Dizanje Mail servera, Postfix, Dovecot i Roundcube integracija

[Shwele]

Poz ekipo,

Ovih dana imam projekat da dignem mail server i kao što u naslovu stoji tako nešto mi je u glavi za realizaciju. Problem je što je jako pipav posao sa konfiguracijom istog, barem je meni u par navrata bilo špansko selo za neke manje stvari. Ideja je da imam sređen postfix admin panel i preko njega sređujem accountove, da se ne bakćem previše preko CMD-a za tako trivialne stvari kao dodavanje domaina, accounta etc etc.

Gore pomenuto je ono meni poznato, sad da li je optimalno, podelite vaša iskustva i tutorijale ako imate za konfigurisanje mail servera. Svrha istog će biti da ga koriste klijenti koji će imati svoje kontakte unutar civicrm-a i slati newsletter preko istog, a pričamo o nekima koji će imati preko 20k kontakata. Preko SMTP-a će biti konektovani na ovaj mail server koji planiram da konfigurišem i tako šalje taj newsletter koristeći kontakt listu iz baze.

Moja konkretna pitanja su:

1. smernice/uputstva koja mogu da ispratim za konfigurisanje ubuntu/debian mail servera?
2. Specifikacije bi bile 2CPU/4CPU, 8/16GB rama i 16/32GB SSD-a , neka od varijacija je moguca, a kapiram i dovoljna za pomenute potrebe.

Unapred hvala svima

 

[Hatori]

Naleteo sam na ovo uputstvo kad sam se zezao sa tim stvarima: How To Run Your Own Mail Server doduše u pitanju je FreeBSD, ali proradilo je na Debianu. Ima dosta toga po netu vezano za Debian, ali iz nekog razloga većina ne radi.

 

[Commander]

VestaCP i vozi… ja tako radim.

 

[Shwele]

Vladimir:

VestaCP i vozi… ja tako radim.

Ok digao sam VestaCP.

2 problema:
1.ne radi roundcube na SSL-u iz nekog razloga, izbacuje 404

u /etc/rc.local sam jedino dodavao:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 80 -j REDIRECT --to-port 8083
iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8083

Jedino kada je radio je na portu 80, ali to nije moguće zato sto sve je forced SSL za domain, drugačije ne bih tbh.

u roundcube configu sam stavio force i use SSL sa false na true, i dalje isto

i dalje pokazuje default vesta 404 page

1. SMTP povezivanje za civicrm ne prolazi, ni na jednom portu

dobijam gresku za 465 i 587

Failed to connect to test.example.com:587 [SMTP: Failed to connect socket: Connection refused (code: -1, response: )]

Za 25

authentication failure [SMTP: STARTTLS failed (code: 220, response: 2.0.0 Ready to start TLS)]

Exim4 sam naknadno manuelno konfigurisao:
How To Install the Send-Only Mail Server “Exim” on Ubuntu 12.04 | DigitalOcean

 

[Mikulino]

Koja je verzija php

PS
goo.gl/UtCKPB

 

[Shwele]

7.0

mislim da se nisam mnogo zezao sa konfiguracijom sem sto sam dodao putanje:

include_path="/usr/bin/php"
include_path="/usr/bin/pear"

Budući da je to moglo biti problem.

 

[Mikulino]

Pre bi rekao da je ovo greška php-a i pogledaj na sajtu vestacp kako pravilno da iskonfigurišeš mail server

 

[Commander]

Kako si instalirao SSL za mail?

 

[Shwele]

Vladimir:

Kako si instalirao SSL za mail?

Hm, to mi je proslo kroz glavu, uzeo sam certbot i potpisao za domain, linkovao sam nove sertifikate na putanji /usr/local/vesta/ssl
Stare sam samo digao za folder vise.
Vratio sam stare, 587 port ne prolazi, javlja:
authentication failure [SMTP: STARTTLS failed (code: 220, response: TLS go ahead)]

No. Email encryption and code signing require a different type of certificate than the Let’s Encrypt CA is issuing.

Dakle ovo je ocigledno problem.

 

[Shwele]

Da li uopste postoje neki nacin za free domain sertifikat koji izdaje i za mail, da bi mogao da testiram ovo? :1

Imam jedan outdated server koji mi je urucen, na njemu je istekao sertifikat ali SMTP prolazi bez problema ova provera.
Problem je sto firma zeli novi koji cu odrzavati, a da gasimo taj, pa stoga ovaj pokusaj. Ako bas mora da se kupi da onda pokrenem pricu oko kupovine, ali prvo mi treba radna test okolina.

