LDN и mail gate, и проксирование, и DKIM ...

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
цели:
- DKIM (SPF тоже, но ничего принципиального там нет)
- IMAP с SSL
- SMTP клиенты по SSL + серверный (через гейт)
- по дороге - letsencrypt для nginx и HAproxy

список средств:
- Ubuntu 22.04 (потому что LTS)
- (PMG)
-
- пакет с пакетами
- сам LDN 12.0.2 (хотя не принципиально) + traveler

Начну про дать членство в члены LXC:
- почему не doker - потому как и без него всего дохер ;). Лишние обвязки на пистоне и скрытая возня с yml - не хочется, а суть LXC останется. К тому же, шатано (для убунты) LXC идёт в составе snap (и так уже пакет с пакетами ;) )
- почему контейнер - это изоляция и спокойствие за пакеты хоста (PMG если и можно поставить на убунту - это будет очень...)
- общая картина ... ( )
поставить PMG в контейнер и прокинуть туда порты методом proxy (а не мантулить NAT на хосте). Почему: меньше возни: не нужно настраивать фискированый IP для контейнера, не нужно нагружать дополнительно netfilter хоста (бридж для контейнеров всё-рано будет), настраивать только "одним средством" (учитывая - файрвол в убунте нынче nftable)
проксирование портов можно сделать разными вариантами, я делал через
Пробрасываем порты: 25 (с внешнего интерфейса), 26 с локалхост
1678096110165.png

для малознакомых с линукс... это список прослушиваемых портов на адресах коста, по контексту можно увидеть - где домине, где контейнер, где нжинкс
важный момент при пробросе proxy - это параметр proxy_protocol: "true"
1678095219764.png

это для PMG - видеть адреса подключающихся внешних хостов, НО для этого - нужно попинать настройку postfix (в PMG)
в контейнере Debian11 (для PMG)

PMG
настройка через вебГУЙ (базовая) , тюнинг postfix через конфиги PMG (напрямую - неайс) их шаблоны копируются и правятся /etc/pmg/templates/main.cf.in
читать
настройки postfix
1678095620909.png

proxy_protocol - это для отображения адреса (см. выше)
*haeder_check - это вычищать заголовки с пом.

доп. детали следуют :)....
 
Последнее редактирование:
  • Нравится
Реакции: NetWood

aameno2

Lotus Team
27.01.2009
773
181
BIT
387
Любите вы контейнеры)
Для прокса + цеф замечу, что контейнеры грузят IO delay и весьма существенно.
Дешевле клонить машины получается
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
Любите вы контейнеры)
Для прокса + цеф замечу, что контейнеры грузят IO delay и весьма существенно.
Дешевле клонить машины получается
специфика..., в данном варианте сервер один и он VPS
 

aameno2

Lotus Team
27.01.2009
773
181
BIT
387
Бывает.
А скажите моншер, например у вас овер 2 релея. Внешний адрес у каждого ведь свой? Если адрес один, то налетаем на msg/per server.
Если свой, то что с обратной зоной и именем релея?
 

rinsk

Lotus Team
12.11.2009
1 156
126
BIT
43
Бывает.
А скажите моншер, например у вас овер 2 релея. Внешний адрес у каждого ведь свой? Если адрес один, то налетаем на msg/per server.
Если свой, то что с обратной зоной и именем релея?
Имхо что один, что несколько - рулятся через MX.
И обратная зона - проверяется на принадлежность к домену...
 
