win7,win2008 , outlook 2010支援TLS 1.1 TLS 1.2連線
最近升級mail server , 也停用了 TLS 1.0 , TLS 1.1 , 同時也引發win7,windows 2008, office 2010不支援問題,因此需要手動升級.
以上兩步驟, 就可以讓outlook 2010支援新版連線了.
詳請參考以下文章
分類: 技術
升級mail server不支援TLS 1.0 , 1.1的問題
postfix 出現以下錯誤
SSL routines:tls_early_post_process_client_hello:unsupported protocol我不知道如何處理, 爬文說要改成向下相容… 我才不要勒
vi /etc/crypto-policies/back-ends/opensslcnf.config
#改成
#MinProtocol = TLSv1.2
MinProtocol = TLSv1
MaxProtocol = TLSv1.3
vi /etc/postfix
#確認沒有被限制
# Disable SSLv2, SSLv3, TLSv1, TLSv1.1
#smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
#smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
#smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
#smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
Rocky Linux 安裝httpd 反向代理
真是被selinux搞死,但,咱們工程師, 就是要勇往直前
RL9 安裝httpd後, 若要啟用proxy , reverse 功能 , 目前我遇到要改兩點
- 修改httpd設定, 把心跳這一行mark起來
vi /etc/httpd/conf.modules.d/00-proxy.conf
#LoadModule lbmethod_heartbeat_module modules/mod_lbmethod_heartbeat.so
- selinux 啟用連線功能
sudo setsebool -P httpd_can_network_connect 1
#2023/6/20 否則會出現 Permission denied: AH00957 錯誤Rocky Linux podman 更改storage注意事項
之前使用docker, 我會把selinux關掉, 這次改用podman, 我順帶挑戰不關selinux , 果然就遇到問題了
- storage存放位置變更
正確的是, 我原本安裝時候, 就將路徑改了 , 請參照這篇文章 , 但是後來又新增一個新的partition , 用mount的方式覆蓋原本podman storage 路徑, 這看起來很棒, 都不用改,但還是遇到問題了, 我啟用原本的container, 出現
我用podman logs <container name> 查看有這bug , 後來想想應該是selinux權限問題, 就重新跑一次這個指令
restorecon -R -v /podman/storage/
# /podman/storage 是我安裝podman改的路徑pfsense設定port forward
以smtp為例子
- Firewall->NAT , 點選Add (有分優先順序)
- 設定Interface, Protocol , Destination port range , Redircet target IP , 與 Redirect target port
這樣儲存就生效了, 記得被forward ip 的gateway也要設定pfsense ip 否則無法成功
自製郵件伺服器啟動腳本
我用自製的docker版郵件伺服器已經一陣子了, 每次要組合出腳本很麻煩, 我又不喜歡用yaml文件, 因此利用github的免費pages, 自己寫了一個簡易自動產生腳本的網頁, 還滿方便的, 頁面難看就請多包涵.
https://williamfromtw.github.io/docker-Postfix-AD/genLaunchCommand.html
podman 安裝自製mail server全紀錄
因自製mail server只在docker使用過, 這次挑戰podman
- 安裝let’s encrypt
dnf install certbot
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --reload
systemctl stop httpd
certbot certonly --standalone --preferred-challenges http -d mail.test.com
# 若要renew 請加到crontab
certbot renew --post-hook "systemctl restart httpd"
- 搜尋容器
podman search inmethod
pod man pull docker.io/inmethod/docker-postfix-ad:3.3
- 建立volume
podman volume create postfixldap_vmail
podman volume create postfixldap_postfix
podman volume create postfixldap_dovecot
podman volume create postfixldap_log
podman volume create postfixldap_rspamd_conf
podman volume create postfixldap_rspamd_var
podman volume create postfixldap_opendkim
- 啟用mail server容器
假設我們的AD主機IP : 10.192.130.227
郵件網域 : test.com
郵件主機 : mail.test.com
Ldap SEARCH_BASE : OU=group,DC=test,DC=com
BIND_DN : “cn=ldap,cn=Users,dc=test, dc=com”
BIND_PW: “password”
時區 : “America/New_York” (台灣Asia/Taipei)
我寫了一個自動產生腳本的scripts
https://williamfromtw.github.io/docker-Postfix-AD/genLaunchCommand.html
可以產生以下指令
podman run --name mailserver \
-v /etc/letsencrypt:/etc/letsencrypt \
-v mailserver_vmail:/home/vmail \
-v mailserver_opendkim:/etc/opendkim \
-v mailserver_postfix:/etc/postfix \
-v mailserver_dovecot:/etc/dovecot \
-v mailserver_rspamd_conf:/etc/rspamd\
-v mailserver_rspamd_var:/var/lib/rspamd \
-v mailserver_log:/var/log \
-p 25:25 -p 110:110 -p 143:143 -p 465:465 -p 587:587 -p 993:993 -p 995:995 -p 4190:4190 -p 11334:11334 \
-e DOMAIN_NAME="test.com" \
-e HOST_NAME="mail.test.com" \
-e HOST_IP="10.192.130.227" \
-e SEARCH_BASE="DC=test,DC=com" \
-e BIND_DN="CN=ldap,CN=Users,DC=test,DC=com" \
-e BIND_PW="your BIND_DN password" \
-e TZ="America/New_York" \
-e ALIASES="OU=aliases,DC=test,DC=com" \
-e ENABLE_QUOTA="false" \
--label=disable -d --restart always --net=host \
docker.io/inmethod/docker-postfix-ad:3.3
相關port防火牆要開,DNS mx要設定,dkmi key請參照https://github.com/WilliamFromTW/docker-Postfix-AD,就可以測試看看了。
國際擋廣告組織spamhaus 提供 DQS 服務
spamhaus 是國際組織, 旨在提供”郵件是否為垃圾郵件”的檢查服務, DQS(Data Query Service) 便是首推的新架構.
以postfix郵件伺服器為例子, 原本main.cf設定如下, 非常簡單
smtpd_recipient_restrictions =
...
reject_rbl_client zen.spamhaus.org但是近年來, spamhaus 已經不提供以上檢查服務.
spamhaus擋廣告改採用DQS方式, 而且建議不要用postfix強硬阻擋, 請整合 spamassassin 或是 rspamd 這種依分數多寡來判斷的架構比較有彈性.
以下紀錄 rspamd 啟用 DQS 設定方式:
- 申請一個spamhaus帳號
https://www.spamhaus.com/free-trial/free-trial-for-data-query-service/
免費試用30天,功能多,體驗完居然無法轉成免費帳號, 要試用要有心理準備
https://www.spamhaus.com/free-trial/sign-up-for-a-free-data-query-service-account/
免費使用,似乎要每年renew一次
申請完畢, 請到此登入 , 可以找到 Query Key , 請記下來
- 到github下載設定檔案, 並將裡面的Query Key改成自己申請的
git clone https://github.com/spamhaus/rspamd-dqs
cd rspamd-dqs
cd 3.x
# 請取代紅色部分(我們申請的Query Key)
sed -i -e 's/your_DQS_key/paxxxxxxxbji/g' *.conf rspamd.local.lua
# 若為付費帳號
cp *.conf /etc/rspamd/local.d
cp rspamd.local.lua /etc/rspamd
# 若為免費帳號
cp rbl.conf rbl_group.conf /etc/rspamd/local.d
# 檢查語法, 若成功, 重啟rspamd即可生效
rspamadm configtestrspamd 啟用 DQS 詳細設定,可參考 https://github.com/spamhaus/rspamd-dqs
- 若不想使用rspamd, spamhaus 貼心準備好各種設定, 幾乎都是複製貼上即可.
只要登入到網站,就可以點選Manual , 取得相關設定資料, 該資料直接套用登入者Query Key 呢.
Rocky Linux 9安裝let’s Encrypt
dnf install certbot
firewall-cmd --add-service=http --permanent
firewall-cmd --add-service=https --permanent
firewall-cmd --reload
# 申請mail.test.com 憑證
systemctl stop httpd
certbot certonly --standalone --preferred-challenges http -d mail.test.com
# 若要renew 請加到crontab
certbot renew --post-hook "systemctl restart httpd"Rocky Linux 9 安裝podman
dnf install podman container-tools
讓系統自動啟用podman
systemctl enable podman systemctl enable podman-restart
修改預設儲存路徑(預設是”/var/lib/containers/storage”)
mkdir -p /podman/storage
vi /etc/containers/storage.conf
讓selinux開放使用
semanage fcontext -a -e /var/lib/containers/storage /podman/storage
restorecon -R -v /podman/storage/
將新的podman storage綁定到原本的/var/lib/container
mount -o bind /podman/storage/ /var/lib/containers #上面指令綁定,若確認成功,改成開機就綁定 vi /etc/fstab /podman/storage/ /var/lib/containers bind bind 0 0
重開機,或下指令讓podman 跑起來
systemctl start podman查看修改的路徑是否生效
podman info