Postfix + Dovecot + Squirrelmail ja kohalikud kasutajad - SMB Networks

Seeria üldindeks: Arvutivõrgud VKEdele: sissejuhatus

See artikkel on minisarja jätk ja viimane:

• Kalmaari + PAM-i autentimine CentOS 7-s.
• Kohalik kasutaja ja rühma haldamine
• Autoriteetne DNS-serveri NSD + Shorewall
• Prosody IM ja kohalikud kasutajad
  

Tere sõbrad ja sõbrad!

osa Harrastajad nad tahavad, et neil oleks oma meiliserver. Nad ei soovi kasutada servereid, kus "privaatsus" on küsimärkide vahel. Teie väikeses serveris teenuse rakendamise eest vastutav isik ei ole selle teema spetsialist ja proovib esialgu installida tulevase ja täieliku meiliserveri tuuma. Kas sellest, et täisvõrguserveri loomiseks kasutatavaid võrrandeid on natuke raske mõista ja rakendada. 😉

Varumärkused

• Peab olema selge, milliseid funktsioone iga Mailserverisse kaasatud programm täidab. Esialgse juhendina anname terve rea kasulikke linke deklareeritud eesmärgiga, mida nad külastavad.
• Täieliku postiteenuse käsitsi ja nullist juurutamine on väsitav protsess, välja arvatud juhul, kui olete üks "Valitutest", kes seda tüüpi ülesandeid igapäevaselt täidab. Meiliserveri moodustavad - üldiselt - erinevad programmid, mis eraldi käsitsevad SMTP, POP / IMAP, Sõnumite kohalik salvestamine, Rämpspostist, Viirusetõrje jne. KÕIK need programmid peavad omavahel õigesti suhtlema.
• Kasutajate haldamiseks pole olemas ühte kõigile sobivat suuremat mudelit või parimaid tavasid; kuhu ja kuidas sõnumeid salvestada või kuidas panna kõik komponendid toimima ühtse tervikuna.
• Mailserveri kokkupanek ja häälestamine kipub olema ebameeldiv sellistes küsimustes nagu õigused ja failiomanikud, valides, milline kasutaja vastutab teatud protsessi eest, ja väikeste vigade korral, mis on tehtud mõnes esoteerilises konfiguratsioonifailis.
• Kui te ei tea väga hästi, mida teete, on lõpptulemus ebaturvaline või veidi mittefunktsionaalne meiliserver. See, et rakendamise lõpus ei tööta, on see tõenäoliselt kõige väiksem pahe.
• Internetist leiame hea hulga retsepte, kuidas meiliserverit teha. Üks kõige täiuslikum -minu väga isiklikul arvamusel- on autori pakutav ivar abrahamsen jaanuari kolmeteistkümnendas väljaandes «Kuidas seadistada GNU / Linuxi süsteemis meiliserverit"
• Samuti soovitame lugeda artiklit «Postiserver Ubuntu 14.04-s: Postfix, Dovecot, MySQL«, või «Postiserver Ubuntu 16.04-s: Postfix, Dovecot, MySQL"
• Tõsi. Parima dokumentatsiooni selle kohta leiate inglise keeles.
  • Kuigi me ei tee kunagi Mailserverit, mida ustavalt juhataks Kuidas ... nagu mainitud eelmises lõigus, annab ainuüksi selle järkjärguline järgimine meile väga hea ülevaate sellest, millega silmitsi seisame.
• Kui soovite mõne sammuga täielikku Mailserverit, saate pildi alla laadida iRedOS-0.6.0-CentOS-5.5-i386.isovõi otsige kaasaegsemat, olgu see siis iRedOS või iRedMail. See on viis, mida ma isiklikult soovitan.

Installime ja konfigureerime:

• postituse parandamine serverina Mail Transport Ahärra (SMTP).
• Tuvipuu kui POP - IMAP-server.
• Sertifikaadid ühenduste kaudu TLS.
• Oravapost kasutajate veebiliidesena.
• DNS-kirje võrreldes «Saatja poliitika raamistik»Või SPF.
• Mooduli genereerimine Diffie Hellmani rühmitus SSL-sertifikaatide turvalisuse suurendamiseks.

Tehakse veel:

Rakendamiseks jäävad alles vähemalt järgmised teenused:

• Posthall: Postfixi serverieeskirjad hallide loendite jaoks ja rämpsposti tagasilükkamine.
  
• Amavisd-uus: skript, mis loob liidese MTA ning viiruseskannerite ja sisufiltrite vahel.
• Clamav viirusetõrje: viirusetõrje komplekt
• SpamAssassin: väljavõte rämpspostist
• habemenuga (püzor): SPAM-i hõivamine hajutatud ja koostöövõrgu kaudu. Vipul Razori võrgul on ajakohastatud kataloog rämpsposti või SPAM-ide levitamisest.
• DNS-kirje "DomainKeys Identified Mail" või dkim laiendus.

