Postfix + Dovecot + Squirrelmail è utilizatori lucali - Rete SMB

Indice generale di a serie: Rete Informatiche per e PMI: Introduzione

Questu articulu hè a continuazione è l'ultimu di a miniserie:

Salute amichi è amichi!

l Passiunati volenu avè u so servitore di mail. Ùn volenu micca aduprà servitori induve "Privacidad" hè trà punti d'interrugazione. A persona incaricata di l'implementazione di u serviziu nantu à u vostru servitore chjucu ùn hè micca un spezialistu in u sughjettu è pruvarà inizialmente à installà u core di un servitore di posta futuru è cumpletu. Hè chì e "equazioni" per fà un Servitore di Posta Piena sò un pocu difficiule da capisce è applicà. 😉

Annotazioni di margine

  • Hè necessariu esse chjaru nantu à e funzioni chì faci ogni prugramma implicatu in un Mailserver. Cum'è una guida iniziale demu una seria di ligami utili cù u scopu dichjaratu di visità li.
  • Implementà manualmente un Serviziu di Mail Completu da zero hè un prucessu stancu, a menu chì ùn siate micca unu di i "Scelti" chì svolganu stu tipu di compitu ogni ghjornu. Un Servitore di Mail hè generalmente cumpostu di vari prugrammi chì trattanu separatamente SMTP, POP / IMAP, Immagazzinamentu Locale di Messaghji, attività ligate à u trattamentu di u SPAM, Antivirus, ecc. TUTTI questi prugrammi devenu cumunicà cun l'altri currettamente.
  • Ùn ci hè micca una misura per tutti o "best practice" nantu à cumu gestisce l'utilizatori; induve è cumu si conservanu i messaghji, o cumu fà funzionà tutti i cumpunenti cum'è un solu solu.
  • L'assemblea è a fine-tuning di un Mailserver tende à esse odiosi in materie cum'è permessi è pruprietarii di file, scegliendu quale utilizatore serà incaricatu di un certu prucessu, è in picculi errori fatti in qualchì file di configurazione esoterica.
  • A menu chì ùn sappiate bè ciò chì fate, u risultatu finale serà un Servitore di Mail insicuru o pocu funzionale. Chì à a fine di l'implementazione Ùn funziona micca, serà forse u minore di i mali.
  • Pudemu truvà in Internet una bona quantità di ricette nantu à cumu fà un Servitore di Mail. Unu di i più cumpleti -in a mo opinione assai personale- hè quella offerta da l'autore ivar abrahamsen in a so tredicesima edizione di ghjennaghju 2017 «Cume installà un servitore di posta in un sistema GNU / Linux".
  • Ricumandemu ancu di leghje l'articulu «Un Mailserver in Ubuntu 14.04: Postfix, Dovecot, MySQL«, sia "Un Mailserver in Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Hè vera. A migliore documentazione à stu riguardu si pò truvà in inglese.
    • Ancu se ùn facemu mai un Mailserver fidelmente guidatu da u Cumu ... mintuvatu in u paràgrafu precedente, u solu fattu di seguità lu passu à passu ci darà una idea assai bona di ciò chì seremu di pettu.
  • Se vulete avè un Mailserver cumpletu in pochi passi, pudete scaricà l'immagine iRedOS-0.6.0-CentOS-5.5-i386.iso, O cercate unu più mudernu, sia iRedOS o iRedMail. Hè u modu chì personalmente raccomandu.

Avemu da stallà è cunfigurà:

Resta da fà:

Almenu i servizii seguenti resteranu da implementà:

  • postgrey: Politiche di u servitore Postfix per e Liste Grigie è rifiutanu u Spazzatura.
  • Amavisd-novu: script chì crea un'interfaccia trà l'MTA, è antivirus è filtri di cuntenutu.
  • Antivirus Clamav: suite di virus
  • SpamaAssassin: estratti Junk Mail
  • Razor (pyzor): Catturà SPAM attraversu una rete distribuita è cullaburativa. A rete Vipul Razor mantene un catalogu aggiornatu di a propagazione di spam o posta indesiderata.
  • Arregistramentu DNS "Mail Identificatu DomainKeys" o DKIM.

I pacchetti postgrey, amavisd-new, clamav, spamassassin, rasoio y pyzor Si trovanu in i repositori di u prugramma. Truvaremu ancu u prugramma openkim.

  • A dichjarazione curretta di i registri DNS "SPF" è "DKIM" hè essenziale se ùn vulemu micca chì u nostru servitore di posta sia messu in opera, da esse dichjaratu indesideratu o da un pruduttore di SPAM o Junk Mail, da altri servizii di posta cum'è Gmail, Yahoo, Hotmail, ecc.

