Включаем поддержку SSL в Postfix, FreeBSD 10.x

Предыдущий пост (включение подписи DKIM) не помог избавиться от попадания в папку СПАМ на ящиках gmail, поэтому следующим этапом попробуем включение принудительного шифрования писем SSL на домене.

Сначала сделаем самоподписный сертификат:

openssl req -new -nodes -x509 -out /usr/local/etc/postfix/smtpd.pem -keyout /usr/local/etc/postfix/smtpd.pem -days 3650

Добавляем в Postfix поддержку SSL:

mcedit /usr/local/etc/postfix/main.cf
smtp_use_tls = yes
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_cert_file = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_CAfile = /usr/local/etc/postfix/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

В файле /usr/local/etc/postfix/master.cf нужно добавить:

smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes

и перестартовать postfix

Настройка DKIM подписи на FreeBSD 10.4 почтовый сервер Postfix

Зачем она нужна? Например для того чтобы почтовые сервера gmail.com, mail.ru и ряд других не отправляли письма с вашего домена в папку «спам».

Ставим opendkim:

pkg install opendkim

Создадим файл конфигурации opendkim на основе примера:

cat /usr/local/etc/mail/opendkim.conf.sample | egrep -v '^#|^$' > /usr/local/etc/mail/opendkim.conf
mcedit /usr/local/etc/mail/opendkim.conf

Получим файл вида:

Domain			example.com
KeyFile			/var/db/dkim/example.private
Selector		my-selector-name
Socket			inet:port@localhost
Syslog			Yes

Преобразуем его к виду:

Domain			domen.ru
KeyTable			/var/db/dkim/KeyTable
SigningTable		/var/db/dkim/SigningTable
ExternalIgnoreList	/var/db/dkim/TrustedHosts
Selector		relay
Socket			inet:12301@localhost
Canonicalization	relaxed/relaxed
Syslog			Yes

В файл /var/db/dkim/TrustedHosts добавим хосту с которых разрешены подключения:

*.domen.ru
127.0.0.1
localhost

Создаем каталог для хранения ключей и создаем собственно сами ключи:

mkdir -p /etc/opendkim/domen.ru
opendkim-genkey -D /etc/opendkim/tviinet.ru/ --domain tviinet.ru --selector relay

Создадим пользователя opendkim,зададим владельца и права доступа на файлы:

pw useradd opendkim -m -s /usr/sbin/nologin -w no
chown :opendkim /etc/opendkim/domen.ru/*
chmod g+rw /etc/opendkim/domen.ru/*

Создаем таблицу KeyTable. В ней хранится список соответствий между селекторами, доменами и файлами с закрытыми ключами. Формат записей:
<селектор>._domainkey.<домен> <домен>:<селектор>:<путь к закрытому ключу>

mcedit /var/db/dkim/KeyTable

Например:

relay._domainkey.tviinet.ru domen.ru:relay:/etc/opendkim/tdomen.ru/relay.private

Создаем SigningTable. В данной таблице хранятся соответствия между определенными email-адресами и записями в KeyTable.

mcedit /var/db/dkim/SigningTable

Добавляем в него:

*@domen.ru relay._domainkey.domen.ru

Далее пробуем стартовать сервис:

/usr/local/etc/rc.d/milter-opendkim onestart

Если всё хорошо, правим конфигурацию postfix:

mcedit /usr/local/etc/postfix/main.cf

Добавляем:

milter_protocol = 2
milter_default_action = accept
smtpd_milters = inet:localhost:12301
non_smtpd_milters = inet:localhost:12301

Перезапускаем postfix:

/usr/local/etc/rc.d/postfix restart

Если всё хорошо, остался последний шаг: правка DNS. Посмотрим содержимое:

cat /etc/opendkim/domen.ru/relay.txt

relay._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDPHo37kaZ6zTfi8pZUE2QIDAQAB" )  ; ----- DKIM key relay for domen.ru

Добавим эту запись в зону TXT  DNS. И пробуем отправить письмо например на gmail.com. В «исходном письме» должна присутствовать запись о DKIM.

 

Последовательное выполнение команд в Linux

Иногда нужно одной строчкой выполнить последовательно несколько команд в терминале. Причем сделать это с контролем корректности выполнения предыдущей команды. Простейший способ — выполнять их через оператор &&, например:

/usr/local/etc/rc.d/memcached restart && /usr/local/bin/wget -m -np -nv -R jpg,jpeg,gif,png,tif,css --spider -l 10 https://centrtrikolor.ru --no-check-certificate

«Обратный» знак разделения это || — означает выполнение следующей команды, если предыдущая завершилась с ошибкой

Очередной «нехороший человек»

Продолжаю вести рубрику «нехороших» людей которые меня обманули или «кинули». На этот раз наш герой — Екатерина Коваленко. Ссылка на профиль VK  тут. Работает в цехе розлива ООО » Русский Север».Если  этот текст в открытом доступе, значит долг взыскать не удалось.

Итак в кратце история: три месяца назад сдал квартиру этой девушке.  Первый платеж за аренду, а так-же оплата коммунальных прошли практически без заминок. Далее начался цирк с клоунами. Сроки платежа ни разу не выдерживались, постоянно то она, то её мама просили отсрочку, платили частями по несколько раз в месяц и только после угроз о выселении и личных визитов на квартиру за деньгами. Неоднократно были предупреждены о том что меня не устраивает текущее положение дел, однако ничего не менялось.  05.08.2019 был очередной «крайний срок» погашения накопившегося долга — 4413 руб, однако он погашен не был. Екатерина перестала отвечать во VK. После очередного личного визита в тот-же вечер, мне было дано обещание что 06.08.2019 долг будет погашен. Однако 06.08.2019 ближе к вечеру телефон Екатерины и её мамы выключен, а я внесён во VK в черный список.

По приезду на квартиру вещей Екатерины не обнаружено, но хорошо хоть ключи от квартиры она положила в почтовый ящик.

Итак, что дальше? А всё как обычно. В настоящий момент данная статья не видна в интернете, т.к. «под паролем». Если в течении 10 дней, долг погашен не будет, то:

1) Пароль со статьи будет убран, и её сможет прочитать кто угодно

2) Ссылка на статью будет размещена во всех группах во ВК, где есть черные списки  квартиросьемщиков

3) Ссылка на статью будет переслана всем работникам ООО «Русский Север», кого смогу найти во VK, а так-же на личную почту (благо по «старым связям» есть) Миронец Лилии, Черняковой Марии, Малахову Вадиму, Родниной Наталье, а так-же ряду других ключевых сотрудников завода.

Как обычно, говорю, что данной статьи могло и не быть, если бы меня не обманывали, не прятались в квартире «типа никого нет», не выключали телефоны, не давали обещания которые знали что не могут выполнить и т.п. В общем не вели себя как в детском саду. Я могу войти в положение, но только когда мне не врут.

Upd.:обнаружились клопы после этого жильца, пришлось травить.

Жизнь замечательных грибов