Postfix Mailgateway: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
 
(8 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt)
Zeile 1: Zeile 1:
=Ziel=
+
*[[Postfix Mailgateway rspamd]]
In dieser Übung wird ein Mailgateway (mail-gw.it2XX.int) in der DMZ eingerichtet.
 
Es übernimmt folgende Aufgaben:
 
* Annahme eingehender Mails von außen (Port 25)
 
* Weiterleitung an den internen Mailserver (mail.it2XX.int)
 
* Spamfilterung und Virenscanning mit Rspamd und ClamAV
 
* DKIM-Signierung ausgehender Mails
 
* SPF- und DMARC-Validierung
 
 
 
Die Architektur sieht wie folgt aus:
 
Internet → mail-gw.it2XX.int [Postfix + Rspamd + ClamAV] → mail.it2XX.int [Postfix + Dovecot] → LAN [Clients]
 
 
 
=Netzkonfiguration MAILGW-Server (DMZ)=
 
{| class="wikitable" style="background-color: #f2f2f2;"
 
! Parameter !! Wert !! Erläuterung
 
|-
 
| '''Netzwerk (NIC)''' || DMZ || Interface-Zuweisung in VirtualBox
 
|-
 
| '''IP''' || 10.88.2XX.49 || Statische IP
 
|-
 
| '''CIDR''' || 24 || Classless Inter-Domain Routing Präfixlänge
 
|-
 
| '''GW''' || 10.88.2XX.1 || GATEWAY
 
|-
 
| '''NS''' || 10.88.2XX.21 || Resolver
 
|-
 
| '''FQDN''' || mail-gw.it2XX.int || Fully Qualified Domain Name
 
|-
 
| '''SHORT''' || mail-gw || Short Name
 
|-
 
| '''DOM''' || it2XX.int || Domain Name
 
|}
 
 
 
;Anpassen des Templates
 
*[[Anpassen des Debian Templates]]
 
oder
 
debian-setup.sh -f mail-gw.it2XX.int -a 10.88.2XX.49/24 -g 10.88.2XX.1 -n 10.88.2XX.21
 
 
 
=Einfügen in die ~/.ssh/config=
 
;als kit user
 
;Auf dem Host über den ProxyJump eintragen
 
Host mail-gw.it2XX.int
 
  HostName 10.88.2XX.49
 
  User kit
 
  ProxyJump fw.it2XX.int
 
 
 
=Postfix als Relay=
 
==Warum kein "Internet Site"?==
 
Bei der Postfix-Installation wählen wir '''No configuration''', da der mail-gw kein finaler Empfänger ist.
 
Er nimmt Mails an und leitet sie weiter – er speichert keine Mailboxen.
 
Die komplette Konfiguration erfolgt manuell.
 
 
 
==Installation==
 
apt install postfix
 
no configuration
 
 
 
==Konfiguration==
 
;Wichtige Parameter im Überblick
 
{| class="wikitable"
 
! Parameter !! Bedeutung
 
|-
 
| <code>mydestination =</code> || Leer – der Gateway ist für keine Domain finaler Empfänger
 
|-
 
| <code>relay_domains</code> || Domains für die Mails weitergeleitet werden
 
|-
 
| <code>transport_maps</code> || Definiert wohin die Mail für welche Domain geht
 
|-
 
| <code>mynetworks</code> || Nur localhost darf Mails einliefern (kein Open Relay)
 
|-
 
| <code>smtpd_relay_restrictions</code> || Verhindert Missbrauch als Open Relay
 
|}
 
 
 
* vi /etc/postfix/main.cf
 
<pre>
 
compatibility_level = 3.9
 
myhostname = mail-gw.it2XX.int
 
myorigin = /etc/mailname
 
mydomain = it2XX.int
 
 
 
smtpd_banner = $myhostname ESMTP $mail_name (Debian)
 
biff = no
 
inet_protocols = ipv4
 
inet_interfaces = all
 
 
 
# Kein finaler Empfaenger
 
mydestination =
 
mailbox_size_limit = 0
 
recipient_delimiter = +
 
 
 
# Relay
 
relay_domains = it2XX.int
 
transport_maps = hash:/etc/postfix/transport
 
 
 
# Netzwerk
 
mynetworks = 127.0.0.0/8
 
 
 
# TLS
 
smtpd_tls_key_file = /etc/ssl/own.key
 
smtpd_tls_cert_file = /etc/ssl/own.crt
 
smtpd_tls_security_level = may
 
smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt
 
smtp_tls_security_level = may
 
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
 
 
 
smtpd_relay_restrictions = permit_mynetworks defer_unauth_destination
 
</pre>
 
 
 
==Mailrouting==
 
;Warum eckige Klammern?
 
