настройка почтового релея

5

2

Приветствую. Помогите пожалуйста, на вас последняя надежда. Есть внешний IP адрес. 11.11.11.11 смотрит в локалку через роутер. В локалке нужно поднять два почтовых сервера для разных доменов. Я так понял, что это можно сделать только через релей. Есть 2 почтовока Debian/Postfix/Dovecot на (Post1)192.168.1.2 и (Post2)192.168.1.3. Порты на роутере проброшены на 192.168.1.2. Почта уходит и приходит. Какие настройки в постфиксе нужны на строне Post1 и Post2 чтобы отправлять и принимать почту на втором почтовике. Спасибо.

Ссылка

←	Сервер не пингует сам себя по внешнему адресу

ansible playbook не фурычит

→

В локалке нужно поднять два почтовых сервера для разных доменов. Я так понял, что это можно сделать только через релей.

Нет, один почтовый сервер может обслуживать неограниченное число доменов.

Но если по каким-то специфическим причинам нужно делать именно два сервера, то тогда слeд:

отправление с Post1 через Post2 в мир:

1 вариант через авторизацию

допустим Post1 обслуживает домен domain1.com

/etc/postfix/main.cf

...
smtp_tls_security_level = encrypt
smtp_sasl_tls_security_options = noanonymous
smtp_sasl_auth_enable = yes
relayhost = [post2.local]:submission
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd

...

/etc/postfix/sasl_passwd


/etc/postfix/sasl_passwd   
[post2.local]:submission sendingaccount@domain1.com:PASSWORD123

на Post2 делаем аккаунт sendingaccount@domain1.com и разрешаем отправлять этому аккаунту от любого юзаре домена domain1.com

2 вариант через mynetworks прописываем на Post2 в mynetworks локальный айпишник сервера Post1 и в рестрикшенах пропускаем везде mynetworks

получение на Post2 из мира на Post1

надо прописать у Post2 , что домен domain1.com должен идти по транспорту smtp:post1.local , а не в dovecot , это в транспорт картах

Что-то мне лень все расписывать, могу попозже с конфигами.

constin ★★★★
(06.03.19 18:26:23 MSK)

Ответ на: комментарий от constin 06.03.19 18:26:23 MSK

спасибо... конфиги бы не помешали

drsever
(07.03.19 06:57:01 MSK) автор топика

Ответ на: комментарий от drsever 07.03.19 06:57:01 MSK

ну кидай сюда конфиги обоих постфиксов, поправлю

constin ★★★★
(07.03.19 11:39:42 MSK)

Ответ на: комментарий от constin 07.03.19 11:39:42 MSK

конфиги

ДЛЯ РЕЛЕЯ

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no readme_directory = no compatibility_level = 2 smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#=======================================================================================================

mydomain = domain1.ru smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination myhostname = relay.domain1.ru alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = $myhostname, domain1.ru, relay.domain1.ru, localhost.domain1.ru, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all home_mailbox = Maildir/ mailbox_command = smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_enable = yes myorigin=$mydomain #=====================================================================================================

smtpd_tls_auth_only=yes smtpd_use_tls=yes smtp_use_tls=yes smtp_tls_note_starttls_offer=yes #====================================================================================================

smtpd_tls_key_file=/etc/ssl/private/mail.key smtpd_tls_cert_file=/etc/ssl/private/mail.crt smtpd_tls_CAfile=/etc/ssl/certs/mail.pem #===================================================================================================

smtpd_tls_loglevel=1 smtpd_tls_received_header=yes smtpd_tls_session_timeout=3600s tls_random_source = dev:/dev/urandom

ДЛЯ ОСНОВНОГО ПОЧТОВИКА

#=======================================================================================================

mydomain = domain2.ru smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination myhostname = mail.domain2.ru alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = $myhostname, domain2.ru, mail.domain2.ru, localhost.domain2.ru, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all home_mailbox = Maildir/ mailbox_command = smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth smtpd_sasl_enable = yes myorigin=$mydomain #=====================================================================================================

smtpd_tls_auth_only=yes smtpd_use_tls=yes smtp_use_tls=yes smtp_tls_note_starttls_offer=yes #====================================================================================================

smtpd_tls_loglevel=1 smtpd_tls_received_header=yes smtpd_tls_session_timeout=3600s tls_random_source = dev:/dev/urandom

