Seeria üldindeks: Arvutivõrgud VKEdele: sissejuhatus
See artikkel on minisarja jätk ja viimane:
- Kalmaari + PAM-i autentimine CentOS 7-s.
- Kohalik kasutaja ja rühma haldamine
- Autoriteetne DNS-serveri NSD + Shorewall
- Prosody IM ja kohalikud kasutajad
Tere sõbrad ja sõbrad!
osa Harrastajad nad tahavad, et neil oleks oma meiliserver. Nad ei soovi kasutada servereid, kus "privaatsus" on küsimärkide vahel. Teie väikeses serveris teenuse rakendamise eest vastutav isik ei ole selle teema spetsialist ja proovib esialgu installida tulevase ja täieliku meiliserveri tuuma. Kas sellest, et täisvõrguserveri loomiseks kasutatavaid võrrandeid on natuke raske mõista ja rakendada. 😉
Varumärkused
- Peab olema selge, milliseid funktsioone iga Mailserverisse kaasatud programm täidab. Esialgse juhendina anname terve rea kasulikke linke deklareeritud eesmärgiga, mida nad külastavad.
- Täieliku postiteenuse käsitsi ja nullist juurutamine on väsitav protsess, välja arvatud juhul, kui olete üks "Valitutest", kes seda tüüpi ülesandeid igapäevaselt täidab. Meiliserveri moodustavad - üldiselt - erinevad programmid, mis eraldi käsitsevad SMTP, POP / IMAP, Sõnumite kohalik salvestamine, Rämpspostist, Viirusetõrje jne. KÕIK need programmid peavad omavahel õigesti suhtlema.
- Kasutajate haldamiseks pole olemas ühte kõigile sobivat suuremat mudelit või parimaid tavasid; kuhu ja kuidas sõnumeid salvestada või kuidas panna kõik komponendid toimima ühtse tervikuna.
- Mailserveri kokkupanek ja häälestamine kipub olema ebameeldiv sellistes küsimustes nagu õigused ja failiomanikud, valides, milline kasutaja vastutab teatud protsessi eest, ja väikeste vigade korral, mis on tehtud mõnes esoteerilises konfiguratsioonifailis.
- Kui te ei tea väga hästi, mida teete, on lõpptulemus ebaturvaline või veidi mittefunktsionaalne meiliserver. See, et rakendamise lõpus ei tööta, on see tõenäoliselt kõige väiksem pahe.
- Internetist leiame hea hulga retsepte, kuidas meiliserverit teha. Üks kõige täiuslikum -minu väga isiklikul arvamusel- on autori pakutav ivar abrahamsen jaanuari kolmeteistkümnendas väljaandes «Kuidas seadistada GNU / Linuxi süsteemis meiliserverit"
- Samuti soovitame lugeda artiklit «Postiserver Ubuntu 14.04-s: Postfix, Dovecot, MySQL«, või «Postiserver Ubuntu 16.04-s: Postfix, Dovecot, MySQL"
- Tõsi. Parima dokumentatsiooni selle kohta leiate inglise keeles.
- Kuigi me ei tee kunagi Mailserverit, mida ustavalt juhataks Kuidas ... nagu mainitud eelmises lõigus, annab ainuüksi selle järkjärguline järgimine meile väga hea ülevaate sellest, millega silmitsi seisame.
- Kui soovite mõne sammuga täielikku Mailserverit, saate pildi alla laadida iRedOS-0.6.0-CentOS-5.5-i386.isovõi otsige kaasaegsemat, olgu see siis iRedOS või iRedMail. See on viis, mida ma isiklikult soovitan.
Installime ja konfigureerime:
- postituse parandamine serverina Mail Transport Ahärra (SMTP).
- Tuvipuu kui POP - IMAP-server.
- Sertifikaadid ühenduste kaudu TLS.
- Oravapost kasutajate veebiliidesena.
- DNS-kirje võrreldes «Saatja poliitika raamistik»Või SPF.
- Mooduli genereerimine Diffie Hellmani rühmitus SSL-sertifikaatide turvalisuse suurendamiseks.
Tehakse veel:
Rakendamiseks jäävad alles vähemalt järgmised teenused:
- Posthall: Postfixi serverieeskirjad hallide loendite jaoks ja rämpsposti tagasilükkamine.
- Amavisd-uus: skript, mis loob liidese MTA ning viiruseskannerite ja sisufiltrite vahel.
- Clamav viirusetõrje: viirusetõrje komplekt
- SpamAssassin: väljavõte rämpspostist
- habemenuga (püzor): SPAM-i hõivamine hajutatud ja koostöövõrgu kaudu. Vipul Razori võrgul on ajakohastatud kataloog rämpsposti või SPAM-ide levitamisest.
- DNS-kirje "DomainKeys Identified Mail" või dkim laiendus.
Paketid postgrey, amavisd-new, clamav, spamassassin, habemenuga y püzor Need on leitud programmihoidlatest. Leiame ka programmi openkim.
- DNS-kirjete "SPF" ja "DKIM" õige deklareerimine on hädavajalik, kui me ei soovi, et muud postiteenused, nagu näiteks meie postiserver lihtsalt kasutusele võetud, kuulutataks soovimatuks või rämpsposti või rämpsposti tootjaks gmail, Yohoo, Hotmaili, jne.
