Установка и настройка почтового сервера

Все заметки имеют характер исследования. Упомянутые в заметках эксперименты проводились на ОС Debian. Пожалуйста не используйте слепое копирование примеров. Автор не гарантирует, что применение изложенной здесь информации не приведет к потере данных.

---

MTA (Mail Transfer Agent) - почтовый сервер, отвечающий за пересылку почты. Общается с внешним миром, принимая и отправляя почту таким же как он сам по всей мировой сети. "В тылу" у него, в пределах родных доменов трудится MDA.

---

MDA (Mail Delivery Agent) - рассовывает почту по ящикам, обычно внутри конкретного физического сервера - по каталогам (папкам) файловой системы, заданным настройками для этих целей. Кладовщик, расфасовщик и грузчик, привязанный к одному "складу". Кроме того, в описываемой здесь конфигурации выполняет роль вахтера-постового (проверяет пароль и дает "добро" или запрещает доставку почты).

---

MUA (Mail User Agent) - конечная программа просмотра ящиков и управления почтой для юзеров. Например Outlook, Bat, Gmail, или его родственник - RoundCube.

---

MSA (Mail Submission Agent) - "кусок" MTA, отнимающий у него функцию приема авторизованных SMTP-подключений перед отправкой почты.
MUA-клиент подключается на 587 порт MSA, проходит аутентификацию и все необходимые этапы (TLS и т.п.), и всю отправляемую почту отдает своему MTA. Такой механизм разделения обязанностей между 25 и 587 портом повышает надежность, оставляя на 25 порту только "чистые" MTA-функции.

---

LDA (Local Delivery Agent) - то же, что и MDA, но здесь "L" - это local (локальный). Основное отличие от MDA в том, что LDA не может сохранять почту на другом сервере.

---

SMTPd - Сервер, работающий по протоколу SMTP. Здесь - часть MTA. Основное назначение - принимать почту. Принимает ее только для того, чтобы тут же ее передать другим внутренним сервисам, обычно лишь ненадолго задерживая ее во временном внутреннем "отстойнике" - в очереди (в специальной папке на диске).

---

LMTPd - Тоже, что и SMTPd, но только "L" - это local (локальный). Сервер, работающий по протоколу LMTP. Здесь - часть MDA (+ клиент в MTA), - среднее звено из цепочки между менеджером очереди сообщений в Postfix-MTA и обработчиком почты в Dovecot-MDA/LDA. Здесь - работает над unix-сокетом (указывается полный путь к "файлу обмена"; на практике, в Postfix, настройка клиента lmtp может выглядеть например так: "lmtp:unix:/path/to/sock-file"). В некоторых задачах - конкурент LDA.

---

IMAPd - Сервер, работающий по протоколу IMAP. Здесь - часть MDA. Используется для доступа MUA в папки почтового ящика. Позволяет не хранить почту на клиенте, а работать с сервером в онлайн-режиме (этот его плюс, иногда бывает минусом).

---

SASL - это фреймворк (набор правил и механизмов) аутентификации. Работает ПОД протоколом (напр. LMTP), НАД соединением. В описываемой конфигурации используется в механизме передачи данных через unix-сокеты.

---

TLS/SSL - протоколы шифрования данных. В описываемой здесь конфигурации их использование обязательно для внешних подключений MUA.

---

MX - Прямая запись для почтового сервера (создается напр. на DNS регистратора домена). Примерно так: mail.domain.tld -> IP.IP.IP.IP

---

PTR - Обратная запись для сервера (настраивается со стороны подсети которой принадлежит IP сервер). Позволяет по IP определить связанное доменное имя. Важна для проверки спам-фильтрами. Примерно так: IP.IP.IP.IP -> mail.domain.tld

---

SPF - Запись в DNS перечисляющая сервера, которым разрешено отправлять почту от Вашего домена.

---

Postfix - MTA + дополнения. Говорят что он настолько крут, что автор за его взлом предлагает награду. Быстрый, надежный, простой в настройке, по сравнению с exim, но не такой как exim гибкий. Связка с Dovecot стала почти стандартом. Хорош для небольших почтовых систем (хотя недавно на глаза попался заголовок статьи о том, что - Microsoft выбирает Postfix :)). Дублирует некоторые функции Dovecot (которыми конечно можно не пользоваться).

Включает в себя (перечислено не всё):

• smtpd - сервер, к которому коннектятся другие сервера (порт 25), для того, чтобы отдать ему его почту
• smtp - сервис (клиент), который коннектится к другим серверам, чтобы отдать им их почту
• submission - сервис переопределяющий порт (с 25 на 587), к которому должен подключаться MUA для отправки почты
• qmgr - менеджер очереди сообщений, маэстро, который правит весь бал
• cleanup - упаковщик, педант, чистюля: дополняет заголовки, исправляет/дополняет/подчищает адреса и т.п.
• virtual, local - встроенные LDA (дублируют часть функций Dovecot)
• policyd-spf - запрашивает TXT-запись в DNS, и проверяет в SPF разрешения для подключающегося MTA
• postscreen - "пограничник", блокиратор зомби-компьютеров, эмулирующий SMTP-сессию и проводящий рад тестов SMTP-клиента
• Milter - фильтр (протокол), проверяющий SMTP события и команды, а также содержимое письма до попадания его в очередь (см. ниже краткое определение или подробнее, заметку Postfix - Milter, фильтрация до очереди)
• и пр.