 

[Commander]

Nemam vremena da sednem da ti odgovorim…

Default sertifikat za exim u VestaCP ne postoji, ta mogućnost je najavljena ali kada će biti ne zna se. Postoji manuelan način instalacije ssl za exim, pogledaj ovde Exim and TLS - Vesta Control Panel - Forum takođe imaš na forumu i objašnjenje za LetsEncrypt.

Dodatni problem u konfiguraciji možda stoji jer si naknadno instalirao exim, ne znam zašto nisi odma tako uradio, ako nemaš ništa bitno na server reinstaliraj ga čisto da budeš siguran da nije do te naknadne instalacije.

Ja imam trenutno 4 servera pojedinačno svuda instaliran VestaCP i sve je u redu sa sertifikatima i sa SMTP-om.

 

[Shwele]

Opusteno, nisam ni ja imao vremena da se bavim ovim, a kada sam imao, problemi pa čekićao. Sada imam konkretno problem za koji mogu da pitam makar. Provera sa MX Lookup Tool - Check your DNS MX Records online - MxToolbox kaze:

View attachment 5135
smtp vestacp.domain.org Reverse DNS Resolution - No PTR Record found
View attachment 5136
More Info
View attachment 5135
smtp vestacp.domain.org Warning - Does not support TLS.
View attachment 5136
More Info
View attachment 5135
smtp vestacp.domain.org 6.166 seconds - Warning on Connection time
View attachment 5136
More Info
View attachment 5135
smtp vestacp.domain.org 8.566 seconds - Not good! on Transaction Time
View attachment 5136
More Info
Mailovi prolaze sa roundcube, ali ne mogu ih konektujem na outlook, SMTP ne radi sem porta 25 bez autentifikacije.

Videcu da sredim i postfix posto sad malo gori pod nogama ovo, pa javljam :1

 

[Mikulino]

Izgleda da PTR pravi problem
Pogledaj na [SOLVED] Reverse DNS Resolution - No PTR Record found vestacp - Vesta Control Panel - Forum kako da rešiš taj problem

 

[Shwele]

Serveri su nam u MCloud koji ima PTR record na nivou servera. A PTR uopšte ne mogu da dodam u njihov DNS kao rekord…

Videcu neki drugi domain ako imam na iditati.com pa u njihovom DNS-u da sredim.

 

[Shwele]

izgleda ni godaddy nema PTR record za dodavanje.

Probao sam preko SPF-a, ali prema RFC4408 je odbijeno

 

[Dragan]

@Shwele
Što se tiče podešavanja mail servera, tu ne mogu pomoći pošto nisam upućen u detalje, @Vladimir održava mail servere pa neka odgovori kada bude imao vremena…znam da je trenutno u frci sa vremenom, nema ga ni na forumu.
Međutim, ono što sam hteo da napomenem je problem sa VestaCP…pre 10-ak dana nam je napravio strahovit problem, do stepena da su 2 domena/servera otišla off, zato što ih je naš provajder kod kojeg imamo dedicated server prosto morao da isključi. Razlog za isključenje: odlazni saobraćaj preko mail servera za 24 sata je skočio na celih 150 GB, što je nenormalno, naročito zato što su to poslovni mail serveri, svaki na svom domenu sa prilično malim dolaznim i odlaznim saobraćajem.
Nakon mozganja, čupanja kose i probnih testiranja na klot instalacijama šta je to što je moglo da krene po zlu, Vlada i ja smo odlučili da likvidiramo đubre sa svih servera/domena…naš definitivan zaključak je da je VestaCP bušan i šupalj ko sito.
Napominjem da Vlada godinama održava mail servere, i da mu se nikada nije desilo da server poludi na takav način.

 

[Commander]

Nemam ni sad mnogo vremena pa ću se truditi da budem što precizniji u odgovorima.

