Почтовый сервер на FreeBSD

[Reken]

Подскажите пожалуйста, правильно ли я понимаю устройство почтового сервера на базе FreeBSD
Допустим если нужно запустить собственный почтовый сервак на FreeBSD делаем следующее:
1) Покупаем выделенный IP и доменное имя
2) Настраиваем почтовый сервак (допустим связку DOVECOT и EXIM)
3) Настраиваем свой DNS (BIND)
Всё правильно или что то упустил?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[xM]

1. Да
2. Да
3. Можете использовать любой, включая свой.
+ много грабель на дороге.

[Reken]

Подскажите пожалуйста…
Подготавливаю сервер FreeBSD к выполнению задачи почтового сервера

Выделенный IP адрес уже есть. BIND911 настроен как кэширующий DNS сервер, все запросы перенаправляются на DNS провайдера.

Опыт в настройке EXIM и DOVECOT присутствует

После покупки домена, буду получать сертификат, и настраивать EXIM и DOVECOT на использование купленного доменного имени.

Вопрос в DNS. BIND можно оставить без изменений? При использовании собственного почтового сервера, можно использовать кэширующий DNS? Или же нужно создавать файл прямого преобразования, где прописывать MX запись?

[xM]

А зачем вам вообще BIND? Свой домен размещать?
Чем не устраивают бесплатные DNS - от провайдера, от регистратора, he.net или afraid.org ?

[Reken]

А зачем вам вообще BIND?

Потому что FreeBSD сервер является интернет шлюзом для локальной сети. При помощи BIND выполняет роль кэширующего DNS, для обработки запросов из локальной сети...

Чем не устраивают бесплатные DNS - от провайдера

Как раз на DNS провайдера, FreeBSD сервер и перенаправляет (resolve) все запросы от клиентов локальной сети

Как я понимаю, кэширующий DNS справится и с обслуживанием моего почтового сервера. А MX запись указывать в файле прямого преобразования нужно наверное только в том случае, если бы мой FreeBSD сервер выполнял бы роль не кэширующего DNS а "полноценного" DNS.

[snorlov]

Reken,
Все зависит от ваших хотелок, хотите держать свой домен у себя, держите, хотите где нибудь в другом месте, нет проблем, платите и пользуйтесь, только не забудьте прописать свой почтовик как в прямой зоне так и в обратной.
И не надо зацикливаться на bind'е. есть и другой софт

[Reken]

хотите где нибудь в другом месте, нет проблем, платите и пользуйтесь

Я так и не понял. Допустим я купил домен "domen.ru", этот домен будет закреплен за моим IP. Допустим я настроил EXIM и DOVECOT на это доменное имя. DNS у меня кэширующий. Все запросы уходят на провайдера. Провайдер будет бесплатно преобразовывать domen.ru в мой IP? Или нужно связываться с провайдером, и за дополнительную плату просить что бы они преобразовывали доменное имя в IP?

не забудьте прописать свой почтовик как в прямой зоне так и в обратной.

Я так понимаю, это нужно если я всё таки запущу на своем FreeBSD полноценный DNS? а не кэширующий...

[Reken]

Кажется начинаю понимать
Допустим если покупать домен у reg.ru то услугу преобразования доменного имени в IP, reg.ru окажет бесплатно

[snorlov]

Reken,
Почитайте не про службу DNS, а про систему DNS и как она функционирует...
Если вы купили домен у reg.ru, то ему нужен только ip-адрес dns-сервера, который обслуживает купленный вами домен...

[xM]

При помощи BIND выполняет роль кэширу

Начиная с 10 во FreeBSD включен кэширующий DNS Unbound который на порядок лучше делает эту работу чем BIND.

[Reken]

Подскажите пожалуйста. А сертификат для почтового сервера лучше получать у Lets Encrypt ?
Есть инструкции, как правильно получить сертификат из ОС FreeBSD, сам пока что не нашел подходящей инструкции.

[xM]

Изучайте
https://kostikov.co/tag/letsencrypt

[Reken]

Смысл получения сертификата приблизительно понятен
Подскажите пожалуйста, в примере указано так:

Код: Выделить всё

certbot certonly --agree-tos --email postmaster@kostikov.co --webroot -w /usr/local/www/kostikov.co/ -d kostikov.co -d www.kostikov.co

У меня нету работающего веб сервера (установлен Apache, но он настроен только для веб-морды к postfiadmin)
Что тогда указать после ключа -w

[xM]

Код: Выделить всё

--webroot -w /usr/local/www/kostikov.co/

заменить на

Код: Выделить всё

--standalone

И вообще, пора бы уже начинать учиться читать и думать самостоятельно.

