Воронин: заметки с тегом iRedMail

черный и белый список для postfix

Thu, 29 Jun 2023 14:09:04 +0300

Делаем черный и белый список для postfix.

создаем файл /etc/postfix/rbl_override

sudo mcedit /etc/postfix/rbl_override

пишем в него, узлы, которые хотим исключить из проверки

1.2.3.4 OK
1.2.3.5 OK
mail.freemailer.tld OK

преобразуем

sudo postmap /etc/postfix/rbl_override

осталось подключить к нашей системе, для этого отредактируем /etc/postfix/main.c

sudo mcedit /etc/postfix/main.cf

находим раздел smtpd_recipient_restrictions и добавляем check_client_access hash:/etc/postfix/rbl_override после reject_unauth_destination

теперь просто перегружаем службу postfix

sudo service postfix restart

переносим базу SpamAssassin bayes в MySQL

Tue, 13 Jun 2023 17:59:28 +0300

для начала проверим версию SpamAssassin

$ sudo spamassassin -V
SpamAssassin version 3.4.6
  running on Perl version 5.32.1

в нашем случае это 3.4.6

теперь качаем нужный файл со структурой mysql

$ cd ~
$ wget http://svn.apache.org/repos/asf/spamassassin/tags/spamassassin_release_3_4_6/sql/bayes_mysql.sql

подключаемся к движку базы и загружаем структуру

$ mysql -uroot -p
MariaDB [(none)]> CREATE DATABASE sa_bayes;
MariaDB [(none)]> USE sa_bayes;
MariaDB [(none)]> SOURCE ~/bayes_mysql.sql;

создадим пользователя sa_user с паролем Pa$$W0rd (замените на свой) и правами на нашу базу

MariaDB [(none)]> GRANT SELECT, INSERT, UPDATE, DELETE ON sa_bayes.* TO sa_user@localhost IDENTIFIED BY 'Pa$$W0rd';
MariaDB [(none)]> FLUSH PRIVILEGES;
MariaDB [sa_bayes]> quit;

отредактируем конфиг /etc/mail/spamassassin/local.cf

use_bayes          1
bayes_auto_learn   1
bayes_auto_expire  1

# Store bayesian data in MySQL.
# Please make sure you have correct server address, port and database name.
bayes_store_module Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn      DBI:mysql:sa_bayes:127.0.0.1:3306

# Store bayesian data in PostgreSQL.
# Please make sure you have correct server address, port and database name.
#bayes_store_module Mail::SpamAssassin::BayesStore::PgSQL
#bayes_sql_dsn      DBI:Pg:database=sa_bayes;host=127.0.0.1;port=5432

# SQL username and password.
bayes_sql_username sa_user
bayes_sql_password Pa$$W0rd

# Override the username used for storing data in the database.
# This could be used to group users together to share bayesian filter data.
# You can also use this config option to trick sa-learn to learn data as a specific user.
#bayes_sql_override_username vmail
bayes_sql_override_username amavis

рестартим службу

$ sudo service amavis restart

проверяем, скармливаем тестовое сообщение

$ sa-learn --spam --username=amavis /usr/share/doc/spamassassin/examples/sample-spam.txt
Learned tokens from 1 message(s) (1 message(s) examined)

и проверим наполняемость базы

$ mysql -uroot -p
MariaDB [(none)]> USE sa_bayes;
MariaDB [sa_bayes]> SELECT username,spam_count,ham_count FROM bayes_vars;
+----------+------------+-----------+
| username | spam_count | ham_count |
+----------+------------+-----------+
| amavis   |          1 |         1 |
+----------+------------+-----------+
1 row in set (0,000 sec)
MariaDB [sa_bayes]> quit;

и не забудьте отредактировать файл резервирования /var/vmail/backup/backup_mysql.sh, чтобы добавить и нашу базу

# Databases we should backup.
# Multiple databases MUST be seperated by SPACE.
export DATABASES='mysql vmail roundcubemail amavisd iredadmin sogo iredapd sa_bayes'

PS мне скрипт резервирования не пришлось менять, там уже быза бала прописана

iRedMail и Roundcube

Tue, 30 May 2023 17:16:55 +0300

После установки и настройки iRedMail мы получаем удобный почтовый клиент Roundcube.

Давайте немного его улучшим для работы.

установим необходимые компоненты и обновим существующие модули

sudo apt install composer php-ldap

cd /opt/www/roundcubemail
sudo composer update

установим и включим контекстное меню

sudo composer require johndoh/contextmenu

установим и включим календарь

sudo composer require kolab/calendar

отредактируем файл с конфигурацией Roundcube /opt/www/roundcubemail/config/config.inc.php

// PLUGINS
$config['plugins'] = [
        'managesieve',
        'password',
        'zipdownload',
        'acl',
        'markasjunk',
        'contextmenu',
        'libkolab',
        'libcalendaring',
        'calendar',
];

убедитесь, что у вас в списке плагинов есть ’acl’ и ’markasjunk’, первый отвечает за расшаривание почтовых папок, второй за манипуляции со СПАМ сообщениями.

