Общ индекс на поредицата: Компютърни мрежи за МСП: Въведение
Тази статия е продължението и последната от минисериала:
- Squid + PAM удостоверяване на CentOS 7.
- Локално управление на потребители и групи
- Авторитетен DNS сървър на NSD + Shorewall
- Просоди IM и местни потребители
Здравейте приятели и приятели!
Лос Ентусиасти те искат да имат собствен пощенски сървър. Те не искат да използват сървъри, където „Поверителност“ е между въпросителни знаци. Лицето, което отговаря за внедряването на услугата на вашия малък сървър, не е специалист по темата и първоначално ще се опита да инсталира ядрото на бъдещ и цялостен пощенски сървър. Дали "уравненията" за създаване на пълен сървър за поща са малко трудни за разбиране и прилагане. 😉
Анотации на полета
- Необходимо е да е ясно кои функции изпълнява всяка програма, участваща в пощенски сървър. Като първоначално ръководство ние даваме цяла поредица полезни връзки с декларираната цел, че те са посетени.
- Внедряването на пълна пощенска услуга ръчно и от нулата е уморителен процес, освен ако не сте от „Избраните“, които изпълняват този тип задачи ежедневно. Пощенският сървър се формира - по принцип - от различни програми, които се обработват отделно SMTP, POP / IMAP, Локално съхранение на съобщения, задачи, свързани с лечението на SPAM, Антивирус и др. ВСИЧКИ тези програми трябва да комуникират правилно помежду си.
- Няма универсален вариант или „най-добра практика“ за управление на потребителите; къде и как да съхраняваме съобщения или как да накараме всички компоненти да работят като едно цяло.
- Сглобяването и настройката на пощенски сървър са склонни да бъдат неприятни по въпроси като разрешения и собственици на файлове, избор кой потребител ще отговаря за определен процес и при малки грешки, допуснати в някои езотерични конфигурационни файлове.
- Освен ако не знаете много добре какво правите, крайният резултат ще бъде несигурен или леко нефункционален пощенски сървър. Че в края на изпълнението не работи, вероятно ще бъде по-малкото от злините.
- В Интернет можем да намерим голям брой рецепти за това как да направим пощенски сървър. Един от най-пълните -по мое много лично мнение- е тази, предложена от автора Ивар Абрахамсен в тринадесетото си издание от януари 2017 г. «Как да настроите пощенски сървър на GNU / Linux система".
- Препоръчваме също да прочетете статията «Пощенски сървър на Ubuntu 14.04: Postfix, Dovecot, MySQL«, или "Пощенски сървър на Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Вярно. Най-добрата документация в това отношение може да бъде намерена на английски език.
- Въпреки че никога не правим пощенски сървър, вярно ръководени от Как да… споменат в предишния параграф, самият факт, че го следваме стъпка по стъпка, ще ни даде много добра представа за това с какво ще се сблъскаме.
- Ако искате да имате пълен сървър за поща само с няколко стъпки, можете да изтеглите изображението iRedOS-0.6.0-CentOS-5.5-i386.iso, или потърсете по-модерен, било то iRedOS или iRedMail. Това е начинът, който аз лично препоръчвам.
Ще инсталираме и конфигурираме:
- Postfix като сървър Mчесън Transport Aгосподин (SMTP).
- гълъбарник като POP - IMAP сървър.
- Сертификати за връзки чрез TLS.
- SquirrelMail като уеб интерфейс за потребители.
- DNS запис по отношение на «Sender Policy Framework"Или SPF.
- Генериране на модули Дифи Хелман Груп за повишаване на сигурността на SSL сертификатите.
Остава да се направи:
Остават да бъдат внедрени поне следните услуги:
- Постгрей: Postfix сървърни политики за сиви списъци и отхвърляне на нежелана поща.
- Amavisd-нов: скрипт, който създава интерфейс между MTA и скенери за вируси и филтри за съдържание.
- Антивирус на Clamav: антивирусен пакет
- SpamAssassin: извличане на нежелана поща
- бръснач (pyzor): Улавяне на СПАМ чрез разпределена и съвместна мрежа. Мрежата Vipul Razor поддържа актуализиран каталог за разпространение на нежелана поща или СПАМ.
- DNS запис "DomainKeys Identified Mail" или DKIM.
пакети postgrey, amavisd-new, clamav, spamassassin, бръснач y пизор Те се намират в хранилищата на програмата. Ще намерим и програмата опендким.
- Правилното деклариране на DNS записите "SPF" и "DKIM" е от съществено значение, ако не искаме нашия пощенски сървър просто да бъде пуснат в експлоатация, да бъде обявен за нежелан или производител на СПАМ или нежелана поща от други пощенски услуги като Gmail, Yахао, Hotmailи т.н..
Първоначални проверки
Не забравяйте, че тази статия е продължение на други, които започват от Squid + PAM удостоверяване на CentOS 7.
Ens32 LAN интерфейс, свързан към вътрешната мрежа
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ЗОНА = публична
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN интерфейс, свързан към Интернет
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=да BOOTPROTO=статичен HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=не IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL рутерът е свързан към # този интерфейс със следния адрес IP ШЛЮЗ=172.16.10.1 ДОМЕЙН=desdelinux.fan DNS1=127.0.0.1
ЗОНА = външна
DNS резолюция от LAN
[root@linuxbox ~]# cat /etc/resolv.conf търсене desdelinux.fan сървър на имена 127.0.0.1 сървър на имена 172.16.10.30 [root@linuxbox ~]# хост поща поща.desdelinux.fan е псевдоним на linuxbox.desdelinux.фен. linuxbox.desdelinux.fan има адрес 192.168.10.5 linuxbox.desdelinux.fan пощата се обработва от 1 поща.desdelinux.фен. [root@linuxbox ~]# хост поща.desdelinux.фен поща.desdelinux.fan е псевдоним на linuxbox.desdelinux.фен. linuxbox.desdelinux.fan има адрес 192.168.10.5 linuxbox.desdelinux.fan пощата се обработва от 1 поща.desdelinux.фен.
DNS резолюция от Интернет
buzz@sysadmin:~$hostmail.desdelinux.вентилатор 172.16.10.30 Използване на домейн сървър: Име: 172.16.10.30 Адрес: 172.16.10.30#53 Псевдоними: поща.desdelinux.fan е псевдоним на desdelinux.фен. desdelinux.fan има адрес 172.16.10.10 desdelinux.fan пощата се обработва от 10 поща.desdelinux.фен.
Проблеми при разрешаване на име на хост локално «desdelinux.fan"
Ако имате проблеми с разрешаването на името на хоста «desdelinux.фен" от LAN, опитайте да коментирате реда на файла /etc/dnsmasq.conf където е декларирано локално=/desdelinux.fan/. След това рестартирайте Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Коментирайте реда по-долу: # местно=/desdelinux.fan/ [root @ linuxbox ~] # рестартиране на dnsmasq услуга Пренасочване към / bin / systemctl рестартирайте dnsmasq.service [root @ linuxbox ~] # статус dnsmasq на услугата [root@linuxbox ~]# хост desdelinux.фен desdelinux.fan има адрес 172.16.10.10 desdelinux.fan пощата се обработва от 10 поща.desdelinux.фен.
Postfix и Dovecot
Много обширната документация на Postfix и Dovecot може да бъде намерена на:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt СЪВМЕСТИМОСТ main.cf.default TLS_ACKNOWLEDGEMENTS примери README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ АВТОРИ КОПИРАНЕ.
В CentOS 7 Postfix MTA се инсталира по подразбиране, когато изберем опцията Infrastructure Server. Трябва да проверим дали контекстът на SELinux позволява писане в Potfix в локалната опашка за съобщения:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Модификации в защитната стенаD
Използвайки графичния интерфейс за конфигуриране на FirewallD, трябва да гарантираме, че следните услуги и портове са активирани за всяка зона:
# ------------------------------------------------- ----- # Поправки в FirewallD # ------------------------------------------------- ----- # Защитна стена # Обществена зона: http, https, imap, pop3, smtp услуги # Обществена зона: портове 80, 443, 143, 110, 25 # Външна зона: http, https, imap, pop3s, smtp услуги # Външна зона: портове 80, 443, 143, 995, 25
Инсталираме Dovecot и необходимите програми
[root @ linuxbox ~] # yum инсталиране на dovecot mod_ssl procmail telnet
Минимална конфигурация на Dovecot
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf протоколи =imap pop3 lmtp слушам =*, :: login_greeting = Dovecot е готов!