Esmane kontroll
Pidage meeles, et see artikkel on jätkuks teistele, mis algavad aastal Kalmaari + PAM-i autentimine CentOS 7-s.
Sisevõrguga ühendatud Ens32 LAN-liides
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = avalik
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Internetiga ühendatud Ens34 WAN-liides
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=jah BOOTPROTO=staatiline HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-i ruuter # selle aadressiga # on ühendatud järgmisega # IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = väline
DNS-i eraldusvõime kohtvõrgust
[root@linuxbox ~ # kassi /etc/resolv.conf otsing desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostipost mail.desdelinux.fan on linuxboxi varjunimi.desdelinux.fänn. linuxbox.desdelinux.fanil on aadress 192.168.10.5 linuxbox.desdelinux.fännipostiga tegeleb 1 kiri.desdelinux.fänn. [root@linuxbox ~]# hostmail.desdelinux.fänn mail.desdelinux.fan on linuxboxi varjunimi.desdelinux.fänn. linuxbox.desdelinux.fanil on aadress 192.168.10.5 linuxbox.desdelinux.fännipostiga tegeleb 1 kiri.desdelinux.fänn.
DNS-i eraldusvõime Internetist
buzz@sysadmin:~$hostmail.desdelinux.fänn 172.16.10.30 Domeeniserveri kasutamine: Nimi: 172.16.10.30 Aadress: 172.16.10.30#53 Pseudonüümid: post.desdelinux.fan on pseudonüüm desdelinux.fänn. desdelinux.fänni aadress on 172.16.10.10 desdelinux.fännipostiga tegeleb 10 kiri.desdelinux.fänn.
Probleemid hostinime kohalikul lahendamisel «desdelinux.fänn"
Kui teil on probleeme hosti nime lahendamisega «desdelinux.fänn" alates LAN, proovige failirida kommenteerida /etc/dnsmasq.conf kus see deklareeritakse kohalik =/desdelinux.fan/. Seejärel taaskäivitage Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommenteerige allolevat rida: # kohalik=/desdelinux.fan/ [root @ linuxbox ~] # teenuse dnsmasq taaskäivitamine Suunamine kausta / bin / systemctl taaskäivitage dnsmasq.service [root @ linuxbox ~] # teenuse dnsmasq olek [root@linuxbox ~]# host desdelinux.fänn desdelinux.fänni aadress on 172.16.10.10 desdelinux.fännipostiga tegeleb 10 kiri.desdelinux.fänn.
Postfix ja Dovecot
Postfixi ja Dovecoti väga ulatusliku dokumentatsiooni leiate aadressilt:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LITSENTSI README-Postfix-SASL-RedHat.txt ühilduvus main.cf.default TLS_ACKNOWLEDGEMENTS näited README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AUTORID Kopeerimine.MIT dovecot-openssl.cnf UUDISED wiki Kopeerimine ChangeLog example-config README COPYING.LGPL dokumentatsioon.txt mkcert.sh solr-schema.xml
CentOS 7-s installitakse Postfix MTA vaikimisi, kui valime suvandi Infrastruktuuriserver. Peame kontrollima, kas SELinuksi kontekst võimaldab kirjutada Potfixi kohalikus sõnumijärjekorras:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Muudatused tulemüürisD
Tulemüüri konfigureerimiseks graafilise liidese abil peame tagama, et iga tsooni jaoks on lubatud järgmised teenused ja pordid:
# ------------------------------------------------ ----- # Parandused tulemüürisD # ------------------------------------------------ ----- # Tulemüür # Avalik tsoon: http, https, imap, pop3, smtp teenused # Avalik tsoon: sadamad 80, 443, 143, 110, 25 # Väline tsoon: http, https, imap, pop3s, smtp teenused # Väline tsoon: pordid 80, 443, 143, 995, 25
Installime Dovecot ja vajalikud programmid
[root @ linuxbox ~] # yum installige dovecot mod_ssl procmaili telnet
Minimaalne Dovecoti konfiguratsioon
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokollid =imap pop3 lmtp kuulama =*, :: login_terve = Dovecot on valmis!
