E-mail è vecchio e complesso. È la più antica componente ancora riconoscibile di Internet, con la sua incarnazione moderna che si è coalizzata con diverse tecnologie di messaggistica vecchie di decenni, tra cui la messaggistica nodo-nodo ARPANET nei primi anni 1970., E anche se rimane una pietra miliare di Internet – l’originale killer app, davvero-è anche straordinariamente difficile da fare bene.
Interagiamo molto spesso con i server di posta elettronica attraverso front-end o applicazioni amichevoli basate sul Web, ma una quantità enorme di lavoro va a nascondere la complessità che consente all’intero sistema di funzionare. Funzioni di posta elettronica in un ambiente avvelenato e ostile, inondato da virus e spam., Lo scambio apparentemente semplice di messaggi basati su testo opera secondo regole complesse con strumenti complessi, tutti necessari per mantenere il veleno fuori e il sistema funzionante e utile nonostante l’abuso è costantemente sotto.
Dal punto di vista di una persona normale, l’e-mail sembra un problema risolto: registrati per accedere a Internet e il tuo ISP ti fornisce un indirizzo e-mail., Google, Mela, Yahoo, o qualsiasi numero di altri provider di posta elettronica gratuiti vi collegherà con account di posta elettronica con gigabyte di spazio e un sacco di funzioni a valore aggiunto fresco. Perché la battaglia con i draghi arcani a rotolare la propria soluzione di posta elettronica?
Ti dirò perché: perché se è nel cloud, non è tuo.
Perché devi fare affidamento su altri per la tua sicurezza., Non hai alcun controllo su chi può leggere la tua corrispondenza-devi consentire che i tuoi dati vengano estratti e il tuo profilo di marketing estratto. Non ti verrà detto se i tuoi metadati vengono raccolti o se la tua casella di posta viene aspirata da una richiesta segreta del governo. Acconsenti ad essere non un cliente ma un prodotto e un prodotto non ha diritti.
Beh, al diavolo. E ‘ la tua e-mail. E lo riprenderemo.
Questo è difficile e anche un po ‘ spaventoso…
E-mail è difficile. Se vuoi un progetto di amministratore di sistema più semplice, vai a configurare un server Web. E-mail è molto più complessa, con molte più parti in movimento., D’altra parte, la tua corrispondenza con gli altri è uno degli aspetti più personali della tua vita online—in un mezzo in definitiva fatto di testo, le tue parole sei tu. Vale la pena imparare come artigliare la tua vita online da coloro che avrebbero miniera di dati e monetizzarlo.
Ci sono insidie e avvertimenti—il più grande dei quali è che se si esegue il proprio server di posta elettronica, si sarà l’amministratore di sistema. Il lato positivo di questo è che nessun rappresentante del servizio clienti annoiato o stanco in procinto di andare fuori turno sta per cadere per un attacco di ingegneria sociale e reimpostare la password di posta elettronica., Il rovescio della medaglia è che sei responsabile della cura e dell’alimentazione del tuo sistema. Questo non è un compito impossibile – non è nemmeno davvero difficile-ma non è banale e senza fine. L’applicazione di aggiornamenti critici è responsabilità dell’utente. Quando escono gli aggiornamenti critici? Questa è la tua responsabilità di tenere traccia di, anche.
Peggio di tutto, se si avvita e il server è compromesso o utilizzato come relè di spam, il dominio sarà quasi certamente finire su blacklist., La vostra capacità di inviare e ricevere e-mail sarà diminuita o forse addirittura eliminato del tutto. E completamente scrubbing te stesso dalla moltitudine di e-mail blacklist è difficile come cercare di scendere dalla lista No Fly della TSA.
Sei stato avvertito.
