使用 Docker Compose 部署邮件服务器

使用 Docker Compose 部署邮件服务器

很多时候为了方便, 我们都直接使用第三方邮箱进行收发邮件。 但第三方邮箱有些要求定期修改密码,有些限制发邮箱的次数, 对于一些个人和企业来说, 有自己的域名和服务器为什么不自己搭建一个邮件服务器呢?因此, 笔者在这记录自己学习并且搭建邮箱服务器的步骤与过程。 本文主要使用 docker-mailserver 进行搭建, 其中一些资料和链接, 有需要详细了解的, 请查看参考文献

博主博客

注: 如果有需要查看 docker docker compose 的安装, 可在笔者博客中搜索相关教程, 在这里就不进行赘述。

一、安装 docker-mailserver

1.1 创建目录文件

位置自己定, 我这里指定 ~/mailserver/ 目录。

bash 复制代码
mkdir ~/mailserver/

目录结构图是这样, 其中 compose.yamlmailserver.env 文件需要准备好, docker-data 是运行容器后自动生成的, 不需要管。

bash 复制代码
mailserver
├─compose.yaml
├─mailserver.env
└─docker-data

1.2 compose.yaml 配置文件

使用 wget 下载 compose.yaml 文件

bash 复制代码
wget -P ~/mailserver/ "https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master/compose.yaml"

把文件中的 hostname 修改为自己的域名, 比如我的是 mail.uso6.com

bash 复制代码
services:
  mailserver:
    image: ghcr.io/docker-mailserver/docker-mailserver:latest
    container_name: mailserver
    # Provide the FQDN of your mail server here (Your DNS MX record should point to this value)
    hostname: mail.uso6.com
    env_file: mailserver.env
    # More information about the mail-server ports:
    # https://docker-mailserver.github.io/docker-mailserver/latest/config/security/understanding-the-ports/
    # To avoid conflicts with yaml base-60 float, DO NOT remove the quotation marks.
    ports:
      - "25:25"    # SMTP  (explicit TLS => STARTTLS, Authentication is DISABLED => use port 465/587 instead)
      - "143:143"  # IMAP4 (explicit TLS => STARTTLS)
      - "465:465"  # ESMTP (implicit TLS)
      - "587:587"  # ESMTP (explicit TLS => STARTTLS)
      - "993:993"  # IMAP4 (implicit TLS)
    volumes:
      - ./docker-data/dms/mail-data/:/var/mail/
      - ./docker-data/dms/mail-state/:/var/mail-state/
      - ./docker-data/dms/mail-logs/:/var/log/mail/
      - ./docker-data/dms/config/:/tmp/docker-mailserver/
      - /etc/localtime:/etc/localtime:ro
    environment:
      - ENABLE_RSPAMD=1
      - ENABLE_CLAMAV=1
      - ENABLE_FAIL2BAN=1
    restart: always
    stop_grace_period: 1m
    # Uncomment if using `ENABLE_FAIL2BAN=1`:
    cap_add:
      - NET_ADMIN
    healthcheck:
      test: "ss --listening --tcp | grep -P 'LISTEN.+:smtp' || exit 1"
      timeout: 3s
      retries: 0
  • ENABLE_CLAMAV 病毒扫描。默认关闭。会占用大量的服务器资源,默认关闭。0:关闭 1:开启
  • ENABLE_FAIL2BAN 封锁尝试暴力破解的IP地址。默认关闭。0:关闭 1:开启 如果启用 Fail2Ban

1.3 mailserver.env 配置文件

使用 wget 下载 mailserver.env 文件

bash 复制代码
wget -P ~/mailserver/ "https://raw.githubusercontent.com/docker-mailserver/docker-mailserver/master/mailserver.env"