Cuntrolli iniziali

Arricurdatevi chì questu articulu hè una continuazione di altri chì cumincianu in Autentificazione Squid + PAM nantu à CentOS 7.

Interfaccia LAN Ens32 cunnessa à a Rete Interna

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publicu

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interfaccia WAN Ens34 cunnessa à Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = iè BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # U router ADSL hè cunnessu à # questa interfaccia cù # l'indirizzu seguente GATEWAY IP = 172.16.10.1 DOMINU = desdelinux.fan DNS1 = 127.0.0.1
ZONA = esterna

Risoluzione DNS da LAN

[root @ linuxbox ~] # cat /etc/resolv.conf search from linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # mail host
mail.desdelinux.fan hè un alias per linuxbox.desdelinux.fan. linuxbox.desdelinux.fan hà l'indirizzu 192.168.10.5 linuxbox.desdelinux.fan mail hè trattatu da 1 mail.desdelinux.fan.

[root @ linuxbox ~] # host mail.fromlinux.fan
mail.desdelinux.fan hè un alias per linuxbox.desdelinux.fan. linuxbox.desdelinux.fan hà l'indirizzu 192.168.10.5 linuxbox.desdelinux.fan mail hè trattatu da 1 mail.desdelinux.fan.

Risoluzione DNS da Internet

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Aduprendu servore di duminiu: Nome: 172.16.10.30 Indirizzu: 172.16.10.30 # 53 Alias: mail.desdelinux.fan hè un alias per desdelinux.fan.
da linux.fan hà l'indirizzu 172.16.10.10
A mail desdelinux.fan hè gestita da 10 mail.desdelinux.fan.

Problemi di risoluzione lucale di u nome host "desdelinux.fan"

Se avete prublemi à risolve u nome di l'ospite «fromlinux.fan"da u AVIANCA, pruvate à cumentà a linea di schedariu /etc/dnsmasq.conf induve hè dichjaratu lucale = / da linux.fan /. Dopu, ripigliate u Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Cumentu a linea sottu:
# local = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Redirigendu à / bin / systemctl restart dnsmasq.service

[root @ linuxbox ~] # serviziu statutu dnsmasq

[root @ linuxbox ~] # host da linux.fan
desdelinux.fan hà l'indirizzu 172.16.10.10 mail desdelinux.fan hè gestitu da 10 mail.desdelinux.fan.

Postfix è Dovecot

A documentazione assai larga di Postfix è Dovecot si trova à:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENZA README-Postfix-SASL-RedHat.txt COMPATIBILITÀ main.cf.default TLS_ACKNOWLEDGEMENTS esempi README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI COPYING.MIT dovecot-openssl.cnf NEWS wiki COPYING ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

In CentOS 7, Postfix MTA hè installatu per difettu quandu sceglemu l'opzione di un Servitore Infrastrutturali. Avemu da verificà chì u cuntestu SELinux permette di scrive à Potfix in a fila di messagi lucali:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Mudificazioni in u FirewallD

Aduprendu l'interfaccia grafica per configurà FirewallD, devemu assicurà chì i servizii è i porti seguenti sianu abilitati per ogni Zona:

# ------------------------------------------------- -----
# Corregge in FirewallD
# ------------------------------------------------- -----
# firewall
# Zona Pùbblica: http, https, imap, pop3, servizii smtp
# Zona publica: porti 80, 443, 143, 110, 25

# Zona esterna: http, https, imap, pop3s, servizii smtp
# Zona esterna: porti 80, 443, 143, 995, 25

Installemu Dovecot è prugrammi necessarii

[root @ linuxbox ~] # yum stallate dovecot mod_ssl procmail telnet

Cunfigurazione Minima Dovecot

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protocculi = imap pop3 lmtp
canta = *, ::
login_salutu = Dovecot hè prestu!

Disattivemu esplicitamente l'autenticazione in testu di Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = iè

Dichjaremu u Gruppu cù i privileghi necessarii per interagisce cù u Dovecot, è a situazione di i messaghji:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = mail
mail_access_groups = mail

Certificati per u Dovecot

Dovecot genera automaticamente i vostri certificati di prova basatu annantu à i dati in u fugliale /etc/pki/dovecot/dovecot-openssl.cnf. Per avè novi certificati generati secondu e nostre esigenze, duvemu fà e seguenti tappe:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = iè distintu_name = req_dn x509_extensions = cert_type prompt = innò [req_dn] # paese (codice 2 lettere) C = CU # Statu o Nome Pruvincia (nome cumpletu) ST = Cuba # Nome Località (es. cità ) L = Habana # Organizazione (per esempiu. Cumpagnia) O = FromLinux.Fan # Nome Organizational Unit Name (per esempiu. Sezione) OU = Entusiasti # Common Name (* .example.com hè ancu pussibule) CN = *. Desdelinux.fan # E -mail emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = servitore

Eliminemu i certificati di prova

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: sguassà u fugliale normale "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: sguassà u fugliale regulare "private / dovecot.pem"? (y / n) y

Copiemu è eseguemu u script mkcert.sh da u cartulare di ducumentazione

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generazione di una chjave privata RSA 1024 bit ...... ++++++ ................ ++++++ scrivendu una nova chjave privata in '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Impronta digitale = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
tutali 4 -rw -------. 1 radice radice 1029 22 di Maghju 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privatu /
tutali 4 -rw -------. 1 radice radice 916 22 di Maghju 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # serviziu dovecot status

Certificati per Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

Generazione di una chjave privata RSA 4096 bit ......... ++ .. ++ scrivendu una nova chjave privata in 'private / domain.tld.key' ----- Vi và à dumandà d'entrà infurmazione chì serà incorporatu à a vostra dumanda di certificatu. Ciò chì site per entrà hè ciò chì si chjama un Nome Distinguitu o un DN. Ci hè abbastanza pochi campi ma pudete lascià alcuni vuoti Per alcuni campi ci serà un valore predefinitu, Se inserite '.', U campu sarà lasciatu in biancu. ----- Nome Paese (codice 2 lettere) [XX]: CU Statu o Nome Pruvincia (nome cumpletu) []: Nome Località Cuba (per esempiu, cità) [Cità predefinita]: Nome Organizazione Habana (per esempiu, cumpagnia) [ Cumpagnia Default Ltd]: FromLinux.Fan Nome di l'Unità Organizativa (per esempiu, sezione) []: Entusiasti Nome cumunu (per esempiu, u vostru nome o u nome di u vostru servitore) []: desdelinux.fan Indirizzu email []: buzz@desdelinux.fan

Cunfigurazione Minima Postfix

Aghjustemu à a fine di u fugliale / etc / aliases u prossimu:

radica: buzz

Per chì i cambiamenti entrinu in vigore eseguemu u cumandimu seguente:

[root @ linuxbox ~] # newaliases

A cunfigurazione Postifx pò esse fatta editendu direttamente u fugliale /etc/postfix/main.cf o per cumanda postconf -e cura chì tutti i parametri chì vulemu mudificà o aghjustà si riflettinu in una sola linea di a cunsula:

  • Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = tuttu'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Aghjustemu à a fine di u fugliale /etc/postfix/main.cf l'opzioni date sottu. Per cunnosce u significatu di ognuna di elle, vi ricumandemu à leghje a documentazione chì l'accumpagna.

biff = innò
append_dot_mydomain = innò
delay_warning_time = 4h
readme_directory = innò
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = iè
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Dimensione massima di a casella postale 1024 megabyte = 1 g è g
mailbox_size_limit = 1073741824

destinatariu_delimiter = +
massima_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Conti chì mandanu una copia di e mail ricevute à un altru contu
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

E seguenti linee sò impurtanti per determinà quale pò mandà mail è trasmette à altri servitori, per ùn avè micca cunfiguratu accidentalmente un "relè apertu" chì permette à l'utilizatori micca autenticati di mandà mail. Duvemu cunsultà e pagine d'aiutu Postfix per capisce ciò chì significa ogni opzione.

  • Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.
smtpd_helo_restrictions = permette_mynetworks,
 warn_if_reject refuse_non_fqdn_hostname,
 refuse_invalid_hostname,
 precu

smtpd_sender_restrictions = permessu_sasl_autenticatu,
 permettenu_mynetworks,
 warn_if_reject refuse_non_fqdn_sender,
 refuse_unknown_sender_domain,
 refuse_unauth_pipelining,
 precu

smtpd_client_restrictions = refuse_rbl_client sbl.spamhaus.org,
 refuse_rbl_client blackholes.easynet.nl

# NOTA: L'opzione "check_policy_service inet: 127.0.0.1: 10023"
# permette u prugramma Postgrey, è ùn duverebbe micca include lu
# altrimenti avemu da aduprà Postgrey

smtpd_recipient_restrictions = refuse_unauth_pipelining,
 permettenu_mynetworks,
 permess_sasl_authenticated,
 refuse_non_fqdn_recipient,
 refuse_unknown_recipient_domain,
 refuse_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 precu

smtpd_data_restrictions = refuse_unauth_pipelining

smtpd_relay_restrictions = refuse_unauth_pipelining,
 permettenu_mynetworks,
 permess_sasl_authenticated,
 refuse_non_fqdn_recipient,
 refuse_unknown_recipient_domain,
 refuse_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 precu
 
smtpd_helo_required = iè
smtpd_delay_reject = iè
disable_vrfy_command = iè

Creemu i fugliali / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, è mudificà u fugliale / etc / postfix / header_checks.

  • Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Se stu schedariu hè mudificatu, ùn hè micca necessariu # per eseguisce postmap # Per pruvà e regule, eseguite cum'è root: # postmap -q 'super nova v1agra' regexp: / etc / postfix / body_checks
# Duverebbe vultà: # RIGETTATE Regula # 2 Corpu di Messaghju Anti Spam
/ viagra / RIGETTATE Regula # 1 Anti Spam di u corpu di u messagiu
/ super novu v [i1] agra / RIGETTATE Regula # 2 Corpu di missaghju Anti Spam

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Dopu a mudificazione, duvete eseguisce: # postmap / etc / postfix / accounts_ forwarding_copy
# è u fugliale hè creatu o misuratu: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Un solu contu per trasmette unu BCC copy # BCC = Black Carbon Copy # Esempiu: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Aghjunghje à a fine di u fugliale # NON RICHIEDE Postmap postu chì sò Espressioni Regulari
/ ^ Sughjettu: =? Big5? / RIFJUTU u cudificazione cinese micca accettatu da stu servitore
/ ^ Sughjettu: =? EUC-KR? / REJECT Codificazione coreana micca permessa da stu servitore
/ ^ Oggettu: ADV: / RIFJUTU I publicità micca accettati da stu servitore
/^Da :.*\@.*\.cn/ RISPETTA Scusate, a mail cinese ùn hè micca permessa quì
/^Da:.*\@.*\.kr/ RISPETTA Scusate, a mail coreana ùn hè micca permessa quì
/^From:.*\@.*\.tr/ RISPETTA Scusate, a mail turca ùn hè micca permessa quì
/^From:.*\@.*\.ro/ RISPETTA Scusate, a mail rumana ùn hè micca permessa quì
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | da stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nisunu mailers di massa permessi.
/ ^ Da: "spammer / REJECT
/ ^ Da: "puzzicheghju / RIGITU
/^Subject:.*viagra/ DISCARD
# Estensioni periculose
/ name = [^> Iluminazione * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / RIFJUTU RIFJUTU Ùn accettemu micca allegati cù queste estensioni

Verificemu a sintassi, ripartimu Apache è Postifx, è attivemu è cuminciamu Dovecot

[root @ linuxbox ~] # verificazione postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl restart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl restart postfix
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Servitore email Dovecot IMAP / POP3 Caricatu: caricatu (/usr/lib/systemd/system/dovecot.service; disattivatu; preset di venditore: disattivatu) Attivu: inattivu (mortu)

[root @ linuxbox ~] # systemctl attivà u dovecot
[root @ linuxbox ~] # systemctl principia u dovecot
[root @ linuxbox ~] # systemctl restart dovecot
[root @ linuxbox ~] # systemctl status dovecot

Cuntrolli à livellu di cunsola

  • Hè assai impurtante prima di cuntinuà cù l'installazione è a cunfigurazione di altri prugrammi, per fà i cuntrolli minimi necessarii di i servizii SMTP è POP.

Locale da u servitore stessu

Mandemu un email à l'utilizatore lucale Legolas.

[root @ linuxbox ~] # echo "Bonghjornu. Questu hè un missaghju di prova" | mail -s "Test" legolas

Verificemu a casella postale di Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Dopu u messagiu Dovecot hè Prontu! procedemu:

- -
+ OK Dovecot hè Prontu!
USER legolas + OK PASS legolas + OK Cunnessu. STAT + OK 1 559 LISTA + OK 1 missaghji: 1 559. RETR 1 + OK 559 octetti Caminu di Ritornu: X-Original-To: legolas Consegnatu-To: legolas@desdelinux.fan Ricevutu: da desdelinux.fan (Postfix, da userid 0) id 7EA22C11FC57; Lun, 22 di Maghju 2017 10:47:10 -0400 (EDT) Data: Lun, 22 di Maghju 2017 10:47:10 -0400 À: legolas@desdelinux.fan Sughjettu: Test User-Agent: Heirloom mailx 12.5 7/5 / 10 Versione MIME: 1.0 Cuntenutu-Tipu: testu / chjaru; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Da: root@desdelinux.fan (root) Ciao. Questu hè un missaghju di prova. QUITTU FATTU
[root @ linuxbox ~] #

Telecomandi da un urdinatore in LAN

Mandemu un altru missaghju à Legolas da un altru urdinatore nantu à a LAN. Nota chì a sicurezza TLS ùn hè micca strettamente necessaria in a Rete di e PMI.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Bonghjornu" \
-m "Saluti Legolas da u vostru amicu Buzz" \
-s mail.desdelinux.fan -o tls = innò
22 di Maghju 10:53:08 sysadmin sendemail [5866]: L'email hè stata mandata cù successu!

