Настраиваем SMTP сервер на CentOS 7

Обработка почты является важной задачей, которая должна выполняться на многих серверах Linux, независимо от того, какую конкретную услугу они предоставляют. Во многих случаях этим службам часто нужно отправлять почту. Вот почему вам необходимо настроить сервер для пересылки почты на центральный почтовый сервер. В этой статье вы узнаете, как это сделать.

Основы email

Настройкае среды для обработки электронной почты помогает понять, что там происходит. В этом разделе вы узнаете о различных ролях, которые могут иметь участники процесса электронной почты. Вы также о процессе передачи электронной почты. 

Понимание ролей в обработке почты

В обработке почты участники могут иметь разные роли:

■ MTA (message transfer agent): MTA является агентом передачи сообщений. Это часть почтового решения, которая доставляет сообщения с почтового сервера на почтовый сервер. MTA использует SMTP-протокол для отправки сообщений на другие серверы в Интернете. Чтобы найти сервер, который должен использоваться для этой цели, используется MX-запись в DNS. Основное общение по электронной почте в Интернете происходит только между серверами MTA.

■ MDA (message delivery agent): когда MTA получает сообщение, предназначенное для одного из локальных пользователей, оно передается агенту доставки сообщений (MDA). Конечная цель MDA - доставить сообщение в почтовый ящик пользователя; Для этой цели могут использоваться разные программы. Если ничего не настроено, сообщение доставляется в почтовый ящик пользователя Linux, который существует локально на сервере, куда поступает почта. В RHEL или CentOS расположение по умолчанию для этого MDA - /var/spool/mail/$USER.

■ MUA (mail user agent): когда пользователь хочет отправить или прочитать почту, используется почтовый пользовательский агент (MUA). Обычно это программа, которую использует пользователь, например, почтовый клиент командной строки; текстовый пользовательский интерфейс, например Mutt, Pine или Elm; или графический клиент Evolution или Thunderbird.

Другая важная для понимания роль - это машина, на которой запущен нулевой клиент.
Такая машина не способна принимать какие-либо сообщения, но у нее есть вся конфигурация, необходимая для отправки почтовых сообщений другим хостам. Типичная рабочая станция конечного пользователя будет настроена как нулевой клиент. На нулевых клиентах это обычно происходит с использованием узла ретрансляции (relay host).

Процесс передачи электронной почты

На каждом сервере по умолчанию запущен процесс почтового сервера. Этот процесс запускается почтовым сервером Postfix. В конфигурации по умолчанию этот процесс почтового сервера может отправлять сообщения на другие почтовые серверы в Интернете при условии, что конфигурация DNS для домена почтового сервера правильная.

Обычно, если IP-адрес почтового сервера может быть преобразован обратно в доменное имя, в котором находится почтовый сервер, почтовый сервер может отправлять сообщения другим MTA в Интернете. Однако почтовый сервер по умолчанию не может получать сообщения.

Чтобы отправить электронное письмо, клиентское приложение (такое как Mutt или Evolution) связывается с сервером исходящей почты. Этот почтовый сервер ретранслирует хост в конечный пункт назначения. Для этого почтовый сервер просматривает файл /etc/nsswitch.conf, чтобы увидеть, где он должен искать в первую очередь поиск имени. Затем он использует файл /etc/hosts или DNS для поиска записи MX для домена, на который отправляется сообщение. Например, если вы отправите мне электронное письмо по адресу mail@max-ko.ru, ваш MTA найдет запись MX max-ko.ru. Эта запись MX определяет правильный почтовый сервер, и если целевой почтовый сервер настроен для приема входящих сообщений, он доставляет сообщение в почтовый ящик конечного пользователя.

Сервер исходящей почты может быть настроен так, чтобы требовать аутентификацию внутреннего клиента.

Почтовый сервер получателя по умолчанию доставляет сообщение в почтовый ящик пользователя получателя, который находится в /var/spool/mail/$ USER. Если получатель является пользователем, к сообщению можно получить доступ с помощью клиента командной строки, такого как Mutt, или вы даже можете просмотреть содержимое файла с помощью средства просмотра текстовых файлов. Например cat /var/spool/mail/user, чтобы увидеть, есть ли почта для пользователя user в спуле.

Во многих почтовых решениях клиент не имеет доступа к облочке на сервере, которая обрабатывает входящую почту, поэтому для этого используется дополнительная служба. Как правило, службы Dovecot или Cyrus предоставляют пользователям доступ к почтовым ящикам и добавляют такие функции, как загрузка сообщений с использованием Post Office Protocol (POP) или доступ к почтовым ящикам через Internet Message Access Protocol (IMAP).

