Postfix + Dovecot + Squirrelmail ja paikalliset käyttäjät - SME Networks

Sarjan yleinen hakemisto: Tietokoneverkot pk-yrityksille: Johdanto

Tämä artikkeli on jatkoa ja viimeinen minisarja:

Hei ystävät ja ystävät!

Los Harrastajat he haluavat oman postipalvelimen. He eivät halua käyttää palvelimia, joissa "yksityisyys" on kysymysmerkkien välissä. Palvelun toteuttamisesta pienellä palvelimellasi vastaava henkilö ei ole aiheen asiantuntija ja yrittää aluksi asentaa tulevan ja täydellisen sähköpostipalvelimen ytimen. Onko "yhtälöitä" tehdä täysi postipalvelin, on vähän vaikea ymmärtää ja soveltaa. 😉

Reunuksen merkinnät

  • On oltava selvää, mitä toimintoja kukin Mailserveriin liittyvä ohjelma suorittaa. Aloitusoppaana annamme kokonaisen sarjan hyödyllisiä linkkejä ilmoitettuun tarkoitukseen, jossa he vierailevat.
  • Täydellisen postipalvelun toteuttaminen manuaalisesti ja tyhjästä on väsyttävä prosessi, ellet kuulu "valittuihin", jotka suorittavat tämän tyyppisiä tehtäviä päivittäin. Postipalvelimen muodostavat - yleensä - erilaiset ohjelmat, jotka käsittelevät erikseen SMTP, POP / IMAP, Viestien paikallinen tallennus, tehtävien käsittely Roskapostista, Virustorjunta jne. Kaikkien näiden ohjelmien on oltava yhteydessä toisiinsa oikein.
  • Ei ole olemassa yhtä kokoa kaikille tai "parhaita käytäntöjä" käyttäjien hallinnoinnissa. mihin ja miten viestejä tallennetaan tai miten kaikki komponentit toimivat yhtenä kokonaisuutena.
  • Postipalvelimen kokoaminen ja virittäminen on yleensä haitallista esimerkiksi oikeuksien ja tiedostojen omistajien valinnassa, tietyn prosessin vastuuhenkilön valinnassa ja joissakin esoteerisissa määritystiedostoissa tehdyissä pienissä virheissä.
  • Ellet tiedä hyvin, mitä olet tekemässä, lopputulos on epävarma tai hieman toimimaton postipalvelin. Se, että toteutuksen lopussa se ei toimi, on mahdollisesti vähiten pahuutta.
  • Internetistä löytyy hyvä määrä reseptejä postipalvelimen tekemisestä. Yksi täydellisimmistä -hyvin henkilökohtaisesta mielestäni- on kirjoittajan tarjoama ivar abrahamsen kolmastoista painoksessa tammikuussa 2017 «Postipalvelimen määrittäminen GNU / Linux-järjestelmään".
  • Suosittelemme myös lukemaan artikkelin «Postipalvelin Ubuntu 14.04: Postfix, Dovecot, MySQL«, tai «Postipalvelin Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Totta. Paras asiakirja täältä löytyy englanniksi.
    • Vaikka emme koskaan tee Mailserveria uskollisesti Miten… Kuten edellisessä kappaleessa mainittiin, pelkästään sen noudattaminen vaihe vaiheelta antaa meille erittäin hyvän käsityksen siitä, mitä kohtaamme.
  • Jos haluat saada täydellisen postipalvelimen vain muutamassa vaiheessa, voit ladata kuvan iRedOS-0.6.0-CentOS-5.5-i386.isotai etsi nykyaikaisempaa, olipa se iRedOS tai iRedMail. Se on tapa, jota suosittelen henkilökohtaisesti.

Aiomme asentaa ja konfiguroida:

Vielä on tehtävä:

Ainakin seuraavat palvelut jäävät toteuttamatta:

  • Postharmaa: Postfix-palvelimen käytännöt harmaille listoille ja hylkää roskapostin.
  • Amavisd-uusi: komentosarja, joka luo käyttöliittymän MTA: n, virustarkistimien ja sisältösuodattimien välille.
  • Clamav Antivirus: virustorjuntaohjelma
  • SpamAssassin: poista roskaposti
  • Partaveitsi (pyzor): Roskapostin sieppaus hajautetun ja yhteistyöverkon kautta. Vipul Razor -verkko ylläpitää päivitettyä luetteloa roskapostin tai roskapostin levittämisestä.
  • DNS - tietue "DomainKeys Identified Mail" tai DKIM.

paketit postgrey, amavisd-new, clamav, spamassassin, partakone y pyzor Ne löytyvät ohjelman arkistoista. Löydämme myös ohjelman openkim.

  • DNS-tietueiden "SPF" ja "DKIM" oikea ilmoittaminen on välttämätöntä, jos emme halua, että muut postipalvelut, kuten sähköpostipalvelimet, julistetaan vain ei-toivotuiksi tai roskapostin tai roskapostin tuottajiksi. gmail, Yäh, Hotmail, jne.

Alustavat tarkastukset

Muista, että tämä artikkeli on jatkoa muille, jotka alkavat vuonna Squid + PAM -todennus CentOS 7: ssä.