Paketid postgrey, amavisd-new, clamav, spamassassin, habemenuga y püzor Need on leitud programmihoidlatest. Leiame ka programmi openkim.

• DNS-kirjete "SPF" ja "DKIM" õige deklareerimine on hädavajalik, kui me ei soovi, et muud postiteenused, nagu näiteks meie postiserver lihtsalt kasutusele võetud, kuulutataks soovimatuks või rämpsposti või rämpsposti tootjaks gmail, Yohoo, Hotmaili, jne.

Esmane kontroll

Pidage meeles, et see artikkel on jätkuks teistele, mis algavad aastal Kalmaari + PAM-i autentimine CentOS 7-s.

Sisevõrguga ühendatud Ens32 LAN-liides

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = avalik

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Internetiga ühendatud Ens34 WAN-liides

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=jah BOOTPROTO=staatiline HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-i ruuter # selle aadressiga # on ühendatud järgmisega # IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = väline

DNS-i eraldusvõime kohtvõrgust

[root@linuxbox ~ # kassi /etc/resolv.conf otsing desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostipost
mail.desdelinux.fan on linuxboxi varjunimi.desdelinux.fänn. linuxbox.desdelinux.fanil on aadress 192.168.10.5 linuxbox.desdelinux.fännipostiga tegeleb 1 kiri.desdelinux.fänn.

[root@linuxbox ~]# hostmail.desdelinux.fänn
mail.desdelinux.fan on linuxboxi varjunimi.desdelinux.fänn. linuxbox.desdelinux.fanil on aadress 192.168.10.5 linuxbox.desdelinux.fännipostiga tegeleb 1 kiri.desdelinux.fänn.

DNS-i eraldusvõime Internetist

buzz@sysadmin:~$hostmail.desdelinux.fänn 172.16.10.30
Domeeniserveri kasutamine: Nimi: 172.16.10.30 Aadress: 172.16.10.30#53 Pseudonüümid: post.desdelinux.fan on pseudonüüm desdelinux.fänn.
desdelinux.fänni aadress on 172.16.10.10
desdelinux.fännipostiga tegeleb 10 kiri.desdelinux.fänn.

Probleemid hostinime kohalikul lahendamisel «desdelinux.fänn"

Kui teil on probleeme hosti nime lahendamisega «desdelinux.fänn" alates LAN, proovige failirida kommenteerida /etc/dnsmasq.conf kus see deklareeritakse kohalik =/desdelinux.fan/. Seejärel taaskäivitage Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommenteerige allolevat rida:
# kohalik=/desdelinux.fan/

[root @ linuxbox ~] # teenuse dnsmasq taaskäivitamine
Suunamine kausta / bin / systemctl taaskäivitage dnsmasq.service

[root @ linuxbox ~] # teenuse dnsmasq olek

[root@linuxbox ~]# host desdelinux.fänn
desdelinux.fänni aadress on 172.16.10.10
desdelinux.fännipostiga tegeleb 10 kiri.desdelinux.fänn.

Postfix ja Dovecot

Postfixi ja Dovecoti väga ulatusliku dokumentatsiooni leiate aadressilt:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LITSENTSI README-Postfix-SASL-RedHat.txt ühilduvus main.cf.default TLS_ACKNOWLEDGEMENTS näited README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORID Kopeerimine.MIT dovecot-openssl.cnf UUDISED wiki Kopeerimine ChangeLog example-config README COPYING.LGPL dokumentatsioon.txt mkcert.sh solr-schema.xml

CentOS 7-s installitakse Postfix MTA vaikimisi, kui valime suvandi Infrastruktuuriserver. Peame kontrollima, kas SELinuksi kontekst võimaldab kirjutada Potfixi kohalikus sõnumijärjekorras:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Muudatused tulemüürisD

Tulemüüri konfigureerimiseks graafilise liidese abil peame tagama, et iga tsooni jaoks on lubatud järgmised teenused ja pordid:

# ------------------------------------------------ -----
# Parandused tulemüürisD
# ------------------------------------------------ -----
# Tulemüür
# Avalik tsoon: http, https, imap, pop3, smtp teenused
# Avalik tsoon: sadamad 80, 443, 143, 110, 25

# Väline tsoon: http, https, imap, pop3s, smtp teenused
# Väline tsoon: pordid 80, 443, 143, 995, 25

Installime Dovecot ja vajalikud programmid

[root @ linuxbox ~] # yum installige dovecot mod_ssl procmaili telnet

Minimaalne Dovecoti konfiguratsioon

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokollid =imap pop3 lmtp
kuulama =*, ::
login_terve = Dovecot on valmis!

