Postfix + Dovecot + Squirrelmail og lokale brugere - SMB Networks

Generelt serieindeks: Computernetværk til SMV'er: Introduktion

Denne artikel er fortsættelsen og den sidste af miniserien:

• Squid + PAM-godkendelse på CentOS 7.
• Lokal bruger- og gruppestyring
• NSD autoritær DNS-server + kystvæg
• Forudsæt IM og lokale brugere
  

Hej venner og venner!

masse Entusiaster de vil have deres egen mailserver. De ønsker ikke at bruge servere, hvor "Privatliv" er mellem spørgsmålstegn. Den person, der har ansvaret for at implementere tjenesten på din lille server, er ikke specialist i emnet og vil i første omgang forsøge at installere kernen i en fremtidig og komplet mailserver. Er det, at "ligningerne" til at lave en fuld mailserver er lidt vanskelige at forstå og anvende. 😉

Marginoteringer

• Det er nødvendigt at være klar over de funktioner, der udføres af hvert program involveret i en mailserver. Som en indledende guide giver vi en hel række nyttige links med det erklærede formål at besøge dem..
• At implementere en komplet posttjeneste manuelt og fra bunden er en trættende proces, medmindre du er en af ​​de "udvalgte", der udfører denne type opgaver dagligt. En mailserver dannes -generelt- af forskellige programmer, der administrerer separat SMTP, POP / IMAP, Lokal opbevaring af meddelelser, opgaver relateret til behandlingen af SPAM, Antivirus osv. ALLE disse programmer skal kommunikere korrekt med hinanden.
• Der er ingen universel opskrift eller "best practice" for, hvordan man administrerer brugere; hvor og hvordan man gemmer beskederne, eller hvordan man får alle komponenterne til at fungere som en helhed.
• Samling og tuning af en mailserver har en tendens til at være modbydeligt i spørgsmål som tilladelser og filejere, valg af hvilken bruger der skal være ansvarlig for en bestemt proces, og i små fejl begået i nogle esoteriske konfigurationsfiler.
• Medmindre du virkelig ved, hvad du laver, vil slutresultatet være en usikker eller lidt ikke-funktionel mailserver. At det ikke virker i slutningen af ​​implementeringen vil muligvis være det mindste af onder.
• Vi kan finde en lang række opskrifter på internettet på, hvordan man laver en mailserver. En af de mest kompletteefter min meget personlige mening- er den, der tilbydes af forfatteren ivar abrahamsen i sin trettende udgave af januar 2017 «Sådan oprettes en mailserver på et GNU / Linux-system".
• Vi anbefaler også at læse artiklen «En mailserver på Ubuntu 14.04: Postfix, Dovecot, MySQL«, eller «En mailserver på Ubuntu 16.04: Postfix, Dovecot, MySQL".
• RIGTIGT. Den bedste dokumentation i denne henseende findes på engelsk.
  • Selvom vi aldrig laver en mailserver, guider vi os trofast igennem Hvordan… nævnt i det foregående afsnit, vil det blotte faktum at følge det trin for trin give os en meget god idé om, hvad vi står over for.
• Hvis du vil have en komplet Mailserver i et par trin, kan du downloade billedet iRedOS-0.6.0-CentOS-5.5-i386.iso, eller se efter en mere moderne, hvad enten det er iRedOS eller iRedMail. Det er den måde, jeg personligt anbefaler.

Vi skal installere og konfigurere:

• postfix som server Mhvidløg Transport Agent (SMTP).
• Dovecot som POP - IMAP-server.
• Certifikater for forbindelser gennem TLS.
• squirrelmail som en webgrænseflade for brugerne.
• DNS-post i forhold til «Afsenderpolitisk ramme"eller SPF.
• Modulgenerering Diffie Hellman Group for at øge sikkerheden for SSL-certifikater.

Det er stadig at gøre:

I det mindste skal følgende tjenester implementeres:

• Eftergrå: Postfix-serverpolitikker for gråliste og afvisning af spam.
  
• Amavisd-nyt: script, der skaber en grænseflade mellem MTA'en og virusscannere og indholdsfiltre.
• Clamav antivirus: antivirus-pakke
• SpamAssassin: uddrag uønsket post
• Razor (pyzor): SPAM-opsamling gennem et distribueret og samarbejdende netværk. Vipul Razor-netværket vedligeholder et opdateret katalog over udbredelsen af ​​uønsket post eller SPAM.
• DNS-post "DomainKeys Identified Mail" eller dkim udvidelse.

pakker postgrey, amavisd-new, clamav, spamassassin, barbermaskine y pyzor De findes i programarkiverne. Vi finder også programmet openkim.

