Постфикс почтовый сервер

Postfix чаще всего используется в качестве почтового сервера сайтов. Он готов к работе сразу после установки, но по умолчанию в нем нет системы авторизации. Это значит, что любой человек может использовать этот
почтовый сервер для отправки и приема писем. Чтобы исключить такую ситуацию, используется связка
Postfix – Dovecot.
Dovecot — плагин, который позволяет настроить авторизацию

Устанавливаем и настраиваем postfix

Устанавливаем и настраиваем dovecot

Создаём почтовый ящик

В прошлой статье
мы рассказали о том, как подготовить базу для нашего почтового сервера, теперь настало время установить и настроить сам почтовик.

На этом этапе мы рассмотрим настройку почтового сервера с виртуальными пользователями и хранением паролей от почтовых ящиков в файле. Этот метод несложен и не требует много действий в консоли, но если вы планируете заводить больше 10–15 почтовых ящиков, управлять ими будет не очень удобно — для этого лучше подойдёт второй вариант настройки с хранением паролей в базе данных
.

Текущая версия страницы пока не проверялась
опытными участниками и может значительно отличаться от версии
, проверенной 15 марта 2016 года; проверки требуют 9 правок
.

Этот почтовый агент выполняет те же функции, что и Sendmail, но более устойчив, гибок и безопасен. Он появился в 1999 году. Разработчики постоянно совершенствуют свой продукт. В версию
Postfix  
3
встроена поддержка отправки почты как через устаревшую службу SMTPS, так и через протокол SMTP, а также поддерживается расширение для создания зашифрованных соединений STARTTLS.

Вместо Sendmail —

Postfix Mac Os,
начиная с версии 10.3. Этот почтовик также входит в состав инсталляционного пакета Linux. Поговорим о том, как установить и настроить Постфикс, об основных особенностях его работы и архитектуре.

<img src="https://content.timeweb.com/assets/39dd3dd7-4260-4dad-be29-0a2a0bbe85e2?width=3180&height=1060" alt="Особенности Работы Postfix

«>

Чтобы инсталлировать приложение, наберите: 

   apt-get install postfix  
  

Запустится конфигурирование. Вам начнут задавать вопросы. Среди профилей, которые вам предложат, выберите Internet Site — тогда программа сконфигурирует конфиг main.cf и сразу же запустится. Иначе вам придется конфигурировать самостоятельно.

Справка.
Main.cf может содержать свыше 330 строк. 

После инсталляции программные настройки запишутся в подкаталог /etc/postfix. Здесь же будет храниться main.cf — главный конфигурационный файл. 

Решим, как будет использоваться клиент
mail Postfix : чтобы пересылать корреспонденцию на иной хост или хранить одну часть локально, а другую — пересылать.

Обычная локальная доставка, которая базируется на авторизации и учитывает юзеров вашей системы, не отличается гибкостью. Но мы ее рассмотрим, так как с этими командами взаимодействуют другие. 

Зайдите в подкаталог etc/postfix и раскройте файл конфигурации main.cf. Вы увидите строки такого вида: 

   имя_параметра = значение  
  

Их можно закомментировать, прописав в начале #
. 

Если параметру может быть присвоено больше одного значения, это записывается одним из способов: 

   имя_параметра = знач1 знач2 знач3
имя_параметра = знач1, значение2, значение3
имя_параметра =
 знач1
 знач2
 знач3
имя_параметра =
 знач1,
 знач2,
 знач3  
  

Если значения перечисляются в столбик, как в двух последних способах, то в начале записи должен быть пробел.

После присваивания значения можно указать перед его именем $
и использовать его величину в других выражениях. Для этого укажите $имя_параметра
там, где требуется «вытащить» значение. 

Это может быть выглядеть так: 

mydomen = example.net  
  
mydestination=mail.$mydomen

Но, как правило, явные значения предпочтительней. Так как параметров используется меньше, их проще менять и вероятность ошибки ниже. 

Архитектура

Соответствует стилю UNIX:

• количество функций минимально;
• выполнение — быстрое и надежное.

Концепция подсистем

В Sendmail работает одно большое приложение, а в Постфикс — компактные программы, функционирующие совокупно. Они связаны алгоритмами FIFO и сокетами Unix. Каналы обмена размещены в защищенном каталоге. К функциям программ относятся отправление/прием сетевых сообщений и локальная доставка корреспонденции. 

Разбиение на подсистемы хорошо тем, что неиспользуемые модули отключаются. Все демоны завершаются не сами по себе, такую команду дает master. Когда почтовый сервер простаивает, демоны, которые в данный момент не нужны, прекращают работу и не занимают память. Если они понадобятся, master-демон может запустить их снова.

