Postfix + Dovecot + Squirrelmail kaj lokaj uzantoj - SMB-Retoj

Ĝenerala indekso de la serio: Komputilaj Retoj por SMEoj: Enkonduko

Ĉi tiu artikolo estas la daŭrigo kaj lasta de la miniserialo:

Saluton amikoj kaj amikoj!

la Entuziasmuloj ili volas havi sian propran retpoŝtan servilon. Ili ne volas uzi servilojn kie "Privateco" estas inter demandosignoj. La respondeculo pri efektivigo de la servo en via malgranda servilo ne estas specialisto pri la temo kaj komence provos instali la kernon de estonta kaj kompleta retpoŝta servilo. Ĉu la "ekvacioj" por fari Plenan Retpoŝtan Servilon estas iom malfacile kompreneblaj kaj aplikeblaj. 😉

Rimarkaj komentarioj

  • Necesas esti klara pri kiuj funkcioj plenumas ĉiu programo implikita en Retpoŝta Servilo. Kiel komenca gvidilo ni donas serion da utilaj ligoj kun la dirita celo viziti ilin.
  • Mane efektivigi Kompletan Poŝtan Servon de nulo estas laciga procezo, krom se vi estas unu el la "Elektitoj", kiuj ĉiutage plenumas tian taskon. Retpoŝta Servilo ĝenerale konsistas el diversaj programoj, kiuj aparte pritraktas SMTP, POP / IMAP, Loka Stokado de Mesaĝoj, taskoj rilate al la traktado de la SPAMO, Antivirus, ktp. ĈIUJ el ĉi tiuj programoj devas komuniki inter si ĝuste.
  • Estas neniu taŭga por ĉiuj aŭ "plej bonaj praktikoj" pri kiel administri uzantojn; kie kaj kiel konservi mesaĝojn, aŭ kiel funkciigi ĉiujn erojn kiel unu tuton.
  • La muntado kaj agordo de Retpoŝta Servilo kutimas esti abomenaj en aferoj kiel permesoj kaj dosierposedantoj, elektante kiu uzanto respondecos pri certa procezo, kaj en malgrandaj eraroj faritaj en iu esotera agorda dosiero.
  • Krom se vi tre bone scias, kion vi faras, la fina rezulto estos nesekura aŭ iomete nefunkcia retpoŝta servilo. Tio fine de la efektivigo Ĝi Ne Funkcias, eble estos la plej malgranda el la malbonoj.
  • Ni povas trovi en la interreto multajn receptojn pri kiel krei retpoŝtan servilon. Unu el la plej kompletaj -laŭ mia tre persona opinio- estas tiu ofertita de la aŭtoro Ivar Abrahamsen en sia dektria eldono de januaro 2017 «Kiel starigi retpoŝtan servilon sur sistemo GNU / Linukso".
  • Ni ankaŭ rekomendas legi la artikolon «Retpoŝta servilo ĉe Ubuntu 14.04: Postfix, Dovecot, MySQL«, aŭ «Retpoŝta servilo ĉe Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Vere. La plej bona dokumentado tiurilate troveblas en la angla.
    • Kvankam ni neniam faras Retpoŝtan servilon fidele gvidatan de la Kiel ... menciita en la antaŭa paragrafo, la nura fakto sekvi ĝin paŝon post paŝo donos al ni tre bonan ideon pri tio, kion ni alfrontos.
  • Se vi volas havi kompletan Mailserver en nur kelkaj paŝoj, vi povas elŝuti la bildon iRedOS-0.6.0-CentOS-5.5-i386.iso, aŭ serĉu pli modernan, ĉu iRedOS aŭ iRedMail. Ĝi estas la maniero, kiun mi persone rekomendas.

Ni instalos kaj agordos:

Ĝi restas farenda:

Almenaŭ la sekvaj servoj restus efektivigotaj:

  • Postgriza: Postfix-servilaj politikoj por Grizaj Listoj kaj malakceptas Forĵetaĵon.
  • Amavisd-nova: skripto, kiu kreas interfacon inter la MTA, kaj antivirusiloj kaj enhavaj filtriloj.
  • Antiviruso Clamav: kontraŭvirusa aro
  • SpamAssassin: ĉerpi rubaĵpoŝton
  • Razor (Pyzor): SPAM-kapto per distribuita kaj kunlabora reto. La reto Vipul Razor konservas ĝisdatigitan katalogon pri la disvastigo de rubaĵpoŝto aŭ SPAM.
  • DNS-registro "DomainKeys Identified Mail" aŭ DKIM.

Pakoj postgriza, amavisd-nova, clamav, spamassassin, razor y pyzor Ili troviĝas en la programaj deponejoj. Ni ankaŭ trovos la programon opendkim.

  • La ĝusta deklaro de la DNS-registroj "SPF" kaj "DKIM" estas esenca se ni ne volas, ke nia retpoŝta servilo nur ekfunkciigxu, aŭ estu deklarita nedezirinda aŭ produktanto de SPAM aŭ Forĵeta Poŝto, de aliaj retpoŝtaj servoj kiel ekzemple gmail, Yhoo, Hotmail, ktp.

