Полноценный почтовый сервер с iRedMail на Ubuntu

 Arduino  Комментарии к записи Полноценный почтовый сервер с iRedMail на Ubuntu отключены
Ноя 272020
 

Полноценный почтовый сервер с iRedMail на Ubuntu

Тематические термины: iRedMail, Ubuntu, Postfix, Dovecot, Roundcube, POP3, IMAP, PTR, SPF, DKIM

После установки iRedMail мы получим почтовый сервер со следующими возможностями:

  • Управление почтовыми ящиками с помощью веб-интерфейса.
  • Поддержка виртуальных доменов и почтовых ящиков.
  • Подключение к ящикам по POP3 и IMAP.
  • Хранение данных в СУБД.
  • Возможность работать с почтой удаленно с помощью браузера.
  • Шифрование при передаче сообщений.
  • Защита от СПАМа и вирусов.
  • Защита сообщений от попадания в СПАМ.

Подготовка
Установка почтовой системы
Настройка iRedMail
Отключение Graylisting
Проверка отправки сообщения
Защита от попадания в СПАМ
Установка сертификата
Разрешить небезопасные подключения
Дополнительные настройки
Лимит на размер вложения
Аналоги

Подготовка сервера

Задаем правильное имя сервера:

vi /etc/hostname

mail.dmosk.ru

… или командой:

hostnamectl set-hostname mail.dmosk.ru

* имя сервера должно быть в формате FQDN, в противном случае мы получим ошибку << ERROR >> Please configure a fully qualified domain name (FQDN) in /etc/hosts before we go further.

Заданное имя сервера должно разрешаться в IP-адрес через DNS. Если на момент установки это невозможно, создадим запись в файле hosts:

vi /etc/hosts

127.0.0.1 mail.dmosk.ru

Останавливаем веб-сервер apache (в данном примере будет использоваться nginx):

systemctl stop apache2

systemctl disable apache2

* если не остановить apache и попытаться установить nginx, мы получим ошибку Errors were encountered while processing: nginx-full.

Установка iRedMail

Заходим на страницу iredmail.org/download.html и копируем ссылку на скачивание последней версии почтового сервера:

Ссылка для скачивания iRedMail

Теперь используем ссылку для загрузки дистрибутива на сервере:

wget https://github.com/iredmail/iRedMail/archive/1.2.tar.gz

И распаковываем скачанный архив:

tar zxvf 1.2.tar.gz

Переходим в каталог с распакованным установщиком:

cd iRedMail-*/

И запускаем скрипт установки:

bash iRedMail.sh

Запустится мастер настроек. В первом окне с приветствием ответьте Yes.

В окне Default mail storage path оставляем /var/vmail и задаем свой путь для хранения сообщений:

Вводим путь хранения сообщений

В следующем окне Preferred web server желательно оставить Nginx:

Выбираем веб-сервер

В окне Choose preferred backend used to store mail accounts выбираем Mariadb:

Выбираем СУБД для хранения информации о почтовых ящиках

И задаем пароль для пользователя СУБД:

Вводим пароль для пользователя sql

На следующем шаге вводим наш первый почтовый домен:

Вводим пароль для пользователя sql

Теперь вводим пароль для управления почтовыми ящиками:

Пароль для управления почтовыми ящиками

В окне Optional components выбираем все доступные компоненты:

Выбираем все доступные компоненты iRedMail

В самом конце вводим Y, чтобы подтвердить введенные настройки.

Начнется установка почтового сервера. В зависимости от производительности, процесс может занять от 10 до 20 минут. В конце система предложит активировать брандмауэр — соглашаемся вводом Y.

После завершения, установщик даст подсказку, что необходимо перезапустить сервер для начала работы всех компонентов. Выполним перезагрузку:

shutdown -r now

Настройка iRedMail

Создание пользователя

Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/iredadmin/

Откроется страница входа в панель управления. Вводим логин postmaster@dmosk.ru и пароль (пароль и домен dmosk.ru — данные, которые мы вводили при установке iRedMail).

Создадим первого пользователя. Для этого переходим по AddUser:

Создание нового пользователя

Заполняем поля и создаем пользователя:

Заполняем поля для нового пользователя

Отключение Graylisting

Graylisting — мощное оружие против СПАМа, но с существенным минусом — все входящие сообщения, отправленные с определенного домена в первый раз будут приходить с задержкой. На момент тестирования это создает массу неудобств.

