Как установить mta cache
Обновлено: 21.11.2024
Postfix — это бесплатный агент передачи почты (MTA) с открытым исходным кодом, который маршрутизирует и доставляет электронную почту в системе Linux. Подсчитано, что около 26 % общедоступных почтовых серверов в Интернете используют Postfix.
Предпосылки¶
Установка программного обеспечения¶
На сервере Ubuntu 20.04 (focal) установлена версия Postfix версии 3.4.13, выпущенная 14 июня 2020 г.
Основная конфигурация¶
Postfix использует несколько различных файлов конфигурации, наиболее важным из которых является файл /etc/postfix/main.cf.
На веб-сайте документации есть страница, посвященная main.cf, которая включает все возможные параметры конфигурации.
Весь файл, представленный ниже, также доступен для загрузки по адресу /server/config-files/etc/postfix/main.cf здесь.
Общие настройки¶
Локальные почтовые ящики и карты псевдонимов¶
Карты виртуальных доменов, почтовых ящиков и псевдонимов¶
Настройки протоколов TCP/IP¶
Общие настройки TLS¶
Настройки SMTP-клиента¶
Настройки SMTP-сервера¶
SASL-аутентификация SMTP-сервера¶
Ограничения SMTP-сервера¶
Ограничения почтового агента пользователя (MUA)¶
Почтовые фильтры (милтеры)¶
Файлы карт и базы данных¶
Postfix использует несколько карт, хранящихся в файлах, для преобразования во время выполнения таких вещей, как домены и почтовые адреса. Поскольку эти карты могут быть довольно большими и часто меняться, они сохраняются не в файлах конфигурации, а в файлах карт.
Ссылки на файлы карт указаны в конфигурации сервера postfix. Примерами, которые уже использовались выше, являются canonical_maps или virtual_mailbox_domains выше.
Такие значения конфигурации обычно содержат префикс, например hash: или mysql: , который сообщает серверу, в каком типе хранилища данных доступна информация о сопоставлении.
Если префикс начинается с хэша: карта изначально сохраняется в виде обычного текста в указанном файле, но позже кэшируется в хеш-базе данных для более быстрого доступа. Хешированная карта или база данных могут изменяться во время работы сервера, в отличие от значений конфигурации, которые считываются только при запуске сервера, а изменения требуют перезапуска почтового сервера.
Это может усложниться, чем больше таких файлов, поскольку они используют разные форматы, обработку и хеширование.
Поэтому помогает создать Makefile, поэтому для обновления чего-либо требуется всего одна командная строка. Создайте /etc/postfix/Makefile следующим образом:
После каждого изменения любого из файлов карты, обсуждаемых ниже, их базы данных необходимо обновлять следующим образом:
Карта псевдонима¶
Файл /etc/postfix/aliases.map содержит информацию о том, куда должны доставляться письма для определенных системных учетных записей.
Это необходимо для того, чтобы сообщения с уведомлениями и предупреждениями, созданные системными программами (например, cronjobs), доходили до людей (например, до лица, ответственного за системное администрирование).
Содержимое файла кэшируется в базе данных /etc/postfix/aliases.db. Из-за этого базу данных необходимо обновлять после каждого изменения, сделанного в /etc/postfix/aliases.map:
Карта канонических отправителей¶
Файл /etc//postfix/sender_canonical.map содержит информацию о том, какие адреса отправителей исходящих писем необходимо перезаписать перед отправкой почты.
Это необходимо в основном для сообщений, сгенерированных системой, поскольку они содержат в качестве отправителей имена учетных записей локальной системы, которые не будут приниматься в качестве действительных адресов электронной почты в Интернете. Однако, поскольку это перезапись, после перезаписи адреса вы можете не знать, откуда пришло сообщение.
Содержимое файла кэшируется в базе данных /etc/postfix/sender-canonical.db. Из-за этого базу данных необходимо обновлять после каждого изменения, сделанного в /etc/postfix/sender_canonical.map:
Каноническая карта получателей¶
Файл /etc//postfix/recipient_canonical.map содержит информацию о том, какие адреса получателей исходящих писем необходимо перезаписать перед отправкой почты.
Это необходимо в основном для сообщений, сгенерированных системой, поскольку они содержат в качестве отправителей имена учетных записей локальной системы, которые не будут приниматься в качестве действительных адресов электронной почты в Интернете. Однако, поскольку это перезапись, после перезаписи адреса вы можете не знать, для чего изначально предназначалось сообщение. Может быть предпочтительнее использовать описанную выше карту псевдонимов, которая пересылает сообщение на выбранный адрес, оставляя исходные заголовки получателей нетронутыми.
Содержимое файла кэшируется в базе данных /etc/postfix/recipient-canonical.db. Из-за этого базу данных необходимо обновлять после каждого изменения, сделанного в /etc/postfix/recipient_canonical.map:
Каноническая карта¶
Файл /etc/postfix/canonical.map определяет карту, на которой всегда необходимо менять адреса отправителя и получателя в заголовках и конвертах сообщений:
Содержимое файла кэшируется в базе данных /etc/postfix/canonical.db.Чтобы обновить базу данных после внесения изменений, выполните следующее:
Общая карта SMTP¶
Это необходимо, когда локальный компьютер не имеет собственного доменного имени в Интернете, а вместо этого использует что-то вроде localdomain.local.
Содержимое файла кэшируется в базе данных /etc/postfix/canonical.db. Чтобы обновить базу данных после внесения изменений, выполните следующее:
Карта виртуальных доменов¶
Используйте пользователя, пароль и базу данных, определенные в виртуальных доменах и почтовых ящиках.
