Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod
Tento článek je pokračováním a poslední z minisérie:
- Ověření Squid + PAM na CentOS 7.
- Místní správa uživatelů a skupin
- NSD autoritářský server DNS + Shorewall
- Prosody IM a místní uživatelé
Ahoj přátelé a přátelé!
L Nadšenci chtějí mít vlastní poštovní server. Nechtějí používat servery, kde je mezi otazníky „soukromí“. Osoba odpovědná za implementaci služby na vašem malém serveru není odborníkem na toto téma a zpočátku se pokusí nainstalovat jádro budoucího a úplného poštovního serveru. Je to, že „rovnice“ pro vytvoření úplného poštovního serveru jsou trochu obtížné pochopit a použít. 😉
Anotace okrajů
- Je nutné si ujasnit, jaké funkce plní každý program zapojený do Mailserveru. Jako úvodní průvodce poskytujeme celou řadu užitečných odkazů s deklarovaným účelem, že jsou navštíveny.
- Ruční implementace kompletní pošty od začátku je únavný proces, pokud nejste jedním z „Vyvolených“, kteří tento typ úkolu provádějí denně. Poštovní server je tvořen - obecně - různými programy, které zpracovávají samostatně SMTP, POP / IMAP, Místní ukládání zpráv, úkoly související se zpracováním SPAM, Antivirus atd. VŠECHNY tyto programy musí navzájem správně komunikovat.
- Neexistuje žádná univerzální velikost nebo „osvědčené postupy“, jak spravovat uživatele; kde a jak ukládat zprávy nebo jak zajistit, aby všechny komponenty fungovaly jako jeden celek.
- Sestavení a vyladění Mailserveru má tendenci být nepříjemné ve věcech, jako jsou oprávnění a vlastníci souborů, volba, který uživatel bude mít na starosti určitý proces, a malé chyby v některých esoterických konfiguračních souborech.
- Pokud nevíte, co děláte, konečným výsledkem bude nezabezpečený nebo mírně nefunkční poštovní server. Že na konci implementace to nefunguje, bude to možná menší ze zla.
- Na internetu najdeme spoustu receptů, jak vyrobit poštovní server. Jeden z nejúplnějších -podle mého velmi osobního názoru- je ten, který nabízí autor ivar abrahamsen ve svém třináctém vydání z ledna 2017 «Jak nastavit poštovní server v systému GNU / Linux".
- Doporučujeme také přečíst článek «Poštovní server na Ubuntu 14.04: Postfix, Dovecot, MySQL«, nebo «Poštovní server na Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Skutečný. Nejlepší dokumentaci v tomto ohledu najdete v angličtině.
- Ačkoli nikdy nevytváříme Mailserver věrně vedený Jak… jak bylo zmíněno v předchozím odstavci, pouhá skutečnost, že budeme postupovat krok za krokem, nám dá velmi dobrou představu o tom, čemu budeme čelit.
- Pokud chcete mít kompletní Mailserver v několika krocích, můžete si obrázek stáhnout iRedOS-0.6.0-CentOS-5.5-i386.iso, nebo hledejte modernější, ať už je to iRedOS nebo iRedMail. Je to způsob, který osobně doporučuji.
Budeme instalovat a konfigurovat:
- Postfix jako server Mčesnek Transport Apán (SMTP).
- Holubník jako server POP - IMAP.
- Certifikáty pro připojení prostřednictvím TLS.
- Squirrelmail jako webové rozhraní pro uživatele.
- Záznam DNS ve vztahu k «Rámec politiky odesílatele"Nebo SPF.
- Generování modulu Skupina Diffie Hellman pro zvýšení bezpečnosti SSL certifikátů.
Zbývá udělat:
K implementaci by zbývaly alespoň tyto služby:
- postgrey: Zásady serveru Postfix pro šedé seznamy a odmítnutí nevyžádané pošty.
- Amavisd-nový: skript, který vytváří rozhraní mezi MTA a antivirovými programy a filtry obsahu.
- Antivirus Clamav: antivirová sada
- SpamAssassin: extrahovat nevyžádanou poštu
- břitva (pyzor): Zachycení SPAMu prostřednictvím distribuované a spolupracující sítě. Síť Vipul Razor udržuje aktualizovaný katalog šíření nevyžádané pošty nebo SPAMu.
- DNS záznam "DomainKeys Identified Mail" nebo rozšíření dkim.
Balíčky postgrey, amavisd-new, clamav, spamassassin, břitva y pyzor Nacházejí se v úložištích programu. Najdeme také program openkim.
