Thiết lập Mail Server trên nền tảng Debian

QuanTriMang.com – Trong bài viết sau, Quản Trị Mạng sẽ hướng dẫn các bạn cách thiết lập hệ thống mail server đầy đủ tính năng, an toàn bảo mật, dễ dàng mở rộng và thay thế một số chức năng khác nếu cần. Mô hình này cung cấp các dịch vụ host ảo dành cho mailbox với nhiều định dạng khác nhau, chế độ lọc quota và server – side, alias domain, alias address, forward address và catchall address. Quá trình chuyển tiếp được đảm bảo an ninh với giao thức STARTTLS và SMTP-AUTH. Các email nhận sẽ được kiểm soát chặt chẽ bằng những bộ lọc virus, spam, mã độc đồng thời nhanh chóng loại bỏ các SPF policy và DNSBL.

Và toàn bộ quá trình này sẽ được trải qua 3 server chính:

– 1 server MX, tại đây sẽ tập trung toàn bộ các tính năng bảo mật (faramir.middle.earth)

– 1 giao thức chuyển tiếp SMTP, cho phép người dùng gửi email ra bên ngoài (ectelion.middle.earth)

– 1 server Mailstore dùng để chứa toàn bộ dữ liệu của mailbox (denetor.middle.earth)

Tất nhiên, bạn có thể gán thêm nhiều bản ghi MX tùy thích sử dụng DNS MX tới domain, các dịch vụ chuyển tiếp bằng DNS round-robin, chức năng lưu trữ, chuyển tiếp và phân nhánh email… sẽ được đề cập đầy đủ trong bài viết.

Tất cả các thao tác đều được thực hiện trên hệ thống sử dụng hệ điều hành Debian server.

Thiết lập LDAP

Toàn bộ thông tin của người sử dụng đều được lưu trữ trong thư mục LDAP. Và đây là cách chúng ta cài đặt trên server làm nhiệm vụ chuyển tiếp. Hệ thống yêu cầu những gói cần thiết sau:

sudo apt-get install slapd ldap-utils

Tại đây, chúng ta sẽ sử dụng những thông số LDAP sau đây:

– ldapBase: dc=middle,dc=earth

– adminDn: cn=admin,dc=middle,dc=earth

– adminPwd: thirdAge

Bên cạnh đó, ta cần dùng giản đồ LDAP có sẵn. Hầu hết các thuộc tính và đối tượng phải theo chuẩn, lưu ý rằng có rất nhiều thuộc tính chuẩn người sử dụng cần chú ý tránh trường hợp trùng lặp xảy ra.

Ghép giản đồ có sẵn vào openldap trong /etc/ldap/schema/mailMEO.schema:

attributetype ( 2.16.840.1.113730.3.1.13
NAME ‘mailLocalAddress’
DESC ‘RFC822 email address of this recipient’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 2.16.840.1.113730.3.1.16
NAME ‘mailQuota’
DESC ‘Maiximal amount of disk space for a mailbox in kilobytes’
EQUALITY integerMatch
SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 )
attributetype ( 2.16.840.1.113730.3.1.18
NAME ‘mailHost’
DESC ‘FQDN of the SMTP/MTA of this recipient’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256}
SINGLE-VALUE )
attributetype ( 2.16.840.1.113730.3.1.22
NAME ‘mailCopyAddress’
DESC ‘RFC822 email shadow copy address’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 2.16.840.1.113730.3.1.47
NAME ‘mailRoutingAddress’
DESC ‘RFC822 routing address of this recipient’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
attributetype ( 2.16.840.1.113730.3.1.49
NAME ‘spamassassinUserPrefs’
DESC ‘SpamAssassin user preferences’
EQUALITY caseIgnoreIA5Match
SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )
objectclass ( 2.16.840.1.113730.3.2.147
NAME ‘inetLocalMailRecipient’
DESC ‘Internet local mail recipient’
SUP top AUXILIARY
MAY    ( mailLocalAddress $ mailHost $ mailRoutingAddress $ mailCopyAddress $ mailQuota $ spamassassinUserPrefs ) )

objectclass ( 2.16.840.1.113730.3.2.148
NAME ‘inetMailForwarder’
DESC ‘Internet mail Forward Address’
SUP top AUXILIARY
MAY    ( mailHost $ mailRoutingAddress ) )

và gán đúng giản đồ cần thiết bên trong /etc/ldap/slapd.conf:


include /etc/ldap/schema/inetorgperson.schema
include /etc/ldap/schema/mailMEO.schema

Kiểm tra lại các hậu tố (khi cài đặt slapd thì debconf đã được cấu hình sẵn):

suffix          “dc=middle,dc=earth”

Sau đó, gán thêm các ACLs của daemon cần sử dụng để truyền dữ liệu tới LDAP. Khởi tạo thuộc tính readonly để truy cập tới userPassword dành cho devecot:

access to attrs=userPassword,shadowLastChange
by dn=”cn=admin,dc=middle,dc=earth” write
by dn=”uid=dovecot,dc=middle,dc=earth” read
by anonymous auth
by self write
by * none

Thiết lập thuộc tính tương tự đối với exim và dovecot:

access to *
by dn=”cn=admin,dc=middle,dc=earth” write
by dn=”uid=dovecot,dc=middle,dc=earth” read
by dn=”uid=exim,dc=middle,dc=earth” read
by * read
by anonymous none

Thông số ACL cuối cùng đảm nhận nhiệm vụ ngăn chặn khả năng đọc dữ liệu từ các tài khoản anonymous nhưng lại được phép chỉnh sửa với các tài khoản được xác nhận. Khởi động lại slapd để áp dụng các thay đổi trên:

sudo /etc/init.d/slapd restart

Sau đó, chúng ta phải tạo ra các tài khoản người dùng với các ACL trước đó. Để làm được việc này, ta phải sử dụng file user.ldif sau:

dn: uid=exim,dc=middle,dc=earth
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: exim
userPassword:: e01ENX1hOElTeXAwV2hnVzFSVnhHd0hCNDF3PT0=
dn: uid=dovecot,dc=middle,dc=earth
objectClass: account
objectClass: simpleSecurityObject
objectClass: top
uid: dovecot
userPassword:: e01ENX1yZGp2Q1lPNmtDRm1scXAyVWQwa0xBPT0=

Tài khoản này sẽ có user / pass là: dovecot / dovecotpopper và exim4 / eximmta

Để cung cấp thông tin, dữ liệu cho thư mục gốc, sử dụng lệnh sau:

ldapadd -x -D cn=admin,dc=middle,dc=earth -W < users.ldif

Dưới đây là mẫu 1 file ldif có chứa các dữ liệu khác:

dn: ou=domains,dc=middle,dc=earth
objectClass: organizationalUnit
objectClass: top
ou: domains
dn: dc=middle.earth,ou=domains,dc=middle,dc=earth
dc: middle.earth
objectClass: dNSDomain
objectClass: top
objectClass: inetLocalMailRecipient
objectClass: domainRelatedObject
objectClass: posixAccount
mailLocalAddress: catchall@middle.earth
cn: catchall
gidNumber: 8
homeDirectory: /var/mail/middle.earth/c/catchall
uid: catchall
uidNumber: 8
userPassword:: e01ENX1EV3RteGErOFROanJKNUFXZWt1Z0tBPT0=
mailQuota: 102400
mailHost: denetor.middle.earth
associatedDomain: middle.earth
associatedDomain: lotr.middle.earth
dn: uid=sam,dc=middle.earth,ou=domains,dc=middle,dc=earth
cn: sam
displayName: Sam Gamji
gidNumber: 8
homeDirectory: /var/mail/middle.earth/s/sam
mail: sam@middle.earth
mailHost: 172.16.16.23
mailQuota: 102400
objectClass: inetLocalMailRecipient
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
sn: Gamji
uidNumber: 8
uid: sam
userPassword:: e01ENX1NeVV5M1BxaHkvWWVLaVpyMXlOaExBPT0=
mailLocalAddress: sam@middle.earth
mailLocalAddress: gamji@middle.earth
mailLocalAddress: shire@middle.earth
dn: uid=frodo,dc=middle.earth,ou=domains,dc=middle,dc=earth
cn: frodo
displayName: Frodo Baggins
gidNumber: 8
givenName: Frodo
homeDirectory: /var/mail/middle.earth/f/frodo
mail: frodo@middle.earth
mailHost: 172.16.16.23
mailQuota: 102400
objectClass: inetLocalMailRecipient
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
sn: Baggins
uidNumber: 8
uid: frodo
userPassword:: e01ENX04UGlDRHVnWEdCMmNhRktnbDljTmpRPT0=
mailLocalAddress: frodo@middle.earth
mailLocalAddress: baggins@middle.earth
mailLocalAddress: shire@middle.earth
dn: uid=gmail,dc=middle.earth,ou=domains,dc=middle,dc=earth
cn: gmail
mail: alxgomz@gmail.com
mailHost: 172.16.16.23
mailRoutingAddress: alxgomz@gmail.com
objectClass: inetMailForwarder
objectClass: inetOrgPerson
objectClass: top
sn: alias to Gmail address
uid: gmail



Thiết lập MTAs

Tại đây, chúng ta sẽ sử dụng MTA Exim4 trên hệ thống MX, server làm nhiệm vụ chuyển tiếp và lưu trữ email.

Với server chuyển tiếp:

Trước tiên, chúng ta cần gán thêm repository volatile trong file /etc/apt/source.list.d/volatile.list:

deb http://volatile.debian.org/debian-volatile lenny/volatile main

và cập nhật cơ sở dữ liệu apt:

sudo apt-get update

Sau đó là bước cài đặt exim4, nhớ chọn Yes để chia nhỏ các file cấu hình:

sudo apt-get install exim4-daemon-heavy clamav-daemon clamav-freshclam openssl

Theo thứ tự, để sử dụng TLS thông qua các session của SMTP thì hệ thống cần có chứng nhận – certificate. Đó có thể là chứng nhận do các tổ chức, doanh nghiệp cung cấp hoặc chỉ là do hệ thống tự tạo ra. Ở đây, chúng ta sẽ sử dụng trường hợp thứ 2 – certificate tự tạo, khi sử dụng các máy tính trạm sẽ hiển thị thông tin cảnh báo về những certificate này.