Keelasime selgesõnaliselt Dovecoti selgesõnalise autentimise:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = jah
Deklareerime grupile vajalikud õigused Dovecotiga suhtlemiseks ja sõnumite asukoha:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = post mail_access_groups = post
Dovecoti sertifikaadid
Dovecot genereerib teie testisertifikaadid automaatselt failis olevate andmete põhjal /etc/pki/dovecot/dovecot-openssl.cnf. Uute sertifikaatide genereerimiseks vastavalt meie nõuetele peame tegema järgmised toimingud:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = jah eristatud_nimi = req_dn x509_extensions = sertifikaadi_tüüp prompt = ei [ req_dn ] # riik (2 täheline kood) C=CU # Osariigi või provintsi nimi (täisnimi) ST=Kuuba # Asukoha nimi (nt linn) ) L=Havanna # Organisatsioon (nt ettevõte) O=DesdeLinux.Fänn # Organisatsiooniüksuse nimi (nt jaotis) OU=Entusiastid # Üldnimetus (võimalik on ka *.example.com) CN=*.desdelinux.fan # E-posti kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Likvideerime testitunnistused
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: kustutada tavaline fail "certs / dovecot.pem"? (jah / ei) jah [root @ linuxbox dovecot] # rm privaatne / dovecot.pem rm: kustutada tavaline fail "private / dovecot.pem"? (jah / ei) jah
Kopeerime ja täidame skripti mkcert.sh dokumentatsioonikataloogist
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 1024-bitise RSA privaatvõtme genereerimine ......++++++ ................++++++ uue privaatvõtme kirjutamine kausta '/etc/ pki/dovecot/private/dovecot.pem' ----- subjekt= /C=CU/ST=Kuuba/L=Havana/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l sertifikaadid / kokku 4 -rw -------. 1 juurjuur 1029 22. mai 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l privaatne / kokku 4 -rw -------. 1 juurjuur 916 22. mai 16:08 dovecot.pem [root @ linuxbox dovecot] # teenuse dovecot taaskäivitage [root @ linuxbox dovecot] # teenuse tuvi olek
Postfixi sertifikaadid
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout privaatne/desdelinux.ventilaatoriklahv 4096-bitise RSA privaatvõtme genereerimine .........++ ..++ uue privaatvõtme kirjutamine 'private/domain.tld.key'sse ----- Teil palutakse sisestada teave mis lisatakse teie sertifikaaditaotlusesse. Seda, mida kavatsete sisestada, nimetatakse eristavaks nimeks või keeldumiseks. Väljasid on üsna vähe, kuid võite mõned tühjaks jätta Mõne välja jaoks on vaikeväärtus. Kui sisestate ".", jäetakse väli tühjaks. ----- Riigi nimi (kahetäheline kood) [XX]: CU osariigi või provintsi nimi (täisnimi) []: Kuuba piirkonna nimi (nt linn) [vaikelinn]: Havanna organisatsiooni nimi (nt ettevõte) [ Vaikimisi ettevõte Ltd]:DesdeLinux.Fänni organisatsiooniüksuse nimi (nt jaotis) []:Entusiastide üldnimi (nt teie nimi või serveri hostinimi) []:desdelinux.fan e-posti aadress []:buzz@desdelinux.fänn
Minimaalne Postfixi konfiguratsioon
Lisame faili lõppu / etc / varjunimed järgmine:
juur: sumin
Muudatuste jõustumiseks täidame järgmise käsu:
[root @ linuxbox ~] # uusalgust
Postifxi konfiguratsiooni saab teha faili otse redigeerides /etc/postfix/main.cf või käsuga postconf -e hoolitsedes selle eest, et kogu parameeter, mida soovime muuta või lisada, kajastuks konsooli ühel real:
- Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fänn' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fänn' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = kõik' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'postkasti_kommand = / usr / bin / procmail -a "$ EXTENSION" " [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ minu hostinimi ESMTP $ posti_nimi ($ mail_version)'
Lisame faili lõppu /etc/postfix/main.cf allpool toodud võimalusi. Igaühe tähenduse teadmiseks soovitame lugeda kaasasolevat dokumentatsiooni.
kalju = ei append_dot_mydomain = ei viivituse_hoiatuse_aeg = 4h readme_directory = ei smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.ventilaatoriklahv smtpd_use_tls = jah smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = luba_võrgustik luba_sasl_authenticated defer_unauth_destination # Maksimaalne postkasti suurus 1024 megabaiti = 1 g ja g mailbox_size_limit = 1073741824 saaja_piiraja = + max_queue_lifetime = 7d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Kontot, mis saadavad sissetulevate kirjade koopia teisele kontole recipient_bcc_maps = räsi: / etc / postfix / accounts_ forwarding_copy
Järgmised read on olulised selleks, et teha kindlaks, kes saavad meile teistele serveritele saata ja edastada, nii et me ei konfigureeriks kogemata "avatud relee", mis lubab autentimata kasutajatel kirju saata. Peame uurima Postfixi abilehtedelt, et mõista, mida iga valik tähendab.
- Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.
smtpd_helo_restrictions = luba_võrgutööd,
warn_if_reject reject_non_fqdn_hostname,
reject_invalid_hostname,
võimaldama
smtpd_sender_restrictions = luba_sasl_authenticated,
luba_võrgutööd,
warn_if_reject reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauth_pipelining,
võimaldama
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client mustad augud.easynet.nl
# MÄRKUS. Valik "check_policy_service inet: 127.0.0.1: 10023"
# võimaldab Postgrey programmi ja me ei peaks seda kaasama
# muidu hakkame kasutama Postgreyt
smtpd_recipient_restrictions = reject_unauth_pipelining,
luba_võrgutööd,
allow_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
võimaldama
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_relay_restrictions = reject_unauth_pipelining,
luba_võrgutööd,
allow_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
võimaldama
smtpd_helo_required = jah
smtpd_delay_reject = jah
disable_vrfy_command = jah
Loome failid / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyja me muudame faili / etc / postfix / header_checks.
