Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto
Tämä artikkeli on jatkoa ja viimeinen minisarja:
- Squid + PAM -todennus CentOS 7: ssä.
- Paikallinen käyttäjien ja ryhmien hallinta
- NSD: n autoritaarinen DNS-palvelin + Shorewall
- Prosody IM ja paikalliset käyttäjät
Hei ystävät ja ystävät!
Los Harrastajat he haluavat oman postipalvelimen. He eivät halua käyttää palvelimia, joissa "yksityisyys" on kysymysmerkkien välissä. Palvelun toteuttamisesta pienellä palvelimellasi vastaava henkilö ei ole aiheen asiantuntija ja yrittää aluksi asentaa tulevan ja täydellisen sähköpostipalvelimen ytimen. Onko "yhtälöitä" tehdä täysi postipalvelin, on vähän vaikea ymmärtää ja soveltaa. 😉
Reunuksen merkinnät
- On oltava selvää, mitä toimintoja kukin Mailserveriin liittyvä ohjelma suorittaa. Aloitusoppaana annamme kokonaisen sarjan hyödyllisiä linkkejä ilmoitettuun tarkoitukseen, jossa he vierailevat.
- Täydellisen postipalvelun toteuttaminen manuaalisesti ja tyhjästä on väsyttävä prosessi, ellet kuulu "valittuihin", jotka suorittavat tämän tyyppisiä tehtäviä päivittäin. Postipalvelimen muodostavat - yleensä - erilaiset ohjelmat, jotka käsittelevät erikseen SMTP, POP / IMAP, Viestien paikallinen tallennus, tehtävien käsittely Roskapostista, Virustorjunta jne. Kaikkien näiden ohjelmien on oltava yhteydessä toisiinsa oikein.
- Ei ole olemassa yhtä kokoa kaikille tai "parhaita käytäntöjä" käyttäjien hallinnoinnissa. mihin ja miten viestejä tallennetaan tai miten kaikki komponentit toimivat yhtenä kokonaisuutena.
- Postipalvelimen kokoaminen ja virittäminen on yleensä haitallista esimerkiksi oikeuksien ja tiedostojen omistajien valinnassa, tietyn prosessin vastuuhenkilön valinnassa ja joissakin esoteerisissa määritystiedostoissa tehdyissä pienissä virheissä.
- Ellet tiedä hyvin, mitä olet tekemässä, lopputulos on epävarma tai hieman toimimaton postipalvelin. Se, että toteutuksen lopussa se ei toimi, on mahdollisesti vähiten pahuutta.
- Internetistä löytyy hyvä määrä reseptejä postipalvelimen tekemisestä. Yksi täydellisimmistä -hyvin henkilökohtaisesta mielestäni- on kirjoittajan tarjoama ivar abrahamsen kolmastoista painoksessa tammikuussa 2017 «Postipalvelimen määrittäminen GNU / Linux-järjestelmään".
- Suosittelemme myös lukemaan artikkelin «Postipalvelin Ubuntu 14.04: Postfix, Dovecot, MySQL«, tai «Postipalvelin Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Totta. Paras asiakirja täältä löytyy englanniksi.
- Vaikka emme koskaan tee Mailserveria uskollisesti Miten… Kuten edellisessä kappaleessa mainittiin, pelkästään sen noudattaminen vaihe vaiheelta antaa meille erittäin hyvän käsityksen siitä, mitä kohtaamme.
- Jos haluat saada täydellisen postipalvelimen vain muutamassa vaiheessa, voit ladata kuvan iRedOS-0.6.0-CentOS-5.5-i386.isotai etsi nykyaikaisempaa, olipa se iRedOS tai iRedMail. Se on tapa, jota suosittelen henkilökohtaisesti.
Aiomme asentaa ja konfiguroida:
- postfix palvelimena Mvalkosipuli Transport Aherrasmies (SMTP).
- Dovecot POP - IMAP-palvelimena.
- Sertifikaatit yhteyksille TLS.
- squirrelmail web-käyttöliittymänä käyttäjille.
- DNS-tietue suhteessa «Lähettäjän toimintakehys"Tai SPF.
- Moduulin luominen Diffie Hellman -ryhmä lisätä SSL-varmenteiden turvallisuutta.