Tạo RSA key:

openssl genrsa 2048

chmod 640 exim.key

Yêu cầu Certificate:

openssl req -new -key exim.key -out exim.csr

Xác nhận Certificate:

openssl x509 -req -signkey exim.key -in exim.csr -days 9999 -out exim.c

Copy file:

chown Debian-exim exim.key

sudo cp exim.key exim.crt /etc/exim4

Kích hoạt TLS trong file /etc/exim4/update-exim4.conf.conf:


MAIN_TLS_ENABLE=’true’

Sau đó, tạo file macro khởi tạo /etc/exim4/conf.d/main/04_mailMEOmacrodefs:

ldap_default_servers = ldap.middle.earth
.ifndef MAILMEO_DOMAINROOT
MAILMEO_DOMAINROOT = ou=domains,dc=middle,dc=earth
.endif

Trong đó MAILMEO_DOMAINROOT định nghĩa và khởi tạo giá trị LDAP root dn – nơi lưu trữ thông tin về domain và user. Với những server làm nhiệm vụ chuyển tiếp thì các tài khoản người dùng sẽ được xác nhận trước khi email được gửi đi, mô hình này là SMTP-AUTH. Và để thực hiện quá trình này, chúng ta phải tạo file cấu hình khác /etc/exim4/conf.d/auth/50_mailMEO_authsmtp:

plain_server:
driver = plaintext
public_name = PLAIN
server_condition = ${if ldapauth \
{user=”uid=${quote_ldap_dn:${extract{1}{@}{$2}{$value} fail}},\
dc=${quote_ldap_dn:${extract{2}{@}{$2}{$value} fail}},\
MAILMEO_DOMAINROOT” \
pass=${quote:$3} \
ldap:///}{yes}{no}}
server_set_id = $auth2
server_prompts = :
.ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
.endif
login_server:
driver = plaintext
public_name = LOGIN
server_condition = ${if ldapauth \
{user=”uid=${quote_ldap_dn:${extract{1}{@}{$1}{$value} fail}},\
dc=${quote_ldap_dn:${extract{2}{@}{$1}{$value} fail}},\
MAILMEO_DOMAINROOT” \
pass=${quote:$2} \
ldap:///}{yes}{no}}
server_set_id = $auth1
server_prompts = “Username:: : Password::”
.ifndef AUTH_SERVER_ALLOW_NOTLS_PASSWORDS
server_advertise_condition = ${if eq{$tls_cipher}{}{}{*}}
.endif

Vì chúng ta lưu trữ các mật khẩu dưới dạng mã hóa, do vậy bắt buộc phải sử dụng cơ chế xác thực mật khẩu một cách rõ ràng dựa vào PLAIN hoặc LOGIN (hoặc là cả 2). Mặt khác, những người quản trị chỉ nên dùng chuẩn AUTH để “giấu” các session SMTP. Và nếu muốn dùng chức năng AUTH để xóa bỏ toàn bộ các session, hãy khởi tạo thông số AUTH_SERVER_ALLOW_NOTLS_PASSWORDS (ví dụ đặt bằng giá trị true) trong file /etc/exim4/conf.d/main/04_mailMEOmacrodefs. Bên cạnh đó, chúng ta sẽ yêu cầu exim truyền toàn bộ dữ liệu qua cổng 587 – thường được dùng phổ biến hơn MUA để đăng tải email, và để báo cho chuẩn TLS. Trong file cấu hình /etc/exim4/update-exim4.conf.conf, hãy sửa lại tham số dc_local_interfaces theo giá trị sau:

dc_local_interfaces=’0.0.0.0:0.0.0.0.587′

Chức năng bảo mật được các chương trình Antivirus – ở đây là clamav đảm nhận, ứng dụng này liên kết chặt chẽ với exim4. Tất cả những gì cần làm là kích hoạt lựa chọn trong file /etc/exim4/conf.d/main/02_exim4-config_options:

av_scanner = clamd:/var/run/clamav/clamd.ctl

Bỏ chú thích của 3 dòng trong file /etc/exim4/conf.d/acl/40_exim4-config_check_data:

deny
malware = *
message = This message was detected as possible malware ($malware_name).

Gán các tài khoản clamav tới nhóm Debian-exim:

sudo adduser clamav Debian-exim

Sau đó, khởi động lại clamav và exim4, và chúng ta cũng đã hoàn thành các công đoạn cơ bản với server chuyển tiếp:

sudo /etc/init.d/clamav-daemon restart

sudo /etc/init.d/exim4 restart

Với server lưu trữ – Mailstore

Server này có nhiệm vụ lưu trữ tất cả các dữ liệu email trên hệ thống, quá trình kiểm tra và phân loại spam cũng được thực hiện tại đây. Thực chất, quá trình này sẽ “ngốn” rất nhiều tài nguyên của hệ thống, do vậy hầu hết mọi người chỉ muốn làm bước này sau mỗi quá trình lọc (DNSBL hoặc tương tự). Để tận dụng tối đa hiệu quả của dovecot, chúng ta nên sử dụng phiên bản 1.2.x. Nhưng thật không may rằng các phiên bản 1.0 dành cho Debian thiếu khá nhiều chức năng quan trọng, điển hình là quotawarning. Để khắc phục tình trạng này, chúng ta cần ghép thêm repository backport bằng file /etc/apt/sources.list.d/backports.list:

deb http://backports.debian.org/debian-backports lenny-backports main

và chạy tiếp các lệnh sau:

sudo apt-get update

sudo apt-get install spamassassin exim4-daemon-heavy

sudo apt-get -t lenny-backports install dovecot-imapd dovecot-pop3d

Các định nghĩa về exim trong file /etc/exim4/conf.d/main/04_mailMEOmacrodefs:

ldap_default_servers = ldap.middle.earth
# mailMEO macros definitions
.ifndef MAILMEO_DOMAINROOT
MAILMEO_DOMAINROOT = ou=domains,dc=middle,dc=earth
.endif
.ifndef MAILMEO_MAINDOMAIN
MAILMEO_MAINDOMAIN = ${lookup ldap {USER=userid=exim,dc=middle,dc=earth PASS=eximmta ldap:///MAILMEO_DOMAINROOT?dc?one?(associatedDomain=$domain)}}
.endif
domainlist mailMEO_domains = <\n ${sg{${lookup ldapm {\
USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///MAILMEO_DOMAINROOT?associatedDomain?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=dNSDomain)(mailHost=${loo
kup dnsdb{a=$primary_hostname}{$value}fail}))}}}{,}{\\n}}

trong đó giá trị mailMEO_domains sẽ trả lại kết quả là danh sách các domain được nắm giữ trong LDAP, và để kích hoạt các tính năng quản lý với các domain trong LDAP, đơn giản chúng ta chỉ cần tạo thêm các entry entry dựa vào mẫu sau (hãy thay đổi các thông số kỹ thuật theo hệ thống của bạn):

dn: dc=%MYDOMAIN.TLD%,ou=domains,dc=middle,dc=earth
dc: middle.earth
objectClass: dNSDomain
objectClass: top
objectClass: inetLocalMailRecipient
objectClass: domainRelatedObject
mailHost: %IPADDR_OF_MAILSTORE%
associatedDomain: %MYDOMAIN%

Mặt khác, chúng ta phải chỉ định rõ ràng tới exim để chấp nhận các domain đó bằng cách thêm domainlist vào file rcpt acl: /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt, hãy thay đổi các thông số sau:

require
message = relay not permitted
domains = +local_domains : +relay_to_domains
thành:

require
message = relay not permitted
domains = +local_domains : +relay_to_domains : +mailMEO_domains

Tại đây, MAILMEO_MAINDOMAIN đề cập đến 1 chức năng mà chúng ta hay gọi là domain aliasing, nó cho phép các địa chỉ email của domain này cũng có thể tồn tại trong domain khác. Trong dữ liệu mẫu lotr.middle.earth là 1 domain alias của middle.earth, do vậy mailbox của frodo có thể được truy cập từ frodo@middle.earth hoặc frodo@lotr.middle.earth. Trong đó middle.earth là domain chính, với mức phân quyền nhất định, ví dụ tính năng xác thực qua chuẩn POP/IMAP/SMTP chỉ có thể dùng được qua domain chính này.

Aliases:
Đây là địa chỉ thứ 2 dành cho mailbox, chúng phải thuộc về cùng 1 domain cũng như địa chỉ đến. 1 Alias có thể được gán đến nhiều mailbox, nếu trong trường hợp tất cả các mailbox nhận email để gửi tới các địa chỉ có sẵn. Trong mục dữ liệu mẫu, baggins@middle.earth là 1 alias của frodo@middle.earth và shire@middle.earth là alias của cả 2, frodo@middle.earth và sam@middle.earth.

Để gán các alias vào mailbox có sẵn, các bạn chỉ cần thêm thuộc tính mailLocalAddress với địa chỉ mail của alias đó. File /etc/exim4/conf.d/router/070_mailMEO_alias đảm nhận nhiệm vụ định tuyến cho những địa chỉ như mailMEO_alias:

mailMEO_alias:
driver = redirect
debug_print = “R: locally aliased from $local_part@$domain”
domains = +mailMEO_domains
qualify_domain = MAILMEO_MAINDOMAIN
check_ancestor = true

local_parts = <\n ${sg{\
${sg{\
${lookup ldapm \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?mailLocalAddress?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=inetOrgPerson)(mailLocalAddress=$local_part@$domain))}\
}}{([\\w\\-\\.]+)@([\\w\\-]+\\.)([\\w\\-]+)}{\$1}}\
}{,}{\\n}}
data = ${sg{\
${lookup ldapm \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?uid?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=inetOrgPerson)(mailLocalAddress=$local_part@$domain))}}\
}{([\\w\-\.]+)}{\$1@$domain}\
}

Chuyển tiếp – Forwarder

Quá trình chuyển tiếp này khá giống với alias ngoại trừ việc chúng có thể luân chuyển email đến các địa chỉ không thuộc trên domain hoặc thậm chí là những địa chỉ remote. Để tạo mail forward, hãy tạo LDAP entry bên dưới domain entry theo mẫu sau:

dn: uid=gmail,dc=middle.earth,ou=domains,dc=middle,dc=earth
cn: %FWD_LOCALPART%
mail: %DEST_MAILADDR%
mailHost: %IPADDR_OF_MAILSTORE%
mailRoutingAddress: %DEST_MAILADDR%
objectClass: inetMailForwarder
objectClass: inetOrgPerson
objectClass: top
sn: Alias address
uid: %FWD_LOCALPART%
File /etc/exim4/conf.d/router/071_mailMEO_fwd cũng thuộc dạng địa chỉ này:

mailMEO_fwd_routes:
driver = redirect
debug_print = “R: Forwarded from $local_part@$domain”
domains = +mailMEO_domains
qualify_domain = MAILMEO_MAINDOMAIN
check_ancestor = true
forbid_pipe = true
forbid_file = true
forbid_exim_filter = true
local_parts = ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?uid?one?\
(&(uid=$local_part)(objectClass=inetOrgPerson)(objectClass=inetMailForwarder))}\
}
data = ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?mailRoutingAddress?one?\
(&(uid=$local_part)(objectClass=inetOrgPerson)(objectClass=inetMailForwarder))}\
}

Catchall

Có thể hiểu nôm na đây là 1 hòm thư rác phân loại, có thể nhận tất cả các email được gửi tới các domain khác nhau bất kể đường dẫn local là gì. Người sử dụng có thể hòa nhập mailbox bình thường hoặc mailbox catchall này với nhau (dĩ nhiên là chỉ được sử dụng 1 catchall trên 1 domain mà thôi). Và để gán các địa chỉ catchall tới domain, hãy ghép posixAccount tới domain entry (và tất cả các thuộc tính cần thiết) như mailLocalAddress và mailQuota:

objectClass: posixAccount
mailLocalAddress: %CATCHALL_ADDR%
gidNumber: %gID%
homeDirectory: %MAILDIR_PATH%
uid: %CATCHALL_LOCALPART%
uidNumber: %UID%
userPassword:: %HASH_PASS_STR%
mailQuota: %KB%
File /etc/exim4/conf.d/router/079_mailMEO_catchall sẽ khởi tạo giá trị định tuyến cho catchall:

mailMEO_catchall:
driver = redirect
debug_print = “R: domain catchall for $domain <- $local_part”
domains = <\n ${sg{${lookup ldapm {\
USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///ou=domains,dc=middle,dc=earth?associatedDomain?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=posixAccount)(objectClass=dNSDomain)(mailHost=$primary_hostname))}}}{,}{\\n}}
qualify_domain = MAILMEO_MAINDOMAIN
data = ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?uid?base?}\
}

Các tài khoản người sử dụng ảo

Để tạo được tài khoản này, các bạn hãy ghép LDAP entry bên dưới domain theo mẫu sau:

dn: uid=%LOCALPART%,dc=%DOMAIN%,ou=domains,dc=middle,dc=earth
cn: %SOMETHING_DESCRIPTIVE%
displayName: %SOMETHING_DESCRIPTIVE%
gidNumber: %GID%
givenName: %SOMETHING_DESCRIPTIVE%
homeDirectory: %MAILDIR_PATH%
mail: %EMAIL_ADDR%
mailHost: %IPADDR_OF_MAILSTORE%
mailQuota: %KB%
objectClass: inetLocalMailRecipient
objectClass: inetOrgPerson
objectClass: posixAccount
objectClass: top
sn: %SOMETHING_DESCRIPTIVE%
uidNumber: %UID
uid: %LOCALPART%
userPassword:: %HASH_PASS_STR%
mailLocalAddress: %EMAIL_ADDR%

Nhưng hãy lưu ý rằng các địa chỉ email chính phải được thiết lập theo tính năng mailLocalAddress giống như của alias. Quá trình định tuyến được thực hiện dựa vào file /etc/exim4/conf.d/router/077_mailMEO_users:

mailMEO_virtual:
driver = accept
debug_print = “R: mailMEO virtual for $local_part@$domain”
domains = +mailMEO_domains
local_parts = ${lookup ldap\
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?uid?sub?\
(&(objectClass=inetLocalMailRecipient)(uid=$local_part))}\
}
transport = mailMEO_virtual_delivery

Spamassassin

Chức năng này được sử dụng để kiểm tra email, ngăn chặn spam bằng spamassassin daemon:

spamcheck_router:
no_verify
condition = ${if and { {<{$message_size}{90K}} {!def:header_X-Spam-Flag:} {!eq {$received_protocol}{spam-scanned}}} {1}{0}}
driver = accept
transport = spamcheck

Quá trình kiểm tra này được áp dụng với tất cả các email nhận diện trong spamassassin daemon. Và SA transport được thiết lập trong file /etc/exim4/conf.d/transport/50_mailMEO_spamcheck:

spamcheck:
driver = pipe
command = /usr/sbin/exim4 -oMr spam-scanned -bS
use_bsmtp = true
transport_filter = /usr/bin/spamc -u $local_part@$domain
home_directory = “/dev/shm”
current_directory = “/dev/shm”
# must use a privileged user to set $received_protocol on the way back in!
user = mail
group = mail
log_output = true
return_fail_output = true
return_path_add = false
message_prefix =
message_suffix =

Và bây giờ là các thao tác điều chỉnh SpamAssassin, hầu hết các file cấu hình đều được lưu trữ trong /etc/spamassassin/local.cf:

user_scores_dsn ldap://ldap.middle.earth/ou=domains,dc=middle,dc=earth?spamassassinUserPrefs?sub?(&(mailLocalAddress=__USERNAME__)(objectClass=inetLocalMailRecipient))
user_scores_ldap_username       uid=exim,dc=middle,dc=earth
user_scores_ldap_password       eximmta
clear_headers
add_header all Flag _YESNO_
add_header spam Result _SCORE_/_REQD_ (_TESTS_)

Với việc thay đổi thiết lập này, bạn có thể phân loại ra cho từng tài khoản, chỉ việc áp dụng thuộc tính spamassassinUserPrefs với form mẫu item value. Bên cạnh đó, chúng ta cần kích hoạt thêm spamd tại /etc/default/spamassassin:

ENABLED=1
OPTIONS=”-x –ldap-config -u nobody –max-children 5″

và khởi động tính năng này:

sudo /etc/init.d/spamassassin restart

Khởi động lại exim:

sudo /etc/init.d/exim4 restart

Tại thời điểm này, toàn bộ email chưa thể gửi đến mailstore (cần điều chỉnh lại dovecot), và hầu hết các chức năng bảo mật đều chưa được kích hoạt.

MX server

Tại bước này, chúng ta sẽ tiến hành ghép các tính năng bảo mật. Cũng tại đây, MX server sẽ đảm nhiệm chức năng quét virus, mặt khác cần phải có repository volatile trong file /etc/apt/sources.list.d/volatile.list:

deb http://volatile.debian.org/debian-volatile lenny/volatile main

và backport dành cho các phiên bản mới hơn của dovecot trong file /etc/apt/sources.list.d/backports.list:

deb http://backports.debian.org/debian-backports lenny-backports main

Cập nhật cơ sở dữ liệu cho apt:

sudo apt-get update

và cài đặt các gói yêu cầu như bình thường:

sudo apt-get install  clamav-daemon clamav-freshclam exim4-daemon-heavy libmail-spf-query-perl

sudo apt-get -t lenny-backports install dovecot-imapd dovecot-pop3d

Tiếp tục với quá trình cài đặt exim4 tương tự như với server relay. File /etc/exim4/conf.d/main/04_mailMEOmacrodefs khởi tạo các macro để chúng ta sử dụng trong các file config khác:

ldap_default_servers = ldap.middle.earth
# mailMEO macros definitions
.ifndef MAILMEO_DOMAINROOT
MAILMEO_DOMAINROOT = ou=domains,dc=middle,dc=earth
.endif
.ifndef MAILMEO_MAINDOMAIN
MAILMEO_MAINDOMAIN = ${lookup ldap {USER=userid=exim,dc=middle,dc=earth PASS=eximmta ldap:///MAILMEO_DOMAINROOT?dc?one?(associatedDomain=$domain)}}
.endif
domainlist mailMEO_domains = <\n ${sg{${lookup ldapm {\
USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///MAILMEO_DOMAINROOT?associatedDomain?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=dNSDomain))}}}{,}{\\n}}
.ifndef CHECK_RCPT_IP_DNSBLS
CHECK_RCPT_IP_DNSBLS = cbl.abuseat.org:dnsbl.njabl.org:sbl.spamhaus.org
.endif
.ifndef CHECK_RCPT_SPF
CHECK_RCPT_SPF = true
.endif

CHECK_RCPT_SPF kích hoạt SPF để kiểm tra trong giao đoạn SMTP, từ chối mail để kiểm tra mail nếu spf thất bại. Mặt khác, CHECK_RCPT_IP_DNSBL cũng kích hoạt chức năng DNSBL lookup. Mở file /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt và thay đổi lại các tham số sau:

.ifdef CHECK_RCPT_IP_DNSBLS
warn
message = X-Warning: $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
log_message = $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
dnslists = CHECK_RCPT_IP_DNSBLS
.endif

thành:

.ifdef CHECK_RCPT_IP_DNSBLS
deny
message = Access denied: $sender_host_address is listed at $dnslist_domain ($dnslist_value: $dnslist_text)
dnslists = CHECK_RCPT_IP_DNSBLS
.endif

Và chỉ định exim chấp nhận các giá trị domain được khởi tạo bởi mailMEO_domains trong file /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt. Hãy thay đổi:

require
message = relay not permitted
domains = +local_domains : +relay_to_domains

thành:

require
message = relay not permitted
domains = +local_domains : +relay_to_domains : +mailMEO_domains

Kích hoạt chức năng antivirus tương tự với server relay trong file /etc/exim4/conf.d/main/02_exim4-config_options:

av_scanner = clamd:/var/run/clamav/clamd.ctl

Bỏ dấu chú thích của 3 dòng trong file /etc/exim4/conf.d/acl/40_exim4-config_check_data:

deny
malware = *
message = This message was detected as possible malware ($malware_name).

Và gán các tài khoản người dùng clamav vào nhóm Debian-exim:

sudo adduser clamav Debian-exim
sudo /etc/init.d/clamav-daemon restart

Mục đích chính của MX server là định hướng toàn bộ email tới MX server mailstore – nơi mailbox được lưu trữ. Trong Exim, quá trình định hướng này có thể được thực hiện bằng cách sử dụng manualroute driver, có khả năng gửi email qua các host remote dùng SMTP. Tại đây, chúng ta cần 2 trình điều khiển – driver để quản lý, nắm giữ các tài khoản người dùng, alias và forwarder trên 1 phía và tất cả các tài khoản catchall tại phía bên kia.

Tất cả đều có trong file /etc/exim4/conf.d/router/075_mailMEOroutes:

mailMEO_routes:
debug_print = “R: $local_part@$domain routed with mailMEO_routes to $0”
driver = manualroute
domains = +mailMEO_domains
transport = remote_smtp
local_parts = <\n ${sg{\
${sg{\
${lookup ldapm \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?mailLocalAddress?one?\
(&(objectClass=inetLocalMailRecipient)(mailLocalAddress=$local_part@$domain))}\
}}{([\\w\\-\\.]+)@([\\w\\-]+\\.)([\\w\\-]+)}{\$1}}\
, ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?uid?one?\
(uid=$local_part)}}\
}{,}{\\n}}
route_data = ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?mailHost?base?}}
host_find_failed = defer
same_domain_copy_routing = yes
mailMEO_catchall_routes:
debug_print = “R: $local_part@$domain routed with mailMEO_catchall_route to $0”
driver = manualroute
domains = <\n ${sg{\
${lookup ldapm {\
USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///MAILMEO_DOMAINROOT?associatedDomain?one?\
(&(objectClass=inetLocalMailRecipient)(objectClass=posixAccount)(objectClass=dNSDomain))}}\
}{,}{\\n}}
transport = remote_smtp
route_data = ${lookup ldap \
{USER=userid=exim,dc=middle,dc=earth PASS=eximmta \
ldap:///dc=MAILMEO_MAINDOMAIN,MAILMEO_DOMAINROOT?mailHost?base?}}
host_find_failed = defer
same_domain_copy_routing = yes

Quá trình này có thể được giải thích ngắn gọn như sau: bộ router này sẽ làm nhiệm vụ kiểm tra và xác nhận domain trước tiên được lưu trữ trên ldap, sau đó kiểm tra lại xem các địa chỉ email đó có sẵn hay không, và yêu cầu hostname của mail server nơi chứa mailbox.

Sau đó, hãy khởi động lại exim và tiếp tục với dovecot trong phần sau:

sudo /etc/init.d/exim4 restart

Điều chỉnh và thiết lập Dovecot

Dovecot được dùng để nhận email thông qua POP3 hoặc IMAP. Và đương nhiên, Dovecot phải được cài đặt trên mailstore, nhưng với hệ thống có nhiều mailstore thì chúng ta cần POP / IMAP proxy có thể định vị được toàn bộ kết nối tới mailstore lưu giữ mailbox để nhận email. Dovecot hiện giờ đang là POP / IMAP server khá phổ biến và được ứng dụng rộng rãi.

Với Dovecot trên mailstore:

Tại đây, chúng ta sẽ tiến hành thiết lập dovecot trên mailstore. Có 2 file cấu hình để điều chỉnh, file /etc/dovecot/dovecot.conf:

protocols = imap imaps pop3 pop3s managesive
disable_plaintext_auth = no
log_timestamp = “%Y-%m-%d %H:%M:%S ”
mail_location = maildir:%h/MailDir
mail_privileged_group = mail
#mail_debug = yes
first_valid_uid = 8
last_valid_uid = 8
first_valid_gid = 8
last_valid_gid = 8
protocol imap {
mail_plugins = quota imap_quota
}
protocol pop3 {
pop3_uidl_format = %08Xu%08Xv
mail_plugins = quota
}
protocol managesieve {
login_executable = /usr/lib/dovecot/managesieve-login
mail_executable = /usr/lib/dovecot/managesieve
}
protocol lda {
postmaster_address = postmaster@denetor.middle.earth
hostname = denetor@middle.earth
mail_plugins = quota sieve
auth_socket_path = /var/run/dovecot/auth-master
sieve_global_path = /var/sieve/global
sieve=~/.dovecot.sieve
}
auth default {
mechanisms = plain login
passdb ldap {
args = /etc/dovecot/dovecot-ldap.conf
}
userdb ldap {
args = /etc/dovecot/dovecot-ldap.conf
}
userdb prefetch {
}
user = root
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0660
group = mail
}
client {
path = /var/run/dovecot/auth-client
mode = 0660
group = mail
}
}
}
dict {
}
plugin {
quota = maildir:User quota
quota_warning = storage=90%% /usr/local/bin/quota-warning.sh 90
sieve_before = /var/sieve/global
}

