Postfix + Dovecot + Squirrelmail i lokalni korisnici - SMB mreže

Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod

Ovaj je članak nastavak i posljednji mini-serijal:

• Squid + PAM provjera autentičnosti na CentOS 7.
• Lokalno upravljanje korisnicima i grupama
• NSD autoritarni DNS poslužitelj + zidni zid
• Prosody IM i lokalni korisnici
  

Pozdrav prijatelji i prijatelji!

The Entuzijasta žele imati vlastiti poslužitelj pošte. Ne žele koristiti poslužitelje na kojima je "Privatnost" između upitnika. Osoba zadužena za implementaciju usluge na vašem malom poslužitelju nije specijalist za tu temu i u početku će pokušati instalirati jezgru budućeg i cjelovitog poslužitelja pošte. Je li to da su "jednadžbe" za izradu punog poslužitelja pošte pomalo teško razumjeti i primijeniti. 😉

Bilješke na marginama

• Potrebno je biti jasan koje funkcije obavlja svaki program uključen u poslužitelj pošte. Kao početni vodič dajemo čitav niz korisnih poveznica s navedenom svrhom da ih posjetimo.
• Implementacija kompletne usluge pošte ručno i od nule naporan je postupak, osim ako ste jedan od "Odabranih" koji svakodnevno obavljaju ovu vrstu zadatka. Poslužitelj pošte obično se sastoji od različitih programa koji se zasebno obrađuju SMTP, POP / IMAP, Lokalno spremanje poruka, zadaci vezani uz postupanje s SPAM, Antivirus itd. SVI ovi programi moraju međusobno pravilno komunicirati.
• Ne postoji jedna veličina koja odgovara svima ili "najbolji primjeri iz prakse" o upravljanju korisnicima; gdje i kako pohraniti poruke ili kako učiniti da sve komponente rade kao jedinstvena cjelina.
• Okupljanje i podešavanje poštanskog poslužitelja obično je neugodno u pitanjima kao što su dozvole i vlasnici datoteka, odabir korisnika koji će biti zadužen za određeni postupak i u malim pogreškama u nekim ezoteričnim konfiguracijskim datotekama.
• Ako dobro ne znate što radite, krajnji rezultat bit će nesiguran ili pomalo nefunkcionalan poslužitelj pošte. Da na kraju provedbe Ne uspije, bit će moguće manje zlo.
• Na Internetu možemo pronaći dobar broj recepata kako napraviti Mail Server. Jedan od najcjelovitijih -po mom vrlo osobnom mišljenju- onaj je koji nudi autor ivar abrahamsen u svom trinaestom izdanju iz siječnja 2017. «Kako postaviti poslužitelj pošte na GNU / Linux sustavu”.
• Također preporučujemo čitanje članka «Poslužitelj pošte na Ubuntu 14.04: Postfix, Dovecot, MySQL«, ili "Poslužitelj pošte na Ubuntu 16.04: Postfix, Dovecot, MySQL”.
• Pravi. Najbolja dokumentacija u tom pogledu može se naći na engleskom jeziku.
  • Iako nikada ne stvaramo poslužitelj pošte koji bi se vjerno vodio Kako da ... spomenuta u prethodnom odlomku, sama činjenica da ga slijedimo korak po korak dat će nam vrlo dobru ideju s čime ćemo se suočiti.
• Ako želite imati cjeloviti poslužitelj pošte u samo nekoliko koraka, možete preuzeti sliku iRedOS-0.6.0-CentOS-5.5-i386.iso, ili potražite moderniju, bilo da je to iRedOS ili iRedMail. To je način koji osobno preporučujem.

Instalirat ćemo i konfigurirati:

• post popraviti kao poslužitelj Mdrugo Transport Agospodin (SMTP).
• Golubinjak kao POP - IMAP poslužitelj.
• Potvrde za povezivanje putem TLS.
• Vjeverica kao web sučelje za korisnike.
• DNS zapis u odnosu na «Okvir politike pošiljatelja"Ili SPF.
• Generiranje modula Grupa Diffie Hellman radi povećanja sigurnosti SSL certifikata.

Treba još učiniti:

Preostale bi biti implementirane barem sljedeće usluge:

• postgrey: Postfix pravila poslužitelja za sive popise i odbacivanje neželjene pošte.
  