- Igaüks peab deklareerima võimalusi, mida ta mõistab ja vajab!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Kui seda faili muudetakse, pole postkaardi käivitamiseks vaja # # Reeglite testimiseks käivitage juur: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Peaks tagasi pöörduma: # KEELA Reegel nr 2 Rämpspostivastane teade
/ viagra / REJECT reegel nr 1 Sõnumikeha rämpspostitõrje
/ super new v [i1] agra / REJECT Reegel # 2 Rämpspostivastane sõnum
[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Pärast muutmist peate käivitama: # postmap / etc / postfix / accounts_ forwarding_copy
# ja fail on loodud või mõõdetud: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # ÜKS konto ühe BCC edastamiseks koopia # BCC = Black Carbon Copy # Näide: # webadmin@desdelinux.fan buzz@desdelinux.fänn
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lisa faili lõppu # EI NÕUBA Postkaarti, kuna need on regulaaravaldised
/ ^ Teema: =? Big5? / REJECT Hiina kodeering pole selles serveris aktsepteeritud
/ ^ Teema: =? EUC-KR? / REJECT Korea kodeering pole selles serveris lubatud
/ ^ Teema: ADV: / REJECT Reklaamid, mida see server ei aktsepteeri
/^Pealt :.*\@.*\.cn/ LÜLITA Vabandust, hiina kirju pole siin lubatud
/^From:.*\@.*\.kr/ LÜLITA Vabandust, Korea kirju pole siin lubatud
/^From:.*\@.*\.tr/ LÜGISTA Vabandust, Türgi posti pole siin lubatud
/^Pealt :.*\@.*\.ro/ LÜLITA Vabandust, Rumeenia posti pole siin lubatud
/^(Saanud|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Kiirvõte | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masspostitajaid pole lubatud.
/ ^ Saatja: "rämpspostitseja / KEELA
/ ^ Saatja: "rämpspost / KEELA
/^Subjekt :.*viagra/ HÜVAKE
# Ohtlikud laiendused
/ name = [^> Iluminación * \. (nahkhiir | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / KEELA LÜLITAMINE Me ei aktsepteeri nende laienditega manuseid
Kontrollime süntaksit, taaskäivitame Apache ja Postifx ning lubame ja käivitame Dovecoti
[root @ linuxbox ~] # postfixi kontroll [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl taaskäivitage httpd [root @ linuxbox ~] # systemctl olek httpd [root @ linuxbox ~] # systemctl taaskäivitage postfix [root @ linuxbox ~] # systemctl oleku postfix [root @ linuxbox ~] # systemctl oleku tuvi ● dovecot.service - Dovecot IMAP / POP3 e-posti server on laaditud: laaditud (/usr/lib/systemd/system/dovecot.service; keelatud; hankija eelseadistatud: keelatud) Aktiivne: passiivne (surnud) [root @ linuxbox ~] # systemctl lubab tuvipesa [root @ linuxbox ~] # systemctl käivitage tuvikott [root @ linuxbox ~] # systemctl taaskäivitage dovecot [root @ linuxbox ~] # systemctl oleku tuvi
Konsoolitaseme kontroll
- Enne teiste programmide installimise ja konfigureerimisega jätkamist on väga oluline kontrollida SMTP- ja POP-teenuseid minimaalselt.
Lokaalne serverist endast
Saadame kohalikule kasutajale meili legolas.
[root @ linuxbox ~] # echo "Tere. See on proovisõnum" | mail -s "Test" legolas
Kontrollime kasutaja postkasti Legolas.
[root @ linuxbox ~] # openssl s_client -crlf -ühendus 127.0.0.1:110 -starttls pop3
Pärast sõnumit Dovecot on valmis! jätkame:
--- + OK Dovecot on valmis! KASUTAJA legolas +OK PASS legolas +OK Sisse logitud. STAT +OK 1 559 LOEND +OK 1 sõnumid: 1 559 . RETR 1 + OK 559 oktetti tagastustee:desdelinux.fan> X-Original-To: legolas Tarnitud-To: legolas@desdelinux.fänn Saanud: poolt desdelinux.fan (Postfix, kasutajatunnusest 0) id 7EA22C11FC57; esmaspäev, 22. mai 2017 10:47:10 -0400 (EDT) Kuupäev: esmaspäev, 22 mai 2017 10:47:10 -0400 Saaja: legolas@desdelinux.fan Teema: Testkasutaja-agent: Heirloom mailx 12.5 7/5/10 MIME-versioon: 1.0 Sisutüüp: tekst/lihtne; charset=us-ascii sisu edastamise kodeering: 7-bitine sõnumi ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Saatja: root@desdelinux.fänn (juur) Tere. See on testsõnum. LÕPETA TEHTUD [root @ linuxbox ~] #
Puldid kohtvõrgus olevast arvutist
Saadame uue sõnumi aadressile legolas teisest kohtvõrgu arvutist. Pange tähele, et TLS-i turvalisus EI OLE VKE-võrgus tingimata vajalik.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fänn\ -u "Tere" \ -m "Tervitused Legolas teie sõbralt Buzzilt" \ - e-posti aadress.desdelinux.fan -o tls=no 22. mai 10:53:08 sysadmin sendemail [5866]: E-posti saatmine õnnestus!
Kui proovime ühendust luua telnet LAN-is olevast hostist - või muidugi Internetist - kuni Dovecotini juhtub järgmine, kuna keelame tekstteksti autentimise:
buzz@sysadmin:~$ telneti meil.desdelinux.ventilaator 110Proovin 192.168.10.5...
Ühendatud linuxboxiga.desdelinux.fänn. Põgenemismärk on „^]”. +OK Dovecot on valmis! kasutaja legolas
-ERR [AUTH] Tavalise teksti autentimine on mitteturvalistel (SSL / TLS) ühendustel keelatud.
quit + OK Väljalogimine Ühendus on välismaa host suletud.
buzz @ sysadmin: ~ $
Me peame selle läbi tegema openssl. Käsu täielik väljund oleks:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 ÜHENDATUD (00000003) sügavus=0 C = CU, ST = Kuuba, L = Havanna, O = DesdeLinux.Fan, OU = entusiastid, CN = *.desdelinux.fänn, meiliaadress = buzz@desdelinux.fänn kontrollige viga: num = 18: ise allkirjastatud sertifikaat kontrollige tagastamist: sügavus=0 C = CU, ST = Kuuba, L = Havanna, O = DesdeLinux.Fan, OU = entusiastid, CN = *.desdelinux.fänn, meiliaadress = buzz@desdelinux.fan verify return:1 --- Sertifikaatide ahel 0 s:/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuuba/L=Havanna/O=DesdeLinux.Fan/OU=Entusiastid/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Kliendi serdi CA nimesid ei saadetud Server Temp Key: ECDH, secp384r1, 384 bitti --- SSL-käepigistus on lugenud 1342 baiti ja kirjutanud 411 baiti --- Uus, TLSv1/SSLv3, šifr on ECDHE-RSA-AES256 -GCM-SHA384 Serveri avalik võti on 1024-bitine Turvalist uuesti läbirääkimist ON toetatud Tihendamine: PUUDUB Laiendus: PUUDUB SSL-seanss: Protokoll: TLSv1.2 šifr: ECDHE-RSA-AES256-GCM-SHA384 Seansi ID: C745DCBE4DCBCE0236204DCB16234 15FF9F3DB 084125C5989BF5E6D5295A Seansi ID- ctx : Peavõti: 4D2C73B1904CEA204F564AF76361AF50373D8879C793F7F7506A04473777FD6CD3503F9BC919BFF1E837F67 Võti nr PSKne: Põhimõte nr: KrSKne29E309F352526 identiteedi vihje: puudub TLS-i seansipileti eluaegne vihje: 5 (sekundit) TLS-i seansipilet: 5 - 300e 0000a f4 3 8a 29f 7 4- ee f63 a72 7f fc ec 6e 4c N:.)zOcr...O..~. 7 - 1c d0010 be a2 be 4 8e ae-92 2e 98 7d 87 c6 45 a5 ,.....~.mE... 17 - db 8a 0020 3 df 86b dc 80d-f8 8f 8 e1 db 68 a6 .:.......hn.... 7 - 3 86 e0030 eb 08 b35 a5 98-8 b4 ea f98 68 f1 c7 72 .7......h...r ..y 1 - 79 5a 0040 e89 4 a28 3b da-e85 4a 8 c9 7 bf 29 7d .J(......z).w." 77 - bd 22c f0 0050 5c a6 61 bd-cb 8 1 14 31a dc 27 66 .\.a.....7'fz.Q( 51 - b28 1-st bd 0060b 7f d35 ec-d2 e0 4 c3 0 14 b8 65 ..03.+.... ...e ..1 35 - 5 5 f0070 de 38 da ae 34-8 bd f48 b31 e90 6c cf 0 6..H..9........ 19 - f84 1 0080 5 42 b56 13c db-aa ee 88a d0 8b 5c dd 7 .BV.......Z...,.q 1 - 2a f71 0090 7 1 03 c70 90a-94 e9 0f 62c bf dc 5c a0 z..p.. ..b. ....<. Algusaeg: 9 Aeg: 3 (sek) Kontrolli tagastuskoodi: 0 (iseallkirjastatud sertifikaat) --- + OK Dovecot on valmis! KASUTAJA legolas + OK PASS legolasid + OK Sisse logitud. LIST + OK 1 sõnumit: 1 1021. TAGASI 1 +OK 1021 okteti tagastustee: X-Original-To: legolas@desdelinux.fan Tarnitud: legolas@desdelinux.fan Vastu võetud: süsteemiadminilt.desdelinux.fan (värav [172.16.10.1]) poolt desdelinux.fan (Postfix) ESMTP ID-ga 51886C11E8C0desdelinux.fan>; Esmaspäev, 22. mai 2017 kell 15:09:11 -0400 (EDT) Sõnumi ID: <919362.931369932-sendEmail@sysadmin> Saatja: "buzz@deslinux.fan" Saaja: "legolas@desdelinux.fänn"desdelinux.fan> Teema: Tere Kuupäev: esmaspäev, 22. mai 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-versioon: 1.0 Sisutüüp: mitmeosaline/seotud; boundary="----MIME eraldaja sendEmail-365707.724894495" See on mitmeosaline sõnum MIME-vormingus. Selle teate õigeks kuvamiseks vajate MIME-versiooniga 1.0 ühilduvat meiliprogrammi. ------MIME-eraldaja jaoks sendEmail-365707.724894495 Sisutüüp: tekst/tavaline; charset="iso-8859-1" Content-Transfer-Encoding: 7-bit Tervitused Legolas teie sõbra Buzzilt ------MIME-eraldaja jaoks sendEmail-365707.724894495-- . VÄLJU + OK Väljalogimine. suletud buzz @ sysadmin: ~ $
Oravapost
Oravapost on täielikult PHP-s kirjutatud veebiklient. See sisaldab kohalikku PHP-tuge IMAP- ja SMTP-protokollidele ning tagab maksimaalse ühilduvuse erinevate kasutatavate brauseritega. See töötab õigesti mis tahes IMAP-serveris. Sellel on kõik e-posti kliendilt vajalikud funktsioonid, sealhulgas MIME tugi, aadressiraamatu ja kaustade haldamine.
[root @ linuxbox ~] # yum installige oravapost
[root @ linuxbox ~] # teenuse httpd taaskäivitamine
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domeen = 'desdelinux.fänn';
$imapServerAddress = 'post.desdelinux.fänn';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fänn';
[root @ linuxbox ~] # teenuse httpd uuesti laadimine
DNS-i saatmisreeglite raamistöö või SPF-kirje
Artiklis Autoriteetne DNS-serveri NSD + Shorewall Nägime, et tsoon «desdelinux.fan» konfigureeriti järgmiselt:
root@ns:~# nano /etc/nsd/desdelinux.fännitsoon $ ORIGIN desdelinux.fänn. $TTL 3H @ IN SOA nr.desdelinux.fänn. juur.desdelinux.fänn. (1; seeria 1D; värskenda 1H; proovi uuesti 1W; aegu 3H); minimaalne või ; Negatiivne vahemällu salvestamise aeg ; @ IN NS ns.desdelinux.fänn. @ IN MX 10 e-kiri.desdelinux.fänn. @ IN TXT "v=spf1 a:mail.desdelinux.fänn -kõik" ; ; Registreerimine kaevamispäringute lahendamiseks desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME desdelinux.fänn. vestelda CNAME'is desdelinux.fänn. www IN CNAME desdelinux.fänn. ; ; XMPP-ga seotud SRV kirjed _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fänn. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fänn. _jabber._tcp SRV-s 0 0 5269 desdelinux.fänn.
Selles on register deklareeritud:
@ IN TXT "v=spf1 a:mail.desdelinux.fänn -kõik"
Sama parameetri seadistamiseks VKE võrgu või kohtvõrgu jaoks peame Dnsmasqi konfiguratsioonifaili muutma järgmiselt:
# TXT-kirjed. Samuti saame deklareerida SPF-kirje txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fänn -kõik"
Seejärel taaskäivitame teenuse:
[root @ linuxbox ~] # teenuse dnsmasq taaskäivitamine [root@linuxbox ~]# teenuse dnsmasq olek [root@linuxbox ~]# host -t TXT-post.desdelinux.fännipost.desdelinux.fan on pseudonüüm desdelinux.fänn. desdelinux.fan kirjeldav tekst "v=spf1 a:mail.desdelinux.fänn -kõik"
Ise allkirjastatud sertifikaadid ja Apache või httpd
Isegi kui teie brauser ütleb teile, et « mail.desdelinux.fänn Olete oma veebisaidi valesti konfigureerinud. Teie teabe varastamise vältimiseks ei ole Firefox selle veebisaidiga ühendust võtnud ”, varem loodud sertifikaat SEE ON KEHTIVja lubavad pärast sertifikaadi aktsepteerimist kliendi ja serveri vahelised mandaadid krüptitult reisida.
Soovi korral ja sertifikaatide ühtlustamise viisina võite Apache jaoks deklareerida samad sertifikaadid, nagu deklareerisite ka Postfixi jaoks, mis on õige.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.ventilaatoriklahv
[root @ linuxbox ~] # teenus httpd restart
[root @ linuxbox ~] # teenuse httpd olek
Diffie-Hellmani rühmitus
Turvalisuse teema muutub Internetis iga päevaga keerulisemaks. Üks levinumaid rünnakuid ühenduste vastu SSLon Ummistuse ja selle vastu kaitsmiseks on vaja lisada SSL-i konfiguratsioonile mittestandardsed parameetrid. Selle jaoks on olemas RFC-3526 «Rohkem modulaarset eksponentsiaalset (MODP) Diffie-Hellman rühmade Interneti-võtmevahetuse (IKE) jaoks"
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Vastavalt meie installitud Apache versioonile kasutame failist Diffie-Helmani gruppi /etc/pki/tls/dhparams.pem. Kui see on versioon 2.4.8 või uuem, peame faili lisama /etc/httpd/conf.d/ssl.conf järgmine rida:
SSLOpenSSLConfCmd DHParameetrid "/etc/pki/tls/private/dhparams.pem"
Apache'i versioon, mida kasutame, on järgmine:
[root @ linuxbox tls] # yum info httpd
Laaditud pistikprogrammid: fastestmirror, langpacks Peeglikiiruste laadimine vahemällu salvestatud hostifailist Installitud paketid Nimi: httpd Arhitektuur: x86_64
Versioon: 2.4.6
Väljaanne: 45.el7.centos Suurus: 9.4 M hoidla: installitud hoidlast: Base-Repo kokkuvõte: Apache HTTP serveri URL: http://httpd.apache.org/ Litsents: ASL 2.0 Kirjeldus: Apache HTTP server on võimas, tõhus ja laiendatav: veebiserver.
