Instal dan integrasikan rspamd

Ini adalah bagian ketiga dari Pengaturan dan konfigurasi server email kami. Dalam tutorial ini kita akan pergi melalui instalasi dan konfigurasi sistem penyaringan spam Rspamd dan integrasinya ke server email kami, membuat catatan DNS DKIM dan DMARC.

Anda mungkin bertanya mengapa kami memilih untuk menggunakan Rspamd dan bukan dengan Spamassassin. Rspamd lebih aktif dikelola dan ditulis dalam C dan itu jauh lebih cepat daripada Spamassassin yang ditulis dalam Perl. Alasan lain adalah bahwa Rspamd dilengkapi dengan modul penandatanganan DKIM sehingga kami tidak perlu menggunakan perangkat lunak lain untuk menandatangani email keluar kami.

Prasyarat

Sebelum melanjutkan dengan tutorial ini, pastikan Anda masuk sebagai pengguna dengan hak istimewa sudo.

Instal Redis

Redis akan digunakan sebagai sistem penyimpanan dan caching oleh Rspamd, untuk menginstalnya jalankan:

sudo apt install redis-server

Instal Tidak Terikat

Tidak terikat adalah resolver DNS yang memvalidasi, rekursif, dan menyimpan dengan sangat aman.

Tujuan utama menginstal layanan ini adalah untuk mengurangi jumlah permintaan DNS eksternal. Langkah ini opsional dan dapat dilewati.

sudo apt update sudo apt install unbound

Pengaturan Tidak Terikat default harus memadai untuk sebagian besar server.

Untuk menetapkan tidak terikat sebagai resolver DNS utama server Anda, jalankan perintah berikut:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u Jika Anda tidak menggunakan resolvconf maka Anda perlu mengedit file /etc/resolv.conf secara manual.

Instal Rspamd

Kami akan menginstal versi stabil terbaru Rspamd dari repositori resminya.

Mulailah dengan menginstal paket yang diperlukan:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

Tambahkan kunci GPG repositori ke keyring sumber apt Anda menggunakan perintah wget berikut:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

Aktifkan repositori Rspamd dengan menjalankan:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

Setelah repositori diaktifkan perbarui indeks paket dan instal Rspamd menggunakan perintah berikut:

sudo apt update sudo apt install rspamd

Konfigurasikan Rspamd

Alih-alih memodifikasi file konfigurasi persediaan, kami akan membuat file baru di direktori /etc/rspamd/local.d/local.d/ yang akan menimpa pengaturan default.

Secara default normal worker Rspamd pekerja yang memindai pesan email mendengarkan pada semua antarmuka di port 11333. Buat file berikut untuk mengkonfigurasi pekerja normal Rspamd hanya mendengarkan antarmuka localhost:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

proxy worker mendengarkan pada port 11332 dan mendukung protokol milter. Agar Postfix dapat berkomunikasi dengan Rspamd, kita perlu mengaktifkan mode milter:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

Selanjutnya kita perlu mengatur kata sandi untuk server controller worker yang menyediakan akses ke antarmuka web Rspamd. Untuk menghasilkan kata sandi terenkripsi dijalankan:

rspamadm pw --encrypt -p P4ssvv0rD

Outputnya akan terlihat seperti ini:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb Jangan lupa untuk mengubah kata sandi ( P4ssvv0rD ) menjadi sesuatu yang lebih aman.

Salin kata sandi dari terminal Anda dan rekatkan ke file konfigurasi:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

Nanti kita akan mengkonfigurasi Nginx sebagai proxy terbalik ke server web pekerja pengontrol sehingga kita dapat mengakses antarmuka web Rspamd.

Atur Redis sebagai backend untuk statistik Rspamd dengan menambahkan baris berikut ke file classifier-bayes.conf :

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

Buka file milter_headers.conf dan atur header milter:

/etc/rspamd/local.d/milter_headers.conf

use =;

Anda dapat menemukan informasi lebih lanjut tentang header milter di sini.

Terakhir, restart layanan Rspamd agar perubahan diterapkan:

sudo systemctl restart rspamd

Konfigurasikan Nginx

Pada bagian pertama dari seri ini, kami membuat blok server Nginx untuk instance PostfixAdmin.

Buka file konfigurasi Nginx dan tambahkan direktif lokasi berikut, yang disorot dengan warna kuning:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

Muat ulang layanan Nginx agar perubahan diterapkan:

sudo systemctl reload nginx

Buka https://mail.linuxize.com/rspamd/ , masukkan kata sandi yang sebelumnya Anda buat menggunakan perintah rspamadm pw dan Anda akan disajikan dengan antarmuka web Rspamd.

Konfigurasikan Postfix

Kita perlu mengkonfigurasi Postfix untuk menggunakan Rspamd milter.

Jalankan perintah berikut untuk memperbarui file konfigurasi utama Postfix:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

Mulai ulang layanan Postfix agar perubahan diterapkan:

sudo systemctl restart postfix

Konfigurasikan Dovecot

Kami telah menginstal dan mengkonfigurasi Dovecot di bagian kedua dari seri ini dan sekarang kami akan menginstal modul filter sieve dan mengintegrasikan Dovecot dengan Rspamd.