Рисунок 1 иллюстрирует, что происходит во время процесса электронной почты.
На рисунке пользователь консоли на сервере server1.example.com хочет отправить сообщение на user2@example.org. Чтобы доставить это сообщение, выполняются следующие шаги:

1. user1@server1.example.com использует почтовый клиент для написания сообщения.
2. userо тправляет сообщение, которое затем обрабатывается локальным процессом Postfix.
3. Локальный процесс Postfix настроен как нулевой клиент и передает сообщение smtp.example.com, который действует как узел ретрансляции.
4. smtp.example.com выполняет поиск MX-записей в DNS, чтобы определить, что server2.example.org настроен для обработки входящей почты, например, example.org.
5. Сообщение пересылается на server2.example.org.
6. server2.example.org доставляет сообщение в локальный почтовый ящик пользователя, который находится в /var/spool/mail/$ USER.
7. user использует MUA, который настроен на использование IMAP для извлечения сообщения из локального почтового ящика.

Решения для почтовых серверов

В Linux доступны различные решения для почтовых серверов. В прошлом почтовый сервис Sendmail был самым распространенным почтовым сервером Linux. Он был сложным, и использовал синтаксис, который было трудно понять. Хоть это было и сложно, Sendmail стал стандартом для обработки почты в Linux. Postfix был разработан для совместимости с Sendmail, но проще в настройке.

Postfix используется в качестве почтового сервиса. Postfix состоит из различных процессов, каждый из которых решает конкретные задачи. Процессы управляются главной службой Postfix, которая читает файл конфигурации /etc/postfix/master.cf, чтобы узнать, какие службы используются для конкретных задач. Такой подход делает Postfix модульным и подключаемым; при необходимости легко заменить один конкретный сервис другим сервисом.

Некоторые примеры процессов Postfix перечислены в таблице 1, а в листинге 1 приведено частичное содержимое файла конфигурации /etc/postfix/master.cf.

Листинг 1.Частичное перечисление файла конфигурации /etc/postfix/master.cf

[root@kvm postfix]# head -n 20 master.cf
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       n       -       -       smtpd
#smtp      inet  n       -       n       -       1       postscreen
#smtpd     pass  -       -       n       -       -       smtpd
#dnsblog   unix  -       -       n       -       0       dnsblog
#tlsproxy  unix  -       -       n       -       0       tlsproxy
#submission inet n       -       n       -       -       smtpd
#  -o syslog_name=postfix/submission
#  -o smtpd_tls_security_level=encrypt
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_reject_unlisted_recipient=no

Конфигурирование Postfix

Чтобы настроить Postfix, вам нужно изменить соответствующие параметры.

Все параметры Postfix находятся в файле конфигурации /etc/postfix/main.cf. Проблема состоит в том, что этот файл содержит много параметров, которые позволяют вам настраивать Postfix для множества различных вариантов использования.

Параметры Postfix можно настроить с помощью команды postconf, а в качестве альтернативы их можно изменить непосредственно в файле конфигурации /etc/postfix/main.cf. В следующих подразделах вы узнаете, какие параметры важны и как их использовать для настройки Postfix для ретрансляции почты.

При работе с параметрами Postfix рекомендуется использовать команду postconf. Файл /etc/postfix/main.cf может содержать много строк, в результате чего параметры легко пропустить. Использование команды postconf позволяет избежать ошибок.

Для начала вы можете использовать команду postconf без каких-либо опций, которая показывает список всех действующих на данный момент настроек (включая настройки по умолчанию, не видимые в main.cf). grep позволяет вам легко найти аргумент, который вам нужно изменить.

Если после команды postconf следует имя определенного параметра, этот конкретный параметр будет показан. Чтобы изменить параметры postconf, вы можете использовать опцию -e, за которой следует параметр и его предполагаемое значение. Используйте, например, postconf -e 'inet_protocols = ipv4', чтобы установить значение параметра inet_protocols в ipv4. В листинге 2 показан частичный вывод команды postconf.