[Reken]

Спасибо за разъяснения по сертификатам

Сможет кто нибудь подсказать. Похоже я где то ошибся в создании почтового сервера:
У регистратора reg.ru создал записи:

Запись A (mail.купленный домен ссылается на IP почтового сервера)
Запись MX (приоритет 10 ссылается на mail.купленный_домен)

Почтовый сервер (он же шлюз между локальной сетью и интернетом) открыл порты 25,110,53

EXIM и DOVECOT настроены на работу с купленным доменом.

При попытке отправить с яндекса письмо на почтовый сервер (адрес@купленный_домен), приходит возврат письма:

Diagnostic-Code: X-Yandex; Host or domain name not found. Name service error
for name=mail.купленный_домен type=AAAA: Host not found

P.S. В логах EXIM и DOVECOT пусто, похоже до них и не доходит письмо. С момента регистрации домена прошли только одни сутки... Где может быть допущена ошибка?

[Reken]

Для работы почтового сервера, должна быть запись PTR ?
Сейчас её нет...

[ivan__]

Для работы почтового сервера, должна быть запись PTR ?

А то! Обязательно.

[Reken]

Ошибка возникает не из-за отсутствия PTR записи. Видел почтовые сервера которые без этой записи работают

Когда пробую отправить письма на свой почтовый сервер, допустим с mail.ru ящика, получаю возврат

all relevant MX records point to non-existent hosts #все соответствующие записи MX указывают на несуществующие хосты

Как думаете почему так происходит? На reg.ru сказали что я правильно завел запись "A" и "MX"

[Reken]

Кстати telnet к моему почтовому серверу по 25 и 110 порту срабатывает
Может DNS серверу reg.ru нужно больше времени, что бы запись MX нормально отрабатывала...

[ivan__]

Может нужно взять и проверить самому ответы dns по твоему домену и ip сервера.

[snorlov]

Кроме прямой зоны, должна быть запись в обратной зоне... Да и еще, надо подождать пока записи о вашем серваке разойдутся по миру, где-то дня 2-3...

[Reken]

Прошло около суток, с момента создания MX записи. Результата пока что нет... Попробую ещё подождать

Может нужно взять и проверить самому ответы dns

Проверял. Всё нормально, и MX запись показывает и домен в IP преобразовывает и т.д.

Кроме прямой зоны, должна быть запись в обратной зоне

Я так понимаю, это и есть PTR запись. Сообщил провайдеру, обещали сделать

[Reken]

Что то я делаю неправильно. На reg.ru сказали что суток более чем достаточно для обновления зон...
Вот мои настройки с личного кабинета reg.ru

A @ -> Выделенный IP
A mail.домен.ру -> Выделенный IP
A www -> Выделенный IP
MX @ -> mail.домен.ру.10
NS @ -> ns1.reg.ru. 0
NS @ -> ns2.reg.ru. 1

Может где то неправильно что то прописал?
Потому что все письма отправленные на мой почтовый сервер, возвращаются с ошибкой:

all relevant MX records point to non-existent hosts #все соответствующие записи MX указывают на несуществующие хосты

Я так понимаю, что ошибка означает что письма до моей почтовой связке EXIM/DOVECOT даже не доходят, а теряются где то на уровне DNS...

[Reken]

Вывод команд:

root@unix:~ # host домен.ру
домен.ру has address Внешний_IP
домен.ру mail is handled by 10 mail.домен.ру.
root@unix:~ # host mail.домен.ру
Host mail.домен.ру not found: 3(NXDOMAIN)

[guest]

Что то я делаю неправильно

Вы, изначально, все делаете неправильно, потому как у Вас
неверный подход: "ща по бырому на форуме подскажут..."
Вы не владеете технологиями и не хотите их изучать.
Вы не показываете логи, а без этого Вам не дадут подсказку,
кому интересна форма DNS от reg.ru, да никому, а вот
вывод:

# host -t ns domain.ru
# host -t soa domain.ru
# host -t mx domain.ru

покажет все, "domain.ru" заменить на Ваши реальные данные, а не заниматься
шифрованием по незнанию.