تثبيت ودمج rspamd

هذا هو الجزء الثالث من إعداد خادم البريد وتكوينه. في هذا البرنامج التعليمي ، سنستعرض عملية تثبيت وتكوين نظام تصفية الرسائل غير المرغوب فيها في Rspamd ودمجها في خادم البريد الخاص بنا ، وإنشاء سجلات DKIM و DMARC DNS.

قد تسأل لماذا نختار الذهاب مع Rspamd وليس مع Spamassassin. يتم الحفاظ على Rspamd وكتابته في C بشكل أسرع وهو أسرع بكثير من Spamassassin المكتوب باللغة Perl. سبب آخر هو أن Rspamd يأتي مع وحدة توقيع DKIM لذلك لن نضطر إلى استخدام برنامج آخر لتوقيع رسائل البريد الإلكتروني الصادرة.

المتطلبات الأساسية

قبل المتابعة مع هذا البرنامج التعليمي ، تأكد من تسجيل الدخول كمستخدم لديه امتيازات sudo.

تثبيت Redis

سيتم استخدام Redis كنظام تخزين وتخزين مؤقت بواسطة Rspamd ، لتثبيته فقط تشغيل:

sudo apt install redis-server

تثبيت غير منضم

يعد برنامج Unbound أداة تحليل DNS آمنة ومتكررة ومخزنة مؤقتًا.

الغرض الرئيسي من تثبيت هذه الخدمة هو تقليل عدد طلبات DNS الخارجية. هذه الخطوة اختيارية ويمكن تخطيها.

sudo apt update sudo apt install unbound

يجب أن تكون إعدادات Unbound الافتراضية كافية لمعظم الخوادم.

لتعيين غير منضم مثل محلل DNS الأساسي لخادمك ، قم بتشغيل الأوامر التالية:

sudo echo "nameserver 127.0.0.1" >> /etc/resolvconf/resolv.conf.d/head sudo resolvconf -u إذا كنت لا تستخدم resolvconf فأنت بحاجة إلى تحرير ملف /etc/resolv.conf يدويًا.

تثبيت Rspamd

سنقوم بتثبيت أحدث إصدار ثابت من Rspamd من مستودعها الرسمي.

ابدأ بتثبيت الحزم اللازمة:

sudo apt install software-properties-common lsb-release sudo apt install lsb-release wget

أضف مفتاح GPG في مستودع التخزين إلى سلسلة مفاتيح المصادر المناسبة باستخدام الأمر wget التالي:

wget -O- https://rspamd.com/apt-stable/gpg.key | sudo apt-key add -

تمكين مستودع Rspamd عن طريق تشغيل:

echo "deb http://rspamd.com/apt-stable/ $(lsb_release -cs) main" | sudo tee -a /etc/apt/sources.list.d/rspamd.list

بمجرد تمكين المستودع ، قم بتحديث فهرس الحزمة وتثبيت Rspamd باستخدام الأوامر التالية:

sudo apt update sudo apt install rspamd

تكوين Rspamd

بدلاً من تعديل ملفات تهيئة الأسهم ، /etc/rspamd/local.d/local.d/ ملفات جديدة في الدليل /etc/rspamd/local.d/local.d/ الذي سيحل محل الإعداد الافتراضي.

افتراضيًا normal worker في Rspamd ، يستمع العامل الذي يقوم بمسح رسائل البريد الإلكتروني على جميع الواجهات على المنفذ 11333. قم بإنشاء الملف التالي لتكوين العامل العادي في Rspamd للاستماع إلى واجهة المضيف المحلي فقط:

/etc/rspamd/local.d/worker-normal.inc

bind_socket = "127.0.0.1:11333";

يستمع proxy worker على المنفذ 11332 ويدعم بروتوكول milter. لكي يتمكن Postfix من التواصل مع Rspamd ، نحتاج إلى تمكين وضع milter:

/etc/rspamd/local.d/worker-proxy.inc

bind_socket = "127.0.0.1:11332"; milter = yes; timeout = 120s; upstream "local" { default = yes; self_scan = yes; }

بعد ذلك ، نحتاج إلى إعداد كلمة مرور لخادم controller worker الذي يوفر الوصول إلى واجهة الويب Rspamd. لإنشاء كلمة مرور مشفرة:

rspamadm pw --encrypt -p P4ssvv0rD

يجب أن يبدو الإخراج بشيء من هذا القبيل:

$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb لا تنسَ تغيير كلمة المرور ( P4ssvv0rD ) إلى شيء أكثر أمانًا.

