Knowledge Thiết Lập Mail Server Trên Nền Tảng Debian

Discussion in 'Mail Server' started by Twisted, Apr 23, 2017.

  1. Twisted Membership

    Mô hình này cung cấp các dịch vụ host ảo dành cho mailbox với nhiều định dạng khác nhau, chế độ lọc quota và server – side, alias domain, alias address, forward address và catchall address. Quá trình chuyển tiếp được đảm bảo an ninh với giao thức STARTTLS và SMTP-AUTH. Các email nhận sẽ được kiểm soát chặt chẽ bằng những bộ lọc virus, spam, mã độc đồng thời nhanh chóng loại bỏ các SPF policy và DNSBL.

    Và toàn bộ quá trình này sẽ được trải qua 3 server chính:

    - 1 server MX, tại đây sẽ tập trung toàn bộ các tính năng bảo mật (faramir.middle.earth)

    - 1 giao thức chuyển tiếp SMTP, cho phép người dùng gửi email ra bên ngoài (ectelion.middle.earth)

    - 1 server Mailstore dùng để chứa toàn bộ dữ liệu của mailbox (denetor.middle.earth)

    Tất nhiên, bạn có thể gán thêm nhiều bản ghi MX tùy thích sử dụng DNS MX tới domain, các dịch vụ chuyển tiếp bằng DNS round-robin, chức năng lưu trữ, chuyển tiếp và phân nhánh email… sẽ được đề cập đầy đủ trong bài viết.

    Tất cả các thao tác đều được thực hiện trên hệ thống sử dụng hệ điều hành Debian server.

    Thiết lập LDAP

    Toàn bộ thông tin của người sử dụng đều được lưu trữ trong thư mục LDAP. Và đây là cách chúng ta cài đặt trên server làm nhiệm vụ chuyển tiếp. Hệ thống yêu cầu những gói cần thiết sau:
    Tại đây, chúng ta sẽ sử dụng những thông số LDAP sau đây:
    Bên cạnh đó, ta cần dùng giản đồ LDAP có sẵn. Hầu hết các thuộc tính và đối tượng phải theo chuẩn, lưu ý rằng có rất nhiều thuộc tính chuẩn người sử dụng cần chú ý tránh trường hợp trùng lặp xảy ra.

    Ghép giản đồ có sẵn vào openldap trong /etc/ldap/schema/mailMEO.schema:
    và gán đúng giản đồ cần thiết bên trong /etc/ldap/slapd.conf:
    Kiểm tra lại các hậu tố (khi cài đặt slapd thì debconf đã được cấu hình sẵn):
    Sau đó, gán thêm các ACLs của daemon cần sử dụng để truyền dữ liệu tới LDAP. Khởi tạo thuộc tính readonly để truy cập tới userPassword dành cho devecot:
    Thiết lập thuộc tính tương tự đối với exim và dovecot:
    Thông số ACL cuối cùng đảm nhận nhiệm vụ ngăn chặn khả năng đọc dữ liệu từ các tài khoản anonymous nhưng lại được phép chỉnh sửa với các tài khoản được xác nhận. Khởi động lại slapd để áp dụng các thay đổi trên:

    Sau đó, chúng ta phải tạo ra các tài khoản người dùng với các ACL trước đó. Để làm được việc này, ta phải sử dụng file user.ldif sau:
    Tài khoản này sẽ có user / pass là: dovecot / dovecotpopper và exim4 / eximmta

    Để cung cấp thông tin, dữ liệu cho thư mục gốc, sử dụng lệnh sau:

    Dưới đây là mẫu 1 file ldif có chứa các dữ liệu khác:
    Thiết lập MTAs

    Tại đây, chúng ta sẽ sử dụng MTA Exim4 trên hệ thống MX, server làm nhiệm vụ chuyển tiếp và lưu trữ email.

    Với server chuyển tiếp:

    Trước tiên, chúng ta cần gán thêm repository volatile trong file /etc/apt/source.list.d/volatile.list:
    và cập nhật cơ sở dữ liệu apt:
    Sau đó là bước cài đặt exim4, nhớ chọn Yes để chia nhỏ các file cấu hình:
    Theo thứ tự, để sử dụng TLS thông qua các session của SMTP thì hệ thống cần có chứng nhận – certificate. Đó có thể là chứng nhận do các tổ chức, doanh nghiệp cung cấp hoặc chỉ là do hệ thống tự tạo ra. Ở đây, chúng ta sẽ sử dụng trường hợp thứ 2 - certificate tự tạo, khi sử dụng các máy tính trạm sẽ hiển thị thông tin cảnh báo về những certificate này.

