Значную ролю ў забеспячэнні карэктнай працы электроннай пошты гуляе дыягностыка паштовых сервераў. Гэта дазваляе выяўляць і вырашаць праблемы, звязаныя з адпраўкай, атрыманнем і апрацоўкай паведамленняў электроннай пошты. Адным з ключавых фактараў дыягностыкі з'яўляецца выкарыстанне фільтраў на паштовых серверах, якія забяспечваюць абарону ад спаму, вірусаў і іншых пагроз бяспекі.
У артыкуле будуць разгледжаны як знешнія сэрвісы, якія дапамагаюць збоку праверыць працу паштовага сервера, так і ўнутраныя сродкі, якія дазваляюць праводзіць дыягностыку непасрэдна на серверы. Усе дзеянні, напрыклад, будуць выконвацца на a прыватны сервер працуе на базе АС Ubuntu 20.04.6 з наладжаным рашэннем у выглядзе Postfix і Dovecot, аднак прадстаўленыя метады дастасавальныя практычна для любой аперацыйнай сістэмы і паштовых кліентаў.
Онлайн сэрвісы для праверкі паштовага сервера
Першы і самы важны крок - праверка з дапамогай знешніх онлайн-сэрвісаў. Такім чынам вы можаце праверыць паштовы сервер на прадмет уздзеяння, налады SPF, DKIM і DMARC, а таксама праверыць рэпутацыю IP-адрасоў, з якіх адпраўляецца электронная пошта. У большасці выпадкаў выкарыстанне толькі гэтых сродкаў можа прывесці да жаданых вынікаў.
Спынімся дэталёва з асноўнымі службамі праверкі і іх функцыянальнасцю:
MxToolBox дазваляе праверыць практычна ўсе даступныя параметры паштовых сервераў. Паслуга прадастаўляе інструменты для праверкі ўсіх запісаў дамена, агульнай даступнасці дамена, праверкі сертыфікатаў SSL, стану IP-адраса і многае іншае. Каб паставіць дыягназ, трэба звярнуцца да ст старонка службы, увядзіце IP-адрас або дамен, абярыце неабходны інструмент і запусціце праверку
Падрабязны спіс усіх даступных інструментаў паказаны на скрыншоце:
Як паказана вышэй, вэб-сайт таксама правярае наяўнасць IP/дамена ў чорных спісах. Правераныя ўсе асноўныя крыніцы: Spamhaus, Barracuda, SURBL і многія іншыя. Калі адрас знаходзіцца ў якой-небудзь базе дадзеных, сэрвіс выдасць інфармацыю аб прычынах занясення ў чорны спіс. Такім чынам, вы зможаце прыняць меры для ліквідацыі праблемы.
MailTester з'яўляецца другім па папулярнасці інструментам для праверкі паштовага сервера. Гэты сэрвіс дазваляе карыстальнікам адправіць тэставае электроннае паведамленне на унікальны адрас, а затым атрымаць падрабязную справаздачу аб якасці адпраўленага паведамлення. У адрозненне ад MxToolBox, гэты рэсурс больш арыентаваны не на дыягностыку паштовага сервера, а на магчымае паляпшэнне электроннай пошты. Аднак гэта не значыць, што сэрвіс не здольны правесці поўны аналіз сервера адпраўніка. Ён тэстуе дастаўку пошты, праводзіць даследаванні і дае рэкамендацыі па ўдасканаленні паштовай службы ў цэлым.
Каб завяршыць праверку, проста перайдзіце на сайт рэсурсу і атрымаць унікальны адрас электроннай пошты, на які вы хочаце адправіць ліст. Пасля адпраўкі вы павінны выбраць «Праверыць ацэнку» і пачакаць, пакуль старонка абновіцца. Добры вынік выглядае так:
У выпадку ўзнікнення праблем або рэкамендацый сэрвіс паведаміць пра гэта ў адпаведным раздзеле справаздачы.
Вышэйпералічаных сэрвісаў дастаткова для поўнай праверкі паштовага сервера збоку. Яны дазваляюць выявіць магчымыя праблемы з дастаўкай электроннай пошты, праверыць параметры бяспекі, а таксама атрымаць рэкамендацыі па вырашэнні магчымых памылак. Далей мы правядзем тэставанне на баку сервера.
