#SysAdmin #NetAdmin

PMG – Serveur DNS interne

GNU/Linux
22 novembre 2023
par Nathan
2 min(s)
P

Pour l’utilisation des DNS Blocklists sous Proxmox Mail Gateway pour le filtrage des emails, il est important de disposer de son propre serveur DNS sinon le filtrage ne pourra pas fonctionner sur le long terme.

En effet, vous retrouverez vite les indications suivantes dans vos logs :

  • URIBL_BLOCKED
  • RCVD_IN_DNSWL_BLOCKED
  • SURBL_BLOCKED

Ce qui veut dire que le système à atteint son quota de demande, et c’est principalement du au fait de l’utilisation de serveurs DNS grand publique sur le serveur qui provoque le blocage des requêtes.

Installation UNBOUND et configuration

Se connecter en SSH sur le serveur PMG et installer le paquet unbound

sudo apt update
sudo apt install unbound

Éditer le fichier:

sudo nano /etc/unbound/unbound.conf

Rajouter les lignes:

# Basic configuration
server:
    use-syslog: yes
    username: "unbound"
    directory: "/etc/unbound"
    tls-cert-bundle: /etc/ssl/certs/ca-certificates.crt
    
    do-ip6: yes
    interface: 127.0.0.1
    port: 53
    prefetch: yes

    root-hints: /usr/share/dns/root.hints
    harden-dnssec-stripped: yes

# Enable DNS Cache
    cache-max-ttl: 14400
    cache-min-ttl: 1200

# Unbound Privacy and Security
    aggressive-nsec: yes
    hide-identity: yes
    hide-version: yes
    use-caps-for-id: yes

# Define Private Network and Access Control Lists (ACLs)
    private-address: 192.168.0.0/16
    private-address: 169.254.0.0/16
    private-address: 172.16.0.0/12
    private-address: 10.0.0.0/8
    private-address: fd00::/8
    private-address: fe80::/10

    #control which clients are allowed to make (recursive) queries
    access-control: 127.0.0.1/32 allow_snoop
    access-control: ::1 allow_snoop
    access-control: 127.0.0.0/8 allow

# Unbound Performance Tuning and Tweak
    num-threads: 4
    msg-cache-slabs: 8
    rrset-cache-slabs: 8
    infra-cache-slabs: 8
    key-cache-slabs: 8
    rrset-cache-size: 256m
    msg-cache-size: 128m
    so-rcvbuf: 8m

On vérifier que le fichier ne contient pas d’erreur:

sudo unbound-checkconf /etc/unbound/unbound.conf

On redémarre le service unbound:

sudo unbound-checkconf /etc/unbound/unbound.conf

On règle le parefeu:

sudo ufw allow 53/udp
sudo ufw reload

Il ne reste plus que la configuration à faire dans le GUI de PMG pour utiliser le serveur DNS local:

Menu configuration > DNS > DNS server 1 = 127.0.0.1

EmailXFacebookLinkedIn
par Nathan 22 novembre 2023
#SysAdmin #NetAdmin