Ens32 LAN-liitäntä kytketty sisäiseen verkkoon

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = julkinen

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-liitäntä kytketty Internetiin

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
LAITE = ens34 ONBOOT = kyllä ​​BOOTPROTO = staattinen HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ei IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL-reititin on kytketty # tähän liitäntään # seuraavalla osoitteella GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = ulkoinen

DNS-tarkkuus lähiverkosta

[root @ linuxbox ~] # cat /etc/resolv.conf haku linux.fan-nimipalvelimelta 127.0.0.1-nimipalvelin 172.16.10.30 [root @ linuxbox ~] # isäntäposti
mail.desdelinux.fan on linuxbox.desdelinux.fan-alias. linuxbox.desdelinux.fanilla on osoite 192.168.10.5 linuxbox.desdelinux.fan -postia hoitaa 1 mail.desdelinux.fan.

[root @ linuxbox ~] # isäntä mail.fromlinux.fan
mail.desdelinux.fan on linuxbox.desdelinux.fan-alias. linuxbox.desdelinux.fanilla on osoite 192.168.10.5 linuxbox.desdelinux.fan -postia hoitaa 1 mail.desdelinux.fan.

DNS-tarkkuus Internetistä

buzz @ sysadmin: ~ $ isäntä mail.fromlinux.fan 172.16.10.30
Verkkotunnuspalvelimen käyttäminen: Nimi: 172.16.10.30 Osoite: 172.16.10.30 # 53 Alias: mail.desdelinux.fan on alias desdelinux.fanille.
from linux.fan on osoite 172.16.10.10
desdelinux.fan -postia hoitaa 10 mail.desdelinux.fan.

Ongelmia isäntänimen "desdelinux.fan" ratkaisemisessa paikallisesti

Jos sinulla on ongelmia isäntänimen selvittämisessä «fromlinux.fan"alkaen LAN, yritä kommentoida tiedostorivi /etc/dnsmasq.conf missä se ilmoitetaan paikallinen = / linux.fanilta /. Käynnistä sitten Dnsmasq uudelleen.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentoi alla olevaa riviä:
# paikallinen = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq käynnistä uudelleen
Uudelleenohjaus kohtaan / bin / systemctl käynnistä dnsmasq.service uudelleen

[root @ linuxbox ~] # service dnsmasq -tila

[root @ linuxbox ~] # isäntä linux.fanilta
desdelinux.fanilla on osoite 172.16.10.10 desdelinux.fan -postia hoitaa 10 mail.desdelinux.fan.

Postfix ja Dovecot

Postfixin ja Dovecotin erittäin laaja dokumentaatio löytyy osoitteesta:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LISENSSILUETTELO-Postfix-SASL-RedHat.txt-YHTEENSOPIVUUS main.cf.default TLS_ACKNOWLEDGEMENTS -esimerkkejä README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
TEKIJÄT COPYING.MIT dovecot-openssl.cnf UUTISET wiki KOPIOINTI ChangeLog example-config README COPYING.LGPL dokumentaatio.txt mkcert.sh solr-schema.xml

CentOS 7: ssä Postfix MTA asennetaan oletuksena, kun valitsemme infrastruktuuripalvelimen vaihtoehdon. Meidän on varmistettava, että SELinux-konteksti sallii kirjoittamisen Potfixiin paikallisessa viestijonossa:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Palomuurin muutoksetD

Käyttämällä graafista käyttöliittymää palomuurin määrittämiseen meidän on taattava, että seuraavat palvelut ja portit ovat käytössä jokaiselle vyöhykkeelle:

# ------------------------------------------------- -----
# Korjaa palomuuriD
# ------------------------------------------------- -----
# Palomuuri
# Julkinen vyöhyke: http, https, imap, pop3, smtp-palvelut
# Julkinen alue: portit 80, 443, 143, 110, 25

# Ulkoinen vyöhyke: http, https, imap, pop3s, smtp-palvelut
# Ulkoinen vyöhyke: portit 80, 443, 143, 995, 25

Asennamme Dovecot ja tarvittavat ohjelmat

[root @ linuxbox ~] # yum asenna dovecot mod_ssl procmail telnet

Pienin Dovecot-kokoonpano

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokollat = imap pop3 lmtp
kuunnella = *, ::
sisäänkirjautumistervehdys = Dovecot on valmis!

Poistamme nimenomaisesti Dovecotin selkokielisen todennuksen:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = kyllä

Julistamme ryhmälle tarvittavat oikeudet vuorovaikutukseen Dovecotin kanssa ja viestien sijainnin:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = posti
mail_access_groups = posti

Sertifikaatit Dovecotille

Dovecot luo testivarmenteet automaattisesti tiedostossa olevien tietojen perusteella /etc/pki/dovecot/dovecot-openssl.cnf. Jotta uudet sertifikaatit luodaan vaatimusten mukaisesti, meidän on suoritettava seuraavat vaiheet:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 salausavain = kyllä ​​erotettu_nimi = req_dn x509_extensions = cert_type -kehote = ei [req_dn] # maa (kaksikirjaiminen koodi) C = CU # valtion tai maakunnan nimi (koko nimi) ST = Kuuba # paikkakunnan nimi (esim. kaupunki ) L = Habana # Organisaatio (esim. Yritys) O = FromLinux.Fan # Organisaatioyksikön nimi (esim. Jakso) OU = Harrastajat # Yleinen nimi (* .esimerkki.com on myös mahdollinen) CN = *. Desdelinux.fan # E -sähköpostiosoiteosoite=buzz@desdelinux.fan [cert_type] nsCertType = palvelin