Se pruvemu à cunnesse telnet Da un host in a LAN - o da Internet, benintesa - à u Dovecot, accaderà ciò chì seguita perchè disattivemu l'autenticazione in chiaru:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Pruvendu 192.168.10.5 ...
Cunnessu à linuxbox.fromlinux.fan. U caratteru di fuga hè '^]'. + OK Dovecot hè Prontu! utilizatore legolas
-ERR [AUTH] L'autenticazione in testu chjaru hè micca permessa in cunnessione micca sicure (SSL / TLS).
lascià + OK Scunnettà a Cunnessione chjosa da l'ostia straniera.
buzz @ sysadmin: ~ $

Duvemu fà per mezu openssl. U risultatu cumpletu di u cumandamentu seria:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
CONNECTED (00000003)
prufundità = 0 C = CU, ST = Cuba, L = L'Avana, O = FromLinux.Fan, OU = Appassiunati, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
verificà errore: num = 18: certificatu autofirmatu verificà u ritornu: 1
prufundità = 0 C = CU, ST = Cuba, L = L'Avana, O = FromLinux.Fan, OU = Amatori, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan verificà u ritornu: 1
--- Catena di certificati 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Certificat du serveur ----- BEGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END certificatu sughjettu = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Nisun certificatu di clientele CA numeri inviati Chjave Temp Server: ECDH, secp384r1, 384 bit --- A stretta di manu SSL hà lettu 1342 byte è hà scrittu 411 byte --- Novu, TLSv1 / SSLv3 , U cifru hè ECDHE-RSA-AES256-GCM-SHA384 A chjave publica di u servitore hè 1024 bit Rinegoziazione sicura IS supportata Compressione: NESSUNA Espansione: NESSUNA SSL-Sessione: Protocollu: TLSv1.2 Ciframentu: ECDHE-RSA-AES256-GCM-SHA384 Sessione- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: None Krb5 Principal: None Cimahi 300 identità: None Cimahi identità amarore: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: None Krb7 Principal: None 1 Cimahi identità: None Cimahi identità amarore: HS XNUMX sessione TLS XNUMX seconde XNUMX f francese Nonec sessione bigliettu XNUMX XNUMX m XNUMX seconde XNUMX FXNUMXFXNUMX bigliettu ec XNUMXe XNUMXc N:.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa e 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot hè Prontu!
USER legolas
+ OK
PASSU legolas
+ OK Cunnessu.
LIST
+ OK 1 missaghji: 1 1021.
RETR 1
+ OK 1021 octetti Ritornu-Path: X-Original-To: legolas@desdelinux.fan Ricevutu-To: legolas@desdelinux.fan Ricevutu: da sysadmin.desdelinux.fan (gateway [172.16.10.1]) da desdelinux.fan (Postfix) cù l'ID ESMTP 51886C11E8C0 per ; Lun, 22 di Maghju 2017 15:09:11 -0400 (EDT) ID-Messaghju: <919362.931369932-sendEmail@sysadmin> Da: "buzz@deslinux.fan" À: "legolas@desdelinux.fan" Subject: Salute Data: Mon, 22 Maghju 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Versione: 1.0 Cuntenutu-Type: multipart / related; frontiera = "---- Delimitatore MIME per sendEmail-365707.724894495" Questu hè un missaghju multipartitu in furmatu MIME. Per visualizà currettamente stu missaghju avete bisognu di un prugramma E-mail conforme à MIME-Version 1.0. ------ Delimitatore MIME per sendEmail-365707.724894495 Cuntenutu-Type: text / plain; charset = "iso-8859-1" Cuntinutu-Trasferimentu-Codificazione: Saluti 7bit Legolas da u vostru amicu Buzz ------ Delimitatore MIME per sendEmail-365707.724894495--.
QUITÀ
+ OK Scunnettassi. chjusu
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail hè un cliente web scrittu sanu sanu in PHP. Include supportu PHP nativu per i protocolli IMAP è SMTP, è furnisce una compatibilità massima cù i sfarenti navigatori in usu. Funziona currettamente nant'à qualsiasi servitore IMAP. Hà tutte e funzionalità chì avete bisognu da un client di email chì include supportu MIME, librettu d'indirizzi è gestione di cartulari.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # service httpd restart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # serviziu httpd ricaricà