и ещё вопрос. на роутере все почтовые порты должны быть поброшены на релей?

drsever
(12.03.19 07:32:28 MSK) автор топика

Ответ на: конфиги от drsever 12.03.19 07:32:28 MSK

используй markdown или lorcode.я это в таком виде читать не буду

constin ★★★★
(12.03.19 13:51:47 MSK)

Ответ на: комментарий от constin 12.03.19 13:51:47 MSK

ДЛЯ РЕЛЕЯ

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 2
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#=======================================================================================================

mydomain = domain1.ru
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated
defer_unauth_destination
myhostname = relay.domain1.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, domain1.ru, relay.domain1.ru, localhost.domain1.ru, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
home_mailbox = Maildir/
mailbox_command =
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_enable = yes
myorigin=$mydomain #=====================================================================================================

smtpd_tls_auth_only=yes
smtpd_use_tls=yes
smtp_use_tls=yes
smtp_tls_note_starttls_offer=yes #====================================================================================================

smtpd_tls_key_file=/etc/ssl/private/mail.key
smtpd_tls_cert_file=/etc/ssl/private/mail.crt
smtpd_tls_CAfile=/etc/ssl/certs/mail.pem #===================================================================================================

smtpd_tls_loglevel=1
smtpd_tls_received_header=yes
smtpd_tls_session_timeout=3600s
tls_random_source = dev:/dev/urandom

drsever
(12.03.19 17:58:58 MSK) автор топика

Ссылка

Ответ на: конфиги от drsever 12.03.19 07:32:28 MSK

ДЛЯ ОСНОВНОГО ПОЧТОВИКА

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
append_dot_mydomain = no
readme_directory = no
compatibility_level = 2
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#=======================================================================================================

mydomain = domain2.ru
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
myhostname = mail.domain2.ru
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = $myhostname, domain2.ru, mail.domain2.ru, localhost.domain2.ru, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, 192.168.1.0/24
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
home_mailbox = Maildir/
mailbox_command =
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_enable = yes
myorigin=$mydomain #=====================================================================================================

smtpd_tls_auth_only=yes
smtpd_use_tls=yes
smtp_use_tls=yes
smtp_tls_note_starttls_offer=yes #====================================================================================================

smtpd_tls_key_file=/etc/ssl/private/mail.key
smtpd_tls_cert_file=/etc/ssl/private/mail.crt
smtpd_tls_CAfile=/etc/ssl/certs/mail.pem #===================================================================================================

smtpd_tls_loglevel=1
smtpd_tls_received_header=yes
smtpd_tls_session_timeout=3600s
tls_random_source = dev:/dev/urandom

drsever
(12.03.19 18:02:58 MSK) автор топика

Ответ на: комментарий от drsever 12.03.19 18:02:58 MSK

Кто из них Post1 и кто Post2?

constin ★★★★
(13.03.19 10:36:17 MSK)

Ответ на: комментарий от constin 13.03.19 10:36:17 MSK

Post2 - релей Post1 - основной

drsever
(13.03.19 13:57:38 MSK) автор топика

Ответ на: комментарий от drsever 13.03.19 13:57:38 MSK

Конфиги ужасны , это реальные сервера или лабораторная работа?

я написал уже тебе текст ответа ( те я его запощу скоро), но хочу понять , насколько все плохо. Каждый раз, когда кто-то использует подобные конфиги, в мире умрирает 3 администратора почтовых систем.

Если это продакшен, то я бы все это снес нафиг. И для начала разобрался зачем вообще нужно два сервера.

constin ★★★★
(13.03.19 15:27:03 MSK)

Ответ на: комментарий от constin 13.03.19 15:27:03 MSK

на самом деле нужен просто почтовый шлюз с антиспамом и т.д, чтобы через него работали остальные почтовики в локалке

drsever
(14.03.19 13:16:48 MSK) автор топика

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

твои «почтовики» держат сейчас юзеров в системных пользователяй. домены не виртуальные. все плохо.

Ок тогда я не буду ковырять твои конфиги.

Опишу сначала как это работает.

Шлюз. 1. имеет список доменов, которые он обслуживает, а так же карту по которой он знает письма с каких доменов на какой из серверов в локалке пересылать. domain1.com, domain2.com

2. имеет специальные аккаунты для других почтовых серверов в локалке, которым позволяет посылать письма от любого адреса. Можно сделать и по IP, но это некрасиво плохо масштабируемо.