Komencaj kontroloj

Memoru, ke ĉi tiu artikolo estas daŭrigo de aliaj komenciĝantaj en Aŭtentikigo de Squid + PAM ĉe CentOS 7.

Ens32 LAN-interfaco konektita al la Interna Reto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = publika

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interfaco konektita al interreto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
APARATO = ens34 ONBOOT = jes BOOTPROTO = statika HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ne IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # La enkursigilo ADSL estas konektita al # ĉi tiu interfaco kun # la sekva adreso IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = ekstera

DNS-rezolucio de la LAN

[root @ linuxbox ~] # cat /etc/resolv.conf serĉo de linux.fan nomservilo 127.0.0.1 nomservilo 172.16.10.30 [root @ linuxbox ~] # gastiganta retpoŝto
mail.desdelinux.fan estas kaŝnomo por linuxbox.desdelinux.fan. linuxbox.desdelinux.fan havas adreson 192.168.10.5 linuxbox.desdelinux.fan-poŝton traktas 1 mail.desdelinux.fan.

[root @ linuxbox ~] # gastiganto mail.fromlinux.fan
mail.desdelinux.fan estas kaŝnomo por linuxbox.desdelinux.fan. linuxbox.desdelinux.fan havas adreson 192.168.10.5 linuxbox.desdelinux.fan-poŝton traktas 1 mail.desdelinux.fan.

DNS-rezolucio de la interreto

buzz @ sysadmin: ~ $ gastiganto mail.fromlinux.fan 172.16.10.30
Uzanta domajnan servilon: Nomo: 172.16.10.30 Adreso: 172.16.10.30 # 53 Kaŝnomoj: mail.desdelinux.fan estas kaŝnomo por desdelinux.fan.
de linux.fan havas adreson 172.16.10.10
desdelinux.fan-poŝto estas pritraktita per 10 mail.desdelinux.fan.

Problemoj solvi la gastnomon "desdelinux.fan" loke

Se vi havas problemojn solvi la gastnomon «de linux.fan" el la LAN, provu komenti la dosieran linion /etc/dnsmasq.conf kie ĝi estas deklarita loka = / de linux.fan /. Poste rekomencu la Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentu la linion sube:
# loka = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Alidirektante al / bin / systemctl rekomencu dnsmasq.service

[root @ linuxbox ~] # service dnsmasq status

[root @ linuxbox ~] # gastiganto de linux.fan
desdelinux.fan havas adreson 172.16.10.10 desdelinux.fan-poŝton prizorgas 10 mail.desdelinux.fan.

Postfix kaj Dovecot

La tre ampleksa dokumentado de Postfix kaj Dovecot troveblas ĉe:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCO README-Postfix-SASL-RedHat.txt KOMPATIBECO main.cf.default TLS_ACKNOWLEDGEMENTS ekzemploj README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTHTOROJ KOPIANTO. MIT dovecot-openssl.cnf NOVASOJ vikio KOPIADO ChangeLog-ekzemplo-konfiguro LEGU COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

En CentOS 7, la Postfix MTA estas instalita defaŭlte kiam ni elektas la opcion Infrastructure Server. Ni devas kontroli, ke la SELinux-kunteksto permesas skribi al Potfix en la loka mesaĝa vico:

[root @ linuxbox ~] # getsebool -a | grep postfikso
postfix_local_write_mail_spool -> on

Modifoj en la FirewallD

Uzante la grafikan interfacon por agordi FirewallD, ni devas certigi, ke la jenaj servoj kaj havenoj estas ebligitaj por ĉiu Zono:

# ------------------------------------------------- -----
# Korektoj en FirewallD
# ------------------------------------------------- -----
# Fajromuro
# Publika zono: http, https, imap, pop3, smtp-servoj
# Publika zono: havenoj 80, 443, 143, 110, 25

# Ekstera zono: http, https, imap, pop3s, smtp-servoj
# Ekstera zono: havenoj 80, 443, 143, 995, 25

Ni instalas Dovecot kaj necesajn programojn

[root @ linuxbox ~] # yum instali dovecot mod_ssl procmail telnet

Minimuma Dovecot-agordo

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoloj = imap pop3 lmtp
aŭskulti = *, ::
salutnomo_saluto = Kolombujo pretas!

Ni eksplicite malŝaltas la kompletan tekstan konfirmon de Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
malŝalti_ klaran tekston_auth = jes

Ni deklaras la Grupon kun la necesaj privilegioj por interagi kun la Kolombejo, kaj la loko de la mesaĝoj:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
retpoŝta loko = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = poŝto
mail_access_groups = poŝto

Atestiloj por la Kolombujo

Dovecot aŭtomate generas viajn testatestojn surbaze de la datumoj en la dosiero /etc/pki/dovecot/dovecot-openssl.cnf. Por generi novajn atestilojn laŭ niaj postuloj, ni devas plenumi la jenajn paŝojn:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes distingu_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # lando (2-litera kodo) C = CU # Ŝtata aŭ Provinca Nomo (plena nomo) ST = Kubo # Loka Nomo (ekz. urbo) ) L = Habana # Organizo (ekz. Kompanio) O = FromLinux.Fan # Organiza Unua Nomo (ekz. Sekcio) OU = Entuziasmuloj # Komuna Nomo (* .ekzemplo.com ankaŭ eblas) CN = *. Desdelinux.fan # E -mesaĝa kontakta retadresoAdreso=buzz@desdelinux.fan [cert_type] nsCertType = servilo

