Установка и Настройка Почтового Сервера Sendmail

Sendmail – один из самых старых MTA (агентов передачи почты).

Работа Sendmail заключается в приеме почты от почтовых агентов пользователей (MUA) и отправке ее на другому агенту передачи почты.

Sendmail может также принимать входящие соединения по сети и доставлять почту в локальные почтовые ящики пользователей или перенаправлять ее другой утилите.

Довольно часто на форумах задается вопрос: «Как настроить почтовый сервер?». В данной статье я описываю процесс установки и настройки почтового сервера Sendmail.

Предполагается, что:

  • IP-адрес почтового сервера – 192.168.0.10;
  • Почтовый домен имеет имя test.ru;
  • Доменное имя почтового сервера – mail.test.ru.
  • Адреса, с которых можно отправлять почту через наш сервер – 192.168.0.0/24.

Необходимо настроить почтовый сервер таким образом, чтобы отсеивалось как можно больше нежелательной почты (спам) а также осуществлялась проверка всей входящей почты на предмет наличия в ней вирусов.

Установка почтового сервера Sendmail

Установка SMTP-сервера sendmail является очень простой задачей:

# yum install sendmail

Установка защиты от спама milter-greylist

Использование серых списков позволяет блокировать более 95% спама на этапе соединения, что позволяет в значительной степени уменьшить входящий трафик на ваш почтовый сервер.

Установите программное обеспечение для защиты от спама milter-greylist.

Пользователи Fedora могут установить пакет milter-greylist из официальных репозиториев:

# yum install milter-greylist

Для пользователей дистрибутивов RHEL и CentOS пакет milter-greylist доступен в репозитории RPMforge.

Для других дистрибутивов берем SRPM пакет http://download.fedora.redhat.com, копируем его в каталог /usr/src/redhat/SOURCES/ и пересобираем командой:

# rpmbuild --rebuild milter-greylist-X.X.X.src.rpm

Собраный бинарный пакет будет находиться в каталоге /usr/src/redhat/RPMS/i386/ и называться milter-greylist-X.X.X.rpm.

Устанавливаем его:

# rpm -Uhv milter-greylist-X.X.X.rpm

Установка антивируса Clamav

Установим лучший бесплатный антивирус на сегодняшний день, которым является Clamav. Установите его можно при помощи команды:

# yum install clamav*

Внесите изменения в сценарии запуска:

# chkconfig --add milter-greylist
# chkconfig --add clamd
# chkconfig --add clamav-milter
# chkconfig --add sendmail

Настройка почтового сервера Sendmail

Настройка Sendmail

1. Измените файл /etc/mail/access:

localhost.localdomain           RELAY
localhost                       RELAY
127.0.0.1                       RELAY
192.168.0.0/24                  RELAY

2. В файле /etc/mail/local-host-names укажите:

mail.test.ru
localhost

3. В файл /etc/mail/sendmail.mc добавьте строки:

define(`confMAX_RCPTS_PER_MESSAGE', `10')dnl # Кол-во получателей для каждого письма не более 10
define(`confMAX_MESSAGE_SIZE', `5242880')dnl # Максимальный размер письма 5 МБ

# Добавляем Clamav-milter
INPUT_MAIL_FILTER(`clmilter',`S=local:/var/run/clamav/clamav-milter.sock,F=, T=S:4m;R:4m')dnl
define(`confINPUT_MAIL_FILTERS', `clmilter')
FEATURE(`milter-greylist')dnl # Добавляем greylist-milter
define(`confSMTP_LOGIN_MSG', `$b')dnl # Убираем банер sendmail
dnl # Черные списки
FEATURE(`dnsbl', `bl.spamcop.net', `"Spam blocked see: ?"$&{client_addr}')dnl
FEATURE(`dnsbl', `xbl.spamhaus.org', `You are trying to send spam - see
FEATURE(`dnsbl', `sbl.spamhaus.org', `You are trying to send spam - see
FEATURE(`dnsbl', `cbl.abuseat.org', `Rejected - see
FEATURE(`dnsbl', `relays.ordb.org', `Rejected - see
FEATURE(`dnsbl', `list.dsbl.org', `Rejected - see
FEATURE(`dnsbl', `dnsbl.njabl.org',`Кejected - see )

Измените опцию dnl MASQUERADE_AS(mydomain.com')dnl на MASQUERADE_AS(test.ru')dnl.

Наберите команду make в каталоге /etc/mail/.

На этом настройка Sendmail закончена.

Настройка Clamav

В файл /etc/clamd.conf внесите следующие изменения:

TCPSocket 3310
TCPAddr 127.0.0.1
ScanPE
ScanOLE2
ScanMail
ScanHTML
ScanArchive
ScanRAR
ArchiveMaxFileSize 10M

Измените права доступа:

# chmod 666 /var/log/clamav/clamd.log

Запустите службы Clamav:

# service clamd start
# service clamav-milter start

Настройка серых списков

В файл /etc/mail/greylist.conf добавьте:

acl whitelist addr 192.168.0.0/24.

В принципе этого будет достаточно для работы.

Я приведу список наиболее полезных опций в файле greylist.conf:

# Включите данную опцию для работы в режиме отладки
# Все опции объявленные перед "verbose" не будут обработаны в режиме отладки
# Данная опция может быть заменена аргументом "-v" в командной строке
# verbose

# Если вы работаете с несколькими записями MX опишите каждую из них записью
# peer для включения greylisting синхронизации между MX записями.
# peer 192.0.2.17
# peer 192.0.2.18

# Вы можете указать свой локальный адрес или порт для
# синхронизации данных между MX.
# Указав значение '*' в адресе вы даете возможность синхронизироваться любому адресу.
# syncaddr *
# syncaddr * port 7689
# syncaddr 192.0.2.2
# syncaddr 192.0.2.2 port 9785
# syncaddr 2001:db8::1:c3b5:123
# syncaddr 2001:db8::1:c3b5:123 port 1234

# Данная опция включает greylisting для вашего MTA (Mail Transfer Agent)
# Это очень плохая идея:данная   опция никогда не должна быть включена.
acl whitelist addr 127.0.0.0/8

# Если вы используете IPv6, включите данный параметр
# acl whitelist addr ::1/128

# Если вы не желаете  использовать greylisting для своих клиентов,
# вы можете указывать блоки IP-адресов для которых не будет
# выполняться фильтрация. Для примера если вы используете 192.0.2.0/16
acl whitelist addr 192.0.2.0/16

# Также имеется возможность внести в "белый" список компьютер, для
# которого не будет выполняться greylisting по его имени в DNS.
# acl whitelist domain example.net

# Вы можете указать фильтру greylisting отправителей для который не нужно
# выполнять фильтрацию. Это не очень хорошая идея, так как адрес
# отправителя достаточно легко подделать
# acl whitelist from friendly@example.com

# Некоторые из ваших пользователей не хотят чтобы их почта подвергалась обработке greylisting.
# Для них укажите опцию:
# acl whitelist rcpt John.Doe@example.net

# Также существует возможность с помощью регулярных выражений указать список
# получателей почты для которых не нужно выполнять greylisting.
# Регулярное выражение должно быть заключено в символы (/).
# acl whitelist rcpt /.*@example\.net/

# Данная опция говорит greylisting добавлять поля X-Greylist
# в заголовки писем. По умолчанию данная опция установлена в значение
# all - что указывает на необходимость добавлять подробную информацию в заголовки.
# Другие возможные значения параметра: none, delays и nodelays.
# report all

# Указывает greylisting с какой периодичностью делать запись dump файла
# (0 после каждого изменения -1 никогда)
# dumpfreq 10m

# Указывает период, в течении которого необходимо хранить информацию
# о процессе greylisting в базе.
# timeout 5d

# Не использовать макрос ${greylist} для базы access sendmail-а
# noaccessdb

# Указывает на необходимость использования расширенных регулярных выражений
# вместо базовых регулярных выражений
# extendedregex

# Как долго клиент должен ждать перед тем как получит возможность
# послать успешное сообщение. По умолчанию 1 час.
# Данная опция может быть заменена с помощью ключа командной строки "-w greylist_delay"
# greylist 1h

# Определяет интервал времени, на который необходимо заносить прошедших проверку в "белый" писок
# (установите в 0 для отключение автоматического занесения в
# "белый" список). По умолчанию интервал 3 дня.
# Данная опция может быть заменена с помощью ключа командной строки "-a autowhite_delay"
# autowhite 3d

# Задает сетевую маску для использования при проверке IPv4 адресов в greylisting.
# Данная опция может быть заменена с помощью ключа командной строки "-L cidrmask"
# subnetmatch /24

# Задает сетевую маску для использования при проверке IPv6 адресов в greylisting.
# Данная опция может быть заменена с помощью ключа командной строки "-M prefixlen"
# subnetmatch6 /64

# Клиенты успешно прошедшие SMTP AUTH не проверяются grelisting.
# Включите данную опцию для проверки greylisting этих клиентов.
# Данная опция может быть заменена с помощью ключа командной строки -A
# noauth

# Если вы собрали milter-greylist  с поддержкой технологии
# SPF (Sender Policy Framework), тогда отправители
# поддерживающие технологию SPF не обрабатываются greylisting.
# Раскоментируйте данную строку для проверки SPF отправителей.
# Подробнее о SPF на сайте
# Данная опция может быть заменена с помощью ключа командной строки -S
# nospf

# Включите данную опцию если вы не хотите чтобы milter-greylist выполнялся  как фоновый процесс
# Данная опция может быть заменена с помощью ключа командной строки -D
# nodetach

# Включите данный параметр если вы не хотите чтобы milter-greylist говорил клиентам
# на какой срок они попали в greylisting.
# Данная опция может быть заменена с помощью ключа командной строки -q
# quiet

# Определяет в каком файле milter-greylist будет хранить PID своего процесса
# Данная опция может быть заменена с помощью ключа командной строки -P pidfile
# pidfile "/var/run/milter-greylist.pid"

# Указывает имя сокета для коммуникации с sendmail.
# Данная опция может быть заменена с помощью ключа командной строки -p socket
# socket "/var/milter-greylist/milter-greylist.sock"

# Указывает расположение файла dump-а (базы greylisting).
# Данная опция может быть заменена с помощью ключа командной строки -d dumpfile
# dumpfile "/var/milter-greylist/greylist.db"

# Указывает имя пользователя под которым будет работать greylisting.
# Данная опция может быть заменена с помощью ключа командной строки -u username
# user "smmsp"

Запустите службу milter-greylist:

# service milter-greylist start

Запустите службу sendmail:

# service sendmail start

Если у вас настроен межсетевой экран, то вам необходимо добавить разрешающие правила:

*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
-A INPUT -i eth0 -d 192.168.0.10/32 -p tcp --dport 25 -j ACCEPT
-A OUTPUT -o eth0 -s 192.168.0.10/32 -p tcp --sport 25 -j ACCEPT
-A INPUT -i eth0 -d 192.168.0.10/32 -p tcp --sport 25 -j ACCEPT
-A OUTPUT -o eth0 -s 192.168.0.10/32 -p tcp --dport 25 -j ACCEPT

На этом настройка почтового сервера закончена!

Настройка DNS-сервера

Для корректной работы сервера вам также необходимо внести изменения в DNS-сервер. Например, зона test.ru может выглядеть так:

$TTL 86400
@ IN      SOA     ns.test.ru.    admin.test.ru. (
    2006092901 ; serial
    7200 ; refresh
    3600 ; retry
    604800 ; expire
    86400 ; default_ttl
    )
    IN      NS              ns.test.ru.
    IN      NS              ns.test2.ru.
    IN      MX              10 mail.test.ru.

localhost       IN      A       127.0.0.1
mail            IN      A       192.168.0.10

Также необходимо внести изменения в обратную зону:

$TTL 86400
@               IN      SOA     ns.test.ru.     admin.test.ru. (
    2006092901 ; serial
    7200 ; refresh
    3600 ; retry
    604800 ; expire
    86400 ; default_ttl
)
@               IN      NS      ns.test.ru.
@               IN      NS      ns.test2.ru.
10              IN      PTR     mail.test.ru.

Получение почты

Для доставки почты вам осталось установить и настроить POP3 или IMAP-сервер, например dovecot.

Заключение

Таким образом, нами был настроен полнофункциональный почтовый SMTP-сервер Sendmail с дополнительными функциями проверки всей входящей почты на вирусы и спам.

Автор: Денис Фролов

Статьи по Теме

Другие Статьи

Ссылки

Категории
Поиск