Карта виртуальных почтовых ящиков¶
Обратите внимание, что единственным отличием от предыдущего является SQL-запрос. поиск почтовых ящиков вместо доменов.
Виртуальная карта псевдонимов¶
Наконец мы также создаем /etc/postfix/sql/virtual-aliases.cf, чтобы дать Postfix возможность искать псевдонимы почтовых ящиков на сервере базы данных MySQL:
Карта политик TLS¶
Шифрование TLS не является обязательным между SMTP-серверами, так как оно основано на старых стандартах, которые нельзя изменить, иначе доставка почты может привести к сбою в глобальном масштабе.
Сегодня большинство SMTP-серверов поддерживают шифрование TLS с помощью команды STARTTLS, которая позволяет обновить незашифрованное соединение до зашифрованного даже после того, как соединение уже установлено.
Но ситуация такова, что многие серверы используют старые устаревшие и слабые стандарты шифрования, многие используют самозаверяющие сертификаты. У вас, как у поставщика почтовых услуг, нет другого выбора, кроме как поддерживать и их, иначе вы и ваши пользователи не сможете обмениваться почтой ни с одним из них.
Карта политик TLS поможет вам добиться наилучшего шифрования, по крайней мере, на известных вам серверах, и в то же время обеспечить совместимое со стандартами, но плохое шифрование на всех остальных серверах.
Файл /etc/postfix/sql/tls-policy.cf:
Основная конфигурация процесса¶
Postfix состоит из множества демонов и утилит, некоторые из которых работают постоянно, а другие запускаются по мере необходимости. Файл конфигурации /etc/postfix/master.cf — это централизованный центр управления, откуда главный процесс Postfix получает указания о том, что, когда и как следует запускать все эти программы.
Если параметры командной строки не указаны, программа использует соответствующие значения конфигурации из файла конфигурации main.cf. В качестве альтернативы параметры могут быть переопределены параметрами командной строки, такими как -o .
На официальном веб-сайте документации есть онлайн-страница руководства.
Весь файл, представленный ниже, также доступен для загрузки по адресу /server/config-files/etc/postfix/master.cf здесь.
Стандартный SMTP Dameon¶
Постэкранный брандмауэр SMTP¶
Поскольку мы используем Rspamd milter для отделения законных SMTP-соединений от нежелательных, строку postscreen можно закомментировать.
Внутренний демон Postfix SMTP¶
Если подключающийся SMTP-клиент прошел все проверки, выполненные postscreen, IP-адрес клиента временно заносится в белый список.
Если возможно, TCP-соединение затем передается демону SMTPD внутри (именно это означает ключевое слово «pass»).
Иногда это невозможно из-за проверок. Если клиент уже должен был начать доставку некоторого сообщения, чтобы завершить проверку, соединение не может быть передано новому SMTP-серверу, так как это может запутать SMTP-клиента, который уже находится в процессе доставки сообщения. В этом случае postscreen скажет подключающемуся SMTP-клиенту прервать доставку сообщения и повторить попытку позже. Если тот же клиент снова подключится позже, он уже будет внесен в белый список, а затем соединение будет «передано» непосредственно демону postfix SMTP.
Поскольку мы не используем postscreen, этот демон можно отключить, закомментировав строку.
Поиск в черном и белом списках DNS¶
DNSblog — это вспомогательная служба для брандмауэра postscreen SMTP для поиска, если подключающиеся хосты обнаружены в каком-либо из настроенных черных или белых списков DNS.
Поскольку мы используем Rspamd milter для отделения законных SMTP-подключений от нежелательных, строку dnsblog можно закомментировать.
Прокси-сервер TLS¶
Он используется сервером postscreen для обработки TLS-соединений с входящими клиентскими SMTP-подключениями и локальным smtp-клиентом для поддержки повторного использования TLS-соединений.
Демон отправки¶
Демон отправки — это демон SMTP, прослушивающий TCP-порт 587 для почтовых пользовательских агентов (MUA, также известных как почтовые клиенты, такие как Thunderbird или Outlook) авторизованных пользователей для подключения и отправки своей исходящей почты.
Подключающийся MUA должен прежде всего инициализировать TLS-шифрование соединения с помощью команды STARTTLS. Это контролируется параметром «smtpd_tls_security_level=encrypt».
Следующие параметры включают аутентификацию пользователей через зашифрованные соединения и различные настройки, позволяющие отправлять почту от авторизованных и авторизованных пользователей куда угодно.
Последний вариант помечает отправленные почтовые сообщения как наши собственные для соответствующей обработки нашими спам-фильтрами.
Демон SMTPS¶
Демон SMTPS очень похож на демон отправки. Разница в том, что он работает на TCP-порту 465, а соединения уже зашифрованы, поэтому STARTTLS не требуется.
Другие демоны и программы Postfix¶
qmqpd — демон QMQP (Quick Mail Queuing Protocol). Почтовый протокол, первоначально разработанный Дэниелом Дж. Бернштейном как часть QMAIL. Отключено.
pickup — получение локальной почты Postfix. Демон pickup(8) ожидает подсказок о том, что новая почта была сброшена в каталог maildrop, и передает ее демону cleanup(8).
cleanup — канонизировать и поставить сообщение Postfix в очередь. Демон cleanup(8) обрабатывает входящую почту, вставляет ее в очередь входящей почты и информирует диспетчер очередей о ее поступлении.
qmgr — менеджер очередей Postfix. Демон qmgr(8) ожидает поступления входящей почты и организует ее доставку с помощью процессов доставки Postfix. Фактическая стратегия маршрутизации почты делегируется демону tribute-rewrite(8).
