Postfix + Dovecot + Squirrelmail a místní uživatelé - sítě SME

Obecný index série: Počítačové sítě pro malé a střední podniky: Úvod

Tento článek je pokračováním a poslední z minisérie:

• Ověření Squid + PAM na CentOS 7.
• Místní správa uživatelů a skupin
• NSD autoritářský server DNS + Shorewall
• Prosody IM a místní uživatelé
  

Ahoj přátelé a přátelé!

L Nadšenci chtějí mít vlastní poštovní server. Nechtějí používat servery, kde je mezi otazníky „soukromí“. Osoba odpovědná za implementaci služby na vašem malém serveru není odborníkem na toto téma a zpočátku se pokusí nainstalovat jádro budoucího a úplného poštovního serveru. Je to, že „rovnice“ pro vytvoření úplného poštovního serveru jsou trochu obtížné pochopit a použít. 😉

Anotace okrajů

• Je nutné si ujasnit, jaké funkce plní každý program zapojený do Mailserveru. Jako úvodní průvodce poskytujeme celou řadu užitečných odkazů s deklarovaným účelem, že jsou navštíveny.
• Ruční implementace kompletní pošty od začátku je únavný proces, pokud nejste jedním z „Vyvolených“, kteří tento typ úkolu provádějí denně. Poštovní server je tvořen - obecně - různými programy, které zpracovávají samostatně SMTP, POP / IMAP, Místní ukládání zpráv, úkoly související se zpracováním SPAM, Antivirus atd. VŠECHNY tyto programy musí navzájem správně komunikovat.
• Neexistuje žádná univerzální velikost nebo „osvědčené postupy“, jak spravovat uživatele; kde a jak ukládat zprávy nebo jak zajistit, aby všechny komponenty fungovaly jako jeden celek.
• Sestavení a vyladění Mailserveru má tendenci být nepříjemné ve věcech, jako jsou oprávnění a vlastníci souborů, volba, který uživatel bude mít na starosti určitý proces, a malé chyby v některých esoterických konfiguračních souborech.
• Pokud nevíte, co děláte, konečným výsledkem bude nezabezpečený nebo mírně nefunkční poštovní server. Že na konci implementace to nefunguje, bude to možná menší ze zla.
• Na internetu najdeme spoustu receptů, jak vyrobit poštovní server. Jeden z nejúplnějších -podle mého velmi osobního názoru- je ten, který nabízí autor ivar abrahamsen ve svém třináctém vydání z ledna 2017 «Jak nastavit poštovní server v systému GNU / Linux".
• Doporučujeme také přečíst článek «Poštovní server na Ubuntu 14.04: Postfix, Dovecot, MySQL«, nebo «Poštovní server na Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Skutečný. Nejlepší dokumentaci v tomto ohledu najdete v angličtině.
  • Ačkoli nikdy nevytváříme Mailserver věrně vedený Jak… jak bylo zmíněno v předchozím odstavci, pouhá skutečnost, že budeme postupovat krok za krokem, nám dá velmi dobrou představu o tom, čemu budeme čelit.
• Pokud chcete mít kompletní Mailserver v několika krocích, můžete si obrázek stáhnout iRedOS-0.6.0-CentOS-5.5-i386.iso, nebo hledejte modernější, ať už je to iRedOS nebo iRedMail. Je to způsob, který osobně doporučuji.

Budeme instalovat a konfigurovat:

• Postfix jako server Mčesnek Transport Apán (SMTP).
• Holubník jako server POP - IMAP.
• Certifikáty pro připojení prostřednictvím TLS.
• Squirrelmail jako webové rozhraní pro uživatele.
• Záznam DNS ve vztahu k «Rámec politiky odesílatele"Nebo SPF.
• Generování modulu Skupina Diffie Hellman pro zvýšení bezpečnosti SSL certifikátů.

Zbývá udělat:

K implementaci by zbývaly alespoň tyto služby:

• postgrey: Zásady serveru Postfix pro šedé seznamy a odmítnutí nevyžádané pošty.
  