Politica di Invio DNS Framenwork o record SPF

In l'articulu Servitore DNS Autoritariu NSD + Shorewall Avemu vistu chì a Zona "desdelinux.fan" hè stata cunfigurata cusì:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGINE da linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; serie 1D; rinfriscà 1H; riprova 1W; scade 3H); minimu o; Tempu negativu di cache in vita; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Logu per risolve e dumande dig da linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 mail IN CNAME da linux.fan. chat IN CNAME da linux.fan. www IN CNAME da linux.fan. ; ; Registri SRV in relazione cù XMPP
_xmpp-server._tcp IN SRV 0 0 5269 da linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 da linux.fan. _jabber._tcp IN SRV 0 0 5269 da linux.fan.

In questu u registru hè dichjaratu:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Per avè u listessu parametru cunfiguratu per a Rete SME o LAN, duvemu mudificà u fugliale di cunfigurazione Dnsmasq cume:

#Recordi TXT. Pudemu dinò dichjarà un registru SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Dopu ripartimu u serviziu:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # serviziu statutu dnsmasq [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan hè un alias per fromlinux.fan. testu descrittivu desdelinux.fan "v = spf1 a: mail.desdelinux.fan -all"

Certificati Autofirmati è Apache o httpd

Ancu se u vostru navigatore vi dice chì «U pruprietariu di mail.fromlinux.fan Avete configuratu u vostru situ web in modu incorrettu. Per impedisce chì e vostre informazioni sianu arrubate, Firefox ùn hè micca cunnessu à stu situ web ", u certificatu generatu prima Hè VALIDU, è permetterà e credenziali trà u cliente è u servitore di viaghjà crittografatu, dopu avemu accettatu u certificatu.

Se vulete, è cum'è modu per unificà i certificati, pudete dichjarà per Apache i listessi certificati chì avete dichjaratu per Postfix, chì hè currettu.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # serviziu httpd restart
[root @ linuxbox ~] # serviziu statutu httpd

Gruppu Diffie-Hellman

L'issueu di a Sicurezza diventa più difficiule ogni ghjornu nant'à Internet. Unu di l'attacchi più cumuni à e cunnessione SSL, hè ellu logjam è per difende da ellu hè necessariu aghjunghje parametri non standard à a cunfigurazione SSL. Per questu ci hè u RFC-3526 «Più Esponenziale Modulare (MODP) Diffie-Hellman i gruppi per Scambiu di Chjave Internet (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Sicondu a versione di Apache chì avemu installatu, aduprà u Gruppu Diffie-Helman da u fugliale /etc/pki/tls/dhparams.pem. S'ellu hè una versione 2.4.8 o più tardi, allora duveremu aghjustà à u fugliale /etc/httpd/conf.d/ssl.conf a seguente linea:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

A versione di Apache chì usamu hè:

[root @ linuxbox tls] # yum info httpd
Plugins caricati: fastestmirror, langpacks Caricà a velocità mirror da u file host in cache Pacchetti installati Nome: httpd Architettura: x86_64
Versione: 2.4.6
Release: 45.el7.centos Size: 9.4 M Repository: installatu Da repository: Base-Repo Summary: Apache HTTP Server URL: http://httpd.apache.org/ Licenza: ASL 2.0 Description: The Apache HTTP Server hè un putente, efficiente è extensibile: servore web.

Cumu avemu una versione prima di 2.4.8, aghjustemu à a fine di u certificatu CRT generatu prima, u cuntenutu di u Gruppu Diffie-Helman:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

Se vulete verificà chì i parametri DH sò stati aghjustati currettamente à u certificatu CRT, eseguite i seguenti cumandamenti:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- BEGIN DH PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

Dopu sti cambiamenti, duvemu riavviare i servizii Postfix è httpd:

[root @ linuxbox tls] # service postfix restart
[root @ linuxbox tls] # serviziu statutu di postfix
[root @ linuxbox tls] # service httpd restart
[root @ linuxbox tls] # serviziu statutu httpd

L'inclusione di u Gruppu Diffie-Helman in i nostri certificati TLS pò rende a cunnessione sopra HTTPS un pocu più lenta, ma l'aggiunta di sicurezza ne vale a pena.