• Amavisd-novo: skripta koja stvara sučelje između MTA-e i skenera za viruse i filtera sadržaja.
• Clamav antivirus: antivirusni paket
• SpamAssassin: ekstrakt neželjene pošte
• britva (pyzor): Hvatanje neželjene pošte putem distribuirane i suradničke mreže. Mreža Vipul Razor održava ažurirani katalog širenja neželjene pošte ili neželjene pošte.
• DNS zapis "DomainKeys Identified Mail" ili dkim nastavak.

paketi postgrey, amavisd-new, clamav, spamassassin, britva y pyzor Nalaze se u spremištima programa. Pronaći ćemo i program openkim.

• Ispravna deklaracija DNS zapisa "SPF" i "DKIM" bitna je ako ne želimo da naš poslužitelj pošte tek počne raditi, da ga druge poštanske usluge kao što su npr. Proglase nepoželjnim ili proizvođačem neželjene pošte. gmail, Yahoo, Hotmailitd.

Početne provjere

Imajte na umu da je ovaj članak nastavak ostalih koji počinju u Squid + PAM provjera autentičnosti na CentOS 7.

Ens32 LAN sučelje povezano s unutarnjom mrežom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = javna

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN sučelje povezano s Internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statički HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL Router je povezan na # ovo sučelje sa # sljedećom adresom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = vanjska

DNS rezolucija s LAN-a

[root@linuxbox ~]# cat /etc/resolv.conf pretraživanje desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail
mail.desdelinux.fan je alias za linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.

[root@linuxbox ~]# hostmail.desdelinux.ventilator
mail.desdelinux.fan je alias za linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.

DNS rezolucija s Interneta

buzz@sysadmin:~$hostmail.desdelinux.ventilator 172.16.10.30
Korištenje poslužitelja domene: Naziv: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasi: mail.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

Problemi s lokalnim rješavanjem naziva hosta «desdelinux.ventilator"

Ako imate problema s rješavanjem imena hosta «desdelinux.ventilator" od LAN, pokušajte komentirati redak datoteke /etc/dnsmasq.conf gdje je proglašeno lokalno=/desdelinux.ventilator/. Nakon toga ponovno pokrenite Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte donji redak:
# lokalno=/desdelinux.ventilator/

[root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq
Preusmjeravanje na / bin / systemctl ponovno pokrenite dnsmasq.service

[root @ linuxbox ~] # status dnsmasq usluge

[root@linuxbox ~]# host desdelinux.ventilator
desdelinux.fan ima adresu 172.16.10.10
desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.

Postfix i Dovecot

Vrlo opsežnu dokumentaciju Postfixa i Dovecota možete pronaći na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt KOMPATIBILNOST main.cf.default TLS_ACKNOWLEDGEMENTS primjeri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI KOPIRANJE.MIT dovecot-openssl.cnf VIJESTI wiki KOPIRANJE ChangeLog primjer-konfiguracija README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

U CentOS 7 Postfix MTA je instaliran prema zadanim postavkama kada odaberemo opciju Infrastructure Server. Moramo potvrditi da kontekst SELinux dopušta pisanje u Potfix u lokalni red poruka:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Izmjene u vatroziduD

Koristeći grafičko sučelje za konfiguriranje FirewallD-a, moramo osigurati da su sljedeće usluge i priključci omogućeni za svaku zonu:

# ------------------------------------------------- -----
# Ispravci u vatroziduD
# ------------------------------------------------- -----
# Vatrozid
# Javna zona: http, https, imap, pop3, smtp usluge
# Javna zona: luke 80, 443, 143, 110, 25

# Vanjska zona: http, https, imap, pop3s, smtp usluge
# Vanjska zona: luke 80, 443, 143, 995, 25

Instaliramo Dovecot i potrebne programe

[root @ linuxbox ~] # yum instaliraj dovecot mod_ssl procmail telnet

Minimalna konfiguracija Dovecot

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli =imap pop3 lmtp
slušati =*, ::
prijava_pozdrav = Golubinjak je spreman!

