Zimbra

Проблема заключается, как я понял, в том, что во время ротации файлов, log4j переименовывает текущий audit.log в audit.log.%d{yyyy-MM-dd}, затем создает новый файл с именем audit.log и пишет новые события туда. Поскольку создается новый файл, то соответственно и меняется его дескриптор, tail же висит на старом файле, со старым дескриптором и после 12 ночи перестает получать новые события. Как можно обойти данный момент? Есть ли в log4j что-то вроде опции truncate из logrotate, которая не создавала бы новый файл, а копировала текущий и затем очищала его, дабы дескриптор не изменился и tail продолжил работать?

Буду благодарен за ответы.

P.S.: не хотелось бы использовать костыльные методы а-ля перезапуск скрипта и т.д.

Почему именно 3.8? Потому что во-первых на самых свежих версиях питона у меня ничего не взлетело, а во-вторых потому что на данной версии все отработало как нужно)

Далее из гайда:

ln -s /opt/certbot/bin/certbot /usr/local/sbin/certbot

/usr/local/sbin/certbot certonly -d $(hostname --fqdn) --standalone --preferred-chain "ISRG Root X2" --agree-tos --register-unsafely-without-email

И работать это у нас не будет! pyopenssl 23.2.0, который идет в комплекте, не подходит для certbot'a.

Поэтому сначала делаем:

/opt/certbot/bin/pip install -U "pyopenssl==23.1.0"

Далее, при выполнении скрипта из crontab:

/etc/cron.daily/letsencrypt-zimbra

не пройдет верификация сертификата из-за устаревших корневых сертификатов. Лечится это следующим образом:

wget -O /tmp/ISRG-X1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt

cat /tmp/ISRG-X1.pem >> /etc/letsencrypt/live/$(hostname --fqdn)/chain.pem

И уже после этого, можно запускать скрипт из кронтаба, который успешно задеплоит сертификат в зимбру:

/etc/cron.daily/letsencrypt-zimbra

Вот и все. Не забываем рестартнуть сервер:

su zimbra -c '/opt/zimbra/bin/zmcontrol restart'

И радуемся полученному результату.

P.S.: надеюсь заметки из данного поста пригодятся хотя бы одному человеку. Тогда эта простыня текста будет не напрасной.

Таким образом создаём нужное количество ящиков и пользуемся почтовым сервером

Перенос писем

Тут есть два варианта - imapsync и перенос руками через почтовый клиент типа Thunderbird. Тут у меня провал в знаниях, ибо всем клиентам, кому я переносил почту, на архив было по барабану и временно оставили доступ к Яндекс.Почте со всем архивом писем, благо за это Яндекс деньги не берёт

setenforce 0
sed -i 's/^SELINUX=.*/SELINUX=disabled/g' /etc/selinux/config

Для своей работы Zimbra OSE использует следующие порты:
25 — основной порт для обмена почтой по протоколу SMTP
80 — веб-интерфейс для чтения почты (http)
443 — SSL веб-интерфейс для чтения почты (https)
465 — безопасный SMTP для отправки почты с почтового клиента
993 — SSL IMAP для работы с почтовым ящиком с помощью клиента
995 — SSL POP3 для загрузки почты
7071 — для защищенного доступа к администраторской консоли
Т.к. у нас Zimbra будет работать в связке с PMG, то 25 порт заменится на 26.

Если Zimbra стоит за NAT’ом, то рекомендую не прокидывать порт 7071, а использовать его только внутри сети. Так безопаснее. В любом случае, необходимо открыть эти порты в файерволле:

firewall-cmd --permanent --add-port={26,80,443,465,993,995,7071}/tcp

firewall-cmd –reload

Для Zimbra важно, что бы её внешнее имя было прописано локально. Поэтому задаём имя сервера:

hostnamectl set-hostname mail.example.org

Теперь открываем файл hosts:

nano /etc/hosts

И добавляем:

IP_адрес mail.example.org mail

На этом подготовка завершена

Установка Zimbra

Страница загрузки находится по адресу https://www.zimbra.com/downloads/zimbra-collaboration-open-source . Ищем нужную версию и скачиваем дистрибутив на сервер:

wget https://files.zimbra.com/downloads/8.8.15_GA/zcs-8.8.15_GA_4362.RHEL8_64.20220721104405.tgz

Распаковываем скачанный архив:

tar -xzvf zcs-*.tgz

Переходим в каталог:

cd zcs-*/

Запускаем установку:

./install.sh

Появится вопрос о принятии лицензионного соглашения – принимаем:

Do you agree with the terms of the software license agreement? [N] Y

Разрешаем использование репозитория Zimbra:

Use Zimbra's package repository [Y] Y

И соглашаемся на установку всех модулей, кроме zimbra-imapd:

Install zimbra-ldap [Y] Y
Install zimbra-logger [Y] Y
Install zimbra-mta [Y] Y
Install zimbra-dnscache [Y] Y
Install zimbra-snmp [Y] Y
Install zimbra-store [Y] Y
Install zimbra-apache [Y] Y
Install zimbra-spell [Y] Y
Install zimbra-convertd [Y] Y
Install zimbra-memcached [Y] Y
Install zimbra-proxy [Y] Y
Install zimbra-archiving [N] Y
Install zimbra-drive [Y] Y
Install zimbra-imapd (BETA - for evaluation only) [N] N
Install zimbra-network-modules-ng [Y] Y
Install zimbra-talk [Y] Y

Подтверждаем ранее введённые настройки:

The system will be modified. Continue? [N] Y

Начался процесс установки, ждём окончания.

Если Ваш сервер находится за NAT или Вы ещё не настроили домен, то появился сообщение, что нет записи MX:

It is suggested that the domain name have an MX record configured in DNS

Просто игнорируем его.

Установщик предложит поменять домен – не соглашаемся

Change domain name? [Yes] No

Далее установщик покажет меню настройки. Нас интересует строка Admin Password UNSET. Вводим 7, затем 4 и устанавливаем пароль администратора. Затем выходим из меню (r) и применяем настройки (a).

Сохраняем конфигурацию:

Save configuration data to a file? [Yes] Y

The system will be modified - continue? [No] Y

И ждём окончания установки. На запрос отправки уведомления об установке отвечаем по своему усмотрению (по умолчанию Да)

Notify Zimbra of your installation? [Yes]

В конце концов всё установится, и просто нажимаем Enter

Configuration complete - press return to exit

Установщик меняет пароль root, поэтому необходимо изменить его обратно:

passwd root

Небольшая донастройка

Вместе с Zimbra поставился пакет dnscache, установщик меняет DNS-сервера в сервере и перестаёт работать разрешение DNS имён. Исправим это. Для начала посмотрим, какой мастер DNS прописан в конфигурации:

su - zimbra -c "zmprov getServer 'mail.example.org' | grep DNSMasterIP"

В моём случае последний октет разный, пусть будет 127.0.0.48:

zimbraDNSMasterIP: 127.0.0.48

Удаляем данную запись:

su - zimbra -c "zmprov ms 'mail.example.org' -zimbraDNSMasterIP 127.0.0.48"

И добавляем свои DNS сервера:

su - zimbra -c "zmprov ms 'mail.example.org' +zimbraDNSMasterIP  IP_адрес"

Если сервер находится за NAT, то после настройки сервер не сможет принимать почту, а в логах можно увидеть ошибку delivery temporarily suspended: connect to 7025: Connection refused). Это происходит из-за попытки передать письмо из очереди в ящик по внешнему порту 7025, который недоступен из-за NAT. Исправим это:

su - zimbra -c "zmprov ms mail.example.org zimbraMtaLmtpHostLookup native"

su - zimbra -c "zmprov mcf zimbraMtaLmtpHostLookup native"

Т.к. Zimbra работает в связке с PMG, то добавим для SMTP 26 порт:

nano /opt/zimbra/common/conf/master.cf.in

И после строки

smtp inet n - n - 1 postscreen

Добавляем строку

26 inet n - n - - smtpd

После всех манипуляций перезапускаем службы:

su - zimbra -c "zmmtactl restart"

SSL сертификат Let’s Encrypt

Без этого сертификата не будут работать почтовые клиенты, а также, при входе через WEB, будет выскакивать назойливое сообщение о небезопасном подключении. Так приступим же к установке!

yum install certbot

Перед выпуском сертификата выполняем тестовый выпуск:

certbot certonly --dry-run --standalone -d mail.example.org

Если всё хорошо и ошибок нет, то выпускаем сертификат:

certbot certonly --standalone -d mail.example.org

В процессе будет запрошен e-mail администратора и два вопроса:
1) О согласии с лицензионным соглашением
2) О предоставлении своего почтового ящика для рассылки
Соглашаться ли со вторым пунктом – дело Ваше

После выпуска сертификата переходим в каталог Let’s Encrypt с Вашим доменом, качаем корневые сертификаты и формируем корректную цепочку, что бы Zimbra её приняла:

cd /etc/letsencrypt/live/mail.example.org/
wget -4 -O /etc/letsencrypt/live/mail.example.org/isrgrootx1.pem https://letsencrypt.org/certs/isrgrootx1.pem.txt
wget -4 -O /etc/letsencrypt/live/mail.example.org/letsencryptauthorityx3.pem https://letsencrypt.org/certs/letsencryptauthorityx3.pem.txt
cat /etc/letsencrypt/live/mail.example.org/isrgrootx1.pem > /etc/letsencrypt/live/mail.example.org/zimbra_chain.pem
cat /etc/letsencrypt/live/mail.example.org/letsencryptauthorityx3.pem >> /etc/letsencrypt/live/mail.example.org/zimbra_chain.pem
cat /etc/letsencrypt/live/mail.example.org/chain.pem >> /etc/letsencrypt/live/$DOMAIN/zimbra_chain.pem

Создадим папку letsencrypt в структуре каталогов Zimbra и скопируем туда полученные сертификаты:

mkdir /opt/zimbra/ssl/letsencrypt

cp /etc/letsencrypt/live/mail.example.org/* /opt/zimbra/ssl/letsencrypt/

Назначим права на эти файлы и проведем верификацию:

chown zimbra:zimbra -R /opt/zimbra/ssl/letsencrypt

su - zimbra -c "zmcertmgr verifycrt comm /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem"

Успешный вывод:

** Verifying '/opt/zimbra/ssl/letsencrypt/cert.pem' against '/opt/zimbra/ssl/letsencrypt/privkey.pem'

Certificate '/opt/zimbra/ssl/letsencrypt/cert.pem' and private key '/opt/zimbra/ssl/letsencrypt/privkey.pem' match.

** Verifying '/opt/zimbra/ssl/letsencrypt/cert.pem' against '/opt/zimbra/ssl/letsencrypt/zimbra_chain.pem'

Valid certificate chain: /opt/zimbra/ssl/letsencrypt/cert1.pem: OK

Переименовываем закрытый ключ, перемещаем в каталог коммерческих сертификатов, выполняем установку и перезапускаем службы Zimbra:

mv /opt/zimbra/ssl/letsencrypt/privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key

su - zimbra -c "zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zimbra_chain.pem"

su - zimbra -c "zmcontrol restart"

Данный сертификат выпускается на 3 месяца. В последние дни сертификата его необходимо перевыпустить:

certbot renew

После чего повторяем все шаги, начиная с «После выпуска сертификата переходим в каталог Let’s Encrypt»

На этом установка Zimbra завершена

Весь этот набор, на одной из последних инсталляций, крутится на HP Proliant DL320 G6 с процессором Intel Xeon E5630 и 32 GB RAM с 50 средне-активными ящиками, примерно по 30 писем в день на каждом. Для PMG выдано 4 потока процессора и 4 GB RAM, для Zimbra 4 потока и 8 GB RAM. В принципе, хватает. И да, я знаю, что сервер старый. Все риски с заказчиком проговорили, таков путь его бюджет.

Как ставить PVE и PMG есть куча статей в инете, здесь я расскажу про настройку PMG, установку и настройку Zimbra, а так же настройку домена.

Самое главное – у почтового сервера должен быть белый IP-адрес. Сервер не обязательно должен смотреть напрямую в интернет, можно через роутер пустить, но тогда необходимо прокинуть порты на него.

Настройка домена

Для начала определимся в типах записи домена

А – служит для преобразования имени хоста в IP-адрес
MX – определяет, на каком хосте находится почтовый сервер, а так же порядок его использования
TXT – общая текстовая информация, в данном случае служит для настройки записей SPF, DMARC и DKIM
PTR – обратная запись DNS. Служит для проверки нахождения почтового сервера на конкретном IP-адресе
SPF – служит для проверки, с каких почтовых серверов разрешена отправка писем
DMARC – указывает, что делать с письмами, если записи SPF и DKIM окажутся некорректными
DKIM – служит для подписания писем закрытым ключом, таким образом, сервер-получатель знает, что письмо отправлено именно с Вашего почтового сервера, а не с фишингового.

Наш почтовый сервер будет иметь домен mail.example.org. Для начала, необходимо запросить у провайдера/хостера (смотря где находится сервер) прописать PTR-запись на Ваш IP-адрес вида mail.example.org
Затем идём в управление DNS-зонами домена (если используете DNS регистратора) и добавляем следующие записи:

1) Создаём домен mail.example.org, делаем запись типа А с IP-адресом сервера.
2) Переходим в домен example.org, добавляем записи MX с приоритетом 10 и адресом mail.example.org и TXT запись со значением v=spf1 mx –all.
3) Создаём домен _dmarc.example.org и добавляем туда TXT запись со значением v=DMARC1; p=none

Обновление DNS-записей домена может доходить до суток, но на моей практике всё обновлялось в течении 30 минут.

PMG

После установки PMG заходим по SSH и, первым делом, отключаем коммерческий репозиторий и добавляем бесплатный:

rm /etc/apt/sources.list.d/pmg-enterprise.list
touch /etc/apt/sources.list.d/pmg-no-subscription.list

Заходим в pmg-no-subscription.list:

nano /etc/apt/sources.list.d/pmg-no-subscription.list

И добавляем репозиторий:

deb http://download.proxmox.com/debian/pmg bullseye pmg-no-subscription

Выходим с сохранением (Ctrl+X) и обновляем систему:

apt update && apt upgrade –y

Если в списке обновляемых файлов было ядро (pve-kernel-*), то перезагружаем PMG после обновления, что бы он загрузился на новом ядре:

reboot

Проверяем, что бы имя сервера соответствовало его локальному IP-адресу

nano /etc/hosts

В этом файле должна быть запись вида IP_адрес mail-gw.example.org mail-gw, при этом IP_адрес НЕ 127.0.0.1.

После всех описанных процедур заходим браузером на https://ip:8006 и вводим логин-пароль, который указали при установке

Идём во вкладку Configuration-Network/Timeи, при необходимости, правим часовой пояс, время и настройки DNS

Затем идём в Options и правим настройки отчётов

А теперь переходим к настройке самого релея. Идём в Configuration – Mail Proxy и указываем в поле Default Relay адрес почтового сервера, на который PMG будет пересылать всю почту

Далее в Relay Domains указываем, какие домены будет обслуживать PMG и почтовый сервер. Это один из этапов защиты, если не указать домен, то письма будут автоматически отбрасываться.
Во вкладке Ports указываем наружный и внутренний SMTP порты. Советую оставить по умолчанию, далее в Zimbra заменим порт SMTP на 26.
Во вкладке Options я, как правило, правлю 3 пункта – Message Size (размер письма, ставлю 50 мбайт), Use SPF = yes (SPF-запись нужна для настройки домена, что бы другие почтовые сервера понимали, с каких серверов для этого домена разрешена отправка писем) и SMTPD Banner (что бы при приветствии сервера по SMTP протоколу не палиться, что это PMG).

Далее – DKIM. Включаем подпись DKIM, указываем селектор и говорим, что необходимо подписывать все исходящие письма DKIM-ключом

Затем, чуть ниже в Sign Domains добавляем домен example.org.
Затем идём в генератор DKIM (например, https://2ip.ru/dkim), задаём имя домена example.org, селектор mail и размер ключа (2048). Получаем три записи – Private Key, Public Key и TXT-запись в домен. Если присмотреться, то увидите, что в TXT записи есть пробелы – это нормально, так и должно быть. Опять идём в управление DNS-зонами домена и добавляем домен mail._domainkey.example.org, создаём в нём TXT запись и вставляем всё, что окажется в поле «TXT запись», начиная с V=DKIM и до конца, исключая кавычки. Для проверки, что DKIM-запись в домене появилась и она правильная, идём на сервис проверки DKIM (например, https://dmarcian.com/dkim-inspector), прописываем имя домена, селектор и нажимаем «Inspect DKIM». Если запись правильная, то появится надпись «Congratulations! Your DKIM record is valid».
Затем подключаемся по SSH к PMG и открываем файл /etc/pmg/dkim/mail.private

nano /etc/pmg/dkim/mail.private

Удаляем всё содержимое и вставляем с поля «Приватный ключ» с сайта 2ip.ru.

Может возникнуть вопрос – а зачем было менять ключ, если он есть, почему нельзя было его скопировать в DNS-запись? Отвечаю – отсутствие пробелов в нужных местах. В DNS родная запись PMG будет выглядеть одной строкой, и такая запись будет невалидна из-за своей длины.

И есть ещё 3 неочевидных момента, с которыми я, на первой инсталляции, промучался долго.

SMTP_HELO

SMTP_HELO - это приветствие между почтовыми серверами. Сервер должен представляться своим почтовым доменом (в нашем случае mail.example.org), однако PMG подставляет туда своё локальное имя (в моём случае mail-gw.example.local). Исправим это.

Проверяем, что существует папка /etc/pmg/templates. Если нет, то создадим её

mkdir /etc/pmg/templates

Копируем шаблон настроек и открываем в редакторе

cp /var/lib/pmg/templates/main.cf.in /etc/pmg/templates/main.cf.in

nano /etc/pmg/templates/main.cf.in

Находим строку smtpd_banner = $myhostname [% pmg.mail.banner %] и меняем $myhostname на mail.example.org
Ищем строку biff = no и, после неё, добавляем строку smtp_helo_name = mail.example.org

Затем перезагружаем PMG, что бы он принял конфиг

pmgconfig sync --restart 1

RAR архивы

Изначально PMG не может просканировать RAR архивы во вложениях на предмет вирусов. Исправим это

Добавим non-free репозитории. Открываем на редактирование sources.list

nano /etc/apt/sources.list

И приводим содержимое к следующему виду:

deb http://deb.debian.org/debian bullseye main contrib non-free
deb-src http://deb.debian.org/debian bullseye main contrib non-free
deb http://deb.debian.org/debian bullseye-updates main contrib non-free
deb-src http://deb.debian.org/debian bullseye-updates main contrib non-free

После чего устанавливаем пакеты

apt update && apt install libclamunrar p7zip-rar

Готово, теперь PMG сможет сканировать RAR архивы

Ошибка SPF-записи

Если PMG использует DNS сервера внутри сети, то может происходить следующее - иногда сервера получателей не могут проверить SPF запись и не принимают письмо, хотя сама SPF запись есть и настроена корректна. Этот момент не всегда очевиден и легко пропустить в логах. Решение простое - добавить SPF запись на локальном DNS сервере. Если PMG использует внешние публичные DNS-сервера, то такой проблемы нет.

На этом настройка PMG закончена, можно приступать к установке и настройке Zimbra