Stavíme mailový server: instalace

Petr Kulhavý 20. 10. 2003

Nový seriál o instalaci a konfiguraci mailového serveru s ochranou proti virům a spamům. První díl se zabývá nainstalováním operačního systému a nastavením firewallu.

Nedávno jsem měl tu čest stavět poměrně důležitý mailový server s antivirem a antispamem. Nebyla to vůbec legrace – bylo nutné studovat mnoho dokumentací, mailinglistů, nastavovat řadu konfiguráků a hlavně rozvláčně ladit, proč tu a tam některá služba nefunguje či padá. Celá instalace s odladěním do všech detailů trvala ve dvou lidech zhruba týden. Proto jsem si řekl, že postup popíšu, dokud ho mám v živé paměti, abych příště já nebo někdo z vás čtenářů nemusel již tolik tápat.

Základ instalace serveru vychází z dokumentu anti-spam.html, kde je poměrně dobře popsán postup, kterak postavit mailový server na bázi Postfixu se zabudovaným antispamem Amavis. Tato dokumentace však pořádně nepopisuje instalaci antiviru Clamav a v některých bodech je neúplná nebo nepřesná, takže jsem musel poměrně dlouho „špekulovat“, proč to či tamto nechodí. Clamav jsem instaloval částečně podle dokumentu anti-spam.html a částečně podle dokumentace na domácí stránce Clamav. Zbytek jsem musel empiricky ozkoušet a odladit.

Ještě musím upozornit, že pokud budete podle návodu instalovat, spouští se veškeré uváděné příkazy pod uživatelem root.

Architektura serveru

Nejprve zkusím popsat, jak celý systém funguje. Na serveru běží mailový program Postfix, který má za úkol přijímat a doručovat maily přes protokol SMTP. K němu je připojen virus-scanner Amavis (A Mail Virus Scanner), který spolupracuje s virus detektorem Clamav a SpamAssassinem.

Když na server přijde nějaký mail, dostane ho Postfix, který naslouchá na portu 25. Postfix zjistí, zda je mail určen pro nás (pro naši doménu, náš server, či zda u nás vůbec existuje uživatel, pro kterého je mail určen) a zda mail splňuje základní SMTP pravidla.

Pokud mail projde touto počáteční kontrolou, Postfix jej předá přes TCP spojení na localhost Amavisu. Ten rozloží mail na části (text a jednotlivé soubory příloh, případně rozbalí zabalené části) a uloží je do dočasných souborů, na které je spuštěn virus scanner Clam. Clam umí jen virus detekovat, ale neumí ho odstranit, zavirované maily se proto nedoručují, ale ukládají do karantény, odkud si je může příjemce vyzvednout. Ke své práci používá Clam databázi virů, která je pravidelně aktualizována ze sítě.

Po antivirovém testu přijde detekce spamů. Amavis ve spolupráci s perlovým modulem SpamAssassin, online spamovými databázemi Razor a DCC a pomocí blacklistů zjistí, zda se jedná o spam. K určení, zda se jedná o spam, je používán bodový systém. Každá uvedená heuristika nebo test udělí mailu určitý počet bodů, které se sečtou. Pokud celková suma překročí jistou hranici, je mail podezřelý, a pokud překročí ještě vyšší hranici, mail je prohlášen za spam.

Amavis podle výsledků spolupracujících programů označí mail, případně mail zahodí či odešle upozornění odesilateli nebo administrátorovi mailserveru. Pokud mail celým bezpečnostním mechanismem projde, je vrácen postfixu, který ho doručí adresátovi.

Nastavení firewallu

Před zahájením vlastní instalace serveru musíme upravit nastavení firewallu (samozřejmě jen pokud je naše síť firewallem zabezpečena). Samotný server bude vyžadovat ke svému běhu krom standardního TCP portu 25 (SMTP) též UDP port 6277 pro spojení s DCC servery, TCP port 2703 pro spojování s Razor servery a TCP port 7 (ping) pro hledání zapnutých Razor serverů. Nastavení firewallu shrnuje následující tabulka. Hodnota server značí adresu našeho mailového serveru a hodnota any znamená kteroukoliv adresu na vnější síti.

