Hlavní navigace

Stavíme mailový server: instalace

Petr Kulhavý

Nový seriál o instalaci a konfiguraci mailového serveru s ochranou proti virům a spamům. První díl se zabývá nainstalováním operačního systému a nastavením firewallu.

Nedávno jsem měl tu čest stavět poměrně důležitý mailový server s antivirem a antispamem. Nebyla to vůbec legrace – bylo nutné studovat mnoho dokumentací, mailinglistů, nastavovat řadu konfiguráků a hlavně rozvláčně ladit, proč tu a tam některá služba nefunguje či padá. Celá instalace s odladěním do všech detailů trvala ve dvou lidech zhruba týden. Proto jsem si řekl, že postup popíšu, dokud ho mám v živé paměti, abych příště já nebo někdo z vás čtenářů nemusel již tolik tápat.

Základ instalace serveru vychází z dokumentu anti-spam.html, kde je poměrně dobře popsán postup, kterak postavit mailový server na bázi Postfixu se zabudovaným antispamem Amavis. Tato dokumentace však pořádně nepopisuje instalaci antiviru Clamav a v některých bodech je neúplná nebo nepřesná, takže jsem musel poměrně dlouho „špekulovat“, proč to či tamto nechodí. Clamav jsem instaloval částečně podle dokumentu anti-spam.html a částečně podle dokumentace na domácí stránce Clamav. Zbytek jsem musel empiricky ozkoušet a odladit.

Ještě musím upozornit, že pokud budete podle návodu instalovat, spouští se veškeré uváděné příkazy pod uživatelem root.

Architektura serveru

Nejprve zkusím popsat, jak celý systém funguje. Na serveru běží mailový program Postfix, který má za úkol přijímat a doručovat maily přes protokol SMTP. K němu je připojen virus-scanner Amavis (A Mail Virus Scanner), který spolupracuje s virus detektorem Clamav a SpamAssassinem.

Když na server přijde nějaký mail, dostane ho Postfix, který naslouchá na portu 25. Postfix zjistí, zda je mail určen pro nás (pro naši doménu, náš server, či zda u nás vůbec existuje uživatel, pro kterého je mail určen) a zda mail splňuje základní SMTP pravidla.

Pokud mail projde touto počáteční kontrolou, Postfix jej předá přes TCP spojení na localhost Amavisu. Ten rozloží mail na části (text a jednotlivé soubory příloh, případně rozbalí zabalené části) a uloží je do dočasných souborů, na které je spuštěn virus scanner Clam. Clam umí jen virus detekovat, ale neumí ho odstranit, zavirované maily se proto nedoručují, ale ukládají do karantény, odkud si je může příjemce vyzvednout. Ke své práci používá Clam databázi virů, která je pravidelně aktualizována ze sítě.

Po antivirovém testu přijde detekce spamů. Amavis ve spolupráci s perlovým modulem SpamAssassin, online spamovými databázemi Razor a DCC a pomocí blacklistů zjistí, zda se jedná o spam. K určení, zda se jedná o spam, je používán bodový systém. Každá uvedená heuristika nebo test udělí mailu určitý počet bodů, které se sečtou. Pokud celková suma překročí jistou hranici, je mail podezřelý, a pokud překročí ještě vyšší hranici, mail je prohlášen za spam.

Amavis podle výsledků spolupracujících programů označí mail, případně mail zahodí či odešle upozornění odesilateli nebo administrátorovi mailserveru. Pokud mail celým bezpečnostním mechanismem projde, je vrácen postfixu, který ho doručí adresátovi.

Nastavení firewallu

Před zahájením vlastní instalace serveru musíme upravit nastavení firewallu (samozřejmě jen pokud je naše síť firewallem zabezpečena). Samotný server bude vyžadovat ke svému běhu krom standardního TCP portu 25 (SMTP) též UDP port 6277 pro spojení s DCC servery, TCP port 2703 pro spojování s Razor servery a TCP port 7 (ping) pro hledání zapnutých Razor serverů. Nastavení firewallu shrnuje následující tabulka. Hodnota server značí adresu našeho mailového serveru a hodnota any znamená kteroukoliv adresu na vnější síti.