• Den korrekte erklæring af "SPF" og "DKIM" DNS-posterne er afgørende, hvis vi ikke ønsker, at vores mailserver, der for nylig er sat i drift, skal erklæres uønsket eller en producent af SPAM eller Junk Mail, af andre mailtjenester som f.eks. gmail, Yahoo, Hotmail, etc.

Indledende kontrol

Husk, at denne artikel er en fortsættelse af andre, der begynder i Squid + PAM-godkendelse på CentOS 7.

Ens32 LAN-interface tilsluttet det interne netværk

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = offentlig

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interface tilsluttet internettet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
ENHED = ens34 ONBOOT = ja BOOTPROTO = statisk HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ingen IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL-routeren er tilsluttet # denne grænseflade med # følgende adresse GATEWAY IP = 172.16.10.1 DOMÆNE = desdelinux.fan DNS1 = 127.0.0.1
ZONE = ekstern

DNS-opløsning fra LAN

[root@linuxbox ~]# kat /etc/resolv.conf søg fra linux.fan navneserver 127.0.0.1 navneserver 172.16.10.30 [root@linuxbox ~]# værtsmail
mail.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.fan.

[root@linuxbox ~]# vært mail.desdelinux.fan
mail.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres af 1 mail.desdelinux.fan.

DNS-opløsning fra Internettet

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Brug af domæneserver: Navn: 172.16.10.30 Adresse: 172.16.10.30#53 Aliaser: mail.desdelinux.fan er et alias for desdelinux.fan.
fra linux.fan har adresse 172.16.10.10
desdelinux.fan mail håndteres af 10 mail.desdelinux.fan.

Problemer med at løse værtsnavnet "desdelinux.fan" lokalt

Hvis du har problemer med at løse værtsnavnet «fromlinux.fan" fra LAN, prøv at kommentere fillinjen /etc/dnsmasq.conf hvor det er erklæret lokal = / fra linux.fan /. Genstart derefter Dnsmasq.

[root@linuxbox ~]# nano /etc/dnsmasq.conf # Kommenter linjen nedenfor:
# lokal = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq genstart
Omdirigerer til /bin/systemctl genstart dnsmasq.service

[root @ linuxbox ~] # service dnsmasq status

[root @ linuxbox ~] # vært fra linux.fan
desdelinux.fan har adresse 172.16.10.10 desdelinux.fan mail håndteres af 10 mail.desdelinux.fan.

Postfix og Dovecot

Den meget omfattende dokumentation af Postfix og Dovecot kan findes på:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENS README-Postfix-SASL-RedHat.txt KOMPATIBILITET main.cf.default TLS_ACKNOWLEDGEMENTS eksempler README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
FORFATTER COPYING.MIT dovecot-openssl.cnf NYHEDER wiki COPYING ChangeLog eksempel-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

I CentOS 7 er Postfix MTA installeret som standard, når vi vælger indstillingen Infrastructure Server. Vi skal kontrollere, at SELinux-konteksten tillader Potfix at skrive til den lokale beskedkø:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Ændringer i FirewallD

Ved at bruge den grafiske grænseflade til at konfigurere FirewallD skal vi sikre, at følgende tjenester og porte er aktiveret for hver zone:

# ------------------------------------------------------------
# Rettelser i FirewallD
# ------------------------------------------------------------
# firewall
# Offentlig zone: http, https, imap, pop3, smtp-tjenester
# Offentlig zone: porte 80, 443, 143, 110, 25

# Ekstern zone: http, https, imap, pop3s, smtp-tjenester
# Ekstern zone: porte 80, 443, 143, 995, 25

Vi installerer Dovecot og nødvendige programmer

[root@linuxbox ~]# yum installer dovecot mod_ssl procmail telnet

Minimum Dovecot-konfiguration

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoller =imap pop3 lmtp
lytte =*, ::
login_hilsen = Dovecot er klar!

