Почтовый сервер на базе ubuntu 12.04, postfix, dovecot с виртуальными пользователями в mysql.

1. Устанавливаем сервер DNS (если у нас нет сервера DNS отвечающего за нашу зону):
sudo apt-get install bind9 dnsutils
2. Конфигурируем dns:
2.1. В файле /etc/bind/named.conf.options раскоментируем следующие строки и впишем в
них сервера dns провайдера или любые публичные сервера – google, opendns итд.
forwarders {
217.77.208.133;
208.67.222.222;
};
2.2. Конфигурируем наш DNS сервер ответственным за нашу доменную зону и вписываем
наш будущий почтовый сервер как MX запись в базу DNS сервера.
Создаем прямую и обратную зоны для нашей сети. В файл /etc/named.conf.local
дописываем конфигурацию зон:
zone "cactus.com" {
type master;
file "/etc/bind/db.cactus.com";
};

zone "0.168.192.in-addr.arpa" {
type master;
file "/etc/bind/db.cactus.com_rev";
};
2.3. Создаем файлы зон с соответствующими записями:
sudo cp /etc/bind/db.local /etc/bind/db.cactus.com
sudo vim /etc/bind/db.cactus.com
sudo cp /etc/bind/db.127 /etc/bind/db.cactus.com_rev
sudo vim /etc/bind/db.cactus.com_rev
2.4. Содержание файлов для моего случая при сети 192.168.0.0.24 и доменной зоне
cactus.com в которой наш сервер числится за «троих» и выполняет роль сервера dns,
веб сервера и почтового сервера, следующее:
db.cactus.com
$TTL 604800
@ IN SOA cactus.com. dnsmaster.cactus.com. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS cactus.com.
@ IN NS dns.cactus.com.
@ IN A 192.168.0.50
@ IN MX 10 mail.cactus.com.
mail IN A 192.168.0.50
dns IN A 192.168.0.50
 www IN A 192.168.0.50

