Postfix + Dovecot + Squirrelmailおよびローカルユーザー-SMBネットワーク

シリーズの一般的なインデックス: SME向けのコンピュータネットワーク:はじめに

この記事はミニシリーズの続きであり、最後です。

こんにちは友達と友達!

たくさん 愛好家 彼らは独自のメールサーバーを持ちたいと思っています。 彼らは、「プライバシー」が疑問符の間にあるサーバーを使用したくありません。 小さなサーバーにサービスを実装する担当者は、このテーマの専門家ではなく、最初は将来の完全なメールサーバーのコアをインストールしようとします。 フルメールサーバーを作成するための「方程式」は、理解して適用するのが少し難しいということです。 😉

マージン注釈

  • メールサーバーに関係する各プログラムがどの機能を実行するかを明確にする必要があります。 最初のガイドとして、訪問するという宣言された目的を備えた一連の有用なリンクを提供します.
  • 完全なメールサービスを最初から手動で実装することは、このタイプのタスクを日常的に実行する「選ばれた」人でない限り、面倒なプロセスです。 メールサーバーは、一般的な方法で、個別に処理するさまざまなプログラムによって形成されます。 SMTP, POP / IMAP、メッセージのローカルストレージ、の処理に関連するタスク SPAM、アンチウイルスなど。 これらのプログラムはすべて、互いに正しく通信する必要があります。
  • ユーザーの管理方法に関するすべてまたは「ベストプラクティス」に適合するXNUMXつのサイズはありません。 メッセージを保存する場所と方法、またはすべてのコンポーネントをXNUMXつの全体として機能させる方法。
  • メールサーバーの組み立てと調整は、権限やファイルの所有者、特定のプロセスを担当するユーザーの選択、一部の難解な構成ファイルで発生する小さなエラーなどの問題で不快になる傾向があります。
  • 自分が何をしているのかをよく理解していない限り、最終的には安全でない、またはわずかに機能しないメールサーバーになります。 実装の最後にそれは機能しません、それはおそらく悪の少ない方になるでしょう。
  • メールサーバーの作り方については、インターネット上でたくさんのレシピを見つけることができます。 最も完全なもののXNUMXつ-私の非常に個人的な意見では-著者によって提供されたものです イヴァル・アブラハムセン 2017年XNUMX月の第XNUMX版で«GNU / Linuxシステムでメールサーバーを設定する方法"
  • 記事を読むこともお勧めします«Ubuntu 14.04のメールサーバー:Postfix、Dovecot、MySQL«, または«Ubuntu 16.04のメールサーバー:Postfix、Dovecot、MySQL"
  • 本当。 この点に関する最良のドキュメントは英語で見つけることができます。
    • 私たちはメールサーバーを忠実に指導することは決してありませんが 方法… 前の段落で述べたように、それを段階的に実行するという単なる事実は、私たちが直面することについて非常に良い考えを私たちに与えるでしょう。
  • ほんの数ステップで完全なメールサーバーが必要な場合は、画像をダウンロードできます iRedOS-0.6.0-CentOS-5.5-i386.iso、またはより現代的なものを探してください、それはiRedOSまたは iレッドメール。 それは私が個人的にお勧めする方法です。

以下をインストールして構成します。

それはまだ行われていません:

少なくとも次のサービスはまだ実装されていません。

  • ポストグレイ:グレーリストのPostfixサーバーポリシーと迷惑メールを拒否します。
  • Amavisd-新しい:MTAと、ウイルススキャナーおよびコンテンツフィルターの間のインターフェイスを作成するスクリプト。
  • Clamavアンチウイルス:ウイルス対策スイート
  • SpamAssassinの:迷惑メールを抽出する
  • かみそり (パイザー):分散型の協調ネットワークを介したSPAMキャプチャ。 Vipul Razorネットワークは、ジャンクメールまたはSPAMの伝播の更新されたカタログを維持します。
  • DNSレコード「DomainKeysIdentifiedMail」または dkim 拡張子.

パッケージ postgrey、amavisd-new、clamav、spamassassin、razor y パイザー それらはプログラムリポジトリにあります。 プログラムもあります オープンキム.

  • DNSレコード「SPF」と「DKIM」の正しい宣言は、メールサーバーを稼働させたくない場合、望ましくないと宣言したい場合、またはSPAMやジャンクメールのプロデューサーとして、次のような他のメールサービスによって不可欠です。 Gmailの, Yああ, ホットメール、など.

