blog.monogatari.pl

Posftix i Dovecot – Idealny duet tworzący serwer poczty

SpamAssasin to ostatnia broń w naszym arsenale przygotowanym na wszelki spam jaki może się pojawić na naszym serwerze poczty.

Zainstalujmy więc wymagane paczki:

apt-get install spamassassin spamc

1	apt-get install spamassassin spamc

Dodajmy użytkownika, który będzie uruchamiał spammassassin-a

groupadd spamd
useradd -g spamd -s /bin/false spamd
chown spamd:spamd -R /etc/spamassassin/

groupadd spamd

useradd -g spamd -s /bin/false spamd

chown spamd:spamd -R /etc/spamassassin/

Użytkownika już mamy, teraz czas skonfigurować SA:

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is
# not used. Instead, enable spamd by issuing:
# systemctl enable spamassassin.service
# Change to "1" to enable spamd on systems using sysvinit:
ENABLED=1
SPAMD_HOME="/home/spamd/"
OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"
PIDFILE="/home/spamd/spamd.pid"
CRON=1

#vim /etc/default/spamassassin

# If you're using systemd (default for jessie), the ENABLED setting is

# not used. Instead, enable spamd by issuing:

# systemctl enable spamassassin.service

# Change to "1" to enable spamd on systems using sysvinit:

ENABLED=1

SPAMD_HOME="/home/spamd/"

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir /home/spamd/ -s /home/spamd/spamd.log"

PIDFILE="/home/spamd/spamd.pid"

CRON=1

Uruchommy SA:

service spamassassin start

1	service spamassassin start

Dodajmy SpamAssassin-a do postfixa:

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:
spamassassin unix -     n       n       -       -       pipe
        user=spamd argv=/usr/bin/spamc -f -e  
        /usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:
-o content_filter=spamassassin

#vim /etc/postfix/master.cf

#na dole pliku dodajmy:

spamassassin unix - n n - - pipe

user=spamd argv=/usr/bin/spamc -f -e

/usr/sbin/sendmail -oi -f ${sender} ${recipient}

#w każdym protokole, z którego korzystamy (np. smtps, submission) dodajmy opcję kierowania poczty do spamassassina:

-o content_filter=spamassassin

Zrestartujmy postfix-a:

service postfix restart

1	service postfix restart

Musimy jeszcze utworzyć reguły filtrowania:

#/etc/spamassassin/local.cf

rewrite_header Subject ***** SPAM _SCORE_ *****
report_safe             0
required_score          5.0
use_bayes               1
use_bayes_rules         1
bayes_auto_learn        1
skip_rbl_checks         0
use_razor2              0
use_dcc                 0
use_pyzor               0

#Adjust scores for SPF FAIL
score SPF_FAIL 4.0
score SPF_HELO_FAIL 4.0
score SPF_HELO_SOFTFAIL 3.0
score SPF_SOFTFAIL 3.0

#adjust DKIM scores
score DKIM_ADSP_ALL 3.0
score DKIM_ADSP_DISCARD  10.0
score DKIM_ADSP_NXDOMAIN 3.0

#/etc/spamassassin/local.cf

rewrite_header Subject ***** SPAM _SCORE_ *****

report_safe 0

required_score 5.0

use_bayes 1

use_bayes_rules 1

bayes_auto_learn 1

skip_rbl_checks 0

use_razor2 0

use_dcc 0

use_pyzor 0

#Adjust scores for SPF FAIL

score SPF_FAIL 4.0

score SPF_HELO_FAIL 4.0

score SPF_HELO_SOFTFAIL 3.0

score SPF_SOFTFAIL 3.0

#adjust DKIM scores

score DKIM_ADSP_ALL 3.0

score DKIM_ADSP_DISCARD 10.0

score DKIM_ADSP_NXDOMAIN 3.0

Restart SA dla pewności, że korzysta z naszych nowych reguł:

service spamassassin restart

1	service spamassassin restart

Aby przetestować SpamAssassin-a można z obcego serwera wysłać maila na swoją skrzynkę w postfix-ie i przeglądnąć nagłówek wiadomości.

