Opći indeks serije: Računalne mreže za mala i srednja poduzeća: Uvod
Ovaj je članak nastavak i posljednji mini-serijal:
- Squid + PAM provjera autentičnosti na CentOS 7.
- Lokalno upravljanje korisnicima i grupama
- NSD autoritarni DNS poslužitelj + zidni zid
- Prosody IM i lokalni korisnici
Pozdrav prijatelji i prijatelji!
The Entuzijasta žele imati vlastiti poslužitelj pošte. Ne žele koristiti poslužitelje na kojima je "Privatnost" između upitnika. Osoba zadužena za implementaciju usluge na vašem malom poslužitelju nije specijalist za tu temu i u početku će pokušati instalirati jezgru budućeg i cjelovitog poslužitelja pošte. Je li to da su "jednadžbe" za izradu punog poslužitelja pošte pomalo teško razumjeti i primijeniti. 😉
Bilješke na marginama
- Potrebno je biti jasan koje funkcije obavlja svaki program uključen u poslužitelj pošte. Kao početni vodič dajemo čitav niz korisnih poveznica s navedenom svrhom da ih posjetimo.
- Implementacija kompletne usluge pošte ručno i od nule naporan je postupak, osim ako ste jedan od "Odabranih" koji svakodnevno obavljaju ovu vrstu zadatka. Poslužitelj pošte obično se sastoji od različitih programa koji se zasebno obrađuju SMTP, POP / IMAP, Lokalno spremanje poruka, zadaci vezani uz postupanje s SPAM, Antivirus itd. SVI ovi programi moraju međusobno pravilno komunicirati.
- Ne postoji jedna veličina koja odgovara svima ili "najbolji primjeri iz prakse" o upravljanju korisnicima; gdje i kako pohraniti poruke ili kako učiniti da sve komponente rade kao jedinstvena cjelina.
- Okupljanje i podešavanje poštanskog poslužitelja obično je neugodno u pitanjima kao što su dozvole i vlasnici datoteka, odabir korisnika koji će biti zadužen za određeni postupak i u malim pogreškama u nekim ezoteričnim konfiguracijskim datotekama.
- Ako dobro ne znate što radite, krajnji rezultat bit će nesiguran ili pomalo nefunkcionalan poslužitelj pošte. Da na kraju provedbe Ne uspije, bit će moguće manje zlo.
- Na Internetu možemo pronaći dobar broj recepata kako napraviti Mail Server. Jedan od najcjelovitijih -po mom vrlo osobnom mišljenju- onaj je koji nudi autor ivar abrahamsen u svom trinaestom izdanju iz siječnja 2017. «Kako postaviti poslužitelj pošte na GNU / Linux sustavu”.
- Također preporučujemo čitanje članka «Poslužitelj pošte na Ubuntu 14.04: Postfix, Dovecot, MySQL«, ili "Poslužitelj pošte na Ubuntu 16.04: Postfix, Dovecot, MySQL”.
- Pravi. Najbolja dokumentacija u tom pogledu može se naći na engleskom jeziku.
- Iako nikada ne stvaramo poslužitelj pošte koji bi se vjerno vodio Kako da ... spomenuta u prethodnom odlomku, sama činjenica da ga slijedimo korak po korak dat će nam vrlo dobru ideju s čime ćemo se suočiti.
- Ako želite imati cjeloviti poslužitelj pošte u samo nekoliko koraka, možete preuzeti sliku iRedOS-0.6.0-CentOS-5.5-i386.iso, ili potražite moderniju, bilo da je to iRedOS ili iRedMail. To je način koji osobno preporučujem.
Instalirat ćemo i konfigurirati:
- post popraviti kao poslužitelj Mdrugo Transport Agospodin (SMTP).
- Golubinjak kao POP - IMAP poslužitelj.
- Potvrde za povezivanje putem TLS.
- Vjeverica kao web sučelje za korisnike.
- DNS zapis u odnosu na «Okvir politike pošiljatelja"Ili SPF.
- Generiranje modula Grupa Diffie Hellman radi povećanja sigurnosti SSL certifikata.
Treba još učiniti:
Preostale bi biti implementirane barem sljedeće usluge:
- postgrey: Postfix pravila poslužitelja za sive popise i odbacivanje neželjene pošte.
- Amavisd-novo: skripta koja stvara sučelje između MTA-e i skenera za viruse i filtera sadržaja.
- Clamav antivirus: antivirusni paket
- SpamAssassin: ekstrakt neželjene pošte
- britva (pyzor): Hvatanje neželjene pošte putem distribuirane i suradničke mreže. Mreža Vipul Razor održava ažurirani katalog širenja neželjene pošte ili neželjene pošte.
