромантия. Перенос почтового сервера, не обновлявшегося пятнадцать лет, на iRedMail / Хабр

Введение

С почтовыми серверами я знаком достаточно хорошо, лично настраивал их с нуля много раз, постоянно администрирую. При этом всегда использовал postfix на различных операционных системах. Это самый популярный бесплатный почтовый сервер, с которым легко работать из-за большого количества документации и руководств.

Функционал у него тоже великолепный. Мне еще ни разу не встречалась задача, которую нельзя бы было реализовать на этом сервере. Хотя с какими-то экзотичными требованиями я не работал, чаще всего это обычные среднестатистические офисные почтовые серверы.

Настроить почтовый сервер не самая простая задача. Лично мне не нравится с ними возиться из-за большого количества всевозможных настроек и элементов, которые нужно между собой связать. Чуть позже я детально разберу все самое основное, что требуется для полноценного почтового сервера.

Недавно мне на глаза попалась готовая сборка для почтового сервера под названием iRedMail. Я решил на нее внимательно посмотреть, потестировать. В ее основе традиционный smtp сервер – postfix. Она мне понравилась, я решил, что ей вполне можно пользоваться. Дальше расскажу о ней поподробнее.

Тонкая настройка почтового сервера

В завершении хочу затронуть несколько полезных моментов в настройке почтового сервера на базе postfix, которые не были рассказаны в других разделах.

Создание копий всех почтовых сообщений postfix

Воспользуемся штатной возможностью почтового сервера postfix – bcc. С помощью этой настройки мы сможем направить всю входящую и исходящую почту в отдельные почтовые ящики. Создадим их перед этим. В моем случае ящики будут называться:

Что такое iredmail?

iRedMail — это почтовый сервер с открытым исходным кодом, богатый функциями, которые помогают упростить развертывание, настройку и общие повседневные почтовые операции для дистрибутивов Linux. Он поддерживается различными дистрибутивами Linux, такими как Ubuntu, Red Hat, Debian, FreeBSD, OpenBSD, CentOS и Rocky Linux 8. iRedMail позволяет создавать бесчисленные почтовые ящики и почтовые домены в веб-панели администратора.

iRedMail предпочтительнее по следующим причинам:

При установке iRedMail автоматически будет установлено следующее программное обеспечение:

Для этого руководства по установке и настройке почтового сервера iRedMail в Rocky Linux 8 вам потребуется следующее:

• Сервер Rocky Linux 8 с минимальным объемом памяти 2 ГБ.
• Пользователь с привилегиями sudo
• Доменное имя почтового сервера

Шаг 5: установите почтовый сервер iredmail на rocky linux 8.

Теперь мы готовы установить iRedMail на Rocky Linux 8. Перейдите в извлеченный каталог.

cd iRedMail-*/

Находясь в каталоге, сделайте файл iRedMail.sh исполняемым.

chmod  x iRedMail.sh

Затем установите iRedMail на Rocky Linux 8, как показано ниже:

sudo ./iRedMail.sh

Необходимые зависимости будут установлены, как показано ниже.

Когда закончите, перейдите к мастеру установки, как показано.

На этой странице нажмите « Да» и продолжите установку.

В следующем окне вам необходимо указать каталог для хранения почтовых ящиков. Внимательно прочтите примечания перед изменением каталога хранения.

Здесь вам необходимо выбрать веб-сервер, который вы хотите использовать. По умолчанию выбран nginx, что все в порядке.

Выберите серверную часть для хранения ваших писем. Здесь у вас есть возможность выбрать тот, с которым вы знакомы. Для целей этого руководства я выберу OpenLDAP.

Если вы выбрали OpenLDAP, вы должны предоставить суффикс LDAP из компонентов вашего доменного имени, как показано ниже.

Установите пароль для пользователя root MySQL.

В следующем окне установите имя домена электронной почты, не похожее на имя вашего хоста.

Введите пароль для администратора почтового домена.

Здесь вам необходимо выбрать дополнительные компоненты. По умолчанию выбраны 4 элемента, поэтому вы просто нажимаете ввод и продолжаете.

Теперь просмотрите и согласитесь с вашими конфигурациями. Введите Y, чтобы начать установку компонентов.

