לאבחון של שרתי דואר יש חלק משמעותי בהבטחת פעולת הדוא"ל הנכונה. זה מאפשר לזהות ולפתור בעיות הקשורות לשליחה, קבלה ועיבוד של הודעות דואר אלקטרוני. אחד מגורמי המפתח לאבחון הוא השימוש במסננים בשרתי דואר, המספקים הגנה מפני דואר זבל, וירוסים ואיומי אבטחה אחרים.
מאמר זה יבחן הן שירותים חיצוניים המסייעים בבדיקת פעולת שרת הדואר מהצד, והן כלים פנימיים המאפשרים להפעיל אבחון ישירות על השרת. כל הפעולות, כדוגמה, יבוצעו על א שרת פרטי מופעל על ידי אובונטו 20.04.6 OS עם פתרון מוגדר בצורה של Postfix ו-Dovecot, עם זאת, השיטות המוצגות ישימות כמעט לכל מערכת הפעלה ולקוחות דואר.
שירותים מקוונים לבדיקת שרתי דואר
השלב הראשון והחשוב ביותר הוא אימות באמצעות שירותים מקוונים חיצוניים. כך תוכלו לבדוק את שרת הדואר עבור חשיפות, הגדרות SPF, DKIM ו-DMARC, וגם לבדוק את המוניטין של כתובות IP שמהן נשלח האימייל. ברוב המקרים, שימוש בכלים אלו בלבד עשוי להוביל לתוצאות רצויות.
הבה נבחן בפירוט את שירותי האימות העיקריים ואת הפונקציונליות שלהם:
MxToolBox מאפשר לנו לבדוק כמעט את כל הפרמטרים הזמינים של שרתי הדואר. השירות מספק כלים לבדיקת כל רשומות הדומיין, זמינות דומיינים כללית, בדיקת תעודות SSL, סטטוס כתובת IP ועוד ועוד. כדי לאבחן, אתה צריך ללכת ל- דף שירות, הזן את כתובת ה-IP או הדומיין, בחר בכלי הדרוש והפעל את הסימון
רשימה מפורטת של כל הכלים הזמינים מוצגת בצילום המסך:
כפי שניתן לראות לעיל, האתר גם בודק את נוכחותו של IP/דומיין ברשימות שחורות. כל המקורות העיקריים נבדקים: Spamhaus, Barracuda, SURBL ועוד רבים אחרים. אם הכתובת נמצאת במאגר מידע כלשהו, השירות יספק מידע על הסיבות להרשמה השחורה. בדרך זו, תוכל לנקוט באמצעים לתיקון הבעיה.
MailTester הוא הכלי השני הפופולרי ביותר לבדיקת שרת דואר. שירות זה מאפשר למשתמשים לשלוח מייל בדיקה לכתובת ייחודית, ולאחר מכן לקבל דוח מפורט על איכות ההודעה שנשלחה. שלא כמו MxToolBox, משאב זה מתמקד יותר לא באבחון שרת הדואר, אלא אולי בשיפור הדוא"ל. עם זאת, אין זה אומר שהשירות אינו מסוגל לבצע ניתוח מלא של השרת של השולח. הוא בודק משלוח דואר, עורך מחקר ונותן המלצות לשיפור שירות הדואר בכללותו.
על מנת להשלים את הבדיקה, פשוט עבור אל אתר האינטרנט של המשאב וקבל כתובת דוא"ל ייחודית שאליה תרצה לשלוח מייל. לאחר השליחה, עליך לבחור "בדוק הערכה" ולהמתין עד שהדף יתרענן. תוצאה טובה נראית כך:
בכל מקרה של בעיה או המלצות, השירות ידווח על כך בחלק המתאים בדוח.
השירותים הנ"ל מספיקים לבדיקה מלאה של שרת הדואר מהצד. הם מאפשרים לך לזהות בעיות אפשריות במשלוח דואר אלקטרוני, לבדוק את הגדרות האבטחה שלך, וגם לקבל המלצות לפתרון שגיאות אפשריות. לאחר מכן, נבצע בדיקות בצד השרת.
