Arquivos ipv4 - Remontti

Guia passo a passo para instalação do phpIPAM, um Software de Gerenciamento de Endereços IP

Rudimar Remontti — Mon, 12 Jun 2023 15:40:55 +0000

O phpIPAM é um aplicação de gerenciamento de endereço IPs de código aberto (IPAM). Seu objetivo é fornecer gerenciamento de endereços IP leve, moderno e útil. É uma aplicação baseada em php com backend de banco de dados MySQL/MariaDB, usando bibliotecas jQuery, ajax e recursos HTML5 / CSS3.

Recomendado Debian 12 Bookworm:
1 – Debian 12 Bookworm / Instalação Limpa
2.a – Servidor WEB NGINX + PHP 8.2 + MariaDB + phpMyAdmin
2.b – Servidor WEB Apache2 + PHP 8.2 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 11 Bullseye:
1- Debian 11 Bullseye / Instalação Limpa
2- Servidor WEB Apache2 + PHP7.4 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 10 Stretch:
1- Debian 10 Stretch / Instalação Limpa
2.a – Servidor WEB Apache2 + PHP7.3 + MariaDB + phpMyAdmin
2.b – Servidor WEB NGINX + PHP7.3 + MariaDB + phpMyAdmin
phpMyAdmin é opcional

Recomendado Debian 9 Buster:
Instalação Limpa Debian 9 Buster
Servidor web Apache2, PHP 7.0, MariaDB, PHPMyAdmin
phpMyAdmin é opcional

Após instalação do servidor WEB+MariaDB, vamos criar nossa base de dados para o phpipam

# mariadb -p

CREATE DATABASE phpipam;
GRANT ALL PRIVILEGES ON phpipam.* TO 'phpipam'@'localhost' IDENTIFIED BY 'SUA_SENHA';
FLUSH PRIVILEGES;
quit;

Download phpIPAM
Instalação estável: (Nesta data é 1.5.2) https://github.com/phpipam/phpipam/releases

# cd /tmp # wget https://github.com/phpipam/phpipam/releases/download/v1.5.2/phpipam-v1.5.2.tgz # tar vxf phpipam-v1.5.2.tgz # mv phpipam /var/www/html/phpipam

# cd /var/www/html/phpipam

Agora precisamos inserir os dados para o phpipam conectar ao banco de dados. Primeiro copie config.dist.php para config.php e insira os detalhes necessários.

# cp config.dist.php config.php
# vim config.php

Encontre a linha $db['pass'] = 'phpipamadmin'; e altere para sua senha, caso tenha utilizado outro usuário e nome de base altere também.

...
$db['host'] = "localhost";
$db['user'] = "phpipam";
$db['pass'] = "SUA_SENHA";
$db['name'] = "phpipam";
...

Se estas utilizando debian 12, sua versão do php é a 8.2 que na versão atual 1.5.2 ainda parece não ter sido testado, para resolver entre no diretório do phpipam e adicione $allow_untested_php_versions=true; ao final do arquivo:

# cd /var/www/html/phpipam
# echo '$allow_untested_php_versions=true;' >> config.php

Além disso, nós extraímos o diretório do phpipam fora pasta raiz (/var/www/html), será necessário definir isso (define('BASE', "/");) em config.php, se você colocou no diretório raiz ou configurou um domínio virtual (recomendo) para o phpipam não é necessário :

# vim config.php

Altere :

define('BASE', "/");

para:

define('BASE', "/phpipam/");

Instale a extensão gmp do php que é necessária para o funcionamento do phpipam e restarte o apache ou nginx de acordo com seu servidor.

# apt install php-gmp -y
# systemctl restart apache2
ou
# systemctl restart nginx

Agora acesse seu servidor em seu navegado: http://ip-server.ou.dominio/phpipam/

Clique em [New phpipam installation]

Clique em [Automatic database installation]

Entre com seu usuario: phpipam e senha senha de conexão do banco de dados (SUA_SENHA), clique em [Show advanced options], e DESMARQUE as opções: Create new database e Set permissions to tables e após em [Install phpipam database]

Uma mensagem "Database installed successfully!" será exibida, informado que o banco de dados foi criado com sucesso. Clique em [Continue]

Defina a senha do usuário admin, e clique em [Save settings]

Uma mensagem "Settings updated, installation complete!" informado que a instalação foi completada! Clique em [Procced to login]

Entre com o usuário admin e sua senha:

Prontinho para seu uso!

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Guia passo a passo para instalação do phpIPAM, um Software de Gerenciamento de Endereços IP apareceu primeiro em Remontti.

Instalação do FRRouting (FRR) – Roteamento dinâmico no seu linux +Bônus iBGP

Rudimar Remontti — Sun, 20 Sep 2020 18:20:40 +0000

FRRouting (FRR) é um conjunto de protocolos de roteamento IP para plataformas Linux e Unix que inclui daemons de protocolo para BGP, IS-IS, LDP, OSPF, PIM e RIP.

A integração perfeita do FRR com as pilhas de rede IP Linux/Unix nativas o torna aplicável a uma ampla variedade de casos de uso.

FRR tem suas raízes no projeto Quagga (Fork do Quagga). Na verdade, ele foi iniciado por muitos desenvolvedores de Quagga de longa data que combinaram seus esforços para melhorar a base bem estabelecida do Quagga para criar a melhor pilha de protocolo de roteamento disponível.

Uma ótima apresentação foi feita pelo Junior Corazza. no GTER 46.
BSDRP – Uma opção de softrouter com FRR

Apresentação: ftp://ftp.registro.br/pub/gter/gter46/11-BSDRP.pdf

Requesitos:
Debian 10 Stretch – Instalação Limpa
Debian 11 Bullseye – Instalação Limpa

Antes de começar não esqueça de virar root da forma correta e atualizar os pacotes, e instalar alguns pacotes que serão necessários.

# su -
# apt update
# apt upgrade
# apt install curl apt-transport-https gnupg2 lsb-release tree net-tools

Instalação do Free Range Routing

Pacotes presente do FRR no repositório do Debian 10 estão na versão 6.x.x, e Debian 11 na 7.5.x vou ir além e usar o repositório mais atualizado do FRR disponíveis em https://deb.frrouting.org, mas fica a seu critério se desejar usar o repositório “default”.

Para usar pacotes do repositório FFR faça:

# curl -s https://deb.frrouting.org/frr/keys.asc | apt-key add -

Iremos usar a versão estável oficial mais recente “frr-stable” na variável “FRRVER”, mas é possíveis para também: frr-6 frr-7 frr-8 frr-stable.

# FRRVER="frr-stable"
# echo deb https://deb.frrouting.org/frr $(lsb_release -s -c) $FRRVER | tee -a /etc/apt/sources.list.d/frr.list
# apt update

Podemos entrar agora em nosso respositório varios pacores FRR:

# apt search frr

frr – FRRouting suite
frr-doc – Manual
frr-rpki-rtrlib – Suporte BGP RPKI
frr-rpki-rtrlib-dbgsym – Debug do pacote frr-rpki-rtrlib
frr-snmp – Suporte SNMP
frr-snmp-dbgsym – Debug do pacote frr-snmp
frr-pythontools – Python tools

Instalarei alguns mas fique a seu critério/necessidade.

# apt install frr frr-doc frr-pythontools frr-rpki-rtrlib frr-snmp

Após instalação o diretorio /etc/ffr/ será criado juntamente com seus arquivos de configuração. Arquitetura do diretório:

# tree /etc/frr/

/etc/frr/
├── daemons
├── frr.conf
├── support_bundle_commands.conf
└── vtysh.conf

Como de costume vamos fazer um backup dos arquivos originais caso cometermos alguma “cagada”

# mkdir /etc/frr/backups
# cp /etc/frr/daemons /etc/frr/backups/
# cp /etc/frr/frr.conf /etc/frr/backups/
# cp /etc/frr/vtysh.conf /etc/frr/backups/
# cp /etc/frr/support_bundle_commands.conf /etc/frr/backups/

Antes de mais nada vamos entender um pouco como a aplicação funciona.

No FRR o roteamento é diferente de um roteamento tradicional, ele tem um conjunto de daemons que trabalham juntos para construir a tabela de roteamento.

Cada protocolo principal é implementado em seu próprio daemon, e esses daemons se comunicam com um daemon intermediário (zebra), que é responsável por coordenar as decisões de roteamento.

Esta arquitetura permite alta resiliência, uma vez que um erro, travamento ou exploração em um daemon de protocolo geralmente não afetará os outros. Também é flexível e extensível, uma vez que a modularidade torna mais fácil implementar novos protocolos e vinculá-los ao conjunto. Além disso, cada daemon implementa um sistema de plug-in permitindo que novas funcionalidades sejam carregadas em tempo de execução.

Ilustração da arquitetura em grande escala:

+----+  +----+  +-----+  +----+  +----+  +----+  +-----+
|bgpd|  |ripd|  |ospfd|  |ldpd|  |pbrd|  |pimd|  |.....|
+----+  +----+  +-----+  +----+  +----+  +----+  +-----+
     |       |        |       |       |       |        |
+----v-------v--------v-------v-------v-------v--------v
|                                                      |
|                         Zebra                        |
|                                                      |
+------------------------------------------------------+
       |                    |                   |
       |                    |                   |
+------v------+   +---------v--------+   +------v------+
|             |   |                  |   |             |
| *NIX Kernel |   | Remote dataplane |   | ........... |
|             |   |                  |   |             |
+-------------+   +------------------+   +-------------+

Todos os daemons FRR podem ser gerenciados por meio de um único shell de interface de usuário integrado chamado vtysh. O vtysh se conecta a cada daemon através de um soquete de domínio UNIX e então funciona como um proxy para a entrada do usuário. Além de um front-end unificado, o vtysh também oferece a capacidade de configurar todos os daemons usando um único arquivo de configuração por meio do modo de configuração integrado. Isso evita a sobrecarga de manter um arquivo de configuração separado para cada daemon.

Você encontra mais informações em: http://docs.frrouting.org/en/latest/overview.html

Módulos do kernel

Na documentação oficial de instalação é recomendado fazer alguns ajustes nas configurações de sysctl do Linux, caso para sua realidade não seja necessário pule esta parte.

Os itens a seguir são definidos para habilitar o encaminhamento de IP no kernel:

Encaminhamento IPv4 e IPv6

# vim /etc/sysctl.conf

Descomente:

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1

Encaminhamento MPLS (Ative se achar necessário)
O suporte MPLS básico foi introduzido no kernel na versão 4.1 e recursos adicionais foram introduzidos na 4.3 e 4.5.

# vim /etc/modules-load.d/modules.conf

Adicione

# Load MPLS Kernel Modules
mpls_router
mpls_iptunnel

Veja quais o(s) nome(s) de sua(s) interface(s) e adicione:

# ip -br link |grep -v lo |awk '{print $1}'
# vim /etc/sysctl.conf

Adicione ao final do arquivo (Anteção para o nome das interfaces: net.mpls.conf.[INTERFACE].input)

# Habilite o processamento de rótulo MPLS em todas as interfaces
net.mpls.conf.enp0s3.input=1
net.mpls.platform_labels=100000

Encaminhamento VRF (Ative se achar necessário)
O seguinte impacta como os soquetes BGP TCP são gerenciados em VRFs:

net.ipv4.tcp_l3mdev_accept=0

Com essa configuração, um soquete BGP TCP é aberto por VRF. Essa configuração garante que outros serviços TCP, como SSH, fornecidos para fins não VRF, sejam bloqueados nas interfaces Linux associadas a VRF.

net.ipv4.tcp_l3mdev_accept=1

Reinicie seu servidor para carregar as novas configurações de kernel.

# reboot

Acesse novamente seu servidor, não esqueça de virar root com o comando “su -”

Após instalado o FRR não fará nada. Isso ocorre porque os daemons devem ser ativados e até o momento não temos nenhum, para ativar edite o arquivo /etc/frr/daemons e determine quais daemons serão ativados colocando um yes no daemon desejado. No meu exemplo vou ativar o bgpd qual deixarei uma “brincadeira” de exemplo ao final.

# vim /etc/frr/daemons

# Para habilitar um daemon específico, simplesmente altere o 'no' correspondente para 'yes', e será necessário reiniciar o serviço.
bgpd=yes 	# BGP
ospfd=no 	# OSPFD (OSPFv2 - IPv4)
ospf6d=no 	# OSPF6D (OSPFv3 - IPv6)
ripd=no 	# RIPD (RIPv2 - IPv4)
ripngd=no 	# RIPNGD (RIPv3 - IPv6)
isisd=no 	# ISISD (IS-IS - Protocolo igp Cisco)
pimd=no 	# PIMD (PIM - Roteamento Multicast)
ldpd=no 	# LDPD (LDP - Labels MPLS para rotas igp)
nhrpd=no 	# NHRPD (NHRP - roteamento entre tuneis)
eigrpd=no 	# EIGRPD (EIGRP - protocolo igp Cisco)
babeld=no 	# BABELD (BABEL - protocolo igp dual-stack)
sharpd=no 	# SHARPD (SHARP - protocolo exemplo zclient)
pbrd=no 	# PBRD (PBR - gestao de regras para Police Based Routing)
bfdd=no 	# BFDD (BFD - protocolo de adjacencia instantanea)
fabricd=no 	# FABRICD (OpenFabric)
vrrpd=no 	# VRRPD (Virtual Router Redundancy Protocol Deamon)

# Como o nome diz, isso faz com que o VTYSH aplique a configuração ao iniciar aos daemons. 
vtysh_enable=yes 

# O próximo conjunto de linhas controla quais opções são passadas aos daemons quando iniciados. 
zebra_options="  -A 127.0.0.1 -s 90000000"
bgpd_options="   -A 127.0.0.1"
ospfd_options="  -A 127.0.0.1"
ospf6d_options=" -A ::1"
ripd_options="   -A 127.0.0.1"
ripngd_options=" -A ::1"
isisd_options="  -A 127.0.0.1"
pimd_options="   -A 127.0.0.1"
ldpd_options="   -A 127.0.0.1"
nhrpd_options="  -A 127.0.0.1"
eigrpd_options=" -A 127.0.0.1"
babeld_options=" -A 127.0.0.1"
sharpd_options=" -A 127.0.0.1"
pbrd_options="   -A 127.0.0.1"
staticd_options="-A 127.0.0.1"
bfdd_options="   -A 127.0.0.1"
fabricd_options="-A 127.0.0.1"
vrrpd_options="  -A 127.0.0.1"

Como este tutorial é um laboratório irei ativar os daemons OSPFv2, OSPFv3, BABEL e BGP, (em produção ative somente o necessário) pois em seguida teremos alguns exemplos contribuídos pelo Patrick Brandão.

Alterações feitas no /etc/frr/daemons vamos reiniciar o FRR

# systemctl restart frr

Verifique se o mesmo está ok

# systemctl status frr

● frr.service - FRRouting
   Loaded: loaded (/lib/systemd/system/frr.service; enabled; vendor preset: enabled)
   Active: active (running) since Tue 2020-08-11 14:00:29 -03; 41s ago
     Docs: https://frrouting.readthedocs.io/en/latest/setup.html
  Process: 665 ExecStart=/usr/lib/frr/frrinit.sh start (code=exited, status=0/SUCCESS)
   Status: "FRR Operational"
    Tasks: 18 (limit: 1150)
   Memory: 24.2M
   CGroup: /system.slice/frr.service
           ├─674 /usr/lib/frr/watchfrr -d -F traditional zebra bgpd ospfd ospf6d babeld staticd
           ├─699 /usr/lib/frr/zebra -d -F traditional -A 127.0.0.1 -s 90000000
           ├─704 /usr/lib/frr/bgpd -d -F traditional -A 127.0.0.1
           ├─712 /usr/lib/frr/ospfd -d -F traditional -A 127.0.0.1
           ├─716 /usr/lib/frr/ospf6d -d -F traditional -A ::1
           ├─720 /usr/lib/frr/babeld -d -F traditional -A 127.0.0.1
           └─724 /usr/lib/frr/staticd -d -F traditional -A 127.0.0.1

ago 11 14:00:29 frr zebra[699]: client 47 says hello and bids fair to announce only static routes vrf=0
set 23 15:44:11 accel watchfrr[1220]: zebra state -> up : connect succeeded
set 23 15:44:11 accel watchfrr[1220]: bgpd state -> up : connect succeeded
set 23 15:44:11 accel watchfrr[1220]: ospfd state -> up : connect succeeded
set 23 15:44:11 accel watchfrr[1220]: ospf6d state -> up : connect succeeded
set 23 15:44:11 accel watchfrr[1220]: staticd state -> up : connect succeeded
set 23 15:44:11 accel watchfrr[1220]: all daemons up, doing startup-complete notify
ago 11 14:00:29 frr frrinit.sh[665]: Started watchfrr.
ago 11 14:00:29 frr systemd[1]: Started FRRouting.

Pode também conferir se o serviço de cada daemons ativos foi iniciado:

# netstat -putan

Proto Recv-Q Send-Q Endereço Local          Endereço Remoto         Estado      PID/Program name    
tcp        0      0 127.0.0.1:2601          0.0.0.0:*               OUÇA       699/zebra           
tcp        0      0 127.0.0.1:2604          0.0.0.0:*               OUÇA       712/ospfd           
tcp        0      0 127.0.0.1:2605          0.0.0.0:*               OUÇA       704/bgpd            
tcp        0      0 127.0.0.1:2616          0.0.0.0:*               OUÇA       724/staticd         
tcp6       0      0 ::1:2606                :::*                    OUÇA       716/ospf6d

Lista completa das portas:

zebrasrv      2600/tcp    # zebra service
zebra         2601/tcp    # zebra vty
ripd          2602/tcp    # RIPd vty
ripngd        2603/tcp    # RIPngd vty
ospfd         2604/tcp    # OSPFd vty
bgpd          2605/tcp    # BGPd vty
ospf6d        2606/tcp    # OSPF6d vty
ospfapi       2607/tcp    # ospfapi
isisd         2608/tcp    # ISISd vty
babeld        2609/tcp    # BABELd vty
nhrpd         2610/tcp    # nhrpd vty
pimd          2611/tcp    # PIMd vty
ldpd          2612/tcp    # LDPd vty
eigprd        2613/tcp    # EIGRPd vty
bfdd          2617/tcp    # bfdd vty
fabricd       2618/tcp    # fabricd vty
vrrpd         2619/tcp    # vrrpd vty

Entrado no Shell VTY

Vtysh fornece um frontend combinado para todos os daemons FRR em uma única sessão combinada.

# vtysh

Hello, this is FRRouting (version 7.3.1).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

frr# show running-config
Building configuration...

Current configuration:
!
frr version 7.3.1
frr defaults traditional
hostname frr
log syslog informational
service integrated-vtysh-config
!
line vty
!
end
frr# exit

vtysh tem um arquivo de configuração /etc/frr/vtysh.conf que contém opções que controlam o comportamento da autenticação. Este arquivo também não será escrito por comandos de salvamento de configuração, ele deve ser atualizado manualmente.

Isso também significa que os comandos hostname e (que têm efeito para vtysh) precisam ser atualizados manualmente no vtysh.conf

Todas as configurações salvas (write) no terminal do vtysh são escritas no arquivo frr.conf.

A documentação também ressalta que é possível salvar os arquivos separados por daemons, para alterar esse comportamento é precisamos editar o /etc/frr/vtysh.conf (Fica a seu critério também, eu particularmente não altero)

# vim /etc/frr/vtysh.conf

Estão o que isso faz?
service integrated-vtysh-config
– O vtysh sempre salvará no frr.conf.

no service integrated-vtysh-config
– vtysh nunca vai salvar no frr.conf, em vez disso, ele pedirá aos daemons que escrevam/crie seus arquivos de configuração individuais.

Se fizer a altração reinicie a aplicação

# systemctl restart frr

Mais sobre vtysh: http://docs.frrouting.org/en/latest/vtysh.html

Acessamos o terminal do vtysh e usamos o comando write (salvar).

# vtysh

Hello, this is FRRouting (version 7.3.1).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

frr# write 
Note: this version of vtysh never writes vtysh.conf
Building Configuration...
Warning: /etc/frr/frr.conf.sav unlink failed
Building Configuration...
Integrated configuration saved to /etc/frr/frr.conf
[OK]
frr# exit

Na próxima vez que salvar (write) um “____.conf.sav” será criado também preservando a configuração posterior.

Você também pode acessar o terminal vtysh (zebra) por telnet, lembra que vimos as porta que cada serviço estava rodando, logo o zebra roda na porta 2601(tcp), porém responde apenas localmente (localhost/127.0.0.1) caso você deseje abrir esse acesso externamente (restringi-lo por firewall o acesso a determinados IPs é uma boa prática) faça e alteração no arquivo daemons.

# vim /etc/frr/daemons

Encontre:

zebra_options="  -A 127.0.0.1 -s 90000000"

E altere por:

zebra_options="  -A 0.0.0.0 -s 90000000"

Se você desejar alterar esta porta basta incluir “-P porta”

zebra_options="  -A 0.0.0.0 -s 90000000 -P 40023"

Salve e reinicie o FRR

# systemctl restart frr

Porém se você tentar acessar mesmo que localmente não será possível, pois uma senha não foi definida.

# telnet localhost 40023
Trying ::1...
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
Vty password is not set.
Connection closed by foreign host.

Para configura as senha de login e de enable:

# vtysh

# configure terminal 
# password senha_de_login
# enable password senha_para_enable
# service password-encryption
# line vty 
# login 
# end 
# write
# exit

Ex.:

frr# configure terminal 
frr(config)# password remontti
frr(config)# enable password remontti
frr(config)# service password-encryption
frr(config)# line vty 
frr(config-line)# login 
frr(config-line)# end 
frr# write 
Note: this version of vtysh never writes vtysh.conf
Note: this version of vtysh never writes vtysh.conf
Building Configuration...
Integrated configuration saved to /etc/frr/frr.conf
[OK]
frr# exit

Faça um teste localmente ou externamente caso tenha liberado o acesso:

# telnet localhost 40023

Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

Hello, this is FRRouting (version 7.3.1).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

User Access Verification

Password: 
frr> enable 
Password: 
frr# exit

Por mais inseguro que seja o uso do telnet, em alguns casos é comum o acesso de servidores Looking Glass publicamente. Para tornar o acesso telnet público (não vai exigir senha) apenas leitura, basta remove a senha. (Ainda assim é possível ter poderes com em enable+senha)

Removendo senha:

# configure terminal
# no password
# line vty
# no login
# end
# write
# exit

Hello, this is FRRouting (version 7.3.1).
Copyright 1996-2005 Kunihiro Ishiguro, et al.

frr# configure terminal
frr(config)# no password
Please be aware that removing the password is a security risk and you should think twice about this command.
frr(config)# line vty
frr(config-line)# no login
frr(config-line)# end
frr# write 
Note: this version of vtysh never writes vtysh.conf
Building Configuration...
Building Configuration...
Integrated configuration saved to /etc/frr/frr.conf
[OK]
frr# exit

Zerando as configurações

Caso você queira começar tudo do zero, basta remover todos os .conf e copiar os arquivos originais que estão na pasta backup, e dar suas devidas permissões!
Ex.:

# rm /etc/frr/*.conf
# rm /etc/frr/*.sav
# rm /etc/frr/daemons
# cp /etc/frr/backups/* /etc/frr/
# chown frr. /etc/frr/ -R

Modelos de configurações:

Alguns exemplos de configurações para os daemons podem ser encontrados em:

# tree /usr/share/doc/frr/examples/
├── babeld.conf.sample
├── bfdd.conf.sample
├── bgpd.conf.sample
├── bgpd.conf.sample2
├── bgpd.conf.vnc.sample
├── eigrpd.conf.sample
├── isisd.conf.sample
├── ldpd.conf.sample
├── ospf6d.conf.sample
├── ospfd.conf.sample
├── pbrd.conf.sample
├── pimd.conf.sample
├── ripd.conf.sample
├── ripngd.conf.sample
├── staticd.conf.sample
├── vtysh.conf.sample
└── zebra.conf.sample

Em http://docs.frrouting.org/en/latest/ você encontra uma ampla documentação com muitos exemplos.

Bônus iBGP

Vou deixar aqui um modelo simples iBGP entre um servidor Linux vs Mikrotik.

Exemplo para iBGP para um DNS Anycast distribuído, usando os IPs do DNS Google, mas não estou incentivando a fazer isso é apenas um exemplo!

Configuração Linux DNS

# vtysh

Nesta configuração vamos adicionar os IPs de loopbacks em seguida fechar os peers IPv4 e IPv6, e finalizando configurando os filtros para receber rota default (Logo no RouterOS será necessário envia) e ensinar apenas as IPs de lo. Este é apenas um exemplo para você começar a brincar e estudar mais sobre o assunto.

configure terminal
!
interface lo
 ip address 8.8.8.8/32
 ipv6 address 2001:4860:4860::8888/128
!
router bgp 65530
 bgp router-id 10.1.0.2
 neighbor 10.1.0.1 remote-as 65530
 neighbor 10.1.0.1 description "iBGP_DNS_IPv4"
 neighbor 2001:db8:1::1 remote-as 65530
 neighbor 2001:db8:1::1 description "iBGP_DNS_IPv6"
 !
 address-family ipv4 unicast
  redistribute kernel
  redistribute connected
  redistribute static
  neighbor 10.1.0.1 prefix-list RR-IPV4-IN in
  neighbor 10.1.0.1 prefix-list RR-IPV4-OUT out
 exit-address-family
 !
 address-family ipv6 unicast
  redistribute kernel
  redistribute connected
  redistribute static
  neighbor 2001:db8:1::1 activate
  neighbor 2001:db8:1::1 prefix-list RR-IPV6-IN in
  neighbor 2001:db8:1::1 prefix-list RR-IPV6-OUT out
 exit-address-family
!
ip prefix-list RR-IPV4-IN seq 5 permit 0.0.0.0/0
ip prefix-list RR-IPV4-OUT seq 5 permit 8.8.8.8/32
!
ipv6 prefix-list RR-IPV6-IN seq 5 permit ::/0
ipv6 prefix-list RR-IPV6-OUT seq 5 permit 2001:4860:4860::8888/128
!
line vty
!
end
write

Configuração no Mikrotik/RouterOS (Gateway DNS)

/routing bgp instance
add client-to-client-reflection=no name=iBGP-DNS router-id=10.1.0.1

/routing bgp peer
add default-originate=always instance=iBGP-DNS name=DNS-FRR-IPv4 remote-address=10.1.0.2 remote-as=65530
add default-originate=always instance=iBGP-DNS name=DNS-FRR-IPv6 remote-address=2001:db8:1::2 remote-as=65530 address-families=ipv6

Configuração Linux Accel-PPP

# vtysh

Nesta configuração vamos fechar os peers IPv4 e IPv6, e configurar os filtros para receber rota default (Logo no RouterOS será necessário envia) e ensinar apenas as IPs possíveis ips dinâmicos desta rede (45.0.0.0/22, 100.64.0.0/10). Lembrando que este é apenas um exemplo simples para você começar a brincar e estudar mais sobre o assunto.

configure terminal
!
router bgp 65530
 bgp router-id 10.1.0.2
 neighbor 10.2.0.1 remote-as 65530
 neighbor 10.2.0.1 description "iBGP_ACCEL_IPv4"
 neighbor 2001:db8:2::1 remote-as 65530
 neighbor 2001:db8:2::1 description "iBGP_ACCEL_IPv6"
 !
 address-family ipv4 unicast
  redistribute kernel
  redistribute connected
  redistribute static
  neighbor 10.2.0.1 prefix-list FILTRO-RR-IPV4-IN in
  neighbor 10.2.0.1 prefix-list FILTRO-RR-IPV4-OUT out
 exit-address-family
 !
 address-family ipv6 unicast
  redistribute kernel
  redistribute connected
  redistribute static
  neighbor 2001:db8:2::1 activate
  neighbor 2001:db8:2::1 prefix-list FILTRO-RR-IPV6-IN in
  neighbor 2001:db8:2::1 prefix-list FILTRO-RR-IPV6-OUT out
 exit-address-family
!
ip prefix-list FILTRO-RR-IPV4-IN seq 5 permit 0.0.0.0/0
ip prefix-list FILTRO-RR-IPV4-OUT seq 5 permit 100.64.0.0/10 le 32
ip prefix-list FILTRO-RR-IPV4-OUT seq 10 permit 45.0.0.0/22 le 32
ip prefix-list FILTRO-RR-IPV4-OUT seq 15 permit 10.0.0.0/8 le 32
!
ipv6 prefix-list FILTRO-RR-IPV6-IN seq 5 permit ::/0
ipv6 prefix-list FILTRO-RR-IPV6-OUT seq 10 permit 2001:db8::/32 le 128
!
line vty
!
end
write

Configuração no Mikrotik/RouterOS (Gateway Accel-PPP)

/routing bgp instance
add client-to-client-reflection=no name=iBGP-Accel router-id=10.2.0.2

/routing bgp peer
add default-originate=always instance=iBGP-Accel name=DNS-FRR-IPv4 remote-address=10.2.0.2 remote-as=65530
add default-originate=always instance=iBGP-Accel name=DNS-FRR-IPv6 remote-address=2001:db8:2::2 remote-as=65530 address-families=ipv6

Espero que tenha lhe instigado a buscar mais sobre o FRR.

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Participe do canal no telegram para ficar atualizado sempre que publicar um novo tutorial.