db.cactus.com_rev
$TTL 604800
@ IN SOA cactus.com. dnsmaster.cactus.com. (
1 ; Serial
604800 ; Refresh
86400 ; Retry
2419200 ; Expire
604800 ) ; Negative Cache TTL
;
@ IN NS dns.
50 IN PTR dns.cactus.com.
50 IN PTR www.cactus.com.
50 IN PTR mail.cactus.com.
3. Для того что бы наш сервер мог работать со своим же dns, ему необходимо указать самого
себя как сервер dns в настройках сети. Для этого правим файл /etc/network/interfaces и в
разделе касательно нашего сетевого интерфейса, который настроен на нашу сеть
192.168.0.0/24 вписываем следующие строки:
dns-nameservers 127.0.0.1
dns-search cactus.com
В итоге секция файла будет выглядеть так:
auto eth0
iface eth0 inet static
address 192.168.0.50
netmask 255.255.255.0
gateway 192.168.0.1
dns-nameservers 127.0.0.1
dns-search cactus.com
Перезапускаем сетевой интерфейс и почти все готово
sudo ifdown eth0 && sudo ifup eth0
Осталось изменить имя узла:
sudo hostname mail.cactus.com
В файл /etc/hostname вписываем вместо того имени что там есть, наше новое имя узла
mail.cactus.com
4. Переходим к установке почтовой системы. Устанавливаем необходимые пакеты.
sudo apt-get install mysql-server postfix postfix-mysql dovecot-common dovecot-mysql
dovecot-imapd dovecot-pop3d postgrey amavis clamav clamav-daemon spamassassin php5-
imap
5. Во время установки вас попросят ввести пароль пользователя root сервера mysql – введите
и запомните его. Он нам понадобится позже. В моем случае это mysqlpassword.
6. Так же во время установки будет проведена базовая настройка postfix. Выберите Internet-
сайт. Системное почтовое имя – название домена cactus.com
7. Для работы с SSL перегенерируем сертификаты на сервере:
sudo make-ssl-cert generate-default-snakeoil --force-overwrite
8. Для работы с веб интерфейсом устанавливаем LAMP
sudo tasksel install lamp-server
9. sudo apt-get install php-apc php5-memcache php5-curl php5-gd php-xml-parser
10. Конфигурируем PHP для работы с будущими компонентами почтовой системы, в файл
/etc/php5/apache2/php.ini вносим следующую строку:
expose_php = Off
11. Настраиваем безопасность работы веб сервера. В файл /etc/apache2/conf.d/security
пишем:
ServerTokens Prod
ServerSignature Off
12. Включаем https на веб сервере:
sudo a2enmod rewrite ssl
sudo a2ensite default-ssl
13. Для работы веб интерфейса установим и настроим пакет memcached:
sudo apt-get install memcached
14. Для расширения возможностей антивируса и системы борьбы со спамом
доустанавливаем:
sudo apt-get install libnet-dns-perl pyzor razor arj bzip2 cabextract cpio file gzip nomarch pax
unzip zip
15. Создаем базу данных для хранения информации почтовой системы (пользователи,
пароли):
sudo mysql –u root –p
create database mail;
grant all on mail.* to 'mail'@'localhost' identified by 'password';
16. Устанавливаем Postfix Admin для управления почтовой системой через вебинтерфейс:
wget http://downloads.sourceforge.net/project/postfixadmin/postfixadmin/postfixadmin-2.3.5/postfixadmin-2.3.5.tar.gz
gunzip postfixadmin-2.3.5.tar.gz
tar -xf postfixadmin-2.3.5.tar
mv postfixadmin-2.3.5 /var/www/postfixadmin
chown -R www-data:www-data /var/www/postfixadmin
17. Конфигурируем postfixadmin для работы с нашим mysql сервером. Открываем файл
/var/www/postfixadmin/config.inc.php, ищем и корректируем следующие строки:
$CONF['configured'] = true;
$CONF['postfix_admin_url'] = 'https://mail.cactus.com/postfixadmin';
$CONF['database_type'] = 'mysql';
$CONF['database_host'] = 'localhost';
$CONF['database_user'] = 'mail';
$CONF['database_password'] = 'password';
$CONF['database_name'] = 'mail';
$CONF['admin_email'] = 'postmaster@cactus.com';
$CONF['smtp_server'] = 'localhost';
$CONF['smtp_port'] = '25';
$CONF['encrypt'] = 'md5crypt';
$CONF['domain_path'] = 'NO';
$CONF['domain_in_mailbox'] = 'YES';
18. Заходим по адресу https://mail.cactus.com/postfixadmin/setup.php и вводим пароль для
конфигурации postfixadmin (пароль придумать самому). Потом генерируем хэш пароля,
копируем его и вставляем в следующий параметр файла
/var/www/postfixadmin/config.inc.php:
$CONF['setup_password'] = '...очень длинная строка ппц какая длинная...';
19. Потом возвращаемся к вебстранице и создаем учетную запись администратора для
postfixadmin-а. Вводим пароль который придумали на предыдущем пункте (не хеш! А
пароль), вводим имя админа(точнее его почтовый адрес в системе), и пароль. Жмем
кнопку Add.
20. Далее заходим по адресу https://mail.cactus.com/postfixadmin, регистрируемся с учетной
записью админа созданной в п. 19, и добавляем домен на вкладке Домены – Создать. Наш
домен catuts.com.
21. Создаем каталог для хранения виртуальных почтовых ящиков и пользователя который
сможет с ним работать. От имени этого пользователя Dovecot будет управлять письмами
клиентов.
useradd -r -u 150 -g mail -d /var/vmail -s /sbin/nologin -c "Virtual maildir handler" vmail
mkdir /var/vmail
chmod 770 /var/vmail
chown vmail:mail /var/vmail
22. Конфигурируем Dovecot. Создаем файл /etc/dovecot/conf.d/auth-sql.conf.ext и вносим в
него следующие строки:
passdb {
driver = sql
args = /etc/dovecot/dovecot-sql.conf.ext
}
userdb {
driver = sql
args = /etc/dovecot/dovecot-sql.conf.ext
}
23. Правим файл /etc/dovecot/dovecot-sql.conf.ext (опции password_query и user_query
пишутся в одну строку):
driver = mysql

connect = host=localhost dbname=mail user=mail password=password

default_pass_scheme = MD5-CRYPT

password_query = SELECT username as user, password, '/var/vmail/%d/%n' as userdb_home,