Die eckigen Klammern um <code>[mail.it2XX.int]</code> verhindern einen MX-Lookup.
 
Postfix liefert die Mail direkt an diesen Host – ohne DNS-Umweg über den MX-Record.
 
 
 
* echo "it2XX.int  smtp:[mail.it2XX.int]:25" > /etc/postfix/transport
 
* postmap /etc/postfix/transport
 
* postfix reload
 
 
 
=Rspamd und ClamAV=
 
==Warum auf dem Gateway?==
 
Spam- und Virenfilterung gehört auf den Gateway – nicht auf den Mailserver.
 
Schädliche Mails werden abgewiesen bevor sie den internen Mailserver überhaupt erreichen.
 
Der Mailserver bleibt sauber und hat weniger Last.
 
 
 
==Installation==
 
apt install rspamd clamav-daemon clamav-freshclam redis-server swaks
 
 
 
==Dienste starten==
 
systemctl enable rspamd clamav-daemon redis-server --now
 
 
 
==Redis-Anbindung==
 
Redis dient als Gedächtnis für Rspamd – für Bayes-Filter, Greylisting und den ClamAV-Cache.
 
 
 
* vi /etc/rspamd/local.d/redis.conf
 
<pre>
 
servers = "127.0.0.1:6379";
 
</pre>
 
 
 
==Rspamd Controller absichern==
 
;Passwort erzeugen
 
rspamadm pw
 
 
 
;In die Controller-Konfiguration eintragen
 
* vi /etc/rspamd/override.d/worker-controller.inc
 
<pre>
 
password = "$2$...";
 
bind_socket = "*:11334";
 
</pre>
 
 
 
systemctl restart rspamd
 
 
 
;Webinterface
 
* http://10.88.2XX.49:11334
 
 
 
==Einbinden in Postfix==
 
Rspamd hängt sich als Milter zwischen Empfang und Weiterleitung.
 
Jede eingehende Mail wird erst von Rspamd geprüft, bevor Postfix sie an mail.it2XX.int weiterleitet.
 
 
 
postconf -e "smtpd_milters=inet:127.0.0.1:11332"
 
postconf -e "non_smtpd_milters=inet:127.0.0.1:11332"
 
postfix reload
 
 
 
==ClamAV-Anbindung==
 
;Warum UNIX Socket?
 
Der UNIX Socket ist schneller als TCP und bleibt lokal – kein Netzwerkoverhead.
 
 
 
* vi /etc/clamav/clamd.conf
 
<pre>
 
# TCP deaktiviert
 
#TCPSocket 3310
 
#TCPAddr 127.0.0.1
 
 
 
# UNIX Socket
 
LocalSocket /var/run/clamav/clamd.ctl
 
LocalSocketMode 666
 
</pre>
 
 
 
* vi /etc/rspamd/override.d/antivirus.conf
 
<pre>
 
enabled = true;
 
clamav {
 
    type = "clamav";
 
    symbol = "CLAM_VIRUS";
 
    servers = "/var/run/clamav/clamd.ctl";
 
    scan_text_mime = true;
 
    scan_mime_parts = true;
 
    min_size = 0;
 
    scan_unauthenticated = true;
 
    stream = true;
 
    score = 20.0;
 
}
 
</pre>
 
 
 
systemctl restart rspamd clamav-daemon
 
 
 
=SPF=
 
==Was ist SPF?==
 
SPF (Sender Policy Framework) legt fest, welche Mailserver berechtigt sind, Mails für eine Domain zu versenden.
 
Der Empfänger prüft beim Eingang ob der sendende Server in der SPF-Liste der Absenderdomain steht.
 
Steht er nicht drin, gilt die Mail als verdächtig.
 
 
 
==DNS-Eintrag==
 
Der SPF-Eintrag wird als TXT-Record in der DNS-Zone eingetragen.
 
* vi /etc/bind/db.it2XX.int  (auf ns.it2XX.int)
 
<pre>
 
it2XX.int.  IN  TXT  "v=spf1 mx a:mail-gw.it2XX.int ~all"
 
</pre>
 
 
 
;Bedeutung der Parameter
 
{| class="wikitable"
 
! Parameter !! Bedeutung
 
|-
 
| <code>v=spf1</code> || SPF Version 1
 
|-
 
| <code>mx</code> || Der MX-Eintrag der Domain ist berechtigt
 
|-
 
| <code>a:mail-gw.it2XX.int</code> || Dieser Host ist explizit berechtigt
 
|-
 
| <code>~all</code> || Alle anderen sind Softfail (verdächtig, aber nicht abgewiesen)
 
|}
 
 
 
rndc reload
 
 
 
=DKIM=
 
==Was ist DKIM?==
 
DKIM (DomainKeys Identified Mail) signiert ausgehende Mails kryptografisch.
 