3. Смотрит весь взходящий из инета трафик на спам.

4. подписывает исходящие в инет письма dkim 5. внешний IP имеет PRT запись, которая указывает на имя системы шлюза, это белый домен, который может вообще никак не относится к доменам, которые шлюз обслуживает. mail.yourdomain.com например.

Почтовики:

Посылают письма в инет через шлюз, используя спец аккаунт и авторизацию.Хранят и раздают почту пользователям.

Установка на примере ubuntu/debian:

apt-get install postfix dovecot-core dovecot-pop3d dovecot-sieve dovecot-imapd postfix-pcre postgrey wget ca-certificates -y

dovecot тут нужен только чтобы давать постфиксу авторизацию для спец аккаунтов.

создаем группу vmail и запихиваем в нее dovecot и postfix, чтобы они могли нормльно общаться

groupadd -g 5000 vmail
useradd -s /usr/sbin/nologin -u 5000 -g 5000 vmail
usermod -aG vmail postfix
usermod -aG vmail dovecot

constin ★★★★
(15.03.19 11:39:19 MSK)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

логи dovecot в отдельный файл

touch /var/log/dovecot.log
chown vmail:vmail /var/log/dovecot.log
chmod 660 /var/log/dovecot.log

текстовая база для спец аккаунтов

touch /etc/dovecot/users
touch /etc/postfix/alias && postmap /etc/postfix/alias

сертификат тут можно сгенерить самому, так как живые юзеры сюда заходить не будут, а для почтовиков пофиг. Но можешь сделать lets'encrypt для mail.yourdomain.com ( в нашем примере)

cd /etc/ssl
openssl req -new -newkey rsa:3072 -nodes -keyout mailserver.key -days 9999 -x509 -out mailserver.crt

Сгенерируем EDH (подробнее тут http://www.postfix.org/FORWARD_SECRECY_README.html )

cd /etc/postfix
umask 022
openssl dhparam -out dh2048.tmp 2048 && mv dh2048.tmp dh2048.pem
chmod 644 dh2048.pem

конфиг postfix /etc/postfix/main.cf

smtpd_banner = $myhostname ESMTP Who are you gonna pretend to be today? 
biff = no
append_dot_mydomain = no
recipient_delimiter = +
readme_directory = no
myhostname = mail.yourdomain.com
mydomain = mail.yourdomain.com
myorigin = $mydomain
inet_interfaces = all
mydestination = localhost, $mydomain
mynetworks = 127.0.0.0/8


virtual_mailbox_base = /mail
virtual_alias_maps = hash:/etc/postfix/alias
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1
mailbox_size_limit = 0

#SASL#



smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain
broken_sasl_auth_clients = yes


# Disable SSLv3
#
smtpd_tls_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2 !SSLv3
lmtp_tls_protocols = !SSLv2 !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
lmtp_tls_mandatory_protocols = !SSLv2 !SSLv3

#TLS#

smtpd_use_tls=yes
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_cert_file=/etc/ssl/mailserver.crt
smtpd_tls_key_file=/etc/ssl/mailserver.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_received_header = yes
tls_random_source = dev:/dev/urandom
smtpd_tls_security_level = may
smtp_tls_security_level = may


# Fix 'The Logjam Attack'.
#
smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA
smtpd_tls_dh1024_param_file = /etc/postfix/dh2048.pem


smtpd_helo_required=yes
strict_rfc821_envelopes = yes
disable_vrfy_command = yes
smtpd_delay_reject = yes


anvil_rate_time_unit = 60s
smtpd_client_connection_rate_limit = 5
smtpd_client_connection_count_limit = 5

smtpd_error_sleep_time = 5s
smtpd_soft_error_limit = 2
smtpd_hard_error_limit = 3

smtpd_helo_restrictions= 
  permit_sasl_authenticated,
  reject_non_fqdn_hostname,
  reject_unknown_helo_hostname,
  reject_invalid_helo_hostname,


smtpd_client_restrictions = 
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_unknown_client_hostname,
  reject_unauth_pipelining


smtpd_sender_restrictions = 
  permit_sasl_authenticated,
  reject_non_fqdn_sender,
  reject_unknown_sender_domain

