Поднимаем свой почтовый сервер iRedMail за 10 минут

iRedMail – полноценный почтовый сервер с антивирусом, антиспамом, веб интерфейсом для пользователей и админов, который полностью состоит из открытого программного обеспечения и работает без каких-либо ограничений.

Предварительные требования:

1. Сервер или виртуальная машина с Ubuntu 20.04, root доступом и внешним ip-адресом;
2. Зарегистрированное доменное имя и доступ к редактору DNS зоны.

Обозначения:

Подготовка DNS-записей

Интерфейсы редакторов DNS могут отличаться друг от друга, но подход везде одинаковый. У каждого провайдера есть подробные инструкции.

Рассмотрим добавление DNS-записей на примере Яндекс.Коннект.

Переходим на сайт https://connect.yandex.ru/ и выбираем раздел «Админка».

В меню слева выбираем «Управление DNS».

Нажимаем на кнопку «Управление DNS» в блоке целевого домена.

Нажимаем «Добавить DNS-запись» и далее создаем (A, MX, DKIM, DMARC) записи.

Создаем А-запись

Запись служит для того, чтобы весь Интернет мог найти наш сервер по имени.

Хост:

Тип: A

Значение:

Создаем PTR

PTR - это обратная запись, которая связывает ip—адрес c доменным именем.

ВАЖНО! Прописывается на стороне провайдера, который предоставляет внешний адрес (Интернет). Часто делается по запросу в тех. поддержку провайдера.

Хост:

Тип: PTR

Значение:

Создаем MX-запись

MX-запись - ключевая запись, которая указывает на сервер, который отвечает за обработку электронной почты.

Хост: @

Тип: MX

Значение:

Создаем SPF-запись

Хост: @

Тип: TXT

Значение: v=spf1 a: –all

В данном примере мы разрешаем отправку почты только с одного сервера.

Создаем DKIM-запись

ВАЖНО! DKIM-запись мы создадим позже, после установки сервера.

Создаем DMARC-запись

Хост: _dmarc

Тип: TXT

Значение: v=DMARC1; p=reject; sp= none; adkim=s; aspf=s; rua=mailto:dmarc@; ruf=mailto:dmarc@

SPF, DKIM, DMARC записи предоставляют надежную защиту нашего домена от СПАМА и спуфинга.

Установка iRedMail

Подключаемся к серверу и переходим в режим суперпользователя sudo su.

Включаем файрвол и добавляем правила для работы нашего почтового сервера:

ufw --force enable && ufw allow proto tcp from any to any port 25,80,443,587,993,995

Задаем FQDN имя хоста:

hostnamectl set-hostname 

Скачиваем, распаковываем и устанавливаем iRedMail:

curl -OL https://github.com/iredmail/iRedMail/archive/1.4.2.tar.gz && tar zxf 1.4.2.tar.gz && cd iRedMail-1.4.2/ && bash iRedMail.sh

Нажимаем < Yes >.

Нажимаем < Next >.

Выбираем Nginx и нажимаем < Next >.

Выбираем MariaDB нажимаем < Next >.

Создаем пароль администратора MySQL и нажимаем < Next >.

Вводим и нажимаем < Next >

Создаем пароль админа почтового сервера и нажимаем < Next >.

Выбираем дополнительные компоненты.

• Roundcubemail - простой и быстрый почтовый веб клиент. Если Вам нужен только доступ к письмам с возможностью их фильтровать, то это будет лучший вариант.
• SOGo - почтовый веб клиент, который дополнительно поддерживает calendar (CalDAV), contacts (CardDAV) и ActiveSync. Если вам нужны календарь и адресная книга, которые будут синхронизироваться между мобильным почтовым клиентом или клиентом на ПК, то обязательно посмотрите на это решение.
• Netdata - мониторинг в режиме реального времени.
• iRedAdmin - дополнительная веб-панель администратора, помогающая управлять сервером iRedMail.
• Fail2ban - это программная среда для предотвращения вторжений, защищающая компьютеры и серверы от атак методом перебора.

Нажимаем < Next >

Если всё ввели правильно, нажимаем «y» и идем дальше.

Получаем «Let's Encrypt» сертификат

Установим Certbot (клиент протокола ACME предназначенный для автоматического управления SSL-сертификатами):

snap install --classic certbot

Регистрируем профиль:

certbot register -m support@ --no-eff-email --agree-tos

support@ - на данный ящик будут приходить уведомления о сроке действия сертификата.

Проверяем механизм получения сертификата:

certbot certonly --webroot --dry-run -w /var/www/html -d 

Если всё хорошо и никаких ошибок Вы не увидели, то получаем боевой сертификат:

certbot certonly --webroot -w /var/www/html -d 

Сделаем его доступным для наших сервисов:

chmod 0755 /etc/letsencrypt/{live,archive}

Добавим задание на обновление сертификата:

(crontab -l && echo -e "\n# Update server certificate\n1 3 * * * certbot renew --post-hook '/usr/sbin/service postfix restart; /usr/sbin/service nginx restart; /usr/sbin/service dovecot restart'") | crontab –

Здесь мы каждый день в 03 часа 01 минуту запускаем certbot, который проверяет необходимость перевыпуска сертификата. Если новый сертификат будет получен, то все зависимые службы будут перезапущены.

Заменит самоподписанный сертификат и ключ на только что полученные.

mv /etc/ssl/certs/iRedMail.crt{,.bak} &&
mv /etc/ssl/private/iRedMail.key{,.bak}
ln -s /etc/letsencrypt/live/ /fullchain.pem /etc/ssl/certs/iRedMail.crt
ln -s /etc/letsencrypt/live/ /privkey.pem /etc/ssl/private/iRedMail.key

Создаем DKIM-запись

На сервере выполняем:

sudo amavisd-new showkeys

Пример вывода:

amavisd-new showkeys
dkim._domainkey. mydomain.ru. 3600 TXT (
"v=DKIM1; p="
"MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK"
"txFUt0ec5+1dWmcDv0WH0qZLFK711sibNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok"
"FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5"
"EV711qseo/omquskkwIDAQAB")

Копируем блок из скобок, удалив переносы строк и кавычки.

В редакторе DNS создает TXT-запись со следующим содержанием:

Хост: dkim._domainkey

Тип: TXT

Значение: v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDYArsr2BKbdhv9efugByf7LhaK txFUt0ec5+1dWmcDv0WH0qZLFK711sibNN5LutvnaiuH+w3Kr8Ylbw8gq2j0UBok FcMycUvOBd7nsYn/TUrOua3Nns+qKSJBy88IWSh2zHaGbjRYujyWSTjlPELJ0H+5 EV711qseo/omquskkwIDAQAB

Перезапускаем сервер

reboot

Сервер полностью установлен и готов к работе.

Настройка почтового сервера

В каталоге со скаченным iRedMail после установки появится файл iRedMail.tips, в котором хранится вся информация о поднятых сервисах, логинах и паролях.

Рекомендация. После ознакомления лучше удалить файл, перенеся конфиденциальные данные в более надежное хранилище.

Переходим по адресу https:///iredadmin/ и авторизуемся под пользователем postmaster@

В интерфейсе переходим в и затем во вкладку Users.

Справа находим и нажимаем кнопку «+User».

Заполняем поля и нажимаем «Add».

После того как были заведены все пользователи, они могут настраивать почтовые клиенты или пользоваться почтой через веб интерфейс.

В зависимости от выбранных дополнительных компонентов, адреса будут:

https:///mail/

или

https:///SOGo/

Преимущества iRedMail

Для простоты понимания проведем сравнение с собственным почтовым сервером и бесплатным почтовым сервисом.

Сложность установки

Для установки iRedMail вам достаточно базовых навыков работы с Linux, сам сервер с ОС семейства Linux и немного времени для установки.

Сервер может быть физическим или в виде виртуальной машины, быть развернут локально или в облаке, например, у нас, Яндекс.Облаке или Azure.

Сложность сопоставима с использованием бесплатного почтового сервиса.

Стоимость

Стоимость будет зависеть от многих факторов, но почтовый сервер можно отнести к сервисам с низким потреблением ресурсов. У нас стоимость почтового сервера iRedMail начинается от 300 руб./мес.

Безопасность

Самый неоднозначный и индивидуальный пункт.

В случае с iRedMail или собственным почтовым сервером, Вы самостоятельно создаете и реализуете безопасность сервиса.

Стоит также отметить, что iRedMail из коробки поддерживает безопасные протоколы работы с почтой, а ещё преднастроенные антиспам фильтры и антивирус.

У любого же крупного провайдера, который предоставляет почтовый сервис, безусловно будут компетентные люди, которые следят за безопасностью. Возможно, у них будут использоваться более продвинутые и мощные инструменты защиты, но в любом случае Вы остаетесь серым пользователей, который может лишь принять общие правила.

Скорее всего Вы никогда не узнаете, что Ваши данные «утекли» или они всё ещё под угрозой «утечки», а ещё обрабатываются и являются источником для таргетированной рекламы.

Сюда ещё можно добавить отсутствие доступа к логам и дополнительную сложность к организации резервного копирования.