Keelasime selgesõnaliselt Dovecoti selgesõnalise autentimise:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = jah

Deklareerime grupile vajalikud õigused Dovecotiga suhtlemiseks ja sõnumite asukoha:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = post
mail_access_groups = post

Dovecoti sertifikaadid

Dovecot genereerib teie testisertifikaadid automaatselt failis olevate andmete põhjal /etc/pki/dovecot/dovecot-openssl.cnf. Uute sertifikaatide genereerimiseks vastavalt meie nõuetele peame tegema järgmised toimingud:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = jah eristatud_nimi = req_dn x509_extensions = sertifikaadi_tüüp prompt = ei [ req_dn ] # riik (2 täheline kood) C=CU # Osariigi või provintsi nimi (täisnimi) ST=Kuuba # Asukoha nimi (nt linn) ) L=Havanna # Organisatsioon (nt ettevõte) O=DesdeLinux.Fänn # Organisatsiooniüksuse nimi (nt jaotis) OU=Entusiastid # Üldnimetus (võimalik on ka *.example.com) CN=*.desdelinux.fan # E-posti kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server

Likvideerime testitunnistused

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: kustutada tavaline fail "certs / dovecot.pem"? (jah / ei) jah
[root @ linuxbox dovecot] # rm privaatne / dovecot.pem 
rm: kustutada tavaline fail "private / dovecot.pem"? (jah / ei) jah

Kopeerime ja täidame skripti mkcert.sh dokumentatsioonikataloogist

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024-bitise RSA privaatvõtme genereerimine ......++++++ ................++++++ uue privaatvõtme kirjutamine kausta '/etc/ pki/dovecot/private/dovecot.pem' ----- subjekt= /C=CU/ST=Kuuba/L=Havana/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l sertifikaadid /
kokku 4 -rw -------. 1 juurjuur 1029 22. mai 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privaatne /
kokku 4 -rw -------. 1 juurjuur 916 22. mai 16:08 dovecot.pem

[root @ linuxbox dovecot] # teenuse dovecot taaskäivitage
[root @ linuxbox dovecot] # teenuse tuvi olek

Postfixi sertifikaadid

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout privaatne/desdelinux.ventilaatoriklahv

4096-bitise RSA privaatvõtme genereerimine .........++ ..++ uue privaatvõtme kirjutamine 'private/domain.tld.key'sse ----- Teil palutakse sisestada teave mis lisatakse teie sertifikaaditaotlusesse. Seda, mida kavatsete sisestada, nimetatakse eristavaks nimeks või keeldumiseks. Väljasid on üsna vähe, kuid võite mõned tühjaks jätta Mõne välja jaoks on vaikeväärtus. Kui sisestate ".", jäetakse väli tühjaks. ----- Riigi nimi (kahetäheline kood) [XX]: CU osariigi või provintsi nimi (täisnimi) []: Kuuba piirkonna nimi (nt linn) [vaikelinn]: Havanna organisatsiooni nimi (nt ettevõte) [ Vaikimisi ettevõte Ltd]:DesdeLinux.Fänni organisatsiooniüksuse nimi (nt jaotis) []:Entusiastide üldnimi (nt teie nimi või serveri hostinimi) []:desdelinux.fan e-posti aadress []:buzz@desdelinux.fänn

Minimaalne Postfixi konfiguratsioon

Lisame faili lõppu / etc / varjunimed järgmine:

juur: sumin

Muudatuste jõustumiseks täidame järgmise käsu:

[root @ linuxbox ~] # uusalgust

Postifxi konfiguratsiooni saab teha faili otse redigeerides /etc/postfix/main.cf või käsuga postconf -e hoolitsedes selle eest, et kogu parameeter, mida soovime muuta või lisada, kajastuks konsooli ühel real:

• Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fänn'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fänn'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = kõik'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'postkasti_kommand = / usr / bin / procmail -a "$ EXTENSION" "
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ minu hostinimi ESMTP $ posti_nimi ($ mail_version)'

Lisame faili lõppu /etc/postfix/main.cf allpool toodud võimalusi. Igaühe tähenduse teadmiseks soovitame lugeda kaasasolevat dokumentatsiooni.

kalju = ei
append_dot_mydomain = ei
viivituse_hoiatuse_aeg = 4h
readme_directory = ei
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.ventilaatoriklahv
smtpd_use_tls = jah
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = luba_võrgustik luba_sasl_authenticated defer_unauth_destination

# Maksimaalne postkasti suurus 1024 megabaiti = 1 g ja g
mailbox_size_limit = 1073741824

saaja_piiraja = +
max_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Kontot, mis saadavad sissetulevate kirjade koopia teisele kontole
recipient_bcc_maps = räsi: / etc / postfix / accounts_ forwarding_copy

Järgmised read on olulised selleks, et teha kindlaks, kes saavad meile teistele serveritele saata ja edastada, nii et me ei konfigureeriks kogemata "avatud relee", mis lubab autentimata kasutajatel kirju saata. Peame uurima Postfixi abilehtedelt, et mõista, mida iga valik tähendab.

• Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.

smtpd_helo_restrictions = luba_võrgutööd,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 võimaldama

smtpd_sender_restrictions = luba_sasl_authenticated,
 luba_võrgutööd,
 warn_if_reject reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 võimaldama

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client mustad augud.easynet.nl

# MÄRKUS. Valik "check_policy_service inet: 127.0.0.1: 10023"
# võimaldab Postgrey programmi ja me ei peaks seda kaasama
# muidu hakkame kasutama Postgreyt

smtpd_recipient_restrictions = reject_unauth_pipelining,
 luba_võrgutööd,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 võimaldama

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 luba_võrgutööd,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 võimaldama
 
smtpd_helo_required = jah
smtpd_delay_reject = jah
disable_vrfy_command = jah

Loome failid / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyja me muudame faili / etc / postfix / header_checks.

• Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Kui seda faili muudetakse, pole postkaardi käivitamiseks vaja # # Reeglite testimiseks käivitage juur: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Peaks tagasi pöörduma: # KEELA Reegel nr 2 Rämpspostivastane teade
/ viagra / REJECT reegel nr 1 Sõnumikeha rämpspostitõrje
/ super new v [i1] agra / REJECT Reegel # 2 Rämpspostivastane sõnum

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Pärast muutmist peate käivitama: # postmap / etc / postfix / accounts_ forwarding_copy
# ja fail on loodud või mõõdetud: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # ÜKS konto ühe BCC edastamiseks koopia # BCC = Black Carbon Copy # Näide: # webadmin@desdelinux.fan buzz@desdelinux.fänn

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lisa faili lõppu # EI NÕUBA Postkaarti, kuna need on regulaaravaldised
/ ^ Teema: =? Big5? / REJECT Hiina kodeering pole selles serveris aktsepteeritud
/ ^ Teema: =? EUC-KR? / REJECT Korea kodeering pole selles serveris lubatud
/ ^ Teema: ADV: / REJECT Reklaamid, mida see server ei aktsepteeri
/^Pealt :.*\@.*\.cn/ LÜLITA Vabandust, hiina kirju pole siin lubatud
/^From:.*\@.*\.kr/ LÜLITA Vabandust, Korea kirju pole siin lubatud
/^From:.*\@.*\.tr/ LÜGISTA Vabandust, Türgi posti pole siin lubatud
/^Pealt :.*\@.*\.ro/ LÜLITA Vabandust, Rumeenia posti pole siin lubatud
/^(Saanud|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Kiirvõte | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masspostitajaid pole lubatud.
/ ^ Saatja: "rämpspostitseja / KEELA
/ ^ Saatja: "rämpspost / KEELA
/^Subjekt :.*viagra/ HÜVAKE
# Ohtlikud laiendused
/ name = [^> Iluminación * \. (nahkhiir | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / KEELA LÜLITAMINE Me ei aktsepteeri nende laienditega manuseid

Kontrollime süntaksit, taaskäivitame Apache ja Postifx ning lubame ja käivitame Dovecoti

[root @ linuxbox ~] # postfixi kontroll
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl taaskäivitage httpd
[root @ linuxbox ~] # systemctl olek httpd

[root @ linuxbox ~] # systemctl taaskäivitage postfix
[root @ linuxbox ~] # systemctl oleku postfix

[root @ linuxbox ~] # systemctl oleku tuvi
● dovecot.service - Dovecot IMAP / POP3 e-posti server on laaditud: laaditud (/usr/lib/systemd/system/dovecot.service; keelatud; hankija eelseadistatud: keelatud) Aktiivne: passiivne (surnud)

[root @ linuxbox ~] # systemctl lubab tuvipesa
[root @ linuxbox ~] # systemctl käivitage tuvikott
[root @ linuxbox ~] # systemctl taaskäivitage dovecot
[root @ linuxbox ~] # systemctl oleku tuvi

Konsoolitaseme kontroll

• Enne teiste programmide installimise ja konfigureerimisega jätkamist on väga oluline kontrollida SMTP- ja POP-teenuseid minimaalselt.

Lokaalne serverist endast

Saadame kohalikule kasutajale meili legolas.

[root @ linuxbox ~] # echo "Tere. See on proovisõnum" | mail -s "Test" legolas

Kontrollime kasutaja postkasti Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -ühendus 127.0.0.1:110 -starttls pop3

Pärast sõnumit Dovecot on valmis! jätkame:

---
+ OK Dovecot on valmis!
KASUTAJA legolas +OK PASS legolas +OK Sisse logitud. STAT +OK 1 559 LOEND +OK 1 sõnumid: 1 559 . RETR 1 + OK 559 oktetti tagastustee:desdelinux.fan> X-Original-To: legolas Tarnitud-To: legolas@desdelinux.fänn Saanud: poolt desdelinux.fan (Postfix, kasutajatunnusest 0) id 7EA22C11FC57; esmaspäev, 22. mai 2017 10:47:10 -0400 (EDT) Kuupäev: esmaspäev, 22 mai 2017 10:47:10 -0400 Saaja: legolas@desdelinux.fan Teema: Testkasutaja-agent: Heirloom mailx 12.5 7/5/10 MIME-versioon: 1.0 Sisutüüp: tekst/lihtne; charset=us-ascii sisu edastamise kodeering: 7-bitine sõnumi ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Saatja: root@desdelinux.fänn (juur) Tere. See on testsõnum. LÕPETA TEHTUD
[root @ linuxbox ~] #

