Installer og integrer rspamd

Dette er den tredje del af vores Opsætning og konfiguration af en mailserver. I denne tutorial vil vi gennemgå installationen og konfigurationen af ​​Rspamd spamfiltreringssystemet og dets integration i vores mailserver og skabe DKIM og DMARC DNS-poster.

Du kan spørge, hvorfor vælger vi at gå med Rspamd og ikke med Spamassassin. Rspamd er mere aktivt vedligeholdt og skrevet i C, og det er meget hurtigere end Spamassassin, der er skrevet i Perl. En anden grund er, at Rspamd kommer med et DKIM-underskriftsmodul, så vi ikke bliver nødt til at bruge en anden software til at underskrive vores udgående e-mails.

Forudsætninger

Før du fortsætter med denne tutorial, skal du sørge for, at du er logget ind som bruger med sudo-privilegier.

Installer Redis

Redis vil blive brugt som et lager- og cachesystem af Rspamd til at installere det bare køres:

sudo apt install redis-server

Installer ubundet

Unbound er en meget sikker validering, rekursiv og cache-DNS-resolver.

Hovedformålet med installationen af ​​denne service er at reducere antallet af eksterne DNS-anmodninger. Dette trin er valgfri og kan springes over.

sudo apt update sudo apt install unbound

Standardindstillingerne for ubundet skal være tilstrækkelige for de fleste servere.

For at indstille ubundet som din server primære DNS-resolver skal du køre følgende kommandoer:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Hvis du ikke bruger resolvconf skal du redigere filen /etc/resolv.conf manuelt.

Installer Rspamd

Vi installerer den seneste stabile version af Rspamd fra dens officielle arkiv.

Start med at installere de nødvendige pakker:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Føj depot-GPG-nøglen til din apt source-nøglering ved hjælp af følgende wget-kommando:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Aktivér Rspamd-arkivet ved at køre:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Når depotet er aktiveret, skal du opdatere pakkeindekset og installere Rspamd ved hjælp af følgende kommandoer:

sudo apt update sudo apt install rspamd

Konfigurer Rspamd

I stedet for at ændre /etc/rspamd/local.d/local.d/ opretter vi nye filer i mappen /etc/rspamd/local.d/local.d/ der overskriver standardindstillingen.

Som standard Rspamds normal worker den arbejder, der scanner e-mail-meddelelser, lytter på alle grænseflader på port 11333. Opret følgende fil for at konfigurere den normale arbejdstager Rspamd til kun at lytte til localhost-interface:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

Proxyarbejderen lytter på port 11332 og understøtter milter-protokol. For at Postfix skal kommunikere med Rspamd er vi nødt til at aktivere milter-tilstand:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Derefter skal vi oprette en adgangskode til controller worker server, der giver adgang til Rspamd-webgrænsefladen. Sådan genereres en krypteret adgangskodekørsel:

rspamadm pw --encrypt -p P4ssvv0rD

Outputet skal se sådan ud:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Glem ikke at ændre adgangskoden ( P4ssvv0rD ) til noget mere sikkert.

Kopier adgangskoden fra din terminal og indsæt den i konfigurationsfilen:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Senere konfigurerer vi Nginx som en omvendt proxy til controller-arbejderens webserver, så vi kan få adgang til Rspamd-webgrænsefladen.

Indstil Redis som en backend for Rspamd-statistik ved at tilføje følgende linjer til filen classifier-bayes.conf :

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Åbn filen milter_headers.conf , og indstil milter-overskrifterne:

/etc/rspamd/local.d/milter_headers.conf

use =;

Du kan finde mere information om milteroverskrifterne her.

Genstart til sidst Rspamd-tjenesten for ændringer at træde i kraft:

sudo systemctl restart rspamd

Konfigurer Nginx

I den første del af denne serie oprettede vi en Nginx-serverblok til PostfixAdmin-forekomsten.

Åbn Nginx-konfigurationsfilen, og tilføj følgende placeringsdirektiv, den fremhævet med gult:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Genindlæs Nginx-tjenesten, så ændringerne træder i kraft:

sudo systemctl reload nginx

Gå over til https://mail.linuxize.com/rspamd/ , indtast det adgangskode, du tidligere har genereret ved hjælp af kommandoen rspamadm pw og du får vist Rspamd-webgrænsefladen.

Konfigurer postfix

Vi er nødt til at konfigurere Postfix til at bruge Rspamd milter.

Kør følgende kommando for at opdatere Postfix-hovedkonfigurationsfilen:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Genstart Postfix-tjenesten for ændringer, der træder i kraft:

sudo systemctl restart postfix

Konfigurer Dovecot

Vi har allerede installeret og konfigureret Dovecot i den anden del af denne serie, og nu installerer vi filterfilteringsmodulet og integrerer Dovecot med Rspamd.