Poistamme testitodistukset

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: poistetaanko tavallinen tiedosto "certs / dovecot.pem"? (kyllä ​​/ ei) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: poistetaanko tavallinen tiedosto "private / dovecot.pem"? (kyllä ​​/ ei) y

Kopioimme ja toteutamme käsikirjoituksen mkcert.sh dokumentaatiohakemistosta

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024-bittisen yksityisen RSA-avaimen luominen ...... ++++++ ................ ++++++ uuden yksityisen avaimen kirjoittaminen kohteeseen '/ etc / pki / dovecot / private / dovecot.pem '----- aihe = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Sormenjälki = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l sertifikaatit /
yhteensä 4 -rw -------. 1 juurijuuri 1029 22. toukokuuta 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l yksityinen /
yhteensä 4 -rw -------. 1 juurijuuri 916 22. toukokuuta 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot käynnistyy uudelleen
[root @ linuxbox dovecot] # palvelun dovecot-tila

Sertifikaatit Postfixille

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -solmut -uusi avain rsa: 4096 -päivää 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

4096-bittisen RSA-yksityisen avaimen luominen ......... ++ .. ++ uuden yksityisen avaimen kirjoittaminen "private / domain.tld.key" ----- Sinua pyydetään syöttämään tietoja joka sisällytetään varmentepyyntösi. Mitä aiot syöttää, on niin kutsuttu nimetty nimi tai DN. Kenttiä on melko vähän, mutta voit jättää joitain tyhjiä. Joillekin kentille on oletusarvo, Jos syötät '.', Kenttä jätetään tyhjäksi. ----- Maan nimi (kaksikirjaiminen koodi) [XX]: CU: n valtion tai provinssin nimi (täydellinen nimi) []: Kuuban paikkakunnan nimi (esim. Kaupunki) [Oletuskaupunki]: Habana-organisaation nimi (esim. Yritys) [ Oletusyritys Ltd]: desdeLinux.Fan-organisaatioyksikön nimi (esim. Osio) []: Harrastajien yleinen nimi (esim. Nimesi tai palvelimesi isäntänimi) []: desdelinux.fan-sähköpostiosoite []: buzz@desdelinux.fan

Pienin Postfix-kokoonpano

Lisätään tiedoston loppuun / Etc / aliases seuraava:

juuri: buzz

Muutosten voimaantulemiseksi suoritamme seuraavan komennon:

[root @ linuxbox ~] # newaliaasia

Postifx-määritykset voidaan tehdä muokkaamalla tiedostoa suoraan /etc/postfix/main.cf tai komennolla postconf -e huolehtimalla siitä, että kaikki parametrit, joita haluamme muokata tai lisätä, näkyvät konsolin yhdellä rivillä:

  • Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
[root @ linuxbox ~] # postconf -e 'isäntänimi = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'verkkotunnus = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = kaikki'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ Laajennus"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ postinimi ($ mail_version)'

Lisätään tiedoston loppuun /etc/postfix/main.cf alla annetut vaihtoehdot. Jokaisen merkityksen tuntemiseksi suosittelemme lukemaan mukana olevat asiakirjat.

biff = ei
append_dot_mydomain = ei
viive_varoitusaika = 4h
readme_directory = ei
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Postilaatikon enimmäiskoko 1024 megatavua = 1 g ja g
mailbox_size_limit = 1073741824

vastaanottaja_raja = +
maximal_queue_lifetime = 7 p
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Tilit, jotka lähettävät kopion saapuvasta postista toiselle tilille
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Seuraavat rivit ovat tärkeitä sen määrittämiseksi, kuka voi lähettää sähköpostia ja välittää muita palvelimia, jotta emme määritä vahingossa "avointa välitystä", joka sallii valtuuttamattomien käyttäjien lähettää sähköpostia. Meidän on käytettävä Postfix-ohjesivuja ymmärtämään, mitä kukin vaihtoehto tarkoittaa.

  • Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 sallia

smtpd_sender_restrictions = allow_sasl_authenticated,
 load_mynetworks,
 warn_if_reject reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 sallia

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# HUOMAUTUS: Vaihtoehto "check_policy_service inet: 127.0.0.1: 10023"
# mahdollistaa Postgrey-ohjelman, eikä meidän pitäisi sisällyttää sitä
# muuten aiomme käyttää Postgreyä

smtpd_recipient_restrictions = reject_unauth_pipelining,
 load_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 sallia

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 load_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 sallia
 
smtpd_helo_required = kyllä
smtpd_delay_reject = kyllä
disable_vrfy_command = kyllä

Luomme tiedostot / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyja muokkaamme tiedostoa / etc / postfix / header_checks.

  • Jokaisen on ilmoitettava ymmärrettävät ja tarvitsemansa vaihtoehdot!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Jos tätä tiedostoa muokataan, postikarttaa ei tarvitse suorittaa # # Testaa säännöt suorittamalla pääkäyttäjänä: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Pitäisi palata: # Hylkää säännön nro 2 roskapostin esto
/ viagra / Hylkää sääntö # 1 Viestirungon roskapostin torjunta
/ super new v [i1] agra / Hylkää säännön nro 2 roskapostin esto

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Muokkaamisen jälkeen sinun on suoritettava: # postmap / etc / postfix / accounts_ forwarding_copy
# ja tiedosto luodaan tai mitataan: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Yhden tilin välittäminen BCC copy # BCC = Black Carbon Copy # Esimerkki: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lisää tiedoston loppuun # EI VAADI Postmapia, koska ne ovat säännöllisiä lausekkeita
/ ^ Aihe: =? Big5? / Hylkää kiinalainen koodaus, jota tämä palvelin ei hyväksy
/ ^ Aihe: =? EUC-KR? / Hylkää korealainen koodaus, jota tämä palvelin ei salli
/ ^ Aihe: ADV: / Hylkää tämä palvelin ei hyväksy mainoksia
/^From :.*\@.*\.cn/ Hylkää Valitettavasti kiinalaista postia ei sallita täällä
/^From :.*\@.*\.kr/ Hylkää Valitettavasti korealaista postia ei sallita täällä
/^From :.*\@.*\.tr/ Hylkää Valitettavasti turkkilaista postia ei sallita täällä
/^From :.*\@.*\.ro/ Hylkää Valitettavasti romanialaista postia ei sallita täällä
/^(Vastaanotettu|Message-Id|X-(Mailer|Sender)):.*\b(AutomaMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / Hylkää Ei massapostittajia sallittu.
/ ^ Lähettäjä: "spammer / Hylkää
/ ^ Lähettäjä: "spam / Hylkää
/^Aihe :.*viagra/ HÄVITÄ
# Vaaralliset laajennukset
/ name = [^> Iluminación * \. (lepakko | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / Hylkää Hylkää Emme hyväksy liitteitä näillä laajennuksilla

Tarkistamme syntaksin, käynnistämme Apache ja Postifx uudelleen ja otamme Dovecot käyttöön ja käynnistämme sen

[root @ linuxbox ~] # postfix-tarkistus
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl käynnistä httpd uudelleen
[root @ linuxbox ~] # systemctl-tila httpd

[root @ linuxbox ~] # systemctl käynnistä postfix uudelleen
[root @ linuxbox ~] # systemctl-tilan jälkikorjaus

[root @ linuxbox ~] # systemctl-tila dovecot
● dovecot.service - Dovecot IMAP / POP3 -sähköpostipalvelin Ladattu: ladattu (/usr/lib/systemd/system/dovecot.service; poistettu käytöstä; toimittajan esiasetus: poistettu käytöstä) Aktiivinen: passiivinen (kuollut)

[root @ linuxbox ~] # systemctl ota käyttöön dovecot
[root @ linuxbox ~] # systemctl Käynnistä dovecot
[root @ linuxbox ~] # systemctl käynnistä dovecot uudelleen
[root @ linuxbox ~] # systemctl-tila dovecot

Konsolitason tarkastukset

  • Ennen kuin jatkat muiden ohjelmien asennusta ja määritystä, on erittäin tärkeää tarkistaa SMTP- ja POP-palvelujen vähimmäistarkastukset.

Paikallinen itse palvelimelta

Lähetämme sähköpostin paikalliselle käyttäjälle Legolas.

[root @ linuxbox ~] # echo "Hei. Tämä on testiviesti" | mail -s "Test" legolas

Tarkistamme postilaatikon Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -yhteys 127.0.0.1:110 -starttls pop3

Viestin jälkeen Dovecot on valmis! jatkamme:

---
+ OK Dovecot on valmis!
KÄYTTÄJÄ legolas + OK PASS legolas + OK Kirjaudu sisään. STAT + OK 1 559 LUETTELO + OK 1 viestit: 1 559. RETR 1 + OK 559 oktettia Paluureitti: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Vastaanotettu: desdelinux.fan (Postfix, käyttäjältä 0) id 7EA22C11FC57; Ma, 22. toukokuuta 2017 10:47:10 -0400 (EDT) Päivämäärä: Ma, 22. toukokuuta 2017 10:47:10 -0400 Vastaanottaja: legolas@desdelinux.fan Aihe: User-Agent -testi: Heirloom mailx 12.5 7/5 / 10 MIME-versio: 1.0 Sisältötyyppi: teksti / tavallinen; charset = us-ascii Sisällönsiirto-koodaus: 7-bittinen viestitunnus: <20170522144710.7EA22C11FC57@desdelinux.fan> Lähettäjä: root@desdelinux.fan (root) Hei. Tämä on testiviesti. LOPETA VALMIS
[root @ linuxbox ~] #

Kauko-ohjaimet lähiverkossa olevasta tietokoneesta

Lähetetään uusi viesti Legolas toisesta lähiverkon tietokoneesta. Huomaa, että TLS-suojaus EI ole ehdottoman välttämätöntä pk-yritysverkossa.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Hei" \
-m "Terveisiä Legolas ystäväsi Buzzilta" \
-s mail.desdelinux.fan -o tls = ei
22. toukokuuta 10:53:08 sysadmin sendemail [5866]: Sähköpostin lähetys onnistui!

