Sobre os servidores dedicados, pré-instalámos um servidor de e-mail qmail
http://www.qmail.org

Qmail tem os seguintes patchs:

• patch tls que permite enviar os e-mails com um encriptação ssl,
• patch spamcontrol.

O servidor de e-mail é um software que têm por objectivo aceitar os e-mails sobre o porto 25 via protocolo SMTP. Para saber como funciona o protocolo SMTP, eis o url do RFC http://www.ietf.org/rfc/rfc0821.txt.

Eis um exemplo de comunicação em SMPT no porto 25 :



2 comentários :

• o email foi aceite pelo servidor mx3.ovh.net. porque ? 2 soluções : quer porque o ip de onde fizemos a ligação sabe que ping.ovh.net 213.186.33.13 pode fazer relay dos e-mails via mx3.ovh.net, quer porque mx3.ovh.net é o servidor MX d'ovh.net,
• as informações em DATA devem ser normalmente o e-mail em si, ou seja ter a forma de um e-mail :

From: oles@ovh.net
To: oles@ovh.net
Subject: test

test


A função a mais simples do servidor de e-mail é o relay (reenvio) que consiste :

• em aceitar o e-mail e então enviar 250 ok's depois de RCPT TO,
• em pôr o e-mail no spool ou na queue,
• em reenviar o e-mail para o servidor MX do destinatário.

É um servidor SMTP que vai tratar de distribuir os e-mails para Internet.

Os fornecedores de acesso propõem este género de servidores. Qualquer servidor SMTP também sabe distribuir os e-mails.

A primeira etapa foi apresentada na secção "antes de começar". Isto consiste simplesmente em aceitar o e-mail. O problema fica complexo com a gestão do spam que será apresentado a seguir.

É o processo qmail-smtp que trata desta função. O seu papel é de saber comunicar em SMTP e saber guardar o e-mail sob a forma de um ficheiro no disco rígido.

A segunda etapa consiste em armazenar os e-mails nos discos esperando a terceira etapa. Para ver o estado do spool :



Isto quer dizer que há 360 e-mails que o servidor de e-mail enviou 1 vez mas visivelmente, que o destinatário não existe ou que o servidor MX do destinatário não funciona correctamente.

Devemos assinalar que existe muitas vezes problemas de tempo de resposta do servidor relay quando há muitos e-mails no spool. O qmail fica muito lento com mais de 25000 e-mails no spool. Neste caso, a preparação do e-mail fica cada vez mais lenta e as "messages in queue but not yet preprocessed" aumentam.

Para ver os e-mails:



Porque estes e-mails estão aqui ? Estes e-mails podem estar aqui porque :

• o servidor de relay aceitou em revezar (reenviar), mas o destinatário não existe RCPT TO,
• o servidor de relay aceitou em revezar (reenviar), mas o servidor MX do destinatário não existe,
• o servidor de relay aceitou em revezar (reenviar), mas o servidor MX do destinatário não funciona,
• o servidor MX aceitou o e-mail mas a conta pop3 local não existe e então tentamos reenviar o e-mail para o expedidor com o erro mas :
• o destinatário não existe (MAIL FROM do e-mail inicial),
• o servidor MX do destinatário não existe.

É qmail-send que trata da gestão da queue para todo qmail. O seu papel é de guardar os ficheiros que o qmail-smtp deixou e distribui-los. Ele tem a escolha entre utilizar uma distribuição local (no caso em que o destinatário se encontra sobre a maquina ela-mesmo, ou seja que o servidor é o servidor MX do e-mail e existe uma conta pop3/imap por exemplo sobre a maquina ou remote (distante ; ou seja revezar(reenviar) o e-mail para o destinatário do e-mail)).

A terceira etapa consiste em enviar o e-mail ao destinatário. O e-mail é então pegado do spool para saber qual é o destinatário. Qmail procura os servidores MX do domínio e liga-se sobre o porte 25 para enviar o e-mail. Esta operação é a mesma que ao principio.

