Code.Beer - Записки it-шника

Установка Unbound Arch Linux

Свой DNS сервер мне необходим для почтового сервера, что бы фильтровать спам через DBL и RBL листинги. Выбор сделан в пользу Unbound по причине его максимально быстрой и простой настройке.

Для установки Unbound в Arch Linux выполните команды:

pacman -S unbound curl
mkdir -p /var/lib/unbound
curl -fsSL -o /etc/unbound/root.hints https://www.internic.net/domain/named.cache
install -o unbound -g unbound -m 0755 -d /etc/unbound/var/lib/unbound

unbound-anchor -a /etc/unbound/var/lib/unbound/root.key
chown unbound:unbound /etc/unbound/var/lib/unbound/root.key
chmod 644 /etc/unbound/var/lib/unbound/root.key

ls -l /etc/unbound/var/lib/unbound/root.key

Далее создаем конфигурационный файл:

cp /etc/unbound/unbound.conf /etc/unbound/unbound.conf.old
> /etc/unbound/unbound.conf
nano /etc/unbound/unbound.conf

Добавить в содержимое файла:

server:
  interface: 127.0.0.1
  interface: ::1
  port: 53

  access-control: 127.0.0.0/8 allow
  access-control: ::1 allow

  do-ip4: yes
  do-ip6: yes

  prefetch: yes
  prefetch-key: yes
  msg-cache-size: 64m
  rrset-cache-size: 128m
  cache-min-ttl: 60
  cache-max-ttl: 86400

  qname-minimisation: yes
  harden-glue: yes
  harden-dnssec-stripped: yes
  hide-identity: yes
  hide-version: yes

  auto-trust-anchor-file: "/var/lib/unbound/root.key"
  root-hints: "/etc/unbound/root.hints"

  #verbosity: 1

Проверяем что unbound слушает 127.0.0.1:53:

ss -lntup | grep ':53 '

Если все в порядке, меняем DNS в настройка сети:

nano /etc/systemd/network/20-ens18.network

Меняем DNS на:

DNS=127.0.0.1
DNS=::1

Применяем настройки:

systemctl restart systemd-networkd
systemctl restart systemd-resolved
resolvectl flush-caches

Настроим автозапуск Ubound при падении:

mkdir -p /etc/systemd/system/unbound.service.d

cat > /etc/systemd/system/unbound.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=3s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart unbound
systemctl status unbound --no-pager

Failed to start Wait for Network to be Online

Если у вас ip адрес сервера и шлюз находится в разных подсетях, можно столкнуться со следующей ошибкой в Arch Linux:

Failed to start Wait for Network to be Online.

Делаем бекап конфига:

cp -a /etc/systemd/network/20-ens18.network /etc/systemd/network/20-ens18.network.bak.$(date +%F_%H%M%S)

Для решения проблемы, поможет правильная настройка сети:

cat > /etc/systemd/network/20-ens18.network <<'EOF'
[Match]
Name=ens18

[Network]
Address=51.7.7.7/32
DNS=1.1.1.1
DNS=8.8.8.8

Address=2001:77d0:77c:c900::777/64
DNS=2001:4860:4860::8888
DNS=2606:4700:4700::1111
IPv6AcceptRA=no

[Route]
Destination=0.0.0.0/0
Gateway=100.64.0.1
GatewayOnLink=yes

[Route]
Destination=::/0
Gateway=fe80::1
GatewayOnLink=yes
EOF

systemctl restart systemd-networkd
networkctl status ens18

Проверка wait-online:

systemctl restart systemd-networkd-wait-online
systemctl status systemd-networkd-wait-online --no-pager -l

Ожидаемый результат: строка должна стать routable (configured), а не (configuring).

Удаление старых писем Dovecot

В данной записи речь пойдет о автоматической очистке старых писем в Dovecot. Очистка осуществляя по дате сообщения, все письма старше года будут удалены. За исключением писем помеченных звездочкой.

Создаем скрипт:

nano /usr/local/sbin/dovecot-cleanup

Вставляем в содержимое файла:

#!/usr/bin/env bash
set -euo pipefail

PASSWD_FILE="${PASSWD_FILE:-/etc/dovecot/passwd}"
RETENTION="${RETENTION:-365d}"   # срок хранения
DATE_KEY="${DATE_KEY:-before}"   # before (INTERNALDATE) или savedbefore
DRY_RUN="${DRY_RUN:-0}"          # 1 = только показать (search), 0 = удалять (expunge)

# Не трогаем Archive и её подпапки: Archive, Archive/..., Archive...., INBOX.Archive..., INBOX/Archive...
KEEP_RE='(^|[./])Archive($|[./])'

# Не удаляем письма со "звездочкой" (\Flagged) — чистим только UNFLAGGED
FLAG_FILTER="UNFLAGGED"

cmd="expunge"
[[ "$DRY_RUN" == "1" ]] && cmd="search"