Что такое iredmail

Расскажу своими словами что такое iRedMail и как ей пользоваться. Это набор скриптов для автоматической установки и базовой настройки всех компонентов, необходимых для полноценной работы почтового сервера. Вот список основных программ, которые будут установлены вместе с iRedMail:

Обзор возможностей почтового сервера

Посмотрим, что в данный момент умеет наш почтовый сервер на centos со сборкой iredmail, чтобы мы понимали, на что можно рассчитывать и чего ждать от сервера.

1: установка iredmail

Убедитесь в том, что имя хоста установлено верно и запустите:

2: добавление ssl-сертификата

Примечание: Этот раздел является опциональным.

Вместо самоподписанного сертификата рекомендуется использовать SSL-сертификат, заверенный центром сертификации.

По умолчанию iRedMail создает сертификат и помещает его в /etc/ssl/certs/iRedMail_CA.pem и /etc/ssl/private/iRedMail.key.

Получить бесплатный SSL-сертификат можно на InstantSSL.

Для начала создайте CSR (Certificate Signing Request, запрос на подпись сертификата) и закрытый ключ:

cd /etc/sslopenssl req -out cloudmail.tk.csr -new -newkey rsa:2048 -nodes -keyout cloudmail.tk.key

Это сгенерирует два файла:

• cloudmail.tk.csr (файл запроса на подпись),
• и cloudmail.tl.key (закрытый SSL-ключ, который следует хранить в тайне).

При запросе предоставьте csr-файл (в данном случае cloudmail.tk.csr) на InstantSSL.

После подтверждения запроса вы получите zip-файл сертификата, содержащий:

• cloudmail_tk.ca-bundle (привязка SSL сертификата),
• и cloudmail_tk.crt (SSL-сертификат).

Поместите оба файла в каталог /etc/ssl и отредактируйте /etc/apache2/sites-available/default-ssl:

SSLCertificateFile /etc/ssl/cloudmail.tk.crtSSLCertificateKeyFile /etc/ssl/cloudmail.tk.keySSLCACertificateFile /etc/ssl/cloudmail.tk.ca-bundle.crt

Перезапустите Apache:

service apache2 restart

Graylist

Сразу расскажу о настроенной и активированной функции Greylist, которая вызовет у неподготовленного администратора массу вопросов. Технология называется серый список, подробно о ней можно почитать на википедии. Расскажу своими словами без технической информации как это работает и в чем могут быть проблемы.

Когда вам кто-то первый раз отправляет письмо, почтовый сервер его сразу не принимает, а говорит удаленному серверу, подожди, попробуй еще раз через несколько минут. Удаленный сервер понимает эту просьбу и через несколько минут отправляет письмо еще раз.

Этот механизм очень хорошо отсеивает спам, так как спамеры чаще всего не делают повторных попыток отправить письмо. Не все, конечно, но некоторая часть точно. По моему опыту могу сказать, что большая часть спама отсеивается технологией graylist. Но есть несколько серьезных минусов, из-за которых лично я предпочитаю серые списки не использовать.

Throttle – лимиты

Подробно не разбирался как управлять лимитами без платной панели и зачем они нужны. Чтобы понимать, о чем идет речь, вот скриншот платной панели:

По настройкам понятно, что можно накладывать ограничения на количество отправленных писем, на их максимальный объем в минуту, час, день. Мне не очень понятно, зачем это может пригодиться. На ум приходит защита от спама, если у кого-то увели пароль от почты и пытаются массово рассылать почту с ящика.

Whitelist и blacklist

В iRedMail есть возможность использовать белые и черные списки отправителей и получателей почты. Управлять этими функциями без платной панели управления неудобно. Необходимо все выполнять в консоли сервера. Но по моему опыту такие возможности нужны не очень часто, поэтому можно иногда залезть на сервер и заблокировать кого-нибудь.

Анализ лог файлов postfix с помощью webmin

Для поиска информации в лог файле poistfix удобно использовать плагин webmin для просмотра системных логов. Как установить webmin на centos 7 я писал в отдельной статье. После установки в разделе System -> System logs можно посмотреть системные логи, в том числе maillog.