Podemos ter vários MX num domínio com o mesmo peso ou um peso diferente. Neste caso, o servidor SMTP tenta num primeiro tempo ligar-se sobre o servidor MX com um peso mais fraco. Se 2 MX têm o mesmo peso então o que saiu primeiro no pedido DNS vai ser utilizado em primeiro.

Ao nível dos erros, veja a secção erro.

Cada operação de relay é guardada nos cabeçalhos do e-mail (header). Podemos ver aqui, de onde e por qual servidor de e-mail foi enviado o e-mail :

Delivered-To: ovh.net-60gp@ovh.net
Received: (qmail 15496 invoked by uid 505); 11 Oct 2003 09:22:30 -0000
Received: from unknown (HELO 200-102-028-198.fnsce7005.dsl.brasiltelecom.net.br) (200.102.28.198)
by mx4.ovh.net with SMTP; 11 Oct 2003 09:22:28 -0000

A leitura faz-se de baixo para cima. Vemos que o e-mail foi enviado desde 200.102.28.198 que se ligou sobre mx4.ovh.net e que o e-mail chegou a conta 60gp@ovh.net.

Ver os cabeçalhos forjados na secção spam.

Para ver o funcionamento do seu servidor e-mail pode ver os logs. Por defeito só tem os logs da terceira etapa :



status: local 0/15 remote 1/120 quer que a distribuição spool->local (as contas pop3)
qmail utiliza 0 ligação sobre 15 e sobre spool->remote (a terceira etapa) 1 sobre 120

Atenção : o ficheiro move-se ou seja, se ele atinge um certo tamanho, deveremos voltar a fazer tail para ter os logs.
"Também pode utilizar o comando tail -f que reabre o ficheiro quando ele se move"


Para gerir a função relay, tem que se gerir os ip dos utilizadores que podem utilizar esta função. Se permite a todos os ip que reenviem, num momento a sua maquina será utilizada como um servidor de relay para os spammers.

Para gerir isto, tem um ficheiro que se chama /etc/tcp.smtp



Isto quer dizer que :

todos os e-mails que chegam dosIP 127.0.0.X são reenviados.
todos os e-mails que chegam de outros ip são aceites unicamente se o destinatário estiver configurado sobre a maquina (ver o servidor MX).

Pode então adicionar um IP á sua escolha (por exemplo se tem um ip fixo da sua empresa ou Ip fixo em adsl) e compilar tcp.smtp :



As modificações feitas são assim implementadas no ficheiro /etc/tcp.smtp.cdb que é utilizado pelo servidor smtp. Não precisa de reiniciar o servidor smtp. O ficheiro é lido a cada ligação smtp.

No caso dos fornecedores de acesso, as classes IP são postas em duro sobre os servidores smtp o que permite aos clientes do fornecedor de acesso, de utilizar automaticamente o servidor smtp de relay sem mais nenhuma configuração.

A opção open-smtp consiste em utilizar o servidor de pop3/imap para identifica-lo sobre o servidor pop3. O facto de utilizar login e password permite-lhe estar seguro que se trata de uma pessoa de confiança e então permitir-lhe fazer o relay. Durante a operação de pop3/imap o servidor pop3 grava o IP de ligação, actualiza-lo em /etc/tcp.smtp e compila /etc/tcp.smtp.cdb.



Todos os IP temporários são armazenados em open-smtp :



O último número é a hora em segundos desde 1970 e permite saber quando o IP utilizou o pop3/imap pela utiltima vez. E então isto permite a outro script /home/vpopmail/bin/clearopensmtp de ver todos os IP mais antigos que 3 horas e de os tirar do /etc/tcp.smtp.



Atenção : o utilizador deve estar bem indicado e então pôr

40 * * * * root /home/vpopmail/bin/clearopensmtp 2>&1 >/dev/null

e não

40 * * * * /home/vpopmail/bin/clearopensmtp 2>&1 >/dev/null

A proposito, neste caso, vemos que sobre esta maquina o ficheiro open-smtp é particularmente grande.