Vielä on tehtävä:
Ainakin seuraavat palvelut jäävät toteuttamatta:
- Postharmaa: Postfix-palvelimen käytännöt harmaille listoille ja hylkää roskapostin.
- Amavisd-uusi: komentosarja, joka luo käyttöliittymän MTA: n, virustarkistimien ja sisältösuodattimien välille.
- Clamav Antivirus: virustorjuntaohjelma
- SpamAssassin: poista roskaposti
- Partaveitsi (pyzor): Roskapostin sieppaus hajautetun ja yhteistyöverkon kautta. Vipul Razor -verkko ylläpitää päivitettyä luetteloa roskapostin tai roskapostin levittämisestä.
- DNS - tietue "DomainKeys Identified Mail" tai dkim laajennus.
paketit postgrey, amavisd-new, clamav, spamassassin, partakone y pyzor Ne löytyvät ohjelman arkistoista. Löydämme myös ohjelman openkim.
- DNS-tietueiden "SPF" ja "DKIM" oikea ilmoittaminen on välttämätöntä, jos emme halua, että muut postipalvelut, kuten sähköpostipalvelimet, julistetaan vain ei-toivotuiksi tai roskapostin tai roskapostin tuottajiksi. gmail, Yäh, Hotmail, jne.
Alustavat tarkastukset
Muista, että tämä artikkeli on jatkoa muille, jotka alkavat vuonna Squid + PAM -todennus CentOS 7: ssä.
Ens32 LAN-liitäntä kytketty sisäiseen verkkoon
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = julkinen
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN-liitäntä kytketty Internetiin
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=kyllä BOOTPROTO=staattinen HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ei IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-reititin ja # tämä liitäntä # on kytketty seuraavaan osoitteeseen IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = ulkoinen
DNS-tarkkuus lähiverkosta
[root@linuxbox ~]# cat /etc/resolv.conf search desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail email.desdelinux.fan on linuxboxin alias.desdelinux.tuuletin. linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin. [root@linuxbox ~]# host mail.desdelinux.tuuletin email.desdelinux.fan on linuxboxin alias.desdelinux.tuuletin. linuxbox.desdelinux.fanin osoite on 192.168.10.5 linuxbox.desdelinux.fanipostia käsittelee 1 posti.desdelinux.tuuletin.
DNS-tarkkuus Internetistä
buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30 Using domain server: Name: 172.16.10.30 Address: 172.16.10.30#53 Aliases: mail.desdelinux.fan is an alias for desdelinux.tuuletin. desdelinux.fanin osoite on 172.16.10.10 desdelinux.fanipostia käsittelee 10 posti.desdelinux.tuuletin.
Problemas al resolver localmente el nombre de host «desdelinux.tuuletin"
Jos sinulla on ongelmia isäntänimen selvittämisessä «desdelinux.tuuletin"alkaen LAN, yritä kommentoida tiedostorivi /etc/dnsmasq.conf missä se ilmoitetaan local=/desdelinux.fan/. Käynnistä sitten Dnsmasq uudelleen.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentoi alla olevaa riviä: # local=/desdelinux.fan/ [root @ linuxbox ~] # service dnsmasq käynnistä uudelleen Uudelleenohjaus kohtaan / bin / systemctl käynnistä dnsmasq.service uudelleen [root @ linuxbox ~] # service dnsmasq -tila [root@linuxbox ~]# host desdelinux.tuuletin desdelinux.fanin osoite on 172.16.10.10 desdelinux.fanipostia käsittelee 10 posti.desdelinux.tuuletin.