Der Empfänger prüft die Signatur anhand des öffentlichen Schlüssels im DNS.
 
Wurde die Mail unterwegs verändert, schlägt die Prüfung fehl.
 
Rspamd übernimmt das Signieren automatisch.
 
 
 
==Schlüsselpaar erzeugen==
 
mkdir -p /var/lib/rspamd/dkim
 
rspamadm dkim_keygen -s mail -d it2XX.int -k /var/lib/rspamd/dkim/it2XX.int.mail.key > /var/lib/rspamd/dkim/it2XX.int.mail.pub
 
chown -R _rspamd:_rspamd /var/lib/rspamd/dkim
 
 
 
==Rspamd DKIM-Signing konfigurieren==
 
* vi /etc/rspamd/local.d/dkim_signing.conf
 
<pre>
 
enabled = true;
 
domain {
 
    it2XX.int {
 
        path = "/var/lib/rspamd/dkim/it2XX.int.mail.key";
 
        selector = "mail";
 
    }
 
}
 
</pre>
 
 
 
systemctl restart rspamd
 
 
 
==DNS-Eintrag==
 
Den Public Key aus der .pub-Datei in den DNS eintragen:
 
cat /var/lib/rspamd/dkim/it2XX.int.mail.pub
 
 
 
Der Inhalt sieht etwa so aus:
 
<pre>
 
mail._domainkey.it2XX.int IN TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
 
</pre>
 
 
 
Diesen Eintrag auf ns.it2XX.int eintragen:
 
nsupdate -k /etc/bind/rndc.key << EOF
 
server 127.0.0.1
 
zone it2XX.int
 
update add mail._domainkey.it2XX.int 3600 TXT "v=DKIM1; k=rsa; p=MIIBIjANBgkq..."
 
send
 
EOF
 
 
 
rndc reload
 
 
 
=DMARC=
 
==Was ist DMARC?==
 
DMARC (Domain-based Message Authentication, Reporting and Conformance) verbindet SPF und DKIM.
 
Es legt fest was passieren soll wenn SPF oder DKIM fehlschlägt – und wer einen Bericht bekommt.
 
Ohne DMARC können SPF und DKIM einzeln umgangen werden.
 
 
 
==DNS-Eintrag==
 
* vi /etc/bind/db.it2XX.int  (auf ns.it2XX.int)
 
<pre>
 
_dmarc.it2XX.int.  IN  TXT  "v=DMARC1; p=none; rua=mailto:postmaster@it2XX.int"
 
</pre>
 
 
 
;Bedeutung der Parameter
 
{| class="wikitable"
 
! Parameter !! Bedeutung
 
|-
 
| <code>v=DMARC1</code> || DMARC Version 1
 
|-
 
| <code>p=none</code> || Nur beobachten, nichts abweisen (zum Einstieg)
 
|-
 
| <code>rua=</code> || Adresse für Aggregat-Reports
 
|}
 
 
 
!!!'''Wichtig'''!!! <code>p=none</code> ist nur für den Anfang. Sobald SPF und DKIM stabil laufen auf <code>p=quarantine</code> oder <code>p=reject</code> umstellen.
 
 
 
rndc reload
 
 
 
=Test=
 
==Testmail senden==
 
swaks --to martha@it2XX.int --from test@it2XX.int --server mail-gw.it2XX.int
 
 
 
==DKIM prüfen==
 
swaks --to martha@it2XX.int --from test@it2XX.int --server mail-gw.it2XX.int | grep DKIM
 
 
 
==Logs==
 
journalctl -u postfix -f
 
journalctl -u rspamd -f
 
 
 
==GTUBE Spam-Test==
 
swaks --to martha@it2XX.int --server mail-gw.it2XX.int --body "XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X"
 
 
 
==EICAR Virus-Test==
 
rspamc --ip 1.2.3.4 /tmp/virus.eml
 
 
 
=Ports und Dienste=
 
{| class="wikitable"
 
! Dienst !! Port !! Protokoll
 
|-
 
| Postfix SMTP (eingehend) || 25 || TCP
 
|-
 
| Rspamd Proxy (Milter) || 11332 || TCP
 
|-
 
| Rspamd Worker || 11333 || TCP
 
|-
 
| Rspamd Controller (WebUI) || 11334 || TCP
 
|-
 
| Redis || 6379 || TCP
 
|}
 
 
 
[[Kategorie:Mail]]
 
[[Kategorie:Security]]
 
[[Kategorie:DMZ]]
 

Aktuelle Version vom 6. Juni 2026, 10:33 Uhr

Abgerufen von „http://wiki.ixheim.de/index.php?title=Postfix_Mailgateway&oldid=70766