iRedMail 官方下載頁 https://www.iredmail.org/download.html 官方安裝說明 https://docs.iredmail.org/install.iredmail.on.debian.ubuntu.html 本例以Ubuntu為lab(server 22.04),作業系統設置細項不在此列 需要使用固定IP、路由器NAT對應等等就不再此說明 編輯本機名稱,本機名稱為郵件伺服器FQDN 例 mail.lab1002.info mail名稱設置為 #vi /etc/hostname mail 後綴 #vi /etc/hosts 127.0.0.1 mail.lab1002.info mail localhost localhost.localdomain
驗證名稱 #hostname -f 若名稱沒有生效,請先重啟系統始之生效
安裝iRedMail所需之工具 #apt-get install gzip dialog -y 下載iRedMail安裝包 #mkdir iRedMail #cd /root/iRedMail #wget https://安裝包下載網址 #tar zxf iRedMail-x.y.z.tar.gz 啟動安裝程序 #cd /root/iRedMail/iRedMail-x.y.z/ #bash iRedMail.sh
出現下圖時,直接ENTER開始安裝
歡迎頁面,選擇YES後下一步
保持默認路徑即可,接續下一步
選擇nginx網頁系統,接續下一步
選擇MariaDB,接續下一步(#OpenLDAP 為使用在AD環境下)
自訂DB root使用者密碼,請自行定義後並記錄,接續下一步
將預計使用的網域名稱輸入,接續下一步
系統初始管理員帳號postmaster 自定義密碼,接續下一步
您應該選擇哪個網路郵件?圓方還是SOGo? Roundcube 是一個快速且輕量級的網路郵件,並且僅限於網路郵件。如果您只需要一個網頁郵件來存取郵箱和管理郵件過濾器,那麼 Roundcube 是最佳選擇。 SOGo 提供網路郵件、行事曆 (CalDAV)、聯絡人 (CardDAV) 和 ActiveSync。如果您需要日曆和聯絡人支持,並將它們同步到行動或 PC 郵件用戶端應用程序,那麼 SOGo 就是您的最佳選擇。注意:如果您有許多 ActiveSync 用戶端,則需要大量 RAM。 兩者都安裝是可以的,但是這種情況下只能使用Roundcube來管理郵件過濾器,因為Roundcube和SOGo產生的過濾規則不相容。您可以在 SOGo 中強制啟用它,但請告知最終用戶並要求他們堅持使用其中一個來管理郵件過濾器。 此例 Roundcube與SOGo 一並安裝
安裝程序詳細列表,確認沒問題後輸入y 開始部屬
出現防火牆規則這裡先輸入N,後續再自行至防火牆程序設置
可以使用namp指令查出目前系統使用到哪些郵件服務相關port,在至防火牆開啟 若系統沒有namp指令,可自行安裝(#apt install nmap -y) #nmap 127.0.0.1
使用前首先讀取文件/root/iRedMail-x.y.z/iRedMail.tips,其中包含: 基於 Web 應用程式的 URL、使用者名稱和密碼 郵件服務相關軟體設定檔的位置。您也可以查看本教學: 主要元件的配置和日誌檔案的位置。 (https://docs.iredmail.org/file.locations.html) 其他一些重要和敏感信息 存取網路郵件和其他網路應用程式 安裝成功完成後,如果您選擇安裝基於 Web 的程序,則可以存取它們。將下面的內容替換your_server為您的真實伺服器主機名稱或 IP 位址。 Roundcube 網路郵件:https://your_server/mail/ SOGo 元件: https://your_server/SOGo 網路管理面板 (iRedAdmin) : https://your_server/iredadmin/ 若網址開啟沒有反應,可以先將系統重新啟動一次
####以上系統基本架設完成,由於現在垃圾郵件氾濫還需要再加強一些設置才能讓各大主流的mail收信
SPF SPF 的設置只需要在 DNS 中加入 txt 紀錄,格式如下: v=spf1 [[pre] type ] … [mod] 假設您的網域名稱是 twnic.net.tw,郵件主機是 211.72.210.100 , 211.72.210.200 ,您只需要設定如下方法及可以完成簡單的 SPF 設定。 twnic.net.tw IN SPF “v=spf1 ipv4:211.72.210.100 ipv4:211.72.210.200 –all” txt=@ v=spf1 a mx ip4:x.x.x.x -all
DKIM 於系統輸入指令 #amavisd showkeys (centos指令) #amavisd-new showkeys (ubuntu指令) 將命令的輸出複製到一行中,如下所示,刪除所有引號,但保留;. 我們只需要()區塊內的字串,它是 DKIM DNS 記錄的值。 v=DKIM1; p=... 新增TXT網域名稱的 DNS 記錄類型dkim._domainkey.mydomain.com,將值設為您在上面複製的行:v=DKIM1; p=...。 dkim設置完成後,重啟mail系統使之生效
DMARC設定 需spf與dkim皆生效後才能設置 DNS新增TXT紀錄 名稱為 _dmarc, 值為以下 v=DMARC1; p=none; rua=mailto:[email protected] 完成後可以使用 MX Toolbox驗證 https://mxtoolbox.com/DMARC.aspx
上述完成後,可以發信到gmail,並用gmail查看原始郵件確認狀態
SSL 為整個mail系統加上SSL,藉由ZERO SSL免費證書使用 由於免費證書校期三個月即到期,本例將使用acme.sh腳本服務達成自動申請與更新讓SSL半永久有效 安裝acme.sh #curl https://get.acme.sh | sh -s [email protected] 理論會自動設置全局別名 acme.sh、但有時候會失敗 Installing alias to '/root/.cshrc' #source ~/.cshrc 或 #source ~/.bashrc 可以查看 安裝顯示提示 alias最後碼,再以source補完
域名託管在Cloudflare、登入CF帳號、取得 API Token export CF_Key="cloudflare 中查看你的 key" export CF_Email="你的 cloudflare 信箱"
申請證書 #acme.sh --issue --dns dns_cf -d domain.com 指令可以申請多個前綴網址,只需要多加 -d 後再加上詳細網址 本例方便所需,直接申請泛域名格式*.domain,如下所示 #acme.sh --issue --dns dns_cf -d lab1002.info -d *.lab1002.info 指令申請運作需要數分鐘,請耐心等待
安裝憑證、並重載相關服務
acme.sh --installcert -d lab1002.info \
--key-file /etc/ssl/private/iRedMail.key \
--fullchain-file /etc/ssl/certs/iRedMail.crt \
--reloadcmd "service postfix reload" \
--reloadcmd "service dovecot reload" \
--reloadcmd "service mariadb reload" \
--reloadcmd "service nginx reload"
上列步驟 acme會記錄相關服務重載指令,當自動更新憑證時也會自動重載相關服務
完成後在開啟WEB介面,將會有鎖頭圖示表示SSL設置完成
iRedMail系統中有額外安裝一個服務 fail2ban fail2ban是根據log顯示,若一小時內密碼錯誤五次將會封鎖該IP一小時 可以將已知的IP加入到fail2ban白名單 白名單IP 編輯/etc/fail2ban/jail.local 有一行ignoreip,在末尾加上自己的IP即可,注意用空格分開