انسخ كلمة المرور من المحطة الطرفية والصقها في ملف التكوين:

/etc/rspamd/local.d/worker-controller.inc

password = "$2$khz7u8nxgggsfay3qta7ousbnmi1skew$zdat4nsm7nd3ctmiigx9kjyo837hcjodn1bob5jaxt7xpkieoctb";

بعد ذلك ، سنقوم بتهيئة Nginx كوكيل عكسي لخادم الويب الخاص بعامل التحكم بحيث يمكننا الوصول إلى واجهة الويب Rspamd.

قم بتعيين Redis كواجهة خلفية لإحصائيات Rspamd عن طريق إضافة الأسطر التالية إلى ملف classifier-bayes.conf :

/etc/rspamd/local.d/classifier-bayes.conf

servers = "127.0.0.1"; backend = "redis";

افتح الملف milter_headers.conf وقم بتعيين رؤوس milter:

/etc/rspamd/local.d/milter_headers.conf

use =;

يمكنك العثور على مزيد من المعلومات حول رؤوس milter هنا.

أخيرًا أعد تشغيل خدمة Rspamd لتصبح التغييرات نافذة المفعول:

sudo systemctl restart rspamd

تكوين Nginx

في الجزء الأول من هذه السلسلة ، أنشأنا كتلة خادم Nginx لمثيل PostfixAdmin.

افتح ملف تكوين Nginx وقم بإضافة توجيه الموقع التالي ، المظلل باللون الأصفر:

/etc/nginx/sites-enabled/mail.linuxize.com.conf

… location /rspamd { proxy_pass http://127.0.0.1:11334/; proxy_set_header Host $host; proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for; }…

أعد تحميل خدمة Nginx لتصبح التغييرات نافذة المفعول:

sudo systemctl reload nginx

توجه إلى https://mail.linuxize.com/rspamd/ ، وأدخل كلمة المرور التي rspamadm pw مسبقًا باستخدام الأمر rspamadm pw وسيتم تقديمك مع واجهة الويب Rspamd.

تكوين Postfix

نحن بحاجة إلى تكوين Postfix لاستخدام عامل تصفية Rspamd.

قم بتشغيل الأمر التالي لتحديث ملف التكوين الرئيسي لـ Postfix:

sudo postconf -e "milter_protocol = 6" sudo postconf -e "milter_mail_macros = i {mail_addr} {client_addr} {client_name} {auth_authen}" sudo postconf -e "milter_default_action = accept" sudo postconf -e "smtpd_milters = inet:127.0.0.1:11332" sudo postconf -e "non_smtpd_milters = inet:127.0.0.1:11332"

أعد تشغيل خدمة Postfix لتصبح التغييرات نافذة المفعول:

sudo systemctl restart postfix

تكوين Dovecot

لقد قمنا بالفعل بتثبيت Dovecot وتكوينه في الجزء الثاني من هذه السلسلة ، والآن سنقوم بتثبيت وحدة sieve التصفية ودمج Dovecot مع Rspamd.

ابدأ بتثبيت وحدة تصفية Dovecot:

sudo apt install dovecot-sieve dovecot-managesieved

بمجرد تثبيت الحزم ، افتح الملفات التالية وحرر الخطوط المميزة باللون الأصفر.

/etc/dovecot/conf.d/20-lmtp.conf

… protocol lmtp { postmaster_address = [email protected] mail_plugins = $mail_plugins sieve }… /etc/dovecot/conf.d/20-imap.conf

… protocol imap {… mail_plugins = $mail_plugins imap_quota imap_sieve… }… /etc/dovecot/conf.d/20-managesieve.conf

… service managesieve-login { inet_listener sieve { port = 4190 }… }… service managesieve { process_limit = 1024 }… /etc/dovecot/conf.d/90-sieve.conf

plugin {… # sieve = file:~/sieve;active=~/.dovecot.sieve sieve_plugins = sieve_imapsieve sieve_extprograms sieve_before = /var/mail/vmail/sieve/global/spam-global.sieve sieve = file:/var/mail/vmail/sieve/%d/%n/scripts;active=/var/mail/vmail/sieve/%d/%n/active-script.sieve imapsieve_mailbox1_name = Spam imapsieve_mailbox1_causes = COPY imapsieve_mailbox1_before = file:/var/mail/vmail/sieve/global/report-spam.sieve imapsieve_mailbox2_name = * imapsieve_mailbox2_from = Spam imapsieve_mailbox2_causes = COPY imapsieve_mailbox2_before = file:/var/mail/vmail/sieve/global/report-ham.sieve sieve_pipe_bin_dir = /usr/bin sieve_global_extensions = +vnd.dovecot.pipe…. }

احفظ وأغلق الملفات.