smtpd_recipient_restrictions = 
  permit_mynetworks,
  permit_sasl_authenticated,
  reject_invalid_hostname,
  reject_non_fqdn_hostname,
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unauth_destination,
  reject_unauth_pipelining
 
smtpd_recipient_limit = 250
alias_maps = hash:/etc/aliases


#обслуживаемые домены
relay_domains = domain1.ru, domain2.ru

#карта транспорта
transport_maps = hash:/etc/postfix/transport_maps


#спраморезка
smtpd_milters = inet:127.0.01:11332
milter_default_action = tempfail
non_smtpd_milters =  inet:127.0.01:11332
milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}

constin ★★★★
(15.03.19 11:39:42 MSK)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

карта транспорта, куда форвардить почту для каких доменов

айпи - айпи локальных серверов

/etc/postfix/transport_maps

domain1.ru	smtp:[192.168.1.101]:25
domain2.ru	smtp:[192.168.1.102]:25

Эту команду надо делать после любого изменения /etc/postfix/transport_maps

postmap /etc/postfix/transport_maps

/etc/postfix/master.cf

smtp      inet  n       -       -       -       -       smtpd
smtps     inet  n       -       -       -       -       smtpd
submission inet n       -       n       -       -       smtpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
dovecot unix    -       n       n       -       -      pipe
    flags=DRh user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${user}@${domain} -m ${extension}

constin ★★★★
(15.03.19 11:40:10 MSK)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

конфиг dovecot, все в одном файле. не люблю , когда раскидано по разным конфигам

/etc/dovecot/dovecot.conf

auth_mechanisms = plain login
disable_plaintext_auth = no
log_path = /var/log/dovecot.log
mail_location = maildir:/mail/%d/%n
mail_home = /mail/%d/%n
passdb {
  args = /etc/dovecot/users
  driver = passwd-file
}
userdb {
  args = /etc/dovecot/users
  driver = passwd-file                                               
  default_fields = uid=vmail gid=vmail userdb_home=/mail/%Ld/%Ln userdb_location=maildir:/mail/%Ld/%Ln
}         
protocols = imap pop3
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = vmail
    mode = 0660
    user = postfix
  }
  unix_listener auth-master {
    group = vmail
    mode = 0600
    user = vmail
  }
}
ssl_cert = </etc/ssl/mailserver.crt
ssl_key = </etc/ssl/mailserver.key

#Disable SSLv3
ssl_protocols = !SSLv2 !SSLv3


protocol lda {
  auth_socket_path = /var/run/dovecot/auth-master
  hostname = mail.yourdomain.com
  mail_plugin_dir = /usr/lib/dovecot/modules
  mail_plugins = sieve
  postmaster_address = postmaster@yourdomain.com
}

plugin {
  sieve = /mail/%Ld/%n/active.sieve
  sieve_dir = /mail/%Ld/%n/sieve
  sieve_max_script_size = 1M
  sieve_quota_max_scripts = 50
  sieve_quota_max_storage = 1M
}

скрипт, чтобы добавлять спец юзеров

touch /sbin/addmail
chmod +x /sbin/addmail

/sbin/addmail

#!/bin/bash


USAGE="Usage: $0 EMAIL";

if [ ! -n "$1" ]
then
  echo $USAGE;
  exit 1;
fi
regex="^[a-z0-9!#\$%&'*+/=?^_\`{|}~-]+(\.[a-z0-9!#$%&'*+/=?^_\`{|}~-]+)*@([a-z0-9]([a-z0-9-]*[a-z0-9])?\.)+[a-z0-9]([a-z0-9-]*[a-z0-9])?\$"
if [[ $1 =~ $regex ]] ; then
    email=$1;
else
    echo "Wrong email format."
    exit 1;
fi
echo -n Enter user password:
read -s password
echo

echo $email":"$(doveadm pw -p $password)"::::" >> /etc/dovecot/users
service dovecot reload
echo Done.

constin ★★★★
(15.03.19 11:40:29 MSK)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