…ma vale anche la pena fare
OK, dovrebbe essere sufficiente per spaventare le persone che non sono serie. Per quelli di voi ancora con me: questo sta per essere un inferno di un sacco di divertimento, e si sta andando a imparare molto.,
Questa sarà una serie in più parti, e qui in questa prima parte chiederemo (e risponderemo) a un sacco di domande su come impostare il nostro server di posta elettronica. Descriveremo anche le applicazioni che useremo e parleremo di ciò che fanno. Ci aspettiamo che questa serie verrà eseguito nel corso delle prossime settimane; a differenza della nostra serie sulla creazione di un server Web, anche se, non sarà in grado di iniziare a sparare fuori e-mail dopo la parte 1—è necessario il tutto in modo che tutto funzioni bene.,
Questo certamente non è l’unico tutorial e-mail fai da te sul Web. Se sei desideroso di saltare avanti e iniziare ora, ti suggeriamo di consultare l’eccellente tutorial di Christoph Hass su Workaround.org—fa molte (ma neanche lontanamente tutte) delle stesse scelte di configurazione che faremo. Tuttavia, Ars non avrebbe messo insieme questa guida se non avessimo qualche asso nella manica—siamo stati in una grotta di configurazione e-mail per il mese scorso, e abbiamo un sacco di buone informazioni da condividere.,
Prerequisiti e ipotesi-il dove e il come
Quindi vuoi il tuo server di posta elettronica. Eccellente! La prima decisione, prima ancora di entrare in cose come i sistemi operativi e le applicazioni, è dove si sta andando a metterlo. Se siete su una connessione ISP residenziale, si dovrà affrontare una serie di sfide in esecuzione di un server di posta elettronica fuori dal vostro armadio., Oltre a trovare quasi certamente il set standard di porte TCP e-mail bloccate, il tuo indirizzo IP è anche quasi certamente già su una o più blacklist al fine di ridurre la quantità di spam che viene vomitato dai computer di casa infetti da virus. Che tu stia effettivamente vomitando o meno spam è irrilevante-quella nave ha navigato da tempo e gli indirizzi IP residenziali sono quasi universalmente considerati avvelenati. Ci sono numerosi strumenti che puoi usare per vedere se il tuo indirizzo è in una lista nera—assicurati di controllare prima di iniziare.,
Se vuoi solo seguire principalmente a casa con un dominio di test non funzionale per l’apprendimento, allora una macchina virtuale o un server closet di riserva andranno bene; se vuoi farlo per davvero, dovrai essere su una connessione di classe business con porte sbloccate e un indirizzo IP non nella lista nera, o avrai bisogno di un servizio di hosting. Non hai bisogno di un server dedicato a monster o altro, ma hai bisogno di almeno un VPS su cui puoi installare il software dalla riga di comando., Ci sono molte opzioni; Consiglio sempre un piccolo hosting Orange o Lithium, ma se sei disposto a sacrificare alcune prestazioni, puoi quasi certamente ospitare un piccolo server di posta elettronica su un’istanza Amazon EC2 gratuita.
Avrai anche bisogno di un dominio (di nuovo, a meno che tu non stia semplicemente giocando e utilizzi un dominio di test inesistente), e questo significa che avrai bisogno di un registrar e di un provider DNS esterno. I miei consigli personali per i registrar sono Namecheap e Gandi.,net; entrambi hanno preso dure posizioni anti-SOPA (vedi questi link) ed entrambi offrono opzioni di autenticazione a due fattori. Ho usato entrambi i registrar e sono entrambi eccellenti.
Una delle lezioni rafforzate dal recente furto dell’account Twitter @N è che dovresti separare i tuoi servizi online dove ha senso farlo. Una componente significativa del compromesso @N proveniva dall’accesso dell’attaccante all’account GoDaddy di Naoki Hiroshima, con GoDaddy che funzionava non solo come suo registrar ma anche come fonte DNS autorevole per i domini di Hiroshima., Una volta entrato, l’attaccante è stato in grado di modificare almeno uno dei record MX di quei domini e quindi dirottare la consegna dell’e-mail di quel dominio.
Tenteremo di mitigare questo rischio specifico utilizzando un provider DNS separato, in particolare, utilizzeremo il servizio DNS Route 53 di Amazon. Ciò limiterà la quantità di danni immediati che un utente malintenzionato può fare nell’improbabile caso di un compromesso presso il registrar.
“Ah,” dici, ” ma se uso Amazon EC2 per il mio server di posta elettronica e Amazon Route 53 per DNS, allora non sto segregando affatto!,”Questo è vero, ma Amazon ti offre un ricco controllo di accesso tra diversi servizi; non è difficile garantire che un set di credenziali di accesso possa modificare solo il server EC2 e un diverso set di credenziali possa modificare solo le impostazioni DNS di Route 53.
