Levelezőszerver készítése - Debian Jessie alapokon

Debian

Készítettem egy leírást egy levelezőszerver lépésről lépésre történő telepítéséről. A rendszer alapja a nemrég megjelent Debian Jessie, és a következő komponenseket tartalmazza:

  • Postfix
  • Dovecot - sieve és kvóta támogatással
  • Amavis - Clamav és Spamassassin
  • RoundCube - jelszó, üzenetszűrő és vakációs üzenetek kiegészítővel
  • Postfix Admin
  • Apahce, MySQL, PHP (PHP/FPM)

A leírást ezen az oldalon találjátok. Az útmutatót azoknak szántam, akik most ismerkednek a levelezőszerver telepítésével és beállításával, vagyis biztosan találtok a konfigurációkban módosítható és módosítandó beállításokat is. Azonban a célom egy olyan alaprendszer összeállítása volt, amellyel egyáltalán el lehet kezdeni az ismerkedést és a tanulást, de ettől még természetesen minden porcikája működőképes és használható is :-)

A legjobb a "Screenshot" oldaluk. Igy kezdodik:
"Seen enough?" -- hat igen.

Egyebkent ez egy Outlook Web Access koppintas kinezetre.
Ahelyett, hogy a gmail-t masolnak, ahhoz van mostmar mindenki szokva...

Ha lenne egy szabad honapom, akkor a cozy.io email feluletet tennem fel:
https://github.com/cozy-labs/emails

Biztos bugos, tuti reszelni kellene, de *JOL* nez ki...

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( mauser1 v | 2015. 05. 19., k – 13:28 )

Kösz, ez nagyon jól jöhet még.

( procika v | 2015. 05. 19., k – 14:58 )

Csak egy rész kell belőle, de az a legjobbkor jött.

( wowbagger v | 2015. 05. 19., k – 15:04 )

like
-------------------------------------------------------------------------------
Az életben csak egy dolog a szép, de az épp nem jut eszembe.

Slackware Linux 14.1 | 3.10.55-janos

( gyarakilaszlo | 2015. 05. 19., k – 18:06 )

Nagyon hálás vagyok a munkádért! Köszönöm szépen!

( zitev v | 2015. 05. 19., k – 18:18 )

ohhh dejó, kössszike!

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

( gemnon v | 2015. 05. 19., k – 21:02 )

Én még belevettem volna egy policyd-t, bár mint SMB sokáig úgy gondoltam hogy overkill, de amikor kinyomtak egy SASL userel az oroszok 10000 levelet egy nap akkor rájöttem hogy kell (mindig van IQ betyár aki bármilyen noname weboldalnak megadja a jelszavát :P) :)

Hát, senki sem mondta, hogy nem fejleszthető a konfiguráció. Sőt, nagyon is. De először nem ártana egy több részes leírás sorozat, amely pontosan elmagyarázza a már beállított dolgokat (Postfix, Dovecot, Sieve konfigurációs fájlok felépítése, stb). Aztán jöhet a ráépítkezés is. Ha lesz rá elég affinitásom, lehet, hogy megcsinálom azt is. Magyar nyelven nincs túlkínálat ezekből (sem). :-)

Szerintem ez már ízlés vs. pofon kérdése.
Én pl. nem teszek levelezőszerverre spam/vírus/akármi szűrőt, mert van rá jó appliance, ami könnyen telepíthető/használható frontendnek, a levelezőszerverről meg leveszi a terhelést.
Az is igaz, hogy esetemben jellemzően több SMTP/IMAP szerver van egy ilyen appliance mögött, így nyilván ésszerűbb az smtp proxy használata. Ám, ha egy adott helyen egy levelezőszerver van, akkor minek két gép, ha egy helyen is megoldható minden.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Az Appliance esetemben sajna egy 600mhz-es P3-as 256MB RAM-al örülök, hogy az iptables szabályokat és az openvpn-t elbírja, bár most talán sikerül kicserélni egy 2GB sempronra (exWorkstation (tm)) :P (csak még el kell dönteni, hogy Untangle vagy Pfsense legyen a befutó (a BSD-khez eddig sok közöm nem volt (és ez megijeszt) valamiért mégis az tetszik jobban)).

Volt. A 2.4-hez képest borzalmasan gyenge volt a 2.5 széria (50 user körül baromira belassult), ami abból adódott, hogy a /etc/dansguardian/dansguardian.conf.tmpl fájlban a default:

maxchildren = 40
minchildren = 8
minsparechildren = 4
preforkchildren = 6
maxsparechildren = 32
maxagechildren = 1000

Ám átkonfigurálva erre:

maxchildren = 128
minchildren = 64
minsparechildren = 16
preforkchildren = 8
maxsparechildren = 64
maxagechildren = 4000

Megoldotta a problémát. Utólag néztem meg, hogy a 2.4-es szériában még ez volt a default:

maxchildren = 400
minchildren = 32
minsparechildren = 15
preforkchildren = 8
maxsparechildren = 64
maxagechildren = 4000

Utána nézve, a /usr/lib/efw/dansguardian/default/settings-ben konfigurálhatóak az értékek, csak a webfelületre nincs kivezetve (nyilván: vedd meg az UTM-et). Bár az oldal perl, nem lenne nagy kunszt kivezetni, de minek, ha csak egyszer kell kézzel belőni?

A többi dolga (profilok, AD-be léptetés, IP/MAC/domain szintű szűrés, tartalomszűrés - és a listák online frissítési lehetőségei, plusz a havp és a dns blacklist is) nagyon kényelmesen konfigurálható, és a jól belőtt proxyhoz - ez azért eltart egy ideig - utána hónapokig nem kell nyúlni, csak teszi a dolgát. Néha jön egy-egy egyedi kérés, amire lehet egyedi szabályt csinálni, aztán kész.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ez csodás lehetett, ebbe mondjuk pont nem futottam bele. A 3-as verzióval akkor ne is kísérletezz, elég kritikán aluli jelenleg.