Лог файл почтового сервера очень насыщен и там на каждую секунду куча событий. Без удобного фильтра сообщений трудно разбираться в ситуации. Приходится либо в консоли грепать лог файл, либо куда-то его копировать и анализировать в более удобных текстовых редакторах.

Я лично привык использовать webmin для этих целей. Мне кажется это удобным. Особенно удобно, когда нужно несколько файлов просматривать одновременно. Я их просто открываю в разных вкладках браузера и анализирую. Главное отключить в настройках модуля поиск по сжатым файлам.

Антивирус clamav

В сборку iredmail включен бесплатный антивирус clamav. Лично я не вижу в нем никакого смысла. По почте вирусы давно уже не рассылают, а если рассылают, то ссылки на них. Лишнюю нагрузку на систему в виде антивируса считаю ненужной. Если у вас другое мнение, поделитесь и аргументируйте. Расскажу позже, как отключить антивирус.

Включение и отключение модулей почты

Разберемся с тем, как нам включать или отключать ненужные модули. В комплекте iRedMail есть написанный на питоне модуль iRedAPD. У него есть конфигурационный файл, который управляет основными возможностями почтового сервера. Идем в консоль сервера.

В папке /opt/iredapd файл settings.py с основными настройками. Я рекомендую отключить все те модули, которыми вы не будете пользоваться. Это упростит конфигурацию системы, уменьшит нагрузку, сделает проще разбор логов. В конфигурационном файле есть параметр plugins.

plugins = ["reject_null_sender", "reject_sender_login_mismatch", "greylisting", "throttle", "amavisd_wblist", "sql_alias_access_policy"]

Для того, чтобы отключить метод фильтрации почты с помощью серых списков, удалите модуль greylisting из указанной строки. После этого перезапустите службу iRedAPD командой.

# service iredapd restart

Я не разбирался с работой лимитов на отправку и получение почты. Точнее я не смотрел, как ими управлять без платной панели. В связи с этим, данный модуль можно тоже отключить. Он называется throttle. Остальное можно оставить.

Вход в iredmail.

Управляйте журналами в iRedMail, щелкнув вкладку « Действия » и выбрав журнал для нужного пользователя.

Под кнопкой выбора действия находятся следующие действия:

В качестве альтернативы, добавить домен, пользователя или администратора можно легко с помощью кнопки   , как показано.

Выключение selinux

iRedMail не работает с SELinux, поэтому отключите его, установив указанное ниже значение в своем конфигурационном файле /etc/selinux/config. После перезагрузки сервера SELinux будет полностью отключен.

SELINUX=disabled

Чтобы отключить SELinux для текущей сессии без перезагрузки запустите команду с правами суперпользователя:

# setenforce 0

Выключение сторонних репозиториев

Для CentOS включите официальные репозитории yum CentOS-Base и ОТКЛЮЧИТЕ все сторонние репозитории yum, чтобы избежать конфликта пакетов.

Добавьте домены и учетные записи на iredmail.

Это достигается путем перехода на вкладку «Добавить домены и учетные записи », как показано.

Находясь на этой вкладке, нажмите кнопку  Добавить домен в крайнем правом углу и введите необходимые данные. После этого нажмите Добавить, и домен будет успешно добавлен.

Добавьте учетные записи администратора и пользователя.

Перейдите на вкладку « Администраторы », как показано.

Нажмите Добавить администратора и введите необходимые учетные данные.

Изменить сертификат для iredmail — freebsd —

Максимальный размер письма

Важным параметром является максимально разрешенный размер письма. В бесплатной версии для его изменения нужно отредактировать конфигурацию postfix. Сделать это не трудно. За размер письма отвечает параметр в файле /etc/postfix/main.cf – message_size_limit = 15728640.

Размер указан в байтах. Значение по-умолчанию 15 мегабайт. Мне кажется удобнее будет установить его в 20 мегабайт. Слишком большое значение не ставьте, пользователи забьют свои почтовые ящики огромными вложениями и это осложнит администрирование сервера. После изменения параметра необходимо перечитать конфигурацию postfix.

