Install Exim4 mit Spamassassin, Dovecot auf Ubuntu 22.
Heute beschreibe ich, wie ich einen Mailserver mit IMAP, validen SSL-Zertifikat mithilfe von nginx, Let’s Encrypt, Antispam mit Spamassassin, DNS-Blacklist und IMAP via Dovecot aufbaue.
- Installieren der Grundpackete
- SSL-Zertifikat via nginx für Exim4
- Exim4 Konfigurieren
- update-exim4.conf.conf
- Virtuelle Domains
- 00_localconfig
- 00_exim4-config_header
- 25_exim4-config_check_rcpt_reject_RDNS_fail
- Exim SMTP Auth via dovecot
- Exim Router für virtuelle dovecot User
- Spamassassin Setup
- Config übernehmen und Service restarten
- SMTP testen
- Exim live log
- Exim Kommandos
- Links
Installieren der Grundpackete
apt install exim4-daemon-heavy sa-exim spamassassin spf-tools-perl bind9-dnsutils swaks libnet-ssleay-perl dovecot-core dovecot-imapd nginx-light python3-certbot-nginx python3-certbot net-tools
SSL-Zertifikat via nginx für Exim4
Als Erstes werde ich mir ein SSL-Zertifikat für Exim4 via nginx und dem Certbot erzeugen. Dafür brauche ich einen Vhost, der weiterhin existieren muss und zum Zertifikat updaten genutzt wird.
mkdir -p /var/www/serverdummy
$ cd /etc/nginx/sites-available
touch $domainname
nano $domainname
server {
server_name $domainname;
root /var/www/serverdummy;
# Add index.php to the list if you are using PHP
index index.html index.htm;
}
Symlink zum Einschalten des Vhosts und nginx restarten:
cd ../sites-enabled
ln -s ../sites-available/$domainname ./
service nginx restart
Let’s Encrypt Zertificat für Exim4
Jetzt bauen wir uns einen Script, der uns beim Updaten das neue SSL-Zertificat in unser Exim-Directory kopiert.
mkdir -p /etc/letsencrypt/renewal-hooks/post/
nano /etc/letsencrypt/renewal-hooks/post/exim_key.sh
Jetzt fügen wir dieses Script dort ein, "$domainnam durch deine Domain ersetzten":
#!/bin/sh
cp /etc/letsencrypt/live/$domainname/fullchain.pem /etc/exim4/exim.crt
cp /etc/letsencrypt/live/$domainname/privkey.pem /etc/exim4/exim.key
chown root:Debian-exim /etc/exim4/exim.crt
chown root:Debian-exim /etc/exim4/exim.key
chmod 640 /etc/exim4/exim.crt
chmod 640 /etc/exim4/exim.key
service exim4 restart
Das Script müssen wir nun ausführbar machen und beantragen ein neues Zertifikat mit nginx und forcieren mit --force-renewal das unser Script getestet wird.
chmod +x /etc/letsencrypt/renewal-hooks/post/exim_key.sh
certbot --nginx -d $domainname
certbot renew --force-renewal
Wenn jetzt in 'ls /etc/exim' unser exim.crt und exim.key Files existieren, hat alles geklappt :)
Exim4 Konfigurieren
update-exim4.conf.conf
"$serverip durch Deine Server-IP ersetzen"
dc_eximconfig_configtype='internet'
dc_other_hostnames='$domainname;noch-eine-domain.tld
dc_local_interfaces='127.0.0.1;$serverip'
dc_readhost=''
dc_relay_domains=''
dc_minimaldns='false'
dc_relay_nets=''
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='true'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='maildir_home'
Virtuelle Domains
Weil dieser Server mehr als eine Domain handhaben soll, aber auch nicht alle User auf jeder Domain einen Account haben sollen, mache ich mir den Umweg über Domainlisten mit User-Listen in denen man als alias so wie eine Weiterleitung konfigurieren kann.
mkdir /etc/exim4/domains
touch /etc/exim4/domains/$domainname
nano /etc/exim4/domains/$domainname
Die Syntax ist jetzt "Mail-Username: localname" oder "Mail-Username: Mailalias"
user1: user1
postmaster: user1
user2: klauspeter@externedomain[.]com
Und jetzt braucht es noch einen Router für unsere virtuellen Mails.
Dafür legen wir das File /etc/exim4/conf.d/router/090_exim4-config_virtuals mit diesem Inhalt an:
virtuals:
driver = redirect
allow_defer
allow_fail
data = $local_part_data
domains = dsearch,ret=full;//etc/exim4/domains
local_parts = wildlsearch;$domain_data
retry_use_local_part
# no_more
Damit gehen jetzt Mails an user1@$domainname z.b. an den User user1 und Mails an user2@$domainname werden an user2@externedomain[.]com weitergeleitet, wobei der Mailserver von externedomain[.]com unseren Server jetzt natürlich als relay akzeptieren muss.
Durch wildlsearch gehen auch wildcard aliase wie *+test : username was alle Mails mit +test am ende weiterleitet wie shopname+test@domain.