初期チェック

この記事は、で始まる他の記事の続きであることを忘れないでください CentOS7でのSquid + PAM認証.

内部ネットワークに接続されたEns32LANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ゾーン=パブリック

[root @ linuxbox〜] #ifdown ens32 && ifup ens32

インターネットに接続されたEns34WANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=yes BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL ルーターは # このインターフェースに # 次のアドレスで接続されていますIPゲートウェイ=172.16.10.1ドメイン=desdelinux.fan DNS1=127.0.0.1
ゾーン=外部

LANからのDNS解決

[root@linuxbox ~]# cat /etc/resolv.conf 検索 desdelinux.fan ネームサーバー 127.0.0.1 ネームサーバー 172.16.10.30 [root@linuxbox ~]# ホストメール
郵便物。desdelinux.fan は linuxbox のエイリアスです。desdelinux。ファン。リナックスボックス。desdelinux.fan のアドレスは 192.168.10.5 linuxbox です。desdelinux.fan mailは1メールで処理されます。desdelinux。ファン。

[root@linuxbox ~]# ホストメール。desdelinux。ファン
郵便物。desdelinux.fan は linuxbox のエイリアスです。desdelinux。ファン。リナックスボックス。desdelinux.fan のアドレスは 192.168.10.5 linuxbox です。desdelinux.fan mailは1メールで処理されます。desdelinux。ファン。

インターネットからのDNS解決

uzzs@sysadmin:~$hostmail。desdelinux.ファン 172.16.10.30
使用するドメイン サーバー: 名前: 172.16.10.30 アドレス: 172.16.10.30#53 エイリアス: mail。desdelinux.fan はのエイリアスです desdelinux。ファン。
desdelinux.fan のアドレスは 172.16.10.10
desdelinux.fan mailは10メールで処理されます。desdelinux。ファン。

ホスト名をローカルで解決する際の問題 «desdelinux。ファン"

ホスト名の解決に問題がある場合«desdelinux。ファン" から LAN、ファイル行をコメントアウトしてみてください /etc/dnsmasq.conf 宣言されている場所 ローカル=/desdelinux。ファン/。 その後、Dnsmasqを再起動します。

[root @ linuxbox〜] #nano /etc/dnsmasq.conf#以下の行にコメントしてください:
#ローカル=/desdelinux。ファン/

[root @ linuxbox〜] #service dnsmasq restart
/ bin / systemctl restartdnsmasq.serviceにリダイレクトします

[root @ linuxbox〜] #service dnsmasq status

[root@linuxbox ~]# ホスト desdelinux。ファン
desdelinux.fan のアドレスは 172.16.10.10
desdelinux.fan mailは10メールで処理されます。desdelinux。ファン。

PostfixとDovecot

PostfixとDovecotの非常に広範なドキュメントは次の場所にあります。

[root @ linuxbox〜] #ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt COMPATIBILITY main.cf.defaultTLS_ACKNOWLEDGEMENTSの例README_FILESTLS_LICENSE

[root @ linuxbox〜] #ls /usr/share/doc/dovecot-2.2.10/
AUTHORS COPYING.MIT dovecot-openssl.cnf NEWS wiki COPYING ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

CentOS 7では、インフラストラクチャサーバーオプションを選択すると、PostfixMTAがデフォルトでインストールされます。 SELinuxコンテキストがローカルメッセージキューのPotfixへの書き込みを許可していることを確認する必要があります。

[root @ linuxbox〜] #getsebool -a | grep postfix
postfix_local_write_mail_spool-> on

FirewallDでの変更

グラフィカルインターフェイスを使用してFirewallDを設定するには、ゾーンごとに次のサービスとポートが有効になっていることを確認する必要があります。

#------------------------------------------------- -----
#FirewallDの修正
#------------------------------------------------- -----
#ファイアウォール
#パブリックゾーン:http、https、imap、pop3、smtpサービス
#パブリックゾーン:ポート80、443、143、110、25

#外部ゾーン:http、https、imap、pop3s、smtpサービス
#外部ゾーン:ポート80、443、143、995、25

Dovecotと必要なプログラムをインストールします

[root @ linuxbox〜] #yum install dovecot mod_ssl procmail telnet

最小Dovecot構成

[root @ linuxbox〜] #nano /etc/dovecot/dovecot.conf
プロトコル =imap pop3 lmtp
聞く = *、::
ログイン_挨拶 = Dovecotの準備ができました!