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Deixo aqui agradecimento ao Patrick Brandão que está elaborando um belo tutorial com muitos exemplos.

Fontes:
https://frrouting.org/
http://docs.frrouting.org/

O post Instalação do FRRouting (FRR) – Roteamento dinâmico no seu linux +Bônus iBGP apareceu primeiro em Remontti.

Como montar um servidor de e-mail com Postfix, Dovecot, PostfixAdmin, SpamAssassin, Amavis, Clamav, RoundCube, SPF, DKIM, DMARC, Fail2Ban

Rudimar Remontti — Tue, 26 Nov 2019 01:59:55 +0000

Neste tutorial vou ensinar como configurar um servidor de e-mail com domínios virtuais com integração dos usuários/domínios no banco de dados MariaDB/MySQL. Nele vamos ter filtros entre varias otimizações.

– Postfix Postfix é um agente de transferência de e-mails livre e de código aberto que encaminha e entrega e-mails, e tem como objetivo ser uma alternativa segura ao Sendmail.
– Dovecot é um servidor de IMAP e POP3 open source para sistemas Linux e UNIX, escrito primariamente com segurança em mente.
– Postfixadmin Interface web para o gerenciamento de contas de e-mails e domínios.
– Spamassassin é um programa de computador licenciado através da licença Apache e utilizado como filtro de spam enviado através de mensagem eletrônica. O filtro SpamAssassin funciona dando uma pontuação a cada mensagem que entra, baseado em diferentes “testes” que faz analisando todo o conteúdo da mensagem.
– Clamav é um antivírus open source gratuito feito especialmente para Linux, mas que conta também com uma versão gratuita para Windows e outra paga para Mac OS.
– Amavis é um filtro de conteúdo de código aberto para correio eletrônico, implementando transferência de mensagens, decodificação, algum processamento e verificação e interface com filtros de conteúdo externos para fornecer proteção contra spam, vírus e outros malwares.
– RoundCube é um cliente de email IMAP baseado na Web (Webmail).
– SPF (Sender Policy Framework) é um sistema que identifica para os servidores de email quais hosts têm permissão para enviar email para um determinado domínio. A configuração do SPF ajuda a impedir que seu email seja classificado como spam.
–DKIM (DomainKeys Identified Mail) é um sistema que permite que seus servidores de email oficiais adicionem uma assinatura aos cabeçalhos dos emails de saída e identifique a chave pública do seu domínio para que outros servidores de email possam verificar a assinatura. Assim como no SPF, o DKIM ajuda a impedir que seu email seja considerado spam. Também permite que os servidores de correio detectem quando o seu correio foi adulterado em trânsito.
– DMARC (Autenticação, Relatório e Conformidade de Mensagens de Domínio) permite anunciar aos servidores de email quais são as políticas do seu domínio em relação a emails que falham nas validações SPF e / ou DKIM. Além disso, permite solicitar relatórios de mensagens com falha dos servidores de email.
– Fail2Ban é uma estrutura de software de prevenção de intrusões que protege os servidores de computadores contra ataques de força bruta.

REQUISITOS

0 – Saber que esse procedimento exige conhecimento
1 – Ter configurado DNS Autoritativo e Reverso sobre seus IPS.
2 – Debian 10 Buster instalação limpa
3 – Não ter seu endereço IP listado em backlist.

Você pode verificar se seu IP está em uma blacklist nos sites:
https://mxtoolbox.com/blacklists.aspx
http://www.anti-abuse.org/multi-rbl-check-results/
https://viewdns.info/spamdblookup/

AJUSTES

IP ex. do servidor: 45.80.50.6 / 2804:f123:bebe:cafe::6
Sendo que o reverso deste ips apontam para mail.remontti.com.br
Entradas MX, TXT e SPF configuradas.
Ex autoritativo:

$TTL 86400      ; 1 day
remontti.net.br        IN SOA  ns1.remontti.net.br. hostmaster.remontti.net.br. (
                            2019071900 ; serial
                            10800      ; refresh (3 hours)
                            3600       ; retry (1 hour)
                            2419200    ; expire (4 weeks)
                            300        ; minimum (5 minutes)
                            )

                        NS      ns1.remontti.net.br.
                        NS      ns2.remontti.net.br.

                        A       45.80.50.4
                        AAAA    2804:f123:bebe:cafe::4
                        MX      10 mail.remontti.net.br.
                        TXT     "v=spf1 a mx -all"
                        SPF     "v=spf1 a mx -all"
$ORIGIN remontti.net.br.
$TTL 10800      ; 3 hours

45-80-50-0                      A       45.80.50.0
router-gw                       A       45.80.50.1
                                AAAA    2804:f123:bebe:cafe::1

ns1                             A       45.80.50.2
                                AAAA    2804:f123:bebe:cafe::2
hostmaster                      A       45.80.50.2
                                AAAA    2804:f123:bebe:cafe::2
ns2                             A       45.80.50.3
                                AAAA    2804:f123:bebe:cafe::3

www                             A       45.80.50.4
                                AAAA    2804:f123:bebe:cafe::4
ftp                             A       45.80.50.4
                                AAAA    2804:f123:bebe:cafe::4

zabbix                          A       45.80.50.5
                                AAAA    2804:f123:bebe:cafe::5
phpipam                         A       45.80.50.5
                                AAAA    2804:f123:bebe:cafe::5

mail                            A       45.80.50.6
                                AAAA    2804:f123:bebe:cafe::6
imap                            A       45.80.50.6
                                AAAA    2804:f123:bebe:cafe::6
pop                             A       45.80.50.6
                                AAAA    2804:f123:bebe:cafe::6
smtp                            A       45.80.50.6
                                AAAA    2804:f123:bebe:cafe::6

Ex reverso:

$ORIGIN .
$TTL 86400      ; 1 day
50.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. (
                    2019071900 ; serial
                    10800      ; refresh (3 hours)
                    3600       ; retry (1 hour)
                    2419200    ; expire (4 weeks)
                    300        ; minimum (5 minutes)
                    )
                NS      ns1.remontti.net.br.
                NS      ns2.remontti.net.br.
 
$ORIGIN 50.80.45.in-addr.arpa.
0         PTR     45.80.50.0.remontti.net.br.
1         PTR     cpd.remontti.net.br.
2         PTR     ns1.remontti.net.br.
3         PTR     ns2.remontti.net.br.
4         PTR     www.remontti.net.br.
5         PTR     zabbix.remontti.net.br.
6         PTR     mail.remontti.net.br.
 
; ....

Ajuste o nome do servidor alterando alguns parâmetros do sistema.

# vim /etc/hosts

[...]
127.0.0.1         localhost
250.250.250.6     mail.remontti.com.br    mail
[...]

# vim /etc/hostname

mail

Configure sua interface de rede. Vou deixar um modelo, onde o bloco de IPv4 é um /28 (255.255.255.240) e um /64 para IPv6.

# vim /etc/network/interfaces

allow-hotplug enp0s3
iface enp0s3 inet static
        address 45.80.50.6/28
        gateway 45.80.50.1
        dns-nameservers 45.80.50.2
        dns-search remontti.com.br

iface enp0s3 inet6 static
        pre-up modprobe ipv6
        address 2804:f123:bebe:cafe::6
        netmask 64
        gateway 2804:f123:bebe:cafe::1

Reinicie seu servidor

 # reboot

APACHE2, MARIADB E PHP7

# su -
# apt update; apt upgrade
# apt install apache2 apache2-utils mariadb-server mariadb-client curl\
  libapache2-mod-php php php-mysql php-cli php-pear php-gmp php-gd php-bcmath\
  php-mbstring php-curl php-xml php-zip php-imap php-intl php-ldap php-imagick wget

Vamos habilitar o mod_rewrite.

# a2enmod rewrite

A página que vimos ao abri o ip do nosso servidor no navegador fica no diretório /var/www/html, isso está sendo informado no arquivo default do apache que fica em /etc/apache2/sites-enabled/000-default.conf, e para que nosso mod_rewrite funcione corretamente será necessário adicionar alguma linhas.

# vim /etc/apache2/sites-enabled/000-default.conf

Adicione abaixo de “DocumentRoot /var/www/html” o seguinte:

	
    		Options FollowSymLinks
    		AllowOverride All

Por segurança recomendo remover a assinatura do servidor, para isso edite:

# sed -i 's/ServerTokens OS/ServerTokens Prod/' /etc/apache2/conf-available/security.conf
# sed -i 's/ServerSignature On/ServerSignature Off/' /etc/apache2/conf-available/security.conf

Agora precisamos restartar o apache2 para que tenha efeito as alterações.

# systemctl restart apache2

http://[SERVER_IP]/

phpMyAdmin ` Opcional `

Cade ele do repositório?
O PHPMyAdmin não está mais disponível como pacote .deb no Debian 10. Fazendo um pesquisa o motivo é que o “pessoal” que faz empacotamento não tem uma versão estável. https://security-tracker.debian.org/tracker/CVE-2018-19968

Desta forma debian “obriga” com que o usuário instale-o a partir da fonte. https://www.phpmyadmin.net/downloads/

phpMyAdmin 4.9.2 (25/11/2019)

# cd /tmp/
# wget https://files.phpmyadmin.net/phpMyAdmin/4.9.2/phpMyAdmin-4.9.2-all-languages.tar.gz
# tar -vxzf phpMyAdmin-4.9.2-all-languages.tar.gz -C /usr/share/
# mv /usr/share/phpMyAdmin-4.9.2-all-languages /usr/share/phpmyadmin
# mkdir /etc/phpmyadmin
# touch /etc/phpmyadmin/htpasswd.setup
# mkdir -p /var/lib/phpmyadmin/tmp
# chown -R www-data:www-data /var/lib/phpmyadmin

Criaremos o arquivo de configuração do Apache.

# vim /etc/apache2/conf-available/phpmyadmin.conf

# phpMyAdmin default Apache configuration

Alias /phpmyadmin /usr/share/phpmyadmin


 Options FollowSymLinks
 DirectoryIndex index.php

 
 AddType application/x-httpd-php .php

 php_flag magic_quotes_gpc Off
 php_flag track_vars On
 php_flag register_globals Off
 php_value include_path .
 



# Authorize for setup

 
 AuthType Basic
 AuthName "phpMyAdmin Setup"
 AuthUserFile /etc/phpmyadmin/htpasswd.setup
 
 Require valid-user


# Disallow web access to directories that don't need it

 Order Deny,Allow
 Deny from All


 Order Deny,Allow
 Deny from All

Ative a configuração e reinicie o Apache.

# a2enconf phpmyadmin
# systemctl restart apache2
# systemctl status apache2

Na próxima etapa, vamos configurar o armazenamento de configuração do phpMyadmin (banco de dados).
Faça o login no MariaDB como usuário root:

# mariadb

Criamos um novo banco de dados para o chamado phpmyadmin e um usuario pma (altere para sua senha). Em seguida, concedemos as permissões do banco de dados.
Você pode gerar uma senha acessando https://senhasegura.remontti.com.br/

CREATE DATABASE phpmyadmin;
CREATE USER 'pma'@'localhost' IDENTIFIED BY 'SUA_SENHA';
GRANT ALL PRIVILEGES ON phpmyadmin.* TO 'pma'@'localhost' IDENTIFIED BY 'SUA_SENHA' WITH GRANT OPTION;
FLUSH PRIVILEGES;
EXIT;

Carregue as tabelas do banco de dados: (Informe a senha do root do MariaDB)

# mariadb phpmyadmin < /usr/share/phpmyadmin/sql/create_tables.sql

Agora é necessário ajustar o arquivo de configuração do phpmyadmin.
Definir:
* senha segura (blowfish secret) que deve ter 32 caracteres. Não use o meu exemplo blowfish secreto, defina o seu próprio! Use o gerador https://senhasegura.remontti.com.br
* diretório que o PHPMyAdmin deve usar para armazenar arquivos temporários.
* Descomentar as linhas $cfg['Servers']
- controlhost : localhost
- controlpass : SUA_SENHA

# cp /usr/share/phpmyadmin/config.sample.inc.php /usr/share/phpmyadmin/config.inc.php
# vim /usr/share/phpmyadmin/config.inc.php

$cfg['blowfish_secret'] = 'dkJhGx83XR3JjuFrDn8kPp9NtXnkLptl';
/* Adicione esta linha */
$cfg['TempDir'] = '/var/lib/phpmyadmin/tmp';

/* User used to manipulate with storage */
$cfg['Servers'][$i]['controlhost'] = 'localhost';
$cfg['Servers'][$i]['controlport'] = '';
$cfg['Servers'][$i]['controluser'] = 'pma';
$cfg['Servers'][$i]['controlpass'] = 'SUA_SENHA';

/* Storage database and tables */
$cfg['Servers'][$i]['pmadb'] = 'phpmyadmin';
$cfg['Servers'][$i]['bookmarktable'] = 'pma__bookmark';
$cfg['Servers'][$i]['relation'] = 'pma__relation';
$cfg['Servers'][$i]['table_info'] = 'pma__table_info';
$cfg['Servers'][$i]['table_coords'] = 'pma__table_coords';
$cfg['Servers'][$i]['pdf_pages'] = 'pma__pdf_pages';
$cfg['Servers'][$i]['column_info'] = 'pma__column_info';
$cfg['Servers'][$i]['history'] = 'pma__history';
$cfg['Servers'][$i]['table_uiprefs'] = 'pma__table_uiprefs';
$cfg['Servers'][$i]['tracking'] = 'pma__tracking';
$cfg['Servers'][$i]['userconfig'] = 'pma__userconfig';
$cfg['Servers'][$i]['recent'] = 'pma__recent';
$cfg['Servers'][$i]['favorite'] = 'pma__favorite';
$cfg['Servers'][$i]['users'] = 'pma__users';
$cfg['Servers'][$i]['usergroups'] = 'pma__usergroups';
$cfg['Servers'][$i]['navigationhiding'] = 'pma__navigationhiding';
$cfg['Servers'][$i]['savedsearches'] = 'pma__savedsearches';
$cfg['Servers'][$i]['central_columns'] = 'pma__central_columns';
$cfg['Servers'][$i]['designer_settings'] = 'pma__designer_settings';
$cfg['Servers'][$i]['export_templates'] = 'pma__export_templates';

http://[SERVER_IP]/phpmyadmin/

POSTFIX / DOVECOTE / DKIM / SPF

O Postfix é um agente de transferência de emails (MTA = Message Transfer Agent), um software livre para envio e entrega de emails. Rápido e fácil de administrar, muito utilizado em servidores UNIX.
Algumas vantagens:
- Suporte a Ipv6
- Suporte a MIME
- Autenticação SASL
- Canal seguro utilizando TLS
- Suporte a banco de dados(MySQL,PostgreSQL,LDAP,entre outros)
- Verificação a listas RBL
- Extenso suporte a filtros
- Suporte a expressão-regular
- Verificação de cabeçalho
- Verificação no corpo da mensagem
- Suporte a Greylisting e SPF através de plugins.

Dovecot é um servidor de IMAP e POP3 open source para sistemas Linux e UNIX, escrito primariamente com segurança em mente, tem o objetivo primário de ser um servidor de email leve, rápido e de fácil configuração. Dovecot suporta mbox, Maildir e seu próprio formato nativo de alta performance, Dbox. É 100% compatível com clientes de emails acessando as caixas de correio diretamente. Também inclui um agente de entrega de emails com suporte opcional a filtros Sieve, o que acho muito legal!

Vamos a instalação:

# apt install postfix postfix-mysql dovecot-core dovecot-mysql dovecot-imapd\
  dovecot-pop3d dovecot-lmtpd dovecot-sieve dovecot-managesieved openssl\
  opendkim opendkim-tools postfix-policyd-spf-python postfix-pcre

Responda:
Site da Internet

Se seu DNS reverso estiver ok ele virá já com o domínio reverso de seu IP, mas isso não é necessariamente ser o nome do ip rever, mas eu recomendo que tenha confurado o reverso para o seu servidor de e-mail.
mail.remontti.com.br

Verifique o arquivo /etc/mailname e sertifique-se que seja seu domínio.

# vim /etc/mailname

mail.remontti.com.br

Adicione um e-mail para seu usuário root do Linux

# vim /etc/aliases

root: postmaster@remontti.com.br

# newaliases

POSTFIXADMIN

PostfixAdmin gerenciará os domínios e e-mail.

# apt install postfixadmin

Ajuste o tipo do banco para mysqli

# vim /etc/postfixadmin/dbconfig.inc.php

$dbtype='mysqli'

Defina o tipo de criptografia para as senhas salvas no BD e o idioma.

# vim /etc/postfixadmin/config.inc.php

Procure pelas seguintes linhas e altere conforme a baixo.

$CONF['encrypt'] = 'md5';
$CONF['default_language'] = 'pt-br';

Como existe varias alterações "change-this-to-your.domain.tld" vou usar o comando sed para alterar todas de uma única vez. Não esqueça de substituir pelo seu dominio.

# sed -i 's/change-this-to-your.domain.tld/remontti.com.br/' /etc/postfixadmin/config.inc.php

Mais alguns ajustes

# cp /etc/postfixadmin/config.inc.php  /usr/share/postfixadmin/config.local.php
# mkdir /usr/share/postfixadmin/templates_c/
# chown -R www-data. /usr/share/postfixadmin/templates_c/

Acesse:
http://SEU-DOMINO/postfixadmin/public/setup.php

No primeiro acesso suas tabelas já serão criadas no seu bd, você deve ter todas as dependências OK.

Bem no final temos: Change setup password
Preencha os campos Setup password com uma senha e repita (Essa senha será necessária pra criar administradores do PostfixAdmin) e clique em Generate password hash

Voce vai receber uma mensagem parecida com essa:
If you want to use the password you entered as setup password, edit config.inc.php or config.local.php and set
$CONF['setup_password'] = 'ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5';

Esta senha criptografada, será necessários informar no arquivo config.inc.php antes de prosseguir. Então vamos a edição.

# vim /etc/postfixadmin/config.inc.php

Localize:

$CONF['setup_password'] = 'changeme';

Altere para:

$CONF['setup_password'] = 'ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5';

Salve se arquivo e volte para seu navegador. Em Create superadmin account vamos criar nosso usuário administrador do PostfixAdmin.

Nos campos:
Setup password = Informe a senha q você gerou no passo anterior.
Administrador: = um endereço email que será o seu login (postmaster@remontti.com.br)

Clique em Criar administrador

Deve retornar a mensagem:

	Administrador criado! (postmaster@remontti.com.br)
	You are done with your basic setup.

	You can now login to PostfixAdmin using the account you just created.

Acesse: http://SEU-DOMINO//postfixadmin/public/

Já é possível acessa-lo com nosso usuários administrador, e adicionar seus domínios e contas de e-mails.
Domínios => Criar Domínio
Virtual => Criar conta de Email

Dando continuidade criaremos nosso usuários vmail que será o "cara" responsável pelo trabalho.

# groupadd -g 5000 vmail
# useradd -g vmail -u 5000 vmail -d /var/vmail
# mkdir /var/vmail
# chown vmail:vmail /var/vmail

Edite o arquivo /etc/postfix/main.cf

# cp /etc/postfix/main.cf /etc/postfix/main.cf.orig
# vim /etc/postfix/main.cf

Altere e adicione como descrito abaixo.

#--------ALTERE--------#
smtpd_banner = $myhostname
myorigin = $myhostname
mydestination = localhost

#--------COMENTE--------#
#relayhost =
#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
#mailbox_size_limit = 0

#--------ADD AO FINAL--------#

# Authentification
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf
broken_sasl_auth_clients = yes

# Virtual mailboxes
local_transport = virtual
virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf
virtual_mailbox_base = /var/vmail/
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 104
virtual_transport = dovecot
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
dovecot_destination_recipient_limit = 1
spamassassin_destination_recipient_limit = 1

###### EXTRAS COMENTADO #######
# Tamanho maximo do anexo (21 MB)
# No webmail php deve permitir upar esse tamanho
message_size_limit = 22020096

# Um pouco mais de  protecao contra spam
disable_vrfy_command = yes

# A RFC 821 basicamente exige que os enderecos sejam envelopados ou contidos por <>.
# Seguir esta regra faz com que se use essa notacao na sessao SMTP. Isso ajuda a barrar alguns Mailers.
strict_rfc821_envelopes = yes

# Caixa postal inexistente devolver aosender o erro 500,
# desta forma daqui alguns minutos voce nao precisara processar novamente o mesmo spam.
unknown_local_recipient_reject_code = 500

# E rejeitar com erro 554 enderecos desconhecidos
unknown_address_reject_code = 554

# Tambem com o erro 554 podemos rejeitar as conexoes que venham de hostnames desconhecidos
unknown_hostname_reject_code = 554

# Os cliente desconhecidos tambem rejeitaremos com o mesmo erro
unknown_client_reject_code = 554

# Vamos definir que o servidores remotos podem fazer no maximo 10
# conexõsimultaneas (e um valor que trabalho, editem conforme a necessidade).
# Um spammer faz mais de 20
smtp_destination_recipient_limit = 10

# Vamos definir que a conexao so pode cometer 3 erros de codigos 500
# (erros definitivos), apos isto sera desconectado
smtpd_hard_error_limit = 3

# Para erros de codigo 400 (erros temporarios), podemos desconecta-los na primeira
smtpd_soft_error_limit = 1

# Bom, claro que o spammer tambem pode ser desconectado e depois se reconectar,
# entao vamos nos prevenir destes espertinhos definindo quantas conexoes ele pode fazer por minuto.
smtpd_client_connection_count_limit = 10

# Nestas conexoes vamos limitar quantas mensagens ele pode mandar por minuto,
# no meu caso uso 25. Se algum usuario seu reclamar deste limite,
# classifique-o como ninja ou na pior hipotese, um mail maniaco.
smtpd_client_message_rate_limit = 25

# Deixar um spammer maluco e faze-lo perder tempo. Dificilmente um servidor conectado
# ao seu servidor vai cometer erros, os spammer cometem muitos erros, pois eles ficam tentando.
# Para irrita-los e quem sabe um dia desistirem de mim, eu travo eles dentro do meu servidor a cada erro.
# No meu caso, a cada erro eu os travo por 20 segundos. Ate que diminuiu o numero de spammers no meu servidor,
# devo estar na blacklist deles.rs
smtpd_error_sleep_time = 20

# Para este tipo de problema, os spammers podem resetar os erros deles.
# Para evitar que eles facam isto e sejam desconetados, podemos dizer se eles podem ou nao fazer isto.
# Como colher de cha, vamos deixar fazer isto apenas uma vez (ate porque servidores as vezes usam este comando).
# Permitir a maquina remota dar o comando RSET apenas 1 vez.
smtpd_junk_command_limit = 1


# Defina tambem o numero maximo de destinatarios em uma unica mensagem.
# Utilize o numero que melhor lhe convir, entreviste pessoas chaves se necessarios.
smtpd_recipient_limit = 50

# Os spammers nao se preocupam muito com isto,
# entao uma otima pratica para bloquear spams eh
# tornar a identificacao por HELO/EHLO obrigatoria.
smtpd_helo_required = yes

# Um pouco mais sobre o HELO/EHLO eh definir um tempo
# limite para o servidor fazer a identificacao, um
# servidor serio nao tem porque ficar enrolando.
# Vai diminuindo o tempo e observando os resultados.
# Vamos comecar com 60 segundos
smtp_helo_timeout = 60s

smtpd_client_restrictions =     permit_mynetworks,
                                permit_sasl_authenticated,
                                check_recipient_access hash:/etc/postfix/white-black-list,
                                check_client_access hash:/etc/postfix/white-black-list,
                                reject_unknown_client_hostname,
                                reject_unknown_reverse_client_hostname,
                                sleep 1,
                                reject_unauth_pipelining

smtpd_helo_restrictions =       permit_mynetworks,
                                permit_sasl_authenticated,
                                check_recipient_access hash:/etc/postfix/white-black-list,
                                check_client_access hash:/etc/postfix/white-black-list,
                                check_helo_access hash:/etc/postfix/white-black-list,
                                reject_invalid_helo_hostname,
                                reject_non_fqdn_helo_hostname,
                                reject_unknown_helo_hostname,
                                reject_unauth_pipelining
 
smtpd_sender_restrictions =     reject_non_fqdn_sender,
                                reject_unknown_sender_domain,
                                reject_unlisted_sender,
                                reject_authenticated_sender_login_mismatch,
                                permit_sasl_authenticated,
                                reject_sender_login_mismatch,
                                warn_if_reject,
                                permit_mynetworks
 
smtpd_recipient_restrictions =  check_sender_access hash:/etc/postfix/white-black-list,
                                check_helo_access hash:/etc/postfix/white-black-list,
                                check_recipient_access hash:/etc/postfix/white-black-list,
                                check_client_access hash:/etc/postfix/white-black-list,
                                permit_sasl_authenticated,
                                permit_mynetworks,
                                reject_unauth_destination,
                                check_policy_service unix:private/policyd-spf,
                                reject_unknown_reverse_client_hostname,
                                reject_invalid_hostname,
                                reject_non_fqdn_hostname,
                                reject_non_fqdn_sender,
                                reject_non_fqdn_recipient,
                                reject_unknown_sender_domain,
                                reject_unknown_recipient_domain,
                                reject_unauth_pipelining,
                                reject_rbl_client access.redhawk.org, 
                                reject_rbl_client all.spamrats.com, 
                                reject_rbl_client b.barracudacentral.org, 
                                reject_rbl_client bl.spamcop.net, 
                                reject_rbl_client blackholes.mail-abuse.org, 
                                reject_rbl_client bogons.cymru.com, 
                                reject_rbl_client cbl.abuseat.org, 
                                reject_rbl_client cblless.anti-spam.org.cn, 
                                reject_rbl_client csi.cloudmark.com, 
                                reject_rbl_client db.wpbl.info, 
                                reject_rbl_client dnsbl.dronebl.org, 
                                reject_rbl_client dnsbl.inps.de, 
                                reject_rbl_client dnsbl.sorbs.net, 
                                reject_rbl_client drone.abuse.ch, 
                                reject_rbl_client dsn.rfc-ignorant.org, 
                                reject_rbl_client httpbl.abuse.ch, 
                                reject_rbl_client ix.dnsbl.manitu.net, 
                                reject_rbl_client korea.services.net, 
                                reject_rbl_client multi.surbl.org, 
                                reject_rbl_client netblock.pedantic.org, 
                                reject_rbl_client opm.tornevall.org, 
                                reject_rbl_client pbl.spamhaus.org, 
                                reject_rbl_client psbl.surriel.com, 
                                reject_rbl_client query.senderbase.org, 
                                reject_rbl_client rbl.efnetrbl.org, 
                                reject_rbl_client rbl.interserver.net, 
                                reject_rbl_client rbl.rbldns.ru, 
                                reject_rbl_client rbl.spamlab.com, 
                                reject_rbl_client rbl.suresupport.com, 
                                reject_rbl_client rbl-plus.mail-abuse.org, 
                                reject_rbl_client relays.mail-abuse.org, 
                                reject_rbl_client sbl.spamhaus.org, 
                                reject_rbl_client spamguard.leadmon.net, 
                                reject_rbl_client spamrbl.imp.ch, 
                                reject_rbl_client tor.dan.me.uk, 
                                reject_rbl_client ubl.unsubscore.com, 
                                reject_rbl_client virbl.bit.nl, 
                                reject_rbl_client wormrbl.imp.ch, 
                                reject_rbl_client zen.spamhaus.org, 
                                reject_rbl_client dnsbl-1.uceprotect.net, 
                                reject_rhsbl_sender dbl.spamhaus.org, 
                                reject_rhsbl_helo dbl.spamhaus.org, 
                                reject_rhsbl_client dbl.spamhaus.org, 
                                reject_rhsbl_helo black.uribl.com,
                                reject_rhsbl_sender black.uribl.com,
                                reject_rhsbl_client black.uribl.com,
                                reject_rhsbl_helo multi.surbl.org,
                                reject_rhsbl_sender multi.surbl.org,
                                reject_rhsbl_client multi.surbl.org,
                                reject_rhsbl_helo multi.uribl.com,
                                reject_rhsbl_sender multi.uribl.com,
                                reject_rhsbl_client multi.uribl.com,
                                permit

RBL/RHSBL: Caso não queira utilizar alguma das rbl/sbl ou utilizar outras sinta-se a vontade.

Aproveitamos já iremos criar uma lista Negra / Branca, crie um arquivo chamado white-black-list

# vim /etc/postfix/white-black-list

Nele adicione os dominos/emails com OK que você confia e REJECT para os que deseja descartar, ex.:

remontti.com.br OK
gmail.com OK
spamerdoinferno.com.br REJECT
propagandadocapeta.com.br REJECT

Agora você precisa executar o comando postmap no seu arquivo white-black-list ele irá gerar um novo arquivo white-black-list.db

# postmap /etc/postfix/white-black-list

Mais informações você encontra em:
http://www.postfix.org/VIRTUAL_README.html#virtual_mailbox

Precisamos criar 4 arquivos que farão a conexão com o BD, pra facilitar criamos nossa variável MINHASENHA

Vamos criar uma variável com o valor da senha que foi informada na instalação do postfixadmin, assim ira facilitar.

# MINHASENHA='sua-senha-do-usuario-postfixadmin-do-mysql'

Não use $ ou # em sua senha

mysql_virtual_alias_maps.cf

# echo "
hosts = localhost
user = postfixadmin
password = $MINHASENHA
dbname = postfixadmin
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_alias_maps.cf

mysql_virtual_mailbox_maps.cf

# echo "
hosts = localhost
user = postfixadmin
password = $MINHASENHA
dbname = postfixadmin
query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_mailbox_maps.cf

mysql_sender_login_maps.cf

# echo "
hosts = localhost
user = postfixadmin
password = $MINHASENHA
dbname = postfixadmin
query = SELECT username AS allowedUser FROM mailbox WHERE username='%s' AND active = 1 UNION SELECT goto FROM alias WHERE address='%s' AND active = '1'
" >> /etc/postfix/mysql_sender_login_maps.cf

mysql_virtual_domains_maps.cf

# echo "
hosts = localhost
user = postfixadmin
password = $MINHASENHA
dbname = postfixadmin
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'
" >> /etc/postfix/mysql_virtual_domains_maps.cf

Acesse o diretório de instalação e verifique se os arquivos com as iniciais mysql_* foram criados. Depois altere as permissões e grupos.

# cd /etc/postfix
# ls -lh mysql_*
# chmod o-rwx,g+r mysql_*
# chgrp postfix mysql_*

Vamos as alterações no master.cf.

Faça um backup do arquivo original antes e adicione no final:

# cp /etc/postfix/master.cf /etc/postfix/master.cf.orig
# vim /etc/postfix/master.cf

Adicione ao final:

# Dovecot
dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}

Localize as seguintes linhas e descomente-as:

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_sasl_auth_enable=yes

smtps     inet  n       -       -       -       -       smtpd
  -o smtpd_tls_wrappermode=yes

Descomente e altere os valores de smtpd_client_restrictions, os originais são diferentes. (veja na imagem abaixo como fica)

  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
[...]
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Configurando o Dovecot

Vou usar o comando sed para fazer as alterações necessárias em vez de ficarmos abrindo arquivo e editando.

# cp /etc/dovecot/dovecot.conf /etc/dovecot/dovecot.conf.orig
# sed -i -e 's/#listen/listen/' /etc/dovecot/dovecot.conf

# cp /etc/dovecot/dovecot-sql.conf.ext /etc/dovecot/dovecot-sql.conf.ext.orig
# sed -i -e 's/#driver =/driver = mysql/' /etc/dovecot/dovecot-sql.conf.ext

Adicionamos ao final do arquivo /etc/dovecot/dovecot.conf mais algumas conf:

# echo " " >> /etc/dovecot/dovecot.conf
# echo "service stats {" >> /etc/dovecot/dovecot.conf
# echo "    unix_listener stats-reader {" >> /etc/dovecot/dovecot.conf
# echo "        user = vmail" >> /etc/dovecot/dovecot.conf
# echo "        group = vmail" >> /etc/dovecot/dovecot.conf
# echo "        mode = 0660" >> /etc/dovecot/dovecot.conf
# echo "    }" >> /etc/dovecot/dovecot.conf
# echo " " >> /etc/dovecot/dovecot.conf
# echo "    unix_listener stats-writer {" >> /etc/dovecot/dovecot.conf
# echo "        user = vmail" >> /etc/dovecot/dovecot.conf
# echo "        group = vmail" >> /etc/dovecot/dovecot.conf
# echo "        mode = 0660" >> /etc/dovecot/dovecot.conf
# echo "    }" >> /etc/dovecot/dovecot.conf
# echo "}" >> /etc/dovecot/dovecot.conf

Certifique-se que sua senha do postfixadmin ainda esta salva na variável $MINHASENHA.

# echo $MINHASENHA

# sed -i -e "s/#connect =/connect = host=localhost dbname=postfixadmin user=postfixadmin password=$MINHASENHA/" /etc/dovecot/dovecot-sql.conf.ext
# sed -i -e 's/#default_pass_scheme/default_pass_scheme/' /etc/dovecot/dovecot-sql.conf.ext

Vamos inserir algumas linhas ao final de dovecot-sql.conf.ext.

# echo "" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "user_query = SELECT concat('/var/vmail/', maildir) as home, concat('maildir:/var/vmail/', maildir) as mail, 5000 AS uid, 5000 AS gid, concat('*:bytes=', (quota)) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "" >> /etc/dovecot/dovecot-sql.conf.ext
# echo "password_query = SELECT username as user, password, concat('/var/vmail/', maildir) as userdb_home, concat('maildir:/var/vmail/', maildir) as userdb_mail, 5000 as userdb_uid, 5000 as userdb_gid, concat('*:bytes=', (quota)) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext

Alterações dos arquivos 10-auth.conf / 10-logging.conf / 10-ssl.conf

# cp /etc/dovecot/conf.d/10-auth.conf /etc/dovecot/conf.d/10-auth.conf.orig
# sed -i -e 's/#disable_plaintext_auth = yes/disable_plaintext_auth = no/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/auth_mechanisms = plain/auth_mechanisms = plain login/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/!include auth-system.conf.ext/#!include auth-system.conf.ext/' /etc/dovecot/conf.d/10-auth.conf
# sed -i -e 's/#!include auth-sql.conf.ext/!include auth-sql.conf.ext/' /etc/dovecot/conf.d/10-auth.conf

# cp /etc/dovecot/conf.d/10-logging.conf /etc/dovecot/conf.d/10-logging.conf.orig
# sed -i -e 's/#log_path/log_path/' /etc/dovecot/conf.d/10-logging.conf
# sed -i -e 's/#log_timestamp = "%b %d %H:%M:%S "/log_timestamp = "%Y-%m-%d %H:%M:%S "/' /etc/dovecot/conf.d/10-logging.conf

Em 10-master.conf ficou complicado fazer alteração com sed então vamos no braço.

# cp /etc/dovecot/conf.d/10-master.conf /etc/dovecot/conf.d/10-master.conf.orig
# vim /etc/dovecot/conf.d/10-master.conf

em :service auth {
COMENTE tudo de unix_listener auth-userdb

service auth {

#  unix_listener auth-userdb {
#    #mode = 0666
#    #user = 
#    #group = 
#  }

# Descomente
  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
  }
# Adicione
  unix_listener auth-master {
    mode = 0666
  }

# Descomente
  # Auth process is run as this user.
  user = $default_internal_user
}

Vamos criar um filtro para que todas as mensagens marcada com spam sejam movida para o diretórios SPAM.

# mkdir /var/lib/dovecot/sieve/
# cp /etc/dovecot/conf.d/90-sieve.conf /etc/dovecot/conf.d/90-sieve.conf.orig
# sed -i -e 's/sieve = file:~\/sieve;active=~\/.dovecot.sieve/sieve = ~\/dovecot.sieve/' /etc/dovecot/conf.d/90-sieve.conf
# sed -i -e 's/#sieve_default =/sieve_default =/' /etc/dovecot/conf.d/90-sieve.conf

# echo 'require ["fileinto"];' >> /var/lib/dovecot/sieve/default.sieve
# echo '# rule:[Spam]' >> /var/lib/dovecot/sieve/default.sieve
# echo 'if header :contains "X-Spam-Flag" "YES" {' >> /var/lib/dovecot/sieve/default.sieve
# echo '        fileinto "Junk";' >> /var/lib/dovecot/sieve/default.sieve
# echo '}' >> /var/lib/dovecot/sieve/default.sieve

# sievec /var/lib/dovecot/sieve/default.sieve
# chown -R vmail:vmail /var/lib/dovecot

# cp /etc/dovecot/conf.d/10-mail.conf /etc/dovecot/conf.d/10-mail.conf.orig
# sed -i -e 's/mail_location = mbox:~\/mail:INBOX=\/var\/mail\/%u/mail_location = mbox:~\/mail:INBOX=\/var\/vmail\/%u/' /etc/dovecot/conf.d/10-mail.conf

!Exatamente nessa ordem!

# sed -i -e 's/inbox = yes/inbox = yes\n  /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Junk /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Junk { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Sent /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Sent { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Drafts /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    mailbox Drafts { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n    } /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      special_use = \Trash /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n      auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n  mailbox Trash { /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/inbox = yes/inbox = yes\n  /' /etc/dovecot/conf.d/10-mail.conf
# sed -i -e 's/#mail_plugins =/mail_plugins = quota/' /etc/dovecot/conf.d/10-mail.conf

# cp /etc/dovecot/conf.d/20-managesieve.conf  /etc/dovecot/conf.d/20-managesieve.conf.orig
# vim /etc/dovecot/conf.d/20-managesieve.conf

Descomente:

protocols = $protocols sieve

service managesieve-login {
  #...
  #...
  #....
}
service managesieve {
  #...
  #...
  #....
}
protocol sieve {
  #...
  #...
  #....
}

# cp /etc/dovecot/conf.d/15-lda.conf /etc/dovecot/conf.d/15-lda.conf.orig
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins sieve quota/' /etc/dovecot/conf.d/15-lda.conf

# cp /etc/dovecot/conf.d/20-imap.conf /etc/dovecot/conf.d/20-imap.conf.orig
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota imap_quota/' /etc/dovecot/conf.d/20-imap.conf

# cp /etc/dovecot/conf.d/20-pop3.conf /etc/dovecot/conf.d/20-pop3.conf.orig
# sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota/' /etc/dovecot/conf.d/20-pop3.conf

# cp /etc/dovecot/conf.d/90-quota.conf /etc/dovecot/conf.d/90-quota.conf.orig
# sed -i -e 's/#quota = maildir/quota = maildir/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_rule =/quota_rule =/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_rule2 =/quota_rule2 =/' /etc/dovecot/conf.d/90-quota.conf
# sed -i -e 's/#quota_warning/quota_warning/' /etc/dovecot/conf.d/90-quota.conf

# vim /etc/dovecot/conf.d/90-quota.conf

Descomente e altere user = dovecot para user = root

service quota-warning {
  executable = script /usr/local/bin/quota-warning.sh
  user = root
  unix_listener quota-warning {
    user = vmail
  }
}

# vim /usr/local/bin/quota-warning.sh

#!/bin/sh
PERCENT=$1
USER=$2
cat << EOF | /usr/lib/dovecot/dovecot-lda -d $USER -o "plugin/quota=maildir:User quota:noenforcing"
From: postmaster@remontti.com.br
Subject: $USER com  $PERCENT% 
Content-Type: text/plain; charset="UTF-8"

Sua conta de email: $USER 
está com uso acima de $PERCENT%,

-- 
Rudimar Remontti
  Remontti ME
EOF

# Evine uma cópia para o administrador:
ADM=noc@remontti.com.br
cat << EOF | /usr/lib/dovecot/dovecot-lda -d $ADM -o "plugin/quota=maildir:User quota:noenforcing"
From: postmaster@remontti.com.br
Subject: $USER com  $PERCENT% 
Content-Type: text/plain; charset="UTF-8"

Verificar conta de email: $USER 
Caixa acima de  $PERCENT%

-- 
Rudimar Remontti
  Remontti ME
EOF

Demos permissão e restartamos o serviços.

# chmod +x /usr/local/bin/quota-warning.sh
# systemctl restart dovecot postfix
# systemctl status dovecot postfix

Comando para ver cota

# doveadm quota get -u usuario@dominio.com.br

WEBMAIL ROUNDCUBE

Ajuste o time zone de acordo com sua localidade.

# sed -i -e "s/^;date\.timezone =.*$/date\.timezone = 'America\/Sao_Paulo'/" /etc/php/7.3/apache2/php.ini
# systemctl restart apache2

Acesse e baixe a versão mais recente
https://roundcube.net/download/

Hoje (27/Nov/2019) 1.4.1 Complete

# cd /var/www/html
# wget https://github.com/roundcube/roundcubemail/releases/download/1.4.1/roundcubemail-1.4.1-complete.tar.gz
# tar -vxzf roundcubemail*
# mv roundcubemail-1.4.1 webmail
# rm roundcubemail-1.4.1-complete.tar.gz

Criaremos nosso banco de dados para o roundcubemail.

# mariadb

Será solicitado a senha root do mysql, entre com a senha.

CREATE DATABASE roundcubemail;
GRANT ALL PRIVILEGES ON roundcubemail.* TO roundcube@localhost IDENTIFIED BY 'SUA-SENHA-BD-ROUND';
FLUSH PRIVILEGES;
quit;

Acesse:
http://SEU-DOMINIO/webmail/installer/

Clique em Next

Será necessário dar permissão para criação do config.inc.php na pasta config,

# chown www-data. /var/www/html/webmail/ -R

Itens a serem alterados:

== General configuration ==
product_name: Nome do Webmail
Check client IP in session authorization: MARQUE

== Logging & Debugging ==
log_driver: syslog

== Database setup ==
Database type: MYSQL
Database server: localhost
Database name: roundcubemail
Database user name: roundcube
Database password: SUA-SENHA-BD-ROUND
db_prefix:

== IMAP Settings ==
default_host: localhost (se vc usar certificado deixe tls://mail.remontti.com.br)
username_domain: remontti.com.br

== SMTP Settings ==
smtp_server: tls://mail.remontti.com.br (se vc nao for criar certificado deixe localhost)

== Display settings & user prefs ==
language *: pt_BR
Compose HTML formatted messages: always

== Plugins ==
"De acordo com suas necessidades! Porém vou configurar os seguintes.
- emoticons
- managesieve
- markasjunk
- newmail_notifier
- password
- zipdownload

Agora clique em [CREAT CONFIG]
Vai retornar uma mensagem:
The config file was saved successfully into RCMAIL_CONFIG_DIR directory of your Roundcube installation.

Isso significa que nosso arquivo de configuração do roundcube foi criado (config/config.inc.php)

Agora clique em: [CONTINUE]
Agora em: [Inicialize database]

Irá retornar:
Check DB config
DSN (write): OK
DB Schema: OK
DB Write: OK
DB Time: OK

Por seguração deixe as permissões para o root novamente, e para www-data apenas para pasta temp

# chown root. /var/www/html/webmail/ -R
# chown www-data. /var/www/html/webmail/temp -R

Se você já criou uma conta de email você pode testa-la [Check login]

Como recomendações, mova o diretório installer para outro nome ou remova.

After completing the installation and the final tests please remove the whole installer folder from the document root of the webserver or make sure that enable_installer option in config.inc.php is disabled.

# rm installer/ -rf

Acesse o diretório dos plugins do roundcube.

# cd /var/www/html/webmail/plugins/

== newmail_notifier ==

# cd newmail_notifier # cp config.inc.php.dist config.inc.php # sed -i -e 's/= false/= true/' config.inc.php

== zipdownload ==

# cd ../zipdownload # cp config.inc.php.dist config.inc.php

== markasjunk ==

# cd ../markasjunk/ # cp config.inc.php.dist config.inc.php

= managesieve =
Faz emails identificado com spam cair na pasta spam.

# cd ../managesieve # cp config.inc.php.dist config.inc.php # vim config.inc.php

Altere: (atençao para o caminho)

$config['managesieve_default'] = '/var/www/html/webmail/plugins/managesieve/default.sieve'; $config['managesieve_script_name'] = 'Filtros';

Crie o arquivo default.sieve

# vim /var/www/html/webmail/plugins/managesieve/default.sieve

require ["fileinto"]; # rule:[Spam] if header :contains "X-Spam-Flag" "YES" { fileinto "Junk"; stop; }

== password ==
Permite usuário alterar sua senha.

# cd ../password # cp config.inc.php.dist config.inc.php # vim config.inc.php

Altere:

//Define o uma quantidade minima de caracteres $config['password_minimum_length'] = 8; $config['password_minimum_score'] = 4; $config['password_db_dsn'] = 'mysql://postfixadmin:SENHA-POSTFIX-MYSQL@localhost/postfixadmin'; $config['password_query'] = "UPDATE mailbox SET password=MD5(%p) WHERE username=%u AND password=MD5(%o)";

Plugins extra

== contextmenu ==
Baixe a versão mais recente

# cd /var/www/html/webmail/plugins/ # wget https://github.com/johndoh/roundcube-contextmenu/archive/3.0.zip # apt install unzip # unzip 3.0.zip # rm 3.0.zip # mv roundcube-contextmenu-3.0 contextmenu

== dovecot_ident ==
Como webmail é um acesso localhost, nos logs de acesso IMAP não queremos isso e sim o IP do usuário que esta acessando, para isso:

# cd /var/www/html/webmail/plugins # wget https://github.com/remontti/dovecot_ident/archive/3.0.tar.gz # tar -vxzf 3.0.tar.gz # rm 3.0.tar.gz # mv dovecot_ident-3.0 dovecot_ident # vim /etc/dovecot/dovecot.conf

Descomente incluindo:

login_trusted_networks = 127.0.0.1 ::1

Restarte os serviços

# systemctl restart dovecot postfix # systemctl status dovecot postfix

Agora precisamos adicionar nossos plugins extrar nas configurações do Round.

# vim /var/www/html/webmail/config/config.inc.php

Procure por:

$config['plugins'] = array('emoticons', 'identity_select', 'managesieve', 'markasjunk', 'newmail_notifier', 'password', 'zipdownload');

Inclua os plugins contextmenu e contextmenu ficando:

$config['plugins'] = array('emoticons', 'identity_select', 'managesieve', 'markasjunk', 'newmail_notifier', 'password', 'zipdownload', 'contextmenu', 'dovecot_ident');

Adicione também check_all_folders, para verificar novos e-mails em todas as pastas, bom caso você criar algum filtro personalizado, ex todas as mensagems contendo x assunto ou de um domínio/email... assim se cair uma mensagem ela fica uma notificação numérica além da pasta principal.

// If true all folders will be checked for recent messages $config['check_all_folders'] = true;

Seu servidor de e-mail já está funcionado, logue em seu webmail, envie algum e-mails.
Acesse: http://SEU-DOMINIO/webmail/

PEGANDO A ULTIMA VEZ QUE USUÁRIO LOGOU E O IP

Se você é administrador de um servidor de e-mail certamente vai querer isso!
Primeiramente vamos adicionar alguns campos extrar nassa tabela mailbox (last_login_date last_login_ip last_login_proto)

# mariadb

use postfixadmin; ALTER TABLE `mailbox` ADD `last_login_date` DATETIME NULL COMMENT 'last login date',ADD `last_login_ip` VARCHAR( 39 ) NULL COMMENT 'last login ip',ADD `last_login_proto` CHAR( 5 ) NULL ; quit;

Vamos ensinar o dovecot a alimentar esses campos.
10-master.conf

# sed -i -e 's/service imap {/service imap {\n executable = imap imap-postlogin/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service imap {/service imap {\n # Post-login action/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service pop3 {/service pop3 {\n executable = pop3 pop3-postlogin/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service pop3 {/service pop3 {\n # Post-login action/' /etc/dovecot/conf.d/10-master.conf # echo ''>> /etc/dovecot/conf.d/10-master.conf # echo '# Post login scripting POP3'>> /etc/dovecot/conf.d/10-master.conf # echo 'service pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' executable = script-login /usr/local/bin/postlogin-pop.sh'>> /etc/dovecot/conf.d/10-master.conf # echo ' user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf # echo ' unix_listener pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' }'>> /etc/dovecot/conf.d/10-master.conf # echo '}'>> /etc/dovecot/conf.d/10-master.conf # echo ''>> /etc/dovecot/conf.d/10-master.conf # echo '# Post login scripting IMAP'>> /etc/dovecot/conf.d/10-master.conf # echo 'service imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' executable = script-login /usr/local/bin/postlogin-imap.sh'>> /etc/dovecot/conf.d/10-master.conf # echo ' user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf # echo ' unix_listener imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' }'>> /etc/dovecot/conf.d/10-master.conf # echo '}'>> /etc/dovecot/conf.d/10-master.conf

Crie o arquivo postlogin-imap.sh

# vim /usr/local/bin/postlogin-imap.sh

Atenção para SENHA.

#!/bin/sh MYSQL_USER='postfixadmin' PASSWD='SENHA' DB_NAME='postfixadmin' if [ X"${USER}" != X"dump-capability" ]; then mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
Crie o arquivo postlogin-pop.sh

# vim /usr/local/bin/postlogin-pop.sh

Atenção para SENHA.

#!/bin/sh MYSQL_USER='postfixadmin' PASSWD='SENHA' DB_NAME='postfixadmin' if [ X"${USER}" != X"dump-capability" ]; then mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
# chmod +x /usr/local/bin/postlogin-* # systemctl restart dovecot

Acesse sua conta de e-mail e apos consulte a tabela mailbox (`SELECT * FROM mailbox`)

Até este ponto nosso servidor está 100%, agora falta apenas um Anti-Spam e um Anti-Vírus para ficar perfeito, Então vamos nessa

SPAMASSASSIN

Vamos começar pelo SpamAssassin

# apt install spamc spamassassin

Alguns ajustes

# systemctl enable spamassassin # sed -i -e 's/CRON=0/CRON=1/' /etc/default/spamassassin # sed -i -e 's/# report_safe 1/report_safe 0/' /etc/spamassassin/local.cf

# vim /etc/postfix/master.cf

Adicione ==> -o content_filter=spamassassin

smtp inet n - - - - smtpd -o content_filter=spamassassin {..} submission inet n - - - - smtpd -o content_filter=spamassassin {..} smtps inet n - - - - smtpd -o content_filter=spamassassin {..}

E no final do arquivo:

# SpamAssassin spamassassin unix - n n - - pipe user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Vamos instalar o Razor Pyzor para ajudar no bloquei dos Spam.

# apt install razor pyzor

# vim /etc/spamassassin/local.cf

Inclua antes da ultima linha (endif # Mail::SpamAssassin::Plugin::Shortcircuit)

# ... # razor2 use_razor2 1 score RAZOR2_CHECK 2.500 # pyzor use_pyzor 1 score PYZOR_CHECK 2.500 endif # Mail::SpamAssassin::Plugin::Shortcircuit

# su - debian-spamd -c 'razor-admin -d --create' # su - debian-spamd -c 'razor-admin -register' # su - debian-spamd -c 'razor-admin -discover'

ANTIVIRUS AMAVIS / CLAMAV

Você precisa ter nos repositórios os pacotes contrib non-free

# vim /etc/apt/sources.list

(exemplo)

deb http://deb.debian.org/debian/ buster main contrib non-free deb-src http://deb.debian.org/debian/ buster main contrib non-free deb http://security.debian.org/debian-security buster/updates main contrib non-free deb-src http://security.debian.org/debian-security buster/updates main contrib non-free # buster-updates, previously known as 'volatile' deb http://deb.debian.org/debian/ buster-updates main contrib non-free deb-src http://deb.debian.org/debian/ buster-updates main contrib non-free

# apt update # apt install amavisd-new clamav clamav-freshclam clamav-daemon p7zip p7zip-full\ arj bzip2 cabextract nomarch pax rar unrar unrar-free unzip zip lhasa lrzip lz4\ libmail-dkim-perl libnet-ldap-perl libsnmp-perl libmessage-passing-zeromq-perl\ lzop p7zip rpm # adduser clamav amavis # mkdir /var/run/clamav # touch /var/run/clamav/clamd.ctl # chown clamav. /var/run/clamav/clamd.ctl # systemctl stop clamav-freshclam # freshclam # su - amavis -c 'razor-admin -d --create' # su - amavis -c 'razor-admin -register' # su - amavis -c 'razor-admin -discover'

# vim /etc/amavis/conf.d/15-content_filter_mode

#(Descomente)

[...] @bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re); [...]

# vim /etc/amavis/conf.d/50-user

Adicionar !! Atenção para SENHA

use strict; # # Place your configuration directives here. They will override those in # earlier files. # # See /usr/share/doc/amavisd-new/ for documentation and examples of # the directives you can use in this file # @lookup_sql_dsn = ( ['DBI:mysql:database=postfixadmin;host=127.0.0.1;port=3306', 'postfixadmin', 'SENHA-BD-POSTFIX']); $sql_select_policy = 'SELECT "Y" as local FROM alias WHERE address IN (%k)'; #------------ Do not modify anything below this line ------------- 1; # ensure a defined return

# vim /etc/amavis/conf.d/05-node_id

Altere:

$myhostname = "mail.remontti.com.br";

# vim /etc/amavis/conf.d/01-debian

Comente:

#$unarj = ['arj', 'unarj'];

Descomente:

$unrar = ['rar', 'unrar']; #disabled (non-free, no security support)

Personalização Amavis

# vim /etc/amavis/conf.d/20-debian_defaults

Eu comento sa_spam_subject_tag, assim as mensagens que forem spam não terão o assunto trocado, pois elas já irão cair na caixa de spam.

#$sa_spam_subject_tag = '***SPAM*** ';

Comente se não desejar receber as menssagens de erro.

#$final_virus_destiny = D_DISCARD; # (data not lost, see virus quarantine) #$final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA #$final_spam_destiny = D_BOUNCE; $final_bad_header_destiny = D_PASS; # False-positive prone (for spam)

Não comente final_bad_header_destiny (se não os spam não serão entregues)

Se não quiser que seu email postmaster receba um email com todos os emails q ele discartou, comente:

#$virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default

Habilitar o amavis no postfix

# postconf -e "content_filter = smtp-amavis:[127.0.0.1]:10024"

# vim /etc/postfix/master.cf

Adicionar ao final

#Amavis smtp-amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 -o smtp_generic_maps= 127.0.0.1:10025 inet n - - - - smtpd -o mynetworks=127.0.0.0/8 -o content_filter= -o local_recipient_maps= -o local_header_rewrite_clients= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks -o strict_rfc821_envelopes=yes # SPF policyd-spf unix - n n - 0 spawn user=policyd-spf argv=/usr/bin/policyd-spf

Ajuste o SPF para que execute seus testes.

# sed -i 's/HELO_reject = Fail/HELO_reject = False/' /etc/postfix-policyd-spf-python/policyd-spf.conf # sed -i 's/Mail_From_reject = Fail/Mail_From_reject = False/' /etc/postfix-policyd-spf-python/policyd-spf.conf

Inclua em main.cf `policyd-spf_time_limit = 3600` para aumentar o tempo limite impedirá o Postfix de interromper o agente se as transações forem um pouco lentas.

# postconf -e "policyd-spf_time_limit = 3600"

Alguns pacotes que o amavis utiliza já não estão mais no debian buster então vamos baixa-los e instala-los.

# cd /tmp # wget http://ftp.br.debian.org/debian/pool/main/r/ripole/ripole_0.2.0+20081101.0215-3_amd64.deb # apt install ./ripole_0.2.0+20081101.0215-3_amd64.deb # wget http://ftp.br.debian.org/debian/pool/main/z/zoo/zoo_2.10-28_amd64.deb # apt install ./zoo_2.10-28_amd64.deb

Restarte todos os serviços e verifique se tudo esta ok.

# systemctl restart clamav-daemon clamav-freshclam spamassassin amavis dovecot postfix # systemctl status clamav-daemon clamav-freshclam spamassassin amavis dovecot postfix

Simular o envio de um spam:

# cd /tmp # wget http://spamassassin.apache.org/gtube/gtube.txt # sendmail seu@email.com.br < gtube.txt

Não podemos esquecer de definir a senha do usuário root do mariadb/mysql

# mariadb

USE mysql; UPDATE user SET password=PASSWORD('SENHA_DB_ROOT') WHERE User='root'; UPDATE user SET plugin="mysql_native_password"; FLUSH PRIVILEGES; quit;

HTTPS / SSL / CERTIFICADO VÁLIDO

Sugestão é você configurar seu domínios virtuais (ou mais de um) e configurar o Let’s Encrypt
Leitura recomendada:
- Criando certificado grátis com Let’s Encrypt para o Apache no Debian 10
- Como ter diversos sub/domínios no mesmo servidor? (Domínios virtuais com Apache2)

Vou fazer um exemplo bem simples editando o 000-default.conf

# vim /etc/apache2/sites-enabled/000-default.conf

Descomente a linha ServerName e adicione o domínio do seu servidor

# The ServerName directive sets the request scheme, hostname and port that # the server uses to identify itself. This is used when creating # redirection URLs. In the context of virtual hosts, the ServerName # specifies what hostname must appear in the request's Host: header to # match this virtual host. For the default virtual host (this file) this # value is not decisive as it is used as a last resort host regardless. # However, you must set it for any further virtual host explicitly. Protocols h2 http/1.1 ServerName mail.remontti.com.br ServerAdmin webmaster@localhost DocumentRoot /var/www/html Options FollowSymLinks AllowOverride All # Available loglevels: trace8, ..., trace1, debug, info, notice, warn, # error, crit, alert, emerg. # It is also possible to configure the loglevel for particular # modules, e.g. #LogLevel info ssl:warn ErrorLog ${APACHE_LOG_DIR}/error.log CustomLog ${APACHE_LOG_DIR}/access.log combined # For most configuration files from conf-available/, which are # enabled or disabled at a global level, it is possible to # include a line for only one particular virtual host. For example the # following line enables the CGI configuration for this host only # after it has been globally disabled with "a2disconf". #Include conf-available/serve-cgi-bin.conf

Restarte o apache

# a2enmod http2 # systemctl restart apache2

Instale o letsencrypt e cerbot

# apt install letsencrypt python-certbot-apache

Antes de gerar o certificado para “mail.remontti.com.br” pare o apache

# systemctl stop apache2 # letsencrypt --authenticator standalone --installer apache -d mail.remontti.com.br

Saving debug log to /var/log/letsencrypt/letsencrypt.log Plugins selected: Authenticator standalone, Installer apache Enter email address (used for urgent renewal and security notices) (Enter 'c' to cancel): noc@remontti.com.br - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Please read the Terms of Service at https://letsencrypt.org/documents/LE-SA-v1.2-November-15-2017.pdf. You must agree in order to register with the ACME server at https://acme-v02.api.letsencrypt.org/directory - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (A)gree/(C)ancel: A - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Would you be willing to share your email address with the Electronic Frontier Foundation, a founding partner of the Let's Encrypt project and the non-profit organization that develops Certbot? We'd like to send you email about our work encrypting the web, EFF news, campaigns, and ways to support digital freedom. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - (Y)es/(N)o: N Obtaining a new certificate Performing the following challenges: http-01 challenge for mail.remontti.com.br Waiting for verification... Cleaning up challenges Created an SSL vhost at /etc/apache2/sites-available/000-default-le-ssl.conf Enabled Apache socache_shmcb module Enabled Apache ssl module Deploying Certificate to VirtualHost /etc/apache2/sites-available/000-default-le-ssl.conf Enabling available site: /etc/apache2/sites-available/000-default-le-ssl.conf Please choose whether or not to redirect HTTP traffic to HTTPS, removing HTTP access. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - 1: No redirect - Make no further changes to the webserver configuration. 2: Redirect - Make all requests redirect to secure HTTPS access. Choose this for new sites, or if you're confident your site works on HTTPS. You can undo this change by editing your web server's configuration. - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2 Redirecting vhost in /etc/apache2/sites-enabled/000-default.conf to ssl vhost in /etc/apache2/sites-available/000-default-le-ssl.conf - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - Congratulations! You have successfully enabled https://mail.remontti.com.br You should test your configuration at: https://www.ssllabs.com/ssltest/analyze.html?d=mail.remontti.com.br - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - IMPORTANT NOTES: - Congratulations! Your certificate and chain have been saved at: /etc/letsencrypt/live/mail.remontti.com.br/fullchain.pem Your key file has been saved at: /etc/letsencrypt/live/mail.remontti.com.br/privkey.pem Your cert will expire on 2020-02-18. To obtain a new or tweaked version of this certificate in the future, simply run certbot again with the "certonly" option. To non-interactively renew *all* of your certificates, run "certbot renew" - Your account credentials have been saved in your Certbot configuration directory at /etc/letsencrypt. You should make a secure backup of this folder now. This configuration directory will also contain certificates and private keys obtained by Certbot so making regular backups of this folder is ideal. - If you like Certbot, please consider supporting our work by: Donating to ISRG / Let's Encrypt: https://letsencrypt.org/donate Donating to EFF: https://eff.org/donate-le

Agora já temos uma acesso seguro em "mail.remontti.com.br", interessante que agora temos certificados válidos que podemos usar no nosso serviço de e-mail, então vamos ajustar!

