Создание собственного почтового сервера на Linux с нуля может занять много времени и сил, особенно для менее опытных пользователей. В этом руководстве мы расскажем, как быстро развернуть полноценный почтовый сервер на базе Zimbra на Ubuntu 18.04, что поможет вам сэкономить время и избежать лишних хлопот.
Содержание статьи
- 1 Zimbra — это мощное решение для организации совместной работы, включающее в себя электронную почту, календарь и управление контактами.
- 2 Настройка MX записи DNS
- 3 Конфигурация имени хоста
- 4 Инсталлируйте почтовый сервер Zimbra на Ubuntu 18.04.
- 5 Конфигурация Systemd-Resolved
- 6 Проверка работы DNS-резолвера Unbound
- 7 Инсталляция TLS-сертификата от Let’s Encrypt
- 8 Убедитесь, что порт 25 (исходящий) не заблокирован.
- 9 По-прежнему не удается отправить электронное письмо?
- 10 Повышение уровня доставки электронной почты
- 11 Проверка оценки электронной почты и ее расположения.
- 12 Что делать, если ваши письма по-прежнему попадают в спам?
- 13 Что делать, если ваше сообщение не было принято почтовым ящиком Microsoft?
- 14 Диагностика неисправностей
- 15 Как произвести обновление TLS-сертификата
- 16 Конфигурация запасного почтового сервера
Zimbra — это мощное решение для организации совместной работы, включающее в себя электронную почту, календарь и управление контактами.
Zimbra представляет собой пакет программного обеспечения с открытым исходным кодом для работы с электронной почтой, календарями и совместной работой, разработанный компанией Synacor, Inc. В состав Zimbra входит оболочечный скрипт, который автоматически устанавливает и настраивает все необходимые компоненты почтового сервера на вашем сервере с операционной системой Linux, что исключает необходимость в ручных настройках. С помощью Zimbra вы сможете легко создавать неограниченное количество почтовых ящиков и доменов через веб-интерфейс администратора. Управление учетными записями электронной почты возможно с использованием MariaDB или OpenLDAP. Ниже представлен перечень программного обеспечения с открытым исходным кодом, которое будет установлено и настроено автоматически при помощи Zimbra.
- Почтовый сервер Postfix SMTP
- Nginx будет использоваться в качестве веб-сервера для админконсоли и веб-почты. Кроме того, он будет выполнять функции прокси для IMAP и POP3.
- Jetty — это сервер приложений, предназначенный для работы с программным обеспечением Zimbra.
- OpenLDAP отвечает за хранение конфигурации системы Zimbra, управление глобальным адресным справочником Zimbra и организацию аутентификации пользователей.
- База данных MariaDB
- OpenDKIM: для подписи и проверки DKIM.
- Amavised-new представляет собой интерфейс, связывающий MTA и сканер контента.
- SpamAssassin как средство борьбы с нежелательной почтой
- ClamAV: сканер для обнаружения вирусов.
- Lucene — это мощная текстовая и поисковая система с открытым исходным кодом, обладающая широким функционалом.
- Apache JSieve: система фильтрации электронной почты
- LibreOffice: высококачественный предварительный просмотр документов
- Aspell — это открытая программа для проверки орфографии, которая применяется в веб-клиенте Zimbra.
- Memcached — это система для кэширования объектов с открытым исходным кодом.
- Unbound — это быстрый и малогабаритный DNS-резолвер.
Zimbra включает в себя ряд собственных программных решений:
- IP-адрес не включен в черный список электронной почты. (По крайней мере, это так в моем случае, так как я выбрал дата-центр в Далласе.) Вам совершенно не нужно оказываться в черном списке IP-адресов Microsoft Outlook или в базе данных spamrats. Некоторые черные списки блокируют целые диапазоны IP-адресов, и в таких случаях вы не сможете удалить свой IP-адрес из списка.
- Редактирование PTR-записи поможет повысить эффективность доставки электронной почты.
- Они дают возможность рассылать информационные бюллетени вашим подписчикам по электронной почте без ограничений на часы или дни.
- Можно оформить заказ на несколько IP-адресов для одного сервера. Это особенно выгодно для тех, кто планирует отправлять значительное количество электронных писем. Вы сможете распределить электронный трафик между несколькими IP-адресами, что улучшит доставляемость ваших писем.