# Берём список пользователей из passwd-файла (1-е поле до двоеточия), игнорируем пустые/комментарии
awk -F: '!/^[[:space:]]*($|#)/{print $1}' "$PASSWD_FILE" | while IFS= read -r user; do
  [[ -z "$user" ]] && continue

  # Список папок конкретного юзера
  doveadm mailbox list -u "$user" '*' | while IFS= read -r mbox; do
    [[ -z "$mbox" ]] && continue

    # Пропускаем Archive и подпапки
    if [[ "$mbox" =~ $KEEP_RE ]]; then
      continue
    fi

    # Удаляем (или ищем при DRY_RUN=1) письма старше RETENTION, но только НЕ помеченные звездой
    doveadm "$cmd" -u "$user" mailbox "$mbox" "$DATE_KEY" "$RETENTION" "$FLAG_FILTER"
  done
done

Даем права на запуск файла:

chmod +x /usr/local/sbin/dovecot-cleanup

Создаем сервис:

nano /etc/systemd/system/dovecot-cleanup.service

Добавляем в содержимое файла:

[Unit]
Description=Dovecot cleanup

[Service]
Type=oneshot
Environment=PASSWD_FILE=/etc/dovecot/passwd
Environment=RETENTION=365d
Environment=DATE_KEY=before
Environment=DRY_RUN=0
ExecStart=/usr/bin/nice -n 10 /usr/local/sbin/dovecot-cleanup

Создаем таймер:

nano /etc/systemd/system/dovecot-cleanup.timer

[Unit]
Description=Daily Dovecot cleanup

[Timer]
OnCalendar=daily
Persistent=true

[Install]
WantedBy=timers.target

Применяем настройки и выполняем проверку работы сервиса:

systemctl daemon-reload
systemctl enable --now dovecot-cleanup.timer

# статус
systemctl status dovecot-cleanup.timer
systemctl list-timers --all | grep dovecot-cleanup

# лог последнего прогона сервиса
journalctl -u dovecot-cleanup.service -n 200 --no-pager

Защита от спама Postfix

Подключаем антиспам листинги для защиты от спама. Открываем конфигурационный файл Postfix:

nano /etc/postfix/main.cf

Добавьте блок sender-restrictions:

smtpd_sender_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,

    # DBL: block
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.2,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.4,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.5,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.6,

    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.102,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.103,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.104,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.105,
    reject_rhsbl_sender dbl.spamhaus.org=127.0.1.106

Что бы DBL из smtpd_sender_restrictions не действовал для порта 587, который используют авторизированные клиенты.
Нужно добавить в конфиг /etc/postfix/master.cf, в блок submission inet строку:

  -o smtpd_sender_restrictions=permit_sasl_authenticated,reject

В итоге у меня получилось так:

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_auth_only=yes

  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth

  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_restrictions=permit_sasl_authenticated,reject

  -o smtpd_peername_lookup=no
  -o milter_macro_daemon_name=ORIGINATING

Далее необходима внести правки в режим работы DNS сервера. Да работы RBL/RHSBL в Postfix необходим лёгкий локальный резолвер-кэш, чтобы DNS-запросы были быстрыми и стабильными. В Arch Linux у меня по умолчанию установлен systemd-resolved. И он у меня уже настроен на этапе настройки ОС после установки.

Проверяем что служба запущена:

systemctl status systemd-resolved --no-pager

Если отключена включаем:

systemctl enable --now systemd-resolved

Включаем stub режим:

ln -sf /run/systemd/resolve/stub-resolv.conf /etc/resolv.conf

Применяем настройки Postfix:

postfix check
postfix reload

Блокировка входящих писем отправленных с сервера без SPF

Откройте конфигурационный файл:

nano /etc/postfix/master.cf

Найдите строку cleanup

cleanup    unix  n       -       n       -       0       cleanup

Сразу под ней добавьте:

incleanup  unix  n       -       n       -       0       cleanup
  -o milter_header_checks=regexp:/etc/postfix/milter_header_checks

Вторая строка обязательно с отступом пробел.

Подключи этот cleanup только к входящему smtpd. Ищем строки:

smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
tlsproxy  unix  -       -       n       -       0       tlsproxy

Необходимо добавить добавить override по примеру ниже:

smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
  -o cleanup_service_name=incleanup
tlsproxy  unix  -       -       n       -       0       tlsproxy

Файл правил для milter-заголовков:
Создайте файл /etc/postfix/header_checks с содержимым:

/^Authentication-Results:[[:space:]]*smtp\.powervps\.net;.*[[:space:];]spf=(none|fail)([[:space:];]|$)/  REJECT 5.7.1 SPF none/fail (policy)

Удаление чужих Authentication-Results

Мы желаем проверку SPF и DKIM и сами пишем заголовок Authentication-Results с результатами проверки.
Поэтому что бы защитится от подмены, предварительно очищаем все Authentication-Results.

