使用 Docker Compose 部署郵件服務(wù)器

很多時(shí)候?yàn)榱朔奖悖?我們都直接使用第三方郵箱進(jìn)行收發(fā)郵件。 但第三方郵箱有些要求定期修改密碼，有些限制發(fā)郵箱的次數(shù)， 對(duì)于一些個(gè)人和企業(yè)來(lái)說(shuō)， 有自己的域名和服務(wù)器為什么不自己搭建一個(gè)郵件服務(wù)器呢？因此， 筆者在這記錄自己學(xué)習(xí)并且搭建郵箱服務(wù)器的步驟與過(guò)程。 本文主要使用 docker-mailserver 進(jìn)行搭建， 其中一些資料和鏈接， 有需要詳細(xì)了解的， 請(qǐng)查看參考文獻(xiàn)。

博主博客

• https://blog.uso6.com
• https://blog.csdn.net/dxk539687357

注： 如果有需要查看 docker 和 docker compose 的安裝， 可在筆者博客中搜索相關(guān)教程， 在這里就不進(jìn)行贅述。

一、安裝 docker-mailserver

1.1 創(chuàng)建目錄文件

位置自己定， 我這里指定 ~/mailserver/ 目錄。

mkdir ~/mailserver/

目錄結(jié)構(gòu)圖是這樣， 其中 compose.yaml 和 mailserver.env 文件需要準(zhǔn)備好， docker-data 是運(yùn)行容器后自動(dòng)生成的， 不需要管。

mailserver
├─compose.yaml
├─mailserver.env
└─docker-data

1.2 compose.yaml 配置文件

使用 wget 下載 compose.yaml 文件

wget -P ~/mailserver/ "https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master/compose.yaml"

把文件中的 hostname 修改為自己的域名， 比如我的是 mail.uso6.com

services:
  mailserver:
    image: ghcr.io/docker-mailserver/docker-mailserver:latest
    container_name: mailserver
    # Provide the FQDN of your mail server here (Your DNS MX record should point to this value)
    hostname: mail.uso6.com
    env_file: mailserver.env
    # More information about the mail-server ports:
    # https://docker-mailserver.github.io/docker-mailserver/latest/config/security/understanding-the-ports/
    # To avoid conflicts with yaml base-60 float, DO NOT remove the quotation marks.
    ports:
      - "25:25"    # SMTP  (explicit TLS => STARTTLS, Authentication is DISABLED => use port 465/587 instead)
      - "143:143"  # IMAP4 (explicit TLS => STARTTLS)
      - "465:465"  # ESMTP (implicit TLS)
      - "587:587"  # ESMTP (explicit TLS => STARTTLS)
      - "993:993"  # IMAP4 (implicit TLS)
    volumes:
      - ./docker-data/dms/mail-data/:/var/mail/
      - ./docker-data/dms/mail-state/:/var/mail-state/
      - ./docker-data/dms/mail-logs/:/var/log/mail/
      - ./docker-data/dms/config/:/tmp/docker-mailserver/
      - /etc/localtime:/etc/localtime:ro
    environment:
      - ENABLE_RSPAMD=1
      - ENABLE_CLAMAV=1
      - ENABLE_FAIL2BAN=1
    restart: always
    stop_grace_period: 1m
    # Uncomment if using `ENABLE_FAIL2BAN=1`:
    cap_add:
      - NET_ADMIN
    healthcheck:
      test: "ss --listening --tcp | grep -P 'LISTEN.+:smtp' || exit 1"
      timeout: 3s
      retries: 0

• ENABLE_CLAMAV 病毒掃描。默認(rèn)關(guān)閉。會(huì)占用大量的服務(wù)器資源，默認(rèn)關(guān)閉。0：關(guān)閉 1：開啟
• ENABLE_FAIL2BAN 封鎖嘗試暴力破解的IP地址。默認(rèn)關(guān)閉。0：關(guān)閉 1：開啟 如果啟用 Fail2Ban

1.3 mailserver.env 配置文件

使用 wget 下載 mailserver.env 文件

wget -P ~/mailserver/ "https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master/mailserver.env"

