Postfix + Dovecot + Squirrelmail és helyi felhasználók - SME Networks

A sorozat általános mutatója: Számítógépes hálózatok kkv-k számára: Bevezetés

Ez a cikk a minisorozat folytatása és utolsó:

• Squid + PAM hitelesítés a CentOS 7-en.
• Helyi felhasználók és csoportok kezelése
• Hiteles DNS-kiszolgáló NSD + Shorewall
• Prosody IM és helyi felhasználók
  

Helló barátok és barátok!

sok Rajongók saját levelező szerverrel akarnak rendelkezni. Nem akarnak olyan szervereket használni, ahol a "magánélet" kérdőjelek között van. Az a személy, aki a szolgáltatás kis szerveren történő megvalósításáért felelős, nem szakember a témában, és kezdetben megpróbálja telepíteni egy jövőbeli és teljes levelezőszerver magját. Ez az, hogy a Full Mailserver létrehozásához szükséges "egyenleteket" kissé nehéz megérteni és alkalmazni. 😉

Margójegyzetek

• Világosnak kell lennie arról, hogy a Mailserver egyes programjai mely funkciókat hajtják végre. Első útmutatóként számos hasznos linket adunk meg azzal a céllal, amelyet meglátogattak.
• A Komplett levélszolgáltatás kézi végrehajtása a semmiből fárasztó folyamat, hacsak nem Ön tartozik a „Kiválasztottak” közé, akik napi szinten végeznek ilyen típusú feladatokat. A Levélkiszolgálót - különféle módon - külön-külön kezelik, általában SMTP, POP / IMAP, Az üzenetek helyi tárolása, a SPAM, Víruskereső stb. Ezen programok mindegyikének helyesen kell kommunikálnia egymással.
• Nincs egy mindenki számára megfelelő méret vagy "bevált módszer" a felhasználók kezelésére; hol és hogyan kell tárolni az üzeneteket, vagy hogyan lehet az összes összetevőt egységes egészként működtetni.
• A Mailserver összeállítása és hangolása általában nem megfelelő az olyan kérdésekben, mint az engedélyek és a fájltulajdonosok, annak megválasztása, hogy melyik felhasználó lesz a felelős egy bizonyos folyamatért, valamint az egyes ezoterikus konfigurációs fájlokban elkövetett apró hibák esetén.
• Hacsak nem tudja jól, hogy mit csinál, a végeredmény egy nem biztonságos vagy kissé nem működő Mail Server lesz. Hogy a megvalósítás végén Nem működik, valószínűleg a kisebbik lesz a rossz.
• Az Interneten jó néhány receptet találhatunk a levelezőszerver elkészítéséhez. Az egyik legteljesebb -nagyon személyes véleményem szerint- ajánlja fel a szerző ivar Abrahamsen 2017. január tizenharmadik kiadásában «Hogyan lehet egy levelezőszervert beállítani GNU / Linux rendszeren”.
• Azt is javasoljuk, hogy olvassa el a cikket «Mailserver az Ubuntu 14.04-en: Postfix, Dovecot, MySQL«, vagy «Mailserver az Ubuntu 16.04-en: Postfix, Dovecot, MySQL”.
• Igaz. Az ezzel kapcsolatos legjobb dokumentáció angol nyelven található.
  • Bár soha nem csinálunk olyan Mailservert, amelyet hűen vezetünk a Hogyan kell… amelyet az előző bekezdésben említettünk, pusztán annak a ténynek a követése, hogy lépésről lépésre követjük, nagyon jó képet fog nekünk adni arról, hogy mivel kell szembenéznünk.
• Ha egy komplett Mailservert szeretne csak néhány lépésben használni, letöltheti a képet iRedOS-0.6.0-CentOS-5.5-i386.iso, vagy keressen egy modernebbet, legyen az iRedOS vagy iRedMail. Ezt én személy szerint ajánlom.

Telepíteni és konfigurálni fogjuk:

• utáni javítás mint szervert Mfokhagyma Transport Aférfi (SMTP).
• Galambdúc mint POP - IMAP szerver.
• Tanúsítványok a csatlakozáshoz TLS.
• Mókusposta webes felületként a felhasználók számára.
• DNS-rekord «Feladói politikai keretrendszer"Vagy SPF.
• Modul előállítása Diffie Hellman csoport az SSL tanúsítványok biztonságának növelése érdekében.

Tennivaló marad:

Legalább a következő szolgáltatások maradnak végrehajtva:

• Utószürke: Postfix szerver házirendek a szürke listákhoz, és elutasítja a levélszeméteket.
  