Открываем фал:

nano /etc/postfix/header_checks

И добавляем в конец файла:

/^Authentication-Results:/  IGNORE

Применяем настройки:

postfix check
systemctl reload postfix

Включаем Postscreen

Включим блокировку по DNSBL и дополнительную защиту от спама и ботов.

Открываем конфиг:

nano /etc/postfix/main.cf

Добавляем настройки:

### =========================================================
### Postscreen (applies only if enabled in master.cf)
### =========================================================
postscreen_greet_wait = 2s
postscreen_greet_action = enforce

postscreen_cache_map = lmdb:/var/lib/postfix/postscreen_cache
postscreen_cache_cleanup_interval = 24h

postscreen_dnsbl_sites =
    zen.spamhaus.org=127.0.0.[2..11]*2
postscreen_dnsbl_action = enforce
postscreen_dnsbl_timeout = 5s
postscreen_dnsbl_threshold = 1

postscreen_pipelining_enable = no
postscreen_non_smtp_command_enable = no
postscreen_bare_newline_enable = no

smtpd_forbidden_commands = CONNECT GET POST

Далее необходимо включить сервис dnsblog:

Откройте файл /etc/postfix/master.cf и добавьте в него строку:
dnsblog unix - - n - 0 dnsblog

В итоге блок конфига у меня выглядит следующим образом:

smtp      inet  n       -       n       -       1       postscreen
smtpd     pass  -       -       n       -       -       smtpd
  -o cleanup_service_name=incleanup
dnsblog   unix  -       -       n       -       0       dnsblog
tlsproxy  unix  -       -       n       -       0       tlsproxy

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_auth_only=yes

  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth

#  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o smtpd_sender_restrictions=permit_sasl_authenticated,reject

  -o smtpd_peername_lookup=no
  -o milter_macro_daemon_name=ORIGINATING

Применяем настройки:

postfix check
systemctl reload postfix

Настройка OpenDMARC

Продолжаем настройку почтового сервера Postfix под Arch Linux. В данной записи пойдет речь по настройке OpenDMARC для фильтрации входящих почтовых сообщений.

Устанавливаем пакет OpenDMARC:

pacman -S opendmarc publicsuffix-list

Меняем права запуска. Необходимо сделать override для opendmarc:

systemctl edit opendmarc

Вставляем:

[Service]
Group=postfix
UMask=0007

Применяем изменения:

systemctl daemon-reload
systemctl stop opendmarc
rm -f /run/opendmarc/opendmarc.sock
systemctl start opendmarc
ls -l /run/opendmarc/opendmarc.sock

Делаем бекап конфигурационного файла по умолчанию, и очищаем файл:

cp /etc/opendmarc/opendmarc.conf /etc/opendmarc/opendmarc.conf.old
> /etc/opendmarc/opendmarc.conf

Далее открываем файл и добавляем туда базовый конфиг:

# Кто пишет Authentication-Results
AuthservID HOSTNAME
TrustedAuthservIDs HOSTNAME

# Сокет, к которому подключится Postfix (milter)
Socket local:/run/opendmarc/opendmarc.sock

# Логи
Syslog true
SyslogFacility mail

# Права на сокет
UserID opendmarc:postfix
UMask 0007

# Public Suffix List (организационные домены)
PublicSuffixList /usr/share/publicsuffix/public_suffix_list.dat

# --- ВАЖНО ДЛЯ SPF ---
# Не доверять SPF-результатам, пришедшим в заголовках, и проверять самим
SPFIgnoreResults true
SPFSelfValidate true

# Чтобы не проверять вашу исходящую почту (через SMTP AUTH)
IgnoreAuthenticatedClients true

# Режимы реакции:
#  - false: только добавляет Authentication-Results (мониторинг)
#  - true: отклоняет письма, которые НЕ прошли DMARC (по политике домена отправителя)
RejectFailures true

# --- ВАЖНО: карантин не держим ---
HoldQuarantinedMessages false

Подготовка /run сокета:

cat >/etc/tmpfiles.d/opendmarc.conf <<'EOF'
D /run/opendmarc 0750 opendmarc postfix
EOF

systemd-tmpfiles --create

Запускаем сервис:

systemctl enable --now opendmarc

Подключаем OpenDMARC в Postfix. Открываем конфиг:

nano /etc/postfix/main.cf

Находим параметр:

smtpd_milters = unix:/run/opendkim/opendkim.sock
non_smtpd_milters = $smtpd_milters

Меняем на:

smtpd_milters = unix:/run/opendkim/opendkim.sock, unix:/run/opendmarc/opendmarc.sock
non_smtpd_milters = $smtpd_milters

Применяем настройки:

postfix reload

Настраиваем перенос писем не прошедших проверку в спам. Открываем конфиг Dovecot:

nano /etc/dovecot/dovecot.conf

Добавляем в конец файла:

sieve_script dmark_policy_before {
  type = before
  path = /etc/dovecot/sieve/before.d/10-dmark-to-junk.sieve
}

Открываем файл правил:

nano /etc/dovecot/sieve/10-dmark-to-junk.sieve

Добавляем в содержимое:

require ["fileinto"];

if header :contains "Authentication-Results" "dmarc=fail" {
  fileinto "Junk";
  stop;
}

Компилируем правила:

sievec /etc/dovecot/sieve/10-dmark-to-junk.sieve

Применяем настройки:

systemctl restart dovecot

Далее настраиваем автостарт сервиса при падении:

mkdir -p /etc/systemd/system/opendmarc.service.d

cat > /etc/systemd/system/opendmarc.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=5s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart opendmarc

Ограничение на прием почты для Postfix

Стоит задача полностью запретить прием сообщений для email рассылок [email protected], а также в целях безопасности ограничить примем входящей почты только от доверенных доменов.

