태그 Archives: sendmail

openDMARC 설치

기존에 구글에 대량메일을 보내기 위한 opendkim 설치 및 운용 방법을 올렸었다.

DMARC (Domain-based Message Authentication, Reporting & Conformance)

DMARC는 SPF, DKIM의 검사 결과를 기초로 TXT 레코드의 내용에 따라 메일 발송 차단, 혹은 자신의 메일 도메인을 도용한 스푸핑 메일에 대한 보고 등을 설정할 수 있는 유용한 툴 이다.

사용법은 opendkim 보다 쉽지만 일부 설정값이 dkim을 필요로 함으로 dkim 과 dmarc 를 같이 진행하는것이 좋다.

설정을 위해서는 도메인이 있어야 하며

사전에 메일 발송서버의 IP 와 DNS A 레코드에 정식등록된 서버명이 필요로 한다.

여기서 설명은 서버아이피 123.123.123.123 의 호스트네임 mail01.enteroa.com 을 기준으로 설명 한다.

설치는 CentOS7 에서 진행을 하였습니다.

1 2	~]# yum install opendmarc ~]# wget --no-check-certificate -q -N -P /etc/opendmarc https://publicsuffix.org/list/effective_tld_names.dat

설치는 끝…

설치 완료 후 vi 를 이용하여 /etc/opendmarc.conf 파일을 수정 합니다.

1 2	AuthservID mail01.enteroa.com PublicSuffixList /etc/opendmarc/effective_tld_names.dat

1 2	~]# cd /etc/mail ~]# vi sendmail.mc

sendmail.mc 파일의 하단에 opendmarc 필터를 추가합니다. (:8891 = open dkim) (:8893 = dmarc)

1	INPUT_MAIL_FILTER(`opendmarc', `S=inet:8893@127.0.0.1')dnl

make를 하고 sendmail 을 재시작 합니다.

~]# pwd

/etc/mail

~]# make

~]# systemctl restart sendmail

서버 설정이 끝났습니다.

다음은 DNS 설정으로 TXT 레코드 등록을 진행합니다. (서버연결롱 A 레코드 및 _dmarc TXT 레코드 입니다.)

1 2	mail01 IN TXT 123.123.123.123 _dmarc IN TXT v=DMARC1; p=quarantine; rua=mailto:enteroa@enteroa.com

시작서비스 등록 및 서비스 시작.

1 2	~]# systemctl enable opendmarc ~]# systemctl start opendmarc

아울러 지속적인 운영을 위해 suffix 파일을 주기적으로 업데이트 해야 합니다.

1 2	~]# touch /etc/cron.weekly/opendmarc_suffix_update.sh ~]# chmod 700 /etc/cron.weekly/opendmarc_suffix_update.sh

1 2	#!/bin/bash /usr/bin/wget --no-check-certificate -q -N -P /etc/opendmarc https://publicsuffix.org/list/effective_tld_names.dat

구글의 DMARC 메뉴얼 입니다.

https://support.google.com/a/answer/2466563?hl=ko

아래는 dmarc wiki 입니다.

https://dmarc.org/wiki/FAQ#When_can_I_expect_to_receive_my_first_aggregate_report.3F

open-DKIM 설치

Open-dkim 은 서버에 설치되어 운영 되고 발송되는 메일의 스팸처리 확률을 낮추어 주는 메일 익스텐션 이라고 보면 된다.
사이트를 운영하면서 구글에 대량메일을 보내려면 필수 적이라고 보면 된다.

회원 가입 축하메일등의 짜잘한 부분 말고 ‘ㅅ’a
뭐 안내라든가 그런거 수천통씩 보내야 할때.. 국내에서는 kisarbl 에 화이트IP를 등록하는 방법으로
보내지지만 구글한텐 안통하기 때문에 구글에서 제안한 opendkim을 서버에 설치해서 해결 하는것이다.

여기서는 CentOS6 + Sendmail 에 적용 하는 방법을 나열함. ‘ㅅ’a

open-DKIM 은 epel 레포지트리에 포함 되어 있어서 yum 으로 설치 할수 있다.

~]# yum -y install epel-release

~]# yum -y install opendkim

설치는 벌써 끝. ‘ㅅ’a

근데 open-DKIM은 설정이 어렵다 ‘ㅅ’a
폴더를 만들고.

1 2	~]# mkdir -p /etc/opendkim/keys/enteroa.com ~]# cd /etc/opendkim/keys/enteroa.com

그다음 DKIM 키를 생성한다.

~]# /usr/sbin/opendkim-genkey -D /etc/opendkim/keys/enteroa.com -d enteroa.com -s default

~]# chown -R root.opendkim /etc/opendkim/keys/enteroa.com

~]# chmod 640 /etc/opendkim/keys/enteroa.com/default.private

~]# chmod 644 /etc/opendkim/keys/enteroa.com/default.txt

이후 생성한 DKIM 정보를 아래 파일들에 삽입해야 한다 ‘ㅅ’a
/etc/opendkim/KeyTable (키테이블이 사용할 DKIM key를 선언.)

1	default._domainkey.enteroa.com enteroa.com:default:/etc/opendkim/keys/enteroa.com/default.private

/etc/opendkim/SigningTable (사용할 메일주소와 키테이블을 매칭한다.)

1 2	enteroa@enteroa.com default._domainkey.enteroa.com noreply@enteroa.com default._domainkey.enteroa.com

/etc/opendkim/TrustedHosts 이파일은 sendmail 메일의 access.db 와 기능이 설정법 및 기능이 같다.
즉 DKIM사이닝을 해줄 IP 및 사이닝을 사용할 도메인을 추가한다.

127.0.0.1

::1

enteroa.com

mail.enteroa.com

이후에 아래 명령어로 생성된 DKIM 값을 발췌해서.

~]# cat /etc/opendkim/keys/enteroa.com/default.txt

default._domainkey IN TXT ( "v=DKIM1; k=rsa; "

"p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDj0y2e92Mkp4f1DBvBOQXgGCaCfEBKsgJ7Jh4NBNtKQevMq3nLGH0RQUuo5pGKMx+p6eTNJwueh+BN2svHmQTVGfHSNk8qWg2r8Yvfycf2ijs3Mmt126yKILo0nywv3d2z2UX7JWNjPOKxcRQe4u9wtDI+o+w5uF7TjzbidZnhowIDAQAB" ) ; ----- DKIM key default for enteroa.kr

DNS 서버의 zone 파일에서 아래와 같이 TXT 값을 삽입한다. – 괄호랑 주석은 제거한다. ‘ㅅ’a

@ IN TXT "spf1 include:enteroa.com ~all"

default._domainkey IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQDj0y2e92Mkp4f1DBvBOQXgGCaCfEBKsgJ7Jh4NBNtKQevMq3nLGH0RQUuo5pGKMx+p6eTNJwueh+BN2svHmQTVGfHSNk8qWg2r8Yvfycf2ijs3Mmt126yKILo0nywv3d2z2UX7JWNjPOKxcRQe4u9wtDI+o+w5uF7TjzbidZnhowIDAQAB;"

/etc/opendkim.conf 을 아래와 같이 수정한다.

## BASIC OPENDKIM CONFIGURATION FILE

PidFile /var/run/opendkim/opendkim.pid

Mode sv

Syslog yes

SyslogSuccess yes

LogWhy yes

UserID opendkim:opendkim

Socket inet:8891@localhost

Umask 002

SendReports yes

SoftwareHeader yes

Canonicalization relaxed/relaxed

Selector default

MinimumKeyBits 1024

KeyTable /etc/opendkim/KeyTable

SigningTable refile:/etc/opendkim/SigningTable

ExternalIgnoreList refile:/etc/opendkim/TrustedHosts

InternalHosts refile:/etc/opendkim/TrustedHosts

OversignHeaders From

그후 서비스 시작 및 init.d에 등록.

1 2	~]# /etc/init.d/opendkim start ~]# chkconfig --level 2345 opendkim on

자 이제 sendmail 에 open-DKIM 연결고리만 만들어 주면 된다 ‘ㅅ’b
/etc/mail/sendmail.mc 파일에 아래와 같은 내용을 삽입한다.

1	INPUT_MAIL_FILTER(`opendkim', `S=inet:8891@127.0.0.1')dnl

그후에 적용 및 sendmail 재시작.

~]# cd /etc/mail

~]# make 혹은 m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

~]# service sendmail restart

그후에 메일 발송 테스트를 해서 메일 헤더에 DKIM-Signature 부분이 삽입이 되었는지 확인한다 ‘ㅅ’b
구글 메일로 메일을 발송하고 아래와 같이 확인한다.

TLS통신을 위한 Public Certificate 발급&갱신

dovecot, sendmail, proftpd, pure-ftpd 를 위한 개인인증서 발급 혹은 갱신용 스크립트 이다.

#!/bin/bash

check_cert="/etc/pki/tls/certs/sendmail.pem"

make_cert() {

cd /etc/pki/tls/certs

ln -s /etc/pki/tls/certs /etc/ssl/private 2>/dev/null

ssl_cnf_temp="/tmp/openssl_temp.cnf"

echo "KR" > $ssl_cnf_temp

echo "Seoul" >> $ssl_cnf_temp

echo "company_name" >> $ssl_cnf_temp

echo "system_engineer_team" >> $ssl_cnf_temp

echo "$HOSTNAME" >> $ssl_cnf_temp

echo "engineer@xxxxxxx.com" >> $ssl_cnf_temp

make sendmail.pem < /tmp/openssl_temp.cnf 2>/dev/null # sendmail.pem

cat sendmail.pem > pure-ftpd.pem # pure-ftpd.pem

openssl req `locale -c LC_CTYPE -k|grep -q charmap.*UTF-8 && echo -utf8` \

-newkey rsa:2048 -keyout /etc/ssl/private/proftpd.key \

-nodes -x509 -days 365 -out /etc/ssl/private/proftpd.crt \

-set_serial 0 < $ssl_cnf_temp 2>/dev/null # proftpd.key, proftpd.crt

cd /etc/mail

make

/etc/init.d/sendmail restart

/etc/init.d/dovecot restart

rm -f $ssl_cnf_temp

}

if [[ -e $check_cert ]];then

cert_expire=`openssl x509 -noout -text -in $check_cert|awk '/Not After :/{print $4,$5,$7}'`

cert_expire_date=`date +"%Y%m%d" -d "$cert_expire"`

two_weeks_after=`date +"%Y%m%d" -d "2 weeks"`

if [[ $two_weeks_after -gt $cert_expire_date ]];then

make_cert;

else

make_cert;

스크립트 설명 : sendmail.pem 인증서의 만료일 2주 미만으로 남았거나 인증서가 없으면 생성해준다.

cron 에 등록하여 일주일에 한번 정도씩 돌려주면 개인인증서 갱신 걱정 없이 사용할 수 있겠다.

vi /etc/cron.weekly/public_cert_make.sh 이런 위치에 넣어두면 일주일에 한번씩 돈다 ‘ㅅ’a

chmod 700 /etc/cron.weekly/public_cert_make.sh 해둬야 돈다 . 잊지 말자.

아래 설정값은 플레인 로그인을 막는 설정이 아니다.

1. dovecot – STARTTLS 설정( /etc/dovecot/conf.d/10-ssl.conf )

ssl = yes

ssl_cert = </etc/pki/tls/certs/sendmail.pem

ssl_key = </etc/pki/tls/certs/sendmail.pem

ssl_ca = </etc/pki/tls/certs/ca-bundle.crt

평문 패스워드 막는건 /etc/dovecot/conf.d/10-auth.conf 파일의 disable_plaintext_auth 옵션이다.

2. sendmail – STARTTLS 설정( /etc/mail/sendmail.mc )

1 2	~]# cd /etc/mail ~]# vi sendmail.mc

define(`confCACERT_PATH', `/etc/pki/tls/certs')dnl

define(`confCACERT', `/etc/pki/tls/certs/ca-bundle.crt')dnl

define(`confSERVER_CERT', `/etc/pki/tls/certs/sendmail.pem')dnl

define(`confSERVER_KEY', `/etc/pki/tls/certs/sendmail.pem')dnl

DAEMON_OPTIONS(`Port=smtps, Name=TLSMTA, M=s')dnl

dnl define(`confAUTH_OPTIONS', `A p')dnl

confAUTH_OPTIONS 는 주석 처리 해버린다 ‘ㅅ’a

1 2	~]# make ~]# /etc/init.d/sendmail restart

평문 패스워드 막는건 define(confAUTH_OPTIONS', A p’)dnl 이렇게 주석 제거 하고 하면 된다.

( TLS연결 테스트 : https://starttls.info ) 혹은 아래 명령어.

1 2	~]# openssl s_client -starttls smtp -connect localhost:25 ~]# openssl s_client -starttls pop3 -connect localhost:110

3. proftpd – FTP over TLS 설정( /etc/proftpd.conf )

TLSEngine on

TLSProtocol SSLv23

TLSOptions NoCertRequest AllowClientRenegotiations

TLSRSACertificateFile /etc/pki/tls/certs/proftpd.crt

TLSRSACertificateKeyFile /etc/pki/tls/certs/proftpd.key

TLSVerifyClient on

TLSRequired off

</IfModule>

평문 패스워드 막는건 TLSRequired 값을 on 으로 하면 된다.

4. pure-ftpd – FTP over TLS 설정( /etc/pure-ftpd/pure-ftpd.conf )

TLS 1

평문 패스워드 막는건 TLS 값을 2 으로 하면 된다.