Jos yritämme muodostaa yhteyden telnet Lähiverkossa olevasta isännästä - tai tietysti Internetistä - Dovecotiin tapahtuu seuraava, koska poistamme selkeän tekstin todennuksen käytöstä:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Yritetään 192.168.10.5 ...
Yhdistetty linuxbox.fromlinux.fan. Escape-merkki on '^]'. + OK Dovecot on valmis! käyttäjän legolas
-ERR [AUTH] Pelkän tekstin todennus on kielletty suojaamattomissa (SSL / TLS) -yhteyksissä.
lopeta + OK Uloskirjautuminen Ulkomainen isäntä on sulkenut yhteyden.
buzz @ sysadmin: ~ $

Meidän on tehtävä se läpi openssl. Komennon täydellinen ulostulo olisi:

buzz @ sysadmin: ~ $ openssl s_client -crlf -liitä mail.desdelinux.fan:110 -starttls pop3
CONNECTED (00000003)
syvyys = 0 C = CU, ST = Kuuba, L = Havana, O = FromLinux.Fan, OU = Harrastajat, CN = * .flinlinux.fan, emailAddress = buzz@fromlinux.fan
vahvista virhe: num = 18: itse allekirjoitettu varmenne vahvista palautus: 1
syvyys = 0 C = CU, ST = Kuuba, L = Havana, O = FromLinux.Fan, OU = Harrastajat, CN = * .flinlinux.fan, emailAddress = buzz@fromlinux.fan vahvista palautus: 1
--- Sertifikaattiketju 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Palvelinsertifikaatti ----- ALOITA SERTIFIKAATTI-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END CERTIFICATE aihe = / C = CU / ST = Kuuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan liikkeeseenlaskija = / C = CU / ST = Kuuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. .fan / emailAddress = buzz @ desdelinux.fan --- Ei asiakassertifikaatin CA-nimiä lähetetty Palvelimen väliavain: ECDH, secp384r1, 384 bittiä --- SSL-kädenpuristus on lukenut 1342 tavua ja kirjoittanut 411 tavua --- Uusi, TLSv1 / SSLv3 , Salaus on ECDHE-RSA-AES256-GCM-SHA384 Palvelimen julkinen avain on 1024-bittinen Suojattu uudelleenneuvottelu IS tuettu Pakkaus: EI mitään Laajennus: Ei mitään SSL-istunto: Protokolla: TLSv1.2 Salaus: ECDHE-RSA-AES256-GCM-SHA384 Istunto- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Istunnon tunnus-ctx: Pääavain : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Ei krb5 Principal: Ei PSK 300 identiteetti: Ei PSK identiteetti vihje HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: Ei krb7 Principal: Ei mitään 1 PSK identiteetti: Ei PSK identiteetti vihje HS XNUMX TLS istunto XNUMX sekuntia XNUMX f Nonec XNUMX lipun istunto XNUMX f XNUMX sekuntia XNUMX FXNUMXFXNUMX lippu ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot on valmis!
KÄYTTÄJÄ legolas
+ OK
PASS legolas
+ OK kirjautunut sisään.
LIST
+ OK 1 viestit: 1 1021.
RETR 1
+ OK 1021 oktetin paluureitti: X-Original-To: legolas@desdelinux.fan Toimitettu-To: legolas@desdelinux.fan Vastaanotettu: from sysadmin.desdelinux.fan (yhdyskäytävä [172.16.10.1]) desdelinux.fan (Postfix) kanssa ESMTP-tunnuksella 51886C11E8C0 ; Ma 22. toukokuuta 2017 15:09:11 -0400 (EDT) Viestin tunnus: <919362.931369932-sendEmail@sysadmin> Lähettäjä: "buzz@deslinux.fan" Vastaanottaja: "legolas@desdelinux.fan" Aihe: Hei Päivämäärä: Ma, 22. toukokuuta 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Versio: 1.0 Content-Type: multipart / related; borderary = "---- MIME-erotin sendEmail-365707.724894495" -viestille Tämä on moniosainen viesti MIME-muodossa. Tarvitset MIME-version 1.0 mukaisen sähköpostiohjelman, jotta voit näyttää tämän viestin oikein. ------ MIME-erotin sendEmailille-365707.724894495 Content-Type: teksti / tavallinen; charset = "iso-8859-1" Sisällönsiirto-koodaus: 7-bittiset terveiset Legolas ystäväsi Buzzilta ------ MIME-erotin sendEmailille-365707.724894495--.
PALUU
+ OK Uloskirjautuminen. suljettu
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail on web-asiakas, joka on kirjoitettu kokonaan PHP: llä. Se sisältää alkuperäisen PHP-tuen IMAP- ja SMTP-protokollille ja tarjoaa parhaan yhteensopivuuden käytössä olevien selainten kanssa. Se toimii oikein missä tahansa IMAP-palvelimessa. Siinä on kaikki toiminnot, joita tarvitset sähköpostiohjelmasta, mukaan lukien MIME-tuki, osoitekirja ja kansionhallinta.

[root @ linuxbox ~] # yum asenna orava
[root @ linuxbox ~] # service httpd käynnistä uudelleen

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # service httpd lataa uudelleen

DNS-lähetyskäytännön kehystyö tai SPF-tietue

Artikkelissa NSD: n autoritaarinen DNS-palvelin + Shorewall Näimme, että "desdelinux.fan" -vyöhyke määritettiin seuraavasti:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN sivustolta linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; sarja 1D; päivitä 1H; yritä uudelleen 1W; vanhenee 3H); vähintään tai Negatiivinen välimuistin aika elää; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Loki ratkaistaksesi kaivakyselyt linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 -sähköposti CNAME-muodossa linux.fan-palvelimelta. chat IN CNAME from linux.fan. www IN CNAME osoitteesta linux.fan. ; ; XMPP: hen liittyvät SRV-tietueet
_xmpp-server._tcp IN SRV 0 0 5269 linux.fanista. _xmpp-client._tcp IN SRV 0 0 5222 linux.fanista. _jabber._tcp IN SRV 0 0 5269 linux.fanilta.