Tabulka č. 508
Zdrojová adresa Cílová adresa Protokol Port
server any TCP 25
any server TCP 25
server any UDP 6277
any server UDP 6277
server any TCP 2703
server any TCP 7

Nebo stačí mít na firewallu povolena veškerá spojení ze serveru ven a firewall mít nastaven tak, aby udržoval stav UDP spojení (keep state).

Pro instalaci pravděpodobně budete též potřebovat povolit ze serveru ven TCP porty 22 (SSH), pokud instalujete vzdáleně po síti, 21 (FTP) pro stahování souborů a 80 (HTTP) pro čtení dokumentací a stahování souborů. Z bezpečnostních důvodů je vhodné tyto porty po nainstalování vypnout, proto nejsou v tabulce uvedeny.

V dokumentu anti-spam.html tabulku ještě komplikují demilitarizovanou zónou. My budeme předpokládat, že vnitřní síť je od okolního světa oddělena firewallem a mailový server je na vnitřní síti (mezi serverem a ostatními počítači na vnitřní síti již není žádný firewall), jak ukazuje obrázek.

Základní instalace operačního systému

Server je postaven na operačním systému OpenBSD, který byl vybrán zejména pro svoji stabilitu a bezpečnost, já jsem kompiloval a instaloval aktuální verzi ze zdrojáků z CVS, tedy verzi pre3.4 (vydání verze 3.4 se plánuje na 1. listopad). Celý postup včetně verzí software je tedy vztažen k této verzi OpenBSD. Instalace probíhá podle standardního postupu, jak je popsán v instalačním FAQ k OpenBSD.

Pozor, pokud přeinstalováváte starší verzi OpenBSD na nejnovější a chcete bootovat bsd.rd, nepodaří se vám nabootovat („staré“ BSD odmítne nahrát „nové“ bsd.rd) kvůli poměrně zásadním změnám ve verzi 3.4. Proto je nutné vytvořit bootovací disketu a startovat z ní.

Nároky serveru na CPU, paměť, ani swap kupodivu nejsou velké, pro ilustraci: mailserver pro 8000 uživatelů jsem instaloval na Duron 650MHz se 128MB paměti. Při rozdělování disku tedy můžeme celý systém umístit na jednu partition, velikost swapu nastavíme minimálně na dvojnásobek velikosti operační paměti. Antispamový a antivirový software poběží v adresáři /var/amavisd, kam bude též zapisovat dočasné soubory. Pokročilí uživatelé si tedy mohou vyhrát s umístěním /var/amavisd na paměťový filesystém (MFS), je však nutné správně zvolit rozdělení paměti. Další možností je vyhradit pro /var/amavisd, případně pro celý /var, vlastní partition, není to však nutné.

Ze základních komponent systému OpenBSD jsem instaloval následující:

  • bsd
  • base34
  • etc34
  • comp34
  • man34
  • game34
  • xbase34

Poslední tři části nejsou povinné, manuálové stránky jsou však užitečné, kdo nemá rád fortune, balík game vůbec instalovat nemusí. xbase jsem instaloval kvůli knihovnám.

Ladění výkonu a konfigurace systému

Po dokončení instalace základního systému počítač rebootujeme a můžeme se vrhnout na konfigurování a ladění výkonu BSD, jak je popsáno ve FAQ k ladění výkonu OpenBSD.

Nejprve nastavíme velikost bufferů na síťové kartě – parametr NMBCLUSTERS. Hodnota parametru odpovídá použité síťové kartě, pro 100Mbps kartu nastavíme hodnotu 8192. Abychom nemuseli překompilovávat kernel, použijeme příkaz config (viz man config(8)):

# config -e -o /bsd.new /bsd

ukc> nmbclust 8192
nmbclusters = 8192
ukc> quit
Saving changes

# mv /bsd /bsd.old
# mv /bsd.new /bsd

V případě potřeby můžeme též nastavit další parametry jádra – například zvětšit velikost diskových bufferů. Parametry lze též doladit dodatečně, až po rozběhnutí zjistíme, jak se server chová.

Pro pohodlí ještě můžeme pomocí příkazu vipw změnit v /etc/passwd rootovský shell z defaultního csh na shell shpáně Korna.

Instalace softwarových balíků

Nyní začneme instalovat softwarové balíky. Jejich instalaci provedeme příkazem pkg_add (viz man pkg_add(1)).