Для отлючения серого списка, добавляем права на редактирование следующему файлу:

chmod u+w /opt/iredapd/settings.py

После открываем его:

vi /opt/iredapd/settings.py

Находим перечисление плагинов:

plugins = [«reject_null_sender», «reject_sender_login_mismatch», «greylisting», «throttle», «amavisd_wblist», «sql_alias_access_policy»]

И вырезаем greylisting.

Возвращаем права:

chmod u-w /opt/iredapd/settings.py

Перезагружаем iredapd:

systemctl restart iredapd

Проверяем работу сервера

Для проверки сервера можно выполнить тестовую отправку и получения писем.

Отправка

Открываем браузер и в адресной строке вводим https://IP-адрес_сервера/mail/

Откроется панель для работы с почтой — вводим логин и пароль от созданного пользователя (логин должен быть с доменом, в нашем примере, test1@dmosk.ru)

Нажимаем Написать сообщение и отправляем тестовое сообщение на один из своих адресов:

Написать сообщение в roundcube

Получение

Для возможности получать письма, необходимо прописать в DNS для нашего домена запись типа MX.

Пример такой записи:

MX 10 mail.dmosk.ru

* где MX — тип; 10 — приоритет (таких записей может быть несколько); mail.dmosk.ru — имя нашего почтового сервера (на данное имя необходима также запись типа А).

После создания такой записи необходимо подождать от 1 до 8 часов, так как настройки DNS могут применяться не сразу.

Защищаем сообщения от попадания в СПАМ

Чтобы другие почтовые системы не принимали наши письма за СПАМ, выполняем следующие рекомендации:

А-запись в DNS

Для FQDN-имени почтового сервера должна быть создана А-запись в DNS. Пример записи:

mail.dmosk.ru A 90.156.242.197

Создаем PTR-запись для внешнего IP-адреса

Она должна вести на имя сервера (в данном примере, mail.dmosk.ru). Чтобы создать такую запись, нужно написать обращение Интернет-провайдеру или хостеру виртуальной машины. Пример записи:

171.23.222.83.in-addr.arpa name = mail.dmosk.ru

* данная запись соответствует IP-адресу 83.222.23.171.

Добавляем SPF-запись для домена

Эта запись создается в DNS для домена, от которого идет отправка сообщений. Пример:

dmosk.ru text = «v=spf1 +mx -all»

Прописываем DKIM в DNS

Для начала, смотрим ключ, который был сформирован во время установки iRedMail:

amavisd-new showkeys

Пример ответа:

dkim._domainkey.dmosk.ru. 3600 TXT (
«v=DKIM1; p=»
«MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+Ief»
«zcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia»
«+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHK»
«d2mdqfW+emSW/paUwQIDAQAB»)

Копируем DKIM и создаем в DNS запись TXT. Пример:

dmosk.ru text = «v=DKIM1; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDHNu0ZlYkq8pKsp131jnoZ+IefzcSP1WxGzGQXssg3yiRGBlqsRGBnnKgitrsPYTZbzqqL+/rW0ptGNhAqfTWHvMia+f4RSMLJPMREFtakVEZvTIK5iZvxuCZpVhvM6ldadTLAxbcupX38yMfJV73EwCHKd2mdqfW+emSW/paUwQIDAQAB»

Создать другую подпись DKIM

Генерируем новый ключ:

amavisd-new genrsa /var/lib/dkim/dmosk2.ru.pem 1024

* где dmosk2.ru — новый домен, для которого мы сгенерируем подпись dkim.
* некоторые системы не работают с ключами более чем 1024 бит.

Задаем права на созданный файл:

chown amavis:amavis /var/lib/dkim/dmosk2.ru.pem

chmod 0400 /var/lib/dkim/dmosk2.ru.pem

Открываем конфигурационный файл amavisd

vi /etc/amavisd.conf

Находим строчку:

dkim_key(‘dmosk.ru’, «dkim», «/var/lib/dkim/dmosk.ru.pem»);

И добавляем радом с ней новую. Получится так:

dkim_key(‘dmosk.ru’, «dkim», «/var/lib/dkim/dmosk.ru.pem»);
dkim_key(‘dmosk2.ru’, «dkim», «/var/lib/dkim/dmosk2.ru.pem»);

Теперь находим строчку:

@dkim_signature_options_bysender_maps = ( {

«dmosk.ru» => { d => «dmosk.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 },

И также после нее добавляем новую. Должно получиться:

@dkim_signature_options_bysender_maps = ( {

«dmosk.ru» => { d => «dmosk.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 },
«dmosk2.ru» => { d => «dmosk2.ru», a => ‘rsa-sha256’, ttl => 10*24*3600 },

Перезапускаем amavisd:

amavisd-new restart

Политика DMARC

Данная политика определяет, что делать с письмом, которое не проходит проверку. Подробнее о DMARC.