具體參數(shù)配置可以查看 這里。

1.4 運(yùn)行

進(jìn)入 ~/mailserver/ 目錄， 然后啟動(dòng)容器。

# 啟動(dòng)容器
docker compose up -d
# 關(guān)閉容器
docker compose down

二、對(duì) docker-mailserver 進(jìn)行管理

在啟動(dòng)容器時(shí)， 使用 docker ps 查看容器的 ID。

CONTAINER ID   IMAGE                                                COMMAND                  CREATED          STATUS                    PORTS                                                                                                                                                                                                                       NAMES
318bbf389f9c   ghcr.io/docker-mailserver/docker-mailserver:latest   "/usr/bin/dumb-init …"   31 seconds ago   Up 30 seconds (healthy)   0.0.0.0:25->25/tcp, :::25->25/tcp, 0.0.0.0:143->143/tcp, :::143->143/tcp, 0.0.0.0:465->465/tcp, :::465->465/tcp, 0.0.0.0:587->587/tcp, :::587->587/tcp, 110/tcp, 995/tcp, 0.0.0.0:993->993/tcp, :::993->993/tcp, 4190/tcp   mailserver

可以使用下面命令查看幫助。

docker exec -it <CONTAINER NAME> setup help

比如我上面的 ID 是 318bbf389f9c

[nukix@nukixPC mailserver]# docker exec -it 318bbf389f9c setup help
SETUP(1)

NAME
    setup - 'docker-mailserver' Administration & Configuration CLI

SYNOPSIS
    setup [ OPTIONS... ] COMMAND [ help | ARGUMENTS... ]

    COMMAND := { email | alias | quota | dovecot-master | config | relay | debug } SUBCOMMAND

DESCRIPTION
    This is the main administration command that you use for all your interactions with
    'docker-mailserver'. Initial setup, configuration, and much more is done with this CLI tool.

    Most subcommands can provide additional information and examples by appending 'help'.
    For example: 'setup email add help'

[SUB]COMMANDS
    COMMAND email :=
        setup email add <EMAIL ADDRESS> [<PASSWORD>]
        setup email update <EMAIL ADDRESS> [<PASSWORD>]
        setup email del [ OPTIONS... ] <EMAIL ADDRESS> [ <EMAIL ADDRESS>... ]
        setup email restrict <add|del|list> <send|receive> [<EMAIL ADDRESS>]
        setup email list

    COMMAND alias :=
        setup alias add <EMAIL ADDRESS> <RECIPIENT>
        setup alias del <EMAIL ADDRESS> <RECIPIENT>
        setup alias list

    COMMAND quota :=
        setup quota set <EMAIL ADDRESS> [<QUOTA>]
        setup quota del <EMAIL ADDRESS>

    COMMAND dovecot-master :=
        setup dovecot-master add <USERNAME> [<PASSWORD>]
        setup dovecot-master update <USERNAME> [<PASSWORD>]
        setup dovecot-master del [ OPTIONS... ] <USERNAME> [ <USERNAME>... ]
        setup dovecot-master list

    COMMAND config :=
        setup config dkim [ ARGUMENTS... ]

    COMMAND relay :=
        setup relay add-auth <DOMAIN> <USERNAME> [<PASSWORD>]
        setup relay add-domain <DOMAIN> <HOST> [<PORT>]
        setup relay exclude-domain <DOMAIN>

    COMMAND fail2ban :=
        setup fail2ban 
        setup fail2ban ban <IP>
        setup fail2ban unban <IP>
        setup fail2ban log
        setup fail2ban status

    COMMAND debug :=
        setup debug fetchmail
        setup debug login <COMMANDS>
        setup debug show-mail-logs

EXAMPLES
    setup email add test@example.com
        Add the email account test@example.com. You will be prompted
        to input a password afterwards since no password was supplied.

    setup config dkim keysize 2048 domain 'example.com,not-example.com'
        Creates keys of length 2048 for the domains in comma-seperated list.
        This is necessary when using LDAP as the required domains cannot be inferred.

    setup config dkim help
        This will provide you with a detailed explanation on how to use the 
        config dkim command, showing what arguments can be passed and what they do.