• Amavisd-új: szkript, amely interfészt hoz létre az MTA, valamint a víruskeresők és a tartalomszűrők között.
• Clamavi Antivirus: víruskereső csomag
• SpamAssassin: kivonat a levélszemétből
• borotva (pyzor): SPAM rögzítés elosztott és együttműködő hálózaton keresztül. A Vipul Razor hálózat naprakész katalógust vezet a levélszemét vagy a SPAM terjesztéséről.
• DNS-rekord: "DomainKeys Identified Mail" vagy dkim kiterjesztést.

csomagok postgrey, amavisd-new, clamav, spamassassin, borotva y pyzor A programtárakban találhatók. Megtaláljuk a programot is openkim.

• Az "SPF" és a "DKIM" DNS-rekordok helyes deklarálása elengedhetetlen, ha nem akarjuk, hogy levelezőszerverünket csak üzembe állítsák, nemkívánatosnak nyilvánítsák, vagy SPAM-et vagy levélszemét-előállítót nyilvánítsanak más postai szolgáltatások, például Gmail, Yahoo, Hotmailstb.

Első ellenőrzések

Ne feledje, hogy ez a cikk mások folytatása, amelyek kezdődnek Squid + PAM hitelesítés a CentOS 7-en.

Ens32 LAN interfész csatlakozik a belső hálózathoz

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZÓNA = nyilvános

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN interfész csatlakozik az internethez

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = igen BOOTPROTO = statikus HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nincs IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Az ADSL útválasztó # ehhez az interfészhez csatlakozik # a következõ címmel: GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZÓNA = külső

DNS-feloldás a LAN-ról

[root @ linuxbox ~] # cat /etc/resolv.conf keresés a linux.fan névszerverről 127.0.0.1 névkiszolgáló 172.16.10.30 [root @ linuxbox ~] # gazdagép
A mail.desdelinux.fan a linuxbox.desdelinux.fan álnév. A linuxbox.desdelinux.fan címe 192.168.10.5. A linuxbox.desdelinux.fan leveleket 1 mail.desdelinux.fan kezeli.

[root @ linuxbox ~] # host mail.fromlinux.fan
A mail.desdelinux.fan a linuxbox.desdelinux.fan álnév. A linuxbox.desdelinux.fan címe 192.168.10.5. A linuxbox.desdelinux.fan leveleket 1 mail.desdelinux.fan kezeli.

DNS-felbontás az internetről

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Tartománykiszolgáló használata: Név: 172.16.10.30 Cím: 172.16.10.30 # 53 Álnevek: mail.desdelinux.fan a desdelinux.fan álnév.
from linux.fan címe 172.16.10.10
A desdelinux.fan leveleket 10 mail.desdelinux.fan kezeli.

Problémák a "desdelinux.fan" hosztnév helyi feloldásával

Ha problémái vannak a hosztnév feloldásával «fromlinux.fan" tól LAN, próbáld meg megjegyezni a fájl sort /etc/dnsmasq.conf ahol kijelentik helyi = / a linux.fan oldalról /. Ezt követően indítsa újra a Dnsmasq alkalmazást.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Hozzászólás az alábbi sorhoz:
# local = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Átirányítás a / bin / systemctl helyre, indítsa újra a dnsmasq.service alkalmazást

[root @ linuxbox ~] # service dnsmasq állapot

[root @ linuxbox ~] # gazdagép a linux.fan-ból
A desdelinux.fan címe 172.16.10.10. A desdelinux.fan leveleket 10 mail.desdelinux.fan kezeli.

Postfix és Dovecot

A Postfix és a Dovecot nagyon átfogó dokumentációja a következő címen található:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENC README-Postfix-SASL-RedHat.txt COMPATIBILITY Main.cf.default TLS_ACKNOWLEDGEMENTS példák README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
A SZERZŐK COPYING.MIT dovecot-openssl.cnf HÍREK wiki MÁSOLÁS ChangeLog example-config README COPYING.LGPL dokumentáció.txt mkcert.sh solr-schema.xml

A CentOS 7-ben a Postfix MTA alapértelmezés szerint telepítve van, amikor az Infrastructure Server opciót választjuk. Ellenőriznünk kell, hogy a SELinux kontextus lehetővé teszi-e az írást a Potfix javára a helyi üzenetsorban:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Módosítások a tűzfalbanD

A FirewallD konfigurálásához a grafikus felület segítségével meg kell győződnünk arról, hogy a következő szolgáltatások és portok engedélyezve vannak-e az egyes zónáknál:

# ------------------------------------------------- -----
# Javítások a FirewallD-ben
# ------------------------------------------------- -----
# Tűzfal
# Nyilvános zóna: http, https, imap, pop3, smtp szolgáltatások
# Nyilvános zóna: 80, 443, 143, 110, 25 port

# Külső zóna: http, https, imap, pop3s, smtp szolgáltatások
# Külső zóna: 80, 443, 143, 995, 25 port

Telepítjük a Dovecot programot és a szükséges programokat

[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet

Minimális Dovecot konfiguráció

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokollok =imap pop3 lmtp
hallgat =*, ::
login_greeting = Dovecot készen áll!