Izričito onemogućujemo Dovecotovu autentifikaciju otvorenog teksta:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = da

Izjavljujemo Grupu s potrebnim privilegijama za interakciju s Dovecot-om i lokacijom poruka:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Potvrde za Dovecot

Dovecot automatski generira vaše testne potvrde na temelju podataka u datoteci /etc/pki/dovecot/dovecot-openssl.cnf. Da bismo generirali nove certifikate u skladu s našim zahtjevima, moramo izvršiti sljedeće korake:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = yes differented_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # država (kod od 2 slova) C=CU # Ime države ili pokrajine (puno ime) ST=Kuba # Naziv lokaliteta (npr. grad ) L=Havana # Organizacija (npr. tvrtka) O=DesdeLinux.Fan # Naziv organizacijske jedinice (npr. odjeljak) OU=Enthusiasts # Uobičajeni naziv (*.example.com je također moguć) CN=*.desdelinux.fan # E-mail kontakt emailAddress=buzz@desdelinux.fan [ vrsta_certifikata ] nsCertType = poslužitelj

Uklanjamo potvrde o ispitivanju

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izbrisati redovnu datoteku "certs / dovecot.pem"? (g / n) g
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izbrisati redovitu datoteku "private / dovecot.pem"? (g / n) g

Kopiramo i izvršavamo skriptu mkcert.sh iz direktorija dokumentacije

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generiranje 1024-bitnog RSA privatnog ključa ......++++++ ................++++++ pisanje novog privatnog ključa u '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
ukupno 4 -rw -------. 1 korijen korijena 1029 22. svibnja 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privatno /
ukupno 4 -rw -------. 1 korijen korijena 916 22. svibnja 16:08 dovecot.pem

[root @ linuxbox dovecot] # restart uslužnog goluba
[root @ linuxbox dovecot] # status dovecot usluge

Potvrde za Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.ventilator.ključ

Generiranje 4096-bitnog RSA privatnog ključa .........++ ..++ pisanje novog privatnog ključa u 'private/domain.tld.key' ----- Od vas će se tražiti da unesete informacije koji će biti uključen u vaš zahtjev za certifikat. Ono što ćete unijeti je ono što se naziva Distinguished Name ili DN. Postoji dosta polja, ali neka možete ostaviti prazna Za neka polja bit će zadana vrijednost. Ako unesete '.', polje će ostati prazno. ----- Naziv zemlje (kôd od 2 slova) [XX]: Naziv države ili pokrajine CU (pun naziv) []: Naziv lokaliteta Kube (npr. grad) [Zadani grad]: Naziv organizacije Havana (npr. tvrtka) [ Default Company Ltd]:DesdeLinux.Fan naziv organizacijske jedinice (npr. odjeljak) []: Zajednički naziv entuzijasta (npr. vaše ime ili naziv hosta vašeg poslužitelja) []:desdelinux.fan adresa e-pošte []:buzz@desdelinux.ventilator

Minimalna konfiguracija Postfix-a

Dodamo na kraj datoteke / etc / aliasi sljedeći:

korijen: zujanje

Da bi promjene stupile na snagu izvršavamo sljedeću naredbu:

[root @ linuxbox ~] # novih imena

Konfiguracija Postifx može se izvršiti izravnim uređivanjem datoteke /etc/postfix/main.cf ili po naredbi postkonf -e vodeći računa da se svi parametri koje želimo izmijeniti ili dodati odraze u jednom retku konzole:

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.ventilator'
[root@linuxbox ~]# postconf -e 'mojadomena = desdelinux.ventilator'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = sve'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dodamo na kraj datoteke /etc/postfix/main.cf opcije dane u nastavku. Da biste znali značenje svakog od njih, preporučujemo čitanje pripadajuće dokumentacije.

biff = ne
append_dot_mydomain = br
vrijeme_odgode_upozorenja = 4h
readme_directory = br
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.ventilator.ključ
smtpd_use_tls = da
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {direktorij podataka} / smtp_scache
smtpd_relay_restrictions = dozvola_mojih mreža dozvola_sasl_authenticated defer_unauth_destination

# Maksimalna veličina poštanskog sandučića 1024 megabajta = 1 g i g
poštanski_mest_veličine_limit = 1073741824

primatelj_delimiter = +
životni vijek maksimalnog_reda = 7d
header_checks = regularni izraz: / etc / postfix / header_checks
body_checks = regularni izraz: / etc / postfix / body_checks

# Računi koji kopiju dolazne pošte šalju na drugi račun
primatelj_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Sljedeći su redovi važni kako bi se utvrdilo tko može slati poštu i prenositi podatke na druge poslužitelje, kako ne bismo slučajno konfigurirali "otvoreni relej" koji neautentificiranim korisnicima omogućuje slanje pošte. Moramo pregledati stranice pomoći za Postfix da bismo razumjeli što svaka opcija znači.