- DNS zapis "DomainKeys Identified Mail" ili dkim nastavak.
paketi postgrey, amavisd-new, clamav, spamassassin, britva y pyzor Nalaze se u spremištima programa. Pronaći ćemo i program openkim.
- Ispravna deklaracija DNS zapisa "SPF" i "DKIM" bitna je ako ne želimo da naš poslužitelj pošte tek počne raditi, da ga druge poštanske usluge kao što su npr. Proglase nepoželjnim ili proizvođačem neželjene pošte. gmail, Yahoo, Hotmailitd.
Početne provjere
Imajte na umu da je ovaj članak nastavak ostalih koji počinju u Squid + PAM provjera autentičnosti na CentOS 7.
Ens32 LAN sučelje povezano s unutarnjom mrežom
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = javna
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN sučelje povezano s Internetom
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statički HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL Router je povezan na # ovo sučelje sa # sljedećom adresom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONA = vanjska
DNS rezolucija s LAN-a
[root@linuxbox ~]# cat /etc/resolv.conf pretraživanje desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail mail.desdelinux.fan je alias za linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator. [root@linuxbox ~]# hostmail.desdelinux.ventilator mail.desdelinux.fan je alias za linuxbox.desdelinux.ventilator. linuxbox.desdelinux.fan ima adresu 192.168.10.5 linuxbox.desdelinux.poštu obožavatelja obrađuje 1 pošta.desdelinux.ventilator.
DNS rezolucija s Interneta
buzz@sysadmin:~$hostmail.desdelinux.ventilator 172.16.10.30 Korištenje poslužitelja domene: Naziv: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasi: mail.desdelinux.fan je alias za desdelinux.ventilator. desdelinux.fan ima adresu 172.16.10.10 desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.
Problemi s lokalnim rješavanjem naziva hosta «desdelinux.ventilator"
Ako imate problema s rješavanjem imena hosta «desdelinux.ventilator" od LAN, pokušajte komentirati redak datoteke /etc/dnsmasq.conf gdje je proglašeno lokalno=/desdelinux.ventilator/. Nakon toga ponovno pokrenite Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte donji redak: # lokalno=/desdelinux.ventilator/ [root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq Preusmjeravanje na / bin / systemctl ponovno pokrenite dnsmasq.service [root @ linuxbox ~] # status dnsmasq usluge [root@linuxbox ~]# host desdelinux.ventilator desdelinux.fan ima adresu 172.16.10.10 desdelinux.poštu obožavatelja obrađuje 10 pošta.desdelinux.ventilator.
Postfix i Dovecot
Vrlo opsežnu dokumentaciju Postfixa i Dovecota možete pronaći na:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt KOMPATIBILNOST main.cf.default TLS_ACKNOWLEDGEMENTS primjeri README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AUTORI KOPIRANJE.MIT dovecot-openssl.cnf VIJESTI wiki KOPIRANJE ChangeLog primjer-konfiguracija README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml
U CentOS 7 Postfix MTA je instaliran prema zadanim postavkama kada odaberemo opciju Infrastructure Server. Moramo potvrditi da kontekst SELinux dopušta pisanje u Potfix u lokalni red poruka:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Izmjene u vatroziduD
Koristeći grafičko sučelje za konfiguriranje FirewallD-a, moramo osigurati da su sljedeće usluge i priključci omogućeni za svaku zonu:
# ------------------------------------------------- ----- # Ispravci u vatroziduD # ------------------------------------------------- ----- # Vatrozid # Javna zona: http, https, imap, pop3, smtp usluge # Javna zona: luke 80, 443, 143, 110, 25 # Vanjska zona: http, https, imap, pop3s, smtp usluge # Vanjska zona: luke 80, 443, 143, 995, 25
Instaliramo Dovecot i potrebne programe
[root @ linuxbox ~] # yum instaliraj dovecot mod_ssl procmail telnet
Minimalna konfiguracija Dovecot
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoli =imap pop3 lmtp slušati =*, :: prijava_pozdrav = Golubinjak je spreman!