Mulailah dengan memasang modul filter Dovecot:

sudo apt install dovecot-sieve dovecot-managesieved

Setelah paket diinstal, buka file berikut dan edit garis yang disorot dengan warna kuning.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

Simpan dan tutup file.

Buat direktori untuk skrip ayakan:

mkdir -p /var/mail/vmail/sieve/global

Buat filter saringan global untuk memindahkan email yang ditandai sebagai spam ke direktori Spam :

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

Dua skrip saringan berikut akan dipicu setiap kali Anda memindahkan email masuk atau keluar dari direktori Spam :

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

Mulai ulang layanan Dovecot agar perubahan diterapkan:

sudo systemctl restart dovecot

Kompilasi skrip saringan dan atur izin yang benar:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

Buat kunci DKIM

DomainKeys Identified Mail (DKIM) adalah metode otentikasi email yang menambahkan tanda tangan kriptografis ke header pesan keluar. Ini memungkinkan penerima untuk memverifikasi bahwa email yang mengaku berasal dari domain tertentu memang diotorisasi oleh pemilik domain itu. Tujuan utama ini adalah untuk mencegah pesan email palsu.

Kita dapat memiliki kunci DKIM berbeda untuk semua domain kita dan bahkan beberapa kunci untuk satu domain tetapi untuk kesederhanaan artikel ini kita akan menggunakan kunci DKIM tunggal yang nantinya dapat digunakan untuk semua domain baru.

Buat direktori baru untuk menyimpan kunci DKIM dan buat kunci rspamadm DKIM baru menggunakan utilitas rspamadm :

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

Dalam contoh di atas kita menggunakan mail sebagai pemilih DKIM.

Anda sekarang harus memiliki dua file baru di direktori /var/lib/rspamd/dkim/ , mail.key yang merupakan file kunci pribadi kami dan mail.pub file yang berisi kunci publik DKIM. Kami akan memperbarui catatan zona DNS kami nanti.

Tetapkan kepemilikan dan izin yang benar:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

Sekarang kita perlu memberi tahu Rspamd di mana mencari kunci DKIM, nama pemilih dan baris terakhir akan memungkinkan DKIM menandatangani untuk alamat pengirim alias. Untuk melakukannya buat file baru dengan konten berikut:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

Rspamd juga mendukung penandatanganan tanda tangan Authentified Received Chain (ARC). Anda dapat menemukan informasi lebih lanjut tentang spesifikasi ARC di sini.

Rspamd menggunakan modul DKIM untuk berurusan dengan tanda tangan ARC sehingga kita bisa menyalin konfigurasi sebelumnya:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

Mulai ulang layanan Rspamd agar perubahan diterapkan:

sudo systemctl restart rspamd

Pengaturan DNS

Kami telah membuat pasangan kunci DKIM dan sekarang kami perlu memperbarui zona DNS kami. Kunci publik DKIM disimpan dalam file mail.pub . Konten file akan terlihat seperti ini:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

Kami juga akan membuat Otentikasi Pesan Berbasis Domain ( DMARC ) yang dirancang untuk memberi tahu server penerima apakah menerima email atau tidak dari pengirim tertentu. Pada dasarnya itu akan melindungi domain Anda dari spoofing domain langsung dan meningkatkan reputasi domain Anda.

kami akan menerapkan kebijakan DMARC berikut:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

Mari kita uraikan catatan DMARC di atas:

• v=DMARC1 - Ini adalah pengidentifikasi DMARC p=none - Ini memberi tahu penerima apa yang harus dilakukan dengan pesan yang gagal DMARC. Dalam kasus kami disetel ke tidak ada yang berarti tidak mengambil tindakan jika pesan gagal DMARC. Anda juga dapat menggunakan 'tolak' atau quarantine adkim=r dan aspf=r - DKIM dan penyelarasan SPF , r untuk Relaxed dan s untuk Strict, dalam kasus kami kami menggunakan Relaxed Alignment untuk DKIM dan SPF.

Sama seperti sebelumnya jika Anda menjalankan server Bind DNS Anda sendiri, Anda hanya perlu menyalin dan menempelkan catatan ke file zona domain Anda, dan jika Anda menggunakan penyedia DNS lain, Anda perlu membuat data TXT dengan _dmarc sebagai nama dan v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; sebagai nilai / konten.

Mungkin perlu beberapa saat agar perubahan DNS menyebar. Anda dapat memeriksa apakah catatan telah disebarkan menggunakan perintah dig:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

Anda juga dapat memeriksa kebijakan DMARC terkini domain Anda atau membuat kebijakan DMARC Anda sendiri di sini.

Kesimpulan

Itu saja untuk bagian tutorial ini. Di bagian selanjutnya dari seri ini, kami akan melanjutkan dengan instalasi dan konfigurasi RoundCube.

mail server postfix dovecot dns rspamd

Posting ini adalah bagian dari Menyiapkan dan mengonfigurasi seri server mail.

Posting lain dalam seri ini:

• Mengatur server email dengan PostfixAdmin • Instal dan konfigurasikan Postfix dan Dovecot • Instal dan Integrasikan Rspamd • Instal dan Konfigurasikan Roundcube Webmail