Kuna meil on versioon 2.4.8 varasem, lisame varem loodud CRT-sertifikaadi lõppu Diffie-Helman Groupi sisu:
[root @ linuxbox tls] # kass privaatne / dhparams.pem >> sertifikaadid/desdelinux.fan.crt
Kui soovite kontrollida, kas DH parameetrid on CRT-sertifikaadile õigesti lisatud, täitke järgmised käsud:
[root @ linuxbox tls] # kass privaatne / dhparams.pem ----- DH-PARAMETRI ALGUS ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- LÕPP DH-PARAMEETRID ----- [root@linuxbox tls]# kassitunnistust/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- LÕPP DH-PARAMEETRID -----
Pärast neid muudatusi peame teenused Postfix ja httpd taaskäivitama:
[root @ linuxbox tls] # teenuse postfix taaskäivitage [root @ linuxbox tls] # teenuse postfixi olek [root @ linuxbox tls] # teenus httpd taaskäivitage [root @ linuxbox tls] # teenuse httpd olek
Diffie-Helmani grupi lisamine meie TLS-i sertifikaatidesse võib muuta HTTPS-i kaudu ühenduse loomise veidi aeglasemaks, kuid turvalisuse lisamine on seda väärt.
Oravaposti kontrollimine
PÄRAST et sertifikaadid on õigesti loodud ja et me kontrollime nende õiget toimimist nagu konsoolikäskude abil, suunake eelistatud brauser URL-ile http://mail.desdelinux.fan/webmail ja see ühendub veebikliendiga pärast vastava sertifikaadi aktsepteerimist. Pange tähele, et hoolimata sellest, et määrate HTTP-protokolli, suunatakse see HTTPS-i ja see on tingitud vaikesätetest, mida CentOS pakub Squirrelmailile. Vaadake faili /etc/httpd/conf.d/squirrelmail.conf.
Kasutaja postkastide kohta
Dovecot loob kausta IMAP-postkastid kodus iga kasutaja kohta:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ kokku 12 drwxrwx ---. 5 legolas mail 4096 22. mai 12:39. drwx ------. 3 legolas legolas 75 22. mai 11:34 .. -rw -------. 1 legolas legolas 72. mai 22. 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. mai 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 mai 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. mai 10:23 INBOX drwx ------. 2 legolas legolas 56. mai 22. mai 12:39 Saadetud drwx ------. 2 legolas legolas 30. mai 22. 11:34 Prügikast
Need on salvestatud ka kataloogi / var / mail /
[root @ linuxbox ~] # vähem / var / mail / legolas Alates MAILER_DAEMON esmaspäev, 22. mai 10:28:00 2017 Kuupäev: esmaspäev, 22 mai 2017 10:28:00 -0400 saatja: meilisüsteemi siseandmed Teema: ÄRGE KUSTUTAGE SEDA SÕNUMI -- KAUST SISEMINE ANDMED Sõnumi ID: <1495463280@linuxbox> . Selle loob automaatselt meilisüsteemi tarkvara. Kustutamise korral lähevad olulised kaustaandmed kaotsi ja need luuakse uuesti, lähtestades algväärtustele. root@desdelinux.fan Esmaspäev, 22. mai 10:47:10 2017 Tagastustee:desdelinux.fan> X-Original-To: legolas Tarnitud-To: legolas@desdelinux.fänn Saanud: poolt desdelinux.fan (Postfix, kasutajatunnusest 0) id 7EA22C11FC57; esmaspäev, 22. mai 2017 10:47:10 -0400 (EDT) Kuupäev: esmaspäev, 22 mai 2017 10:47:10 -0400 Saaja: legolas@desdelinux.fan Teema: Testkasutaja-agent: Heirloom mailx 12.5 7/5/10 MIME-versioon: 1.0 Sisutüüp: tekst/lihtne; charset=us-ascii sisu edastamise kodeering: 7-bitine sõnumi ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Saatja: root@desdelinux.fan (root) X-UID: 7 Olek: RO Tere. See on testsõnum aadressilt buzz@deslinux.fan esmaspäev, 22. mai 10:53:08 2017 Return-Path: X-Original-To: legolas@desdelinux.fan Tarnitud: legolas@desdelinux.fan Vastu võetud: süsteemiadminilt.desdelinux.fan (värav [172.16.10.1]) poolt desdelinux.fan (Postfix) ESMTP ID-ga C184DC11FC57 jaoksdesdelinux.fan>; Esmaspäev, 22. mai 2017 kell 10:53:08 -0400 (EDT) Sõnumi ID: <739874.219379516-sendEmail@sysadmin> Saatja: "buzz@deslinux.fan" Saaja: "legolas@desdelinux.fänn"desdelinux.fan> Teema: Tere Kuupäev: esmaspäev, 22. mai 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-versioon: 1.0 Sisutüüp: mitmeosaline/seotud; boundary="----MIME eraldaja sendEmail-794889.899510057 jaoks / var / mail / legolas
PAMi miniseeria kokkuvõte
Oleme uurinud Mailserveri tuuma ja pannud veidi rõhku turvalisusele. Loodame, et artikkel toimib sisenemiskohana sama keerulisele ja vastuvõtlikule teemale kui meiliserveri käsitsi juurutamine.