# Полный запрет приёма на [email protected]
[email protected]   REJECT 550 5.1.1 [email protected] does not accept inbound mail. Use [email protected]

# Без ограничений
[email protected]    OK

# Только от доверенных доменов (см. restriction class ниже)
[email protected]  check_restriction_class trusted_senders
[email protected]  check_restriction_class trusted_senders
[email protected]  check_restriction_class trusted_senders

Создаем файл:

nano /etc/postfix/trusted_senders

Добавляем список доверенных отправителей (доменов/адресов):

# Разрешить любые адреса с домена (пример):
@trusted-partner.com   OK
@client1.com           OK

# Разрешить домен и все поддомены (точка в начале):
.trustedgroup.com      OK

# (опционально) конкретный адрес:
[email protected] OK

# Всё остальное будет отклонено правилом в restriction class

Откройте /etc/postfix/main.cf и добавьте:

# Класс ограничений для user*
smtpd_restriction_classes = trusted_senders
trusted_senders =
    permit_mynetworks,
    permit_sasl_authenticated,
    check_sender_access lmdb:/etc/postfix/trusted_senders,
    reject 550 5.7.1 Sender domain is not allowed for this recipient

# Применяем правила по получателю
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_unauth_destination,
    check_recipient_access lmdb:/etc/postfix/recipient_access

Если вы настраивали почтовый сервер по моей инструкции ранее, нужно убрать параметр:

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Иначе получите предупреждение о ошибке.

Компилируем карты и перезагружаем Postfix:

postmap /etc/postfix/recipient_access
postmap /etc/postfix/trusted_senders
postfix reload

Использовать только IPv4 для Dovecot

service imap-login {
  inet_listener imap {
    listen = *
  }
  inet_listener imaps {
    listen = *
  }
}

Блокировка писем с небезопасными вложениями

Откройте конфиг Postfix:

nano /etc/postfix/main.cf

Добавьте в конец файла:

mime_header_checks   = regexp:/etc/postfix/mime_header_checks

Создайте файл с правилами:

nano /etc/postfix/mime_header_checks

Добавьте правила:

# Блок “опасных” расширений по имени файла в MIME-заголовках:
# Content-Disposition: ... filename=...
# Content-Type: ... name=...
# а также RFC2231 варианты filename*= / name*=
#
# Postfix regexp по умолчанию case-insensitive, поэтому EXE/Exe тоже поймается.

# 1) По расширению в filename/name (включая кавычки и пробелы в имени)
#    Ловит и: filename=, filename*=, name=, name*=
/^Content-(Disposition|Type):.*(filename|name)\*?[[:space:]]*=[[:space:]]*"?[^";\r\n]*\.(exe|scr|com|bat|cmd|pif|cpl|hta|js|jse|vbs|vbe|wsf|wsh|ps1|psm1|psd1|msi|msp|mst|jar|jnlp|lnk|scf|reg|dll|sys|drv|iso|img|vhd|vhdx|dmg|apk)"?([[:space:]]|;|$)/
  REJECT Attachment type not allowed

# 2) На случай, если имени файла нет/спрятали, но тип явно “исполняемый”
/^Content-Type:[[:space:]]*application\/(x-msdownload|x-msdos-program|x-dosexec|x-executable|x-ms-installer|java-archive)/
  REJECT Executable attachment type not allowed

# 3) (опционально) Macro-enabled Office
#    Если хочешь блокировать макросные файлы — раскомментируй:
/^Content-(Disposition|Type):.*(filename|name)\*?[[:space:]]*=[[:space:]]*"?[^";\r\n]*\.(docm|xlsm|pptm)"?([[:space:]]|;|$)/
#  REJECT Macro-enabled Office attachments not allowed

Применяем настройки:

postfix reload

Мелкие исправления для Postfix

В этой записи я буду постепенно добавлять мелкие исправления для Postfix, связанные с работой с ПО.

Удаление пустого заголовка

Одна из панелей из-за программного бага добавляет к письмам пустые заголовки Message-ID: <>
Для исправления проблемы, необходимо добавить в конец содержимого файла /etc/postfix/main.cf

always_add_missing_headers = yes
header_checks = regexp:/etc/postfix/header_checks

Далее открываем фал и добавляем в конец файла:

nano /etc/postfix/header_checks

Добавить правила фильтрации:

/^Message-ID:\s*<>/          IGNORE

Применяем настройки:

postfix check
systemctl reload postfix

Скрыть ip отправителя

Суть проблемы, отправка реальных ip сервера отправителя, что является утечкой внутренней корпоративной информации.