Én olyan bugot fedeztem fel, hogy működő VPN mellett, teljesen mindegy hogy melyik hálózatba van bridge-elve a kliens, elérhetetlenné válik a DMZ mind kívülről, mint belülről..

Hehe, van 3-as verzióm, VPN-nel nem egy helyen, több zónával, és semmi bajom.
Trükk: a VPN-t ne bridzseld a GREEN-hez, hanem tedd külön zónába, és eszerint járj el a tűzfalon. Sokkal jobban működik, mint azelőtt, amikor nem így használtam.
A GREEN-be bridzselt OpenVPN-nel nekem is volt bajom.
A IPSEC meg csak 3-as alatt tud több zónát is átküldeni a túloldalnak, mert van benne IKEv2. Ha viszont a túloldalon nincs, csak IKEv1, akkor az EFW-n be kell állítani, hogy csak abban a módban próbáljon kommunikálni.
Szóval VPN szempontból én speciel jobban örülök a 3-asnak, még akkor is, ha van pár nyűgje valóban.
--
PtY - www.onlinedemo.hu, www.westeros.hu

( PtY | 2015. 05. 19., k – 22:28 )

Bár nem olvastam, de az ilyen hozzáállásoknak mindig örülök.
Azon gondolkodott-e már valaki, hogy különféle szerveralkalmazások telepítéséhez/alapkonfigurálásához csinál pl. shell/perl/stb. scriptet, és abból deb csomagot függőségekkel/egyebekkel?
Csak pl.

apt-get install postfix-setup

Felmennek a függőségek, a postinst script bekéri az infókat, konfigolja a cuccot, aztán done.
Lehetne csinálni erre egy repo-t.
--
PtY - www.onlinedemo.hu, www.westeros.hu

Ez így igaz, én is gondoltam, hogy egy szkriptbe beteszem az egészet, aztán hadd szóljon.
De akkor oda az építkezés öröme, aki pedig először telepíti, annak meg egy nagy fekete doboz marad az egész és nem lesz kicsit sem motiválva arra, hogy meg is tanulja, mit is készített el.
Ha pedig nem kell naponta tömegesen csinálnom ilyen telepítést (márpedig nem kell), nekem kifejezetten jól esik az ismétlés. Így legalább hozzáveszem az újdonságokat is.

Mostanaban mar netes bash scriptek divatja divik:
$ wget -qO- https://get.docker.com/ | sh

Vagy:
$ curl -sL https://deb.nodesource.com/setup_0.12 | sudo bash -

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

( kozel | 2015. 05. 19., k – 23:59 )

Nagyon szepen koszonom, mentve a konyvjelzok koze!

( khiraly | 2015. 05. 21., cs – 09:12 )

Szerintem amire mostanaban nagy igeny lenne az a kovetkezo:

Virtualis gepben/kontenerben egy levelezoszerver ami semmi mast nem csinal, csak tovabbitja a leveleket egy gmail-es emailcimre.

A legtobb kisvallalkozasnak eleg, pl: 


ajanlatkeres@betongyurmasz.hu -> kismiska98@gmail.com

Bonuszpontkent gmailhez alkalmazkodva, azaz: 


ajanlatkeres@betongyurmasz.hu -> kismiska98.ajanlatkeres@gmail.com
ugyfelszolgalat@betongyurmasz.hu -> kismiska98.ugyfelszolgalat@gmail.com

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

Hát, tanuláshoz jó lehet, de a legtöbb domainregisztrátor csinál ilyet ingyen, az olcsóbb/egyszerűbb megoldás.

Aztan levelezd le veluk amikor spamlistara kerulnek. Baromira nem erdekli oket, mivel naluk ez egy "szukseges rossz", "marketing", nem business-critical.

Sőt, akkor már . helyett + is mehet, ha nincs igény külön fiókokra.

igen, a . vs + -t beneztem.

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....

> Aztan levelezd le veluk amikor spamlistara kerulnek

Az email forward? :)

Nem a 200 forintos webhoszting mellé ingyen járó inboxokra gondolok, mert azt bottal sem piszkálnám, de a domain mellé legtöbb helyen megoldható az email forwarding.

Azaz ráállítod a címeket sima, mezei Outlook.com/Gmail inboxokra, a kimenő leveleket pedig ezek közül pl. mindkettő tudja küldeni a forward cím nevében, de saját infrastruktúrán keresztül.

( nagysa v | 2015. 05. 21., cs – 10:45 )

Elolvastam.
Nagyon köszönöm a munkádat.

( Pene | 2016. 12. 21., sze – 23:11 )

sohasem gond, ha ez a topik előkerül a süllyesztőből :) és ha már épp egy mailszerverrel töltöttem a napjaimat mostanában, pár ötlet/link/fordítható anyag, amivel még majd ki lehetne egészíteni ezt a jó kis tutorial csomagot:

letsencrypt cert a postfix (a linken DONN LEE kommentje is érdekes lehet) és nginx mögé (+cert auto renew), nginx config a roundcube mögé, spf (+ http://www.kitterman.com/spf/validate.html?), dkim, milterek, dmarc, a tls és a titkosítás csodái stb.

roundcube-nál is fontos lehet (ha már a postfix fel lett készítve) több domain kiszolgálása egy rendszerről.

a mail-tester.com is sokat segíthet debugolásban, finomhangolásban.

és ez az újabb topik is jó ha be van ide linkelve a spam szűrésről, sok okosság elhangzott: http://hup.hu/node/149701