• Amavisd-nový: skript, který vytváří rozhraní mezi MTA a antivirovými programy a filtry obsahu.
• Antivirus Clamav: antivirová sada
• SpamAssassin: extrahovat nevyžádanou poštu
• břitva (pyzor): Zachycení SPAMu prostřednictvím distribuované a spolupracující sítě. Síť Vipul Razor udržuje aktualizovaný katalog šíření nevyžádané pošty nebo SPAMu.
• DNS záznam "DomainKeys Identified Mail" nebo rozšíření dkim.

Balíčky postgrey, amavisd-new, clamav, spamassassin, břitva y pyzor Nacházejí se v úložištích programu. Najdeme také program openkim.

• Správné deklarace záznamů DNS „SPF“ a „DKIM“ je zásadní, pokud nechceme, aby byl náš poštovní server právě uveden do provozu, aby byl prohlášen za nežádoucího nebo výrobce SPAMu nebo nevyžádané pošty, jinými poštovními službami, jako jsou Gmail, Yahoj, Hotmail, atd.

Počáteční kontroly

Nezapomeňte, že tento článek je pokračováním dalších, které začínají v Ověření Squid + PAM na CentOS 7.

Rozhraní Ens32 LAN připojené k interní síti

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZÓNA = veřejná

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN rozhraní připojené k internetu

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=ano BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL router je připojen k následující adrese # toto rozhraní s # IP BRÁNA=172.16.10.1 DOMÉNA=desdelinux.fan DNS1=127.0.0.1
ZÓNA = externí

Rozlišení DNS z LAN

[root@linuxbox ~]# cat /etc/resolv.conf vyhledávání desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostitelská pošta
mail.desdelinux.fan je alias pro linuxbox.desdelinux.fanoušek. linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.

[root@linuxbox ~]# hostmail.desdelinux.fanoušek
mail.desdelinux.fan je alias pro linuxbox.desdelinux.fanoušek. linuxbox.desdelinux.fan má adresu 192.168.10.5 linuxbox.desdelinux.fanouškovská pošta je vyřizována 1 mailem.desdelinux.fanoušek.

Rozlišení DNS z Internetu

buzz@sysadmin:~$hostmail.desdelinux.fan 172.16.10.30
Pomocí doménového serveru: Jméno: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasy: mail.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

Problémy s místním řešením názvu hostitele «desdelinux.fanoušek"

Pokud máte potíže s řešením názvu hostitele «desdelinux.fanoušek"z LAN, zkuste komentovat řádek souboru /etc/dnsmasq.conf kde je deklarováno local=/desdelinux.fanoušek/. Poté restartujte Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentujte řádek níže:
# local=/desdelinux.fanoušek/

[root @ linuxbox ~] # restart služby dnsmasq služby
Přesměrování na / bin / systemctl restart dnsmasq.service

[root @ linuxbox ~] # stav dnsmasq služby

[root@linuxbox ~]# hostitel desdelinux.fanoušek
desdelinux.fanoušek má adresu 172.16.10.10
desdelinux.fanouškovská pošta je vyřizována 10 mailem.desdelinux.fanoušek.

Postfix a Dovecot

Velmi rozsáhlou dokumentaci Postfixu a Dovecotu najdete na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENČNÍ README-Postfix-SASL-RedHat.txt KOMPATIBILITA main.cf.default TLS_ACKNOWLEDGEMENTS příklady README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI KOPÍROVÁNÍ.MIT dovecot-openssl.cnf NOVINKY wiki KOPÍROVÁNÍ ChangeLog příklad-konfigurace README KOPÍROVÁNÍ.LGPL dokumentace.txt mkcert.sh solr-schema.xml

V CentOS 7 je Postfix MTA nainstalován ve výchozím nastavení, když zvolíme možnost Infrastructure Server. Musíme ověřit, že kontext SELinuxu umožňuje zápis do Potfixu v místní frontě zpráv:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Úpravy ve Firewallu D.

Pomocí grafického rozhraní ke konfiguraci FirewallD musíme zajistit, aby byly pro každou zónu povoleny následující služby a porty:

# ------------------------------------------------- -----
# Opravy ve FirewallD
# ------------------------------------------------- -----
# Brána firewall
# Veřejná zóna: služby http, https, imap, pop3, smtp
# Veřejná zóna: porty 80, 443, 143, 110, 25

# Externí zóna: služby http, https, imap, pop3s, smtp
# Externí zóna: porty 80, 443, 143, 995, 25

Nainstalujeme Dovecot a potřebné programy

[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet

Minimální konfigurace holubníku

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoly =imap pop3 lmtp
poslouchat =*, ::
přihlašovací pozdrav = Holubník je připraven!