Vi deaktiverer eksplicit Dovecots plaintext-godkendelse:

[root@linuxbox ~]# nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ja

Vi erklærer gruppen med de nødvendige privilegier til at interagere med dueslag, og placeringen af ​​meddelelserne:

[root@linuxbox ~]# nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox:~/mail:INBOX=/var/mail/%u
mail_privileged_group = mail
mail_adgangsgrupper = mail

Certifikater til Dovecot

Dovecot genererer automatisk dine -test- certifikater baseret på dataene i filen /etc/pki/dovecot/dovecot-openssl.cnf. For at få genereret nye certifikater i henhold til vores krav, skal vi udføre følgende trin:

[root@linuxbox ~]# cd /etc/pki/dovecot/
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # country (2 letter code) C = CU # State or Province Name (full name) ST = Cuba # Locality Name (eg. city ) L = Habana # Organisation (f.eks. Virksomhed) O = FromLinux.Fan # Organisatorisk enhedsnavn (f.eks. Sektion) OU = Entusiaster # Almindeligt navn (* .eksempel.com er også muligt) CN = *. Desdelinux.fan # E e-mail-kontakt-e-mailadresse = adresse@desdelinux.fan [cert_type] nsCertType = server

Vi fjerner testcertifikater

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: slette almindelig "certs/dovecot.pem" fil? (y/n) ja
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: slette almindelig "private/dovecot.pem" fil? (y/n) ja

Vi kopierer og udfører scriptet mkcert.sh fra dokumentationsmappen

[root@linuxbox dovecot]# cp /usr/share/doc/dovecot-2.2.10/mkcert.sh . [root@linuxbox dovecot]# bash mkcert.sh 
Genererer en 1024 bit RSA privat nøgle ...... ++++++ ................ ++++++ skriver ny privat nøgle til '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Fingeraftryk = 5F: 4A: 0C: 44: EF: EF: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
i alt 4 -rw-------. 1 rodrod 1029 22. maj 16:08 dovecot.pem
[root@linuxbox dovecot]# ls -l privat/
i alt 4 -rw-------. 1 rodrod 916 22. maj 16:08 dovecot.pem

[root@linuxbox dovecot]# service dovecot genstart
[root @ linuxbox dovecot] # service dovecot status

Certifikater til Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout privatefan/desdelinux

Genererer en 4096 bit RSA privat nøgle ......... ++ .. ++ skriver ny privat nøgle til 'private / domain.tld.key' ----- Du er ved at blive bedt om at indtaste oplysninger der vil blive indarbejdet i din anmodning om certifikat. Hvad du er ved at indtaste, er hvad der kaldes et Distinguished Name eller en DN. Der er ganske mange felter, men du kan lade nogle være tomme. For nogle felter vil der være en standardværdi. Hvis du indtaster '.', Vil feltet være tomt. ----- Landnavn (kode med 2 bogstaver) [XX]: CU-stat eller provinsnavn (fuldt navn) []: Cuba-lokalitetsnavn (f.eks. By) [Standardby]: Habana-organisationsnavn (f.eks. Firma) [ Standard Company Ltd]: FromLinux.Fan Navn på organisationsenhed (f.eks. Afsnit) []: Entusiaster Almindeligt navn (f.eks. Dit navn eller serverens værtsnavn) []: desdelinux.fan E-mail-adresse []: buzz@desdelinux.fan

Minimal Postfix-konfiguration

Vi tilføjer til slutningen af ​​filen / etc / alias den næste:

rod: buzz

For at ændringerne skal træde i kraft, udfører vi følgende kommando:

[root @ linuxbox ~] # newaliases

Postifx-konfigurationen kan udføres ved direkte at redigere filen /etc/postfix/main.cf eller ved kommando postconf -e sørge for, at alle de parametre, som vi ønsker at ændre eller tilføje, afspejles i en enkelt linje i konsollen:

• Alle bør erklære de muligheder, de forstår og har brug for!.

[root@linuxbox ~]# postconf -e 'mitværtsnavn = fralinux.fan'
[root@linuxbox ~]# postconf -e 'mitdomæne = fromlinux.fan'
[root@linuxbox ~]# postconf -e 'myorigin = $mitdomæne'
[root@linuxbox ~]# postconf -e 'inet_interfaces = alle'
[root@linuxbox ~]# postconf -e 'mydestination = $myhostname, localhost.$mydomain, localhost,$mitdomain, mail.$mydomain, www.$mydomain, ftp.$mydomain'

[root@linuxbox ~]# postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root@linuxbox ~]# postconf -e 'mailbox_command = /usr/bin/procmail -a "$EXTENSION"'
[root@linuxbox ~]# postconf -e 'smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)'