Для создания данной политики необходимо в DNS добавить TXT запись, примерно, такого содержания:

_dmarc.dmosk.ru. 3600 IN TXT «v=DMARC1; p=quarantine; sp=none; pct=100; fo=0; rua=mailto:postmaster@dmosk.ru»

* данная запись означает, что все письма, которые не прошли проверку, необходимо отправить в карантин, а отчет написать на ящик postmaster@dmosk.ru.

Ящик abuse

По аналогии с тем, как мы создавали тестовую учетную запись, необходимо создать ящик abuse@… На данный ящик могут приходить жалобы на СПАМ. Стоит время от времени просматривать его (или настроить переадресацию), и реагировать на жалобы.

Установка сертификата

Вместе с iRedMail создается самоподписный сертификат, которому по умолчанию, не доверяют другие системы. Если мы хотим, чтобы пользователи не видели предупреждений об использовании потенциально не безопасного сертификата, можно установить последний, выданный акредитованным центром сертификации. Мы же рассмотрим, как получить для iRedMail бесплатный сертификат от Let’s Encrypt (подробнее в статье получение сертификата от Let’s Encrypt).

Откроем на редактирование файл:

vi /etc/nginx/sites-enabled/00-default-ssl.conf

… и добавим в секцию server:

server {

location ~ /.well-known {
root /usr/share/nginx/html;
allow all;
}

}

Перечитаем конфиг nginx

systemctl reload nginx

Устанавливаем утилиту для получения сертификата:

apt-get install certbot

И получаем сертификат командой:

certbot certonly —webroot —agree-tos —email postmaster@dmosk.ru —webroot-path /usr/share/nginx/html/ -d mail.dmosk.ru

* подробнее параметры описаны в статье получение сертификата от Let’s Encrypt. Обратите внимание, что в данном примере мы получим сертификат для узла mail.dmosk.ru.

Удаляем старые сертификаты:

\rm /etc/ssl/private/iRedMail.key

\rm /etc/ssl/certs/iRedMail.crt

И создаем симлинки на полученные:

ln -s /etc/letsencrypt/live/mail.dmosk.ru/cert.pem /etc/ssl/certs/iRedMail.crt

ln -s /etc/letsencrypt/live/mail.dmosk.ru/privkey.pem /etc/ssl/private/iRedMail.key

* cert.pem и iRedMail.crt — открытые ключи (public); privkey.pem и iRedMail.key — закрытые (private); mail.dmosk.ru — узел, для которого был получен сертификат. Обратите внимание, что в нашем примере прописаны пути до сертификатов от Let’s Encrypt — если у вас свои сертификаты, пути должны быть соответствующими.

Перезапускаем следующие службы:

systemctl restart iredapd

systemctl reload nginx

Для автоматического продления сертификата создаем в cron задачу:

crontab -e

Добавим:

0 0 * * 1,4 /usr/bin/certbot renew && systemctl reload nginx && systemctl restart iredapd

Разрешить соединение без STARTTLS

После установки iRedMail, система будет требовать от клиента безопасного соединения по TLS. При необоходимости, можно отключить данную возможность.

Отключение для SMTP

Открываем конфигурационный файл postfix:

/etc/postfix/main.cf

Задаем следующие настройки:


smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
#smtpd_tls_auth_only = yes

* где smtpd_sasl_auth_enable разрешает или запрещает аутентификацию; smtpd_sasl_security_options — дополнительные опции для аутентификации; smtpd_tls_auth_only — разрешает соединение SMTP только по TLS. В данном примере мы разрешаем аутентификацию, запрещаем анонимные соединения и комментируем опцию, которая требует только безопасного соединения.

Перезапускаем postfix:

systemctl restart postfix

Отключение для IMAP/POP3

Открываем конфигурационный файл dovecot:

vi /etc/dovecot/dovecot.conf

Задаем следующие настройки:

ssl = yes
disable_plaintext_auth = no

* где disable_plaintext_auth запрещает аутентификацию без защиты; ssl задает опцию защиты (в данном примере, разрешить, но не требовать).

