国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（4）

接上篇
国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（3）


确保你发出的邮件能通过垃圾邮件过滤器
这个部分我们的目标是让我们的邮件服务器能尽量干净地出现在世界上，并让垃圾邮件发送者们更难以我们的名义发邮件。作为附加效果，这也有助于让我们的邮件能通过其他邮件服务器的垃圾邮件过滤器。

发送者策略框架（SPF）
发送者策略框架（SPF）是你添加到自己服务器区域里的一份记录，声明了整个因特网上哪些邮件服务器能以你的域名发邮件。设置非常简单，使用microsoft.com上的SPF向导来生成你的SPF记录，然后作为一个TXT记录添加到自己的服务器区域里。看上去像这样：

jhausse.net.    300 IN  TXT v=spf1 mx mx:cloud.jhausse.net -all
复制代码

反向PTR
我们之前在本文里讨论过这个问题，建议你为自己的服务器正确地设置反向DNS，这样对服务器IP地址的反向查询能返回你服务器的实际名字。

OpenDKIM
当我们激活OpenDKIM后，postfix会用密钥为每封发出去的邮件签名。然后我们将把这个密钥存储在DNS域中。这样的话，世界上任意一个邮件服务器都能够检验邮件是否真的是我们发出的，或是由垃圾邮件发送者伪造的。让我们先安装opendkim：

apt-get install opendkim opendkim-tools
复制代码

然后按如下方式编辑/etc/opendkim.conf文件的配置：

##
## opendkim.conf -- configuration file for OpenDKIM filter
##
Canonicalization        relaxed/relaxed
ExternalIgnoreList      refile:/etc/opendkim/TrustedHosts
InternalHosts           refile:/etc/opendkim/TrustedHosts
KeyTable                refile:/etc/opendkim/KeyTable
LogWhy                  Yes
MinimumKeyBits          1024
Mode                    sv
PidFile                 /var/run/opendkim/opendkim.pid
SigningTable            refile:/etc/opendkim/SigningTable
Socket                  inet:8891@localhost
Syslog                  Yes
SyslogSuccess           Yes
TemporaryDirectory      /var/tmp
UMask                   022
UserID                  opendkim:opendkim
复制代码

我们还需要几个额外的文件，需保存在目录/etc/opendkim里：

mkdir -pv /etc/opendkim/
cd /etc/opendkim/
复制代码

让我们建立新文件/etc/opendkim/TrustedHosts并写入以下内容：

127.0.0.1
复制代码

建立新文件/etc/opendkim/KeyTable并写入以下内容：

cloudkey jhausse.net:mail:/etc/opendkim/mail.private
复制代码

这会告诉OpenDKIM我们希望使用一个名叫'cloudkey'的加密密钥，它的内容在文件/etc/opendkim/mail.private里。我们建立另一个名叫/etc/opendkim/SigningTable的文件然后写入下面这一行：

*@jhausse.net cloudkey
复制代码

这会告诉OpenDKIM每封从jhausse.net域发出的邮件都应该用'cloudkey'密钥签名。如果我们还有其他域希望也能签名，我们也可以在这里添加。

下一步是生成密钥并修改OpenDKIM配置文件的权限。

opendkim-genkey -r -s mail [-t]
chown -Rv opendkim:opendkim /etc/opendkim
chmod 0600 /etc/opendkim/*
chmod 0700 /etc/opendkim
复制代码

一开始，最好使用-t开关，这样会通知其他邮件服务器你只是在测试模式下，这样他们就不会丢弃基于你的OpenDKIM签名的邮件（目前来说）。你可以从mail.txt文件里看到OpenDKIM密钥：

cat mail.txt
复制代码

然后把它作为一个TXT记录添加到区域文件里，应该是类似这样的：

mail._domainkey.cloud1984.net.  300 IN TXT  v=DKIM1; k=rsa; p=MIGfMA0GCSqG...
复制代码

最后，我们需要告诉postfix来为发出的邮件签名。在文件/etc/postfix/main.cf末尾，添加：

# Now for OpenDKIM: we'll sign all outgoing emails
smtpd_milters = inet:127.0.0.1:8891
non_smtpd_milters = $smtpd_milters
milter_default_action = accept
复制代码