Tabulka č. 508
Zdrojová adresa Cílová adresa Protokol Port
server any TCP 25
any server TCP 25
server any UDP 6277
any server UDP 6277
server any TCP 2703
server any TCP 7

Nebo stačí mít na firewallu povolena veškerá spojení ze serveru ven a firewall mít nastaven tak, aby udržoval stav UDP spojení (keep state).

Pro instalaci pravděpodobně budete též potřebovat povolit ze serveru ven TCP porty 22 (SSH), pokud instalujete vzdáleně po síti, 21 (FTP) pro stahování souborů a 80 (HTTP) pro čtení dokumentací a stahování souborů. Z bezpečnostních důvodů je vhodné tyto porty po nainstalování vypnout, proto nejsou v tabulce uvedeny.

V dokumentu anti-spam.html tabulku ještě komplikují demilitarizovanou zónou. My budeme předpokládat, že vnitřní síť je od okolního světa oddělena firewallem a mailový server je na vnitřní síti (mezi serverem a ostatními počítači na vnitřní síti již není žádný firewall), jak ukazuje obrázek.

Základní instalace operačního systému

Server je postaven na operačním systému OpenBSD, který byl vybrán zejména pro svoji stabilitu a bezpečnost, já jsem kompiloval a instaloval aktuální verzi ze zdrojáků z CVS, tedy verzi pre3.4 (vydání verze 3.4 se plánuje na 1. listopad). Celý postup včetně verzí software je tedy vztažen k této verzi OpenBSD. Instalace probíhá podle standardního postupu, jak je popsán v instalačním FAQ k OpenBSD.

Pozor, pokud přeinstalováváte starší verzi OpenBSD na nejnovější a chcete bootovat bsd.rd, nepodaří se vám nabootovat („staré“ BSD odmítne nahrát „nové“ bsd.rd) kvůli poměrně zásadním změnám ve verzi 3.4. Proto je nutné vytvořit bootovací disketu a startovat z ní.

Nároky serveru na CPU, paměť, ani swap kupodivu nejsou velké, pro ilustraci: mailserver pro 8000 uživatelů jsem instaloval na Duron 650MHz se 128MB paměti. Při rozdělování disku tedy můžeme celý systém umístit na jednu partition, velikost swapu nastavíme minimálně na dvojnásobek velikosti operační paměti. Antispamový a antivirový software poběží v adresáři /var/amavisd, kam bude též zapisovat dočasné soubory. Pokročilí uživatelé si tedy mohou vyhrát s umístěním /var/amavisd na paměťový filesystém (MFS), je však nutné správně zvolit rozdělení paměti. Další možností je vyhradit pro /var/amavisd, případně pro celý /var, vlastní partition, není to však nutné.

Ze základních komponent systému OpenBSD jsem instaloval následující:

  • bsd
  • base34
  • etc34
  • comp34
  • man34
  • game34
  • xbase34

Poslední tři části nejsou povinné, manuálové stránky jsou však užitečné, kdo nemá rád fortune, balík game vůbec instalovat nemusí. xbase jsem instaloval kvůli knihovnám.

Ladění výkonu a konfigurace systému

Po dokončení instalace základního systému počítač rebootujeme a můžeme se vrhnout na konfigurování a ladění výkonu BSD, jak je popsáno ve FAQ k ladění výkonu OpenBSD.

Nejprve nastavíme velikost bufferů na síťové kartě – parametr NMBCLUSTERS. Hodnota parametru odpovídá použité síťové kartě, pro 100Mbps kartu nastavíme hodnotu 8192. Abychom nemuseli překompilovávat kernel, použijeme příkaz config (viz man config(8)):

# config -e -o /bsd.new /bsd

ukc> nmbclust 8192
nmbclusters = 8192
ukc> quit
Saving changes

# mv /bsd /bsd.old
# mv /bsd.new /bsd

V případě potřeby můžeme též nastavit další parametry jádra – například zvětšit velikost diskových bufferů. Parametry lze též doladit dodatečně, až po rozběhnutí zjistíme, jak se server chová.