Ni forigas testajn atestilojn

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: ĉu forigi la regulan dosieron "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: ĉu forigi la regulan dosieron "private / dovecot.pem"? (y / n) y

Ni kopias kaj ekzekutas la skripton mkcert.sh el la dokumenta dosierujo

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generante privatan ŝlosilon RSA de 1024 bitoj ...... ++++++ ................ ++++++ skribante novan privatan ŝlosilon al '/ ktp / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Fingrospuro = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
entute 4 -rw -------. 1 radika radiko 1029 22 majo 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privata /
entute 4 -rw -------. 1 radika radiko 916 22 majo 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # service dovecot status

Atestiloj por Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

Generante privatan ŝlosilon RSA de 4096 bitoj ......... ++ .. ++ skribante novan privatan ŝlosilon al 'private / domain.tld.key' ----- Vi estas petonta enigi informojn tio enkorpiĝos al via atesta peto. Kion vi estas enironta, estas tio, kion oni nomas Distingita Nomo aŭ DN. Estas sufiĉe multaj kampoj sed vi povas lasi iujn malplenajn Por iuj kampoj estos apriora valoro, Se vi enigas '.', La kampo restos malplena. ----- Landa Nomo (2-litera kodo) [XX]: CU-Ŝtata aŭ Provinca Nomo (plena nomo) []: Kuba Loka Nomo (ekz. Urbo) [Defaŭlta Urbo]: Habana Organiza Nomo (ekz. Kompanio) [ Defaŭlta Kompanio Ltd]: desdeLinux.Fana Organiza Unua Nomo (ekz. Sekcio) []: Entuziasmuloj Komuna Nomo (ekz. Via nomo aŭ la gastiga nomo de via servilo) []: desdelinux.fan Retpoŝta Adreso []: buzz@desdelinux.fan

Minimuma agordo de Postfix

Ni aldonas al la fino de la dosiero / etc / kaŝnomoj la sekva:

radiko: zumo

Por ke la ŝanĝoj ekvalidu ni plenumas la jenan komandon:

[root @ linuxbox ~] # novalias

La agordo de Postifx povas esti farita rekte redaktante la dosieron /etc/postfix/main.cf aŭ per komando postkonf -e zorgante, ke ĉiuj parametroj, kiujn ni volas modifi aŭ aldoni, reflektu en unu linio de la konzolo:

  • Ĉiu devas deklari la eblojn, kiujn ili komprenas kaj bezonas!.
[root @ linuxbox ~] # postconf -e 'miahostonomo = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'miadomajno = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'miaorigino = $ miadomajno'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = ĉiuj'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ mia gastiganta nomo ESMTP $ poŝto_nomo ($ poŝto_versio)'

Ni aldonas al la fino de la dosiero /etc/postfix/main.cf la ebloj donitaj sube. Por scii la signifon de ĉiu el ili, ni rekomendas legi la akompanan dokumentaron.

biff = ne
append_dot_mydomain = ne
prokrasto_avertotempo = 4h
readme_directory = ne
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = jes
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permesilo_minejo permeso_sasl_aŭtentigita defer_unauth_destination

# Maksimuma leterkesta grandeco 1024 megabajtoj = 1 g kaj g
leterkesto_granda_limito = 1073741824

ricevanto_limigilo = +
maksimuma_vico_daŭra tempo = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Kontoj, kiuj sendas kopion de alvenanta poŝto al alia konto
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

La jenaj linioj gravas por determini, kiu povas sendi poŝton kaj transsendi al aliaj serviloj, tiel ke ni ne hazarde agordas "malferman relajson", kiu permesas al neaŭtentikigitaj uzantoj sendi poŝton. Ni devas konsulti la Helppaĝojn de Postfix por kompreni, kion signifas ĉiu opcio.

  • Ĉiu devas deklari la eblojn, kiujn ili komprenas kaj bezonas!.
smtpd_helo_restrictions = permesi_minecajn laborojn,
 averti_if_reĵeti malakcepti_non_fqdn_hostnomon,
 malakcepti_malvalidan_nomgastiganton,
 permesilon

smtpd_sender_restrictions = permeso_sasl_aŭtentikigita,
 permesu_retretojn,
 averti_se_rejekti malakcepti_non_fqdn_sendanton,
 malakcepti_nekonatan_sendanton_domajnon,
 malakcepti_unauth_pipelining,
 permesilon

smtpd_client_restrictions = malakcepti_rbl_klienton sbl.spamhaus.org,
 malakcepti_rbl_klienton blackholes.easynet.nl