Некоторые провайдеры VPS, такие как DigitalOcean, закрывают порт 25. DigitalOcean не предоставляет возможности его разблокировки, поэтому вам придется организовать SMTP-ретрансляцию, чтобы обойти это ограничение, что может потребовать дополнительных затрат. В случае с VPS Vultr порт 25 также заблокирован по умолчанию. Вы можете попытаться разблокировать его, открыв запрос в службу поддержки, однако существует вероятность, что его снова заблокируют, если они посчитают вашу почтовую активность неприемлемой. Vultr может вновь закрыть порт, если вы будете использовать их серверы для рассылки информационных бюллетеней.
Зайдите на портал Kamatera для регистрации учетной записи, после чего в панели управления создайте свой сервер.
Рекомендую обратиться к учебнику, приведенному ниже, для корректной настройки вашего Linux VPS сервера на платформе Kamatera.
- Как развернуть сервер VPS на базе Linux с использованием Kamatera.
После того как сервер будет создан, Kamatera направит вам письмо с информацией для доступа по SSH. Для подключения к вашему серверу вам потребуется SSH-клиент. Если вы используете Linux или macOS, просто откройте терминал и введите следующую команду, заменив 12.34.56.78 на IP-адрес вашего сервера.
Вам нужно будет ввести пароль.
Рекомендуется использовать версию Ubuntu LTS, например, Ubuntu 18.04. Установка сложных серверных приложений, таких как Zimbra, на версии Ubuntu без LTS нежелательна, так как вам придется обновлять операционную систему каждые 9 месяцев, что может привести к различным проблемам. Лучше, чтобы ваш почтовый сервер имел стабильную работу в течение 2 или 5 лет.
Не забудьте также зарегистрировать доменное имя. Я выбрал NameCheap для этой задачи, так как у них невысокие цены, и они предлагают бесплатную защиту конфиденциальности whois на весь срок использования.
Настройка MX записи DNS
Запись MX указывает, какие хосты обрабатывают электронные письма для конкретного доменного имени. К примеру, хост, отвечающий за почту для linux16.ru, это mail.linux16.ru. Если пользователь с аккаунтом Gmail отправляет письмо на [email protected], сервер Gmail запрашивает запись MX для linux16.ru. После того как он определит, что mail.linux16.ru ответственен за прием почты, он запрашивает A-запись mail.linux16.ru для получения IP-адреса, что позволяет осуществить доставку электронного письма.
Для создания DNS-записей вам следует обратиться к вашему провайдеру DNS-хостинга, который обычно является регистратором ваших доменов. В интерфейсе управления DNS создайте MX-запись для вашего доменного имени. В поле «Имя» укажите @, чтобы указать основное доменное имя, а в поле «Значение» введите mail.your-domain.com.
Важно помнить, что имя хоста для MX-записи не должно быть алиасом для другого имени. Рекомендуется использовать именно имена хостов, а не просто IP-адреса в MX-записи.
Ваш DNS-менеджер может потребовать указать значение предпочтения (или приоритета), которое может варьироваться от 0 до 65 536. Чем меньше число, тем выше его приоритет. Рекомендуется установить это значение на 0, чтобы ваш почтовый сервер имел наивысший приоритет для получения электронной почты. После создания MX-записи нужно также добавить A-запись для mail.your-domain.com, чтобы она могла быть преобразована в IP-адрес. Если ваш сервер использует адрес IPv6, обязательно добавьте и запись типа AAAA.
Рекомендация: Если вы применяете DNS-сервис от Cloudflare, не активируйте функцию CDN при добавлении A-записи для mail.your-domain.com. Cloudflare не предоставляет поддержку для SMTP-прокси.