Received: from [127.0.0.1] (unknown [7.7.7.7]) by smtp.powervps.net (Postfix)

Регулярное выражение, которое вырезает все содержимое (unknown [7.7.7.7]), не зависимо от ip.

/^Received:.*[[:space:]]by[[:space:]]smtp\.powervps\.net[[:space:]]\(Postfix\)(.*)$/  REPLACE Received: from [127.0.0.1] by mx.codebeer.ru (Postfix)$1

В итоге заголовок будет выглядеть следующим образом:

Received: from [127.0.0.1] by mx.codebeer.ru (Postfix)

Применяем настройки:

postfix check
systemctl reload postfix

Настройка Dovecot

Заключительная часть базовой настройки почтового сервера. Который будет выполнять полноценную работу: функции приема, хранения и отправки сообщений. Обеспечивать возможность подключения через почтовые клиенты.

pacman -S dovecot
# dovecot --version
2.4.2 (0962ed2104)

Включаем автозагрузку:

systemctl enable dovecot

Создай пользователя и группу vmail:

getent passwd vmail || useradd -r -d /srv/mail -s /usr/bin/nologin vmail
getent group vmail  || groupadd -r vmail
usermod -g vmail vmail 2>/dev/null || true

Назначим права на каталог почты:

install -d -o vmail -g vmail -m 0770 /srv/mail
chown -R vmail:vmail /srv/mail

Открываем конфигурационный файл:

nano /etc/dovecot/dovecot.conf

Сотрите все содержимое файла и добавьте параметры ниже.

# -------------------------------------------------------------------
# Include / modular config
# -------------------------------------------------------------------
!include_try conf.d/*.conf


# -------------------------------------------------------------------
# Protocols
# Enable the required protocols:
# - IMAP for mailbox access
# - LMTP for local mail delivery (e.g., from Postfix)
# -------------------------------------------------------------------
protocols {
  imap = yes
  lmtp = yes
}

service imap {
  vsz_limit = 512M
}

# -------------------------------------------------------------------
# Mail storage (Maildir)
# Store mail in Maildir format under user's home directory
# -------------------------------------------------------------------

mail_driver = maildir
mail_path = ~/Maildir

namespace inbox {
  inbox = yes
  separator = /

  mailbox Trash {
    auto = subscribe
    special_use = \Trash
  }
  mailbox Junk {
    auto = subscribe
    special_use = \Junk
  }
}

# -------------------------------------------------------------------
# Authentication (virtual users from file, no PAM)
# IMPORTANT:
# Do NOT use PAM to avoid binding authentication to system users.
# Authenticate virtual users from a password file instead.
# -------------------------------------------------------------------
auth_username_format = %{user | username}
auth_mechanisms = plain login

passdb passwd-file {
  passwd_file_path = /etc/dovecot/passwd
}

userdb static {
  fields {
    uid  = vmail
    gid  = vmail
    home = /srv/mail/%{user | username}
  }
}

# -------------------------------------------------------------------
# TLS / SSL
# Require TLS and use Let's Encrypt certificates
# -------------------------------------------------------------------
ssl = required
ssl_server {
  cert_file = /etc/letsencrypt/live/mx.codebeer.ru/fullchain.pem
  key_file  = /etc/letsencrypt/live/mx.codebeer.ru/privkey.pem
  dh_file   = /etc/dovecot/dh.pem
}

ssl_server_prefer_ciphers = server
ssl_min_protocol = TLSv1.2


# -------------------------------------------------------------------
# Services / sockets for Postfix integration
# -------------------------------------------------------------------
# LMTP socket for Postfix -> Dovecot delivery (to Maildir)
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0600
    user = postfix
    group = postfix
  }
}

# SASL auth socket for Postfix (submission/587)
service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

Обратите внимание на строки:

cert_file = /etc/letsencrypt/live/mx.codebeer.ru/fullchain.pem
key_file  = /etc/letsencrypt/live/mx.codebeer.ru/privkey.pem

Здесь нужно указать свой путь к файлам сертификата и ключа.
Далее необходимо сгенерировать сертификат Диффи-Хелмана:

openssl dhparam -out /etc/dovecot/dh.pem 4096

Откройте /etc/postfix/main.cf
Добавьте в конец файла:

local_transport = lmtp:unix:private/dovecot-lmtp
local_recipient_maps =

Проверить/создать директорию /var/spool/postfix/private

ls -ld /var/spool/postfix /var/spool/postfix/private || true
getent passwd postfix
getent group postfix
install -d -m 0755 -o postfix -g postfix /var/spool/postfix/private