# NOTO: La opcio "check_policy_service inet: 127.0.0.1: 10023"
# ebligas la programon Postgrey, kaj ni ne inkluzivu ĝin
# alie ni uzos Postgrey

smtpd_recipient_restrictions = malakcepti_unauth_pipelining,
 permesu_retretojn,
 permis_sasl_authenticated,
 malakcepti_non_fqdn_ ricevanton,
 malakcepti_nekonatan_destinanton_,
 malakcepti_unuan_destinon,
 check_policy_service inet: 127.0.0.1: 10023,
 permesilon

smtpd_data_restrictions = malakcepti_unauth_pipelining

smtpd_relay_restrictions = malakcepti_unauth_pipelining,
 permesu_retretojn,
 permis_sasl_authenticated,
 malakcepti_non_fqdn_ ricevanton,
 malakcepti_nekonatan_destinanton_,
 malakcepti_unuan_destinon,
 check_policy_service inet: 127.0.0.1: 10023,
 permesilon
 
smtpd_helo_required = jes
smtpd_delay_reject = jes
malŝalti_vrfy_komandon = jes

Ni kreas la dosierojn / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, kaj ni modifas la dosieron / etc / postfix / header_checks.

  • Ĉiu devas deklari la eblojn, kiujn ili komprenas kaj bezonas!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Se ĉi tiu dosiero estas modifita, ne necesas # lanĉi poŝmapon # Por testi la regulojn, rulu kiel radiko: # postmap -q 'super nova v1agra' regexp: / etc / postfix / body_checks
# Devus reveni: # REJET Regulo # 2 Kontraŭ Spama Mesaĝo
/ viagra / REJECT Regulo # 1 Anti Spam de la mesaĝa korpo
/ super nova v [i1] agra / REJECT Rule # 2 Anti Spam message body

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Post modifo, vi devas ekzekuti: # postmap / etc / postfix / accounts_ forwarding_copy
# kaj la dosiero estas kreita aŭ mezurita: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # Ununura konto por plusendi unu BCC-kopio # BCC = Black Carbon Copy # Ekzemplo: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / ktp / postfix / header_checks
# Aldonu fine de la dosiero # NE POVAS Postmapon ĉar ili estas Regulaj Esprimoj
/ ^ Temo: =? Big5? / REJECT Ĉina kodigado ne akceptita de ĉi tiu servilo
/ ^ Temo: =? EUC-KR? / REJECT Korea kodigo ne permesita de ĉi tiu servilo
/ ^ Temo: ADV: / REJECT Reklamoj ne akceptitaj de ĉi tiu servilo
/^De:.*\@.*\.cn/ REJECT Pardonu, ĉina poŝto ne estas permesita ĉi tie
/^De:.*\@.*\.kr/ REJECT Pardonu, korea poŝto ne permesita ĉi tie
/^De:.*\@.*\.tr/ REJECT Pardonu, turka poŝto ne estas permesita ĉi tie
/^De:.*\@.*\.ro/ REJECT Pardonu, rumana poŝto ne permesita ĉi tie
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Tutmonda Mesaĝisto | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Novaĵa Rompilo | Powermailer | Rapida Pafo | Preta Celfajro | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Neniuj amasaj sendantoj rajtas.
/ ^ El: "spammer / REJECT
/ ^ El: "spam / REJECT
/^Subject:.*viagra/ FORCETI
# Danĝeraj etendaĵoj
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ni ne akceptas aldonaĵojn kun ĉi tiuj etendaĵoj

Ni kontrolas la sintakson, rekomencas Apache kaj Postifx, kaj ebligas kaj startas Dovecot

[root @ linuxbox ~] # postfiksa kontrolo
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl restart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl rekomencu postfikson
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Dovecot IMAP / POP3-retpoŝta servilo Ŝarĝita: ŝarĝita (/usr/lib/systemd/system/dovecot.service; malŝaltita; vendita antaŭdifinita: malŝaltita) Aktiva: neaktiva (morta)

[root @ linuxbox ~] # systemctl ebligi kolombejon
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl restart dovecot
[root @ linuxbox ~] # systemctl status dovecot

Konzolnivelaj kontroloj

  • Tre gravas antaŭ ol daŭrigi la instaladon kaj agordon de aliaj programoj fari la minimumajn necesajn kontrolojn de la servoj SMTP kaj POP.

Loka de la servilo mem

Ni sendas retpoŝton al la loka uzanto legolas.

[root @ linuxbox ~] # echo "Hello. This is a test message" | mail -s "Test" legolas

Ni kontrolas la leterkeston de legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Post la mesaĝo Kolombujo pretas! ni procedas:

---
+ Bone Kolombujo pretas!
UZANTO legolas + OK PASS legolas + OK Ensalutita. STAT + OK 1 559 LISTO + OK 1 mesaĝoj: 1 559. RETR 1 + OK 559 oktetoj Reveno-Vojo: X-Original-To: legolas Liverita-Al: legolas@desdelinux.fan Ricevita: de desdelinux.fan (Postfikso, de uzantid 0) id 7EA22C11FC57; Mon, 22 majo 2017 10:47:10 -0400 (EDT) Dato: lun, 22 majo 2017 10:47:10 -0400 Al: legolas@desdelinux.fan Temo: Uzanto-Agenta testo: Heirloom mailx 12.5 7/5 / 10 MIME-Versio: 1.0 Enhava-Tipo: teksto / simpla; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> De: root@desdelinux.fan (root) Saluton. Ĉi tio estas testmesaĝo. Ĉesu
[root @ linuxbox ~] #

Remotoj de komputilo en la LAN

Ni sendu alian mesaĝon al legolas de alia komputilo en la LAN. Rimarku, ke TLS-sekureco NE strikte necesas ene de la reto de SME.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Saluton" \
-m "Saluton Legolas de via amiko Buzz" \
-s mail.desdelinux.fan -o tls = ne
22 majo 10:53:08 sysadmin sendemail [5866]: Retpoŝto estis sendita sukcese!