Verificendu Squirrelmail

Tandu chì i certificati sò generati currettamente è chì verificemu u so funziunamentu currettu cum'è l'avemu fattu per mezu di i cumandamenti di cunsola, dirigite u vostru navigatore preferitu versu l'URL http://mail.desdelinux.fan/webmail è si cunnette cù u cliente web dopu avè accettatu u certificatu currispundente. Innota chì ancu se specificate u protocolu HTTP, serà redirigitu à HTTPS, è questu hè duvutu à e impostazioni predefinite CentOS offre per Squirrelmail. Vede u fugliale /etc/httpd/conf.d/squirrelmail.conf.

À propositu di e cassette postali di l'utilizatori

Dovecot crea e mailbox IMAP in u cartulare casa di ogni utilizatore:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
tutale 12 drwxrwx ---. 5 legolas mail 4096 22 di Maghju 12:39. drwx ------. 3 legolas legolas 75 22 di Maghju 11:34 .. -rw -------. 1 legolas legolas 72 22 di Maghju 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 di Maghju 22 12:39 dovecot-uidvalidità -r - r - r--. 1 legolas legolas 0 22 di Maghju 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 Maghju 22 10:23 INBOX drwx ------. 2 legolas legolas 56 22 di Maghju 12:39 Mandatu drwx ------. 2 legolas legolas 30 Maghju 22 11:34 Trash

Sò ancu almacenati in / var / mail /

[root @ linuxbox ~] # less / var / mail / legolas
Da MAILER_DAEMON Lun 22 Maghju 10:28:00 2017 Data: Lun, 22 Maghju 2017 10:28:00 -0400 Da: Dati Interni di u Sistema di Mail Sughjettu: NON CANCELLÀ STU MESSAGGIU - DATI INTERNI DOCUMENTU ID di u messagiu: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Statu: RO Stu testu face parte di u furmatu internu di u vostru cartulare mail, è ùn hè micca un veru messagiu. Hè creatu automaticamente da u software di u sistema di posta. S'ellu hè eliminatu, i dati impurtanti di u cartulare seranu persi, è seranu ricreati cù a resettazione di i dati à i valori iniziali. Da root@desdelinux.fan Lun 22 Maghju 10:47:10 2017 Ritornu-Path: X-Original-To: legolas Consegnatu-To: legolas@desdelinux.fan Ricevutu: da desdelinux.fan (Postfix, da userid 0) id 7EA22C11FC57; Lun, 22 di Maghju 2017 10:47:10 -0400 (EDT) Data: Lun, 22 di Maghju 2017 10:47:10 -0400 À: legolas@desdelinux.fan Sughjettu: Test User-Agent: Heirloom mailx 12.5 7/5 / 10 Versione MIME: 1.0 Cuntenutu-Tipu: testu / chjaru; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Da: root@desdelinux.fan (root) X-UID: 7 Status: RO Hello. Questu hè un missaghju di prova Da buzz@deslinux.fan Mon 22 Maghju 10:53:08 2017 Ritornu-Path: X-Original-To: legolas@desdelinux.fan Ricevutu-To: legolas@desdelinux.fan Ricevutu: da sysadmin.desdelinux.fan (gateway [172.16.10.1]) da desdelinux.fan (Postfix) cù l'ID ESMTP C184DC11FC57 per ; Mon, 22 di Maghju 2017 10:53:08 -0400 (EDT) ID-Messaghju: <739874.219379516-sendEmail@sysadmin> Da: "buzz@deslinux.fan" À: "legolas@desdelinux.fan" Sughjettu: Bonghjornu Data: Mon, 22 Maghju 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Versione: 1.0 Content-Type: multipart / related; frontiera = "---- Delimitatore MIME per sendEmail-794889.899510057
/ var / mail / legolas

Riassuntu di a miniserie PAM

Avemu guardatu à u core di un Mailserver è avemu messu un pocu accentu nantu à a sicurezza. Speremu chì l'articulu serve da Punto d'entrata à un sughjettu cumplicatu è suscettibile à fà sbagli cume hè l'implementazione di un Server di posta manualmente.

Adupremu l'autenticazione d'utilizatori lucali perchè se leghjemu u fugliale currettamente /etc/dovecot/conf.d/10-auth.conf, videremu chì à a fine hè inclusu -per difettu- u schedariu di autentificazione di l'utilizatori di u sistema ! includenu auth-system.conf.ext. Precisamente stu schedariu ci dice in a so intestazione chì:

[root @ linuxbox ~] # less /etc/dovecot/conf.d/auth-system.conf.ext
# Autenticazione per l'utilizatori di u sistema. Inclusu da 10-auth.conf. # # # # Autenticazione PAM. Preferitu oghje da a maiò parte di i sistemi.
# PAM hè tipicamente adupratu cù userdb passwd o userdb static. # RICORDA: Avete bisognu di /etc/pam.d/dovecot file creatu per l'autenticazione PAM # per travaglià in realtà. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = sì] [max_requests = ] # [cache_key = ] [ ] #args = colombaia}

È l'altru schedariu esiste /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth necessariu pam_nologin.so auth include password-auth account include password-auth sessione include password-auth

Chì pruvemu à trasmette nantu à l'autenticazione PAM?