включим возможность отмечать сообщения как СПАМ

отредактируем файл с конфигурацией ’markasjunk’ /opt/www/roundcubemail/plugins/markasjunk/config.inc.php
и укажем следующие значения для параметров:

$config['markasjunk2_learning_driver'] = 'cmd_learn';
$config['markasjunk2_spam_cmd'] = '/usr/bin/sa-learn --spam --username=amavis %f';
$config['markasjunk2_ham_cmd'] = '/usr/bin/sa-learn --ham --spam --username=amavis %f';

PS не забудьте разрешить php исполнение внешних команд, для этого отредактируйте файл /etc/php/7.4/fpm/php.ini

и удалите в параметре disable_functions значение shell_exec

disable_functions = posix_uname,eval,pcntl_wexitstatus,posix_getpwuid,xmlrpc_entity_decode,pcntl_wifstopped,pcntl_wifexited,pcntl_wifsignaled,phpAds_XmlRpc,pcntl_strerror,ftp_exec,pcntl_wtermsig,mysql_pconnect,proc_nice,pcntl_sigtimedwait,posix_kill,pcntl_sigprocmask,fput,phpinfo,system,phpAds_remoteInfo,ftp_login,inject_code,posix_mkfifo,highlight_file,escapeshellcmd,show_source,pcntl_wifcontinued,fp,pcntl_alarm,pcntl_wait,ini_alter,posix_setpgid,parse_ini_file,ftp_raw,pcntl_waitpid,pcntl_getpriority,ftp_connect,pcntl_signal_dispatch,pcntl_wstopsig,ini_restore,ftp_put,passthru,proc_terminate,posix_setsid,pcntl_signal,pcntl_setpriority,phpAds_xmlrpcEncode,pcntl_exec,ftp_nb_fput,ftp_get,phpAds_xmlrpcDecode,pcntl_sigwaitinfo,pcntl_get_last_error,ftp_rawlist,pcntl_fork,posix_setuid

ну и перезапустим php

sudo service php7.4-fpm restart

Более полный список расширений вы сможете найти по ссылке: https://packagist.org/?type=roundcube-plugin

Увеличиваем размер принимаемого сообщения в iRedMail

Wed, 03 May 2023 13:18:44 +0300

Увеличим размер почтового сообщения до 35Мб

меняем настройки postfix

postconf -e message_size_limit=36700160
postconf -e mailbox_size_limit=36700160

перечитываем изменения службой postfix

sudo systemctl reload postfix

редактируем php.ini

sudo mcedit /etc/php/7.4/fpm/php.ini

ищем переменные и меняем значения на нужные нам

memory_limit = 256M;
upload_max_filesize = 35M;
post_max_size = 37M;

рестартим php

sudo systemctl restart php7.4-fpm

редактируем конфиг roundcube

sudo mcedit /opt/www/roundcubemail/config/config.inc.php

ищем настройку максимального размера сообщения и меняем значение

$config['max_message_size'] = '35M';

редактируем конфиг nginx

sudo mcedit /etc/nginx/conf-enabled/client_max_body_size.conf

ищем переменную и меняем значение на своё

client_max_body_size 100m;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

Выпускаем сертификат Let’s encrypt и настраиваем автоматический перевыпуск в iRedMail

Wed, 03 May 2023 13:16:05 +0300

устанавливаем certbot

sudo apt update
sudo apt install certbot

запрашиваем новый сертификат для домена mail.{domain}.ru

sudo certbot certonly --webroot --agree-tos --email postmaster@{domain}.ru -d mail.{domain}.ru -w /var/www/html/

открываем конфиги nginx и если нужно вносим изменения, сначала для http

sudo mcedit /etc/nginx/sites-enabled/00-default.conf

убедились, чтобы эти поля были раскомментированы

enable listen [::]:80;

затем для https

sudo mcedit /etc/nginx/sites-enabled/00-default-ssl.conf

убедились, чтобы эти поля были раскомментированы

add listen [::]:443 ssl http2;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

редактируем поти к сертификатам, самоподписанные меняем на let’s encrypt

sudo mcedit /etc/nginx/templates/ssl.tmpl

находим

ssl_certificate /etc/ssl/certs/iRedMail.crt;
ssl_certificate_key /etc/ssl/private/iRedMail.key;

меняем на это

ssl_certificate /etc/letsencrypt/live/mail.{domain}.ru/fullchain.pem;
ssl_certificate_key /etc/letsencrypt/live/mail.{domain}.ru/privkey.pem;