Запускает и контролирует процессы утилита master. В ее конфигурационном файле master.cf записаны сведения о вспомогательных программах и очередности их запуска. Процесс master активизируется, когда система стартует, и «живет», пока она работает. Он запускает остальные модули по требованию и перезапускает те, что из-за проблем были завершены аварийно. 

Некоторые утилиты 

В приложение входит набор утилит, которые работают через командную строку. Эти утилиты заточены на решение административных задач. С их помощью вы сможете обращаться к картам, просматривать очереди, ставить в нее сообщения и извлекать их, а также модифицировать конфигурацию. У всех их есть общая характеристика — post в начале имени, так что вы легко найдете их в таблице.

Как письма попадают в почтовую систему

1. Чаще всего — через сеть. Сначала их получает в
postfix SMTP- демон. Проводится проверка на спам, если эту функцию включил администратор. 

Затем запускается процесс cleanup, отвечающий за зачистку. Он проверяет, правильно ли оформлено сообщение и допустимый ли у него формат. Цель — не допустить переполнение буфера, которое может быть причиной атак.

Обработанное письмо записывается в каталог incoming, выделенный для хранения входящей очереди.

2. Послание может быть отправлено с локальных серверов скриптами или командой, например, такой:

3. Письмо появилось как ответ системы. Отправителю сообщается, что его послание не удалось доставить.

4. Письмо возникло как уведомление администратору. Сообщается, что есть проблемы c протоколом SMTP или настройки нарушены. Чтобы доставить письмо, сначала запускается процесс cleanup, а потом оно ставится в очередь. 

Как происходит доставка

Сообщения, поставленные в очередь incoming, должны быть доставлены адресатам. 

Queue manager — менеджер очередей. Когда приходит сигнал о прибытии новой почты, он ставит ее в активную очередь active и отправляет запрос демону trivial-rewrite. Он сообщает, локальный это адрес или удаленный. Дополнительные сведения находятся в файле
Postfix transport

Менеджер очередей на основе анализа данных выбирает программы доставки. Перечислим их.

• Агент Local доставляет корреспонденцию внутри системы. Несколько таких процессов запускаются одновременно.
• Virtual — урезанная версия Local. Виртуальная доставка применима к п/я в формате mailbox. С *.forward и системными псевдонимами работа не предусмотрена.
• SMTP подключается, если послание адресовано удаленному клиенту. Менеджер очередей передает сведения о получателе: наименование очереди, адресные данные, домен или хост. По завершении пересылки выдается ее статус, например, успешно, фатальная ошибка или временная ошибка.
• LMTP доставляет корреспонденцию локальному/удаленному серверу, предназначенному для сбережения п/я. Принцип работы LMTP аналогичен SMTP, но протоколы разные.
• Интерфейс Pipe mailer работает с транспортными агентами со стороны, например, с UUCP. 

Если доставка сорвалась, Queue manager отсылает это послание в директорию, выделенную отложенным сообщениям. Спустя какое-то время будет предпринята повторная проба. Если вам нужно попытаться отправить письмо раньше, запустите команду postfix flush.

Corrupt — очередь, куда отсылаются сообщения, которые повреждены, не читаются или у них недействительный формат. Подозрительные данные изолируются, пока администратор не примет решение о дальнейших действиях. 

Очередь hold — для тех писем, которые были приостановлены. Из этого состояния их можно вывести специальной командой.

Queue manager умеет функционировать в различных режимах/стратегиях, или комбинировать их. 

• Leaky bucket. При этой стратегии число писем в активной очереди ограничивается.
• Fairness. Если не заполнена активная очередь, то берутся письма, залежавшиеся в отложенной и входящей очередях.
• Slow start. Режим направлен на предотвращение заторов, которые происходят, когда получатель задерживается с обработкой запросов. Подстройка проводится путем регулирования числа попыток одновременной отправки.
• Round robin. Queue manager рассортировывает по очередям корреспонденцию в соответствии с местом доставки.
• Exponential backoff. Та почта, что не отправилась с первого раза, уходит в отложенную очередь. Ее тайм-аут после последующих неудачных попыток умножается на 2. Это позволяет не тратить ресурсы на нерабочие узлы.
• Кэширование статуса. Queue manager работает с таблицей, в которой содержатся статусы неудачных попыток доставки. 

Итоги

Настройте для пересылки почты собственный клиент, если планируете:

• отправлять сообщения пользователей сервера за пределы локальной сети;
• получать извещения о происшедших событиях. 

Число отказов снизится, а вероятность доставки возрастет с уменьшением количества посредников при пересылке писем.