00_localconfig
Für unsere lokale Konfiguration legen wir jetzt ein eigenes File an, in dem wir alle möglichen Regeln festlegen.
nano /etc/exim4/conf.d/main/00_localconfig
# https://wiki.debian.org/Exim
MAIN_TLS_ENABLE = true
CHECK_RCPT_SPF = true
daemon_smtp_ports = 25 : 465
tls_on_connect_ports = 465
MAIN_TLS_ADVERTISE_HOSTS=*
MESSAGE_SIZE_LIMIT=50M
REMOTE_SMTP_SMARTHOST_HOSTS_REQUIRE_TLS = *
TLS_ON_CONNECT_PORTS = 465
REQUIRE_PROTOCOL = smtps
disable_ipv6=true
dns_ipv4_lookup='*'
MAIN_IGNORE_BOUNCE_ERRORS_AFTER = 12h
MAIN_TIMEOUT_FROZEN_AFTER = 1d
Ich schalte ipv6 ab, weil Spamprotektion zum großteils über DNS-Blacklisten läuft und die sind für ipv6 nicht wirklich effektiv. Wenn es keine Spamer oder Betrüger geben würde, wäre die Welt einfacher.
00_exim4-config_header
In /etc/exim4/conf.d/acl/00_exim4-config_header schalten wir jetzt ein paar Checks ein, damit das gröbste weggefiltert werden kann.
nano /etc/exim4/conf.d/acl/00_exim4-config_header
######################################################################
# ACL CONFIGURATION #
# Specifies access control lists for incoming SMTP mail #
######################################################################
# https://www.dnsbl.info/dnsbl-list.php
# https://www.spamhaus.org/zen/
# http://www.sorbs.net/mailsystems/exim4.shtml
# http://www.usenix.org.uk/content/rbl.html#exim
# https://abuse.ch/?p=532
CHECK_RCPT_IP_DNSBLS = zen.spamhaus.org:dnsbl.sorbs.net:all.s5h.net:combined.abuse.ch
CHECK_MAIL_HELO_ISSUED=true
CHECK_RCPT_REVERSE_DNS=true
begin acl
25_exim4-config_check_rcpt_reject_RDNS_fail
Wenn man, wie z.z. Google es auch macht, alle Mails von Servern ignorieren will, die keinen Reverse-DNS-Eintrag haben, geht das mit dieser Regel:
nano /etc/exim4/conf.d/acl/25_exim4-config_check_rcpt_reject_RDNS_fail
.ifdef CHECK_RCPT_REVERSE_DNS
# Verify reverse DNS lookup of the sender's host.
deny
message = Reverse DNS lookup failed for $sender_host_address
log_message = Reverse DNS lookup failed for $sender_host_address
!authenticated = *
!verify = reverse_host_lookup
!hosts = ${if exists{CONFDIR/local_broken_dns_whitelist}\
{CONFDIR/local_broken_dns_whitelist} {}}
.endif
Exim SMTP Auth via dovecot
/etc/dovecot/conf.d/10-master.conf
Als Erstes müssen wir Dovecot so einrichten, damit er uns ein Auth-Socket anbietet. Dafür ändern wir die Config in /etc/dovecot/conf.d/10-master.conf, suchen hier die Sektion "service auth {" und fügen folgende Zeilen ein:
nano /etc/dovecot/conf.d/10-master.conf
#SASL
unix_listener auth-client {
mode = 0660
user = Debian-exim
}
/etc/exim4/conf.d/auth/20_exim4-config_dovecot
Und nun fügen wir den Auth-Part in Exim ein der das Socket von Dovecot zum Authentifizieren benutzt.
nano /etc/exim4/conf.d/auth/20_exim4-config_dovecot
dovecot_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
dovecot_ntlm:
driver = dovecot
public_name = NTLM
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1
Restart Dovecot und Exim:
service dovecot restart
update-exim4.conf
service exim4 restart
Exim Router für virtuelle dovecot User
/etc/exim4/conf.d/router/950_exim4-config_dovecot
nano /etc/exim4/conf.d/router/950_exim4-config_dovecot
# Router to send any mail for who a dovecot user exists to the appropriate maildir box
# Routers are evaluated in order of configuration.
# You will want to place this after the remote router and before the
# localuser router in the default configuration.
# If you want to allow + addressing (ie having an address extension)
# then uncomment the suffix stanzas
dovecot_router:
driver = accept
local_parts = ! root
require_files = +/home/virtual/${local_part}/
transport = dovecot_transport
/etc/exim4/conf.d/transport/50_exim4-config_dovecot
nano /etc/exim4/conf.d/transport/50_exim4-config_dovecot
# Transport to send any mail for who a dovecot user exists to the appropriate maildir box
# Transports definitions are not order dependant - you just call a named transport
dovecot_transport:
driver = appendfile
user = vmail
group = vmail
mode = 0640
directory=/home/virtual/${lc:$local_part}/Maildir/
maildir_format = true
mode_fail_narrower = false
envelope_to_add = true
return_path_add = true
Create vmail user and group
groupadd vmail
useradd -g vmail -s /usr/bin/nologin -d /home/virtual -m vmail
/etc/dovecot/conf.d/10-mail.conf
Die mail_location muss in Dovecot noch auf MailDir umgestellt werden. Als default Steht es auf mbox "mail_location = mbox:~/mail:INBOX=/var/mail/%u"
nano /etc/dovecot/conf.d/10-mail.conf
mail_location = maildir:~/Maildir
Virtuelle User in der Dovecot Config einrichten
nano /etc/dovecot/conf.d/auth-passwdfile.conf.ext
Folgende Zeile in den userdb { Bereich eintragen:
default_fields = uid=vmail gid=vmail home=/home/virtual/%u
Und jetzt muss man das Laden des Files noch einkommentieren in:
nano /etc/dovecot/conf.d/10-auth.conf
Am Ende des Files !include auth-passwdfile.conf.ext die Raute entfernen und den Dienst restarten.
Neuen Mailuser in Dovecot anlegen
User kann man jetzt mit doveadm anlegen, indem man ein Password mit doveadm generiert und den User dann in /etc/dovecot/users einträgt.
Ein Password generieren.
doveadm pw -s SHA512-CRYPT
nano /etc/dovecot/users
chown root:dovecot /etc/dovecot/users
chmod 640 /etc/dovecot/users
Und ein User ist dann z.b. so aufgebaut.
name:passwd:::/ome/virtual/name:::
Also für den User: user1 mit dem Password ‚geheim‘:
user1:{SHA512-CRYPT}$6$LYd4Ss8kxrEYK6to$1SEvEKLuwhSNdN3IVSKJgfGZ1zqs7Q4lHXv4gsmuTyM37sxwSEpmHM5N4zumbV1ZWER2CD1J8xM9IQEhDr4yh0:::/home/virtual/user1:::
user2:{PLAIN}secret:::/home/virtual/user2:::
Lokaluserdaten ausgeben
doveadm user user1 user2 email@mail.com
Maildir Ordner anlegen
sudo -u vmail mkdir -p /home/virtual/testuser/Maildir
service dovecot restart
User zur Exim-virtuellen-Domain hinzufügen
Nun muss man den User in eine oder mehrere Domains hinzufügen in /etc/exim4/domains/. Man kann also einen Username, bei diesem Setup nur einmal im System haben.
Spamassassin Setup
sa-exim.conf
Damit Spamassassin in Exim funktioniert, muss man noch die sa-exim Config anpassen. Als Erstes muss man die Zeile mit "SAEximRunCond: 0" auskommentieren:
# SAEximRunCond: 0
Um lokale Scanns zu verhindern, fügen wir jetzt diese Zeile hinzu:
SAEximRunCond: ${if and {{def:sender_host_address}{!eq{$acl_m0}{noscan}}}}
add noscan in 30_exim4-config_check_rcpt
Und ändern noch ein paar Sachen an der Exim Config, damit ‚noscan‘ auch gesetzt wird:
nano /etc/exim4/conf.d/acl/30_exim4-config_check_rcpt
acl_check_rcpt: anspassen
Hier muss die Zeile mit "set acl_m0 = noscan" hinzugefügt werden:
acl_check_rcpt:
# Accept if the source is local SMTP (i.e. not over TCP/IP). We do this by
# testing for an empty sending host field.
accept
hosts = :
control = dkim_disable_verify
set acl_m0 = noscan
Und so suchen wir jetzt noch mehr Sektionen mit "control = dkim_disable_verify" und wenn sie in einem accept-Sektion sind, fügen wir "set acl_m0 = noscan" hinzu. Z.Z habe ich insgesamt 3* "set acl_m0 = noscan" in meiner Config.
- acl_check_rcpt
- hosts = +relay_from_hosts
- authenticated = *
Enabel Update via Cronjob
nano /etc/default/spamassassin
Hier gibt es jetzt eine Zeile mit CRON=0 wo man die 0 durch eine 1 ersetzen muss:
CRON=1
Spamassassin Service
Per default wird Spamassassin nicht als Service gestartet. Um das einzuschalten, muss man dieses Kommando ausführen:
update-rc.d spamassassin enable
service spamassassin restart
Config übernehmen und Service restarten
update-exim4.conf
service exim4 restart
SMTP testen
swaks -a -tls -q HELO -s localhost -au username -ap '<>'
Exim live log
Alle log-Files ohne einen Punkt anzeigen in der bash :)
shopt -s extglob
tail -f /var/log/exim4/!(*\.*)
Exim Kommandos
Statistiken
eximstats /var/log/exim4/mainlog
Mails in der Warteschlange
exim4 -bpru
exim -bp | exiqsumm
oder
mailq
mailq | exiqsumm
Konfig Testen
Testen, was mit einer Mail passiert.
exim -bt tarfet@mail.net
Viel Spaß beim Nachbauen.