Kifejezetten letiltjuk a Dovecot egyszerű szöveges hitelesítését:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = igen

Kijelentjük, hogy a csoport rendelkezik a Dovecot-tal való kommunikációhoz szükséges jogosultságokkal és az üzenetek helyével:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = levél
mail_access_groups = mail

A Dovecot tanúsítványai

A Dovecot automatikusan létrehozza a tesztigazolásokat a fájl adatai alapján /etc/pki/dovecot/dovecot-openssl.cnf. Ahhoz, hogy új tanúsítványokat hozzunk létre a követelményeink szerint, a következő lépéseket kell végrehajtanunk:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = igen megkülönböztetett_név = req_dn x509_extensions = cert_type prompt = nem [req_dn] # ország (2 betű kód) C = CU # állam vagy tartomány neve (teljes név) ST = Kuba # helységnév (pl. város ) L = Habana # Szervezet (pl. Vállalat) O = FromLinux.Fan # Szervezeti egység neve (pl. Szakasz) OU = Lelkesedők # Közönséges név (* .példa.com is lehetséges) CN = *. Desdelinux.fan # E -mail kapcsolattartó emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = szerver

Megszüntetjük a tesztigazolásokat

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: törli a "certs / dovecot.pem" rendes fájlt? (igen / nem) igen
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: törli a szokásos "private / dovecot.pem" fájlt? (igen / nem) igen

Másoljuk és végrehajtjuk a szkriptet mkcert.sh a dokumentációs könyvtárból

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 bites RSA magánkulcs generálása ...... ++++++ ................ ++++++ új titkos kulcs írása a '/ etc / könyvtárba pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Ujjlenyomat = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l tanúsítványok /
összesen 4 -rw -------. 1 gyökérgyökér 1029 május 22, 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privát /
összesen 4 -rw -------. 1 gyökérgyökér 916 május 22, 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot indítsa újra
[root @ linuxbox dovecot] # szolgáltatás dovecot állapota

A Postfix tanúsítványai

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -node -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

4096 bites RSA magánkulcs előállítása ......... ++ .. ++ új privát kulcs írása a 'private / domain.tld.key' címre ----- Információ megadására szólít fel amely beépül a tanúsítványkérésébe. Amit be akarsz írni, az az úgynevezett megkülönböztető név vagy DN. Van elég sok mező, de néhányat üresen is hagyhat. Egyes mezőknél lesz egy alapértelmezett érték, ha beírja a '.' Mezőt, a mező üres marad. ----- Ország neve (2 betűs kód) [XX]: CU állam vagy tartomány neve (teljes név) []: Kuba helység neve (pl. Város) [Alapértelmezett város]: Habana szervezet neve (pl. Vállalat) [ Alapértelmezett Company Ltd]: FromLinux.Fan szervezeti egység neve (pl. Szakasz) []: A rajongók közös neve (pl. Az Ön neve vagy a szerver gazdagépneve) []: desdelinux.fan e-mail cím []: buzz@desdelinux.fan

Minimális Postfix konfiguráció

Hozzáadjuk a fájl végéhez / etc / aliases a következő:

gyökér: zümmögés

A módosítások életbe léptetéséhez a következő parancsot hajtjuk végre:

[root @ linuxbox ~] # újnév

A Postifx konfigurálása a fájl közvetlen szerkesztésével végezhető el /etc/postfix/main.cf vagy parancsra postconf -e ügyelve arra, hogy a módosítani vagy hozzáadni kívánt összes paraméter a konzol egyetlen sorában jelenjen meg:

• Mindegyiknek nyilatkoznia kell a megértett és szükséges lehetőségekről!.

[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION" "
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Hozzáadjuk a fájl végéhez /etc/postfix/main.cf az alább megadott lehetőségeket. Mindegyik jelentésének ismerete érdekében javasoljuk, hogy olvassa el a kísérő dokumentációt.

biff = nem
append_dot_mydomain = nem
delay_warning_time = 4 óra
readme_directory = nem
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = igen
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# A postafiók maximális mérete 1024 megabájt = 1 g és ga
mailbox_size_limit = 1073741824

címzett_határoló = +
maximum_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Fiókok, amelyek a bejövő levelek másolatát elküldik egy másik fiókra
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

A következő sorok fontosak annak meghatározásához, hogy kik küldhetnek levelet és továbbíthatnak más szerverekre, hogy véletlenül ne állítsunk be egy "nyitott továbbítót", amely lehetővé teszi az illetéktelen felhasználók számára, hogy leveleket küldjenek. Meg kell keresnünk a Postfix súgóoldalakat, hogy megértsük, mit jelentenek az egyes lehetőségek.

• Mindegyiknek nyilatkoznia kell a megértett és szükséges lehetőségekről!.

smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 engedélyezhet

smtpd_sender_restrictions = allow_sasl_authenticated,
 allow_mynetworks,
 warn_if_reject reject_non_fqdn_sender,
 elutasít_ismert_küldő_domain,
 reject_unauth_pipelining,
 engedélyezhet

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# MEGJEGYZÉS: A "check_policy_service inet: 127.0.0.1: 10023" opció
# engedélyezi a Postgrey programot, és nem szabad belefoglalnunk
# különben a Postgreyt fogjuk használni

smtpd_recipient_restrictions = reject_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 elutasítás_ismert_fogadó_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 engedélyezhet

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 reject_non_fqdn_recipient,
 elutasítás_ismert_fogadó_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 engedélyezhet
 
smtpd_helo_required = igen
smtpd_delay_reject = igen
disable_vrfy_command = igen

Mi hozzuk létre a fájlokat / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, és módosítjuk a fájlt / etc / postfix / header_checks.

• Mindegyiknek nyilatkoznia kell a megértett és szükséges lehetőségekről!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ha ez a fájl módosul, akkor nem szükséges # a postmap futtatásához # A szabályok teszteléséhez futtassa root felhasználóként: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Vissza kell térnie: # A 2. szabály elutasítása Spam-ellenes üzenettörzs
/ viagra / REJECT 1. szabály Az üzenet törzsének spamje
/ super new v [i1] agra / REJECT 2. szabály Spamellenes üzenet törzse

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# A módosítás után végre kell hajtania: # postmap / etc / postfix / accounts_ forwarding_copy
# és a fájl létrejön vagy mért: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Egyetlen fiók az egyik továbbításához BCC copy # BCC = Black Carbon Copy # Példa: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Hozzáadás a fájl végéhez # NEM KELL A Postmap-ot, mivel ezek reguláris kifejezések
/ ^ Subject: =? Big5? / REJECT A kínai kódolást ez a szerver nem fogadja el
/ ^ Subject: =? EUC-KR? / REJECT Koreai kódolást ez a szerver nem engedélyez
/ ^ Tárgy: ADV: / REJECT A szerver által nem elfogadott hirdetéseket
/^From :.*\@.*\.cn/ REJECT Sajnáljuk, a kínai levelezés ide nem engedélyezett
/^From :.*\@.*\.kr/ REJECT Sajnáljuk, a koreai levelezés nem engedélyezett itt
/^From :.*\@.*\.tr/ REJECT Sajnáljuk, a török ​​leveleket itt nem engedélyezzük
/^From :.*\@.*\.ro/ REJECT Sajnáljuk, a román levelezés ide nem engedélyezett
/^(Fogadott|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | lopakodóból [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nincsenek tömeges levelezők.
/ ^ Feladó: "spammer / REJECT
/ ^ Feladó: "spam / REJECT
/^Tárgy :.*viagra/ KIDOBÁS
# Veszélyes kiterjesztések
/ name = [^> Iluminación * \. (denevér | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ezekkel a kiterjesztésekkel nem fogadunk el mellékleteket

Ellenőrizzük a szintaxist, újraindítjuk az Apache és a Postifx programot, engedélyezzük és elindítjuk a Dovecot programot

[root @ linuxbox ~] # postfix ellenőrzés
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl indítsa újra a httpd fájlt
[root @ linuxbox ~] # systemctl állapot httpd

[root @ linuxbox ~] # systemctl indítsa újra a postfix fájlt
[root @ linuxbox ~] # systemctl állapot utólagos javítás

[root @ linuxbox ~] # systemctl állapot dovecot
● dovecot.service - Dovecot IMAP / POP3 e-mail szerver Betöltve: betöltve (/usr/lib/systemd/system/dovecot.service; letiltva; szállítói előre beállított: letiltva) Aktív: inaktív (halott)

[root @ linuxbox ~] # systemctl engedélyezi a dovecotot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl indítsa újra a dovecotot
[root @ linuxbox ~] # systemctl állapot dovecot

Konzol szintű ellenőrzések

• A többi program telepítésének és konfigurálásának folytatása előtt nagyon fontos elvégezni az SMTP és POP szolgáltatások minimális szükséges ellenőrzését.

Helyi magától a szervertől

E-mailt küldünk a helyi felhasználónak Legolas.

[root @ linuxbox ~] # echo "Hello. Ez egy tesztüzenet" | mail -s "Test" legolas

Ellenőrizzük a Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Az üzenet után A Dovecot készen áll! folytatjuk:

---
+ OK A Dovecot készen áll!
USER legolas + OK PASS legolas + OK Bejelentkezés. STAT + OK 1 559 LIST + OK 1 üzenetek: 1 559. RETR 1 + OK 559 oktett visszatérési út: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Kapta: desdelinux.fan (Postfix, a 0 felhasználói azonosítótól) id 7EA22C11FC57; 22. május 2017., hétfő 10:47:10 -0400 (EDT) Dátum: 22. május 2017., hétfő 10:47:10 -0400 Címzett: legolas@desdelinux.fan Tárgy: User-Agent teszt: Heirloom mailx 12.5 7/5 / 10 MIME-verzió: 1.0 Tartalom-típus: szöveg / sima; charset = us-ascii Tartalomátvitel-kódolás: 7bit üzenetazonosító: <20170522144710.7EA22C11FC57@desdelinux.fan> Feladó: root@desdelinux.fan (root) Helló. Ez egy tesztüzenet. LÉPÉS KÉSZ
[root @ linuxbox ~] #

Távirányítók a LAN-on lévő számítógépről

Küldjünk még egy üzenetet a következő címre: Legolas egy másik számítógépről a LAN-on. Vegye figyelembe, hogy a TLS biztonság NEM feltétlenül szükséges a kkv-hálózaton belül.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@ desdelinux.fan \
-u "Hello" \
-m "Üdvözlet Legolas a Buzz barátodtól" \
-s mail.desdelinux.fan -o tls = nem
Május 22. 10:53:08 sysadmin sendemail [5866]: Az e-mailt sikeresen elküldtük!

Ha megpróbálunk összekapcsolódni telnet A LAN-on lévő állomástól - vagy természetesen az interneten át - a Dovecotig a következő fog történni, mert letiltjuk a sima szövegű hitelesítést:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Kipróbálja a 192.168.10.5 ...
Csatlakoztatva a linuxbox.fromlinux.fan fájlhoz. A menekülési karakter '^]'. + OK A Dovecot készen áll! felhasználói legolas
-ERR [AUTH] Az egyszerű szöveges hitelesítés nem engedélyezett a nem biztonságos (SSL / TLS) kapcsolatoknál.
kilépés + OK Kijelentkezés A kapcsolatot külföldi állomás zárta be.
buzz @ sysadmin: ~ $

Végig kell csinálnunk openssl. A parancs teljes kimenete a következő lenne:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
Csatlakoztatva (00000003)
mélység = 0 C = CU, ST = Kuba, L = Havanna, O = FromLinux.Fan, OU = rajongók, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
ellenőrizze a hibát: num = 18: saját aláírású tanúsítvány ellenőrzése:
mélység = 0 C = CU, ST = Kuba, L = Havanna, O = FromLinux.Fan, OU = rajongók, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan ellenőrizze a visszatérést: 1
--- 0 s tanúsítványlánc: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Szerver tanúsítvány ----- BIGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END tanúsítvány tárgya = / C = CU / ST = Kuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan kibocsátó = / C = CU / ST = Kuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. .fan / emailAddress = buzz @ desdelinux.fan --- Nincs ügyféltanúsító CA-név elküldve Szerver temp. kulcs: ECDH, secp384r1, 384 bit --- Az SSL kézfogás 1342 bájtot írt és 411 bájtot írt --- Új, TLSv1 / SSLv3 , A titkosítás ECDHE-RSA-AES256-GCM-SHA384. A kiszolgáló nyilvános kulcsa 1024 bites. Biztonságos újratárgyalás IS támogatott. ID: C1.2B256A384E745CB4DC0236204CDBC16234D15FF9F3DB084125C5989BF5E6D5295A Munkamenet-azonosító-ctx: Fő kulcs : 4D2C73B1904CEA204F564AF76361AF50373D8879C793F7F7506A04473777FD6CD3503F9BC919BFF1E837F67F29 Key-Arg: Nincs krb309 Principal: Nincs PSK 352526 identity: Nincs PSK identitás tipp: hS 5F5F300A0000FD4CD3F8BC29BFF7E4F63F72 Key-Arg: Nincs krb7 Principal: Nincs 6 PSK identitás: Nincs PSK identitás tipp: hs 4 TLS ülésén 7 másodperc 1 f Nonec XNUMX jegyet ülés XNUMX f XNUMX mp XNUMX FXNUMXFXNUMX jegy ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c vö. 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK A Dovecot készen áll!
FELHASZNÁLÓ legolas
+ OK
PASS legolas
+ OK Bejelentkezés.
LISTA
+ OK 1 üzenet: 1 1021.
VISSZA 1
+ OK 1021 oktett visszatérési út: X-Original-To: legolas@desdelinux.fan kézbesítve: Legolas@desdelinux.fan Kapta: a sysadmin.desdelinux.fan (átjáró [172.16.10.1]) -tól desdelinux.fan (Postfix) ESMTP azonosítóval: 51886C11E8C0 ; 22. május 2017., hétfő, 15:09:11 -0400 (EDT) Üzenet azonosítója: <919362.931369932-sendEmail@sysadmin> Feladó: "buzz@deslinux.fan" Címzett: "legolas@desdelinux.fan" Tárgy: Helló dátum: 22. május 2017., hétfő, 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-verzió: 1.0 Tartalom-típus: többrészes / kapcsolódó; border = "---- MIME határoló a sendEmail-365707.724894495" számára Ez egy többrészes üzenet MIME formátumban. Az üzenet megfelelő megjelenítéséhez MIME-verzióval kompatibilis e-mail programra van szükség. ------ MIME-határoló a sendEmail-1.0 tartalomtípushoz: text / plain; charset = "iso-365707.724894495-8859" Tartalomátvitel-kódolás: 1 bites üdvözlet Legolas a Buzz barátodtól ------ MIME határoló a sendEmail-7-- névhez.
QUIT
+ OK Kijelentkezés. zárva
buzz @ sysadmin: ~ $

Mókusposta

Mókusposta egy teljes egészében PHP-ben írt webes kliens. Ez magában foglalja az IMAP és az SMTP protokollok natív PHP támogatását, és maximális kompatibilitást biztosít a különböző használt böngészőkkel. Bármely IMAP-kiszolgálón megfelelően fut. Minden funkcióval rendelkezik, amire szüksége van egy e-mail klienstől, beleértve a MIME támogatást, a címjegyzéket és a mappakezelést.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # szolgáltatás httpd újraindítás

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # szolgáltatás httpd újratöltés

DNS küldési házirend-keretek vagy SPF-rekordok

A cikkben Hiteles DNS-kiszolgáló NSD + Shorewall Láttuk, hogy a "desdelinux.fan" zóna a következőképpen lett konfigurálva:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN a linux.fan oldalról. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; soros 1D; frissítse 1H-t; próbálkozzon újra 1W-vel; 3H-ig jár le); minimum vagy; Negatív gyorsítótárazás az élésre; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Napló a linux.fan @ IN A ásási lekérdezések megoldásához 172.16.10.10; ns IN A 172.16.10.30 levél CNAME-ben a linux.fan oldalról. csevegjen CNAME-ben a linux.fan oldalról. www CNAME-ben a linux.fan oldalról. ; ; Az XMPP-hez kapcsolódó SRV rekordok
_xmpp-server._tcp IN SRV 0 0 5269 a linux.fan-ból. _xmpp-client._tcp IN SRV 0 0 5222 a linux.fan-ból. _jabber._tcp IN SRV 0 0 5269 a linux.fan-tól.

Ebben a nyilvántartást deklarálják:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Ahhoz, hogy ugyanazt a paramétert konfiguráljuk a SME hálózatra vagy a LAN-ra, a következőképpen kell módosítanunk a Dnsmasq konfigurációs fájlt:

# TXT rekord. Nyilatkozhatunk egy txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all" SPF rekordról is.

Ezután újraindítjuk a szolgáltatást:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan egy alias a fromlinux.fan fájlhoz. desdelinux.fan leíró szöveg "v = spf1 a: mail.desdelinux.fan -all"

Önaláírt tanúsítványok és Apache vagy httpd

Még akkor is, ha a böngészője megmondja, hogy «A mail.fromlinux.fan Helytelenül konfigurálta webhelyét. Annak megakadályozása érdekében, hogy az Ön adatait ellopják, a Firefox nem csatlakozott ehhez a webhelyhez ”, a korábban létrehozott tanúsítvány ÉRVÉNYES, és lehetővé teszi az ügyfél és a szerver közötti hitelesítő adatok titkosított utazását, miután elfogadtuk a tanúsítványt.

Ha szeretné, és a tanúsítványok egységesítésének módjaként, deklarálhatja az Apache számára ugyanazokat a tanúsítványokat, amelyeket a Postfix esetében is deklarált, ami helyes.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # szolgáltatás httpd állapota

Diffie-Hellman csoport

A biztonság témája az interneten minden nap nehezebbé válik. Az egyik leggyakoribb támadás a kapcsolatok ellen SSL, ő Szálfatorlódás folyón és az ellene való védekezéshez nem szabványos paramétereket kell hozzáadni az SSL konfigurációhoz. Ehhez ott van a RFC-3526 «Több moduláris exponenciális (MODP) DiffieHellman- csoportok internetes kulcscsere (IKE) számára”.

