Postfix + Dovecot + Squirrelmail è utilizatori lucali - Rete SMB

Indice generale di a serie: Rete Informatiche per e PMI: Introduzione

Questu articulu hè a continuazione è l'ultimu di a miniserie:

• Autentificazione Squid + PAM nantu à CentOS 7.
• Gestione di l'utilizatori lucali è di u gruppu
• Servitore DNS Autoritariu NSD + Shorewall
• Prosodia IM è utilizatori lucali
  

Salute amichi è amichi!

l Passiunati volenu avè u so servitore di mail. Ùn volenu micca aduprà servitori induve "Privacidad" hè trà punti d'interrugazione. A persona incaricata di l'implementazione di u serviziu nantu à u vostru servitore chjucu ùn hè micca un spezialistu in u sughjettu è pruvarà inizialmente à installà u core di un servitore di posta futuru è cumpletu. Hè chì e "equazioni" per fà un Servitore di Posta Piena sò un pocu difficiule da capisce è applicà. 😉

Annotazioni di margine

• Hè necessariu esse chjaru nantu à e funzioni chì faci ogni prugramma implicatu in un Mailserver. Cum'è una guida iniziale demu una seria di ligami utili cù u scopu dichjaratu di visità li.
• Implementà manualmente un Serviziu di Mail Completu da zero hè un prucessu stancu, a menu chì ùn siate micca unu di i "Scelti" chì svolganu stu tipu di compitu ogni ghjornu. Un Servitore di Mail hè generalmente cumpostu di vari prugrammi chì trattanu separatamente SMTP, POP / IMAP, Immagazzinamentu Locale di Messaghji, attività ligate à u trattamentu di u SPAM, Antivirus, ecc. TUTTI questi prugrammi devenu cumunicà cun l'altri currettamente.
• Ùn ci hè micca una misura per tutti o "best practice" nantu à cumu gestisce l'utilizatori; induve è cumu si conservanu i messaghji, o cumu fà funzionà tutti i cumpunenti cum'è un solu solu.
• L'assemblea è a fine-tuning di un Mailserver tende à esse odiosi in materie cum'è permessi è pruprietarii di file, scegliendu quale utilizatore serà incaricatu di un certu prucessu, è in picculi errori fatti in qualchì file di configurazione esoterica.
• A menu chì ùn sappiate bè ciò chì fate, u risultatu finale serà un Servitore di Mail insicuru o pocu funzionale. Chì à a fine di l'implementazione Ùn funziona micca, serà forse u minore di i mali.
• Pudemu truvà in Internet una bona quantità di ricette nantu à cumu fà un Servitore di Mail. Unu di i più cumpleti -in a mo opinione assai personale- hè quella offerta da l'autore ivar abrahamsen in a so tredicesima edizione di ghjennaghju 2017 «Cume installà un servitore di posta in un sistema GNU / Linux".
• Ricumandemu ancu di leghje l'articulu «Un Mailserver in Ubuntu 14.04: Postfix, Dovecot, MySQL«, sia "Un Mailserver in Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Hè vera. A migliore documentazione à stu riguardu si pò truvà in inglese.
  • Ancu se ùn facemu mai un Mailserver fidelmente guidatu da u Cumu ... mintuvatu in u paràgrafu precedente, u solu fattu di seguità lu passu à passu ci darà una idea assai bona di ciò chì seremu di pettu.
• Se vulete avè un Mailserver cumpletu in pochi passi, pudete scaricà l'immagine iRedOS-0.6.0-CentOS-5.5-i386.iso, O cercate unu più mudernu, sia iRedOS o iRedMail. Hè u modu chì personalmente raccomandu.

Avemu da stallà è cunfigurà:

• post correzione cum'è servitore Magliu TRansporte Asignore (SMTP).
• Palummu cum'è POP - servitore IMAP.
• Certificati per e cunnessioni attraversu TLS.
• squirrelmail cum'è una interfaccia web per l'utilizatori.
• Registru DNS relative à «Quaternu di Politica di Mittente»Or SPF.
• Generazione di moduli Gruppu Diffie Hellman per aumentà a sicurezza di i certificati SSL.

Resta da fà:

Almenu i servizii seguenti resteranu da implementà:

• postgrey: Politiche di u servitore Postfix per e Liste Grigie è rifiutanu u Spazzatura.
  
