E-mail este vechi și complexe. Este cea mai veche încă recunoscut componentă de Internet, cu încarnare modernă au fuzionat din mai multe zeci de ani de mesagerie tehnologii, inclusiv ARPANET nod-la-nod de mesagerie la începutul anilor 1970., Și, deși rămâne o piatră de temelie a Internetului—aplicația originală ucigaș, într—adevăr-este, de asemenea, extraordinar de greu de făcut bine.cel mai adesea interacționăm cu serverele de e-mail prin intermediul front-end-urilor sau aplicațiilor prietenoase bazate pe Web, dar o cantitate imensă de muncă ascunde complexitatea care permite întregului sistem să funcționeze. Funcțiile de e-mail într-un mediu otrăvit și ostil, inundat de viruși și spam., Schimbul aparent simplu de mesaje bazate pe text funcționează în conformitate cu reguli complexe, cu instrumente complexe, toate necesare pentru a menține otrava afară și funcționarea sistemului și util în ciuda abuzului este în mod constant sub.
De la o persoană normală perspectiva, e-mail pare a fi o problemă rezolvată: semn-up pentru acces la Internet și ISP-ul dvs. vă oferă o adresă de e-mail., Google, Apple, Yahoo, sau orice număr de alți furnizori de e-mail gratuit vă va cârlig cu conturi de e-mail cu gigabytes de spațiu și o mulțime de caracteristici cu valoare adăugată rece. De ce lupta cu Arcane dragons să se rostogolească propria soluție de e-mail?
vă spun de ce: pentru că dacă este în nor, nu este al tău.
deoarece trebuie să vă bazați pe alții pentru securitatea dvs., Nu aveți control asupra cine vă poate citi corespondența—trebuie să permiteți extragerea datelor dvs. și extragerea profilului dvs. de marketing. Nu vi se va spune dacă metadatele dvs. sunt colectate sau dacă inbox-ul dvs. este aspirat printr-o solicitare guvernamentală secretă. Sunteți de acord să nu fiți un client, ci un produs și un produs nu are drepturi.
Ei bine, la naiba cu asta. E e-mailul tău. Și o vom lua înapoi.
acest lucru este greu și chiar un pic înfricoșător…
E-mail este greu. Dacă doriți un proiect sysadmin mai ușor, mergeți la configurarea unui server Web. E-mailul este mult mai complex, cu multe părți în mișcare., Pe de altă parte, corespondența dvs. cu ceilalți este unul dintre aspectele cele mai personale ale vieții dvs. online—într-un mediu format în cele din urmă din text, cuvintele dvs. sunteți voi. Merită să învățați cum să vă recuperați viața online de la cei care ar fi mina de date și să o monetizeze.
există capcane și avertismente—cea mai mare dintre care este că, dacă rulați propriul server de e-mail, va fi sysadmin. Partea bună a acestui lucru este că nici un reprezentant de servicii pentru clienți plictisit sau obosit pe cale de a merge off-shift va cădea pentru un atac de inginerie socială și resetați parola de e-mail., Dezavantajul este că sunteți responsabil pentru îngrijirea și hrănirea sistemului. Aceasta nu este o sarcină imposibilă—nu este chiar dificilă—dar este non-trivială și fără sfârșit. Aplicarea actualizărilor critice este responsabilitatea dvs. Când apar actualizări critice? Asta e responsabilitatea ta de a ține evidența, de asemenea.cel mai rău dintre toate, dacă o dai în bară și serverul tău este compromis sau folosit ca releu spam, domeniul tău va ajunge aproape sigur pe liste negre., Capacitatea dvs. de a trimite și primi e-mail va fi diminuată sau poate chiar eliminată cu totul. Și să te speli total de multitudinea de liste negre de e-mail este la fel de dificil ca și încercarea de a ieși din lista de zbor a TSA.
ați fost avertizat.