Siinä rekisteri ilmoitetaan:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Jotta sama parametri olisi määritetty SME-verkolle tai lähiverkolle, meidän on muutettava Dnsmasq-määritystiedostoa seuraavasti:

# TXT-tietuetta. Voimme myös julistaa SPF-tietueen txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Sitten käynnistämme palvelun uudelleen:

[root @ linuxbox ~] # service dnsmasq käynnistä uudelleen
[root @ linuxbox ~] # service dnsmasq-tila [root @ linuxbox ~] # host-TXT mail.fromlinux.fan mail.fromlinux.fan on alias forlinlin.fanille. desdelinux.fan kuvaileva teksti "v = spf1 a: mail.desdelinux.fan -all"

Itse allekirjoitetut varmenteet ja Apache tai httpd

Vaikka selaimesi kertoo sinulle, että « mail.fromlinux.fan Olet määrittänyt verkkosivustosi väärin. Estääksesi tietojesi varastamisen, Firefox ei ole muodostanut yhteyttä tähän verkkosivustoon ”, aiemmin luotu varmenne Se on voimassaja antaa asiakkaan ja palvelimen välisten kirjautumistietojen liikkua salattuina, kun olemme hyväksyneet varmenteen.

Halutessasi ja tapana yhtenäistää varmenteet voit ilmoittaa Apachelle samat varmenteet, jotka ilmoitit Postfixille, mikä on oikein.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # palvelun httpd uudelleen
[root @ linuxbox ~] # palvelu httpd-tila

Diffie-Hellman-ryhmä

Turvallisuusaihe vaikeutuu joka päivä Internetissä. Yksi yleisimmistä yhteyksien hyökkäyksistä SSL, onko hän pattitilanne ja suojautua sitä vastaan ​​on tarpeen lisätä epätyypillisiä parametreja SSL-kokoonpanoon. Tätä varten on RFC-3526 «Lisää modulaarista eksponentiaalista (MODP) Diffie-Hellman ryhmät Internet-avaimenvaihtoon (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Asennetun Apache-version mukaan käytämme tiedostosta Diffie-Helman-ryhmää /etc/pki/tls/dhparams.pem. Jos kyseessä on versio 2.4.8 tai uudempi, meidän on lisättävä tiedostoon /etc/httpd/conf.d/ssl.conf seuraava rivi:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Käyttämämme Apache-versio on:

[root @ linuxbox tls] # yum info httpd
Ladatut laajennukset: fastestmirror, langpacks Peilien nopeuksien lataaminen välimuistissa olevasta isäntätiedostosta Asennetut paketit Nimi: httpd Arkkitehtuuri: x86_64
Versio: 2.4.6
Julkaisu: 45.el7.centos Koko: 9.4 M Tietovarasto: asennettu arkistosta: Base-Repo-yhteenveto: Apache HTTP -palvelimen URL-osoite: http://httpd.apache.org/ Lisenssi: ASL 2.0 Kuvaus: Apache HTTP -palvelin on tehokas , tehokas ja laajennettavissa: verkkopalvelin.

Koska meillä on versio ennen 2.4.8, lisätään aiemmin luodun CRT-varmenteen loppuun Diffie-Helman-ryhmän sisältö:

[root @ linuxbox tls] # kissa yksityinen / dhparams.pem >> certs / desdelinux.fan.crt

Jos haluat tarkistaa, että DH-parametrit on lisätty oikein CRT-varmenteeseen, suorita seuraavat komennot:

[root @ linuxbox tls] # kissa yksityinen / dhparams.pem 
----- DH-PARAMETRIEN ALOITTAMINEN -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LOPETA DH-PARAMETRIT -----

[root @ linuxbox tls] # kissasertifikaatit / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- LOPETA DH-PARAMETRIT -----

Näiden muutosten jälkeen meidän on käynnistettävä Postfix- ja httpd-palvelut uudelleen:

[root @ linuxbox tls] # service postfix käynnistetään uudelleen
[root @ linuxbox tls] # palvelun jälkikorjauksen tila
[root @ linuxbox tls] # service httpd käynnistä uudelleen
[root @ linuxbox tls] # palvelun httpd-tila

Diffie-Helman-ryhmän sisällyttäminen TLS-varmenteihimme saattaa tehdä HTTPS-yhteyden muodostamisen hieman hitaammaksi, mutta turvallisuuden lisääminen on sen arvoista.

Tarkistetaan Orava

Despues että varmenteet on luotu oikein ja että tarkistamme niiden oikean toiminnan samalla tavalla kuin konsolikomennoilla, osoita haluamasi selain URL-osoitteeseen http://mail.desdelinux.fan/webmail ja se muodostaa yhteyden web-asiakasohjelmaan vastaavan varmenteen hyväksymisen jälkeen. Huomaa, että vaikka määrität HTTP-protokollan, sinut ohjataan HTTPS: ään, ja tämä johtuu CentOS: n Squirrelmailin tarjoamista oletusasetuksista. Katso tiedosto /etc/httpd/conf.d/squirrelmail.conf.