Ci sono anche molti altri provider DNS se si desidera distribuire fisicamente le uova, piuttosto che fare affidamento sul controllo degli accessi—e di essere paranoico sulla sicurezza non è mai saggio., Per questa guida, però, saremo a piedi attraverso i passi specifici che ho preso quando prendere il mio esistente Google Apps-hosted domain ed e-mail private-che significa un server fisico e Route 53 DNS (che finisce per costarmi circa $2 al mese).
Chi e cosa
È meglio avere un piano per la tua e-mail quando ti immergi in questo processo di installazione: inizierai da capo con il tuo dominio e non migrerai in esso le vecchie caselle di posta elettronica? O hai intenzione di prendere una casella di posta e cartelle da qualche altra parte e sincronizzare o copiare sul tuo nuovo server?, Una volta arrivati a rotazione, cammineremo attraverso quel secondo scenario—prendendo un indirizzo e-mail esistente su un dominio personalizzato e la migrazione direttamente al proprio server. Tuttavia, i passaggi funzioneranno bene per passare da, ad esempio, un indirizzo Gmail o un indirizzo fornito dall’ISP.
Ora finalmente arriviamo alla parte “cosa”: quale sistema operativo e quale software. Strap in, perché prima abbiamo bisogno di fare un corso accelerato veloce nella terminologia e-mail.,
MTA, MDA e MUA
Le applicazioni che inviano, ricevono e consegnano e-mail sono classificate in base al loro ruolo nel processo e tali ruoli sono abbreviati da una serie di acronimi a tre lettere. La maggior parte delle persone hanno familiarità con il loro MUA—che è un Mail User Agent, più comunemente chiamato un “client di posta elettronica” o un “programma di posta elettronica.”Un MUA è un programma come Outlook o Thunderbird-è la cosa che si esegue sul computer che si invia e riceve e-mail con. E-mail è uno strumento standardizzato, e si può generalmente utilizzare qualsiasi MUA ti rende felice.,
All’apice c’è l’MTA, o Mail Transfer Agent. Questa è l’applicazione principale che in realtà trasmette e-mail in giro tra i server—applicazioni come Exim, sendmail, Postfix, e qmail. Stiamo per essere la creazione di Postfix come il nostro MTA, che ci darà un buon equilibrio di flessibilità, interoperabilità, e potenza.,
Inserita nel mezzo tra il MUA sul desktop e l’MTA sul server è un’altra categoria di applicazione: l’MDA, o Mail Delivery Agent. L’MDA riceve messaggi dal server di posta nelle caselle di posta degli utenti, più comunemente con i protocolli di posta POP o IMAP. Tranne in alcune circostanze molto limitate, un MTA non ti farà molto bene senza un MDA, quindi useremo Dovecot come nostro MDA.
Ci sono anche altre categorie MxA, ma Postfix e Dovecot vanno insieme come piselli e carote., Tra i due, saremo impostati da una prospettiva di trasmissione e consegna della posta.
Il sistema operativo: Linux
La nostra scelta di strumenti determina la nostra scelta dei sistemi operativi: lo eseguiremo su Linux—in particolare, Ubuntu Server 12.04 LTS, perché per i nostri scopi è il più universalmente accessibile e configurabile (ed è disponibile anche sul livello gratuito di Amazon EC2).
Ubuntu Server ci dà un rapido accesso a tutto ciò di cui abbiamo bisogno—non solo Postfix e Dovecot, ma anche tutti gli strumenti di supporto di cui abbiamo bisogno per ottenere e-mail in esecuzione in modo sicuro.
Strumenti di supporto?,
Oh, sì – avremo una serie di cose aggiuntive per ottenere in esecuzione, perché questo non è un tutorial veloce usa e getta., Stiamo andando a fare questo diritto, e questo significa che con il tempo abbiamo finito, abbiamo intenzione di avere impostato e configurato tutto questo:
- Postfix, per inviare e ricevere e-mail
- Dovecot, per IMAP
- SpamAssassin, per mantenere lo spam dalla tua casella di posta
- ClamAV, per filtrare virus
- Setaccio, per impostare i filtri per la posta e le regole
- Roundcube, per webmail
- PostgreSQL (o MySQL/MariaDB), per Roundcube del database
- Nginx e PHP-FPM, per servire Roundcube sul Web
E questo è solo la punta dell’iceberg., Oltre a installare tutte queste cose, passeremo attraverso le fasi di indurimento e sicurezza per ciascuna, in particolare Roundcube (a cui aggiungeremo l’autenticazione del certificato basata su PKCS12 e gli accessi a due fattori con Google Authenticator).