Листинг 2

[root@kvm postfix]# postconf | head -n 20
2bounce_notice_recipient = postmaster
access_map_defer_code = 450
access_map_reject_code = 554
address_verify_cache_cleanup_interval = 12h
address_verify_default_transport = $default_transport
address_verify_local_transport = $local_transport
address_verify_map = btree:$data_directory/verify_cache
address_verify_negative_cache = yes
address_verify_negative_expire_time = 3d
address_verify_negative_refresh_time = 3h
address_verify_poll_count = ${stress?1}${stress:3}
address_verify_poll_delay = 3s
address_verify_positive_expire_time = 31d
address_verify_positive_refresh_time = 7d
address_verify_relay_transport = $relay_transport
address_verify_relayhost = $relayhost
address_verify_sender = $double_bounce_sender
address_verify_sender_dependent_default_transport_maps = $sender_dependent_default_transport_maps
address_verify_sender_dependent_relayhost_maps = $sender_dependent_relayhost_maps
address_verify_sender_ttl = 0s

Понимание основных параметров

В конфигурации Postfix много параметров. Лишь немногие действительно имеют значение для настройки среды, в которой почту можно пересылать на центральный почтовый сервер. В таблице 2 представлен их обзор.

Таблица 2

Первый параметр, который нужно рассмотреть, это inet_interfaces. По умолчанию он в режиме loopback only. В этом нет ничего плохого, если ваш почтовый сервер должен отправлять только исходящую почту (что обычно имеет место, если Postfix работает на компьютере с ролью нулевого клиента), но если вы хотите настроить свой сервер для приема электронной почты, вы должны указать IP-адрес или адреса, которые будет прослушивать ваш процесс Postfix, к примеру  inet_interfaces = 10.0.0.1, localhost.

Параметр myorigin используется для перезаписи источника сообщения. Если пользователь user на server1.example.com отправляет сообщение, настройка по умолчанию заставляет сообщение выглядеть как user@server1.example.com. Обычно часть адреса хоста пропускается в адресе получателя, так что сообщение приходит с user@example.com. (Получателям электронной почты, как правило, не важно, с какого сервера было отправлено сообщение.) Для этого используются переменные. Для параметра myorigin по умолчанию установлено значение $myhostname. Измените его на $mydomain, чтобы доменная часть отображалась только в заголовке сообщения.

Очень важной частью конфигурации является настройка relayhost. Узел ретрансляции, как правило, является центральным почтовым сервером, для которого настроены более сложные параметры безопасности и который обеспечивает отправку сообщений электронной почты на другие узлы SMTP в Интернете. Использование узла ретрансляции стало более распространенным явлением в качестве попытки усиления безопасности, связанной с электронной почтой.

Чтобы переслать все сообщения на центральный ретранслятор, укажите здесь имя этого хоста. Поведение по умолчанию заключается в том, что Postfix будет выполнять поиск записей MX DNSе. Если вы просто указываете имя хоста, поместите его в квадратные скобки, чтобы не выполнять поиск DNS.

Параметр mydestination важен для получения сообщений, а не для отправки сообщений. Адреса электронной почты для доменов, перечисленных здесь, доставляются в локальные почтовые ящики.

Вам необходимо настроить сервер Postfix с параметром mydestination, чтобы он знал имена всех доменов, за которые он отвечает. В частности, вам необходимо это сделать, если на вашем почтовом сервере размещено несколько разных почтовых доменов. Убедитесь, что вы включили доменные имена для всех доменов, для которых ваш почтовый сервер получает сообщения.

Параметр local_transport также предназначен для получения почтовых серверов. Его можно использовать для указания имени локального адресата для дальнейшей обработки сообщений. Вы можете использовать его, например, для обработки сообщений спам-фильтром перед их доставкой в почтовый ящик пользователя.

Параметр inet_protocols важен, если вы настраиваете свою собственную тестовую среду. По умолчанию Postfix использует IPv6. Это означает, что поиск DNS для имен хостов которые используются (например, relayhost) также выполняются через IPv6. Если у вас есть DNS-сервер, который не был настроен для IPv6, доставка электронной почты не удастся. Простым решением этой проблемы является использование только IPv4. Для этого обязательно установите inet_protocols = ipv4. Если ваш почтовый сервер используется в среде, где DNS доступен и настроен для обработки IPv4, а также трафика IPv6, вам не нужно изменять этот параметр.

Наконец, параметр mynetworks используется для указания списка IP-адресов и сетей, разделенных запятыми, которым разрешено передавать сообщения на ваш сервер. Это базовая защита от злоупотреблений, когда в фиксированной сети будут приниматься только узлы в их собственной сети, а сообщения от всех остальных не будут обрабатываться.

Хотя использование этого параметра повышает безопасность вашего сервера, он не облегчает работу мобильных пользователей. Пользователи, которые будут подключаться к неизвестным сетям WiFi, должны будут использовать почтовый сервер, который предоставляется в этой конкретной сети WiFi, потому что ваш почтовый сервер их отклонит. Если вы хотите использовать этот параметр для усиления безопасности, вы можете рассмотреть возможность использования VPN, который гарантирует, что пользователи всегда будут подключаться из знакомых сетей.