Krom základních balíků pro ulehčení práce, kterými jsou například vim, mc či screen, je nutné nainstalovat následujicí balíky. Jedná se zejména o archivační a komprimační programy, které budou potřeba pro rozbalování příloh v mailech.

  • arc-5.21e
  • bzip-0.21
  • bzip2–1.0.2
  • lha-1.14i
  • unace-1.2b
  • unarj-2.43
  • unrar-3.20beta3
  • unzip-5.50p2
  • zoo-2.10.1
  • gcpio-2.5

Dále nainstalujeme následujících pět balíků. Postfix jakožto vlastní mailový server a wget a ncftp pro instalaci perlových modulů.Wget ještě vyžaduje knihovny gettext a libiconv:

  • postfix-2.0.13p0
  • libiconv-1.8
  • gettext-0.10.40p1
  • wget-1.8.2
  • ncftp-3.1.5p0

Tím jsme dokončili přípravu operačního systému. V dalším dílu nakonfigurujeme a rozběhneme mailový server Postfix.

Našli jste v článku chybu?

12. 3. 2006 16:27

Marao (neregistrovaný)
Zdravím Vás všechny mám problém s instalací, nainstaluji openbsd dám halt a pak reboot systému a napíše mi to že USING DRIVE 0,partions 3 loading ... ERR M tot vše neívm co stím:(

musím mít nainstalovaný dos nebo něco dělal jsem to na zformátovaný hdd, nějak se moc v linuxu ani BSD nevyznám děkuji za rady.

Bude mi stačit na zkušební server pouze 1GB HDD je to pro 5 uživatelů



21. 1. 2006 15:21

nond (neregistrovaný)
openBSD ma securelevely, ne? takze i kdyz se nekdo zarootuje tak pokud system bezi v pozadovanym seclevelu, nemuze bez jednouzivatelskyho pristupu menit configuraci.
DigiZone.cz: Recenze Westworld: zavraždit a...

Recenze Westworld: zavraždit a...

Podnikatel.cz: Změny v cestovních náhradách 2017

Změny v cestovních náhradách 2017

Podnikatel.cz: Udávání a účtenková loterie, hloupá komedie

Udávání a účtenková loterie, hloupá komedie

Podnikatel.cz: K EET. Štamgast už peníze na stole nenechá

K EET. Štamgast už peníze na stole nenechá

Lupa.cz: Teletext je „internetem hipsterů“

Teletext je „internetem hipsterů“

Lupa.cz: Co se dá měřit přes Internet věcí

Co se dá měřit přes Internet věcí

Podnikatel.cz: Podnikatelům dorazí varování od BSA

Podnikatelům dorazí varování od BSA

Vitalia.cz: Když přijdete o oko, přijdete na rok o řidičák

Když přijdete o oko, přijdete na rok o řidičák

Lupa.cz: Insolvenční řízení kvůli cookies? Vítejte v ČR

Insolvenční řízení kvůli cookies? Vítejte v ČR

Root.cz: Certifikáty zadarmo jsou horší než za peníze?

Certifikáty zadarmo jsou horší než za peníze?

Vitalia.cz: Potvrzeno: Pobyt v lese je skvělý na imunitu

Potvrzeno: Pobyt v lese je skvělý na imunitu

Vitalia.cz: Pamlsková vyhláška bude platit jen na základkách

Pamlsková vyhláška bude platit jen na základkách

DigiZone.cz: Rádio Šlágr má licenci pro digi vysílání

Rádio Šlágr má licenci pro digi vysílání

Podnikatel.cz: Chaos u EET pokračuje. Jsou tu další návrhy

Chaos u EET pokračuje. Jsou tu další návrhy

120na80.cz: Horní cesty dýchací. Zkuste fytofarmaka

Horní cesty dýchací. Zkuste fytofarmaka

120na80.cz: Na ucho teplý, nebo studený obklad?

Na ucho teplý, nebo studený obklad?

Podnikatel.cz: Udávání kvůli EET začalo

Udávání kvůli EET začalo

Vitalia.cz: Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Láska na vozíku: Přitažliví jsme pro tzv. pečovatelky

Vitalia.cz: Proč vás každý zubař posílá na dentální hygienu

Proč vás každý zubař posílá na dentální hygienu

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte