2023年1月2日 Daniel.y
群晖Synology Mail Server可以用于搭建免费的企业邮箱,不限用户数也不限邮箱容量。常规的安装流程在群晖的官方网站中有介绍,在此就不再赘述。这里主要介绍一些注意事项和疑难问题解决经验。
安全性设置
搭建自己的邮箱服务器面临最大的挑战是如何防止收到垃圾邮件和防止别人认为自己发出去的邮件是垃圾邮件。这是通过Mail Server的安全性设置完成的,还需正确设置域名DNS解析。具体要点如下:
启用SMTP认证,且要求发件人名称和登录名称必须相同:防止有人用你的邮件服务器来滥发邮件,避免被别人把服务器加入黑名单。
启用SPF验证:对收到的邮件需要验证发件人的ip地址是否来自发件人域名DNS中规定的合法ip。
启用DMARC:检查收到邮件的DKIM签名是否合法,签名的公钥在发件人的域名DNS中可以查到。
启用DKIM:对自己发出去的邮件进行签名,便于接受方验证。DKIM选择器前缀是签名标识,可以随便填,生成的公共密钥需和选择器前缀需要按要求登记在自己的域名DNS中。后文会介绍。
域名DNS设置
为了让接受我们邮件的服务器验证我们发出邮件的合法性,避免绝收邮件或把邮件放到垃圾邮箱,需要为我们的邮件服务器正确设置DNS。
MX记录:指向我们邮件服务器的主机名,对方向我们发送邮件时通过它找到我们服务器的ip地址。例如:smtp.xxxx.com. (xxxx.com为公司的域名)。当然DNS中应该有一条解析smtp.xxxx.com. 主机名的记录。
SPF记录:说明我们对外发送邮件的服务器的ip地址,接受邮件者会检查发送者的ip是否在其中,不在其中直接拒收邮件。格式比较复杂多样,具体格式参照群晖官方文档有说明。
DKIM记录:主机名填写的是选择器前缀加上“._domainkey”,例如:abc._domainkey,其中abc为前文中的启用DKIM中填写的选择器前缀。接受我们邮件的服务器会根据邮件签名上的选择器前缀找到这条记录,并使用本记录中的公开名钥对邮件的签名进行验证。签名验证失败将按照下一条DMARC记录的指指示处理。
DMARC记录:指示邮件接受这如何处理DKIM签名检验失败的邮件。具体格式参照群晖官方文档有说明。
邮件服务器IP地址相关问题
许多企业的互联网出口IP都是动态地址,这个给搭建邮件服务器造成很大问题。虽然动态IP的可以通过DDNS来实现域名解析。但是动态IP地址通常会被加入到了垃圾邮件黑名单(Spamhaus PBL)中,而且无法自行申请撤销。这回导致发出去的邮件被大部分接受者拒收,特别是海外的邮件服务器一般都会拒收来自动态IP的邮件。解决的方案有两种:
通过smpt中继服务代发邮件。市场上有相关的服务商,可以通过购买相关服务来解决。也可以自己主用云服务器搭建smtp中继服务来解决。smtp中继服务的搭建不在本文中讨论。
在互联出口路由上搭建“秘密”通道,把邮件服务器发送邮件的流量(访问外部25端口)转发到自己租用的有固定ip的云服务器上,通过该服务器转发相关流量,让接收者认为邮件来源于租用的ip。具体实现方法也不在本文中讨论。
需要注意的是目前租用云服务器默认会屏蔽其对外访问25端口,及禁止作为邮件发送服务器使用。可以向云服务商申请解封,以便都有自助申请解封界面,非常简单。
邮件服务器的SSL证书
邮件客户端与服务器发送和接受邮件,其它邮件服务器向我们发送邮件,一般都要求使用SSL连接。因此我们需要为我们的邮件间服务器申请SSL证书。对于邮件客户端来说,邮件发送服务器的域名通常为smtp.xxxx.com,邮件接受服务器的域名通常为pop.xxxx.com,MX记录的域名通常与邮件发送服务器同名,为smtp.xxxx.com。因此我们需要未这两个域名各申请一个SSL证书。腾讯云上有免费的一年期SSL证书可以申请,推荐使用。
证书申请下来后,通过DSM后台中的控制面板的“安全性/证书”入口,可以把证书导入,并设置“MailServer-postfix”使用smtp域名对应的证书,“MailServer-dovecot”使用pop域名对应的证书。证书设置好后,可以通过以下linux命令检查证书是否设置正确:
openssl s_client -connect smtp.xxxx.com:25 -starttls smtp
openssl s_client -connect smtp.xxxx.com:587 -starttls smtp
openssl s_client -connect smtp.xxxx.com:465
openssl s_client -connect pop.xxxx.com:993
openssl s_client -connect pop.xxxx.com:995观察以上命令输出的结果,看证书的域名是否与你期望的一致。
接受含域名的用户名登录
目前的邮件客户端(Foxmail等)连接邮件服务器的时候,默认把含有域名的整个邮件地址作为用户名送给邮件服务器。然而Synology Mail Server默认配置仅接受不含域名的群晖用户名。因此,导致配置邮件客户端的时候经常会说访问出错,需要去掉账户名后面的域名(连同域名前的@也一起去掉)。可以通过以下设置让邮件服务器登录接受含域名的用户名:
用户超级用户通过ssh登录群晖,进入MailServer App的配置目录
cd /volume1/@appstore/MailServer/etc修改etc/template/main.template文件,在最后增加内容:
# 让postfix使用dovecot认证用户
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth修改/etc/dovecot/conf.d/10-auth.conf文件
#auth_username_format = %Lu
#认证时去掉域名仅保留用户名
auth_username_format = %n
#设置dovecot认证监听socket
service auth {
unix_listener /var/spool/postfix/private/auth {
mode = 0660
user = postfix
group = postfix
}
}进入套件中心重新启动Mail Server服务,重新启动Mail Station服务文章来源:https://www.toymoban.com/news/detail-466979.html
(完)文章来源地址https://www.toymoban.com/news/detail-466979.html
到了这里,关于群晖免费邮件服务器Mail Server搭建心德的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