  • Нравится
Реакции: lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
доп. по архитектуре

VPS на ём убунта, внешний адрес один, т.к. VPS - никакой виртуализации и прочих прелестей "построения"
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
цели:
- DKIM (SPF тоже, но ничего принципиального там нет)
- IMAP с SSL
- SMTP клиенты по SSL + серверный (через гейт)
- по дороге - letsencrypt для nginx и HAproxy

список средств:
- Ubuntu 22.04 (потому что LTS)
- (PMG)
-
- пакет с пакетами
- сам LDN 12.0.2 (хотя не принципиально) + traveler

Начну про дать членство в члены LXC:
- почему не doker - потому как и без него всего дохер ;). Лишние обвязки на пистоне и скрытая возня с yml - не хочется, а суть LXC останется. К тому же, шатано (для убунты) LXC идёт в составе snap (и так уже пакет с пакетами ;) )
- почму контейнер - это изоляция и спокойствие за пакеты хоста (PMG если и можно поставить на убунту - это будет очень...)
- общая картина ... ( )
поставить PMG в контейнер и прокинуть туда порты методом proxy (а не мантулить NAT на хосте). Почему: меньше возни: не нужно настраивать фискированый IP для контейнера, не нужно нагружать дополнительно netfilter хоста (бридж для контейнеров всё-рано будет), настраивать только "одним средством" (учитывая - файрвол в убунте нынче nftable)
проксирование портов можно сделать разными вариантами, я делал через
Пробрасываем порты: 25 (с внешнего интерфейса), 26 с локалхост
Посмотреть вложение 67229
для малознакомых с линукс... это список прослушиваемых портов на адресах коста, по контексту можно увидеть - где домине, где контейнер, где нжинкс
важный момент при пробросе proxy - это параметр proxy_protocol: "true"
Посмотреть вложение 67226
это для PMG - видеть адреса подключающихся внешних хостов, НО для этого - нужно попинать настройку postfix (в PMG)
в контейнере Debian11 (для PMG)

PMG
настройка через вебГУЙ (базовая) , тюнинг postfix через конфиги PMG (напрямую - неайс) их шаблоны копируются и правятся /etc/pmg/templates/main.cf.in
читать
настройки postfix
Посмотреть вложение 67227
proxy_protocol - это для отображения адреса (см. выше)
*haeder_check - это вычищать заголовки с пом.

доп. детали следуют :)....
продолжение про LDN
"все" знают - в тырнет от домины только 1352 (ну по минимуму ;) )
но надо ещё 465 (SMTPS) и IMAPS (993)
мутить ч-то в домине (с сертами) и поддерживать - исключительно для "любителей" подобных практик
уже есть letsencrypt для нжинкс и им (логично)
уж "прастите" , но mail секцию нжинкс я не захотел (хотя пытался и даже собрал ), "ибо, ибо..." - короч. смысла не увидел ;) (если кто есть с альтернативным мироощущением - не стасняйтесь)
HAproxy - вполне-себе решает, более того - можно управлять всякими таймаутами (ну чтобы снизить возможность атаки на LDN, рассматривать не буду)
основной момент - домина не умеет в прокси (или я чего не знаю), поэтому реального адреса (клиента), в домине не увидеть
конфига для IMAP и SMTP ничем принципиальным отличатся не будет
1678112981640.png

если вас заинтересует - что закоменчено - а именно неумение домины обрабатывать заголовки прокси ;)
для SMTP мы увидим ещё маленькую деталь в самой домине - мутки с открытием 465 порта и активации (условной, ибо нативная она нам не уперлась) SSL
1678113221753.png

иначе домна будет "мстить" погадками в логи - типа не нашла интернет сайта для SSL (и это при обычных соединениях по 25 порту от PMG)
чего мы в итоге получили:
- соединения по SMTP через SSL для клиентов (с авторизацией)
- всё тоже для IMAP
смартхост (на 26 порт)ограничения для SMTP я не рассказал, но мне они кажутся очевидными...
ещё можно упомянуть резолвинг для контейнера...
т.к. мы имеем динамику для контейнера и уже устаканившийся адрес для бриджа - можем решить резолвинг для хоста (это нужно)
контейнер имеет имя (в нашем случае debian11.lxd , суффикс штатный)
выясняем адрес бриджа для контейнеров, например
1678113757745.png

и вкрячиваем его в резолвинг (dnsmasq коим пользуются контейнеры) адрес бриджа - понятно, "свой".
Теперь в домине можем смело прописывать адрес контейнера через имя (в тч в ограничениях)
1678114970199.png