• Amavisd-novu: script chì crea un'interfaccia trà l'MTA, è antivirus è filtri di cuntenutu.
• Antivirus Clamav: suite di virus
• SpamaAssassin: estratti Junk Mail
• Razor (pyzor): Catturà SPAM attraversu una rete distribuita è cullaburativa. A rete Vipul Razor mantene un catalogu aggiornatu di a propagazione di spam o posta indesiderata.
• Arregistramentu DNS "Mail Identificatu DomainKeys" o DKIM.

I pacchetti postgrey, amavisd-new, clamav, spamassassin, rasoio y pyzor Si trovanu in i repositori di u prugramma. Truvaremu ancu u prugramma openkim.

• A dichjarazione curretta di i registri DNS "SPF" è "DKIM" hè essenziale se ùn vulemu micca chì u nostru servitore di posta sia messu in opera, da esse dichjaratu indesideratu o da un pruduttore di SPAM o Junk Mail, da altri servizii di posta cum'è Gmail, Yahoo, Hotmail, ecc.

Cuntrolli iniziali

Arricurdatevi chì questu articulu hè una continuazione di altri chì cumincianu in Autentificazione Squid + PAM nantu à CentOS 7.

Interfaccia LAN Ens32 cunnessa à a Rete Interna

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publicu

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Interfaccia WAN Ens34 cunnessa à Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = iè BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # U router ADSL hè cunnessu à # questa interfaccia cù # l'indirizzu seguente GATEWAY IP = 172.16.10.1 DOMINU = desdelinux.fan DNS1 = 127.0.0.1
ZONA = esterna

Risoluzione DNS da LAN

[root @ linuxbox ~] # cat /etc/resolv.conf search from linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # mail host
mail.desdelinux.fan hè un alias per linuxbox.desdelinux.fan. linuxbox.desdelinux.fan hà l'indirizzu 192.168.10.5 linuxbox.desdelinux.fan mail hè trattatu da 1 mail.desdelinux.fan.

[root @ linuxbox ~] # host mail.fromlinux.fan
mail.desdelinux.fan hè un alias per linuxbox.desdelinux.fan. linuxbox.desdelinux.fan hà l'indirizzu 192.168.10.5 linuxbox.desdelinux.fan mail hè trattatu da 1 mail.desdelinux.fan.

Risoluzione DNS da Internet

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Aduprendu servore di duminiu: Nome: 172.16.10.30 Indirizzu: 172.16.10.30 # 53 Alias: mail.desdelinux.fan hè un alias per desdelinux.fan.
da linux.fan hà l'indirizzu 172.16.10.10
A mail desdelinux.fan hè gestita da 10 mail.desdelinux.fan.

Problemi di risoluzione lucale di u nome host "desdelinux.fan"

Se avete prublemi à risolve u nome di l'ospite «fromlinux.fan"da u AVIANCA, pruvate à cumentà a linea di schedariu /etc/dnsmasq.conf induve hè dichjaratu lucale = / da linux.fan /. Dopu, ripigliate u Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Cumentu a linea sottu:
# local = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Redirigendu à / bin / systemctl restart dnsmasq.service

[root @ linuxbox ~] # serviziu statutu dnsmasq

[root @ linuxbox ~] # host da linux.fan
desdelinux.fan hà l'indirizzu 172.16.10.10 mail desdelinux.fan hè gestitu da 10 mail.desdelinux.fan.

Postfix è Dovecot

A documentazione assai larga di Postfix è Dovecot si trova à:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENZA README-Postfix-SASL-RedHat.txt COMPATIBILITÀ main.cf.default TLS_ACKNOWLEDGEMENTS esempi README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI COPYING.MIT dovecot-openssl.cnf NEWS wiki COPYING ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

In CentOS 7, Postfix MTA hè installatu per difettu quandu sceglemu l'opzione di un Servitore Infrastrutturali. Avemu da verificà chì u cuntestu SELinux permette di scrive à Potfix in a fila di messagi lucali:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Mudificazioni in u FirewallD

Aduprendu l'interfaccia grafica per configurà FirewallD, devemu assicurà chì i servizii è i porti seguenti sianu abilitati per ogni Zona:

# ------------------------------------------------- -----
# Corregge in FirewallD
# ------------------------------------------------- -----
# firewall
# Zona Pùbblica: http, https, imap, pop3, servizii smtp
# Zona publica: porti 80, 443, 143, 110, 25

# Zona esterna: http, https, imap, pop3s, servizii smtp
# Zona esterna: porti 80, 443, 143, 995, 25

Installemu Dovecot è prugrammi necessarii

[root @ linuxbox ~] # yum stallate dovecot mod_ssl procmail telnet

Cunfigurazione Minima Dovecot

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protocculi = imap pop3 lmtp
canta = *, ::
login_salutu = Dovecot hè prestu!