# postfix reload
postfix/postfix-script: refreshing the Postfix mail system

Миграция

На этом этапе записи DNS были переключены на использование нового почтового сервера. Сделано это было в пятницу вечером, с предупреждением пользователей за неделю через общую рассылку. Как только волна обновлений дошла до заокеанских DNS, был подключён сертификат Let’s Encrypt по мануалу iRedMail.

Также на этом этапе обязательно следовало ограничить количество отсылаемых писем в день. Я это сделал гораздо позже, когда последовала волна взломов аккаунтов из-за недостаточно надёжных паролей (пользователи привыкли, что почта работает на отправку только внутри сети, и широко использовали цифровые пароли и вариации qwerty) и постовик загремел в блоклисты спамеров.

Сотни в день будет достаточно:

На будущее

Что хотел бы реализовать, но пока не дошли руки:

На этом всё. Сервер работает с начала этого года. К концу года переедет с CentOs на что-то ещё по известным причинам. Но это будет уже совсем не так романтично, как переносить старый почтовик на Slackware.

Настройка автоответчика

Рассмотрим еще одну возможность, полезную в обычной работе – настройка автоответчика. Например, пользователь заболел или ушел в отпуск. В его почтовом ящике делается специальная настройка, которая при входящем письме шлет автоответ с заготовленным текстом отправителю.

Настраивается автоответ через roundcube. Для этого заходите под своей учетной записью, переходите в раздел настройки и там выбирайте меню Отпуск.

На вкладке дополнительные настройки можно указать адрес для отправки копий.

Сохраняете настройку и проверяете на всякий случай. Все должно работать. Загляните так же в лог и убедитесь, что письмо отправляется теперь помимо адресата, бэкапных ящиков, еще и в ящик заместителя. Хорошая и полезная возможность, рекомендую ее использовать. Напишите небольшую инструкцию для пользователей, пусть сами заходят и настраивают автоответ и переадресацию.

На этом, пожалуй, заканчиваю настройку почтового сервера на centos на базе iredmail и postfix.

Общая адресная книга

Удобный функционал, но я пока не разбирался подробно как это работает. Подозреваю, что если использовать в качестве базы данных не mysql, а ldap, то можно без проблем подключить глобальную адресную книгу через ldap в любом почтовом клиенте, где это реализовано.

В roundcube такого функционала я не нашел. Так что этот вопрос открытый. Функция удобная и нужная, возможно позже я отдельно рассмотрю этот момент. Я всегда использую в качестве адресной книги ldap каталог Active Directory, если в организации настроен домен. Это удобно. Все пользователи там заведены, достаточно просто указать им email и подключать адресную книгу в почтовых клиентах.

Один сертификат для всех доменных имен или несколько сертификатов?

Nginx и Dovecot могут использовать разные сертификаты для разных доменных имен (SNI), но Postfix — нет.  Потому мы рекомендуем использовать один SSL-сертификат, который покрывает сразу все необходимые имена.

Подготовка

Актуализация аккаунтов началась с изучения Sendmail, с которым сталкивался до этого лет пятнадцать назад.

В /etc/mail/aliases находятся алиасы, а также списки рассылки, в том числе и самый для меня на тот момент полезный — рассылка всем пользователям.

В /etc/mail/access находятся правила обработки писем и забитая вручную первичная фильтрация. Они мне понадобятся чуть позже.

Подключение сертификатов let’s encrypt

Во время установки iRedMail были созданы самоподписанные сертификаты, которые были подключены ко всем сервисам (dovecot, postfix, nginx). Для подключения сертификатов Let’s Encrypt вместо них проще всего будет создать символьные ссылки с папки сертификатов Let’s Encrypt в папку сертификатов iRedMail. При этом не потребуется редактировать какие-либо конфигурационные файлы служб.