- Správné deklarace záznamů DNS „SPF“ a „DKIM“ je zásadní, pokud nechceme, aby byl náš poštovní server právě uveden do provozu, aby byl prohlášen za nežádoucího nebo výrobce SPAMu nebo nevyžádané pošty, jinými poštovními službami, jako jsou Gmail, Yahoj, Hotmail, atd.
Počáteční kontroly
Nezapomeňte, že tento článek je pokračováním dalších, které začínají v Ověření Squid + PAM na CentOS 7.
Rozhraní Ens32 LAN připojené k interní síti
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZÓNA = veřejná
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN rozhraní připojené k internetu
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=ano BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL router je připojen k následující adrese # toto rozhraní s # IP BRÁNA=172.16.10.1 DOMÉNA=desdelinux.fan DNS1=127.0.0.1
ZÓNA = externí
Rozlišení DNS z LAN
[root@linuxbox ~]# cat /etc/resolv.conf vyhledávání desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostitelská pošta mail.desdelinux.fan je alias pro linuxbox.desdelinux.fanoušek. linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek. [root@linuxbox ~]# hostmail.desdelinux.fanoušek mail.desdelinux.fan je alias pro linuxbox.desdelinux.fanoušek. linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.
Rozlišení DNS z Internetu
buzz@sysadmin:~$hostmail.desdelinux.fan 172.16.10.30 Pomocí doménového serveru: Jméno: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasy: mail.desdelinux.fan je alias pro desdelinux.fanoušek. desdelinux.fanoušek má adresu 172.16.10.10 desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.
Problémy s místním řešením názvu hostitele «desdelinux.fanoušek"
Pokud máte potíže s řešením názvu hostitele «desdelinux.fanoušek"z LAN, zkuste komentovat řádek souboru /etc/dnsmasq.conf kde je deklarováno local=/desdelinux.fanoušek/. Poté restartujte Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentujte řádek níže: # local=/desdelinux.fanoušek/ [root @ linuxbox ~] # restart služby dnsmasq služby Přesměrování na / bin / systemctl restart dnsmasq.service [root @ linuxbox ~] # stav dnsmasq služby [root@linuxbox ~]# hostitel desdelinux.fanoušek desdelinux.fanoušek má adresu 172.16.10.10 desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.
Postfix a Dovecot
Velmi rozsáhlou dokumentaci Postfixu a Dovecotu najdete na:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENČNÍ README-Postfix-SASL-RedHat.txt KOMPATIBILITA main.cf.default TLS_ACKNOWLEDGEMENTS příklady README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AUTORI KOPÍROVÁNÍ.MIT dovecot-openssl.cnf NOVINKY wiki KOPÍROVÁNÍ ChangeLog příklad-konfigurace README KOPÍROVÁNÍ.LGPL dokumentace.txt mkcert.sh solr-schema.xml
V CentOS 7 je Postfix MTA nainstalován ve výchozím nastavení, když zvolíme možnost Infrastructure Server. Musíme ověřit, že kontext SELinuxu umožňuje zápis do Potfixu v místní frontě zpráv:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Úpravy ve Firewallu D.
Pomocí grafického rozhraní ke konfiguraci FirewallD musíme zajistit, aby byly pro každou zónu povoleny následující služby a porty:
# ------------------------------------------------- ----- # Opravy ve FirewallD # ------------------------------------------------- ----- # Brána firewall # Veřejná zóna: služby http, https, imap, pop3, smtp # Veřejná zóna: porty 80, 443, 143, 110, 25 # Externí zóna: služby http, https, imap, pop3s, smtp # Externí zóna: porty 80, 443, 143, 995, 25
Nainstalujeme Dovecot a potřebné programy
[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet
Minimální konfigurace holubníku
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoly =imap pop3 lmtp poslouchat =*, :: přihlašovací pozdrav = Holubník je připraven!