oqmgr — старый менеджер очередей Postfix. Отключено.
tlsmgr — кеш сеанса Postfix TLS и менеджер PRNG. tlsmgr(8) управляет кэшами сеансов Postfix TLS. Он сохраняет и извлекает записи кэша по запросу процессов smtpd(8) и smtp(8) и периодически удаляет записи с истекшим сроком действия.
tribun-rewrite — демон перезаписи и разрешения адресов Postfix. Демон tribute-rewrite(8) обрабатывает три типа запросов клиентских служб:
переписатьконтекстный адрес — переписать адрес в стандартную форму в соответствии с контекстом перезаписи адреса (локальным или удаленным).
resolvesender address – преобразование адреса в четверное число (транспорт, следующий переход, получатель, флаги).
verifysender address – разрешение адреса для проверки адреса.
bounce — сообщает о статусе доставки Postfix. Поддерживает файлы журналов для каждого сообщения с информацией о статусе доставки.
verify — сервер проверки адресов Postfix. Поддерживает запись о том, какие адреса получателей известны как доставляемые или не доставляемые.
flush — сервер быстрой очистки Postfix. Ведет учет отложенной почты по месту назначения. Эта информация используется для повышения производительности SMTP-запроса ETRN и его эквивалента командной строки «sendmail -qR» или «postqueue -f».
proxymap — прокси-сервер таблицы поиска Postfix. Предоставляет службу просмотра таблиц только для чтения или чтения-записи для процессов Postfix. Эти сервисы реализованы с разными именами сервисов: proxymap и proxywrite соответственно. Целью этих услуг является:
Обойти ограничения chroot.
Объединить количество открытых таблиц поиска по открытым соединениям и файлам.
Предоставьте доступ на запись к таблицам, которые не поддерживают более одного одновременного доступа на запись.
showq — список почтовой очереди Postfix. Сообщает о состоянии почтовой очереди Postfix. Вывод предназначен для форматирования командой postqueue(1), поскольку она эмулирует команду Sendmail mailq.
ошибка — ошибка Postfix/повторная попытка агента доставки почты. Обрабатывает запросы на доставку от администратора очередей. В каждом запросе указывается файл очереди, адрес отправителя, причина недоставки (указанная как пункт назначения следующего перехода) и информация о получателе.
discard — Postfix отбрасывает агент доставки почты. Обрабатывает запросы на доставку от администратора очередей. В каждом запросе указывается файл очереди, адрес отправителя, пункт назначения следующего перехода, который считается причиной отклонения почты, и информация о получателе.
local — локальная доставка почты Postfix. Обрабатывает запросы на доставку от администратора очередей Postfix для доставки почты локальным получателям. В каждом запросе на доставку указывается файл очереди, адрес отправителя, домен или хост для доставки и один или несколько получателей.
виртуальный — агент доставки почты виртуального домена Postfix. Предназначен для виртуальных почтовых хостингов. Первоначально основанный на агенте доставки Postfix local(8), этот агент ищет получателей с помощью поиска по карте их полного адреса получателя вместо использования жестко запрограммированного поиска файлов паролей unix только локальной части адреса.
anvil — количество сессий Postfix и контроль скорости запросов. Ведет статистику о количестве клиентских подключений или частоте клиентских запросов.
scache — сервер кэширования общего соединения Postfix. Поддерживает общий кеш с несколькими подключениями. Эта информация может использоваться, например, SMTP-клиентами Postfix или другими агентами доставки Postfix.
очистка заголовка отправки
postlog — утилита ведения журнала, совместимая с Postfix. Реализует совместимый с Postfix интерфейс ведения журнала для использования, например, в сценариях оболочки.
По умолчанию postlog(1) регистрирует текст, указанный в командной строке, как одну запись. Если в командной строке не указан текст, postlog(1) читает из стандартного ввода и регистрирует каждую строку ввода как одну запись.
По умолчанию журнал отправляется в syslogd(8) или postlogd(8); когда стандартный поток ошибок подключается к терминалу, журнал также отправляется туда.
MTA-STS дополняется отчетами SMTP TLS (TLSRPT), которые дают вам представление о том, какие электронные письма успешно доставляются по TLS, а какие нет. TLSRPT аналогичен отчету DMARC, но для TLS.
Основной причиной внедрения MTA-STS для вашего домена является обеспечение безопасной передачи конфиденциальной электронной почты, отправляемой вам, по протоколу TLS. Другие методы поощрения TLS для связи по электронной почте, такие как STARTTLS, по-прежнему подвержены атакам посредника, поскольку начальное соединение не зашифровано. MTA-STS помогает гарантировать, что после установления хотя бы одного безопасного соединения TLS будет использоваться по умолчанию, что значительно снижает риск таких атак.
Пример использования MTA-STS и TLS Reporting – помощь в создании защищенной системы электронной почты службы поддержки клиентов для вашего бизнеса. Клиенты могут отправлять запросы в службу поддержки по электронной почте, которые содержат конфиденциальную личную информацию, для которой требуется безопасное соединение TLS. MTA-STS помогает обеспечить безопасность подключения, а TLSRPT будет предоставлять ежедневные отчеты с указанием всех сообщений электронной почты, которые не были отправлены безопасным образом, что дает важную информацию о любых текущих или предыдущих атаках на вашу систему электронной почты.
В этом руководстве вы узнаете, как настроить MTA-STS и TLSRPT для вашего доменного имени, а затем интерпретировать свой первый отчет TLS. Хотя в этом руководстве рассматриваются шаги по использованию Apache в Ubuntu 18.04 с сертификатом Let’s Encrypt, конфигурация MTA-STS/TLSRPT также будет работать с альтернативными вариантами, такими как Nginx в Debian.