Создаем символьные ссылки, предварительно переименовав оригинальные файлы сертификатов:

~# mv /etc/pki/tls/certs/iRedMail.crt{,.bak} # Backup. Rename iRedMail.crt to iRedMail.crt.bak
~# mv /etc/pki/tls/private/iRedMail.key{,.bak} # Backup. Rename iRedMail.key to iRedMail.key.bak
~# ln -s /etc/letsencrypt/live/iredmail.mytestsite.co.ua/fullchain.pem /etc/pki/tls/certs/iRedMail.crt
~# ln -s /etc/letsencrypt/live/iredmail.mytestsite.co.ua/privkey.pem /etc/pki/tls/private/iRedMail.key

Перезапускаем службы:

~# service postfix restart
~# service dovecot restart
~# service nginx restart
~# service mariadb restart

Помогла статья? подписывайся на telegram канал автора

Анонсы всех статей, плюс много другой полезной и интересной информации, которая не попадает на сайт.

Последствия

По счастью, вся вертикаль власти от меня до директора весьма прогрессивная. Поток концентрированного недовольства от консерваторов был ожидаем, и от меня требовались только корректность и терпение. Критически недовольными изменениями были всего несколько пользователей, что составило менее 2% от их общего числа. Однозначный успех мероприятия.

Из-за слишком нового SSL отвалились старые версии TheBat (да, его ещё используют и даже пришлось покупать ключи от актуальной версии для совсем непримиримых пользователей).

Как я уже говорил выше, для некоторых пользователей весь процесс прошёл мимо их внимания, так что некоторые аккаунты приходилось доставать со старого сервера спустя почти год после того, как они перестали работать после внесения в блоклист. Со слов пользователей, аккаунты исключительно важные и часто используемые. Поверил им на слово.

Для нормальной работы оповещалок UPS-ов и части самописных сервисов института разрешил отправку сообщений с внутренних IP без авторизации с несуществующих аккаунтов:

Предпосылки

Началось всё со смены основного места работы. Полтора года назад я пошёл работать системным администратором в гражданский московский НИИ. Далеко не самый богатый и известный, но вполне современный и развивающийся. Основной челлендж был в том, что IT-отдел в институте отсутствовал.

IT-инфраструктура там активно развивалась в начале нулевых отдельными энтузиастами, но люди приходили и уходили, разрозненные очаги прогресса бессистемно зажигались и гасли, многие сервисы так и остались замороженными во времени, поддерживаемые операторами без попыток глобальных обновлений.

Первой и основной моей задачей, а заодно и центральным заданием на испытательный срок, стал доменный почтовый сервер. При приёме на работу пришлось обойти довольно много сотрудников, и многие, узнав, что я устраиваюсь админом, спрашивали именно про почтовый сервер.

Проверьте dns-записи для ваших  доменных имен

Убедитесь, что все используемые домены (субдомены) направлены А-записями на IP-адрес вашего сервера. Можно проверить это при помощи команды dig:

~$ dig  short iredmail.mytestsite.co.ua
194.28.87.18

Если в ответ на команду вы получите IP-адрес сервера — все настроено правильно.

Требования

Данное руководство было выполнено на двуядерном сервере Ubuntu 12.04 x64 с 2GB RAM.

На данный момент помимо остальных дистрибутивов iRedMail поддерживается системами Ubuntu 12.04 LTS и Ubuntu 13.04.

При необходимости использовать доменное имя назовите свой сервер этим доменным именем, которое впоследствии станет его именем хоста и обратной DNS-записью.

Обратите внимание: для выполнения данного руководства использовался свободный домен cloudmail.tk.

Установите и настройте iredmail в rocky linux 8

При соблюдении вышеуказанных условий мы перейдем к установке iRedMail на Rocky Linux 8, как показано ниже.

Установите правильное имя вашего сервера

Имя сервера (hostname) должно быть полностью определенным доменным именем (FQDN), неважно, настраиваете вы рабочий или  тестовый сервер. Проверить имя сервера можно, выполнив команду:

Установка iredmail

Я буду настраивать почтовый сервер на CentOS 7. Если у вас еще не готов сервер, то рекомендую мои материалы – установка и базовая настройка CentOS. Каких-то особых требований к установке нет. Для системы достаточно раздела 20-30 гигабайт.

Для почтовой базы рекомендую отдельный раздел с достаточным свободным местом. Начать можно хотя бы с 200 гигабайт. Но это не обязательно, для теста можете все сделать на одном разделе. Потом, если появится необходимость, просто перенесете всю базу в другое место с помощью символьной ссылки. Когда все будет готово, приступайте к установке iRedMail.