可以看出添加賬號(hào)使用命令

docker exec -it <CONTAINER NAME> setup email add user@example.com

那么， 我需要添加一個(gè) test@uso6.com 密碼為 12345678 的郵箱則使用

docker exec -it 318bbf389f9c setup email add test@uso6.com 12345678

查看郵箱列表

docker exec -it 318bbf389f9c setup email list

三、常用的郵箱協(xié)議和端口

3.1 發(fā)送郵件協(xié)議和端口

3.1.1 非加密端口

25端口（SMTP）：25 端口為 SMTP（Simple Mail Transfer Protocol，簡(jiǎn)單郵件傳輸協(xié)議） 服務(wù)所開放的，是用于發(fā)送郵件。如今絕大多數(shù)郵件服務(wù)器都使用該協(xié)議。當(dāng)你給別人發(fā)送郵件時(shí)，你的機(jī)器的某個(gè)動(dòng)態(tài)端口（大于1024）就會(huì)與郵件服務(wù)器的 25 端口建立一個(gè)連接，你發(fā)送的郵件就會(huì)通過(guò)這個(gè)連接傳送到郵件服務(wù)器上，保存起來(lái)。

3.1.2 加密端口

465端口（SMTP SSL）：465 端口是為 SMTP SSL（SMTP-over-SSL） 協(xié)議服務(wù)開放的，這是 SMTP 協(xié)議基于 SSL 安全協(xié)議之上的一種變種協(xié)議，它繼承了 SSL 安全協(xié)議的非對(duì)稱加密的高度安全可靠性，可防止郵件泄露。SMTPS 和 SMTP 協(xié)議一樣，也是用來(lái)發(fā)送郵件的，只是更安全些，防止郵件被黑客截取泄露，還可實(shí)現(xiàn)郵件發(fā)送者抗抵賴功能。防止發(fā)送者發(fā)送之后刪除已發(fā)郵件，拒不承認(rèn)發(fā)送過(guò)這樣一份郵件。

587端口 是 STARTTLS 協(xié)議的 屬于 TLS 通訊協(xié)議 只是他是在 STARTTLS 命令執(zhí)行后才對(duì)之后的原文進(jìn)行保護(hù)的。

3.2 接收郵件協(xié)議和端口

3.2.1 非加密端口

143端口（IMAP）：143 端口是為 IMAP（INTERNET MESSAGE ACCESS PROTOCOL） 服務(wù)開放的，是用于接收郵件的。

110端口（POP3）：110 端口是為 POP3（Post Office Protocol Version 3，郵局協(xié)議3） 服務(wù)開放的，是用于接收郵件的。

3.2.2 加密端口

993端口（IMAP SSL）：993 端口是為 IMAP SSL（IMAP-over-SSL） 協(xié)議服務(wù)開放的，這是 IMAP 協(xié)議基于 SSL 安全協(xié)議之上的一種變種協(xié)議，它繼承了 SSL 安全協(xié)議的非對(duì)稱加密的高度安全可靠性，可防止郵件泄露。 IMAPS 和 IMAP 協(xié)議一樣，也是用來(lái)接收郵件的，只是更安全些，防止郵件被黑客截取泄露，還可實(shí)現(xiàn)郵件接收方抗抵賴功能。防止收件者收件之后刪除已收郵件，拒不承認(rèn)收到過(guò)這樣一封郵件。

995端口（POP3 SSL）：995 端口是為 POP3 SSSL（POP3-over-SSL） 協(xié)議服務(wù)開放的，這是 POP3 協(xié)議基于 SSL 安全協(xié)議之上的一種變種協(xié)議，它繼承了 SSL 安全協(xié)議的非對(duì)稱加密的高度安全可靠性，可防止郵件泄露。 POP3S 和 POP3 協(xié)議一樣，也是用來(lái)接收郵件的，只是更安全些，防止郵件被黑客截取泄露，還可實(shí)現(xiàn)郵件接收方抗抵賴功能。防止收件者收件之后刪除已收郵件，拒不承認(rèn)收到過(guò)這樣一封郵件。

3.3 IMAP 與 POP3 的區(qū)別

POP3 協(xié)議允許電子郵件客戶端下載服務(wù)器上的郵件， 但是在客戶端的操作（如移動(dòng)郵件、標(biāo)記已讀等）， 不會(huì)反饋到服務(wù)器上。