Vi tilføjer til slutningen af ​​filen /etc/postfix/main.cf mulighederne nedenfor. For at kende betydningen af ​​hver af dem, anbefaler vi at læse den medfølgende dokumentation.

biff = nej
append_dot_mydomain = nej
forsinkelse_varningstid = 4 timer
readme_directory = nej
smtpd_tls_cert_file=/etc/pki/certs/fromlinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/fromlinux.fan.key
smtpd_use_tls = ja
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_cache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_cache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maksimal postkassestørrelse 1024 megabyte = 1 gigabyte
mailbox_size_limit = 1073741824

modtager_delimiter = +
maximum_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Konti, der sender en kopi af indgående post til en anden konto
recipient_bcc_maps = hash:/etc/postfix/accounts_forwarding_copy

De følgende linjer er vigtige for at bestemme, hvem der kan sende mail og videresende til andre servere, så vi ikke ved et uheld opretter et "åbent relæ", der tillader uautoriserede brugere at sende mail. Vi skal konsultere Postfix-hjælpesiderne for at forstå, hvad hver mulighed betyder.

• Alle bør erklære de muligheder, de forstår og har brug for!.

smtpd_helo_restrictions = permit_mynetworks,
 advare_om_afvis afvis_nog_fqdn_hostname,
 reject_invalid_hostname,
 tilladelse

smtpd_sender_restrictions = permit_sasl_authenticated,
 permit_mynetworks,
 advare_hvis afvise afvise_nog_fqdn_sender,
 afvis_ukendt_afsender_domæne,
 afvise_unauth_pipelining,
 tilladelse

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# BEMÆRK: Indstillingen "check_policy_service inet:127.0.0.1:10023"
# aktiver Postgrey-programmet, og vi må ikke inkludere det
# Ellers skal vi bruge Postgrey

smtpd_recipient_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tilladelse_sasl_autentificeret,
 reject_non_fqdn_modtager,
 afvis_ukendt_modtager_domæne,
 afvise_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tilladelse

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tilladelse_sasl_autentificeret,
 reject_non_fqdn_modtager,
 afvis_ukendt_modtager_domæne,
 afvise_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tilladelse
 
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja

Vi opretter filerne / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyog rediger filen / etc / postfix / header_checks.

• Alle bør erklære de muligheder, de forstår og har brug for!.
  

[root@linuxbox ~]# nano /etc/postfix/body_checks
# Hvis denne fil er ændret, er det ikke nødvendigt # at køre postmap # For at teste reglerne, kør som root: # postmap -q 'super new v1agra' regexp:/etc/postfix/body_checks
# Skal vende tilbage: # AFVIS regel nr. 2 Anti-spam-meddelelsesorgan
/viagra/ AFVIS Regel #1 Anti Spam fra meddelelsens brødtekst
/super new v[i1]agra/ AFVIS Regel #2 Anti-spam fra meddelelsens brødtekst

[root@linuxbox ~]# nano /etc/postfix/accounts_forwarding_copy
# Efter ændring skal du udføre: # postmap / etc / postfix / accounts_ forwarding_copy
# og filen oprettes eller måles: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Kun EN konto til at videresende en BCC-kopi # BCC = Black Carbon Copy # Eksempel: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Tilføj til slutningen af ​​filen # Kræver IKKE Postmap, da de er regulære udtryk
/^Emne: =?big5?/ AFVIS kinesisk kodning, der ikke accepteres af denne server
/^Emne: =?EUC-KR?/ AFVIS koreansk kodning ikke tilladt af denne server
/^Emne: ADV:/ AFVIS Annoncer, der ikke accepteres af denne server
/^Fra:.*\@.*\.cn/ AFVIS Beklager, kinesisk post er ikke tilladt her
/^Fra:.*\@.*\.kr/ AFVIS Beklager, koreansk mail er ikke tilladt her
/^Fra:.*\@.*\.tr/ AFVIS Beklager, tyrkisk post er ikke tilladt her
/^Fra:.*\@.*\.ro/ AFVIS Beklager, rumænsk post er ikke tilladt her
/^(Received|Message-Id|X-(Mailer|Afsender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum|Thunder Server|eMarksman|Extractor|e-Merge|fra stealth[^.]|Global Messenger|GroupMaster|Mailch10MailMasmail|E-Mail|KingMass. er|Powermailer|Quick Shot|Ready Aim Fire|WindoZ|WorldMerge|Yourdora|Lite)\b/ AFVIS Ingen masseforsendelser tilladt.
/ ^ Fra: "spammer / REJECT
/ ^ Fra: "spam / REJECT
/^Emne :.*viagra/ KASSER
# Farlige udvidelser
/name=[^>]*\.(bat|cmd|exe|com|pif|reg|scr|vb|vbe|vbs)/ AFVIS AFVIS Vi accepterer ikke vedhæftede filer med disse udvidelser