Postfix ja Dovecot
Postfixin ja Dovecotin erittäin laaja dokumentaatio löytyy osoitteesta:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LISENSSILUETTELO-Postfix-SASL-RedHat.txt-YHTEENSOPIVUUS main.cf.default TLS_ACKNOWLEDGEMENTS -esimerkkejä README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ TEKIJÄT COPYING.MIT dovecot-openssl.cnf UUTISET wiki KOPIOINTI ChangeLog example-config README COPYING.LGPL dokumentaatio.txt mkcert.sh solr-schema.xml
CentOS 7: ssä Postfix MTA asennetaan oletuksena, kun valitsemme infrastruktuuripalvelimen vaihtoehdon. Meidän on varmistettava, että SELinux-konteksti sallii kirjoittamisen Potfixiin paikallisessa viestijonossa:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Palomuurin muutoksetD
Käyttämällä graafista käyttöliittymää palomuurin määrittämiseen meidän on taattava, että seuraavat palvelut ja portit ovat käytössä jokaiselle vyöhykkeelle:
# ------------------------------------------------- ----- # Korjaa palomuuriD # ------------------------------------------------- ----- # Palomuuri # Julkinen vyöhyke: http, https, imap, pop3, smtp-palvelut # Julkinen alue: portit 80, 443, 143, 110, 25 # Ulkoinen vyöhyke: http, https, imap, pop3s, smtp-palvelut # Ulkoinen vyöhyke: portit 80, 443, 143, 995, 25
Asennamme Dovecot ja tarvittavat ohjelmat
[root @ linuxbox ~] # yum asenna dovecot mod_ssl procmail telnet
Pienin Dovecot-kokoonpano
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokollat =imap pop3 lmtp kuunnella =*, :: sisäänkirjautumistervehdys = Dovecot on valmis!
Poistamme nimenomaisesti Dovecotin selkokielisen todennuksen:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = kyllä
Julistamme ryhmälle tarvittavat oikeudet vuorovaikutukseen Dovecotin kanssa ja viestien sijainnin:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = posti mail_access_groups = posti
Sertifikaatit Dovecotille
Dovecot luo testivarmenteet automaattisesti tiedostossa olevien tietojen perusteella /etc/pki/dovecot/dovecot-openssl.cnf. Jotta uudet sertifikaatit luodaan vaatimusten mukaisesti, meidän on suoritettava seuraavat vaiheet:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # country (2 letter code) C=CU # State or Province Name (full name) ST=Cuba # Locality Name (eg. city) L=Habana # Organization (eg. company) O=DesdeLinux.Fan # Organizational Unit Name (eg. section) OU=Entusiastas # Common Name (*.example.com is also possible) CN=*.desdelinux.fan # E-mail contact emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Poistamme testitodistukset
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: poistetaanko tavallinen tiedosto "certs / dovecot.pem"? (kyllä / ei) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: poistetaanko tavallinen tiedosto "private / dovecot.pem"? (kyllä / ei) y
Kopioimme ja toteutamme käsikirjoituksen mkcert.sh dokumentaatiohakemistosta
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generating a 1024 bit RSA private key ......++++++ ................++++++ writing new private key to '/etc/pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l sertifikaatit / yhteensä 4 -rw -------. 1 juurijuuri 1029 22. toukokuuta 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l yksityinen / yhteensä 4 -rw -------. 1 juurijuuri 916 22. toukokuuta 16:08 dovecot.pem [root @ linuxbox dovecot] # service dovecot käynnistyy uudelleen [root @ linuxbox dovecot] # palvelun dovecot-tila
Sertifikaatit Postfixille
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Generating a 4096 bit RSA private key .........++ ..++ writing new private key to 'private/dominio.tld.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CU State or Province Name (full name) []:Cuba Locality Name (eg, city) [Default City]:Habana Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan Organizational Unit Name (eg, section) []:Entusiastas Common Name (eg, your name or your server's hostname) []:desdelinux.fan Sähköpostiosoite []:buzz@desdelinux.tuuletin
Pienin Postfix-kokoonpano
Lisätään tiedoston loppuun / Etc / aliases seuraava:
juuri: buzz
Muutosten voimaantulemiseksi suoritamme seuraavan komennon:
[root @ linuxbox ~] # newaliaasia
Postifx-määritykset voidaan tehdä muokkaamalla tiedostoa suoraan /etc/postfix/main.cf tai komennolla postconf -e huolehtimalla siitä, että kaikki parametrit, joita haluamme muokata tai lisätä, näkyvät konsolin yhdellä rivillä:
- Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = kaikki' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ Laajennus"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ postinimi ($ mail_version)'
Lisätään tiedoston loppuun /etc/postfix/main.cf alla annetut vaihtoehdot. Jokaisen merkityksen tuntemiseksi suosittelemme lukemaan mukana olevat asiakirjat.