'maildir:/var/vmail/%d/%n' as userdb_mail, 150 as userdb_uid, 8 as userdb_gid FROM mailbox
WHERE username = '%u' AND active = '1'

user_query = SELECT '/var/vmail/%d/%n' as home, 'maildir:/var/vmail/%d/%n' as mail, 150 AS

uid, 8 AS gid, concat('dirsize:storage=', quota) AS quota FROM mailbox WHERE username = '%u'
AND active = '1'
24. Переходим к файлу /etc/dovecot/conf.d/10-auth.conf:
Приводим следующие строки к виду:
disable_plaintext_auth = yes
auth_mechanisms = plain login
Комментируем:
#!include auth-system.conf.ext
Раскомментируем:
!include auth-sql.conf.ext
25. В файле /etc/dovecot/conf.d/10-mail.conf правим следующие строки:
mail_location = maildir:/var/vmail/%d/%n
mail_uid = vmail
mail_gid = mail
first_valid_uid = 150
last_valid_uid = 150
26. /etc/dovecot/conf.d/10-master.conf
service auth {
unix_listener auth-userdb {
mode = 0600
user = vmail
group = mail
}
unix_listener /var/spool/postfix/private/auth {
mode = 0660
user = postfix
group = postfix
}
27. Теперь для того что бы конфигурация dovecot была доступна как самой службе так и
пользователю vmail дадим на это права:
sudo chown -R vmail:dovecot /etc/dovecot
sudo chmod -R o-rwx /etc/dovecot
28. Перед конфигурацией SMTP службы Postfix включим антиспам и антивирус. Они по
умолчанию настроены, что бы определять большинство писем со спамом и вирусами.
Сначала добавим пользователей amavis и clamav друг другу в группыЮ что бы они могли
взаимодействовать.
sudo adduser clamav amavis
sudo adduser amavis clamav
29. Теперь включим amavis, т.к. по умолчанию он отключен. Отредактируем файл
/etc/amavis/conf.d/15-content_filter_mode и раскомментируем строки начинающиеся с
@bypass (4 строки, 2 на @bypass и 2 следующие за ними).
30. Включим сам spamassasin - /etc/default/spamassassin:
ENABLED=1
CRON=1
31. Конфигурируем Poastfix. Наша задача, настроить его так, что бы он аутентифицировал
пользователей используя базу данных mail, а перед передачей писем dovecot для
доставки пользователям отправлял их spamassasin и clamav для проверки на спам и
вирусы. Поэтому укажем постфиксу как работать с БД и как связатся с
спамовирусообороной.
32. Создаем файлы
/etc/postfix/mysql_virtual_alias_domainaliases_maps.cf
user = mail
password = password
hosts = 127.0.0.1
dbname = mail
query = SELECT goto FROM alias,alias_domain
WHERE alias_domain.alias_domain = '%d'
 AND alias.address=concat('%u', '@', alias_domain.target_domain)
AND alias.active = 1
/etc/postfix/mysql_virtual_alias_maps.cf
user = mail
password = password
hosts = 127.0.0.1
dbname = mail
table = alias
select_field = goto
where_field = address
additional_conditions = and active = '1'
/etc/postfix/mysql_virtual_domains_maps.cf
user = mail
password = password
hosts = 127.0.0.1
dbname = mail
table = domain
select_field = domain
where_field = domain
additional_conditions = and backupmx = '0' and active = '1'
/etc/postfix/mysql_virtual_mailbox_domainaliases_maps.cf
user = mail
password = password
hosts = 127.0.0.1
dbname = mail
query = SELECT maildir FROM mailbox, alias_domain
WHERE alias_domain.alias_domain = '%d'
AND mailbox.username=concat('%u', '@', alias_domain.target_domain )
AND mailbox.active = 1
/etc/postfix/mysql_virtual_mailbox_maps.cf
user = mail
password = password
hosts = 127.0.0.1
dbname = mail
table = mailbox
select_field = CONCAT(domain, '/', local_part)
where_field = username
additional_conditions = and active = '1'
33. Теперь главный конфигурационный файл /etc/postfix/main.cf
# Банер
smtpd_banner = $myhostname ESMTP $mail_name
biff = no
# Не добавлять .имя_домена, это задача клиентского ПО - MUA
append_dot_mydomain = no
readme_directory = no

# Параметры аутентификации
# ---------------------------------
# Используем Dovecot для аутентификации
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
smtpd_sasl_authenticated_header = yes

# Параметры TLS
# ---------------------------------

# Сюда можно вписать свой сертификат.

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtp_tls_security_level = may
smtpd_tls_security_level = may
#smtpd_tls_auth_only = no
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
#smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
#smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# Параметры SMTP демона