Изрично деактивираме автентификацията на Dovecot за открит текст:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = да
Декларираме Групата с необходимите привилегии за взаимодействие с Dovecot и местоположението на съобщенията:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = поща mail_access_groups = поща
Сертификати за Dovecot
Dovecot автоматично генерира вашите тестови сертификати въз основа на данните във файла /etc/pki/dovecot/dovecot-openssl.cnf. За да се генерират нови сертификати според нашите изисквания, трябва да изпълним следните стъпки:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes differented_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # държава (2 буквен код) C=CU # Име на държава или провинция (пълно име) ST=Cuba # Име на местност (напр. град ) L=Хавана # Организация (напр. компания) O=DesdeLinux.Fan # Име на организационна единица (напр. раздел) OU=Enthusiasts # Общо име (*.example.com също е възможно) CN=*.desdelinux.fan # Имейл за контакт emailAddress=buzz@desdelinux.fan [ тип_сертификат ] nsCertType = сървър
Ние премахваме сертификатите за изпитване
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: изтриване на обикновения файл "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: изтриване на обикновения файл "private / dovecot.pem"? (y / n) y
Копираме и изпълняваме скрипта mkcert.sh от директорията с документация
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Генериране на 1024-битов RSA частен ключ ......++++++ ................++++++ писане на нов частен ключ в '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Куба/L=Хавана/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l сертификати / общо 4 -rw -------. 1 корен корен 1029 22 май 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l private / общо 4 -rw -------. 1 корен корен 916 22 май 16:08 dovecot.pem [root @ linuxbox dovecot] # рестартиране на услуга dovecot [root @ linuxbox dovecot] # статус на услугата dovecot
Сертификати за Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Генериране на 4096-битов RSA частен ключ .........++ ..++ писане на нов частен ключ към 'private/domain.tld.key' ----- Ще бъдете помолени да въведете информация които ще бъдат включени във вашата заявка за сертификат. Това, което ще въведете, е това, което се нарича отличително име или DN. Има доста полета, но можете да оставите някои празни. За някои полета ще има стойност по подразбиране. Ако въведете „.“, полето ще остане празно. ----- Име на държавата (код от 2 букви) [XX]: Име на щат или провинция на CU (пълно име) []: Име на местност на Куба (напр. град) [Град по подразбиране]: Име на организация в Хавана (напр. компания) [ Default Company Ltd]:DesdeLinux.Fan Име на организационна единица (напр. раздел) []: Общо име на ентусиасти (напр. вашето име или име на хост на вашия сървър) []:desdelinux.fan имейл адрес []:buzz@desdelinux.фен
Минимална конфигурация на Postfix
Добавяме в края на файла / и т.н. / псевдоними следващият:
корен: бръмча
За да влязат в сила промените, изпълняваме следната команда:
[root @ linuxbox ~] # newaliases
Конфигурирането на Postifx може да бъде направено чрез директно редактиране на файла /etc/postfix/main.cf или по команда postconf -e като се погрижим всички параметри, които искаме да модифицираме или добавим, да бъдат отразени в един ред на конзолата:
- Всеки трябва да декларира възможностите, които разбира и от които се нуждае!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = всички' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Добавяме в края на файла /etc/postfix/main.cf опциите, дадени по-долу. За да знаете значението на всеки от тях, препоръчваме да прочетете придружаващата документация.
биф = не append_dot_mydomain = не забавяне_предупреждение_време = 4 часа readme_directory = не smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = да smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination # Максимален размер на пощенската кутия 1024 мегабайта = 1 g и g пощенска кутия_размер_лимит = 1073741824 получател_разделител = + maxim__queue_lifetime = 7d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Акаунти, които изпращат копие на входяща поща до друг акаунт получател_bcc_maps = хеш: / etc / postfix / accounts_ forwarding_copy
Следващите редове са важни, за да се определи кой може да изпраща поща и да предава на други сървъри, така че да не конфигурираме случайно „отворено реле“, което позволява на неупълномощени потребители да изпращат поща. Трябва да се консултираме с помощните страници на Postfix, за да разберем какво означава всяка опция.
- Всеки трябва да декларира възможностите, които разбира и от които се нуждае!.
smtpd_helo_restrictions = allow_mynetworks,
warn_if_reject reject_non_fqdn_hostname,
отказ_невалидно_име_на_хост,
разрешително
smtpd_sender_restrictions = allow_sasl_authenticated,
allow_mynetworks,
warn_if_reject reject_non_fqdn_sender,
отхвърляне_неизвестен_домейн_подател,
reject_unauth_pipelining,
разрешително
smtpd_client_restrictions = отхвърляне_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
# ЗАБЕЛЕЖКА: Опцията "check_policy_service inet: 127.0.0.1: 10023"
# активира програмата Postgrey и ние не трябва да я включваме
# в противен случай ще използваме Postgrey
smtpd_recipient_restrictions = reject_unauth_pipelining,
allow_mynetworks,
allow_sasl_authenticated,
отхвърляне_не_fqdn_получател,
отхвърляне_неизвестен_домейн_получател,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
разрешително
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_relay_restrictions = reject_unauth_pipelining,
allow_mynetworks,
allow_sasl_authenticated,
отхвърляне_не_fqdn_получател,
отхвърляне_неизвестен_домейн_получател,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
разрешително
smtpd_helo_required = да
smtpd_delay_reject = да
disable_vrfy_command = да
Ние създаваме файловете / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyи ние модифицираме файла / etc / postfix / header_checks.
- Всеки трябва да декларира възможностите, които разбира и от които се нуждае!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ако този файл е модифициран, не е необходимо # да стартирате postmap # За да тествате правилата, стартирайте като root: # postmap -q 'супер нов v1agra' regexp: / etc / postfix / body_checks
# Трябва да се върне: # ОТХВЪРЛЯНЕ Правило №2 Основно съобщение за антиспам съобщение
/ viagra / ОТХВЪРЛЯНЕ Правило # 1 Антиспам на тялото на съобщението
/ супер нов v [i1] agra / ОТХВЪРЛЯНЕ Правило # 2 Антиспам тяло на съобщението
[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# След модифицирането трябва да изпълните: # postmap / etc / postfix / accounts_ forwarding_copy
# и файлът се създава или измерва: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # ЕДИН акаунт за препращане на едно BCC копие # BCC = черно копие # Пример: # webadmin@desdelinux.fan buzz@desdelinux.фен
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Добавете в края на файла # НЕ ИЗИСКВА пощенска карта, тъй като те са регулярни изрази
/ ^ Тема: =? Big5? / REJECT Китайско кодиране не се приема от този сървър
/ ^ Тема: =? EUC-KR? / REJECT корейско кодиране не е разрешено от този сървър
/ ^ Тема: ADV: / REJECT Реклами, които не се приемат от този сървър
/^От:.*\@.*\.cn/ ОТХВЪРЛЯНЕ Извинете, китайска поща не е разрешена тук
/^От:.*\@.*\.kr/ ОТХВЪРЛЕТЕ За съжаление корейската поща тук не е разрешена
/^От:.*\@.*\.tr/ ОТХВЪРЛЕТЕ Извинете, турски поща не е разрешена тук
/^От:.*\@.*\.ro/ ОТХВЪРЛЯНЕ Извинете, румънска поща не е разрешена тук
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | от stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Прекъсвач на новини | Powermailer | Бърз изстрел | Готов Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / ОТХВЪРЛЯНЕ Позволени са масови пощенски съобщения.
/ ^ От: "нежелана поща / ОТХВЪРЛЯНЕ
/ ^ От: "спам / ОТХВЪРЛЯНЕ
/^ Тема :.*viagra/ ИЗХВЪРЛЕТЕ
# Опасни разширения
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / ОТХВЪРЛЯНЕ ОТХВЪРЛЯНЕ Не приемаме прикачени файлове с тези разширения
Проверяваме синтаксиса, рестартираме Apache и Postifx и активираме и стартираме Dovecot
[root @ linuxbox ~] # проверка на постфикс [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl рестартирайте httpd [root @ linuxbox ~] # systemctl статус httpd [root @ linuxbox ~] # systemctl рестартирайте постфикса [root @ linuxbox ~] # systemctl статус постфикс [root @ linuxbox ~] # systemctl статус dovecot ● dovecot.service - Dovecot IMAP / POP3 имейл сървър Заредено: заредено (/usr/lib/systemd/system/dovecot.service; деактивирано; предварително зададено от доставчика: деактивирано) Активно: неактивно (мъртво) [root @ linuxbox ~] # systemctl активира dovecot [root @ linuxbox ~] # systemctl старт dovecot [root @ linuxbox ~] # systemctl рестартирайте dovecot [root @ linuxbox ~] # systemctl статус dovecot
Проверки на ниво конзола
- Много е важно, преди да продължите с инсталирането и конфигурирането на други програми, да направите минимално необходимите проверки на SMTP и POP услугите.
Локално от самия сървър
Изпращаме имейл до местния потребител Леголас.
[root @ linuxbox ~] # echo "Здравейте. Това е тестово съобщение" | поща -s "Тест" legolas
Проверяваме пощенската кутия на леголи.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
След съобщението Dovecot е готов! ние продължаваме:
--- + ОК Dovecot е готов! ПОТРЕБИТЕЛ legolas +OK PASS legolas +OK Влезли сте. STAT +OK 1 559 LIST +OK 1 съобщения: 1 559 . RETR 1 +OK 559 октета Път за връщане:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Получено: от desdelinux.fan (Postfix, от userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Дата: Mon, 22 May 2017 10:47:10 -0400 До: legolas@desdelinux.fan Тема: Тестов потребителски агент: Heirloom mailx 12.5 7/5/10 MIME-версия: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> От: root@desdelinux.fan (root) Здравейте. Това е тестово съобщение. ИЗХОД ГОТОВО [root @ linuxbox ~] #
Дистанционни от компютър в локалната мрежа
Нека изпратим друго съобщение до Леголас от друг компютър в локалната мрежа. Имайте предвид, че защитата на TLS НЕ е строго необходима в мрежата на МСП.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -т леголас@desdelinux.fan\ -u "Здравей" \ -m "Поздрави Legolas от вашия приятел Buzz" \ -s имейл.desdelinux.fan -o tls=не 22 май 10:53:08 sysadmin sendemail [5866]: Имейлът беше изпратен успешно!