Примените настройки:

postfix check
systemctl restart dovecot
systemctl restart postfix

Далее необходимо создать файл с логинами и паролями, для подключения пользователей к почтовому серверу.
В примере ниже, я создаю аккаунт admin:

PASS='yFUTHESZIoqvLtFkbqiXbPypxIUQfcPL'
HASH="$(doveadm pw -s BLF-CRYPT -p "$PASS")"

printf "admin:%s\n" "$HASH" | tee -a /etc/dovecot/passwd >/dev/null
chown root:dovecot /etc/dovecot/passwd
chmod 640 /etc/dovecot/passwd

Перезапускаем Dovecot

systemctl restart dovecot

Включаем автозагрузку Dovecot, делаем рестарт сервиса, проверяем состояние процесса.

mkdir -p /etc/systemd/system/dovecot.service.d

cat > /etc/systemd/system/dovecot.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=5s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart dovecot

Проверим, что Dovecot подымается после падения:

kill -9 $(pidof dovecot | awk '{print $1}')
sleep 2
systemctl --no-pager -l status dovecot
journalctl -u dovecot -n 30 --no-pager

После настройки необходимо выполнить базовую проверку работы авторизации:

doveadm auth test 'admin' 'ТВОЙ_ПАРОЛЬ'

Должно отобразится сообщение:

passdb: admin auth succeeded
extra fields:
  user=admin

Отправка тестового сообщения:

echo test | sendmail -v [email protected]
Mail Delivery Status Report will be mailed to .

# find /srv/mail/admin/Maildir -maxdepth 2 -type f \( -path '*/new/*' -o -path '*/cur/*' \) | tail
/srv/mail/admin/Maildir/cur/1770504820.M330643P8692.mx.codebeer.ru,S=1006,W=1029:2,a
/srv/mail/admin/Maildir/cur/1770504816.M697890P8676.mx.codebeer.ru,S=1006,W=1029:2,a

Настройка виртуальных алиасов

Необходимо создать файл алисов /etc/postfix/virtual

Добавьте в содержимое по аналогии:

[email protected]      [email protected]
[email protected]     [email protected]
[email protected]          [email protected]
[email protected]  [email protected]

Подключаем файл алисов в конфиге main.cf:

nano /etc/postfix/main.cf

Добавьте в конец файла:

virtual_alias_maps = lmdb:/etc/postfix/virtual

Применяем настройки:

postmap /etc/postfix/virtual
systemctl reload postfix

Включаем загрузку Postfix после запуска сервиса Dovecot:

systemctl edit postfix.service

Добавляем строки:

[Unit]
After=dovecot.service
Wants=dovecot.service

Применяем настройки:

systemctl daemon-reload
systemctl restart postfix

Postfix настройка OpenDKIM

В этой записи я опишу процесс настройки OpenDKIM для почтового сервера Postfix. Следует отменить, этот этап настроек следует выполнять очень внимательно. Можно запутаться на этапе подготовки к генерации ключей. Поэтому я выделил эту задачу в отдельный пост.

Устанавливаем OpenDKIM и копируем базовый настройки файл:

pacman -S opendkim
install -d /etc/opendkim

Создайте файл:

nano /etc/opendkim/opendkim.conf

Скопируйте в конец файла либо примените настройки к следующему виду:

Mode                    sv
SendReports yes
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
Socket                  local:/run/opendkim/opendkim.sock
UMask                   002

Создайте файл /etc/opendkim/SigningTable. Селектор можно выбрать любой, у меня — mail, домен — codebeer.ru меняете на ваш.
Имя DKIM-записи в DNS всегда такое <selector>._domainkey.<domain>

*@codebeer.ru mail._domainkey.codebeer.ru

Создайте файл /etc/opendkim/KeyTable

mail._domainkey.codebeer.ru  codebeer.ru:mail:/etc/opendkim/keys/codebeer.ru/mail.private

Аналогично селектор указываете такой же, как в предыдущем пункте, у меня mail, домен codebeer.ru, вы меняете значения на свои.

Создайте файл TrustedHosts

cat > /etc/opendkim/TrustedHosts <<'EOF'
127.0.0.1
localhost
::1
mx.codebeer.ru
EOF

Домен codebeer.ru меняете на ваш.

Далее генерируем ключи.

pacman -S perl
mkdir -p /etc/opendkim/keys/codebeer.ru
opendkim-genkey -b 2048 -d codebeer.ru -D /etc/opendkim/keys/codebeer.ru -s mail -v

Назначаем права на файлы:

chown -R opendkim:opendkim /etc/opendkim/keys/codebeer.ru
chmod 0400 /etc/opendkim/keys/codebeer.ru/mail.private

Установите права на сокет, для этого добавьте postfix в группу opendkim:

gpasswd -a postfix opendkim

Добавляем OpenDKIM в автозагрузку и перезапускаем Postfix:

systemctl enable --now opendkim
systemctl restart postfix

Авто-перезапуск при падении opendkim:

mkdir -p /etc/systemd/system/opendkim.service.d

cat > /etc/systemd/system/opendkim.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=5s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart opendkim