biff = ei append_dot_mydomain = ei viive_varoitusaika = 4h readme_directory = ei smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = yes smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination # Postilaatikon enimmäiskoko 1024 megatavua = 1 g ja g mailbox_size_limit = 1073741824 vastaanottaja_raja = + maximal_queue_lifetime = 7 p header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Tilit, jotka lähettävät kopion saapuvasta postista toiselle tilille recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Seuraavat rivit ovat tärkeitä sen määrittämiseksi, kuka voi lähettää sähköpostia ja välittää muita palvelimia, jotta emme määritä vahingossa "avointa välitystä", joka sallii valtuuttamattomien käyttäjien lähettää sähköpostia. Meidän on käytettävä Postfix-ohjesivuja ymmärtämään, mitä kukin vaihtoehto tarkoittaa.
- Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
smtpd_helo_restrictions = allow_mynetworks,
warn_if_reject reject_non_fqdn_hostname,
reject_invalid_hostname,
sallia
smtpd_sender_restrictions = allow_sasl_authenticated,
load_mynetworks,
warn_if_reject reject_non_fqdn_sender,
reject_unknown_sender_domain,
reject_unauth_pipelining,
sallia
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
# HUOMAUTUS: Vaihtoehto "check_policy_service inet: 127.0.0.1: 10023"
# mahdollistaa Postgrey-ohjelman, eikä meidän pitäisi sisällyttää sitä
# muuten aiomme käyttää Postgreyä
smtpd_recipient_restrictions = reject_unauth_pipelining,
load_mynetworks,
allow_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
sallia
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_relay_restrictions = reject_unauth_pipelining,
load_mynetworks,
allow_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
sallia
smtpd_helo_required = kyllä
smtpd_delay_reject = kyllä
disable_vrfy_command = kyllä
Luomme tiedostot / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyja muokkaamme tiedostoa / etc / postfix / header_checks.
- Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Jos tätä tiedostoa muokataan, postikarttaa ei tarvitse suorittaa # # Testaa säännöt suorittamalla pääkäyttäjänä: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Pitäisi palata: # Hylkää säännön nro 2 roskapostin esto
/ viagra / Hylkää sääntö # 1 Viestirungon roskapostin torjunta
/ super new v [i1] agra / Hylkää säännön nro 2 roskapostin esto
[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Muokkaamisen jälkeen sinun on suoritettava: # postmap / etc / postfix / accounts_ forwarding_copy
# ja tiedosto luodaan tai mitataan: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.tuuletin
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lisää tiedoston loppuun # EI VAADI Postmapia, koska ne ovat säännöllisiä lausekkeita
/ ^ Aihe: =? Big5? / Hylkää kiinalainen koodaus, jota tämä palvelin ei hyväksy
/ ^ Aihe: =? EUC-KR? / Hylkää korealainen koodaus, jota tämä palvelin ei salli
/ ^ Aihe: ADV: / Hylkää tämä palvelin ei hyväksy mainoksia
/^From :.*\@.*\.cn/ Hylkää Valitettavasti kiinalaista postia ei sallita täällä
/^From :.*\@.*\.kr/ Hylkää Valitettavasti korealaista postia ei sallita täällä
/^From :.*\@.*\.tr/ Hylkää Valitettavasti turkkilaista postia ei sallita täällä
/^From :.*\@.*\.ro/ Hylkää Valitettavasti romanialaista postia ei sallita täällä
/^(Vastaanotettu|Message-Id|X-(Mailer|Sender)):.*\b(AutomaMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / Hylkää Ei massapostittajia sallittu.
/ ^ Lähettäjä: "spammer / Hylkää
/ ^ Lähettäjä: "spam / Hylkää
/^Aihe :.*viagra/ HÄVITÄ
# Vaaralliset laajennukset
/ name = [^> Iluminación * \. (lepakko | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / Hylkää Hylkää Emme hyväksy liitteitä näillä laajennuksilla
Tarkistamme syntaksin, käynnistämme Apache ja Postifx uudelleen ja otamme Dovecot käyttöön ja käynnistämme sen
[root @ linuxbox ~] # postfix-tarkistus [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl käynnistä httpd uudelleen [root @ linuxbox ~] # systemctl-tila httpd [root @ linuxbox ~] # systemctl käynnistä postfix uudelleen [root @ linuxbox ~] # systemctl-tilan jälkikorjaus [root @ linuxbox ~] # systemctl-tila dovecot ● dovecot.service - Dovecot IMAP / POP3 -sähköpostipalvelin Ladattu: ladattu (/usr/lib/systemd/system/dovecot.service; poistettu käytöstä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: passiivinen (kuollut) [root @ linuxbox ~] # systemctl ota käyttöön dovecot [root @ linuxbox ~] # systemctl Käynnistä dovecot [root @ linuxbox ~] # systemctl käynnistä dovecot uudelleen [root @ linuxbox ~] # systemctl-tila dovecot
Konsolitason tarkastukset
- Ennen kuin jatkat muiden ohjelmien asennusta ja määritystä, on erittäin tärkeää tarkistaa SMTP- ja POP-palvelujen vähimmäistarkastukset.