…dar merită, de asemenea, să faceți
OK, asta ar trebui să fie suficient pentru a speria oamenii care nu sunt serioși. Pentru aceia dintre voi încă cu mine: acest lucru va fi o dracu ‘ de o mulțime de distracție, și vei învăța o mulțime.,
aceasta va fi o serie cu mai multe părți, iar aici, în această primă parte, vom pune (și vom răspunde) o grămadă de întrebări despre cum vom configura serverul nostru de e-mail. Vom sublinia, de asemenea, aplicațiile pe care le vom folosi și vom vorbi despre ceea ce fac. Ne așteptăm ca această serie să se desfășoare pe parcursul următoarelor câteva săptămâni; spre deosebire de seria noastră privind configurarea unui server Web, totuși, nu veți putea începe să trageți e-mailuri după Partea 1—aveți nevoie de totul pentru ca totul să funcționeze corect.,
Acest lucru cu siguranță nu este singurul DIY E-mail tutorial pe Web. Dacă sunteți dornici să săriți înainte și să începeți acum, vă sugerăm să consultați tutorialul excelent al lui Christoph Hass despre soluție.org—el face multe (dar nicăieri aproape toate) din aceleași alegeri de configurare pe care le vom face. Cu toate acestea, Ars nu ar pune împreună acest ghid dacă nu am avea câteva trucuri în mânecă—am fost într-o peșteră de configurare a e-mailului în ultima lună și avem o mulțime de informații bune de împărtășit.,
premise și ipoteze—unde și cum
deci, doriți propriul server de e-mail. Excelent! Prima decizie, înainte de a intra chiar în lucruri cum ar fi sistemele de operare și aplicațiile, este în cazul în care aveți de gând să-l pună. Dacă sunteți pe o conexiune ISP rezidențială, vă veți confrunta cu o serie de provocări în rularea unui server de e-mail din dulapul dvs., Pe lângă găsirea aproape sigură a setului standard de porturi TCP de e-mail blocate, adresa IP este, de asemenea, aproape sigur deja pe una sau mai multe liste negre pentru a reduce cantitatea de spam care este aruncată de computerele de acasă infectate cu virus. Indiferent dacă aruncați sau nu spam—ul este irelevant-acea navă a navigat de mult timp, iar adresele IP rezidențiale sunt aproape universal considerate otrăvite. Există numeroase instrumente pe care le puteți utiliza pentru a vedea dacă adresa dvs. se află pe o listă neagră—asigurați-vă că verificați înainte de a începe.,
Dacă doriți doar să urmați de-a lungul la domiciliu, cu un non-funcționale domeniu de testare pentru a învăța, apoi o mașină virtuală sau schimb dulap server va face doar bine; dacă vrei să faci cu adevărat, va trebui să fie pe un business-class legătură cu deblocat porturile și un non-lista neagră adresa IP, sau ai nevoie de un serviciu de hosting. Nu aveți nevoie de un server dedicat monstru sau ceva, dar aveți nevoie de cel puțin un VPS puteți instala software-ul de pe linia de comandă., Există multe opțiuni; întotdeauna recomand o mică găzduire Orange sau Lithium, dar dacă sunteți dispus să sacrificați o anumită performanță, puteți găzdui aproape sigur un mic server de e-mail pe o instanță gratuită Amazon EC2.
de asemenea, veți avea nevoie de un domeniu (din nou, cu excepția cazului în care veți juca doar și veți folosi un domeniu de testare inexistent), ceea ce înseamnă că veți avea nevoie de un registrator și de un furnizor DNS extern. Recomandările mele personale pentru registratori sunt Namecheap și Gandi.,net; ambele au luat poziții anti-SOPA dure (vezi aceste link-uri) și ambele oferă opțiuni de autentificare cu doi factori. Am folosit ambele registratori, și ambele sunt excelente.una dintre lecțiile întărite de recentul furt de cont @N Twitter este că ar trebui să vă segregați serviciile online acolo unde are sens să faceți acest lucru. O componentă semnificativă a compromisului @n a venit din partea atacatorului care a obținut acces la contul GoDaddy al lui Naoki Hiroshima, GoDaddy funcționând nu numai ca registrator, ci și ca sursă DNS autoritară pentru domeniile Hiroshima., Odată intrat, atacatorul a putut schimba cel puțin una dintre înregistrările MX ale acestor domenii și, prin urmare, a deturnat livrarea e-mailului domeniului respectiv.
vom încerca să diminuăm acest risc specific folosind un furnizor DNS separat-în mod specific, vom folosi serviciul DNS Route 53 al Amazon. Acest lucru va limita cantitatea de daune imediate pe care un atacator le poate face în cazul puțin probabil al unui compromis la registratorul dvs.