Disattivemu esplicitamente l'autenticazione in testu di Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = iè

Dichjaremu u Gruppu cù i privileghi necessarii per interagisce cù u Dovecot, è a situazione di i messaghji:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = mail
mail_access_groups = mail

Certificati per u Dovecot

Dovecot genera automaticamente i vostri certificati di prova basatu annantu à i dati in u fugliale /etc/pki/dovecot/dovecot-openssl.cnf. Per avè novi certificati generati secondu e nostre esigenze, duvemu fà e seguenti tappe:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = iè distintu_name = req_dn x509_extensions = cert_type prompt = innò [req_dn] # paese (codice 2 lettere) C = CU # Statu o Nome Pruvincia (nome cumpletu) ST = Cuba # Nome Località (es. cità ) L = Habana # Organizazione (per esempiu. Cumpagnia) O = FromLinux.Fan # Nome Organizational Unit Name (per esempiu. Sezione) OU = Entusiasti # Common Name (* .example.com hè ancu pussibule) CN = *. Desdelinux.fan # E -mail emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = servitore

Eliminemu i certificati di prova

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: sguassà u fugliale normale "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: sguassà u fugliale regulare "private / dovecot.pem"? (y / n) y

Copiemu è eseguemu u script mkcert.sh da u cartulare di ducumentazione

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generazione di una chjave privata RSA 1024 bit ...... ++++++ ................ ++++++ scrivendu una nova chjave privata in '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Impronta digitale = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
tutali 4 -rw -------. 1 radice radice 1029 22 di Maghju 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privatu /
tutali 4 -rw -------. 1 radice radice 916 22 di Maghju 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # serviziu dovecot status

Certificati per Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

Generazione di una chjave privata RSA 4096 bit ......... ++ .. ++ scrivendu una nova chjave privata in 'private / domain.tld.key' ----- Vi và à dumandà d'entrà infurmazione chì serà incorporatu à a vostra dumanda di certificatu. Ciò chì site per entrà hè ciò chì si chjama un Nome Distinguitu o un DN. Ci hè abbastanza pochi campi ma pudete lascià alcuni vuoti Per alcuni campi ci serà un valore predefinitu, Se inserite '.', U campu sarà lasciatu in biancu. ----- Nome Paese (codice 2 lettere) [XX]: CU Statu o Nome Pruvincia (nome cumpletu) []: Nome Località Cuba (per esempiu, cità) [Cità predefinita]: Nome Organizazione Habana (per esempiu, cumpagnia) [ Cumpagnia Default Ltd]: FromLinux.Fan Nome di l'Unità Organizativa (per esempiu, sezione) []: Entusiasti Nome cumunu (per esempiu, u vostru nome o u nome di u vostru servitore) []: desdelinux.fan Indirizzu email []: buzz@desdelinux.fan

Cunfigurazione Minima Postfix

Aghjustemu à a fine di u fugliale / etc / aliases u prossimu:

radica: buzz

Per chì i cambiamenti entrinu in vigore eseguemu u cumandimu seguente:

[root @ linuxbox ~] # newaliases

A cunfigurazione Postifx pò esse fatta editendu direttamente u fugliale /etc/postfix/main.cf o per cumanda postconf -e cura chì tutti i parametri chì vulemu mudificà o aghjustà si riflettinu in una sola linea di a cunsula:

• Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.

[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = tuttu'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Aghjustemu à a fine di u fugliale /etc/postfix/main.cf l'opzioni date sottu. Per cunnosce u significatu di ognuna di elle, vi ricumandemu à leghje a documentazione chì l'accumpagna.

biff = innò
append_dot_mydomain = innò
delay_warning_time = 4h
readme_directory = innò
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = iè
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Dimensione massima di a casella postale 1024 megabyte = 1 g è g
mailbox_size_limit = 1073741824

destinatariu_delimiter = +
massima_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Conti chì mandanu una copia di e mail ricevute à un altru contu
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

E seguenti linee sò impurtanti per determinà quale pò mandà mail è trasmette à altri servitori, per ùn avè micca cunfiguratu accidentalmente un "relè apertu" chì permette à l'utilizatori micca autenticati di mandà mail. Duvemu cunsultà e pagine d'aiutu Postfix per capisce ciò chì significa ogni opzione.

• Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.

smtpd_helo_restrictions = permette_mynetworks,
 warn_if_reject refuse_non_fqdn_hostname,
 refuse_invalid_hostname,
 precu

smtpd_sender_restrictions = permessu_sasl_autenticatu,
 permettenu_mynetworks,
 warn_if_reject refuse_non_fqdn_sender,
 refuse_unknown_sender_domain,
 refuse_unauth_pipelining,
 precu

smtpd_client_restrictions = refuse_rbl_client sbl.spamhaus.org,
 refuse_rbl_client blackholes.easynet.nl

# NOTA: L'opzione "check_policy_service inet: 127.0.0.1: 10023"
# permette u prugramma Postgrey, è ùn duverebbe micca include lu
# altrimenti avemu da aduprà Postgrey

smtpd_recipient_restrictions = refuse_unauth_pipelining,
 permettenu_mynetworks,
 permess_sasl_authenticated,
 refuse_non_fqdn_recipient,
 refuse_unknown_recipient_domain,
 refuse_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 precu

smtpd_data_restrictions = refuse_unauth_pipelining

smtpd_relay_restrictions = refuse_unauth_pipelining,
 permettenu_mynetworks,
 permess_sasl_authenticated,
 refuse_non_fqdn_recipient,
 refuse_unknown_recipient_domain,
 refuse_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 precu
 
smtpd_helo_required = iè
smtpd_delay_reject = iè
disable_vrfy_command = iè

Creemu i fugliali / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, è mudificà u fugliale / etc / postfix / header_checks.

• Ognunu deve dichjarà l'opzioni chì capiscenu è anu bisognu!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Se stu schedariu hè mudificatu, ùn hè micca necessariu # per eseguisce postmap # Per pruvà e regule, eseguite cum'è root: # postmap -q 'super nova v1agra' regexp: / etc / postfix / body_checks
# Duverebbe vultà: # RIGETTATE Regula # 2 Corpu di Messaghju Anti Spam
/ viagra / RIGETTATE Regula # 1 Anti Spam di u corpu di u messagiu
/ super novu v [i1] agra / RIGETTATE Regula # 2 Corpu di missaghju Anti Spam

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Dopu a mudificazione, duvete eseguisce: # postmap / etc / postfix / accounts_ forwarding_copy
# è u fugliale hè creatu o misuratu: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Un solu contu per trasmette unu BCC copy # BCC = Black Carbon Copy # Esempiu: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Aghjunghje à a fine di u fugliale # NON RICHIEDE Postmap postu chì sò Espressioni Regulari
/ ^ Sughjettu: =? Big5? / RIFJUTU u cudificazione cinese micca accettatu da stu servitore
/ ^ Sughjettu: =? EUC-KR? / REJECT Codificazione coreana micca permessa da stu servitore
/ ^ Oggettu: ADV: / RIFJUTU I publicità micca accettati da stu servitore
/^Da :.*\@.*\.cn/ RISPETTA Scusate, a mail cinese ùn hè micca permessa quì
/^Da:.*\@.*\.kr/ RISPETTA Scusate, a mail coreana ùn hè micca permessa quì
/^From:.*\@.*\.tr/ RISPETTA Scusate, a mail turca ùn hè micca permessa quì
/^From:.*\@.*\.ro/ RISPETTA Scusate, a mail rumana ùn hè micca permessa quì
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | da stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nisunu mailers di massa permessi.
/ ^ Da: "spammer / REJECT
/ ^ Da: "puzzicheghju / RIGITU
/^Subject:.*viagra/ DISCARD
# Estensioni periculose
/ name = [^> Iluminazione * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / RIFJUTU RIFJUTU Ùn accettemu micca allegati cù queste estensioni

Verificemu a sintassi, ripartimu Apache è Postifx, è attivemu è cuminciamu Dovecot

[root @ linuxbox ~] # verificazione postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl restart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl restart postfix
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Servitore email Dovecot IMAP / POP3 Caricatu: caricatu (/usr/lib/systemd/system/dovecot.service; disattivatu; preset di venditore: disattivatu) Attivu: inattivu (mortu)

[root @ linuxbox ~] # systemctl attivà u dovecot
[root @ linuxbox ~] # systemctl principia u dovecot
[root @ linuxbox ~] # systemctl restart dovecot
[root @ linuxbox ~] # systemctl status dovecot

Cuntrolli à livellu di cunsola

• Hè assai impurtante prima di cuntinuà cù l'installazione è a cunfigurazione di altri prugrammi, per fà i cuntrolli minimi necessarii di i servizii SMTP è POP.

Locale da u servitore stessu

Mandemu un email à l'utilizatore lucale Legolas.

[root @ linuxbox ~] # echo "Bonghjornu. Questu hè un missaghju di prova" | mail -s "Test" legolas

Verificemu a casella postale di Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Dopu u messagiu Dovecot hè Prontu! procedemu:

- -
+ OK Dovecot hè Prontu!
USER legolas + OK PASS legolas + OK Cunnessu. STAT + OK 1 559 LISTA + OK 1 missaghji: 1 559. RETR 1 + OK 559 octetti Caminu di Ritornu: X-Original-To: legolas Consegnatu-To: legolas@desdelinux.fan Ricevutu: da desdelinux.fan (Postfix, da userid 0) id 7EA22C11FC57; Lun, 22 di Maghju 2017 10:47:10 -0400 (EDT) Data: Lun, 22 di Maghju 2017 10:47:10 -0400 À: legolas@desdelinux.fan Sughjettu: Test User-Agent: Heirloom mailx 12.5 7/5 / 10 Versione MIME: 1.0 Cuntenutu-Tipu: testu / chjaru; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Da: root@desdelinux.fan (root) Ciao. Questu hè un missaghju di prova. QUITTU FATTU
[root @ linuxbox ~] #

Telecomandi da un urdinatore in LAN

Mandemu un altru missaghju à Legolas da un altru urdinatore nantu à a LAN. Nota chì a sicurezza TLS ùn hè micca strettamente necessaria in a Rete di e PMI.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Bonghjornu" \
-m "Saluti Legolas da u vostru amicu Buzz" \
-s mail.desdelinux.fan -o tls = innò
22 di Maghju 10:53:08 sysadmin sendemail [5866]: L'email hè stata mandata cù successu!

Se pruvemu à cunnesse telnet Da un host in a LAN - o da Internet, benintesa - à u Dovecot, accaderà ciò chì seguita perchè disattivemu l'autenticazione in chiaru:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Pruvendu 192.168.10.5 ...
Cunnessu à linuxbox.fromlinux.fan. U caratteru di fuga hè '^]'. + OK Dovecot hè Prontu! utilizatore legolas
-ERR [AUTH] L'autenticazione in testu chjaru hè micca permessa in cunnessione micca sicure (SSL / TLS).
lascià + OK Scunnettà a Cunnessione chjosa da l'ostia straniera.
buzz @ sysadmin: ~ $

Duvemu fà per mezu openssl. U risultatu cumpletu di u cumandamentu seria:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
CONNECTED (00000003)
prufundità = 0 C = CU, ST = Cuba, L = L'Avana, O = FromLinux.Fan, OU = Appassiunati, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
verificà errore: num = 18: certificatu autofirmatu verificà u ritornu: 1
prufundità = 0 C = CU, ST = Cuba, L = L'Avana, O = FromLinux.Fan, OU = Amatori, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan verificà u ritornu: 1
--- Catena di certificati 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Certificat du serveur ----- BEGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END certificatu sughjettu = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Nisun certificatu di clientele CA numeri inviati Chjave Temp Server: ECDH, secp384r1, 384 bit --- A stretta di manu SSL hà lettu 1342 byte è hà scrittu 411 byte --- Novu, TLSv1 / SSLv3 , U cifru hè ECDHE-RSA-AES256-GCM-SHA384 A chjave publica di u servitore hè 1024 bit Rinegoziazione sicura IS supportata Compressione: NESSUNA Espansione: NESSUNA SSL-Sessione: Protocollu: TLSv1.2 Ciframentu: ECDHE-RSA-AES256-GCM-SHA384 Sessione- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: None Krb5 Principal: None Cimahi 300 identità: None Cimahi identità amarore: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: None Krb7 Principal: None 1 Cimahi identità: None Cimahi identità amarore: HS XNUMX sessione TLS XNUMX seconde XNUMX f francese Nonec sessione bigliettu XNUMX XNUMX m XNUMX seconde XNUMX FXNUMXFXNUMX bigliettu ec XNUMXe XNUMXc N:.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa e 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot hè Prontu!
USER legolas
+ OK
PASSU legolas
+ OK Cunnessu.
LIST
+ OK 1 missaghji: 1 1021.
RETR 1
+ OK 1021 octetti Ritornu-Path: X-Original-To: legolas@desdelinux.fan Ricevutu-To: legolas@desdelinux.fan Ricevutu: da sysadmin.desdelinux.fan (gateway [172.16.10.1]) da desdelinux.fan (Postfix) cù l'ID ESMTP 51886C11E8C0 per ; Lun, 22 di Maghju 2017 15:09:11 -0400 (EDT) ID-Messaghju: <919362.931369932-sendEmail@sysadmin> Da: "buzz@deslinux.fan" À: "legolas@desdelinux.fan" Subject: Salute Data: Mon, 22 Maghju 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Versione: 1.0 Cuntenutu-Type: multipart / related; frontiera = "---- Delimitatore MIME per sendEmail-365707.724894495" Questu hè un missaghju multipartitu in furmatu MIME. Per visualizà currettamente stu missaghju avete bisognu di un prugramma E-mail conforme à MIME-Version 1.0. ------ Delimitatore MIME per sendEmail-365707.724894495 Cuntenutu-Type: text / plain; charset = "iso-8859-1" Cuntinutu-Trasferimentu-Codificazione: Saluti 7bit Legolas da u vostru amicu Buzz ------ Delimitatore MIME per sendEmail-365707.724894495--.
QUITÀ
+ OK Scunnettassi. chjusu
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail hè un cliente web scrittu sanu sanu in PHP. Include supportu PHP nativu per i protocolli IMAP è SMTP, è furnisce una compatibilità massima cù i sfarenti navigatori in usu. Funziona currettamente nant'à qualsiasi servitore IMAP. Hà tutte e funzionalità chì avete bisognu da un client di email chì include supportu MIME, librettu d'indirizzi è gestione di cartulari.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # service httpd restart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # serviziu httpd ricaricà

Politica di Invio DNS Framenwork o record SPF

In l'articulu Servitore DNS Autoritariu NSD + Shorewall Avemu vistu chì a Zona "desdelinux.fan" hè stata cunfigurata cusì:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGINE da linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; serie 1D; rinfriscà 1H; riprova 1W; scade 3H); minimu o; Tempu negativu di cache in vita; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Logu per risolve e dumande dig da linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 mail IN CNAME da linux.fan. chat IN CNAME da linux.fan. www IN CNAME da linux.fan. ; ; Registri SRV in relazione cù XMPP
_xmpp-server._tcp IN SRV 0 0 5269 da linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 da linux.fan. _jabber._tcp IN SRV 0 0 5269 da linux.fan.

In questu u registru hè dichjaratu:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Per avè u listessu parametru cunfiguratu per a Rete SME o LAN, duvemu mudificà u fugliale di cunfigurazione Dnsmasq cume:

#Recordi TXT. Pudemu dinò dichjarà un registru SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Dopu ripartimu u serviziu:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # serviziu statutu dnsmasq [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan hè un alias per fromlinux.fan. testu descrittivu desdelinux.fan "v = spf1 a: mail.desdelinux.fan -all"

Certificati Autofirmati è Apache o httpd

Ancu se u vostru navigatore vi dice chì «U pruprietariu di mail.fromlinux.fan Avete configuratu u vostru situ web in modu incorrettu. Per impedisce chì e vostre informazioni sianu arrubate, Firefox ùn hè micca cunnessu à stu situ web ", u certificatu generatu prima Hè VALIDU, è permetterà e credenziali trà u cliente è u servitore di viaghjà crittografatu, dopu avemu accettatu u certificatu.