Vi tjekker syntaksen, genstarter Apache og Postifx og aktiverer og starter Dovecot

[root @ linuxbox ~] # postfix-kontrol
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl genstart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl genstart postfix
[root @ linuxbox ~] # systemctl status postfix

[root@linuxbox ~]# systemctl status svaleslag
● dovecot.service - Dovecot IMAP/POP3 e-mail-server indlæst: indlæst (/usr/lib/systemd/system/dovecot.service; deaktiveret; forudindstillet leverandør: deaktiveret) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiverer dovecot
[root@linuxbox ~]# systemctl start dovecot
[root @ linuxbox ~] # systemctl genstart dovecot
[root@linuxbox ~]# systemctl status svaleslag

Kontroller på konsolniveau

• Det er meget vigtigt, før du fortsætter med installationen og konfigurationen af ​​andre programmer, at foretage de mindst nødvendige kontroller af SMTP- og POP-tjenesterne..

Lokal fra selve serveren

Vi sender en e-mail til den lokale bruger Legolas.

[root@linuxbox ~]# echo "Hej. Dette er en testmeddelelse"|mail -s "Test" legolas

Vi tjekker postkassen til Legolas.

[root@linuxbox ~]# openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Efter meddelelsen Dovecot er klar! vi fortsætter:

---
+ OK Dovecot er klar!
BRUGER legolas + OK PASS legolas + OK Logget ind. STAT + OK 1 559 LISTE + OK 1 meddelelser: 1 559. RETR 1 + OK 559 oktetter Retursti: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Modtaget: af desdelinux.fan (Postfix, fra userid 0) id 7EA22C11FC57; Man, 22. maj 2017 10:47:10 -0400 (EDT) Dato: Man, 22. maj 2017 10:47:10 -0400 Til: legolas@desdelinux.fan Emne: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-version: 1.0 Indholdstype: tekst / almindelig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Fra: root@desdelinux.fan (root) Hej. Dette er en testmeddelelse. AFSLUTTET
[root @ linuxbox ~] #

Fjernbetjeninger fra en computer på LAN

Lad os sende en ny besked til Legolas fra en anden computer på LAN. Bemærk, at TLS-sikkerhed i SMB-netværket IKKE er strengt nødvendigt.

buzz@sysadmin:~$ sendemail -f buzz@deslinux.fan \
-t legolas@ desdelinux.fan \
-u "Hej" \
-m "Hilsen Legolas fra din ven Buzz" \
-s mail.desdelinux.fan -o tls = nej
22. maj 10:53:08 sysadmin sendemail[5866]: E-mail blev sendt!

Hvis vi prøver at forbinde igennem telnet fra en vært på LAN - eller fra internettet, selvfølgelig - til Dovecot, vil følgende ske, fordi vi har deaktiveret almindelig tekst-godkendelse:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Prøver 192.168.10.5...
Forbundet til linuxbox.desdelinux.fan. Escape-tegn er '^]'. +OK Dueslag er klar! bruger legolas
-ERR [AUTH] Godkendelse i almindelig tekst er ikke tilladt på ikke-sikre (SSL/TLS) forbindelser.
quit +OK Logger ud Forbindelse lukket af udenlandsk vært.
buzz @ sysadmin: ~ $