Paikallinen itse palvelimelta
Lähetämme sähköpostin paikalliselle käyttäjälle Legolas.
[root @ linuxbox ~] # echo "Hei. Tämä on testiviesti" | mail -s "Test" legolas
Tarkistamme postilaatikon Legolas.
[root @ linuxbox ~] # openssl s_client -crlf -yhteys 127.0.0.1:110 -starttls pop3
Viestin jälkeen Dovecot on valmis! jatkamme:
--- + OK Dovecot on valmis! USER legolas +OK PASS legolas +OK Logged in. STAT +OK 1 559 LIST +OK 1 messages: 1 559 . RETR 1 +OK 559 octets Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hola. Este es un mensaje de prueba . QUIT DONE [root @ linuxbox ~] #
Kauko-ohjaimet lähiverkossa olevasta tietokoneesta
Lähetetään uusi viesti Legolas toisesta lähiverkon tietokoneesta. Huomaa, että TLS-suojaus EI ole ehdottoman välttämätöntä pk-yritysverkossa.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.tuuletin\ -u "Hei" \ -m "Terveisiä Legolas ystäväsi Buzzilta" \ -s mail.desdelinux.fan -o tls=no 22. toukokuuta 10:53:08 sysadmin sendemail [5866]: Sähköpostin lähetys onnistui!
Jos yritämme muodostaa yhteyden telnet Lähiverkossa olevasta isännästä - tai tietysti Internetistä - Dovecotiin tapahtuu seuraava, koska poistamme selkeän tekstin todennuksen käytöstä:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Pelkän tekstin todennus on kielletty suojaamattomissa (SSL / TLS) -yhteyksissä.
lopeta + OK Uloskirjautuminen Ulkomainen isäntä on sulkenut yhteyden.
buzz @ sysadmin: ~ $
Meidän on tehtävä se läpi openssl. Komennon täydellinen ulostulo olisi:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 CONNECTED (00000003) depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.tuuletin vahvista virhe: num = 18: itse allekirjoitettu varmenne vahvista palautus: 1 depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan verify return:1 --- Certificate chain 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- No client certificate CA names sent Server Temp Key: ECDH, secp384r1, 384 bits --- SSL handshake has read 1342 bytes and written 411 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,........~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:........hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.......e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p....b.....<. Start Time: 1495484262 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- + OK Dovecot on valmis! KÄYTTÄJÄ legolas + OK PASS legolas + OK kirjautunut sisään. LIST + OK 1 viestit: 1 1021. RETR 1 +OK 1021 octets Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0 for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT) Message-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program. ------MIME delimiter for sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Saludos Legolas de tu amigo Buzz ------MIME delimiter for sendEmail-365707.724894495-- . PALUU + OK Uloskirjautuminen. suljettu buzz @ sysadmin: ~ $
squirrelmail
squirrelmail on web-asiakas, joka on kirjoitettu kokonaan PHP: llä. Se sisältää alkuperäisen PHP-tuen IMAP- ja SMTP-protokollille ja tarjoaa parhaan yhteensopivuuden käytössä olevien selainten kanssa. Se toimii oikein missä tahansa IMAP-palvelimessa. Siinä on kaikki toiminnot, joita tarvitset sähköpostiohjelmasta, mukaan lukien MIME-tuki, osoitekirja ja kansionhallinta.
