群晖无公网自建邮件服务器 密级: 【C-1】 | 时间:2024-06-24 | 目录:测试笔记 | 编辑本文 上一版本 | 版本差异 | ## 为什么自建? 1、数据不再托管,自己管控、审核内容。避免三方泄露数据与未授权查看数据。 2、挖群晖漏洞。 ## 基础设施 1、未ban 25端口的服务器(推荐华为云香港,境外不ban) 2、群晖一台,可装mailplus。 ## 理解邮件发送原理 略。 ## 端口穿透 在套件中心安装完MailPlus后,我们需要把一些端口代理出去。群晖可以装npc,nps安装也非常快。 ``` bash 1 2024-06-23 19:37:34 root lsof -i :25 //华为云安装的centos7出厂自己会占用25端口,找到pid kill掉就行 2 2024-06-23 19:37:51 root curl cip.cc 3 2024-06-23 19:38:39 root wget https://github.com/ehang-io/nps/releases/download/v0.26.10/linux_amd64_server.tar.gz //nps版本自选 4 2024-06-23 19:38:52 root ls 5 2024-06-23 19:39:18 root tar -zxvf linux_amd64_server.tar.gz //解压 6 2024-06-23 19:39:22 root cd nps 7 2024-06-23 19:39:24 root ls 8 2024-06-23 19:39:30 root ls -al 9 2024-06-23 19:39:51 root sudo ./nps install //安装 10 2024-06-23 19:40:02 root vim /etc/nps/conf/nps.conf //编辑配置 ``` 这样nps就装好了,群晖装npc只需要套件中心安装即可。最后应该转发了这些端口: ![](https://img.meituan.net/imgupload/88d848581f6ad2b77b15bd08b3766a3152336.png) ## 配置域名解析 ![](https://img.meituan.net/imgupload/5342e253e7598f5d748fd13d7a4198d295263.png) 获取DKIM公钥,前缀需要与解析记录_domainkey之前一致 ![](https://img.meituan.net/imgupload/e1411c46dd32ab52f868936f28bcf36e1171208.png) ## 统计 | 邮服A | 邮服B | A->B | B->A | | ------------ | ------------ | ------------ | ------------ | | self | gmail | 进垃圾箱 | 正常收信 | | self | qq | 正常 | 正常 | | self | outlook | 正常 | 正常 | | self | 163 | 正常 | 正常 | 目前看就gmail异常,但是都能收到信。 ## 弊端 ### 伪造邮件无法识别 发现开启了SPF验证,任何邮箱都无法通过SPF验证。原因是走的内网穿透,实际将数据传递到内网25端口的是设备群晖,也就是IP192.168.1.xx,这将丢失原服务IP,对方服务器SPF记录是不可能记录我们的内网IP的,也就通不过SPF校验,导致退信。 **关闭验证后正常,但是这也导致天然弊端,我们无法识别伪造邮件。** 目前我的缓解方式是做dkim验证,QQ邮箱、gmail、outlook等大邮件提供商均支持dkim验证,日常使用不受影响。对没有走dkim认证的(一样会收到邮件),提高警惕。 后续的方案是开发一个agent,监控25端口流量,自实现smtp协议进行安全校验,通过校验则向内网25端口转发,并记录数据到数据库,否则直接在网关侧拦截垃圾邮件。 ### 发信打分 发送给QQ邮箱没有进入垃圾箱,去https://www.mail-tester.com/ 打个分。 ![](https://img.meituan.net/imgupload/4c8f29607a1f996f0f77deb8b06b51ee242410.png) 先忽略html内容错误,主要扣分项在于,群晖发送邮件使用的IP是家庭宽带ip,而家庭宽带ip与mail服务器无关联。这样会导致发送邮件的ip地址无法通过认证。如果是公网ip的话又不需要内网穿透了,暂时是无解的。不过好在大部分邮箱目前都没有进垃圾箱,也可以给账户单独配置一个smtp服务器代理QQ邮箱来进行发件。这样收发内容都会存在服务器,发件会在QQ邮箱等平台存在数据。 还有就是spf设置的ip地址后续家庭宽带nat之后会改变,这样评分又会降低了。所以建议用脚本自动修正域名的spf记录,或者还是发件的时候使用其他smtp服务器吧。 评论列表 写评论 您的IP:3.147.48.82,临时用户名:a9445038评论已接入DepyWAF审计与流量系统,请勿频繁操作导致IP拉黑 提交评论 © 版权声明:非标注『转载』情况下本文为原创文章,版权归 Depy's docs 所有,转载请联系博主获得授权。