Настройка Postfix для пересылки почты

Чтобы настроить параметры почтового сервера, которые вы хотите использовать, вы можете либо отредактировать содержимое /etc/postfix/main.cf напрямую, либо использовать команду postconf. Если используется без каких-либо аргументов, команда postconf выводит список всех (816 шт.) параметров конфигурации, которые использует Postfix. Если вы используете grep, вы легко найдете параметр, который необходимо изменить. Вы также можете использовать postconf для изменения настроек, используя параметр -e, за которым следует настройка, которую вы хотите изменить. Упражнение 1 показывает, как это сделать.

Упражнение 1.Изменение параметров Postfix с помощью postconf

1. На сервере server1 войдите под рутом и введите postconf. Вы увидите длинный список всех настроек Postfix.
2. Введите postconf myorigin. Команда покажет текущее значение настройки myorigin.
3. Введите postconf mydomain, чтобы проверить текущее значение параметра mydomain.
4. Введите postconf -e 'myorigin = $mydomain', чтобы изменить значение параметра myorigin.
5. Повторите команду postconf myorigin. Обратите внимание, что пока ничего не изменилось.
6. Введите postfix check. Команда проверяет содержимое файла /etc/postfix/main.cf и предупреждает, если с ним что-то не так (всегда хороший выбор перед началом использования новой конфигурации).
7. Перезагрузите Postfix systemctl reload postfix и повторите шаг 5. Вы увидите, что настройка была изменена.
8. Введите postconf -n. Команда покажет все параметры с параметром, который отличается от значения по умолчанию.

Теперь, когда вы знаете, как изменять настройки в Postfix, давайте посмотрим, как настроить Postfix в так называемой конфигурации нулевого клиента. Как объяснялось ранее, это конфигурация, в которой пользователи могут запускать почтовые клиенты на нулевом клиенте, а нулевой клиент настроен для пересылки сообщений электронной почты на узел ретрансляции, но локальная служба Postfix не принимает входящую почту. В упражнении 2 вы настроите сервер server1 как нулевой клиент, а server2 как сервер, принимающий входящие сообщения.

Упражнение 2. Настройка нулевого клиента Postfix.

Обратите внимание, что в этом упражнении вы настраиваете два сервера. Задачи, которые вы выполняете на сервере server1, показывают, как настроить нулевого клиента. На server2 вы настраиваете почтовый сервер, который принимает входящие сообщения.

Для выполнения этого упражнения вам необходимо использовать службы DNS.

1. Войдите под рутом на server1.

2. Убедитесь, что вы можете резолвить server2, используя host server2.

3. Введите postconf -e 'relayhost = [server2.example.com]' для ретрансляции сообщений на server2.

4. Убедитесь, что ваш сервер может ретранслировать только те сообщения, которые отправляются с этого сервера, используя postconf -e 'inet_interfaces=loopback-only'.

5. Введите postconf mynetworks, чтобы убедиться, что будут приниматься только сообщения, полученные с IP-адреса loopback.
6. Введите postconf -e 'mydestination='. Этот параметр гарантирует, что Postfix на server1 не имеет назначений.

7. Отключите IPv6, используя postconf -e 'inet_protocols = ipv4'.

8. Введите postconf -e "mydomain = example.com", чтобы изменить источник каждого отправляемого сообщения.

9. Введите systemctl reload postfix, чтобы перезапустить сервер Postfix на сервере server1.

10. На сервере server2 используйте следующие команды, чтобы сервер мог получать сообщения, которые передаются сервером server1:

postconf -e 'inet_interfaces=all'
postconf -e 'mydestination = example.com,server2.example.com'
postconf -e 'inet_protocols = ipv4'

11. На server2 введите firewall-cmd --add-service smtp --permanent, а затем firewall-cmd --reload, чтобы добавить службу SMTP в файрвол.

Проверка конфигурации

Настройка нулевого почтового клиента, как описано выше, не сложна. Однако, если вы забудете изменить необходимый параметр, вы можете оказаться в конфигурации, которая не работает. Если это произойдет, полезно знать, где искать решение проблем. Следующие советы помогут вам найти проблему:

■ На отправляющем почтовом сервере введите tail -f /var/log/maillog, чтобы посмотреть, что случилось с вашим сообщением. В листинге 2 показаны соответствующие строки из файла /var/log/ maillog, четко указывающие на то, что сообщение было успешно отправлено после попытки подключения к серверу, который не был доступен.