# ---------------------------------

unknown_local_recipient_reject_code = 450
# время содержания письма в очереди, меньше лучше для основного сервера(3 дня), больше для резервного(2
недели)
maximal_queue_lifetime = 3d
# Задержки, при разрыве соединения перед повторным
minimal_backoff_time = 1000s
maximal_backoff_time = 8000s
# тайм аут ожидания перед тем как сервер пошлет оставшиеся данные
smtp_helo_timeout = 60s
# максимальное количество адресов назначения в письме - борьба со спамом
smtpd_recipient_limit = 10
# кол-во ошибок перед отключением
smtpd_soft_error_limit = 3
# количество ошибок перед блокировкой
smtpd_hard_error_limit = 12

# Секция управления кому и откуда можно слать письма - открытый релей это рай спамера

# Требования HELO
smtpd_helo_restrictions = permit_mynetworks, warn_if_reject reject_non_fqdn_hostname,
reject_invalid_hostname, permit
# Требование деталей от отправителя при отправке писем
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks, warn_if_reject
reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit
# Указываем сервера которым запрещена пересылка через наш сервер
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org, reject_rbl_client blackholes.easynet.nl,
reject_rbl_client dnsbl.njabl.org
 # Ограничиваем как можно отправлять письма
# "check_policy_service inet:127.0.0.1:10023" включает фильтрацию писем через Postgrey.
smtpd_recipient_restrictions = reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated,
reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, check_policy_service
inet:127.0.0.1:10023, permit
smtpd_data_restrictions = reject_unauth_pipelining

# Жесткое требование HELo при соединении

smtpd_helo_required = yes
# Задержка для того что бы спамеры не сильно быстро пытались отправлять почту
smtpd_delay_reject = yes
disable_vrfy_command = yes

# Общие параметры
# ----------------------------------

myhostname = mail.cactus.com
myorigin = /etc/hostname
mydestination = mail.cactus.com, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
mynetworks_style = host

# Место нахождения виртуальных почтовых ящиков

virtual_mailbox_base = /var/vmail
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf,
mysql:/etc/postfix/mysql_virtual_mailbox_domainaliases_maps.cf
virtual_uid_maps = static:150
virtual_gid_maps = static:8
# Конфигурация для работы с алиасами
virtual_alias_maps = mysql:/etc/postfix/mysql_virtual_alias_maps.cf,
mysql:/etc/postfix/mysql_virtual_alias_domainaliases_maps.cf
# Конфигурация домена
virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains_maps.cf

# интеграция с антивирусом, антиспамом и dovecot

# ---------------------------------------

virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
content_filter = amavis:[127.0.0.1]:10024

# Управление заголовками
# --------------------------------------

# Вырезаем нежелательные куски

header_checks = regexp:/etc/postfix/header_checks
# Вырезаем f x-original-to
enable_original_recipient = no
34. Осталось внести мелкие изменения в /etc/postfix/master.cf что бы заставить работать его с
amavis и другими службами.
Раскоментируйте и измените следующую секцию
smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
 -o smtpd_sasl_auth_enable=yes
-o smtpd_tls_auth_only=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject_unauth_destination,reject
-o smtpd_sasl_security_options=noanonymous,noplaintext
-o smtpd_sasl_tls_security_options=noanonymous
# -o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
Измените следующую секцию
pickup fifo n - - 60 1 pickup
-o content_filter=
-o receive_override_options=no_header_body_checks
cleanup unix n - - - 0 cleanup
Добавте в конец интеграцию с антиспамом и антивирусом и работу с dovecot
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes
-o disable_dns_lookups=yes
-o max_use=20
127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_delay_reject=no
-o smtpd_client_restrictions=permit_mynetworks,reject
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o smtpd_data_restrictions=reject_unauth_pipelining
-o smtpd_end_of_data_restrictions=
-o mynetworks=127.0.0.0/8
-o smtpd_error_sleep_time=0
-o smtpd_soft_error_limit=1001
-o smtpd_hard_error_limit=1000
-o smtpd_client_connection_count_limit=0
-o smtpd_client_connection_rate_limit=0
-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks

dovecot unix - n n - - pipe

flags=DRhu user=vmail:mail argv=/usr/lib/dovecot/dovecot-lda -d $(recipient)
35. Готово! Теперь все перезапустим и проверим:
sudo service postfix restart
sudo service spamassassin restart
sudo service clamav-daemon restart
sudo service amavis restart
sudo service dovecot restart
36. D