具体参数配置可以查看 这里

1.4 运行

进入 ~/mailserver/ 目录, 然后启动容器。

bash 复制代码
# 启动容器
docker compose up -d
# 关闭容器
docker compose down

二、对 docker-mailserver 进行管理

在启动容器时, 使用 docker ps 查看容器的 ID

bash 复制代码
CONTAINER ID   IMAGE                                                COMMAND                  CREATED          STATUS                    PORTS                                                                                                                                                                                                                       NAMES
318bbf389f9c   ghcr.io/docker-mailserver/docker-mailserver:latest   "/usr/bin/dumb-init ..."   31 seconds ago   Up 30 seconds (healthy)   0.0.0.0:25->25/tcp, :::25->25/tcp, 0.0.0.0:143->143/tcp, :::143->143/tcp, 0.0.0.0:465->465/tcp, :::465->465/tcp, 0.0.0.0:587->587/tcp, :::587->587/tcp, 110/tcp, 995/tcp, 0.0.0.0:993->993/tcp, :::993->993/tcp, 4190/tcp   mailserver

可以使用下面命令查看帮助。

bash 复制代码
docker exec -it <CONTAINER NAME> setup help

比如我上面的 ID318bbf389f9c

bash 复制代码
[nukix@nukixPC mailserver]# docker exec -it 318bbf389f9c setup help
SETUP(1)

NAME
    setup - 'docker-mailserver' Administration & Configuration CLI

SYNOPSIS
    setup [ OPTIONS... ] COMMAND [ help | ARGUMENTS... ]

    COMMAND := { email | alias | quota | dovecot-master | config | relay | debug } SUBCOMMAND

DESCRIPTION
    This is the main administration command that you use for all your interactions with
    'docker-mailserver'. Initial setup, configuration, and much more is done with this CLI tool.

    Most subcommands can provide additional information and examples by appending 'help'.
    For example: 'setup email add help'

[SUB]COMMANDS
    COMMAND email :=
        setup email add <EMAIL ADDRESS> [<PASSWORD>]
        setup email update <EMAIL ADDRESS> [<PASSWORD>]
        setup email del [ OPTIONS... ] <EMAIL ADDRESS> [ <EMAIL ADDRESS>... ]
        setup email restrict <add|del|list> <send|receive> [<EMAIL ADDRESS>]
        setup email list

    COMMAND alias :=
        setup alias add <EMAIL ADDRESS> <RECIPIENT>
        setup alias del <EMAIL ADDRESS> <RECIPIENT>
        setup alias list

    COMMAND quota :=
        setup quota set <EMAIL ADDRESS> [<QUOTA>]
        setup quota del <EMAIL ADDRESS>

    COMMAND dovecot-master :=
        setup dovecot-master add <USERNAME> [<PASSWORD>]
        setup dovecot-master update <USERNAME> [<PASSWORD>]
        setup dovecot-master del [ OPTIONS... ] <USERNAME> [ <USERNAME>... ]
        setup dovecot-master list

    COMMAND config :=
        setup config dkim [ ARGUMENTS... ]

    COMMAND relay :=
        setup relay add-auth <DOMAIN> <USERNAME> [<PASSWORD>]
        setup relay add-domain <DOMAIN> <HOST> [<PORT>]
        setup relay exclude-domain <DOMAIN>

    COMMAND fail2ban :=
        setup fail2ban 
        setup fail2ban ban <IP>
        setup fail2ban unban <IP>
        setup fail2ban log
        setup fail2ban status

    COMMAND debug :=
        setup debug fetchmail
        setup debug login <COMMANDS>
        setup debug show-mail-logs

EXAMPLES
    setup email add test@example.com
        Add the email account test@example.com. You will be prompted
        to input a password afterwards since no password was supplied.

    setup config dkim keysize 2048 domain 'example.com,not-example.com'
        Creates keys of length 2048 for the domains in comma-seperated list.
        This is necessary when using LDAP as the required domains cannot be inferred.

    setup config dkim help
        This will provide you with a detailed explanation on how to use the 
        config dkim command, showing what arguments can be passed and what they do.