Esamineremo anche tutti i passaggi accessori necessari per garantire che le tue e-mail siano ricevute correttamente—assicurandoci di avere certificati SSL/TLS, impostando DKIM e SPF, assicurando che i tuoi record MX e reverse PTR siano corretti e un sacco di altre cose., E stiamo anche andando a trovare un po ‘ di tempo qui per assicurarsi che è possibile inviare e ricevere e-mail con crittografia PGP.
Stiamo, in sintesi, andando a fare un sacco di cose.
OK, ora sono spaventato e sopraffatto
Non essere, perché questo è Ars Technica, e tu sei intelligente. Stiamo andando ad abbattere ogni passo e camminare attraverso quasi ogni riga in ogni file di configurazione, come andiamo. Alla fine di questo, sarai come (TV, non wrestling) Steve Austin: meglio, più forte, più veloce.,
Stiamo adottando un approccio molto simile a Unix per la posta elettronica piuttosto che uno monolitico (simile a Microsoft). I sistemi operativi Unix-like sono generalmente costituiti da un numero di strumenti discreti che sono ciascuno molto bravo in un numero molto limitato di attività; questo ti dà modularità e personalizzazione, ma spesso a scapito della complessità. Per e-mail, stiamo andando a legare insieme l’elenco di cui sopra di applicazioni discrete in una stazione di battaglia completamente armata e operativa.
Ci sono, tuttavia, un sacco di altri modi per scuoiare il gatto e-mail., Se davvero stai partendo da zero e vuoi solo uno stack di posta basato su Linux funzionante senza passare attraverso il grande setup, c’è iRedMail – è un pacchetto preconfezionato di quasi tutti gli stessi strumenti che andremo a configurare, e puoi farlo andare in pochi minuti.
C’è anche quel modo monolitico di Microsoft, e puoi (relativamente) configurare facilmente Microsoft Exchange Server se sei più a tuo agio con l’ecosistema Microsoft. Ci sono una serie di svantaggi, però, e primo fra tutti è che lo scambio non è gratuito., Se vuoi giocare su quel lato della recinzione, però, dovrai trovare un’altra guida—stiamo attaccando con Postfix e amici.
Il quando: In questo momento! Acquista un dominio!
Chiuderemo la parte 1 qui inchiodando i due maggiori prerequisiti di cui abbiamo bisogno per iniziare: un dominio e un server.
Se non hai mai registrato un dominio prima, può sembrare un processo scoraggiante. Tuttavia, tutto ciò che serve è un registrar e una carta di credito (e, naturalmente, un nome in mente). Fai un salto a, diciamo, Gandi.net ‘ s modulo di ricerca e curiosare per vedere ciò che è disponibile. Dangerrocket.com o vorpalsnake.,com o attackweasel.com ognuno potrebbe essere tuo per $15.50!
Trova quello che ami e compralo per un anno. Basta ricordare che un dominio che suona esilarante potrebbe non fare la migliore impressione su un potenziale datore di lavoro se lo si utilizza per e-mail… anche se “[email protected]” in realtà suona piuttosto cazzuto.
Protezione WHOIS
È un requisito ICANN che i registrar di domini elencano pubblicamente le informazioni di contatto per i domini Internet (con diversi domini di primo livello che hanno regole diverse per come e quante informazioni devono essere visualizzate)., Gli utenti Linux e OS X possono utilizzare l’utilità della riga di comando whois (o chiunque può utilizzare strumenti online come questo) per visualizzare tali informazioni per i domini. Ad esempio, facendo una ricerca Whois su arstechnica.com ti mostra chi lo possiede (Condé Nast Digital), così come chi sono i contatti amministrativi e tecnici.
Se registri un dominio, le informazioni che fornisci saranno ugualmente visibili—chiaramente non è una situazione ideale per un privato che non vuole che le sue informazioni personali siano liberamente disponibili., La maggior parte dei registrar offre un servizio variamente chiamato “WHOIS protection” o “Privacy Guard” o altri nomi simili, dove sostituiscono le proprie informazioni rispetto alle tue. Alcuni registrar addebitano un costo aggiuntivo per il servizio e alcuni (come Gandi.net) offrilo gratis.
