系统管理

PowerMTA (PMTA) 的安装和设置方法

黄忠 系统管理 , 51 Comments

PowerMTA 安装包中有以下几个文件:

    PowerMTA-3.5r16-201012281936.i586.rpm

    PowerMTA-3.5r16-201012281926.x86_64.rpm

    powermta_3.5r16-201012281937_i386.deb

    pmtad_linux64

    pmtad_linux32

    license.linux64

    license.linux32

安装步骤

1. 添加用户组

    groupadd pmta

2. 安装PowerMTA (以64位 Linux 服务器为例)

    rpm -Uvh PowerMTA-3.5r16-201012281926.x86_64.rpm

执行完成后,显示下面提示信息:

    PowerMTA has been installed.  Please review the configuration

    (in /etc/pmta/config) to ensure it fits your needs.

    The PowerMTA User's Guide is available on file:/usr/share/doc/pmta/UsersGuide.pdf.

                        *** WARNING ***

    The SMTP TCP port is already in use by other software on this

    system.  Installation will continue, but in order to be able to

    start up PowerMTA you will need to stop the other software

    or reconfigure PowerMTA to use an alternative port.  See the

    manual section about startup problems for more information.

                        *** WARNING ***

    Thank you for choosing PowerMTA.

    This software requires a license to run.  To obtain a license key,

    please contact Port25 at or call +1.410.750.7687

    during office hours, U.S. Eastern Time.

    If you already received a license key from Port25, please save it

    as /etc/pmta/license before starting PowerMTA.

表示执行成功了。

3. 复制许可文件 license 和执行文件 pmtad

    cp license.linux64 /etc/pmta/license

    cp pmtad_linux64 /usr/sbin/pmtad

4. 启动 pmta

    /etc/rc.d/init.d/pmta start 或者 service pmta start

   停止 pmta

    /etc/rc.d/init.d/pmta stop 或者 service pmta stop

如果启动失败,可以用 –debug 参数检查。

    /usr/sbin/pmtad –debug

5. 修改 pmta 的配置文件,允许通过浏览器远程查看、修改配置

    vi /etc/pmta/config

找到 http-access 这个参数,然后添加一条:

    http-access 21.34.56.78 admin

其中 21.34.56.78 是你自己的IP地址。

重新启动 pmta

    service pmta start

这样就可以通过:http://mpta.mydomain.com:8080/editConfig 查看配置文件了。

说明: 通过浏览器修改配置文件不需要重启 pmta。

6. PowerMTA 的日志文件位于 /var/log/pmta/log

安装出现问题,请通过日志文件来了解是什么原因引起的。

7. 关于连接限制的说明

Linux 系统默认的连接数是1024,当pmta连接数过多的时候,就会受到很多的限制,所以要把连接数调大。

查看当前的连接数:

    ulimit -n

修改方法如下:

    vi /etc/security/limits.conf

    在文件最后面添加:

    * soft nofile 65535

    * hard nofile 65535

本安装教程部分摘自 PowerMTA安装教程完整版

邮件服务器设置 rDNS、MX、SPF、DKIM 等DNS记录

黄忠 系统管理 6 Comments

1. MX记录

邮件的MX记录最好是指向机器A记录,尽量不要直接指向IP地址(不符合规范)。

2. SPF记录

SPF(Sender Policy Framework)是以IP地址认证电子邮件发件人身份的技术,是一种通用的反垃圾技术之一。 接收邮件方会首先检查域名的SPF记录,来确定发件人的IP地址是否被包含在SPF记录里面,如果在,就认为是一封正确的邮件, 否则会认为是一封伪造的邮件进行退回。

3. DKIM 记录

DKIM全称是:DomainKeys Identified Mail,是一种电子邮件的验证技术,使用密码学的基础提供了签名与验证的功能。

邮件的接收端将会对邮件头中的签名和从DNS获取公钥进行验证, 检查邮件是否被伪造。 DKIM签名是现行通用的反垃圾技术之一,有了该配置, 邮件的到达率将会显著提升。

DKIM 在线测试工具:

http://www.mail-tester.com/

http://www.brandonchecketts.com/emailtest.php

http://dkimcore.org/tools/

4. rDNS 反向解析

反向解析,也就是将IP解析到对应的域名上,反向解析在邮件服务器应用中相当于对你的邮件服务器进行身份验证,这样的策略可以很好的减少垃圾邮件。

ROKSO、SBL、XBL、PBL、DBL 是什么意思?

黄忠 系统管理 1 Comment

Spamhaus 是目前世界上影响最大的反垃圾邮件组织,只要被它列入黑名单,你的邮件服务器就算瘫痪了,因为据说全球80%以上的服 务器会拒收从你的邮件服务器发去的邮件。他们提供以下黑名单: SBL,XBL,PBL,DBL,ROKSO。

ROKSO (The Register of Known Spam Operations)

这个最严重了,字面上就可以理解进了这个数据库的人物都是有确切的证据证明垃圾邮件行为,属于专业的发送垃圾邮件的组织或是个人。

SBL (Spamhaus Block List)

它是经过验证的垃圾邮件源及确有垃圾邮件发送行为的实时黑名单列表。由分布在全世界9个国家的,每周7天,每天24小时进行列入新记录和删除记录的工作。所以,这个列表可信度高使用人数也多。如果你被列入算是严重事件,被列入后,需要你的ISP(电信或是网通)的IP管理人员去和Spamhaus联系才有可能移除。

XBL (Exploits Block List)

机器内安装有Postfix/Sendmail等邮件引擎的IP会被列入实时黑名单IP列表。它是针对因为安全问题被劫持或是蠕虫/病毒,带有内置式垃圾邮件引擎和其它内心的木马来发垃圾邮件机器的实时黑名单IP列表。往往容易误判。

PBL (Policy Block List)

它主要是包含动态IP及哪些允许未经验证即可发送邮件的SMTP服务器的IP地址段。这一个列表最明显的特点就是提供了一个IP地址移除的自助服务,IP被它列入后,可以自己申请移除。所以就算是被PBL列入,影响并不大。

DBL (Domain Block List)

它是针对因垃圾邮件源而建立的基于域名的黑名单列表。

综上所述,按严重级别由重到轻分别为: ROKSO->SBL->XBL->PBL

以下是用来查询您的IP是否被列入黑名单以及将您的IP从黑名单移除的地址链接
http://www.mxtoolbox.com/blacklists.aspx
http://www.spamhaus.org/lookup/
http://cbl.abuseat.org/lookup.cgi
http://rbls.org/

CBL: 中国垃圾邮件黑名单
http://www.anti-spam.org.cn/AID/7
http://www.anti-spam.org.cn/Rbl/Query/Result
 

安装 SS5 SOCKS5 代理服务器,多进程/多IP地址出口/多端口

黄忠 系统管理 , 19 Comments

SS5 是高性能的 SOCKS 代理服务器,支持 SOCK4 和 SOCKS5 协议。下面的安装指南详细描述了如何在 CentOS 服务器上安装和配置SS5,运行多个 ss5 进程来绑定不同端口到多个IP地址 ,以及设置用户名/密码认证的方法。

1. 从 sourceforge.net 下载最新的源码
wget http://downloads.sourceforge.net/ss5/ss5-3.8.9-8.src.rpm

2. 编译源码
ss5 需要 openldap-devel, pam-devel 和 openssl-devel 开发包,可以使用 YUM 安装:

32 位 Linux 系统,
yum install gcc rpm-build openldap-devel pam-devel openssl-devel
64 位 Linux 系统,
yum install gcc.x86_64 rpm-build.x86_64 openldap-devel.x86_64 pam-devel.x86_64 openssl-devel.x86_64

安装 libgssapi-devel,
yum install libgssapi-devel

然后生成 rpm 包:
rpmbuild --rebuild ss5-3.8.9-8.src.rpm

3. 安装 SS5 rpm 包
在 CentOS 5.x 系统里, RPM 包位于 /usr/src/redhat/RPMS/。
在 CentOS 6.x 系统里, RPM 包位于安装目录下 rpmbuild/RPMS/ 的子目录中。使用下面的命令来安装 RPM 包:
CentOS 5 系统,
rpm -ivh /usr/src/redhat/RPMS/x86_64/ss5-3.8.9-8.x86_64.rpm (针对64 位 Linux)
rpm -ivh /usr/src/redhat/RPMS/i386/ss5-3.8.9-8.i386.rpm (针对32 位 Linux)
CentOS 6 系统 (可能需要输入命令 “cd” 切换到 root 用户目录),
rpm -ivh rpmbuild/RPMS/x86_64/ss5-3.8.9-8.x86_64.rpm (针对64 位 Linux)
rpm -ivh rpmbuild/RPMS/x86_64/ss5-3.8.9-8.i386.rpm (针对32 位 Linux)

4. 以 root 身份运行 SS5 并修改端口为 8899 (默认端口 1080)
修改 /etc/init.d/ss5 并在文件顶部的 #!/bin/sh 之后添加下面的代码:
export SS5_SOCKS_PORT=8899
export SS5_SOCKS_USER=root

(可以使用任何端口,但是请在防火墙中打开)

5. 设定用户名/密码
SS5 配置文件位于 /etc/opt/ss5/ss5.conf, ‘auth’ 参数用于设定认证模式。

不使用用户认证,
auth 0.0.0.0/0 – –
使用用户名/密码认证,
auth 0.0.0.0/0 – u

用户名/密码保存在文件 /etc/opt/ss5/ss5.passwd。请设置权限:
chown root:root /etc/opt/ss5/ss5.passwd
chmod 755 /etc/opt/ss5/ss5.passwd
chmod 755 /etc/opt/ss5

在文件 /etc/opt/ss5/ss5.passwd 中, 每行输入一个用户名和密码,用空格分开。
例如:
user1 pass1
user2 pass2

6. 设置权限 ( /etc/opt/ss5/ss5.conf )
允许所有主机连接:
permit u 0.0.0.0/0 – 0.0.0.0/0 – – – – –

7. 启动/停止/重启 ss5
service ss5 start
service ss5 stop
service ss5 restart

如果出现下面的错误, 先创建 /var/run/ss5 目录后再启动 ss5 。
Can’t create pid file /var/run/ss5/ss5.pid
Can’t unlink pid file /var/run/ss5/ss5.pid

默认的日志文件路径: /var/log/ss5/ss5.log

8. 如果有多个IP地址,可以运行多个 ss5 代理服务器进程,每个进程绑定不同的端口/出口IP地址。
第一步, 给每个进程创建一个用户:
useradd user1 -s /bin/false -p YourPasswordHere

第二步, 查看用户的 UID:
awk -F: '/^user1:/{print $1,$4}' /etc/passwd

第三步, 根据用户 UID 在防火墙上设置出口 IP 地址:
iptables -t mangle -A OUTPUT -m owner --uid-owner USER_UID -j MARK --set-mark USER_UID
iptables -t nat -A POSTROUTING -m mark --mark USER_UID -j SNAT --to-source 24.68.1.1
(USER_UID 为第二步中输出的数字)

查看防火墙的地址转换规则:
iptables -nvL -t nat
iptables -nvL -t mangle

最后, 用不同用户启动进程, 设置不同的IP和端口:
ss5 -u user1 -b 24.68.1.1:10001
提示: 请在防火墙上打开端口 10001

重复上面的步骤来配置每一个IP地址。

配置 phplist 通过多个 Postfix 进程和多个 IP 地址发邮件

黄忠 系统管理 , 16 Comments

如果你使用过 postfix 服务器,就知道外发邮件的瓶颈不是服务器硬件本身,而是外部邮件服务器接受邮件的速率。

为了充分利用闲置资源,我们可以给服务器增加一个或多个IP地址,利用Postfix的多进程功能来增加一个或多个Postfix进程。这样,就可以让服务器的邮件发送量翻倍。

准备工作

1. 首先,给主机增加一个IP地址。

2. 确认 Postfix 服务器正常运行。

3. 启用 Postfix 的多进程支持,执行命令:
postmulti -e init

4. 创建一个新的Postfix进程:

postmulti -I postfix-2 -G outgoing -e create

-I 是进程的名字,可以使用主机名或其它名字。
-G 是组的名字,本帖子没有用到组所以随便起个名字。如果想同时重启某几个进程时可用到组。

上面的创建新进程的命令,会生成用于保存配置文件和邮件队列的目录。目录结构很简单但很重要,因为后面使用进程时会需要用到:

配置文件例如 main.cf 文件位于 /etc/instancename/,以前面的新进程为例,目录是 /etc/postfix-2/
邮件队列位于 /var/spool/instancename/,以前面的新进程为例,目录是 /var/spool/postfix-2/

5. 给 Postfix 进程绑定IP地址

假设我们有两个 IP 地址 – 192.168.50.44 192.168.50.45
系统默认的进程的配置文件位于目录 /etc/postfix, 我们保留原来的 localhost, 并绑定特定的地址 192.168.50.44:
修改文件 /etc/postfix/main.cf,找到:
inet_interfaces = all
修改为:
inet_interfaces = localhost, 192.168.50.44

打开文件 /etc/postfix/master.cf, 找到:
smtp unix - - n - - smtp
修改为:
smtp unix - - n - - smtp -o smtp_bind_address=192.168.50.44

也就是默认的 Postfix 进程将通过 192.168.50.44 发送邮件。

对其它的每个进程,修改相应的 /etc/instancename 目录下的 main.cf 配置文件,来绑定各自的 IP 地址。
对我们上面的例子,就是修改文件 /etc/postfix-2/main.cf,找到:
inet_interfaces = all
修改为:
inet_interfaces = 192.168.50.45

打开文件 /etc/postfix-2/master.cf, 找到:
smtp unix - - n - - smtp
修改为:
smtp unix - - n - - smtp -o smtp_bind_address=192.168.50.45

6. 重启 postfix 服务使前面的修改生效

7. 安装一个或者多个 phplist

8. 配置每个 phplist 从不同的 postfix 进程发出邮件
以前面的postfix新进程为例,在 phplist 的文件 admin/index.php 的前面加上下面的代码:
putenv("MAIL_CONFIG=/etc/postfix-2");
(说明: 如果只想安装一个phplist,那么 “postfix-2” 可以使用变量)

9. 最后需要将运行 phplist 用户的名字加入 /etc/postfix-2/main.cf 的允许发送邮件的用户列表
authorized_submit_users = testuser

10. (供参考) 下面是用于 启动/停止/启用/禁用 postfix 进程的命令:
postmulti -i postfix-2 -p start
postmulti -i postfix-2 -p stop
postmulti -i postfix-2 -e enable
postmulti -i postfix-2 -e disable

现在,我们可以同时运行多个 phplist 的计划任务,同一台邮件服务器的邮件发送量就翻倍了。