最近幫公司更換 mail server,因為原本使用 Synology 內建的 mail server 功能,發現彈性小,問題多,公司又不想花錢買 mail server,所以只好自己研究一番,遇到許多雷也一一解決,因次寫這篇心得文來記錄一下,本篇不教怎麼安裝 hmailserver (因為安裝精靈會引導,非常簡單)。
一個好的 mail server 需要那些設定, mail server 並不是安裝起來,測試可收可寄就了事
如果只是安裝起來就開始用,容易遇到:
別人可能會仿造我方寄出的信
寄出去的信容易被歸類為垃圾郵件
收到病毒信沒有有效的防禦管道
收到大量垃圾郵件造成困擾
基本設定篇:
-DNS該做的事
A Record
建立一筆 Mail Server 的 A Record
說明:建立一筆 主機<->IP 對應,後續才能設定 MX Record
e.g. A mail 123.45.67.89
MX Record
說明:收信用,讓要寄送到我的網域的 Mail Server 知道我的 Mail Server IP 位置
設定 MX紀錄 對應 Mail Server 的 A Record
SPF Record
設定 SPF 的 IPv4 位置對應(有些DNS代管的TXT Record 不需要加上雙引號 ")
說明:SPF 作用為宣告我寄出去的信會從哪個 IP 發出 (SMTP協定如果只要寄信不需要設定 MX、A Record,所以沒設這條無法確認寄件者 IP 的合法性)
e.g. "v=spf1 ip4:123.45.67.89 mx -all" (要注意寄出IP位置如果和收信IP不同,不能只設定 mx,要加入 ip4)
PTR Record (IP 反解)
要上 ISP 網站去向提供你 IP 的業者申請 PTR 反解,驗證你發送 SMTP 出去的這個 IP 確實為你的 mail server domain 所用的 IP,減少被對方 mail server 當作垃圾郵件的機率
以中華電信為例,申請反解的位置&反解說明(這個說明已經很清楚就不用加長這篇文章的圖文量了): https://domain.hinet.net/dns_reverse_c/
進階設定篇:
防毒過濾引擎 - 以 Microsoft Security Essentials、Kaspersky、NOD32 為例 (如果之後有機會測試別家防毒會陸續新增,也歡迎網友提供)
1. 安裝防毒軟體,並查詢你的防毒軟體有支援 指令指定掃描 模式(要能夠停用自動刪除檔案功能,最好能停用即時掃描,檢測到病毒的後續處理是 hmailserver,不是防毒軟體)
2. 設定 hmailserver 的外部程式參數和位置、檢測到病毒的回傳值,郵件檔案變數為 %FILE% (每家防毒軟體都不一樣,請參考官方文件)
Kaspersky Endpoint Security 設定方式:
命令列指令:"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Endpoint Security 10 for Windows SP2\avp.com" scan "%FILE%" /i0 /R:C:\mail_scan_log\report.txt
傳回值:102
Kaspersky Free 設定方式:
命令列指令:"C:\Program Files (x86)\Kaspersky Lab\Kaspersky Free 19.0.0\avp.com" scan "%FILE%" /i0 /R:C:\mail_scan_log\report.txt
傳回值:2
Microsoft Security Essentials 設定方式:
命令列指令:"C:\Program Files\Microsoft Security Client\MpCmdRun.exe" -Scan -ScanType 3 -File "%FILE%" -DisableRemediation
傳回值:2
NOD32 設定方式 (參考 https://support.eset.com/kb3417/):
命令列指令:"C:\Program Files\ESET\ESET NOD32 Antivirus\ecls.exe" /mail "%FILE%" /log-file=C:\mail_scan_log\report.txt
傳回值:50
垃圾郵件過濾引擎 - 以 SpamAssassin 為例
1. 從 www.jam-software.com 下載並安裝 SpamAssassin for Windows (這是收費軟體(能夠用服務以背景執行),但如果以視窗模式執行則免費)
2. 安裝好後執行 spamd.exe 開始視窗模式
3. 設定 hmailserver 的垃圾郵件設定把 SpamAssassin 打勾即可
可以按測試來檢查 hmailserver 有沒有正確和 spamd.exe 通訊
安裝 OpenSSL for Windows (以便稍後設定 DKIM 和 加密憑證)
1. 從 slproweb.com 下載並安裝 OpenSSL (選 Light 版即可)
2. 新增 OpenSSL 的 bin 路徑至環境變數內 (e.g. C:\OpenSSL-Win64\bin)
設定 DKIM 簽章
說明:利用非對稱金鑰的特性,由我的 Mail Server 的 private key 編碼的 DKIM Header 如果能被我在DNS宣告的 public key 正確解開,能證明信件確實是從我的 mail server 發出的(SPF只能認證到OSI第四層,DKIM的方式能認證到OSI應用層第七層)
使用 openssl 產生 public key 與 private key
openssl.exe genrsa -out gmail.com.private 1024
openssl.exe rsa -in gmail.com.private -out gmail.com.public -pubout -outform PEM
進入 DNS 新增一筆 TXT Record
主機名稱格式為 "<selector name>._domainkey"
值格式為 "k=rsa;p=<你的公開金鑰>" (<你的檔案名稱>.public 裡面的金鑰)
待 DNS 生效後(使用 nslookup -q=txt <selector name>._domainkey.<你的網域名稱> 查詢),至 hmailserver 設定並啟用 DKIM
設定 DMARC (示範介面為 Hinet DNS 代管,但是 Hinet 的 DNS 代管不支援底線開頭的 TXT Record ,要設定這筆請轉用別家,或自架 DNS Server)
說明:DMARC 作用為 當 SPF 或 DKIM 驗證失敗時,要向哪個單位通知,讓管理者知道誰在仿冒我的郵件網域,設定 DMARC 前置條件為 設定完 SPF + DKIM
其中 p 參數有三種模式, 讓收信方參考的規則:
none : 無規則
quarantine: 隔離,假如信件沒通過 SPF & DKIM 檢查,將信隔離(放到垃圾信匣)
reject: 拒絕,假如信件沒通過 SPF & DKIM 檢查,將信拒絕(直接丟棄或拒連)
e.g. "v=DMARC1; p=reject; rua=mailto:admin@gmail.com"
-建立自我簽署憑證啟用加密傳輸
1. 使用 openssl 建立自我簽署憑證
openssl req -nodes -new -x509 -keyout mailserver.key -out mailserver.cert
2. 匯入憑證至 hmailserver
3. 設定 SMTP、POP3 使用加密憑證(下圖是我的設定,供參考)
都設定完成後,可以寄一封信到 Gmail ,透過檢視原始郵件可以驗證設定是否正確
參考資料:
http://slproweb.com/products/Win32OpenSSL.html
https://answers.microsoft.com/zh-hant/outlook_com/forum/osecurity-oother/%E5%AF%84%E4%BF%A1%E6%96%B9%E8%88%87%E6%94%B6/19e32c5d-9599-49da-b91b-768ff270d568
https://technet.microsoft.com/zh-tw/library/jj937231(v=exchg.150).aspx
http://jackli.logdown.com/posts/665785/hmailserver-added-dkim-records
https://support.google.com/a/answer/2466563?hl=zh-Hant
https://www.raidenmaild.com/tw/kb/how-to-setup-dmarc.html
SPF 測試工具:
http://ithelp.ithome.com.tw/articles/10023169
http://www.kitterman.com/spf/validate.html
留言列表
Ruby on Rails (3)