NAS & Mail Server架設經驗

蟑螂化石
個人積分：130分
文章編號：59952882

130分

樓主

2016-04-22 18:24

網路上針對NAS的介紹不少，但總各自表述自己的功能，所以要整體的串起，需要不斷的Try and Error才會成功。
其中拜讀過：
1. http://walker-a.com/archives/2477
2. http://my-fish-it.blogspot.tw/2014/10/ss-mail-server-windows-ad.html
3. https://www.synology.com/zh-tw/knowledgebase/DSM/tutorial/Application/How_to_set_up_your_domain_with_Synology_DNS_Server
4. http://www.mobile01.com/topicdetail.php?f=494&t=3152597
5. http://www.mobile01.com/topicdetail.php?f=494&t=2805634
繁多無法逐一列舉～～～～～

因為朋友的關係，所以開啟了小弟的架站經驗分享，當然背後還有兩三位朋友的鼎力協助與諮詢顧問，才得以順利結束。

小弟也不吝分享完整的架設過程，讓大家都有機會自己搞一下！

基本準備：
已申請的Domain name(此處假設為aaa.com.tw)
(您可在此免費申請http://twbbs.org/)
PS. 免費申請通常都有DNS服務，讓一般使用者不需要而外的DNS Server，在此我們是以自架DNS Server為範例。
中華電信網路(可以申請一個固定IP，是免費的喔！！)
NAS一台 (小弟採用的是Synology 716+)
NAS & Mail Server架設經驗

NAS軟體：
DNS Server
NAS & Mail Server架設經驗

Mail Server
NAS & Mail Server架設經驗

首先，請先確認您是否以申請固定IP，如果不知如何申請，請參閱以下網頁：
http://service.hinet.net/2004/adslstaticip_query.php

如果固定IP已確認申請，請記錄下您的固定IP。
在此我們假設固定IP為222.222.222.222
NAS & Mail Server架設經驗

進入中華電信的小烏龜
先確認小烏龜的虛擬IP，請在執行中鍵入"cmd"指令。
NAS & Mail Server架設經驗

在此畫面中鍵入"ipconfig"指令。
在此我們假設小烏龜的虛擬IP為192.168.0.1
NAS & Mail Server架設經驗

請開啟網頁，並在網址列上鍵入 "192.168.0.1"
在帳號密碼部分，請鍵入 user / user
網路上有最高權限的帳密分享，如果您沒有特殊的需求與改機，則不建議您使用，直接使用user登入即可。

登入後，請先點選"Connection Setup中的WAN，變更您的使用者名稱。
由原先的
1234567@hinet.net
變更為
1234567@ip.hinet.net
完成後，請點選儲存並重新啟動小烏龜(移除電源30秒 ~ 1分鐘)
這個動作是為了確保您毎次的撥號，都可以取得中華電信提供的固定IP (222.222.222.222)
NAS & Mail Server架設經驗

前段的準備動作完成後，我們已可以明確的取得固定IP對外，所以開始針對內部與大網路的設定與宣告。

首先，我們先設定NAS上的DNS Server：
NAS & Mail Server架設經驗

轄區管理 ==> 新增 ==> Master 轄區
NAS & Mail Server架設經驗

依序直接填入完整網域名稱：aaa.com.tw
NAS & Mail Server架設經驗

點選剛建立的轄區：
並依序新增A ==> NS ==> MX的種類
NAS & Mail Server架設經驗

A:
名稱：建議填入ns(或是您可以自己定義，此部分會影響後續的郵件主機的設定)
TTL：建議先改為3600
IP位置：222.2222.222.222(請填入固定IP)
NAS & Mail Server架設經驗

NS：
名稱：可不填
TTL：建議改為3600
主機網域：ns.aaa.com.tw
NAS & Mail Server架設經驗

MX：
名稱：可不填
TTL：建議改為3600
優先權：建議填入10
主機/網域：222.222.222.222(請填入固定IP)
NAS & Mail Server架設經驗

