Howto: Saját mailszerver Ubuntu 22.04 LTS-en (Postfix / Dovecot / SQL / Amavis / Clamav / Spamassassin / Managesieve / DKIM / SPF /DMARC )

-

( elod v | 2023. 05. 02., k – 13:48 )

Hurrá. Rég szívtam végig, lássuk más hogy csinálta :)

( godot v | 2023. 05. 02., k – 13:58 )

Szerkesztve: 2023. 05. 02., k – 14:06

Én is régen csináltam ilyet. Nem derül ki a leírásból egyértelműen,de a 143-at tiltanám a nagyvilágból.

Illetve érdemes ránézni a postfix ezen beállítására is:

smtp_sender_login_maps = ...

smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch

különben az userek tetszőlegesen tudnak bármilyen "mail from:"-ról levelet küldeni.

Nem ölöm meg ezzel az aliasok használatát küldésre?  Amúgy jó dolog. 

Mi kevesebben vagyunk, mint amennyi email címünk van. Sok aliast használunk, amiket idővel törlünk. pl feladunk egy új hirdetést, akkor: hr20230502prof@domain.tld

143-as korlátozást belerakom. Köszi.

Valóban úgy elegánsabb ha van külső IMAP elérés,de szerintem itt nincs. Én emlékeim szerint minkét lehetőséget meghagytam amikor annó ilyet csináltam 993 és 143+starttls. Mintha néhány mobil? kliens nem tudott volna akkoriban starttls-t a 143-on. De régen volt.

( uid_395 v | 2023. 05. 02., k – 15:56 )

Egyelőre csak átfutottam, de tetszik :) Tök jó kis leírás + szépen van formázva is. Esetleg annyi könnyebbség lehetne benne, hogy pár "horgonyt" beleraksz és akkor egyből adott részhez tudna ugrani az oldalon belül.

De nagy +1 erre, nem kis meló lehetett ezt összerakni, lehet magát a cikket tovább tartott mint a rendszert összerakni :)

Köszi. Jóval tovább, kb 35 óra volt megcsinálni a cikket. Többször kellett purge-val lekapni a dovecot-ot, hogy aki végig csinálja annak is menjen. Nehogy kihagyjak egy pici lépést, ami nélkül nem fog menni. Na meg menet közben jöttem rá, mennyi mindent nem tudok, milyen sok a homály a fejemben. Talán ezért is tartott ilyen sokáig.

A horgony bennem is felmerült, de sajnos ez egy egész. Direkt úgy mentem végig, hogy nagyjából minden egyes ponton működjön a rendszer vagy romoljon el, de bemutatva a hibát. Lényegében nincsenek fejezetek, mert mindig csak annyit állítok a konfigon, ami a következő lépéshez kell. Mindig csak egy valamivel lesz több a  rendszer, mire összeáll. Egyszerre több alkalmazást szerkesztek.

Szóval ez nem egy receptes könyv, amiből valamit kivéve működik, inkább egy mini tanfolyam. Aki végig csinálja, az innentől már átállhat bármilyen más authentikációra, mert nagyon megértette az egészet.

ilyen tesztelesre szoktam hasznalni a dockert: elinditok egy megfelelo ubuntut (mert pl azon tesztelek), megcsinalom ami kell, aztan ha nemjo, akkor kilepek -> image torlodik. 

regen vm snapshot/restore-t csinaltam, de docker kenyelmesebb :)

A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

( rpsoft v | 2023. 05. 02., k – 16:05 )

Szerkesztve: 2023. 05. 02., k – 16:05

A mindenit, de régen csináltam ilyet legutóbb, gimnazista koromban. Egy viszonylag kis cégnek volt, IP-masquerading, levelezés (azt hiszem, keveset használták), spam filter egy gépen. Pár évig ment, aztán nem is tudom, mi lett vele. Már nyugdíjba mentek, akik azt a céget csinálták.

Ubuntu még nem létezett, arra már nem emlékszem, hogy SuSE volt-e vagy Debian.

( Kobor | 2023. 05. 02., k – 16:31 )

Imho ha SQL alapu virtualis userek vannak akkor hasznalj postfixadmin-t . Karbantartott felulet, userek manageleset tovabb tudod adni, userek cserelhetik sajat jelszavuk, vacation autoresponder stb .

de ugye ő itt a saját ERP rendszerbe integrálta ezt be. Bár postfixadmin SQL db-je is viszonylag egyszerű sémákra épül, akár az ERP-t és a postfixadmint is össze lehetne kapcsolni simán.

(hirtelen egy SOGo install jutott eszembe, amit egy SQL-es postfixadminos cuccra kellett ráhúzni, ott is elég volt pár table alias + egy két extra tábla a sogo-hoz, hogy együtt tudjon működni rendesen a postfixadmin-os db-vel)

( neutrino v | 2023. 05. 03., sze – 09:47 )

Épp most végeztem egy nagyon hasonló setuppal, annyi különbséggel, hogy szopattam magam egy Postfixadminnal is :D

Aláírás _Franko_ miatt törölve. 
Jákub egy .
neut @

Nekem pont azért kellett a PA mert oda kellett adni alacsonyabban kvalifikált versenyzőnek, hogy tudjon létrehozni mailboxokat egyedül is. Előtte évekig volt egy saját interaktív scriptem, amivel kézzel tudtam létrehozni mailfiókot. Command lineból töltöttem fel a szükséges DB mezőket és futtattam a létrehozó parancsokat. Kicsit fapados volt, de működött.