Vi skal klare det igennem openssl. Den komplette output af kommandoen ville være:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
FORBUNDET (00000003)
dybde=0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Entusiaster, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
verify error:num=18:selvsigneret certifikat verificer retur:1
dybde=0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Entusiaster, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan bekræft retur:1
--- Certifikatkæde 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C = CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Servercertifikat ----- BEGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END CERTIFICATE subject = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Intet klientcertifikat CA-navne sendt Server Temp-nøgle: ECDH, secp384r1, 384 bits --- SSL-håndtryk har læst 1342 bytes og skrevet 411 bytes --- Ny, TLSv1 / SSLv3 , Chiffer er ECDHE-RSA-AES256-GCM-SHA384 Server offentlig nøgle er 1024 bit Sikker genforhandling ER understøttet Komprimering: INGEN Udvidelse: INGEN SSL-session: Protokol: TLSv1.2 Chiffer: ECDHE-RSA-AES256-GCM-SHA384 Session- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Ingen krb5 Principal: Ingen PSK identitet: Ingen PSK identitet tip: hs 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 Key-Arg: Ingen krb4 Principal: Ingen 7 PSK identitet: Ingen PSK identitet tip: hs 1TLS session XNUMX sekunder XNUMX f ingen-XNUMX session XNUMX tlf XNUMX sekunder en billet fXNUMXfXNUMX billet ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.......~.mE...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:........hn....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 bf ..z .......d
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 .8 .65 b. .03 .1 b. 35 - 5 5 f0070 de 38 da ae 34-8 bd f48 b31 e90 6c cf 0 6..H..9........
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 af....0f.

+ OK Dovecot er klar!
BRUGER legolas
+ OK
PASS legolas
+ OK Logget ind.
LISTE
+ OK 1 beskeder: 1 1021.
TILBAGE 1
+ OK 1021 oktetter Retursti: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Modtaget: fra sysadmin.desdelinux.fan (gateway [172.16.10.1]) af desdelinux.fan (Postfix) med ESMTP id 51886C11E8C0 til ; Man, 22. maj 2017 15:09:11 -0400 (EDT) Meddelelses-ID: <919362.931369932-sendEmail@sysadmin> Fra: "buzz@deslinux.fan" Til: "legolas@desdelinux.fan" Emne: Hej Dato: Man, 22. maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-version: 1.0 Indholdstype: multipart / relateret; boundary = "---- MIME-afgrænser for sendEmail-365707.724894495" Dette er en flerdelt meddelelse i MIME-format. For at få vist denne meddelelse korrekt skal du have et MIME-version 1.0-kompatibelt e-mail-program. ------ MIME-afgrænser for sendEmail-365707.724894495 Indholdstype: tekst / almindelig; charset = "iso-8859-1" Indholdsoverførsel-kodning: 7bit hilsner Legolas fra din ven Buzz ------ MIME-afgrænser for sendEmail-365707.724894495--.
QUIT
+ OK Log ud. lukket
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail er en webklient skrevet udelukkende i PHP. Det inkluderer indbygget PHP-understøttelse af IMAP- og SMTP-protokollerne og giver maksimal kompatibilitet med de forskellige browsere, der er i brug. Det kører korrekt på enhver IMAP-server. Den har al den funktionalitet, du har brug for fra en mailklient, inklusive MIME-support, adressebog og mappestyring.

[root @ linuxbox ~] # yum installer squirrelmail
[root @ linuxbox ~] # service httpd genstart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domæne = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'fromlinux.fan';

[root@linuxbox ~]# tjeneste httpd genindlæs

DNS Send Policy Framenwork eller SPF-post

I artiklen NSD autoritær DNS-server + kystvæg Vi så, at Zonen "desdelinux.fan" var konfigureret som følger:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ORIGIN fra linux.fan. $TTL 3H @ IN SOA ns.desdelinux.fan. root.fromlinux.fan. (1; seriel 1D; opdatering 1H; prøv igen 1W; udløber 3H); minimum eller ; Negativ caching tid at leve ; @ IN NS ns.desdelinux.fan. @ IN MX 10 mail.desdelinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Log for at løse graveforespørgsler fra linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 mail IN CNAME fra linux.fan. chat I CNAME fra linux.fan. www IN CNAME fra linux.fan. ; ; XMPP-relaterede SRV-poster
_xmpp-server._tcp IN SRV 0 0 5269 fra linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 fra linux.fan. _jabber._tcp IN SRV 0 0 5269 fra linux.fan.