# mv /etc/ssl/certs/ssl-cert-snakeoil.pem /etc/ssl/certs/ssl-cert-snakeoil.pem.off # mv /etc/ssl/private/ssl-cert-snakeoil.key /etc/ssl/private/ssl-cert-snakeoil.key.off # ln -s /etc/letsencrypt/live/mail.remontti.com.br/fullchain.pem /etc/ssl/certs/ssl-cert-snakeoil.pem # ln -s /etc/letsencrypt/live/mail.remontti.com.br/privkey.pem /etc/ssl/private/ssl-cert-snakeoil.key

Adicione smtp_tls_security_level, smtp_tls_CAfile e smtp_tls_loglevel em main.cf

# postconf -e "smtp_tls_security_level = may" # postconf -e "smtp_tls_CAfile = /etc/ssl/certs/ssl-cert-snakeoil.pem" # postconf -e "smtp_tls_loglevel = 1"

Restart os serviços

# systemctl restart clamav-daemon clamav-freshclam spamassassin amavis dovecot postfix

DKIM

Adicione usuário postfix ao opendkimgrupo para que o Postfix possa acessar o soquete do OpenDKIM quando for necessário.

# adduser postfix opendkim

# vim /etc/opendkim.conf

Altere

#Socket local:/var/run/opendkim/opendkim.sock Socket local:/var/spool/postfix/opendkim/opendkim.sock

Adicione ao final do arquivo

## Specifies the path to the private key to use when signing. Ignored if ## SigningTable and KeyTable are used. No default; must be specified for ## signing if SigningTable/KeyTable are not in use. KeyTable /etc/dkimkeys/key.table ## SigningTable dataset ## default (none) ## ## Defines a dataset that will be queried for the message sender's address ## to determine which private key(s) (if any) should be used to sign the ## message. The sender is determined from the value of the sender ## header fields as described with SenderHeaders above. The key for this ## lookup should be an address or address pattern that matches senders; ## see the opendkim.conf(5) man page for more information. The value ## of the lookup should return the name of a key found in the KeyTable ## that should be used to sign the message. If MultipleSignatures ## is set, all possible lookup keys will be attempted which may result ## in multiple signatures being applied. SigningTable refile:/etc/dkimkeys/signing.table ## ExternalIgnoreList filename ## ## Names a file from which a list of externally-trusted hosts is read. ## These are hosts which are allowed to send mail through you for signing. ## Automatically contains 127.0.0.1. See man page for file format. ExternalIgnoreList /etc/dkimkeys/trusted.hosts ## InternalHosts dataset ## default "127.0.0.1" ## ## Names a file from which a list of internal hosts is read. These are ## hosts from which mail should be signed rather than verified. ## Automatically contains 127.0.0.1. InternalHosts /etc/dkimkeys/trusted.hosts ## Canonicalization hdrcanon[/bodycanon] ## default "simple/simple" ## ## Select canonicalizations to use when signing. If the "bodycanon" is ## omitted, "simple" is used. Valid values for each are "simple" and ## "relaxed". Canonicalization relaxed/simple ## AutoRestart { yes | no } ## default "no" ## ## Indicate whether or not the filter should arrange to restart automatically ## if it crashes. AutoRestart yes ## AutoRestartRate n/t[u] ## default (none) ## ## Sets the maximum automatic restart rate. See the opendkim.conf(5) ## man page for the format of this parameter. AutoRestartRate 10/1M ## DNSTimeout n ## default 10 ## ## Specify the time in seconds to wait for replies from the nameserver when ## requesting keys or signing policies. DNSTimeout 5

Crie o diretório do soquete OpenDKIM na área de trabalho do Postfix e verifique se ele possui a propriedade correta, em seguida edite o caminho para o soquete é diferente do padrão, porque no Debian 10 o processo Postfix lida com uma prisão chroot e não pode acessar o local normal.

# mkdir /var/spool/postfix/opendkim # chown opendkim:postfix /var/spool/postfix/opendkim # vim /etc/default/opendkim

Altere

#RUNDIR=/var/run/opendkim RUNDIR=/var/spool/postfix/opendkim

# vim /etc/dkimkeys/signing.table

Crie a tabela de assinatura /etc/dkimkeys/signing.table. Ele precisa ter uma linha por domínio para a qual você lida com o email. Cada linha deve ficar assim:

*@remontti.com.br remontti

Substitua *@remontti.com.br por seu domínio e remontti por um nome abreviado para o domínio. O primeiro campo é um padrão que corresponde aos endereços de email. O segundo campo é um nome para a entrada da tabela de chaves que deve ser usada para assinar emails desse endereço.

# vim /etc/dkimkeys/key.table

remontti remontti.com.br:201911:/etc/dkimkeys/remontti.private

Substitua remontti pelo valor que você usou para o domínio na tabela de assinatura. Substitua remontti.com.br por seu nome de domínio e substitua 201911 ano atual de 4 dígitos e mês de 2 dígitos (isso é chamado de seletor). O primeiro campo conecta as tabelas de assinatura e chave.

O segundo campo é dividido em 3 seções separadas por dois pontos.
1- A primeira seção é o nome de domínio para o qual a chave é usada.
2- A segunda seção é um seletor usado ao procurar registros importantes no DNS.
3- A terceira seção nomeia o arquivo que contém a chave de assinatura do domínio.

Crie o arquivo de hosts confiáveis.

# vim /etc/dkimkeys/trusted.hosts

127.0.0.1 ::1 localhost mail remontti.com.br mail.remontti.com.br

Ao criar o arquivo, mude "mail" para o nome do seu servidor e substitua remontti.com.br pelo seu próprio nome de domínio. Estamos identificando os hosts pelos quais os usuários enviarão mensagens e devem ter as mensagens enviadas assinadas, que para configurações básicas será o seu próprio servidor de email.

Gere chaves para cada domínio:

# cd /etc/dkimkeys # opendkim-genkey -b 2048 -h rsa-sha256 -r -s 201911 -d remontti.com.br -v

opendkim-genkey: generating private key
opendkim-genkey: private key written to 201911.private
opendkim-genkey: extracting public key
opendkim-genkey: DNS TXT record written to 201911.txt

Criamos uma atalho e alteramos as permissões

# ln -s 201911.private remontti.private # chown -R opendkim. /etc/dkimkeys/ # chmod -R go-rw /etc/dkimkeys/

Restart e verifique se o OpenDKIM iniciou corretamente.

# systemctl restart opendkim # systemctl status -l opendkim

Configurar DKIM no seu DNS

Como no SPF, o DKIM usa registros TXT para armazenar informações sobre a chave de assinatura de cada domínio.
Usando o AAAAMM como acima, é necessário criar um registro TXT para o host YYYYMM._domainkeyde de cada domínio para o qual você lida com o correio. Seu valor pode ser encontrado no arquivo 201911.txt. Esses arquivos são assim:

201911._domainkey IN TXT ( "v=DKIM1; h=rsa-sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAks0HGeii8xoDxuL9vlZmJg6ajHg0l5Mc/8PfC4FQtVTp1BWhlRHQwIQAgbnD+y1nt4JAp4hC7vGx/qdMd1MGlUUJGTpXtTOr4p5DyBwO8zGC+vIuN0cJaBViNXQxLKT0ZX0bg00yQ2LtJIbw+0nAmTyuPcHxOtLfS5GMJe7kP/rmCCOCqiVAfuq/sslkqlpNkOWHaJf211x0Q3" "ts6TNrFxu7ExdGfWFpzEtSW+a/HhR/iIwYQGPl63JdjOLhS6Sy7IGk0xKRbIMQfLa91voPTKq+GnHcXbKzwI1SFfF39wGnrxfw9bIS/KmgzHBrFJ8nvrwTas2Q249AZUNzqhvFSwIDAQAB" ) ; ----- DKIM key 201911 for remontti.com.br

Remova os parênteses, e as quebras de linhas. E h=rsa-sha256 altere para h=sha256. O resultado ficaria:

201911._domainkey TXT "v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAks0HGeii8xoDxuL9vlZmJg6ajHg0l5Mc/8PfC4FQtVTp1BWhlRHQwIQAgbnD+y1nt4JAp4hC7vGx/qdMd1MGlUUJGTpXtTOr4p5DyBwO8zGC+vIuN0cJaBViNXQxLKT0ZX0bg00yQ2LtJIbw+0nAmTyuPcHxOtLfS5GMJe7kP/rmCCOCqiVAfuq/sslkqlpNkOWHaJf211x0Q3" "ts6TNrFxu7ExdGfWFpzEtSW+a/HhR/iIwYQGPl63JdjOLhS6Sy7IGk0xKRbIMQfLa91voPTKq+GnHcXbKzwI1SFfF39wGnrxfw9bIS/KmgzHBrFJ8nvrwTas2Q249AZUNzqhvFSwIDAQAB"

Você pode adicionar uma política ADSP ao seu domínio, dizendo que todos os emails do seu domínio devem ser assinados por DKIM. Como de costume, isso é feito com um registro TXT para host _adsp._domainkeyem seu domínio com um valor de dkim=all. Você não precisa configurar isso, mas isso dificulta a falsificação de emails de seus domínios, porque os servidores de e-mail do destinatário verão a falta de uma assinatura DKIM e rejeitarão a mensagem.

_adsp._domainkeyem TXT "dkim=all"

Relatório e conformidade de mensagens de domínio (DMARC). O registro DNS do DMARC pode ser adicionado para informar aos servidores de correio o que você acha que eles devem fazer com os e-mails que afirmam pertencer ao seu domínio e que falham na validação com SPF e/ou DKIM. O DMARC também permite solicitar relatórios sobre mensagens que não passam em uma ou mais verificações de validação. O DMARC deve ser configurado apenas se você tiver o SPF e o DKIM configurados e operando com êxito. Se você adicionar o registro DNS DMARC sem o SPF e o DKIM, as mensagens do seu domínio falharão na validação, o que pode fazer com que sejam descartadas ou relegadas a uma pasta de spam.

O registro DMARC é um registro TXT para host _dmarcem seu domínio que contém os seguintes valores recomendados:

v=DMARC1;p=quarantine;sp=quarantine;adkim=r;aspf=r

Isso solicita que os servidores de correio em quarentena (não descartem, mas separem das mensagens regulares) qualquer email que falhe nas verificações de SPF ou DKIM. Nenhum relatório é solicitado. Pouquíssimos servidores de correio implementam o software para gerar relatórios sobre mensagens com falha; portanto, é desnecessário solicitá-las. Se você deseja solicitar relatórios, o valor seria semelhante a este exemplo, adicionado como uma única sequência:

v=DMARC1;p=quarantine;sp=quarantine;adkim=r;aspf=r;fo=1;rf=afrf;rua=mailto:seuemail@domino.com.br

Os registros DMARC têm um número de tags e opções disponíveis. Essas tags são usadas para controlar suas configurações de autenticação:

`v` especifica a versão do protocolo, neste caso DMARC1.
`p` determina a política para o domínio raiz, como "example.com". As opções disponíveis:
- `quarantine` instrui que, se um email falhar na validação, o destinatário deve separá-lo para processamento.
- `reject` solicita que o servidor de email receptor rejeite os emails que falham na validação.
- `none` solicita que o destinatário não tome nenhuma ação se um email não passar na validação.

`sp` determina a política para subdomínios, como "subdomínio.exemplo.com". Ele usa os mesmos argumentos que a `p` tag.

`adkim` especifica o modo de alinhamento para DKIM, que determina com que rigor os registros DKIM são validados. As opções disponíveis são:
- `r` modo de alinhamento relaxado, a autenticação DKIM é aplicada com menos rigor.
- `s` modo de alinhamento estrito. Somente uma correspondência exata com a entrada DKIM para o domínio raiz será vista como validada.

`aspf` determina o modo de alinhamento para verificação do SPF. Leva os mesmos argumentos que `adkim`.

Adicione nas configurações do seu arquivo DNS autoritativo e restart seu DNS. Ex (bind):

$TTL 86400 ; 1 day remontti.net.br IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2019071900 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. A 45.80.50.4 AAAA 2804:f123:bebe:cafe::4 MX 10 mail.remontti.net.br. TXT "v=spf1 a mx -all" SPF "v=spf1 a mx -all" $ORIGIN remontti.net.br. $TTL 10800 ; 3 hours 45-80-50-0 A 45.80.50.0 router-gw A 45.80.50.1 AAAA 2804:f123:bebe:cafe::1 ns1 A 45.80.50.2 AAAA 2804:f123:bebe:cafe::2 hostmaster A 45.80.50.2 AAAA 2804:f123:bebe:cafe::2 ns2 A 45.80.50.3 AAAA 2804:f123:bebe:cafe::3 www A 45.80.50.4 AAAA 2804:f123:bebe:cafe::4 ftp A 45.80.50.4 AAAA 2804:f123:bebe:cafe::4 zabbix A 45.80.50.5 AAAA 2804:f123:bebe:cafe::5 phpipam A 45.80.50.5 AAAA 2804:f123:bebe:cafe::5 mail A 45.80.50.6 AAAA 2804:f123:bebe:cafe::6 imap A 45.80.50.6 AAAA 2804:f123:bebe:cafe::6 pop A 45.80.50.6 AAAA 2804:f123:bebe:cafe::6 smtp A 45.80.50.6 AAAA 2804:f123:bebe:cafe::6 $TTL 300 ; 5 min $ORIGIN remontti.com.br. 201911._domainkey TXT "v=DKIM1; h=sha256; k=rsa; s=email; " "p=MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEAks0HGeii8xoDxuL9vlZmJg6ajHg0l5Mc/8PfC4FQtVTp1BWhlRHQwIQAgbnD+y1nt4JAp4hC7vGx/qdMd1MGlUUJGTpXtTOr4p5DyBwO8zGC+vIuN0cJaBViNXQxLKT0ZX0bg00yQ2LtJIbw+0nAmTyuPcHxOtLfS5GMJe7kP/rmCCOCqiVAfuq/sslkqlpNkOWHaJf211x0Q3" "ts6TNrFxu7ExdGfWFpzEtSW+a/HhR/iIwYQGPl63JdjOLhS6Sy7IGk0xKRbIMQfLa91voPTKq+GnHcXbKzwI1SFfF39wGnrxfw9bIS/KmgzHBrFJ8nvrwTas2Q249AZUNzqhvFSwIDAQAB" _adsp._domainkeyem TXT "dkim=all" _dmarc TXT "v=DMARC1;p=quarantine;sp=quarantine;adkim=r;aspf=r"

Teste as chaves para a assinatura e verificação corretas usando o opendkim-testkeycomando:

# opendkim-testkey -d remontti.com.br -s 201911

Se tudo estiver correto, você não deverá obter nenhuma saída. Se você quiser ver mais informações, adicione -vvvno final do comando. Isso produz saída de depuração detalhada. A última mensagem deve ser "tecla OK". Pouco antes disso, você poderá ver a mensagem "chave não segura". Isso é normal e não indica um erro, apenas significa que seu domínio ainda não está configurado para DNSSEC.

Adicione

vim /etc/postfix/main.cf

# OpenDKIM milter_default_action = accept milter_protocol = 6 smtpd_milters = local:opendkim/opendkim.sock non_smtpd_milters = local:opendkim/opendkim.sock

# systemctl restart opendkim postfix # systemctl status opendkim postfix

Rotação da chave DKIM

(Não faça isso agora! Leia com atenção)

O motivo pelo qual o formato AAAAMM é usado é que a prática recomendada exige a alteração das chaves de assinatura DKIM de vez em quando (recomenda-se mensalmente, e não mais que a cada 6 meses). Para fazer isso sem interromper as mensagens em trânsito, você gera as novas chaves usando um novo seletor. O processo é:

Gere novas chaves como anteriormente no /etc/dkimkeys/. Use o ano e o mês atuais para o valor do seletor AAAAMM, para que seja diferente do seletor atualmente em uso.

# cd /etc/dkimkeys/ # opendkim-genkey -b 2048 -h rsa-sha256 -r -s 202006 -d remontti.com.br -v

Use o .txt gerado para adicionar as novas chaves ao seu DNS, usando o novo seletor AAAAMM nos nomes de host. Não remova ou altere os registros DKIM TXT existentes. Feito isso, verifique os novos dados da chave usando o seguinte comando:

# opendkim-testkey -d remontti.com.br -s 202006 -k remontti.private

Pare o Postfix e o OpenDKIM para que eles não processem e-mails enquanto você estiver trocando as chaves.

# systemctl stop postfix opendkim

Remova o link anterior do "remontti.private" e link ao novo "202006.private" arquivo gerado e defina as permissões corretas:

# cd /etc/dkimkeys # rm remontti.private # ln -s 202006.private remontti.private # chown -R opendkim. /etc/dkimkeys/ # chmod -R go-rw /etc/dkimkeys/

Altere o antigo valores de AAAAMM em key.table para o novo seletor e salve o arquivo.

# vim /etc/dkimkeys/key.table

remontti remontti.com.br:202006:/etc/dkimkeys/remontti.private

Inicie o OpenDKIM e o Postfix

# systemctl start opendkim postfix

Certifique-se de que ambos iniciem sem erros.

# systemctl status opendkim postfix

Espere algumas semanas para remover o antigo registro pois algum servidor pode estar ainda usando a antiga chave. (Eu normalmente removo apenas quando crio uma nova)

FAIL2BAN + NFTABLES

Fail2Ban é uma estrutura de software de prevenção de intrusões que protege os servidores de computadores contra ataques de força bruta, que opera monitorando arquivos de logs. Sendo o mais comum usado para bloquear endereços IPs selecionados que podem pertencer a hosts que estão tentando violar a segurança.

# apt install nftables fail2ban

Como o iptables está sendo substituído por nftables começando com o Debian Buster, vamos configurar o Fail2Ban para usar o nftables como padrão.
Mas vou ir além em vez de usar o filtro multiport vou setar allports e modifica-lo para que quando uma tentativa de violação acontecer o Fail2Ban crie uma regra de firewall que dropa definitivamente o IP e não apenas fechando a porta do serviço para "invasor".

# vim /etc/fail2ban/jail.conf

Procure por "banaction = iptables-multiport" e "banaction_allports = iptables-allports" e altere seu valor para "nftables-allports":

#banaction = iptables-multiport #banaction_allports = iptables-allports banaction = nftables-allports banaction_allports = nftables-allports

Altere o modo de bloqueio em nftables-allports.conf para fazer que ele de um "drop all".

# vim /etc/fail2ban/action.d/nftables-allports.conf

Procure por nftables_mode = meta l4proto e altere deixando seu valor vazio:

#nftables_mode = meta l4proto nftables_mode =

Em nftables-common.conf alteraremos o padrão de reject para drop

# vim /etc/fail2ban/action.d/nftables-common.conf

Procure por "blocktype = reject" e altere seu valor para "drop".

#blocktype = reject blocktype = drop

Ativamos alguns filtros. Se desejar ajustar o tempo te banimento altere o valor de bantime, e os numeros de erros/tentativas em maxretry.

# vim /etc/fail2ban/jail.d/defaults-debian.conf

Adicione no arquivo:

[sshd] enabled = true [postfix-sasl] enabled = true bantime = 1h maxretry = 5 [dovecot] enabled = true bantime = 1h maxretry = 5 [sieve] enabled = true bantime = 1h maxretry = 5

Ativamos o nftables e restartamos os serviços:

# systemctl enable nftables # systemctl restart nftables fail2ban

Para visualizar seu firewall use o comando:

# nft list ruleset

Alguns comandos do fail2ban
Status:

# fail2ban-client status

Status do filtro:

# fail2ban-client status NOME_FILTRO

Remover um IP bloqueado de um filtro:

# fail2ban-client set NOME_FILTRO unbanip IP_BLOQUEADO

Ufaaaa acabamos, espero que tenha gostado!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Como montar um servidor de e-mail com Postfix, Dovecot, PostfixAdmin, SpamAssassin, Amavis, Clamav, RoundCube, SPF, DKIM, DMARC, Fail2Ban apareceu primeiro em Remontti.

Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster [Descontinuado]

Rudimar Remontti — Thu, 18 Jul 2019 19:17:51 +0000

Este tutorial foi atualizado:

Acesse Servidor DNS Bind9 – Recursivo + Autoritativo DNSSEC + Reverso + RPZ + Fail2ban + nftables + Zabbix no Debian 11 Bullseye

Não utilize este tutorial! Não apaguei o mesmo para deixa-lo para fins de estudos em cima do Debian 10.

(Descontinuado)

BIND (Berkeley Internet Name Domain ou, como chamado previamente, Berkeley Internet Name Daemon) é o servidor para o protocolo DNS mais utilizado na Internet, especialmente em sistemas do tipo Unix, onde ele pode ser considerado um padrão de fato.

Ante de iniciar a instalação é preciso saber como funciona um DNS:

Requesitos:
Debian 10 Stretch – Instalação Limpa

DNS RECURSIVO
O DNS recursivo é responsável pela resolução de nomes, começando sempre com consultar recursivas nos servidores raízes. Para melhorar a eficiência e reduzir o tráfego DNS na Internet e aumentar o desempenho em aplicativos de usuário final, fazendo o cache DNS, armazenando resultados de consulta DNS por um período de tempo determinado na configuração (tempo de vida determinado pelo autoritativo do domínio consultado).

DNS AUTORITIVO
É o serviço DNS que possui autoridade sob um domínio. Assim como servidor ns1.remontti.com.br é o DNS autoritativo de meu domínio remontti.com.br, é ele que sempre vai responder qualquer subdomínio “hosts” ex blog.remontti.com.br.
E esse servidor que você vai apontar nas configurações de um domínio, exemplo registrado no registro.br.

DNS REVERSO
DNS atua resolvendo o nome do domínio/subdomínio para um endereço IP correspondente. Já o DNS Reverso ele resolve o endereço IP buscando o nome de domínio associado ao host.
Ou seja, quando temos disponível o endereço IP de um host e não sabemos o endereço do domínio(nome dado à máquina ou outro equipamento que acesse uma rede), tentamos resolver o endereço IP através do DNS reverso que procura qual nome de domínio está associado aquele endereço.
Os servidores que utilizam o DNS Reverso conseguem verificar a autenticidade de endereços, verificando se o endereço IP atual corresponde ao endereço IP informado pelo servidor DNS.
Isto evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo (pois isso que ele é importante para servidores de e-mail).

DICAS
– Para que o DNS Reverso funcione no registro.br é importante que você já tenha configurado o DNS autoritativo, e aguarde sua publicação antes de fazer a designação. (Normalmente demoram 4 horas)
– Se você é um provedor, o correto seria você ter dois servidores DNS em sua rede, uma Master e outro Slave. Neste tutoria foi explicar como criar os dois!

PERGUNTAS FREQUENTES:
– Preciso montar dois servidores?
Sim/Não, para a configuração do DNS autoritativo/reverso são necessários apontar dois endereços, no entanto nada impede de configurar dois IPs no mesmo servidor. Em alguns caso vejo as pessoas virtualizar 2 servidores (apenas DNS) na mesma maquina de virtualização, se pensarmos que se o servidor de virtualização para nada adianta ter 2 servidores, neste caso quem sabe seria mais interessante ter alguma outra aplicação rodando com o servido slave (pensando pelo lado aproveitamento de hardware). Então vai da sua realidade.

– Preciso separar o recusivo do autoritativo/reverso?
Não! Ao não ser que você seja um grande data center com centenas de domínios autoritativos não vejo o motivo para separa-los. Na maioria das vezes que vi isso acontecer quem fez isso é porque não sabe como fechar as consultas recursivas para o mundo. E é ai que neste tutorial entra o fail2ban como a cereja do bolo.

Vamos iniciar com a instalação do servidor Master, lembrando que para isso estou usando a Distribuição linux Debian 10, com uma instalação que eu chamo de limpa.

Ex.: ASN – CIDR/22

Nesse exemplo vou usar um bloco /22, porém mais a baixo vou deixar um exemplo também para você que é dono destes “/22” e vai delegar um bloco menor que /24 para outra empresa que queira ter seu próprio servidor DNS resolvendo o reverso desse bloco delegado.

Bloco recebido: IPv4 – 45.80.48.0/22 IPv6 – 2804:f123::/32
Domínio autoritativo:: remontti.net.br

Antes de mais nada o mínimo de conhecimento é saber realizar cálculos de sub-redes.

:: ipcalc ::

root@remontti:~# apt install ipcalc root@remontti:~# ipcalc 45.80.48.0/22 Address: 45.80.48.0 00101101.01010000.001100 00.00000000 Netmask: 255.255.252.0 = 22 11111111.11111111.111111 00.00000000 Wildcard: 0.0.3.255 00000000.00000000.000000 11.11111111 => Network: 45.80.48.0/22 00101101.01010000.001100 00.00000000 HostMin: 45.80.48.1 00101101.01010000.001100 00.00000001 HostMax: 45.80.51.254 00101101.01010000.001100 11.11111110 Broadcast: 45.80.51.255 00101101.01010000.001100 11.11111111 Hosts/Net: 1022 Class A

:: ip6calc ::

root@remontti:~# apt install python-ipaddr wget root@remontti:~# wget https://blog.remontti.com.br/arquivos/Home/ip6calc -O /bin/ip6calc root@remontti:~# chmod +x /bin/ip6calc root@remontti:~# ip6calc 2804:f123::/32 Address: (Compressed) 2804:f123::/32 (Exploded) 2804:f123:0000:0000:0000:0000:0000:0000/32 (Binary) 0010100000000100:1111000100100011:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000/32 ↑ ↑ ↑ ↑ ↑ ↑ ↑ ↑ ↑ /1 /12 /29 /32 /48 /56 /64 /112 /128 Address type is: global unicast Netmask: (Compressed) ffff:ffff:: (Exploded) ffff:ffff:0000:0000:0000:0000:0000:0000 (Binary) 1111111111111111:1111111111111111:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000 First address assignable: (Compressed) 2804:f123:: (Exploded) 2804:f123:0000:0000:0000:0000:0000:0000 (Binary) 0010100000000100:1111000100100011:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000 Last address assignable: (Compressed) 2804:f123:ffff:ffff:ffff:ffff:ffff:ffff (Exploded) 2804:f123:ffff:ffff:ffff:ffff:ffff:ffff (Binary) 0010100000000100:1111000100100011:1111111111111111:1111111111111111:1111111111111111:1111111111111111:1111111111111111:1111111111111111 Total number of addresses: 79228162514264337593543950336 (2^96 or 7.9e+28) First address assignable (excluding "subnet-router anycast" of RFC 2526): (Compressed) 2804:f123::1 (Exploded) 2804:f123:0000:0000:0000:0000:0000:0001 (Binary) 0010100000000100:1111000100100011:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000000:0000000000000001 Total number of addresses (Excluding "reserved" addresses): 79228162514264337593543950335 (7.9e+28) This prefix can contain one of the following: * 4294967296 (2^32 or 4.3e+09) subnets /64 * 16777216 (2^24 or 1.7e+07) subnets /56 * 65536 (2^16 or 6.6e+04) subnets /48

Para ilustrar “nossa rede” conto com os seguintes servidore:

45.80.48.0/22 IPv6 – 2804:f123::/32

ROUTER GW -> 45.80.48.1 / 2804:f123:bebe:cafe::1 (cpd)
SERV DNS MASTER -> 45.80.48.2 / 2804:f123:bebe:cafe::2 (ns1)
SERV DNS SLAVE -> 45.80.48.3 / 2804:f123:bebe:cafe::3 (ns2)
SERV WEB + FTP -> 45.80.48.4 / 2804:f123:bebe:cafe::4 (www,ftp)
SERV ZABBIX + phpIPam -> 45.80.48.5 / 2804:f123:bebe:cafe::5 (zabbix,phpipam)
SERV E-MAILS -> 45.80.48.6 / 2804:f123:bebe:cafe::6 (mail,imap,pop,smtp,mx,dkim)

Dentro da rede ainda conto com alguns blocos de IPs inválidos 192.168.0.0/16, 172.16.0.0/12, 100.64.0.0/10 e 10.0.0.0/8 utilizando NAT que por ventura também preciso autoriza-los a fazer consultas recursivas no servidores.