Izričito onemogućujemo Dovecotovu autentifikaciju otvorenog teksta:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = da
Izjavljujemo Grupu s potrebnim privilegijama za interakciju s Dovecot-om i lokacijom poruka:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = pošta mail_access_groups = pošta
Potvrde za Dovecot
Dovecot automatski generira vaše testne potvrde na temelju podataka u datoteci /etc/pki/dovecot/dovecot-openssl.cnf. Da bismo generirali nove certifikate u skladu s našim zahtjevima, moramo izvršiti sljedeće korake:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes differented_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # država (kod od 2 slova) C=CU # Ime države ili pokrajine (puno ime) ST=Kuba # Naziv lokaliteta (npr. grad ) L=Havana # Organizacija (npr. tvrtka) O=DesdeLinux.Fan # Naziv organizacijske jedinice (npr. odjeljak) OU=Enthusiasts # Uobičajeni naziv (*.example.com je također moguć) CN=*.desdelinux.fan # E-mail kontakt emailAddress=buzz@desdelinux.fan [ vrsta_certifikata ] nsCertType = poslužitelj
Uklanjamo potvrde o ispitivanju
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: izbrisati redovnu datoteku "certs / dovecot.pem"? (g / n) g [root @ linuxbox dovecot] # rm private / dovecot.pem rm: izbrisati redovitu datoteku "private / dovecot.pem"? (g / n) g
Kopiramo i izvršavamo skriptu mkcert.sh iz direktorija dokumentacije
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generiranje 1024-bitnog RSA privatnog ključa ......++++++ ................++++++ pisanje novog privatnog ključa u '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / ukupno 4 -rw -------. 1 korijen korijena 1029 22. svibnja 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l privatno / ukupno 4 -rw -------. 1 korijen korijena 916 22. svibnja 16:08 dovecot.pem [root @ linuxbox dovecot] # restart uslužnog goluba [root @ linuxbox dovecot] # status dovecot usluge
Potvrde za Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.ventilator.ključ Generiranje 4096-bitnog RSA privatnog ključa .........++ ..++ pisanje novog privatnog ključa u 'private/domain.tld.key' ----- Od vas će se tražiti da unesete informacije koji će biti uključen u vaš zahtjev za certifikat. Ono što ćete unijeti je ono što se naziva Distinguished Name ili DN. Postoji dosta polja, ali neka možete ostaviti prazna Za neka polja bit će zadana vrijednost. Ako unesete '.', polje će ostati prazno. ----- Naziv zemlje (kôd od 2 slova) [XX]: Naziv države ili pokrajine CU (pun naziv) []: Naziv lokaliteta Kube (npr. grad) [Zadani grad]: Naziv organizacije Havana (npr. tvrtka) [ Default Company Ltd]:DesdeLinux.Fan naziv organizacijske jedinice (npr. odjeljak) []: Zajednički naziv entuzijasta (npr. vaše ime ili naziv hosta vašeg poslužitelja) []:desdelinux.fan adresa e-pošte []:buzz@desdelinux.ventilator
Minimalna konfiguracija Postfix-a
Dodamo na kraj datoteke / etc / aliasi sljedeći:
korijen: zujanje
Da bi promjene stupile na snagu izvršavamo sljedeću naredbu:
[root @ linuxbox ~] # novih imena
Konfiguracija Postifx može se izvršiti izravnim uređivanjem datoteke /etc/postfix/main.cf ili po naredbi postkonf -e vodeći računa da se svi parametri koje želimo izmijeniti ili dodati odraze u jednom retku konzole:
- Svatko se mora izjasniti o mogućnostima koje razumije i treba!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.ventilator' [root@linuxbox ~]# postconf -e 'mojadomena = desdelinux.ventilator' [root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena' [root @ linuxbox ~] # postconf -e 'inet_interfaces = sve' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Dodamo na kraj datoteke /etc/postfix/main.cf opcije dane u nastavku. Da biste znali značenje svakog od njih, preporučujemo čitanje pripadajuće dokumentacije.
biff = ne append_dot_mydomain = br vrijeme_odgode_upozorenja = 4h readme_directory = br smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.ventilator.ključ smtpd_use_tls = da smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {direktorij podataka} / smtp_scache smtpd_relay_restrictions = dozvola_mojih mreža dozvola_sasl_authenticated defer_unauth_destination # Maksimalna veličina poštanskog sandučića 1024 megabajta = 1 g i g poštanski_mest_veličine_limit = 1073741824 primatelj_delimiter = + životni vijek maksimalnog_reda = 7d header_checks = regularni izraz: / etc / postfix / header_checks body_checks = regularni izraz: / etc / postfix / body_checks # Računi koji kopiju dolazne pošte šalju na drugi račun primatelj_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Sljedeći su redovi važni kako bi se utvrdilo tko može slati poštu i prenositi podatke na druge poslužitelje, kako ne bismo slučajno konfigurirali "otvoreni relej" koji neautentificiranim korisnicima omogućuje slanje pošte. Moramo pregledati stranice pomoći za Postfix da bismo razumjeli što svaka opcija znači.