I det erklæres registreringsdatabasen:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

For at have den samme parameter konfigureret til SME-netværket eller LAN, skal vi ændre Dnsmasq-konfigurationsfilen som følger:

# TXT-poster. Vi kan også erklære en SPF-record txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"

Derefter genstarter vi tjenesten:

[root @ linuxbox ~] # service dnsmasq genstart
[root@linuxbox ~]# tjeneste dnsmasq status [root@linuxbox ~]# vært -t TXT mail.desdelinux.fan mail.desdelinux.fan er et alias for desdelinux.fan. desdelinux.fan beskrivende tekst "v=spf1 a:mail.desdelinux.fan -all"

Selvunderskrevne certifikater og Apache eller httpd

Selvom din browser fortæller dig, at «Ejeren af mail.fromlinux.fan Du har konfigureret dit websted forkert. For at forhindre, at dine oplysninger bliver stjålet, har Firefox ikke oprettet forbindelse til denne hjemmeside", certifikatet genereret ovenfor Det er gyldigt, og vil tillade legitimationsoplysningerne mellem klienten og serveren at rejse krypteret, efter vi har accepteret certifikatet.

Hvis du ønsker det, og som en måde at forene certifikaterne på, kan du deklarere for Apache de samme certifikater, som du erklærede for Postfix, hvilket er korrekt.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # tjeneste httpd status

Diffie-Hellman Group

Emnet sikkerhed bliver sværere for hver dag på internettet. Et af de mest almindelige angreb på forbindelser SSL, er dødvande og for at forsvare sig imod det er det nødvendigt at tilføje ikke-standardparametre til SSL-konfigurationen. Til dette er der RFC-3526 «Mere modulær eksponentiel (MODP) Diffie-Hellman grupper til Internet Key Exchange (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root@linuxbox tls]# openssl dhparam -out private/dhparams.pem 2048
[root@linuxbox tls]# chmod 600 private/dhparams.pem

I henhold til den version af Apache, vi har installeret, vil vi gøre brug af Diffie-Helman-gruppen af ​​filen /etc/pki/tls/dhparams.pem. Hvis det er en version 2.4.8 eller nyere, så bliver vi nødt til at tilføje til filen /etc/httpd/conf.d/ssl.conf følgende linje:

SSLopenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Den Apache-version, som vi bruger, er:

[root @ linuxbox tls] # yum info httpd
Plugins indlæst: fastestmirror, langpacks Indlæser spejlhastigheder fra cachelagret værtsfil Installerede pakker Navn: httpd Arkitektur: x86_64
Version: 2.4.6
Udgivelse: 45.el7.centos Størrelse: 9.4 M Lager: installeret Fra lager: Base-Repo Resumé: Apache HTTP Server URL: http://httpd.apache.org/ Licens: ASL 2.0 Beskrivelse: Apache HTTP Server er en kraftfuld, effektiv og udvidelsesbar: webserver.

Da vi har en version før 2.4.8, tilføjer vi indholdet af Diffie-Helman Group til slutningen af ​​det tidligere genererede CRT-certifikat:

[root @ linuxbox tls] # kat privat / dhparams.pem >> certs / desdelinux.fan.crt

Hvis du vil kontrollere, at DH-parametrene blev tilføjet korrekt til CRT-certifikatet, skal du køre følgende kommandoer:

[root @ linuxbox tls] # kat privat / dhparams.pem 
----- BEGIN DH PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- SLUT DH PARAMETRE -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- SLUT DH PARAMETRE -----

Efter disse ændringer skal vi genstarte Postfix- og httpd-tjenesterne:

[root @ linuxbox tls] # genstart af service postfix
[root@linuxbox tls]# service postfix status
[root @ linuxbox tls] # service httpd genstart
[root @ linuxbox tls] # service httpd status

Inkluderingen af ​​Diffie-Helman-gruppen i vores TLS-certifikater kan gøre forbindelsen over HTTPS en smule langsommere, men den ekstra sikkerhed er det værd.

Kontrol af egern

DEREFTER at certifikaterne er korrekt genereret, og at vi bekræfter deres korrekte funktion, som vi gjorde gennem konsolkommandoerne, skal du pege din foretrukne browser til URL'en http://mail.desdelinux.fan/webmail og den vil oprette forbindelse til webklienten efter at have accepteret det tilsvarende certifikat. Bemærk, at selvom du angiver HTTP-protokollen, vil du blive omdirigeret til HTTPS, og dette skyldes standardindstillingen CentOS tilbyder for Squirrelmail. se filen /etc/httpd/conf.d/squirrelmail.conf.

