#SysAdmin #NetAdmin

PMG – Serveur DNS interne

GNU/Linux
22 novembre 2023
par Nathan
2 min(s)
P

Pour l’utilisation des DNS Blocklists sous Proxmox Mail Gateway pour le filtrage des emails, il est important de disposer de son propre serveur DNS sinon le filtrage ne pourra pas fonctionner sur le long terme.

En effet, vous retrouverez vite les indications suivantes dans vos logs :

  • URIBL_BLOCKED
  • RCVD_IN_DNSWL_BLOCKED
  • SURBL_BLOCKED

Ce qui veut dire que le système à atteint son quota de demande, et c’est principalement du au fait de l’utilisation de serveurs DNS grand publique sur le serveur qui provoque le blocage des requêtes.

Installation UNBOUND et configuration

Se connecter en SSH sur le serveur PMG et installer le paquet unbound

sudo apt update
sudo apt install unbound

Éditer le fichier:

sudo nano /etc/unbound/unbound.conf.d/custom.conf

Rajouter les lignes:

server:
# Log
    verbosity: 0
    use-syslog: yes

# Interface
    interface: 127.0.0.1
    interface: ::1
    port: 53

# Security
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
    root-hints: /usr/share/dns/root.hints
    unwanted-reply-threshold: 10000000

# Cache
    prefetch: yes
    prefetch-key: yes
    cache-max-ttl: 14400
    cache-min-ttl: 1200
    msg-cache-size: 128m
    rrset-cache-size: 256m

# Privacy
    hide-identity: yes
    hide-version: yes
    use-caps-for-id: yes

# Define Private Network and Access Control Lists (ACLs)
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

# Control which clients are allowed to make (recursive) queries
    access-control: 127.0.0.1/32 allow_snoop
    access-control: ::1 allow_snoop
    access-control: 127.0.0.0/8 allow

# Performance optimisation
    num-threads: 4
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    so-rcvbuf: 8m

On vérifie que le fichier ne contient pas d’erreur :

sudo unbound-checkconf /etc/unbound/unbound.conf.d/custom.conf

On redémarre le service unbound:

sudo service unbound restart

On ajuste le pare-feu :

sudo ufw allow 53/udp
sudo ufw reload

Il ne reste plus que la configuration à faire dans le GUI de PMG pour utiliser le serveur DNS local:

Menu configuration > DNS > DNS server 1 = 127.0.0.1

EmailXFacebookLinkedIn
par Nathan 22 novembre 2023
#SysAdmin #NetAdmin