проверяем правильность конфига

sudo nginx -t

перечитываем изменения службой nginx

sudo systemctl reload nginx

правим кофиг postfix

sudo mcedit /etc/postfix/main.cf

находим

smtpd_tls_key_file = /etc/ssl/private/iRedMail.key
smtpd_tls_cert_file = /etc/ssl/certs/iRedMail.crt
smtpd_tls_CAfile = /etc/ssl/certs/iRedMail.crt

заменяем

smtpd_tls_key_file = /etc/letsencrypt/live/mail.{domain}.ru/privkey.pem
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.{domain}.ru/cert.pem
smtpd_tls_CAfile = /etc/letsencrypt/live/mail.{domain}.ru/chain.pem

перечитываем изменения службой postfix

sudo systemctl reload postfix

правим другой кофиг postfix, указываем на необходимость использования tls

sudo mcedit /etc/postfix/master.cf

добавляем

465     inet  n       -       n       -       -       smtpd
  -o syslog_name=postfix/smtps
  -o smtpd_tls_wrappermode=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o content_filter=smtp-amavis:[127.0.0.1]:10026

перечитываем изменения службой postfix

sudo systemctl reload postfix

правим конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

находим

ssl_cert = </etc/ssl/certs/iRedMail.crt
ssl_key = </etc/ssl/private/iRedMail.key

заменяем

ssl_cert = </etc/letsencrypt/live/mail.{domain}.ru/fullchain.pem
ssl_key = </etc/letsencrypt/live/mail.{domain}.ru/privkey.pem

перечитываем изменения службой dovecot

sudo systemctl reload dovecot

осталось добавить в ротацию перевыпуск сертификата, для этого редактируем crontab

sudo crontab -e

add

# перевыпуск сертификатов Let's Encrypt
43 3 9 * * /usr/bin/certbot renew --post-hook "/usr/bin/systemctl reload nginx; /usr/bin/systemctl reload dovecot; /usr/bin/systemctl reload postfix"
45 3 9 * * /usr/sbin/service nginx reload
46 3 9 * * /usr/sbin/service postfix reload
47 3 9 * * /usr/sbin/service dovecot reload

не забудьте оставить пустую строку в конце (такие требования синтаксиса crontab)

Отключаем протокол pop3 iRedMail

Wed, 03 May 2023 13:13:34 +0300

Редактируем конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

меняем

# Enabled mail protocols.
protocols = pop3 imap sieve lmtp

на

# Enabled mail protocols.
protocols = imap sieve lmtp

перезапускаем dovecot

sudo service dovecot restart

Cистема индексации lucene для Dovecot (debian)

Wed, 03 May 2023 13:10:17 +0300

Крайне рекомендую установить систему индексации lucene, когда ваших писем перевалит за 10 тыс., вы вспомните меня добрым словом 😉

установим из репозиториев

sudo apt update
sudo apt install dovecot-lucene

теперь редактируем конфиг dovecot

sudo mcedit /etc/dovecot/dovecot.conf

ищем

mail_plugins = quota mailbox_alias acl mail_log notify

меняем на

mail_plugins = quota mailbox_alias acl mail_log notify fts fts_lucene

ищем

plugin {
    # Quota configuration.
    # Reference: http://wiki2.dovecot.org/Quota/Configuration
    quota = dict:user::proxy::quotadict

меняем на

plugin {
    fts = lucene
    fts_lucene = whitespace_chars=@. normalize default_language=russian
    fts_autoindex = yes

    # Quota configuration.
    # Reference: http://wiki2.dovecot.org/Quota/Configuration
    quota = dict:user::proxy::quotadict

осталось только перезапустить dovecot

sudo service dovecot restart

Прощай Яндекс почта

Tue, 02 May 2023 18:04:43 +0300

Была у меня почта на Яндексе, уже была, т. к. последний сделал её платной. Что же, я перевёз свои 12 ящиков, и вы справитесь.

Схема самая простая, сначала разворачиваем свой почтовый сервер (настраиваем его), затем перевозим ящики (по одному), бонусом тюним web-интерфейс Roundcube.

Все представленные здесь решения являются бесплатными для личного пользования, ваша задача только оплата VDS.

Системные требования для моих задач (12 ящиков, 1 основной домен и 3 элиаса):

OC Linux
CPU 1
RAM 4 Гб
HDD 100 Гб
IP 1

Возможно вам потребуется больше, тут всё зависит от бюджета и нагрузки, системные требования для iRedMail предполагают от 4Гб оперативной памяти, а для поддержки 500 клиентов так все 16Гб.

