Важливу роль у забезпеченні коректної роботи електронної пошти відіграє діагностика поштових серверів. Він дозволяє виявляти та вирішувати проблеми, пов’язані з надсиланням, отриманням та обробкою повідомлень електронної пошти. Одним із ключових факторів діагностики є використання фільтрів на поштових серверах, які забезпечують захист від спаму, вірусів та інших загроз безпеки.
У цій статті будуть розглянуті як зовнішні сервіси, які допомагають збоку перевірити роботу поштового сервера, так і внутрішні інструменти, що дозволяють проводити діагностику безпосередньо на сервері. Усі дії, як приклад, виконуватимуться на a приватний сервер працює на базі ОС Ubuntu 20.04.6 із налаштованим рішенням у вигляді Postfix і Dovecot, проте представлені методи застосовні практично до будь-якої операційної системи та поштових клієнтів.
Онлайн-сервіси для перевірки поштового сервера
Перший і найважливіший крок – перевірка за допомогою зовнішніх онлайн-сервісів. Таким чином ви можете перевірити поштовий сервер на наявність уражень, параметри SPF, DKIM і DMARC, а також перевірити репутацію IP-адрес, з яких надсилається електронна пошта. У більшості випадків використання лише цих засобів може призвести до бажаних результатів.
Розглянемо докладніше основні сервіси верифікації та їх функціонал:
MxToolBox дозволяє перевірити майже всі доступні параметри поштових серверів. Сервіс надає інструменти для перевірки всіх записів домену, загальної доступності домену, перевірки сертифікатів SSL, статусу IP-адреси та багато іншого. Щоб провести діагностику, потрібно звернутися до сервісна сторінка, введіть IP-адресу або домен, виберіть потрібний інструмент і запустіть перевірку
Детальний список усіх доступних інструментів наведено на скріншоті:
Як видно вище, веб-сайт також перевіряє наявність IP/домену в чорних списках. Перевірені всі основні джерела: Spamhaus, Barracuda, SURBL та багато інших. Якщо адреса є в будь-якій базі, сервіс надасть інформацію про причини потрапляння в чорний список. Таким чином, ви зможете вжити заходів для вирішення проблеми.
MailTester є другим за популярністю інструментом для перевірки поштового сервера. Цей сервіс дозволяє користувачам надіслати тестовий електронний лист на унікальну адресу, а потім отримати детальний звіт про якість надісланого повідомлення. На відміну від MxToolBox, цей ресурс більше орієнтований не на діагностику поштового сервера, а на можливе покращення електронної пошти. Однак це не означає, що сервіс не здатний провести повний аналіз сервера відправника. Він тестує доставку пошти, проводить дослідження та дає рекомендації щодо вдосконалення поштового сервісу в цілому.
Щоб завершити перевірку, просто перейдіть на сторінку сайт ресурсу і отримати унікальну адресу електронної пошти, на яку ви хочете надіслати електронний лист. Після надсилання необхідно вибрати «перевірити оцінку» та дочекатися оновлення сторінки. Хороший результат виглядає так:
У разі виникнення проблем або рекомендацій сервіс повідомить про це у відповідному розділі звіту.
Перерахованих вище сервісів достатньо для повної перевірки поштового сервера з боку. Вони дозволяють виявити можливі проблеми з доставкою електронної пошти, перевірити налаштування безпеки, а також отримати рекомендації щодо усунення можливих помилок. Далі ми проведемо тестування на стороні сервера.
Перевірка налаштувань поштового сервера
Перевірка записів DNS
Однією з найпоширеніших проблем на стороні поштового сервера є неправильна конфігурація записів DNS. Ви можете перевірити їх правильність за допомогою вищевказаних сторонніх сервісів. Однак у деяких випадках електронний лист може просто не бути доставленим у сторонню поштову скриньку. У цьому випадку вам слід вручну перевірити всі записи. Для цього зайдіть в редактор DNS і запустіть перевірку. Для прикладу візьмемо в якості вихідних даних домен profit.com, IP-адреса 11.22.33.44, де в якості доменного імені можна використовувати @, якщо реєстратор не дозволяє заповнювати цю форму. Не забудьте змінити значення на власні. Не забудьте змінити значення на власні.
A облік визначити IP-адреси поштових серверів. Простіше кажучи, вони спрямовують домен на адресу поштового сервера. Це має виглядати так:
| тип | Господар | значення | TTL |
| A | @ | 11.22.33.44 | 1 хв |
MX облік є найважливішими для поштового сервера, вони відповідають за маршрут доставки пошти. Іншими словами, вони направляють пошту до поштової скриньки.
| тип | Господар | значення | TTL |
| MX | @ | mail.profit.com | 1 хв |
Записи SPF вказують на сервери, які можуть надсилати електронні листи з певного домену. Зверніть увагу: вони публікуються як TXT. Вказується тільки одне з можливих значень.
| тип | Господар | значення | TTL |
| TXT | @ | v=spf1 ip4:11.22.33.44 -all | 1 хв |
Запис DKIM є використовується для перевірки автентичності електронного листа. Має містити згенерований громадськість ключ. Так само вказується тільки один із варіантів значення.
| тип | Господар | значення | TTL |
| TXT | s1._domainkey.profit.com | v=DKIM1; k=rsa; p=QWIOJNDSLUB… | 1 хв |
Розширення DMARC запис є наступним і останнім етапом захисту. Це стосується електронних листів, які не пройшли SPF і DKIM перевірки.
| тип | Господар | значення | TTL |
| TXT | _dmarc.profit.com | v=DMARC1; p=немає; відсоток=100; rua=mailto:[захищено електронною поштою] | 1 хв |
Крім того, одним із найважливіших записів для поштового сервера є PTR запис. Можна сказати, що він працює зворотно до Запис, тобто з’єднує IP-адресу з доменом. Цей тип запису можна додати лише через запит до служби технічної підтримки хостинг-провайдера, а перевірити його можна командою: nslookup IP, де IP – адреса вашого сервера. У відповіді має відображатися зв’язаний домен.
