אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא
מאמר זה הוא המשך ואחרון המיני סדרה:
- אימות דיונון + PAM ב- CentOS 7.
- ניהול משתמשים וקבוצות מקומיים
- שרת DNS סמכותי של NSD + חוף
- תמצאו צ'אט ומשתמשים מקומיים
שלום חברים וחברים!
ل מתלהבים הם רוצים שיהיה להם שרת דואר משלהם. הם לא רוצים להשתמש בשרתים ש"פרטיות "היא בין סימני השאלה. האחראי על הטמעת השירות בשרת הקטן שלך אינו מומחה בנושא וינסה בתחילה להתקין את הליבה של שרת דואר עתידי ומלא. האם "המשוואות" להכנת שרת מיילים מלא הן מעט קשות להבנה וליישום. 😉
הערות שוליים
- יש להיות ברור אילו פונקציות מבצעת כל תוכנית המעורבת ב- Mailserver. כמדריך ראשוני אנו נותנים סדרה שלמה של קישורים שימושיים עם המטרה המוצהרת שהם מבקרים בהם.
- יישום שירות דואר שלם באופן ידני ומאפס הוא תהליך מעייף, אלא אם כן אתה מה"נבחרים "שמבצעים משימות מסוג זה מדי יום. שרת דואר נוצר - באופן כללי - על ידי תוכניות שונות המטפלות בנפרד SMTP, POP / IMAP, אחסון מקומי של הודעות, משימות הקשורות לטיפול ב- דואר זבל, אנטי-וירוס וכו '. על כל התוכניות הללו לתקשר ביניהן בצורה נכונה.
- אין מנהג אחד שמתאים לכולם או "שיטה מומלצת" כיצד לנהל משתמשים; היכן ואיך לאחסן הודעות, או כיצד לגרום לכל הרכיבים לעבוד כמכלול יחיד.
- הרכבה וכוונון עדין של Mailserver נוטים להיות מטרידים בנושאים כמו הרשאות קבצים ובעלים, בבחירת המשתמש שיהיה אחראי על תהליך מסוים, ובשגיאות קטנות שנעשו בקובץ תצורה אזוטרי כלשהו.
- אלא אם כן אתה יודע היטב מה אתה עושה, התוצאה הסופית תהיה שרת דואר חסר ביטחון או מעט לא פונקציונלי. שבסוף היישום זה לא יעבוד, יתכן שזה יהיה פחות מבין הרעות.
- אנו יכולים למצוא מספר רב של מתכונים באינטרנט כיצד ליצור שרת דואר. אחד השלמים ביותר -לדעתי המאוד אישית- הוא זה שמציע המחבר איבר אברהמסן במהדורה השלוש עשרה בינואר 2017 «כיצד להגדיר שרת דואר במערכת GNU / Linux".
- אנו ממליצים גם לקרוא את המאמר «שרת מיילים באובונטו 14.04: Postfix, Dovecot, MySQL«, או «שרת מיילים באובונטו 16.04: Postfix, Dovecot, MySQL".
- נָכוֹן. את התיעוד הטוב ביותר בנושא זה ניתן למצוא באנגלית.
- אף על פי שאנחנו אף פעם לא עושים Mailserver בהנחיית נאמנות איך ל… שהוזכר בפסקה הקודמת, עצם המעקב אחר צעד אחר צעד ייתן לנו מושג טוב מאוד בפני מה אנו עומדים.
- אם ברצונך לקבל Mailserver שלם בכמה צעדים ספורים, תוכל להוריד את התמונה iRedOS-0.6.0-CentOS-5.5-i386.iso, או חפש אחד מודרני יותר, בין אם זה iRedOS או iRedMail. זו הדרך בה אני ממליץ באופן אישי.
אנו הולכים להתקין ולהגדיר:
- פוסט תיקון כשרת Mשום Transport Aג'נטל (SMTP).
- דובקוט כ- POP - שרת IMAP.
- אישורים לחיבורים דרך TLS.
- סנאי כממשק אינטרנט למשתמשים.
- רשומת DNS ביחס ל- «מסגרת מדיניות השולח"אוֹ SPF.
- דור המודולים קבוצת דיפי הלמן להגברת האבטחה של אישורי SSL.
זה נשאר לעשות:
לפחות יישארו ליישם את השירותים הבאים:
- postgrey: מדיניות שרת Postfix עבור רשימות אפורות ודוחה דואר זבל.
- Amavisd-חדש: סקריפט שיוצר ממשק בין ה- MTA, לבין סורקי וירוסים ומסנני תוכן.
- אנטי-וירוס Clamav: חבילת אנטי-וירוס
- SpamAssassin: לחלץ דואר זבל
- גילוח (פיזור): לכידת דואר זבל באמצעות רשת מבוזרת ומשתפת פעולה. רשת Vipul Razor מנהלת קטלוג מעודכן להפצת דואר זבל או דואר זבל.
- רשומת DNS "DomainKeys Identified Mail" או סיומת dkim.
חבילות postgrey, amavisd-new, clamav, spamassassin, תער y פיזור הם נמצאים במאגרי התוכנית. אנו גם נמצא את התוכנית אופנדקים.
- ההצהרה הנכונה של רשומות ה- DNS "SPF" ו- "DKIM" חיונית אם איננו רוצים ששרת הדואר שלנו יופעל רק, יוכרז כבלתי רצוי או כיצרן דואר זבל או דואר זבל, על ידי שירותי דואר אחרים כגון gmail, Yאוהו, Hotmail, וכו.
בדיקות ראשוניות
זכור כי מאמר זה הוא המשך של אחרים שמתחילים ב אימות דיונון + PAM ב- CentOS 7.
ממשק LAN LAN Ens32 מחובר לרשת הפנימית
[root @ linuxbox ~] # nano / etc / sysconfig / scripts network / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = ציבורי
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
ממשק WAN Ens34 מחובר לאינטרנט
[root @ linuxbox ~] # nano / etc / sysconfig / scripts network / ifcfg-ens34
DEVICE=en34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # נתב ADSL מחובר ל-# הכתובת הבאה לממשק הזה IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = חיצוני
רזולוציית DNS מה- LAN
[root@linuxbox ~]# cat /etc/resolv.conf search desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail בדואר.desdelinux.fan הוא כינוי עבור linuxbox.desdelinux.אוהד. לינוקס.desdelinuxל-.fan יש כתובת 192.168.10.5 linuxbox.desdelinuxדואר אוהדים מטופל בדואר אחד.desdelinux.אוהד. [root@linuxbox ~]# host mail.desdelinux.אוהד בדואר.desdelinux.fan הוא כינוי עבור linuxbox.desdelinux.אוהד. לינוקס.desdelinuxל-.fan יש כתובת 192.168.10.5 linuxbox.desdelinuxדואר אוהדים מטופל בדואר אחד.desdelinux.אוהד.
רזולוציית DNS מהאינטרנט
buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30 Using domain server: Name: 172.16.10.30 Address: 172.16.10.30#53 Aliases: mail.desdelinux.fan הוא כינוי עבור desdelinux.אוהד. desdelinuxל-.fan יש כתובת 172.16.10.10 desdelinuxדואר אוהדים מטופל בדואר אחד.desdelinux.אוהד.
Problemas al resolver localmente el nombre de host «desdelinux.אוהד"
אם יש לך בעיות בפתרון שם המארח «desdelinux.אוהד" מ ה LAN, נסה להגיב על שורת הקבצים /etc/dnsmasq.conf איפה זה מוכרז local=/desdelinux.fan/. לאחר מכן, הפעל מחדש את ה- Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # הגב את השורה למטה: # local=/desdelinux.fan/ [root @ linuxbox ~] # שירות dnsmasq הפעלה מחדש הפניה ל / bin / systemctl הפעלה מחדש של dnsmasq.service [root @ linuxbox ~] # dnsmasq service service [root@linuxbox ~]# host desdelinux.אוהד desdelinuxל-.fan יש כתובת 172.16.10.10 desdelinuxדואר אוהדים מטופל בדואר אחד.desdelinux.אוהד.
פוסטפיקס ודובקוט
את התיעוד הרחב ביותר של ה- Postfix ו- Dovecot ניתן למצוא בכתובת:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt תאימות main.cf.default TLS_ACKNOWLEDGEMENTS דוגמאות README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ מחברים העתקה. MIT dovecot-openssl.cnf חדשות Wiki העתקה ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml
ב- CentOS 7, ה- MTA של Postfix מותקן כברירת מחדל כאשר אנו בוחרים באפשרות של שרת תשתית. עלינו לבדוק שההקשר של SELinux מאפשר כתיבה ל- Potfix בתור ההודעות המקומי:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
שינויים ב- FirewallD
באמצעות הממשק הגרפי כדי להגדיר את FirewallD, עלינו לוודא שהשירותים והיציאות הבאים מופעלים עבור כל אזור:
# ------------------------------------------------- ----- # תיקונים ב- FirewallD # ------------------------------------------------- ----- # חומת אש # אזור ציבורי: http, https, imap, pop3, שירותי smtp # אזור ציבורי: יציאות 80, 443, 143, 110, 25 # אזור חיצוני: http, https, imap, pop3s, שירותי smtp # אזור חיצוני: יציאות 80, 443, 143, 995, 25
אנו מתקינים Dovecot ותוכניות נחוצות
[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet
תצורת מינימום Dovecot
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf פרוטוקולים =imap pop3 lmtp להקשיב =*, :: כניסה_ברכה = דובקוט מוכן!
אנו משביתים במפורש את אימות הטקסט הרגיל של Dovecot:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = כן
אנו מכריזים על הקבוצה עם ההרשאות הדרושות לאינטראקציה עם ה- Dovecot, ומיקום ההודעות:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = דואר mail_access_groups = דואר
אישורים לדובקוט
Dovecot מייצר אוטומטית את אישורי הבדיקה שלך על סמך הנתונים בקובץ /etc/pki/dovecot/dovecot-openssl.cnf. כדי ליצור אישורים חדשים בהתאם לדרישות שלנו, עלינו לבצע את השלבים הבאים:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # country (2 letter code) C=CU # State or Province Name (full name) ST=Cuba # Locality Name (eg. city) L=Habana # Organization (eg. company) O=DesdeLinux.Fan # Organizational Unit Name (eg. section) OU=Entusiastas # Common Name (*.example.com is also possible) CN=*.desdelinux.fan # E-mail contact emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
אנו מבטלים תעודות בדיקה
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: למחוק את הקובץ הרגיל "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: למחוק את הקובץ הרגיל "private / dovecot.pem"? (y / n) y
אנו מעתיקים ומבצעים את התסריט mkcert.sh מספריית התיעוד
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generating a 1024 bit RSA private key ......++++++ ................++++++ writing new private key to '/etc/pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / סה"כ 4 -rw -------. שורש שורש 1 1029 22 במאי 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l private / סה"כ 4 -rw -------. שורש שורש 1 916 22 במאי 16:08 dovecot.pem [root @ linuxbox dovecot] # שירות dovecot מחדש [root @ linuxbox dovecot] # status dovecot service
אישורים עבור Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Generating a 4096 bit RSA private key .........++ ..++ writing new private key to 'private/dominio.tld.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CU State or Province Name (full name) []:Cuba Locality Name (eg, city) [Default City]:Habana Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan Organizational Unit Name (eg, section) []:Entusiastas Common Name (eg, your name or your server's hostname) []:desdelinux.fan כתובת דוא"ל []:buzz@desdelinux.אוהד
תצורה מינימלית של Postfix
אנו מוסיפים לסוף הקובץ / וכו '/ כינויים הבא:
שורש: באז
כדי שהשינויים ייכנסו לתוקף אנו מבצעים את הפקודה הבאה:
[root @ linuxbox ~] # newaliases
ניתן לבצע את תצורת Postifx על ידי עריכה ישירה של הקובץ /etc/postfix/main.cf או בפקודה postconf -e לדאוג שכל הפרמטר שאנחנו רוצים לשנות או להוסיף יבוא לידי ביטוי בשורה אחת של המסוף:
- על כל אחד להכריז על האפשרויות שהוא מבין וזקוק לו!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = הכל' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
אנו מוסיפים לסוף הקובץ /etc/postfix/main.cf האפשרויות המפורטות להלן. כדי לדעת את המשמעות של כל אחד מהם, אנו ממליצים לקרוא את התיעוד הנלווה.
ביף = לא append_dot_mydomain = לא delay_warning_time = 4 שעות readme_directory = לא smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = כן smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = permit_mynetworks היתר_סאסל_אימות דחוי_אוניית_יעוד # גודל תיבת דואר מרבי 1024 מגה = 1 גרם ו- ga mailbox_size_limit = 1073741824 container_delimiter = + maximum_queue_lifetime = 7d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # חשבונות ששולחים עותק של דואר נכנס לחשבון אחר recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
השורות הבאות חשובות לקביעת מי יכול לשלוח דואר ולהעביר לשרתים אחרים, כך שלא נקבע בטעות "ממסר פתוח" המאפשר למשתמשים לא מאומתים לשלוח דואר. עלינו להתייעץ עם דפי העזרה של Postfix כדי להבין מה המשמעות של כל אפשרות.
- על כל אחד להכריז על האפשרויות שהוא מבין וזקוק לו!.
smtpd_helo_restrictions = permit_mynetworks,
להזהיר אם לדחות דחייה_לא_שם_בית,
דחה_לא חוקי_אירוח,
יתר
smtpd_sender_restrictions = היתר_סלא_אומת,
permit_mynetworks,
להזהיר אם לדחות לדחות
דחה_לא ידוע_שלוח_דומיין,
reject_unauth_pipeline,
יתר
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
# הערה: האפשרות "check_policy_service inet: 127.0.0.1: 10023"
# מאפשרת את תוכנית Postgrey, ואנחנו לא צריכים לכלול אותה
# אחרת אנו הולכים להשתמש ב- Postgrey
smtpd_recipient_restrictions = reject_unauth_pipelining,
permit_mynetworks,
היתר_סלא_מאומת,
דחה_לא_מקבל_נמען,
דחה_דומיין_לא ידוע_,
דחה_אמונה_יעוד,
check_policy_service inet: 127.0.0.1: 10023,
יתר
smtpd_data_restrictions = reject_unauth_pipeline
smtpd_relay_restrictions = reject_unauth_pipeline,
permit_mynetworks,
היתר_סלא_מאומת,
דחה_לא_מקבל_נמען,
דחה_דומיין_לא ידוע_,
דחה_אמונה_יעוד,
check_policy_service inet: 127.0.0.1: 10023,
יתר
smtpd_helo_required = כן
smtpd_delay_reject = כן
disable_vrfy_command = כן
אנו יוצרים את הקבצים / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, ושנה את הקובץ / etc / postfix / header_checks.
- על כל אחד להכריז על האפשרויות שהוא מבין וזקוק לו!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# אם הקובץ הזה שונה, אין צורך בהפעלת postmap # כדי לבדוק את הכללים, הפעל כשורש: # postmap -q 'v1agra סופר חדש' regexp: / etc / postfix / body_checks
# צריך לחזור: # דחה כלל 2 מסר הודעה נגד ספאם
/ ויאגרה / REJECT כלל מס '1 נגד ספאם של גוף ההודעה
/ super new v [i1] agra / REJECT כלל מס '2 נגד ספאם של גוף ההודעה
[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# לאחר השינוי עליך לבצע: # postmap / etc / postfix / accounts_ forwarding_copy
# והקובץ נוצר או נמדד: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.אוהד
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# הוסף בסוף הקובץ # לא דורש Postmap מכיוון שהם ביטויים רגילים
/ ^ נושא: =? Big5? / REJECT קידוד סיני לא התקבל על ידי שרת זה
/ ^ נושא: =? EUC-KR? / REJECT קידוד קוריאני אסור לשרת זה
/ ^ נושא: ADV: / REJECT פרסומות לא מתקבלות על ידי שרת זה
/^From:.*\@.*\.cn/ REJECT מצטערים, דואר סיני אינו מותר כאן
/^ מאת :.*\@.*\.kr/ לדחות מצטערים, דואר קוריאני אינו מותר כאן
/^From:.*\@.*\.tr/ לדחות מצטערים, דואר טורקי אינו מורשה כאן
/^From:.*\@.*\.ro/ REJECT מצטערים, דואר רומני אינו מותר כאן
/^( קיבלה| הודעה- ID|X-( מיילר|שולח) ):.*\b(AutoMail|E- Broadcaster|Emailer Platinum | שרת רעם | eMarksman | Extractor | e-Merge | from stealth [^.] | מסנג'ר עולמי | GroupMaster | שידור דואר | MailKing | Match10 | MassE-Mail | massmail \ .pl | מפסק חדשות | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT אסור לשלוח דואר המוני.
/ ^ מאת: "דואר זבל / דחה
/ ^ מאת: "דואר זבל / דחה
/^ נושא :.*viagra/ מחיקה
# תוספות מסוכנות
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT אנו לא מקבלים קבצים מצורפים עם סיומות אלה
אנו בודקים את התחביר, מפעילים מחדש את אפאצ'י ואת פוסטיפקס ומאפשרים ומפעילים את Dovecot
[root @ linuxbox ~] # בדיקת postfix [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl הפעל מחדש את httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl הפעל מחדש את postfix [root @ linuxbox ~] # תיקון מצב systemctl [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - שרת הדוא"ל IMAP / POP3 של Dovecot טעון: נטען (/usr/lib/systemd/system/dovecot.service; מושבת; הגדרת ספק מראש: מושבתת) פעיל: לא פעיל (מת) [root @ linuxbox ~] # systemctl מאפשר יונה [root @ linuxbox ~] # systemctl הפעל את יונה [root @ linuxbox ~] # systemctl הפעל מחדש את dovecot [root @ linuxbox ~] # systemctl status dovecot
בדיקות ברמת המסוף
- חשוב מאוד לפני שתמשיך בהתקנה ותצורה של תוכניות אחרות, לבצע את הבדיקות המינימליות הדרושות של שירותי SMTP ו- POP.
מקומי מהשרת עצמו
אנו שולחים דוא"ל למשתמש המקומי לגולס.
[root @ linuxbox ~] # הד "שלום. זוהי הודעת בדיקה" | דואר - "בדוק" legolas
אנו בודקים את תיבת הדואר של לגולה.
[root @ linuxbox ~] # openssl s_client -crlf-connect 127.0.0.1:110 -starttls pop3
אחרי ההודעה Dovecot מוכן! אנחנו ממשיכים:
--- + אישור Dovecot מוכן! USER legolas +OK PASS legolas +OK Logged in. STAT +OK 1 559 LIST +OK 1 messages: 1 559 . RETR 1 +OK 559 octets Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hola. Este es un mensaje de prueba . QUIT DONE [root @ linuxbox ~] #
שלטים ממחשב ברשת LAN
בוא נשלח הודעה נוספת אל לגולס ממחשב אחר ברשת LAN. שים לב כי אבטחת TLS אינה הכרחית בהחלט ברשת SME.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fan \ - "שלום" \ -מ "ברכות לגולה מחברך באז" \ -s mail.desdelinux.fan -o tls=no 22 במאי 10:53:08 sysadmin sendemail [5866]: דוא"ל נשלח בהצלחה!
אם ננסה להתחבר דרך Telnet ממארח ב- LAN - או מהאינטרנט, כמובן - ל- Dovecot, הדברים הבאים יקורים מכיוון שאנו משביתים אימות טקסט פשוט:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] אימות טקסט רגיל אסור על חיבורים לא מאובטחים (SSL / TLS).
צא + אישור יציאה מהחיבור נסגר על ידי מארח זר.
buzz @ sysadmin: ~ $
עלינו לעשות זאת OpenSSL. הפלט המלא של הפקודה יהיה:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 מחובר (00000003) depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.אוהד אימות שגיאה: מספר = 18: אישור בחתימה עצמית אימות החזרה: 1 depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan verify return:1 --- Certificate chain 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- No client certificate CA names sent Server Temp Key: ECDH, secp384r1, 384 bits --- SSL handshake has read 1342 bytes and written 411 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,........~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:........hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.......e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p....b.....<. Start Time: 1495484262 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- + אישור Dovecot מוכן! לגולות משתמש + אישור לעבור לגולאות + אישור מחובר. רשימה + אישור 1 הודעות: 1 1021. חזרה 1 +OK 1021 octets Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0 for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT) Message-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program. ------MIME delimiter for sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Saludos Legolas de tu amigo Buzz ------MIME delimiter for sendEmail-365707.724894495-- . תיכנע + אישור יציאה. סָגוּר buzz @ sysadmin: ~ $
סנאי
סנאי הוא לקוח אינטרנט שנכתב כולו ב- PHP. הוא כולל תמיכת PHP מקומית לפרוטוקולי IMAP ו- SMTP, ומספק תאימות מרבית לדפדפנים השונים הנמצאים בשימוש. הוא פועל כהלכה בכל שרת IMAP. יש לו את כל הפונקציונליות הדרושה לך מלקוח דואר הכולל תמיכה ב- MIME, פנקס כתובות וניהול תיקיות.
[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] הפעלה מחדש של שירות httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fan';
$imapServerAddress = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # שירות טעינה מחדש של httpd
רשומות עבודת מדיניות שליחת DNS או רשומת SPF
במאמר שרת DNS סמכותי של NSD + חוף vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:
root@ns:~# ננו /etc/nsd/desdelinux.fan.zone $ORIGIN desdelinux.אוהד. $TTL 3H @ IN SOA מס.desdelinux.אוהד. שורש.desdelinux.אוהד. (1; סדרתי 1D; רענון 1H; נסה שוב 1W; פג תוקף 3H); מינימום או ; זמן מטמון שלילי לחיות; @ IN NS ns.desdelinux.אוהד. @ IN MX 10 דוא"ל.desdelinux.אוהד. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Registro para resolver consultas dig desdelinux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 מייל IN CNAME desdelinux.אוהד. צ'אט ב-CNAME desdelinux.אוהד. www IN CNAME desdelinux.אוהד. ; ; רשומות SRV הקשורות ל-XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.אוהד.
בה מכריז הרישום:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -all"
כדי להגדיר את אותו פרמטר עבור רשת SME או LAN, עלינו לשנות את קובץ התצורה של Dnsmasq באופן הבא:
# Registros TXT. Podemos declarar también un registro SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"
ואז אנו מפעילים מחדש את השירות:
[root @ linuxbox ~] # שירות dnsmasq הפעלה מחדש [root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.מכתבי מעריצים.desdelinux.fan הוא כינוי עבור desdelinux.אוהד. desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"
אישורים בחתימה עצמית ו- Apache או httpd
גם אם הדפדפן שלך אומר לך ש- "הבעלים של בדואר.desdelinux.אוהד הגדרת את אתרך באופן שגוי. כדי למנוע את גניבת המידע שלך, פיירפוקס לא התחבר לאתר זה ”, האישור שנוצר בעבר זה תקף, ויאפשר את האישורים בין הלקוח לשרת לנסוע מוצפן, לאחר שנקבל את האישור.
אם תרצה, וכדרך לאחד את האישורים, תוכל להצהיר עבור Apache על אותם אישורים שהצהרת עבור Postfix, וזה נכון.
[root @ linuxbox ~] # ננו /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # שירות httpd מחדש
[root @ linuxbox ~] # שירות httpd סטטוס
קבוצת דיפי-הלמן
נושא האבטחה הופך להיות קשה יותר מדי יום באינטרנט. אחת ההתקפות הנפוצות ביותר על קשרים SSL, הוא ה פְּקָק וכדי להתגונן מפניה יש צורך להוסיף פרמטרים לא סטנדרטיים לתצורת ה- SSL. בשביל זה יש RFC-3526 «מעריכי מעריכי יותר (MODP) דיפי-למן קבוצות להחלפת מפתחות באינטרנט (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
על פי גרסת ה- Apache שהתקנו, נשתמש בקבוצת Diffie-Helman מהקובץ /etc/pki/tls/dhparams.pem. אם מדובר בגרסה 2.4.8 ואילך, נצטרך להוסיף לקובץ /etc/httpd/conf.d/ssl.conf השורה הבאה:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
הגרסה של אפאצ'י בה אנו משתמשים היא:
[root @ linuxbox tls] # yum info httpd
תוספים טעונים: המהיר ביותר מירור, langpacks טוען מהירויות מראה מתוך קובץ מארח שמור במטמון חבילות מותקנות שם: httpd אדריכלות: x86_64
גרסה: 2.4.6
שחרור: 45.el7.centos גודל: 9.4 M מאגר: מותקן ממאגר: Base-Repo סיכום: כתובת ה- URL של שרת ה- HTTP של אפאצ'י: http://httpd.apache.org/ רישיון: ASL 2.0 תיאור: שרת ה- HTTP של אפאצ'י הוא חזק , יעיל ומתרחב: שרת אינטרנט.
מכיוון שיש לנו גרסה לפני 2.4.8, אנו מוסיפים בסוף אישור ה- CRT שנוצר קודם לכן, את התוכן של קבוצת דיפי הלמן:
[root @ linuxbox tls] # חתול פרטי / dhparams.pem >> certs/desdelinux.fan.crt
אם ברצונך לבדוק שפרמטרי ה- DH נוספו כראוי לתעודת CRT, בצע את הפקודות הבאות:
[root @ linuxbox tls] # חתול פרטי / dhparams.pem ----- התחל פרמטרים DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- END DH PARAMETERS ----- [root@linuxbox tls]# cat certs/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- END DH PARAMETERS -----
לאחר שינויים אלה, עלינו להפעיל מחדש את שירותי Postfix ו- httpd:
[root @ linuxbox tls] # הפעלה מחדש של תיקון השירות [root @ linuxbox tls] # שירות תיקון פוסט [root @ linuxbox tls] # הפעלה מחדש של שירות httpd [root @ linuxbox tls] # שירות httpd שירות
הכללת קבוצת Diffie-Helman בתעודות TLS שלנו עשויה להפוך את החיבור דרך HTTPS לאט יותר, אך תוספת האבטחה שווה את זה.
בודק סנאי
לאחר מכן שהאישורים נוצרו כראוי ושנאמת את פעולתם הנכונה כפי שעשינו באמצעות פקודות המסוף, הפנה את הדפדפן המועדף עליך לכתובת האתר http://mail.desdelinux.fan/webmail והוא יתחבר ללקוח האינטרנט לאחר קבלת האישור המתאים. שים לב שלמרות שאתה מציין את פרוטוקול HTTP, הוא ינותב מחדש ל- HTTPS, וזאת בשל הגדרות ברירת המחדל שמציע CentOS עבור Squirrelmail. ראה את הקובץ /etc/httpd/conf.d/squirrelmail.conf.
אודות תיבות דואר של משתמשים
Dovecot יוצר את תיבות הדואר של IMAP בתיקיה בית של כל משתמש:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ סה"כ 12 drwxrwx ---. 5 לגולות דואר 4096 22 במאי 12:39. drwx ------. 3 לגולות לגולות 75 מאי 22 11:34 .. -rw -------. 1 לגולות לגולות 72 מאי 22 11:34 dovecot.mailbox.log -rw -------. 1 לגולה לגולה 8 במאי 22 12:39 יונק-תוקף -ר - r - r--. 1 לגולות לגולאס 0 22 במאי 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 דואר לגולה 56 מאי 22 10:23 תיבת דואר נכנס drwx ------. 2 לגולות לגולות 56 מאי 22 12:39 נשלח drwx ------. 2 לגולות לגולות 30 במאי 22 11:34 אשפה
הם מאוחסנים גם ב- / var / mail /
[root @ linuxbox ~] # פחות / var / mail / legolas From MAILER_DAEMON Mon May 22 10:28:00 2017 Date: Mon, 22 May 2017 10:28:00 -0400 From: Mail System Internal Data <MAILER-DAEMON@linuxbox> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1495463280@linuxbox> X-IMAP: 1495462351 0000000008 Status: RO This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values. From root@desdelinux.fan Mon May 22 10:47:10 2017 Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hola. Este es un mensaje de prueba From buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57 for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT) Message-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057 / var / mail / legolas
סיכום סדרת מיני PAM
בדקנו את הליבה של Mailserver ושמנו דגש קטן על אבטחה. אנו מקווים שהמאמר משמש כנקודת כניסה לנושא כה מורכב ורגיש לטעויות, שכן הוא מיושם שרת דואר באופן ידני.
אנו משתמשים באימות משתמשים מקומי מכיוון שאם אנו קוראים את הקובץ כהלכה /etc/dovecot/conf.d/10-auth.conf, נראה שבסופו של דבר זה נכלל -כברירת מחדל- קובץ האימות של משתמשי המערכת ! כולל auth-system.conf.ext. בדיוק קובץ זה אומר לנו בכותרת שלו כי:
[root @ linuxbox ~] # פחות /etc/dovecot/conf.d/auth-system.conf.ext
# אימות למשתמשי מערכת. כלול מ- 10-auth.conf. # # # # אימות PAM. מועדף כיום על ידי רוב המערכות.
# PAM משמש בדרך כלל עם uswdb passwd או usdb סטטי. # זכור: תזדקק לקובץ /etc/pam.d/dovecot כדי שאימות PAM # יפעל בפועל. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] # ארגז = יונה}
והקובץ האחר קיים /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% PAM-1.0 אימות נדרש pam_nologin.so אימות כולל חשבון אימות סיסמא כולל אימות סיסמא אימות כולל אימות סיסמא
מה אנו מנסים להעביר לגבי אימות PAM?
- CentOS, Debian, Ubuntu והרבה הפצות לינוקס אחרות מתקינות את Postifx ו- Dovecot כשהאימות המקומי מופעל כברירת מחדל.
- מאמרים רבים באינטרנט משתמשים ב- MySQL - ולאחרונה גם ב- MariaDB - כדי לאחסן משתמשים ונתונים אחרים הנוגעים לשרת Mails. אבל אלה שרתים עבור אלפי משתמשים, ולא עבור רשת SME קלאסית עם - אולי - מאות משתמשים.
- אימות באמצעות PAM הוא הכרחי ומספיק בכדי לספק שירותי רשת כל עוד הם פועלים על שרת יחיד כפי שראינו במיני סדרה זו.
- משתמשים המאוחסנים במסד נתונים של LDAP ניתנים למיפוי כאילו היו משתמשים מקומיים, ובאימות PAM ניתן להשתמש בכדי לספק שירותי רשת משרתי לינוקס שונים המשמשים כלקוחות LDAP לשרת האימות המרכזי. באופן זה, נעבוד עם אישורי המשתמשים המאוחסנים במסד הנתונים של שרת ה- LDAP המרכזי, ולא יהיה זה חיוני לקיים בסיס נתונים עם משתמשים מקומיים.
עד להרפתקה הבאה!
האמינו לי שבפועל מדובר בתהליך שמספק ליותר מ- sysadmin כאבי ראש קשים, אני משוכנע שבעתיד זה יהיה מדריך עזר לכל מי שרוצה לנהל את המיילים שלהם, מקרה מעשי שהופך ל- abc כאשר שילוב פוסט-פיקס, יונה, סנאי ..
תודה רבה על תרומתך לשבח,
מדוע לא להשתמש ב- Mailpile בכל הנוגע לאבטחה עם PGP? כמו כן ל- Roundcube יש ממשק הרבה יותר אינטואיטיבי והוא יכול גם לשלב PGP.
לפני 3 ימים קראתי את הפוסט, אני יודע להודות לך. אני לא מתכנן להתקין שרת דואר אך תמיד מועיל לראות יצירת אישורים, שימושיים עבור יישומים אחרים והמדריכים הללו כמעט ולא יפוגו (במיוחד כאשר אתה משתמש ב- centOS).
מנואל צ'ילרו: תודה על קישור לבלוג שלך וממנו מאמר זה שהוא הליבה המינימלית של שרת דואר המבוסס על Postfix ו- Dovecot.
לטאה: כמו תמיד, ההערכה שלך מתקבלת מאוד. תודה.
דארקו: כמעט בכל המאמרים שלי אני אומר פחות או יותר ש"כולם מיישמים את השירותים עם התוכניות שהם הכי אוהבים. " תודה על התגובה.
מרטין: תודה גם לך על קריאת המאמר ואני מקווה שזה יעזור לך בעבודה שלך.
חבר המאמר העצום פדריקו. תודה רבה על טוטו כל כך טוב.
מצוין אם כי הייתי משתמש ב"משתמשים וירטואליים "כדי להימנע מהצורך ליצור משתמש מערכת בכל פעם שאני מוסיף אימייל, תודה למדתי הרבה דברים חדשים וזה סוג הפוסט שחיכיתי לו
אחר צהריים טובים,
הם יעודדו להכין אותו עם שרת ספריות Fedora + postifx + dovecot + Thunderbird או Outlook.
Tengo una parte pero estoy pegado, con gusto compartiria el documento a la comunidad @desdelinux
לא תיארתי לעצמי שהוא יגיע ליותר מ 3000 ביקורים !!!
ברכת לטאה!
עמית הדרכה מעולה.
האם תוכל לעשות זאת עבור דביאן 10 עם משתמשים ב- Active Directory המותקנים על Samba4 ???
אני מתאר לעצמי שזה יהיה כמעט זהה אך משנה את סוג האימות.
הקטע שאתה מקדיש ליצירת תעודות בחתימה עצמית מעניין מאוד.