Se ni provas konekti tra telnet De gastiganto en la LAN - aŭ de la interreto, kompreneble - al la Kolombejo, la jeno okazos ĉar ni malŝaltas klartekstan aŭtentikigon:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Provante 192.168.10.5 ...
Konektita al linuxbox.fromlinux.fan. Ellasilo-signo estas '^]'. + Bone Kolombujo pretas! uzanto legolas
-ERR [AUTH] Kompleta teksto-aŭtentikigo malpermesita ĉe nesekuraj (SSL / TLS) ligoj.
ĉesi + Bone Elŝalti Konekton fermitan de eksterlanda gastiganto.
buzz @ sysadmin: ~ $

Ni devas plenumi ĝin openssl. La kompleta eligo de la komando estus:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
LIGITA (00000003)
profundo = 0 C = CU, ST = Kubo, L = Havano, O = FromLinux.Fan, OU = Entuziasmuloj, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
kontroli eraron: num = 18: mem-subskribita atestilo konfirmi revenon: 1
profundo = 0 C = CU, ST = Kubo, L = Havano, O = FromLinux.Fan, OU = Entuziasmuloj, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan kontroli revenon: 1
--- Atestila ĉeno 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Servila atestilo ----- BEGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END Certificate temo = / C = CU / ST = Kubo / L = Havano / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan emisor = / C = CU / ST = Kubo / L = Habana / O = DesdeLinux.Fan / OU = Entuziasmuloj / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Neniu kliento atestis CA-nomojn senditajn Servila Temp-Ŝlosilo: ECDH, secp384r1, 384 bitoj --- SSL-manpremo legis 1342 bajtojn kaj skribis 411 bajtojn --- Nova, TLSv1 / SSLv3 , Ĉifro estas ECDHE-RSA-AES256-GCM-SHA384 Servila publika ŝlosilo estas 1024 bitoj Sekura Retraktado IS subtenata Kunpremo: NENIU Vastiĝo: NENIU SSL-Sesio: Protokolo: TLSv1.2 Ĉifro: ECDHE-RSA-AES256-GCM-SHA384 Sesio- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Neniu Krb5 Principal: Neniu PSK 300 identeco: Neniu PSK identeco aludo: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: Neniu Krb7 Principal: Neniu 1 PSK identeco: Neniu PSK identeco aludo: HS XNUMX TLS sesio XNUMX sekundoj XNUMX f Nonec XNUMX bileto kunsido XNUMX f XNUMX sekundoj XNUMX FXNUMXFXNUMX bileton ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 estu a8 estu 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa e 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Bone Kolombujo pretas!
UZANTO legolas
+ Bone
PASI legolas
+ Bone Ensalutinta.
LISTO
+ Bone 1 mesaĝoj: 1 1021.
RETR 1
+ OK 1021 oktetoj Reven-Vojo: X-Original-To: legolas@desdelinux.fan Liverita-Al: legolas@desdelinux.fan Ricevita: de sysadmin.desdelinux.fan (enirejo [172.16.10.1]) de desdelinux.fan (Postfix) kun ESMTP-identigilo 51886C11E8C0 por ; Mon, 22 majo 2017 15:09:11 -0400 (EDT) Mesaĝo-ID: <919362.931369932-sendEmail@sysadmin> De: "buzz@deslinux.fan" Al: "legolas@desdelinux.fan" Temo: Saluton Dato: Mon, 22 majo 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Versio: 1.0 Enhava-Tipo: plurparta / rilata; limo = "---- MIME-limigilo por sendEmail-365707.724894495" Ĉi tio estas plurparta mesaĝo en formato MIME. Por ĝuste montri ĉi tiun mesaĝon vi bezonas retpoŝtan programon konforman al MIME-Versio 1.0. ------ MIME-limigilo por sendEmail-365707.724894495 Enhav-Tipo: teksto / simpla; charset = "iso-8859-1" Content-Transfer-Encoding: 7bit Salutoj Legolas de via amiko Buzz ------ MIME-limigilo por sendEmail-365707.724894495--.
QUIT
+ Bone Elŝalti. fermita
buzz @ sysadmin: ~ $

Sciurpoŝto

Sciurpoŝto estas interreta kliento verkita tute en PHP. Ĝi inkluzivas denaskan PHP-subtenon por la protokoloj IMAP kaj SMTP, kaj provizas maksimuman kongruecon kun la uzataj malsamaj retumiloj. Ĝi funkcias ĝuste sur iu ajn IMAP-servilo. Ĝi havas ĉiujn funkciojn, kiujn vi bezonas de retpoŝta kliento, inkluzive MIME-subtenon, adresaron kaj administradon de dosierujoj.

[root @ linuxbox ~] # yum instali squirrelmail
[root @ linuxbox ~] # service httpd restart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domajno = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # servo httpd reŝargas

DNS-Senda Politiko Framenwork aŭ SPF-rekordo

En la artikolo Aŭtoritata DNS-Servilo NSD + Shorewall Ni vidis, ke la "desdelinux.fan" Zono estis agordita jene:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGINO de linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; seria 1D; refreŝigu 1H; reprovu 1W; eksvalidiĝu 3H); minimuma aŭ; Negativa kaŝmemora tempo por vivi; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Ensalutu por solvi elfosajn demandojn de linux.fan @ IN A 172.16.10.10; ns EN A 172.16.10.30 poŝto EN CNAME de linux.fan. babilejo EN CNAME de linux.fan. www EN CNAME de linux.fan. ; ; SRV-registroj rilataj al XMPP
_xmpp-server._tcp IN SRV 0 0 5269 de linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 de linux.fan. _jabber._tcp EN SRV 0 0 5269 de linux.fan.

En ĝi la registro estas deklarita:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Por havi la saman parametron agorditan por la SME-Reto aŭ LAN, ni devas modifi la agordan dosieron Dnsmasq jene:

# TXT-registroj. Ni ankaŭ povas deklari SPF-registron txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Poste ni rekomencas la servon:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan estas kaŝnomo por fromlinux.fan. desdelinux.fan priskriba teksto "v = spf1 a: mail.desdelinux.fan -all"

Memsignitaj Atestiloj kaj Apache aŭ httpd

Eĉ se via retumilo diras al vi, ke «La posedanto de mail.fromlinux.fan Vi agordis vian retejon malĝuste. Por eviti ŝtelon de via informo, Firefox ne konektis al ĉi tiu retejo ", la antaŭe generita atestilo Ĝi VALIDAS, kaj permesos la atestilojn inter la kliento kaj la servilo vojaĝi ĉifritaj, post kiam ni akceptos la atestilon.

Se vi volas, kaj kiel maniero unuigi la atestilojn, vi povas deklari por Apache la samajn atestilojn, kiujn vi deklaris por Postfix, kio estas ĝusta.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # servo httpd rekomencu
[root @ linuxbox ~] # servo httpd statuso

Diffie-Hellman Group

La temo Sekureco fariĝas pli malfacila ĉiutage en la interreto. Unu el la plej oftaj atakoj kontraŭ ligoj SSL, estas la Ŝtopiĝo kaj por defendi kontraŭ ĝi necesas aldoni ne-normajn parametrojn al la SSL-agordo. Por ĉi tio ekzistas la RFC-3526 «Pli Modula Eksponenta (MODP) Diffie-Hellman grupoj por Interreta Ŝlosila Interŝanĝo (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Laŭ la versio de Apache, kiun ni instalis, ni uzos la Diffie-Helman-Grupon el la dosiero /etc/pki/tls/dhparams.pem. Se ĝi estas versio 2.4.8 aŭ pli nova, tiam ni devos aldoni al la dosiero /etc/httpd/conf.d/ssl.conf la sekva linio:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

La Apache-versio, kiun ni uzas, estas:

[root @ linuxbox tls] # yum info httpd
Ŝarĝitaj aldonaĵoj: fastestmirror, langpacks Ŝarĝante spegulajn rapidojn de kaŝmemora dosierujo Instalitaj pakoj Nomo: httpd Arkitekturo: x86_64
Versio: 2.4.6
Eldono: 45.el7.centos Grandeco: 9.4 M Deponejo: instalita El deponejo: Baza-Repo-Resumo: Apache HTTP-Servila URL: http://httpd.apache.org/ Permesilo: ASL 2.0 Priskribo: La Apache HTTP-Servilo estas potenca, efika kaj etendebla: retservilo.

Ĉar ni havas version antaŭ 2.4.8, ni aldonas fine de la antaŭe generita CRT-atestilo, la enhavon de la Diffie-Helman-Grupo:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

Se vi volas kontroli, ke la parametroj DH estis ĝuste aldonitaj al la atestilo CRT, plenumu la jenajn komandojn:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- BEGIN DH PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- FINA DH-PARAMETROJ -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- FINA DH-PARAMETROJ -----

Post ĉi tiuj ŝanĝoj, ni devas rekomenci la servojn Postfix kaj httpd:

[root @ linuxbox tls] rekomenci # servo postfikson
[root @ linuxbox tls] # servo postfiksa stato
[root @ linuxbox tls] # servo httpd rekomencu
[root @ linuxbox tls] # servo httpd-stato

La enigo de la Diffie-Helman-Grupo en niajn TLS-atestilojn povas iomete pli malrapidi la konektadon per HTTPS, sed aldono de sekureco indas.