Emlékszem még GUI is volt benne, ami csak a látszat miatt kellett. Beleraktam egy progress bar-t is a végére, ami csak annyit csinált, hogy elszámolt 1-től 100-ig :D Persze mindezt már akkor, amikor mindennel végzett.

Aláírás _Franko_ miatt törölve. 
Jákub egy .
neut @

( msandor v | 2023. 05. 03., sze – 16:53 )

Meg nem olvastam vegig, de ez teves info:

Az nmap csak root-ként fut. 

fut mezei felhasznoval is, legfeljebb nem erheto el minden kepessege.

Sokat segitett volna ez az howto sok sok evvel ezelott. Hasonlo kombot hasznalok en is, de 2-3 eve mar ansible-el telepitek, percek alatt kesz vagyok (persze a playbookot hetekig csiszolgattam).

( Friczy v | 2023. 05. 04., cs – 19:39 )

A postfix újraindítgatása helyett általában elég a reload (sudo postfix reload), és ez ráadásul független attól, hogy a systemd az init vagy bármi egyéb.

az, hogy a szolgáltatás elindult, az nmap helyett a netstattal is tesztelhető (netstat -nap | grep :port)

Mellesleg szép leírás, fogok belőle mazsolázgatni, tetszik.

Köszi. Mindent, nem csak a dicséretet.

 

Bevallom nem tudom mikor elég a reload. A saját config beolvasáshoz elég. Más szolgáltatásokhoz használatához nem biztos. Mivel nekem van egy postfix.restart script a postfix könyvtárban, így azt nyomogattam. Emiatt azt írtam bele.

( FeriX v | 2023. 05. 06., szo – 07:31 )

"Ha már forráskód free, akkor legyen a tudás is az."

Köszi.

Csak ajánlásként, a védelem miatt, mert ha megneszelik a rossz fiúk, hogy ez egy levelező szerver, akkor sokkal nagyobb támadásnak lesz kitéve a szerver, mint mellette egy IP szám eltéréssel egy webszerver.

Igaz nem valós idejű védelmet nyújt, hanem a log-ok alapján blokkol IP számokat, de így is drasztikusan lecsökkenti a szervert érő támadások számát. Ez a fail2ban.

Látom, hogy MySQL-t használsz, és képes ebben is tárolni, így könnyű lekérdezhetővé tenni, hogy kik és honnan támadják a szervert. Csak keress rá "fail2ban mysql" és jön a telepítési útmutató olyan formában mint a Te doksid. Hasznos kis segéd.

Egy hónapja az iráni támadások nagyon durvák, kivonat az adatbázisból:

ip,ports,hostname,country
46.148.40.140,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.164,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.156,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.13,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.149,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
147.78.103.228,"80,443,25,587,465,110,995,143,993,4190",mail,"US, United States"
46.148.40.161,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.162,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.189,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.143,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.49,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.192,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.150,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
87.121.221.41,"80,443,25,587,465,110,995,143,993,4190",mail,"BG, Bulgaria"
46.148.40.146,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.185,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.154,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.152,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.94,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
61.59.4.18,22,mail,"TW, Taiwan"
46.148.40.193,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.157,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.147,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
103.163.215.12,22,mail,""
46.148.40.160,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.195,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.155,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.141,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.136,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.107,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.148,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.130,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.58,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
43.138.185.104,22,mail,"JP, Japan"
46.148.40.190,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.135,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"
46.148.40.197,"80,443,25,587,465,110,995,143,993,4190",mail,"IR, Iran, Islamic Republic of"

 

( Zsugabubus | 2023. 05. 08., h – 11:45 )

Clamav megfog manapság még bármit is? 15 éve még rendesen kapdosta a vírusos leveleket, de már évek óta 0, amit talál. Egyszer egy maiboxokra utólag ráeresztett clamav talált a levél megkapása után pár hónappal 1-2 gyanús dolgot, de kézbesítéskor már régóta semmit.

miota a cisco megvette, mas az uzleti modell. maga a clamav engine maradt openszosz, fejlesztgetik is amugy eleg intenziven, de hozza a virnyak db ami van freebe az tenyleg nem sokat er. van viszont egy par tucat 3rd party db hozza, vannak full ingyenesek, van aminel a suru frissites fizetos, van ami teljesen. ezekkel egyutt mar eleg jol mukodik.

https://github.com/extremeshok/clamav-unofficial-sigs

The clamav-unofficial-sigs script provides a simple way to download, test, and update third-party signature databases provided by Sanesecurity, FOXHOLE, OITC, BOFHLAND, CRDF, Porcupine, Securiteinfo, MalwarePatrol, Yara-Rules Project, urlhaus, MalwareExpert, interServer etc.      

https://malware.expert/signatures/

https://www.securiteinfo.com/services-cybersecurite/anti-spam-anti-viru…

( arpi_esp v | 2024. 11. 13., sze – 16:34 )

mi ez a ragequit? gilebeg a dzsoportbol?