IMAP 協(xié)議提供 webmail 與電子郵件客戶端之間的雙向通信， 客戶端的操作都會(huì)反饋到服務(wù)器上， 對(duì)郵件進(jìn)行的操作， 服務(wù)器上的郵件也會(huì)做相應(yīng)的動(dòng)作。

四、防火墻配置(這里針對(duì) iptables)

建議放行 25、587、465、993 端口。

[nukix@nukixPC mailserver]# vim /etc/sysconfig/iptables

-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT

使用 systemctl restart iptables 重啟 iptables 防火墻。

五、生成 DKIM 簽名

使用下面命令進(jìn)行生成簽名

docker exec -it <CONTAINER NAME> setup config dkim

使用下面命令獲取簽名公鑰， 記得路徑中的域名替換成你自己的

[nukix@nukixPC mailserver]# cat ~/mailserver/docker-data/dms/config/opendkim/keys/uso6.com/mail.txt

mail._domainkey IN      TXT     ( "v=DKIM1; h=sha256; k=rsa; "
        "p=MIIBIjANBgkqhkiG9w0BAQEFACAQ8AMIIBCgKCAQEAaH5KuPYPSF3Ppkt466BDMAFGOA4mgqn4oPjZ5BbFlYA9l5jU3bgzRj3l6/Q1n5a9lQs5fNZ7A/HtY0aMvs3nGE4oi+LTejt1jblMhV/OfJyRCunQBIGp0s8G9kIUBzyKJpDayk2+KJSJt/lxL9Iiy0DE5hIv62ZPP6AaTdHBAsJosLFeAzuLFHQ6USyQRojefqFQtgYqWQ2JiZQ3"
        "iqq3bD/BVlwKRp5gH6TEYEmx8EBJUuDxrJhkWRUk2VDl1fqhVBy8A9O7Ah+85nMrlOHIFsTaYo9o6+cDJ6t1i6G1gu+bZD0d3/3bqGLPBQV9LyEL1Rona5V7TJBGg099NQkTz1IwIDAQAB" )  ; ----- DKIM key mail for uso6.com

六、配置域名 DNS 解析

x.x.x.x 代表部署郵件服務(wù)器的 IP， DKIM 不會(huì)拼接的可以看我上面跟下面怎么拼接成即可。

Type		Name				IPv4 address
A			mail				x.x.x.x
MX			@					mail.uso6.com
TXT			@					v=spf1 mx -all
TXT			mail._domainkey		v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFACAQ8AMIIBCgKCAQEAaH5KuPYPSF3Ppkt466BDMAFGOA4mgqn4oPjZ5BbFlYA9l5jU3bgzRj3l6/Q1n5a9lQs5fNZ7A/HtY0aMvs3nGE4oi+LTejt1jblMhV/OfJyRCunQBIGp0s8G9kIUBzyKJpDayk2+KJSJt/lxL9Iiy0DE5hIv62ZPP6AaTdHBAsJosLFeAzuLFHQ6USyQRojefqFQtgYqWQ2JiZQ3iqq3bD/BVlwKRp5gH6TEYEmx8EBJUuDxrJhkWRUk2VDl1fqhVBy8A9O7Ah+85nMrlOHIFsTaYo9o6+cDJ6t1i6G1gu+bZD0d3/3bqGLPBQV9LyEL1Rona5V7TJBGg099NQkTz1IwIDAQAB

其中 MX 記錄需要指向 A 地址。

• v=spf1 表示這是 SPF 記錄的版本號(hào)，目前只有一個(gè)版本
• mx 表示授權(quán)由域名對(duì)應(yīng)的 MX 記錄中列出的 IP 地址發(fā)送郵件
• SoftFail 和 HardFail 是兩種策略，用于指定未經(jīng)授權(quán)的發(fā)件人郵件如何處理
  • ~all 寬容策略。如果發(fā)件人的 IP 地址不在 SPF 記錄中指定的允許列表中，那么收件方的郵件服務(wù)器不會(huì)拒絕該郵件，而是將該郵件標(biāo)記為“軟失敗”，并將其放入接收方的垃圾郵件文件夾或者標(biāo)記為垃圾郵件。
  • -all 嚴(yán)格策略。如果發(fā)件人的IP地址不在 SPF 記錄中指定的允許列表中，那么收件方的郵件服務(wù)器會(huì)拒絕該郵件，并將其退回給發(fā)件人或者直接刪除