- Svatko se mora izjasniti o mogućnostima koje razumije i treba!.
smtpd_helo_restrictions = dozvoli_moju mrežu,
warn_if_reject reject_non_fqdn_hostname,
odbiti_nevažeće_ime hosta,
dopustiti
smtpd_sender_restrictions = dozvola_sasl_authenticated,
dozvola_mojih mreža,
upozoriti_ako_odbaci odbaciti_non_fqdn_sender,
odbiti_nepoznati_domena_pošiljatelja,
reject_unauth_pipelining,
dopustiti
smtpd_client_restrictions = odbiti_rbl_client sbl.spamhaus.org,
reject_rbl_client crne rupe.easynet.nl
# NAPOMENA: Opcija "check_policy_service inet: 127.0.0.1: 10023"
# omogućuje program Postgrey i ne bismo ga trebali uključiti
# inače ćemo koristiti Postgrey
smtpd_recipient_restrictions = odbaci_nautinu_pipeliniranje,
dozvola_mojih mreža,
dozvola_sasl_authenticated,
odbiti_ne_fqdn_primatelj,
odbiti_nepoznati_primatelj_domena,
odbiti_naut_na_odredbu,
check_policy_service inet: 127.0.0.1: 10023,
dopustiti
smtpd_data_restrictions = odbaci_nautinu_pipeliranje
smtpd_relay_restrictions = odbaci_nautinu_pipeliranje,
dozvola_mojih mreža,
dozvola_sasl_authenticated,
odbiti_ne_fqdn_primatelj,
odbiti_nepoznati_primatelj_domena,
odbiti_naut_na_odredbu,
check_policy_service inet: 127.0.0.1: 10023,
dopustiti
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da
Mi stvaramo datoteke / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyi mijenjamo datoteku / etc / postfix / header_checks.
- Svatko se mora izjasniti o mogućnostima koje razumije i treba!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ako je ova datoteka izmijenjena, nije potrebno # pokretati poštansku kartu # Da biste testirali pravila, pokrenite kao root: # postmap -q 'super novi v1agra' regularni izraz: / etc / postfix / body_checks
# Trebalo bi se vratiti: # ODBIJI Pravilo # 2 Tijelo poruke protiv neželjene pošte
/ viagra / ODBIJANJE Pravilo # 1 protiv neželjene pošte poruke
/ super new v [i1] agra / ODBIJANJE Pravilo # 2 Anti Spam tijela poruke
[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Nakon izmjene morate izvršiti: # poštanska karta / etc / postfix / accounts_ forwarding_copy
# i datoteka se kreira ili mjeri: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # JEDAN račun za prosljeđivanje jednog BCC-a kopija # BCC = Black Carbon Copy # Primjer: # webadmin@desdelinux.fan buzz@desdelinux.ventilator
[root @ linuxbox ~] # poštanska karta / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na kraju datoteke # NE POTREBUje poštansku kartu jer su regularni izrazi
/ ^ Predmet: =? Big5? / ODBIJI Kinesko kodiranje ovaj poslužitelj ne prihvaća
/ ^ Predmet: =? EUC-KR? / REJECT Korejsko kodiranje nije dopušteno na ovom poslužitelju
/ ^ Predmet: ADV: / REJECT Oglašavanje koje ovaj poslužitelj ne prihvaća
/^Od:.*\@.*\.cn/ ODBIJI Žao nam je, kineska pošta ovdje nije dopuštena
/^Od:.*\@.*\.kr/ ODBIJI Žao nam je, korejska pošta ovdje nije dopuštena
/^Od:.*\@.*\.tr/ ODBIJI Žao nam je, turska pošta ovdje nije dopuštena
/^Od:.*\@.*\.ro/ ODBIJI Žao nam je, rumunjska pošta ovdje nije dopuštena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Prekidač vijesti | Powermailer | Brzi udarac | Spremni za ciljanje požara | WindoZ | WorldMerge | Yourdora | Lite) \ b / ODBIJATI Nisu dopušteni masovni poštari.
/ ^ Od: "neželjena pošta / ODBIJANJE
/ ^ Od: "neželjena pošta / ODBIJANJE
/^Predmet :.*viagra/ ODBACI
# Opasna proširenja
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / ODBIJATI ODBIJANJE Ne prihvaćamo privitke s ovim proširenjima
Provjeravamo sintaksu, ponovno pokrećemo Apache i Postifx te omogućujemo i pokrećemo Dovecot
[root @ linuxbox ~] # provjera postfiksa [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl ponovno pokrenite httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl ponovno pokreni postfix [root @ linuxbox ~] # postfiks statusa systemctl [root @ linuxbox ~] # systemctl status dovecot L [root @ linuxbox ~] # systemctl omogući dovecot [root @ linuxbox ~] # systemctl start dovecot [root @ linuxbox ~] # systemctl ponovno pokrenite dovecot [root @ linuxbox ~] # systemctl status dovecot
Provjere na razini konzole
- Prije nastavka instalacije i konfiguracije drugih programa vrlo je važno izvršiti minimalno potrebne provjere SMTP i POP usluga.
Lokalno sa samog poslužitelja
Lokalnom korisniku šaljemo e-poštu Legolas.