Ако се опитаме да се свържем чрез Telnet От хост в локалната мрежа - или от интернет, разбира се - до Dovecot, ще се случи следното, защото деактивираме автентификацията в открит текст:
buzz@sysadmin:~$ telnet поща.desdelinux.fan 110 Опитвам 192.168.10.5...
Свързан с linuxbox.desdelinux.фен. Escape символът е '^]'. +OK Dovecot е готов! потребител legolas
-ERR [AUTH] Удостоверяването в открит текст е забранено за незащитени (SSL / TLS) връзки.
quit + OK Излизане Връзката е затворена от чужд хост.
buzz @ sysadmin: ~ $
Трябва да го направим докрай OpenSSL. Пълният изход на командата ще бъде:
buzz@sysadmin:~$ openssl s_client -crlf -свързване на поща.desdelinux.fan:110 -starttls pop3 СВЪРЗАНИ (00000003) дълбочина=0 C = CU, ST = Куба, L = Хавана, O = DesdeLinux.Fan, OU = Ентусиасти, CN = *.desdelinux.fan, имейл адрес = buzz@desdelinux.фен грешка при проверка: num = 18: самоподписан сертификат проверка за връщане: 1 дълбочина=0 C = CU, ST = Куба, L = Хавана, O = DesdeLinux.Fan, OU = Ентусиасти, CN = *.desdelinux.fan, имейл адрес = buzz@desdelinux.fan verify return:1 --- Сертификатна верига 0 s:/C=CU/ST=Куба/L=Хавана/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Куба/L=Хавана/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Куба/L=Хавана/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Не са изпратени CA имена на клиентски сертификат Времен ключ на сървъра: ECDH, secp384r1, 384 бита --- SSL ръкостискането е прочело 1342 байта и е записало 411 байта --- Ново, TLSv1/SSLv3, шифърът е ECDHE-RSA-AES256 -GCM-SHA384 Публичният ключ на сървъра е 1024 бита Поддържа се защитено предоговаряне Компресия: НЯМА Разширяване: НЯМА SSL-сесия: Протокол: TLSv1.2 Шифър: ECDHE-RSA-AES256-GCM-SHA384 ИД на сесия: DB745C4BF0236204E16234D15A ИД на сесия-ctx : Master-Key: 9D3C084125B5989CEA5F6AF5295AF4D2C73F1904F204A564FD76361CD50373F8879BC793BFF7E7506F04473777F6 Key-Arg: Няма Krb3503 Основен: Няма PSK идентичност: Няма P Подсказка за SK идентичност: Няма Подсказка за срока на валидност на билета за TLS сесия: 9 (секунди) Билет за TLS сесия: 919 - 1e 837a f67 29 309a 352526f 5 5-ee f300 a0000 4f fc ec 3e 8c N:.)zOcr...O..~. 29 - 7c d4 be a63 be 72 7e ae-6 4e 7 1d 0010 c2 4 a8 ,.....~.mE... 92 - db 2a 98 7 df 87b dc 6d-f45 5f 17 8e db a0020 e3 86 .:.......hn.... 80 - 8 8 e8 eb 1 b68 a6 7-3 b86 ea f0030 08 f35 c5 98 .8......h...r ..y 4 - 98 68a 1 e7 72 a7 1b da-e79 5a 0040 c89 4 bf 28 3d .J(......z).w.". 85 - bd 4c f8 9 7c a29 7 bd-cb 77 22 0 0050a dc 5 6 .\.a.....61'fz.Q( 8 - b1 от 14 bd 31b 27f d66 ec-d7 e51 28 c1 0060 7 b35 2 ..0.+.... ...e ..4 3 - 0 14 f8 de 65 da ae 03-1 bd f35 b5 e5 0070c cf 38 34..H..8........ 48 - f31 90 6 0 6 b9 19c db-aa ee 84a d1 0080b 5c dd 42 .BV.......Z..,.q 56 - 13a f88 0 8 5 7 c1 2a-71 e0090 7f 1c bf dc 03c a70 z..p.. ..b. ....<. Начално време: 90 Време за изчакване: 94 (сек) Проверка на код за връщане: 9 (самоподписан сертификат) --- + ОК Dovecot е готов! ПОТРЕБИТЕЛСКИ леголи + Добре ПРОХОДИ леголи + OK Влезли. СПИСЪК + OK 1 съобщения: 1 1021. НАЗАД 1 +OK 1021 октета Път за връщане: X-Оригинал-До: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Получено: от sysadmin.desdelinux.fan (шлюз [172.16.10.1]) от desdelinux.fan (Postfix) с ESMTP id 51886C11E8C0 заdesdelinux.fan>; Понеделник, 22 май 2017 г. 15:09:11 -0400 (EDT) ИД на съобщение: <919362.931369932-sendEmail@sysadmin> От: "buzz@deslinux.fan" До: "legolas@desdelinux.fan"desdelinux.fan> Тема: Здравейте Дата: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-версия: 1.0 Content-Type: multipart/related; boundary="----MIME разделител за sendEmail-365707.724894495" Това е съобщение от няколко части във формат MIME. За правилното показване на това съобщение ви е необходима програма за имейл, съвместима с MIME версия 1.0. ------MIME разделител за sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Поздрави Legolas от вашия приятел Buzz ------MIME разделител за sendEmail-365707.724894495-- . Затворете + ОК Излизане. затворен buzz @ sysadmin: ~ $
SquirrelMail
SquirrelMail е уеб клиент, написан изцяло на PHP. Той включва поддръжка на PHP за протоколите IMAP и SMTP и осигурява максимална съвместимост с различните използвани браузъри. Той работи правилно на всеки IMAP сървър. Той разполага с цялата функционалност, от която се нуждаете от имейл клиент, включително MIME поддръжка, адресна книга и управление на папки.