Výslovně deaktivujeme prosté ověřování Dovecot:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = ano
Deklarujeme skupinu s nezbytnými oprávněními pro interakci s Dovecot a umístění zpráv:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = pošta mail_access_groups = pošta
Osvědčení pro holubník
Dovecot automaticky generuje vaše testovací certifikáty na základě dat v souboru /etc/pki/dovecot/dovecot-openssl.cnf. Abychom získali nové certifikáty podle našich požadavků, musíme provést následující kroky:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes rozlišující_jméno = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # země (2 písmenný kód) C=CU # Název státu nebo provincie (celé jméno) ST=Kuba # Název lokality (např. město ) L=Havana # Organizace (např. společnost) O=DesdeLinux.Fan # Název organizační jednotky (např. sekce) OU=nadšenci # Běžný název (je také možný *.example.com) CN=*.desdelinux.fan # E-mailový kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Vylučujeme zkušební certifikáty
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: smazat běžný soubor "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: smazat běžný soubor „private / dovecot.pem“? (y / n) y
Zkopírujeme a provedeme skript mkcert.sh z adresáře dokumentace
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generování 1024bitového soukromého klíče RSA ......++++++ ................++++++ zápis nového soukromého klíče do '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certifikáty / celkem 4 -rw -------. 1 kořenový kořen 1029 22. května 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l soukromé / celkem 4 -rw -------. 1 kořenový kořen 916 22. května 16:08 dovecot.pem [root @ linuxbox dovecot] # restartování dovecot služby [root @ linuxbox dovecot] # stav dovecot služby
Certifikáty pro Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fanový.klíč Generování 4096bitového soukromého klíče RSA .........++ ..++ zápis nového soukromého klíče do 'private/domain.tld.key' ----- Budete požádáni o zadání informací které budou začleněny do vaší žádosti o certifikát. To, co se chystáte zadat, se nazývá rozlišovací jméno nebo DN. Existuje poměrně málo polí, ale můžete některá ponechat prázdná. U některých polí bude výchozí hodnota. Pokud zadáte '.', pole zůstane prázdné. ----- Název země (2 písmenný kód) [XX]: Název státu nebo provincie CU (celé jméno) []: Název lokality Kuba (např. město) [Výchozí město]: Název organizace Havana (např. společnost) [ Výchozí společnost Ltd]:DesdeLinux.Fan Organizational Unit Name (např. sekce) []: Běžné jméno nadšenců (např. vaše jméno nebo název hostitele vašeho serveru) []:desdelinuxE-mailová adresa .fan []:buzz@desdelinux.fanoušek
Minimální konfigurace Postfixu
Přidáme na konec souboru / etc / aliasy další:
root: buzz
Aby se změny projevily, provedeme následující příkaz:
[root @ linuxbox ~] # newaliases
Konfiguraci Postifx lze provést přímou úpravou souboru /etc/postfix/main.cf nebo příkazem postconf -e dbáme na to, aby se všechny parametry, které chceme upravit nebo přidat, projevily v jediném řádku konzoly:
- Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fanoušek' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fanoušek' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = all' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Přidáme na konec souboru /etc/postfix/main.cf níže uvedené možnosti. Chcete-li znát význam každého z nich, doporučujeme si přečíst průvodní dokumentaci.
biff = ne append_dot_mydomain = ne delay_warning_time = 4h readme_directory = ne smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fanový.klíč smtpd_use_tls = ano smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination # Maximální velikost poštovní schránky 1024 megabajtů = 1 ga ga mailbox_size_limit = 1073741824 příjemce_oddělovač = + maximal_queue_lifetime = 7d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Účty, které posílají kopii příchozí pošty na jiný účet recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Následující řádky jsou důležité k určení, kdo může odesílat poštu a předávat na jiné servery, abychom omylem nenakonfigurovali „otevřené předávání“, které umožňuje neověřeným uživatelům odesílat poštu. Musíme porozumět stránkám nápovědy Postfixu, abychom pochopili, co každá možnost znamená.
- Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.
smtpd_helo_restrictions = permit_mynetworks,
warn_if_reject odmítnout_non_fqdn_hostname,
odmítnout_platný_název_hostitele,
povolit
smtpd_sender_restrictions = permit_sasl_authenticated,
permit_mynetworks,
warn_if_reject odmítnout_non_fqdn_sender,
odmítnout_neznámou_doménu odesílatele,
odmítnout_unavení_pipelining,
povolit
smtpd_client_restrictions = odmítnout_rbl_client sbl.spamhaus.org,
odmítnout_rbl_client blackholes.easynet.nl
# POZNÁMKA: Možnost „check_policy_service inet: 127.0.0.1: 10023“
# povoluje program Postgrey a neměli bychom jej zahrnout
# jinak použijeme Postgrey
smtpd_recipient_restrictions = odmítnutí_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
odmítnout_na_fqdn_příjemce,
odmítnout_neznámou_doménu_příjemce,
odmítnout_území_destinace,
check_policy_service inet: 127.0.0.1: 10023,
povolit
smtpd_data_restrictions = odmítnout_unauth_pipelining
smtpd_relay_restrictions = odmítnout_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
odmítnout_na_fqdn_příjemce,
odmítnout_neznámou_doménu_příjemce,
odmítnout_území_destinace,
check_policy_service inet: 127.0.0.1: 10023,
povolit
smtpd_helo_required = ano
smtpd_delay_reject = ano
disable_vrfy_command = ano
Vytvoříme soubory / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copya upravte soubor / etc / postfix / header_checks.
- Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Pokud je tento soubor upraven, není nutné # spouštět postmapu # Chcete-li otestovat pravidla, spusťte jako root: # postmap -q 'super nová v1agra' regexp: / etc / postfix / body_checks
# Mělo by se vrátit: # ODMÍTNUTÍ Pravidlo č. 2 Tělo zprávy Anti Spam
/ viagra / ODMÍTNUTÍ Pravidlo č. 1 Anti Spam těla zprávy
/ super nový v [i1] agra / ODMÍTNUTÍ Pravidlo č. 2 Anti Spam těla zprávy
[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Po úpravě musíte provést: # postmap / etc / postfix / accounts_ forwarding_copy
# a soubor je vytvořen nebo změřen: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------- # JEDEN účet pro předání jedné kopie BCC kopie # BCC = Black Carbon Copy # Příklad: # webadmin@desdelinux.fan buzz@desdelinux.fanoušek
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Přidat na konec souboru # NEMUSÍ POŽADOVAT poštovní mapu, protože jde o regulární výrazy
/ ^ Subject: =? Big5? / REJECT čínské kódování není tímto serverem akceptováno
/ ^ Subject: =? EUC-KR? / REJECT korejské kódování není tímto serverem povoleno
/ ^ Předmět: ADV: / REJECT Reklamy nepřijímají tento server
/^From:.*\@.*\.cn/ ODMÍTNOUT Litujeme, čínská pošta zde není povolena
/^From:.*\@.*\.kr/ ODMÍTNOUT Je nám líto, korejská pošta zde není povolena
/^From:.*\@.*\.tr/ ODMÍTNOUT Litujeme, turecká pošta zde není povolena
/^From:.*\@.*\.ro/ ODMÍTNOUT Litujeme, rumunská pošta zde není povolena
/ ^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | z utajení [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nejsou povoleni hromadní odesílatelé.
/ ^ Od: „spammer / ODMÍTNOUT
/ ^ Od: „spam / ODMÍTNOUT
/ ^ Předmět :. *viagra/ VYLOUČIT
# Nebezpečná rozšíření
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Nepřijímáme přílohy s těmito příponami
Zkontrolujeme syntaxi, restartujeme Apache a Postifx a povolíme a spustíme Dovecot
[root @ linuxbox ~] # kontrola postfixu [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl restart httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl restart postfixu [root @ linuxbox ~] # systemctl postfix stavu [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - e-mailový server Dovecot IMAP / POP3 Načteno: načteno (/usr/lib/systemd/system/dovecot.service; deaktivováno; předvolba dodavatele: deaktivováno) Aktivní: neaktivní (mrtvé) [root @ linuxbox ~] # systemctl povolit holubník [root @ linuxbox ~] # systemctl start dovecot [root @ linuxbox ~] # systemctl restart dovecot [root @ linuxbox ~] # systemctl status dovecot
Kontroly na úrovni konzoly
- Před pokračováním v instalaci a konfiguraci dalších programů je velmi důležité provést minimální nezbytné kontroly služeb SMTP a POP.
Místní ze samotného serveru
Lokálnímu uživateli pošleme e-mail Legolas.
[root @ linuxbox ~] # echo "Dobrý den. Toto je testovací zpráva" | e-maily "Test" legolas
Zkontrolujeme poštovní schránku uživatele legoly.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Po zprávě Holubník je připraven! pokračujeme:
--- + OK Dovecot je připraven! USER legolas +OK PASS legolas +OK Přihlášen. STAT +OK 1 559 SEZNAM +OK 1 zpráv: 1 559 . RETR 1 +OK 559 oktetů zpáteční cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Přijato: od desdelinux.fan (Postfix, od ID uživatele 0) id 7EA22C11FC57; Po, 22. května 2017 10:47:10 -0400 (EDT) Datum: Po, 22. května 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Předmět: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verze: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (kořen) Dobrý den. Toto je testovací zpráva. KONEC HOTOVO [root @ linuxbox ~] #
Dálkové ovladače z počítače v síti LAN
Pošleme další zprávu Legolas z jiného počítače v síti LAN. Pamatujte, že zabezpečení TLS NENÍ v síti SME bezpodmínečně nutné.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fanoušek\ -u "Dobrý den" \ -m "Zdravím Legolas od vašeho přítele Buzze" \ -s email.desdelinux.fan -o tls=ne 22. května 10:53:08 sysadmin sendemail [5866]: E-mail byl úspěšně odeslán!
