Vollständige Mail-Server-Lösung mit virtuellen Domains und Benutzern (Debian Etch, Postfix, MySQL, Dovecot, DSpam, ClamAV, Postgrey, RBL)

Dieses Tutorial ist Copyright (c) 2007 von Justin Refice. Es basiert auf verschiedenen Anleitungen und Originalmaterialien, die am Ende des Dokuments aufgeführt sind. Sie dürfen dieses Tutorial unter der Creative Commons Lizenz 2.5 oder einer späteren Version verwenden.

I. Einführung

Dieser Leitfaden beschreibt, wie man eine vollständige E-Mail-Lösung in Debian Linux einrichtet (alle Codes stammen von Debian Etch). Ich wurde gebeten, eine sichere, skalierbare, tragbare Lösung für ein kleines Unternehmen zu entwerfen. Obwohl der Leitfaden viele ‘Server’ erwähnt, hatte das Unternehmen nur 4 physische Maschinen, Xen wurde verwendet, um die gesamte Lösung zu virtualisieren. Dieser spezielle Aspekt des Systems wird in diesem Leitfaden nicht behandelt, obwohl ich versuchen werde, ihn in die nächste Revision aufzunehmen.

Nur eine Anmerkung zu den unten verwendeten Servernamen: Wenn es nicht über das Internet zugänglich sein muss, lassen Sie es nicht zu. Domainnamen, die mit internal.example.com enden, sind interne NIC/IP-Adressen… es gibt keine Möglichkeit, sie direkt über das Internet zu erreichen, noch sollte es das geben. Jeder Server, der NUR einen internal.example.com-Domainnamen hat, ist ein rein interner Server und kann nicht direkt über das Internet erreicht werden. Alle nicht-internen Server haben zwei NICS (diese können zwei echte NICs oder virtuelle sein). Der erste NIC hat Zugang zum Internet und ist streng firewallgeschützt. Der zweite NIC hat Zugang zum internen Netzwerk und hat daher etwas weniger Sicherheit. Die Einzelheiten zur Einrichtung dieser NICS liegen außerhalb des Rahmens dieses Dokuments, aber ich werde es möglicherweise in Zukunft aktualisieren, um sie einzuschließen.

Die allgemeine Anordnung der Server ist:

Primärer MX:
NIC1 = Unsicher/Internet = mx-1.example.com
NIC2 = Sicher/Intranet = mx-1.internal.example.com
MTA: Postfix
Greylist-Filter: Postgrey

Sekundärer MX:
NIC1 = Unsicher/Internet = mx-2.example.com
NIC2 = Sicher/Intranet = mx-2.internal.example.com
MTA: Postfix
Greylist-Filter: Postgrey

SMTP+TLS & IMAPS:
NIC1 = Unsicher/Internet = secure-mail.example.com
NIC2 = Sicher/Intranet = secure-mail.internal.example.com
MTA: Postfix (+TLS/SSL)
IMAP: Dovecot (IMAPS)

Mail-Zustellserver: postman.internal.example.com
MTA (lmtp): DSPAM
Antivirus: ClamAV
IMAP: Dovecot

Datenbankserver: sql-1.internal.example.com
MySQL

Dateiserver: files-1.internal.example.com
NFS

Temporärer Build-Server: build.internal.example.com

Mail funktioniert folgendermaßen: Internet-Mail *an* Ihre Domains: 1. Mail kommt an Primärem oder Sekundärem MX auf Port 25 2. MX fragt den MySQL-Server ab, um zu sehen, ob der Mail-Empfänger und das Ziel gültig sind: a. Empfänger ist nicht autorisiert - Mail wird abgelehnt (550 Fehler) b. Empfänger ist autorisiert - Mail darf fortgesetzt werden 3. MX überprüft die Greylist-Richtlinie: a. Dies ist das erste Mal, dass die E-Mail versucht wird - Mail wird abgelehnt (Wiederholen) b. Dies ist nicht das erste Mal, dass die E-Mail versucht wird - Mail darf fortgesetzt werden 4. MX überprüft auf Quota-Verstöße a. Das Kontingent des Benutzers ist voll - Mail wird zurückgewiesen b. Der Benutzer hat Platz - Mail wird zugestellt 5. MX sendet Mail an den internen Zustellserver (über LMTP) 6. Interner Zustellserver überprüft auf Virus/SPAM a. Dies ist SPAM - SPAM wird markiert und zur Zustellung an LDA übergeben. b. Dies ist ein Virus - Mail wird abgelehnt c. Dies ist NICHT SPAM und NICHT VIRUS - Mail wird an LDA übergeben 7. LDA liefert Mail a. Die Mail wird als SPAM markiert - Zugestellt im "SPAM"-Verzeichnis in Maildir b. Die Mail ist NICHT als SPAM markiert - Zugestellt im Posteingang. Internet-Mail *von* Ihren Domains: 1. Benutzer initiiert Verbindung zum SMTP-Relay auf Port 25 2. SMTP-Relay bietet TLS an: a. Benutzer verwendet kein TLS - Mail wird abgelehnt b. Benutzer verwendet TLS - Sitzung darf fortgesetzt werden 3. SMTP-Relay bietet AUTH (PLAIN) an: a. Benutzer authentifiziert sich nicht/Authentifizierung schlägt fehl - Mail wird abgelehnt b. Benutzer authentifiziert sich - Sitzung wird wie gewohnt abgeschlossen Remote-Benutzer greifen über IMAPS (sicheres IMAP) auf Mail zu Lokale Benutzer greifen über IMAP auf Mail zu Wenn der Benutzer eine falsche positive SPAM-Erkennung feststellt, leitet er die E-Mail an "ham-@." weiter Wenn der Benutzer eine falsche negative SPAM-Erkennung feststellt, leitet er die E-Mail an "spam-@." weiter ### II. Wichtige Hinweise All dies kann entweder in Debian 4.0 Etch oder Ubuntu Feisty Fawn installiert werden, da beide Systeme ziemlich ähnlich sind. Beachten Sie jedoch, dass es einige kleinere Probleme geben kann, wenn Sie die Standardversion von Dovecot und Postfix verwenden, aber ich werde versuchen, diese für Sie zu notieren, wenn sie auftreten. Wenn Sie ein Ubuntu-Benutzer sind, beachten Sie, dass ich "sudo" nicht vor jedem Befehl verwenden werde. Stattdessen werde ich eine Root-Shell mit dem Befehl "sudo -s" starten. Software in Ubuntu & Debian zu installieren ist sehr einfach, also werden wir, wann immer möglich, das integrierte apt-get-Dienstprogramm verwenden. Je weniger wir selbst bauen müssen, desto einfacher ist es, später zu warten. Also, lassen Sie uns anfangen!

Vollständige Mail-Server-Lösung mit virtuellen Domains und Benutzern (Debian Etch, Postfix, MySQL, Dovecot, DSpam, ClamAV, Postgrey, RBL)

I. Einführung

Erhalte neue Beiträge in deinem Posteingang.