    Tạo RSA key:
    Yêu cầu Certificate:
    Xác nhận Certificate:

    openssl x509 -req -signkey exim.key -in exim.csr -days 9999 -out exim.c

    Copy file:
    Trong đó MAILMEO_DOMAINROOT định nghĩa và khởi tạo giá trị LDAP root dn – nơi lưu trữ thông tin về domain và user. Với những server làm nhiệm vụ chuyển tiếp thì các tài khoản người dùng sẽ được xác nhận trước khi email được gửi đi, mô hình này là SMTP-AUTH. Và để thực hiện quá trình này, chúng ta phải tạo file cấu hình khác /etc/exim4/conf.d/auth/50_mailMEO_authsmtp:
    Vì chúng ta lưu trữ các mật khẩu dưới dạng mã hóa, do vậy bắt buộc phải sử dụng cơ chế xác thực mật khẩu một cách rõ ràng dựa vào PLAIN hoặc LOGIN (hoặc là cả 2). Mặt khác, những người quản trị chỉ nên dùng chuẩn AUTH để “giấu” các session SMTP. Và nếu muốn dùng chức năng AUTH để xóa bỏ toàn bộ các session, hãy khởi tạo thông số AUTH_SERVER_ALLOW_NOTLS_PASSWORDS (ví dụ đặt bằng giá trị true) trong file /etc/exim4/conf.d/main/04_mailMEOmacrodefs. Bên cạnh đó, chúng ta sẽ yêu cầu exim truyền toàn bộ dữ liệu qua cổng 587 – thường được dùng phổ biến hơn MUA để đăng tải email, và để báo cho chuẩn TLS. Trong file cấu hình /etc/exim4/update-exim4.conf.conf, hãy sửa lại tham số dc_local_interfaces theo giá trị sau:
    Chức năng bảo mật được các chương trình Antivirus – ở đây là clamav đảm nhận, ứng dụng này liên kết chặt chẽ với exim4. Tất cả những gì cần làm là kích hoạt lựa chọn trong file /etc/exim4/conf.d/main/02_exim4-config_options:
    Bỏ chú thích của 3 dòng trong file /etc/exim4/conf.d/acl/40_exim4-config_check_data:
    Gán các tài khoản clamav tới nhóm Debian-exim:
    Sau đó, khởi động lại clamav và exim4, và chúng ta cũng đã hoàn thành các công đoạn cơ bản với server chuyển tiếp:
    Với server lưu trữ – Mailstore

    Server này có nhiệm vụ lưu trữ tất cả các dữ liệu email trên hệ thống, quá trình kiểm tra và phân loại spam cũng được thực hiện tại đây. Thực chất, quá trình này sẽ “ngốn” rất nhiều tài nguyên của hệ thống, do vậy hầu hết mọi người chỉ muốn làm bước này sau mỗi quá trình lọc (DNSBL hoặc tương tự). Để tận dụng tối đa hiệu quả của dovecot, chúng ta nên sử dụng phiên bản 1.2.x. Nhưng thật không may rằng các phiên bản 1.0 dành cho Debian thiếu khá nhiều chức năng quan trọng, điển hình là quotawarning. Để khắc phục tình trạng này, chúng ta cần ghép thêm repository backport bằng file /etc/apt/sources.list.d/backports.list:
    và chạy tiếp các lệnh sau:
    Các định nghĩa về exim trong file /etc/exim4/conf.d/main/04_mailMEOmacrodefs:
    trong đó giá trị mailMEO_domains sẽ trả lại kết quả là danh sách các domain được nắm giữ trong LDAP, và để kích hoạt các tính năng quản lý với các domain trong LDAP, đơn giản chúng ta chỉ cần tạo thêm các entry entry dựa vào mẫu sau (hãy thay đổi các thông số kỹ thuật theo hệ thống của bạn):
    Mặt khác, chúng ta phải chỉ định rõ ràng tới exim để chấp nhận các domain đó bằng cách thêm domainlist vào file rcpt acl: /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt, hãy thay đổi các thông số sau:
    Tại đây, MAILMEO_MAINDOMAIN đề cập đến 1 chức năng mà chúng ta hay gọi là domain aliasing, nó cho phép các địa chỉ email của domain này cũng có thể tồn tại trong domain khác. Trong dữ liệu mẫu lotr.middle.earth là 1 domain alias của middle.earth, do vậy mailbox của frodo có thể được truy cập từ [email protected] hoặc [email protected]. Trong đó middle.earth là domain chính, với mức phân quyền nhất định, ví dụ tính năng xác thực qua chuẩn POP/IMAP/SMTP chỉ có thể dùng được qua domain chính này.