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Az Apache által telepített verziója szerint a fájlból a Diffie-Helman csoportot fogjuk használni /etc/pki/tls/dhparams.pem. Ha ez a 2.4.8 vagy újabb verzió, akkor hozzá kell adnunk a fájlhoz /etc/httpd/conf.d/ssl.conf a következő sort:

SSLOpenSSLConfCmd DHParaméterek "/etc/pki/tls/private/dhparams.pem"

Az Apache általunk használt verziója a következő:

[root @ linuxbox tls] # yum info httpd
Betöltött pluginok: leggyorsabb tükrözés, langpacks Tükörsebességek betöltése a gyorsítótárazott hostfájlból Telepített csomagok Név: httpd Architektúra: x86_64
Verzió: 2.4.6
Kiadás: 45.el7.centos Méret: 9.4 M Tárház: telepítve a tárból: Base-Repo összefoglaló: Apache HTTP kiszolgáló URL: http://httpd.apache.org/ Licenc: ASL 2.0 Leírás: Az Apache HTTP szerver egy hatékony, hatékony és bővíthető: webszerver.

Mivel a 2.4.8 előtti verziónk van, a korábban létrehozott CRT tanúsítvány végén hozzáadjuk a Diffie-Helman Group tartalmát:

[root @ linuxbox tls] # macska privát / dhparams.pem >> certs / desdelinux.fan.crt

Ha szeretné ellenőrizni, hogy a DH paramétereket helyesen adták-e a CRT tanúsítványhoz, hajtsa végre a következő parancsokat:

[root @ linuxbox tls] # macska privát / dhparams.pem 
----- DH PARAMÉTEREK KEZDÉSE -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- VÉGE DH PARAMÉTEREK -----

[root @ linuxbox tls] # macska certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- VÉGE DH PARAMÉTEREK -----

Ezen változtatások után újra kell indítanunk a Postfix és a httpd szolgáltatásokat:

[root @ linuxbox tls] # service postfix újraindítás
[root @ linuxbox tls] # szolgáltatás postfix állapota
[root @ linuxbox tls] # szolgáltatás httpd újraindítás
[root @ linuxbox tls] # szolgáltatás httpd állapota

A Diffie-Helman csoport felvétele a TLS tanúsítványainkba kissé lassabbá teheti a HTTPS-en keresztüli csatlakozást, de a biztonság növelése megéri.

Squirrelmail ellenőrzése

AKKOR hogy a tanúsítványok helyesen lettek létrehozva, és hogy ellenőrizzük azok megfelelő működését, ahogy a konzolparancsok segítségével tettük, irányítsa a kívánt böngészőt az URL-re http://mail.desdelinux.fan/webmail és a megfelelő tanúsítvány elfogadása után csatlakozik a webklienshez. Ne feledje, hogy annak ellenére, hogy megadja a HTTP protokollt, a rendszer átirányítja a HTTPS-re, és ez annak az alapértelmezett beállításnak köszönhető, amelyet a CentOS a Squirrelmail számára kínál. Lásd a fájlt /etc/httpd/conf.d/squirrelmail.conf.

A felhasználói postafiókokról

A Dovecot létrehozza az IMAP postaládákat a mappában otthon minden felhasználó:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
összesen 12 drwxrwx ---. 5 legolas mail 4096 május 22. 12:39. drwx ------. 3 legolas legolas 75 május 22, 11:34 .. -rw -------. 1 legolas legolas 72. május 22. 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas május 8. 22. 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 május 22. 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56. május 22., 10:23 INBOX drwx ------. 2 legolas legolas 56. május 22. 12:39 Elküldve drwx ------. 2 legolas legolas Május 30. 22. 11:34 Kuka