Я не буду останавливаться на развёртывание системы, в моём примере debian 11, многие хостеры это сделаю для вас автоматически.
Не забудьте прописать в DNS зону A, например mail.{domain}.ru

Прошу обратить внимание, зону MX мы не трогаем, чтобы пока мы настраиваем новый сервер, не потерять сообщения приходящие на старый.

коннектимся в консоль сервера и создаем пользователя с sudo

su -
apt update
apt install mc sudo -y
useradd {username}
passwd {username}
usermod -aG sudo {username}

mc ставлю ради mcedit

Логинимся под свеже созданным пользователем и назначаем серверу его имя как указывали в DNS

sudo hostnamectl set-hostname mail.{domain}.ru

в файле «/etc/hosts» руками правим имя локалхоста

sudo mcedit /etc/hosts

должно получиться так

127.0.0.1       mail.{domain}.ru localhost

проверяем

hostname -f

Начинаем непосредственно установку сервера, для этого определяем ссылку на актуальный дистрибутив, переходим сюда: https://iredmail.com/download.html , кликаем правой кнопкой мыши на стабильной версии и копируем ссылку на скачивание

в консоли идем в домашнюю папку и скачиваем дистрибутив

cd ~
wget https://github.com/iredmail/iRedMail/archive/refs/tags/1.6.2.tar.gz

распаковываем его, переходим в полученную папку делаем файл «iRedMail-1.6.2» исполняемым и запускаем установку

tar xvf 1.6.2.tar.gz
cd iRedMail-1.6.2/
chmod +x iRedMail.sh
sudo bash iRedMail.sh

после того как скрипт скачет необходимые пакеты запустится визард, который поможет провести первоначальную настройку

указываем путь, где будут храниться почтовые сообщения и бэкапы базы данных

выбираем какой web-сервер будет установлен, ну как выбираем, соглашаемся с nginx

далее выбираем какую базу данных будет использовать почтовый сервер (я выбираю MariaDB)

придумываем и указываем пароль для администратора базы данных, можно сейчас записать, а можно дождаться окончания установки и получить все логины и пароли в первом письме

указываем имя домена, не имя сервера, а имя домена!

задаём пароль администратора почтового сервера

указываем необходимые нам компоненты, для простого и лёгкого сервера я бы рекомендовал остановиться на почтовом web-клиенте Roundcube, web-панели администратора iRedAdmin и fail2ban для защиты от подбора паролей пользователей

проверяем настройки и подтверждаем их

теперь остаётся ждать, пока инсталляционный скрипт завершит свою работу

после завершения установки подтвердите настройки файервола

Я вас поздравляю, теперь можно получить доступ к ресурсам сервера по следующим адресам:

- Roundcube webmail: https://mail.{domain}.ru/mail/
- Web admin panel (iRedAdmin): https://mail.{domain}.ru/iredadmin/

- Username: postmaster@{domain}.ru
- Password: BTAyZswFv4VroUP2oPTUkaikMETc6pyY

Если захотите добавить элиас домена через бесплатную админку этого сделать не получится, но можно внести значения напрямую в базу (работает как с MySQL, так и с PostgreSQL)

mysql -u root
sql> USE `vmail`;
sql> INSERT INTO `alias_domain` (`alias_domain`, `target_domain`) VALUES ('{alias}.ru', '{domain}.ru');

удалить элиас так:

mysql -u root
sql> USE `vmail`;
sql> DELETE FROM `alias_domain` WHERE `alias_domain` = '{alias}.ru';

На этом можно было бы и закончить, но есть моменты на которых я предлагаю остановиться, назовём это улучшения вашего сервера

Система индексации lucene для Dovecot (debian)

Отключаем протокол pop3 (делал чисто для себя, т.к .не пользуюсь им, слишком устаревший)

Выпускаем подтверждённый сертификат Let’s encrypt и настраиваем автоматический перевыпуск сертификата

Как увеличить размер принимаемого сообщения, например до 35Мб?

Есть проблемы с антивирусом clamav на территории РФ, после первоначальной установки он у вас просто не запустится, т. к. не сможет обновить свои базы, как решить?

готово! наш сервер готов принять письма

Через Админку создаём пользовательские ящики, которые готовы принять письма

Меняем запись MX в DNS, чтобы новые сообщения попадали уже на наш сервер

Ждём когда изменения вступят в силу, максимум 3 часа, вы увидите, как сообщения появятся в ящиках на новом сервере, всё — это значит пора перевозить старые письма. Для этого воспользуемся моим скриптом: https://voronin.one/all/skript-dlya-perenosa-elektronnoy-pochty-iz-odnogo-yaschika-v-dru/

Адресную книгу без проблем перенесёте через экспорт/импорт.
А вот правила фильтрации в яндексе «фильдеперсовые», их только вручную можно перенести, хоть в Roundcube есть возможность подгрузить правила sieve из файла.