Перевірка портів
Проблеми із закритими портами також можуть призвести до повної несправності поштового сервера. Перш за все, необхідно уточнити у провайдера, чи немає з його боку обмежень на необхідні порти. Ми не обмежуємо кількість відкритих портів для клієнтів присвячених or віртуальні сервери. Однак багато постачальників послуг хостингу діють інакше.
Ви можете перевірити відкриті порти за допомогою попередньо встановлених NetStat корисність. Досить ввести команду:
netstat – natПісля встановлення та налаштування сервера SMTP/IMAP/POP3 ми побачимо відповідні відкриті порти:
Як бачимо на скріншоті, відкриті основні порти поштового клієнта, а саме: SMTP (25) / IMAPS (143, 993) / POP3S (110, 995). Ви також можете перевірити поштову службу на кожному порту окремо. The Telnet інструмент допоможе вам у цьому. Розглянемо приклад POP3, тобто порт 110:
telnet mail.yourdomain.com 110
Виходимо з інструменту за допомогою вихід і перевірте інші необхідні порти за тим же принципом. Зверніть увагу, що цей інструмент також дає можливість перевірити надсилання електронних листів без використання додаткового інтерфейсу. Це може бути корисним у випадках, коли користувачеві просто потрібно налаштувати сервер і він планує надсилати пошту локально.
При виникненні труднощів при відкритті портів необхідно звернути увагу на встановлений Firewall. Більшість дистрибутивів постачається з Iptables/Firewalld попередньо встановлено.
Для Iptables ми використовуємо такі команди:
iptables -A INPUT -p tcp --dport 25 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
iptables -A INPUT -p tcp --dport 995 -j ACCEPT
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 993 -j ACCEPTДля брандмауера:
firewall-cmd --permanent --add-port=25/tcp
firewall-cmd --permanent --add-port=110/tcp
firewall-cmd --permanent --add-port=995/tcp
firewall-cmd --permanent --add-port=143/tcp
firewall-cmd --permanent --add-port=993/tcpУ деяких випадках служба SMTP також вимагає відкрити порти 465 і 587 для коректної роботи. Відкриття цих портів відбувається таким же чином. Перезапустіть службу брандмауера після додавання нових правил.
Перевірка SSL/TLS сертифікатів поштового сервера
Сертифікати SSL/TLS використовуються на поштовому сервері для забезпечення безпечної передачі даних між поштовим клієнтом і сервером, а також підтверджують автентичність самого поштового сервера відправника, усуваючи можливість атак типу "людина посередині". Однак вони також можуть спричинити проблеми з надсиланням або отриманням листів. Для запуску діагностики необхідно з'ясувати, чи встановлені сертифікати на стороні сервера. Перевіримо наявність сертифіката такою командою:
openssl s_client -showcerts -server mail.profit.com -connect IP:portУ цій команді вам потрібно замінити значення на власні: "mail.profit.com" - адреса поштового сервера; IP: порт це дані сервера. Для прикладу перевіримо порт 993, що належить до IMAP протокол. Інші протоколи перевіряються таким же чином.
У відповідь сервер повинен надіслати дані сертифіката:
Більшість поштових клієнтів встановлюють сертифікати автоматично. Однак у деяких випадках необхідно вручну звільнити та додати їх до конкретного клієнта. різні платформи можуть вимагати індивідуальної установки та конфігурації, тому ми рекомендуємо вам звернутися до інструкцій для конкретного рішення. Рекомендуємо використовувати Давай шифрувати як сертифікат, а також використання Certbot як допоміжний інструмент для його встановлення та налаштування.
Перевірка журналів
Нарешті ми прийшли до рішення, яке допомагає у більшості випадків, якщо такі взагалі є, — перевірка журналів поштового сервера. Більшість користувачів обманюють себе, думаючи про відсутність вирішення своєї проблеми. Однак сучасні поштові клієнти зберігають у журналах велику кількість інформації:
- Дата і час відправлення та отримання листів.
- Адреса відправника та одержувача.
- Фільтрація результатів на спам і віруси.
- Стан черги на відправлення та отримання листів.
- Дії адміністраторів і користувачів, пов'язані з поштовим сервером (наприклад, створення, видалення поштових скриньок, зміна налаштувань).
- Помилки та проблеми, що виникли під час обробки та доставки електронних листів.
Стандартний каталог, у якому зберігаються журнали більшості команд, знаходиться за адресою: /змінна/журнал/. Залежно від використовуваного рішення назва конкретного файлу журналу може відрізнятися. Наприклад, файл mail.log є знаходиться в тому ж каталозі для Postfix. Ми не рекомендуємо вам нехтувати цим методом діагностики та використовувати логи, як тільки з’являються перші ознаки поганої роботи поштового клієнта. Прочитайте наш посібник як читати журнали Linux.
Розуміння того, як перевірити поштовий сервер
Ми провели детальну діагностику поштового сервера. Під час тестування постраждали як онлайн-інструменти для детального дослідження, так і локальні рішення для виявлення можливих проблем. Після проведення всіх необхідних тестів була отримана повна картина поточного стану поштового сервера, а також рекомендації щодо усунення можливих труднощів.