更多的 SPF 語(yǔ)法規(guī)則可以看這里 http://www.open-spf.org/SPF_Record_Syntax/。

設(shè)置 PTR 記錄(或者叫 rDNS)，可以通過(guò) IP 地址反向解析出郵箱域名。 不設(shè)置也沒(méi)關(guān)系，但是會(huì)被某些服務(wù)器標(biāo)記為垃圾郵件。

rDNS 主要在控制臺(tái)進(jìn)行配置， 比如我用的是 CloudCone 的 VPS， 如下圖所示。

DNS添加DMARC記錄(可選)

DMARC(Domain-based Message Authentication, Reporting, and Conformance)是一種郵件驗(yàn)證技術(shù)，它可以幫助域名所有者控制其域名下的郵件發(fā)送，防止電子郵件被偽造和濫用。DMARC 是 SPF 和 DKIM 的補(bǔ)充，可以對(duì) SPF 和 DKIM 的驗(yàn)證結(jié)果進(jìn)行匯總和分析，并指定如何處理未經(jīng)驗(yàn)證或驗(yàn)證失敗的郵件。
1.DMARC生成器
2.rua 和 ruf 的郵箱地址要正確，用于接收郵件頭和郵件體等相信信息以及郵件被拒絕的原因，并進(jìn)行必要的調(diào)整。

郵件相關(guān)DNS配置規(guī)范

關(guān)于DNS解析配置一些深入理解，尤其針對(duì)郵件服務(wù)器的配置，上述提到的spf, dkim, dmarc等, 有興趣可以查看:

• dns mx: https://www.cloudflare.com/learning/dns/dns-records/dns-mx-record/
• dns txt: https://www.cloudflare.com/learning/dns/dns-records/dns-txt-record/
• dns dkim: https://www.cloudflare.com/learning/dns/dns-records/dns-dkim-record/
• dns dmarc: https://www.cloudflare.com/learning/dns/dns-records/dns-dmarc-record/
• dns spf: https://www.cloudflare.com/learning/dns/dns-records/dns-spf-record/
• dns: https://www.cloudflare.com/learning

七、SSL 證書配置

這里就放一段官方的配置， 跟 nginx 的 SSL 配置差不多， 看不懂的話可以先看看我另外一篇文章 通過(guò)阿里云域名服務(wù)讓 nginx 配置 SSL

volumes:
  - /usr/syno/etc/certificate/_archive/<your-folder>/:/tmp/dms/custom-certs/
environment:
  - SSL_TYPE=manual
  - SSL_CERT_PATH=/tmp/dms/custom-certs/fullchain.pem
  - SSL_KEY_PATH=/tmp/dms/custom-certs/privkey.pem

八、注意

阿里云 安全違規(guī)行為類型說(shuō)明 里面規(guī)定要稍微注意一下。

未經(jīng)阿里云授權(quán)報(bào)備，不得將云產(chǎn)品用作郵箱服務(wù)器或用于連接第三方郵箱服務(wù)器。

違規(guī)具體情形：未經(jīng)阿里云授權(quán)報(bào)備，不得將云產(chǎn)品（包括但不限于ECS，彈性Web托管，云虛擬主機(jī)等）用作郵箱服務(wù)器或用于連接第三方郵箱服務(wù)器。

九、在線測(cè)試網(wǎng)站

1.MX Toolbox
2.DMARC Analyzer
3.mail-tester.com
4.multiRBL.valli.org
5.internet.nl

十、發(fā)送/接收郵件

docker-mailserver 沒(méi)有提供圖形化界面進(jìn)行發(fā)送與接收郵件， 所以需要借助第三方郵箱。在這推薦使用 eM Client， 用這個(gè)郵件客戶端的主要原因在于如果連接有問(wèn)題，它會(huì)給出一些提示。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-855196.html

參考文獻(xiàn)

• docker-mailserver GitHub 地址
• docker-mailserver 官網(wǎng)
• 目前為止最詳細(xì)的教程：搭建自己的郵箱服務(wù)器|Docker-Mailserver詳細(xì)教程|避坑指南
• docker-mailserver 搭建郵件服務(wù)器

到了這里，關(guān)于使用 Docker Compose 部署郵件服務(wù)器的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！