[root @ linuxbox ~] # yum asenna orava
[root @ linuxbox ~] # service httpd käynnistä uudelleen
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fan';
$imapServerAddress = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # service httpd lataa uudelleen
DNS-lähetyskäytännön kehystyö tai SPF-tietue
Artikkelissa NSD: n autoritaarinen DNS-palvelin + Shorewall vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:
root@ns:~# nano /etc/nsd/desdelinux.fan.zone $ORIGIN desdelinux.fan. $TTL 3H @ IN SOA ns.desdelinux.fan. root.desdelinux.fan. ( 1 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum or ; Negative caching time to live ; @ IN NS ns.desdelinux.fan. @ IN MX 10 mail.desdelinux.tuuletin. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Registro para resolver consultas dig desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME desdelinux.fan. chat IN CNAME desdelinux.fan. www IN CNAME desdelinux.fan. ; ; Registros SRV relativos al XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.tuuletin.
Siinä rekisteri ilmoitetaan:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -all"
Jotta sama parametri olisi määritetty SME-verkolle tai lähiverkolle, meidän on muutettava Dnsmasq-määritystiedostoa seuraavasti:
# Registros TXT. Podemos declarar también un registro SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"
Sitten käynnistämme palvelun uudelleen:
[root @ linuxbox ~] # service dnsmasq käynnistä uudelleen [root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.fan mail.desdelinux.fan is an alias for desdelinux.tuuletin. desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"
Itse allekirjoitetut varmenteet ja Apache tai httpd
Vaikka selaimesi kertoo sinulle, että « email.desdelinux.tuuletin Olet määrittänyt verkkosivustosi väärin. Estääksesi tietojesi varastamisen, Firefox ei ole muodostanut yhteyttä tähän verkkosivustoon ”, aiemmin luotu varmenne Se on voimassaja antaa asiakkaan ja palvelimen välisten kirjautumistietojen liikkua salattuina, kun olemme hyväksyneet varmenteen.
Halutessasi ja tapana yhtenäistää varmenteet voit ilmoittaa Apachelle samat varmenteet, jotka ilmoitit Postfixille, mikä on oikein.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # palvelun httpd uudelleen
[root @ linuxbox ~] # palvelu httpd-tila
Diffie-Hellman-ryhmä
Turvallisuusaihe vaikeutuu joka päivä Internetissä. Yksi yleisimmistä yhteyksien hyökkäyksistä SSL, onko hän pattitilanne ja suojautua sitä vastaan on tarpeen lisätä epätyypillisiä parametreja SSL-kokoonpanoon. Tätä varten on RFC 3526 «Lisää modulaarista eksponentiaalista (MODP) diffie-hellman ryhmät Internet-avaimenvaihtoon (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Asennetun Apache-version mukaan käytämme tiedostosta Diffie-Helman-ryhmää /etc/pki/tls/dhparams.pem. Jos kyseessä on versio 2.4.8 tai uudempi, meidän on lisättävä tiedostoon /etc/httpd/conf.d/ssl.conf seuraava rivi:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Käyttämämme Apache-versio on:
[root @ linuxbox tls] # yum info httpd
Ladatut laajennukset: fastestmirror, langpacks Peilien nopeuksien lataaminen välimuistissa olevasta isäntätiedostosta Asennetut paketit Nimi: httpd Arkkitehtuuri: x86_64
Versio: 2.4.6
Julkaisu: 45.el7.centos Koko: 9.4 M Tietovarasto: asennettu arkistosta: Base-Repo-yhteenveto: Apache HTTP -palvelimen URL-osoite: http://httpd.apache.org/ Lisenssi: ASL 2.0 Kuvaus: Apache HTTP -palvelin on tehokas , tehokas ja laajennettavissa: verkkopalvelin.
Koska meillä on versio ennen 2.4.8, lisätään aiemmin luodun CRT-varmenteen loppuun Diffie-Helman-ryhmän sisältö:
[root @ linuxbox tls] # kissa yksityinen / dhparams.pem >> certs/desdelinux.fan.crt
Jos haluat tarkistaa, että DH-parametrit on lisätty oikein CRT-varmenteeseen, suorita seuraavat komennot:
[root @ linuxbox tls] # kissa yksityinen / dhparams.pem ----- DH-PARAMETRIEN ALOITTAMINEN ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- LOPETA DH-PARAMETRIT ----- [root@linuxbox tls]# cat certs/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- LOPETA DH-PARAMETRIT -----
Näiden muutosten jälkeen meidän on käynnistettävä Postfix- ja httpd-palvelut uudelleen:
[root @ linuxbox tls] # service postfix käynnistetään uudelleen [root @ linuxbox tls] # palvelun jälkikorjauksen tila [root @ linuxbox tls] # service httpd käynnistä uudelleen [root @ linuxbox tls] # palvelun httpd-tila
Diffie-Helman-ryhmän sisällyttäminen TLS-varmenteihimme saattaa tehdä HTTPS-yhteyden muodostamisen hieman hitaammaksi, mutta turvallisuuden lisääminen on sen arvoista.
