Введение

Почтовый сервер Tegu (далее ПО) предназначен для организации сервиса электронной почты (email).
Сервер получил Свидетельство о государственной регистрации № 2020661802 и распространяется в соответствии с условиями лицензии GNU GPL3 .

1. Структура программного обеспечения

Структурно сервер состоит из следующих подсистем:

1. Служба приёма/отправки сообщений.
2. Служба доступа к почтовым ящикам пользователей.
3. Служба администрирования сервера.
4. Система обработки входящих писем в соответствии с правилами.
5. Система защиты от перебора паролей.
6. Серый список отправителей.
7. Чёрные списки адресов серверов.
8. Система проверки политики домена для отправителя.
9. Цифровая криптографическая подпись исходящих писем.

2. Функции частей программного обеспечения

Назначение и функции подсистем ПО следующие:

2.1. Служба приёма/отправки сообщений

Назначение: отправка исходящих сообщений и приём входящих сообщений.
Подсистема обрабатывает входящие и исходящие сообщения, обрабатывает очереди, функционирует по протоколу SMTP/SMTPS.

2.2. Служба доступа к почтовым ящикам пользователей

Назначение: интерфейс с почтовыми программами пользователей.
Подсистема осуществляет:

• доступ к каталогам писем;
• чтение писем;
• изменение их атрибутов;
• поиск писем по критерию;
• перемещение писем;
• удаление писем.

Подсистема функционирует по протоколам IMAP/IMAPS, SMTP/SMTPS.

2.3. Служба администрирования сервера

Назначение: реализация интерфейса управления администратора системы и пользователей.
Подсистема реализует:

• доступ к панели управления сервером;
• изменение параметров;
• настройку подключений к каталогам LDAP;
• изменение алгоритмов обработки почты.

Подсистема функционирует по протоколу HTTP/HTTPS.
h2. 2.4. Система обработки входящих писем в соответствии с правилами

Назначение: настройка алгоритмов обработки почты.
Подсистема осуществляет:

• изменение каталога назначения для писем;
• пересылку и отправку копий писем на другие адреса;
• запрет доставки писем.

2.5. Система защиты от перебора паролей

Назначение: функция защиты сервера от перебора паролей (Brute-force).
Подсистема реализует подсчёт количества неудачных попыток авторизации с группировкой по IP и заперт доступа тем, кто превысил порог.

2.6. Серый список отправителей

Назначение: функция защиты сервера от спама.
Подсистема реализует:

• отказ в получении писем от новых отправителей и запоминание (помещение в базу greylisted);
• ожидание повторной попытки отправки (в этом случае сервер перемещает адрес из списка greylisted в список whitelisted и принимает сообщение без задержки).

2.7. Чёрные списки адресов серверов отправителей

Назначение: функция защиты сервера согласно спискам DNSBL-служб.
Подсистема реализует:

• подсчёт количества списков, в которых находится адрес отправителя;
• пометку о нахождении этого адреса в этих списках в случаях, если количество списков не превышает заданный в настройках порог;
• отказ в получении писем в случаях, если количество списков превысило заданный в настройках порог.

2.8. Система проверки политики домена для отправителя

Назначение: функция защиты на основе данных контроллера домена.
Подсистема реализует проверку, разрешено ли отправлять от IP-адреса и email-адреса отправителя для домена отправителя и т.п.
h2. 2.9. Цифровая криптографическая подпись исходящих писем

Добавление к исходящим письмам цифровой подписи для подтверждения их источника.

3. Методы и средства разработки программного обеспечения

Tegu представляет собой асинхронный сервер, написанный на языке Go (GoLang).
На нем в полном объеме, согласно RFC, реализованы службы SMTP, IMAP, WEB панель администрирования.
Сервер для работы не требует дополнительных компонентов.
h1. 4. Операционная система

Откомпилированные сборки выпускаются для ОС Debian, ALTLinux, RedOS, Astra Linux.
Архитектурно сервер является кроссплатформенным и написан таким образом, что, имея исходный код, он может быть откомпилирован под любую операционную систему и аппаратную архитектуру.

5. Инструкция по установке почтовой системы

5.1. Настройка доменной зоны

Хост

mail.test        A     95.163.87.32
test            MX     10    mail.test

Sender Policy Framework (SPF)

test            TXT     v=spf1 mx -all

Технология Domain-based Message Authentication, Reporting and Conformance (DMARC)

_dmarc.test   TXT     v=DMARC1; p=quarantine; rua=mailto:abuse@test.tegu.online

Сразу же отправляем запрос мантейнеру доменной зоны для настройки обратной зоны:

MAIL FROM: Иванов Иван <iivanov@mbk-lab.ru>
RCPT TO: <адрес мантейнера>

Прошу прописать следующую запись PTR в системе DNS:

95.163.87.32 -> mail.test.tegu.online.

5.2. Установка ОС

Установка сервера описана на примере ОС ALTLinux. Возможен выбор любой другой ОС.
Скачать дистрибутив здесь: https://www.basealt.ru/go/downloads/download-alt-server/

Для работы почтового сервера при установке операционной системы не нужны никакие дополнительные компоненты (можно отключить все).

[root@localhost ~]# ip route
default via 95.163.87.1 dev ens19 
10.199.199.0/24 dev ens18 proto kernel scope link src 10.199.199.84 
95.163.87.0/24 dev ens19 proto kernel scope link src 95.163.87.32 

[root@localhost ~]# cat /etc/resolv.conf
# Generated by resolvconf
# Do not edit manually, use
# /etc/net/ifaces/<interface>/resolv.conf instead.
Nameserver 10.199.199.1

5.3. Установка Почтового сервера Tegu

Скачать здесь: https://mbk-lab.ru/download/

wget https://git.mbk-lab.ru/attachments/9ab74262-c5aa-4667-a9fe-24353e0e8de3 -O tegu-0.15.0-altlinux-amd64.tar.gz

Исполняемый файл может находиться в любой папке. К примеру, /opt/tegu/sbin
Создаем каталоги:

# mkdir /opt/tegu
# mkdir /opt/tegu/sbin
# mkdir /opt/tegu/ssl
# mkdir /opt/tegu/dkim
# mkdir /opt/tegu/var

Присваиваем владельцев:

# chown mail:mail /opt/tegu/var
# chown mail:mail /opt/tegu/ssl
# chown mail:mail /opt/tegu/dkim

Присваиваем права:

# chmod 700 /opt/tegu/var
# chmod 500 /opt/tegu/ssl
# chmod 500 /opt/tegu/dkim

Распаковываем программу в рабочий каталог:

# tar xvzf tegu-0.15.0-altlinux-amd64.tar.gz -C /opt/tegu/sbin/

Чтобы разрешить серверу, запущенному от непривилегированного пользователя, слушать на привилегированных портах, необходимо выполнить:

setcap CAP_NET_BIND_SERVICE=+eip /opt/tegu/sbin/tegu

Для запуска через systemd необходимо добавить файл /etc/systemd/system/tegu.service следующего содержания:

[Unit]
Description=Tegu. MBK-Lab Mail Server

[Service]
ExecStart=/opt/tegu/sbin/tegu
User=mail
Group=mail
UMask=0007
RestartSec=10
Restart=always

[Install]
WantedBy=multi-user.target

Во время первого запуска сервер будет искать свой файл конфигурации в следующем порядке:

/etc/tegu.conf
~/tegu.conf

Если файл не найден, то он будет создан по пути ~/tegu.conf со следующим содержанием:

[global]
dataDir = /opt/tegu/data

[WEB]
adminPassword = <пароль администратора>

Можно заранее создать этот файл вручную, но важно, чтобы папка dataDir была доступна для записи пользователю, от которого запускается сервер.
Запускаем сервис:

# systemctl enable tegu.service

Created symlink /etc/systemd/system/multi-user.target.wants/tegu.service → /etc/systemd/system/tegu.service.

# systemctl start tegu.service

Читаем лог сервера:

# journalctl -f -u tegu -n 100

окт 05 15:38:26 localhost systemd[1]: Started Tegu. MBK-Lab Mail Server.

Если сервер не стартовал, необходимо вернуться на шаг 1, проверить настройки
или обратиться в поддержку по адресу: dev@mbk-lab.ru
Если все сделано правильно, то сервер стартует и мы переходим к его настройке.

6. Инструкция по настройке и администрированию системы

6.1. Интерфейс настройки и администрирования

Настройка сервера производится с помощью веб-интерфейса, который доступен по порту 8888 вашего сервера.
В нашем случает адрес выглядит так: http://95.163.87.32:8888
Для авторизации используйте логин admin и пароль из конфигурационного файла /etc/tegu.conf

6.2. Меню “Settings”

1. Server name (used in banner and HELO/EHLO) – имя сервера для сессий SMTP.
2. IP SMTP server listen on – адреса интерфейсов, на котором работает сервер (либо 0.0.0.0 для работы на всех интерфейсах).
3. Port SMTP server listen on – порт сессий SMTP.
4. Port SMTPS (SSL) server listen on – порт сессий SMTP c SSL (SSL станет доступным, если файлы сертификата и ключа существуют и доступны для чтения. См. Path to SSL certificate. Следует обратить внимание, что по умолчанию установлен непривилегированный номер для того, чтобы исключить попытку взлома несконфигурированного сервера).
5. Max number of simultaneous SMTP connections – максимальное количество SMTP подключений. По умолчанию 100.
6. Enable LMTP delivery (IMAP server starts otherwise. Restart required) – включить доставку почты на LMTP (к примеру, дополнительный Dovecot).
7. LMTP host connect to – хост LMTP.
8. LMTP port connect to – порт LMTP хоста.
9. IP IMAP server listen on – адрес, на котором слушает IMAP.
10. Port IMAP server listen on – порт, на котором слушает IMAP.
11. Port IMAPS (SSL) server listen on – адрес, на котором слушает IMAP с SSL.
12. Max number of simultaneous IMAP connections – максимальное количество соединений IMAP. По умолчанию 1000.
13. Canonical name for INBOX (show in WEB panel) – имя папки по умолчанию для Входящих.
14. Archive folder – имя папки по умолчанию для Архива.
15. Drafts folder – имя папки по умолчанию для Черновика.
16. Junk folder – имя папки по умолчанию для Спама.
17. Sent folder – имя папки по умолчанию для Отправленных.
18. Trash folder – имя папки по умолчанию для Корзины.
19. Message size in MB – максимальный разрешенный размер почтового сообщения. По умолчанию 30Mb.
20. Local domains (one per line) – список обслуживаемых сервером почтовых доменов.
21. Smarthosts (one per line. formats: domain.com/user:pass@host:port or domain.com/host:port) – для каждого из обслуживаемых доменов можно указать релей, через который осуществляется доставка.
22. Full allowed IPs (one per line) – список IP-адресов, с которых допускается отправка писем без авторизации.
23. Allow empty sender email for full-allowed IPs – разрешение отправки сообщений почтовым клиентом без заполнения поля MAIL FROM (как правило, используется оборудованием).
24. Root path for maildir – путь к каталогу maildir.
25. Directory for work data – путь к рабочему каталогу (сервер хранит там оперативные глобальные настройки, а также очереди).
26. Directory for DKIM keys – путь к приватному ключу DKIM (публичный ключ должен быть опубликован в зоне DNS).
27. DKIM selector – селектор DKIM (кодовое слово для подписи, которое должно соответствовать указанному в зоне DNS).
28. Path to SSL certificate – путь к публичному ключу SSL.
29. Path to SSL private key – путь к приватному ключу SSL.
30. Master-user login separator – разделитель, используемый при вводе мастер-логина (обычно *).
31. Sender domains greylist ignore (one per line) – список доменов, для которых отключена технология GreyList.
32. Server/sender greylist record lifetime (hours) – время жизни email-адреса в списке GreyList.
33. Server/sender whitelist record lifetime (hours) – время жизни email-адреса в списке WhiteList.
34. Clean expired greylist records interval (seconds) – период обновления базы GreyList.
35. DNSBL “listed at” threshold – порог срабатывания блокировки по количеству черных списков, в которых найден адрес отправителя. По умолчанию 3. Если адрес был замечен в черных списках, но порог не превышен, письмо доставляется, при этом в тему добавляется x-blacklisted с указанием всех списков, где он был найден.
36. Enable authentication security – включение функции блокировки в случае ошибок авторизации пользователей (на все службы SMTP, IMAP и HTTP).
37. Max failed authentication attempts – максимальное количество допустимых ошибок авторизации.
38. Block senders with SPF fail result – включение возможности обслуживания клиентов, даже не прошедших SPF проверку (как правило, используется оборудованием).
39. Enable Greylist – включение функции GreyList.
40. Enable DNSBL checks – включение DNSBL проверки.

6.3. Меню “LDAP connections”

1. Connection name – имя соединения (произвольное).
2. Local domain name – домен, к которому относится данное соединение.
3. LDAP connection URIs (one per line)
   • BindDN
   • Password
   • Base DN.
4. objectClass for user.
5. Attr for mailbox e-mail – произвольное имя поля, которое сервер будет искать в LDAP для того, чтобы трактовать его как email.
6. Attr for mailbox quota in MB – произвольное имя поля, которое сервер будет искать в LDAP для того, чтобы трактовать его как максимальный размер ящика (механизм пока не реализован).
7. User memberOf attr – если отношения групп и пользователей указываются в объекте пользователей, то здесь указываем имя поля, содержащего группы, к которым принадлежит пользователь.
8. Use groups – если группы могут иметь email, то этот параметр включает механизм доставки писем всем членам этих групп:
   • objectClass for group;
   • Attr for group name – имя поля, содержащего имя группы;
   • Attr for group email – имя поля, содержащего email группы;
   • Attr for group members – имя поля, указывающего на членов групп;
   • Group member attr contains DN – в поле, указывающем на членов групп, могут быть DN членов или только имена этих членов
     • Attr for user RDN – если в поле, указывающем на членов групп, содержатся имена, то здесь указываем имя поля (например, uid или cn) для поиска этих членов по их именам.
9. Use mailbox alias (redirect list) – использовать ли списки перенаправления
   • objectClass for alias;
   • Attr for alias email – имя поля, содержащего email списка;
   • Attr for email redirect to – имя поля, содержащего адреса email, на которые необходимо перенаправить письма (email могут быть локальными или внешними).
10. Use mailbox alternative email – использовать ли дополнительные email для ящиков
    • Attr for mailbox alternative email – имя поля объекта пользователя, содержащего альтернативные email.
11. Attr for group name of master-users – имя поля, содержащего имя группы мастер-пользователей (может совпадать с “Attr for group name”).
12. Group name of master-users – имя группы мастер-пользователей.