Ставим спаморезку Rspamd

add-apt-repository ppa:chris-lea/redis-server
apt-get update
apt-get install redis-server
apt-get install -y lsb-release wget # optional
CODENAME=`lsb_release -c -s`
wget -O- https://rspamd.com/apt-stable/gpg.key | apt-key add -
echo "deb [arch=amd64] http://rspamd.com/apt-stable/ $CODENAME main" > /etc/apt/sources.list.d/rspamd.list
echo "deb-src [arch=amd64] http://rspamd.com/apt-stable/ $CODENAME main" >> /etc/apt/sources.list.d/rspamd.list
apt-get update
apt-get --no-install-recommends install rspamd
rspamadm configwizard

пойдет меню, там надо будет внейти свои домены domain1.ru, domain2.ru и потом прописать DKIM клюи в DNS записи доменов

root@mail:/etc/postfix# rspamadm configwizard
  ____                                     _
 |  _ \  ___  _ __    __ _  _ __ ___    __| |
 | |_) |/ __|| '_ \  / _` || '_ ` _ \  / _` |
 |  _ < \__ \| |_) || (_| || | | | | || (_| |
 |_| \_\|___/| .__/  \__,_||_| |_| |_| \__,_|
             |_|
 
 
Welcome to the configuration tool
We use /etc/rspamd/rspamd.conf configuration file, writing results to /etc/rspamd
Modules enabled: mime_types, hfilter, phishing, dkim_signing, asn, settings, regexp, arc, trie, bayes_expiry, rspamd_update, rbl, ip_score, metadata_exporter, elastic, fuzzy_check, mid, multimap, chartable, surbl, dkim, maillist, once_received, emails, dmarc, forged_recipients, milter_headers, whitelist, force_actions, spf
Modules disabled (explicitly): spamtrap, url_tags, mx_check, url_reputation
Modules disabled (unconfigured): spamassassin, reputation, metric_exporter, dynamic_conf, antivirus, fuzzy_collect, dcc, maps_stats, clickhouse
Modules disabled (no Redis): greylist, url_redirector, replies, neural, ratelimit, history_redis
Modules disabled (experimental):
Modules disabled (failed):
Do you wish to continue?[Y/n]: y
Setup WebUI and controller worker:
Controller password is not set, do you want to set one?[Y/n]: n
Redis servers are not set:
The following modules will be enabled if you add Redis servers:
* greylist
* url_redirector
* replies
* neural
* ratelimit
* history_redis
Do you wish to set Redis servers?[Y/n]: y
Input read only servers separated by `,` [default: localhost]:
Input write only servers separated by `,` [default: localhost]:
Do you have any password set for your Redis?[y/N]:
Do you have any specific database for your Redis?[y/N]:
Do you want to setup dkim signing feature?[y/N]: y
Enter output directory for the keys [default: /var/lib/rspamd/dkim/]:
Enter domain to sign: domain1.ru
Enter selector [default: dkim]:
Do you want to create privkey /var/lib/rspamd/dkim/domain1.ru.dkim.key[Y/n]:
To make dkim signing working, you need to place the following record in your DNS zone:
dkim._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHoXvfq8caMJdEMmCpDqw0ghmw5eCvT9bIpnyaUeCWfCXoyPJTg2KtMfNEgybOernM+nDFugemVziOJOawAA/R/dfHtTGVaqlbmOuwKdoNHfyI4DLrsp6a6ZnWRw6GGj2/Di0wI1F32+dAlOwIDAQAB" ) ;
 
 
Do you wish to add another DKIM domain?[y/N]:Y

Enter domain to sign: domain12ru
Enter selector [default: dkim]:
Do you want to create privkey /var/lib/rspamd/dkim/domain2.ru.dkim.key[Y/n]:
To make dkim signing working, you need to place the following record in your DNS zone:
dkim._domainkey IN TXT ( "v=DKIM1; k=rsa; "
"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHoXvfq8caMJdEMmCpDqw0ghmw5eCvT9bIpnyaUeCWfCXoyPJTg2KtMfNEgybOernM+nDFugemVziOJOawAA/R/dfHtTGVaqlbmOuwKdoNHfyI4DLrsp6a6ZnWRw6GGj2/Di0wI1F32+dAlOwIDAQAB" ) ;




You have 1 sqlite classifiers
Expire time for new tokens [100d]:
Reset previous data?[y/N]: y~
Do you wish to convert them to Redis?[Y/n]: y
Convert spam tokens
 