[root @ linuxbox ~] # echo "Zdravo. Ovo je probna poruka" | mail-i "Test" legolas
Provjeravamo poštanski sandučić legole.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Nakon poruke Golubinjak je spreman! nastavljamo:
--- + U redu Dovecot je spreman! KORISNIK legolas +OK PASS legolas +OK Prijavljeni. STAT +OK 1 559 LIST +OK 1 poruka: 1 559 . RETR 1 +OK 559 okteta povratni put:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Mon, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: Mon, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Testni korisnički agent: Heirloom mailx 12.5 7/5/10 MIME-Verzija: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdrav. Ovo je testna poruka. ODUSTANI GOTOVO [root @ linuxbox ~] #
Daljinski upravljači s računala na LAN-u
Pošaljite još jednu poruku Legolas s drugog računala na LAN-u. Imajte na umu da TLS sigurnost NIJE nužno potrebna unutar MSP mreže.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.ventilator\ -u "Pozdrav" \ -m "Pozdrav Legolas od vašeg prijatelja Buzza" \ -s e-pošta.desdelinux.fan -o tls=br 22. svibnja 10:53:08 sysadmin sendemail [5866]: E-pošta je uspješno poslana!
Ako se pokušamo povezati telnet Od domaćina na LAN-u - ili s Interneta, naravno - do Dovecota, dogodit će se sljedeće jer onemogućujemo autentifikaciju otvorenog teksta:
buzz@sysadmin:~$ telnet pošta.desdelinux.fan 110Pokušavam 192.168.10.5...
Povezan na linuxbox.desdelinux.ventilator. Izlazni znak je '^]'. +OK Dovecot je spreman! korisnik legolas
-ERR [AUTH] Autentifikacija otvorenog teksta nije dopuštena na nesigurnim (SSL / TLS) vezama.
quit + OK Odjava Veza je prekinuta od strane domaćina.
buzz @ sysadmin: ~ $
Moramo to učiniti do kraja openssl. Kompletni izlaz naredbe bio bi:
buzz@sysadmin:~$ openssl s_client -crlf -poveži poštu.desdelinux.fan:110 -startls pop3 POVEZAN (00000003) dubina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuzijasti, CN = *.desdelinux.fan, adresa e-pošte = buzz@desdelinux.ventilator pogreška provjere: num = 18: samopotpisani certifikat provjera povrata: 1 dubina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuzijasti, CN = *.desdelinux.fan, adresa e-pošte = buzz@desdelinux.fan verify return:1 --- Lanac certifikata 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nisu poslana CA imena certifikata klijenta Temp ključ poslužitelja: ECDH, secp384r1, 384 bita --- SSL rukovanje je pročitalo 1342 bajta i zapisalo 411 bajta --- Novo, TLSv1/SSLv3, šifra je ECDHE-RSA-AES256 -GCM-SHA384 javni ključ poslužitelja je 1024 bita Sigurno ponovno pregovaranje JE podržano Kompresija: NIJEDNO Proširenje: NIJEDNO SSL-sesija: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID sesije: C745B4A0236204E16234CB15DC9CDBC3D084125 FF5989F5DB 6C5295BF4E2D73A ID-sesije- ctx : Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Ništa Krb5 Principal: Ništa PSK identitet: Ništa PSK nagovještaj identiteta: Ništa TLS sesija nagovještaj životnog vijeka: 300 (sekundi) TLS sesija natuknica: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 od 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 od 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. Vrijeme početka: 1495484262 Istek vremena: 300 (sek) Provjerite povratni kod: 18 (samopotpisani certifikat) --- + U redu Dovecot je spreman! KORISNIČKE legole + U redu PROLAZI legole + U redu Prijavljeni. POPIS + OK 1 poruke: 1 1021. POVRATAK 1 +OK 1021 okteta povratni put: X-Original-Prima: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Primljeno: od administratora sustava.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) s ESMTP ID-om 51886C11E8C0 zadesdelinux.fan>; Pon, 22. svibnja 2017. 15:09:11 -0400 (EDT) ID poruke: <919362.931369932-sendEmail@sysadmin> Šalje: "buzz@deslinux.fan" Za: "legolas@desdelinux.ventilator"desdelinux.fan> Predmet: Pozdrav Datum: Pon, 22. svibnja 2017. 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME razdjelnik za sendEmail-365707.724894495" Ovo je višedijelna poruka u MIME formatu. Za ispravan prikaz ove poruke potreban vam je program za e-poštu kompatibilan s MIME-verzijom 1.0. ------MIME razdjelnik za sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Pozdrav Legolasu od tvog prijatelja Buzza ------MIME razdjelnik za sendEmail-365707.724894495-- . Quit + U redu Odjava. zatvoreno buzz @ sysadmin: ~ $
Vjeverica
Vjeverica je web klijent napisan u cijelosti na PHP-u. Uključuje izvornu PHP podršku za protokole IMAP i SMTP i pruža maksimalnu kompatibilnost s različitim preglednicima koji se koriste. Radi ispravno na bilo kojem IMAP poslužitelju. Sadrži sve funkcije koje su vam potrebne od klijenta e-pošte, uključujući MIME podršku, adresar i upravljanje mapama.