Перезапускаем dovecot:

systemctl restart dovecot

Дополнительные настройки

Настройка лимита на объем вложения

По умолчанию, допустимый размер отправляемого вложения, отправленного через iRedMail может быть размером не больше 15 Мб. Для увеличения этого порога вводим команду:

postconf -e «message_size_limit = 52428800»

* в данном примере выставлен лимит в 50 мб.

Генератор DSS OLED 128×64 SPI STM32F3

 Arduino  Комментарии к записи Генератор DSS OLED 128×64 SPI STM32F3 отключены
Ноя 272020
 

Генератор DSS OLED 128×64 SPI STM32F3

Генератор DSS OLED 128x64 SPI STM32F3

  • 0.1Hz ~ 2.0 mHz
  • WaveTable 2048x12bit
  • sinus, пила, обратная пила, треугольник, прямоугольник, pulse
  • STM32F303K6 LQFP32, Ext 8 MHz, Voltage 3.3 V
  • OLED 128×64 SSD1306 (SPI)

Вращение энкодера — смена частоты (в формате 1-2-5)

Кнопка энкодера — смена формы сигнала

Длинное нажатие кнопки — изменение контрастности индикатора

Генератор DSS STM32F303K6 OLED 128x64 SPI

Схема генератора DSS OLED

Выход генератора на DAC1_OUT2 Port A5 (11 вывод STM32F303K6 LQFP32)

Схема SPL7

Синус 2048 точек 12 бит

Пульс 2048 точек 12 бит

Прошивка 2019-04-26 кварц 25мГц

Прошивка 2018-11-20

Прошивка 2018-06-16

Программируем Ардуино «по воздуху» через ESP-link

 Arduino  Комментарии к записи Программируем Ардуино «по воздуху» через ESP-link отключены
Ноя 272020
 

Программируем Ардуино «по воздуху» через ESP-link

112У меня дома трудится масса устройств умного дома. Большая часть из них использует недорогие платы Arduino Pro Mini или микроконтроллеры Atmega328 с прошитым ардуиновским бутлоадером. Иногда, с приходом новых идей, требуется перепрограммирования всех этих устройств. Монтаж-демонтаж контроллера, встроенного в какую нибудь люстру то еще удовольствие. Скакать под потолком с ноутбуком тоже удовольствие ниже среднего. В последних сборках я устанавливаю микроконтроллеры на съемных панельках, что позволяет вынуть его, запрограммировать и вставить обратно.

Но как хотелось бы вдумчиво поотлаживать свои устройства прямо на месте. Думал для этих целей применить Serial Bluetooth адаптеры. Но недавно один хороший человек на форуме esp8266.ru с ником dao89 надоумил воспользоваться «народным! WiFi модулем ESP8266 и прошивкой ESP-link.

Возможности проекта ESP-link

  • Прозрачный шлюз между Wi-Fi и последовательным портом для отладки и обмена данными
  • Программирования микроконтроллеров AVR/Arduino модулей ESP8266, LPC800 и других с последовательным интерфейсом по «воздуху» через WiFi.
  • Встроенные протокол STK500V1 для загрузки файла с прошивкой AVR через встроенный WEB-сервер.
  • Отправка HTTP REST запросов через интернет
  • MQTT клиент для связи микроконтроллера с сервисами

Установка ESP-link

По ссылке качаем последнюю версию ESP-link. Я выбрал стабильную версию 2.1.7. Архив прошивки содержит четыре бинарных файла boot_v1.4(b1).bin, blank.bin. user1.bin и user2.bin и два скрипта на языке Shell для прошивки через порт и через WiFi. Я программирую ESP8266 под Windows с использованием утилиты XTCOM (подробнее описано мной в этой статье).

Для модулей с объемом памяти 512Кбайт

  • boot_v1.4\(b1\).bin загружаем по адресу 0x0000
  • user1.bin — 0x1000
  • blank.bin 0x7E000

Для модулей с объемом памяти 4Мбайт

  • boot_v1.4\(b1\).bin загружаем по адресу 0x0000
  • user1.bin — 0x1000
  • blank.bin 0x3FE000

Файл user2.bin служит для прошивки ESP «по воздуху» и в данный момент не используется

Теперь можно перейти к настройке модуля. Подключение к нему стандартное. Пока модуль «не прописан» в WiFi сети он работает как открытая точка доступа с именем типа ESP_012ABC (на некоторых модулях ai-thinker-012ABC) . После подключения нужно зайти через браузер на http://192.168.4.1 на WEB-страницу модуля.

На этой странице можно настроить GPIO модуля для подключения к RESET микроконтроллера, а также подключения дополнительных светодиодов индикации. Есть выбор «предустановленных» конфигураций портов в зависимости от типа модуля и назначения.

ESP-link Home

На странице WiFi можно настроить подключение к беспроводной сети, а также настроить статический IP-шник модуля, что я и делаю, так как постоянно подключаться к ESP как к точке доступа мне не удобно.

ESP-link WiFi

Следующая в меню страничка — это консоль микроконтроллера, вернее его последовательного порта. Среди настроек, очистка окна и настройка скорости. Подключив RX/TX порта микроконтроллера к TX/RX ESP-шки и установив правильную скорость, сразу видим в реальном времени отладочную информацию, выдаваемую контроллером в этот порт. Настройка скорости — это очень важная функция, о которой расскажу позже.

ESP-link mC console

Настройку MQTT и REST я пока пропускаю, так как моя цель не сбор информации, а удаленная отладка и прошивка микроконтроллера. Возможно об этом будет одна из моих следующих статей

ESP-link REST&MQTT

Последняя страничка посвящается любителям копаться в системных журналах. Туда выводится отладочная информация по работе ESP-link

ESP-link debug log

Ну вот, теперь у меня есть настроенный ESP-link. Я к нему подключил Arduino Pro Mini. Ножку DTR посадил на GPIO13 ESP-шки (настраивается на первом экране)

Настройка виртуального COM-порта в Windows

Теперь можно настраивать виртуальные COM-порт на компьютере. Для начала проверяю, что наш порт доступен по сети. Для этого захожу по TELNET-ом на 23-й или 2323 порт нашего ESP-link. (Так как TELNETа в Windows 7 нет, то использую для этого установленную у меня программу PUTTY. Данные, которые я видел в консоли через WEB-интерфейс вижу и в TELNET-клиенте.

ESP-link PUTTY

Осталось настроить виртуальный COM-порт на моем компьютере и связать его с ESP-link. Для этого устанавливаю Tibbo Device Server Toolkit под Widows. Запускаю VSP-manager и настраиваю виртуальный порт

Настройка виртуального COM порта

Все. Виртуальный COM10 связанный с моим ESP-link по 23 порту настроен.

Настройка виртуального COM-порта

Теперь, открывая его в среде Arduino IDE я могу работать с удаленным микроконтроллером через ESP-link. Контроль состояния виртуального порта можно посмотреть в мониторе, который TIBBO вывешивает в трее

tibbo4

Нюанс по скорости прошивки

Небольшой нюанс по скорости. Для прошивки нужно выставлять скорость в консоли ESP-link, прописанную в c:\Program Files (x86)\Arduino\hardware\arduino\avr\boards.txt для конкретного типа контроллера. В моем файле Arduino Pro Mini это 115200, для того же контроллера на Atmega168 — 19200. Мой перешитый на OPTIBOOT контроллер — 57600. Для программирования мне потребовалось установить эту скорость в настройках «по умолчанию» виртуального COM-порта

tibbo2

Эту же скорость нужно установить в консоли микроконтроллера ESP-link

esp-link3-2

После этих манипуляций удаленный AVR контроллер программируется так же как и подключенный к локальному порту USB-TTL конвертера. Разве что немного медленнее и не каждый раз, если связь WiFi неустойчивая.

При переходе в режим отладки требуется переключить скорость консоли в нужную (какая установлена в Serial.begin()

Подводя итоги

Повозившись с настройками я получил метод удаленной отладки и программирования любых Ардуино-контроллеров и AVR-с загрузчиком по последовательному порту (и наверняка многих других МК). Более того, я получил удаленную консоль для любых последовательных интерфейсов, например, от различных GPS и GSM модулей. Теперь осталось собрать ESP-шку в какой нибудь корпус, запитать от аккумулятора (мало ли у меня где-то под потолком будут проблемы с питанием) и наделать разъемов для быстрого подключения к различным контроллерам.

К недостаткам данного метода можно отнести его достаточно сложную настройку, некоторую тормознутость при прошивке и при работе консоли, а так же необходимость установки скорости прошивки/отладки (что не требуется при работе в том же Arduino IDE по локальным портам).