Также, подробнее о Postfix, см. заметку Postfix - описание настроек, в контексте рассматриваемой конфигурации.

---

PostfixAdmin - Web-интерфейс к Postfix. Настройку Postfix на нем сделать невозможно, а вот создать домены/ящики, редактировать их свойства - как раз его работа. Хранит информацию в БД-SQL, которую использует его "папа" - Postfix, и даже Dovecot. Позволяет создать частичную автоматизацию пост-событий добавления/удаления/редактирования ящиков/доменов, которая ограничена возможностями стандартных прав пользователя Apache (хотя и здесь есть варианты). Есть два входа: для интерфейса суперадмина - domain.tld/postfixadmin, и для пользователей (например, чтобы отредактировать свои автоответчики) - domain.tld/postfixadmin/users. Впрочем второе может быть небезопасно для системы в целом.

---

ViMbAdmin - Альтернатива PostfixAdmin. Мне не понравилось в нем то, что для работы требует Zend Framework, Doctrine, Smarty, - и всё это обязательно устаревших версий! Т.е. установив последние версии рискуешь нарваться на глюки в его работе.

---

Dovecot - MDA + дополнения. Гибкий, имеет высокое быстродействие. Упор в разработке делался на безопасность. За взлом так же назначена награда от автора. :) Дублирует некоторые функции Postfix.

Состоит и поддерживает (перечислено не всё):

• imap listener - IMAP-сервер. См выше краткое определение.
• lmtp listener - LMTP-сервер. См выше краткое определение.
• ACL (Access Contfol List) - список контроля доступа См. ниже краткое определение или см. заметку Dovecot 2 - ACL.
• Sieve - язык правил для фильтрации писем. См. ниже краткое определение или см. заметку Dovecot 2 - Sieve.
• и пр.

См. заметку Dovecot 2 - описание настроек, в контексте рассматриваемой конфигурации.

---

Milter (Mail Filter) - почтовый фильтр. Здесь - часть Postfix. Реализован как поддержка протокола Sendmail 8 Milter, и позволяет обрабатывать SMTP-события (CONNECT, DISCONNECT), SMTP-команды (HELO, MAIL FROM, и т.д.), а также почтовый контент (headers, body), - до попадания письма в очередь. Присутствует в двух ипостасях - для smtpd и для не smtp почты.
См. заметку Postfix - Milter, фильтрация до очереди

---

ACL (Access Contfol List) - список контроля доступа. Часть Dovecot. Позволяет для виртуальных пользователей (пока только виртуальных) задавать права в стиле системных Unix-пользователей на IMAP-папки. Удобен для блокирования прав на некоторые папки ящиков обычным пользователям, и, наоборот - для расширения прав на ящики master-пользователю. ACL есть двух типов: ACL и IMAP-ACL. ACL - создается и поддерживается администратором. IMAP-ACL - создается и поддерживается пользователями при использовании IMAP.
См. заметку Dovecot 2 - ACL

---

Sieve - язык для написания правил предварительного анализа почты перед ее сохранением, и управлением дальнейшей судьбой сообщений. Работает в составе Dovecot. Позволяет задавать глобальные правила, а также пользовательские правила (ManageSieve), назначаемые себе пользователем самостоятельно.
См. заметку Dovecot 2 - Sieve

---

Postgrey - отсеивает входящую почту, путем проверки характера настойчивости отправляющих MTA. Не настойчивые - отбрасываются. Те, кто прошел проверку - попадают в белый список на какое-то продолжительное время (например месяц). В период экзамена учет ведется в "сером списке", после прохождения которого определяется дальнейшая судьба "экзаменуемых".
См. заметку Postfix - описание настроек, в контексте рассматриваемой конфигурации.

---

DKIM - цифровая подпись для исходящей почты. Не обязательный, но желательный элемент почтовой системы. Теоретически, - позволяет не только подтвердить связь отправителя с его доменом (через открытый ключ доступный прямо в DNS), но и то, что письмо не подвергалось изменениям в процессе доставки.
См. заметку Postfix - описание настроек, в контексте рассматриваемой конфигурации.

---

ClamAV - антивирус, проверяющий содержимое поступающих писем на предмет наличия в них вредоносного кода. Его антивирусные базы нужно постоянно пополнять.
См. заметку Postfix - описание настроек, в контексте рассматриваемой конфигурации.

---

Spamassassin - "оценщик" угрозы спама. Программа, которая по массе критериев назначает для каждого письма баллы (очки), по которым можно определить вероятность, - является ли письмо спамом. Оценка производится еще в Postfix, а решение может принимать уже Dovecot, например с помощью Sieve перемещая письма с высоким баллом вероятности спама в соответствующую папку.

---

Amavis/Amavis-new - Интерфейс-посредник, диспетчер, через который почтовая система может осуществлять ряд функций (вместо того чтобы осуществлять их напрямик). "Начальник цеха", заведующий антивирусами, фильтрами, цифровыми подписями, доступом на внешние сервисы и пр., пропускающий всю работу через себя.

---