Tenha sua interface de rede configurada corretamente.

# vim /etc/network/interfaces

# This file describes the network interfaces available on your system # and how to activate them. For more information, see interfaces(5). source /etc/network/interfaces.d/* # The loopback network interface auto lo iface lo inet loopback # The primary network interface allow-hotplug enp0s3 iface enp0s3 inet static address 45.80.48.2/28 gateway 45.80.48.1 dns-nameservers 127.0.0.1 dns-search localhost iface enp0s3 inet6 static pre-up modprobe ipv6 address 2804:f123:bebe:cafe::2 netmask 64 gateway 2804:f123:bebe:cafe::1

MASTER (NS1)

# su - # apt install bind9 dnsutils

Pronto! O servidor recursivo já está funcionando, porém ele está aberto, e isso não é nada legal!
Você não vai querer “qualquer um” utilizando seu servidor para resolver nomes. Resolveremos isso mais a frente no arquivo named.conf.options.

Alteramos o DNS do servidor fazendo com que ele consulte em si próprio. Essa alteração deve ser feita no arquivo /etc/resolv.conf.

# echo "nameserver 127.0.0.1" > /etc/resolv.conf

Para descobrir se seu servidor esta resolvendo nomes use o comando dig.

# dig google.com @localhost

Retornará algo como:

[...] ;; ANSWER SECTION: google.com. 300 IN A 172.217.162.110 [...]

Os arquivos de configuração do bind ficam no diretório /etc/bind/ e agora no Debian 10 Buster também separando os root servers em /usr/share/dns/

# cd /etc/bind

Iremos alterar o named.conf.options, o próprio nome já se auto descreve o que vamos encontrar nele.
Sempre gosto de preservar o arquivo original, então fizemos um backup antes de modifica-lo.

# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bkp # echo > named.conf.options

Aqui vai uma dica para que usa Windows + Putty, tome cuidado ao colar, principalmente quem usa Windows 10 “ele copia caracteres imaginários que você não vê!”.
Recomento usar o Bitvise SSH Client que é muito superior

Explicação comentada no arquivo.

# vim /etc/bind/named.conf.options

// ACL "autorizados" vão ficar os ips que são autorizados a fazer // consultas recursivas neste servidor. // Neste caso vou incluir os ips que foram nos delegados bem como de localhost e IPs privados acl autorizados { 127.0.0.1; ::1; 45.80.48.0/22; 2804:f123::/32; 192.168.0.0/16; 172.16.0.0/12; 100.64.0.0/10; 10.0.0.0/8; }; options { // O diretório de trabalho do servidor // Quaisquer caminho não informado será tomado como padrão este diretório directory "/var/cache/bind"; //Suporte a DNSSEC dnssec-enable yes; dnssec-validation auto; // Conforme RFC1035 // https://www.ietf.org/rfc/rfc1035.txt auth-nxdomain no; // Respondendo para IPv4 e IPv6 // Porta 53 estará aberta para ambos v4 e v6 listen-on { any; }; listen-on-v6 { any; }; // Limitação da taxa de resposta no sistema de nomes de domínio (https://kb.isc.org/docs/aa-00994) // Se você esta montando um servido apenas para autoritativo descomente as linhas a baixo. //rate-limit { // responses-per-second 15; // window 5; //}; // Melhora o desempenho do servidor, reduzindo os volumes de dados de saída. // O padrão BIND é (no) não. minimal-responses yes; // Especifica quais hosts estão autorizados a fazer consultas // recursivas através deste servidor. // Aqui que você vai informar os IPs da sua rede que você irá permitir consultar os DNS. allow-recursion { autorizados; }; // Endereço estão autorizados a emitir consultas ao cache local, // sem acesso ao cache local as consultas recursivas são inúteis. allow-query-cache { autorizados; }; // Especifica quais hosts estão autorizados a fazer perguntas DNS comuns. allow-query { any; }; // Especifica quais hosts estão autorizados a receber transferências de zona a partir do servidor. // Seu servidor Secundário, no nosso ex vou deixar então o ips dos dois servidores v4 e v6. allow-transfer { 45.80.48.3; 2804:f123:bebe:cafe::3; }; also-notify { 45.80.48.3; 2804:f123:bebe:cafe::3; }; // Esta opção faz com que o servidor slave ao fazer a transferência de zonas // mastes deste servidor não compile o arquivo, assim no outro servidor o arquivo // da zona terá um texto "puro" masterfile-format text; // Para evitar que vase a versao do Bind, definimos um nome // Reza a lenda que deixar RR DNS Server seu servidor nunca sofrerá ataques. version "RR DNS Server"; };

Legal agora o servidor Recursivo já está funcionando e limitando os IPs que poderão realizar consultas ao mesmo.
Caso você não queria seu servidor sendo recursivo altere na ACL autorizados deixando apenas 127.0.0.1 e ::1.

Se seu servidor não tiver IPv6? (Que triste rsrsrs) Recomendo que desative o ipv6 no bind.

# vim /etc/default/bind9

Adicione um -4 em OPTIONS.

OPTIONS="-u bind" #para OPTIONS="-4 -u bind"

# vim /etc/bind/named.conf.options

Altere listen-on-v6 para none.

listen-on-v6 { any; }; #para: listen-on-v6 { none; };

Toda alteração feita no bind para ter efeito é necessário restartar o serviço.

# systemctl restart bind9

Se desejar remover os comentários do named.conf.options execute:

# cat /etc/bind/named.conf.options |grep -v "//" > /tmp/named.conf.options ; mv /tmp/named.conf.options /etc/bind/

Para verificar se seu arquivo tem algum erro use o comando named-checkconf

# named-checkconf /etc/bind/named.conf.options

Se nada retornar é porque não tem nenhum erro.
Vou deixar proposital mente faltando um “;” depois do 45.80.48.0/22. Veja o que retornou um altera dizendo que falta ponto virgula antes do IPv6, ou seja onde esta o IPv4/22.

/etc/bind/named.conf.options:5: missing ';' before '2804:f123::'

Verifique também o status do bind para ver se o mesmo era rodando.

# systemctl restart bind9 # systemctl status bind9

Verifique se está: “active (running)”

● bind9.service - BIND Domain Name Server Loaded: loaded (/lib/systemd/system/bind9.service; enabled; vendor preset: enabled) Active: active (running) since Fri 2019-07-19 14:17:09 -03; 4s ago Docs: man:named(8) Process: 706 ExecStart=/usr/sbin/named $OPTIONS (code=exited, status=0/SUCCESS) Main PID: 707 (named) Tasks: 4 (limit: 2359) Memory: 11.9M CGroup: /system.slice/bind9.service └─707 /usr/sbin/named -u bind

Antes configurar o Autoritativo e Reverso precisamos pensar na segurança do Recursivo.
Para isso utilizaremos o Fail2Ban e fazer algumas alterações para deixa-lo bem “nervoso”!

Fail2Ban + nftables

Fail2Ban é uma estrutura de software de prevenção de intrusões que protege os servidores de computadores contra ataques de força bruta, que opera monitorando arquivos de logs. Sendo o mais comum usado para bloquear endereços IPs selecionados que podem pertencer a hosts que estão tentando violar a segurança.

# apt install nftables fail2ban

Como o iptables está sendo substituído por nftables começando com o Debian Buster, vamos configurar o Fail2Ban para usar o nftables como padrão.
Mas vou ir além em vez de usar o filtro multiport vou setar allports e modifica-lo para que quando uma tentativa de violação acontecer o Fail2Ban crie uma regra de firewall que dropa definitivamente o IP e não apenas fechando a porta do serviço para “invasor”.

# vim /etc/fail2ban/jail.conf

Procure por “banaction = iptables-multiport” e “banaction_allports = iptables-allports” e altere seu valor para “nftables-allports”:

#banaction = iptables-multiport #banaction_allports = iptables-allports banaction = nftables-allports banaction_allports = nftables-allports

Altere o modo de bloqueio em nftables-allports.conf para fazer que ele de um “drop all”.

# vim /etc/fail2ban/action.d/nftables-allports.conf

Procure por nftables_mode = meta l4proto e altere deixando seu valor vazio:

#nftables_mode = meta l4proto nftables_mode =

Em nftables-common.conf alteraremos o padrão de reject para drop

# vim /etc/fail2ban/action.d/nftables-common.conf

Procure por “blocktype = reject” e altere seu valor para “drop”.

#blocktype = reject blocktype = drop

Melhorias feitas, precisamos ativar o filtro para ler os logs do bind, porém ao ativar o filtro named-refused me deparei com seu não funcionamento, e quebrando a cabeça descobri que os logs do bind estão diferente e a expressão regular do filtro está errada. Os desenvolvedores do fail2ban já fizeram a correção, mas acredito que irá levar um tempo para o pessoal do Debian fazer um novo empacotamento.
A correção pode ser feita editando o arquivo /etc/fail2ban/filter.d/named-refused.conf

- prefregex = ^%(__line_prefix)s( error:)?\s*client #\S+( $[\S.]+$)?: .+$ + prefregex = ^%(__line_prefix)s( error:)?\s*client( @[0-9a-z]+)? #\S+( $[\S.]+$)?: .+$

Porém como eu vou ser mais “bruto” no filtro. Vou criar nosso próprio filtro bind9, vamos lá!

# vim /etc/fail2ban/filter.d/bind9.conf

Adicone no arquivo:

# Fail2Ban filter file for named (bind9.11). # [Definition] # Daemon name _daemon=named # Shortcuts for easier comprehension of the failregex __pid_re=(?:\[\d+\]) __daemon_re=$?%(_daemon)s(?:\(\S+$)?\)?:? __daemon_combs_re=(?:%(__pid_re)s?:\s+%(__daemon_re)s|%(__daemon_re)s%(__pid_re)s?:) # hostname daemon_id spaces # this can be optional (for instance if we match named native log files) __line_prefix=(?:\s\S+ %(__daemon_combs_re)s\s+)? prefregex = ^%(__line_prefix)s( error:)?\s*client( @[0-9a-z]+)? #\S+( $[\S.]+$)?: .+$ failregex = ^(view (internal|external): )?query(?: $cache$)? '.*' denied\s*$ ^zone transfer '\S+/AXFR/\w+' denied\s*$ ^bad zone transfer request: '\S+/IN': non-authoritative zone $NOTAUTH$\s*$ ignoreregex = # DEV Notes: # Author: Rudimar Remontti

Ativamos o filtro que criamos, e definir um tempo de banimento por 24h você pode ajustar para mais se achar necessário. E “maxretry” que é a quantidade de tentativas para 1.

# vim /etc/fail2ban/jail.d/bind9.conf

Adicione no arquivo:

[bind9] enabled = true port = domain,953 protocol = tcp logpath = /var/log/named/security.log bantime = 24h maxretry = 1

Vale lembrar que o filtro de SSH já vem ativo por padrão em “/etc/fail2ban/jail.d/defaults-debian.conf”.

Precisamos fazer o bind gerar os logs com tentativas de consultas negadas (denied), incluído logging {…} no arquivo named.conf.

# vim /etc/bind/named.conf

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local logging { channel security_file { file "/var/log/named/security.log" versions 3 size 30m; severity dynamic; print-time yes; }; channel file_log { file "/var/log/named/named.log" versions 2 size 50k; severity info; print-time yes; print-severity yes; print-category yes; }; channel errors_syslog { syslog daemon; severity warning; }; category security { security_file; }; category dnssec { errors_syslog; }; category default { file_log; }; category lame-servers { null; }; category edns-disabled { null; }; category resolver { null; }; category unmatched { null; }; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

Crie o diretório onde o bind vai registrar seus logs e de permissão para que possa gravar nesta pasta.

# mkdir /var/log/named/ # chown bind. /var/log/named/

É importante ativar o nftables na inicialização e restartar os serviços para que nossas configurações sejam interpretadas.

# systemctl enable nftables # systemctl restart bind9 # systemctl restart nftables # systemctl restart fail2ban

Para visualizar seu firewall use o comando:

# nft list ruleset

Note que ja temos alguns IPs sendo dropado por tentativas de consulta no DNS e SSH.

table inet filter { set f2b-sshd { type ipv4_addr elements = { 92.63.194.90, 142.44.130.186, 191.54.227.13 } } set f2b-bind9 { type ipv4_addr elements = { 71.6.199.23, 185.94.111.1 } } chain input { type filter hook input priority 0; policy accept; ip saddr @f2b-bind9 drop ip saddr @f2b-sshd drop } chain forward { type filter hook forward priority 0; policy accept; } chain output { type filter hook output priority 0; policy accept; } }

Alguns comandos legais do fail2ban

# fail2ban-client status

Veja quais filtros estão ativos

Status |- Number of jail: 2 `- Jail list: bind9, sshd

fail2ban-client status NOME_FILTRO

Ex:

# fail2ban-client status bind9 Status for the jail: bind9 |- Filter | |- Currently failed: 0 | |- Total failed: 2 | `- File list: /var/log/named/security.log `- Actions |- Currently banned: 2 |- Total banned: 2 `- Banned IP list: 71.6.199.23 185.94.111.1 # fail2ban-client status sshd Status for the jail: sshd |- Filter | |- Currently failed: 0 | |- Total failed: 0 | `- File list: /var/log/auth.log `- Actions |- Currently banned: 3 |- Total banned: 3 `- Banned IP list: 142.44.130.186 191.54.227.13 92.63.194.90

Para remover um IP que foi bloqueado basta:

# fail2ban-client set bind9 unbanip IPADDRESS

Pronto agora já temos um servidor DNS com um nível de segurança bem elevado!

Autoritativo (ns1)

Agora é aquela hora que precisamos ter planejado o que iríamos fazer com nosso IPs recebidos.

No meu exemplo vai ficar assim: - 45.80.48.0/27 - Servidores - 45.80.48.32/27 - Roteamento - 45.80.48.64/26 - Clientes com IP Fixo - 45.80.48.128/25 - CGNAT - 45.80.49.0/26 - NOC (Gerência) - 45.80.49.64/26 - Clientes Delegação - 45.80.49.128/25 - Clientes dinâmico - 45.80.50.0/24 - Clientes dinâmico - 45.80.51.0/24 - Clientes dinâmico # Quebrei meu ex de forma q não fique simples para que possamos dar nomes sugestivos aos IPs, adapte a sua realidade

Para ficar organizado vou criar a pasta master-aut onde ficará os arquivos de hosts dos domínios autoritativos.

# mkdir /var/cache/bind/master-aut

Crie o arquivo remontti.net.br.hosts na pasta master-rev. Ajuste remontti.net.br para seu domínio.

# vim /var/cache/bind/master-aut/remontti.net.br.hosts

$ORIGIN . $TTL 86400 ; 1 day remontti.net.br IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. A 45.80.48.4 AAAA 2804:f123:bebe:cafe::4 MX 10 mail.remontti.net.br. TXT "v=spf1 a mx -all" SPF "v=spf1 a mx -all" $ORIGIN remontti.net.br. $TTL 10800 ; 3 hours 45-80-48-0 A 45.80.48.0 45-80-48-1 A 45.80.48.1 AAAA 2804:f123:bebe:cafe::1 ns1 A 45.80.48.2 AAAA 2804:f123:bebe:cafe::2 hostmaster A 45.80.48.2 AAAA 2804:f123:bebe:cafe::2 ns2 A 45.80.48.3 AAAA 2804:f123:bebe:cafe::3 www A 45.80.48.4 AAAA 2804:f123:bebe:cafe::4 ftp A 45.80.48.4 AAAA 2804:f123:bebe:cafe::4 zabbix A 45.80.48.5 AAAA 2804:f123:bebe:cafe::5 phpipam A 45.80.48.5 AAAA 2804:f123:bebe:cafe::5 mail A 45.80.48.6 AAAA 2804:f123:bebe:cafe::6 imap A 45.80.48.6 AAAA 2804:f123:bebe:cafe::6 pop A 45.80.48.6 AAAA 2804:f123:bebe:cafe::6 smtp A 45.80.48.6 AAAA 2804:f123:bebe:cafe::6 $ORIGIN remontti.net.br. $GENERATE 7-31 ns-$ A 45.80.48.$ $ORIGIN remontti.net.br. $GENERATE 32-255 45-80-48-$ A 45.80.48.$ $ORIGIN remontti.net.br. $GENERATE 0-255 45-80-49-$ A 45.80.49.$ $ORIGIN remontti.net.br. $GENERATE 0-255 45-80-50-$ A 45.80.50.$ $ORIGIN remontti.net.br. $GENERATE 0-255 45-80-51-$ A 45.80.51.$

Chamaremos a zone remontti.net.br em named.conf.local

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

// Zonas Master zone "remontti.net.br" { type master; file "/var/cache/bind/master-aut/remontti.net.br.hosts"; };

De permissões ao diretório/arquivo criados

# chown bind. /var/cache/bind/master-aut -R

Restart o serviço.

# systemctl restart bind9

Testamos agora para ver se está resolvendo nosso domínio.

# dig ANY remontti.net.br @localhost

; <<>> DiG 9.11.5-P4-5.1-Debian <<>> ANY remontti.net.br @localhost ;; global options: +cmd ;; Got answer: ;; ->HEADER<- opcode: QUERY, status: NOERROR, id: 52255 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 7, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: 3148faada350a11c7aeaf3835d32238e495995289566b021 (good) ;; QUESTION SECTION: ;remontti.net.br. IN ANY ;; ANSWER SECTION: remontti.net.br. 86400 IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. 2020062300 10800 3600 2419200 300 remontti.net.br. 86400 IN NS ns2.remontti.net.br. remontti.net.br. 86400 IN NS ns1.remontti.net.br. remontti.net.br. 86400 IN A 45.80.48.4 remontti.net.br. 86400 IN AAAA 2804:f123:bebe:cafe::4 remontti.net.br. 86400 IN MX 10 mail.remontti.net.br. remontti.net.br. 86400 IN TXT "v=spf1 a mx -all" ;; Query time: 0 msec ;; SERVER: ::1#53(::1) ;; WHEN: sex jul 19 17:09:50 -03 2019 ;; MSG SIZE rcvd: 263

Testes:

# host remontti.net.br remontti.net.br has address 45.80.48.4 remontti.net.br has IPv6 address 2804:f123:bebe:cafe::4 remontti.net.br mail is handled by 20 mail.remontti.net.br. # host ns1.remontti.net.br ns1.remontti.net.br has address 45.80.48.2 ns1.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::2 # host ns2.remontti.net.br ns2.remontti.net.br has address 45.80.48.3 ns2.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::3 # host mail.remontti.net.br mail.remontti.net.br has address 45.80.48.6 mail.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::6 # host zabbix.remontti.net.br zabbix.remontti.net.br has address 45.80.48.5 zabbix.remontti.net.br has IPv6 address 2804:f123:bebe:cafe::5

Seu autoritativo já está funcionado, você já é possível registrar seu domínio (claro ainda falta o slave).

Neste momento você pode verificar no registro.br se seu servidor já tem autoridade sobre o domínio que configurou.
Mas antes vamos ajustar o fail2ban para ignorar os ips do Registro.br pois muitas pessoas acabam configurando errado seu DNS e na hora de verificar acabam bloqueando o registro.br (Isso acontece porque quando você for validar se o seu DNS não estiver certo, ele vai achar que o registro.br esta tentando resolver o "dominio qualquer" que você não é autoritativo), para isso faça:

# vim /etc/fail2ban/jail.conf

Localize "ignoreip =" e adicione os blocos do registro.br (200.160.0.0/20 200.219.148.0/24 2001:12ff::/32 2001:12f8:6::/47) se desajar pode incluir seu bloco de ips dos servidores, principalmente o ip do servidor Slave para evitar que ele também seja bloqueado (no meu ex. os 45.80.48.3 e 2804:f123:bebe:cafe::3)

# "ignoreip" can be a list of IP addresses, CIDR masks or DNS hosts. Fail2ban # will not ban a host which matches an address in this list. Several addresses # can be defined using space (and/or comma) separator. ignoreip = 127.0.0.1/8 ::1 200.160.0.0/20 200.219.148.0/24 2001:12ff::/32 2001:12f8:6::/47 45.80.48.3 2804:f123:bebe:cafe::3

Reinicie o fail2ban

# systemctl restart fail2ban

Acessando: Ferramentas Registro BR

Se o STATUS for "Autoridade sobre o domínio" parabéns suas configurações estão respondendo corretamente.

Reverso (ns1)

Obs: Para fazer a Delegações de DNS reverso do seu bloco, é importante que você já tenha configurado no registro.br seu DNS autoritativo.

# mkdir /var/cache/bind/master-rev

O bloco 45.80.48.0/22 será necessário quebrar em 4 blocos /24 tendo uma configuração para cada /24 Como já planejado no autoritativo vamos ter que dar nomes a todos os IPs. Vale lembrar que todos esses nomes de hosts é permitido apenas um nome por IP, e cada nome desses deve ser configurado no autoritativo.

Primeiro arquivo/24 45.80.48.rev

# vim /var/cache/bind/master-rev/45.80.48.rev

Preste atenção em 48.80.45.in-addr.arpa. essa linha ela deve ser alterada com o inverso do seu IP.
Outra coisa importante é o serial (2020062300) ele esta presente em todos os arquivos e deve ser alterado toda vez que for alterado. Ele segue o padrão [ano-mes-dia-sequencial]. É fundamental altera-lo para que o servidor slave copie sempre que tiver uma alteração.

$ORIGIN . $TTL 86400 ; 1 day 48.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 48.80.45.in-addr.arpa. 0 PTR 45.80.48.0.remontti.net.br. 1 PTR cpd.remontti.net.br. 2 PTR ns1.remontti.net.br. 3 PTR ns2.remontti.net.br. 4 PTR www.remontti.net.br. 5 PTR zabbix.remontti.net.br. 6 PTR mail.remontti.net.br. ; Servidores não utilizados $ORIGIN 48.80.45.in-addr.arpa. $GENERATE 7-31 $ PTR ns-$.remontti.net.br. $ORIGIN 48.80.45.in-addr.arpa. $GENERATE 32-255 $ PTR 45-80-48-$.remontti.net.br.

# vim /var/cache/bind/master-rev/45.80.49.rev

$ORIGIN . $TTL 86400 ; 1 day 49.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 49.80.45.in-addr.arpa. $GENERATE 0-255 $ PTR 45-80-49-$.remontti.net.br.

# vim /var/cache/bind/master-rev/45.80.50.rev

$ORIGIN . $TTL 86400 ; 1 day 50.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. ; Clientes dinâmicos $ORIGIN 50.80.45.in-addr.arpa. $GENERATE 0-255 $ PTR 45-80-50-$.remontti.net.br.

# vim /var/cache/bind/master-rev/45.80.51.rev

$ORIGIN . $TTL 86400 ; 1 day 51.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. ; Clientes dinâmicos $ORIGIN 51.80.45.in-addr.arpa. $GENERATE 0-255 $ PTR 45-80-51-$.remontti.net.br.

Não podemos esquecer nosso reverso do IPv6! Antes que alguém pergunte (novamente) posso configurar o reverso de todos os IPv6? Bom você precisa saber que precisa resolver 79.228.162.514.264.337.593.543.950.336 (2^96) endereços IPv6, e isso é algo quase impossível! Informaremos apenas os nomes a ipv6 fixos.

# vim /var/cache/bind/master-rev/2000.f123.rev

$ORIGIN . $TTL 3600 ; 1 hour 3.2.1.f.4.0.8.2.ip6.arpa IN SOA ns1.remontti.net.br.3.2.1.f.4.0.8.2.ip6.arpa. hostmaster.remontti.net.br.3.2.1.f.4.0.8.2.ip6.arpa. ( 2020062300 ; serial 3600 ; refresh (1 hour) 900 ; retry (15 minutes) 604800 ; expire (1 week) 3600 ; minimum (1 hour) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR cpd.remontti.net.br. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR ns1.remontti.net.br. 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR ns2.remontti.net.br. 4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR www.remontti.net.br. 5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR zabbix.remontti.net.br. 6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR mail.remontti.net.br.

Este site http://rdns6.com/hostRecord pode ser bem útil para gerar seus PTRs.
Para finalizar acertando as permissões.

# chown bind. /var/cache/bind/master-rev -R

Precisamos informar nossas zonas reversas no named.conf.local, como estamos configurando nosso servidor master essas zonas serão do tipo (type) master e para informar o arquivo onde está a configuração da zone usamos o parâmetro file /caminho-completo/arquivo

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

// Reverso IPv4 zone "48.80.45.in-addr.arpa" { type master; file "/var/cache/bind/master-rev/45.80.48.rev"; }; zone "49.80.45.in-addr.arpa" { type master; file "/var/cache/bind/master-rev/45.80.49.rev"; }; zone "50.80.45.in-addr.arpa" { type master; file "/var/cache/bind/master-rev/45.80.50.rev"; }; zone "51.80.45.in-addr.arpa" { type master; file "/var/cache/bind/master-rev/45.80.51.rev"; }; // Reverso IPv6 zone "3.2.1.f.4.0.8.2.ip6.arpa" { type master; file "/var/cache/bind/master-rev/2804.f123.rev"; };

Para ficar fácil acesso criamos uma atalhos das nossas pastas master-* dentro de /etc/bind

# ln -s /var/cache/bind/master-aut /etc/bind/master-aut # ln -s /var/cache/bind/master-rev /etc/bind/master-rev

Restart o serviço e veja se esta rodando sem erros.

# systemctl restart bind9 # systemctl status bind9

Vamos ver se ele já está resolvendo nosso IP então?

# dig -x 45.80.48.2 @localhost ; <<>> DiG 9.11.5-P4-5.1-Debian <<>> -x 45.80.48.2 @localhost ;; global options: +cmd ;; Got answer: ;; ->HEADER<- opcode: QUERY, status: NOERROR, id: 59398 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: cc1f5b76ca8135b2f442ab295d35a916dcb3bf8066886af9 (good) ;; QUESTION SECTION: ;2.48.80.45.in-addr.arpa. IN PTR ;; ANSWER SECTION: 2.48.80.45.in-addr.arpa. 86400 IN PTR ns1.remontti.net.br. ;; Query time: 0 msec ;; SERVER: ::1#53(::1) ;; WHEN: seg jul 22 09:16:22 -03 2019 ;; MSG SIZE rcvd: 113 # dig -x 2804:f123:bebe:cafe::2 @localhost <<>> DiG 9.11.5-P4-5.1-Debian <<>> -x 2804:f123:bebe:cafe::2 @localhost ;; global options: +cmd ;; Got answer: ;; ->HEADER<- opcode: QUERY, status: NOERROR, id: 5580 ;; flags: qr aa rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ; COOKIE: ec8e4c0bfbec98025b39d4965d35a90be152e9b837af0575 (good) ;; QUESTION SECTION: ;2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. IN PTR ;; ANSWER SECTION: 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa. 3600 IN PTR ns1.remontti.net.br. ;; Query time: 0 msec ;; SERVER: ::1#53(::1) ;; WHEN: seg jul 22 09:16:11 -03 2019 ;; MSG SIZE rcvd: 162 # host 45.80.48.2 2.48.80.45.in-addr.arpa domain name pointer ns1.remontti.net.br. # host 2804:f123:bebe:cafe::2 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa domain name pointer ns1.remontti.net.br. # host 2804:f123:bebe:cafe::1 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.e.f.a.c.e.b.e.b.3.2.1.f.4.0.8.2.ip6.arpa domain name pointer cpd.remontti.net.br. # host 45.80.48.3 3.48.80.45.in-addr.arpa domain name pointer ns2.remontti.net.br. # host 45.80.48.10 10.48.80.45.in-addr.arpa domain name pointer serv-10.remontti.net.br. # host 45.80.48.100 100.48.80.45.in-addr.arpa domain name pointer fixo-100.remontti.net.br. # host 45.80.48.200 200.48.80.45.in-addr.arpa domain name pointer cgnat-200.remontti.net.br. # host 45.80.49.0 0.49.80.45.in-addr.arpa domain name pointer noc-0.remontti.net.br. # host 45.80.49.2 2.49.80.45.in-addr.arpa domain name pointer noc-2.remontti.net.br. # host 45.80.49.20 20.49.80.45.in-addr.arpa domain name pointer noc-20.remontti.net.br. # host 45.80.49.64 64.49.80.45.in-addr.arpa domain name pointer dd-64.remontti.net.br. # host 45.80.49.128 128.49.80.45.in-addr.arpa domain name pointer 45-80-49-128.remontti.net.br. # host 45.80.49.129 129.49.80.45.in-addr.arpa domain name pointer 45-80-49-129.remontti.net.br. # host 45.80.50.50 50.50.80.45.in-addr.arpa domain name pointer 45-80-50-50.remontti.net.br. # host 45.80.51.50 50.51.80.45.in-addr.arpa domain name pointer 45-80-51-50.remontti.net.br.

Como pode ver todos os endereços estão resolvendo seus nomes.

Reverso pronto!

Atualizando ROOT SERVERS

Para finalizar o master vamos fazer uma atualização no root server que na versão do debian 10 buster passou a ser /usr/share/dns/root.hints. A vesão instalada é de 13/03/2019 "last update: March 13, 2019"

Para obter uma versão mais recente, iremos mover nosso arquivo root.hints e baixar um novo.

mv /usr/share/dns/root.hints /usr/share/dns/root.hints.`date +%Y%m%d` wget https://www.internic.net/domain/named.root -O /usr/share/dns/root.hints --no-check-certificate

Pode editar o arquivo /usr/share/dns/root.hints e verificar qual é a ultima atualização, (hoje 19/07/2019) ele esta: "last update: July 03, 2019". Reinicie o serviço para ter efeito.

systemctl restart bind9 systemctl status bind9

Parabéns! Seu servidor master está pronto!

SLAVE (ns2)

Praticamente o processo se repete, com algumas alterações sendo necessário apenas configurar:
named.conf (Gerar log)
named.conf.local (Incluir as zonas)
named.conf.options (Setar nossas opções)

# apt install bind9 dnsutils

Alterar o DNS do servidor:

# # echo "nameserver 127.0.0.1" > /etc/resolv.conf

# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bkp

No named.conf.options unica coisa em relação ao master é que vai alterar allow-transfer para none e remover o also-notify.

# vim /etc/bind/named.conf.options

acl autorizados { 127.0.0.1; ::1; 45.80.48.0/23; 2804:f123::/32; 192.168.0.0/16; 172.16.0.0/12; 100.64.0.0/10; 10.0.0.0/8; }; options { directory "/var/cache/bind"; dnssec-enable yes; dnssec-validation auto; auth-nxdomain no; listen-on { any; }; listen-on-v6 { any; }; minimal-responses yes; allow-recursion { autorizados; }; allow-query-cache { autorizados; }; allow-query { any; }; allow-transfer { none; }; masterfile-format text; version "RR DNS Server"; };

Para organizar criamos duas pastas slave-rev e slave-aut é importante dar permissões para o usuário bind, pois ele precisa importar as configurações do master e vai escrever nelas.

# mkdir /var/cache/bind/slave-aut # mkdir /var/cache/bind/slave-rev # chown bind. -R /var/cache/bind/slave-*

Não é mais necessário criar os arquivos, esses serão transferidos do servidor master. Basta informarmos em nossas zonas do arquivo named.conf.local, que serão do tipo (slave) e apontaremos o IP do master para que nosso servidor slave faça a transferência do master.

# vim /etc/bind/named.conf.local

// Reverso IPv4 zone "48.80.45.in-addr.arpa" { type slave; file "/var/cache/bind/slave-rev/45.80.48.rev"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; }; zone "49.80.45.in-addr.arpa" { type slave; file "/var/cache/bind/slave-rev/45.80.49.rev"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; }; zone "50.80.45.in-addr.arpa" { type slave; file "/var/cache/bind/slave-rev/45.80.50.rev"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; }; zone "51.80.45.in-addr.arpa" { type slave; file "/var/cache/bind/slave-rev/45.80.51.rev"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; }; // Reverso IPv6 zone "3.2.1.f.4.0.8.2.ip6.arpa" { type slave; file "/var/cache/bind/slave-rev/2804.f123.rev"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; }; // Zonas Slave zone "remontti.net.br" IN { type slave; file "/var/cache/bind/slave-aut/remontti.net.br.hosts"; masters { 45.80.48.2; }; allow-notify { 45.80.48.2; }; };

Restart o serviço verifique se não teve nenhum erro e verifique dentro dos diretórios slave-aut/slave-rev se os arquivos foram criados.

# systemctl restart bind9 # systemctl status bind9 # ls -lh /var/cache/bind/slave-*

Para ficar fácil acesso criamos uma atalhos das nossas pastas slave-* dentro de /etc/bind

# ln -s /var/cache/bind/slave-aut /etc/bind/slave-aut # ln -s /var/cache/bind/slave-rev /etc/bind/slave-rev

Se os mesmo foram criados seu DNS já está praticamente pronto!

Volte o tutorial e refaça a parte:
- Fail2Ban + nftables
- Atualizando ROOT SERVERS
Isso é primordial para segurança do servidor!

Gostou?

Se você tiver interesse no Curso de DNS clique aqui, quem sabe você de sorte de ter uma turma aberta.

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Ahhh não terminei, ainda falta a configuração do nosso /28.

Reverso de blocos menores que /24 - Ex.: CIDR/28

Antes de mais nada você deve ler ao menos como foi configurado o /22, pois será necessários que você compreenda e faça também o procedimentos:
- Fail2Ban + nftables
- Atualizando ROOT SERVERS

Vamos supor que você recebeu um /28 e queira ter seu reverso respondendo sobre esses bloco.
A primeira coisa que você precisa saber que isso só será possivel se o dono do ASN fizer a configurações em seu servidor DNS (rfc2317), não basta ele simplismente ir la no registro.br e delegar esse /28 para você, e é claro que ele também precisa fazer isso!
Se ficar em dúvidas recomendo ver que assista: DNS e DNS Reverso (~20min fala sobre isso)

Então se você é o responsável pelo ASN você deve fazer o seguinte na configuração no seu arquivo reverso. No exemplo anterior deixamos já o 45.80.49.64/26 para esses casos, e no exemplo vamos delegar um /28 para o "Provedor do José".

$ ipcalc 45.80.49.64/28 Address: 45.80.49.64 00101101.01010000.00110011.0100 0000 Netmask: 255.255.255.240 = 28 11111111.11111111.11111111.1111 0000 Wildcard: 0.0.0.15 00000000.00000000.00000000.0000 1111 => Network: 45.80.49.64/28 00101101.01010000.00110011.0100 0000 HostMin: 45.80.49.65 00101101.01010000.00110011.0100 0001 HostMax: 45.80.49.78 00101101.01010000.00110011.0100 1110 Broadcast: 45.80.49.79 00101101.01010000.00110011.0100 1111 Hosts/Net: 14 Class A

vim /var/cache/bind/master-rev/45.80.49.rev

$ORIGIN . $TTL 86400 ; 1 day 49.80.45.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. ; NOC (Gerência) $ORIGIN 49.80.45.in-addr.arpa. $GENERATE 0-63 $ PTR noc-$.remontti.net.br. ; Clientes delegação ; <<64-79>> /28 ; Aponte para os DNS do Servidor 64/28 NS ns1.provedordojose.com.br 64/28 NS ns2.provedordojose.com.br ; 64 CNAME 64.45/28.49.80.45.in-addr.arpa. 65 CNAME 65.45/28.49.80.45.in-addr.arpa. 66 CNAME 66.45/28.49.80.45.in-addr.arpa. 67 CNAME 67.45/28.49.80.45.in-addr.arpa. 68 CNAME 68.45/28.49.80.45.in-addr.arpa. 69 CNAME 69.45/28.49.80.45.in-addr.arpa. 70 CNAME 70.45/28.49.80.45.in-addr.arpa. 71 CNAME 71.45/28.49.80.45.in-addr.arpa. 72 CNAME 72.45/28.49.80.45.in-addr.arpa. 73 CNAME 73.45/28.49.80.45.in-addr.arpa. 74 CNAME 74.45/28.49.80.45.in-addr.arpa. 75 CNAME 75.45/28.49.80.45.in-addr.arpa. 76 CNAME 76.45/28.49.80.45.in-addr.arpa. 77 CNAME 77.45/28.49.80.45.in-addr.arpa. 78 CNAME 78.45/28.49.80.45.in-addr.arpa. 79 CNAME 79.45/28.49.80.45.in-addr.arpa. ; Clientes delegação (reservado) $ORIGIN 49.80.45.in-addr.arpa. $GENERATE 80-127 $ PTR dd-$.remontti.net.br. ; Clientes dinâmicos $ORIGIN 49.80.45.in-addr.arpa. $GENERATE 128-255 $ PTR 45-80-49-$.remontti.net.br.

Configuração feita pelo o dono do ASN, vamos as configurações do José que recebeu o bloco /28, e quer seus DNS respondendo por eles. Vamos supor que 45.80.49.66 e 45.80.49.67 sejam seu servidores DNS Master/Slave.

# mkdir /var/cache/bind/master-aut # mkdir /var/cache/bind/master-rev

:: Autoritativo ::

vim /var/cache/bind/master-aut/provedordojose.com.br.hosts

$ORIGIN . $TTL 86400 ; 1 day provedordojose.com.br IN SOA ns1.provedordojose.com.br. root.provedordojose.com.br. ( 2020062300 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.provedordojose.com.br. NS ns2.provedordojose.com.br. A 45.80.49.68 MX 10 mail.provedordojose.com.br. TXT "v=spf1 a mx ip4:45.80.49.68?all" $ORIGIN provedordojose.com.br. $TTL 10800 ; 3 hours 45-80-49-64 A 45.80.49.64 cpd A 45.80.49.65 ns1 A 45.80.49.66 ns2 A 45.80.49.67 mail A 45.80.49.68 zabbix A 45.80.49.69 45-80-49-70 A 45.80.49.70 45-80-49-71 A 45.80.49.71 45-80-49-72 A 45.80.49.72 45-80-49-73 A 45.80.49.73 45-80-49-74 A 45.80.49.74 45-80-49-75 A 45.80.49.75 45-80-49-76 A 45.80.49.76 45-80-49-77 A 45.80.49.77 45-80-49-78 A 45.80.49.78 45-80-49-79 A 45.80.49.79

:: Reverso ::

vim /var/cache/bind/master-rev/45.80.49.64-79.rev

; 45.80.49.64/28 $TTL 1h @ IN SOA ns1.provedordojose.com.br. root.provedordojose.com.br. ( 2020062300 ; serial 2h ; refresh 15m ; update retry 2w ; expiry 3h ; nx = nxdomain ttl ) IN NS ns1.provedordojose.com.br. IN NS ns2.provedordojose.com.br. $ORIGIN 64/28.49.80.45.in-addr.arpa. 64 IN PTR 45-80-49-64.provedordojose.com.br. 65 IN PTR cpd.provedordojose.com.br. 66 IN PTR ns1.provedordojose.com.br. 67 IN PTR ns2.provedordojose.com.br. 68 IN PTR mail.provedordojose.com.br. 69 IN PTR zabbix.provedordojose.com.br. 70 IN PTR 45-80-49-70.provedordojose.com.br. 71 IN PTR 45-80-49-71.provedordojose.com.br. 72 IN PTR 45-80-49-72.provedordojose.com.br. 73 IN PTR 45-80-49-73.provedordojose.com.br. 74 IN PTR 45-80-49-74.provedordojose.com.br. 75 IN PTR 45-80-49-75.provedordojose.com.br. 76 IN PTR 45-80-49-76.provedordojose.com.br. 77 IN PTR 45-80-49-77.provedordojose.com.br. 78 IN PTR 45-80-49-78.provedordojose.com.br. 79 IN PTR 45-80-49-79.provedordojose.com.br.

:: Zonas ::

# vim /etc/bind/named.conf.local

zone "provedordojose.com.br" { type master; file "/var/cache/bind/master-aut/provedordojose.com.br.hosts"; }; zone "64/28.49.80.45.in-addr.arpa" { type master; file "/var/cache/bind/master-rev/45.80.49.64-79.rev"; };

# systemctl restart bind9 # systemctl status bind9

Dica extra - Ativando um proxy DNS

Vamos supor que você deseja fazer as consultar DNS em um DNS como o 8.8.8.8 entre outros em vezes de ir direto aos roots como seria?

# vim /etc/bind/named.conf.options

acl autorizados { 127.0.0.1; ::1; 45.80.48.0/23; 2804:f123::/32; 192.168.0.0/16; 172.16.0.0/12; 100.64.0.0/10; 10.0.0.0/8; }; options { directory "/var/cache/bind"; dnssec-enable yes; dnssec-validation auto; auth-nxdomain no; listen-on { any; }; listen-on-v6 { any; }; // DNS PROXY // Em vez de ir pedir aos roots servers irá buscar de outros DNS. recursion yes; forwarders { 8.8.8.8; 1.1.1.1; 1.0.0.1; 8.8.4.4; }; forward only; minimal-responses yes; allow-recursion { autorizados; }; allow-query-cache { autorizados; }; allow-query { any; }; allow-transfer { none; }; masterfile-format text; version "RR DNS Server"; };

Gostou?

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Se não puder doar pode deixar seu agradecimento nos comentário também ficarei feliz em saber que ajudei. Se tiver qualquer pergunta deixe-a também. Se preferir entrar em Contato clique aqui.

Abraço!

O post Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster [Descontinuado] apareceu primeiro em Remontti.

Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6) + Fail2ban (Debian8/9) [Descontinuado]

Rudimar Remontti — Tue, 25 Sep 2018 02:00:11 +0000

Este tutorial foi atualizado:

Acesse Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster

Não utilize este tutorial! Não apaguei o mesmo para deixa-lo para fins de estudos.

(Descontinuado)

Distribuição utilizada: Debian 8 Jessie / Debian 9 Stretch – Instalação Limpa (Tutorial de instalação aqui)

DNS RECURSIVO
O DNS recursivo é responsável por procurar os endereços IPs de servidor que você solicitou acesso. Exemplo o DNS que esta configurado na sua máquina.

DNS AUTORITIVO
É o que possui autoridade sobre um nome de domínio, assim como ns1.remontti.net.br é o DNS autoritativo de seu domínio remontti.net.br.
O DNS autoritativo dita qual será o apontamento da tabela de DNS do seu site. Ele vai responder por o domínio que você configurou nele.

DNS REVERSO
Normalmente o DNS atua resolvendo o nome do domínio de um host para um endereço IP correspondente. Já o DNS Reverso resolve o endereço IP, buscando o nome de domínio associado ao host. Ou seja, quando temos disponível o endereço IP de um host e não sabemos o endereço do domínio(nome dado à máquina ou outro equipamento que acesse uma rede), tentamos resolver o endereço IP através do DNS reverso que procura qual nome de domínio está associado aquele endereço. Os servidores que utilizam o DNS Reverso conseguem verificar a autenticidade de endereços, verificando se o endereço IP atual corresponde ao endereço IP informado pelo servidor DNS. Isto evita que alguém utilize um domínio que não lhe pertence para enviar spam, por exemplo.

Para que o DNS Reverso funcione que no registro.br você designa seu bloco apontando para o(os) seu(s) servidor(es) DNS. Se você for um provedor o correto seria você ter ao menos dois servidores DNS em sua rede, uma Master e outro Slave. Neste tutoria foi explicar como criar os dois!

Vamos iniciar com a instalação do nosso servidor Master, lembrando que para isso estou usando a Distribuição linux Debian 8, com uma instalação que eu chamo de limpa, ou seja no processo de instalação foi instalado apenas o sistema básico.

Cenário para nosso exemplo

Domínio: remontti.net.br
Blocos que serei responsável IPv4 250.250.0.0/23 (255.255.254.0) / IPv6 2000:FFF::/32 minha rede ainda conta com alguns blocos de IPs inválidos bem como 192.168.0.0/16, 172.16.0.0/12 e 10.0.0.0/8 que por ventura também irei autorizar consultas recursivas.

Tenho ainda meus servidores, quais ficarão configurado com os seguintes IPs IPv4/IPv6:
ROUTER GW -> 250.250.0.1 / 2000:fff:250:250:0::1
SERV DNS MASTER -> 250.250.0.2 / 2000:fff:250:250:0::2 (ns1)
SERV DNS SLAVE -> 250.250.0.3 / 2000:fff:250:250:0::3 (ns2)
SERV WEB + FTP -> 250.250.0.4 / 2000:fff:250:250:0::4 (www,ftp)
SERV ZABBIX -> 250.250.0.5 / 2000:fff:250:250:0::5 (zabbix)
SERV E-MAILS -> 250.250.0.6 / 2000:fff:250:250:0::6 (mail,imap,pop,smtp)
SERV HOSPEDAGEM * -> 250.250.0.7 / 2000:fff:250:250:0::7 (ns3)

* Inclui outros servidor para demonstrar como irei apontar para eles alguns nos domínios que seremos autoritarivo, lá na frente você vai compreender melhor.

INSTALAÇÃO SERVIDOR DNS MASTER (NS1)

# apt install bind9 dnsutils

Pronto! Nosso servidor recursivo já está funcionando, porém ele está aberto, e isso não é nada legal! Você não vai querer qualquer um utilizando seu servidor para resolver nomes. Vamos resolver isso bem simples.

Antes de mais nada vamos alterar o DNS do nosso servidor fazendo com que ele consulte em si próprio. Essa alteração deve ser feita no arquivo /etc/resolv.conf, eu irei utilizar o editor vim, mas fique a vontade de usar o seu preferido.

# vim /etc/resolv.conf

Altere para:

nameserver 127.0.0.1 search localhost

Feito isso você pode fazer um ping para um domínio e ver se ele resolveu o host.
Agora “mão na massa”! Vamos começar acessando nosso diretório de instalação do Bind que fica em /etc/bind/

# cd /etc/bind

As configurações principal é armazenado nos seguintes arquivos:
named.conf
named.conf.local
named.conf.options

Iremos alterar o named.conf.options, o próprio nome já se auto descreve o que vamos encontrar nele.
Sempre gosto de preservar o arquivo original, então vamos fazer um backup antes de modifica-lo.

# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bkp

Agora vamos as alterações, vou deixar explicado como comentários dentro no nosso arquivo.

# vim /etc/bind/named.conf.options

//ACLs (Access Control Lists) // ACL "permite-recursiva" vão ficar os hosts estão autorizados a fazer // consultas recursivas através deste servidor. acl permite-recursiva { 127.0.0.1; ::1; 250.250.0.0/23; 2000:fff::/32; 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8; }; options { // O diretório de trabalho do servidor // Quaisquer caminho não informado será tomado como padrão este directório directory "/var/cache/bind"; //Suporte a DNSSEC dnssec-enable yes; dnssec-validation auto; // Conforme RFC1035 // https://www.ietf.org/rfc/rfc1035.txt auth-nxdomain no; // Respondendo para IPv4 e IPv6 // Porta 53 estará aberta para ambos v4 e v6 listen-on { any; }; listen-on-v6 { any; }; // Limitação da taxa de resposta no sistema de nomes de domínio (DNS RRL) rate-limit { responses-per-second 15; window 5; }; // Melhora o desempenho do servidor, reduzindo os volumes de dados de saída. // O padrão BIND é (no) não. minimal-responses yes; // Especifica quais hosts estão autorizados a fazer consultas // recursivas através deste servidor. // Aqui que você vai informar os IPs da sua rede que você irá permitir consultar os DNS. allow-recursion { permite-recursiva; }; // Endereço estão autorizados a emitir consultas ao cache local, // sem acesso ao cache local as consultas recursivas são inúteis. allow-query-cache { permite-recursiva; }; // Especifica quais hosts estão autorizados a fazer perguntas DNS comuns. allow-query { any; }; // Especifica quais hosts estão autorizados a receber transferências de zona a partir do servidor. // Seu servidor Secundário, no nosso caso vou deixar então o ips dos dois servidores v4 e v6. allow-transfer { 250.250.0.3; 2000:fff:250:250:0::3; }; also-notify { 250.250.0.3; 2000:fff:250:250:0::3; }; // Esta opção faz com que o servidor slave ao fazer a transferência de zonas // mastes deste servidor nao compile o arquivo, assim no outro servidor o arquivo // da zona terá um texto "puro" masterfile-format text; // Para evitar que vase a versao do Bind, definimos um nome version "RR DNS Server"; };

Pronto nosso servidor Recursivo já está funcionando! Caso você não queria seu servidor sendo recursivo apenas altere allow-recursion e allow-query-cache para apenas localhost. Esta também será feita no servidor Slave (ns2).

Agora precisamos apenas dar um restart no bind para que as opções tenham efeito.

# /etc/init.d/bind9 restart

IP REVERSO (NS1 Master)
Vamos a configuração do nosso reverso. Particularmente gosto de dentro da pasta /etc/bind/ criar alguns diretórios quais separo as configurações.

# mkdir /etc/bind/reverse

Somos “donos” do bloco 250.250.0.0/23 que representam dois blocos /24 (250.250.0.0/24 + 250.250.1.0/24). Para facilitar vou fazer a configuração em dois arquivos separando cada bloco /24. É possível colocar tudo em um mesmo arquivo? Sim, mais eu particularmente não gosto
Vamos ter que dar nomes a todos nossos 512 IPs representado pelo nosso /23, no exemplo não vou criar todos, vou por um […] q representa que você deve completar com os demais ips, também vou usar como parado o nome para os IP o próprio endereço IP porém com um abreviação “rev-250-250-X-Y” com exceção nossos servidor já conhecido, ns1, ns2, mail … Vale lembrar que todos esses nomes de hosts serão configurado exatamente posterior na configuração sobre o domínio. Para que quando vc consulte o nome de um IP ele resolva em um nome e ao você consultar este nome ele resolva em um IP, por isso o nome de reverso!
Primeiro arquivo 250.250.0.rev

# vim /etc/bind/reverse/250.250.0.rev

Preste atenção em 0.250.250.in-addr.arpa. essa linha (são duas no arquivo a baixo) ela deve ser alterada com o inverso do seu IP, se seu bloco fosse ex.: 100.200.300.0/24 ficaria 300.200.100.in-addr.arpa. fica ligado
Outra coisa importante é o serial (2017010100) ele esta presente em todos os arquivos e deve ser alterado toda vez que for alterado. Ele segue o padrão [ano-mes-dia-sequencial].

$ORIGIN . $TTL 86400 ; 1 day 0.250.250.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 0.250.250.in-addr.arpa. 0 PTR 250-250-0-000.remontti.net.br. 1 PTR router-gw.remontti.net.br. 2 PTR ns1.remontti.net.br. 3 PTR ns2.remontti.net.br. 4 PTR www.remontti.net.br. 5 PTR zabbix.remontti.net.br. 6 PTR mail.remontti.net.br. 7 PTR ns3.remontti.net.br. 8 PTR 250-250-0-8.remontti.net.br. 9 PTR 250-250-0-9.remontti.net.br. 10 PTR 250-250-0-10.remontti.net.br. 11 PTR 250-250-0-11.remontti.net.br. ; ; [...] complete com todos os IPs/Nomes ; 254 PTR 250-250-0-254.remontti.net.br. 255 PTR 250-250-0-255.remontti.net.br. ; fim

Segundo arquivo 250.250.1.rev (observe 1.250.250.in-addr.arpa)

# vim /etc/bind/reverse/250.250.1.rev

$ORIGIN . $TTL 86400 ; 1 day 1.250.250.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 1.250.250.in-addr.arpa. 0 PTR 250-250-1-0.remontti.net.br. 1 PTR 250-250-1-1.remontti.net.br. 2 PTR 250-250-1-2.remontti.net.br. 3 PTR 250-250-1-3.remontti.net.br. 4 PTR 250-250-1-4.remontti.net.br. 5 PTR 250-250-1-5.remontti.net.br. 6 PTR 250-250-1-6.remontti.net.br. 7 PTR 250-250-1-7.remontti.net.br. 8 PTR 250-250-1-8.remontti.net.br. 9 PTR 250-250-1-9.remontti.net.br. 10 PTR 250-250-1-10.remontti.net.br. ; ; [...] complete com todos os IPs/Nomes ; 253 PTR 250-250-1-253.remontti.net.br. 254 PTR 250-250-1-254.remontti.net.br. 255 PTR 250-250-1-255.remontti.net.br. ; fim

Se possui bloco maiores e diferente, e com um padrão de nomes iguais o modo GENERATE ajuda muito, ficando da seguinte forma:

;;;;;;;;;;;;;;;;;;;;;;; ;;;; 250.250.0.rev ;;;; ;;;;;;;;;;;;;;;;;;;;;;; $ORIGIN . $TTL 86400 ; 1 day 0.250.250.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 0.250.250.in-addr.arpa. 0 PTR 250-250-0-000.remontti.net.br. 1 PTR router-gw.remontti.net.br. 2 PTR ns1.remontti.net.br. 3 PTR ns2.remontti.net.br. 4 PTR www.remontti.net.br. 5 PTR zabbix.remontti.net.br. 6 PTR mail.remontti.net.br. 7 PTR ns3.remontti.net.br. ; Os gerados auto $ORIGIN 0.250.250.in-addr.arpa. $GENERATE 8-255 $ PTR 250-250-0-$.remontti.net.br. ;;;;;;;;;;;;;;;;;;;;;;; ;;;; 250.250.1.rev ;;;; ;;;;;;;;;;;;;;;;;;;;;;; $ORIGIN . $TTL 86400 ; 1 day 1.250.250.in-addr.arpa IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. $ORIGIN 1.250.250.in-addr.arpa. $GENERATE 0-255 $ PTR 250-250-1-$.remontti.net.br.

Barabada não!?

Não podemos esquecer nosso reverso do IPv6!

Terceiro arquivo 2000.fff.rev

# vim /etc/bind/reverse/2000.fff.rev

$TTL 86400 ; 1 day @ IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR router-gw.remontti.net.br. 2.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR ns1.remontti.net.br. 3.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR ns2.remontti.net.br. 4.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR www.remontti.net.br. 5.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR zabbix.remontti.net.br. 6.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR mail.remontti.net.br. 7.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. IN PTR ns3.remontti.net.br. ; ; OU Mais compacto. ; ;$ORIGIN 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.5.2.0.0.5.2.0.f.f.f.0.0.0.0.2.ip6.arpa. ;1 PTR router-gw.remontti.net.br. ;2 PTR ns1.remontti.net.br. ;3 PTR ns2.remontti.net.br. ;4 PTR www.remontti.net.br. ;5 PTR zabbix.remontti.net.br. ;6 PTR mail.remontti.net.br. ;7 PTR ns3.remontti.net.br.

Este site http://rdns6.com/hostRecord pode ser bem útil para gerar seus PTRs.
Para finalizar acertando as permissões.

# chown bind. -R /etc/bind/reverse

Precisamos informar nossas zones “lincar nossos arquivos” para serem interpretado pelo bind, esse arquivo é o named.conf.local, como estamos configurando nosso servidor master essas zonas serão do tipo (type) master e para informar o arquivo onde está a configuração da zone usamos o parâmetro file /caminho-completo/arquivo

# vim /etc/bind/named.conf.local

Adicione nele:

// Reverso IPv4 zone "0.250.250.in-addr.arpa" { type master; file "/etc/bind/reverse/250.250.0.rev"; }; zone "1.250.250.in-addr.arpa" { type master; file "/etc/bind/reverse/250.250.1.rev"; }; // Reverso IPv6 zone "f.f.f.0.0.0.0.2.ip6.arpa" { type master; file "/etc/bind/reverse/2000.fff.rev"; };

Restart o serviço.

# /etc/init.d/bind9 restart

Vamos ver se ele já está resolvendo nosso IP então!

# dig -x 250.250.0.2 @localhost # dig -x 2000:fff:250:250:0::2 @localhost

Vamos configurar agora nosso domínio autoritativo remontti.net.br.
Para ficar organizado vou criar a pasta master também.

# mkdir /etc/bind/master # chown bind. -R /etc/bind/master

Criamos então nosso arquivo remontti.net.br.hosts na pasta master.

# vim /etc/bind/master/remontti.net.br.hosts

$ORIGIN . $TTL 86400 ; 1 day remontti.net.br IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. A 250.250.0.4 AAAA 2000:fff:250:250:0::4 MX 20 mail.remontti.net.br. TXT "v=spf1 a mx -all" SPF "v=spf1 a mx -all" $ORIGIN remontti.net.br. $TTL 10800 ; 3 hours rev-250-250-0-000 A 250.250.0.0 router-gw A 250.250.0.1 AAAA 2000:fff:250:250:0::1 ns1 A 250.250.0.2 AAAA 2000:fff:250:250:0::2 hostmaster A 250.250.0.2 AAAA 2000:fff:250:250:0::2 ns2 A 250.250.0.3 AAAA 2000:fff:250:250:0::3 www A 250.250.0.4 AAAA 2000:fff:250:250:0::4 ipv6 AAAA 2000:fff:250:250:0::4 ftp A 250.250.0.4 AAAA 2000:fff:250:250:0::4 zabbix A 250.250.0.5 AAAA 2000:fff:250:250:0::5 mail A 250.250.0.6 AAAA 2000:fff:250:250:0::6 imap A 250.250.0.6 AAAA 2000:fff:250:250:0::6 pop A 250.250.0.6 AAAA 2000:fff:250:250:0::6 smtp A 250.250.0.6 AAAA 2000:fff:250:250:0::6 ns3 A 250.250.0.7 AAAA 2000:fff:250:250:0::7 250-250-0-8 A 250.250.0.8 250-250-0-9 A 250.250.0.9 250-250-0-10 A 250.250.0.10 ;[...] ;[...] ; complete com toda a faixa do seu bloco ; no nosso exemplo 250.250.0.0/23 ;[...] ;[...] 250-250-0-254 A 250.250.0.254 250-250-0-255 A 250.250.0.255 250-250-1-0 A 250.250.1.0 250-250-1-1 A 250.250.1.1 ;[...] ;[...] 250-250-1-254 A 250.250.1.254 250-250-1-255 A 250.250.1.255 ; final

Usando GENERATE:

$ORIGIN . $TTL 86400 ; 1 day remontti.net.br IN SOA ns1.remontti.net.br. hostmaster.remontti.net.br. ( 2017010100 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 2419200 ; expire (4 weeks) 300 ; minimum (5 minutes) ) NS ns1.remontti.net.br. NS ns2.remontti.net.br. A 250.250.0.4 AAAA 2000:fff:250:250:0::4 MX 20 mail.remontti.net.br. TXT "v=spf1 a mx -all" SPF "v=spf1 a mx -all" $ORIGIN remontti.net.br. $TTL 10800 ; 3 hours 250-250-0-0 A 250.250.0.0 router-gw A 250.250.0.1 AAAA 2000:fff:250:250:0::1 ns1 A 250.250.0.2 AAAA 2000:fff:250:250:0::2 hostmaster A 250.250.0.2 AAAA 2000:fff:250:250:0::2 ns2 A 250.250.0.3 AAAA 2000:fff:250:250:0::3 www A 250.250.0.4 AAAA 2000:fff:250:250:0::4 ipv6 AAAA 2000:fff:250:250:0::4 ftp A 250.250.0.4 AAAA 2000:fff:250:250:0::4 zabbix A 250.250.0.5 AAAA 2000:fff:250:250:0::5 mail A 250.250.0.6 AAAA 2000:fff:250:250:0::6 imap A 250.250.0.6 AAAA 2000:fff:250:250:0::6 pop A 250.250.0.6 AAAA 2000:fff:250:250:0::6 smtp A 250.250.0.6 AAAA 2000:fff:250:250:0::6 ns3 A 250.250.0.7 AAAA 2000:fff:250:250:0::7 ; Os gerados auto $ORIGIN remontti.net.br. $GENERATE 8-255 250-250-0-$ A 250.250.0.$ ; Os gerados auto $ORIGIN remontti.net.br. $GENERATE 8-255 250-250-1-$ A 250.250.1.$

Criamos uma zone para nosso dominio remontti.net.br em named.conf.local

# vim /etc/bind/named.conf.local

Adicione ao final do arquivo:

// Zonas Master zone "remontti.net.br" IN { type master; file "/etc/bind/master/remontti.net.br.hosts"; };

Restart o serviço.

# /etc/init.d/bind9 restart

Testamos agora para ver se está resolvendo nosso nomes

# dig ANY ns1.remontti.net.br @localhost # host remontti.net.br

Parabéns! Seu servidor master está pronto!

INSTALAÇÃO SERVIDOR DNS SLAVE (NS2)

Praticamente o processo se repete, com algumas alterações.

# apt install bind9 dnsutils

Alterar o DNS do servidor:

# vim /etc/resolv.conf

Altere para:

nameserver 127.0.0.1 search localhost

Criamos um backup do named.conf.options

# cp /etc/bind/named.conf.options /etc/bind/named.conf.options.bkp

No named.conf.options unica coisa que vai alterar é em allow-transfer, como esse servidor é slave, ele não não tem a necessidade de informar o IP de outro(s) servidores que slaves. Como dito antes, se você não quiser que seu servidor seja recursivo apenas altere allow-recursion e allow-query-cache para localhost.

# vim /etc/bind/named.conf.options

//ACLs (Access Control Lists) // ACL "permite-recursiva" vão ficar os hosts estão autorizados a fazer consultas // recursivas através deste servidor. acl permite-recursiva { 127.0.0.1; ::1; 250.250.0.0/23; 2000:fff::/32; 192.168.0.0/16; 172.16.0.0/12; 10.0.0.0/8; }; options { // O diretório de trabalho do servidor // Quaisquer caminho não informado será tomado como padrão este directório directory "/var/cache/bind"; //Suporte a DNSSEC dnssec-enable yes; dnssec-validation auto; // Conforme RFC1035 // https://www.ietf.org/rfc/rfc1035.txt auth-nxdomain no; // Respondendo para IPv4 e IPv6 // Porta 53 estará aberta para ambos v4 e v6 listen-on { any; }; listen-on-v6 { any; }; // Limitação da taxa de resposta no sistema de nomes de domínio (DNS RRL) rate-limit { responses-per-second 15; window 5; }; // Melhora o desempenho do servidor, reduzindo os volumes de dados de saída. // O padrão BIND é (no) não. minimal-responses yes; // Especifica quais hosts estão autorizados a fazer consultas recursivas através deste servidor. // Aqui que você vai informar os IPs da sua rede que você irá permitir consultar os DNS. allow-recursion { permite-recursiva; }; // Endereço estão autorizados a emitir consultas ao cache local, // sem acesso ao cache local as consultas recursivas são inúteis. allow-query-cache { permite-recursiva; }; // Especifica quais hosts estão autorizados a fazer perguntas DNS comuns. allow-query { any; }; // Especifica quais hosts estão autorizados a receber transferências de zona a partir do servidor. // Como esse já é o secundário, vamos deixar como none. allow-transfer { none; }; // Esta opção faz com que o servidor slave ao fazer a transferência de zonas // mastes deste servidor nao compile o arquivo, assim no outro servidor o // arquivo da zona tera um texto "puro" masterfile-format text; // Para evitar que vase a versao do Bind, definimos um nome version "RR DNS Server"; };

IP REVERSO (SLAVE)

Para organizar criamos duas pastas slave-rev para nossos reveros e slave para nossos dominios slave e alteramos as permissões para nosso user bind poder escrever nelas.

# mkdir /etc/bind/slave-rev # mkdir /etc/bind/slave # chown bind. -R /etc/bind/slave*

Não é mais necessário criar os arquivos pois esses serão transferidos do nosso servidor master. Basta informarmos em nossas zonas do arquivo named.conf.local, que serão do tipo (slave) e apontaremos o IP do master para que nosso servidor slave faça a transferência do master.

# vim /etc/bind/named.conf.local

Adicione nele:

// Reverso IPv4 zone "0.250.250.in-addr.arpa" { type slave; file "/etc/bind/slave-rev/250.250.0.rev"; masters { 250.250.0.2; }; allow-notify { 250.250.0.2; }; }; zone "1.250.250.in-addr.arpa" { type slave; file "/etc/bind/slave-rev/250.250.1.rev"; masters { 250.250.0.2; }; allow-notify { 250.250.0.2; }; }; // Reverso IPv6 zone "f.f.f.0.0.0.0.2.ip6.arpa" { type slave; file "/etc/bind/slave-rev/2000.fff.rev"; masters { 2000:fff:250:250:0::2; }; allow-notify { 2000:fff:250:250:0::2; }; }; // Zonas Slave zone "remontti.net.br" IN { type slave; file "/etc/bind/slave/remontti.net.br.hosts"; masters { 250.250.0.2; }; allow-notify { 250.250.0.2; }; };

Restart o serviço e veja se dentro dos diretórios slave e slave-rev os arquivos foram criados.

# /etc/init.d/bind9 restart # ls -lh slave*

Vamos aos testes.

# dig -x 250.250.0.4 @localhost # dig ANY ns1.remontti.net.br @localhost

No nosso cenário temos um servidor de hospedagem nesse terei dois domínios, então também quero que meu servidor slave responda por eles. Para isso basta nos adicionar no nosso arquivo named.conf.local:

# vim /etc/bind/named.conf.local

// Zonas Slave do servidor de Hospedagem zone "meudominio1.net.br" { type slave; file "/etc/bind/slave/meudominio1.com.br.hosts"; masters { 250.250.0.7; }; allow-notify { 250.250.0.7; }; }; zone "meudominio2.net.br" { type slave; file "/etc/bind/slave/meudominio2.com.br.hosts"; masters { 250.250.0.7; }; allow-notify { 250.250.0.7; }; };

Restarte o bind e não esqueça que é necessário que seu servidor de hospedagem tenha o IP do seu servidor slave para poder fazer os allow-transfer.

Não esqueça também de alterar nas configurações da sua placa de rede dos seus servidores (dns-nameservers e dns-search).

# # /etc/network/interfaces # auto eth0 iface eth0 inet static address 186.250.168.14 netmask 255.255.255.224 network 186.250.168.0 broadcast 186.250.168.31 gateway 186.250.168.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 127.0.0.1 dns-search localhost iface eth0 inet6 static pre-up modprobe ipv6 address 2000:fff:250:250:0::2 netmask 64 gateway 2000:fff:250:250:0::1

DICA DE SEGURANÇA:

As consultas recursivas são fechada para outros IPs que não esteja na sua ACL permetidos, porém esses IPs tem resposta com negação. Para visualizar esses logs faça o seguinte:

# vim /etc/bind/named.conf

// This is the primary configuration file for the BIND DNS server named. // // Please read /usr/share/doc/bind9/README.Debian.gz for information on the // structure of BIND configuration files in Debian, *BEFORE* you customize // this configuration file. // // If you are just adding zones, please do that in /etc/bind/named.conf.local logging { channel security_file { file "/var/log/named/security.log" versions 3 size 30m; severity dynamic; print-time yes; }; category security { security_file; }; }; include "/etc/bind/named.conf.options"; include "/etc/bind/named.conf.local"; include "/etc/bind/named.conf.default-zones";

Agora crie o diretório que ficarão os logs e de permissão:

# mkdir /var/log/named/ # chown bind. /var/log/named/ # /etc/init.d/bind9 restart

Agora quando alguem não autorizado tentar usar seu DNS sera gerado um log.

Agora vamos a instalação do fail2ban para coloca ordem na casa.

# apt install fail2ban

Vamos habilitar o modulo para começar a proteção, vale lembrar que o modulo SSH já vem ativo por padrão.

Debian 9

#vim /etc/fail2ban/jail.d/defaults-debian.conf

[sshd] enabled = true [named-refused] enabled = true

Para debian 8 altere as linhas no arquivo /etc/fail2ban/jail.conf.

Se você gosta da coisa “violenta” como eu mude o padrão para DROP!

# vim /etc/fail2ban/action.d/iptables-multiport.conf

Procure:

actionban = -I f2b- 1 -s -j # Altere para: actionban = iptables -A INPUT -s -j DROP actionunban = -D f2b- -s -j # Altere para: actionunban = iptables -D INPUT -s -j DROP

Agora reinicie o serviço

# /etc/init.d/fail2ban restart

Os IPs que tiverem tentando usar seu DNS serão avisado 5x depois irão tomar um DROP
Para ver as regras do iptables use:

# iptables -nL

DICA ROOT SERVERS E KEYs ATUALIZADO:
Atualize os root servers ele é a alma do seu servidor. Faça isso tanto nos Master quanto no Slave.

# mv /etc/bind/db.root /etc/bind/db.root.`date +%Y%m%d` # wget https://www.internic.net/domain/named.root -O /etc/bind/db.root --no-check-certificate # mv /etc/bind/bind.keys /etc/bind/bind.keys.`date +%Y%m%d` # wget https://ftp.isc.org/isc/bind9/keys/9.11/bind.keys.v9_11 -O /etc/bind/bind.keys --no-check-certificate # /etc/init.d/bind9 restart

Dica de leitura:
https://pt.wikipedia.org/wiki/Servidor-raiz

NÃO TEM IPv6 CONFIGURADO?:
Se seu servidor não tiver IPv6 configurado recomendo que desative o ipv6 no bind (o que é triste) mas se não tem…

# vim /etc/default/bind9

em OPTIONS=”-u bind” adicione um -4 OPTIONS=”-4 -u bind”

# vim /etc/bind/named.conf.options

listen-on-v6 { any; };
#para:
listen-on-v6 { none; };

FIM!

Gostou? Deixe seu comentário ficarei feliz em saber que lhe ajudei, e se tiver qualquer pergunta deixe-a também, se preferir acesse o menu Consultoria lá você encontra meios de falar comigo!

Se quiser fazer uma doação para o café ficarei muito feliz pelo seu reconhecimento!

Abraço!

Fonte: https://ftp.isc.org/isc/bind/9.9.5/doc/arm/
http://www.zytrax.com/books/dns/ch7/statements.html

EXEMPLOS EXTRAS:
Delegando um bloco menor ex /26 para outros servidor.

Entenda melhor. Assista: https://www.youtube.com/watch?v=VIa1dHtmQ4U (~20min)

Base: rfc2317:

$ORIGIN 2.0.192.in-addr.arpa. @ IN SOA my-ns.my.domain. hostmaster.my.domain. (...) ;... ; <<0-127>> /25 0/25 NS ns.A.domain. 0/25 NS some.other.name.server. ; 1 CNAME 1.0/25.2.0.192.in-addr.arpa. 2 CNAME 2.0/25.2.0.192.in-addr.arpa. 3 CNAME 3.0/25.2.0.192.in-addr.arpa. ; ; <<128-191>> /26 128/26 NS ns.B.domain. 128/26 NS some.other.name.server.too. ; 129 CNAME 129.128/26.2.0.192.in-addr.arpa. 130 CNAME 130.128/26.2.0.192.in-addr.arpa. 131 CNAME 131.128/26.2.0.192.in-addr.arpa. ; ; <<192-255>> /26 192/26 NS ns.C.domain. 192/26 NS some.other.third.name.server. ; 193 CNAME 193.192/26.2.0.192.in-addr.arpa. 194 CNAME 194.192/26.2.0.192.in-addr.arpa. 195 CNAME 195.192/26.2.0.192.in-addr.arpa. $ORIGIN 0/25.2.0.192.in-addr.arpa. @ IN SOA ns.A.domain. hostmaster.A.domain. (...) @ NS ns.A.domain. @ NS some.other.name.server. ; 1 PTR host1.A.domain. 2 PTR host2.A.domain. 3 PTR host3.A.domain.

O post Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6) + Fail2ban (Debian8/9) [Descontinuado] apareceu primeiro em Remontti.

Montando um servidor de E-mail Completo com Postfix+Dovecot+PostfixAdmin+SpamAssassin+SPF+RoundCubeMail+IPv4/IPv6 (Desatualizado)

Rudimar Remontti — Mon, 30 Jan 2017 20:35:21 +0000

Um novo tutorial mais atualizado em: https://blog.remontti.com.br/3744

Neste tutorial vou ensinar como configurar um servidor de e-mail com domínios virtuais com integração dos usuários/domínios no banco de dados MySQL.
– Postfix para nosso MTA.
– Dovecot como servidor Imap e Pop.
– Postfixadmin para o gerenciamento de contas de Emails e domínios
– Spamassassin, Clamav e o Amavis para controle de Anti-Spam e Anti-Vírus
– RoundCubeMail para Webmail

OBS: Não vou entrar em muitos detalhes, pois o tuto já ficou bem longo. E desculpe pelos erros de portuga, mas vou fazendo na corrida.

CENÁRIOS

IP: 250.250.0.6 / 2000:fff:250:250:0::6
Reverso sobre os IPS 250.250.0.6 / 2000:fff:250:250:0::6: mail.dominiorev.com.br
Domínios virtuais: remontti.com.br / dominiorev.com.br / você pode ter diversos

REQUISITOS

1 – Ter configurado DNS Autoritativo e Reverso sobre seus IPS. (Não necessariamente no mesmo servidor)
2 – Debian 8 Jessie recomendo uma instalação limpa do Debian
3 – Serviço Web Rodando
4 – Servidor Atualizado: # apt update && apt upgrade

AJUSTES

Ajuste o nome do servidor alterando alguns parâmetros do sistema.

# vim /etc/hosts

127.0.0.1 localhost 250.250.250.6 mail.dominiorev.com.br mail {...}

# vim /etc/hostname

mail

Configure sua interface de rede. Vou deixar um modelo, onde o bloco de IPv4 é um /28 (255.255.255.240) e um /64 para IPv6. Estou usando IPs com base no cenário apresentado no tutorial [Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6)]

# vim /etc/network/interfaces

auto eth0 iface eth0 inet static address 250.250.0.6 netmask 255.255.255.240 network 250.250.0.0 broadcast 250.250.0.15 gateway 250.250.0.1 # dns-* options are implemented by the resolvconf package, if installed dns-nameservers 250.250.0.2 dns-search ns1.dominiorev.com.br #v6 iface eth0 inet6 static pre-up modprobe ipv6 address 2000:fff:250:250:0::6 netmask 64 gateway 2000:fff:250:250:0::1

Reinicie seu servidor

# reboot

OBS: Lembrando que a rota default é entregue via route advertise, então se você não estiver entregando desta forma será necessários criar uma rota estática, no Debian você pode adicionar o seguinte parâmetro em /etc/rc.local ( ip -6 route add ::/0 via 2000:fff:250:250:0::1 ) assim toda vez que o sistema inicializar sua rota default (gateway) IPv6 é configurada é configurado.

POSTFIX / DOVECOTE

O Postfix é um agente de transferência de emails (MTA = Message Transfer Agent), um software livre para envio e entrega de emails. Rápido e fácil de administrar, muito utilizado em servidores UNIX.
Algumas vantagens:
– Suporte a Ipv6
– Suporte a MIME
– Autenticação SASL
– Canal seguro utilizando TLS
– Suporte a banco de dados(MySQL,PostgreSQL,LDAP,entre outros)
– Verificação a listas RBL
– Extenso suporte a filtros
– Suporte a expressão-regular
– Verificação de cabeçalho
– Verificação no corpo da mensagem
– Suporte a Greylisting e SPF através de plugins.

Dovecot é um servidor de IMAP e POP3 open source para sistemas Linux e UNIX, escrito primariamente com segurança em mente, tem o objetivo primário de ser um servidor de email leve, rápido e de fácil configuração. Dovecot suporta mbox, Maildir e seu próprio formato nativo de alta performance, Dbox. É 100% compatível com clientes de emails acessando as caixas de correio diretamente. Também inclui um agente de entrega de emails com suporte opcional a filtros Sieve, o que acho muito legal!

Vamos a instalação, não esqueça de antes ter instalado Serviço Web

# apt update && apt upgrade # apt install dovecot-common dovecot-mysql dovecot-imapd dovecot-pop3d dovecot-lmtpd postfix postfix-mysql openssl php5-imap dovecot-sieve dovecot-managesieved

Responda:
Site da Internet

Se seu DNS reverso estiver ok ele virá já com o domínio reverso de seu IP, mas isso não é necessariamente ser o nome do ip rever, mas eu recomendo que tenha confurado o reverso para o seu servidor de e-mail.
mail.dominiorev.com.br

Verifique o arquivo /etc/mailname e sertifique-se que seja seu domínio.

# vim /etc/mailname

mail.dominiorev.com.br

Restarte o apache pois instalamos o pacote php5-imap

# /etc/init.d/apache2 restart

Adicione um e-mail para seu usuário root do Linux

# vim /etc/aliases

root: postmaster@dominiorev.com.br

# newaliases

POSTFIXADMIN

Instalaremos nosso PostfixAdmin para gerenciar nossos dominios e e-mail.
Inicialmente vamos criar nosso banco de dados MySQL.
Não esqueça de alterar a SENHA.

# mysql -uroot -p -e "CREATE DATABASE postfix; GRANT ALL PRIVILEGES ON postfix.* TO 'postfix'@'localhost' IDENTIFIED BY 'SENHA';"

Será solicitado a senha do usuários root do mysql.

Vamos baixar o PostfixAdmin, hoje (Jan 2017) o projeto está em sua versão 3.0 https://sourceforge.net/projects/postfixadmin/. Vou baixa-lo no diretório padrão do Apache2, faça de acordo com o seu cenário. Após vou extrai-lo, renomeá-lo e setar as permissões necessárias.

# cd /var/www/html/ # wget --no-check-certificate --content-disposition http://sourceforge.net/projects/postfixadmin/files/latest/download?source=files # tar xfvz postfixadmin-*.tar.gz # mv postfixadmin*/ postfixadmin # chown www-data:www-data -R postfixadmin # cd postfixadmin # cp config.inc.php config.inc.php.orig

Editamos o config.inc.php para fazer algumas alterações e conectar com nosso banco de dados.

# vim config.inc.php

Procure pelas seguintes linhas e altere conforme a baixo.

$CONF['configured'] = true; $CONF['default_language'] = 'pt-br'; $CONF['database_type'] = 'mysql'; $CONF['database_host'] = 'localhost'; $CONF['database_user'] = 'postfix'; $CONF['database_password'] = 'SENHA'; $CONF['database_name'] = 'postfix'; # Defina o tipo de criptografia para as senhas salvas no BD. $CONF['encrypt'] = 'md5';

# cp config.inc.php config.local.php

Como existe varias alterações “change-this-to-your.domain.tld” vou usar o comando sed para alterar todas de uma única vez. Não esqueça de substituir pelo seu dominio.

# sed -i 's/change-this-to-your.domain.tld/dominiorev.com.br/' config.inc.php

Acesse:
http://SEU-DOMINO/postfixadmin/setup.php

No primeiro acesso suas tabelas já serão criadas no seu bd, você deve ter todas as dependências OK.

Se deparar com o erro: “ERROR: the templates_c directory doesn’t exist or isn’t writeable for the webserver” crie o diretório templates_c com # mkdir templates_c && chown www-data. templates_c

Bem no final temos: Change setup password
Preencha os campos Setup password com uma senha e repita (Essa senha será necessária pra criar administradores do PostfixAdmin) e clique em Generate password hash

Voce vai receber uma mensagem parecida com essa:
If you want to use the password you entered as setup password, edit config.inc.php or config.local.php and set
$CONF[‘setup_password’] = ‘ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5’;

Esta senha criptografada, será necessários informar no arquivo config.inc.php antes de prosseguir. Então vamos a edição.

# vim config.inc.php

Localize:

$CONF['setup_password'] = 'changeme';

Altere para:

$CONF['setup_password'] = 'ca06e6cd4df066ac8e7999616a773b00:51508f16ca5ef631a5ed23ccc44160d934375ec5';

Salve se arquivo e volte para seu navegador. Em Create superadmin account vamos criar nosso usuário administrador do PostfixAdmin.

Nos campos:
Setup password = Informe a senha q você gerou no passo anterior.
Administrador: = um endereço email que será o seu login (postmaster@dominiorev.com.br)

Clique em Criar administrador

Deve retornar a mensagem:

Administrador criado! (postmaster@dominiorev.com.br) You are done with your basic setup. You can now login to PostfixAdmin using the account you just created.

Agora por segurança vamos acessar nosso diretório do postfixadmin (/var/www/html/postfixadmin) e renomear o arquivo setup.php

# mv setup.php QLQRNOME_setup.php

Acesse: http://SEU-DOMINO/postfixadmin/

Já é possível acessa-lo com nosso usuários administrador, e adicionar seus domínios e contas de e-mails.
Domínios => Criar Domínio
Virtual => Criar conta de Email

Dado continuidade criaremos nosso usuários vmail que será o “cara” responsável pelo trabalho.

# groupadd -g 5000 vmail # useradd -g vmail -u 5000 vmail -d /var/vmail # mkdir /var/vmail # chown vmail:vmail /var/vmail

Edite o arquivo /etc/postfix/main.cf

# cp /etc/postfix/main.cf /etc/postfix/main.cf.orig # vim /etc/postfix/main.cf

Altere e adicione como descrito abaixo.

#--------ALTERE--------# smtpd_banner = $myhostname myorigin = $myhostname mydestination = localhost #--------COMENTE--------# #relayhost = #mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 #mailbox_size_limit = 0 #--------ADD AO FINAL--------# # Authentification smtpd_sasl_type=dovecot smtpd_sasl_path=private/auth smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = yes smtpd_sender_login_maps = proxy:mysql:/etc/postfix/mysql_sender_login_maps.cf broken_sasl_auth_clients = yes # Virtual mailboxes local_transport = virtual virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_mailbox_base = /var/vmail/ virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 104 virtual_transport = virtual #virtual_transport = dovecot ????????/ ql ? virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 dovecot_destination_recipient_limit = 1 ###### EXTRAS COMENTADO ####### # Tamanho maximo do anexo (21 MB) # No webmail php deve permitir upar esse tamanho message_size_limit = 22020096 # Um pouco mais de protecao contra spam disable_vrfy_command = yes # A RFC 821 basicamente exige que os enderecos sejam envelopados ou contidos por <>. # Seguir esta regra faz com que se use essa notacao na sessao SMTP. Isso ajuda a barrar alguns Mailers. strict_rfc821_envelopes = yes # Caixa postal inexistente devolver aosender o erro 500, # desta forma daqui alguns minutos voce nao precisara processar novamente o mesmo spam. unknown_local_recipient_reject_code = 500 # E rejeitar com erro 554 enderecos desconhecidos unknown_address_reject_code = 554 # Tambem com o erro 554 podemos rejeitar as conexoes que venham de hostnames desconhecidos unknown_hostname_reject_code = 554 # Os cliente desconhecidos tambem rejeitaremos com o mesmo erro unknown_client_reject_code = 554 # Vamos definir que o servidores remotos podem fazer no maximo 10 # conexõsimultaneas (e um valor que trabalho, editem conforme a necessidade). # Um spammer faz mais de 20 smtp_destination_recipient_limit = 10 # Vamos definir que a conexao so pode cometer 3 erros de codigos 500 # (erros definitivos), apos isto sera desconectado smtpd_hard_error_limit = 3 # Para erros de codigo 400 (erros temporarios), podemos desconecta-los na primeira smtpd_soft_error_limit = 1 # Bom, claro que o spammer tambem pode ser desconectado e depois se reconectar, # entao vamos nos prevenir destes espertinhos definindo quantas conexoes ele pode fazer por minuto. smtpd_client_connection_count_limit = 10 # Nestas conexoes vamos limitar quantas mensagens ele pode mandar por minuto, # no meu caso uso 25. Se algum usuario seu reclamar deste limite, # classifique-o como ninja ou na pior hipotese, um mail maniaco. smtpd_client_message_rate_limit = 25 # Deixar um spammer maluco e faze-lo perder tempo. Dificilmente um servidor conectado # ao seu servidor vai cometer erros, os spammer cometem muitos erros, pois eles ficam tentando. # Para irrita-los e quem sabe um dia desistirem de mim, eu travo eles dentro do meu servidor a cada erro. # No meu caso, a cada erro eu os travo por 20 segundos. Ate que diminuiu o numero de spammers no meu servidor, # devo estar na blacklist deles.rs smtpd_error_sleep_time = 20 # Para este tipo de problema, os spammers podem resetar os erros deles. # Para evitar que eles facam isto e sejam desconetados, podemos dizer se eles podem ou nao fazer isto. # Como colher de cha, vamos deixar fazer isto apenas uma vez (ate porque servidores as vezes usam este comando). # Permitir a maquina remota dar o comando RSET apenas 1 vez. smtpd_junk_command_limit = 1 # Defina tambem o numero maximo de destinatarios em uma unica mensagem. # Utilize o numero que melhor lhe convir, entreviste pessoas chaves se necessarios. smtpd_recipient_limit = 50 # Os spammers nao se preocupam muito com isto, # entao uma otima pratica para bloquear spams eh # tornar a identificacao por HELO/EHLO obrigatoria. smtpd_helo_required = yes # Um pouco mais sobre o HELO/EHLO eh definir um tempo # limite para o servidor fazer a identificacao, um # servidor serio nao tem porque ficar enrolando. # Vai diminuindo o tempo e observando os resultados. # Vamos comecar com 60 segundos smtp_helo_timeout = 60s smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, reject_unknown_helo_hostname, reject_unauth_pipelining smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unlisted_sender, reject_authenticated_sender_login_mismatch, permit_sasl_authenticated, permit_mynetworks smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination, reject_unknown_reverse_client_hostname, reject_invalid_hostname, reject_non_fqdn_hostname, reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_unknown_recipient_domain, reject_unauth_pipelining, reject_rbl_client zen.spamhaus.org, reject_rbl_client bl.spamcop.net, reject_rbl_client dnsbl.sorbs.net, permit

OBS RBLs: zen.spamhaus.org, bl.spamcop.net, dnsbl.sorbs.net
Caso não queira utilizar remova os campos reject_rbl_client ou se desejar adicionar outras…

Mais informações você encontra em:
http://www.postfix.org/VIRTUAL_README.html#virtual_mailbox

Precisamos criar 4 arquivos que farão a conexão com o BD, pra facilitar criamos nossa variável MINHASENHA

Vamos criar uma variável com o valor da senha que foi criada para o usuarios postfix do mysql, assim ira facilitar.