Výslovně deaktivujeme prosté ověřování Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ano

Deklarujeme skupinu s nezbytnými oprávněními pro interakci s Dovecot a umístění zpráv:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Osvědčení pro holubník

Dovecot automaticky generuje vaše testovací certifikáty na základě dat v souboru /etc/pki/dovecot/dovecot-openssl.cnf. Abychom získali nové certifikáty podle našich požadavků, musíme provést následující kroky:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = yes rozlišující_jméno = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # země (2 písmenný kód) C=CU # Název státu nebo provincie (celé jméno) ST=Kuba # Název lokality (např. město ) L=Havana # Organizace (např. společnost) O=DesdeLinux.Fan # Název organizační jednotky (např. sekce) OU=nadšenci # Běžný název (je také možný *.example.com) CN=*.desdelinux.fan # E-mailový kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server

Vylučujeme zkušební certifikáty

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: smazat běžný soubor "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: smazat běžný soubor „private / dovecot.pem“? (y / n) y

Zkopírujeme a provedeme skript mkcert.sh z adresáře dokumentace

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generování 1024bitového soukromého klíče RSA ......++++++ ................++++++ zápis nového soukromého klíče do '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certifikáty /
celkem 4 -rw -------. 1 kořenový kořen 1029 22. května 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l soukromé /
celkem 4 -rw -------. 1 kořenový kořen 916 22. května 16:08 dovecot.pem

[root @ linuxbox dovecot] # restartování dovecot služby
[root @ linuxbox dovecot] # stav dovecot služby

Certifikáty pro Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fanový.klíč

Generování 4096bitového soukromého klíče RSA .........++ ..++ zápis nového soukromého klíče do 'private/domain.tld.key' ----- Budete požádáni o zadání informací které budou začleněny do vaší žádosti o certifikát. To, co se chystáte zadat, se nazývá rozlišovací jméno nebo DN. Existuje poměrně málo polí, ale můžete některá ponechat prázdná. U některých polí bude výchozí hodnota. Pokud zadáte '.', pole zůstane prázdné. ----- Název země (2 písmenný kód) [XX]: Název státu nebo provincie CU (celé jméno) []: Název lokality Kuba (např. město) [Výchozí město]: Název organizace Havana (např. společnost) [ Výchozí společnost Ltd]:DesdeLinux.Fan Organizational Unit Name (např. sekce) []: Běžné jméno nadšenců (např. vaše jméno nebo název hostitele vašeho serveru) []:desdelinuxE-mailová adresa .fan []:buzz@desdelinux.fanoušek

Minimální konfigurace Postfixu

Přidáme na konec souboru / etc / aliasy další:

root: buzz

Aby se změny projevily, provedeme následující příkaz:

[root @ linuxbox ~] # newaliases

Konfiguraci Postifx lze provést přímou úpravou souboru /etc/postfix/main.cf nebo příkazem postconf -e dbáme na to, aby se všechny parametry, které chceme upravit nebo přidat, projevily v jediném řádku konzoly:

• Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fanoušek'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fanoušek'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Přidáme na konec souboru /etc/postfix/main.cf níže uvedené možnosti. Chcete-li znát význam každého z nich, doporučujeme si přečíst průvodní dokumentaci.

biff = ne
append_dot_mydomain = ne
delay_warning_time = 4h
readme_directory = ne
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fanový.klíč
smtpd_use_tls = ano
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maximální velikost poštovní schránky 1024 megabajtů = 1 ga ga
mailbox_size_limit = 1073741824

příjemce_oddělovač = +
maximal_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Účty, které posílají kopii příchozí pošty na jiný účet
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Následující řádky jsou důležité k určení, kdo může odesílat poštu a předávat na jiné servery, abychom omylem nenakonfigurovali „otevřené předávání“, které umožňuje neověřeným uživatelům odesílat poštu. Musíme porozumět stránkám nápovědy Postfixu, abychom pochopili, co každá možnost znamená.

• Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.

smtpd_helo_restrictions = permit_mynetworks,
 warn_if_reject odmítnout_non_fqdn_hostname,
 odmítnout_platný_název_hostitele,
 povolit

smtpd_sender_restrictions = permit_sasl_authenticated,
 permit_mynetworks,
 warn_if_reject odmítnout_non_fqdn_sender,
 odmítnout_neznámou_doménu odesílatele,
 odmítnout_unavení_pipelining,
 povolit

smtpd_client_restrictions = odmítnout_rbl_client sbl.spamhaus.org,
 odmítnout_rbl_client blackholes.easynet.nl

# POZNÁMKA: Možnost „check_policy_service inet: 127.0.0.1: 10023“
# povoluje program Postgrey a neměli bychom jej zahrnout
# jinak použijeme Postgrey

smtpd_recipient_restrictions = odmítnutí_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_authenticated,
 odmítnout_na_fqdn_příjemce,
 odmítnout_neznámou_doménu_příjemce,
 odmítnout_území_destinace,
 check_policy_service inet: 127.0.0.1: 10023,
 povolit

smtpd_data_restrictions = odmítnout_unauth_pipelining

smtpd_relay_restrictions = odmítnout_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_authenticated,
 odmítnout_na_fqdn_příjemce,
 odmítnout_neznámou_doménu_příjemce,
 odmítnout_území_destinace,
 check_policy_service inet: 127.0.0.1: 10023,
 povolit
 
smtpd_helo_required = ano
smtpd_delay_reject = ano
disable_vrfy_command = ano

Vytvoříme soubory / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copya upravte soubor / etc / postfix / header_checks.

• Každý musí deklarovat možnosti, kterým rozumí a potřebuje!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Pokud je tento soubor upraven, není nutné # spouštět postmapu # Chcete-li otestovat pravidla, spusťte jako root: # postmap -q 'super nová v1agra' regexp: / etc / postfix / body_checks
# Mělo by se vrátit: # ODMÍTNUTÍ Pravidlo č. 2 Tělo zprávy Anti Spam
/ viagra / ODMÍTNUTÍ Pravidlo č. 1 Anti Spam těla zprávy
/ super nový v [i1] agra / ODMÍTNUTÍ Pravidlo č. 2 Anti Spam těla zprávy

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Po úpravě musíte provést: # postmap / etc / postfix / accounts_ forwarding_copy
# a soubor je vytvořen nebo změřen: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------- # JEDEN účet pro předání jedné kopie BCC kopie # BCC = Black Carbon Copy # Příklad: # webadmin@desdelinux.fan buzz@desdelinux.fanoušek

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Přidat na konec souboru # NEMUSÍ POŽADOVAT poštovní mapu, protože jde o regulární výrazy
/ ^ Subject: =? Big5? / REJECT čínské kódování není tímto serverem akceptováno
/ ^ Subject: =? EUC-KR? / REJECT korejské kódování není tímto serverem povoleno
/ ^ Předmět: ADV: / REJECT Reklamy nepřijímají tento server
/^From:.*\@.*\.cn/ ODMÍTNOUT Litujeme, čínská pošta zde není povolena
/^From:.*\@.*\.kr/ ODMÍTNOUT Je nám líto, korejská pošta zde není povolena
/^From:.*\@.*\.tr/ ODMÍTNOUT Litujeme, turecká pošta zde není povolena
/^From:.*\@.*\.ro/ ODMÍTNOUT Litujeme, rumunská pošta zde není povolena
/ ^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | z utajení [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nejsou povoleni hromadní odesílatelé.
/ ^ Od: „spammer / ODMÍTNOUT
/ ^ Od: „spam / ODMÍTNOUT
/ ^ Předmět :. *viagra/ VYLOUČIT
# Nebezpečná rozšíření
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Nepřijímáme přílohy s těmito příponami

Zkontrolujeme syntaxi, restartujeme Apache a Postifx a povolíme a spustíme Dovecot

[root @ linuxbox ~] # kontrola postfixu
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl restart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl restart postfixu
[root @ linuxbox ~] # systemctl postfix stavu

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - e-mailový server Dovecot IMAP / POP3 Načteno: načteno (/usr/lib/systemd/system/dovecot.service; deaktivováno; předvolba dodavatele: deaktivováno) Aktivní: neaktivní (mrtvé)

[root @ linuxbox ~] # systemctl povolit holubník
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl restart dovecot
[root @ linuxbox ~] # systemctl status dovecot

Kontroly na úrovni konzoly

• Před pokračováním v instalaci a konfiguraci dalších programů je velmi důležité provést minimální nezbytné kontroly služeb SMTP a POP.

Místní ze samotného serveru

Lokálnímu uživateli pošleme e-mail Legolas.

[root @ linuxbox ~] # echo "Dobrý den. Toto je testovací zpráva" | e-maily "Test" legolas

Zkontrolujeme poštovní schránku uživatele legoly.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po zprávě Holubník je připraven! pokračujeme:

---
+ OK Dovecot je připraven!
USER legolas +OK PASS legolas +OK Přihlášen. STAT +OK 1 559 SEZNAM +OK 1 zpráv: 1 559 . RETR 1 +OK 559 oktetů zpáteční cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Přijato: od desdelinux.fan (Postfix, od ID uživatele 0) id 7EA22C11FC57; Po, 22. května 2017 10:47:10 -0400 (EDT) Datum: Po, 22. května 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Předmět: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verze: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (kořen) Dobrý den. Toto je testovací zpráva. KONEC HOTOVO
[root @ linuxbox ~] #

Dálkové ovladače z počítače v síti LAN

Pošleme další zprávu Legolas z jiného počítače v síti LAN. Pamatujte, že zabezpečení TLS NENÍ v síti SME bezpodmínečně nutné.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fanoušek\
-u "Dobrý den" \
-m "Zdravím Legolas od vašeho přítele Buzze" \
-s email.desdelinux.fan -o tls=ne
22. května 10:53:08 sysadmin sendemail [5866]: E-mail byl úspěšně odeslán!

Pokud se pokusíme připojit telnet Z hostitele v LAN - nebo samozřejmě z Internetu - do Dovecotu dojde k následujícímu, protože deaktivujeme prosté ověřování:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Zkouším 192.168.10.5...
Připojeno k linuxboxu.desdelinux.fanoušek. Escape znak je '^]'. +OK Dovecot je připraven! uživatel legolas
-ERR [AUTH] Při nezabezpečených připojeních (SSL / TLS) je ověřování v prostém textu zakázáno.
quit + OK Odhlášení Připojení ukončeno zahraničním hostitelem.
buzz @ sysadmin: ~ $