בדיקת הגדרות שרת הדואר
בדיקת רשומות DNS
אחת הבעיות הנפוצות ביותר בצד שרת הדואר היא תצורת רשומות DNS שגויה. אתה יכול לבדוק את נכונותם באמצעות שירותי הצד השלישי הנזכרים לעיל. עם זאת, במקרים מסוימים, ייתכן שהמייל פשוט לא יימסר לתיבת דואר של צד שלישי. במקרה זה, עליך לבדוק ידנית את כל הערכים. כדי לעשות זאת, עבור אל עורך ה-DNS והפעל את הבדיקה. כדוגמה, ניקח את הנתונים הבאים כנתוני המקור: domain profit.com, כתובת IP 11.22.33.44, כאשר @ יכול לשמש כשם התחום, אם הרשם אינו מאפשר מילוי טופס זה. אל תשכח לשנות את הערכים לשלך. אל תשכח לשנות את הערכים לשלך.
A רשום להגדיר את כתובות ה-IP של שרתי דואר. במילים פשוטות, הם מפנים את הדומיין לכתובת שרת הדואר. זה אמור להיראות כך:
| סוּג | מארח | ערך | TTL |
| A | @ | 11.22.33.44 | 1 דקות |
MX רשום הם החשובים ביותר עבור שרת דואר, הם אחראים על מסלול משלוח הדואר. במילים אחרות, הם מפנים את הדואר לתיבת דואר.
| סוּג | מארח | ערך | TTL |
| MX | @ | mail.profit.com | 1 דקות |
רשומות SPF להצביע על שרתים שמסוגלים לשלוח מיילים מדומיין ספציפי. שימו לב: הם מתפרסמים כ-TXT. רק אחד מהערכים האפשריים מצוין.
| סוּג | מארח | ערך | TTL |
| TXT | @ | v=spf1 ip4:11.22.33.44 -all | 1 דקות |
שיא DKIM הוא משמש לאימות האותנטיות של אימייל. חייב להכיל את שנוצר ציבורי מַפְתֵחַ. כמו כן, רק אחת מאפשרויות הערך מצוינת.
| סוּג | מארח | ערך | TTL |
| TXT | s1._domainkey.profit.com | v=DKIM1; k=rsa; p=QWIOJNDSLUB… | 1 דקות |
DMARC ההקלטה היא שלב ההגנה הבא והאחרון. זה חל על מיילים שלא עברו SPF ו-DKIM בדיקות.
| סוּג | מארח | ערך | TTL |
| TXT | _dmarc.profit.com | v=DMARC1; p=none; pct=100; rua=mailto:[מוגן בדוא"ל] | 1 דקות |
כמו כן, אחת הרשומות החשובות ביותר עבור שרת דואר היא שיא PTR. ניתן לומר שזה עובד הפוך ל- הקלטה, כלומר, הוא מחבר כתובת IP עם דומיין. ניתן להוסיף רשומה מסוג זה רק באמצעות בקשה לתמיכה הטכנית של ספק האירוח, וניתן לבדוק אותה באמצעות הפקודה: IP של nslookup, כאשר IP היא כתובת השרת שלך. התגובה צריכה להציג את הדומיין המקושר.
בדיקת נמלים
בעיות ביציאות סגורות יכולות גם להוביל לתקלה מלאה בשרת הדואר. קודם כל יש לברר עם הספק האם יש הגבלות על היציאות הנחוצות בצד שלו. אנחנו לא מגבילים לקוחות למספר היציאות הפתוחות בכל אחת מהן מוקדש or שרת וירטואלי. עם זאת, ספקי שירותי אירוח רבים פועלים אחרת.
אתה יכול לבדוק את היציאות הפתוחות באמצעות המותקן מראש netstat תוֹעֶלֶת. זה מספיק כדי להזין את הפקודה:
netstat – natכאשר שרת SMTP/IMAP/POP3 מותקן ומוגדר, נראה את היציאות הפתוחות המתאימות:
כפי שאנו עשויים לראות בצילום המסך, יציאות לקוח הדואר הראשיות פתוחות, כלומר: SMTP (25) / IMAPS (143, 993) / POP3S (110, 995). אתה יכול גם לבדוק את שירות הדואר בכל יציאה בנפרד. ה Telnet הכלי יעזור לך עם זה. בואו נסתכל על הדוגמה של POP3, כלומר, יציאה 110:
telnet mail.yourdomain.com 110
אנו יוצאים מהכלי עם יציאה פקודה ובדוק את היציאות הנחוצות הנותרות לפי אותו עיקרון. שימו לב שכלי זה נותן גם הזדמנות לבדוק שליחת מיילים ללא שימוש בממשק נוסף. זה יכול להיות שימושי במקרים שבהם המשתמש רק צריך להגדיר את השרת ומתכנן לשלוח מיילים באופן מקומי.