Праверка налад паштовага сервера
Праверка запісаў DNS
Адной з самых частых праблем на баку паштовага сервера з'яўляецца няправільная канфігурацыя запісаў DNS. Праверыць іх правільнасць можна з дапамогай вышэйзгаданых старонніх сэрвісаў. Аднак у некаторых выпадках ліст можа проста не быць дастаўлены ў паштовую скрыню трэцяга боку. У гэтым выпадку варта ўручную праверыць усе запісы. Для гэтага зайдзіце ў рэдактар DNS і запусціце праверку. У якасці зыходных дадзеных возьмем, напрыклад, дамен profit.com, IP-адрас 11.22.33.44, дзе ў якасці даменнага імя можна выкарыстоўваць @, калі рэгістратар не дазваляе запаўняць гэтую форму. Не забудзьцеся змяніць значэнні на свае. Не забудзьцеся змяніць значэнні на свае.
A ўлік вызначыць IP-адрасы паштовых сервераў. Прасцей кажучы, яны накіроўваюць дамен на адрас паштовага сервера. Гэта павінна выглядаць так:
| тып | Гаспадар | значэнне | TTL |
| A | @ | 11.22.33.44 | 1 мін |
MX ўлік найбольш важныя для паштовага сервера, яны адказваюць за маршрут дастаўкі пошты. Іншымі словамі, яны накіроўваюць пошту ў паштовую скрыню.
| тып | Гаспадар | значэнне | TTL |
| MX | @ | mail.profit.com | 1 мін |
Запісы SPF паказваюць на серверы, якія могуць адпраўляць электронныя лісты з пэўнага дамена. Звярніце ўвагу: яны публікуюцца ў фармаце TXT. Пазначаецца толькі адно з магчымых значэнняў.
| тып | Гаспадар | значэнне | TTL |
| TXT | @ | v=spf1 ip4:11.22.33.44 -all | 1 мін |
Запіс DKIM ёсць выкарыстоўваецца для праверкі сапраўднасці электроннай пошты. Павінен утрымліваць згенераваны грамадскасці ключ. Сапраўды гэтак жа паказваецца толькі адзін з варыянтаў значэнняў.
| тып | Гаспадар | значэнне | TTL |
| TXT | s1._domainkey.profit.com | v=DKIM1; k=rsa; p=QWIOJNDSLUB… | 1 мін |
DMARC запіс з'яўляецца наступным і апошнім этапам абароны. Гэта датычыцца электронных лістоў, якія не прайшлі SPF і DKIM праверкі.
| тып | Гаспадар | значэнне | TTL |
| TXT | _dmarc.profit.com | v=DMARC1; p=няма; адсотак=100; rua=mailto:[электронная пошта абаронена] | 1 мін |
Акрамя таго, адным з найбольш важных запісаў для паштовага сервера з'яўляецца PTR запіс. Можна сказаць, што ён працуе адваротна Рэкорд, гэта значыць злучае IP-адрас з даменам. Гэты тып запісу можа быць дададзены толькі праз запыт у службу тэхнічнай падтрымкі хостынг-правайдэра і можа быць правераны з дапамогай каманды: nslookup IP, дзе IP - гэта адрас вашага сервера. Адказ павінен адлюстроўваць звязаны дамен.
Праверка порта
Праблемы з закрытымі партамі таксама могуць прывесці да поўнага збою ў працы паштовага сервера. Перш за ўсё, варта ўдакладніць у правайдэра, ці няма з яго боку абмежаванняў на неабходныя парты. Мы не абмяжоўваем кліентаў колькасцю адкрытых партоў ні на адным прысвечаных or віртуальныя серверы. Аднак многія пастаўшчыкі паслуг хостынгу дзейнічаюць па-рознаму.
Вы можаце праверыць адкрытыя парты з дапамогай прадусталяванага NetStat карыснасць. Дастаткова ўвесці каманду:
netstat – natКалі сервер SMTP/IMAP/POP3 усталяваны і настроены, мы ўбачым адпаведныя адкрытыя парты:
Як мы бачым на скрыншоце, адкрыты асноўныя парты паштовага кліента, а менавіта: SMTP (25) / IMAPS (143, 993) / POP3S (110, 995). Вы таксама можаце праверыць паштовую службу на кожным порце асобна. The Telnet інструмент дапаможа вам у гэтым. Давайце паглядзім на прыкладзе POP3, гэта значыць порта 110:
telnet mail.yourdomain.com 110
Выходзім з інструмента з дапамогай выхад і праверце астатнія неабходныя парты па тым жа прынцыпе. Звярніце ўвагу, што гэты інструмент таксама дае магчымасць праверыць адпраўку лістоў без выкарыстання дадатковага інтэрфейсу. Гэта можа спатрэбіцца ў тых выпадках, калі карыстальніку проста неабходна наладзіць сервер і ён плануе адпраўляць электронную пошту лакальна.