然后重启相关服务：

service postfix reload
service opendkim restart
复制代码

测试
现在让我们测试一下是否能找到我们的OpenDKIM公钥并和私钥匹配：

opendkim-testkey -d jhausse.net -s mail -k mail.private -vvv
复制代码

这个应该返回：

opendkim-testkey: key OK
复制代码

这个你可能需要等一会直到域名服务器重新加载该区域（对于Linode，每15分钟会更新一次）。你可以用dig来检查区域是否已经重新加载。

如果这个没问题，让我们测试一下其他服务器能验证我们的OpenDKIM签名和SPF记录。要做这个，我们可以用Brandon Checkett的邮件测试系统。发送一封邮件到Brandon的网页上提供的测试地址，我们可以在服务器上运行下面的命令

mail -s CloudCheck ihAdmTBmUH@www.brandonchecketts.com
复制代码

在Brandon的网页上，我们应该可以在'DKIM Signature'部分里看到result = pass的文字，以及在'SPF Information'部分看到Result: pass的文字。如果我们的邮件通过这个测试，只要不加-t开关重新生成OpenDKIM密钥，上传新的密钥到区域文件里，然后重新测试检查是否仍然可以通过这些测试。如果可以的话，恭喜！你已经在你的服务器上成功配置好OpenDKIM和SPF了！



使用Owncloud提供日历，联系人，文件服务并通过Roundcube配置网页邮件
既然我们已经拥有了一流的邮件服务器，让我们再为它增加在云上保存通讯录，日程表和文件的能力。这些是Owncloud所提供的非常赞的服务。在这个弄好后，我们还会设置一个网页邮件，这样就算你没带任何电子设备出去旅行时，或者说在你的手机或笔记本没电的情况下，也可以通过网吧来检查邮件。

安装Owncloud非常直观，而且在这里有非常好的介绍。在Debian系统里，归根结底就是把owncloud的仓库添加到apt源里，下载Owncloud的发行密钥并安装到apt钥匙链中，然后通过apt-get安装Owncloud：

echo 'deb http://download.opensuse.org/repositories/isv:/ownCloud:/community/Debian_7.0/ /' >> /etc/apt/sources.list.d/owncloud.list
wget http://download.opensuse.org/repositories/isv:ownCloud:community/Debian_6.0/Release.key
apt-key add - < Release.key 
apt-get update
apt-get install apache2 owncloud roundcube
复制代码

在有提示的时候，选择dbconfig并设置roundcube使用mysql。然后，提供一下mysql的root密码并为roundcube的mysql用户设置一个漂亮的密码。然后，按如下方式编辑roundcube的配置文件/etc/roundcube/main.inc.php，这样登录roundcube默认会使用你的IMAP服务器：

$rcmail_config['default_host'] = 'ssl://localhost';
$rcmail_config['default_port'] = 993;
复制代码

现在我们来配置一下apache2网页服务器增加SSL支持，这样我们可以和Owncloud和Roundcube对话时使用加密的方式传输我们的密码和数据。让我们打开Apache的SSL模块：

a2enmod ssl
复制代码

然后编辑文件/etc/apache2/ports.conf并设定以下参数：

NameVirtualHost *:80 
Listen 80 
ServerName www.jhausse.net
<IfModule mod_ssl.c>
    # If you add NameVirtualHost *:443 here, you will also have to change
    # the VirtualHost statement in /etc/apache2/sites-available/default-ssl
    # to <VirtualHost *:443>
    # Server Name Indication for SSL named virtual hosts is currently not
    # supported by MSIE on Windows XP.
    NameVirtualHost *:443
    Listen 443
</IfModule>
<IfModule mod_gnutls.c>
    Listen 443
</IfModule>
复制代码

我们将在目录/var/www下为服务器加密连接https://www.jhausse.net设定一个默认网站。编辑文件/etc/apache2/sites-available/default-ssl：

<VirtualHost _default_:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www
        ServerName www.jhausse.net
        [...]
        <Directory /var/www/owncloud>
          Deny from all
        </Directory>
        [...]
        SSLCertificateFile    /etc/ssl/certs/cloud.crt
        SSLCertificateKeyFile /etc/ssl/private/cloud.key
        [...]
</VirtualHost>
然后让我们同时也在目录/var/www下设定一个非加密连接http://www.jhausse.net的默认网站。编辑文件/etc/apache2/sites-available/default：

<VirtualHost _default_:443>
        DocumentRoot /var/www
        ServerName www.jhausse.net
        [...]
        <Directory /var/www/owncloud>
          Deny from all
        </Directory>
</VirtualHost>
复制代码

这样的话，我们通过把文件放到/var/www目录下让www.jhausse.net使用它们提供网站服务。名叫'Deny from all'的指令可以阻止通过www.jhausse.net访问Owncloud：我们将设定通过https://cloud.jhausse.net来正常访问。

现在我们将设定网页邮件（roundcube），让它可以通过网址https://webmail.jhausse.net来访问。编辑文件/etc/apache2/sites-available/roundcube并写入以下内容：

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/lib/roundcube
    # The host name under which you'd like to access the webmail
        ServerName webmail.jhausse.net
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
        #   SSL Engine Switch:
        #   Enable/Disable SSL for this virtual host.
        SSLEngine on
        # do not allow unsecured connections
        # SSLRequireSSL
        SSLCipherSuite HIGH:MEDIUM
        #   A self-signed (snakeoil) certificate can be created by installing
        #   the ssl-cert package. See
        #   /usr/share/doc/apache2.2-common/README.Debian.gz for more info.
        #   If both key and certificate are stored in the same file, only the
        #   SSLCertificateFile directive is needed.
        SSLCertificateFile    /etc/ssl/certs/cloud.crt
        SSLCertificateKeyFile /etc/ssl/private/cloud.key
        # Those aliases do not work properly with several hosts on your apache server
        # Uncomment them to use it or adapt them to your configuration
        Alias /program/js/tiny_mce/ /usr/share/tinymce/www/
        # Access to tinymce files
        <Directory "/usr/share/tinymce/www/">
                Options Indexes MultiViews FollowSymLinks
                AllowOverride None
                Order allow,deny
                allow from all
        </Directory>
        <Directory /var/lib/roundcube/>
                Options +FollowSymLinks
                # This is needed to parse /var/lib/roundcube/.htaccess. See its
                # content before setting AllowOverride to None.
                AllowOverride All
                order allow,deny
                allow from all
        </Directory>
        # Protecting basic directories:
        <Directory /var/lib/roundcube/config>
                Options -FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/lib/roundcube/temp>
                Options -FollowSymLinks
                AllowOverride None
                Order allow,deny
                Deny from all
        </Directory>
        <Directory /var/lib/roundcube/logs>
                Options -FollowSymLinks
                AllowOverride None
                Order allow,deny
                Deny from all
        </Directory>
        <FilesMatch "\.(cgi|shtml|phtml|php)[        DISCUZ_CODE_20        ]quot;>
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>
        #   SSL Protocol Adjustments:
        #   The safe and default but still SSL/TLS standard compliant shutdown
        #   approach is that mod_ssl sends the close notify alert but doesn't wait for
        #   the close notify alert from client. When you need a different shutdown
        #   approach you can use one of the following variables:
        #   o ssl-unclean-shutdown:
        #     This forces an unclean shutdown when the connection is closed, i.e. no
        #     SSL close notify alert is send or allowed to received.  This violates
        #     the SSL/TLS standard but is needed for some brain-dead browsers. Use
        #     this when you receive I/O errors because of the standard approach where
        #     mod_ssl sends the close notify alert.
        #   o ssl-accurate-shutdown:
        #     This forces an accurate shutdown when the connection is closed, i.e. a
        #     SSL close notify alert is send and mod_ssl waits for the close notify
        #     alert of the client. This is 100% SSL/TLS standard compliant, but in
        #     practice often causes hanging connections with brain-dead browsers. Use
        #     this only for browsers where you know that their SSL implementation
        #     works correctly.
        #   Notice: Most problems of broken clients are also related to the HTTP
        #   keep-alive facility, so you usually additionally want to disable
        #   keep-alive for those clients, too. Use variable "nokeepalive" for this.
        #   Similarly, one has to force some clients to use HTTP/1.0 to workaround
        #   their broken HTTP/1.1 implementation. Use variables "downgrade-1.0" and
        #   "force-response-1.0" for this.
        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        # MSIE 7 and newer should be able to use keepalive
        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>
复制代码

然后在你的DNS服务商那里声明一下服务器，例如：

webmail.jhausse.net.    300 IN  CNAME   cloud.jhausse.net.
现在让我激活这三个网站：

a2ensite default default-ssl roundcube
service apache2 restart
关于网页邮件，可以通过网址https://webmail.jhausse.net来访问，基本上能工作。之后使用邮箱全名（例如roudy@jhausse.net）和在本文一开始在邮件服务器数据库里设定的密码登录。第一次连接成功，浏览器会警告说证书没有可靠机构的签名。这个没什么关系，只要添加一个例外即可。

最后但很重要的是，我们将通过把以下内容写入到/etc/apache2/sites-available/owncloud来为Owncloud创建一个虚拟主机。

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerAdmin webmaster@localhost
        DocumentRoot /var/www/owncloud
        ServerName cloud.jhausse.net
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /var/www/owncloud>
                Options Indexes FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
        </Directory>
        ScriptAlias /cgi-bin/ /usr/lib/cgi-bin/
        <Directory "/usr/lib/cgi-bin">
                AllowOverride None
                Options +ExecCGI -MultiViews +SymLinksIfOwnerMatch
                Order allow,deny
                Allow from all
        </Directory>
        ErrorLog ${APACHE_LOG_DIR}/error.log
        # Possible values include: debug, info, notice, warn, error, crit,
        # alert, emerg.
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/ssl_access.log combined
        #   SSL Engine Switch:
        #   Enable/Disable SSL for this virtual host.
        SSLEngine on
        # do not allow unsecured connections
        # SSLRequireSSL
        SSLCipherSuite HIGH:MEDIUM
        SSLCertificateFile    /etc/ssl/certs/cloud.crt
        SSLCertificateKeyFile /etc/ssl/private/cloud.key
        <FilesMatch "\.(cgi|shtml|phtml|php)[        DISCUZ_CODE_21        ]quot;>
                SSLOptions +StdEnvVars
        </FilesMatch>
        <Directory /usr/lib/cgi-bin>
                SSLOptions +StdEnvVars
        </Directory>
        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0
        # MSIE 7 and newer should be able to use keepalive
        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>
复制代码

然后通过执行以下命令激活Owncloud：

a2ensite owncloud
service apache2 reload
复制代码

之后通过在浏览器里打开链接https://cloud.jhausse.net/配置一下Owncloud。

就这些了！现在你已经拥有自己的Google Drive，日程表，联系人，Dropbox，以及Gmail！好好享受下新鲜恢复保护的隐私吧！:-)




在云上同步你的设备
要同步你的邮件，你只需用你喜欢的邮件客户端即可：Android或iOS自带的默认邮件应用，k9mail，或者电脑上的Thunderbird。或者你也可以使用我们设置好的网页邮件。

在Owncloud的文档里描述了如何与云端同步你的日程表和联系人。在Android系统中，我用的是CalDAV-Sync，CardDAV-Sync应用桥接了手机上Android自带日历以及联系人应用和Owncloud服务器。

对于文件，有一个叫Owncloud的Android应用可以访问你手机上的文件，然后自动把你拍的图片和视频上传到云中。在你的Mac/PC上访问云端文件也很容易，在Owncloud文档里有很好的描述。

最后一点提示
在上线后的前几个星期里，最好每天检查一下日志/var/log/syslog和/var/log/mail.log以保证一切都在顺利运行。在你邀请其他人（朋友，家人，等等）加入你的服务器之前这很重要。他们信任你能很好地架设个人服务器维护他们的数据，但是如果服务器突然崩溃会让他们很失望。

要添加另一个邮件用户，只要在数据库mailserver的virtual_users表中增加一行。

要添加一个域名，只要在virtual_domains表中增加一行。然后更新/etc/opendkim/SigningTable为发出的邮件签名，上传OpenDKIM密钥到服务器区域，然后重启OpenDKIM服务。

Owncloud有自己的用户数据库，在用管理员帐号登录后可以修改。

最后，万一在服务器临时崩溃的时候想办法找解决方案很重要。比如说，在服务器恢复之前你的邮件应该送往哪儿？一种方式是找个能帮你做备份MX的朋友，同时你也可以当他的备份MX（看下postfix的配置文件main.cf里relay_domains和relay_recipient_maps里的设定）。与此类似，如果你的服务器被破解然后一个坏蛋把你所有文件删了怎么办？对于这个，考虑增加一个常规备份系统就很重要了。Linode提供了备份选项。在1984.is里，我用crontabs和scp做了一个基本但管用的自动备份系统。

相关内容：

国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（1）
国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（2）
国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（3）
国外个人作品介绍：构建个人私有云案例，保护数据隐私的控制权（4）





via: https://www.howtoforge.com/tutor ... d-on-debian-wheezy/

作者：Roudy Jhausse 译者：zpl1025 校对：wxy

本文由 LCTT 原创翻译，Linux中国 荣誉推出