# MINHASENHA='sua-senha-do-usuario-postifix-do-mysql'

Não use $ ou # em sua senha

mysql_virtual_alias_maps.cf

# echo " hosts = localhost user = postfix password = $MINHASENHA dbname = postfix query = SELECT goto FROM alias WHERE address='%s' AND active = '1' " >> /etc/postfix/mysql_virtual_alias_maps.cf

mysql_virtual_mailbox_maps.cf

# echo " hosts = localhost user = postfix password = $MINHASENHA dbname = postfix query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1' " >> /etc/postfix/mysql_virtual_mailbox_maps.cf

mysql_sender_login_maps.cf

# echo " hosts = localhost user = postfix password = $MINHASENHA dbname = postfix query = SELECT username AS allowedUser FROM mailbox WHERE username='%s' AND active = 1 UNION SELECT goto FROM alias WHERE address='%s' AND active = '1' " >> /etc/postfix/mysql_sender_login_maps.cf

mysql_virtual_domains_maps.cf

# echo " hosts = localhost user = postfix password = $MINHASENHA dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' AND active = '1' " >> /etc/postfix/mysql_virtual_domains_maps.cf

Acesse o diretório de instalação e verifique se os arquivos com as iniciais mysql_* foram criados. Depois altere as permissões e grupos.

# cd /etc/postfix # ls -lh mysql_* # chmod o-rwx,g+r mysql_* # chgrp postfix mysql_*

Vamos as alterações no master.cf.

Faça um backup do arquivo original antes e adicione no final:

# cp /etc/postfix/master.cf /etc/postfix/master.cf.orig # vim /etc/postfix/master.cf

Adicione ao final:

# Dovecot dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -d ${recipient}

Localize as seguintes linhas e descomente-as:

submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_sasl_auth_enable=yes smtps inet n - - - - smtpd -o smtpd_tls_wrappermode=yes

Em altere os valores de smtpd_client_restrictions, os originais são diferentes. (veja na imagem abaixo como fica)

-o smtpd_client_restrictions=permit_sasl_authenticated,reject [...] -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Configurando o Dovecot

Vou usar o comando sed para fazer as alterações necessárias em vez de ficarmos abrindo arquivo e editando.

# cp /etc/dovecot/dovecot.conf /etc/dovecot/dovecot.conf.orig # sed -i -e 's/#listen/listen/' /etc/dovecot/dovecot.conf # cp /etc/dovecot/dovecot-sql.conf.ext /etc/dovecot/dovecot-sql.conf.ext.orig # sed -i -e 's/#driver =/driver = mysql/' /etc/dovecot/dovecot-sql.conf.ext

Se voce ainda não reiniciou a maquina sua variavel $MINHASENHA ainda está carregando sua senha, voce pode executar # echo $MINHASENHA ve se retorna ela. se não repita o comando

# MINHASENHA='sua-senha-do-usuario-postifix-do-mysql' # sed -i -e "s/#connect =/connect = host=localhost dbname=postfix user=postfix password=$MINHASENHA/" /etc/dovecot/dovecot-sql.conf.ext # sed -i -e 's/#default_pass_scheme/default_pass_scheme/' /etc/dovecot/dovecot-sql.conf.ext

Vamos inserir algumas linhas ao final de dovecot-sql.conf.ext.

# echo "" >> /etc/dovecot/dovecot-sql.conf.ext # echo "user_query = SELECT concat('/var/vmail/', maildir) as home, concat('maildir:/var/vmail/', maildir) as mail, 5000 AS uid, 5000 AS gid, concat('*:bytes=', (quota)) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext # echo "" >> /etc/dovecot/dovecot-sql.conf.ext # echo "password_query = SELECT username as user, password, concat('/var/vmail/', maildir) as userdb_home, concat('maildir:/var/vmail/', maildir) as userdb_mail, 5000 as userdb_uid, 5000 as userdb_gid, concat('*:bytes=', (quota)) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1';" >> /etc/dovecot/dovecot-sql.conf.ext

Alterações dos arquivos 10-auth.conf / 10-logging.conf / 10-ssl.conf

# cp /etc/dovecot/conf.d/10-auth.conf /etc/dovecot/conf.d/10-auth.conf.orig # sed -i -e 's/#disable_plaintext_auth = yes/disable_plaintext_auth = no/' /etc/dovecot/conf.d/10-auth.conf # sed -i -e 's/#auth_mechanisms = plain/auth_mechanisms = plain login/' /etc/dovecot/conf.d/10-auth.conf # sed -i -e 's/!include auth-system.conf.ext/#!include auth-system.conf.ext/' /etc/dovecot/conf.d/10-auth.conf # sed -i -e 's/#!include auth-sql.conf.ext/!include auth-sql.conf.ext/' /etc/dovecot/conf.d/10-auth.conf # cp /etc/dovecot/conf.d/10-logging.conf /etc/dovecot/conf.d/10-logging.conf.orig # sed -i -e 's/#log_path/log_path/' /etc/dovecot/conf.d/10-logging.conf # sed -i -e 's/#log_timestamp = "%b %d %H:%M:%S "/log_timestamp = "%Y-%m-%d %H:%M:%S "/' /etc/dovecot/conf.d/10-logging.conf # cp /etc/dovecot/conf.d/10-ssl.conf /etc/dovecot/conf.d/10-ssl.conf.orig # sed -i -e 's/ssl = no/#ssl = no/' /etc/dovecot/conf.d/10-ssl.conf # sed -i -e 's/#ssl_cert =/ssl_cert =/' /etc/dovecot/conf.d/10-ssl.conf # sed -i -e 's/#ssl_key =/ssl_key =/' /etc/dovecot/conf.d/10-ssl.conf

Criamos os certificados para o dovecot

# openssl req -new -x509 -days 3650 -nodes -out "/etc/dovecot/dovecot.pem" -keyout "/etc/dovecot/private/dovecot.pem"

Em 10-master.conf ficou complicado fazer alteração com sed então vamos no braço.

# cp /etc/dovecot/conf.d/10-master.conf /etc/dovecot/conf.d/10-master.conf.orig # vim /etc/dovecot/conf.d/10-master.conf

em :service auth {
COMENTE tudo de unix_listener auth-userdb

service auth { #unix_listener auth-userdb { #mode = 0666 #user = #group = #} #descomente unix_listener /var/spool/postfix/private/auth { mode = 0666 } #add unix_listener auth-master { mode = 0666 } #Descomente user = $default_internal_user }

Vamos criar um filtro para que todas as mensagens marcada com spam sejam movida para o diretórios SPAM.

# mkdir /var/lib/dovecot/sieve/ # cp /etc/dovecot/conf.d/90-sieve.conf /etc/dovecot/conf.d/90-sieve.conf.orig # sed -i -e 's/#sieve_default =/sieve_default =/' /etc/dovecot/conf.d/90-sieve.conf # sed -i -e 's/#sieve_global_dir =/sieve_global_dir = \/var\/lib\/dovecot\/sieve\/ /' /etc/dovecot/conf.d/90-sieve.conf # echo 'require ["fileinto"];' >> /var/lib/dovecot/sieve/default.sieve # echo '# rule:[Spam]' >> /var/lib/dovecot/sieve/default.sieve # echo 'if header :contains "X-Spam-Flag" "YES" {' >> /var/lib/dovecot/sieve/default.sieve # echo ' fileinto "Junk";' >> /var/lib/dovecot/sieve/default.sieve # echo '}' >> /var/lib/dovecot/sieve/default.sieve # sievec /var/lib/dovecot/sieve/default.sieve # chown -R vmail:vmail /var/lib/dovecot # cp /etc/dovecot/conf.d/10-mail.conf /etc/dovecot/conf.d/10-mail.conf.orig # sed -i -e 's/mail_location = mbox:~\/mail:INBOX=\/var\/mail\/%u/mail_location = mbox:~\/mail:INBOX=\/var\/vmail\/%u/' /etc/dovecot/conf.d/10-mail.conf

!Exatamente nessa ordem!

# sed -i -e 's/inbox = yes/inbox = yes\n /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n } /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n special_use = \Junk /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n mailbox Junk { /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n } /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n special_use = \Sent /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n mailbox Sent { /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n } /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n special_use = \Drafts /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n mailbox Drafts { /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n } /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n special_use = \Trash /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n auto = subscribe /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n mailbox Trash { /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/inbox = yes/inbox = yes\n /' /etc/dovecot/conf.d/10-mail.conf # sed -i -e 's/#mail_plugins =/mail_plugins = quota/' /etc/dovecot/conf.d/10-mail.conf

# cp /etc/dovecot/conf.d/20-managesieve.conf /etc/dovecot/conf.d/20-managesieve.conf.orig # vim /etc/dovecot/conf.d/20-managesieve.conf

Descomente:

# Uncomment to enable managesieve protocol: protocols = $protocols sieve service managesieve-login { } service managesieve { } protocol sieve { }

# cp /etc/dovecot/conf.d/15-lda.conf /etc/dovecot/conf.d/15-lda.conf.orig

Altere nos comandos (dominiorev.com.br) para seu domínio

!# sed -i -e 's/#mail_plugins = $mail_plugins/#mail_plugins = $mail_plugins\n postmaster_address = postmaster@dominiorev.com.br/' /etc/dovecot/conf.d/15-lda.conf # sed -i -e 's/#mail_plugins = $mail_plugins/#mail_plugins = $mail_plugins\n auth_socket_path = \/var\/run\/dovecot\/auth-master/' /etc/dovecot/conf.d/15-lda.conf # sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins sieve/' /etc/dovecot/conf.d/15-lda.conf # cp /etc/dovecot/conf.d/20-imap.conf /etc/dovecot/conf.d/20-imap.conf.orig # sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota imap_quota/' /etc/dovecot/conf.d/20-imap.conf # cp /etc/dovecot/conf.d/20-pop3.conf /etc/dovecot/conf.d/20-pop3.conf.orig # sed -i -e 's/#mail_plugins = $mail_plugins/mail_plugins = $mail_plugins quota/' /etc/dovecot/conf.d/20-pop3.conf # cp /etc/dovecot/conf.d/90-quota.conf /etc/dovecot/conf.d/90-quota.conf.orig # sed -i -e 's/#quota = maildir/quota = maildir/' /etc/dovecot/conf.d/90-quota.conf # sed -i -e 's/#quota_rule =/quota_rule =/' /etc/dovecot/conf.d/90-quota.conf # sed -i -e 's/#quota_rule2 =/quota_rule2 =/' /etc/dovecot/conf.d/90-quota.conf # sed -i -e 's/#quota_warning/quota_warning/' /etc/dovecot/conf.d/90-quota.conf

# vim /etc/dovecot/conf.d/90-quota.conf

Descomente

service quota-warning { executable = script /usr/local/bin/quota-warning.sh user = dovecot unix_listener quota-warning { user = vmail } }

# vim /usr/local/bin/quota-warning.sh

#!/bin/sh PERCENT=$1 USER=$2 cat << EOF | /usr/lib/dovecot/deliver -d $USER -o "plugin/quota=maildir:User quota:noenforcing" From: postmaster@mail.dominiorev.com.br Subject: Quota Aviso AVISO Usando $PERCENT% do tamanho da caixa postal. Remontti (55) 9999-9999 EOF

# chmod +x /usr/local/bin/quota-warning.sh # /etc/init.d/dovecot restart # /etc/init.d/postfix restart

Comando para ver cota

# doveadm quota get -u usuario@dominio.com.br

WEBMAIL ROUNDCUBE

# apt install php5-intl php-pear # sed -i -e "s/^;date\.timezone =.*$/date\.timezone = 'America\/Sao_Paulo'/" /etc/php5/apache2/php.ini # /etc/init.d/apache2 restart # cd /var/www/html

Acesse e baixe a versao mais recente
https://roundcube.net/download/

Hoje 1.2.4 - Complete

# wget --no-check-certificate https://github.com/roundcube/roundcubemail/releases/download/1.2.4/roundcubemail-1.2.4-complete.tar.gz # tar -vxzf roundcubemail* # mv roundcubemail-1.2.4 webmail # chown www-data. -R webmail

Criaremos nosso banco de dados para o roundcubemail.

# mysql -u root -p

Será solicitado a senha root do mysql, entre com a senha.

CREATE DATABASE roundcubemail; GRANT ALL PRIVILEGES ON roundcubemail.* TO roundcube@localhost IDENTIFIED BY 'SUA-SENHA-BD-ROUND'; FLUSH PRIVILEGES; quit;

Acesse:
http://SEU-DOMINIO/webmail/installer/

Clique em Next

Principais itens a ser alterado ou de seu gosto o que não citei deixei padrão

== General configuration ==
product_name: Nome do Webmail
Check client IP in session authorization: MARQUE

== Logging & Debugging ==
log_driver: syslog

== Database setup ==
Database type: MYSQL
Database server: localhost
Database name: roundcubemail
Database user name: roundcube
Database password: SUA-SENHA-BD-ROUND
db_prefix:

== IMAP Settings ==
username_domain: mail.dominiorev.com.br

== SMTP Settings ==
smtp_server: tls://mail.dominiorev.com.br
smtp_port: 25

== Display settings & user prefs ==
language *: pt_BR
If preview pane is enabled: Marque
Compose HTML formatted messages: always

== Plugins ==
"De acordo com suas necessidades! Porém vou configurar os seguintes.
- emoticons
- managesieve
- markasjunk
- newmail_notifier
- password
- zipdownload

Agora clique em [CREAT CONFIG]
Vai retornar uma mensagem:
The config file was saved successfully into RCMAIL_CONFIG_DIR directory of your Roundcube installation.

Isso significa que nosso arquivo de configuração do roundcube foi criado (config/config.inc.php)

Agora clique em: [CONTINUE]
Agora em: [Inicialize database]

Irá retornar:
Check DB config
DSN (write): OK
DB Schema: OK
DB Write: OK
DB Time: OK

Se você já criou uma conta de email você pode testa-la [Check login]

Como recomendações, mova o diretório installer para outro nome ou remova.

After completing the installation and the final tests please remove the whole installer folder from the document root of the webserver or make sure that enable_installer option in config.inc.php is disabled.

Depois de completar a instalação e os testes finais remova toda a pasta de instalação da raiz de documentos do servidor web ou certifique-se de que enable_installer opção no config.inc.php está desativado.

# mv installer/ installer_XYZ_12345

Acesse o diretório dos plugins do roundcube.

# cd /var/www/html/webmail/plugins/

== newmail_notifier ==

# cd newmail_notifier # cp config.inc.php.dist config.inc.php # sed -i -e 's/= false/= true/' config.inc.php

== zipdownload ==

# cd ../zipdownload # cp config.inc.php.dist config.inc.php # sed -i -e 's/= false/= true/' config.inc.php

== markasjunk ==
(Sem configuração)

= managesieve =
Faz emails identificado com spam cair na pasta spam.

# cd ../managesieve # cp config.inc.php.dist config.inc.php # vim config.inc.php

Altere: (atençao para o caminho)

$config['managesieve_default'] = '/var/www/html/webmail/plugins/managesieve/default.sieve'; $config['managesieve_script_name'] = 'Filtros';

Crie o arquivo default.sieve

# vim /var/www/html/webmail/plugins/managesieve/default.sieve

require ["fileinto"]; # rule:[Spam] if header :contains "X-Spam-Flag" "YES" { fileinto "Junk"; stop; }

== password ==
Permite usuário alterar sua senha.

# cd ../password # cp config.inc.php.dist config.inc.php # vim config.inc.php

Altere:

//Define o uma quantidade minima de caracteres $config['password_minimum_length'] = 8; $config['password_require_nonalpha'] = false; $config['password_db_dsn'] = 'mysql://postfix:SENHA-POSTFIX-MYSQL@localhost/postfix'; $config['password_query'] = "UPDATE mailbox SET password=MD5(%p) WHERE username=%u AND password=MD5(%o)";

Plugins extra (http://plugins.roundcube.net/)

# cd /var/www/html/webmail/plugins/

== contextmenu ==
Cria menus ao clicar com o direito. (# apt install git)

# git clone --recursive https://github.com/JohnDoh/Roundcube-Plugin-Context-Menu.git # mv Roundcube-Plugin-Context-Menu contextmenu

== persistent_login ==
Permite deixar salvo a sessão.

# git clone --recursive https://github.com/mfreiholz/Roundcube-Persistent-Login-Plugin.git # mv Roundcube-Persistent-Login-Plugin persistent_login # cd persistent_login/ # cp config.inc.php.dist config.inc.php # sed -i -e 's/= false/= true/' config.inc.php

Precisa fazer umas alterações em nossas tabelas do bd roundcubemail, para isso use:

# mysql -u roundcube -pSENHA-USER-MYSQL-ROUNDCUBE roundcubemail < sql/mysql.sql

A tradução ao meu ver ficou estranha, e vamos adicionar um aviso.

# vim localization/pt_BR.inc

Altere para:

== dovecot_ident ==
Como webmail é um acesso localhost, nos logs de acesso IMAP não queremos isso e sim o IP do usuário que esta acessando, para isso:

# cd /var/www/html/webmail/plugins # git clone --recursive https://github.com/corbosman/dovecot_ident.git # vim /etc/dovecot/dovecot.conf

Decomente incluindo o valor (127.0.0.1 ::1)

login_trusted_networks = 127.0.0.1 ::1 IP-DO-SEU-SERVIDOR

ex:

login_trusted_networks = 127.0.0.1 ::1 250.250.0.6 2000:fff:250:250:0::6

# /etc/init.d/dovecot restart # /etc/init.d/postfix restart

Agora precisamos adicionar nossos plugins extrar nas configurações do Round.

# vim /var/www/html/webmail/config/config.inc.php

Procure por:

$config['plugins'] Inclua os plugins contextmenu, persistent_login e dovecot_ident ficando: $config['plugins'] = array('emoticons', 'managesieve', 'markasjunk', 'newmail_notifier', 'password', 'zipdownload','contextmenu', 'persistent_login', 'dovecot_ident'); //Eu particularmente gosto de fazer ainda algumas mudanças, se desejar inclua ao final do arquivo: $config['show_images'] = 2; $config['prefer_html'] = true; $config['check_all_folders'] = true; $config['message_show_email'] = true; $config['draft_autosave'] = 180; $config['quota_zero_as_unlimited'] = true; $config['list_cols'] = array('flag', 'status', 'fromto', 'subject', 'date', 'size', 'attachment', 'priority'); //Se desejar cadastrar um domino qual não precisa informar o @dominio... $config['username_domain'] = 'dominiorev.com.br';

# chown www-data. -R /var/www/html/webmail/

Seu servidor de e-mail já está funcionado, logue em seu webmail, envie algum e-mails.
Acesse: http://SEU-DOMINIO/webmail/

PEGANDO A ULTIMA VEZ QUE USUÁRIO LOGOU E O IP

Se você é administrador de um servidor de e-mail certamente vai querer isso!
Primeiramente vamos adicionar alguns campos extrar nassa tabela mailbox (last_login_date last_login_ip last_login_proto)

# mysql -u root -p

use postfix; ALTER TABLE `mailbox` ADD `last_login_date` DATETIME NULL COMMENT 'last login date',ADD `last_login_ip` VARCHAR( 39 ) NULL COMMENT 'last login ip',ADD `last_login_proto` CHAR( 5 ) NULL ; quit;

Vamos ensinar o dovecot a alimentar esses campos.
10-master.conf

# sed -i -e 's/service imap {/service imap {\n executable = imap imap-postlogin/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service imap {/service imap {\n # Post-login action/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service pop3 {/service pop3 {\n executable = pop3 pop3-postlogin/' /etc/dovecot/conf.d/10-master.conf # sed -i -e 's/service pop3 {/service pop3 {\n # Post-login action/' /etc/dovecot/conf.d/10-master.conf # echo ''>> /etc/dovecot/conf.d/10-master.conf # echo '# Post login scripting POP3'>> /etc/dovecot/conf.d/10-master.conf # echo 'service pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' executable = script-login /usr/local/bin/postlogin-pop.sh'>> /etc/dovecot/conf.d/10-master.conf # echo ' user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf # echo ' unix_listener pop3-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' }'>> /etc/dovecot/conf.d/10-master.conf # echo '}'>> /etc/dovecot/conf.d/10-master.conf # echo ''>> /etc/dovecot/conf.d/10-master.conf # echo '# Post login scripting IMAP'>> /etc/dovecot/conf.d/10-master.conf # echo 'service imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' executable = script-login /usr/local/bin/postlogin-imap.sh'>> /etc/dovecot/conf.d/10-master.conf # echo ' user = $default_internal_user'>> /etc/dovecot/conf.d/10-master.conf # echo ' unix_listener imap-postlogin {'>> /etc/dovecot/conf.d/10-master.conf # echo ' }'>> /etc/dovecot/conf.d/10-master.conf # echo '}'>> /etc/dovecot/conf.d/10-master.conf

Crie o arquivo postlogin-imap.sh

# vim /usr/local/bin/postlogin-imap.sh

Atenção para SENHA.

#!/bin/sh MYSQL_USER='postfix' PASSWD='SENHA' DB_NAME='postfix' if [ X"${USER}" != X"dump-capability" ]; then mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
Crie o arquivo postlogin-pop.sh

# vim /usr/local/bin/postlogin-pop.sh

Atenção para SENHA.

#!/bin/sh MYSQL_USER='postfix' PASSWD='SENHA' DB_NAME='postfix' if [ X"${USER}" != X"dump-capability" ]; then mysql -u${MYSQL_USER} -p${PASSWD} ${DB_NAME} >/dev/null 2>&1 <
# chmod +x /usr/local/bin/postlogin-* # /etc/init.d/dovecot restart

Acesse sua conta de email e apois consulte a tabela mailbox (SELECT * FROM `mailbox`)

Até este ponto nosso servidor está 100%, agora falta apenas um Anti-Spam e um Anti-Vírus para ficar perfeito, Então vamos nessa

SPAMASSASSIN

Vamos começar pelo SpamAssassin

# apt install spamc spamassassin

Alguns ajustes

# sed -i -e 's/ENABLED=0/ENABLED=1/' /etc/default/spamassassin # sed -i -e 's/CRON=0/CRON=1/' /etc/default/spamassassin # sed -i -e 's/# report_safe 1/report_safe 0/' /etc/spamassassin/local.cf ????# sed -i -e 's/inbox = yes/inbox = yes\n } /' /etc/dovecot/conf.d/10-mail.conf # systemctl enable spamassassin

# vim /etc/postfix/master.cf

Adicione ==> -o content_filter=spamassassin

smtp inet n - - - - smtpd -o content_filter=spamassassin {..} submission inet n - - - - smtpd -o content_filter=spamassassin {..} smtps inet n - - - - smtpd -o content_filter=spamassassin {..}

E no final do arquivo:

# SpamAssassin spamassassin unix - n n - - pipe user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Vamos instalar o Razor Pyzor para ajudar no bloquei dos Spam.

# apt install razor pyzor

# vim /etc/spamassassin/local.cf

Inclua antes da ultima linha (endif # Mail::SpamAssassin::Plugin::Shortcircuit)

# razor2 use_razor2 1 score RAZOR2_CHECK 2.500 # pyzor use_pyzor 1 score PYZOR_CHECK 2.500

# su - debian-spamd -c 'razor-admin -d --create' # su - debian-spamd -c 'razor-admin -register' # su - debian-spamd -c 'razor-admin -discover' # su - debian-spamd -c 'pyzor discover'

ANTIVIRUS AMAVIS / CLAMAV

Você precisa ter nos repositórios os pacotes non-free

# vim /etc/apt/sources.list

(exemplo)

deb http://ftp.br.debian.org/debian/ jessie main contrib non-free

# apt update # apt install amavisd-new clamav clamav-freshclam clamav-daemon arj bzip2 cabextract nomarch pax rar unrar unzip zip zoo lhasa libmail-dkim-perl libnet-ldap-perl libsnmp-perl libzeromq-perl lzop p7zip rpm # adduser clamav amavis # /etc/init.d/clamav-freshclam stop # freshclam # su - amavis -c 'razor-admin -d --create' # su - amavis -c 'razor-admin -register' # su - amavis -c 'razor-admin -discover' # su - amavis -c 'pyzor discover'

# vim /etc/amavis/conf.d/15-content_filter_mode

#(Descomente)

@bypass_virus_checks_maps = ( \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re); @bypass_spam_checks_maps = ( \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

# vim /etc/amavis/conf.d/50-user

Adicionar !! Atenção para SENHA

# @lookup_sql_dsn = ( ['DBI:mysql:database=postfix;host=127.0.0.1;port=3306', 'postfix', 'SENHA-BD-POSTFIX']); $sql_select_policy = 'SELECT "Y" as local FROM alias WHERE address IN (%k)'; #------------ Do not modify anything below this line ------------- 1; # ensure a defined return

# vim /etc/amavis/conf.d/05-node_id

Altere:

$myhostname = "mail.dominiorev.com.br";

# vim /etc/amavis/conf.d/01-debian

Comente:

#$unarj = ['arj', 'unarj'];

Descomente:

$unrar = ['rar', 'unrar']; #disabled (non-free, no security support)

Personalização Amavis

# vim /etc/amavis/conf.d/20-debian_defaults

Eu comento sa_spam_subject_tag, assim as mensagens que forem spam não terão o assunto trocado, pois elas já irão cair na caixa de spam.

#$sa_spam_subject_tag = '***SPAM*** ';

Comente se não desejar receber as menssagens de erro.

#$final_virus_destiny = D_DISCARD; # (data not lost, see virus quarantine) #$final_banned_destiny = D_BOUNCE; # D_REJECT when front-end MTA #$final_spam_destiny = D_BOUNCE; $final_bad_header_destiny = D_PASS; # False-positive prone (for spam)

Não comente final_bad_header_destiny (se não os spam não serão entregues)

Se não quiser que seu email postmaster receba um email com todos os emails q ele discartou, comente:

#$virus_admin = "postmaster\@$mydomain"; # due to D_DISCARD default

Habilitar o amavis no postfix

# postconf -e "content_filter = smtp-amavis:[127.0.0.1]:10024"

# vim /etc/postfix/master.cf

Adicionar ao final

smtp-amavis unix - - - - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 -o smtp_generic_maps= 127.0.0.1:10025 inet n - - - - smtpd -o mynetworks=127.0.0.0/8 -o content_filter= -o local_recipient_maps= -o local_header_rewrite_clients= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_delay_reject=no -o smtpd_client_restrictions=permit_mynetworks,reject -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks -o strict_rfc821_envelopes=yes

Restarte todos os serviços

# /etc/init.d/clamav-daemon restart # /etc/init.d/clamav-freshclam restart # /etc/init.d/spamassassin restart # /etc/init.d/amavis restart # /etc/init.d/dovecot restart # /etc/init.d/postfix restart

Gostou? Ficou com alguma dúvida?
Deixe seu comentário!

Abraço!

O post Montando um servidor de E-mail Completo com Postfix+Dovecot+PostfixAdmin+SpamAssassin+SPF+RoundCubeMail+IPv4/IPv6 (Desatualizado) apareceu primeiro em Remontti.

Arquivos ipv4 - Remontti

Guia passo a passo para instalação do phpIPAM, um Software de Gerenciamento de Endereços IP

Instalação do FRRouting (FRR) – Roteamento dinâmico no seu linux +Bônus iBGP

Instalação do Free Range Routing

Módulos do kernel

Entrado no Shell VTY

Zerando as configurações

Modelos de configurações:

Bônus iBGP

Como montar um servidor de e-mail com Postfix, Dovecot, PostfixAdmin, SpamAssassin, Amavis, Clamav, RoundCube, SPF, DKIM, DMARC, Fail2Ban

REQUISITOS

AJUSTES

APACHE2, MARIADB E PHP7

phpMyAdmin `** Opcional **`

POSTFIX / DOVECOTE / DKIM / SPF

POSTFIXADMIN

WEBMAIL ROUNDCUBE

Plugins extra

PEGANDO A ULTIMA VEZ QUE USUÁRIO LOGOU E O IP

SPAMASSASSIN

ANTIVIRUS AMAVIS / CLAMAV

Personalização Amavis

HTTPS / SSL / CERTIFICADO VÁLIDO

DKIM

Configurar DKIM no seu DNS

Rotação da chave DKIM

FAIL2BAN + NFTABLES

Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster [Descontinuado]

Este tutorial foi atualizado:

Acesse Servidor DNS Bind9 – Recursivo + Autoritativo DNSSEC + Reverso + RPZ + Fail2ban + nftables + Zabbix no Debian 11 Bullseye

Não utilize este tutorial! Não apaguei o mesmo para deixa-lo para fins de estudos em cima do Debian 10.

Ex.: ASN – CIDR/22

MASTER (NS1)

Fail2Ban + nftables

Autoritativo (ns1)

Reverso (ns1)

Atualizando ROOT SERVERS

SLAVE (ns2)

Reverso de blocos menores que /24 - Ex.: CIDR/28

Dica extra - Ativando um proxy DNS

Servidor DNS Recursivo, Autoritativo e Reverso com Bind9 (IPv4+IPv6) + Fail2ban (Debian8/9) [Descontinuado]

Este tutorial foi atualizado:

Acesse Servidor DNS seguro com Bind9 (Recursivo, Autoritativo e Reverso) + Fail2ban + nftables no Debian 10 Buster

Não utilize este tutorial! Não apaguei o mesmo para deixa-lo para fins de estudos.

Montando um servidor de E-mail Completo com Postfix+Dovecot+PostfixAdmin+SpamAssassin+SPF+RoundCubeMail+IPv4/IPv6 (Desatualizado)

Um novo tutorial mais atualizado em: https://blog.remontti.com.br/3744

CENÁRIOS

REQUISITOS

AJUSTES

POSTFIX / DOVECOTE

POSTFIXADMIN

WEBMAIL ROUNDCUBE

PEGANDO A ULTIMA VEZ QUE USUÁRIO LOGOU E O IP

SPAMASSASSIN

ANTIVIRUS AMAVIS / CLAMAV

Personalização Amavis

phpMyAdmin ` Opcional `