Pokud se pokusíme připojit telnet Z hostitele v LAN - nebo samozřejmě z Internetu - do Dovecotu dojde k následujícímu, protože deaktivujeme prosté ověřování:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Zkouším 192.168.10.5...
Připojeno k linuxboxu.desdelinux.fanoušek. Escape znak je '^]'. +OK Dovecot je připraven! uživatel legolas
-ERR [AUTH] Při nezabezpečených připojeních (SSL / TLS) je ověřování v prostém textu zakázáno.
quit + OK Odhlášení Připojení ukončeno zahraničním hostitelem.
buzz @ sysadmin: ~ $
Musíme to zvládnout OpenSSL. Úplný výstup příkazu by byl:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 SPOJENÍ (00000003) hloubka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fanoušek ověřte chybu: num = 18: certifikát podepsaný svým držitelem ověřte návrat: 1 hloubka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor ověřit návrat:1 --- Řetězec certifikátů 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.vydavatel ventilátoru=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nebyl odeslán žádný klientský certifikát jména CA Server Temp Key: ECDH, secp384r1, 384 bitů --- SSL handshake přečetl 1342 bajtů a zapsal 411 bajtů --- Nové, TLSv1/SSLv3, Šifra je ECDHE-RSA-AES256 -Veřejný klíč serveru GCM-SHA384 je 1024 bitů Zabezpečené opětovné vyjednávání JE podporováno Komprese: ŽÁDNÉ Rozšíření: ŽÁDNÉ SSL-Session: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID relace: C745B4A0236204CD16234CD 15DB 9C3BF084125E5989D5A ID relace- ctx : Master-Key: 6D5295C4B2CEA73F1904AF204AF564D76361C50373F8879F793A7FD7506CD04473777F6BC3503BFF9E919F1ne Key: Ne Klíč: Ne Nápověda k identitě SK: Žádná Nápověda k životnosti lístku relace TLS: 837 (sekund) Lístek relace TLS: 67 - 29e 309a f352526 5 5a 300f 0000 4- ee f3 a8 29f fc ec 7e 4c N:.)zOcr...O..~. 63 - 72c d7 be a6 be 4 7e ae-1 0010e 2 4d 8 c92 2 a98 ,......~.mE... 7 - db 87a 6 45 df 5b dc 17d-f8 0020f 3 86e 80 db .:.......hn.... 8 - 8 8 e1 eb 68 b6 a7 3-86 b0030 ea f08 35 f5 c98 8 .4......h...r ..y 98 - 68 1a 7 e72 7 a1 79b da-e5 0040a 89 c4 28 bf 3 85d .J(......z).w.". 4 - bd 8c f9 7 29c a7 77 bd-cb 22 0 0050 5a dc 6 61 .\.a.....8'fz.Q( 1 - b14 z 31 bd 27b 66f d7 ec-d51 e28 1 c0060 7 35 b2 0 ..4.+.... ...e ..3 0 - 14 8 f65 de 03 da ae 1-35 bd f5 b5 e0070 38c cf 34 8..H..48........ 31 - f90 6 0 6 9 b19 84c db-aa ee 1a d0080 5b 42c dd 56 .BV.......Z..,.q 13 - 88a f0 8 5 7 1 c2 71a-0090 e7 1f 03c bf dc 70c a90 z..p.. ..b. .....<. Čas zahájení: 94 Časový limit: 9 (s) Ověřte návratový kód: 0 (certifikát s vlastním podpisem) --- + OK Dovecot je připraven! UŽIVATELSKÉ legoly + OK PASS legolas + OK Přihlášen. SEZNAM + OK 1 zpráv: 1 1021. ZPĚT 1 +OK 1021 oktetů zpáteční cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Přijato: od sysadmin.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id 51886C11E8C0 prodesdelinux.fan>; Po, 22. května 2017 15:09:11 -0400 (EDT) ID zprávy: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.fanoušek"desdelinux.fan> Předmět: Dobrý den Datum: Po, 22. května 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" Toto je vícedílná zpráva ve formátu MIME. Pro správné zobrazení této zprávy potřebujete e-mailový program kompatibilní s MIME verze 1.0. ------Oddělovač MIME pro sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Zdraví vás Legolas od vašeho přítele Buzz ------MIME oddělovač pro sendEmail-365707.724894495-- . KONEC + OK Odhlášení. Zavřeno buzz @ sysadmin: ~ $
Squirrelmail
Squirrelmail je webový klient napsaný výhradně v PHP. Zahrnuje nativní podporu PHP pro protokoly IMAP a SMTP a poskytuje maximální kompatibilitu s různými používanými prohlížeči. Funguje správně na libovolném serveru IMAP. Má všechny funkce, které od poštovního klienta potřebujete, včetně podpory MIME, správy adresářů a složek.