Musíme to zvládnout OpenSSL. Úplný výstup příkazu by byl:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
SPOJENÍ (00000003)
hloubka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fanoušek
ověřte chybu: num = 18: certifikát podepsaný svým držitelem ověřte návrat: 1
hloubka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor ověřit návrat:1
--- Řetězec certifikátů 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----
MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD
VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK
Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU
ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51
eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE
BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO
RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq
LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ
m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc
XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG
V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ
KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl
8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql
LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.vydavatel ventilátoru=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nebyl odeslán žádný klientský certifikát jména CA Server Temp Key: ECDH, secp384r1, 384 bitů --- SSL handshake přečetl 1342 bajtů a zapsal 411 bajtů --- Nové, TLSv1/SSLv3, Šifra je ECDHE-RSA-AES256 -Veřejný klíč serveru GCM-SHA384 je 1024 bitů Zabezpečené opětovné vyjednávání JE podporováno Komprese: ŽÁDNÉ Rozšíření: ŽÁDNÉ SSL-Session: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID relace: C745B4A0236204CD16234CD 15DB 9C3BF084125E5989D5A ID relace- ctx : Master-Key: 6D5295C4B2CEA73F1904AF204AF564D76361C50373F8879F793A7FD7506CD04473777F6BC3503BFF9E919F1ne Key: Ne Klíč: Ne Nápověda k identitě SK: Žádná Nápověda k životnosti lístku relace TLS: 837 (sekund) Lístek relace TLS: 67 - 29e 309a f352526 5 5a 300f 0000 4- ee f3 a8 29f fc ec 7e 4c N:.)zOcr...O..~. 63 - 72c d7 be a6 be 4 7e ae-1 0010e 2 4d 8 c92 2 a98 ,......~.mE... 7 - db 87a 6 45 df 5b dc 17d-f8 0020f 3 86e 80 db .:.......hn.... 8 - 8 8 e1 eb 68 b6 a7 3-86 b0030 ea f08 35 f5 c98 8 .4......h...r ..y 98 - 68 1a 7 e72 7 a1 79b da-e5 0040a 89 c4 28 bf 3 85d .J(......z).w.". 4 - bd 8c f9 7 29c a7 77 bd-cb 22 0 0050 5a dc 6 61 .\.a.....8'fz.Q( 1 - b14 z 31 bd 27b 66f d7 ec-d51 e28 1 c0060 7 35 b2 0 ..4.+.... ...e ..3 0 - 14 8 f65 de 03 da ae 1-35 bd f5 b5 e0070 38c cf 34 8..H..48........ 31 - f90 6 0 6 9 b19 84c db-aa ee 1a d0080 5b 42c dd 56 .BV.......Z..,.q 13 - 88a f0 8 5 7 1 c2 71a-0090 e7 1f 03c bf dc 70c a90 z..p.. ..b. .....<. Čas zahájení: 94 Časový limit: 9 (s) Ověřte návratový kód: 0 (certifikát s vlastním podpisem) ---
+ OK Dovecot je připraven!
UŽIVATELSKÉ legoly
+ OK
PASS legolas
+ OK Přihlášen.
SEZNAM
+ OK 1 zpráv: 1 1021.
ZPĚT 1
+OK 1021 oktetů zpáteční cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Přijato: od sysadmin.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id 51886C11E8C0 prodesdelinux.fan>; Po, 22. května 2017 15:09:11 -0400 (EDT) ID zprávy: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.fanoušek"desdelinux.fan> Předmět: Dobrý den Datum: Po, 22. května 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" Toto je vícedílná zpráva ve formátu MIME. Pro správné zobrazení této zprávy potřebujete e-mailový program kompatibilní s MIME verze 1.0. ------Oddělovač MIME pro sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Zdraví vás Legolas od vašeho přítele Buzz ------MIME oddělovač pro sendEmail-365707.724894495-- .
KONEC
+ OK Odhlášení. Zavřeno
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail je webový klient napsaný výhradně v PHP. Zahrnuje nativní podporu PHP pro protokoly IMAP a SMTP a poskytuje maximální kompatibilitu s různými používanými prohlížeči. Funguje správně na libovolném serveru IMAP. Má všechny funkce, které od poštovního klienta potřebujete, včetně podpory MIME, správy adresářů a složek.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # restart služby httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fanoušek';
$imapServerAddress = 'mail.desdelinux.fanoušek';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fanoušek';

[root @ linuxbox ~] # služba httpd znovu načíst

Framenwork nebo záznam SPF se zásadami odesílání DNS

V článku NSD autoritářský server DNS + Shorewall Viděli jsme, že zóna «desdelinux.fan» byl nakonfigurován následovně:

root@ns:~# nano /etc/nsd/desdelinux.fan.zóna
$ORIGIN desdelinux.fanoušek. $TTL 3H @ IN SOA č.desdelinux.fanoušek. vykořenit.desdelinux.fanoušek. (1; sériové 1D; obnovení 1H; opakování 1W; vypršení 3H); minimální nebo ; Negativní caching time to live; @ IN NS ns.desdelinux.fanoušek. @ IN MX 10 e-mail.desdelinux.fanoušek.
@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"
; ; Registrace pro řešení dotazů na kopání desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.fanoušek. chatovat v CNAME   desdelinux.fanoušek. www IN CNAME   desdelinux.fanoušek. ; ; SRV záznamy související s XMPP
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fanoušek. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fanoušek. _jabber._tcp IN SRV 0 0 5269 desdelinux.fanoušek.

V něm je registr deklarován:

@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"

Chcete-li mít stejný parametr nakonfigurovaný pro síť SME nebo LAN, musíme upravit konfigurační soubor Dnsmasq následujícím způsobem:

# TXT záznamy. Můžeme také deklarovat SPF záznam txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan-all"

Poté restartujeme službu:

[root @ linuxbox ~] # restart služby dnsmasq služby
[root@linuxbox ~]# stav dnsmasq služby [root@linuxbox ~]# pošta TXT hostitele -t.desdelinux.fanouškovská pošta.desdelinux.fan je alias pro desdelinux.fanoušek.
desdelinux.fan popisný text "v=spf1 a:mail.desdelinux.fan-all"

Self Signed Certificates and Apache or httpd

I když vám váš prohlížeč říká, že «Vlastník mail.desdelinux.fanoušek Nesprávně jste nakonfigurovali svůj web. Aby se zabránilo odcizení vašich informací, Firefox se nepřipojil k tomuto webu “, dříve vygenerovaný certifikát JE TO PLATNÉ, a umožníme přihlašovacím údajům mezi klientem a serverem cestovat šifrovaně, až přijmeme certifikát.