    Aliases:
    Đây là địa chỉ thứ 2 dành cho mailbox, chúng phải thuộc về cùng 1 domain cũng như địa chỉ đến. 1 Alias có thể được gán đến nhiều mailbox, nếu trong trường hợp tất cả các mailbox nhận email để gửi tới các địa chỉ có sẵn. Trong mục dữ liệu mẫu, [email protected] là 1 alias của [email protected][email protected] là alias của cả 2, [email protected][email protected].

    Để gán các alias vào mailbox có sẵn, các bạn chỉ cần thêm thuộc tính mailLocalAddress với địa chỉ mail của alias đó. File /etc/exim4/conf.d/router/070_mailMEO_alias đảm nhận nhiệm vụ định tuyến cho những địa chỉ như mailMEO_alias:
    Chuyển tiếp – Forwarder

    Quá trình chuyển tiếp này khá giống với alias ngoại trừ việc chúng có thể luân chuyển email đến các địa chỉ không thuộc trên domain hoặc thậm chí là những địa chỉ remote. Để tạo mail forward, hãy tạo LDAP entry bên dưới domain entry theo mẫu sau:

    File /etc/exim4/conf.d/router/071_mailMEO_fwd cũng thuộc dạng địa chỉ này:

    Catchall

    Có thể hiểu nôm na đây là 1 hòm thư rác phân loại, có thể nhận tất cả các email được gửi tới các domain khác nhau bất kể đường dẫn local là gì. Người sử dụng có thể hòa nhập mailbox bình thường hoặc mailbox catchall này với nhau (dĩ nhiên là chỉ được sử dụng 1 catchall trên 1 domain mà thôi). Và để gán các địa chỉ catchall tới domain, hãy ghép posixAccount tới domain entry (và tất cả các thuộc tính cần thiết) như mailLocalAddress và mailQuota:
    Các tài khoản người sử dụng ảo

    Để tạo được tài khoản này, các bạn hãy ghép LDAP entry bên dưới domain theo mẫu sau:
    Nhưng hãy lưu ý rằng các địa chỉ email chính phải được thiết lập theo tính năng mailLocalAddress giống như của alias. Quá trình định tuyến được thực hiện dựa vào file /etc/exim4/conf.d/router/077_mailMEO_users:
    Spamassassin

    Chức năng này được sử dụng để kiểm tra email, ngăn chặn spam bằng spamassassin daemon:
    Quá trình kiểm tra này được áp dụng với tất cả các email nhận diện trong spamassassin daemon. Và SA transport được thiết lập trong file /etc/exim4/conf.d/transport/50_mailMEO_spamcheck:
    Và bây giờ là các thao tác điều chỉnh SpamAssassin, hầu hết các file cấu hình đều được lưu trữ trong /etc/spamassassin/local.cf:
    Với việc thay đổi thiết lập này, bạn có thể phân loại ra cho từng tài khoản, chỉ việc áp dụng thuộc tính spamassassinUserPrefs với form mẫu item value. Bên cạnh đó, chúng ta cần kích hoạt thêm spamd tại /etc/default/spamassassin:
    và khởi động tính năng này:
    Khởi động lại exim:
    Tại thời điểm này, toàn bộ email chưa thể gửi đến mailstore (cần điều chỉnh lại dovecot), và hầu hết các chức năng bảo mật đều chưa được kích hoạt.

    MX server

    Tại bước này, chúng ta sẽ tiến hành ghép các tính năng bảo mật. Cũng tại đây, MX server sẽ đảm nhiệm chức năng quét virus, mặt khác cần phải có repository volatile trong file /etc/apt/sources.list.d/volatile.list:
    và backport dành cho các phiên bản mới hơn của dovecot trong file /etc/apt/sources.list.d/backports.list:
    Cập nhật cơ sở dữ liệu cho apt:
    và cài đặt các gói yêu cầu như bình thường:
    Tiếp tục với quá trình cài đặt exim4 tương tự như với server relay. File /etc/exim4/conf.d/main/04_mailMEOmacrodefs khởi tạo các macro để chúng ta sử dụng trong các file config khác:
    CHECK_RCPT_SPF kích hoạt SPF để kiểm tra trong giao đoạn SMTP, từ chối mail để kiểm tra mail nếu spf thất bại. Mặt khác, CHECK_RCPT_IP_DNSBL cũng kích hoạt chức năng DNSBL lookup. Mở file /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt và thay đổi lại các tham số sau:
    thành:
    Và chỉ định exim chấp nhận các giá trị domain được khởi tạo bởi mailMEO_domains trong file /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt. Hãy thay đổi:
    thành:
    Kích hoạt chức năng antivirus tương tự với server relay trong file /etc/exim4/conf.d/main/02_exim4-config_options:
    Bỏ dấu chú thích của 3 dòng trong file /etc/exim4/conf.d/acl/40_exim4-config_check_data:
    Và gán các tài khoản người dùng clamav vào nhóm Debian-exim:
    Mục đích chính của MX server là định hướng toàn bộ email tới MX server mailstore – nơi mailbox được lưu trữ. Trong Exim, quá trình định hướng này có thể được thực hiện bằng cách sử dụng manualroute driver, có khả năng gửi email qua các host remote dùng SMTP. Tại đây, chúng ta cần 2 trình điều khiển – driver để quản lý, nắm giữ các tài khoản người dùng, alias và forwarder trên 1 phía và tất cả các tài khoản catchall tại phía bên kia.

    Tất cả đều có trong file /etc/exim4/conf.d/router/075_mailMEOroutes:
    Quá trình này có thể được giải thích ngắn gọn như sau: bộ router này sẽ làm nhiệm vụ kiểm tra và xác nhận domain trước tiên được lưu trữ trên ldap, sau đó kiểm tra lại xem các địa chỉ email đó có sẵn hay không, và yêu cầu hostname của mail server nơi chứa mailbox.

    Sau đó, hãy khởi động lại exim và tiếp tục với dovecot trong phần sau:
    Điều chỉnh và thiết lập Dovecot

    Dovecot được dùng để nhận email thông qua POP3 hoặc IMAP. Và đương nhiên, Dovecot phải được cài đặt trên mailstore, nhưng với hệ thống có nhiều mailstore thì chúng ta cần POP / IMAP proxy có thể định vị được toàn bộ kết nối tới mailstore lưu giữ mailbox để nhận email. Dovecot hiện giờ đang là POP / IMAP server khá phổ biến và được ứng dụng rộng rãi.

    Với Dovecot trên mailstore:

    Tại đây, chúng ta sẽ tiến hành thiết lập dovecot trên mailstore. Có 2 file cấu hình để điều chỉnh, file /etc/dovecot/dovecot.conf:
    và file /etc/dovecot/dovecot-ldap.conf:
    Như là 1 phần của bộ lọc tổng hợp chúng ta đã định nghĩa và khởi tạo bên trên, và được sử dụng để lưu trữ dữ liệu trong mục Junk – bị spamassassin ngăn chặn và báo cáo với phân loại spam:
    Bộ lọc được sử dụng ở đây là /var/sieve/global:
    và cũng như 1 phần của plugin quota, chúng ta cần tạo ra 1 đoạn mã ngắn để cảnh báo người sử dụng rằng họ đã gần sử dụng hết lưu lượng cho phép, thông tin này được lưu trữ tại /usr/local/bin/quota-warning.sh:
    Thiết lập Dovecot trên MX

    Trên hệ thống lưu trữ này, chúng ta sẽ điều chỉnh và thiết lập lại Dovecot để hoạt động như 1 proxy. Tất cả thông tin thiết lập đều nằm trong file /etc/dovecot/dovecot.conf:
    và /etc/dovecot/dovecot-ldap.conf:
    Các lưu ý cần quan tâm

    Nếu muốn dùng nhiều mailstore, ban có thể áp dụng cơ sở dữ liệu sql để lưu trữ dữ liệu bayesian và chia sẻ trên tất cả các mailstore (nhưng hiện tại thì tính năng lưu trữ bayesian trong ldap chưa có sẵn)

    Để quản lý các tài khoản người sử dụng, domain và tất cả các thành phần liên quan thì người dùng có thể áp dụng bất cứ mô hình ldap client nào, ví dụ như PHPLDAPAdmin

    Trong bài hướng dẫn trên, tất cả các hoạt động đều được thực hiện trên tài khoản mail, tùy từng hệ thống của người dùng mà các bạn nên có những thay đổi cần thiết và thích hợp

    Trên đây là 1 số bước hướng dẫn để thiết lập hệ thống Mail Server sử dụng Exim4, Clamav, Dovecot, SpamAssassin … trên nền tảng Debian. Chúc các bạn thành công!
     
    #1

Share This Page