完成後，有以下的服務畫面！
NAS & Mail Server架設經驗

再調整解析服務，如下：
NAS & Mail Server架設經驗

確認設定：

完成以上，是針對DNS的設定，但是因為中華電信他們本身有DNS的代管，預設都是中華電信，所以我們要自行去
中華電信的網頁修改，請前往以下網頁：
https://domain.hinet.net/
NAS & Mail Server架設經驗

點選英文網域 ==> DNS異動與查詢，請登入帳號與密碼，進行設定。
登入後，請填寫
DNS Server Name ==> ns.aaa.com.tw
IP Address ==> 222.222.222.222
因為規定要寫兩行，您可以填一樣的喔！
NAS & Mail Server架設經驗

完成後，請等待24Hr的網路發佈。

mail server設定：

首次設定，需開啟以下服務：
使用者帳號 ==> 進階設定 ==> 啟動家目錄服務(打勾)
NAS & Mail Server架設經驗

啟動/點選 Mail Server
NAS & Mail Server架設經驗

進入SMTP設定，如下：
主要是主機名稱的填入，其他可略做微調，但是如果您的前端有防火牆，就要另外的設定避免無法收發的可能。

主機名稱：aaa.com.tw
NAS & Mail Server架設經驗

進入IMAP / POP3：
如無法確定哪一種通訊方式，建議全部勾選。
NAS & Mail Server架設經驗

等待24小時候，您就可以用NAS上的帳號與密碼收發mail了！！！！
OotLook的設定在此就不多做解說，請自行上網查詢嚕！

PS.
如果以上的設定完成後24小時還是無法正常收發mail，那建議再次連線小烏龜(192.168.0.1)，登入帳密一樣使用user。
增加調整以下：
1. Firewell ==> WALN MAC Filter ==> Port Forwarding ==> add
NAS & Mail Server架設經驗

2. 首先在Select Service下拉選單中，選擇Domin Name Server (NDS)
NAS & Mail Server架設經驗

3. 在Server IP address填入NAS的內部IP (192.168.0.xxx)
NAS & Mail Server架設經驗

4. 依序增加Mail(POP3)與Mail(SMTP)，在Server IP address均填入NAS的內部IP (192.168.0.xxx)
NAS & Mail Server架設經驗

原則上，以此步驟，應可正常使用了喔！！！

2016-04-22 18:24 發佈

文章關鍵字 NAS 架設經驗 MAIL SERVER

EluSiOn

EluSiOn
個人積分：346分
文章編號：59953257

346分

2樓

2016-04-22 19:09

但是請小心

1. 建議所有進來的 email, 看看寄信方的 mail server ip 是否在 RBL 上面? 最好設置直接 block (spamassassin)
2. 建議所有進來的 email, 先讓 clamav 掃一遍後, 才丟到使用者的 maildir 或是 mbox
3. 建議開啟 spamassassin 的 autolearn, 自動 white list 從你 email server 發到的 email address.
4. 建議使用 imap 勝過於 pop3. 而且最好是使用 IMAPS.

Oneplus 8 Pro• Thinkpad T480s• PVE6+OMV4+NextCloud

smgm1234

smgm1234
個人積分：0分
文章編號：59954615

0分

3樓

2016-04-22 21:50

大大中華電信現在應該沒提供 IP反查了吧應該會收不到信 ???

還是小弟沒UPDATA

蟑螂化石

蟑螂化石
個人積分：130分
文章編號：59961137

130分

樓主

2016-04-23 14:57

EluSiOn wrote:
但是請小心1. 建...(恕刪)

謝謝大人大的建議與提醒，小弟會再研究補強安全性的部份！！

蟑螂化石

蟑螂化石
個人積分：130分
文章編號：59961149

130分

樓主

2016-04-23 14:57

smgm1234 wrote:
大大中華電信現...(恕刪)

我肯定是可以正常收發mail!!!

