12/08/2018, 16:12

Zimbra Mail Server on CentOS (Part 2)

Iptables là dịch vụ tường lửa để giới hạn quyền truy cập vào server thông qua các cổng. Sửa file config của iptables để giới hạn cổng nào được mở để truy cập và giới hạn IP có thể truy cập vào cổng đó. Ví dụ để chạy các dịch vụ Zimbra mail, ta cần mở các port bằng cách thêm các dòng ssau vào file ...

Iptables là dịch vụ tường lửa để giới hạn quyền truy cập vào server thông qua các cổng. Sửa file config của iptables để giới hạn cổng nào được mở để truy cập và giới hạn IP có thể truy cập vào cổng đó. Ví dụ để chạy các dịch vụ Zimbra mail, ta cần mở các port bằng cách thêm các dòng ssau vào file config của iptables:

-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 25 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 110 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 143 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 465 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 993 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 995 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 389 -j ACCEPT -s 210.245.52.0/24
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 7071 -j ACCEPT -s 210.245.52.0/24

Sau khi lưu lại, ta tiến hành khởi động lại dịch vụ iptables.

service iptables restart chkconfig iptables on

5.1. Bản ghi MX (Mail Exchange Record):

Bản ghi MX dùng để khai báo máy chủ chuyển thư điện tử tới của một tên miền. Cấu trúc của 1 bản ghi MX gồm có:

    - Tên record: nhập @ hoặc domain name (ukgate.net) 
	- Loại record:  MX
	- Giá trị MX: chính là giá trị priority mà mail server bạn sử dụng yêu cầu (số càng nhỏ, ưu tiên càng cao)
	- Giá trị record: nhập mail.ukgate.net
	- Time to live (TTL)  

5.2. Bản ghi SPF (sender policy framework):

SPF là 1 kiểu bản ghi của dịch vụ tên miển (DNS)được dùng để xác định máy chủ mail được quyền gửi mail đại diện cho domain của bạn. Mục đích của bản ghi SPF là ngăn chặn kẻ gởi tin rác gởi tin nhắn giả mạo từ địa chỉ tên miền của bạn. Người nhận có thể tham chiếu đến bản ghi SPF để xác định liệu nội dung tin nhắn tới từ domain của bạn có được thẩm quyền từ máy chủ mail. Cấu trúc của bản ghi SPF:

	- Tên record:  @ hoặc domain_name (ukgate.net)
	- Loại record: TXT
	- Địa chỉ: v=spf1 a mx ip4:*ip-address* mx:*domain-name* ~all

5.3. Bản ghi DKIM

Cài đặt DKIM trên CentOS:

yum install opendkim

Sau đó sửa file opendkim.conf theo một số dòng sau:

AutoRestart             Yes
AutoRestartRate         10/1h
LogWhy                  Yes
Syslog                  Yes
SyslogSuccess           Yes
Mode                    sv
Canonicalization        relaxed/simple
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
SigningTable            refile:/etc/opendkim/SigningTable
SignatureAlgorithm      rsa-sha256
Socket                  inet:8891@localhost
PidFile                 /var/run/opendkim/opendkim.pid
UMask                   022
UserID                  opendkim:opendkim
TemporaryDirectory      /var/tmp

Để tiến hành sinh DKIM record, ta thực hiện lệnh

/opt/zimbra/libexec/zmdkimkeyutil -a -d ukgate.net

Truy cập vào địa chỉ http://dkimcore.org/tools/keycheck.html để kiểm tra xem key record sinh ra có hợp lệ hay không. Nếu hợp lệ (như trong hình). Ta tiến hành lưu bản ghi trên trang quản lí domain. Trên trang quản lí domain, ta cần thêm các bản ghi cần thiết (bản ghi A, MX, 2 bản ghi SPF và DKIM có dạng là TXT) thể có thể sử dụng dịch vụ:

Giao diện quản lí của Admin, tổng quan bao gồm phiên bản Zimbra, tình trạng của server, số lượng tài khoản sử dụng trong hệ thống, ... và một số tùy chọn quản lí, cấu hình dịch vụ thuộc cột bên trái: Giao diện đăng nhập của người dùng: Sau khi đăng nhập thành công sẽ xuất hiện giao diện gồm một số dịch vụ như mail, calendar, chat, drive (beta), ....

Tiến hành gửi thư cho 1 tài khoản gmail để kiểm tra dịch vụ. Mail đã được gửi thành công, vào xem chi tiết ta thấy: Phần định danh "được gửi bởi: ukgate.net" có được là nhờ bản ghi SPF.

Chúc các bạn thành công khi xây dựng hệ thống mail cho riêng công ty mình!

0