11859 IP é muito. É devido ao facto que não ha utilizador indicado no crontab. Corrigimos o erro em crontab e executamos clearopensmtp.


Assim está melhor. As permissões do open-smtp também mudaram. Não é grave.

Se têm o servidor pop3/imap muito carregado com mais de 3000-4000 ligações/hora, aconselhamos-lhe de utilizar o patch osd (Open-Smtp-Dir) que se pode encontrar em ftp://ftp.ovh.net/made-in-ovh/vpopmail. Este patch foi realizado pela OVH e consiste em não utilizar o ficheiro open-smtp com o sistema de lock (bloqueio do IP). Se muitas pessoas se ligam sobre o servidor pop3/imap têm de esperar cada uma a sua vez para ter acesso ao ficheiro para gravar o IP, o que abranda o servidor. Em vez de isso, tivemos a ideia de utilizar um directorio com as gravações dos ficheiros com o nome do IP e um tamanho 0. A cada nova ligação, actualizamos a data do ficheiro e um tmpwatch apaga os ficheiros mais velhos do que 3 horas. Outro script actualiza /etc/tcp.smtp cada segundos.

Para evitar de utilizar pop3 antes de poder enviar os e-mails podemos patchar qmail com o patch smtp-auth. Este patch permite enviar via uma ligação smtp login e password de uma conta pop3 e então permitir o envio dos e-mails :

]'.
220 Welcome ! You are on server 1 called mx1.ovh.net, spam protected: www.spam-rbl.com ESMTP
EHLO ping.ovh.net
250-Welcome ! You are on server 1 called mx1.ovh.net, spam protected: www.spam-rbl.com

250-AUTH LOGIN CRAM-MD5 PLAIN
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-PIPELINING
250-STARTTLS
250-8BITMIME
250 SIZE 10000000
AUTH LOGIN
334 VXNlcm5hbWU6
cG9zdG1gregreRlciVtbC5vdmgubmV0
334 UGFzc3dvcmQ6
errrob3Zo
235 ok, go ahead (#2.0.0)
MAIL FROM:
250 ok
RCPT TO:
250 ok
DATA
354 go ahead
truc
.
250 ok 1065758232 qp 5296
QUIT
221 Welcome ! You are on server 1 called mx1.ovh.net, spam protected: www.spam-rbl.com
Connection closed by foreign host.250-AUTH LOGIN CRAM-MD5 PLAIN trata-se de smtp-auth
250-AUTH=LOGIN CRAM-MD5 PLAIN
250-PIPELINING define o tipo de dialogo
250-STARTTLS ssl ou tls ou ligação encriptada
250-8BITMIME aceitação dos e-mails em 8bits e não 7bit como smtp
250 SIZE 10000000 o tamnho maximo do e-mail é de 10Mb# ls -l /var/qmail/users/assign
-rw-r--r-- 1 root root 24546 oct 9 10:32 /var/qmail/users/assign# head -n 4 /var/qmail/users/assign
+00-00l0-00l00l-0-0.com-:00-00l0-00l00l-0-0.com:508:503:/home/vpopmail/domains/00-00l0-00l00l-0-0.com:- +01emarket.com-:01emarket.com:508:503:/home/vpopmail/domains/01emarket.com:-::# dig sm66.com mx

; <<>> DiG 9.2.1 <<>> sm66.com mx

; global options

printcmd

;; Got answer:

; ->>HEADER<<- opcode

QUERY, status: NOERROR, id: 32527

; flags

qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;sm66.com. IN MX

;; ANSWER SECTION:
sm66.com. 86400 IN MX 10 mail.sm66.com.

; Query time

396 msec

; SERVER

127.0.0.1#53(127.0.0.1)

; WHEN

Sat Oct 11 12:09:00 2003

; MSG SIZE rcvd

47

Se utiliza djbdns, podemos utilizar directamente dnsmx.