Предположим, что у нас есть два домена remontka.com и test.remontka.com и почтовый сервер, с которого идет отправка писем для этих доменов. Также на сервере есть два IP-адреса:
- 1.2.3.4
- 5.6.7.8
Нам нужно сделать так, чтобы:
- Домен remontka.com отправлял письма с адреса 1.2.3.4.
- Домен test.remontka.com отправлял письма с адреса 5.6.7.8.
- При создании SMTP-сессии на разных IP, почтовый сервер отдавал разные HELLO.
- Postfix и Dovecot умели отдавать разные SSL-сертификаты при запросах на разные IP.
Это делается в несколько этапов.
Теория
Наши задачи решаются с помощью настроек:
- В конфигурационном файле master.cf предусмотрена опция smtp_bind_address , с помощью которой можно указать, к какому адресу будет привязана очередь обработки письма. Таким образом нам нужно просто настроить правило для исходящих писем, которое в зависимости от отправителя будет посылать письма через определенную очередь в master.cf.
- В том же файле master.cf настраиваем опцию myhostname для различных соединений. На свой адрес мы повесим свой прослушиватель, который будет указывать на определенное имя сервера.
- В файле main.cf для postfix используем директиву tls_server_sni_maps для указания разные SSL-сертификатов.
Рассмотрим процесс по шагам.
Отправка с разных IP
Отредактируем основной конфигурационный файл postfix:
vi /etc/postfix/main.cf
Нам нужно добавить или отредактировать опцию sender_dependent_default_transport_maps :
sender_dependent_default_transport_maps = hash:/etc/postfix/sender_transport
* в данном примере мы указываем, что правила для отправки находится в карте /etc/postfix/sender_transport .
Создадим файл с самой картой:
vi /etc/postfix/sender_transport
@remontka.com remontka_smtp:
@test.remontka.com test_smtp:
* в данном примере мы будем отправлять письма от разных доменов, каждый через свою очередь. Сами очереди мы создадим в файле master.cf.
И создадим саму карту:
postmap /etc/postfix/sender_transport
Теперь отредактируем файл master.cf:
vi /etc/postfix/master.cf
В самый низ добавим:
remontka_smtp unix — — n — — smtp
-o smtp_helo_name=mail.remontka.com
-o smtp_bind_address=1.2.3.4
test_smtp unix — — n — — smtp
-o smtp_helo_name=mail.test.remontka.com
-o smtp_bind_address=5.6.7.8
* мы создали две очереди в соответствии с правилами отправки. Для каждой очереди используются следующие правила:
- smtp_bind_address — обязывает делать отправку через определенный IP-адрес.
- smtp_helo_name — указывает, какое имя сервера использовать в HELLO при отправке.
Применяем настройки:
systemctl restart postfix
Разные HELLO для входящих SMTP-сессий
Очень важно, чтобы при smtp-запросах к нашему серверу (как правило, по порту 25), Postfix умел отдавать разные имена. В нашем примере это будут mail.remontka.com и mail.test.remontka.com .
Открываем файл:
vi /etc/postfix/master.cf
Находим настройку:
smtp inet n — y — — smtpd
…
И делаем из нее несколько:
1.2.3.4:smtp inet n — y — — smtpd
-o myhostname=mail.remontka.com
…
5.6.7.8:smtp inet n — y — — smtpd
-o myhostname=mail.test.remontka.com
…
* в нашем примере будет создано два слушателя — первый на IP 1.2.3.4 , который будет отдавать имя сервера mail.remontka.com , второй — 5.6.7.8 с именем mail.test.remontka.com .
Перезапускаем postfix:
systemctl restart postfix
Мы можем проверить настройку, используя Telnet .
Настройка отдачи сертификатов
Отдельно покажем, как настроить Postfix и Dovecot.
Настройка Postfix
Открываем файл:
vi /etc/postfix/main.cf
Приводим настройки к следующему виду:
#smtpd_tls_cert_file = …
#smtpd_tls_key_file = …
smtpd_tls_chain_files =
/etc/postfix/cert.key,
/etc/postfix/cert.crt
tls_server_sni_maps = hash:/etc/postfix/vmail_ssl_map
* где:
- Мы закомментировали строки smtpd_tls_cert_file и smtpd_tls_key_file .
- Добавили настройку smtpd_tls_chain_files , которая указывает, какие сертификаты нужно использовать для исходящих. Тут можно обойтись самоподписанным сертификатом.
- Добавили tls_server_sni_maps , которая говорит нашему релею, какой файл нужно использовать для определения, какому домену какой сертификат подставлять.
Создаем файл:
vi /etc/postfix/vmail_ssl_map
mail.remontka.com /etc/postfix/ssl/mail.remontka.com/cert.key /etc/postfix/ssl/mail.remontka.com/cert.crt
mail.test.remontka.com /etc/postfix/ssl/mail.test.remontka.com/cert.key /etc/postfix/ssl/mail.test.remontka.com/cert.crt
* для каждого из hostname мы указали свой путь до пары сертификатов.
Создаем карту из vmail_ssl_map:
postmap -F /etc/postfix/vmail_ssl_map
Перезапускаем postfix:
systemctl restart postfix
Для проверки можно использовать команду openssl:
openssl s_client -starttls smtp -connect mail.remontka.com:25
openssl s_client -starttls smtp -connect mail.test.remontka.com:25
Настройка Dovecot
Открываем настройки SSL, как правила:
vi /etc/dovecot/conf.d/10-ssl.conf
Добавляем директивы local_name для каждого из домена:
local_name mail.remontka.com {
ssl_cert = </etc/postfix/ssl/mail.remontka.com/cert.crt
ssl_key = </etc/postfix/ssl/mail.remontka.com/cert.key
}
local_name mail.test.remontka.com {
ssl_cert = </etc/postfix/ssl/mail.test.remontka.com/cert.crt
ssl_key = </etc/postfix/ssl/mail.test.remontka.com/cert.key
}
Перезапускаем dovecot:
systemctl restart dovecot
Для проверки также используем openssl:
openssl s_client -connect mail.remontka.com:993
openssl s_client -connect mail.test.remontka.com:993