Пры ўзнікненні цяжкасцяў пры адкрыцці партоў неабходна звярнуць увагу на ўсталяваны Firewall. Большасць дыстрыбутываў пастаўляецца з Iptables/брандмаўэр загадзя ўсталяваны.
Для Iptables мы выкарыстоўваем наступныя каманды:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPTДля брандмаўэра:
firewall-cmd --permanent --add-port=25/tcp
firewall-cmd --permanent --add-port=110/tcp
firewall-cmd --permanent --add-port=995/tcp
firewall-cmd --permanent --add-port=143/tcp
firewall-cmd --permanent --add-port=993/tcpУ некаторых выпадках служба SMTP таксама патрабуе адкрыцця партоў 465 і 587 для карэктнай працы. Адкрыццё гэтых партоў адбываецца такім жа чынам. Перазапусціце службу брандмаўэра пасля дадання новых правілаў.
Праверка сертыфікатаў SSL/TLS паштовага сервера
Сертыфікаты SSL/TLS выкарыстоўваюцца на паштовым серверы для забеспячэння бяспечнай перадачы даных паміж паштовым кліентам і серверам, а таксама пацвярджаюць сапраўднасць самога паштовага сервера адпраўніка, выключаючы магчымасць нападаў чалавека пасярэдзіне. Аднак яны таксама могуць выклікаць праблемы з адпраўкай або атрыманнем лістоў. Для запуску дыягностыкі неабходна даведацца, ці ўсталяваны сертыфікаты на баку сервера. Давайце праверым наяўнасць сертыфіката з дапамогай наступнай каманды:
openssl s_client -showcerts -server mail.profit.com -connect IP:portУ гэтай камандзе вам трэба замяніць значэнні на свае: "mail.profit.com" - адрас паштовага сервера; IP:порт гэта дадзеныя сервера. У якасці прыкладу давайце праверым порт 993, які належыць да IMAP пратакол. Такім жа чынам правяраюцца і іншыя пратаколы.
У адказ сервер павінен адправіць дадзеныя сертыфіката:
Большасць паштовых кліентаў усталёўваюць сертыфікаты аўтаматычна. Аднак у некаторых выпадках іх неабходна ўручную вызваліць і дадаць у пэўны кліент. розныя платформы могуць патрабаваць індывідуальнай ўстаноўкі і налады, таму мы рэкамендуем вам звярнуцца да інструкцый для канкрэтнага рашэння. Рэкамендуем выкарыстоўваць давайце Encrypt у якасці сертыфіката, і з выкарыстаннем Certbot ў якасці дапаможнага інструмента для яго ўстаноўкі і канфігурацыі.
Праверка часопісаў
Нарэшце, мы прыйшлі да рашэння, якое дапамагае ў большасці выпадкаў - праверка журналаў паштовага сервера. Большасць карыстальнікаў падманваюць сябе, думаючы аб адсутнасці рашэння сваёй праблемы. Аднак сучасныя паштовыя кліенты захоўваюць у часопісах вялікую колькасць інфармацыі:
- Дата і час адпраўкі і атрымання лістоў.
- Адрас адпраўніка і атрымальніка.
- Фільтрацыя вынікаў на спам і вірусы.
- Стан чаргі на адпраўку і атрыманне лістоў.
- Дзеянні адміністратараў і карыстальнікаў, звязаныя з паштовым серверам (напрыклад, стварэнне, выдаленне паштовых скрынь, змяненне налад).
- Памылкі і праблемы, якія ўзніклі падчас апрацоўкі і дастаўкі лістоў.
Стандартны каталог, у якім захоўваюцца журналы большасці каманд, знаходзіцца па адрасе: /вар/часопіс/. У залежнасці ад выкарыстоўванага рашэння назва канкрэтнага файла часопіса можа адрознівацца. Напрыклад, файл mail.log знаходзіцца ў тым жа каталогу для Postfix. Мы не рэкамендуем вам грэбаваць гэтым метадам дыягностыкі і выкарыстоўваць логі, як толькі з'яўляюцца першыя прыкметы дрэннай працы паштовага кліента. Калі ласка, прачытайце наша кіраўніцтва як чытаць журналы Linux.
Разуменне таго, як праверыць паштовы сервер
Мы правялі дэталёвую дыягностыку паштовага сервера. Падчас тэставання закраналіся як онлайн-інструменты для дэталёвага даследавання, так і лакальныя рашэнні для выяўлення магчымых праблем. Пасля правядзення ўсіх неабходных тэстаў была атрымана поўная карціна бягучага стану паштовага сервера, а таксама рэкамендацыі па ліквідацыі магчымых цяжкасцяў.