[root @ linuxbox ~] # yum instaliranje vjeverice
[root @ linuxbox ~] # ponovno pokretanje usluge httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domena = 'desdelinux.ventilator';
$imapServerAddress = 'mail.desdelinux.ventilator';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.ventilator';
[root @ linuxbox ~] # ponovno učitavanje usluge httpd
DNS okvir za slanje pravila ili SPF zapis
U članku NSD autoritarni DNS poslužitelj + zidni zid Vidjeli smo da Zona «desdelinux.fan» je konfiguriran na sljedeći način:
root@ns:~# nano /etc/nsd/desdelinux.navijačka.zona $PORIJEKLO desdelinux.ventilator. $TTL 3H @ U SOA br.desdelinux.ventilator. korijen.desdelinux.ventilator. (1; serijski 1D; osvježi 1H; ponovni pokušaj 1W; istek 3H); minimum ili ; Negativno vrijeme predmemoriranja do života; @ U NS ns.desdelinux.ventilator. @ IN MX 10 e-poštom.desdelinux.ventilator. @ U TXT "v=spf1 a:mail.desdelinux.obožavatelj -svi" ; ; Registracija za rješavanje dig upita desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 pošta IN CNAME desdelinux.ventilator. chat IN CNAME desdelinux.ventilator. www IN CNAME desdelinux.ventilator. ; ; SRV zapisi koji se odnose na XMPP _xmpp-poslužitelj._tcp U SRV 0 0 5269 desdelinux.ventilator. _xmpp-klijent._tcp U SRV 0 0 5222 desdelinux.ventilator. _jabber._tcp IN SRV 0 0 5269 desdelinux.ventilator.
U njemu je registar deklariran:
@ U TXT "v=spf1 a:mail.desdelinux.obožavatelj -svi"
Da bi se isti parametar konfigurirao za SME mrežu ili LAN, moramo izmijeniti konfiguracijsku datoteku Dnsmasq na sljedeći način:
# TXT zapisa. Također možemo deklarirati SPF zapis txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.obožavatelj -svi"
Zatim ponovno pokrećemo uslugu:
[root @ linuxbox ~] # ponovno pokretanje usluge dnsmasq [root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.pošta obožavatelja.desdelinux.fan je alias za desdelinux.ventilator. desdelinux.fan opisni tekst "v=spf1 a:mail.desdelinux.obožavatelj -svi"
Samopotpisani certifikati i Apache ili httpd
Čak i ako vam preglednik kaže da je "Vlasnik mail.desdelinux.ventilator Pogrešno ste konfigurirali svoje web mjesto. Kako bi spriječio krađu vaših podataka, Firefox se nije povezao s ovom web stranicom ”, prethodno generiranim certifikatom VRIJEDIi omogućit će vjerodajnice između klijenta i poslužitelja da putuju šifrirano, nakon što prihvatimo certifikat.
Ako želite, i kao način objedinjavanja certifikata, možete deklarirati za Apache iste certifikate koje ste deklarirali za Postfix, što je točno.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.ventilator.ključ
[root @ linuxbox ~] # usluga httpd ponovno
[root @ linuxbox ~] # status httpd usluge
Diffie-Hellman grupa
Tema sigurnosti postaje sve teža svakim danom na Internetu. Jedan od najčešćih napada na veze SSLje logjam a za obranu od njega potrebno je u SSL konfiguraciju dodati nestandardne parametre. Za to postoji RFC-3526 «Modularniji eksponencijalni (MODP) Diffie–Hellman skupine za internetsku razmjenu ključeva (IKE)”.
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Prema verziji Apachea koju smo instalirali, koristit ćemo Diffie-Helman Group iz datoteke /etc/pki/tls/dhparams.pem. Ako je riječ o verziji 2.4.8 ili novijoj, morat ćemo dodati datoteci /etc/httpd/conf.d/ssl.conf sljedeći redak:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Verzija Apachea koju koristimo je:
[root @ linuxbox tls] # yum info httpd
Učitani dodaci: najbrže ogledalo, langpacks Učitavanje brzina zrcala iz predmemorirane datoteke hosta Instalirani paketi Naziv: httpd Arhitektura: x86_64
Verzija: 2.4.6
Izdanje: 45.el7.centos Veličina: 9.4 M Spremište: instalirano Iz spremišta: Base-Repo Sažetak: URL Apache HTTP poslužitelja: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Apache HTTP poslužitelj je moćan, učinkovit i proširiv: web poslužitelj.
Kako imamo verziju prije 2.4.8, dodajemo sadržaj Diffie-Helman Group na kraj prethodno generiranog CRT certifikata:
[root @ linuxbox tls] # mačka private / dhparams.pem >> potvrde/desdelinux.fan.crt
Ako želite provjeriti jesu li DH parametri ispravno dodani u CRT certifikat, izvršite sljedeće naredbe:
[root @ linuxbox tls] # mačka private / dhparams.pem ----- POČNITE PARAMETRI DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- ZAVRŠI PARAMETRE DH ----- [root@linuxbox tls]# mačji certifikat/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- ZAVRŠI PARAMETRE DH -----
Nakon ovih promjena moramo ponovno pokrenuti usluge Postfix i httpd:
[root @ linuxbox tls] # ponovno pokretanje postfix servisa [root @ linuxbox tls] # status postfiksa usluge [root @ linuxbox tls] # usluga httpd restart [root @ linuxbox tls] # status httpd usluge
Uključivanje Diffie-Helman Grupe u naše TLS certifikate može usporiti povezivanje putem HTTPS-a, ali dodavanje sigurnosti se itekako isplati.
Provjeravanje Vjeverice
NAKON da su certifikati ispravno generirani i da provjeravamo njihov ispravan rad kao što smo to učinili pomoću naredbi konzole, usmerite željeni preglednik na URL http://mail.desdelinux.fan/webmail i povezat će se s web klijentom nakon prihvaćanja odgovarajućeg certifikata. Imajte na umu da ćete, iako odredite HTTP protokol, biti preusmjereni na HTTPS, a to je zbog zadanih postavki koje CentOS nudi za Squirrelmail. Pogledajte datoteku /etc/httpd/conf.d/squirrelmail.conf.
O korisničkim poštanskim sandučićima
Dovecot stvara IMAP poštanske sandučiće u mapi dom svakog korisnika:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ ukupno 12 drwxrwx ---. 5 legola pošte 4096 22. svibnja 12:39. drwx ------. 3 legole legole 75 22. svibnja 11:34 .. -rw -------. 1 legola legola 72 22. svibnja 11:34 dovecot.mailbox.log -rw -------. 1 legola legola 8. svibnja 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legola legola 0 22. svibnja 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legole mail 56 22. svibnja 10:23 INBOX drwx ------. 2 legole legole 56 22. svibnja 12:39 Poslano drwx ------. 2 legole legole 30. svibnja 22. 11:34 Smeće
Također su pohranjeni u / var / mail /
[root @ linuxbox ~] # manje / var / mail / legolas Od MAILER_DAEMON Mon May 22 10:28:00 2017 Datum: Mon, 22 May 2017 10:28:00 -0400 From: Interni podaci sustava pošte Predmet: NEMOJTE BRISATI OVU PORUKU -- INTERNI PODACI MAPE ID poruke: <1495463280@linuxbox> . Automatski ga stvara softver sustava za poštu. Ako se obriše, važni podaci mape bit će izgubljeni i ponovno će se stvoriti s vraćanjem podataka na početne vrijednosti. Od root@desdelinux.fan Mon May 22 10:47:10 2017 Povratna staza:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Mon, 22. svibnja 2017. 10:47:10 -0400 (EDT) Datum: Mon, 22. svibnja 2017. 10:47:10 -0400 Za: legolas@desdelinux.fan Predmet: Testni korisnički agent: Heirloom mailx 12.5 7/5/10 MIME-Verzija: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdrav. Ovo je probna poruka od buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: X-Original-Prima: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Primljeno: od administratora sustava.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 zadesdelinux.fan>; Pon, 22. svibnja 2017. 10:53:08 -0400 (EDT) ID poruke: <739874.219379516-sendEmail@sysadmin> Šalje: "buzz@deslinux.fan" Za: "legolas@desdelinux.ventilator"desdelinux.fan> Subject: Pozdrav Datum: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME razdjelnik za sendEmail-794889.899510057 / var / mail / legolas
Sažetak PAM miniserije
Pogledali smo srž poštanskog poslužitelja i stavili mali naglasak na sigurnost. Nadamo se da članak služi kao ulazna točka za temu koja je toliko komplicirana i podložna pogreškama, kao što je ručna implementacija poštanskog poslužitelja.
