Вопрос или проблема
Я хочу запустить собственный почтовый сервер (я склоняюсь к Postfix), но мне нужно, чтобы он выглядел примерно так:
[MUA] <-> [Домашний MTA] <–> [Внешний MTA]
Домашний MTA находится на сервере виртуализации у меня дома и принимает почту только от внешнего MTA (через его конфигурацию и фаервол). Внешний MTA принимает почту только для моего домена, имеет DKIM/SFP и (по крайней мере, изначально) не будет доставлять почту никому, кроме моего домашнего MTA.
Я думаю, что если я сделаю все правильно, это предотвратит попадание в черный список и также защитит мой домашний IP, так как это не будет MTA, указанный в MX-записях моего домена. Я думаю об этом почти как о бастионе или переходном сервере, но для почты, а не ssh.
- возможно ли это сделать?
- о чем еще мне следует подумать? например, я нашел страницу о предотвращении backscatter email, о чем я ранее не задумывался.
- я предполагаю, что MTA-to-MTA может быть зашифровано и аутентифицировано. Это SASL?
- есть ли термин для такого типа настройки, чтобы я мог найти базовую конфигурацию и оттолкнуться от этого? Например, называется ли это smart-relay с сателлитом или как-то иначе?
РЕДАКТИРОВАТЬ: Я думаю, что хотел бы отключить SMTP в пользу SMTPS и настроить Postfix так, чтобы он не принимал исходящую почту от неаутентифицированного пользователя. Это помешает спамерам использовать мой MTA для отправки почты, верно? Если это так, почему по-прежнему вообще не рекомендуется запускать собственный почтовый сервер из-за необходимости иметь дело со всем спамом?
Ответ или решение
Теория
Для настройки двух почтовых серверов Postfix в конфигурации, где [MUA] взаимодействует с [Home MTA], который в свою очередь общается с [External MTA], необходимо учитывать ряд важных аспектов. Основная цель — обеспечение безопасности и конфиденциальности, минимизация риска попадания в черные списки. Это достигается через фильтрацию соединений, защиту DKIM/SFP, управление маршрутами отправки и получением почты.
Пример
Рассмотрим общий сценарий конфигурации:
-
Home MTA: Этот сервер находится у вас дома, его задача — принимать электронные письма только от [External MTA]. Это можно обеспечить с помощью правил конфигурации и настроек межсетевого экрана (firewall). Все остальные исходящие соединения следует блокировать.
-
External MTA: Он расположен в сети и принимает или отправляет почту посредством защищенных протоколов, таких как SMTPS. Этот сервер будет фигурировать в MX-записи вашего домена, скрывая IP-адрес вашего домашнего сервера от общего доступа.
Применение
-
Настройка Home MTA:
- Установите Postfix и настройте его так, чтобы он принимал почту только от [External MTA]. Для этого используйте файл main.cf, где ограничьте прием через параметр
mynetworks
. - Настройте межсетевой экран, чтобы разрешить соединения только с IP-адреса [External MTA].
- Установите Postfix и настройте его так, чтобы он принимал почту только от [External MTA]. Для этого используйте файл main.cf, где ограничьте прием через параметр
-
Настройка External MTA:
- Включите поддержку DKIM и SFP для защиты и аутентификации отправляемых писем.
- Настройте SASL аутентификацию для шифрования канала связи между вашим домашним и внешним серверами. Это обеспечит шифрование соединений и защиту от несанкционированного доступа.
- Проверьте разрешения для приема почты, чтобы они соответствовали только вашему домену.
-
Безопасность и предотвращение спама:
- Отключите стандартный SMTP в пользу SMTPS, чтобы шифровать все входящие и исходящие соединения.
- Настройте Postfix так, чтобы он не принимал аутентификацию от неизвестных пользователей, что предотвратит использование вашего сервера для спам-рассылок.
-
Управление обратным потоком (Backscatter):
- Включите стандарты для обработки недоставленных сообщений и ошибок аутентификации, чтобы избежать распространенной проблемы обратной переадресации спама (backscatter).
Заключение
Такой подход, предполагающий использование двух MTA с распределенными задачами и разделением рисков, схож с концепцией "smart relay". Он обеспечивает высокий уровень безопасности и защиты личных данных при соблюдении необходимых стандартов аутентификации и шифрования. Тем не менее, следует постоянно мониторить работу серверов, обновлять их защиту и быть готовым к неожиданным изменениям в политике доставки почты для минимизации угроз спама и блокировок.