Postfix, server пересылает корреспонденцию либо напрямую, непосредственно на почтовый сервер адресата, либо через relay (посредника). Почтовик легко устанавливается и запускается, но нужно понимать тонкости его работы, чтобы внедрить или разобраться в проблемах.

Устанавливаем и настраиваем postfix

Устанавливаем postfix
на сервер:

Centos
(обычно в Centos 7 он уже установлен):

  yum install epel-release -y
yum install postfix -y  

  apt install postfix -y  

Далее откроется окно, где нужно выбрать Internet Site
:

И в следующем окне указать ваш домен, с которого будет отправляться почта:

Запускаем и добавляем в автозагрузку службу postfix
:

  systemctl start postfix
systemctl enable postfix  

Вносим изменения в настройку postfix,
в консоли вводим следующие команды:

  postconf -e 'inet_interfaces=all'
postconf -e 'mydestination='
postconf -e 'myhostname=mailtest.fvds.ru'
postconf -e 'virtual_mailbox_domains=mailtest.fvds.ru'
postconf -e 'virtual_transport=lmtp:unix:private/dovecot-lmtp'
postconf -e 'virtual_mailbox_maps=hash:/etc/postfix/virtual_recipients'
postconf -e 'virtual_alias_maps=hash:/etc/postfix/virtual_alias_recipients'
postconf -e 'virtual_mailbox_base=/var/mail/vmail/'
postconf -e 'local_recipient_maps=$virtual_mailbox_maps'

postconf -e 'smtpd_sasl_auth_enable=yes'
postconf -e 'smtpd_sasl_type=dovecot'
postconf -e 'smtpd_sasl_path=private/auth'
postconf -e 'broken_sasl_auth_clients=yes'
postconf -e 'smtpd_sasl_security_options=noanonymous'

postconf -e 'smtpd_use_tls=yes'
postconf -e 'smtpd_tls_cert_file=/etc/postfix/certs/cert.pem'
postconf -e 'smtpd_tls_key_file=/etc/postfix/certs/key.pem'
postconf -e 'smtpd_sasl_tls_security_options=noanonymous'
postconf -e 'smtpd_tls_auth_only=yes'

postconf -e 'smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination'

postconf -e 'smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_helo_hostname,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_non_fqdn_recipient,reject_unknown_recipient_domain'

postconf -e 'smtpd_banner=$myhostname ESMTP'
postconf -e 'biff=no'
postconf -e 'strict_rfc821_envelopes=yes'
postconf -e 'disable_vrfy_command=yes'
postconf -e 'smtpd_helo_required=yes'  

Конфигурация будет добавлена в файл /etc/postfix/main.cf
.

В конец файла /etc/postfix/master.cf
дописываем следующие строки:

  submission inet n - n - - smtpd
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_sasl_type=dovecot
 -o smtpd_sasl_path=private/auth
 -o syslog_name=postfix/submission
 -o smtpd_tls_wrappermode=no
 -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
 -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
 -o milter_macro_daemon_name=ORIGINATING

smtps inet n - n - - smtpd
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_sasl_type=dovecot
 -o smtpd_sasl_path=private/auth
 -o syslog_name=postfix/smtps
 -o smtpd_tls_wrappermode=yes
 -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
 -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
 -o milter_macro_daemon_name=ORIGINATING  

Для Centos
в конец этого же файла нужно добавить:

  dovecot unix - n n - - pipe
 flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}  

Для Debian/Ubuntu
в конец этого же файла нужно добавить:

  dovecot unix - n n - - pipe
 flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}  

Теперь сгенерируем самоподписанный сертификат, чтобы данные не передавались в открытом виде. При генерации сертификата система задаст несколько вопросов. На них можно ответить всё, что угодно, — особой роли это не играет.

  mkdir /etc/postfix/certs
openssl req -new -x509 -days 3650 -nodes -out /etc/postfix/certs/cert.pem -keyout /etc/postfix/certs/key.pem  

Вот пример выполнения команды:

Если у вас есть платный сертификат на домен с не истекшим сроком действия, используйте его. Файлы сертификата нужно разместить в директории /etc/postfix/certs/
и заменить имена файлов на свои в конфигурационном файле postfix /etc/postfix/main.cf
в следующих строках: 

  smtpd_tls_cert_file
smtpd_tls_key_file  

Проверить корректность настроек postfix
можно через команду:

  postfix check  

2. The postfix Open Source Project on Open Hub: Languages Page
   
   

3. ↑ <sup>1
   
   
   
   2
   
   
   
   3
   
   
   
   4
   
   
   
   5</sup>
   
   
   
   
   Free Software Directory
   
   
   

Полезные команды

DSN Postfix — оповестить о статусе доставки корреспонденции: успех, неудача, задержка или не отправлено. 