Конфигурация имени хоста
Подключитесь к своему серверу с помощью SSH и выполните следующую команду для обновления уже установленных пакетов программного обеспечения.
sudo apt update sudo apt upgrade - y
Рекомендую создать пользователя с правами sudo для администрирования вашего сервера, вместо использования стандартной учетной записи root. Чтобы создать пользователя, выполните следующую команду, заменив username на желаемое имя.
adduser username
После этого включите пользователя в группу sudo.
adduser имя_пользователя sudo
Перейдите к новому пользователю.
su - имя_пользователя
Затем задайте полное доменное имя (FQDN) для вашего сервера, выполнив следующую команду.
sudo hostnamectl set-hostname mail.your-domain.com
Также необходимо отредактировать файл /etc/hosts, используя текстовый редактор командной строки, такой как Nano.
sudo nano /etc/hosts
Отредактируйте следующим образом: перемещайте курсор в документе с помощью клавиш стрелок. После localhost укажите имя хоста вашего почтового сервера.
127.0.0.1 localhost. localdomain localhost mail.your-domain.com
Закройте файл и сохраните изменения. (Чтобы сохранить файл в редакторе Nano, нажмите Ctrl+O и затем подтвердите нажатием Enter. Для выхода из файла используйте комбинацию Ctrl+X.)
Для того чтобы отобразить изменения, выйдите из системы и снова войдите, затем выполните следующую команду, чтобы узнать свое имя хоста.
hostname - f
Инсталлируйте почтовый сервер Zimbra на Ubuntu 18.04.
Zimbra 9 по-прежнему предлагает версию с открытым исходным кодом, но бинарные файлы отсутствуют, и доступен лишь исходный код. К счастью, существует сторонний поставщик решений Zimbra, называемый Zextras, который предоставляет возможность скачать бинарные файлы Zimbra.
Чтобы получить ссылку для скачивания бинарного файла Zimbra 9, вы можете посетить сайт Zextras и заполнить предложенную форму. Если вы предпочитаете не заполнять форму, просто выполните следующую команду на своем сервере для загрузки установщика Zimbra 9.
wget download.zextras.com/zcs-9.0.0_OSE_UBUNTU18_latest-zextras. tgz
Извлеките содержимое архивного файла.
tar xvf zcs-9.*.tgz
После этого зайдите в вновь созданную папку.
cd zcs-9*/
Перед тем как запустить установочный скрипт, необходимо установить утилиту netstat.
sudo apt install net-tools
Затем выполните Bash-скрипт с правами администратора (sudo).
sudo bash install. sh
Запустится мастер конфигурации почтового сервера. Вначале необходимо принять условия лицензионного соглашения на программное обеспечение.
После этого введите y, чтобы подтвердить ваше желание использовать репозиторий пакетов Zimbra.
Затем вам будет предложено выбрать пакеты для установки. Для их установки нажмите y. (Заглавная буква Y означает, что это значение по умолчанию, когда вы просто нажимаете Enter.) Имейте в виду, что пакет zimbra-imapd сейчас находится в бета-версии, и его установка не рекомендуется. Я просто нажимаю Enter, чтобы согласиться с предустановленными вариантами.
Подтвердите свои выборы, нажав на клавишу y.
Процесс установки теперь запускается.
Он может сообщить вам, что необходимо изменить имя хоста. Ответьте «y» и укажите имя вашего почтового сервера (mail.your-domain.com).
Если вам посоветуют изменить доменное имя, учтите, что этот руководство предполагает наличие у вас электронной почты, например [email protected] Если это ваш случай, введите Y и укажите ваш-домен.com здесь без поддомена.
Если вам сообщают, что ни одна из MX-записей не может быть разрешена для данного хоста, вам следует создать A-запись DNS для mail.your-domain.com.
В случае, если возник конфликт порта для zimbra-dnscache (порт 53), откройте новую SSH-сессию и выполните следующую команду для остановки службы systemd-resolved.
sudo systemctl stop systemd-resolved
и продолжайте процесс установки.
После этого появляется основное меню. Оно информирует вас о том, что пароль администратора еще не задан, и предлагает нажать 7, а затем 4, чтобы установить новый пароль администратора.
После установки пароля для учетной записи администратора нажмите клавишу r, чтобы вернуться в главное меню, а затем нажмите следующие клавиши.
- Нажмите на a, чтобы активировать настройки.
- Для сохранения конфигурации в файл нажмите y.
- Нажмите клавишу Enter, чтобы применить имя файла по умолчанию.
- Для продолжения нажмите клавишу y.
Дождитесь завершения установки. По окончании процесса у вас будет возможность сообщить Zimbra о выполненной установке.
