群晖无公网自建邮件服务器

Security Classification: 【C-1】 | Publish Time:2024-06-24 | Category:Test Notes | Edit
Old Version | Diff |
Expiry Notice: The article was published three months ago. Please independently assess the validity of the technical methods and code mentioned within. :)

AI Summary: 本文讨论了自建邮件服务器的原因、基础设施、邮件发送原理、端口穿透及配置域名解析等步骤。自建的好处包括数据管控和避免第三方泄露，但也面临伪造邮件无法识别的问题。通过使用DKIM验证可以缓解此问题，同时提到发信打分的挑战，尤其是家庭宽带IP与邮件服务器的关联性。最后建议通过脚本自动修正SPF记录或使用其他SMTP服务器来优化发件效果。 --- (From Model:gpt-4o-mini-2024-07-18)

## 为什么自建？

1、数据不再托管，自己管控、审核内容。避免三方泄露数据与未授权查看数据。
2、挖群晖漏洞。

## 基础设施

1、未ban 25端口的服务器（推荐华为云香港，境外不ban）
2、群晖一台，可装mailplus。

## 理解邮件发送原理

略。

## 端口穿透

在套件中心安装完MailPlus后，我们需要把一些端口代理出去。群晖可以装npc，nps安装也非常快。

``` bash
    1  2024-06-23 19:37:34 root lsof -i :25  //华为云安装的centos7出厂自己会占用25端口，找到pid kill掉就行
    2  2024-06-23 19:37:51 root curl cip.cc 
    3  2024-06-23 19:38:39 root wget https://github.com/ehang-io/nps/releases/download/v0.26.10/linux_amd64_server.tar.gz //nps版本自选
    4  2024-06-23 19:38:52 root ls
    5  2024-06-23 19:39:18 root tar -zxvf linux_amd64_server.tar.gz //解压
    6  2024-06-23 19:39:22 root cd nps
    7  2024-06-23 19:39:24 root ls
    8  2024-06-23 19:39:30 root ls -al
    9  2024-06-23 19:39:51 root sudo ./nps install //安装
   10  2024-06-23 19:40:02 root vim /etc/nps/conf/nps.conf //编辑配置
```

这样nps就装好了，群晖装npc只需要套件中心安装即可。最后应该转发了这些端口：

![](https://img.meituan.net/imgupload/88d848581f6ad2b77b15bd08b3766a3152336.png)

## 配置域名解析

![](https://img.meituan.net/imgupload/5342e253e7598f5d748fd13d7a4198d295263.png)

获取DKIM公钥，前缀需要与解析记录_domainkey之前一致

![](https://img.meituan.net/imgupload/e1411c46dd32ab52f868936f28bcf36e1171208.png)

## 统计

| 邮服A  |  邮服B | A->B  |  B->A |
| ------------ | ------------ | ------------ | ------------ |
|  self | gmail  |  进垃圾箱 | 正常收信  |
|  self | qq  |  正常 | 正常  |
|  self | outlook  |  正常 | 正常  |
|  self | 163  |  正常 | 正常  |

目前看就gmail异常，但是都能收到信。

## 弊端

### 伪造邮件无法识别

发现开启了SPF验证，任何邮箱都无法通过SPF验证。原因是走的内网穿透，实际将数据传递到内网25端口的是设备群晖，也就是IP192.168.1.xx，这将丢失原服务IP，对方服务器SPF记录是不可能记录我们的内网IP的，也就通不过SPF校验，导致退信。

**关闭验证后正常，但是这也导致天然弊端，我们无法识别伪造邮件。**

目前我的缓解方式是做dkim验证，QQ邮箱、gmail、outlook等大邮件提供商均支持dkim验证，日常使用不受影响。对没有走dkim认证的（一样会收到邮件），提高警惕。

后续的方案是开发一个agent，监控25端口流量，自实现smtp协议进行安全校验，通过校验则向内网25端口转发，并记录数据到数据库，否则直接在网关侧拦截垃圾邮件。

### 发信打分

发送给QQ邮箱没有进入垃圾箱,去https://www.mail-tester.com/ 打个分。

![](https://img.meituan.net/imgupload/4c8f29607a1f996f0f77deb8b06b51ee242410.png)

先忽略html内容错误，主要扣分项在于，群晖发送邮件使用的IP是家庭宽带ip，而家庭宽带ip与mail服务器无关联。这样会导致发送邮件的ip地址无法通过认证。如果是公网ip的话又不需要内网穿透了，暂时是无解的。不过好在大部分邮箱目前都没有进垃圾箱，也可以给账户单独配置一个smtp服务器代理QQ邮箱来进行发件。这样收发内容都会存在服务器，发件会在QQ邮箱等平台存在数据。

还有就是spf设置的ip地址后续家庭宽带nat之后会改变，这样评分又会降低了。所以建议用脚本自动修正域名的spf记录，或者还是发件的时候使用其他smtp服务器吧。

Web3 Info

The ownership of the data in this article is secured by blockchain encryption technology and smart contracts, and is solely owned by the creator.

Comment List

Comment

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint

群晖无公网自建邮件服务器

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as ReproducedPlease contact the blogger for authorization to reprint

© Copyright: This article is an original work and the copyright belongs to the Depy's docs unless marked as Reproduced

Please contact the blogger for authorization to reprint