và file /etc/dovecot/dovecot-ldap.conf:

uris = ldap://ldap.middle.earth
dn = uid=dovecot,dc=middle,dc=earth
dnpass = dovecotpopper
ldap_version = 3
base = dc=%d,ou=domains,dc=middle,dc=earth
scope = subtree
user_attrs = homeDirectory=home,uidNumber=uid,gidNumber=gid,mailQuota=quota_rule=*:storage=%$
user_filter = (&(objectClass=inetLocalMailRecipient)(objectClass=posixAccount)(uid=%n))
pass_attrs = mailRoutingAddress=user,userPassword=password,homeDirectory=userdb_home,uidNumber
=userdb_uid,gidNumber=userdb_gid,mailQuota=userdb_quota_rule=*:storage=%$
pass_filter = (&(objectClass=inetLocalMailRecipient)(objectClass=posixAccount)(uid=%n))
default_pass_scheme = LDAP-MD5

Như là 1 phần của bộ lọc tổng hợp chúng ta đã định nghĩa và khởi tạo bên trên, và được sử dụng để lưu trữ dữ liệu trong mục Junk – bị spamassassin ngăn chặn và báo cáo với phân loại spam:

sudo mkdir /var/sieve

Bộ lọc được sử dụng ở đây là /var/sieve/global:

require “fileinto”;
if header :contains [“X-Spam-Flag”] [“Yes”] {
fileinto “Junk”;
stop;
}
sudo chown mail -R /var/sieve

và cũng như 1 phần của plugin quota, chúng ta cần tạo ra 1 đoạn mã ngắn để cảnh báo người sử dụng rằng họ đã gần sử dụng hết lưu lượng cho phép, thông tin này được lưu trữ tại /usr/local/bin/quota-warning.sh:

#!/bin/sh
PERCENT=$1
FROM=”postmaster@denetor.middle.earth”
qwf=”/tmp/quota.warning.$$”
echo “From: $FROM
To: $USER
To: postmaster@domain.org
Subject: Your email quota is $PERCENT% full
Content-Type: text/plain; charset=’UTF-8′
This message is automatically created
by mail delivery software.
The size of your mailbox has exceeded
a warning threshold that is
set by the system administrator.
You *must* delete mails or empty some folders
or you may loose emails in the future.”>> $qwf
cat $qwf | /usr/sbin/sendmail -f $FROM “$USER”
rm -f $qwf
exit 0
sudo chmod +x /usr/local/bin/quota-warning.sh

Thiết lập Dovecot trên MX

Trên hệ thống lưu trữ này, chúng ta sẽ điều chỉnh và thiết lập lại Dovecot để hoạt động như 1 proxy. Tất cả thông tin thiết lập đều nằm trong file /etc/dovecot/dovecot.conf:

protocols = imap imaps pop3 pop3s managesieve
disable_plaintext_auth = no
log_timestamp = “%Y-%m-%d %H:%M:%S ”
login_process_per_connection = no
login_processes_count = 8
mail_uid = 8
mail_gid = 8
mail_privileged_group = mail
first_valid_uid = 8
last_valid_uid = 8
first_valid_gid = 8
last_valid_gid = 8
protocol imap {
}
protocol pop3 {
pop3_uidl_format = %08Xu%08Xv
}
protocol managesieve {
}
auth default {
mechanisms = plain login
passdb ldap {
args = /etc/dovecot/dovecot-ldap.conf
}
userdb passwd {
}
userdb static {
}
user = nobody
}
dict {
}
plugin {
}

và /etc/dovecot/dovecot-ldap.conf:

uris = ldap://ldap.middle.earth
dn = uid=dovecot,dc=middle,dc=earth
dnpass = dovecotpopper
base = dc=%d,ou=domains,dc=middle,dc=earth
pass_attrs==nopassword=1,=password=,=proxy=y,mailHost=host,=destuser=%u
pass_filter = (&(objectClass=inetLocalMailRecipient)(objectClass=posixAccount)(uid=%n))

Các lưu ý cần quan tâm

Nếu muốn dùng nhiều mailstore, ban có thể áp dụng cơ sở dữ liệu sql để lưu trữ dữ liệu bayesian và chia sẻ trên tất cả các mailstore (nhưng hiện tại thì tính năng lưu trữ bayesian trong ldap chưa có sẵn)

Để quản lý các tài khoản người sử dụng, domain và tất cả các thành phần liên quan thì người dùng có thể áp dụng bất cứ mô hình ldap client nào, ví dụ như PHPLDAPAdmin

Trong bài hướng dẫn trên, tất cả các hoạt động đều được thực hiện trên tài khoản mail, tùy từng hệ thống của người dùng mà các bạn nên có những thay đổi cần thiết và thích hợp

Trên đây là 1 số bước hướng dẫn để thiết lập hệ thống Mail Server sử dụng Exim4, Clamav, Dovecot, SpamAssassin … trên nền tảng Debian. Chúc các bạn thành công!

Leave a Comment

Bạn làm theo hướng dẫn của hình bên dưới để submit comment
Clickcha - The One-Click Captcha