可以看出添加账号使用命令

bash 复制代码
docker exec -it <CONTAINER NAME> setup email add user@example.com

那么, 我需要添加一个 test@uso6.com 密码为 12345678 的邮箱则使用

bash 复制代码
docker exec -it 318bbf389f9c setup email add test@uso6.com 12345678

查看邮箱列表

bash 复制代码
docker exec -it 318bbf389f9c setup email list

三、常用的邮箱协议和端口

3.1 发送邮件协议和端口

3.1.1 非加密端口

25端口(SMTP):25 端口为 SMTP(Simple Mail Transfer Protocol,简单邮件传输协议) 服务所开放的,是用于发送邮件。如今绝大多数邮件服务器都使用该协议。当你给别人发送邮件时,你的机器的某个动态端口(大于1024)就会与邮件服务器的 25 端口建立一个连接,你发送的邮件就会通过这个连接传送到邮件服务器上,保存起来。

3.1.2 加密端口

465端口(SMTP SSL):465 端口是为 SMTP SSL(SMTP-over-SSL) 协议服务开放的,这是 SMTP 协议基于 SSL 安全协议之上的一种变种协议,它继承了 SSL 安全协议的非对称加密的高度安全可靠性,可防止邮件泄露。SMTPSSMTP 协议一样,也是用来发送邮件的,只是更安全些,防止邮件被黑客截取泄露,还可实现邮件发送者抗抵赖功能。防止发送者发送之后删除已发邮件,拒不承认发送过这样一份邮件。

587端口STARTTLS 协议的 属于 TLS 通讯协议 只是他是在 STARTTLS 命令执行后才对之后的原文进行保护的。

3.2 接收邮件协议和端口

3.2.1 非加密端口

143端口(IMAP):143 端口是为 IMAP(INTERNET MESSAGE ACCESS PROTOCOL) 服务开放的,是用于接收邮件的。

110端口(POP3):110 端口是为 POP3(Post Office Protocol Version 3,邮局协议3) 服务开放的,是用于接收邮件的。

3.2.2 加密端口

993端口(IMAP SSL):993 端口是为 IMAP SSL(IMAP-over-SSL) 协议服务开放的,这是 IMAP 协议基于 SSL 安全协议之上的一种变种协议,它继承了 SSL 安全协议的非对称加密的高度安全可靠性,可防止邮件泄露。 IMAPSIMAP 协议一样,也是用来接收邮件的,只是更安全些,防止邮件被黑客截取泄露,还可实现邮件接收方抗抵赖功能。防止收件者收件之后删除已收邮件,拒不承认收到过这样一封邮件。

995端口(POP3 SSL):995 端口是为 POP3 SSSL(POP3-over-SSL) 协议服务开放的,这是 POP3 协议基于 SSL 安全协议之上的一种变种协议,它继承了 SSL 安全协议的非对称加密的高度安全可靠性,可防止邮件泄露。 POP3SPOP3 协议一样,也是用来接收邮件的,只是更安全些,防止邮件被黑客截取泄露,还可实现邮件接收方抗抵赖功能。防止收件者收件之后删除已收邮件,拒不承认收到过这样一封邮件。

3.3 IMAP 与 POP3 的区别

POP3 协议允许电子邮件客户端下载服务器上的邮件, 但是在客户端的操作(如移动邮件、标记已读等), 不会反馈到服务器上。

IMAP 协议提供 webmail 与电子邮件客户端之间的双向通信, 客户端的操作都会反馈到服务器上, 对邮件进行的操作, 服务器上的邮件也会做相应的动作。

四、防火墙配置(这里针对 iptables)

建议放行 25587465993 端口。

bash 复制代码
[nukix@nukixPC mailserver]# vim /etc/sysconfig/iptables

-A INPUT -p tcp --dport 25 -j ACCEPT
-A INPUT -p tcp --dport 587 -j ACCEPT
-A INPUT -p tcp --dport 465 -j ACCEPT
-A INPUT -p tcp --dport 993 -j ACCEPT