Предпосылки
Прежде чем приступить к работе с этим руководством, вам необходимо:
Доменное имя, уже настроенное для получения электронной почты с использованием вашего собственного почтового сервера или размещенной почтовой службы, такой как G Suite или Office 365. В этом руководстве будет использоваться ваш домен, однако его следует заменить вашим собственным доменом. имя. В рамках этого руководства вам потребуется настроить поддомен, поэтому убедитесь, что у вас есть доступ к настройкам DNS для вашего домена.
Один сервер Ubuntu 18.04, настроенный в соответствии с начальной настройкой сервера с Ubuntu 18.04, включая пользователя без полномочий root.
Веб-сервер Apache установлен и настроен в соответствии с инструкциями по установке веб-сервера Apache в Ubuntu 18.04.
Настроенный клиент Certbot для получения сертификата Let’s Encrypt в соответствии с инструкциями по обеспечению безопасности Apache с помощью Let’s Encrypt в Ubuntu 18.04.
Подготовив их, войдите на свой сервер как пользователь без полномочий root, чтобы начать.
Примечание. После того как вы выполнили шаги по внедрению MTA-STS и TLSRPT, вам может потребоваться подождать до 24 часов, прежде чем вы получите свой первый отчет TLS. Это связано с тем, что большинство провайдеров электронной почты отправляют отчеты один раз в день. Вы можете возобновить обучение с шага 5, как только получите свой первый отчет.
Шаг 1. Создание файла политики MTA-STS
MTA-STS включается и настраивается с помощью простого текстового файла конфигурации, который вы размещаете на своем веб-сайте. Затем поддерживаемые почтовые серверы автоматически подключатся к вашему веб-сайту для получения файла, что приведет к включению MTA-STS. На этом первом шаге вы поймете, какие параметры доступны для этого файла, и выберете наиболее подходящий для него.
Во-первых, откройте новый текстовый файл в своем домашнем каталоге, чтобы у вас было место для записи желаемой конфигурации:
Сначала мы рассмотрим пример, а затем вы напишете свой собственный файл конфигурации.
Ниже приведен пример файла конфигурации MTA-STS:
В этом примере файла конфигурации указано, что вся электронная почта доставляется на адрес mail1. ваш-домен и почта2. your-domain от поддерживаемых поставщиков должен быть доставлен через действительное соединение TLS. Если с вашим почтовым сервером невозможно установить действительное TLS-соединение (например, если срок действия сертификата истек или он является самозаверяющим), письмо не будет доставлено.
В результате злоумышленнику будет намного сложнее перехватить и отследить/изменить вашу электронную почту в такой ситуации, как атака "человек посередине". Это связано с тем, что при правильном включении MTA-STS электронная почта может передаваться только через действительное соединение TLS, для которого требуется действительный сертификат TLS. Злоумышленнику будет сложно получить такой сертификат, поскольку для этого обычно требуется привилегированный доступ к вашему доменному имени и/или веб-сайту.
Как показано в примере ранее на этом шаге, файл конфигурации состоит из нескольких пар ключ/значение:
- Цель: указать версию спецификации MTA-STS для использования.
- Допустимые значения. В настоящее время допустимо только значение STSv1 .
- Пример: версия: STSv1
- Цель: указать, в каком режиме MTA-STS должен быть включен.
- Допустимые значения:
- enforce : заставить всю входящую электронную почту от поддерживаемых поставщиков использовать действительный протокол TLS.
- тестирование: режим только для отчетов. электронная почта не будет заблокирована, но отчеты TLSRPT по-прежнему будут отправляться.
- none : отключить MTA-STS.
- Цель: указать максимальное время жизни политики MTA-STS в секундах.
- Допустимые значения: любое положительное целое число до 3 1557600.
- Пример: max_age: 604800 (1 неделя)
Вы также можете просмотреть официальную спецификацию пар ключ/значение в разделе 3.2 MTA-STS RFC.
Предупреждение. Включение MTA-STS в принудительном режиме может неожиданно привести к тому, что некоторые электронные письма не будут доставлены вам. Вместо этого рекомендуется сначала использовать режим: тестирование и низкое значение max_age:, чтобы убедиться, что все работает правильно, прежде чем полностью включить MTA-STS.
Используя пример файла ранее на этом шаге, а также предыдущие примеры пары ключ/значение, напишите нужный файл политики MTA-STS и сохраните его в файле, который вы создали в начале шага.
Следующий пример файла идеально подходит для тестирования MTA-STS, так как он не приведет к неожиданной блокировке электронных писем и имеет max_age всего 1 день, а это означает, что если вы решите отключить его, срок действия конфигурации быстро истечет. . Обратите внимание, что некоторые поставщики услуг электронной почты будут отправлять отчеты TLSRPT только в том случае, если max_age больше 1 дня, поэтому 86 401 секунд – хороший выбор (1 день и 1 секунда).
На этом шаге вы создали желаемый файл конфигурации MTA-STS и сохранили его в своем домашнем регионе. На следующем шаге вы настроите веб-сервер Apache для обслуживания файла в правильном формате.
Шаг 2. Настройка Apache для обслуживания файла политики MTA-STS
На этом шаге вы настроите виртуальный хост Apache для обслуживания файла конфигурации MTA-STS, а затем добавите запись DNS, чтобы разрешить доступ к сайту из субдомена.
Этого можно добиться, создав новый виртуальный хост Apache для поддомена mta-sts, который будет обслуживать файл политики MTA-STS. Этот шаг основывается на базовой конфигурации, которую вы настроили в предварительном шаге Установка веб-сервера Apache в Ubuntu 18.04.