Ezeket a / var / mail /

[root @ linuxbox ~] # kevesebb / var / mail / legolas
Feladó: MAILER_DAEMON hétfő, május 22, 10:28:00, 2017 Dátum: 22. május 2017., hétfő, 10:28:00 -0400 Tárgy: NE Törölje ezt az üzenetet - Mappa belső adatai Üzenet azonosítója: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Állapot: RO Ez a szöveg az e-mail mappa belső formátumának része, és nem valós üzenet. A levelezőrendszer automatikusan létrehozza. Törlés esetén a mappa fontos adatai elvesznek, és az adatok visszaállnak a kezdeti értékekre. From root@desdelinux.fan 22. május 10. hétfő, 47:10:2017 0. visszatérési útvonal: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Kapta: desdelinux.fan (Postfix, a 7 felhasználói azonosítótól) id 22EA11C57FC22; 2017. május 10., hétfő 47:10:0400 -22 (EDT) Dátum: 2017. május 10., hétfő 47:10:0400 -12.5 Címzett: legolas@desdelinux.fan Tárgy: User-Agent teszt: Heirloom mailx 7 5/10 / 1.0 MIME-verzió: 7 Tartalom-típus: szöveg / sima; charset = us-ascii Tartalomátvitel-kódolás: 20170522144710.7bit üzenetazonosító: <22EA11C57FC7@desdelinux.fan> Feladó: root@desdelinux.fan (root) X-UID: 22 Állapot: RO Hello Ez egy tesztüzenet A buzz@deslinux.fan-tól Hétfő május 10, 53:08:2017 172.16.10.1 Visszatérési út: X-Original-To: legolas@desdelinux.fan kézbesítve: Legolas@desdelinux.fan Kapta: a sysadmin.desdelinux.fan (átjáró [184]) -tól desdelinux.fan (Postfix) C11DC57FC22 ESMTP azonosítóval ; 2017. május 10., hétfő, 53:08:0400 -739874.219379516 (EDT) Üzenet azonosítója: <22-sendEmail@sysadmin> Feladó: "buzz@deslinux.fan" Címzett: "legolas@desdelinux.fan" Tárgy: Hello dátum: 2017. május 14., hétfõ, 53:08:0000 +1.56 X-Mailer: sendEmail-1.0 MIME-verzió: 794889.899510057 Tartalom-típus: többrészes / kapcsolódó; határ = "---- MIME határoló a sendEmail-XNUMX fájlhoz
/ var / mail / legolas

PAM minisorozat összefoglaló

Megnéztük a Mailserver magját, és egy kis hangsúlyt fektettünk a biztonságra. Reméljük, hogy a cikk egy olyan téma belépési pontjaként szolgál, amely olyan bonyolult és hajlamos a hibákra, mint a Mail Server kézi megvalósítása.

Helyi felhasználói hitelesítést használunk, mert ha helyesen olvassuk el a fájlt /etc/dovecot/conf.d/10-auth.conf, látni fogjuk, hogy a végén benne van -alapértelmezés szerint- a rendszerhasználók hitelesítési fájlja ! tartalmazza az auth-system.conf.ext fájlt. Pontosan ez a fájl mondja el a fejlécében, hogy:

[root @ linuxbox ~] # kevesebb /etc/dovecot/conf.d/auth-system.conf.ext
# Hitelesítés a rendszer felhasználói számára. Tartalmazza a 10-auth.conf fájlból. # # # # PAM hitelesítés. Manapság a legtöbb rendszer preferálja.
# A PAM-ot általában userdb passwd vagy userdb static esetén használják. # EMLÉKEZTETÉS: A PAM # hitelesítéshez létrehozott /etc/pam.d/dovecot fájlra a tényleges működéshez szükség lesz. passdb {driver = pam # [session = yes] [setcred = yes] [fail_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = galambos}

És a másik fájl létezik /etc/pam.d/dovecot:

[root @ linuxbox ~] # macska /etc/pam.d/dovecot 
#% PAM-1.0 hitelesítés szükséges pam_nologin.so hitelesítés tartalmazza a jelszó-hitelesítési fiókot a jelszó-hitelesítési munkamenet tartalmazza a jelszó-hitelesítést

Mit akarunk közvetíteni a PAM hitelesítésről?

• A CentOS, a Debian, az Ubuntu és sok más Linux disztribúció alapértelmezés szerint engedélyezi a Postifx és a Dovecot helyi hitelesítést.
• Sok internetes cikk a MySQL-t - és újabban a MariaDB-t - használja a felhasználók és a Mailserverrel kapcsolatos egyéb adatok tárolására. DE ezek több ezer felhasználó kiszolgálói, és nem egy klasszikus kkv-hálózat számára - talán - több száz felhasználóval.
• A PAM-on keresztül történő hitelesítés szükséges és elegendő a hálózati szolgáltatások nyújtásához, amennyiben azok egyetlen kiszolgálón futnak, amint ezt a minisorozatban láthattuk.
• Az LDAP adatbázisban tárolt felhasználókat úgy lehet leképezni, mintha helyi felhasználók lennének, és a PAM hitelesítéssel hálózati szolgáltatásokat lehet nyújtani különböző, LDAP ügyfelekként működő Linux szerverekről a központi hitelesítési kiszolgálóhoz. Ily módon a központi LDAP kiszolgáló adatbázisban tárolt felhasználók hitelesítő adataival dolgoznánk, és NEM lenne elengedhetetlen egy adatbázis fenntartása a helyi felhasználókkal.

A következő kalandig!