[root @ linuxbox ~] # yum инсталиране на squirrelmail
[root @ linuxbox ~] # рестартиране на httpd услуга
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$домейн = 'desdelinux.fan';
$imapServerAddress = 'поща.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # презареждане на httpd услуга
DNS Изпращане на политика Framenwork или SPF запис
В статията Авторитетен DNS сървър на NSD + Shorewall Видяхме, че Зоната «desdelinux.fan» беше конфигуриран, както следва:
root@ns:~# nano /etc/nsd/desdelinux.фен.зона $ ПРОИЗХОД desdelinux.фен. $TTL 3H @ В SOA номера.desdelinux.фен. корен.desdelinux.фен. (1; сериен 1D; опресняване 1H; повторен опит 1W; изтичане 3H); минимум или ; Отрицателно време на живот за кеширане; @ IN NS ns.desdelinux.фен. @ IN MX 10 имейл.desdelinux.фен. @ IN TXT "v=spf1 a:mail.desdelinux.fan -всички" ; ; Регистрация за разрешаване на запитвания за копаене desdelinux.fan @ В A 172.16.10.10 ; ns В 172.16.10.30 поща В CNAME desdelinux.фен. чат В CNAME desdelinux.фен. www В CNAME desdelinux.фен. ; ; SRV записи, свързани с XMPP _xmpp-сървър._tcp В SRV 0 0 5269 desdelinux.фен. _xmpp-клиент._tcp В SRV 0 0 5222 desdelinux.фен. _jabber._tcp В SRV 0 0 5269 desdelinux.фен.
В него регистърът е деклариран:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -всички"
За да конфигурираме същия параметър за мрежата на МСП или LAN, трябва да модифицираме конфигурационния файл Dnsmasq, както следва:
# TXT записи. Можем също да декларираме SPF запис txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -всички"
След това рестартираме услугата:
[root @ linuxbox ~] # рестартиране на dnsmasq услуга [root@linuxbox ~]# услуга dnsmasq статус [root@linuxbox ~]# хост -t TXT поща.desdelinux.поща на фенове.desdelinux.fan е псевдоним на desdelinux.фен. desdelinux.fan описателен текст "v=spf1 a:mail.desdelinux.fan -всички"
Самоподписани сертификати и Apache или httpd
Дори ако браузърът ви каже, че «Собственикът на поща.desdelinux.фен Неправилно сте конфигурирали уебсайта си. За да предотврати кражбата на вашата информация, Firefox не се е свързал с този уебсайт ”, генерираният преди това сертификат ВАЖИ, и ще позволи на идентификационните данни между клиента и сървъра да пътуват криптирани, след като приемем сертификата.
Ако желаете и като начин за унифициране на сертификатите, можете да декларирате за Apache същите сертификати, които сте декларирали за Postfix, което е правилно.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # уеб-услуга рестартирате
[root @ linuxbox ~] # услуга httpd статус
Група Diffie-Hellman
Темата за сигурността става все по-трудна всеки ден в Интернет. Една от най-честите атаки срещу връзки SSL, е буксуване и за защита срещу него е необходимо да се добавят нестандартни параметри към SSL конфигурацията. За това има RFC 3526 «По-модулен експоненциален (MODP) Дифи-Хелман групи за обмен на интернет ключове (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Според версията на Apache, която сме инсталирали, ще използваме групата Diffie-Helman от файла /etc/pki/tls/dhparams.pem. Ако е версия 2.4.8 или по-нова, тогава ще трябва да добавим към файла /etc/httpd/conf.d/ssl.conf следния ред:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Версията на Apache, която използваме, е:
[root @ linuxbox tls] # yum информация httpd
Заредени плъгини: fasttestmirror, langpacks Зареждане на огледални скорости от кеширан хост файл Инсталирани пакети Име: httpd Архитектура: x86_64
Версия: 2.4.6
Издание: 45.el7.centos Размер: 9.4 M Хранилище: инсталирано От хранилище: Base-Repo Резюме: Apache HTTP сървър URL: http://httpd.apache.org/ Лиценз: ASL 2.0 Описание: Apache HTTP сървърът е мощен , ефективен и разширяем: уеб сървър.
