Server di posta how-to

[gromit60]

Pur essendo affetto da niubbismo cronico, mi sono messo in testa di “buttare su” un server di posta da utilizzare all’interno del mio ufficio, che facesse le cose che avevo in mente, cioè raccolta della posta dalle varie mail sparse per il mondo, controllo antivirus/antispam e poi ce li scarichiamo con calma.
Tempo fa avevo provato ad utilizzare p3scan, che fa da mail proxy, però lo scaricamento della posta era dannatamente lento, e i miei colleghi per poco non mi linciano, per cui l’ho dovuto togliere quanto prima.

Per raggiungere lo scopo, come un po’ tutti, penso, ho cominciato a raccogliere documentazione sul web ma nessun documento rispondeva pienamente alle mie richieste. Così ho creato un mio how-to che ora condivido con l’intento di comunicare quello che ho fatto, ma anche di ricevere critiche/suggerimenti per migliorare il tutto.


Note sulla realizzazione di server di posta Linux con controllo antivirus e antispam

Distribuzione utilizzata: Debian 3.1r0 Sarge
Tipo di installazione: base non grafica
Programmi utilizzati:
Postfix
Fetchmail
Procmail
Solid-pop3d
Spamassassin
Clamav


- Scaletta sintetica per l’installazione
1. installare Debian
2. modificare source.list
3. aggiungere gli utenti
4. installare postfix e configurarlo
5. installare procmail e configurarlo
6. installare spamassassin e configurarlo
7. installare clamav e configurarlo
8. installare clamassassin e configurarlo
9. installare fetchmail e configurarlo
10. installare solid-pop3


I vari files di configurazione inizialmente sono stati tratti da un documento reperito sul forum di Hardware Upgrade nella sezione Linux ed altri S.O., nei tutorials.
Il tutorial però fa riferimento all’attivazione di un server su una macchina linux che funge da workstation e non da server, per cui viene prevista la lettura della posta su questa con Mutt. Ovviamente i files di configurazione sono ritagliati su questa realtà.

La mia intenzione invece è di “tirare su” un server di posta interno, che possa essere utilizzato per scaricare la posta temporaneamente, e controllarla sia per quanto riguarda i virus che per lo spam, prima di essere scaricata dai singoli client (su macchine Win).


INSTALLAZIONE DEBIAN

Dopo aver installato la Debian Sarge occorre modificare il file /etc/apt/source.list per poter permettere un corretto aggiornamento del sistema con apt-get e aptitude, nonché dell’antivirus Clamav. Un esempio può essere:

deb http://ftp.it.debian.org/debian stable main contrib non-free
deb-src http://ftp.it.debian.org/debian stable main contrib non-free

deb ftp://ftp.nerim.net/debian-marillat/ stable main
deb-src ftp://ftp.nerim.net/debian-marillat/ stable main

deb http://giano.com.dist.unige.it/debian-volatile sarge/volatile main

deb http://security.debian.org/ stable/updates main

Il repository volatile serve per aggiornare correttamente ClamAV.

Creazione degli utenti
Al momento utilizzo utenti reali della macchina. Per evitare problemi una volta creato l’utente modifico il file /etc/passwd impostando la shell a /bin/false, altrimenti creo gli utenti utilizzando:

$adduser -–shell /bin/false nomeutente


POSTFIX

Per l’installazione è meglio utilizzare apt-get piuttosto che aptitude che sembra non funzionare bene in questo caso.

$apt-get install postfix

In fase di installazione scegliere l’opzione: nessuna configurazione.
Una volta installato utilizzo questo file di configurazione:

CONFIGURAZIONE DI /ETC/POSTFIX/MAIN.CF

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = nomehost.nomedominio.ext
mydomain = nomedominio.ext
mydestination = $myhostname, localhost.$mydomain, $mydomain
myorigin = $myhostname
inet_interface = all
relayhost = smtp del provider
mynetwork_style = host
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
home_mailbox = Mailbox
mail_spool_directory = /var/spool/mail
mailbox_command = /usr/bin/procmail
mail_owner = postfix
smtpd_helo_restriction = reject_invalid_hostname, reject_unknown_hostname
disable_vrfy_command = yes

Le parti in corsivo vanno sostituite con i vostri dati, ovviamente 
Mantengo anche il discorso degli alias che al momento non mi servono perché non utilizzo utenti virtuali, però per un uso futuro…

Inizializzare il database degli alias

$newaliases

Avviare il server smtp con:

$/etc/init.d/postfix start

e provate subito una connessione telnet alla porta 25, se il server è attivo e ben configurato dovreste riuscire ad inviare una mail.


PROCMAIL

Il file principale è /etc/procmailrc che stando in /etc/ rimane valido per qualsiasi utente presente sul pc. Ovvio che se il file non esiste va creato a mano tramite il comando touch. L’utilizzo di Procmail è limitato all’invio delle mail ai due programmi per il filtraggio: ClamAV e Spamassassin.
Nelle regole conviene impostare la regola di invio a ClamAV per prima. Al momento le mail che risultano infette da virus vengono mandate a /dev/null senza alcun avviso per il destinatario (non mi piace).
Ho impostato il file di log in var/log con il nome di procmail.log. Il file non era presente e l’ho creato con

#: cd /var/log
#: touch procmail.log
#: chown mail:mail procmail.log
#: chmod 666 procmail.log

Per fare in modo che procmail possa scriverci sopra ho dovuto impostare i permessi sul file in 666. Non so fino a che punto sia corretto, però funge.

Il procmailrc che utilizzo è questo:

CONFIGURAZIONE DI ETC/PROCMAILRC

SHELL=/bin/sh
PATH=$HOME/bin:/usr/bin:/usr/ucb:/bin/usr/local/bin:.
DROPPRIVS=yes

VERBOSE=yes # impostare a no dopo il debug (yes | no)
LOGABSTRACT = all # produce log MOLTO estesi, impostare a no in seguito (all |
LOGFILE=/var/log/procmail.log # file di log

# prima di filtrare con spamassassin controllo se ci sono virus
:0fw
| /usr/local/bin/clamassassin

:0:
* ^X-Virus-Status: Yes
/dev/null


# prima di consegnare le mail, filtro quelle rimaste con spamassassin (solo messaggi inferiori a 256k)
:0fw:
* < 256000
| spamc

SPAMASSASSIN

Spamassassin non è altro che un programma che analizza tutte le mail indistintamente in ingresso (consegnategli da procmail) per identificare se vi è dello spam.
Il suo compito è quello di assegnargli un livello di spam (vedi required_score nel file di configurazione) e se questo livello supera il 5.0 (required_score) come predefinito, verrà allora considerato spam, marcherà l'email aggiungendo ******SPAM****** al soggetto. Il valore si può modificare a piacere ma occorre valutare bene prima di mettere valori troppo bassi o troppo alti.

Installato secondo le istruzioni: $apt-get install spamassassin spamc razor (oppure utilizzando aptitude)

Questo è il file di configurazione che utilizzo:

CONFIGURAZIONE DI ETC/SPAMASSASSIN/LOCAL.CF

# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
###########################################################################
#
# rewrite_header Subject *****SPAM*****
# report_safe 1
# trusted_networks 212.17.35.
# lock_method flock

# Imposta il punteggio che deve raggiungere la mail per essere considerato spam
required_score 5.0

# Testo da aggiungere al subject delle e-mail identificate spam
rewrite_header Subject *****SPAM*****

# Se report_safe h impostato a "1", i messaggi ritenuti spam verranno allegati come file
report_safe 0

# Filtro Bayesiano
use_bayes 1

# Auto-apprendimento di filtro
auto_learn 1

# Controllo sulle RBL, se gia' l'isp che offre la mail fa questo, impostarlo a "1" altrimenti a "0"
skip_rbl_checks 0

# Uso razor
use_razor2 1

# File di configurazione di razor (controllatene l'esistenza)
razor_config /etc/razor/razor-agent.conf

# Tempo di time-out di razor
razor_timeout 10

# Controllo sul dns
dns_available yes

# Lingue da non considerare potenzialmente spam
ok_languages it

# Domini dal quale le mail NON verranno considerata spam
whitelist_from *@nomedominio.ext

# Domini dal quale TUTTE le mail verranno considerata spam
# http://www.spam-blockers.com/SPAM-blacklists.htm
blacklist_from *@nomedominio.ext

Molto importante la sezione whitelist per considerare sempre valide le mail provenienti da 1 o più domini. A queste viene assegnato un punteggio di -15 (se ricordo bene) per cui anche se contengono codice html (per esempio) è difficile che oltrepassino la soglia di +5.

Attivo spamd cambiando il valore di default da 0 a 1 nel file /etc/default/spamassassin:

# Change to one to enable spamd
ENABLED=1

Nel procmailrc c’è la regola che manda le mail a spamc piuttosto che spamassassin (più pesante).


CLAMAV

Nessun problema relativo all’installazione. Si installa con aptitude selezionando “clamav”. Per avere la versione più aggiornata occorre che nel source.list sia elencato almeno un repository volatile.

Clamassassin

Il suo funzionamento è simile a quello di spamassassin ma, ovviamente, le mail vengono indirizzate a ClamAV.
Per l’installazione occorre fare tutto “a manina” andando sul sito, scaricando il tar, lo si copia (con Winscp) nella cartella /tmp, poi si scompatta con il classico tar xvzf poi:

./configure
make install


FETCHMAIL

$apt-get install fetchmail

La configurazione di uno o più account di posta viene fatta tramite il file /etc/fetchmailrc che deve essere presente e ben configurato.
Dopo aver creato il file /etc/fetchmailrc si vanno ad impostare i vari parametri che lo regolano.

$touch /etc/fetchmailrc

Utilizzo un unico file di configurazione, non specifico per ogni utente, e questo è un esempio:

CONFIGURAZIONE DI /ETC/FETCHMAILRC

# I M P O S T A Z I O N I
# poll (inizializza la connessione al server e imposta il tempo di attesa di connessione)
# proto (tipo di protocollo da usare)
# authenticate (tipo di autenticazione)
# user (nome utente per l'autenticazione)
# password (password per l'autenticazione)
# mda (mail delivery agent al quale passare la posta)
# is user here options (utente al quale destinare la posta piu' eventuali opzioni)

Defaults proto POP3
mda '/usr/bin/procmail -d %T'


# ACCOUNT nomeutente@nomedominio.ext
poll popserver.nomedominio.ext timeout 60
authenticate password
user nomeutente
password password
is utente here options keep

Le prime due righe sono valide per tutti gli account inseriti. Occorre inserire un account per ogni indirizzo mail che si intende scaricare. La sintassi è semplice ed è quasi autoesplicativa. Per quanto riguarda le opzioni qui ho utilizzato keep che significa “lascia le mail sul server” ma si può usare nokeep (li cancella), flush, oppure fetchall

Conviene creare il file come ultimo passo, in modo da cominciare a scaricare la posta localmente quando tutto è a posto.


SOLID-POP3D

Da installare con aptitude. E’ preferibile farlo richiamare da inetd.
Solid-pop3d che farà semplicemente da server pop3 non necessita di essere configurato, è più che sufficente per scopi casalinghi e sicuro, supporta sia mailbox che maildir a differenza di courier, virtual hosting, APOP authentication etc..
si installa ed è pronto per l'uso

$apt-get install solid-pop3d

dovrebbe avviarsi in automatico alla fine dell'installazione ma se così non fosse avviatelo subito e provate come con prostifx se funziona.

$/etc/init.d/solid-pop3d start

$nmap localhost
PORT STATE SERVICE
25/tcp open smtp (postfix)
110/tcp open pop3 (solid-pop3d)
783/tcp open hp-alarm-mgr (spamassassin)

$telnet localhost 110
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
+OK Solid POP3 server ready

in caso di problemi il file di configurazione è /etc/spop3d.conf mentre in /usr/share/doc/solid-pop3d/examples/ è presente un file di configurazione come esempio. E'sempre buona regola fare debugging tramite "$cat /var/log/syslog" .


Per il momento il server di posta così configurato soddisfa le mie esigenze. Quello che mi piacerebbe implementare sarebbe un avviso da parte di ClamAV quando trova un virus (per ora butta la mail in dev/null senza dire niente a nessuno) e la possibilità di consultare la posta in webmail senza scaricarla.


Link utili

http://www.hwupgrade.it/forum/showthread.php?t=944062 La base di partenza (PiloZ)
http://drivel.com/clamassassin/ Clamassassin
http://www.webmail.us/testvirus Invio di mail infette per testare l’antivirus.
http://www200.pair.com/mecham/spam/s...r20050626.html - Server di posta con di tutto e di più

[ilsensine]

Direi che può essere molto utile. Qualche commento dagli esperti? Gurutech?

[LimiT-MaTz]

io uso mailscanner.
e naturalmente clamav e spamassassin.
perche ignoravo l'esistenza di clamassasin .

[dennyv]

Quote:

Originariamente inviato da LimiT-MaTz

io uso mailscanner.
e naturalmente clamav e spamassassin.
perche ignoravo l'esistenza di clamassasin .

Anch'io non lo conoscevo... anche perchè uso il buon classico (e pesante ) amavis-new... comunque bella guida, magari più avanti la si può integrare con una sui virtualhost con backend mysql o ldap!

[kingvi]

Davvero molto interessante. Io sto cercando qualche guida per un server di posta con questi programmi:
- Postfix
- Squirrelmail
- courier-pop
- courier-imap
e altri inseriti nella guida postata in questo topic.

Sapreste darmi una mano o indirizzarmi?

[PiloZ]

Quote:

Originariamente inviato da gromit60

Il tutorial però fa riferimento all’attivazione di un server su una macchina linux che funge da workstation e non da server, per cui viene prevista la lettura della posta su questa con Mutt. Ovviamente i files di configurazione sono ritagliati su questa realtà.

buono
sul mio howto essendoci un server pop il tutto diventa estendibile anche su un server al quale i client si possono collegare
tra i Link utili avrei aggiunto l'howto fatto da me

[cikko]

Quote:

Originariamente inviato da PiloZ

buono
sul mio howto essendoci un server pop il tutto diventa estendibile anche su un server al quale i client si possono collegare
tra i Link utili avrei aggiunto l'howto fatto da me

ottimo l'howto di PiloZ, e` davvero molto chiaro. Comunque Mutt puo` accedere direttamente alle caselle e-mail senza l'ausilio di Fetchmail: bisogna impostare i parametri `pop_host' e `pop_user' nel file .muttrc.
Per IMAP invece, imap_user e imap_pass. Si puo` anche definire come spool:
set spoolfile={mail.isp.it}inbox
set folder={mail.isp.it}

Saluti

[edivad82]

Quote:

Originariamente inviato da kingvi

Davvero molto interessante. Io sto cercando qualche guida per un server di posta con questi programmi:
- Postfix
- Squirrelmail
- courier-pop
- courier-imap
e altri inseriti nella guida postata in questo topic.

Sapreste darmi una mano o indirizzarmi?

http://workaround.org/articles/ispmail-sarge/
http://www.littleboboy.net/?2005/04/...x-courier-imap
http://high5.net/postfixadmin/
http://www.akadia.com/services/postfix_amavisd.html
http://www.renaissoft.com/maia/index.php

squirrel è una stupidata, basta che segui i readme

[edivad82]

Quote:

Originariamente inviato da ilsensine

Direi che può essere molto utile. Qualche commento dagli esperti? Gurutech?

non mi piace usare procmail per girare le mail a spamassassin e clam, meglio usare amavisd-new e passare le mail in pipe da postfix...

naturalmente sarebbe consigliabile un layout con mysql per la flessibilità e la semplicità di gestione con postfixadmin o un tool equivalente

[dennyv]

Quote:

Originariamente inviato da edivad82

non mi piace usare procmail per girare le mail a spamassassin e clam, meglio usare amavisd-new e passare le mail in pipe da postfix...

naturalmente sarebbe consigliabile un layout con mysql per la flessibilità e la semplicità di gestione con postfixadmin o un tool equivalente

E' la mia configurazione... se trovo un buco di tempo e serve una mano sarò felice di collaborare per creare una guida!

[gromit60]

Quote:

Originariamente inviato da PiloZ

buono
sul mio howto essendoci un server pop il tutto diventa estendibile anche su un server al quale i client si possono collegare
tra i Link utili avrei aggiunto l'howto fatto da me

Più che giusto, anche perché sono partito proprio dal tuo per fare il lavoro. Inserirò un link diretto!

[kingvi]

Quote:

Originariamente inviato da edivad82

http://workaround.org/articles/ispmail-sarge/
http://www.littleboboy.net/?2005/04/...x-courier-imap
http://high5.net/postfixadmin/
http://www.akadia.com/services/postfix_amavisd.html
http://www.renaissoft.com/maia/index.php

squirrel è una stupidata, basta che segui i readme

Grazie mille, appena ho due minuti (si fa per dire!) provo e vediamo cosa ne salta fuori.

[kingvi]

Quote:

Originariamente inviato da edivad82

http://workaround.org/articles/ispmail-sarge/

Non funziona questo link

[edivad82]

Quote:

Originariamente inviato da kingvi

Non funziona questo link

come no? funza funza

[kingvi]

Quote:

Originariamente inviato da edivad82

come no? funza funza

Con firefox va...

[edivad82]

Quote:

Originariamente inviato da kingvi

A me no! Nè da casa, nè dall'ufficio
Lo puoi salvare in formato mht e mandarmelo via mail? (sperando che sia una unica grande pagina altrimenti lascia perdere)
La mail: cristianvi@freemail.it

Grazie!

fatto non è mht ma è lo stesso

[kingvi]

Quote:

Originariamente inviato da edivad82

fatto non è mht ma è lo stesso

Cavolo nemmeno il tempo di editare il post... mitico!

Grazie lo stesso

[DigitalKiller]

Sfrutto questo 3d senza aprirne un altro simile
Un po' di tempo fa ho configurato la mia debian in modo che scarichi le email dalle varie caselle (circa 15 su un dominio gestito da un isp) e le smisti nelle varie caselle del dominio locale.
Sui vari pc ho creato della lan, ho poi creato l'account locale per scaricare la posta filtrata. Sui pc, quindi, ci sono 2 account: uno per la posta in uscita ed uno per quella in entrata.
Ora, però, vorrei fare in modo che anche le mail in uscita fossero filtrate. Come faccio?

[gromit60]

Se ti può essere di aiuto ti dico come ho fatto io nel mio ufficio. Anziché creare due account ho impostato il dominio in postfix uguale al dominio del provider così nel client di posta mi basta cambiare il server da cui si scarica la posta e non l'account che rimane lo stesso (cioè sarà account@miodominio.it su 192.168.xx.yy e non su pop.miodominio.it) e questo anche per la posta in uscita. Inoltre ho impostato il server di posta anche come smtp così le mail passano tramite esso anche in uscita. Ovviamente occorre impostare il relayhost in postfix. A questo punto penso si possa impostare anche il controllo della posta in uscita (con ClamAV?).

[~Blissard~]

IPCop non è più semplice da utilizzare per questo scopo?