Tietoja käyttäjien postilaatikoista

Dovecot luo IMAP-postilaatikot kansioon koti jokaisen käyttäjän kohdalla:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
yhteensä 12 drwxrwx ---. 5 legolas mail 4096 22. toukokuuta 12:39. drwx ------. 3 legolas legolas 75. toukokuuta 22 11:34 .. -rw -------. 1 legolas legolas 72. toukokuuta 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. toukokuuta 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 toukokuuta 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. toukokuuta 10:23 INBOX drwx ------. 2 legolas legolas 56. toukokuuta 22, 12:39 Lähetetty drwx ------. 2 legolas legolas 30. toukokuuta 22 11:34 Roskakori

Ne tallennetaan myös kansioon / var / mail /

[root @ linuxbox ~] # vähemmän / var / mail / legolas
Lähettäjä MAILER_DAEMON ma 22. toukokuuta 10:28:00 2017 Päivämäärä: ma, 22. toukokuuta 2017 10:28:00 -0400 Lähettäjä: Postijärjestelmän sisäiset tiedot Aihe: ÄLÄ POISTA TÄTÄ VIESTIÄ - KANSIO SISÄISET TIEDOT Viestin tunnus: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Tila: RO Tämä teksti on osa postilaatikkosi sisäistä muotoa, eikä se ole oikea viesti . Se luodaan automaattisesti postijärjestelmän ohjelmistolla. Jos ne poistetaan, tärkeät kansiotiedot menetetään ja ne luodaan uudelleen palauttamalla tiedot alkuperäisiin arvoihin. Lähettäjä root@desdelinux.fan Ma 22. X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Vastaanotettu: desdelinux.fan (Postfix, käyttäjältä 10) id 47EA10C2017FC0; Ma, 7. toukokuuta 22 11:57:22 -2017 (EDT) Päivämäärä: Ma, 10. toukokuuta 47 10:0400:22 -2017 Vastaanottaja: legolas@desdelinux.fan Aihe: User-Agent -testi: Heirloom mailx 10 47/10 / 0400 MIME-versio: 12.5 Sisältötyyppi: teksti / tavallinen; charset = us-ascii Sisällönsiirto-koodaus: 7-bittinen viestitunnus: <5EA10C1.0FC7@desdelinux.fan> Lähettäjä: root@desdelinux.fan (root) X-UID: 20170522144710.7 Tila: RO Hei. Tämä on testiviesti Lähettäjä buzz@deslinux.fan Ma 22. toukokuuta 11:57:7 22 Paluupolku: X-Original-To: legolas@desdelinux.fan Toimitettu-To: legolas@desdelinux.fan Vastaanotettu: from sysadmin.desdelinux.fan (yhdyskäytävä [10]) desdelinux.fan (Postfix) kanssa ESMTP-tunnuksella C53DC08FC2017 ; Ma 172.16.10.1. toukokuuta 184 11:57:22 -2017 (EDT) Viestin tunnus: <10-sendEmail@sysadmin> Lähettäjä: "buzz@deslinux.fan" Vastaanottaja: "legolas@desdelinux.fan" Aihe: Hei Päivämäärä: Ma, 53. toukokuuta 08 0400:739874.219379516:22 +2017 X-Mailer: sendEmail-14 MIME-Versio: 53 Content-Type: multipart / related; border = "---- MIME-erotin sendEmail-08: lle
/ var / mail / legolas

PAM-minisarjayhteenveto

Olemme tarkastelleet Mailserverin ydintä ja painottaneet hieman turvallisuutta. Toivomme, että artikkeli toimii syöttökohtana aiheeseen, joka on yhtä monimutkainen ja altis virheiden tekemiselle kuin Mail Serverin manuaalinen käyttöönotto.

Käytämme paikallista käyttäjän todennusta, koska jos luemme tiedoston oikein /etc/dovecot/conf.d/10-auth.conf, näemme, että lopulta se sisältyy -oletuksena- järjestelmän käyttäjien todennustiedosto ! include auth-system.conf.ext. Juuri tämä tiedosto kertoo meille otsikossa, että:

[root @ linuxbox ~] # vähemmän /etc/dovecot/conf.d/auth-system.conf.ext
# Todennus järjestelmän käyttäjille. Sisältyy 10-todennuksesta. # # # # PAM-todennus. Suosittu nykyään useimmissa järjestelmissä.
# PAM: ää käytetään tyypillisesti joko userdb passwd tai userdb staattinen. # MUISTA: Tarvitset /etc/pam.d/dovecot -tiedoston, joka on luotu PAM # -todennusta varten, jotta se todella toimii. passdb {driver = pam # [session = yes] [setcred = yes] [Fail_show_msg = yes] [max_requests = ] # [välimuistin avain = ] [ ] #args = dovecot}

Ja toinen tiedosto on olemassa /etc/pam.d/dovecot:

[root @ linuxbox ~] # kissa /etc/pam.d/dovecot 
#% PAM-1.0 -varmennus vaaditaan pam_nologin. Joten todennukseen sisältyy salasanan todennustili sisälly salasanan todennustoiminto sisältää salasanan todennuksen

Mitä yritämme kertoa PAM-todennuksesta?

  • CentOS, Debian, Ubuntu ja monet muut Linux-jakelut asentavat Postifxin ja Dovecotin paikallisen todennuksen ollessa oletusarvoisesti käytössä.
  • Monissa Internetin artikkeleissa MySQL - ja viime aikoina MariaDB - tallentavat käyttäjiä ja muuta Mailserveria koskevia tietoja. MUTTA nämä ovat palvelimia TUHANNILLE KÄYTTÄJILLE, eivät klassiselle pk-yritysverkostolle, jossa on - ehkä - satoja käyttäjiä.
  • Todennus PAM: n kautta on välttämätöntä ja riittävä verkkopalvelujen tarjoamiseksi, kunhan ne toimivat yhdellä palvelimella, kuten olemme nähneet tässä minisarjassa.
  • LDAP-tietokantaan tallennetut käyttäjät voidaan kartoittaa ikään kuin he olisivat paikallisia käyttäjiä, ja PAM-todennusta voidaan käyttää tarjoamaan verkkopalveluja eri Linux-palvelimilta, jotka toimivat LDAP-asiakkaina, keskitetystodennuspalvelimeen. Tällä tavoin toimisimme LDAP-palvelimen keskustietokantaan tallennettujen käyttäjien tunnistetietojen kanssa, eikä tietokannan ylläpito ole välttämätöntä paikallisten käyttäjien kanssa.

Seuraavaan seikkailuun asti!


Artikkelin sisältö noudattaa periaatteita toimituksellinen etiikka. Ilmoita virheestä napsauttamalla täällä.

9 kommenttia, jätä omasi

Jätä kommentti

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

*

  1. Vastuussa tiedoista: Miguel Ángel Gatón
  2. Tietojen tarkoitus: Roskapostin hallinta, kommenttien hallinta.
  3. Laillistaminen: Suostumuksesi
  4. Tietojen välittäminen: Tietoja ei luovuteta kolmansille osapuolille muutoin kuin lain nojalla.
  5. Tietojen varastointi: Occentus Networks (EU) isännöi tietokantaa
  6. Oikeudet: Voit milloin tahansa rajoittaa, palauttaa ja poistaa tietojasi.

  1.   lisko dijo

    Uskokaa minua, että käytännössä tämä on prosessi, joka aiheuttaa useammalle kuin yhdelle sysadminille voimakasta päänsärkyä, olen vakuuttunut siitä, että tulevaisuudessa se on viiteopas kaikille, jotka haluavat hallita omia sähköpostejaan, käytännöllinen tapaus, josta tulee abc: ssä, kun integroidaan postfix, dovecot, squirrelmail ..

    Paljon kiitoksia kiitettävästä panoksestasi,

  2.   Darko dijo

    Miksi et käyttäisi Mailpileä turvallisuuden suhteen PGP: n kanssa? Myös Roundcubessa on paljon intuitiivisempi käyttöliittymä ja se voi myös integroida PGP: n.

  3.   räystäspääsky dijo

    3 päivää sitten luin viestin, tiedän kuinka kiittää sinua. En aio asentaa postipalvelinta, mutta on aina hyödyllistä nähdä varmenteiden luominen, mikä on hyödyllistä muille sovelluksille, ja nämä opetusohjelmat tuskin vanhenevat (vielä enemmän, kun käytät centOSia).

  4.   Federico dijo

    Manuel Cillero: Kiitos linkittämisestä blogiisi ja blogistasi tämän artikkelin, joka on Postfixiin ja Dovecotiin perustuvan sähköpostipalvelimen vähimmäisydin.

    Lisko: Kuten aina, arviointisi on otettu hyvin vastaan. Kiitos.

    Darko: Sanon melkein kaikissa artikkeleissani enemmän tai vähemmän, että "Kaikki toteuttavat palvelut ohjelmilla, joista he pitävät eniten." Kiitos kommentista.

    Martin: Kiitos myös artikkelin lukemisesta ja toivon, että se auttaa sinua työssäsi.

  5.   Zodiac Carburus dijo

    Valtava artikkelikaveri Federico. Paljon kiitoksia niin hyvästä tutosta.

  6.   Archy dijo

    erinomainen, vaikka käytän "virtuaalisia käyttäjiä" välttääksesi järjestelmän käyttäjien luomista joka kerta, kun lisätään sähköpostia, kiitos, että opin paljon uusia asioita, ja tämän tyyppistä viestiä odotin

  7.   Willinton Acevedo Rueda dijo

    Hyvää päivää,

    He uskaltaisivat tehdä saman Fedora-hakemistopalvelimella + postifx + dovecot + thunderbird tai Outlook.

    Minulla on osa, mutta olen jumissa, jaan asiakirjan mielelläni @desdelinux -yhteisölle

  8.   phico dijo

    En kuvitellut, että se saavuttaisi yli 3000 käyntiä !!!

    Terveisiä Lisko!

  9.   Pimennä dijo

    Erinomainen tutorial-kollega.
    Voisitko tehdä sen Debian 10: lle Samba4: ään asennetun Active Directoryn käyttäjien kanssa ???
    Luulen, että se olisi melkein sama, mutta muuttaisi todennustyyppiä.
    Itse allekirjoitettujen varmenteiden luomiseen omistamasi osio on erittäin mielenkiintoinen.