Koristimo lokalnu autentifikaciju korisnika jer ako datoteku ispravno čitamo /etc/dovecot/conf.d/10-auth.conf, vidjet ćemo da je na kraju uključeno -prema zadanim postavkama- datoteka za provjeru autentičnosti korisnika sustava ! uključuju auth-system.conf.ext. Upravo nam ova datoteka u zaglavlju kaže:
[root @ linuxbox ~] # manje /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikacija za korisnike sustava. Uključeno u 10-auth.conf. # # # # PAM provjera autentičnosti. Danas preferira većina sustava.
# PAM se obično koristi s userdb passwd ili userdb static. # ZAPAMTITE: Trebat će vam datoteka /etc/pam.d/dovecot stvorena da bi PAM # provjera autentičnosti stvarno funkcionirala. passdb {pokretač = pam # [sesija = da] [setcred = da] [neuspjeh_prikaza_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = golubinjak}
A druga datoteka postoji /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% Potrebno PAM-1.0 autorizacija pam_nologin.so auth uključuju lozinku-autorizaciju računa uključuju lozinku-autorsku sesiju uključuju lozinku-autorizaciju
Što pokušavamo priopćiti o PAM provjeri autentičnosti?
- CentOS, Debian, Ubuntu i mnoge druge distribucije Linuxa instaliraju Postifx i Dovecot s lokalnom provjerom autentičnosti koja je omogućena prema zadanim postavkama.
- Mnogi članci na Internetu koriste MySQL - a odnedavno i MariaDB - za pohranu korisnika i ostalih podataka koji se tiču poštanskog poslužitelja. ALI ovo su poslužitelji za TISUĆE KORISNIKA, a ne za klasičnu MSP mrežu s - možda - stotinama korisnika.
- Autentifikacija putem PAM-a neophodna je i dovoljna za pružanje mrežnih usluga sve dok rade na jednom poslužitelju kao što smo vidjeli u ovoj miniseriji.
- Korisnici pohranjeni u LDAP bazi podataka mogu se mapirati kao da su lokalni korisnici, a PAM provjera autentičnosti može se koristiti za pružanje mrežnih usluga s različitih Linux poslužitelja koji djeluju kao LDAP klijenti središnjem poslužitelju za provjeru autentičnosti. Na taj bismo način radili s vjerodajnicama korisnika pohranjenih u bazi podataka središnjeg LDAP poslužitelja, a NE bi bilo bitno održavati bazu podataka s lokalnim korisnicima.
Do sljedeće avanture!
Vjerujte mi da je ovo u praksi postupak koji više od jednog sysadmina zadaje jake glavobolje, uvjeren sam da će u budućnosti to biti referentni vodič za sve koji žele sami upravljati svojim e-mailovima, praktičan slučaj koji u slučaju da postane abc kada integrirajući postfix, golubarnik, vjeverica ..
Puno vam hvala na vašem hvalevrijednom doprinosu,
Zašto ne koristiti Mailpile, kada je sigurnost u pitanju, s PGP-om? Također Roundcube ima mnogo intuitivnije sučelje i također može integrirati PGP.
Prije 3 dana pročitao sam post, znam vam zahvaliti. Ne planiram instalirati poslužitelj pošte, ali uvijek je korisno vidjeti stvaranje certifikata korisnih za druge programe, a ovi vodiči teško istječu (čak i više kada koristite centOS).
Manuel Cillero: Zahvaljujem na povezivanju sa i sa vašeg bloga ovaj članak koji je minimalna jezgra poštanskog poslužitelja temeljenog na Postfixu i Dovecotu.
Gušter: Kao i uvijek, vaša je ocjena vrlo dobro prihvaćena. Hvala vam.
Darko: U gotovo svim svojim člancima manje-više kažem da "Svatko implementira usluge s programima koji mu se najviše sviđaju." Hvala na komentaru.
Martin: Hvala i vama što ste pročitali članak i nadam se da će vam pomoći u radu.
Strašan prijatelj Federico. Puno vam hvala na tako dobrom tutou.
izvrsno, iako bih koristio "virtualne korisnike" da izbjegavam potrebu za stvaranjem korisnika sustava svaki put kad dodam e-poštu, hvala što sam naučio puno novih stvari i ovo je vrsta posta koju sam čekao
Dobar dan,
Oni bi se usudili napraviti isti sa Fedora poslužiteljem direktorija + postifx + dovecot + thunderbird ili Outlook.
Imam dio, ali sam zapeo, rado bih podijelio dokument sa zajednicom @desdelinux
Nisam zamišljao da će doseći više od 3000 posjeta !!!
Pozdrav gušteru!
Izvrsni kolega iz tutorijala.
Možete li to učiniti za Debian 10 s korisnicima Active Directory montiranim na Samba4 ???
Pretpostavljam da bi to bilo gotovo isto, ali da se promijeni vrsta provjere autentičnosti.
Odjeljak koji posvećujete stvaranju samopotpisanih certifikata vrlo je zanimljiv.