邮件服务器搭建与身份可信配置指南

前言

邮件钓鱼演练中，邮件可信度至关重要。可信度分为身份可信和内容可信两方面。本指南专注于身份可信配置，涵盖IP信誉、域名设置、SPF/DKIM/DMARC/PTR认证、TLS/SSL证书等关键要素。

准备工作

邮件服务选择

• Sendmail：轻量级，无GUI，自定义程度高
• Ewoemail/iRedMail：带管理界面，功能全面
• 推荐使用Sendmail进行高度自定义配置

VPS选择标准

1. 25端口开放且无提供商监管
2. 支持PTR记录设置
3. 内存≥1GB
4. 推荐国外提供商如Hostinger、搬瓦工
5. 注意IP信誉度（避免美国IP，推荐新加坡）

域名选择

• 注册商推荐：Godaddy、Enom、TuCows（隐私保护）
• 顶级域名选择：.com、.cn、.us等可信度高的TLD
• 避免使用.space等非主流后缀

核心身份验证配置

1. SPF记录配置

v=spf1 mx ~all

• 添加为根域名的TXT记录
• ~all表示软拒绝（未通过SPF的邮件可能被标记为垃圾邮件）
• 测试工具：https://www.kitterman.com/spf/validate.html

2. A/AAAA记录配置

• 将mail.yourdomain.com指向VPS的IPv4/IPv6地址
• 检测命令：nslookup mail.yourdomain.com

3. MX记录配置

• 根域名MX记录指向邮件服务器地址
• 优先级设为10
• 检测命令：nslookup -type=mx yourdomain.com

4. DMARC记录配置

v=DMARC1; p=reject; pct=100; rua=mailto:dmarc@yourdomain.com

• 添加为_dmarc.yourdomain.com的TXT记录
• 政策选项：
  • p=none：仅报告
  • p=quarantine：隔离
  • p=reject：拒绝

5. DNSSEC配置

1. 在DNS服务商处启用DNSSEC（如Cloudflare）
2. 获取DS记录值
3. 在域名注册商处添加DS记录

6. DKIM配置（重点）

OpenDKIM安装与配置

yum install sendmail sendmail-cf mailutils sharutils opendkim opendkim-tools -y
mkdir -p /etc/opendkim/keys/yourdomain.com
opendkim-genkey -D /etc/opendkim/keys/yourdomain.com -d yourdomain.com -s default
chown -R opendkim:opendkim /etc/opendkim/keys/yourdomain.com

配置文件修改

1. /etc/opendkim.conf：设置域名、选择器、密钥路径等
2. /etc/opendkim/KeyTable：添加密钥引用
3. /etc/opendkim/SigningTable：指定签名域
4. /etc/opendkim/TrustedHosts：添加信任主机

DNS记录添加

• 记录名：default._domainkey.yourdomain.com
• 记录值：从/etc/opendkim/keys/yourdomain.com/default.txt获取

Sendmail集成

在/etc/mail/sendmail.mc添加：

INPUT_MAIL_FILTER(`opendkim', `S=inet:8891@127.0.0.1')

生成配置：m4 /etc/mail/sendmail.mc > /etc/mail/sendmail.cf

7. TLS/SSL证书配置

使用acme.sh申请证书

curl https://get.acme.sh | sh
~/.acme.sh/acme.sh --register-account -m ca@yourdomain.com

DNS验证方式（推荐）

export CF_Key="Your_Cloudflare_API_Key"
export CF_Email="Your_Cloudflare_Account_Email"
~/.acme.sh/acme.sh --issue --dns dns_cf -d yourdomain.com -d *.yourdomain.com

证书安装

mkdir /etc/mail/certs
cp /root/.acme.sh/yourdomain.com/* /etc/mail/certs/
~/.acme.sh/acme.sh --installcert -d yourdomain.com \
  --key-file /etc/mail/certs/yourdomain.com.key \
  --fullchain-file /etc/mail/certs/fullchain.cer

Sendmail TLS配置

修改/etc/mail/sendmail.mc：

define(`CERT_DIR', `/etc/mail/certs')dnl
define(`confSERVER_CERT', `CERT_DIR/fullchain.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/yourdomain.com.key')dnl
define(`confCLIENT_CERT', `CERT_DIR/fullchain.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/yourdomain.com.key')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/ca-bundle.crt')dnl
define(`confCRL', `CERT_DIR/revoke.crl')dnl

8. PTR反向解析配置（重点）

1. 在VPS提供商控制面板设置PTR记录
2. 将IP反向解析到mail.yourdomain.com
3. 检测命令：nslookup Your_VPS_IP

测试与验证

邮件发送测试

sendEmail -f test@yourdomain.com -t recipient@example.com -u Test -m "Test message" -s 127.0.0.1

可信度测试工具

1. https://www.mail-tester.com（每日3次免费）
2. https://en.internet.nl/test-mail/

关键注意事项

1. 新注册域名需要28天以上才能获得最佳信誉
2. 确保所有服务正确重启：

   systemctl restart sendmail saslauthd opendkim
   systemctl status sendmail saslauthd opendkim
   

3. 定期检查邮件日志：tail -20 /var/log/maillog
4. 证书自动更新：~/.acme.sh/acme.sh --upgrade --auto-upgrade

结语

通过完整配置SPF、DKIM、DMARC、PTR和TLS等身份验证机制，可显著提高邮件可信度和送达率。实际效果可通过专业测试工具验证，根据测试结果调整配置参数。