Убиваем процесс opendkim, что бы убедится что он подымится снова:

pkill -9 opendkim
sleep 2
systemctl status opendkim --no-pager

Добавляем запись DKIM в DNS

Добавляем в DNS TXT запись с именем mail._domainkey и значением:

cat /etc/opendkim/keys/codebeer.ru/mail.txt

Важно удалить все кавычки в середине текста. Запись должна выглядеть следующим образом:

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAuxfSSuNL66k9K7d/maqp39cMANuqlHthD+4w7F9ck0NOFbKoYwJxFL7XiZi2tQPM/8HdITuKPG/a9n2qiLtTWzKzv5bsoY4bnjkCzycRcV/uK8XrfZg6yni3UmaFuN10q6bJVZ77ePRIjqQGiHUrgTqTiS6X/EmxiMmPNUf5BQhDKw/N3rdf2gm8suVVP1je+YZrVqdnXesyEJl3SqBuIGZrp8x9BD5abkF4069BsSOm5OqLsr6Eioc/7zWTETraNcGbPROtNKQenEEmWnPpGFYgxtxcagSadm05vjVtKUIukGABot2UleLVsZDwiFGfnSmStvWXQmFWlu1Rtne9cwIDAQAB"

Тест ключа:

[root@mx opendkim]# opendkim-testkey -d codebeer.ru -s mail -vvv
opendkim-testkey: using default configfile /etc/opendkim/opendkim.conf
opendkim-testkey: checking key 'mail._domainkey.codebeer.ru'
opendkim-testkey: key not secure
opendkim-testkey: key OK

Подключаем OpenDKIM к Postfix

Postfix должен иметь доступ к /run/opendkim/opendkim.sock:

usermod -aG opendkim postfix
systemctl restart opendkim postfix

Для интеграции с Postfiх добавить в /etc/postfix/main.cf:

milter_default_action = accept
milter_protocol = 6

smtpd_milters = unix:/run/opendkim/opendkim.sock
non_smtpd_milters = $smtpd_milters

smtpd_milters — проверка входящих по SMTP.
non_smtpd_milters — чтобы локально сгенерированная почта (cron/sendmail) тоже подписывалась DKIM.

Применяем настройки:

postfix check
systemctl restart postfix

Далее сделаем настройку, если DKIM нет или не валидный, отправляем письмо в спам.

Пакет pigeonhole необходим для sieve-плагина и компилятор sievec.

pacman -S --needed pigeonhole

Необходимо добавить в /etc/opendkim/opendkim.conf параметры:

AuthservID              mx.codebeer.ru
AlwaysAddARHeader       yes
On-BadSignature         accept
On-NoSignature          accept

Замените домен mx.codebeer.ru на свой.

Применяем настройки:

systemctl restart opendkim

Включаем Sieve на LMTP-доставке:

nano /etc/dovecot/dovecot.conf

Добавить в конец файла:

protocol lmtp {
  mail_plugins {
    sieve = yes
  }
}

Автосоздание папки Junk. Найдите секцию namespace inbox и приведите ее к виду:

namespace inbox {
  inbox = yes
  separator = /

  mailbox Trash {
    auto = create
    special_use = \Trash
  }
  mailbox Junk {
    auto = create
    special_use = \Junk
  }
}

Добавляем в конец файла глобальный скрипт обработки почты, выполняемый до пользовательских:

sieve_script dkim_policy_before {
  type = before
  path = /etc/dovecot/sieve/00-dkim-to-junk.sieve
}

Создаем каталог и файл:

install -d -m 0755 /etc/dovecot/sieve
nano /etc/dovecot/sieve/00-dkim-to-junk.sieve

Добавляем в содержимое файла:

require ["fileinto"];

# === ИСКЛЮЧЕНИЯ (разрешаем без DKIM / с проблемным DKIM) ===
# Впиши сюда домены, которым доверяешь:
if address :domain :is "from" ["trusted.example", "partner.example"] {
  stop;
}

# === ПЕРЕКЛАДЫВАЕМ В JUNK ЕСЛИ OpenDKIM сказал fail/none ===
# Важно: доверяем только нашей строке Authentication-Results (AuthservID)
if allof (
  header :contains "Authentication-Results" "mx.codebeer.ru",
  anyof (
    header :contains "Authentication-Results" "dkim=fail",
    header :contains "Authentication-Results" "dkim=permerror",
    header :contains "Authentication-Results" "dkim=temperror",
    header :contains "Authentication-Results" "dkim=none"
  )
) {
  fileinto "Junk";
  stop;
}

# Фолбэк: если по какой-то причине нет Authentication-Results,
# но подписи DKIM тоже нет — считаем спамом (можешь убрать, если не нужно)
if not exists "DKIM-Signature" {
  fileinto "Junk";
  stop;
}

