настройка связки EXIM, courier-imap и MySQL

Автор: lissyara.

Эта статья в архиве. Новая версия доступна по адресу: http://www.lissyara.su/?id=1175


   Когда я начинал общаться с UNIX`ами, то по инерции в качестве MTA (Message Transfer Agent) использовал Sendmail - инерция заключалась в том, что он ставился по умолчанию. Его я и настроил, и стал использовать. Работал он нормально, никаких проблем не было, но весьма доставали маловразумительные конфиги на макросах m4 которые мало кому легко даются, и отсутствие поддержки виртуальных доменов - у меня на машине была почта двух доменов, а вот раскладывалась она в одни и те же ящики - т.е. был ящик admin и в него ложилась почта и для admin@domain1.ru и для admin@domain2.ru. Естественно, что это было неудобно. Да и в плане безопастности меня беспокоило то, что использовались системные аккаунты.
   В-общем, по прошествии некоторого времени было принято решение эмигрировать на что-то иное. После бесплодных попыток настроить qmail я поставил связку postfix и courier-imap которая до сих пор успешно работает на той машине.
   Позже и у этой пары нашлись недостатки и я "эмигрировал" на exim. Он мне сразу понравился понятным конфигом (намного более вразумительным чем у того же postfix, который славится простотой конфигурационных файлов), плюс - файл один, а не куча как у постфикса. Также порадовала поддержка перл-совместимых регулярных выражений и нормальная поддержка MySQL - запросы к БД можно писать прямо в конфе... Короче - сказка :)
   Через некоторое время использования меня окончательно достал спам - уже не помогали ни блэк-листы, ни запрет на приём почты с хостов не имеющих доменного имени. Связано это было не с косяками самого экзима, а с тем что на мой ящик собиралась почта с одного домена целиком, и с "популярных" ящиков другого - postmaster, admin, support, & etc... После некоторого рыскания и метания - "а что делать?" было найдено интересное решение - задержка при приёме писем. В итоге это и было реализовано -  защита от спама методами самого exim и некоторым знанием того, как рассылается спам - серверу спамеров надо за малое время отослать несколько миллионов писем - поэтому, в отличие от нормального сервера он не может ждать больше нескольких секунд. Для "срезания" таких серверов в конфиг введена задержка на приёме письма - как итог нормальные сервера могут ждать и по 30 секунд, и по 99 - а вот спамерские отваливаются через 10-15 секунд. Им некогда - надо слать письма. Честно говоря эффектом был сам удивлён - спам пропал вообще. Потом выяснилось, что не всё так гладко - раз в три-четыре дня приходило письмо или пара. Судя по тому, что серверы с которых приходили эти письма в тот же день попадали в списки блэк-листов - спамеры просто находили и юзали очередной опен релей. Нужно заметить что это не моё изобретение, этот кусок конфига я подобрал в рассылке exim`a - exim-users.
   Итак, поехали. Ставим из портов, предварительно обновив их до нынешней версии.


/root/>cd /usr/ports/mail/exim /usr/ports/mail/exim/>mcedit Makefile

там правим (комментируем или раскомментируем) такие строчки:


WITH_CONTENT_SCAN= yes # для поддержки антивируса WITH_MYSQL= yes # для поддержки БД MySQL WITH_MYSQL_VER= 40 # версия MySQL WITHOUT_IPV6= yes # Отрубаем IP шестой версии WITH_DEFAULT_CHARSET?= koi8-r # кодировка по-умолчанию #LOGDIR?= /var/log/exim # без директории для лог файлов, ибо # по умолчанию exim пишет логи в свою директорию, что на мой взгляд # не самый лучший вариант - для этого есть syslogd LOG_FILE_PATH?= syslog # говорим ему куда писать логи - в syslog

Всё это шаманство с редактированием Makefile нужно только из-за того, что логи по-умолчанию пишутся дурацки - я хотел чтоб они писались в /var/log/maillog. Все опции кроме опций логов можно задать ключами при запуске Make. Но коли уж лезть - так на полную :) (что конечно же тоже неправильно, т.к. при использовании утилиты portupgrade она обновит порт с параметрами Makefile по-умолчанию, ибо ей-то невдомёк что файл был отредактирован - потому как при обновлении дерева портов он будет перезаписан дефолтовым.) После чего делаем make && make install && make clean.
   Создаём БД, заводим пользователя в MySQL - и таблицы по прилагаемым дампам:


