Free DNS he.net + Free SSL Certificates Let's Encrypt

dns.he.net

Якщо у Вас є домен в DNS службі https://dns.he.net, то можна оновлювати TXT записи через динамічний ключ, а це надає можливість отримати безкоштовні сертифікати через Let's Encrypt у випадку коли у Вас наприклад поштовий сервер.

Рішення що є pligin до certbot - he.net DNS Authenticator plugin for Certbot потребує повний доступ через login/password до Вашого he.net акаунта, як на мене це жирно :)

Тому було знайдено рішення оновлення через динамічний ключ для оновлення тільки одного TXT запису.

he.net TXT

Для отримання ключа його можна згенерувати, наприклад: aJoSWOFyLD1A3iDG

he.net dynamic key

MTA Postfix with HAProxy + pfSense GUI

Якщо треба збалансувати навантаження на поштові сервери, можна створити це за допомогою HAProxy.

 

https://www.haproxy.com/.../efficient-smtp-relay.../

Якщо треба додати опцію "send-proxy" у pfSense GUI для backend можна зробити це в розділі "Per server pass thru"

send-proxy opton for backend

 

Нотатка для себе: FreeBSD, Postfix, SASL, LDAP

Postfix auth by SASL LDAP

DKIM

Згідно цієї статті http://www.opennet.ru/base/net/dkim_postfix_amavisd.txt.html налаштував поштовий сервер "Postfix" для підпису повідомлень міткою ідентифікації відправника DKIM за допомогою amavis-new.

До уваги, для реалізації цього потрібно мати можливість додати до DNS запису поштового домену тип запису TXT. Зміст цього запису є публічний ключ.
При отриманні листа поштовим сервером отримувача перевіряється зміст полів електронного листа та зашифровуваний запис DKIM використовуючи публічний ключ. На основі цього робиться висновок чи автентичний відправник чи ні.

Postfix SPF policy, whitelist, rewrite of softfail rule

Sender Policy Framework
Введення перевірки SPF (Sender Policy Framework) до налаштувань поштового сервера, надає можливість достатньо ефективно боротися зі спамерами котрі відсилають пошту з недозволенних IP адрес для конкретного домену.  Так на сьогодні вже багато поштових доменів ввели запис типу TXT до DNS з описом дозволених адрес і дією щодо дозволу використання цих адрес. Наприклад:
example.com. IN TXT "v=spf1 a mx -all"
Для свого поштового сервера Postfix я використовував Python реалізацію "SPF Policy Server for Postfix (Python implementation)" на базі портації для FreeBSD "postfix-policyd-spf-python" тут є розширені можливості, чим наприклад у реалізації "postfix-policyd-spf-perl".

Настирливих спамерів в black list IP і блокуємо їх в IPFW

Є: 

• FreeBSD, 
• Postfix,
• Swatch - log analyze.
• MySQL - database
• IPFW - firewall 

Отже завдання як тільки в logfile pistfix's з'явився запис на подобі: 

Code:

Jul 10 15:43:52 mail postfix/smtpd[89997]: warning: Connection rate limit exceeded: 10 from unknown[62.213.112.69] for service smtp Jul 10 15:43:52 mail postfix/smtpd[89997]: disconnect from unknown[62.213.112.69]