إنشاء دليل للبرامج النصية غربال:

mkdir -p /var/mail/vmail/sieve/global

قم بإنشاء مرشح غربال عالمي لنقل رسائل البريد الإلكتروني المميزة كدليل غير مرغوب فيه إلى دليل Spam :

/var/mail/vmail/sieve/global/spam-global.sieve

require; if anyof(header:contains "YES", header:contains "Yes", header:contains "*** SPAM ***") { fileinto:create "Spam"; stop; }

سيتم تشغيل النصين التاليين من الغربال عندما تنقل رسالة بريد إلكتروني إلى أو خارج دليل Spam :

/var/mail/vmail/sieve/global/report-spam.sieve

require; pipe:copy "rspamc"; /var/mail/vmail/sieve/global/report-ham.sieve

require; pipe:copy "rspamc";

أعد تشغيل خدمة Dovecot لتصبح التغييرات نافذة المفعول:

sudo systemctl restart dovecot

ترجمة البرامج النصية غربال وتعيين الأذونات الصحيحة:

sievec /var/mail/vmail/sieve/global/spam-global.sieve sievec /var/mail/vmail/sieve/global/report-spam.sieve sievec /var/mail/vmail/sieve/global/report-ham.sieve sudo chown -R vmail: /var/mail/vmail/sieve/

إنشاء مفاتيح DKIM

MailKeys Identified Mail (DKIM) هو أسلوب مصادقة للبريد الإلكتروني يضيف توقيع تشفير إلى رؤوس الرسائل الصادرة. وهو يتيح للمستلم التحقق من أن البريد الإلكتروني الذي يدعي أنه نشأ من مجال معين قد تم بالفعل تخويله بواسطة مالك هذا النطاق. الغرض الرئيسي من ذلك هو منع رسائل البريد الإلكتروني المزورة.

يمكن أن يكون لدينا مفاتيح DKIM مختلفة لجميع نطاقاتنا وحتى مفاتيح متعددة لنطاق واحد ، ولكن من أجل بساطة هذه المقالة ، سنستخدم مفتاح DKIM واحد والذي يمكن استخدامه لاحقًا لجميع النطاقات الجديدة.

قم بإنشاء دليل جديد لتخزين مفتاح DKIM وإنشاء زوج مفاتيح DKIM جديد باستخدام الأداة المساعدة rspamadm :

sudo mkdir /var/lib/rspamd/dkim/ rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub rspamadm dkim_keygen -b 2048 -s mail -k /var/lib/rspamd/dkim/mail.key | sudo tee -a /var/lib/rspamd/dkim/mail.pub

في المثال أعلاه ، نستخدم mail كمحدد DKIM.

يجب أن يكون لديك الآن ملفان جديدان في /var/lib/rspamd/dkim/ directory ، mail.key وهو ملف المفتاح الخاص بنا و mail.pub ملف يحتوي على المفتاح العمومي DKIM. سنقوم بتحديث سجلات منطقة DNS الخاصة بنا لاحقًا.

قم بتعيين الملكية الصحيحة والأذونات:

sudo chown -R _rspamd: /var/lib/rspamd/dkim sudo chmod 440 /var/lib/rspamd/dkim/*

نحتاج الآن إلى إخبار Rspamd عن مكان البحث عن مفتاح DKIM ، وسيتيح اسم المحدد والسطر الأخير توقيع DKIM لعناوين مرسل الاسم المستعار. للقيام بذلك ، قم بإنشاء ملف جديد بالمحتويات التالية:

/etc/rspamd/local.d/dkim_signing.conf

selector = "mail"; path = "/var/lib/rspamd/dkim/$selector.key"; allow_username_mismatch = true;

يدعم Rspamd أيضًا توقيع تواقيع السلسلة المستلمة (ARC). يمكنك العثور على مزيد من المعلومات حول مواصفات ARC هنا.

يستخدم Rspamd وحدة DKIM للتعامل مع تواقيع ARC حتى يمكننا ببساطة نسخ التكوين السابق:

sudo cp /etc/rspamd/local.d/dkim_signing.conf /etc/rspamd/local.d/arc.conf

أعد تشغيل خدمة Rspamd لتصبح التغييرات نافذة المفعول:

sudo systemctl restart rspamd

إعدادات DNS

لقد أنشأنا بالفعل زوج مفاتيح DKIM والآن نحتاج إلى تحديث منطقة DNS الخاصة بنا. يتم تخزين المفتاح العمومي DKIM في ملف mail.pub . يجب أن يبدو محتوى الملف كما يلي:

cat /var/lib/rspamd/dkim/mail.pub

mail._domainkey IN TXT ("v=DKIM1; k=rsa; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4yl" "nVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB");

v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGaVuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB

سنقوم أيضًا بإنشاء مصادقة الرسائل المستندة إلى المجال ( DMARC ) والتي صممت لإعلام خادم الاستقبال بقبول رسالة بريد إلكتروني من مرسل معين أم لا. بشكل أساسي ، ستحمي نطاقك من خداع المجال المباشر وتحسين سمعة المجال الخاص بك.

سننفذ سياسة DMARC التالية:

_dmarc IN TXT "v=DMARC1; p=none; adkim=r; aspf=r;"

دعونا نحطم سجل DMARC أعلاه:

• v=DMARC1 - هذا هو معرف DMARC p=none - هذا يخبر المتلقي ما يجب القيام به مع الرسائل التي تفشل DMARC. في حالتنا ، يتم ضبطها على لا شيء مما يعني عدم اتخاذ أي إجراء إذا فشلت الرسالة في DMARC. يمكنك أيضًا استخدام محاذاة 'رفض' أو quarantine adkim=r و aspf=r - DKIM و SPF ، r أجل Relaxed و s for Strict ، وفي حالتنا نحن نستخدم Relaxed Alignment لكل من DKIM و SPF.

كما كان من قبل إذا كنت تقوم بتشغيل خادم Bind DNS الخاص بك ، فأنت بحاجة فقط إلى نسخ السجل ولصقه في ملف منطقة المجال الخاص بك ، وإذا كنت تستخدم موفر DNS آخر ، فستحتاج إلى إنشاء سجل TXT باسم _dmarc كاسم و v=DMARC1; p=none; adkim=r; aspf=r; v=DMARC1; p=none; adkim=r; aspf=r; كقيمة / محتوى.

قد يستغرق نشر تغييرات DNS بعض الوقت. يمكنك التحقق من نشر السجلات باستخدام أمر الحفر:

dig mail._domainkey.linuxize.com TXT +short

"v=DKIM1; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAqdBRCqYzshc4LmmkxUkCH/rcIpSe/QdNIVmBrgqZmZ5zzWQi7ShdFOH7V32/VM1VRk2pkjDV7tmfbwslsymsfxgGhVHbU0R3803uRfxAiT2mYu1hCc9351YpZF4WnrdoA3BT5juS3YUo5LsDxvZCxISnep8VqVSAZOmt8wFsZKBXiIjWuoI6XnWrzsAfoaeGa" "VuUZBmi4ZTg0O4ylnVlIz11McdZTRe1FlONOzO7ZkQFb7O6ogFdepWLsM9tYJ38TFPteqyO3XBjxHzp1AT0UvsPcauDoeHUXgqbxU7udG1t05f6ab5h/Kih+jisgHHF4ZFK3qRtawhWlA9DtS35DlwIDAQAB"

dig _dmarc.linuxize.com TXT +short

"v=DMARC1; p=none; adkim=r; aspf=r;"

يمكنك أيضًا فحص سياسة DMARC الحالية لنطاقك أو إنشاء سياسة DMARC الخاصة بك هنا.

استنتاج

هذا كل شيء لهذا الجزء من البرنامج التعليمي. في الجزء التالي من هذه السلسلة ، سنستمر في تثبيت وتكوين RoundCube.

خادم البريد postfix dovecot dns rspamd

هذا المنشور جزء من إعداد وتكوين سلسلة خادم البريد.

وظائف أخرى في هذه السلسلة:

• إعداد خادم بريد باستخدام PostfixAdmin • تثبيت وتكوين Postfix و Dovecot • تثبيت وتكامل Rspamd • تثبيت وتكوين Roundcube Webmail