„Ah,” spui tu, ” dar dacă folosesc Amazon EC2 pentru serverul meu de e-mail și Amazon Route 53 pentru DNS, atunci nu mă segregez deloc!,”Acest lucru este adevărat, dar Amazon vă oferă un control de acces bogat între diferite servicii; nu este dificil să vă asigurați că un set de acreditări de conectare poate modifica doar serverul EC2 și un set diferit de acreditări poate modifica doar setările DNS Route 53.există, de asemenea, mulți alți furnizori DNS dacă doriți să vă distribuiți fizic ouăle, mai degrabă decât să vă bazați pe controlul accesului—iar a fi paranoic în ceea ce privește securitatea nu este niciodată înțelept., Pentru acest ghid, însă, vom parcurge pașii specifici pe care i-am făcut atunci când mi-am luat propriile aplicații Google existente—domeniu găzduit și e-mail privat-asta înseamnă un server fizic și un DNS Route 53 (care sfârșește prin a mă costa aproximativ 2 dolari pe lună).
cine și de ce
cel mai bine e să ai un plan pentru dvs. de e-mail atunci când scufundări în acest proces de configurare: ai de gând să fie un nou început cu propriul domeniu și nu migrează orice vârstă, e-mail inbox în ea? Sau aveți de gând să luați un inbox și foldere din altă parte și să sincronizați sau să copiați pe noul dvs. server?, Odată ce vom rula, vom trece prin acel al doilea scenariu—luând o adresă de e-mail existentă pe un domeniu personalizat și migrând-o direct pe propriul server. Cu toate acestea, pașii vor funcționa foarte bine pentru trecerea de la, să zicem, o adresă Gmail sau o adresă furnizată de ISP.acum ajungem în sfârșit la Partea” ce”: ce sistem de operare și ce software. Curea în, pentru că mai întâi trebuie să facem un curs rapid accident în terminologia de e-mail.,aplicațiile care trimit, primesc și livrează e-mailuri sunt clasificate după rolul lor în proces, iar aceste roluri sunt abreviate de o serie de acronime din trei litere. Cei mai mulți oameni sunt familiarizați cu MUA lor—care este un Agent de utilizator de e-Mail, mai frecvent numit un „client de e-mail” sau un „program de e-mail.”Un MUA este un program precum Outlook sau Thunderbird—este lucrul pe care îl executați pe computer cu care trimiteți și primiți e-mail. E-mail este un instrument standardizat, și puteți utiliza, în general, orice MUA te face fericit.,
La apex este MTA, sau e-Mail Agent de Transfer. Aceasta este aplicația de bază care transmite de fapt e-mail între servere—aplicații precum Exim, sendmail, Postfix și qmail. Vom configura Postfix ca MTA, ceea ce ne va oferi un echilibru bun de flexibilitate, interoperabilitate și putere.,
prins în mijloc între MUA pe desktop și MTA pe server este o altă categorie de aplicații: MDA, sau Agent de livrare e-mail. MDA primește mesaje de la serverul de e-mail în cutiile poștale ale utilizatorilor, cel mai frecvent cu protocoalele POP sau IMAP mail. Cu excepția unor circumstanțe foarte limitate, un MTA nu vă va face prea mult bine fără un MDA, așa că vom folosi Dovecot ca MDA.există și alte categorii MxA, dar Postfix și Dovecot merg împreună ca mazărea și morcovii., Între ei doi, vom fi setați dintr-o perspectivă de transmitere și livrare a corespondenței.
sistemul de operare: Linux
alegerea noastră de instrumente dictează alegerea noastră de sisteme de operare: vom rula acest lucru pe Linux—în mod specific, Ubuntu Server 12.04 LTS, deoarece pentru scopurile noastre este cel mai universal accesibil și configurabil (și este disponibil și pe Amazon EC2 free tier).Ubuntu Server ne oferă acces rapid la tot ceea ce avem nevoie—nu doar Postfix și Dovecot, ci și toate instrumentele de asistență de care avem nevoie pentru ca e-mailul să funcționeze în siguranță.