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.

smtpd_helo_restrictions = dozvoli_moju mrežu,
 warn_if_reject reject_non_fqdn_hostname,
 odbiti_nevažeće_ime hosta,
 dopustiti

smtpd_sender_restrictions = dozvola_sasl_authenticated,
 dozvola_mojih mreža,
 upozoriti_ako_odbaci odbaciti_non_fqdn_sender,
 odbiti_nepoznati_domena_pošiljatelja,
 reject_unauth_pipelining,
 dopustiti

smtpd_client_restrictions = odbiti_rbl_client sbl.spamhaus.org,
 reject_rbl_client crne rupe.easynet.nl

# NAPOMENA: Opcija "check_policy_service inet: 127.0.0.1: 10023"
# omogućuje program Postgrey i ne bismo ga trebali uključiti
# inače ćemo koristiti Postgrey

smtpd_recipient_restrictions = odbaci_nautinu_pipeliniranje,
 dozvola_mojih mreža,
 dozvola_sasl_authenticated,
 odbiti_ne_fqdn_primatelj,
 odbiti_nepoznati_primatelj_domena,
 odbiti_naut_na_odredbu,
 check_policy_service inet: 127.0.0.1: 10023,
 dopustiti

smtpd_data_restrictions = odbaci_nautinu_pipeliranje

smtpd_relay_restrictions = odbaci_nautinu_pipeliranje,
 dozvola_mojih mreža,
 dozvola_sasl_authenticated,
 odbiti_ne_fqdn_primatelj,
 odbiti_nepoznati_primatelj_domena,
 odbiti_naut_na_odredbu,
 check_policy_service inet: 127.0.0.1: 10023,
 dopustiti
 
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da

Mi stvaramo datoteke / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyi mijenjamo datoteku / etc / postfix / header_checks.

• Svatko se mora izjasniti o mogućnostima koje razumije i treba!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ako je ova datoteka izmijenjena, nije potrebno # pokretati poštansku kartu # Da biste testirali pravila, pokrenite kao root: # postmap -q 'super novi v1agra' regularni izraz: / etc / postfix / body_checks
# Trebalo bi se vratiti: # ODBIJI Pravilo # 2 Tijelo poruke protiv neželjene pošte
/ viagra / ODBIJANJE Pravilo # 1 protiv neželjene pošte poruke
/ super new v [i1] agra / ODBIJANJE Pravilo # 2 Anti Spam tijela poruke

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Nakon izmjene morate izvršiti: # poštanska karta / etc / postfix / accounts_ forwarding_copy
# i datoteka se kreira ili mjeri: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # JEDAN račun za prosljeđivanje jednog BCC-a kopija # BCC = Black Carbon Copy # Primjer: # webadmin@desdelinux.fan buzz@desdelinux.ventilator

[root @ linuxbox ~] # poštanska karta / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na kraju datoteke # NE POTREBUje poštansku kartu jer su regularni izrazi
/ ^ Predmet: =? Big5? / ODBIJI Kinesko kodiranje ovaj poslužitelj ne prihvaća
/ ^ Predmet: =? EUC-KR? / REJECT Korejsko kodiranje nije dopušteno na ovom poslužitelju
/ ^ Predmet: ADV: / REJECT Oglašavanje koje ovaj poslužitelj ne prihvaća
/^Od:.*\@.*\.cn/ ODBIJI Žao nam je, kineska pošta ovdje nije dopuštena
/^Od:.*\@.*\.kr/ ODBIJI Žao nam je, korejska pošta ovdje nije dopuštena
/^Od:.*\@.*\.tr/ ODBIJI Žao nam je, turska pošta ovdje nije dopuštena
/^Od:.*\@.*\.ro/ ODBIJI Žao nam je, rumunjska pošta ovdje nije dopuštena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Prekidač vijesti | Powermailer | Brzi udarac | Spremni za ciljanje požara | WindoZ | WorldMerge | Yourdora | Lite) \ b / ODBIJATI Nisu dopušteni masovni poštari.
/ ^ Od: "neželjena pošta / ODBIJANJE
/ ^ Od: "neželjena pošta / ODBIJANJE
/^Predmet :.*viagra/ ODBACI
# Opasna proširenja
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / ODBIJATI ODBIJANJE Ne prihvaćamo privitke s ovim proširenjima