Se vulete, è cum'è modu per unificà i certificati, pudete dichjarà per Apache i listessi certificati chì avete dichjaratu per Postfix, chì hè currettu.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # serviziu httpd restart
[root @ linuxbox ~] # serviziu statutu httpd

Gruppu Diffie-Hellman

L'issueu di a Sicurezza diventa più difficiule ogni ghjornu nant'à Internet. Unu di l'attacchi più cumuni à e cunnessione SSL, hè ellu logjam è per difende da ellu hè necessariu aghjunghje parametri non standard à a cunfigurazione SSL. Per questu ci hè u RFC-3526 «Più Esponenziale Modulare (MODP) Diffie-Hellman i gruppi per Scambiu di Chjave Internet (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Sicondu a versione di Apache chì avemu installatu, aduprà u Gruppu Diffie-Helman da u fugliale /etc/pki/tls/dhparams.pem. S'ellu hè una versione 2.4.8 o più tardi, allora duveremu aghjustà à u fugliale /etc/httpd/conf.d/ssl.conf a seguente linea:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

A versione di Apache chì usamu hè:

[root @ linuxbox tls] # yum info httpd
Plugins caricati: fastestmirror, langpacks Caricà a velocità mirror da u file host in cache Pacchetti installati Nome: httpd Architettura: x86_64
Versione: 2.4.6
Release: 45.el7.centos Size: 9.4 M Repository: installatu Da repository: Base-Repo Summary: Apache HTTP Server URL: http://httpd.apache.org/ Licenza: ASL 2.0 Description: The Apache HTTP Server hè un putente, efficiente è extensibile: servore web.

Cumu avemu una versione prima di 2.4.8, aghjustemu à a fine di u certificatu CRT generatu prima, u cuntenutu di u Gruppu Diffie-Helman:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

Se vulete verificà chì i parametri DH sò stati aghjustati currettamente à u certificatu CRT, eseguite i seguenti cumandamenti:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- BEGIN DH PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

Dopu sti cambiamenti, duvemu riavviare i servizii Postfix è httpd:

[root @ linuxbox tls] # service postfix restart
[root @ linuxbox tls] # serviziu statutu di postfix
[root @ linuxbox tls] # service httpd restart
[root @ linuxbox tls] # serviziu statutu httpd

L'inclusione di u Gruppu Diffie-Helman in i nostri certificati TLS pò rende a cunnessione sopra HTTPS un pocu più lenta, ma l'aggiunta di sicurezza ne vale a pena.

Verificendu Squirrelmail

Tandu chì i certificati sò generati currettamente è chì verificemu u so funziunamentu currettu cum'è l'avemu fattu per mezu di i cumandamenti di cunsola, dirigite u vostru navigatore preferitu versu l'URL http://mail.desdelinux.fan/webmail è si cunnette cù u cliente web dopu avè accettatu u certificatu currispundente. Innota chì ancu se specificate u protocolu HTTP, serà redirigitu à HTTPS, è questu hè duvutu à e impostazioni predefinite CentOS offre per Squirrelmail. Vede u fugliale /etc/httpd/conf.d/squirrelmail.conf.

À propositu di e cassette postali di l'utilizatori

Dovecot crea e mailbox IMAP in u cartulare casa di ogni utilizatore:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
tutale 12 drwxrwx ---. 5 legolas mail 4096 22 di Maghju 12:39. drwx ------. 3 legolas legolas 75 22 di Maghju 11:34 .. -rw -------. 1 legolas legolas 72 22 di Maghju 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 di Maghju 22 12:39 dovecot-uidvalidità -r - r - r--. 1 legolas legolas 0 22 di Maghju 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 Maghju 22 10:23 INBOX drwx ------. 2 legolas legolas 56 22 di Maghju 12:39 Mandatu drwx ------. 2 legolas legolas 30 Maghju 22 11:34 Trash

Sò ancu almacenati in / var / mail /

[root @ linuxbox ~] # less / var / mail / legolas
Da MAILER_DAEMON Lun 22 Maghju 10:28:00 2017 Data: Lun, 22 Maghju 2017 10:28:00 -0400 Da: Dati Interni di u Sistema di Mail Sughjettu: NON CANCELLÀ STU MESSAGGIU - DATI INTERNI DOCUMENTU ID di u messagiu: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Statu: RO Stu testu face parte di u furmatu internu di u vostru cartulare mail, è ùn hè micca un veru messagiu. Hè creatu automaticamente da u software di u sistema di posta. S'ellu hè eliminatu, i dati impurtanti di u cartulare seranu persi, è seranu ricreati cù a resettazione di i dati à i valori iniziali. Da root@desdelinux.fan Lun 22 Maghju 10:47:10 2017 Ritornu-Path: X-Original-To: legolas Consegnatu-To: legolas@desdelinux.fan Ricevutu: da desdelinux.fan (Postfix, da userid 0) id 7EA22C11FC57; Lun, 22 di Maghju 2017 10:47:10 -0400 (EDT) Data: Lun, 22 di Maghju 2017 10:47:10 -0400 À: legolas@desdelinux.fan Sughjettu: Test User-Agent: Heirloom mailx 12.5 7/5 / 10 Versione MIME: 1.0 Cuntenutu-Tipu: testu / chjaru; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Da: root@desdelinux.fan (root) X-UID: 7 Status: RO Hello. Questu hè un missaghju di prova Da buzz@deslinux.fan Mon 22 Maghju 10:53:08 2017 Ritornu-Path: X-Original-To: legolas@desdelinux.fan Ricevutu-To: legolas@desdelinux.fan Ricevutu: da sysadmin.desdelinux.fan (gateway [172.16.10.1]) da desdelinux.fan (Postfix) cù l'ID ESMTP C184DC11FC57 per ; Mon, 22 di Maghju 2017 10:53:08 -0400 (EDT) ID-Messaghju: <739874.219379516-sendEmail@sysadmin> Da: "buzz@deslinux.fan" À: "legolas@desdelinux.fan" Sughjettu: Bonghjornu Data: Mon, 22 Maghju 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Versione: 1.0 Content-Type: multipart / related; frontiera = "---- Delimitatore MIME per sendEmail-794889.899510057
/ var / mail / legolas

Riassuntu di a miniserie PAM

Avemu guardatu à u core di un Mailserver è avemu messu un pocu accentu nantu à a sicurezza. Speremu chì l'articulu serve da Punto d'entrata à un sughjettu cumplicatu è suscettibile à fà sbagli cume hè l'implementazione di un Server di posta manualmente.

Adupremu l'autenticazione d'utilizatori lucali perchè se leghjemu u fugliale currettamente /etc/dovecot/conf.d/10-auth.conf, videremu chì à a fine hè inclusu -per difettu- u schedariu di autentificazione di l'utilizatori di u sistema ! includenu auth-system.conf.ext. Precisamente stu schedariu ci dice in a so intestazione chì:

[root @ linuxbox ~] # less /etc/dovecot/conf.d/auth-system.conf.ext
# Autenticazione per l'utilizatori di u sistema. Inclusu da 10-auth.conf. # # # # Autenticazione PAM. Preferitu oghje da a maiò parte di i sistemi.
# PAM hè tipicamente adupratu cù userdb passwd o userdb static. # RICORDA: Avete bisognu di /etc/pam.d/dovecot file creatu per l'autenticazione PAM # per travaglià in realtà. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = sì] [max_requests = ] # [cache_key = ] [ ] #args = colombaia}

È l'altru schedariu esiste /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth necessariu pam_nologin.so auth include password-auth account include password-auth sessione include password-auth

Chì pruvemu à trasmette nantu à l'autenticazione PAM?

• CentOS, Debian, Ubuntu, è parechje altre distribuzioni Linux stallanu Postifx è Dovecot cù l'autentificazione lucale attivata per difettu.
• Parechji articuli nantu à Internet utilizanu MySQL - è più recentemente MariaDB - per arregistrà l'utilizatori è altri dati riguardanti un Mailserver. MA sò questi servitori per MILLI DI UTENTI, è micca per una Rete classica di PMI cù - forse - centinaie di utilizatori.
• L'autenticazione attraversu PAM hè necessaria è sufficiente per furnisce servizii di rete basta ch'elli funzioninu nantu à un servitore unicu cum'è l'avemu vistu in sta miniserie.
• L'utilizatori almacenati in una basa di dati LDAP ponu esse mappati cum'è s'elli fussinu utilizatori lucali, è l'autenticazione PAM pò esse aduprata per furnisce servizii di rete da diversi servitori Linux chì agiscenu cum'è clienti LDAP à u servitore di autentificazione centrale. In questu modu, avemu da travaglià cù e credenziali di l'utilizatori almacenati in a basa di dati di u servitore LDAP centrale, è ùn saria micca essenziale mantene una basa di dati cù l'utilizatori lucali.

Finu à a prossima avventura!