Start med at installere Dovecot-filtermodulet:

sudo apt install dovecot-sieve dovecot-managesieved

Når pakkerne er installeret, skal du åbne følgende filer og redigere de linjer, der er fremhævet med gult.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Gem og luk filerne.

Opret et bibliotek til sigtskripts:

mkdir -p /var/mail/vmail/sieve/global

Opret et globalt silefilter for at flytte e-mails, der er markeret som spam, til Spam biblioteket:

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

De følgende to sigtskripts udløses, hver gang du flytter en e-mail ind eller ud af Spam biblioteket:

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Genstart Dovecot-tjenesten, så ændringerne træder i kraft:

sudo systemctl restart dovecot

Kompiler silescripts, og indstil de korrekte tilladelser:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Opret DKIM-nøgler

DomainKeys Identified Mail (DKIM) er en e-mail-godkendelsesmetode, der tilføjer en kryptografisk signatur til de udgående meddelelsesoverskrifter. Det giver modtageren mulighed for at bekræfte, at en e-mail, der hævder at stamme fra et specifikt domæne, faktisk blev godkendt af ejeren af ​​dette domæne. Hovedformålet med dette er at forhindre forfalskede e-mail-beskeder.

Vi kan have forskellige DKIM-nøgler til alle vores domæner og endda flere nøgler til et enkelt domæne, men for enkelhed af denne artikel bruger vi en enkelt DKIM-nøgle, som senere kan bruges til alle nye domæner.

Opret en ny mappe til lagring af DKIM-nøglen og generer en ny DKIM-tastatur ved hjælp af rspamadm værktøjet:

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

I eksemplet ovenfor bruger vi mail som en DKIM-vælger.

Du skal nu have to nye filer i /var/lib/rspamd/dkim/ biblioteket, mail.key som er vores private nøglefil og mail.pub en fil, der indeholder DKIM's offentlige nøgle. Vi opdaterer vores DNS-zoneposter senere.

Angiv det rigtige ejerskab og tilladelser:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Nu skal vi fortælle Rspamd, hvor man skal kigge efter DKIM-nøglen, vælgerens navn og den sidste linje vil aktivere DKIM-underskrift for alias afsenderadresser. For at gøre det oprettes en ny fil med følgende indhold:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Rspamd understøtter også underskrift til signaturer med godkendt modtaget kæde (ARC). Du kan finde mere information om ARC-specifikationen her.

Rspamd bruger DKIM-modulet til at håndtere ARC-underskrifter, så vi blot kan kopiere den forrige konfiguration:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Genstart Rspamd-tjenesten, så ændringerne træder i kraft:

sudo systemctl restart rspamd

DNS-indstillinger

Vi har allerede oprettet et DKIM-nøglepar, og nu skal vi opdatere vores DNS-zone. DKIM offentlig nøgle gemmes i mail.pub filen. Filens indhold skal se sådan ud:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Vi vil også oprette en DMARC meddelelsesgodkendelse ( DMARC ), der er designet til at fortælle den modtagende server, hvorvidt en e-mail fra en bestemt afsender skal accepteres. Grundlæggende vil det beskytte dit domæne mod forfalskning af domæner og forbedre dit domænemad.

vi implementerer følgende DMARC-politik:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Lad os nedbryde ovenstående DMARC-rekord:

• v=DMARC1 - Dette er DMARC-identifikatoren p=none - Dette fortæller modtageren, hvad han skal gøre med meddelelser, der mislykkes DMARC. I vores tilfælde er den indstillet til ingen, hvilket betyder at du ikke griber ind, hvis en meddelelse mislykkes DMARC. Du kan også bruge 'afvis' eller quarantine adkim=r og aspf=r - DKIM og SPF justering, r til Afslappet og s for Strict, i vores tilfælde bruger vi Afslappet justering til både DKIM og SPF.

Samme som før, hvis du kører din egen Bind DNS-server, skal du bare kopiere og indsætte posten i din _dmarc , og hvis du bruger en anden DNS-udbyder, skal du oprette en TXT-post med _dmarc som navn og v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; som en værdi / indhold.

Det kan tage lidt tid, før DNS-ændringerne spreder sig. Du kan kontrollere, om posterne er udbredt ved hjælp af dig-kommandoen:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Du kan også inspicere din domæne aktuelle DMARC-politik eller oprette din egen DMARC-politik her.

Konklusion

Det er det for denne del af selvstudiet. I den næste del af denne serie fortsætter vi med RoundCube installation og konfiguration.

postserver postfix dovecot dns rspamd

Dette indlæg er en del af Opsætning og konfiguration af en mailserverserie.

Andre indlæg i denne serie:

• Konfigurer en postserver med PostfixAdmin • Installer og konfigurer Postfix og Dovecot • Installer og integrer Rspamd • Installer og konfigurer Roundcube Webmail