Qualunque registrar si sceglie, optare per il loro servizio di protezione Whois. È una cosa per un’azienda avere informazioni di contatto visibili come questa; è un’altra cosa per i singoli utenti essere così esposti.,
Due fattori che registrar
Qualunque siano le misure di sicurezza extra offerte dal tuo registrar of choice, dovresti abilitarle. Non approfittare di una maggiore sicurezza è come non approfittare della corrispondenza 401(k) di un datore di lavoro—se lo offrono e non lo fai, sei semplicemente stupido. Namecheap, ad esempio, consente di disattivare reimpostazioni di password, e lo fa l’autenticazione a due fattori inviando codici sul tuo cellulare.
Gandi.net, d’altra parte, ti dà la possibilità di limitare l’accesso a un certo intervallo di indirizzi IP. Offre l’autenticazione a due fattori tramite un’applicazione TOTP come Google Authenticator.
Qualunque sia il vostro registrar ha, accendere ogni bit di esso., Renderà l’accesso un po ‘ meno conveniente, ma renderà anche molto più difficile per un utente malintenzionato strappare il controllo del tuo dominio.
Stack dat app
Se stai installando Ubuntu Server da zero, l’unico componente server che devi selezionare durante l’installazione è il server OpenSSH (che alla fine passeremo all’accesso basato su chiavi prima di aver finito con questa serie)., Piuttosto che installare Dovecot e Postfix separatamente, c’è un singolo pacchetto che li tirerà entrambi verso il basso e farà la parte del leone della configurazione per rendere le due applicazioni collegate l’una all’altra. Esegui il seguente comando:
$ sudo aptitude install mail-stack-delivery
Dopo un momento, il pacchetto ti shunt in una schermata che ti chiede di scegliere una configurazione di base per Postfix. Tra le opzioni disponibili, vogliamo “Sito Internet” perché stiamo per (alla fine) inviare e ricevere la nostra posta direttamente con Postfix piuttosto che inoltrarla tramite un altro server.,
La finestra di configurazione successiva ti chiede di inserire il nome di dominio del tuo server in modo che il server sappia per quale dominio invierà e riceverà principalmente e-mail. Se hai acquistato un dominio, inserisci il nome lì dentro; se stai solo testando o non intendi rendere pubblico questo server, qualcosa come ” locale.loc ” o un altro dominio locale inesistente dovrebbe essere usato.,
Dopodiché, lascia che l’installazione avvenga. Finirai con un’installazione quasi pronta per la produzione di Postfix e Dovecot.
Aspetta, è stato facile!
Beh, certo—ma abbiamo appena iniziato. Nella parte 2, stiamo andando a scavare in profondità nelle budella di Postfix e Dovecot e legare i due insieme ancora più stretto., Prenderemo un vero e proprio certificato SSL/TLS perché il tuo server di posta dovrà essere in grado di identificarsi correttamente e in modo sicuro con altri server di posta. Decideremo dove e come memorizzare i nomi degli account e le password della tua casella di posta, insieme alle caselle di posta stesse. Quando avremo finito con la parte 2, avremo maledettamente vicino a un set-up di posta completamente funzionante, ma non saremo ancora pronti per il prime time.
Nella parte 3, fisseremo gli accessori necessari: antispam, antivirus e filtraggio lato server. Avremo anche Roundcube installato e funzionante in modo da avere webmail., Bloccheremo anche quella webmail.
Lungo la strada, ci sarà anche l’aspersione in tutti i bit extra per garantire la vostra e-mail sarà ben accolto da altri server: stiamo andando a impostare DKIM (DomainKeys identified Mail) e i record DNS necessari per farlo funzionare, insieme con i record SPF per un altro strato di convalida.
Il mio obiettivo—supponendo che nel frattempo non venga fuori nient’altro pazzo—è quello di eseguire un pezzo a settimana, quindi se stai seguendo a casa, avremo finito in un mese., Anche se sembra che sta per essere scoraggiante, fidati di me: questo è un viaggio vale la pena prendere.
Ci vediamo la prossima settimana.