Tarkistetaan Orava
Despues että varmenteet on luotu oikein ja että tarkistamme niiden oikean toiminnan samalla tavalla kuin konsolikomennoilla, osoita haluamasi selain URL-osoitteeseen http://mail.desdelinux.fan/webmail ja se muodostaa yhteyden web-asiakasohjelmaan vastaavan varmenteen hyväksymisen jälkeen. Huomaa, että vaikka määrität HTTP-protokollan, sinut ohjataan HTTPS: ään, ja tämä johtuu CentOS: n Squirrelmailin tarjoamista oletusasetuksista. Katso tiedosto /etc/httpd/conf.d/squirrelmail.conf.
Tietoja käyttäjien postilaatikoista
Dovecot luo IMAP-postilaatikot kansioon koti jokaisen käyttäjän kohdalla:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ yhteensä 12 drwxrwx ---. 5 legolas mail 4096 22. toukokuuta 12:39. drwx ------. 3 legolas legolas 75. toukokuuta 22 11:34 .. -rw -------. 1 legolas legolas 72. toukokuuta 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. toukokuuta 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 toukokuuta 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. toukokuuta 10:23 INBOX drwx ------. 2 legolas legolas 56. toukokuuta 22, 12:39 Lähetetty drwx ------. 2 legolas legolas 30. toukokuuta 22 11:34 Roskakori
Ne tallennetaan myös kansioon / var / mail /
[root @ linuxbox ~] # vähemmän / var / mail / legolas From MAILER_DAEMON Mon May 22 10:28:00 2017 Date: Mon, 22 May 2017 10:28:00 -0400 From: Mail System Internal Data <MAILER-DAEMON@linuxbox> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1495463280@linuxbox> X-IMAP: 1495462351 0000000008 Status: RO This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values. From root@desdelinux.fan Mon May 22 10:47:10 2017 Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hola. Este es un mensaje de prueba From buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57 for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT) Message-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057 / var / mail / legolas
PAM-minisarjayhteenveto
Olemme tarkastelleet Mailserverin ydintä ja painottaneet hieman turvallisuutta. Toivomme, että artikkeli toimii syöttökohtana aiheeseen, joka on yhtä monimutkainen ja altis virheiden tekemiselle kuin Mail Serverin manuaalinen käyttöönotto.
Käytämme paikallista käyttäjän todennusta, koska jos luemme tiedoston oikein /etc/dovecot/conf.d/10-auth.conf, näemme, että lopulta se sisältyy -oletuksena- järjestelmän käyttäjien todennustiedosto ! include auth-system.conf.ext. Juuri tämä tiedosto kertoo meille otsikossa, että:
[root @ linuxbox ~] # vähemmän /etc/dovecot/conf.d/auth-system.conf.ext
# Todennus järjestelmän käyttäjille. Sisältyy 10-todennuksesta. # # # # PAM-todennus. Suosittu nykyään useimmissa järjestelmissä.
# PAM: ää käytetään tyypillisesti joko userdb passwd tai userdb staattinen. # MUISTA: Tarvitset /etc/pam.d/dovecot -tiedoston, joka on luotu PAM # -todennusta varten, jotta se todella toimii. passdb {driver = pam # [session = yes] [setcred = yes] [Fail_show_msg = yes] [max_requests = ] # [välimuistin avain = ] [ ] #args = dovecot}
Ja toinen tiedosto on olemassa /etc/pam.d/dovecot:
[root @ linuxbox ~] # kissa /etc/pam.d/dovecot #% PAM-1.0 -varmennus vaaditaan pam_nologin. Joten todennukseen sisältyy salasanan todennustili sisälly salasanan todennustoiminto sisältää salasanan todennuksen
Mitä yritämme kertoa PAM-todennuksesta?