Вы можете запретить оповещения: 

Или разрешить лишь отобранным:

/etc/postfix/main.cf:  
  
smtpd_discard_ehlo_keyword_address_maps = cidr:/etc/postfix/esmtp_access

Перечень выбранных сетей — в файле esmtp_access. Например: 

192.168.0.0/25 silent-discard  
  
0.0.0.0/0 silent-discard, dsn

Работа с очередью

• С помощью утилиты
  postcat Postfix вы сможете просматривать содержимое сообщений, которые застряли в очереди.
• qshape Postfix можно увидеть письма, стоящие в очереди по каждому из доменов. 

• Узнать количество писем в очереди:

• Установить наименование сервера 

Имя узнается с помощью команды:

Если имя не установлено, или не такое, его можно прописать:

Справка
. Hostname сервера не совпадает с его доменом. 
Например, server.example.com — полное имя домена, а server — его hostname.

Настройка отправки почты

Для того чтобы отправленные через MTA письма не попали под спам, а пришли адресату, вам будут нужны:

• реальный домен, вы настроите его поддомен как имя сервера и будете управлять настройками DNS.

При настройке обязательно указываются такие параметры: myhostname, mydomain и mydestination.

Хост и домен прописываются так:

    myhostname = mail.      
       
example.org  
  
mydomain = example.org

Если не указать название хоста, система определит его сама, но лучше прописать явно. Имя домена получится из названия хоста, если отбросить левую часть до первой точки. Поэтому можно не прописывать его вручную. Mydomain — это публичное наименование почтового сервиса. К адресу, откуда отсылается корреспонденция, автоматически дописывается домен локальной почты:

   myorigin = $mydomain  
  

Прописываем почтовые домены, к которым сервер доставит почту. В mydestination перечисляются DNS-имена, для которых этот почтовый сервер сможет принимать корреспонденцию. Их лучше обрабатывать механизмом virtual, так что значения не присваиваем.

my destination =    
  
localhost  
  
$myhostname

Затем подключаем виртуальные домены, чтобы доставить почту:

Так как обычная локальная доставка нас не интересует, оставляем перечень адресатов без значений.

1. Прописываем сетевые интерфейсы, работающие на приеме почты, например, все: 

   inet_interfaces = all  
  

Выбираем из ipv4, ipv6, all нужный нам протокол:

   inet_protocols = all   
  

2. Указываем доверенные сети, где разрешены практически любые соединения:

3. Если вы планируете отправлять корреспонденцию через relay, пропишите это в relayhost.

Справка.
Relay — это узел, перенаправляющий входящую почту. В его задачи входит:

• хранение на протяжение указанного периода;
• пересылка писем получателю или другому relay.

Relay для отправляемой корреспонденции:

   relayhost = smtp.myprovider.net  
  

Так как вы отправляете всю переписку на релей, вам нет смысла опрашивать DNS. Поэтому отключаем эти запросы:

   disable_dns_lookups = yes  
  

4. Прописываем домены, на которые разрешим пересылать сообщения от клиентов недоверенных сетей. Возможен один из вариантов:

   relay_domains = $mydestination  
  

• Запрет пересылки корреспонденции от посторонних:

• Отправление корреспонденции своим доменам:

   relay_domains = $mydomain  
  

Справка
. По умолчанию, Постфикс:

• переправляет корреспонденцию исключительно авторизованным доменам;
• воспринимает авторизованными те домены, что прописаны в mydestination.

Тестирование почты и настройка брандмауэра

Сначала необходимо убедиться в том, что почта доходит до нового ящика. Сделать это можно с помощью тестового письма:

   tail -f /var/log/mail.log  
  

Чтобы почтовый сервер был доступен из интернета, необходимо открыть несколько портов.

Начните с POP3 и POP3S:

sudo ufw allow 110  
  
    sudo ufw allow 995    

Затем откройте IMAP и IMAPS:

sudo ufw allow 143  
  
    sudo ufw allow 993    

И напоследок — доступ к
Ubuntu SMTP Server

sudo ufw allow 25  
  
sudo ufw allow 465  
  
    sudo ufw allow 587    

Для управления почтовыми ящиками можно использовать другой графический интерфейс. Например,
Roundcube-почта
— клиент для получения и отправки электронных писем. Работает на связке Apache и MySQL, что отлично вписывается в нашу конфигурацию.