 
Convert ham tokens
 
 
Migrated 0 tokens for 2 users for symbols (BAYES_SPAM, BAYES_HAM)
Converted classifier to the from sqlite to redis
File: /etc/rspamd/local.d/classifier-bayes.conf, changes list:
backend => redis
new_schema => true
expire => 8640000
 
 
File: /etc/rspamd/local.d/redis.conf, changes list:
write_servers => localhost
read_servers => localhost
 
 
File: /etc/rspamd/local.d/dkim_signing.conf, changes list:
domain => {[domain1.ru] = {[selector] = dkim, [privkey] = /var/lib/rspamd/dkim/domain1.ru.dkim.key}}
 
 
Apply changes?[Y/n]: y
Create file /etc/rspamd/local.d/classifier-bayes.conf
Create file /etc/rspamd/local.d/redis.conf
Create file /etc/rspamd/local.d/dkim_signing.conf
3 changes applied, the wizard is finished now
*** Please reload the Rspamd configuration ***

constin ★★★★
(15.03.19 11:40:54 MSK)
Последнее исправление: constin 15.03.19 11:41:57 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

Заинсталим nginx, чтобы смотреть на статистику спама через веб

apt-get install nginx

/etc/nginx/sites-enabled/default


....
    location / {
    proxy_pass       http://localhost:11334/;
 
    proxy_set_header Host      $host;
    proxy_set_header X-Real-IP $remote_addr;
    proxy_set_header X-Forwarded-For "";
}
....

/etc/init.d/nginx restart

/etc/rspamd/local.d/dkim_signing.conf

подшаманим немного dkim подписи, по умолчанию там криво если файлов нет , созадвай

try_fallback = false;
selector_map = "/etc/rspamd/dkim_selectors.map";
path_map = "/etc/rspamd/dkim_paths.map";


domain1.ru dkim
domain2.ru dkim

/etc/rspamd/dkim_paths.map

domain1.ru /var/lib/rspamd/dkim/domain1.ru.$selector.key
domain2.ru /var/lib/rspamd/dkim/domain1.ru.$selector.key

в этих файлах должны желать ключи , проверь

/var/lib/rspamd/dkim/domain1.ru.mail.key
/var/lib/rspamd/dkim/domain2.ru.mail.key

вайтлисты, тобы спаморезка не трогала наши домены и наши локальные потовики

/etc/rspamd/local.d/multimap.conf


  IP_WHITELIST {
      type = "ip";
      prefilter = "true";
      map = "/${LOCAL_CONFDIR}/local.d/ip_whitelist.map";
      action = "accept";
  }
 
 
WHITELIST_SENDER_DOMAIN {
      type = "from";
      filter = "email:domain";
      map = "/etc/rspamd/local.d/whitelist.sender.domain.map";
      score = -10.0
  }

/etc/rspamd/local.d/ip_whitelist.map

#тут наша локалка
192.168.0.0/24

/etc/rspamd/local.d/whitelist.sender.domain.map

domain1.ru
domain2.ru

/etc/init.d/rspamd restart

------------------

я слишком добрый сегодня

могут быть ошибки, так как писал из головы, но моловероятно

след пост 4ерез 10 минут про локальные по4товики

constin ★★★★
(15.03.19 11:41:12 MSK)

Ссылка

Ответ на: комментарий от drsever 14.03.19 13:16:48 MSK

на локальных потовиках ( поставь какой-нибудь комбаин) я уже писао про твои ужасные конфиги

напишу, то надо добавить, 4тобы оно отсылало , 4ерез релей

relayhost = [192.168.0.100]:submission  (тут локальный айпи нашего релея)
smtp_tls_security_level = encrypt
smtp_sasl_tls_security_options = noanonymous

smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_auth_enable = yes

/etc/postfix/sasl_passwd

[192.168.0.100]:submission relay@domain2.eu:PaSSw0RdXXX
# тут IP relay и специальный аккаунт для отсылки любой почты через relay, который мы создадим на relay

postmap /etc/postfix/sasl_passwd
service postfix reload

constin ★★★★
(15.03.19 11:47:16 MSK)

Ответ на: комментарий от constin 15.03.19 11:47:16 MSK

спасибо тебе, добрый человек за науку. буду пробывать

drsever
(18.03.19 14:09:04 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Сервер не пингует сам себя по внешнему адресу

Admin

ansible playbook не фурычит

→

конфиги

Похожие темы