Om brugerpostkasser

Dovecot opretter IMAP-postkasserne i mappen hjem af hver bruger:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
i alt 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legolas legolas 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 22. maj 12:39 Sendt drwx ------. 2 legolas legolas 30. maj 22 11:34 Papirkurv

De gemmes også i / var / mail /

[root @ linuxbox ~] # mindre / var / mail / legolas
Fra MAILER_DAEMON man 22. maj 10:28:00 2017 Dato: man 22. maj 2017 10:28:00 -0400 Fra: Mail System interne data Emne: SLET IKKE DENNE MEDDELELSE - MAPPE INTERNE DATA Meddelelses-ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Denne tekst er en del af det interne format i din mailmappe og er ikke en reel besked. Det oprettes automatisk af mailsystemsoftwaren. Hvis de slettes, går vigtige mappedata tabt, og de oprettes igen, når dataene nulstilles til startværdier. Fra root@desdelinux.fan Man 22. maj 10:47:10 2017 Return-Path: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Modtaget: af desdelinux.fan (Postfix, fra userid 0) id 7EA22C11FC57; Man, 22. maj 2017 10:47:10 -0400 (EDT) Dato: Man, 22. maj 2017 10:47:10 -0400 Til: legolas@desdelinux.fan Emne: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-version: 1.0 Indholdstype: tekst / almindelig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Fra: root@desdelinux.fan (root) X-UID: 7 Status: RO Hej. Dette er en testmeddelelse Fra buzz@deslinux.fan Man 22. maj 10:53:08 2017 Return-Path: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Modtaget: fra sysadmin.desdelinux.fan (gateway [172.16.10.1]) af desdelinux.fan (Postfix) med ESMTP-id C184DC11FC57 til ; Man, 22. maj 2017 10:53:08 -0400 (EDT) Meddelelses-ID: <739874.219379516-sendEmail@sysadmin> Fra: "buzz@deslinux.fan" Til: "legolas@desdelinux.fan" Emne: Hej Dato: Man, 22. maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-version: 1.0 Indholdstype: multipart / relateret; boundary = "---- MIME-afgrænser for sendEmail-794889.899510057
/ var / mail / legolas

PAM-miniseriesammendrag

Vi har set kernen i en Mailserver og lagt en vis vægt på sikkerhed. Vi håber, at artiklen fungerer som et indgangspunkt til et emne, der er lige så kompliceret og modtageligt for fejl som manuel implementering af en mailserver.

Vi bruger lokal brugergodkendelse, fordi hvis vi læser filen korrekt /etc/dovecot/conf.d/10-auth.conf, vil vi se, at det til sidst inkluderer –som standard- systembrugernes godkendelsesfil ! inkluderer auth-system.conf.ext. Netop denne fil fortæller os i sin overskrift, at:

[root@linuxbox ~]# mindre /etc/dovecot/conf.d/auth-system.conf.ext
# Godkendelse for systembrugere. Inkluderet fra 10-auth.conf. # # # # PAM-godkendelse. Foretrukket i dag af de fleste systemer.
# PAM bruges typisk med enten userdb passwd eller userdb static. # HUSK: Du skal bruge /etc/pam.d/dovecot-filen oprettet til PAM #-godkendelse for rent faktisk at fungere. passdb { driver = pam # [session=yes] [setcred=yes] [failure_show_msg=yes] [max_requests= ] # [cache_key= ] [ ] #args = dueslag }

Og den anden fil findes /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#%PAM-1.0 auth påkrævet pam_nologin.so auth include password-auth account include password-auth session include password-auth

Hvad prøver vi at formidle om PAM-godkendelse?

• CentOS, Debian, Ubuntu og mange andre Linux-distributioner installerer Postifx og Dovecot med lokal godkendelse aktiveret som standard.
• Mange artikler på internettet bruger MySQL -og for nylig MariaDB- til at gemme brugere og andre data vedrørende en mailserver. MEN det er servere til TUSENVIS AF BRUGER, og ikke til et klassisk SMV-netværk med -måske- hundredvis af brugere.
• PAM-godkendelse er nødvendig og tilstrækkelig til at levere netværkstjenester, så længe de kører på en enkelt server, som vi har set i denne miniserie.
• Brugere gemt i en LDAP-database kan kortlægges som om de var lokale brugere, og PAM-godkendelse kan bruges til at levere netværkstjenester fra forskellige Linux-servere, der fungerer som LDAP-klienter til den centrale godkendelsesserver. På denne måde vil vi arbejde med legitimationsoplysningerne for de brugere, der er gemt i den centrale LDAP-serverdatabase, og det ville IKKE være vigtigt at vedligeholde en database med lokale brugere.

Indtil næste eventyr!