Сначала создайте каталог для своего виртуального хоста:
Если вы размещаете несколько разных доменов на своем веб-сервере, рекомендуется использовать разные виртуальные хосты MTA-STS для каждого, например /var/www/mta-sts-site1 и /var/www/mta. -sts-site2 .
Затем вам нужно создать каталог .well-known, в котором будет храниться ваш файл конфигурации MTA-STS. .well-known — это стандартизированный каталог для «общеизвестных» файлов, таких как файлы проверки сертификата TLS, security.txt и т. д.
Теперь вы можете переместить файл политики MTA-STS, созданный на шаге 1, в только что созданный каталог веб-сервера:
При желании вы можете проверить правильность копирования файла:
При этом будет выведено содержимое файла, созданного на шаге 1.
Сначала создайте новый файл конфигурации виртуального хоста:
Как и в случае с каталогом виртуальных хостов, если вы размещаете несколько разных доменов на одном и том же веб-сервере, рекомендуется использовать разные имена виртуальных хостов для каждого из них.
Затем скопируйте следующий пример конфигурации в файл и заполните переменные там, где это необходимо:
Эта конфигурация создаст виртуальный хост mta-sts, который будет обслуживаться на mta-sts. ваш-домен . Он также будет перенаправлять все запросы, кроме запросов к самому файлу mta-sts.txt, на пользовательскую страницу ошибки 403 Forbidden с понятным объяснением того, для чего предназначен сайт поддомена. Это сделано для того, чтобы посетители, случайно попавшие на ваш сайт MTA-STS, не были случайно сбиты с толку.
В настоящее время используется самозаверяющий сертификат TLS. Это не идеально, так как для правильной работы MTA-STS требуется полностью действительный/доверенный сертификат. На шаге 3 вы получите сертификат TLS с помощью Let’s Encrypt.
Затем убедитесь, что необходимые модули Apache включены:
После этого включите новый виртуальный хост:
Затем запустите проверку синтаксиса файлов конфигурации Apache, чтобы убедиться в отсутствии непредвиденных ошибок:
Когда тест пройдет без ошибок, вы можете перезапустить Apache, чтобы полностью включить новый виртуальный хост:
Теперь, когда виртуальный хост Apache установлен и настроен, вам нужно создать необходимые записи DNS, чтобы разрешить доступ к нему с использованием полного доменного имени mta-sts. ваш-домен .
То, как это делается, зависит от используемого вами провайдера хостинга DNS. Однако, если вы используете DigitalOcean в качестве провайдера DNS, просто перейдите к своему проекту, а затем нажмите на свой домен.
Наконец, добавьте необходимые записи DNS для поддомена mta-sts. Если ваша капля использует только IPv4, создайте запись A для mta-sts, указывающую на your-server-ipv4-address.Если вы также используете IPv6, создайте запись AAAA, указывающую на your-server-ipv6-address .
На этом шаге вы создали и настроили новый виртуальный хост Apache для своего субдомена MTA-STS, а затем добавили необходимые записи DNS, чтобы упростить к нему доступ. На следующем этапе вы получите доверенный сертификат Let’s Encrypt для своего субдомена MTA-STS.
Шаг 3. Получение сертификата Let’s Encrypt для вашего субдомена MTA-STS
Для этого вы будете использовать certbot , который вы настроили как часть предварительного этапа Как защитить Apache с помощью Let’s Encrypt в Ubuntu 18.04.
Во-первых, запустите certbot, чтобы выдать сертификат для вашего субдомена mta-sts, используя метод проверки подключаемого модуля Apache:
При этом будет создан файл политики MTA-STS, созданный на шаге 1:
В случае возникновения ошибки убедитесь, что конфигурация виртуального хоста из шага 2 верна, и что вы добавили запись DNS для поддомена mta-sts.
На этом шаге вы выпустили TLS-сертификат Let’s Encrypt для своего субдомена mta-sts и проверили его работу. Далее вы настроите несколько записей DNS TXT, чтобы полностью включить MTA-STS и TLSRPT.
Шаг 4. Настройка записей DNS, необходимых для включения MTA-STS и TLSRPT
На этом шаге вы настроите две записи DNS TXT, которые полностью активируют уже созданную политику MTA-STS, а также включите отчеты TLS (TLSRPT).
Эти записи DNS можно настроить с помощью любого провайдера хостинга DNS, но в этом примере в качестве провайдера используется DigitalOcean.
Во-первых, войдите в панель управления DigitalOcean и перейдите к своему проекту, а затем нажмите на свой домен.
Затем вам нужно добавить следующие две записи TXT:
id-value – это строка, используемая для идентификации версии действующей политики MTA-STS. Если вы обновите свою политику, вам также потребуется обновить значение идентификатора, чтобы обеспечить обнаружение новой версии почтовыми провайдерами. В качестве идентификатора рекомендуется использовать отметку текущей даты, например 20190811231231 (23:12:31, 11 августа 2019 г.).
reporting-address — это адрес, на который будут отправляться ваши отчеты TLS. Это может быть адрес электронной почты с префиксом mailto: или веб-URI, например, для API, который собирает отчеты. Адрес для отчетов не обязательно должен быть адресом в вашем домене . При желании вы можете использовать совершенно другой домен.
Например, следующие два примера записей являются допустимыми:
Настройте переменные по мере необходимости и установите эти записи DNS TXT в панели управления DigitalOcean (или у любого поставщика DNS, которого вы используете):
После того как эти записи DNS будут установлены и распространены, MTA-STS будет включен с политикой, созданной на шаге 1, и начнет получать отчеты TLSRPT по указанному вами адресу.