Kasutame kohaliku kasutaja autentimist, sest kui loeme faili õigesti /etc/dovecot/conf.d/10-auth.conf, näeme, et lõpuks on see lisatud -vaikimisi- süsteemikasutajate autentimisfail ! sisaldab auth-system.conf.ext. Täpselt see fail ütleb meile oma päises, et:
[juur @ linuxbox ~] # vähem /etc/dovecot/conf.d/auth-system.conf.ext
# Autentimine süsteemikasutajatele. Kaasa 10-auth.conf-ist. # # # # PAM-i autentimine. Eelistab tänapäeval enamus süsteeme.
# PAM-i kasutatakse tavaliselt koos userdb parooliga või staatilise userdb-ga. # MEELDE: PAM # autentimiseks loodud /etc/pam.d/dovecot faili reaalseks toimimiseks on vaja. passdb {draiver = pam # [seanss = jah] [seatcred = jah] [rike_näitus_msg = jah] [max_requests = ] # [vahemälu_klahv = ] [ ] #args = tuvi}
Ja teine fail on olemas /etc/pam.d/dovecot:
[root @ linuxbox ~] # kass /etc/pam.d/dovecot #% PAM-1.0 autentimine on vajalik pam_nologin.so autentimine hõlmab ka parooli-autentimise konto sisaldama parooli-autentimise seanss sisaldab parooli-autentimist
Mida me üritame PAM-i autentimise kohta edastada?
- CentOS, Debian, Ubuntu ja paljud teised Linuxi jaotused installivad Postifxi ja Dovecoti vaikimisi kohaliku autentimisega.
- Paljudes Interneti-artiklites kasutatakse MySQL-i ja hiljuti MariaDB-d kasutajate ja muude Mailserverit puudutavate andmete salvestamiseks. AGA need on serverid TUHANDELE KASUTAJATELE, mitte aga klassikalisele VKE-võrgule, millel võib olla sadu kasutajaid.
- PAM-i kaudu autentimine on vajalik ja piisav võrguteenuste pakkumiseks seni, kuni need töötavad ühes serveris, nagu oleme selles minisarjas näinud.
- LDAP-i andmebaasi salvestatud kasutajaid saab kaardistada nii, nagu oleksid nad kohalikud kasutajad, ja PAM-autentimist saab kasutada võrguteenuste pakkumiseks erinevatest Linuxi serveritest, mis toimivad keskse autentimisserveri LDAP-klientidena. Nii töötaksime LDAP-serveri keskandmebaasi salvestatud kasutajate mandaatidega ja kohalike kasutajatega EI oleks hädavajalik andmebaasi pidada.
Järgmise seikluseni!
Uskuge mind, et praktikas on see protsess, mis põhjustab rohkem kui ühele sysadminile tugevat peavalu, olen veendunud, et tulevikus on see teatmik kõigile, kes soovivad oma e-kirju ise hallata, praktiline juhtum, mis muutub postfixi, tuvi, orava posti integreerimisel abc-s.
Suur aitäh kiiduväärt panuse eest,
Miks mitte kasutada MailPile'i turvalisuse osas koos PGP-ga? Ka Roundcube'il on palju intuitiivsem liides ja see saab integreerida ka PGP-d.
3 päeva tagasi lugesin postitust, tean teid tänada. Ma ei plaani meiliserverit installida, kuid alati on kasulik näha sertifikaatide loomist, mis on kasulikud teiste rakenduste jaoks ja need õpetused vaevalt aeguvad (veelgi enam, kui kasutate centOS-i).
Manuel Cillero: Täname, et linkisite oma blogisse ja tagasi selle artikli, mis on Postfixil ja Dovecotil põhineva meiliserveri minimaalne tuum.
Sisalik: Nagu alati, võetakse teie hinnang väga hästi vastu. Aitäh.
Darko: Peaaegu kõigis oma artiklites väljendan enam-vähem seda, et "Kõik rakendavad teenuseid programmidega, mis neile kõige rohkem meeldivad". Täname kommentaari eest.
Martin: Tänan teid ka artikli lugemise eest ja loodan, et see aitab teid teie töös.
Tohutu artiklisõber Federico. Suur aitäh nii hea tuto eest.
Suurepärane, kuigi kasutaksin "virtuaalseid kasutajaid", et vältida süsteemikasutaja loomist iga kord, kui lisan e-kirja, aitäh, et sain teada palju uusi asju ja seda tüüpi postitust ootasin
Tere päevast,
Nad julgeksid sama teha fedora kataloogiserveri + postifx + dovecot + äikeselinnu või väljavaadetega.
Mul on osa, kuid ma olen ummikus, jagaksin dokumenti hea meelega kogukonnaga @desdelinux
Ma ei kujutanud ette, et see jõuab üle 3000 külastuse !!!
Tervitame sisalikku!
Suurepärane juhendaja kolleeg.
Kas saaksite seda teha Debian 10 jaoks Samba4-le paigaldatud Active Directory kasutajatega ???
Kujutan ette, et see oleks peaaegu sama, kuid muudaks autentimistüüpi.
Jaotis, mille pühendate ise allkirjastatud sertifikaatide loomisele, on väga huvitav.