Aktualizacja 11/05/2016:

Zauważyłem, że spamassassin informuje o błędzie

warn: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_dcc 0

1	warn: config: failed to parse line, skipping, in "/etc/spamassassin/local.cf": use_dcc 0

Można to łatwo naprawić komentując use_dcc lub instalując paczkę z dcc i nie używać tego modułu (bezcelowe).

spamassassin --lint

1	spamassassin --lint

Pozostałe wpisy dotyczące tego cyklu:

Posftix i Dovecot – Idealny duet tworzący serwer poczty

Walka ze spamem cz.3 – Postfix DMARC

Domain-based Message Authentication, Reporting and Conformance (DMARC) is an email validation system designed to detect and prevent email spoofing. It provides a mechanism which allows a receiving organization to check that incoming mail from a domain is authorized by that domain’s administrators and that the email (including attachments) has not been modified during transport – Wikipedia

Wpis ten jest kontynuacją postów dotyczących walki ze spamem, poprzednio skonfigurowaliśmy SPF oraz DKIM, korzystaliśmy z serwera postfix-a, którzy uwcześnie skonfigurowaliśmy.

Zainstalujmy paczkę, która będzie niezbędna:

#debian/ubuntu
apt-get install opendmarc

1 2	#debian/ubuntu apt-get install opendmarc

Skonfigurujmy nowo zainstalowany soft:

#vim /etc/opendmarc.conf

AuthservID mail.example.com
PidFile /var/run/opendmarc.pid #Debian default
RejectFailures false
Syslog true
TrustedAuthservIDs mail.example.com,mail2.example.com
UMask 0002
UserID opendmarc:opendmarc
IgnoreHosts /etc/opendmarc/ignore.hosts
HistoryFile /var/run/opendmarc/opendmarc.dat
#w celu debugowania można dodać poniższą linię ale wyłączymy ją potem
SoftwareHeader true

#vim /etc/opendmarc.conf

AuthservID mail.example.com

PidFile /var/run/opendmarc.pid #Debian default

RejectFailures false

Syslog true

TrustedAuthservIDs mail.example.com,mail2.example.com

UMask 0002

UserID opendmarc:opendmarc

IgnoreHosts /etc/opendmarc/ignore.hosts

HistoryFile /var/run/opendmarc/opendmarc.dat

#w celu debugowania można dodać poniższą linię ale wyłączymy ją potem

SoftwareHeader true

To nie wszystko

mkdir /etc/opendmarc/

1	mkdir /etc/opendmarc/

Dodajmy hosty, których nie skanujemy – nas ?!

#vim /etc/opendmarc/ignore.hosts

localhost
adress_ip_naszego_serwera

#vim /etc/opendmarc/ignore.hosts

localhost

adress_ip_naszego_serwera

Zakładając, że korzystaliście z poprzednich wpisów na porcie 12301 posiadamyt DKIM, więc śmiało możemy dla DMARC wykorzystać port 54321:

#vim /etc/default/opendmarc
...
SOCKET="inet:54321@localhost"
...

#vim /etc/default/opendmarc

...

SOCKET="inet:54321@localhost"

...

Możemy uruchomić opendmarc, przy okazji sprawdzają czy nie mamy typo 🙂 lub czy coś nie siedzi na wybranym przez nas porcie:

/etc/init.d/opendmarc start

1	/etc/init.d/opendmarc start

Powiadommy postfixa, że chcemy korzystać z kolejnego rozwiązania dla wyłapywania spamu:

#vim /etc/postfix/main.cf

...
smtpd_milters=inet:localhost:12345,inet:localhost:54321
non_smtpd_milters=inet:localhost:12345,inet:localhost:54321
...

#vim /etc/postfix/main.cf

...

smtpd_milters=inet:localhost:12345,inet:localhost:54321

non_smtpd_milters=inet:localhost:12345,inet:localhost:54321

...

Pamiętajmy, że pierwsza pozycja obu wpisów dotyczy DKIM, a druga naszego DMARC-a 🙂

Zrestartujmy postfixa, niech biedak już nie czeka na nowy config 😉

/etc/init.d/postfix reload

1	/etc/init.d/postfix reload

Jako, że DMARC korzysta z DKIM i SPF, musimy mieć odpowiedni wpis DNS, w internecie jest pełno „wizardów”, które wygenerują wam wpis ja polecam takowy:

_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400"

1	_dmarc.example.com. TXT "v=DMARC1; p=quarantine; rua=mailto:dmarc@example.com; ruf=mailto:dmarc@example.com; fo=0; adkim=r; aspf=r; pct=100; rf=afrf; ri=86400"

Teoretycznie można by tutaj zakończyć, jednak pełna implementacja DMARC wymaga generowania i wysyłania raportów – o czym administratorzy zapominają.

#vim /usr/share/doc/opendmarc/schema.mysql
...
CREATE USER 'opendmarc'@'localhost' IDENTIFIED BY 'changeme';
GRANT ALL ON opendmarc.* to 'opendmarc'@'localhost';
...

#vim /usr/share/doc/opendmarc/schema.mysql

...

CREATE USER 'opendmarc'@'localhost' IDENTIFIED BY 'changeme';

GRANT ALL ON opendmarc.* to 'opendmarc'@'localhost';

...

Wpis ten widnieje w pliku ale jest zakomentowany, dzięki niemu utworzony zostanie użytkownik opendmarc, jego hasło oraz baza 🙂

Wczytajmy schemat:

mysql -u root -p < schema.mysql

1	mysql -u root -p < schema.mysql

Utwórzmy skrypt do generowania raportów:

#vim /etc/opendmarc/report_script

#!/bin/bash

DB_SERVER='database.example.com'
DB_USER='opendmarc'
DB_PASS='password
DB_NAME='opendmarc'
WORK_DIR='/var/run/opendmarc'
REPORT_EMAIL='dmarc@example.com'
REPORT_ORG=example.com'

mv ${WORK_DIR}/opendmarc.dat ${WORK_DIR}/opendmarc_import.dat -f
cat /dev/null > ${WORK_DIR}/opendmarc.dat

/usr/sbin/opendmarc-import --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose < ${WORK_DIR}/opendmarc_import.dat
/usr/sbin/opendmarc-reports --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose --interval=86400 --report-email $REPORT_EMAIL --report-org $REPORT_ORG
/usr/sbin/opendmarc-expire --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose

#vim /etc/opendmarc/report_script

#!/bin/bash

DB_SERVER='database.example.com'

DB_USER='opendmarc'

DB_PASS='password

DB_NAME='opendmarc'

WORK_DIR='/var/run/opendmarc'

REPORT_EMAIL='dmarc@example.com'

REPORT_ORG=example.com'

mv ${WORK_DIR}/opendmarc.dat ${WORK_DIR}/opendmarc_import.dat -f

cat /dev/null > ${WORK_DIR}/opendmarc.dat

/usr/sbin/opendmarc-import --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose < ${WORK_DIR}/opendmarc_import.dat

/usr/sbin/opendmarc-reports --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose --interval=86400 --report-email $REPORT_EMAIL --report-org $REPORT_ORG

/usr/sbin/opendmarc-expire --dbhost=${DB_SERVER} --dbuser=${DB_USER} --dbpasswd=${DB_PASS} --dbname=${DB_NAME} --verbose

Sam skrypt na niewiele się zda jeżeli nie bedzie wykonywał się w harmonogramie:

chmod +x /etc/opendmarc/report_script

#przetestujmy skrypt zanim dodamy go do crona
su -c "/etc/opendmarc/report_script" -s /bin/bash opendmarc

#vim /etc/crontab

1 0 * * * opendmarc /etc/opendmarc/report_script

chmod +x /etc/opendmarc/report_script

#przetestujmy skrypt zanim dodamy go do crona

su -c "/etc/opendmarc/report_script" -s /bin/bash opendmarc

#vim /etc/crontab

1 0 * * * opendmarc /etc/opendmarc/report_script

Warto było by przeglądać maile z raportami jakie wysyłamy do innych administratorów korzystających z DMARC-a, zrobimy to poprzez mały wpis do postfixa:

#vim /etc/postfix/main.cf

...
sender_bcc_maps = hash:/etc/postfix/bcc_map
...

#vim /etc/postfix/bcc_map
dmarc@example.com mailboxforbcc@example.com


postmap /etc/postfix/bcc_map

#vim /etc/postfix/main.cf

...

sender_bcc_maps = hash:/etc/postfix/bcc_map

...

#vim /etc/postfix/bcc_map

dmarc@example.com mailboxforbcc@example.com

postmap /etc/postfix/bcc_map

Jeszcze tylko restart postfix-a, w celu wczytania nowego configa:

/etc/init.d/postfix restart

1	/etc/init.d/postfix restart

W celu przetestowania naszego nowego narzędzia możemy wysłać na inną skrzynkę maila testowego (mail musi być na zewnątrz naszego serwera, ale także musi obsługiwać DMARC np. gmail).

W nagłówku powinniśmy widzieć wpis od DMARCu. Jeżeli już skończymy testy pamiętajmy o usunięciu wpisu z config-a, który był dodany w celu testu:

#vim /etc/opendmarc.conf

#SoftwareHeader true

#vim /etc/opendmarc.conf

#SoftwareHeader true

Szybki restart:

/etc/init.d/opendmarc restart

1	/etc/init.d/opendmarc restart

W ten sposób ludzie otrzymujący maile z domeny, która obsługujesz powinni mieć pewność, że maile są legalne 🙂

Pozostałe wpisy dotyczące tego cyklu:

Posftix i Dovecot – Idealny duet tworzący serwer poczty

Walka ze spamem cz.2 – Postfix DKIM

DomainKeys Identified Mail (DKIM) – metoda łączenia domeny internetowej z wiadomością email, przez to pozwalająca organizacji brać odpowiedzialność za treść emaila. Sygnatura DKIM zabezpiecza przed podszywaniem się pod nadawcę (e-mail spoofing) z innych domen. – Wikipedia

Jest to kontynuacją ciągu postów na temat walki z spamem na własnych serwerach poczty opartych o Postfix.

Instalujemy niezbędne paczki:

#debian/ubuntu
apt-get install opendkim opendkim-tools

1 2	#debian/ubuntu apt-get install opendkim opendkim-tools

Konfigurujemy opendkim, jeżeli port 12301 jest zajęty zmieńmy go tutaj i pamiętajmy by w innych miejscach zrobić to także:

#vim /etc/opendkim.conf

OversignHeaders         From
AutoRestart             Yes
AutoRestartRate         10/1h
UMask                   002
Syslog                  yes
SyslogSuccess           Yes
LogWhy                  Yes

Canonicalization        relaxed/simple

ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable

Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SignatureAlgorithm      rsa-sha256

UserID                  opendkim:opendkim

Socket                  inet:12301@localhost

#vim /etc/opendkim.conf

OversignHeaders From

AutoRestart Yes

AutoRestartRate 10/1h

UMask 002

Syslog yes

SyslogSuccess Yes

LogWhy Yes

Canonicalization relaxed/simple

ExternalIgnoreList refile:/etc/opendkim/TrustedHosts

InternalHosts refile:/etc/opendkim/TrustedHosts

KeyTable refile:/etc/opendkim/KeyTable

SigningTable refile:/etc/opendkim/SigningTable

Mode sv

PidFile /var/run/opendkim/opendkim.pid

SignatureAlgorithm rsa-sha256

UserID opendkim:opendkim

Socket inet:12301@localhost

#vim /etc/default/opendkim

SOCKET="inet:12301@localhost"

#vim /etc/default/opendkim

SOCKET="inet:12301@localhost"

Poinformujmy postfix-a, że ma kolejne narzędzie do zwalczania spamu:

#vim /etc/postfix/main.cf

milter_protocol = 2
milter_default_action = accept

smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

#vim /etc/postfix/main.cf

milter_protocol = 2

milter_default_action = accept

smtpd_milters = inet:localhost:12301

non_smtpd_milters = inet:localhost:12301

Jeżeli w smtpd_milters i/lub non_smtpd_milters mamy już jakieś wpisy można dodać nowe po przecinku

Utwórzmy teraz foldery i pliku konfiguracyjne, które wskazaliśmy jako tablice źródłowe:

mkdir -p /etc/opendkim/keys

#vim /etc/opendkim/TrustedHosts

127.0.0.1
localhost
192.168.0.1/24
*.example.com


#vim /etc/opendkim/KeyTable

mail._domainkey.example.com example.com:mail:/etc/opendkim/keys/example.com/mail.private

#vim /etc/opendkim/SigningTable

example.com mail._domainkey.example.com

mkdir -p /etc/opendkim/keys

#vim /etc/opendkim/TrustedHosts

127.0.0.1

localhost

192.168.0.1/24

*.example.com

#vim /etc/opendkim/KeyTable

mail._domainkey.example.com example.com:mail:/etc/opendkim/keys/example.com/mail.private