На этом шаге вы настроили записи DNS, необходимые для включения MTA-STS. Затем вы получите и интерпретируете свой первый отчет TLSRPT.
Шаг 5. Интерпретация вашего первого отчета TLSRPT
Теперь, когда вы включили MTA-STS и TLSRPT (отчеты TLS) для своего домена, вы начнете получать отчеты от поддерживаемых поставщиков электронной почты. В этих отчетах будет показано количество писем, которые были или не были успешно доставлены по TLS, а также причины ошибок.
Разные поставщики услуг электронной почты отправляют свои отчеты в разное время; например, Google Mail отправляет свои отчеты ежедневно около 10:00 UTC.
В зависимости от того, как вы настроили DNS-запись TLSRPT на шаге 5, вы будете получать отчеты либо по электронной почте, либо через веб-API. В этом руководстве основное внимание уделяется методу электронной почты, поскольку это наиболее распространенная конфигурация.
Если вы только что завершили оставшуюся часть этого руководства, подождите, пока вы не получите свой первый отчет, а затем можете продолжить.
Ваш ежедневный отчет TLSRPT по электронной почте обычно имеет строку темы, похожую на следующую:
Это электронное письмо будет иметь вложение в формате .gz, которое представляет собой сжатый архив Gzip, с именем файла, подобным следующему:
Дальше в этом руководстве этот файл будет называться report.json.gz .
Сохраните этот файл на локальном компьютере и извлеките его с помощью любого удобного инструмента.
Если вы используете систему Linux на основе Debian, вы сможете запустить команду gzip -d для распаковки архива:
В результате будет создан файл JSON с именем report.json .
Далее вы можете просмотреть отчет либо непосредственно в виде необработанной строки JSON, либо использовать свой любимый преттификатор JSON, чтобы преобразовать его в более читаемый формат. В этом примере будет использоваться jq, но при желании вы также можете использовать Python json.tool.
Примечание. Если у вас не установлен jq, вы можете установить его с помощью apt install jq . Либо для других операционных систем используйте необходимые инструкции по установке от jq.
Это выведет что-то похожее на следующее:
В отчете указан поставщик, создавший отчет, и отчетный период, а также примененная политика MTA-STS. Тем не менее, основной раздел, который вас заинтересует, — это сводка , в частности количество успешных и неудачных сеансов.
В этом образце отчета показано, что 230 сообщений электронной почты были успешно доставлены по протоколу TLS от почтового провайдера, сгенерировавшего отчет, и при доставке 0 сообщений не удалось установить надлежащее соединение TLS.
- starttls-not-support: если принимающий почтовый сервер не поддерживает STARTTLS.
- certificate-expired : если срок действия сертификата истек.
- certificate-not-trusted : если используется самозаверяющий или другой недоверенный сертификат.
На этом последнем шаге вы получили и интерпретировали свой первый отчет TLSRPT.
Заключение
В этой статье вы установили и настроили отчеты MTA-STS и TLS для своего домена и интерпретировали свой первый отчет TLSRPT.
После того, как служба MTA-STS будет включена и некоторое время будет работать стабильно, рекомендуется настроить политику, увеличив значение max_age и, в конечном итоге, переключить ее в принудительный режим, как только вы убедитесь, что вся электронная почта от поддерживаемых поставщиков доставляется. успешно через TLS.
Наконец, если вы хотите узнать больше о спецификациях MTA-STS и TLSRPT, вы можете просмотреть RFC для них обоих:
Хотите узнать больше? Присоединяйтесь к сообществу DigitalOcean!
Присоединяйтесь к нашему сообществу DigitalOcean, насчитывающему более миллиона разработчиков, бесплатно! Получайте помощь и делитесь знаниями в нашем разделе "Вопросы и ответы", находите руководства и инструменты, которые помогут вам расти как разработчику и масштабировать свой проект или бизнес, а также подписывайтесь на интересующие вас темы.
Перед установкой Multi Theft Auto: San Andreas сначала убедитесь, что не установлены модификации для GTA:SA. Они будут конфликтовать с MTA. Если вы хотите сохранить свои однопользовательские моды, вы можете создать две установки, переустановив San Andreas во вторую папку на жестком диске.
Кроме того, убедитесь, что на вашем компьютере можно запустить игру в одиночном режиме. Обратите внимание, что если вы используете одиночную игру с абсолютными минимальными требованиями, вы столкнетесь с замедлением работы MTA, поскольку он потребляет дополнительную вычислительную мощность.
Системные требования
Минимальные системные требования
Минимальные системные требования для Multi Theft Auto: San Andreas немного выше исходных минимальных требований для Grand Theft Auto: San Andreas:
- Операционная система Windows 7 или новее (поддерживается Microsoft) (XP и Vista не работают и устарели)
- Intel Pentium 4 или AMD Athlon XP
- 1 ГБ ОЗУ
- Чистая установка Grand Theft Auto: San Andreas, версия 1.0 (американская или европейская)
- 3,7 ГБ свободного места на жестком диске (3,6 ГБ для минимальной установки Grand Theft Auto; помните, что MTA кэширует файлы с серверов, на которых вы играете, и требует места на диске)
- Серия Nvidia GeForce 4 или ATI Radeon 8xxx (64 МБ видеопамяти и совместимость с DirectX 9.0)
- Звуковая карта, совместимая с DirectX 9.0
- Клавиатура и мышь
- Доступ в Интернет
Рекомендуемые системные требования
- Операционная система Windows 10
- Процессор Intel Core 2 Duo или аналогичный AMD
- 2 ГБ ОЗУ
- Чистая установка Grand Theft Auto: San Andreas, версия 1.0 (американская или европейская)
- >5 ГБ свободного места на жестком диске (помните, что MTA кэширует файлы с серверов, на которых вы играете, и требует места на диске)
- Серия Nvidia GeForce FX или выше, ATI Radeon серии 9xxx или выше, совместимая с Pixel Shader 2.0
- Звуковая карта, совместимая с DirectX 9.0
- Клавиатура и мышь
- Широкополосный доступ в Интернет (для комфортной сетевой игры)
Примечания
Установка игры
Запуск игры
- Запустите Multi Theft Auto, щелкнув значок, расположенный в меню "Пуск" в разделе MTA:San Andreas.
- GTA: San Andreas запустится, и как только он загрузится, вам будет представлено главное меню MTA:SA. Здесь вы найдете несколько вариантов (вы также можете посмотреть обучающее руководство здесь):
Просмотреть серверы — это позволяет вам получить список доступных серверов для игры.
Хост-игра — позволяет запустить локальный сервер.
Настройки — здесь вы можете изменить свой игровой псевдоним, настроить элементы управления и настроить параметры отображения.
О программе — список участников проекта.
Редактор карт — позволяет создавать собственные карты с контрольными точками, пандусами, пикапами и другими объектами. Затем их можно загрузить на сервер, чтобы вы могли играть в них с другими людьми.
Выйти — вы вернетесь на рабочий стол Windows.
Самый простой способ начать игру – нажать в меню "Обзор серверов". Если серверы еще не появились, нажмите кнопку «Обновить», и MTA выполнит поиск серверов, отобразив их в виде списка.
- На вкладке "Имя" отображается имя каждого сервера.
- На вкладке «Игроки» отображается количество игроков и максимальная емкость сервера в формате [Используемые слоты] / [Максимальное количество слотов].
- На вкладке "Пинг" отображается пинг или задержка между вашим компьютером и сервером. Пинг — это мера времени, которое требуется для получения «пакетов» данных с сервера после их отправки, поэтому более высокий пинг означает, что вы будете испытывать большую задержку на этом конкретном сервере. Как правило, серверы, расположенные ближе всего к вашему местоположению, должны иметь самый низкий пинг.
- Хост — это IP-адрес сервера. Вы можете использовать этот адрес в будущем для подключения к тому же серверу с помощью параметра «Быстрое подключение» в главном меню.
На каждой вкладке можно щелкнуть, чтобы упорядочить соответствующий столбец в порядке возрастания или убывания.
Для оптимальной производительности и игрового процесса ищите лучший баланс между игроками и пингом.
Выбрав сервер, выберите его и нажмите кнопку «Подключиться» в правом верхнем углу диалогового окна. Если все пойдет хорошо, вы должны подключиться к серверу и автоматически присоединиться к игре.
Как играть
MTA:SA предлагает комплексную систему сценариев, которая позволяет создателям карт настраивать многие элементы игры для создания собственных инновационных игровых режимов. Игра включает в себя как можно больше элементов одиночной игры, но некоторые аспекты отличаются.
Единственными другими людьми на карте являются ваши противники или союзники, если это командная игра. Вы можете поговорить с ними, используя окно чата, расположенное в левом углу экрана, нажав T. Чтобы общаться только с членами вашей команды, нажмите Y.
Редактор карт MTA позволяет создателям карт добавлять на свои карты различные объекты GTA, включая дороги, взрывающиеся бочки, пандусы, здания, холмы и многое другое. Не только это, но и объекты могут быть запрограммированы на перемещение, изменение модели и исчезновение. Это доставляет массу удовольствия и разнообразит игровой процесс.
Зажав клавишу Tab, вы увидите табло. По умолчанию отображаются только имена и пинги, но сценарии могут добавлять дополнительные столбцы, относящиеся к конкретному игровому режиму. Например, в игровом режиме Deathmatch определенно будет столбец с указанием общего количества убийств, но создатель карты может добавить дополнительные столбцы для количества ваших смертей и того, как долго вы играете, чтобы представить ваш счет в перспективе. .
Элементы управления по умолчанию
Внутриигровые ключи
- F8 (или тильда) — консоль
- F11 – показать карту SA (следующий список используется, когда карта открыта)
- цифровая клавиатура /- — увеличение и уменьшение масштаба
- цифровая клавиатура 4, 8, 6, 2 - переместить карту влево, вверх, вправо, вниз
- 0 на цифровой клавиатуре — переключение между режимом прикрепления к локальному игроку (карта следует за меткой игрока) и свободным перемещением (карта остается неподвижной)
Ключи конкретного ресурса
Эти ключи зависят от сценариев, запущенных на сервере.
- F9 – внутриигровая справка (ресурс менеджера справки)
- Z — Нажми и говори, если на сервере включена голосовая связь.
- TAB – список игроков (если ресурс Scoreboard запущен на сервере)
Консольные команды
привязать настройки по умолчанию Привязки управляют настройками по умолчанию в меню настроек
Нажмите ~ (тильда) или F8, чтобы получить доступ к консоли, затем введите команду, а затем все необходимые параметры (если применимо), затем нажмите Enter.
Список консольных команд можно просмотреть, введя help в консоль и нажав Enter. Текущая карта также может иметь дополнительные команды, доступ к которым можно получить, введя команды в консоль.
Информацию о дополнительных командах см. в разделе Клиентские команды
Коды ошибок и их значения
Ошибки загрузки
Код Значение 0 НЕИЗВЕСТНАЯ_ОШИБКА 1 INVALID_FILE_DESCRIPTORS 2 INVALID_MAX_FILE_DESCRIPTOR 3 INVALID_SELECT_RETURN 4 INVALID_INITIAL_MULTI_PERFORM 5 INVALID_MULTI_PERFORM_CODE 6 INVALID_MULTI_PERFORM_CODE_NEW_DOWNLOADS 7 UNEXPECTED_CURL_MESSAGE 8 UNABLE_TO_CONNECT 9 НЕВОЗМОЖНО_TO_DOWNLOAD_FILE таблица>10 FAILED_TO_INITIALIZE_DOWNLOAD Фатальные ошибки
Код Значение 1 нет локальной модели игрока во внутриигровом событии 2 нет локального игрока во внутриигровом событии 3 загрузка с сервера отключена 4 нет локальной модели игрока на плеере -list package 5 нет локального игрока в пакете player-list 6 td> недопустимая длина пользовательских данных в пакете добавления объекта 7 недопустимые данные битового потока в пакете добавления объекта tr>8 системный объект в пакете добавления объекта 9 не удалось создать объект в пакет добавления объекта 10 не удалось создать перехват пакета добавления объекта 11 не удалось создать транспортное средство в пакете добавления объекта 12 недопустимая длина имени команды в пакете добавления объекта td> 13 недопустимое событие lua n длина имени в пакете lua-event таблица>14 недопустимая длина имени ресурса в пакете запуска ресурса Ошибки "Невозможно ввести транспортное средство"
Код Значение 1 скрипт отменен < tr>2 скрипт отменен (гнездо) 3 входит/выезжает текущий пассажир 4 недопустимое место 5 недостаточно близко 6 уже в транспортном средстве tr>7 уже въезжает/выезжает 8 недопустимое транспортное средство (прицеп) Специальное предложение: Играете в MTA на Linux или macOS?
Если вы один из тех, кто использует другие ценные системы и хочет, чтобы клиент работал на вашем компьютере, прочтите Руководство по работе с клиентом в Linux или Руководство по работе с клиентом в Mac OS X.
-
(без модов) (консольная и компьютерная игра в жанре экшн-адвенчуры, разработанная британской студией Rockstar North и изданная американской компанией Rockstar Games). (модификация для ПК версии игры Grand Theft Auto: San Andreas, которая позволяет игрокам со всего мира играть с компьютером в режиме онлайн).
Мы используем универсальный, безопасный и удобный Установщик TOP-GTA, который может скачать и установить все необходимые компоненты для вас.
TOP-GTA УстановщикTOP-GTA_Installer.exe — это исполняемый файл, похожий на платформу Microsoft Windows. Так как этот файл не имеет цифровой подписи, вам будет показан пункт "Неизвестный издатель" перед запуском. Кроме этого, программа обнаружения может быть заблокирована общедоступным антивирусом по этой же причине.
Если у вас уже есть Multi Theft Auto (MTA), то вы можете скачать наши ресурсы через данный установщик. Это важное время подключения к серверу. Просто уничтожьте галочку только для TOP-GTA DayZ Cache v1.6 (двойной клик) в списке компонентов Установщика и нажмите "Установить".
- Google Диск (все страны)
- Dropbox (все страны)
- Облако Нихао (Китай)
Сразу после установки вы можете подключиться к любому серверу TOP-GTA через наш Лаунчер (будет создан ярлык на рабочем столе с названием TOP-GTA). Данный компонент не обязателен для установки. Подключиться можно по обычному через клиент MTA:SA (прописав IP, либо же найдя сервер в поиске).
Если у вас есть проблемы с MTA, тогда загляните сюда:
Инструмент для расчета MTA (встроен в Лаунчер)Лаунчер TOP-GTA MTA - это браузер серверов, который может выбрать вам простой и удобный доступ к нашим серверам. Эта программа также включает в себя компоненты для появления MTA и для модификаций игры. Это может помочь решить проблемы с Низким FPS, вылетами игр и обсуждением проблем с подключением. И вы можете быстро заменить прицел в игре.
Кнопка "Настроить MTA:SA" изменит настройки вашего MTA. Примеры используемых настроек: «улучшенная трава», «анизотропная фильтрация», «видеопамять». Вы увидите список изменений приложений (диалог "да" / "нет"). Это может увеличить FPS и сделать игру более стабильной.
Кнопка "Удалить кэшированные файлы" удаляет все файлы в папке с кэшем MTA. Вы можете использовать это для решения проблем с подключением из-за поврежденных файлов или же просто для очистки памяти ПК. Есть возможность оставить резервные файлы TOP-GTA, чтобы не загружать их повторно при подключении.
[Моды] Дополнительный лаунчер включает в себя выбор для быстрой замены прицела в игре. И вы можете добавить до 10 прицелов в "Панель пользователя" на серверах TOP-GTA.
Инструмент для замены прицела (встроен в Лаунчер)Мы рекомендуем использовать программы только по ссылкам, описанным на этой странице.
Мы не несем ответственности за любые проблемы, которые могут возникнуть в результате использования ПО, скачанного с сайтов, не указанных на этой странице. р>Так как содержится ПО не имеет цифровой подписи, вам будет показан пункт "Неизвестный издатель" перед запуском.
Это ПО безопасности, оно не содержит никаких опасных компонентов. В случае, если файл был заблокирован Антивирусом, мы рекомендуем добавить его в список исключений (в любом случае общедоступный антивирус на время использования - не рекомендуется).Читайте также:
- Как переключиться на Sony Vegas Pro 13
- Куда сохранены файлы вконтакте
- Как подключить телефон к starline e96 по блютуз
- Сразу после включения компьютер загружается и управляет его работой
- Сброс настроек на модеме теле2