במקרה של קשיים בעת פתיחת יציאות, עליך לשים לב לחומת האש המותקנת. רוב ההפצות מגיעות עם Iptables/Firewalld מותקן מראש.
בעד iptables אנו משתמשים בפקודות הבאות:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPTעבור חומת אש:
firewall-cmd --permanent --add-port=25/tcp
firewall-cmd --permanent --add-port=110/tcp
firewall-cmd --permanent --add-port=995/tcp
firewall-cmd --permanent --add-port=143/tcp
firewall-cmd --permanent --add-port=993/tcpבמקרים מסוימים, שירות ה-SMTP דורש גם פתיחת יציאות 465 ו-587 לצורך פעולה נכונה. פתיחת יציאות אלו מתרחשת באותו אופן. הפעל מחדש את שירות חומת האש לאחר הוספת כללים חדשים.
בדיקת תעודות SSL/TLS של שרת הדואר
תעודות SSL/TLS משמשות בשרת הדואר להבטחת העברת נתונים מאובטחת בין לקוח הדואר לשרת, וכן מאשרות את האותנטיות של שרת הדואר של השולח עצמו, ומבטלות את האפשרות של התקפות אדם-באמצע. עם זאת, הם עלולים גם לגרום לבעיות בשליחת או קבלה של מיילים. כדי להפעיל אבחון, עליך לברר אם אישורים מותקנים בצד השרת. בואו נבדוק את נוכחות האישור עם הפקודה הבאה:
openssl s_client -showcerts -server mail.profit.com -connect IP:portבפקודה זו, עליך להחליף את הערכים בערכים שלך: "mail.profit.com" היא הכתובת של שרת הדואר; IP: יציאה הוא נתוני השרת. כדוגמה, בואו נבדוק פורט 993, השייך ל IMAP פּרוֹטוֹקוֹל. פרוטוקולים אחרים נבדקים באותו אופן.
בתגובה, על השרת לשלוח את נתוני האישור:
רוב לקוחות הדואר מתקינים אישורים באופן אוטומטי. עם זאת, במקרים מסוימים, יש צורך לשחרר אותם באופן ידני ולהוסיף אותם ללקוח ספציפי. פלטפורמות שונות עשויות לדרוש התקנה ותצורה אינדיבידואלית, לכן אנו ממליצים לך לעיין בהוראות לפתרון ספציפי. אנו ממליצים להשתמש בואו להצפין כאישור, ושימוש ב-Certbot ככלי עזר להתקנתו ולתצורתו.
בדיקת יומנים
לבסוף, הגענו לפתרון שעוזר ברוב המקרים אם בכלל - בדיקת יומני שרת הדואר. רוב המשתמשים משלים את עצמם, חושבים על היעדר פתרון הבעיה שלהם. עם זאת, לקוחות דואר מודרניים מאחסנים כמות גדולה של מידע ביומנים:
- תאריך ושעה של שליחת וקבלת מיילים.
- כתובת השולח והנמען.
- סינון תוצאות עבור דואר זבל ווירוסים.
- מצב התור לשליחת וקבלת מיילים.
- פעולות של מנהלים ומשתמשים הקשורים לשרת הדואר (לדוגמה, יצירה, מחיקה של תיבות דואר, שינוי הגדרות).
- שגיאות ובעיות שעלו במהלך עיבוד ומסירת מיילים.
הספרייה הסטנדרטית שבה מאוחסנים היומנים של רוב הפקודות נמצאת בכתובת: /var/log/. בהתאם לפתרון שבו נעשה שימוש, השם של קובץ היומן הספציפי עשוי להשתנות. לדוגמה, ה קובץ mail.log הוא ממוקם באותה ספרייה עבור Postfix. אנו לא ממליצים לך להזניח את שיטת האבחון הזו ולהשתמש ביומנים ברגע שמופיעים הסימנים הראשונים לביצועים גרועים של לקוח הדואר. אנא קרא את המדריך שלנו כיצד לקרוא יומני לינוקס.
הבנת איך לבדוק שרת דואר
ביצענו אבחון מפורט של שרת הדואר. במהלך הבדיקה, הושפעו גם כלים מקוונים למחקר מפורט וגם פתרונות מקומיים לאיתור בעיות אפשריות. לאחר ביצוע כל הבדיקות הדרושות, התקבלה תמונה מלאה של המצב הנוכחי של שרת הדואר, כמו גם המלצות לביטול קשיים פוטנציאליים.
