2023年1月2日 Daniel.y

群暉Synology Mail Server可以用于搭建免費的企業(yè)郵箱，不限用戶數(shù)也不限郵箱容量。常規(guī)的安裝流程在群暉的官方網(wǎng)站中有介紹，在此就不再贅述。這里主要介紹一些注意事項和疑難問題解決經(jīng)驗。

安全性設(shè)置

搭建自己的郵箱服務(wù)器面臨最大的挑戰(zhàn)是如何防止收到垃圾郵件和防止別人認為自己發(fā)出去的郵件是垃圾郵件。這是通過Mail Server的安全性設(shè)置完成的，還需正確設(shè)置域名DNS解析。具體要點如下：

• 啟用SMTP認證，且要求發(fā)件人名稱和登錄名稱必須相同：防止有人用你的郵件服務(wù)器來濫發(fā)郵件，避免被別人把服務(wù)器加入黑名單。

• 啟用SPF驗證：對收到的郵件需要驗證發(fā)件人的ip地址是否來自發(fā)件人域名DNS中規(guī)定的合法ip。

• 啟用DMARC：檢查收到郵件的DKIM簽名是否合法，簽名的公鑰在發(fā)件人的域名DNS中可以查到。

• 啟用DKIM：對自己發(fā)出去的郵件進行簽名，便于接受方驗證。DKIM選擇器前綴是簽名標(biāo)識，可以隨便填，生成的公共密鑰需和選擇器前綴需要按要求登記在自己的域名DNS中。后文會介紹。

域名DNS設(shè)置

為了讓接受我們郵件的服務(wù)器驗證我們發(fā)出郵件的合法性，避免絕收郵件或把郵件放到垃圾郵箱，需要為我們的郵件服務(wù)器正確設(shè)置DNS。

• MX記錄：指向我們郵件服務(wù)器的主機名，對方向我們發(fā)送郵件時通過它找到我們服務(wù)器的ip地址。例如：smtp.xxxx.com. （xxxx.com為公司的域名）。當(dāng)然DNS中應(yīng)該有一條解析smtp.xxxx.com. 主機名的記錄。

• SPF記錄：說明我們對外發(fā)送郵件的服務(wù)器的ip地址，接受郵件者會檢查發(fā)送者的ip是否在其中，不在其中直接拒收郵件。格式比較復(fù)雜多樣，具體格式參照群暉官方文檔有說明。

• DKIM記錄：主機名填寫的是選擇器前綴加上“._domainkey”，例如:abc._domainkey，其中abc為前文中的啟用DKIM中填寫的選擇器前綴。接受我們郵件的服務(wù)器會根據(jù)郵件簽名上的選擇器前綴找到這條記錄，并使用本記錄中的公開名鑰對郵件的簽名進行驗證。簽名驗證失敗將按照下一條DMARC記錄的指指示處理。

• DMARC記錄：指示郵件接受這如何處理DKIM簽名檢驗失敗的郵件。具體格式參照群暉官方文檔有說明。

郵件服務(wù)器IP地址相關(guān)問題

許多企業(yè)的互聯(lián)網(wǎng)出口IP都是動態(tài)地址，這個給搭建郵件服務(wù)器造成很大問題。雖然動態(tài)IP的可以通過DDNS來實現(xiàn)域名解析。但是動態(tài)IP地址通常會被加入到了垃圾郵件黑名單（Spamhaus PBL）中，而且無法自行申請撤銷。這回導(dǎo)致發(fā)出去的郵件被大部分接受者拒收，特別是海外的郵件服務(wù)器一般都會拒收來自動態(tài)IP的郵件。解決的方案有兩種：

• 通過smpt中繼服務(wù)代發(fā)郵件。市場上有相關(guān)的服務(wù)商，可以通過購買相關(guān)服務(wù)來解決。也可以自己主用云服務(wù)器搭建smtp中繼服務(wù)來解決。smtp中繼服務(wù)的搭建不在本文中討論。

• 在互聯(lián)出口路由上搭建“秘密”通道，把郵件服務(wù)器發(fā)送郵件的流量（訪問外部25端口）轉(zhuǎn)發(fā)到自己租用的有固定ip的云服務(wù)器上，通過該服務(wù)器轉(zhuǎn)發(fā)相關(guān)流量，讓接收者認為郵件來源于租用的ip。具體實現(xiàn)方法也不在本文中討論。

需要注意的是目前租用云服務(wù)器默認會屏蔽其對外訪問25端口，及禁止作為郵件發(fā)送服務(wù)器使用?？梢韵蛟品?wù)商申請解封，以便都有自助申請解封界面，非常簡單。

郵件服務(wù)器的SSL證書

郵件客戶端與服務(wù)器發(fā)送和接受郵件，其它郵件服務(wù)器向我們發(fā)送郵件，一般都要求使用SSL連接。因此我們需要為我們的郵件間服務(wù)器申請SSL證書。對于郵件客戶端來說，郵件發(fā)送服務(wù)器的域名通常為smtp.xxxx.com，郵件接受服務(wù)器的域名通常為pop.xxxx.com，MX記錄的域名通常與郵件發(fā)送服務(wù)器同名，為smtp.xxxx.com。因此我們需要未這兩個域名各申請一個SSL證書。騰訊云上有免費的一年期SSL證書可以申請，推薦使用。

證書申請下來后，通過DSM后臺中的控制面板的“安全性/證書”入口，可以把證書導(dǎo)入，并設(shè)置“MailServer-postfix”使用smtp域名對應(yīng)的證書，“MailServer-dovecot”使用pop域名對應(yīng)的證書。證書設(shè)置好后，可以通過以下linux命令檢查證書是否設(shè)置正確：

openssl s_client -connect smtp.xxxx.com:25 -starttls smtp
openssl s_client -connect smtp.xxxx.com:587 -starttls smtp
openssl s_client -connect smtp.xxxx.com:465
openssl s_client -connect pop.xxxx.com:993
openssl s_client -connect pop.xxxx.com:995

觀察以上命令輸出的結(jié)果，看證書的域名是否與你期望的一致。

接受含域名的用戶名登錄

目前的郵件客戶端（Foxmail等）連接郵件服務(wù)器的時候，默認把含有域名的整個郵件地址作為用戶名送給郵件服務(wù)器。然而Synology Mail Server默認配置僅接受不含域名的群暉用戶名。因此，導(dǎo)致配置郵件客戶端的時候經(jīng)常會說訪問出錯，需要去掉賬戶名后面的域名（連同域名前的@也一起去掉）?？梢酝ㄟ^以下設(shè)置讓郵件服務(wù)器登錄接受含域名的用戶名：

• 用戶超級用戶通過ssh登錄群暉，進入MailServer App的配置目錄

cd /volume1/@appstore/MailServer/etc

• 修改etc/template/main.template文件，在最后增加內(nèi)容：

# 讓postfix使用dovecot認證用戶
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

• 修改/etc/dovecot/conf.d/10-auth.conf文件

#auth_username_format = %Lu
#認證時去掉域名僅保留用戶名
auth_username_format = %n
#設(shè)置dovecot認證監(jiān)聽socket
service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

• 進入套件中心重新啟動Mail Server服務(wù)，重新啟動Mail Station服務(wù)

（完）文章來源地址http://www.zghlxwxcb.cn/news/detail-466979.html