-- MySQL dump 9.11 -- -- Host: localhost Database: exim -- ------------------------------------------------------ -- Server version 4.0.25-log -- -- Current Database: exim -- CREATE DATABASE /*!32312 IF NOT EXISTS*/ exim; USE exim; -- -- Table structure for table `aliases` -- CREATE TABLE aliases ( to_user varchar(128) NOT NULL default '', recipients text, PRIMARY KEY (to_user) ) TYPE=MyISAM; -- -- Dumping data for table `aliases` -- INSERT INTO aliases VALUES ('@gate.domain1.ru','admin@lissyara.su'); INSERT INTO aliases VALUES ('@gate','admin@lissyara.su'); INSERT INTO aliases VALUES ('admin@domain1.ru','admin@lissyara.su'); INSERT INTO aliases VALUES ('postmaster@domain1.ru','admin@lissyara.su'); INSERT INTO aliases VALUES ('abuse@domain1.ru','admin@lissyara.su'); -- -- Table structure for table `domains` -- CREATE TABLE domains ( domainname varchar(128) NOT NULL default '', type enum('LOCAL','RELAY','VIRTUAL') default 'LOCAL', PRIMARY KEY (domainname) ) TYPE=MyISAM; -- -- Dumping data for table `domains` -- INSERT INTO domains VALUES ('gate','LOCAL'); INSERT INTO domains VALUES ('domain1.ru','LOCAL'); INSERT INTO domains VALUES ('domain2.ru','VIRTUAL'); INSERT INTO domains VALUES ('gate.domain1.ru','LOCAL'); -- -- Table structure for table `users` -- CREATE TABLE users ( id varchar(64) NOT NULL default '', full_name varchar(128) NOT NULL default '', passwd varchar(64) NOT NULL default '', uid int(5) unsigned default '26', gid int(5) unsigned default '26', home varchar(128) binary default '/var/mail/exim/', active enum('Y','N') default 'Y', PRIMARY KEY (id) ) TYPE=MyISAM; -- -- Dumping data for table `users` -- INSERT INTO users VALUES ('vasya@domain1.ru', 'пользователь Вася','1234567',26,26,'/var/mail/exim/','Y'); INSERT INTO users VALUES ('petya@domain1.ru', 'юзер Петя','568954',26,26,'/var/mail/exim/','Y'); INSERT INTO users VALUES ('marina@domain2.ru', 'пользователь Mарина','1234567',26,26,'/var/mail/exim/','Y'); INSERT INTO users VALUES ('sanya@domain2.ru', 'ящик Саши','568954',26,26,'/var/mail/exim/','Y');

Следующим образом (cСЧИТАЕМ что приведённый выше дамп Вы скопировали в файл sql_dump.sql и он лежит в домашней директории):


/usr/home/lissyara/>mysql --user=root --password=root_password < sql_dump.sql

После чего редактируем конфиг exim`а - /usr/local/etc/exim/configure:

# Файл конфигурации: /usr/local/etc/exim/configure primary_hostname = gate.domain1.ru domainlist local_domains = ${lookup mysql{SELECT domainname FROM domains \ WHERE domainname='${domain}' AND \ (type='LOCAL' OR type='VIRTUAL')}} domainlist relay_to_domains = ${lookup mysql{SELECT domainname FROM domains \ WHERE domainname='${domain}' AND type='RELAY'}} hostlist relay_from_hosts = 127.0.0.1 : 192.168.0.0/24 acl_smtp_rcpt = acl_check_rcpt acl_smtp_data = acl_check_data av_scanner = clamd:/var/run/clamav/clamd qualify_domain = domain1.ru log_selector = \ +all_parents \ +lost_incoming_connection \ +received_sender \ +received_recipients \ +smtp_confirmation \ +smtp_syntax_error \ +smtp_protocol_error \ -queue_run allow_domain_literals = false never_users = root:daemon:bin host_lookup = * rfc1413_hosts = * rfc1413_query_timeout = 0s ignore_bounce_errors_after = 30m timeout_frozen_after = 30d freeze_tell = postmaster auto_thaw = 1h message_size_limit = 16M smtp_accept_max = 50 smtp_accept_max_per_connection = 50 smtp_connect_backlog = 50 smtp_accept_max_per_host = 25 split_spool_directory = true remote_max_parallel = 15 # вводим параметры подключения к MySQL серверу хост/БД/имя_пользователя/пароль hide mysql_servers = localhost/exim/exim/exim begin acl acl_check_rcpt: accept hosts = : # Задержка приёма письма - как средство борьбы со спамом - # спамерам некогда ждать по 99 секунд :) warn set acl_m0 = 0s warn hosts = !+relay_from_hosts:!213.234.195.226/32 set acl_m0 = 30s warn condition = ${if and {\ {match{$sender_host_name}\ {\N^[-a-z]*\d{0,3}[-a-z]*\.?[-a-z]*\d{0,3}[-a-z]*\.\w+$\N}} \ {!eq{$acl_c0}{outblaze_helo}} \ }{yes}{no}} set acl_m0 = 1s warn condition = ${if and {\ {match{$sender_helo_name}{\N^\w*\.\w{3}$\N}} \ {eq{$acl_c1}{}} \ }{yes}{no}} set acl_m0 = 99s warn condition = ${if and {\ {!match{$sender_host_name}{\N.+.outblaze.com$\N}} \ {eq{$acl_c0}{outblaze_helo}} \ }{yes}{no}} set acl_m0 = 99s warn condition = ${if and {\ {!match{$sender_host_name}{\N.+.outblaze.com$\N}} \ {eq{$acl_c2}{outblaze_domain}} \ }{yes}{no}} set acl_m0 = 99s warn condition = ${if or {\ {eq{$sender_address}{}} \ {eq{$acl_m1}{0s}} \ } {yes}{no}} set acl_m0 = 0s warn logwrite = Delay $acl_m0 for $sender_host_name \ [$sender_host_address] with HELO=$sender_helo_name. \ Mail from $sender_address to $local_part@$domain. set acl_m1 = 0s delay = $acl_m0 ############ ################### deny local_parts = ^.*[@%!/|] : ^\\. # Приём писем для постмастера локальных доменов без проверок # accept local_parts = postmaster # domains = +local_domains require verify = sender deny message = HELO/EHLO required by SMTP RFC condition = ${if eq{$sender_helo_name}{}{yes}{no}} deny message = Go Away! You are spammer. condition = ${if match{$sender_host_name} \ {bezeqint\\.net|net\\.il|dialup|pool|peer|dhcp} \ {yes}{no}} deny message = host is listed in $dnslist_domain dnslists = sbl.spamhaus.org : \ relays.ordb.org : \ opm.blitzed.org : \ proxies.blackholes.easynet.nl accept domains = +local_domains endpass message = unknown user verify = recipient accept domains = +relay_to_domains endpass message = unrouteable address verify = recipient accept hosts = +relay_from_hosts accept authenticated = * deny message = RELAY NOT PERMITTED acl_check_data: deny message = Go Away! Eat Your Spam Self! condition = ${if match{$message_body} \ {105[-_]*51[-_]*86|778[-_]*98[-_]*94} \ {yes}{no}} deny malware = * message = Virus found ($malware_name) accept begin routers dnslookup: driver = dnslookup domains = ! +local_domains transport = remote_smtp ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 : 192.168.0.0/24 no_more system_aliases: driver = redirect allow_fail allow_defer data = ${lookup mysql{SELECT recipients FROM aliases WHERE \ to_user='${quote_mysql:$local_part@$domain}' OR \ to_user='${quote_mysql:@$domain}'}} mysqluser: driver = accept condition = ${if eq{} {${lookup mysql{SELECT home FROM users \ WHERE id='${quote_mysql:$local_part@$domain}' OR \ id='${quote_mysql:@$domain}'}}}{no}{yes}} transport = mysql_delivery begin transports remote_smtp: driver = smtp mysql_delivery: driver = appendfile check_string = "" create_directory delivery_date_add directory = ${lookup mysql{SELECT CONCAT(home, '${local_part}@${domain}')\ FROM users WHERE id='${local_part}@${domain}'}} directory_mode = 770 envelope_to_add group = mail maildir_format maildir_tag = ,S=$message_size message_prefix = "" message_suffix = "" mode = 0600 address_pipe: driver = pipe return_output address_file: driver = appendfile delivery_date_add envelope_to_add return_path_add address_reply: driver = autoreply begin retry * * F,2h,15m; G,16h,1h,1.5; F,4d,6h begin rewrite begin authenticators auth_plain: driver = plaintext public_name = PLAIN server_condition = ${lookup mysql{SELECT id FROM users \ WHERE id = '${quote_mysql:$1}' \ AND passwd = '${quote_mysql:$2}' \ AND active = 'Y'}{yes}{no}} server_prompts = : server_set_id = $2 auth_login: driver = plaintext public_name = LOGIN server_condition = ${lookup mysql{SELECT id FROM users \ WHERE id = '${quote_mysql:$1}' \ AND passwd = '${quote_mysql:$2}' \ AND active = 'Y'}{yes}{no}} server_prompts = Username:: : Password:: server_set_id = $1 auth_cram_md5: driver = cram_md5 public_name = CRAM-MD5 server_secret = ${lookup mysql{SELECT passwd FROM users \ WHERE id = '${quote_mysql:$1}' \ AND active = 'Y'}{$value}fail} server_set_id = $1

Затем проверяем корректность конфига командой exim -bV:


/root/>exim -bV Exim version 4.52 #0 (FreeBSD 4.11) built 24-Aug-2005 17:25:35 Copyright (c) University of Cambridge 2005 Probably Berkeley DB version 1.8x (native mode) Support for: iconv() PAM Perl OpenSSL Content_Scanning Old_Demime Lookups: lsearch wildlsearch nwildlsearch iplsearch cdb dbm dbmnz dnsdb dsearch mysql nis nis0 passwd Authenticators: cram_md5 plaintext spa Routers: accept dnslookup ipliteral manualroute queryprogram redirect Transports: appendfile/maildir/mailstore/mbx autoreply lmtp pipe smtp Fixed never_users: 0 Configuration file is /usr/local/etc/exim/configure

Если нет ошибок - то продолжаем, если есть - исправлям (он достаточно подробно жалуется на ошибки, поэтому тут относительно просто, а чаще всего ошибки бывают из-за невнимательности).
   Добавляем в /etc/rc.conf строку exim_enable="YES" и там же меняем sendmail_enable="YES" на sendmail_enable="NONE", после чего убиваем sendmail, запускаем exim, и проверяем - запустился ли:


/root/>killall sendmail /root/>/usr/local/etc/rc.d/exim.sh start Starting exim. /root/>ps -ax | grep exim 2775 ?? Ss 0:00.00 /usr/local/sbin/exim -bd -q30m (exim-4.52-0) /root/>

   Теперь ставим антивирус - ClamAV. Почему именно он? Просто когда-то у меня стоял DrWeb, но под него очень тяжело найти ключи :) Под UNIX-версию намного тяжелее чем под виндовую.... Потом, по проценту отлова заражённых файлов ClamAV недалеко от платных антивирей, иногда даже впереди (как-то отправил письмо другу с картинкой прикольной - приходит ответ моего же почтаря - фотка зарублена как заражённая каким-то jpeg-вирусом.... Касперский на моей машине с самыми свежими базами файл этот в упор не видел как заражённый....).


/root/>cd /usr/portd/security/clamav make && make install && make clean

При запуске вылазиет красивое окошко с выбором опций - ничего не выбираем (у меня он предложил "URL downloading" и "milter"). Добавляем в /etc/rc.conf строку clamav_clamd_enable="YES" запускаем демона и проверяем заработало ли:


/root/>/usr/local/etc/rc.d/clamav-clamd.sh start Starting clamav_clamd. /root/>ps -ax | grep clam 3073 ?? Is 0:00.00 /usr/local/sbin/clamd 3078 p0 DL+ 0:00.00 grep clam /root/>

В особой настройке не нуждается, по умолчанию неплохо работает, но при желании можно поправить конфиг - /usr/local/etc/clamd.conf, ещё есть прикол - строка в этом файле в начале файла - Example если она есть и незакомментирована - то он неработает. Единственное для чего точно требуется настройка - это обновление антивирусных баз - для этого запускаем планировщик (crontab -e - нужно учесть что запускается редактор по-умолчанию, т.е. vi если вы это не исправили :)) от суперпользователя и вносим в него такую строку:


28 */4 * * * /usr/local/bin/freshclam >/dev/null 2>&1

Теперь каждый час, который делится нацело на 4 (т.е. в 0, 4, 8, 12, 16, 20) в 28 минут будет проводиться обновление антивируса. Если кажется слишком часто - можно поставить и реже.
   Собственно почту сервер уже может принимать. Для проверки можно отправить самому себе письмо с консоли:

/root/>mail -s test_e_mail admin@domain1.ru < /usr/local/etc/rc.d/exim.sh

После чего надо сходить в папку /var/mail/exim и посмотреть появилась ли внутри папка с именем пользователя а в ней файл письма в папке NEW. Если всё нормально - идём дальше, нет - смотрим логи - /var/log/maillog и устраняем ошибки. Есть одна особенность у инсталлятора exim - если до него стоял sendmail, то содержимое файла /etc/mail/mailer.conf остаётся неизменным, а вот если до него стоял другой MTA то в него стоит заглянуть - при удалении не все они восстанавливают после себя всё `как былО` - е если в нём прописан старый майлер то заменить его содержимое на следующее:

sendmail /usr/local/sbin/exim send-mail /usr/local/sbin/exim mailq /usr/local/sbin/exim -bp newaliases /usr/local/sbin/exim -bi hoststat /usr/local/sbin/exim purgestat /usr/local/sbin/exim

Только нужно учесть что это действует только на отправку сообщений с консоли. Если у Вас проблема не в этом месте, то его править бесполезно.
   Теперь осталось научить его отдавать почту клиентам. Для этого ставим courier-imap:

/root/>cd /usr/ports/mail/courier-imap /usr/ports/mail/courier-imap/>make && make install && make clean

В появившемся окошке с опциями нам нужно только одно - поддержка авторизации MySQL. Остальное никчему. По окончании настройки конфигурим, но не сам courier-imap, a courier-authlib которого он за собой тащит при установке. Редактируем файл /usr/local/etc/authlib/authmysqlrc до такого состояния:

MYSQL_SERVER localhost MYSQL_USERNAME exim MYSQL_PASSWORD exim MYSQL_PORT 3306 MYSQL_DATABASE exim MYSQL_USER_TABLE `users` MYSQL_CLEAR_PWFIELD `passwd` MYSQL_UID_FIELD `uid` MYSQL_GID_FIELD `gid` MYSQL_LOGIN_FIELD `id` MYSQL_NAME_FIELD `full_name` MYSQL_MAILDIR_FIELD CONCAT(`home`, `id`) DEFAULT_DOMAIN domain1.ru

После чего добавляем следующие строки в /etc/rc.conf:
courier_imap_pop3d_enable="YES"
courier_imap_imapd_enable="YES"
courier_authdaemond_enable="YES"
И запускаем службы:

/etc/>cd /usr/local/etc/rc.d /usr/local/etc/rc.d/>./courier-authdaemond.sh start Starting courier_authdaemond. /usr/local/etc/rc.d/>./courier-imap-imapd.sh start Starting courier_imap_imapd. /usr/local/etc/rc.d/>./courier-imap-pop3d.sh start Starting courier_imap_pop3d. /usr/local/etc/rc.d/>ps -ax | grep imap 6223 ?? I 0:00.00 /usr/local/sbin/courierlogger - 6224 ?? I 0:00.00 /usr/local/libexec/courier-imap 6235 ?? S 0:00.00 /usr/local/libexec/courier-imap /usr/local/etc/rc.d/>sockstat | grep couri root couriert 6235 3 tcp4 *:110 *:* root couriert 6224 3 tcp4 *:143 *:* root courierl 6234 4 dgram syslogd[113]:3 root courierl 6223 4 dgram syslogd[113]:3 root courierl 6207 4 dgram syslogd[113]:3 /usr/local/etc/rc.d/>sockstat | grep auth root authdaem 6213 5 stream /var/run/authdaemond/socket.tmp root authdaem 6212 5 stream /var/run/authdaemond/socket.tmp

   Вот и всё. Тестируйте, проверяйте. Всё это руководство писалось при наладке тестовой машины следующей конфигурации:
P-II 233 MHz
64 Mb RAM
8 Gb HDD
Версии ПО:
exim-4.52
clamav-0.86.2_1
courier-authlib-base-0.57
courier-authlib-mysql-0.57
courier-imap-4.0.4,1
mysql-server-4.0.25
После чего конфиг переносился на "боевой" сервак. Также подразумевается что MySQL уже стоит.

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK