Soluzione Completa per Server di Posta con Domini e Utenti Virtuali (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL)

Soluzione Completa per Server di Posta con Domini e Utenti Virtuali (Debian Etch, Postfix, MySQL, DoveCot, DSpam, ClamAV, Postgrey, RBL)

Questo tutorial è Copyright (c) 2007 di Justin Refice. È derivato da varie guide e materiale originale, elencati alla fine del documento. Sei libero di utilizzare questo tutorial sotto la licenza Creative Commons 2.5 o qualsiasi versione successiva.

I. Introduzione

Questa guida descrive come impostare una soluzione email completa in Debian Linux (tutto il codice proviene da Debian Etch). Sono stato incaricato di progettare una soluzione sicura, scalabile e portatile per una piccola azienda. Sebbene la guida faccia riferimento a molti ‘server’, l’azienda aveva solo 4 macchine fisiche, Xen è stato utilizzato per virtualizzare l’intera soluzione. Quel particolare aspetto del sistema non è discusso in questa guida, anche se cercherò di includerlo nella prossima revisione.

Solo una nota sui nomi dei server utilizzati di seguito: Se non deve essere accessibile da Internet, non lasciarlo. I nomi di dominio che terminano con internal.example.com sono indirizzi NIC/IP interni… non c’è modo di accedervi direttamente da Internet, né dovrebbe esserci. Qualsiasi server che ha SOLO un nome di dominio internal.example.com è un server puramente interno e non può essere accessibile direttamente da Internet. Tutti i server non interni hanno due NIC (queste possono essere due NIC reali o virtuali). La prima NIC ha accesso a Internet ed è rigorosamente protetta da firewall. La seconda NIC ha accesso alla rete interna e ha un po’ meno sicurezza di conseguenza. I dettagli su come impostare queste NIC sono al di fuori dello scopo di questo documento, ma potrei aggiornarlo per includerli in futuro.

Il layout generale dei server è:

MX Primario:
NIC1 = Insecure/Internet = mx-1.example.com
NIC2 = Secure/Intranet = mx-1.internal.example.com
MTA: Postfix
Filtro Greylist: Postgrey

MX Secondario:
NIC1 = Insecure/Internet = mx-2.example.com
NIC2 = Secure/Intranet = mx-2.internal.example.com
MTA: Postfix
Filtro Greylist: Postgrey

SMTP+TLS & IMAPS:
NIC1 = Insecure/Internet = secure-mail.example.com
NIC2 = Secure/Intranet = secure-mail.internal.example.com
MTA: Postfix (+TLS/SSL)
IMAP: Dovecot (IMAPS)

Server di Consegna Mail: postman.internal.example.com
MTA (lmtp): DSPAM
Antivirus: ClamAV
IMAP: Dovecot

Server Database: sql-1.internal.example.com
MySQL

Server File: files-1.internal.example.com
NFS

Server di Build Temporaneo: build.internal.example.com

La posta funziona nel seguente modo: La posta di Internet *verso* i tuoi domini: 1. La posta arriva al MX Primario o Secondario sulla porta 25 2. MX interroga il server MySQL per vedere se il destinatario e la destinazione della posta sono validi: a. Il destinatario non è autorizzato - La posta viene rifiutata (Errore 550) b. Il destinatario è autorizzato - La posta è autorizzata a continuare 3. MX controlla la politica di greylist: a. Questa è la prima volta che si prova a inviare un'email - La posta viene rifiutata (Riprova) b. Questa non è la prima volta che si prova a inviare un'email - La posta è autorizzata a continuare 4. MX controlla le violazioni di quota a. La quota dell'utente è piena - La posta viene restituita b. L'utente ha spazio - La posta viene consegnata 5. MX invia la posta al Server di Consegna Interno (via LMTP) 6. Il Server di Consegna Interno controlla per Virus/SPAM a. Questo è SPAM - Lo SPAM è contrassegnato e dato all'LDA per la consegna. b. Questo è un virus - La posta viene rifiutata c. Questo NON è SPAM e NON è un VIRUS - La posta viene data all'LDA 7. LDA consegna la posta a. La posta è contrassegnata come SPAM - Consegnata alla directory "SPAM" in Maildir b. La posta NON è contrassegnata come SPAM - Consegnata nella casella di posta. La posta di Internet *da* i tuoi domini: 1. L'utente avvia la connessione al Relay SMTP sulla porta 25 2. Il Relay SMTP offre TLS: a. L'utente non utilizza TLS - La posta viene rifiutata b. L'utente utilizza TLS - La sessione è autorizzata a continuare 3. Il Relay SMTP offre AUTH (PLAIN): a. L'utente non si autentica/Fallisce l'Autenticazione - La posta viene rifiutata b. L'utente si autentica - La sessione si completa come al solito Gli utenti remoti accedono alla posta tramite IMAPS (IMAP Sicuro) Gli utenti locali accedono alla posta tramite IMAP Se l'utente rileva un falso positivo nella rilevazione di SPAM, inoltra l'email a "ham-@." Se l'utente rileva un falso negativo nella rilevazione di SPAM, inoltra l'email a "spam-@." ### II. Note Importanti Tutto questo può essere installato sia in Debian 4.0 Etch che in Ubuntu Feisty Fawn, poiché entrambi i sistemi sono abbastanza simili. Tieni presente, tuttavia, che potrebbero esserci alcuni problemi minori se utilizzi la versione predefinita di Dovecot e Postfix, ma cercherò di annotarli per te quando si presenteranno. Se sei un utente di Ubuntu, nota che non utilizzerò "sudo" davanti a ogni comando. Invece, avvierò una shell di root utilizzando il comando "sudo -s". Installare software in Ubuntu e Debian è molto facile, quindi ogni volta che è possibile utilizzeremo l'utilità integrata apt-get. Meno dobbiamo costruire noi stessi, più facile sarà mantenere in seguito. Quindi, iniziamo!

Soluzione Completa per Server di Posta con Domini e Utenti Virtuali (Debian Etch, Postfix, MySQL, DoveCot, DSpam, ClamAV, Postgrey, RBL)

I. Introduzione

Ricevi i nuovi post nella tua casella di posta.