Puldid kohtvõrgus olevast arvutist

Saadame uue sõnumi aadressile legolas teisest kohtvõrgu arvutist. Pange tähele, et TLS-i turvalisus EI OLE VKE-võrgus tingimata vajalik.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fänn\
-u "Tere" \
-m "Tervitused Legolas teie sõbralt Buzzilt" \
- e-posti aadress.desdelinux.fan -o tls=no
22. mai 10:53:08 sysadmin sendemail [5866]: E-posti saatmine õnnestus!

Kui proovime ühendust luua telnet LAN-is olevast hostist - või muidugi Internetist - kuni Dovecotini juhtub järgmine, kuna keelame tekstteksti autentimise:

buzz@sysadmin:~$ telneti meil.desdelinux.ventilaator 110Proovin 192.168.10.5...
Ühendatud linuxboxiga.desdelinux.fänn. Põgenemismärk on „^]”. +OK Dovecot on valmis! kasutaja legolas
-ERR [AUTH] Tavalise teksti autentimine on mitteturvalistel (SSL / TLS) ühendustel keelatud.
quit + OK Väljalogimine Ühendus on välismaa host suletud.
buzz @ sysadmin: ~ $

Me peame selle läbi tegema openssl. Käsu täielik väljund oleks:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
ÜHENDATUD (00000003)
sügavus=0 C = CU, ST = Kuuba, L = Havanna, O = DesdeLinux.Fan, OU = entusiastid, CN = *.desdelinux.fänn, meiliaadress = buzz@desdelinux.fänn
kontrollige viga: num = 18: ise allkirjastatud sertifikaat kontrollige tagastamist:
sügavus=0 C = CU, ST = Kuuba, L = Havanna, O = DesdeLinux.Fan, OU = entusiastid, CN = *.desdelinux.fänn, meiliaadress = buzz@desdelinux.fan verify return:1
--- Sertifikaatide ahel 0 s:/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Kliendi serdi CA nimesid ei saadetud Server Temp Key: ECDH, secp384r1, 384 bitti --- SSL-käepigistus on lugenud 1342 baiti ja kirjutanud 411 baiti --- Uus, TLSv1/SSLv3, šifr on ECDHE-RSA-AES256 -GCM-SHA384 Serveri avalik võti on 1024-bitine Turvalist uuesti läbirääkimist ON toetatud Tihendamine: PUUDUB Laiendus: PUUDUB SSL-seanss: Protokoll: TLSv1.2 šifr: ECDHE-RSA-AES256-GCM-SHA384 Seansi ID: C745DCBE4DCBCE0236204DCB16234 15FF9F3DB 084125C5989BF5E6D5295A Seansi ID- ctx : Peavõti: 4D2C73B1904CEA204F564AF76361AF50373D8879C793F7F7506A04473777FD6CD3503F9BC919BFF1E837F67 Võti nr PSKne: Põhimõte nr: KrSKne29E309F352526 identiteedi vihje: puudub TLS-i seansipileti eluaegne vihje: 5 (sekundit) TLS-i seansipilet: 5 - 300e 0000a f4 3 8a 29f 7 4- ee f63 a72 7f fc ec 6e 4c N:.)zOcr...O..~. 7 - 1c d0010 be a2 be 4 8e ae-92 2e 98 7d 87 c6 45 a5 ,.....~.mE... 17 - db 8a 0020 3 df 86b dc 80d-f8 8f 8 e1 db 68 a6 .:.......hn.... 7 - 3 86 e0030 eb 08 b35 a5 98-8 b4 ea f98 68 f1 c7 72 .7......h...r ..y 1 - 79 5a 0040 e89 4 a28 3b da-e85 4a 8 c9 7 bf 29 7d .J(......z).w." 77 - bd 22c f0 0050 5c a6 61 bd-cb 8 1 14 31a dc 27 66 .\.a.....7'fz.Q( 51 - b28 1-st bd 0060b 7f d35 ec-d2 e0 4 c3 0 14 b8 65 ..03.+.... ...e ..1 35 - 5 5 f0070 de 38 da ae 34-8 bd f48 b31 e90 6c cf 0 6..H..9........ 19 - f84 1 0080 5 42 b56 13c db-aa ee 88a d0 8b 5c dd 7 .BV.......Z...,.q 1 - 2a f71 0090 7 1 03 c70 90a-94 e9 0f 62c bf dc 5c a0 z..p.. ..b. ....<. Algusaeg: 9 Aeg: 3 (sek) Kontrolli tagastuskoodi: 0 (iseallkirjastatud sertifikaat) ---
+ OK Dovecot on valmis!
KASUTAJA legolas
+ OK
PASS legolasid
+ OK Sisse logitud.
LIST
+ OK 1 sõnumit: 1 1021.
TAGASI 1
+OK 1021 okteti tagastustee: X-Original-To: legolas@desdelinux.fan Tarnitud: legolas@desdelinux.fan Vastu võetud: süsteemiadminilt.desdelinux.fan (värav [172.16.10.1]) poolt desdelinux.fan (Postfix) ESMTP ID-ga 51886C11E8C0desdelinux.fan>; Esmaspäev, 22. mai 2017 kell 15:09:11 -0400 (EDT) Sõnumi ID: <919362.931369932-sendEmail@sysadmin> Saatja: "buzz@deslinux.fan" Saaja: "legolas@desdelinux.fänn"desdelinux.fan> Teema: Tere Kuupäev: esmaspäev, 22. mai 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-versioon: 1.0 Sisutüüp: mitmeosaline/seotud; boundary="----MIME eraldaja sendEmail-365707.724894495" See on mitmeosaline sõnum MIME-vormingus. Selle teate õigeks kuvamiseks vajate MIME-versiooniga 1.0 ühilduvat meiliprogrammi. ------MIME-eraldaja jaoks sendEmail-365707.724894495 Sisutüüp: tekst/tavaline; charset="iso-8859-1" Content-Transfer-Encoding: 7-bit Tervitused Legolas teie sõbra Buzzilt ------MIME-eraldaja jaoks sendEmail-365707.724894495-- .
VÄLJU
+ OK Väljalogimine. suletud
buzz @ sysadmin: ~ $

Oravapost

Oravapost on täielikult PHP-s kirjutatud veebiklient. See sisaldab kohalikku PHP-tuge IMAP- ja SMTP-protokollidele ning tagab maksimaalse ühilduvuse erinevate kasutatavate brauseritega. See töötab õigesti mis tahes IMAP-serveris. Sellel on kõik e-posti kliendilt vajalikud funktsioonid, sealhulgas MIME tugi, aadressiraamatu ja kaustade haldamine.

[root @ linuxbox ~] # yum installige oravapost
[root @ linuxbox ~] # teenuse httpd taaskäivitamine

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domeen = 'desdelinux.fänn';
$imapServerAddress = 'post.desdelinux.fänn';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fänn';

[root @ linuxbox ~] # teenuse httpd uuesti laadimine

DNS-i saatmisreeglite raamistöö või SPF-kirje

Artiklis Autoriteetne DNS-serveri NSD + Shorewall Nägime, et tsoon «desdelinux.fan» konfigureeriti järgmiselt:

root@ns:~# nano /etc/nsd/desdelinux.fännitsoon
$ ORIGIN desdelinux.fänn. $TTL 3H @ IN SOA nr.desdelinux.fänn. juur.desdelinux.fänn. (1; seeria 1D; värskenda 1H; proovi uuesti 1W; aegu 3H); minimaalne või ; Negatiivne vahemällu salvestamise aeg ; @ IN NS ns.desdelinux.fänn. @ IN MX 10 e-kiri.desdelinux.fänn.
@ IN TXT "v=spf1 a:mail.desdelinux.fänn -kõik"
; ; Registreerimine kaevamispäringute lahendamiseks desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.fänn. vestelda CNAME'is   desdelinux.fänn. www IN CNAME   desdelinux.fänn. ; ; XMPP-ga seotud SRV kirjed
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fänn. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fänn. _jabber._tcp SRV-s 0 0 5269 desdelinux.fänn.

Selles on register deklareeritud:

@ IN TXT "v=spf1 a:mail.desdelinux.fänn -kõik"

Sama parameetri seadistamiseks VKE võrgu või kohtvõrgu jaoks peame Dnsmasqi konfiguratsioonifaili muutma järgmiselt:

# TXT-kirjed. Samuti saame deklareerida SPF-kirje txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fänn -kõik"

Seejärel taaskäivitame teenuse:

[root @ linuxbox ~] # teenuse dnsmasq taaskäivitamine
[root@linuxbox ~]# teenuse dnsmasq olek [root@linuxbox ~]# host -t TXT-post.desdelinux.fännipost.desdelinux.fan on pseudonüüm desdelinux.fänn.
desdelinux.fan kirjeldav tekst "v=spf1 a:mail.desdelinux.fänn -kõik"

Ise allkirjastatud sertifikaadid ja Apache või httpd

Isegi kui teie brauser ütleb teile, et « mail.desdelinux.fänn Olete oma veebisaidi valesti konfigureerinud. Teie teabe varastamise vältimiseks ei ole Firefox selle veebisaidiga ühendust võtnud ”, varem loodud sertifikaat SEE ON KEHTIVja lubavad pärast sertifikaadi aktsepteerimist kliendi ja serveri vahelised mandaadid krüptitult reisida.

Soovi korral ja sertifikaatide ühtlustamise viisina võite Apache jaoks deklareerida samad sertifikaadid, nagu deklareerisite ka Postfixi jaoks, mis on õige.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.ventilaatoriklahv

[root @ linuxbox ~] # teenus httpd restart
[root @ linuxbox ~] # teenuse httpd olek

Diffie-Hellmani rühmitus

Turvalisuse teema muutub Internetis iga päevaga keerulisemaks. Üks levinumaid rünnakuid ühenduste vastu SSLon Ummistuse ja selle vastu kaitsmiseks on vaja lisada SSL-i konfiguratsioonile mittestandardsed parameetrid. Selle jaoks on olemas RFC-3526 «Rohkem modulaarset eksponentsiaalset (MODP) Diffie-Hellman rühmade Interneti-võtmevahetuse (IKE) jaoks"

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Vastavalt meie installitud Apache versioonile kasutame failist Diffie-Helmani gruppi /etc/pki/tls/dhparams.pem. Kui see on versioon 2.4.8 või uuem, peame faili lisama /etc/httpd/conf.d/ssl.conf järgmine rida:

SSLOpenSSLConfCmd DHParameetrid "/etc/pki/tls/private/dhparams.pem"

Apache'i versioon, mida kasutame, on järgmine:

[root @ linuxbox tls] # yum info httpd
Laaditud pistikprogrammid: fastestmirror, langpacks Peeglikiiruste laadimine vahemällu salvestatud hostifailist Installitud paketid Nimi: httpd Arhitektuur: x86_64
Versioon: 2.4.6
Väljaanne: 45.el7.centos Suurus: 9.4 M hoidla: installitud hoidlast: Base-Repo kokkuvõte: Apache HTTP serveri URL: http://httpd.apache.org/ Litsents: ASL 2.0 Kirjeldus: Apache HTTP server on võimas, tõhus ja laiendatav: veebiserver.

Kuna meil on versioon 2.4.8 varasem, lisame varem loodud CRT-sertifikaadi lõppu Diffie-Helman Groupi sisu:

[root @ linuxbox tls] # kass privaatne / dhparams.pem >> sertifikaadid/desdelinux.fan.crt

Kui soovite kontrollida, kas DH parameetrid on CRT-sertifikaadile õigesti lisatud, täitke järgmised käsud:

[root @ linuxbox tls] # kass privaatne / dhparams.pem 
----- DH-PARAMETRI ALGUS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LÕPP DH-PARAMEETRID -----

[root@linuxbox tls]# kassitunnistust/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LÕPP DH-PARAMEETRID -----

Pärast neid muudatusi peame teenused Postfix ja httpd taaskäivitama:

[root @ linuxbox tls] # teenuse postfix taaskäivitage
[root @ linuxbox tls] # teenuse postfixi olek
[root @ linuxbox tls] # teenus httpd taaskäivitage
[root @ linuxbox tls] # teenuse httpd olek

Diffie-Helmani grupi lisamine meie TLS-i sertifikaatidesse võib muuta HTTPS-i kaudu ühenduse loomise veidi aeglasemaks, kuid turvalisuse lisamine on seda väärt.

Oravaposti kontrollimine

PÄRAST et sertifikaadid on õigesti loodud ja et me kontrollime nende õiget toimimist nagu konsoolikäskude abil, suunake eelistatud brauser URL-ile http://mail.desdelinux.fan/webmail ja see ühendub veebikliendiga pärast vastava sertifikaadi aktsepteerimist. Pange tähele, et hoolimata sellest, et määrate HTTP-protokolli, suunatakse see HTTPS-i ja see on tingitud vaikesätetest, mida CentOS pakub Squirrelmailile. Vaadake faili /etc/httpd/conf.d/squirrelmail.conf.

Kasutaja postkastide kohta

Dovecot loob kausta IMAP-postkastid kodus iga kasutaja kohta:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
kokku 12 drwxrwx ---. 5 legolas mail 4096 22. mai 12:39. drwx ------. 3 legolas legolas 75 22. mai 11:34 .. -rw -------. 1 legolas legolas 72. mai 22. 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. mai 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 mai 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. mai 10:23 INBOX drwx ------. 2 legolas legolas 56. mai 22. mai 12:39 Saadetud drwx ------. 2 legolas legolas 30. mai 22. 11:34 Prügikast