Не забываем исправить на свой домен строку:

header :contains "Authentication-Results" "mx.codebeer.ru",

Компилируем файл правил:

sievec /etc/dovecot/sieve/00-dkim-to-junk.sieve

Следующий этап настройки Настройка Dovecot

Postfix настройка TLS шифрования

Продолжаем настройку нашего почтового сервера Postfix на Arch Linux. В этой статье я опишу процесс настройки TLS шифрования для Postfix. Сертификаты будем использовать от Let’s Encrypt. Для этого установим необходимые пакеты:

pacman -Syu certbot certbot-nginx nginx

Создадим каталог для конфигов Nginx:

mkdir -p /etc/nginx/conf.d

Далее необходимо добавить загрузку конфигов из каталога conf.d

nano /etc/nginx/nginx.conf

Внутри блока http { ... } в конце файла добавь строку:

include conf.d/*.conf;

Базовые настройки сайта для генерирования сертификатов от Let’s Encrypt. Не забываем менять домен на свой.

cat > /etc/nginx/conf.d/mx.codebeer.ru.conf <<'EOF'
server {
    listen 80 default_server;
    listen [::]:80 default_server;
    server_name _;
    access_log off;
    return 444;
}

server {
    listen 443 ssl default_server;
    listen [::]:443 ssl default_server;
    server_name _;
    access_log off;
    ssl_reject_handshake on;
}

server {
      listen 80;
      listen [::]:80;
      server_name mx.codebeer.ru;

    location ^~ /.well-known/acme-challenge/ {
       root /var/lib/letsencrypt;
       try_files $uri =404;
       access_log off;
       log_not_found off;
    }

    location / { return 444; }

}
EOF

Применяем настройки:

systemctl enable nginx
systemctl restart nginx

Авто-рестарт Nginx при падении:

mkdir -p /etc/systemd/system/nginx.service.d

cat > /etc/systemd/system/nginx.service.d/restart.conf <<'EOF'
[Unit]
StartLimitIntervalSec=300
StartLimitBurst=5

[Service]
Restart=on-failure
RestartSec=5s
EOF

Применяем настройки:

systemctl daemon-reload
systemctl restart nginx
systemctl --no-pager -l status nginx

Может высветится вот такое предупреждение:

Feb 07 00:10:05 mx.codebeer.ru systemd[1]: Starting nginx web server...
Feb 07 00:10:05 mx.codebeer.ru nginx[16960]: 2026/02/07 00:10:05 [warn] 16960#16960: could not build optimal types_hash, you should increase either types_hash_max_size: 1024 or types_hash_bucket_size: 64; ignoring types_hash_bucket_size
Feb 07 00:10:05 mx.codebeer.ru systemd[1]: Started nginx web server.

Предупреждение types_hash не критично, но лучше поправить:

nano /etc/nginx/nginx.conf

Внутри блока http { ... } добавить:

types_hash_max_size 2048;
types_hash_bucket_size 128;

Убьём процесс nginx, systemd должен поднять снова:

pkill -9 nginx
sleep 2
systemctl status nginx --no-pager

Nginx настроен. Теперь можно переходить непосредственно к выпуску сертификат:

certbot --nginx -d mx.codebeer.ru

В процессе вас попросят указать ваш email, принят правила сервиса и вы можете разрешить принимать информационную рассылку на ваш email или отказаться.

Сертификат и ключ будет записан по указанному пути:

/etc/letsencrypt/live/mx.codebeer.ru/fullchain.pem
/etc/letsencrypt/live/mx.codebeer.ru/privkey.pem

Дале включаем автоматический перевыпуск сертификата:

systemctl enable --now certbot-renew.timer
systemctl status certbot-renew.timer --no-pager
systemctl list-timers | grep certbot

После этого systemd будет запускать обновление сертификата по расписанию.

Включаем шифрование в Postfix

Нужно внести изменения в master.cf

nano /etc/postfix/master.cf

Добавить в файл:

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_tls_auth_only=yes
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_sasl_type=dovecot
  -o smtpd_sasl_path=private/auth
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o smtpd_peername_lookup=no
  -o milter_macro_daemon_name=ORIGINATING

Прописываем TLS сертификат для Postfix:

postconf -e "smtpd_tls_cert_file = /etc/letsencrypt/live/mx.codebeer.ru/fullchain.pem"
postconf -e "smtpd_tls_key_file = /etc/letsencrypt/live/mx.codebeer.ru/privkey.pem"
postconf -e 'smtpd_tls_security_level = may'
postconf -e 'smtpd_tls_loglevel = 1'
postconf -e 'smtpd_tls_received_header = yes'

Чтобы отключить небезопасные версии SSL/TLS, добавьте в конец файла /etc/postfix/main.cf:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Далее отключим авторизацию на порте 25. Это нужно что бы подключаться к серверу можно было только через порты с шифрованием.

smtpd_tls_auth_only = yes

Применяем настройки:

postfix reload
systemctl restart postfix

Следующий этап настройки Postfix настройка OpenDKIM