Pokud chcete a jako způsob, jak sjednotit certifikáty, můžete pro Apache deklarovat stejné certifikáty, které jste deklarovali pro Postfix, což je správné.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fanový.klíč

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # stav služby httpd

Skupina Diffie-Hellman

Téma Zabezpečení se každým dnem na internetu stává obtížnějším. Jeden z nejběžnějších útoků na připojení SSL, je nakupení plaveného dříví a na obranu proti němu je nutné přidat do konfigurace SSL nestandardní parametry. K tomu existuje RFC-3526 «Více modulárního exponenciálu (MODP) Diffie-hellman skupiny pro internetovou výměnu klíčů (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out soukromé / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 soukromý / dhparams.pem

Podle verze Apache, kterou jsme nainstalovali, použijeme ze souboru skupinu Diffie-Helman /etc/pki/tls/dhparams.pem. Pokud se jedná o verzi 2.4.8 nebo novější, budeme muset do souboru přidat /etc/httpd/conf.d/ssl.conf následující řádek:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Verze Apache, kterou používáme, je:

[root @ linuxbox tls] # yum info httpd
Načtené pluginy: nejrychlejší Mirror, langpacky Načítání rychlostí zrcadlení z hostitelského souboru v mezipaměti Nainstalované balíčky Název: httpd Architektura: x86_64
Verze: 2.4.6
Vydání: 45.el7.centos Velikost: 9.4 M Repozitář: nainstalován Z úložiště: Shrnutí Base-Repo: URL serveru Apache HTTP: http://httpd.apache.org/ Licence: ASL 2.0 Popis: Server Apache HTTP je výkonný, efektivní a rozšiřitelný: webový server.

Protože máme verzi starší než 2.4.8, přidáme obsah skupiny Diffie-Helman na konec dříve vygenerovaného certifikátu CRT:

[root @ linuxbox tls] # kočka soukromá / dhparams.pem >> certifikáty/desdelinux.fan.crt

Pokud chcete zkontrolovat, zda byly parametry DH správně přidány do certifikátu CRT, spusťte následující příkazy:

[root @ linuxbox tls] # kočka soukromá / dhparams.pem 
----- ZAČNĚTE PARAMETRY DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONCOVÉ PARAMETRY DH -----

[root@linuxbox tls]# certifikáty pro kočky/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONCOVÉ PARAMETRY DH -----

Po těchto změnách musíme restartovat služby Postfix a httpd:

[root @ linuxbox tls] # restart služby postfix
[root @ linuxbox tls] # stav postfixu služby
[root @ linuxbox tls] # restart služby httpd služby
[root @ linuxbox tls] # stav httpd služby

Zahrnutí skupiny Diffie-Helman do našich certifikátů TLS může trochu zpomalit připojení přes HTTPS, ale přidání bezpečnosti za to stojí.

Kontrola Squirrelmail

despues že certifikáty jsou správně generovány a že ověřujeme jejich správnou funkci, jak jsme to udělali pomocí příkazů konzoly, nasměrujte preferovaný prohlížeč na adresu URL http://mail.desdelinux.fan/webmail a připojí se k webovému klientovi po přijetí příslušného certifikátu. Všimněte si, že i když určíte protokol HTTP, bude přesměrován na HTTPS a je to kvůli výchozí konfiguraci, kterou CentOS nabízí pro Squirrelmail. Podívejte se na soubor /etc/httpd/conf.d/squirrelmail.conf.