被蟑螂綁架的豬

被蟑螂綁架的豬
個人積分：97分
文章編號：59962097

97分

6樓

2016-04-23 17:00

問個imap問題，若信箱空間只有1G
用imaps收信，一天好幾百封，會不會很容易爆？前幾天看到業助，一早數百封信收下來，傻眼，問了他說正常信大概有一百多封

目前用pop3s收信，許多國內外業務經年累月下來，pst檔加起來超過40g(已請他們要壓縮並定期備份到儲存設備)

若用自建主機，含歸檔稽核功能，硬碟儲存空間需求是否要以兩倍*用戶來計算？

EluSiOn wrote:
但是請小心1. 建議...(恕刪)

EluSiOn

EluSiOn
個人積分：346分
文章編號：59962282

346分

7樓

2016-04-23 17:23

IMAPS 的好處是

1. 集中管理以及備份郵件.
2. 準備離職員工無法刪除過去重要郵件 (如果你有做差異備份)
3. 作為所有 email 的儲存碟或是 pool, 開啟 Compression. 你會看到 3TB 的 email storage 被壓縮到 1.X TB 多. 因為 email 主要是 txt 壓縮比非常高. 有 S牌的網友說 btrfs 安裝些套件後, 是可以開啟 compression 的. 參考 https://forum.synology.com/enu/viewtopic.php?t=116553
4. 目前越來越多 BYOD. 使用者希望可以在手機/平板/筆電/甚至公用電腦上, 可以看到所有過去的 email, 如果使用 pop3 那麼就做不到了.
5. 不會有 pst 損毀那麼所有信件, 造成全部 email 遺失
6. 頻寬可以更好控管, imaps client 都可以設定多少 kb 以上的 email 只抓 header. 然後抓取過去 3~6個月的 email 同步在設備上. 這種模式可以避免每天早上一上班時, 每個人的 email 都在抓取, 造成網路塞車, 人人都看不到 email 的問題. (這部分就算是開 QoS 也無用, 只是拖累大家更慢抓取 email 的速度)
7. 如果有多 NAS 的話, 可以建立所謂的 cold storage. email 透過篩選的模式, 可以把兩年舊的 email 放到 cold storage 上, 並且設定成為"唯讀"模式

Inbox Folder 是 2016 年的 email
從 2014 之前的 email 基本上透過 NFS Mount 其實是放到 Cold Storage NAS 上面. 在 cold storage 的 email 就不用太擔心備份的問題了.
Spam Folder 也有開 autolearn, 讓 user 訓練 spamassassin 把他們認為的垃圾郵件丟到那個資料夾內.

一天好幾百封 email 如果全部都是要處理的公事, 那個業助應該每天無法下班吧. 這部分應該包含了太多的垃圾郵件, 所以 SA spamassassin 一定要安裝運行. 再來就是 imaps 伺服器是可以擁有所謂的 Share Folder 的概念, 參考 http://www.iredmail.org/docs/mailbox.sharing-zh_CN.html, 其實很多 email 未來不需要 CC 給其它人, 而是把需要分享的 email 丟到不同群組的 share folder. 這種模式可以減少大量的 email box 空間.

P.S. DKIM 可以減少你的 email server 被當成 spam email server https://zh.wikipedia.org/zh-tw/DKIM

Oneplus 8 Pro• Thinkpad T480s• PVE6+OMV4+NextCloud

被蟑螂綁架的豬

被蟑螂綁架的豬
個人積分：97分
文章編號：59965116

97分

8樓

2016-04-23 23:06

非常感謝
5. 不會有 pst 損毀那麼所有信件, 造成全部 email 遺失
損毀問題常發生，幸好都是有救的

7.如果有多 NAS 的話, 可以建立所謂的 cold storage. email 透過篩選的模式, 可以把兩年舊的 email 放到 cold storage 上, 並且設定成為"唯讀"模式
這是直接用NAS收所有人的信嗎？然後歸檔在cold storage上？

我司是有垃圾郵件過濾了，該用戶真的是一天有一百多封要看，但他還是能準時下班
猜想大部分只是cc給他看過而已~ 不過很忙是真的
其他業務一天也是要看/回不少信，才會累積到破40G這麼驚人，有時還得調很多年前報價的信