[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # restart služby httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fanoušek';
$imapServerAddress = 'mail.desdelinux.fanoušek';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fanoušek';
[root @ linuxbox ~] # služba httpd znovu načíst
Framenwork nebo záznam SPF se zásadami odesílání DNS
V článku NSD autoritářský server DNS + Shorewall Viděli jsme, že zóna «desdelinux.fan» byl nakonfigurován následovně:
root@ns:~# nano /etc/nsd/desdelinux.fan.zóna $ORIGIN desdelinux.fanoušek. $TTL 3H @ IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS ns.desdelinux.fanoušek. @ IN MX 10 e-mail.desdelinux.fanoušek. @ IN TXT "v=spf1 a:mail.desdelinux.fan-all" ; ; Registrace pro řešení dotazů na kopání desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME desdelinux.fanoušek. chatovat v CNAME desdelinux.fanoušek. www IN CNAME desdelinux.fanoušek. ; ; SRV záznamy související s XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fanoušek. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fanoušek. _jabber._tcp IN SRV 0 0 5269 desdelinux.fanoušek.
V něm je registr deklarován:
@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"
Chcete-li mít stejný parametr nakonfigurovaný pro síť SME nebo LAN, musíme upravit konfigurační soubor Dnsmasq následujícím způsobem:
# TXT záznamy. Můžeme také deklarovat SPF záznam txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan-all"
Poté restartujeme službu:
[root @ linuxbox ~] # restart služby dnsmasq služby [root@linuxbox ~]# stav dnsmasq služby [root@linuxbox ~]# pošta TXT hostitele -t.desdelinux.fanouškovská pošta.desdelinux.fan je alias pro desdelinux.fanoušek. desdelinux.fan popisný text "v=spf1 a:mail.desdelinux.fan-all"
Self Signed Certificates and Apache or httpd
I když vám váš prohlížeč říká, že «Vlastník mail.desdelinux.fanoušek Nesprávně jste nakonfigurovali svůj web. Aby se zabránilo odcizení vašich informací, Firefox se nepřipojil k tomuto webu “, dříve vygenerovaný certifikát JE TO PLATNÉ, a umožníme přihlašovacím údajům mezi klientem a serverem cestovat šifrovaně, až přijmeme certifikát.
Pokud chcete a jako způsob, jak sjednotit certifikáty, můžete pro Apache deklarovat stejné certifikáty, které jste deklarovali pro Postfix, což je správné.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fanový.klíč
[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # stav služby httpd
Skupina Diffie-Hellman
Téma Zabezpečení se každým dnem na internetu stává obtížnějším. Jeden z nejběžnějších útoků na připojení SSL, je nakupení plaveného dříví a na obranu proti němu je nutné přidat do konfigurace SSL nestandardní parametry. K tomu existuje RFC-3526 «Více modulárního exponenciálu (MODP) Diffie-hellman skupiny pro internetovou výměnu klíčů (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out soukromé / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 soukromý / dhparams.pem
Podle verze Apache, kterou jsme nainstalovali, použijeme ze souboru skupinu Diffie-Helman /etc/pki/tls/dhparams.pem. Pokud se jedná o verzi 2.4.8 nebo novější, budeme muset do souboru přidat /etc/httpd/conf.d/ssl.conf následující řádek:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Verze Apache, kterou používáme, je:
[root @ linuxbox tls] # yum info httpd
Načtené pluginy: nejrychlejší Mirror, langpacky Načítání rychlostí zrcadlení z hostitelského souboru v mezipaměti Nainstalované balíčky Název: httpd Architektura: x86_64
Verze: 2.4.6
Vydání: 45.el7.centos Velikost: 9.4 M Repozitář: nainstalován Z úložiště: Shrnutí Base-Repo: URL serveru Apache HTTP: http://httpd.apache.org/ Licence: ASL 2.0 Popis: Server Apache HTTP je výkonný, efektivní a rozšiřitelný: webový server.
Protože máme verzi starší než 2.4.8, přidáme obsah skupiny Diffie-Helman na konec dříve vygenerovaného certifikátu CRT:
[root @ linuxbox tls] # kočka soukromá / dhparams.pem >> certifikáty/desdelinux.fan.crt
Pokud chcete zkontrolovat, zda byly parametry DH správně přidány do certifikátu CRT, spusťte následující příkazy:
[root @ linuxbox tls] # kočka soukromá / dhparams.pem ----- ZAČNĚTE PARAMETRY DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONCOVÉ PARAMETRY DH ----- [root@linuxbox tls]# certifikáty pro kočky/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONCOVÉ PARAMETRY DH -----
Po těchto změnách musíme restartovat služby Postfix a httpd:
[root @ linuxbox tls] # restart služby postfix [root @ linuxbox tls] # stav postfixu služby [root @ linuxbox tls] # restart služby httpd služby [root @ linuxbox tls] # stav httpd služby
Zahrnutí skupiny Diffie-Helman do našich certifikátů TLS může trochu zpomalit připojení přes HTTPS, ale přidání bezpečnosti za to stojí.
Kontrola Squirrelmail
despues že certifikáty jsou správně generovány a že ověřujeme jejich správnou funkci, jak jsme to udělali pomocí příkazů konzoly, nasměrujte preferovaný prohlížeč na adresu URL http://mail.desdelinux.fan/webmail a připojí se k webovému klientovi po přijetí příslušného certifikátu. Všimněte si, že i když určíte protokol HTTP, bude přesměrován na HTTPS a je to kvůli výchozí konfiguraci, kterou CentOS nabízí pro Squirrelmail. Podívejte se na soubor /etc/httpd/conf.d/squirrelmail.conf.
O poštovních schránkách uživatelů
Dovecot vytvoří poštovní schránky IMAP ve složce domov každého uživatele:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ celkem 12 drwxrwx ---. 5 legolas mail 4096 22. května 12:39. drwx ------. 3 legolas legolas 75 22. května 11:34 .. -rw -------. 1 legolas legolas 72 22. května 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. května 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 May 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. května 10:23 Doručená pošta drwx ------. 2 legolas legolas 56 22. května 12:39 Odesláno drwx ------. 2 legolas legolas 30. května 22 11:34 Koš
Jsou také uloženy v / var / mail /
[root @ linuxbox ~] # méně / var / mail / legolas Od MAILER_DAEMON Po 22. května 10:28:00 2017 Datum: Po, 22. května 2017 10:28:00 -0400 Od: Interní data systému pošty Předmět: NESMAZUJTE TUTO ZPRÁVU -- INTERNÍ DATA SLOŽKY ID zprávy: <1495463280@linuxbox> . Je vytvořen automaticky softwarem poštovního systému. Pokud je smažete, důležitá data složky budou ztracena a budou znovu vytvořena s daty resetovanými na původní hodnoty. Od root@desdelinux.fan Po 22. května 10:47:10 2017 Návratová cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Přijato: od desdelinux.fan (Postfix, od ID uživatele 0) id 7EA22C11FC57; Po, 22. května 2017 10:47:10 -0400 (EDT) Datum: Po, 22. května 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Předmět: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verze: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Stav: RO Dobrý den. Toto je testovací zpráva od uživatele buzz@deslinux.fan Po 22. května 10:53:08 2017 Návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Přijato: od sysadmin.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 prodesdelinux.fan>; Po, 22. května 2017 10:53:08 -0400 (EDT) ID zprávy: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.fanoušek"desdelinux.fan> Předmět: Dobrý den Datum: Po, 22. května 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME oddělovač pro sendEmail-794889.899510057 / var / mail / legolas
Souhrn minisérie PAM
Podívali jsme se na jádro Mailserveru a dali jsme malý důraz na bezpečnost. Doufáme, že článek poslouží jako vstupní bod do tak komplikovaného a náchylného k chybám, jako je manuální implementace poštovního serveru.
Používáme místní ověřování uživatelů, protože pokud soubor přečteme správně /etc/dovecot/conf.d/10-auth.conf, uvidíme, že je to nakonec zahrnuto -ve výchozím nastavení- ověřovací soubor uživatelů systému ! include auth-system.conf.ext. Přesně tento soubor nám ve své hlavičce říká, že:
[root @ linuxbox ~] # méně /etc/dovecot/conf.d/auth-system.conf.ext
# Ověření pro uživatele systému. Zahrnuto z 10-auth.conf. # # # # PAM autentizace. Dnes preferováno většinou systémů.
# PAM se obvykle používá buď s userdb passwd, nebo userdb static. # Pamatujte: Budete potřebovat soubor /etc/pam.d/dovecot vytvořený pro ověření PAM #, aby skutečně fungoval. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = holubník}
A další soubor existuje /etc/pam.d/dovecot:
[root @ linuxbox ~] # kočka /etc/pam.d/dovecot #% Vyžaduje se ověření PAM-1.0 pam_nologin.so auth zahrnout účet pro ověření hesla zahrnout relaci pro ověření hesla zahrnout heslo pro ověření
Co se snažíme sdělit o ověřování PAM?
- CentOS, Debian, Ubuntu a mnoho dalších distribucí Linuxu instaluje Postifx a Dovecot s výchozím povolením lokálního ověřování.
- Mnoho článků na internetu používá MySQL - a v poslední době MariaDB - k ukládání uživatelů a dalších údajů týkajících se poštovního serveru. ALE toto jsou servery pro TISÍC UŽIVATELŮ, a ne pro klasickou síť SME s - možná - stovkami uživatelů.
- Ověřování prostřednictvím PAM je nezbytné a dostatečné k poskytování síťových služeb, pokud běží na jednom serveru, jak jsme viděli v této minisérii.
- Uživatelé uložení v databázi LDAP lze mapovat, jako by to byli místní uživatelé, a ověřování PAM lze použít k poskytování síťových služeb z různých serverů Linux, které fungují jako klienti LDAP, na centrální ověřovací server. Tímto způsobem bychom pracovali s přihlašovacími údaji uživatelů uložených v centrální databázi serveru LDAP a NEMĚLO by být nezbytné udržovat databázi s místními uživateli.
Do dalšího dobrodružství!
Věřte mi, že v praxi jde o proces, který více než jednomu sysadminovi silně bolí, jsem přesvědčen, že v budoucnu to bude referenční příručka pro každého, kdo chce spravovat své vlastní e-maily, což je praktický případ, který se stane v abc při integraci postfix, dovecot, squirrelmail ..
Moc děkuji za váš chvályhodný příspěvek,
Proč nepoužívat Mailpile, pokud jde o bezpečnost, s PGP? Roundcube má také mnohem intuitivnější rozhraní a může také integrovat PGP.
Před 3 dny jsem si přečetl příspěvek, vím, jak vám poděkovat. Neplánuji instalaci poštovního serveru, ale vždy je užitečné vidět vytváření certifikátů, které jsou užitečné pro jiné aplikace a tyto výukové programy těžko vyprší (ještě více, když používáte centOS).
Manuel Cillero: Děkujeme, že jste propojili tento článek s vaším blogem, který je minimálním jádrem poštovního serveru založeného na Postfixu a Dovecotu.
Ještěrka: Jako vždy je vaše hodnocení velmi dobře přijato. Děkuji.
Darko: Téměř ve všech svých článcích více či méně vyjadřuji, že „Každý implementuje služby s programy, které se mu nejvíce líbí.“ Děkuji za komentář.
Martin: Děkuji také za přečtení článku a doufám, že vám pomůže při práci.
Obrovský článek, příteli Federico. Moc děkuji za tak dobrou tuto.
vynikající, i když bych používal „virtuální uživatele“, abych nemusel vytvářet uživatele systému pokaždé, když přidám e-mail, díky, naučil jsem se spoustu nových věcí a na tento typ příspěvku jsem čekal
Dobrý den,
Odvážili by se udělat stejný s adresářovým serverem fedora + postifx + dovecot + thunderbird nebo outlook.
Mám část, ale zasekl jsem se, rád bych dokument sdílel s komunitou @desdelinux
Neuměl jsem si představit, že dosáhne více než 3000 návštěv !!!
Zdravím ještěrku!
Vynikající kolega z tutoriálu.
Mohli byste to udělat pro Debian 10 s uživateli služby Active Directory připojenými k Samba4 ???
Představuji si, že by to bylo téměř stejné, ale změnit typ ověřování.
Sekce, kterou věnujete vytváření certifikátů podepsaných svým držitelem, je velmi zajímavá.