Aquesta és una revisió antiga del document

Email Linux amb Docker

El servei de correu electrònic és força complexe ja que es composa de diversos processos o daemons. A part del típic servei de MTA (postfix, sendmail, etc.) ens cal també un servei de Fetchmail (Courier, Dovecot), antivirus, anti-spam, etc., a part de configurar els certificats i modes d'autenticació encriptada.

El sistema de contenidors Docker ens facilita tota aquesta posada en marxa del servei. Bé, en concret Docker solament no, sinó algú que s'ha currat el sistema de correu complert i n'ha fet una versió «dockeritzada». Per poder fer aquesta pràctica cal que estiguis fortament familiaritzat amb Docker.

Articles de referència:

• Teoria correu electrònic
• Article font a cacauet.org
• Docker
• Docker mailserver: https://github.com/docker-mailserver/docker-mailserver

Requisits

Per poder posar un servidor de email ens cal:

• Un servidor (màquina virtual o real), al núvol o on-premises, però sempre ha d'estar online.
• Una IP estàtica i que no estigui banejada. Es pot comprovar a https://spamhaus.org
  • És important que quan reservem una màquina virtual al nostre proveïdor, ens assegurem que la IP no està banejada. En cas de que ho estigui, caldrà sol·licitar-ne una altra o bé demanar que la treguin de la «llista negra» de spamhaus.org .

Instal·lació

Servidor:

1. Posar en marxa un servei al cloud com AWS o com-crear-un-servidor-a-Microsoft-Azure.
2. Crear una VM
3. Si estem en AWS, afegir-li una Elastic IP (altrament la IP serà dinàmica i no ens valdrà).
4. Comprovar que la IP no està banejada a spamhaus.org
   1. Si ho està, sol·licitar que ens la retirin de la llista de spamhaus.org o bé canviar la IP de la VM.
5. Connectar-nos a la VM
6. Obrir ports web.
7. Instal·lar Apache i testejar.

Domini:

1. Reservar un domini a http://freenom.com i apuntar-lo al nostre servidor.
2. Testejar el domini amb Apache.
3. Apuntar també els registres MX

Servei email:

1. Afegir memòria virtual (swap).
2. Instal·lar Docker.
3. Descarregar docker-mailserver

   DMS_GITHUB_URL='https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master'
   wget "${DMS_GITHUB_URL}/docker-compose.yml"
   wget "${DMS_GITHUB_URL}/mailserver.env"
   wget "${DMS_GITHUB_URL}/setup.sh"
   chmod a+x ./setup.sh

4. Afegir usuaris (comptes), per exemple:

   $ ./setup.sh email add [email protected] ietipasswd

5. Comprovar que es creen usuaris a l'arxiu:

   $ cat docker-data/dms/config/postfix-accounts.cf

6. Obrir els ports del servei d'email (25,143,465,587,993)
7. (Només en AWS) Sol·licitar obertura port 25 al proveïdor de Cloud

Test:

1. Configura un client d'email per tal què utilitzi el nostre servidor. Es recomana:
   1. Thunderbird o Outlook des del PC.
   2. FairMail o Bluemail per a mòbil Android.
2. Comprova que funciona enviant i rebent emails.
3. És molt fàcil que els nostres emails vagin a la carpeta de SPAM. Veuràs que en Gmail a la icona del remitent sol sortir un interrogant que ens indica que l'origen no és fiable.

Seguretat i SPAM

La seguretat del nostre servei gira entorn de 3 eixos principals:

• Exploits: si el nostre servei és «petable» (per un bug o alguna operació maliciosa que explota una debilitat) el nostre sistema es pot fer vulnerable a intrusions. Per combatre això convé:
  • Estar a la darrera versió del sistema operatiu (al menys en el parxes de seguretat) i del servei que fem servir.
  • Utilitzar docker per aïllar parts del sistema. Si el procés de correu és vulnerable, una possible intrusió només podrà accedir als arxius de correu, i no a altres serveis.
• Virus: l'email és una gran porta d'entrada al sistema. Poden entrar virus i usuaris incautes poden introduir-los involuntàriament en el sistema. Calen diverses eines:
  • Antivirus servidor: Clam / Amavis (incloses al docker-mailserver)
  • Antivirus PC client: Avast, Panda, .
• SPAM: el maldecap més gran per a la implantació d'un servidor de correu. Ens calen 2 tipus d'eines:
  • SpamAssassin : ens permet filtrar els spam a la nostra inbox (inclòs al docker-mailserver). Sol aprendre sol en base a algorismes heurístics, però té algunes comandes per «ensenyar-lo» i apuntar-li quins son els autèntics SPAM. Tenir [https://es.wikipedia.org/wiki/Honeypot un 'honeypot' sol ser interessant] pel bon funcionament del server.
• Sistemes de signatura per validació i reputació del nostre servidor de correu (SPF, DKIM, DMARC)

Signatura, autenticitat i reputació dels nostres emails

El SPAM (correu no sol·licitat o correu brossa) és una de les grans dificultats per desplegar un servidor d'email. Al ser un sistema obert, on tothom pot enviar a qualsevol adreça, el perill de tenir la inbox inundada i fer el servei inutilitzable obliga a algun tipus de protecció per tal que el sistema sigui usable pels usuaris finals.

Els grans proveidors de comptes de correu (Google, Hotmail, Yahoo) van idear certes mesures per assegurar l'origen dels emails, i impedir que qualsevol pugues enviar un email amb qualsevol remitent (cosa que d'entrada era i segueix sent possible). D'aquests sistemes, en destaquem aquests 3:

• SPF: és el sistema més fàcil d'implantar. Inclourem certa informació als registres TXT del DNS per tal d'associar unes IPs concretes des de les que serà vàlid enviar els correus del nostre domini.
• DKIM: bàsicament consisteix en signar tots els emails amb una clau privada, i presentar la clau pública al servidor DNS.
• DMARC

Aquests mecanismes permeten als sistemes destinataris identificar si el correu que li arriba és bo. Si no quadra, la probabilitat de que sigui SPAM és molt alta i el filtra cap a la spam box.

Comprovant la nostra reputació

Utilitza aquesta eina per saber si has configurat correctament els diferents sistemes de signatura i validació d'autenticitat dels nostres emails.

https://www.mail-tester.com/