1. Briši VestaCP sa svih produkcionih mašina kako znaš i umeš. Sve lepo i bajno radi… i bušan je ko švajcarski sir, da ne idem u objašnjavanje kakav exploit je meni napravljen, doduše šteta nije načinjenja osim što sam morao da selim server na drugi hosting, materijalne štete nema jer sam reagovao u roku od sat vremena.
2. Povezivanje outlook-a neće da prođe jer ti je SSL “samo-potpisan” tj generisan od strane računara a ne agencije koja izdaje sertifikate. Outlook se tu mnogo folira i ne dozvoljava (uz previše gimnastike) da se eskivira ta “greška”. Ne znam zašto se u 2018 godini petljaš i dalje sa Outlook-om, osim ako nemate na nivou organizacije 365, onda OK sve ostalo je teško sranje. Ja sam probao na silu da proguram mejl kroz (licenciran 365) outlook i nije mi uspelo, pa sam batalio.
3. Podešavanja PTR-a se radi isključivo kod provajdera kod kojeg HOSTUJEŠ/IZNAJMLJUJEŠ server, a ne kod registranta kod kojeg si kupio/zakupio svoj domen. GD-y nusi opciju upisivanja PTR-a samo ako si kod njih kupio neki VPS/Cloud paket, u protivnom ne postoji osnov da ti ponudi PTR jer nemaš hosting kod njih.
4. Čudi me da mCloud nema upisivanje PTR-ova za cloud rešenja, to je elementarna stvar i čak maleni preprodavci imaju takve opcije, jer jednostavno ta opcija je neophodna za mnoge stvari. Međutim ako mCloud drži “SVOJ” globalni PTR… to je bezveze i za sve ove godine nisam čuo još za takav slučaj, ako je istina batali ih momentalno i pređi kod normalnog provajdera, u protivnom proveri ti još jednom za PTR zapise gde se upisuju kod njih, ako ne kontaktiraj support njihov oni će ti reći u roku od par minuta/sati…
5. Obrati pažnji prilikom postavke PTR-a… ako imaš centralni server na kojem hostuješ samo email, onda postaviš globalni PTR za svoje mejlove i svi ostali serveri se konektuju na mail.tvojmejlserver.rs koji se hostuje na posebnom serveru. Ukoliko hostuješ mejl server na istom serveru na kojem hostuješ i sajtove i imaš više od jednog vHost-a, u tom slučaju dodaješ samo i isključivo samo 1 PTR zapis (neki provajderi nude dodavanje više PTR zapisa po serveru)… ti uvek koristiš jedan default, jer u protivnom stvaraš nepravilan HELLO i javlja se loop prilikom komunikacije tvojeg servera sa “ostatkom sveta”, posledica je, da ne možeš da pošalješ mejl.

Kada je postavljen jedan PTR na jednom serveru na kojem je sve (mejl, vhost, bind, mx, dns, panel…) u tom slučaju se generiše PTR za hostname tog servera primer:

Hostname servera je : jupiter.domen1.rs

Na serveru se hostuje 3 virtuelna sajta, domen1.rs ; domen2.rs ; domen3.rs

PTR servera je jupiter.domen1.rs:192.168.100.1

Ispravna konfiguracija mejl podataka za ovaj način povezivanja bi bila:

Hostname: domen1.rs
Username: [email protected]
SMTP: mail.domen1.rs
IMAP: mail.domen1.rs

Hostname: domen2.rs
Username: [email protected]
SMTP: mail.domen1.rs
IMAP: mail.domen1.rs

Hostname: domen3.rs
Username: [email protected]
SMTP: mail.domen1.rs
IMAP: mail.domen1.rs

Dakle kao što vidiš povezivanje je uvek ka vHost-u koji je hostanem nosilac i koji je PTR nosilac ujedno. Sve drugo rezultovaće ti sa nepravilnim radom mejl servera. Ovo je primer kada ti je sve na jednom mestu.

Kada imaš 3 servera i svaki server ima svoj mejl server na njemu i samo jedan vHost onda se postavlja za svaki domen različit PTR.

Shwele:

Probao sam preko SPF-a, ali prema RFC4408 je odbijeno

Nisam te razumeo ovo oko SPF-a, kakve veze SPF ima sa PTR-om? To su sasvim dve različite stvari i nema veze jedno sa drugim. SPF potpis služi za samo za autorizaciju tvog servera na mreži odnosno da se predstavi i kaže “svoje ime i prezime” prilikom komunikacije sa drugim serverima kao vrsta sigurnosti da je pošta došla baš sa tvog servera a ne sa lažnog.

PTR služi da tvoj hostname poveže sa tvojom IP adresom i ništa više (osim što služi za rejting mejl servera…)…

 

[Shwele]

Dragane, Vladimire, hvala za upozorenje
I još više na obrazloženju.

Već sam uzeo da dižem postfix pre par dana, po uputstvu sto je Hatori okacio pa cu videti gde zavrsim. Za sad mi daje pigeonhole glavobolje i neka skripta sto nece da se izvrši.

@Vladimir , ako nije private po cemu si konfigurisao svoje mail servere, baci uputstva ako imas bookmarked slučajno.

Nisam te razumeo ovo oko SPF-a, kakve veze SPF ima sa PTR-om? To su sasvim dve različite stvari i nema veze jedno sa drugim. SPF potpis služi za samo za autorizaciju tvog servera na mreži odnosno da se predstavi i kaže “svoje ime i prezime” prilikom komunikacije sa drugim serverima kao vrsta sigurnosti da je pošta došla baš sa tvog servera a ne sa lažnog.

Dok sam kopao sam negde naleteo da moze da se koristi kroz TXT record, tj u spf se stavi ptr: pa IP. No to je ancient nešto na šta sam nabasao i probao.

1. Čudi me da mCloud nema upisivanje PTR-ova za cloud rešenja, to je elementarna stvar i čak maleni preprodavci imaju takve opcije, jer jednostavno ta opcija je neophodna za mnoge stvari. Međutim ako mCloud drži “SVOJ” globalni PTR… to je bezveze i za sve ove godine nisam čuo još za takav slučaj, ako je istina batali ih momentalno i pređi kod normalnog provajdera, u protivnom proveri ti još jednom za PTR zapise gde se upisuju kod njih, ako ne kontaktiraj support njihov oni će ti reći u roku od par minuta/sati…

Imaju ali DNS im je preko web interfejsa. I od dostupnih rekorda nemas PTR, nego je integrisan kroz sam server, gde ubacis domain name za PTR record kroz server interfejs. Što znači da azure server na kome mi je mail ne mogu nikako da namestim da ima PTR record. Dakle samo jedan PTR record po serveru, to sa 3 razlicita domena mogu da zaboravim.

Ja bi i selio servere možda kad bi imao vremena, al posao zove na druge stvari.

 

[OgnjenIT]

Pozz,

predlozio bih ti da sledeci put instlairas Zimbra mail server (Zimbra Collaboration Open Source) . Radi odlicno na Ubuntu 16.04, jaka podrska i redovan update/upgrade.
Instalirao sam na 2 produkciona servera i 3 stelt insternal servera. (Uglavnom ljudi potenciraju da se instalira na CentOS zbog duze podrske, al za sada ja se ne micem dalje od Ubunta )

Sto se tice resolve dns-a, ja bih predlozio da posaljes zahtev provider-u na email da ti podesi resolve dns i to mu dodje to (tako ja radim u slucaju SBB-a, Telekom-a i Orion-a)

 

[Shwele]

Aplicirao sam za zimbru, ali na kraju sam ipak išao po ovom uputstvu, razumem konfiguraciju i radi posao.
A Mailserver on Ubuntu 16.04: Postfix, Dovecot, MySQL – Ex Ratione
Odličan sajt, radi konfiguracije od ubuntu 12.04 , svaku LTS obrade i dodaju sa novim bagovima/poboljšanjima.

Za sad je sve peachy, jedino mi dmarc record sad jede govna, nisam ga do sada kofigurisao pa ne znam šta treba. Deluje kao da nije enkriptovan sa kljucem dkima iako dkim radi?

"v=DMARC1; p=none; rua=mailto:[email protected]; adkim=r; aspf=r; pct=100; sp=none"
Verification details:

[LIST]
[*]mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=merge.civicatalyst.org [email protected] header.b=QldYJ5JW; dkim-atps=neutral
[*]mail-tester.com; dmarc=permerror header.from=merge.civicatalyst.org
[*]mail-tester.com; dkim=pass (1024-bit key; unprotected) header.d=merge.civicatalyst.org [email protected] header.b=QldYJ5JW; dkim-atps=neutral
[*]From Domain: merge.civicatalyst.org
[*]DKIM Domain: merge.civicatalyst.org
[/LIST]

Više na linku: Spam Test Result (odlican sajt za testiranje mail rekorda potrebnih, preporuka svima koji nisu znali)