Need on salvestatud ka kataloogi / var / mail /

[root @ linuxbox ~] # vähem / var / mail / legolas
Alates MAILER_DAEMON esmaspäev, 22. mai 10:28:00 2017 Kuupäev: esmaspäev, 22 mai 2017 10:28:00 -0400 saatja: meilisüsteemi siseandmed Teema: ÄRGE KUSTUTAGE SEDA SÕNUMI -- KAUST SISEMINE ANDMED Sõnumi ID: <1495463280@linuxbox> . Selle loob automaatselt meilisüsteemi tarkvara. Kustutamise korral lähevad olulised kaustaandmed kaotsi ja need luuakse uuesti, lähtestades algväärtustele. root@desdelinux.fan Esmaspäev, 22. mai 10:47:10 2017 Tagastustee:desdelinux.fan> X-Original-To: legolas Tarnitud-To: legolas@desdelinux.fänn Saanud: poolt desdelinux.fan (Postfix, kasutajatunnusest 0) id 7EA22C11FC57; esmaspäev, 22. mai 2017 10:47:10 -0400 (EDT) Kuupäev: esmaspäev, 22 mai 2017 10:47:10 -0400 Saaja: legolas@desdelinux.fan Teema: Testkasutaja-agent: Heirloom mailx 12.5 7/5/10 MIME-versioon: 1.0 Sisutüüp: tekst/lihtne; charset=us-ascii sisu edastamise kodeering: 7-bitine sõnumi ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Saatja: root@desdelinux.fan (root) X-UID: 7 Olek: RO Tere. See on testsõnum aadressilt buzz@deslinux.fan esmaspäev, 22. mai 10:53:08 2017 Return-Path: X-Original-To: legolas@desdelinux.fan Tarnitud: legolas@desdelinux.fan Vastu võetud: süsteemiadminilt.desdelinux.fan (värav [172.16.10.1]) poolt desdelinux.fan (Postfix) ESMTP ID-ga C184DC11FC57 jaoksdesdelinux.fan>; Esmaspäev, 22. mai 2017 kell 10:53:08 -0400 (EDT) Sõnumi ID: <739874.219379516-sendEmail@sysadmin> Saatja: "buzz@deslinux.fan" Saaja: "legolas@desdelinux.fänn"desdelinux.fan> Teema: Tere Kuupäev: esmaspäev, 22. mai 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-versioon: 1.0 Sisutüüp: mitmeosaline/seotud; boundary="----MIME eraldaja sendEmail-794889.899510057 jaoks
/ var / mail / legolas

PAMi miniseeria kokkuvõte

Oleme uurinud Mailserveri tuuma ja pannud veidi rõhku turvalisusele. Loodame, et artikkel toimib sisenemiskohana sama keerulisele ja vastuvõtlikule teemale kui meiliserveri käsitsi juurutamine.

Kasutame kohaliku kasutaja autentimist, sest kui loeme faili õigesti /etc/dovecot/conf.d/10-auth.conf, näeme, et lõpuks on see lisatud -vaikimisi- süsteemikasutajate autentimisfail ! sisaldab auth-system.conf.ext. Täpselt see fail ütleb meile oma päises, et:

[juur @ linuxbox ~] # vähem /etc/dovecot/conf.d/auth-system.conf.ext
# Autentimine süsteemikasutajatele. Kaasa 10-auth.conf-ist. # # # # PAM-i autentimine. Eelistab tänapäeval enamus süsteeme.
# PAM-i kasutatakse tavaliselt koos userdb parooliga või staatilise userdb-ga. # MEELDE: PAM # autentimiseks loodud /etc/pam.d/dovecot faili reaalseks toimimiseks on vaja. passdb {draiver = pam # [seanss = jah] [seatcred = jah] [rike_näitus_msg = jah] [max_requests = ] # [vahemälu_klahv = ] [ ] #args = tuvi}

Ja teine ​​fail on olemas /etc/pam.d/dovecot:

[root @ linuxbox ~] # kass /etc/pam.d/dovecot 
#% PAM-1.0 autentimine on vajalik pam_nologin.so autentimine hõlmab ka parooli-autentimise konto sisaldama parooli-autentimise seanss sisaldab parooli-autentimist

Mida me üritame PAM-i autentimise kohta edastada?

• CentOS, Debian, Ubuntu ja paljud teised Linuxi jaotused installivad Postifxi ja Dovecoti vaikimisi kohaliku autentimisega.
• Paljudes Interneti-artiklites kasutatakse MySQL-i ja hiljuti MariaDB-d kasutajate ja muude Mailserverit puudutavate andmete salvestamiseks. AGA need on serverid TUHANDELE KASUTAJATELE, mitte aga klassikalisele VKE-võrgule, millel võib olla sadu kasutajaid.
• PAM-i kaudu autentimine on vajalik ja piisav võrguteenuste pakkumiseks seni, kuni need töötavad ühes serveris, nagu oleme selles minisarjas näinud.
• LDAP-i andmebaasi salvestatud kasutajaid saab kaardistada nii, nagu oleksid nad kohalikud kasutajad, ja PAM-autentimist saab kasutada võrguteenuste pakkumiseks erinevatest Linuxi serveritest, mis toimivad keskse autentimisserveri LDAP-klientidena. Nii töötaksime LDAP-serveri keskandmebaasi salvestatud kasutajate mandaatidega ja kohalike kasutajatega EI oleks hädavajalik andmebaasi pidada.

  

  

  

Järgmise seikluseni!