[root@server1 postfix]# tail /var/log/maillog
Apr 21 03:41:21 server1 postfix/postfix-script[1879]: starting the
Postfix mail system
Apr 21 03:41:21 server1 postfix/master[1884]: daemon started -- version
2.10.1, configuration /etc/postfix
Apr 23 03:30:26 server1 postfix/postfix-script[1662]: starting the
Postfix mail system
Apr 23 03:30:26 server1 postfix/master[1664]: daemon started -- version
2.10.1, configuration /etc/postfix
Apr 23 07:35:47 server1 postfix/pickup[6298]: 968D09B46BB: uid=0
from=<root>
Apr 23 07:35:47 server1 postfix/cleanup[6831]: 968D09B46BB: messageid=<20150423113547.968D09B46BB@server1.example.com>
Apr 23 07:35:47 server1 postfix/qmgr[1666]: 968D09B46BB: from=<root@
server1.example.com>, size=451, nrcpt=1 (queue active)
Apr 23 07:35:48 server1 postfix/smtp[6833]: connect to ASPMX.L.GOOGLE.
COM[2a00:1450:400c:c00::1a]:25: Network is unreachable
Apr 23 07:35:48 server1 postfix/smtp[6833]: 968D09B46BB: to=<mail@
sandervanvugt.nl>, relay=ASPMX.L.GOOGLE.COM[64.233.166.27]:25,
delay=1.1, delays=0.04/0.02/0.7/0.36, dsn=2.0.0, status=sent (250 2.0.0
OK 1429788948 fq4si13265111wjc.189 - gsmtp)
Apr 23 07:35:48 server1 postfix/qmgr[1666]: 968D09B46BB: removed

■ На отправляющем почтовом сервере введите postqueue -p, чтобы отобразить сообщения, все еще ожидающие доставки. Эта команда обычно показывает результаты, если у процесса Postfix на этом сервере возникла проблема с отправкой сообщений.

■ Если вы считаете, что исправили проблемы, на отправляющем почтовом сервере введите postqueue -f, чтобы очистить почтовую очередь. Это заставит Postfix немедленно отправлять все сообщения, все еще ожидающие в очереди. Сообщения, которые застряли в почтовой очереди, отправляются в конце концов, но в соответствии с настройками почтового сервера это может занять много времени. Таким образом, при анализе потока почты на вашем сервере имеет смысл немного помочь этому процессу.

■ На получающем почтовом сервере прочитайте /var/log/maillog. Если сообщение не может быть доставлено в целевой почтовый ящик, в этом журнале вы найдете объяснение, почему оно не может быть отправлено.

В упражнении 3 вы создадите небольшую проблему в доставке электронной почты, которая позволит применить некоторые решения для устранения неполадок.

Упражнение 3.

1. На server2 введите firewall-cmd --remove-service smtp --permanent, а затем firewall-cmd --reload.

2. На server1 введите mail -s test1 root@server2.example.com <.

3. На server2 проверьте, пришло ли сообщение, введя команду mail. Вы этого не увидите.

4. На server1 введите postqueue -p. Обратите внимание, что сообщение все еще ожидает в очереди исходящей почты. Кроме того, вы можете использовать команду mailq.

5. На сервере server1 введите tail /var/log/maillog. Вы увидите сообщение " no route to host", указывающее на то, что с целевым процессом почтового сервера невозможно связаться.

6. На server2 введите tail /var/log/maillog. Вы не увидите сообщений на сервере server2, потому что с почтовым сервером невозможно связаться.
7. На server2 выполните firewall-cmd --add-service smtp --permanent; firewall-cmd --reload.

8. На server1 введите postqueue -p. Вы увидите сообщение, все еще ожидающее в очереди почты.

9. На сервере server1 введите postqueue -f, чтобы очистить сообщения, которые в данный момент находятся в очереди. Это запускает почтовый сервер для отправки всех ожидающих сообщений.

10. На server1 введите postqueue -p. Вы не должны видеть больше сообщений, ожидающих в очереди.

11. На server2 введите mail. Вы увидите, что сообщение уже доставлено.

12. На server1 и server2 снова введите tail /var/log/maillog. Это позволяет увидеть, как выглядит сообщение, когда сообщение было успешно доставлено.

Подведём итоги

В этой статье вы узнали, как настроить базовую конфигурацию Postfix, в которой нулевой клиент Postfix настроен для пересылки сообщений на узел ретрансляции, который заботится о дальнейшей обработке сообщений. Эта статья не научит вас, как настроить полностью работающее решение Postfix, но даст основы.