Если не будете смотреть мою статью по базовой настройке, то не забудьте отключить SELinux, без этого iRedMail нормально работать не будет. Это обязательное требование, указанное на сайте разработчика. Так же не рекомендую отключать firewalld, если не хотите настраивать iptables вручную, iredmail автоматически настраивает iptables.

Установка неплохо описана на самом сайте продукта. Можете подсматривать туда, если что-то будет непонятно. Идем на страницу загрузки и копируем ссылку для загрузки.

Скачиваем скрипт установки iRedMail и распаковывем.

Шаг 1: добавьте репозиторий epel в rocky linux 8.

Мы начнем с добавления репозитория EPEL в нашу систему Rocky Linux 8, чтобы иметь возможность устанавливать зависимости пакетов.

sudo yum -y install epel-release
sudo yum config-manager --set-enabled powertools

Выполнив вышеуказанные команды, обновите и перезагрузите вашу систему.

sudo dnf -y update
sudo systemctl reboot

Шаг 3. установите selinux в разрешающий режим

Чтобы сервер iRedMail работал в вашей системе Rocky Linux 8, вам необходимо перевести SELinux из принудительного режима в разрешающий, как показано ниже.

sudo setenforce 0
sudo sed -i 's/^SELINUX=.*/SELINUX=permissive/g' /etc/selinux/config

Проверьте статус SELinux.

$ sestatus 
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   permissive
Mode from config file:          permissive
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Memory protection checking:     actual (secure)
Max kernel policy version:      33

Шаг 4: загрузите iredmail для rocky linux 8

Последний стабильный выпуск iRedMail загружается с официальной страницы загрузок.

На момент документирования этого руководства последняя версия — v1.4. Кроме того, вы можете вытащить его с помощью команды cURL, как показано ниже.

Шаг 9. защитите iredmail с помощью ssl-сертификатов let’s encrypt

И пользователи настольного почтового клиента, и пользователи веб-клиента увидят предупреждение при доступе к панели веб-администратора, поскольку сервер iRedMail использует самозаверяющий сертификат TLS. Эту проблему можно решить, получив и установив бесплатный сертификат Let’s Encrypt. Обратитесь к приведенному ниже руководству о том, как:

Безопасный сервер iRedMail с SSL-сертификатом Let’s Encrypt

Заключение.

На этом заканчивается наше руководство по установке и настройке почтового сервера iRedMail в Rocky Linux 8. Надеюсь, вам понравилось!

Заключение

Подведем итог работы по настройке почтового сервера. Я постарался рассмотреть наиболее полезные и значимые возможности и настройки на основе своего опыта эксплуатации почтовых серверов postfix. Конечно, я не раскрыл всех нюансов. Отдельно надо рассмотреть вопрос бэкапа почтового сервера, а точнее почтовых ящиков пользователей.

Там есть свои нюансы и сложности. Связаны они в первую очередь с тем, что каждое письмо это отдельный файл. Офис человек в 100-150 генерирует очень много почтового трафика, который будет состоять из десятков тысяч файлов в месяц. А за 5 лет накопятся терабайтные архивы очень важных писем менеджеров, которые нужно будет где-то хранить и быстро отдавать пользователям.

Есть еще много более ли менее полезных функций и возможностей, которые можно добавить и использовать. Например, борьба со спамом штатными возможностями postfix с помощью разных restrictions. Отдельно надо рассматривать вопрос общих почтовых папок, это может быть интересно и полезно.

Вопрос сертификатов и dkim я не затронул вообще. По мере возможностей, постараюсь раскрывать эти темы и делиться опытом. Но все не успеваю. Ко мне опыт приходит быстрее, чем я успеваю им делиться 🙂 Очередь из статей и планов уже очень большая выстроилась.

На этом заканчиваю, надеюсь вам будет полезна моя статья. Я писал ее почти неделю с разной интенсивностью, обдумывая нюансы и подбирая полезные вещи. Буду рад комментариям, а особенно подсказкам и каким-то советам по улучшению работы и расширению функционала почтового сервера.

Напоминаю, что данная статья является частью единого цикла статьей про сервер Centos.