Конфигурацию почтового сервера тоже можно менять. Например, добавить
Postfix DKIM — инструмент, который добавляет в заголовки писем электронную подпись. Кроме
DKIM Postfix
есть SPF и DMARC. Первый инструмент помогает внешним сервисам однозначно определять серверы, которые могут отправлять почту от домена, а второй инструмент позволяет указать другим серверам, что делать с письмами, не получившими одобрение от DKIM и SPF.

Чтобы конфигурацию было удобно переносить на другой сервер, можно также создать
 
со всеми установленными зависимостями.

Алиасы и преобразования адресов

Alias, или никнейм — это короткое имя, которое легко запомнить. Оно присваивается сложным и длинным наименованиям. 

Имя адресата может быть таким же, как и имя пользователя системы, но также их можно извлечь из таблицы алиасов. Например: 

alias_maps = hash:/etc/postfix/aliases  
  
alias_database = hash:/etc/postfix/aliases

Во время первой установки почтового клиента таблица пополняется записью с алиасом суперпользователя root. Ему будут отправляться все письма, отправленные на системные адреса или администратору (по умолчанию им становится первый зарегистрированный пользователь). 

Рассмотрим на примере, как выглядит таблица. 

      Fitzwilliam Darcy: fitzwilliam  
  
      accountant: accountant@chiefcomputer  
  
      result: calendars, plans, reports  
  
      view: | postcat -q mail_id

postalias создает базы псевдонимов и обрабатывает запросы к ним. Чтобы построить рабочую таблицу, наберите команду:

Добавление пользователей

Чтобы создать нового пользователя, в терминале Ubuntu наберите команду:

Добавленный пользователь сможет пользоваться почтовиком. Такой метод подходит небольшим организациям. Если же в организации много пользователей, систему наращивают. 

1. Устанавливаем MySQL, в которой будет храниться информация о пользователях.
3. Переносим учетные записи пользователей в базу данных.

Этот процесс подробнее описан в блоге
cloud.timeweb.com
, разбирается настройка Postfix и Dovecot
.

Postfix logs

Журнальные файлы по умолчанию хранятся в файле mail.log, расположенном в подкаталоге /var/log/mail.log. 

Если вы или ваш провайдер изменили их местоположение, то для возврата к первичным настройкам потребуется выполнить apt-get install rsyslog
и перезапустить службы постфикса.

По каждому из писем в логах фиксируются базовые данные: отправитель и адресат, а также факт и время обработки. Анализируя
файлы журналов, вы можете: 

• выяснить, отправлялось ли письмо с указанного адреса;
• изучить статистику работы с почтовиком;
• узнать объем сообщений, прошедших через SMTP.

Из этих строк не всегда можно понять, какое послание было обработано, так как одному и тому же получателю их могло быть отправлено несколько. Рассмотрим, как добавить в логе заголовки, которые смогут идентифицировать письмо с помощью директивы

1. Создаем в подкаталоге etc/postfix файл header_checks и пишем в него правило для проверки заголовков:

   /^X-Message-(.*)$/ Information $1   
  

2. Проверяем. Если нет ошибок в формате файла, то по команде:

   postmap -q “X-Message-Result: 79461” pcre:/etc/postfix/header_checks  
  

   Information Result: 79461  
  

3. Подключим этот файл в почтовый сервер:

   postconf –e header_checks=pcre:/etc/postfix/header_checks postfix reload  
  

Итог: для всех посланий, содержащих такой заголовок, в журнальных записях запишется последняя часть заголовка, по которой можно распознать письмо.

Настройка Postfix для работы с Dovecot

После настройки Dovecot измените конфигурацию Postfix. Откройте файл main.cf:

sudo ufw allow 110
sudo ufw allow 995

smtp_use_tls = yes        
smtp_tls_security_level = may  
  
smtpd_tls_security_level = may  
  
smtpd_sasl_auth_enable = yes  
  
smtpd_sasl_type = dovecot  
  
smtpd_sasl_path = private/auth

Закомментируйте несколько параметров, которые теперь не нужны:

#virtual_mailbox_base = /home/vmail  
  
#virtual_mailbox_maps = hash:/etc/postfix/vmaps  
  
#virtual_minimum_uid = 1000  
  
#virtual_uid_maps = static:5000  
  
#virtual_gid_maps = static:5000

Вместо закомментированных параметров добавьте:

                               sudo ufw allow 143
sudo ufw allow 993                
                

Измените файл master.cf. Откройте его:

sudo nano /etc/postfix/master.cf


relay_domains = $mydomain

После изменения конфигурации перезагрузите Postfix и Dovecot:

sudo systemctl restart postfix                                  
sudo systemctl restart dovecot

Теперь у вас есть