тестировать SSL можно с помощью openssl (и в шинде,, я использую WSL)
1678114508979.png

далее "обычные" команды (как в телнете, см. гугл)
для IMAP аналогично
далее - будет немного про DKIM :)
 
Последнее редактирование:
  • Нравится
Реакции: NetWood

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
Чутка) Я уже нарисовал haproxy smtp с кучей релеев и озадачился.
В ожидании описание резки спама без всяких мерзких блеклистов ;)
это ПМЖ само - там спамассасин и т.п. (можно крутить яйца score)
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
далее - будет немного про DKIM
для DKIM настройки в PMG минимальны (и ДНС - тоже)
главное - не перепутать - "кто на ком стоял" :)
селектор выбирается по вкусу, домен - из нужных для маршрутизации
вот с ключами...
ключ генерится и самим PMG , но там есть нюансы
1678121688984.png

а потому "снаружи", если не хочется косоглазия в правильном оформление TXT домена
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
как посадить почки домину на порты - читаем вендора, делали так
1678122758529.png
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
Идем к хостеру VPS и просим его прописать нэйм на IP/ Делают PTR за 10 минут.
всё можно решить и самому, если ДНСы прописать, которые нормальный редактор зоны поддерживают
у нас
а ещё я тупо не искал
 
  • Нравится
Реакции: rinsk

aameno2

Lotus Team
27.01.2009
773
181
BIT
387
доступ к редактору зоны ptr ? ну тут вы батенька пошутили мне кажется
(можно крутить яйца score)
Не, ложно позитивных дофига будет. А вот заголовок X-Spam-Status имеет очень много вкусного.
После амависа отправляем на свой клинер и проверяем что в данное поле.
Если быть упорным, то можно получить в логах ачивку от спамеров, sukablad@блаблабла)
 
Последнее редактирование:
  • Нравится
Реакции: lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
доступ к редактору зоны ptr ? ну тут вы батенька пошутили мне кажется

Не, ложно позитивных дофига будет. А вот заголовок X-Spam-Status имеет очень много вкусного.
После амависа отправляем на свой клинер и проверяем что в данное поле.
Если быть упорным, то можно получить в логах ачивку от спамеров, sukablad@блаблабла)
ложно положительные, если не много таких отправителей - в исключение, если много - причину надо выцеплять
в ходе тестов (ССЛ) получал вполне обоснованное попадание к карантин ;) когда через CLI формировал "сам-себе" письма
др. словами - "свой" клинер мб выходом если отправители странные и их много ;) , но тогда придумывать (вот не уверен в успехе) к-то эвристику нужно или человека сажать за эту мутотень
 

aameno2

Lotus Team
27.01.2009
773
181
BIT
387
ложно положительные, если не много таких отправителей - в исключение, если много - причину надо выцеплять
в ходе тестов (ССЛ) получал вполне обоснованное попадание к карантин ;) когда через CLI формировал "сам-себе" письма
др. словами - "свой" клинер мб выходом если отправители странные и их много ;) , но тогда придумывать (вот не уверен в успехе) к-то эвристику нужно или человека сажать за эту мутотень
Ты включи дебаг и глянь на то, что в этом поле ;)
Сейчас спамер пошел культурный. дким, спф, обратная зона - все есть
 

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 985
611
BIT
466
Ты включи дебаг и глянь на то, что в этом поле ;)
Сейчас спамер пошел культурный. дким, спф, обратная зона - все есть
зачем дебаг? в трекере ПЖМ всё есть...
тем не менее - спам ранжироваться может либо ИИ (плохо получается) либо "руками"
вопрос всегда - разгребать ложноположительные, но тут от объёма и желания ;)
теоретически - можно "придумать" нейросетку и тренировать её, но кмк - оно того не стоит
Офис365 блочил нужные и не блочил спам, это я к тому- если копрпорасты на это забила - остальным оно и не уперлось
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!