#vim /etc/opendkim/SigningTable

example.com mail._domainkey.example.com

Teraz musimy wygenerować klucze, które posłużą do mechanizmu DKIM:

mkdir /etc/opendkim/keys/example.com
cd /etc/opendkim/keys/example.com
opendkim-genkey -s mail -d example.com
chown opendkim:opendkim mail.private

mkdir /etc/opendkim/keys/example.com

cd /etc/opendkim/keys/example.com

opendkim-genkey -s mail -d example.com

chown opendkim:opendkim mail.private

Teraz będziemy musieli dodać klucz do wpisu domeny w rekordzie TXT, aby to zrobić musimy wyświetlicz klucz i dodać następujący wpis:

cat /etc/opendkim/keys/example.com/mail.txt

#bind9
mail._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=WARTOSC_WYSWIETLONA_ZOSTALA_POLECENIEM_WYZEJ"

cat /etc/opendkim/keys/example.com/mail.txt

#bind9

mail._domainkey.example.com. TXT "v=DKIM1; k=rsa; p=WARTOSC_WYSWIETLONA_ZOSTALA_POLECENIEM_WYZEJ"

Zrestartujmy teraz wszystkie usługi, w których zmienialiśmy konfigurację:

service postfix restart
service opendkim restart
service bind9 restart

service postfix restart

service opendkim restart

service bind9 restart

Aby przetestować czy udało nam sie dodać mechanizm DKIM można wysłać mail na adres: check-auth(at)verifier.port25.com

Pozostałe wpisy dotyczące tego cyklu:

Posftix i Dovecot – Idealny duet tworzący serwer poczty

Walka ze spamem cz.1 – Postfix SPF

Sender Policy Framework (SPF) – niekomercyjny projekt mający na celu wprowadzenie zabezpieczenia serwerów SMTP przed przyjmowaniem poczty z niedozwolonych źródeł. Ma to pozytywnie wpłynąć na ograniczenie liczby wiadomości mailowych będących spamem. – Wikipedia

Zakładam, że macie już uruchomiony serwer postfix. Wszelkie konfiguracje oparte są o założenie, że korzystaliście z tego tutoriala: Posftix i Dovecot – Idealny duet tworzący serwer poczty i korzystacie z Debiana/Ubuntu.

Zainstalujmy potrzebne paczki:

#debina/ubuntu
apt-get install postfix-policyd-spf-python

1 2	#debina/ubuntu apt-get install postfix-policyd-spf-python

Domyślna polityka spf jest prawie wystarczającą ale sprawmy, żeby było lepiej:

#vim /etc/postfix-policyd-spf-python/policyd-spf.conf

#  For a fully commented sample config file see policyd-spf.conf.commented

debugLevel = 1
defaultSeedOnly = 1

HELO_reject = False
Mail_From_reject = False

PermError_reject = False
TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1

#vim /etc/postfix-policyd-spf-python/policyd-spf.conf

# For a fully commented sample config file see policyd-spf.conf.commented

debugLevel = 1

defaultSeedOnly = 1

HELO_reject = False

Mail_From_reject = False

PermError_reject = False

TempError_Defer = False

skip_addresses = 127.0.0.0/8,::ffff:127.0.0.0/104,::1

Powiadommy postfix-a, żeby korzystał z nowego wspólnika w walce ze spamem:

#vim /etc/postfix/main.cf

policy-spf_time_limit = 3600s

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_policy_service unix:private/policy-spf

#vim /etc/postfix/main.cf

policy-spf_time_limit = 3600s

smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_policy_service unix:private/policy-spf

#vim /etc/postfix/master.cf

policy-spf  unix  -       n       n       -       -       spawn
     user=nobody argv=/usr/bin/policyd-spf

#vim /etc/postfix/master.cf

policy-spf unix - n n - - spawn

user=nobody argv=/usr/bin/policyd-spf

Zrestartujmy posfix, żeby wczytał nowy plik konfigurayjny i gotowe

/etc/init.d/postfix restart

1	/etc/init.d/postfix restart

Pozostałe wpisy dotyczące tego cyklu: