Настраиваем почтовый шлюз на базе CentOS 7 и Postfix с использованием SpamAssassin, ClamAV, OpenDKIM, SPF и DMARC
Шлюз будет функционировать следующим образом:
входящие сообщения с внешних почтовых серверов будет приходить на порт 25 и проверяться с помощью SpamAssassin и ClamAV
исходящие сообщения с внутреннего почтового сервера будут поступать на порт 10025 и подписываться посредством OpenDKIM
Будем считать, что IP-адрес внутреннего почтового сервера — 192.168.100.100, а внешний IP-адрес почтового шлюза — 198.51.100.1
Базовая конфигурация
устанавливаем Postfix
yum install postfix
вносим изменения в файл /etc/postfix/main.cf
inet_interfaces = all inet_protocols = ipv4 myhostname = mail.example.com mydestination = relay_domains = example.com relay_transport = smtp:[192.168.100.100] relay_recipient_maps = hash:/etc/postfix/recipients mynetworks = 192.168.100.100/32 local_transport = error:local mail delivery is disabled smtp_tls_security_level = may smtp_tls_loglevel = 1 smtpd_tls_security_level = may smtpd_tls_cert_file = /etc/postfix/public.cer smtpd_tls_key_file = /etc/postfix/private.key smtpd_tls_loglevel = 1
редактируем файл /etc/postfix/master.cf
10025 inet n - n - - smtpd #local unix - n n - - local
создаем файл /etc/postfix/recipients со списком разрешенных получателей
создаем хэш-таблицу /etc/postfix/recipients.db со списком разрешенных получателей
postmap hash:/etc/postfix/recipients
создаем закрытый ключ и сертификат сервера (как это сделать, рассказывается здесь и здесь) и сохраняем их в файлах /etc/postfix/private.key и /etc/postfix/public.cer соответственно
настраиваем владельцев закрытого ключа и права доступа к нему
chmod 600 /etc/postfix/private.key
перезапускаем Postfix
systemctl restart postfix
SpamAssassin
устанавливаем репозиторий EPEL
yum install epel-release
устанавливаем SpamAssassin
yum install spamassassin
заменяем содержимое файла /etc/mail/spamassassin/local.cf
report_hostname mail.example.com report_safe 0
запускаем SpamAssassin
systemctl start spamassassin
устанавливаем мильтр для интеграции SpamAssassin и Postfix
yum install spamass-milter
создаем группу для совместного доступа Postfix и spamass-milter к файлу сокета
groupadd sa-milt-sock
gpasswd -M sa-milt,postfix sa-milt-sock
добавляем в файл /etc/sysconfig/spamass-milter параметры запуска службы
SOCKET_OPTIONS="-g sa-milt-sock"
запускаем мильтр
systemctl start spamass-milter
добавляем в файл /etc/postfix/main.cf
milter_connect_macros = j {daemon_name} v _
Замечание 1: в противном случае в журнал будут добавляться сообщения ‘Could not retrieve sendmail macro «_» …’
Замечание 2: также в журнале могут появляться сообщения ‘Could not retrieve sendmail macro «!» …’, но их можно игнорировать
редактируем файл /etc/postfix/master.cf
smtp inet n - n - - smtpd -o smtpd_milters=unix:/run/spamass-milter/spamass-milter.sock
перезапускаем Postfix
systemctl restart postfix
ClamAV
устанавливаем ClamAV
yum install clamd
заменяем содержимое файла /etc/clamd.d/scan.conf
LogSyslog yes User clamscan LocalSocket /run/clamd.scan/clamd.sock LocalSocketGroup virusgroup LocalSocketMode 660
обновляем базу данных ClamAV
freshclam
запускаем ClamAV
systemctl start [email protected]
устанавливаем мильтр для интеграции ClamAV и Postfix
yum install clamav-milter
создаем файл /etc/tmpfiles.d/clamav-milter.conf
d /run/clamav-milter 0711 clamilt clamilt
создаем группу для совместного доступа Postfix и clamav-milter к файлу сокета
groupadd clamilt-sock
gpasswd -M clamilt,postfix clamilt-sock
заменяем содержимое файла /etc/mail/clamav-milter.conf
User clamilt ClamdSocket unix:/run/clamd.scan/clamd.sock MilterSocket unix:/run/clamav-milter/clamav-milter.sock MilterSocketGroup clamilt-sock MilterSocketMode 660 AddHeader Replace ReportHostname mail.example.com OnInfected Accept LogSyslog yes LogFacility LOG_MAIL LogClean Basic LogInfected Basic
запускаем мильтр
systemctl start clamav-milter
редактируем файл /etc/postfix/master.cf
smtp inet n - n - - smtpd -o smtpd_milters=unix:/run/spamass-milter/spamass-milter.sock,unix:/run/clamav-milter/clamav-milter.sock
перезапускаем Postfix
systemctl restart postfix
OpenDKIM
устанавливаем OpenDKIM
yum install opendkim
генерируем закрытый ключ и TXT-запись DNS
opendkim-genkey -b 1024 -d example.com -a -s mail
Замечание: в результате выполнения команды будет создано два файла — mail.private и mail.txt
копируем закрытый ключ в папку /etc/opendkim/keys
cp mail.private /etc/opendkim/keys/opendkim.key
настраиваем владельцев закрытого ключа и права доступа к нему
chown opendkim:opendkim /etc/opendkim/keys/opendkim.key
chmod 640 /etc/opendkim/keys/opendkim.key
добавляем в DNS-зону TXT-запись, сохраненную в файле mail.txt
заменяем содержимое файла /etc/opendkim.conf
Socket local:/run/opendkim/opendkim.sock Umask 007 Mode s Canonicalization relaxed/relaxed Domain example.com Selector mail InternalHosts 192.168.100.100 KeyFile /etc/opendkim/keys/opendkim.key Syslog yes SyslogSuccess yes
редактируем файл /etc/tmpfiles.d/opendkim.conf
D /run/opendkim 0711 opendkim opendkim -
удаляем и заново создаем папку /run/opendkim
systemd-tmpfiles —remove —create /etc/tmpfiles.d/opendkim.conf
создаем группу для совместного доступа Postfix и OpenDKIM к файлу сокета
groupadd dkimgroup
gpasswd dkimgroup -M opendkim,postfix
копируем unit-файл /usr/lib/systemd/system/opendkim.service в папку /etc/systemd/system
cp /usr/lib/systemd/system/opendkim.service /etc/systemd/system/opendkim.service
Замечание: в результате unit-файл /etc/systemd/system/opendkim.service будет переопределять unit-файл /usr/lib/systemd/system/opendkim.service
редактируем файл /etc/systemd/system/opendkim.service
Group=dkimgroup
обновляем конфигурацию systemd
systemctl daemon-reload
запускаем OpenDKIM
systemctl start opendkim
редактируем файл /etc/postfix/master.cf
10025 inet n - n - - smtpd
-o smtpd_milters=unix:/run/opendkim/opendkim.sock
перезапускаем Postfix
systemctl restart postfix
SPF
добавляем в DNS-зону следующую запись:
хост — @
тип — TXT
значение — v=spf1 +ip4:198.51.100.1/32 -all
DMARC
добавляем в DNS-зону следующую запись:
хост — _dmarc
тип — TXT
значение — v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; aspf=s; adkim=s; fo=1; pct=100