Kontrolante Squirrelmail

Tiam ke la atestiloj estas ĝuste generitaj kaj ke ni kontrolas ilian ĝustan funkciadon kiel ni faris per la konzolaj komandoj, direktu vian preferatan retumilon al la URL http://mail.desdelinux.fan/webmail kaj ĝi konektos al la interreta kliento post akcepto de la responda atestilo. Rimarku, ke kvankam vi specifas la HTTP-protokolon, vi estos redirektita al HTTPS, kaj tio estas pro la defaŭltaj agordoj, kiujn CentOS ofertas por Squirrelmail. Vidu la dosieron /etc/httpd/conf.d/squirrelmail.conf.

Pri uzantaj leterkestoj

Kolombejo kreas la IMAP-poŝtkestojn en la dosierujo hejmo de ĉiu uzanto:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
entute 12 drwxrwx ---. 5 legolas poŝto 4096 22 majo 12:39. drwx ------. 3 legolas legolas 75 22 majo 11:34 .. -rw -------. 1 legolas legolas 72 22 majo 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas May 8 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22 majo 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 May 22 10:23 INBOX drwx ------. 2 legolas legolas 56 May 22 12:39 Sent drwx ------. 2 legolas legolas 30 maj 22 11:34 Rubujo

Ili ankaŭ estas konservitaj en / var / mail /

[root @ linuxbox ~] # less / var / mail / legolas
De MAILER_DAEMON Mon 22 majo 10:28:00 2017 Dato: lun 22 majo 2017 10:28:00 -0400 De: Poŝtsistemo Interna Datumo Temo: NE FORIGU ĈI TIU MESAĜON - TUJO INTERNAJ DATUMOJ Mesaĝo-ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Stato: RO Ĉi tiu teksto estas parto de la interna formato de via poŝta dosierujo, kaj ne estas vera mesaĝo . Ĝi estas kreita aŭtomate per la poŝtsistema programaro. Se forigite, gravaj dosierujaj datumoj perdiĝos, kaj ili estos rekreitaj kun la datumoj restarigitaj al komencaj valoroj. De root@desdelinux.fan lun 22 majo 10:47:10 2017 Revena Vojo: X-Original-To: legolas Liverita-Al: legolas@desdelinux.fan Ricevita: de desdelinux.fan (Postfikso, de uzantid 0) id 7EA22C11FC57; Mon, 22 majo 2017 10:47:10 -0400 (EDT) Dato: lun, 22 majo 2017 10:47:10 -0400 Al: legolas@desdelinux.fan Temo: Uzanto-Agenta testo: Heirloom mailx 12.5 7/5 / 10 MIME-Versio: 1.0 Enhava-Tipo: teksto / simpla; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> De: root@desdelinux.fan (root) X-UID: 7 Stato: RO Saluton. Jen testmesaĝo De buzz@deslinux.fan Mon 22 majo 10:53:08 2017 Revena Vojo: X-Original-To: legolas@desdelinux.fan Liverita-Al: legolas@desdelinux.fan Ricevita: de sysadmin.desdelinux.fan (enirejo [172.16.10.1]) de desdelinux.fan (Postfix) kun ESMTP-identigilo C184DC11FC57 por ; Mon, 22 majo 2017 10:53:08 -0400 (EDT) Mesaĝo-ID: <739874.219379516-sendEmail@sysadmin> De: "buzz@deslinux.fan" Al: "legolas@desdelinux.fan" Temo: Saluton Dato: Mon, 22 Majo 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Versio: 1.0 Enhava-Tipo: plurparta / rilata; limo = "---- MIME-limigilo por sendEmail-794889.899510057
/ var / mail / legolas

PAM-miniserialo-resumo

Ni rigardis la kernon de Retpoŝta Servilo kaj iom emfazis sekurecon. Ni esperas, ke la artikolo funkcias kiel Enirpunkto al temo tiel komplika kaj kapabla erari, kiel la efektivigo de Poŝta Servilo permane.

Ni uzas lokan uzantan aŭtentikigon ĉar se ni legas la dosieron ĝuste /etc/dovecot/conf.d/10-auth.conf, ni vidos, ke fine ĝi estas inkluzivita -defaŭlte- la aŭtentikiga dosiero de la sistemuzantoj ! inkluzivas auth-system.conf.ext. Ĝuste ĉi tiu dosiero diras al ni en sia kaplinio, ke:

[root @ linuxbox ~] # malpli /etc/dovecot/conf.d/auth-system.conf.ext
# Aŭtentikigo por sistemuzantoj. Inkludita de 10-auth.conf. # # # # PAM-aŭtentikigo. Preferata nuntempe de plej multaj sistemoj.
# PAM estas kutime uzata kun aŭ userdb passwd aŭ userdb statika. # REMEMORU: Vi bezonos /etc/pam.d/dovecot-dosieron kreitan por aŭtentikigo de PAM # por efektive funkcii. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = kolombejo}

Kaj la alia dosiero ekzistas /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth bezonata pam_nologin.so auth inkluzivi pasvorton-auth-konton inkluzivi pasvort-auth-sesion inkluzivi password-auth

Kion ni provas transdoni pri PAM-aŭtentikigo?