  • CentOS, Debian, Ubuntu, è parechje altre distribuzioni Linux stallanu Postifx è Dovecot cù l'autentificazione lucale attivata per difettu.
  • Parechji articuli nantu à Internet utilizanu MySQL - è più recentemente MariaDB - per arregistrà l'utilizatori è altri dati riguardanti un Mailserver. MA sò questi servitori per MILLI DI UTENTI, è micca per una Rete classica di PMI cù - forse - centinaie di utilizatori.
  • L'autenticazione attraversu PAM hè necessaria è sufficiente per furnisce servizii di rete basta ch'elli funzioninu nantu à un servitore unicu cum'è l'avemu vistu in sta miniserie.
  • L'utilizatori almacenati in una basa di dati LDAP ponu esse mappati cum'è s'elli fussinu utilizatori lucali, è l'autenticazione PAM pò esse aduprata per furnisce servizii di rete da diversi servitori Linux chì agiscenu cum'è clienti LDAP à u servitore di autentificazione centrale. In questu modu, avemu da travaglià cù e credenziali di l'utilizatori almacenati in a basa di dati di u servitore LDAP centrale, è ùn saria micca essenziale mantene una basa di dati cù l'utilizatori lucali.

Finu à a prossima avventura!


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

9 cumenti, lasciate i toi

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu.

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   lucertula dijo

    Credimi chì in pratica si tratta di un prucessu chì dà più di un sysadmin severi mal di testa, sò cunvintu chì in u futuru serà una guida di riferenza per quellu chì vole gestisce i so email, un casu praticu chì diventa in un abc quandu si integra postfix, dovecot, squirrelmail ..

    Grazie mille per a vostra cuntribuzione lode,

  2.   Darko dijo

    Perchè micca aduprà Mailpile, quandu si tratta di sicurezza, cù PGP? Inoltre Roundcube hà una interfaccia assai più intuitiva è pò ancu integrà PGP.

  3.   Martin dijo

    3 ghjorni fà aghju lettu u post, sò chì ti ringraziu. Ùn aghju micca previstu d'installà un servitore di mail ma hè sempre utile di vede a creazione di certificati, utili per altre applicazioni è questi tutoriali scadenu appena (soprattuttu quandu si usa centOS).

  4.   federico dijo

    Manuel Cillero: Grazie per avè ligatu à u vostru bloggu è da questu articulu chì hè u core minimu di un servitore di posta basatu annantu à Postfix è Dovecot.

    Lizard: Cum'è sempre, a vostra valutazione hè assai bè ricevuta. Grazie.

    Darko: In guasi tutti i mo articuli dicu più o menu chì "Ognunu mette in opera i servizii cù i prugrammi chì li piacenu di più". Grazie per u cummentariu.

    Martin: Grazie à voi ancu per avè lettu l'articulu è spergu chì vi aiuterà in u vostru travagliu.

  5.   Zodiacu Carburus dijo

    Amicu articulu tremendu Federicu. Grazie per un bonu tutu.

  6.   archia dijo

    eccellente ancu se aduprassi "utenti virtuali" per evità di creà un utilizatore di sistema ogni volta chì aghjungu un email, grazie aghju amparatu assai cose novi è questu hè u tippu di postu chì aspettava

  7.   Willinton Acevedo Rueda dijo

    Bona sera,

    Oseranu fà u listessu cù servitore di repertoriu fedora + postifx + culombu + thunderbird o outlook.

    Aghju una parte ma sò bluccata, mi piacerebbe sparte u documentu à a cumunità @desdelinux

  8.   phico dijo

    Ùn aghju micca imaginatu chì puderia ghjunghje più di 3000 visite !!!

    Saluti Lizard!

  9.   fine scura dijo

    Eccellente cullega tutoriale.
    Pudete fà per Debian 10 cù l'utilizatori di un Active Directory muntatu in Samba4 ???
    Aghju imaginatu chì seria guasi listessa ma cambiendu u tippu di autentificazione.
    A sezione chì dedicate à a creazione di certificati autofirmati hè assai interessante.

bool (veru)