使用 systemctl restart iptables 重启 iptables 防火墙。

五、生成 DKIM 签名

使用下面命令进行生成签名

bash 复制代码
docker exec -it <CONTAINER NAME> setup config dkim

使用下面命令获取签名公钥, 记得路径中的域名替换成你自己的

bash 复制代码
[nukix@nukixPC mailserver]# cat ~/mailserver/docker-data/dms/config/opendkim/keys/uso6.com/mail.txt

mail._domainkey IN      TXT     ( "v=DKIM1; h=sha256; k=rsa; "
        "p=MIIBIjANBgkqhkiG9w0BAQEFACAQ8AMIIBCgKCAQEAaH5KuPYPSF3Ppkt466BDMAFGOA4mgqn4oPjZ5BbFlYA9l5jU3bgzRj3l6/Q1n5a9lQs5fNZ7A/HtY0aMvs3nGE4oi+LTejt1jblMhV/OfJyRCunQBIGp0s8G9kIUBzyKJpDayk2+KJSJt/lxL9Iiy0DE5hIv62ZPP6AaTdHBAsJosLFeAzuLFHQ6USyQRojefqFQtgYqWQ2JiZQ3"
        "iqq3bD/BVlwKRp5gH6TEYEmx8EBJUuDxrJhkWRUk2VDl1fqhVBy8A9O7Ah+85nMrlOHIFsTaYo9o6+cDJ6t1i6G1gu+bZD0d3/3bqGLPBQV9LyEL1Rona5V7TJBGg099NQkTz1IwIDAQAB" )  ; ----- DKIM key mail for uso6.com

六、配置域名 DNS 解析

x.x.x.x 代表部署邮件服务器的 IP, DKIM 不会拼接的可以看我上面跟下面怎么拼接成即可。

Type		Name				IPv4 address
A			mail				x.x.x.x
MX			@					mail.uso6.com
TXT			@					v=spf1 mx -all
TXT			mail._domainkey		v=DKIM1; h=sha256; k=rsa; p=MIIBIjANBgkqhkiG9w0BAQEFACAQ8AMIIBCgKCAQEAaH5KuPYPSF3Ppkt466BDMAFGOA4mgqn4oPjZ5BbFlYA9l5jU3bgzRj3l6/Q1n5a9lQs5fNZ7A/HtY0aMvs3nGE4oi+LTejt1jblMhV/OfJyRCunQBIGp0s8G9kIUBzyKJpDayk2+KJSJt/lxL9Iiy0DE5hIv62ZPP6AaTdHBAsJosLFeAzuLFHQ6USyQRojefqFQtgYqWQ2JiZQ3iqq3bD/BVlwKRp5gH6TEYEmx8EBJUuDxrJhkWRUk2VDl1fqhVBy8A9O7Ah+85nMrlOHIFsTaYo9o6+cDJ6t1i6G1gu+bZD0d3/3bqGLPBQV9LyEL1Rona5V7TJBGg099NQkTz1IwIDAQAB

其中 MX 记录需要指向 A 地址。

  • v=spf1 表示这是 SPF 记录的版本号,目前只有一个版本
  • mx 表示授权由域名对应的 MX 记录中列出的 IP 地址发送邮件
  • SoftFail 和 HardFail 是两种策略,用于指定未经授权的发件人邮件如何处理
    • ~all 宽容策略。如果发件人的 IP 地址不在 SPF 记录中指定的允许列表中,那么收件方的邮件服务器不会拒绝该邮件,而是将该邮件标记为"软失败",并将其放入接收方的垃圾邮件文件夹或者标记为垃圾邮件。
    • -all 严格策略。如果发件人的IP地址不在 SPF 记录中指定的允许列表中,那么收件方的邮件服务器会拒绝该邮件,并将其退回给发件人或者直接删除

更多的 SPF 语法规则可以看这里 http://www.open-spf.org/SPF_Record_Syntax/

设置 PTR 记录(或者叫 rDNS),可以通过 IP 地址反向解析出邮箱域名。 不设置也没关系,但是会被某些服务器标记为垃圾邮件。

rDNS 主要在控制台进行配置, 比如我用的是 CloudConeVPS, 如下图所示。

DNS添加DMARC记录(可选)

DMARC(Domain-based Message Authentication, Reporting, and Conformance)是一种邮件验证技术,它可以帮助域名所有者控制其域名下的邮件发送,防止电子邮件被伪造和滥用。DMARC 是 SPF 和 DKIM 的补充,可以对 SPF 和 DKIM 的验证结果进行汇总和分析,并指定如何处理未经验证或验证失败的邮件。

1.DMARC生成器

2.ruaruf 的邮箱地址要正确,用于接收邮件头和邮件体等相信信息以及邮件被拒绝的原因,并进行必要的调整。

邮件相关DNS配置规范

关于DNS解析配置一些深入理解,尤其针对邮件服务器的配置,上述提到的spf, dkim, dmarc等, 有兴趣可以查看:

七、SSL 证书配置

这里就放一段官方的配置, 跟 nginxSSL 配置差不多, 看不懂的话可以先看看我另外一篇文章 通过阿里云域名服务让 nginx 配置 SSL

bash 复制代码
volumes:
  - /usr/syno/etc/certificate/_archive/<your-folder>/:/tmp/dms/custom-certs/
environment:
  - SSL_TYPE=manual
  - SSL_CERT_PATH=/tmp/dms/custom-certs/fullchain.pem
  - SSL_KEY_PATH=/tmp/dms/custom-certs/privkey.pem

八、注意

阿里云 安全违规行为类型说明 里面规定要稍微注意一下。

未经阿里云授权报备,不得将云产品用作邮箱服务器或用于连接第三方邮箱服务器。

违规具体情形:未经阿里云授权报备,不得将云产品(包括但不限于ECS,弹性Web托管,云虚拟主机等)用作邮箱服务器或用于连接第三方邮箱服务器。

九、在线测试网站

1.MX Toolbox

2.DMARC Analyzer

3.mail-tester.com

4.multiRBL.valli.org

5.internet.nl

十、发送/接收邮件

docker-mailserver 没有提供图形化界面进行发送与接收邮件, 所以需要借助第三方邮箱。在这推荐使用 eM Client, 用这个邮件客户端的主要原因在于如果连接有问题,它会给出一些提示。

参考文献

相关推荐
drebander23 分钟前
使用 Java Stream 优雅实现List 转化为Map<key,Map<key,value>>
java·python·list
乌啼霜满天24926 分钟前
Spring 与 Spring MVC 与 Spring Boot三者之间的区别与联系
java·spring boot·spring·mvc
tangliang_cn31 分钟前
java入门 自定义springboot starter
java·开发语言·spring boot
程序猿阿伟32 分钟前
《智能指针频繁创建销毁:程序性能的“隐形杀手”》
java·开发语言·前端
Grey_fantasy42 分钟前
高级编程之结构化代码
java·spring boot·spring cloud
弗锐土豆1 小时前
工业生产安全-安全帽第二篇-用java语言看看opencv实现的目标检测使用过程
java·opencv·安全·检测·面部
Elaine2023911 小时前
零碎04 MybatisPlus自定义模版生成代码
java·spring·mybatis
条纹布鲁斯1 小时前
dockerdsktop修改安装路径/k8s部署wordpress和ubuntu
docker·kubernetes
小小大侠客1 小时前
IText创建加盖公章的pdf文件并生成压缩文件
java·pdf·itext
一二小选手1 小时前
【MyBatis】全局配置文件—mybatis.xml 创建xml模板
xml·java·mybatis