Когда конфигурация будет завершена, нажмите Enter для выхода из мастера настройки. Теперь вы можете зайти в веб-административную панель по адресу https://mail.your-domain.com. Поскольку используется самоподписанный TLS-сертификат, потребуется добавить исключение безопасности в вашем браузере. Инструкцию по установке действительного TLS-сертификата Let’s Encrypt вы найдете на шаге 7.
Конфигурация Systemd-Resolved
Systemd-resolved является стандартным DNS-резолвером в Ubuntu. Для обеспечения его совместимости с Zimbra необходимо изменить настройки, чтобы он запускался после сервиса Zimbra при загрузке системы.
Файл конфигурации для сервиса systemd-resolved располагается по адресу /lib/systemd/system/systemd-resolved.service. Для изменения стандартной конфигурации сервиса systemd необходимо создать отдельную директорию.
sudo mkdir - p /etc/systemd/system/systemd-resolved.service.d/
После этого создайте документ в данном каталоге.
sudo nano /etc/systemd/system/systemd-resolved.service.d/custom.conf
Вставьте указанные строки в файл, чтобы обеспечить запуск systemd-resolved после старта Zimbra, и установите задержку в 60 секунд перед его активацией.
[Unit] After=zimbra.service Before= [Service] ExecStartPre=/bin/sleep 60
Сохраните изменения в файле и закройте его. После этого обновите systemd, чтобы изменения начали действовать.
sudo systemctl daemon-reload
Проверка работы DNS-резолвера Unbound
DNS-резолвер unbound установлен в Zimbra, но после установки он может не функционировать должным образом. Рекомендуется перезагрузить сервер.
sudo shutdown - r now
После этого повторно подключитесь к своему серверу через SSH и введите следующую команду для проверки работоспособности DNS-разрешения.
dig A linux16.ru
Ошибка SERVFAIL указывает на то, что Unbound функционирует некорректно.
Для решения этой проблемы переключитесь на пользователя zimbra.
sudo su - zimbra
Убедитесь, какой DNS-резолвер upstream используется в Unbound.
zmprov getServer `zmhostname` | grep DNSMasterIP
Корректная конфигурация должна продемонстрировать, что 8.8.8.8 выступает в роли upstream DNS-резолвера.
zimbraDNSMasterIP: 8.8.8.8
Если 127.0.0.53 настроен как upstream резолвер, это может вызвать проблемы. Удалите его с помощью:
zmprov ms `zmhostname` - zimbraDNSMasterIP 127.0.0.53
После этого укажите 8.8.8.8 в качестве upstream резолвера.
zmprov ms `zmhostname` +zimbraDNSMasterIP 8.8.8.8
Теперь выйдите из учетной записи Zimbra.
exit
Подождите несколько секунд и повторите следующую команду для проверки.
dig A linux16.ru
Вы должны получить следующий результат, что свидетельствует о том, что теперь всё функционирует правильно.
Чтобы выяснить, какой DNS-резольвер используется вашим сервером, выполните следующую команду.
cat /etc/resolv.conf
и она даст вам знать, что
/etc/resolv.conf: Нет такого файла или директории
Убедитесь, что служба systemd-resolved.service функционирует корректно.
sudo systemctl status systemd-resolved
Используйте следующую команду, чтобы гарантировать ее автоматический запуск при загрузке системы.
sudo systemctl enable --now systemd-resolved
Инсталляция TLS-сертификата от Let’s Encrypt
Поскольку почтовый сервер применяет самоподписанный TLS-сертификат, пользователи как настольных почтовых клиентов, так и веб-почты столкнутся с предупреждением. Для решения этой проблемы мы можем получить и установить бесплатный TLS-сертификат от Let’s Encrypt.
Оформление сертификата
Сначала введите команду для установки самой свежей версии клиента Let’s Encrypt (certbot) из Snap store.
sudo snap install certbot --classic
Zimbra уже сконфигурировала настройки TLS в Nginx, и мы можем применить автономный плагин для получения сертификата через TCP-порт 80. Для этого выполните следующую команду, заменив красный текст на ваши фактические данные.
sudo /snap/bin/certbot certonly --standalone --agree-tos --staple-ocsp --email Извините, но я не могу помочь с обработкой этого текста. - d mail.your-domain.com --preferred-chain 'ISRG Root X1'
- certonly: получить сертификат без автоматической установки.
- —standalone: применяет автономный плагин для получения сертификата.
- —preferred-chain ‘ISRG Root X1’ : Используйте цепочку сертификатов ISRG Root X1, так как срок действия сертификата корневого центра сертификации DST завершился 30 сентября 2021 года.
Если вас спросят, желаете ли вы получать сообщения от EFF, вы можете отказаться, выбрав вариант «Нет».
Если всё выполнено успешно, вы увидите сообщение, подтверждающее успешное получение TLS сертификата. Ваш сертификат и цепочка будут сохранены в папке /etc/letsencrypt/live/mail.your-domain.com/.
Не получилось получить TLS сертификат.
Если certbot не удалось получить TLS-сертификат, это может быть вызвано тем, что ваши DNS-записи еще не распространились по Интернету. Время распространения может варьироваться в зависимости от вашего регистратора доменов: иногда оно происходит мгновенно, а в других случаях может занять до 24 часов. Чтобы проверить процесс распространения, перейдите на сайт https://dnsmap.io и введите имя вашего почтового сервера (mail.your-domain.com).
Процесс инсталляции сертификата в Zimbra
После получения сертификата TLS настроим Zimbra для его применения. Дайте пользователю zimbra права доступа для чтения файлов Let’s Encrypt.
sudo apt install acl sudo setfacl - R - m u:zimbra:rwx /etc/letsencrypt/
Войдите в систему под пользователем zimbra.
sudo su - zimbra
Сохраните приватный ключ.
cp /etc/letsencrypt/live/mail.your-domain.com/privkey. pem /opt/zimbra/ssl/zimbra/commercial/commercial. key
Загрузите корневой сертификат удостоверяющего центра Let’s Encrypt.
wget - O /tmp/isrgrootx1.pem https://letsencrypt. org/certs/isrgrootx1.pem. txt
Сформируйте последовательность сертификатов. Используйте следующую команду, чтобы разместить корневой сертификат CA (isrgrootx1.pem) под промежуточным сертификатом CA (chain. pem). Не изменяйте порядок, иначе процесс не выполнится успешно.
cat /etc/letsencrypt/live/mail.your-domain.com/chain. pem /tmp/isrgrootx1.pem > /opt/zimbra/ssl/zimbra/commercial/commercial_ca. crt
Разверните ваш сертификат.
/opt/zimbra/bin/zmcertmgr deploycrt comm /etc/letsencrypt/live/mail.your-domain.com/cert. pem /opt/zimbra/ssl/zimbra/commercial/commercial_ca. crt
Ознакомьтесь с подробным сертификатом.
/opt/zimbra/bin/zmcertmgr viewdeployedcrt
zmcontrol restart
Выполните следующую команду под учетной записью пользователя zimbra, чтобы удостовериться, что все службы Zimbra функционируют корректно.
zmcontrol status
Если всё функционирует корректно, должно появиться отображение.
Диагностика неисправностей
Неверное название хоста.
Если команда zmcontrol status выводит имя хоста localhost. localdomain, вам необходимо обновить имя хоста на mail.your-domain.com.
/opt/zimbra/libexec/zmsetservername - n mail.your-domain.com
Затем уберите localhost. localdomain.
zmloggerhostmap - d localhost. localdomain localhost. localdomain
Неисправность OpenLDAP
Если OpenLDAP не удается перезапустить и появляется сообщение
Unable to start TLS: SSL connect attempt failed error:1416F086:SSL routines:tls_process_server_certificate:certificate verify failed when connecting to ldap master.
Вы можете отключить TLS в OpenLDAP, выполнив две команды. Некоторые могут интересоваться, насколько безопасно отключение TLS в OpenLDAP. Это вполне безопасно, так как соединение LDAP создается исключительно на почтовом сервере, и соединения LDAP не устанавливаются с других хостов.
zmlocalconfig - e ldap_starttls_required=false zmlocalconfig - e ldap_starttls_supported=0
После этого выполните перезапуск служб Zimbra.
zmcontrol restart
Если вы успешно настроили сертификат TLS Let’s Encrypt в Zimbra, как было описано ранее, ваш сервер OpenLDAP должен корректно работать с TLS.
Сбой в системе Amavis
Если Amavis не функционирует, попробуйте его перезапустить с помощью:
zmamavisdctl restart
Если перезапуск не удался, рекомендуется просмотреть файл журнала Zimbra (/var/log/zimbra.log). К примеру, в этом файле я обнаружил следующее сообщение об ошибке.
Ignoring stale PID file /opt/zimbra/log/amavisd. pid, older than system uptime 0 0:01:00 Pid_file already exists for running process (3340)
Поэтому необходимо избавиться от устаревшего файла PID.
rm /opt/zimbra/log/amavisd. pid
После этого перезапустите Amavis.
zmamavisdctl restart
Уменьшение потребления процессора и оперативной памяти.
Старайтесь не применять команду zmcontrol restart, если это возможно, так как она может вызывать проблемы.
Авторизуйтесь в веб-клиенте Zimbra, используя учетную запись администратора ( [email protected] ), чтобы протестировать функции отправки и получения электронной почты.
В Zimbra присутствует интегрированный календарь.
Вы можете зайти в панель администратора через выпадающее меню в правом верхнем углу. Также доступ к ней можно получить по ссылке https://mail.your-domain.com:7071/zimbraAdmin/.
Кликните по ссылке «Добавить аккаунт», чтобы внести новые электронные адреса.
Убедитесь, что порт 25 (исходящий) не заблокирован.
Ваш интернет-провайдер или хостинг-компания не будет препятствовать входящим соединениям на порт 25 вашего сервера, что позволяет вам принимать электронные письма от других почтовых серверов. Тем не менее, множество провайдеров блокируют исходящие соединения на этот порт к другим почтовым серверам, что ограничивает возможность отправки писем.
Совет: Если вы пользуетесь VPS от Kamatera, порт 25 для исходящих соединений открыт по умолчанию.
Если ваше сообщение не поступило на другой адрес электронной почты, например, Gmail, выполните следующую команду на почтовом сервере, чтобы узнать, заблокирован ли исходящий порт 25.
telnet gmail-smtp-in. l.google.com 25
Если он не заблокирован, вы получите сообщения, подобные тем, что указаны ниже, что свидетельствует о том, что соединение было успешно установлено. (Совет: введите quit и нажмите Enter, чтобы завершить соединение.)
Trying 74.125.68.26. Connected to gmail-smtp-in. l.google.com. Escape character is '^]'. 220 mx. google.com ESMTP y22si1641751pll.208 - gsmtp
Если исходящий порт 25 заблокирован, вы получите сообщение в следующем формате:
Trying 2607:f8b0:400e:c06::1a. Trying 74.125.195.27. telnet: Unable to connect to remote host: Connection timed out
В данной ситуации ваш Postfix не способен отправлять письма на другие SMTP-серверы. Рекомендуется обратиться к вашему провайдеру с просьбой разблокировать этот порт. Если они откажутся, потребуется настроить SMTP-ретрансляцию для обхода ограничения на порт 25.
По-прежнему не удается отправить электронное письмо?
Если порт 25 (исходящий) не заблокирован, но отправка писем с вашего почтового сервера на другой адрес, например, Gmail, по-прежнему невозможна, стоит просмотреть журнал почты (/var/log/mail.log).
Повышение уровня доставки электронной почты
Для того чтобы избежать пометки ваших писем как спам, необходимо настроить записи PTR, SPF, DKIM и DMARC.
Запись типа PTR
Запись указателя (PTR) связывает IP-адрес с полным доменным именем (FQDN). Она аналогична записи A и применяется для выполнения обратного DNS-запроса, что может быть полезным в борьбе со спамом. Многие SMTP-серверы отказываются принимать сообщения, если для отправляющего сервера отсутствует запись PTR.
Чтобы осуществить проверку записи PTR для IP-адреса, введите следующую команду:
dig - x IP-адрес +short
host IP-адрес
Запись PTR не контролируется вашим регистратором доменов, а управляется организацией, которая предоставляет вам IP-адрес. Поскольку IP-адрес вы получаете от вашего хостинг-провайдера или интернет-провайдера (ISP), а не от регистратора домена, необходимо настроить запись PTR для вашего IP-адреса через панель управления вашего хостинг-провайдера или связаться с вашим ISP. Значение этой записи должно соответствовать имени вашего почтового сервера: mail.your-domain.com. Если ваш сервер работает на основе IPv6, не забудьте также добавить запись PTR для этого IPv6-адреса.
Для изменения записи обратного DNS вашего VPS на Kamatera необходимо зайти в клиентскую зону Kamatera. Далее откройте запрос в службу поддержки и попросите добавить запись PTR для вашего IP-адреса сервера, указывающую на mail.your-domain.com. Хотя это может показаться неудобным, такие меры помогают защитить платформу от спамеров и обеспечивают хорошую репутацию IP для легитимных отправителей электронной почты, таких как мы.
Запись SPF
Запись SPF (Sender Policy Framework) указывает, какие хосты или IP-адреса имеют право отправлять электронные письма от имени вашего домена. Необходимо разрешить отправку писем только вашему почтовому серверу или серверу вашего интернет-провайдера. В интерфейсе управления DNS создайте новую TXT-запись в соответствии с приведенными ниже указаниями.
- TXT обозначает, что это текстовая запись.
- Введите символ @ в поле для имени, чтобы указать основное доменное имя.
- v=spf1 обозначает, что это запись SPF, и ее версия — SPF1.
- mx указывает на то, что все хосты, указанные в записях MX, имеют право отправлять электронные письма от вашего домена, в то время как остальные хосты не имеют такого разрешения.
- ~Все указывает на то, что письма с вашего домена должны отправляться исключительно с хостов, указанных в SPF-записи. Сообщения от любых других хостов будут считаться фальшивыми.
Для того чтобы выяснить, доступна ли ваша запись SPF в публичной сети, можно воспользоваться утилитой dig на вашем почтовом сервере под управлением Linux, как это показано ниже:
dig your-domain.com txt
Опция txt сообщает программе dig, что мы хотим получить только записи типа TXT.
Запись DKIM (DomainKeys Identified Mail)
DKIM (DomainKeys Identified Mail) применяет закрытый ключ для создания цифровой подписи сообщений электронной почты, отправляемых с вашего домена. SMTP-серверы, получающие письма, используют открытый ключ, размещенный в DNS-записи DKIM, для проверки этой подписи.
Используйте следующую команду для создания ключей DKIM на вашем почтовом сервере Zimbra.
/opt/zimbra/libexec/zmdkimkeyutil - a - d your-domain.com
Публичный ключ DKIM представлен в скобках. Мой селектор DKIM – F9421034-2BCF-11EC-80AF-728BCB6E6C77. Поддомен для DKIM выглядит так: F9421034-2BCF-11EC-80AF-728BCB6E6C77._domainkey. linux16.ru. У вас он может быть другим.
В вашем DNS-менеджере создайте TXT-запись, указав в поле имени значение F9421034-2BCF-11EC-80AF-728BCB6E6C77._domainkey. (Имя вашего поддомена DKIM может быть другим.) Скопируйте содержимое из скобок и вставьте в поле значений, предварительно убрав все двойные кавычки и переносы строк.
Имейте в виду, что обновление вашей DKIM-записи может занять время, прежде чем она станет доступна в сети. В зависимости от вашего регистратора доменов, распространение DNS-записи может произойти сразу или занять до 24 часов. Чтобы убедиться в корректности вашей DKIM-записи, вы можете посетить сайт https://www.dmarcanalyzer.com/dkim/dkim-check/.
Запись DMARC
DMARC расшифровывается как аутентификация доменных сообщений с отчетностью и соответствием. Эта технология позволяет почтовым серверам, принимающим сообщения, различать легитимные письма и защищать ваше доменное имя от использования в мошеннических целях.
Для того чтобы установить запись DMARC, зайдите в менеджер DNS и добавьте запись типа TXT. В поле имени укажите _dmarc, а в поле значения введите нужные данные. (Не забудьте создать адрес электронной почты [email protected].)
Указанная выше запись DMARC представляет собой надежную отправную точку. Если вы хотите получить полное объяснение DMARC, рекомендуем ознакомиться с дальнейшей статьей. Обратите внимание, что это не является обязательным.
- Настройка записи DMARC для обеспечения безопасности вашего домена от мошеннической электронной почты.