Pro pohodlí ještě můžeme pomocí příkazu vipw změnit v /etc/passwd rootovský shell z defaultního csh na shell shpáně Korna.

Instalace softwarových balíků

Nyní začneme instalovat softwarové balíky. Jejich instalaci provedeme příkazem pkg_add (viz man pkg_add(1)).

Krom základních balíků pro ulehčení práce, kterými jsou například vim, mc či screen, je nutné nainstalovat následujicí balíky. Jedná se zejména o archivační a komprimační programy, které budou potřeba pro rozbalování příloh v mailech.

  • arc-5.21e
  • bzip-0.21
  • bzip2–1.0.2
  • lha-1.14i
  • unace-1.2b
  • unarj-2.43
  • unrar-3.20beta3
  • unzip-5.50p2
  • zoo-2.10.1
  • gcpio-2.5

Dále nainstalujeme následujících pět balíků. Postfix jakožto vlastní mailový server a wget a ncftp pro instalaci perlových modulů.Wget ještě vyžaduje knihovny gettext a libiconv:

  • postfix-2.0.13p0
  • libiconv-1.8
  • gettext-0.10.40p1
  • wget-1.8.2
  • ncftp-3.1.5p0

Tím jsme dokončili přípravu operačního systému. V dalším dílu nakonfigurujeme a rozběhneme mailový server Postfix.

Našli jste v článku chybu?
Vitalia.cz: Za její cukrovkou stojí rodiče

Za její cukrovkou stojí rodiče

Měšec.cz: Test: Výběry z bankomatů v cizině a kurzy

Test: Výběry z bankomatů v cizině a kurzy

Lupa.cz: Olympiáda zakázala GIFy. Moc to nepomáhá

Olympiáda zakázala GIFy. Moc to nepomáhá

Vitalia.cz: „Sjíždět“ porno není bez rizika

„Sjíždět“ porno není bez rizika

Vitalia.cz: Očkování je nutné, říká homeopatka

Očkování je nutné, říká homeopatka

Root.cz: Xiaomi má vlastní notebook podobný Macu

Xiaomi má vlastní notebook podobný Macu

Lupa.cz: Hackujete? Můžete mít problém sehnat práci

Hackujete? Můžete mít problém sehnat práci

DigiZone.cz: AXN u FreeSatu měsíc zdarma

AXN u FreeSatu měsíc zdarma

DigiZone.cz: Hodlá Markíza skončit v DVB-T?

Hodlá Markíza skončit v DVB-T?

Měšec.cz: TEST: Vyzkoušeli jsme pražské taxikáře

TEST: Vyzkoušeli jsme pražské taxikáře

Měšec.cz: Na návštěvě na exekutorském úřadě

Na návštěvě na exekutorském úřadě

Vitalia.cz: Ženy, které milují příliš, jsou neštěstí

Ženy, které milují příliš, jsou neštěstí

Lupa.cz: Co vzal čas: internetové kavárny a herny

Co vzal čas: internetové kavárny a herny

DigiZone.cz: Jetelín končí. Prima ho vyřadila

Jetelín končí. Prima ho vyřadila

Vitalia.cz: 9 potravin, které nesmí chybět v jídelníčku těhotné

9 potravin, které nesmí chybět v jídelníčku těhotné

Lupa.cz: Elektronika tajemství zbavená. Jak s ní začít?

Elektronika tajemství zbavená. Jak s ní začít?

Podnikatel.cz: OSA zdraží, ale taky přidá nový poplatek

OSA zdraží, ale taky přidá nový poplatek

Vitalia.cz: Musí moudrák opravdu ven?

Musí moudrák opravdu ven?

Měšec.cz: Se stavebkem k soudu už (většinou) nemusíte

Se stavebkem k soudu už (většinou) nemusíte

DigiZone.cz: ČTÚ červenec: rušení trochu vzrostlo

ČTÚ červenec: rušení trochu vzrostlo