Тъй като имаме версия преди 2.4.8, добавяме в края на генерирания преди това CRT сертификат, съдържанието на групата Diffie-Helman:
[root @ linuxbox tls] # котка private / dhparams.pem >> сертификати/desdelinux.fan.crt
Ако искате да проверите дали DH параметрите са правилно добавени към CRT сертификата, изпълнете следните команди:
[root @ linuxbox tls] # котка private / dhparams.pem ----- НАЧАЛО НА DH ПАРАМЕТРИТЕ ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- КРАЙНИ ПАРАМЕТРИ на DH ----- [root@linuxbox tls]# котешки сертификата/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- КРАЙНИ ПАРАМЕТРИ на DH -----
След тези промени трябва да рестартираме услугите Postfix и httpd:
[root @ linuxbox tls] # рестартиране на услугата постфикс [root @ linuxbox tls] # статус на постфикс на услугата [root @ linuxbox tls] # рестартиране на httpd услуга [root @ linuxbox tls] # статус на httpd услуга
Включването на групата Diffie-Helman в нашите TLS сертификати може да направи свързването през HTTPS малко по-бавно, но добавянето на сигурност си заслужава.
Проверка на Squirrelmail
DESPUÉS че сертификатите са правилно генерирани и че проверяваме правилната им работа, както направихме с помощта на командите на конзолата, насочете предпочитания от вас браузър към URL адреса http://mail.desdelinux.fan/webmail и ще се свърже с уеб клиента след приемане на съответния сертификат. Имайте предвид, че въпреки че сте посочили протокола HTTP, той ще бъде пренасочен към HTTPS и това се дължи на конфигурацията по подразбиране, която CentOS предлага за Squirrelmail. Вижте файла /etc/httpd/conf.d/squirrelmail.conf.
Относно потребителските пощенски кутии
Dovecot създава IMAP пощенските кутии в папката У дома на всеки потребител:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ общо 12 drwxrwx ---. 5 легола поща 4096 22 май 12:39. drwx ------. 3 леголи леголи 75 май 22 11:34 .. -rw -------. 1 леголи леголи 72 май 22 11:34 dovecot.mailbox.log -rw -------. 1 леголас леголас 8 май 22 12:39 гълъбарник-недействителност -r - r - r--. 1 legolas legolas 0 22 май 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 легола поща 56 22 май 10:23 INBOX drwx ------. 2 леголи леголи 56 22 май 12:39 Изпратени drwx ------. 2 леголи леголи 30 май 22 11:34 Кошче
Те също се съхраняват в / var / mail /
[root @ linuxbox ~] # по-малко / var / mail / legolas От MAILER_DAEMON Mon May 22 10:28:00 2017 Дата: Mon, 22 May 2017 10:28:00 -0400 From: Вътрешни данни на системата за поща Тема: НЕ ИЗТРИВАЙТЕ ТОВА СЪОБЩЕНИЕ -- ВЪТРЕШНИ ДАННИ НА ПАПКА ИД на съобщение: <1495463280@linuxbox> . Създава се автоматично от софтуера на пощенската система. Ако бъдат изтрити, важни данни от папката ще бъдат загубени и ще бъдат създадени отново с нулиране на данните до първоначалните стойности. От root@desdelinux.fan понеделник, 22 май 10:47:10 2017 Път за връщане:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Получено: от desdelinux.fan (Postfix, от userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Дата: Mon, 22 May 2017 10:47:10 -0400 До: legolas@desdelinux.fan Тема: Тестов потребителски агент: Heirloom mailx 12.5 7/5/10 MIME-версия: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> От: root@desdelinux.fan (root) X-UID: 7 Статус: RO Здравейте. Това е тестово съобщение от buzz@deslinux.fan понеделник, 22 май, 10:53:08 2017 г. Път за връщане: X-Оригинал-До: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Получено: от sysadmin.desdelinux.fan (шлюз [172.16.10.1]) от desdelinux.fan (Postfix) с ESMTP id C184DC11FC57 заdesdelinux.fan>; Понеделник, 22 май 2017 г. 10:53:08 -0400 (EDT) ИД на съобщение: <739874.219379516-sendEmail@sysadmin> От: "buzz@deslinux.fan" До: "legolas@desdelinux.fan"desdelinux.fan> Тема: Здравейте Дата: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-версия: 1.0 Content-Type: multipart/related; boundary="----MIME разделител за sendEmail-794889.899510057 / var / mail / legolas
Обобщение на PAM минисериала
Разгледахме ядрото на пощенски сървър и поставихме малко акцент върху сигурността. Надяваме се, че статията ще служи като точка за влизане в тема, толкова сложна и податлива на грешки, колкото ръчното внедряване на пощенски сървър.
Използваме локално удостоверяване на потребителя, защото ако четем файла правилно /etc/dovecot/conf.d/10-auth.conf, ще видим, че в крайна сметка е включен -по подразбиране- файлът за удостоверяване на системните потребители ! включва auth-system.conf.ext. Точно този файл ни казва в заглавката си, че:
[root @ linuxbox ~] # по-малко /etc/dovecot/conf.d/auth-system.conf.ext
# Удостоверяване за системни потребители. Включено от 10-auth.conf. # # # # PAM удостоверяване. Предпочитан в днешно време от повечето системи.
# PAM обикновено се използва или с userdb passwd или userdb static. # ЗАПОМНЕТЕ: Ще ви е необходим /etc/pam.d/dovecot файл, създаден за PAM # удостоверяване, за да работи реално. passdb {драйвер = pam # [сесия = да] [setcred = да] [неуспешно показване_msg = да] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}
И другият файл съществува /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% Изисква се PAM-1.0 auth pam_nologin.so auth include password-auth account include password-auth session include password-auth
Какво се опитваме да предадем за PAM удостоверяване?
- CentOS, Debian, Ubuntu и много други дистрибуции на Linux инсталират Postifx и Dovecot с локално удостоверяване, активирано по подразбиране.
- Много статии в Интернет използват MySQL - и по-скоро MariaDB - за съхраняване на потребители и други данни, свързани с пощенски сървър. НО това са сървъри за ХИЛЯДИ ПОТРЕБИТЕЛИ, а не за класическа МСП мрежа със - може би - стотици потребители.
- Удостоверяването чрез PAM е необходимо и достатъчно за предоставяне на мрежови услуги, стига да работят на един сървър, както видяхме в този минисериал.
- Потребителите, съхранявани в база данни LDAP, могат да бъдат картографирани, сякаш са локални потребители, а PAM удостоверяването може да се използва за предоставяне на мрежови услуги от различни Linux сървъри, които действат като LDAP клиенти на централния сървър за удостоверяване. По този начин бихме работили с идентификационните данни на потребителите, съхранявани в централната база данни на LDAP сървър, и НЕ би било от съществено значение да поддържаме база данни с локални потребители.
До следващото приключение!
Повярвайте ми, че на практика това е процес, който причинява силни главоболия на повече от един системен администратор, убеден съм, че в бъдеще това ще бъде справочно ръководство за всеки, който иска сам да управлява имейлите си, практически случай, който става в abc, когато интегриране на postfix, dovecot, squirrelmail ..
Благодаря ви много за вашия похвален принос,
Защо не използваме Mailpile, що се отнася до сигурността, с PGP? Също така Roundcube има много по-интуитивен интерфейс и може също да интегрира PGP.
Преди 3 дни прочетох публикацията, знам как да ви благодаря. Не планирам да инсталирам пощенски сървър, но винаги е полезно да видя създаването на сертификати, полезни за други приложения и тези уроци едва ли изтичат (дори повече, когато използвате centOS).
Мануел Чилеро: Благодаря за връзката към и от вашия блог тази статия, която е минималното ядро на пощенски сървър, базиран на Postfix и Dovecot.
Гущер: Както винаги, оценката ви се приема много добре. Благодаря ти.
Дарко: В почти всички свои статии казвам горе-долу, че „Всеки прилага услугите с програмите, които му харесват най-много“. Благодаря за коментара.
Мартин: Благодаря и на вас, че прочетохте статията и се надявам да ви помогне в работата.
Огромна статия приятел Федерико. Благодаря ви много за толкова добро tuto.
отлично, въпреки че бих използвал "виртуални потребители", за да не се налага да създавам системен потребител всеки път, когато добавя имейл, благодаря, че научих много нови неща и това е типът публикация, която чаках
Добър ден,
Те биха били насърчени да направят същия с Fedora сървър за директории + postifx + dovecot + thunderbird или outlook.
Имам част, но съм заседнал, с удоволствие бих споделил документа с общността @desdelinux
Не си представях, че ще достигне повече от 3000 посещения!
Поздрави Гущер!
Отличен урок колега.
Бихте ли могли да го направите за Debian 10 с потребители на Active Directory, монтиран на Samba4 ???
Предполагам, че би било почти същото, но промяна на типа на удостоверяване.
Разделът, който посвещавате на създаването на самоподписани сертификати, е много интересен.