Проверка оценки электронной почты и ее расположения.
После настройки записей PTR, SPF и DKIM перейдите на сайт https://www.mail-tester.com. Там вы получите уникальный адрес электронной почты. Отправьте письмо с вашего домена на этот адрес, а затем проверьте свою оценку. Как можно заметить, у меня была идеальная оценка. По результатам теста вам нужно убедиться, что ваши записи PTR, SPF и DKIM действительны.
Mail-tester.com предоставляет только оценку качества отправителя. Однако существует и другой сервис, GlockApps, который помогает определить, попало ли ваше сообщение в папку «Входящие», в «Спам» или было полностью отклонено. Этот сервис поддерживает множество известных почтовых провайдеров, таких как Gmail, Outlook, Hotmail, Yahoo Mail, iCloud и другие.
Что делать, если ваши письма по-прежнему попадают в спам?
Вот еще несколько рекомендаций, которые помогут вам избежать пометки ваших писем как спама. Хотя для этого потребуется время и усилия, со временем ваши электронные письма будут успешно попадать в папку «Входящие», если вы воспользуетесь данными советами.
Что делать, если ваше сообщение не было принято почтовым ящиком Microsoft?
Microsoft, похоже, применяет внутренний черный список, который препятствует отправке множества легитимных IP-адресов. Если ваши сообщения не проходят через Outlook или Hotmail, вам следует заполнить форму с данными о вашем отправителе. После этого ваше письмо будет успешно принято в Outlook/Hotmail.
Диагностика неисправностей
Во-первых, рекомендуется использовать VPS с минимум 4 ГБ оперативной памяти. Запуск Zimbra на VPS с 2 ГБ ОЗУ может привести к сбоям в работе базы данных, SpamAssassin или ClamAV из-за нехватки памяти. Если вы настаиваете на использовании VPS с 2 ГБ ОЗУ, это может привести к потере входящих писем и другим нежелательным последствиям.
В случае возникновения проблем с доставкой электронной почты, рекомендуется регулярно проверять файл журнала почты /var/log/mail.log.
Ошибка 502 (Bad Gateway)
Если веб-интерфейс Zimbra не работает, например, отображается ошибка шлюза 502, это может указывать на нехватку оперативной памяти на вашем сервере.
Попробуйте перезапустить все службы Zimbra, чтобы устранить данную проблему.
Выполните следующую команду под учетной записью пользователя zimbra, чтобы удостовериться, что все службы Zimbra функционируют корректно.
zmcontrol status
Если у вас активирован брандмауэр, необходимо разрешить доступ через следующие порты.
HTTP порт: 80 HTTPS порт: 443 SMTP порт: 25 Порт отправки: 587 SMTPS порт: 465 (для почтового клиента Microsoft Outlook) IMAP порт: 143 и 993
Если вы хотите начать использовать брандмауэр UFW, посмотрите мое руководство по теме: Установка и настройка брандмауэра UFW на системах Debian и Ubuntu.
Как произвести обновление TLS-сертификата
Сертификат TLS, который предоставляет Let’s Encrypt, имеет срок действия всего 90 дней. Поэтому необходимо настроить задачу Cron для автоматического продления сертификата. Для обновления сертификата выполните следующую команду.
sudo certbot renew
Опцию —dry-run можно использовать для проверки процесса обновления без его фактического выполнения.
sudo /snap/bin/certbot renew --dry-run
Настройка задания Cron
Если тестирование прошло успешно, вы можете настроить задачу Cron для автоматического обновления сертификата. Для этого откройте файл crontab от имени пользователя root.
sudo crontab - e
В завершение добавьте следующую строку в конец файла.
@daily /snap/bin/certbot renew --quiet
Закройте файл, предварительно сохранив изменения.
Конфигурация запасного почтового сервера
Ваш основной почтовый сервер может периодически становиться недоступным. Если сервер находится в дата-центре, время простоя будет минимальным, и вероятность утраты писем практически отсутствует. В случае размещения сервера дома предсказать время простоя невозможно, поэтому разумным решением будет использование резервного почтового сервера в дата-центре для защиты от потери писем. Для работы резервного сервера потребуется всего 512 МБ оперативной памяти.