Provjeravamo sintaksu, ponovno pokrećemo Apache i Postifx te omogućujemo i pokrećemo Dovecot

[root @ linuxbox ~] # provjera postfiksa
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl ponovno pokrenite httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl ponovno pokreni postfix
[root @ linuxbox ~] # postfiks statusa systemctl

[root @ linuxbox ~] # systemctl status dovecot
L

[root @ linuxbox ~] # systemctl omogući dovecot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl ponovno pokrenite dovecot
[root @ linuxbox ~] # systemctl status dovecot

Provjere na razini konzole

• Prije nastavka instalacije i konfiguracije drugih programa vrlo je važno izvršiti minimalno potrebne provjere SMTP i POP usluga.

Lokalno sa samog poslužitelja

Lokalnom korisniku šaljemo e-poštu Legolas.

[root @ linuxbox ~] # echo "Zdravo. Ovo je probna poruka" | mail-i "Test" legolas

Provjeravamo poštanski sandučić legole.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Nakon poruke Golubinjak je spreman! nastavljamo:

---
+ U redu Dovecot je spreman!
KORISNIK legolas +OK PASS legolas +OK Prijavljeni. STAT +OK 1 559 LIST +OK 1 poruka: 1 559 . RETR 1 +OK 559 okteta povratni put:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Mon, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: Mon, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Testni korisnički agent: Heirloom mailx 12.5 7/5/10 MIME-Verzija: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdrav. Ovo je testna poruka. ODUSTANI GOTOVO
[root @ linuxbox ~] #

Daljinski upravljači s računala na LAN-u

Pošaljite još jednu poruku Legolas s drugog računala na LAN-u. Imajte na umu da TLS sigurnost NIJE nužno potrebna unutar MSP mreže.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.ventilator\
-u "Pozdrav" \
-m "Pozdrav Legolas od vašeg prijatelja Buzza" \
-s e-pošta.desdelinux.fan -o tls=br
22. svibnja 10:53:08 sysadmin sendemail [5866]: E-pošta je uspješno poslana!

Ako se pokušamo povezati telnet Od domaćina na LAN-u - ili s Interneta, naravno - do Dovecota, dogodit će se sljedeće jer onemogućujemo autentifikaciju otvorenog teksta:

buzz@sysadmin:~$ telnet pošta.desdelinux.fan 110Pokušavam 192.168.10.5...
Povezan na linuxbox.desdelinux.ventilator. Izlazni znak je '^]'. +OK Dovecot je spreman! korisnik legolas
-ERR [AUTH] Autentifikacija otvorenog teksta nije dopuštena na nesigurnim (SSL / TLS) vezama.
quit + OK Odjava Veza je prekinuta od strane domaćina.
buzz @ sysadmin: ~ $

Moramo to učiniti do kraja openssl. Kompletni izlaz naredbe bio bi:

buzz@sysadmin:~$ openssl s_client -crlf -poveži poštu.desdelinux.fan:110 -startls pop3
POVEZAN (00000003)
dubina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuzijasti, CN = *.desdelinux.fan, adresa e-pošte = buzz@desdelinux.ventilator
pogreška provjere: num = 18: samopotpisani certifikat provjera povrata: 1
dubina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuzijasti, CN = *.desdelinux.fan, adresa e-pošte = buzz@desdelinux.fan verify return:1
--- Lanac certifikata 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nisu poslana CA imena certifikata klijenta Temp ključ poslužitelja: ECDH, secp384r1, 384 bita --- SSL rukovanje je pročitalo 1342 bajta i zapisalo 411 bajta --- Novo, TLSv1/SSLv3, šifra je ECDHE-RSA-AES256 -GCM-SHA384 javni ključ poslužitelja je 1024 bita Sigurno ponovno pregovaranje JE podržano Kompresija: NIJEDNO Proširenje: NIJEDNO SSL-sesija: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID sesije: C745B4A0236204E16234CB15DC9CDBC3D084125 FF5989F5DB 6C5295BF4E2D73A ID-sesije- ctx : Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Ništa Krb5 Principal: Ništa PSK identitet: Ništa PSK nagovještaj identiteta: Ništa TLS sesija nagovještaj životnog vijeka: 300 (sekundi) TLS sesija natuknica: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 od 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 od 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. Vrijeme početka: 1495484262 Istek vremena: 300 (sek) Provjerite povratni kod: 18 (samopotpisani certifikat) ---
+ U redu Dovecot je spreman!
KORISNIČKE legole
+ U redu
PROLAZI legole
+ U redu Prijavljeni.
POPIS
+ OK 1 poruke: 1 1021.
POVRATAK 1
+OK 1021 okteta povratni put: X-Original-Prima: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Primljeno: od administratora sustava.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) s ESMTP ID-om 51886C11E8C0 zadesdelinux.fan>; Pon, 22. svibnja 2017. 15:09:11 -0400 (EDT) ID poruke: <919362.931369932-sendEmail@sysadmin> Šalje: "buzz@deslinux.fan" Za: "legolas@desdelinux.ventilator"desdelinux.fan> Predmet: Pozdrav Datum: Pon, 22. svibnja 2017. 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME razdjelnik za sendEmail-365707.724894495" Ovo je višedijelna poruka u MIME formatu. Za ispravan prikaz ove poruke potreban vam je program za e-poštu kompatibilan s MIME-verzijom 1.0. ------MIME razdjelnik za sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Pozdrav Legolasu od tvog prijatelja Buzza ------MIME razdjelnik za sendEmail-365707.724894495-- .
Quit
+ U redu Odjava. zatvoreno
buzz @ sysadmin: ~ $

Vjeverica

Vjeverica je web klijent napisan u cijelosti na PHP-u. Uključuje izvornu PHP podršku za protokole IMAP i SMTP i pruža maksimalnu kompatibilnost s različitim preglednicima koji se koriste. Radi ispravno na bilo kojem IMAP poslužitelju. Sadrži sve funkcije koje su vam potrebne od klijenta e-pošte, uključujući MIME podršku, adresar i upravljanje mapama.

[root @ linuxbox ~] # yum instaliranje vjeverice
[root @ linuxbox ~] # ponovno pokretanje usluge httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domena = 'desdelinux.ventilator';
$imapServerAddress = 'mail.desdelinux.ventilator';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.ventilator';

[root @ linuxbox ~] # ponovno učitavanje usluge httpd

DNS okvir za slanje pravila ili SPF zapis

U članku NSD autoritarni DNS poslužitelj + zidni zid Vidjeli smo da Zona «desdelinux.fan» je konfiguriran na sljedeći način:

root@ns:~# nano /etc/nsd/desdelinux.navijačka.zona
$PORIJEKLO desdelinux.ventilator. $TTL 3H @ U SOA br.desdelinux.ventilator. korijen.desdelinux.ventilator. (1; serijski 1D; osvježi 1H; ponovni pokušaj 1W; istek 3H); minimum ili ; Negativno vrijeme predmemoriranja do života; @ U NS ns.desdelinux.ventilator. @ IN MX 10 e-poštom.desdelinux.ventilator.
@ U TXT "v=spf1 a:mail.desdelinux.obožavatelj -svi"
; ; Registracija za rješavanje dig upita desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 pošta IN CNAME   desdelinux.ventilator. chat IN CNAME   desdelinux.ventilator. www IN CNAME   desdelinux.ventilator. ; ; SRV zapisi koji se odnose na XMPP
_xmpp-poslužitelj._tcp U SRV 0 0 5269 desdelinux.ventilator. _xmpp-klijent._tcp U SRV 0 0 5222 desdelinux.ventilator. _jabber._tcp IN SRV 0 0 5269 desdelinux.ventilator.

U njemu je registar deklariran:

@ U TXT "v=spf1 a:mail.desdelinux.obožavatelj -svi"

Da bi se isti parametar konfigurirao za SME mrežu ili LAN, moramo izmijeniti konfiguracijsku datoteku Dnsmasq na sljedeći način:

# TXT zapisa. Također možemo deklarirati SPF zapis txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.obožavatelj -svi"

Zatim ponovno pokrećemo uslugu:

[root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq
[root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.pošta obožavatelja.desdelinux.fan je alias za desdelinux.ventilator.
desdelinux.fan opisni tekst "v=spf1 a:mail.desdelinux.obožavatelj -svi"

Samopotpisani certifikati i Apache ili httpd

Čak i ako vam preglednik kaže da je "Vlasnik mail.desdelinux.ventilator Pogrešno ste konfigurirali svoje web mjesto. Kako bi spriječio krađu vaših podataka, Firefox se nije povezao s ovom web stranicom ”, prethodno generiranim certifikatom VRIJEDIi omogućit će vjerodajnice između klijenta i poslužitelja da putuju šifrirano, nakon što prihvatimo certifikat.

Ako želite, i kao način objedinjavanja certifikata, možete deklarirati za Apache iste certifikate koje ste deklarirali za Postfix, što je točno.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.ventilator.ključ

[root @ linuxbox ~] # usluga httpd ponovno
[root @ linuxbox ~] # status httpd usluge

Diffie-Hellman grupa

Tema sigurnosti postaje sve teža svakim danom na Internetu. Jedan od najčešćih napada na veze SSLje logjam a za obranu od njega potrebno je u SSL konfiguraciju dodati nestandardne parametre. Za to postoji RFC-3526 «Modularniji eksponencijalni (MODP) Diffie–Hellman skupine za internetsku razmjenu ključeva (IKE)”.

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Prema verziji Apachea koju smo instalirali, koristit ćemo Diffie-Helman Group iz datoteke /etc/pki/tls/dhparams.pem. Ako je riječ o verziji 2.4.8 ili novijoj, morat ćemo dodati datoteci /etc/httpd/conf.d/ssl.conf sljedeći redak:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Verzija Apachea koju koristimo je:

[root @ linuxbox tls] # yum info httpd
Učitani dodaci: najbrže ogledalo, langpacks Učitavanje brzina zrcala iz predmemorirane datoteke hosta Instalirani paketi Naziv: httpd Arhitektura: x86_64
Verzija: 2.4.6
Izdanje: 45.el7.centos Veličina: 9.4 M Spremište: instalirano Iz spremišta: Base-Repo Sažetak: URL Apache HTTP poslužitelja: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Apache HTTP poslužitelj je moćan, učinkovit i proširiv: web poslužitelj.

Kako imamo verziju prije 2.4.8, dodajemo sadržaj Diffie-Helman Group na kraj prethodno generiranog CRT certifikata:

[root @ linuxbox tls] # mačka private / dhparams.pem >> potvrde/desdelinux.fan.crt

Ako želite provjeriti jesu li DH parametri ispravno dodani u CRT certifikat, izvršite sljedeće naredbe:

[root @ linuxbox tls] # mačka private / dhparams.pem 
----- POČNITE PARAMETRI DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- ZAVRŠI PARAMETRE DH -----

[root@linuxbox tls]# mačji certifikat/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- ZAVRŠI PARAMETRE DH -----

Nakon ovih promjena moramo ponovno pokrenuti usluge Postfix i httpd:

[root @ linuxbox tls] # ponovno pokretanje postfix servisa
[root @ linuxbox tls] # status postfiksa usluge
[root @ linuxbox tls] # usluga httpd restart
[root @ linuxbox tls] # status httpd usluge

Uključivanje Diffie-Helman Grupe u naše TLS certifikate može usporiti povezivanje putem HTTPS-a, ali dodavanje sigurnosti se itekako isplati.

Provjeravanje Vjeverice

NAKON da su certifikati ispravno generirani i da provjeravamo njihov ispravan rad kao što smo to učinili pomoću naredbi konzole, usmerite željeni preglednik na URL http://mail.desdelinux.fan/webmail i povezat će se s web klijentom nakon prihvaćanja odgovarajućeg certifikata. Imajte na umu da ćete, iako odredite HTTP protokol, biti preusmjereni na HTTPS, a to je zbog zadanih postavki koje CentOS nudi za Squirrelmail. Pogledajte datoteku /etc/httpd/conf.d/squirrelmail.conf.

O korisničkim poštanskim sandučićima

Dovecot stvara IMAP poštanske sandučiće u mapi dom svakog korisnika:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
ukupno 12 drwxrwx ---. 5 legola pošte 4096 22. svibnja 12:39. drwx ------. 3 legole legole 75 22. svibnja 11:34 .. -rw -------. 1 legola legola 72 22. svibnja 11:34 dovecot.mailbox.log -rw -------. 1 legola legola 8. svibnja 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legola legola 0 22. svibnja 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legole mail 56 22. svibnja 10:23 INBOX drwx ------. 2 legole legole 56 22. svibnja 12:39 Poslano drwx ------. 2 legole legole 30. svibnja 22. 11:34 Smeće

Također su pohranjeni u / var / mail /

[root @ linuxbox ~] # manje / var / mail / legolas
Od MAILER_DAEMON Mon May 22 10:28:00 2017 Datum: Mon, 22 May 2017 10:28:00 -0400 From: Interni podaci sustava pošte Predmet: NEMOJTE BRISATI OVU PORUKU -- INTERNI PODACI MAPE ID poruke: <1495463280@linuxbox> . Automatski ga stvara softver sustava za poštu. Ako se obriše, važni podaci mape bit će izgubljeni i ponovno će se stvoriti s vraćanjem podataka na početne vrijednosti. Od root@desdelinux.fan Mon May 22 10:47:10 2017 Povratna staza:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Mon, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: Mon, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Testni korisnički agent: Heirloom mailx 12.5 7/5/10 MIME-Verzija: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdrav. Ovo je probna poruka od buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: X-Original-Prima: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Primljeno: od administratora sustava.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 zadesdelinux.fan>; Pon, 22. svibnja 2017. 10:53:08 -0400 (EDT) ID poruke: <739874.219379516-sendEmail@sysadmin> Šalje: "buzz@deslinux.fan" Za: "legolas@desdelinux.ventilator"desdelinux.fan> Subject: Pozdrav Datum: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME razdjelnik za sendEmail-794889.899510057
/ var / mail / legolas

Sažetak PAM miniserije

Pogledali smo srž poštanskog poslužitelja i stavili mali naglasak na sigurnost. Nadamo se da članak služi kao ulazna točka za temu koja je toliko komplicirana i podložna pogreškama, kao što je ručna implementacija poštanskog poslužitelja.

Koristimo lokalnu autentifikaciju korisnika jer ako datoteku ispravno čitamo /etc/dovecot/conf.d/10-auth.conf, vidjet ćemo da je na kraju uključeno -prema zadanim postavkama- datoteka za provjeru autentičnosti korisnika sustava ! uključuju auth-system.conf.ext. Upravo nam ova datoteka u zaglavlju kaže:

[root @ linuxbox ~] # manje /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikacija za korisnike sustava. Uključeno u 10-auth.conf. # # # # PAM provjera autentičnosti. Danas preferira većina sustava.
# PAM se obično koristi s userdb passwd ili userdb static. # ZAPAMTITE: Trebat će vam datoteka /etc/pam.d/dovecot stvorena da bi PAM # provjera autentičnosti stvarno funkcionirala. passdb {pokretač = pam # [sesija = da] [setcred = da] [neuspjeh_prikaza_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = golubinjak}

A druga datoteka postoji /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% Potrebno PAM-1.0 autorizacija pam_nologin.so auth uključuju lozinku-autorizaciju računa uključuju lozinku-autorsku sesiju uključuju lozinku-autorizaciju

Što pokušavamo priopćiti o PAM provjeri autentičnosti?

• CentOS, Debian, Ubuntu i mnoge druge distribucije Linuxa instaliraju Postifx i Dovecot s lokalnom provjerom autentičnosti koja je omogućena prema zadanim postavkama.
• Mnogi članci na Internetu koriste MySQL - a odnedavno i MariaDB - za pohranu korisnika i ostalih podataka koji se tiču ​​poštanskog poslužitelja. ALI ovo su poslužitelji za TISUĆE KORISNIKA, a ne za klasičnu MSP mrežu s - možda - stotinama korisnika.
• Autentifikacija putem PAM-a neophodna je i dovoljna za pružanje mrežnih usluga sve dok rade na jednom poslužitelju kao što smo vidjeli u ovoj miniseriji.
• Korisnici pohranjeni u LDAP bazi podataka mogu se mapirati kao da su lokalni korisnici, a PAM provjera autentičnosti može se koristiti za pružanje mrežnih usluga s različitih Linux poslužitelja koji djeluju kao LDAP klijenti središnjem poslužitelju za provjeru autentičnosti. Na taj bismo način radili s vjerodajnicama korisnika pohranjenih u bazi podataka središnjeg LDAP poslužitelja, a NE bi bilo bitno održavati bazu podataka s lokalnim korisnicima.

  

  

  

Do sljedeće avanture!