O poštovních schránkách uživatelů

Dovecot vytvoří poštovní schránky IMAP ve složce domov každého uživatele:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
celkem 12 drwxrwx ---. 5 legolas mail 4096 22. května 12:39. drwx ------. 3 legolas legolas 75 22. května 11:34 .. -rw -------. 1 legolas legolas 72 22. května 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. května 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 May 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. května 10:23 Doručená pošta drwx ------. 2 legolas legolas 56 22. května 12:39 Odesláno drwx ------. 2 legolas legolas 30. května 22 11:34 Koš

Jsou také uloženy v / var / mail /

[root @ linuxbox ~] # méně / var / mail / legolas
Od MAILER_DAEMON Po 22. května 10:28:00 2017 Datum: Po, 22. května 2017 10:28:00 -0400 Od: Interní data systému pošty Předmět: NESMAZUJTE TUTO ZPRÁVU -- INTERNÍ DATA SLOŽKY ID zprávy: <1495463280@linuxbox> . Je vytvořen automaticky softwarem poštovního systému. Pokud je smažete, důležitá data složky budou ztracena a budou znovu vytvořena s daty resetovanými na původní hodnoty. Od root@desdelinux.fan Po 22. května 10:47:10 2017 Návratová cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Přijato: od desdelinux.fan (Postfix, od ID uživatele 0) id 7EA22C11FC57; Po, 22. května 2017 10:47:10 -0400 (EDT) Datum: Po, 22. května 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Předmět: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verze: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Stav: RO Dobrý den. Toto je testovací zpráva od uživatele buzz@deslinux.fan Po 22. května 10:53:08 2017 Návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Přijato: od sysadmin.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 prodesdelinux.fan>; Po, 22. května 2017 10:53:08 -0400 (EDT) ID zprávy: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.fanoušek"desdelinux.fan> Předmět: Dobrý den Datum: Po, 22. května 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME oddělovač pro sendEmail-794889.899510057
/ var / mail / legolas

Souhrn minisérie PAM

Podívali jsme se na jádro Mailserveru a dali jsme malý důraz na bezpečnost. Doufáme, že článek poslouží jako vstupní bod do tak komplikovaného a náchylného k chybám, jako je manuální implementace poštovního serveru.

Používáme místní ověřování uživatelů, protože pokud soubor přečteme správně /etc/dovecot/conf.d/10-auth.conf, uvidíme, že je to nakonec zahrnuto -ve výchozím nastavení- ověřovací soubor uživatelů systému ! include auth-system.conf.ext. Přesně tento soubor nám ve své hlavičce říká, že:

[root @ linuxbox ~] # méně /etc/dovecot/conf.d/auth-system.conf.ext
# Ověření pro uživatele systému. Zahrnuto z 10-auth.conf. # # # # PAM autentizace. Dnes preferováno většinou systémů.
# PAM se obvykle používá buď s userdb passwd, nebo userdb static. # Pamatujte: Budete potřebovat soubor /etc/pam.d/dovecot vytvořený pro ověření PAM #, aby skutečně fungoval. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = holubník}

A další soubor existuje /etc/pam.d/dovecot:

[root @ linuxbox ~] # kočka /etc/pam.d/dovecot 
#% Vyžaduje se ověření PAM-1.0 pam_nologin.so auth zahrnout účet pro ověření hesla zahrnout relaci pro ověření hesla zahrnout heslo pro ověření

Co se snažíme sdělit o ověřování PAM?

• CentOS, Debian, Ubuntu a mnoho dalších distribucí Linuxu instaluje Postifx a Dovecot s výchozím povolením lokálního ověřování.
• Mnoho článků na internetu používá MySQL - a v poslední době MariaDB - k ukládání uživatelů a dalších údajů týkajících se poštovního serveru. ALE toto jsou servery pro TISÍC UŽIVATELŮ, a ne pro klasickou síť SME s - možná - stovkami uživatelů.
• Ověřování prostřednictvím PAM je nezbytné a dostatečné k poskytování síťových služeb, pokud běží na jednom serveru, jak jsme viděli v této minisérii.
• Uživatelé uložení v databázi LDAP lze mapovat, jako by to byli místní uživatelé, a ověřování PAM lze použít k poskytování síťových služeb z různých serverů Linux, které fungují jako klienti LDAP, na centrální ověřovací server. Tímto způsobem bychom pracovali s přihlašovacími údaji uživatelů uložených v centrální databázi serveru LDAP a NEMĚLO by být nezbytné udržovat databázi s místními uživateli.

  

  

  

Do dalšího dobrodružství!