instrumente de asistență?,
Oh, da-vom avea o serie de lucruri suplimentare pentru a obține de funcționare, pentru că acest lucru nu este un tutorial rapid throwaway., Am de gând să fac asta, și asta înseamnă că până când vom termina, vom fi configurat toate de acest lucru:
- Postfix, pentru a trimite și primi e-mail
- Dovecot, pentru IMAP
- SpamAssassin, pentru a păstra spam din inbox
- ClamAV, pentru a filtra virusuri
- Sită, pentru a configura e-mail de filtre și reguli
- Roundcube, pentru webmail
- PostgreSQL (sau MySQL/MariaDB), pentru Roundcube baza de date
- Nginx și PHP-FPM, să servească Roundcube pe Web
Și asta e doar vârful aisbergului., Pe lângă instalarea tuturor acestor lucruri, vom parcurge pașii de întărire și securitate pentru fiecare, în special Roundcube (la care vom adăuga autentificarea certificatelor bazate pe PKCS12 și conectările cu doi factori cu Google Authenticator).de asemenea, vom parcurge toți pașii auxiliari necesari pentru a vă asigura că e-mailurile dvs. sunt primite corect—asigurându-vă că aveți certificate SSL/TLS, configurați DKIM și SPF, asigurați-vă că înregistrările PTR MX și reverse sunt corecte și o grămadă de alte lucruri., Și chiar vom găsi un pic de timp aici pentru a ne asigura că puteți trimite și primi e-mailuri cu criptare PGP.
suntem, în rezumat, de gând să faci o mulțime de lucruri.
OK, acum sunt speriat și copleșit
nu fi, pentru că aceasta este Ars Technica și ești inteligent. Vom descompune fiecare pas și vom parcurge aproape fiecare linie din fiecare fișier de configurare în timp ce mergem. Până la sfârșitul acestei, ai de gând să fie ca (TV, nu lupte lui) Steve Austin: mai bine, mai puternic, mai repede.,
luăm o abordare foarte asemănătoare Unix-ului pentru e-mail, mai degrabă decât una monolitică (asemănătoare Microsoft). Sistemele de operare asemănătoare Unix sunt, în general, alcătuite dintr-un număr de instrumente discrete, care sunt fiecare foarte bune la un număr foarte limitat de sarcini; acest lucru vă oferă modularitate și personalizare, dar adesea în detrimentul complexității. Pentru e-mail, vom lega împreună lista de aplicații discrete de mai sus într-o stație de luptă complet armată și operațională.
există, totuși, o mulțime de alte modalități de a pielea pisica de e-mail., Dacă într-adevăr începeți de la zero și doriți doar o stivă de e—mail bazată pe Linux, fără a trece prin configurarea mare, există iRedMail-este un pachet preambalat de aproape toate aceleași instrumente pe care le vom configura și îl puteți face să meargă în câteva minute.
există, de asemenea, acel mod Microsoft monolit și puteți (relativ) să configurați cu ușurință Microsoft Exchange Server dacă sunteți mai confortabil cu ecosistemul Microsoft. Există o serie de dezavantaje, deși, și șef printre ei este că schimbul nu este gratuit., Dacă doriți să jucați pe acea parte a gardului, totuși, va trebui să găsiți un alt ghid—rămânem cu Postfix și prieteni.
când: chiar acum! Cumpara un domeniu!
vom închide partea 1 aici prin eliminarea celor mai mari două premise de care avem nevoie pentru a începe: un domeniu și un server.
dacă nu ați înregistrat niciodată un domeniu înainte, acesta poate părea un proces descurajant. Cu toate acestea, tot ce aveți nevoie este un registrator și un card de credit (și, desigur, un nume în minte). Treci la, să zicem, Gandi.net ‘ s formular de căutare și scormoni în jurul pentru a vedea ce este disponibil. Dangerrocket.com sau vorpalsnake.,com sau attackweasel.com ar putea fi fiecare a ta pentru $15.50!
găsiți unul care vă place și cumpărați-l pentru un an. Amintiți-vă doar că un domeniu care sună hilar ar putea să nu facă cea mai bună impresie asupra unui potențial angajator dacă îl utilizați pentru e-mail… deși „[email protected]” sună de fapt destul de tare.