目前想找自建方案可以
甲地主要、乙地次要，若甲地停電/斷線時，信可寄到乙地，待甲地恢復時，自動信轉回去
前述透過DNS可做，但自動轉信就不知道什麼方案可以達到

EluSiOn wrote:
IMAPS 的好...(恕刪)

EluSiOn

EluSiOn
個人積分：346分
文章編號：59966062

346分

9樓

2016-04-24 1:01

其實 email 它是一個"系統", 不只是單純的伺服器. 它有困難度, 對於新手來說, 是不知道架設一個 email 系統要小心的點在那邊. 下面我釐清一下要注意的地方
.
1. SMTP port 25, 是 server to server 的部分, 這邊最好的防護就是使用 RBL 擋住 spam email server 的 IP (SpamAssassin + TCPServer/IPtable)
.
2. Submission Port 587, 這邊是 email client to server 寄信, 需要使用 TLS 作為 smtp-auth 認證的加密, 這邊就需要建立自己的 PKI Cert 來做 TLS 加密了. 再來防止 brute force 攻擊, 就要搭配 Fail2ban.
.
3. 如果有 webmail 的部分, 那麼要建立 HTTPS 的 secure certificate. 如果使用 IMAPS, 也可以使用同一個 certificate.
.
4. 避免自己的 email 淪為 RBL 上面的黑名單, 需要建立 DKIM 放到 DNS 的 record 中. 如果能夠 reverse ip 如 1.1.1.1 -> mail.mydomain.com 會很好, 比較容易進白名單, 如果沒有的話要隨時 monitor RBL 是否有自己的 mail server domain/ip
.
5. 盡量不要使用 .hk .tw .cn .jp 的 domain, 因為有些 spam filter, 或是一些 custom RBL, 會直接封掉這些 tld. 盡量把 DNS 的服務放在 Domain Registrar 那邊, 不過如果使用非常多 subdomian 的話, 再考慮把 dns 服務拿會自己建立, 因為很多 domain registrar 會限制使用者最多可以有幾個 dns record.
.
6. SMTP/Submission 收到的 email, 直接先 pipe 給 clamav 後, 確認沒有病毒才放到 maildir 或是寄出. 每一個小時自動更新 clamav 的 database.
.
7. Webmail 的 template 最好買有服務的 source code, 會定期更新, 使用因為有太多時候有 webmail 被 hack 透過 sql-injection 而控制了整個 mail server.
.
8. 盡量使用 IMAPS, 方便集中備份, storage 的檔案系統最好是支援壓縮, 以及快照. 這樣子可以追溯歷史記錄, 避免離職員工或是將要離職員工刪除 email
.
9. 所有的 mail server 都會使用到 database, 不管是 mysql 或是 mariadb, 要設定好其固定定期備份模式, 同時建立好 password policy, 八碼含大小寫+數字+特殊符號.
.
10. 防止內部 IT 人員閱讀公司高階主管的 email 或是被外部人員釣魚假裝高階主管的 email 指令, 建議使用 RSA 2048 bit 的 S.MIME (X509) PKI 模式加密以及簽署 email.
.
11. 開 watchdog 確認 email 收發服務正常, 若有問題時, 第一時間 script 自動重開服務.
.
12. log reporting (graylog) 定期檢查伺服器是否有被入侵的跡象.
.
13. 使用 Filelink 模式傳送大的檔案附件 (需搭配 email client). 這部分有所謂的 DL 服務, 也可以自己架設 WebDAV 來做.
.
14. 使用 Open-Xchange 或是 Zimbra Email 這一類型的 email server, 它可以分成很多個 component, 如 message storage node, database node, smtp node 或是 mail proxy node 等模式, 把 email 服務的 loading 分散到各分公司的小 mail 的伺服器上, 避免單點網路頻寬飽和, 造成每天早上剛上班時, email 大塞車 (特別是禮拜一早上或是長假過後)

Oneplus 8 Pro• Thinkpad T480s• PVE6+OMV4+NextCloud

nwcs

nwcs
個人積分：5685分
文章編號：59968060

5685分

10樓

2016-04-24 10:07

感謝分享,收下了

蟑螂化石 wrote:
網路上針對NAS的介...(恕刪)