- CentOS, Debian, Ubuntu ja monet muut Linux-jakelut asentavat Postifxin ja Dovecotin paikallisen todennuksen ollessa oletusarvoisesti käytössä.
- Monissa Internetin artikkeleissa MySQL - ja viime aikoina MariaDB - tallentavat käyttäjiä ja muuta Mailserveria koskevia tietoja. MUTTA nämä ovat palvelimia TUHANNILLE KÄYTTÄJILLE, eivät klassiselle pk-yritysverkostolle, jossa on - ehkä - satoja käyttäjiä.
- Todennus PAM: n kautta on välttämätöntä ja riittävä verkkopalvelujen tarjoamiseksi, kunhan ne toimivat yhdellä palvelimella, kuten olemme nähneet tässä minisarjassa.
- LDAP-tietokantaan tallennetut käyttäjät voidaan kartoittaa ikään kuin he olisivat paikallisia käyttäjiä, ja PAM-todennusta voidaan käyttää tarjoamaan verkkopalveluja eri Linux-palvelimilta, jotka toimivat LDAP-asiakkaina, keskitetystodennuspalvelimeen. Tällä tavoin toimisimme LDAP-palvelimen keskustietokantaan tallennettujen käyttäjien tunnistetietojen kanssa, eikä tietokannan ylläpito ole välttämätöntä paikallisten käyttäjien kanssa.
Seuraavaan seikkailuun asti!
Uskokaa minua, että käytännössä tämä on prosessi, joka aiheuttaa useammalle kuin yhdelle sysadminille voimakasta päänsärkyä, olen vakuuttunut siitä, että tulevaisuudessa se on viiteopas kaikille, jotka haluavat hallita omia sähköpostejaan, käytännöllinen tapaus, josta tulee abc: ssä, kun integroidaan postfix, dovecot, squirrelmail ..
Paljon kiitoksia kiitettävästä panoksestasi,
Miksi et käyttäisi Mailpileä turvallisuuden suhteen PGP: n kanssa? Myös Roundcubessa on paljon intuitiivisempi käyttöliittymä ja se voi myös integroida PGP: n.
3 päivää sitten luin viestin, tiedän kuinka kiittää sinua. En aio asentaa postipalvelinta, mutta on aina hyödyllistä nähdä varmenteiden luominen, mikä on hyödyllistä muille sovelluksille, ja nämä opetusohjelmat tuskin vanhenevat (vielä enemmän, kun käytät centOSia).
Manuel Cillero: Kiitos linkittämisestä blogiisi ja blogistasi tämän artikkelin, joka on Postfixiin ja Dovecotiin perustuvan sähköpostipalvelimen vähimmäisydin.
Lisko: Kuten aina, arviointisi on otettu hyvin vastaan. Kiitos.
Darko: Sanon melkein kaikissa artikkeleissani enemmän tai vähemmän, että "Kaikki toteuttavat palvelut ohjelmilla, joista he pitävät eniten." Kiitos kommentista.
Martin: Kiitos myös artikkelin lukemisesta ja toivon, että se auttaa sinua työssäsi.
Valtava artikkelikaveri Federico. Paljon kiitoksia niin hyvästä tutosta.
erinomainen, vaikka käytän "virtuaalisia käyttäjiä" välttääksesi järjestelmän käyttäjien luomista joka kerta, kun lisätään sähköpostia, kiitos, että opin paljon uusia asioita, ja tämän tyyppistä viestiä odotin
Hyvää päivää,
He uskaltaisivat tehdä saman Fedora-hakemistopalvelimella + postifx + dovecot + thunderbird tai Outlook.
Tengo una parte pero estoy pegado, con gusto compartiria el documento a la comunidad @desdelinux
En kuvitellut, että se saavuttaisi yli 3000 käyntiä !!!
Terveisiä Lisko!
Erinomainen tutorial-kollega.
Voisitko tehdä sen Debian 10: lle Samba4: ään asennetun Active Directoryn käyttäjien kanssa ???
Luulen, että se olisi melkein sama, mutta muuttaisi todennustyyppiä.
Itse allekirjoitettujen varmenteiden luomiseen omistamasi osio on erittäin mielenkiintoinen.