  • CentOS, Debian, Ubuntu kaj multaj aliaj Linuksaj distribuoj instalas Postifx kaj Dovecot kun loka aŭtentokontrolo ŝaltita defaŭlte.
  • Multaj artikoloj en la interreto uzas MySQL - kaj lastatempe MariaDB - por stoki uzantojn kaj aliajn datumojn pri Retpoŝta Servilo. SED ĉi tiuj estas serviloj por MILOJ DE UZANTOJ, kaj ne por klasika SME-Reto kun - eble - centoj da uzantoj.
  • Aŭtentikigo per PAM estas necesa kaj sufiĉa por provizi retajn servojn kondiĉe ke ili funkcias per unu servilo kiel ni vidis en ĉi tiu miniserialo.
  • Uzantoj stokitaj en LDAP-datumbazo povas esti mapitaj kvazaŭ ili estus lokaj uzantoj, kaj PAM-konfirmo povas esti uzita por provizi retajn servojn de malsamaj Linukso-serviloj, kiuj funkcias kiel LDAP-klientoj al la centra konfirmila servilo. Tiel ni laborus kun la atestiloj de la uzantoj konservitaj en la centra LDAP-servila datumbazo, kaj NE estus esence konservi datumbazon kun lokaj uzantoj.

Ĝis la sekva aventuro!


La enhavo de la artikolo aliĝas al niaj principoj de redakcia etiko. Por raporti eraron alklaku Ĉi tie.

9 komentoj, lasu la viajn

Lasu vian komenton

Via retpoŝta adreso ne estos eldonita. Postulita kampojn estas markita per *

*

*

  1. Respondeculo pri la datumoj: Miguel Ángel Gatón
  2. Celo de la datumoj: Kontrola SPAM, administrado de komentoj.
  3. Legitimado: Via konsento
  4. Komunikado de la datumoj: La datumoj ne estos komunikitaj al triaj krom per laŭleĝa devo.
  5. Stokado de datumoj: Datumbazo gastigita de Occentus Networks (EU)
  6. Rajtoj: Iam ajn vi povas limigi, retrovi kaj forigi viajn informojn.

  1.   lacerto diris

    Kredu min, ke praktike temas pri procezo, kiu donas al pli ol unu administranto severajn kapdolorojn, mi estas konvinkita, ke estonte ĝi estos referenca gvidilo por ĉiuj, kiuj volas administri siajn proprajn retpoŝtojn, praktika kazo, kiu fariĝas en abc dum integrado de postfikso, kolombejo, sciurpoŝto ..

    Koran dankon pro via laŭdinda kontribuo,

  2.   Darko diris

    Kial ne uzi Mailpile, kiam temas pri sekureco, kun PGP? Ankaŭ Roundcube havas multe pli intuician interfacon kaj ankaŭ povas integri PGP.

  3.   martin diris

    Antaŭ 3 tagoj mi legis la afiŝon, mi scias danki vin. Mi ne planas instali retpoŝtan servilon, sed ĉiam helpas vidi kreadon de atestiloj, utilaj por aliaj programoj kaj ĉi tiuj lerniloj apenaŭ eksvalidiĝas (precipe kiam vi uzas centOS).

  4.   federika diris

    Manuel Cillero: Dankon pro ligo al kaj de via blogo ĉi tiu artikolo, kiu estas la minimuma kerno de retpoŝta servilo bazita sur Postfix kaj Dovecot.

    Lacerto: Kiel ĉiam, via taksado estas tre bone ricevita. Dankon.

    Darko: En preskaŭ ĉiuj miaj artikoloj mi esprimas pli-malpli, ke "Ĉiuj efektivigas la servojn per la programoj, kiujn ili plej ŝatas. Dankon pro komento.

    Martin: Dankon al vi ankaŭ pro la legado de la artikolo kaj mi esperas, ke ĝi helpos vin en via laboro.

  5.   Zodiako Carburus diris

    Terura artikolamiko Federico. Dankon pro tiel bona tuto.

  6.   arkado diris

    bonega kvankam mi uzus "virtualajn uzantojn" por eviti krei sistemuzanton ĉiufoje kiam mi aldonas retpoŝton, dankon mi lernis multajn novajn aferojn kaj jen la tipo de afiŝo, kiun mi atendis

  7.   Wilinton Acevedo Rueda diris

    Bonan posttagmezon,

    Ili estus kuraĝigitaj fari la saman per fedora adresara servilo + postifx + kolombejo + thunderbird aŭ perspektivo.

    Mi havas parton sed mi estas blokita, mi volonte dividus la dokumenton al la komunumo @desdelinux

  8.   phico diris

    Mi ne imagis, ke ĝi atingos pli ol 3000 vizitojn !!!

    Salutojn Lacerto!

  9.   Darkend diris

    Bonega lernokolego.
    Ĉu vi povus fari ĝin por Debian 10 kun uzantoj de Active Directory muntita sur Samba4 ???
    Mi imagas ke estus preskaŭ la sama sed ŝanĝante la aŭtentikan tipon.
    La sekcio, kiun vi dediĉas al la kreado de mem-subskribitaj atestiloj, estas tre interesa.