當(dāng)你啟動并運(yùn)行應(yīng)用服務(wù)器后,你就需要一臺好的郵件服務(wù)器來為你傳遞郵件�����。我為我所有的服務(wù)器開通了postfix郵件服務(wù)��,下面就是我常用的配置��。
CentOS 6上安裝Postfix
yum install postfix
默認(rèn)安裝了Sendmail��,所以最好將它停掉并移除���。
service sendmail stop
yum remove sendmail
Postfix包含了兩個配置文件main.cf和master.cf��,對于基本的配置,你需要修改main.cf�����。同時��,postfix可以像shell變量一樣定義參數(shù)����,并通過$來調(diào)用。這些參數(shù)不需要再使用前定義,Postfix只在運(yùn)行中需要時才會查詢某個參數(shù)�。
配置postfix
vim /etc/postfix/main.cf
去掉以下行的注釋
# 你的主機(jī)名
myhostname = yourhostname.com
# 你的發(fā)件域
myorigin = $myhostname
# 指定用于接收郵件的網(wǎng)絡(luò)接口,這里指定 localhost 是因為我們只用來接受本地的程序投遞
inet_interfaces = localhost
# 指定所使用的協(xié)議�����,可以使用“all”來增加 IPv6 支持
inet_protocols = ipv4
# 指定所接受的郵件域
mydestination = $myhostname, localhost.$mydomain, localhost
# 僅轉(zhuǎn)發(fā)本地主機(jī)的郵件����,而不是主機(jī)所在的網(wǎng)絡(luò)
mynetworks_style = host
啟動postfix
service postfix start
這些基本的postfix配置可以讓你的機(jī)器發(fā)送郵件,你可以通過發(fā)送郵件并檢查“maillog”日志文件來驗證����。
echo test mail | mail -s "test" leo@techarena51.com sudo tail -f /var/log/maillog
# 輸出的日志類似如下
Aug 25 14:16:21 vps postfix/smtp[32622]: E6A372DC065D: to=, relay=smtp.mailserver.org[50.56.21.176], delay=0.8, delays=0.1/0/0.43/0.27, dsn=2.0.0, status=sent (250 Great success)
Aug 25 14:16:21 vps postfix/qmgr[5355]: E6A372DC065D: removed
但是,上述配置并不夠���,因為郵件服務(wù)大多數(shù)時候都會被垃圾郵件擠滿�����,你需要添加SPF���、PTR和DKIM記錄。即便如此��,你的郵件仍然可能被當(dāng)作垃圾郵件來投遞,因為你的IP地址被列入了黑名單��,大多數(shù)時候是因為你的vps先前被入侵了��。
還有另外一種選擇�,或者說是更好的方式是使用第三方郵件提供商提供的郵件服務(wù),如Gmail���,或者甚至是Mailgun����。我使用Mailgun���,因為它們提供了每個月10000封免費(fèi)電子郵件����,而Gmail則提供了每天100封左右的郵件����。
在“/etc/postfix/main.cf”中�����,你需要添加“smtp.mailgun.com”作為你的“轉(zhuǎn)發(fā)主機(jī)”,并啟用“SASL”驗證����,這樣postfix就可以連接并驗證到遠(yuǎn)程Mailgun服務(wù)器。
添加或取消以下行的注釋�。
relayhost = [smtp.mailgun.org]
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps=static:your_username:your_password
smtp_sasl_security_options=noanonymous
Postfix本身不會實(shí)施“SASL”驗證,因此你需要安裝“cyrus-sasl-plain”�����。
sudo yum install cyrus-sasl-plain
如果你不安裝此包�,那么你就會收到這條錯誤信息“SASL authentication failed; cannot authenticate to server smtp.mailgun.org[50.56.21.176]: no mechanism available)”
重啟postfix
sudo service postfix restart
使用TLS加固Postfix安全
Postfix支持TLS,它是SSL的后繼者�����,允許你使用基于密鑰的驗證來加密數(shù)據(jù)�。我推薦你閱讀 http://www.postfix.org/TLS_README.html ,以了解TLS是怎么和postfix一起工作的��。
為了使用TLS����,你需要生成一個私鑰和一個由證書授權(quán)機(jī)構(gòu)頒發(fā)的證書。在本例中�,我將使用自頒發(fā)的證書��。
sudo yum install mod_ssl openssl
# 生成私鑰
openssl genrsa -out smtp.key 2048
# 生成 CSR
openssl req -new -key smtp.key -out smtp.csr
# 生成自簽名的鑰匙
openssl x509 -req -days 365 -in smtp.csr -signkey smtp.key -out smtp.crt
# 將文件復(fù)制到正確的位置
cp smtp.crt /etc/pki/tls/certs
cp smtp.key /etc/pki/tls/private/smtp.key
cp smtp.csr /etc/pki/tls/private/smtp.csr
打開postfix配置文件�����,然后添加以下參數(shù)����。
sudo vim /etc/postfix/main.cf
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/pki/tls/private/smtp.key
smtpd_tls_cert_file = /etc/pki/tls/certs
smtp_tls_CAfile = /etc/ssl/certs/ca.crt
smtp_tls_loglevel = 1
安全級別“may”意味著宣告對遠(yuǎn)程SMTP客戶端上的STARTTLS的支持�,但是客戶端不需要使用加密。我在這里按照mailgun文檔提示使用“may”�,但是如果你想要強(qiáng)制使用TLS加密,可以使用“encrypt”�����。
service postfix restart
# 發(fā)送一封測試郵件
echo test mail | mail -s "test" test@yourdomain.com sudo tail -f /var/log/maillog
你應(yīng)該會看到以下信息
Aug 21 00:00:06 vps postfix/smtp[4997]: setting up TLS connection to smtp.mailgun.org[50.56.21.176]:587
Aug 21 00:00:06 vps postfix/smtp[4997]: Trusted TLS connection established to smtp.mailgun.org[50.56.21.176]:587: TLSv1.2 with cipher AES256-GCM-SHA384 (256/256 bits)
如果一切正常���,你可以注釋掉以下參數(shù)��。
“smtp_tls_loglevel = 1”