protecția WHOIS
este o cerință ICANN ca registratorii de domenii să listeze public informațiile de contact pentru domeniile de Internet (cu diferite domenii de nivel superior care au reguli diferite pentru cum și cât de multe informații trebuie afișate)., Utilizatorii Linux și OS X pot folosi whois command line utility (sau oricine poate folosi instrumente online ca acesta) pentru a afișa aceste informații pentru domenii. De exemplu, a face o căutare Whois pe arstechnica.com vă arată cine îl deține (Condé Nast Digital), precum și cine sunt contactele administrative și tehnice.dacă înregistrați un domeniu, informațiile pe care le furnizați vor fi la fel de vizibile—în mod clar nu este o situație ideală pentru o persoană privată care nu dorește ca informațiile sale personale să fie disponibile în mod liber., Majoritatea registratorilor oferă un serviciu numit în mod diferit „protecția WHOIS „sau” Privacy Guard ” sau alte nume similare, unde înlocuiesc propriile informații asupra dvs. Unii registratori percep o taxă suplimentară pentru serviciu, iar alții (cum ar fi Gandi.net) oferă-l gratuit.indiferent de registratorul pe care îl alegeți, optați pentru serviciul lor de protecție Whois. Este un lucru pentru o afacere să aibă informații de contact vizibile astfel; este cu totul altul pentru utilizatorii individuali să fie atât de expuși.,indiferent de măsurile de securitate suplimentare pe care le oferă registratorul dvs. de alegere, ar trebui să le activați. A nu profita de securitatea suplimentară este ca și cum nu ai profita de potrivirea 401(k) a unui angajator—dacă o oferă și nu o faci, ești pur și simplu prost. Namecheap, de exemplu, vă permite să dezactivați resetările de parole și face autentificarea cu doi factori prin trimiterea de coduri pe telefonul dvs. mobil.
Gandi.net pe de altă parte, vă oferă opțiunea de a restricționa conectarea la un anumit interval de adrese IP. Oferă autentificare cu doi factori printr-o aplicație TOTP precum Google Authenticator.
indiferent de registratorul dvs., porniți fiecare bit din acesta., Aceasta va face logarea într-un pic mai puțin convenabil, dar va face, de asemenea, că mult mai dificil pentru un atacator să înlăture controlul domeniului.dacă instalați Ubuntu Server de la zero, singura componentă de server pe care trebuie să o selectați în timpul instalării este serverul OpenSSH (pe care îl vom trece în cele din urmă la conectarea bazată pe chei înainte de a termina cu această serie)., În loc să instalați Dovecot și Postfix separat, există un singur pachet care le va trage pe amândouă în jos și va face partea leului de configurare pentru a face ca cele două aplicații să se conecteze între ele. Executați următoarea comandă:
$ sudo aptitude install mail-stack-delivery
După un moment, pachetul va șunt într-un ecran care vă solicită să alegeți o configurație de bază pentru Postfix. Din opțiunile disponibile, dorim” site-ul Internet”, deoarece vom (În cele din urmă) trimite și primi e-mailurile noastre direct cu Postfix, mai degrabă decât să le transmitem printr-un alt server.,
următorul dialog de configurare vă solicită să pună în serverului de nume de domeniu pentru ca serverul să știu ce domeniu este în primul rând va fi trimiterea și primirea de e-mail pentru. Dacă ați cumpărat un domeniu, introduceți numele acolo; dacă testați sau nu intenționați să faceți acest server public, ceva de genul „local.loc ” sau un alt domeniu local inexistent ar trebui să fie utilizat.,
după aceea, lăsați instalarea să se întâmple. Veți termina cu o instalare aproape gata de producție a Postfix și Dovecot.
așteaptă, a fost ușor!
Ei bine, sigur—dar abia am început. În partea a 2-a, vom săpa adânc în intestinele lui Postfix și Dovecot și le vom lega pe cele două împreună și mai strânse., Vom lua un certificat SSL / TLS real real, deoarece serverul dvs. de e-mail va trebui să se poată identifica în mod corespunzător și sigur cu alte servere de e-mail. Vom decide unde și cum să stocați numele și parolele contului dvs. de căsuță poștală, împreună cu cutiile poștale în sine. Până când vom termina cu partea a 2-a, vom avea darn aproape de un set—up e-mail complet funcțional-dar nu vom fi gata încă pentru prime time.
în partea 3, vom fixa accesoriile necesare: antispam, antivirus și filtrare pe partea serverului. De asemenea, vom obține Roundcube în funcțiune, astfel încât să aveți webmail., Vom bloca că webmail în jos bine, de asemenea.pe parcurs, vom fi, de asemenea, stropind în toate biți suplimentare necesare pentru a asigura e-mail va fi bine primit de alte servere: am de gând să înființeze DKIM (DomainKeys identificat Mail) și înregistrările DNS necesare pentru a face să funcționeze, împreună cu SPF înregistrări pentru un alt strat de validare.
scopul meu—presupunând că nimic altceva nebun vine în același timp-este de a rula o bucată pe săptămână, așa că, dacă sunteți în urma de-a lungul acasă, vom fi gata într-o lună., Chiar dacă pare că va fi descurajant, crede-mă: aceasta este o călătorie care merită luată.
ne vedem săptămâna viitoare.