Dovecotのプレーンテキスト認証を明示的に無効にします。

[root @ linuxbox〜] #nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = はい

Dovecotとやり取りするために必要な権限と、メッセージの場所をグループに宣言します。

[root @ linuxbox〜] #nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox:〜/ mail:INBOX = / var / mail /%u
mail_privileged_group = メール
mail_access_groups =メール

ダブコットの証明書

Dovecotは、ファイル内のデータに基づいてテスト証明書を自動的に生成します /etc/pki/dovecot/dovecot-openssl.cnf。 要件に従って新しい証明書を生成するには、次の手順を実行する必要があります。

[root @ linuxbox〜] #cd / etc / pki / dovecot /
[root @ linuxbox dovecot] #nano dovecot-openssl.cnf
[ req ]default_bits = 1024 encrypt_key = yesdistinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # 国 (2 文字コード) C=CU # 州名または県名 (フルネーム) ST=Cuba # 地域名 (例: city) ) L=ハバナ # 組織 (例: 会社) O=DesdeLinux.Fan # 組織単位名 (セクションなど) OU=Enthusiasts # 一般名 (*.example.com も可能) CN=*。desdelinux.fan # 電子メール連絡先 emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = サーバー

テスト証明書を排除します

[root @ linuxbox dovecot] #rm certs / dovecot.pem 
rm:通常のファイル「certs / dovecot.pem」を削除しますか? (y / n)y
[root @ linuxbox dovecot] #rm private / dovecot.pem 
rm:通常のファイル「private / dovecot.pem」を削除しますか? (y / n)y

スクリプトをコピーして実行します mkcert.sh ドキュメントディレクトリから

[root @ linuxbox dovecot]#cp / usr / share / doc / dovecot-2.2.10 / mkcert.sh。 [root @ linuxbox dovecot] #bash mkcert.sh 
1024 ビット RSA 秘密キーを生成しています ...++++++ ................++++++ 新しい秘密キーを '/etc/ に書き込みますpki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=キューバ/L=ハバナ/O=DesdeLinux.ファン/OU=愛好家/CN=*。desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] #ls -l certs /
合計4-rw -------。 1ルートルート1029月22日16:08dovecot.pem
[root @ linuxbox dovecot] #ls -l private /
合計4-rw -------。 1ルートルート916月22日16:08dovecot.pem

[root @ linuxbox dovecot] #service dovecot restart
[root @ linuxbox dovecot]#サービスdovecotステータス

Postfixの証明書

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

4096 ビット RSA 秘密キーを生成しています ......++ ..++ 新しい秘密キーを 'private/domain.tld.key' に書き込みます ----- 情報の入力を求められますこれは証明書リクエストに組み込まれます。これから入力しようとしているのは、識別名または DN と呼ばれるものです。かなりの数のフィールドがありますが、一部を空白のままにすることができます。一部のフィールドにはデフォルト値があり、「.」を入力すると、フィールドは空白のままになります。 ----- 国名 (2 文字コード) [XX]:CU 州名 (フルネーム) []:キューバの地域名 (例:都市) [デフォルトの都市]:ハバナ 組織名 (例:会社) [デフォルトカンパニーリミテッド]:DesdeLinux.Fan 組織単位名 (セクションなど) []:愛好家の共通名 (あなたの名前またはサーバーのホスト名など) []:desdelinux.fan メールアドレス []:buzz@desdelinux。ファン

最小限のPostfix設定

ファイルの最後に追加します /etc/aliases 次:

ルート:バズ

変更を有効にするには、次のコマンドを実行します。

[root @ linuxbox〜] #newaliases

Postifxの構成は、ファイルを直接編集することで実行できます /etc/postfix/main.cf またはコマンドによって postconf -e 変更または追加するすべてのパラメーターがコンソールのXNUMX行に反映されるように注意してください。

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux。ファン'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux。ファン'
[root @ linuxbox〜] #postconf -e'myorigin = $ mydomain '
[root @ linuxbox〜] #postconf -e'inet_interfaces = all '
[root @ linuxbox〜] #postconf -e'mydestination = $ myhostname、localhost。$ mydomain、localhost、$ mydomain、mail。$ mydomain、www。$ mydomain、ftp。$ mydomain '

[root @ linuxbox〜] #postconf -e'mynetworks = 192.168.10.0/24、172.16.10.0/24、127.0.0.0/8 '
[root @ linuxbox〜] #postconf -e'mailbox_command = / usr / bin / procmail -a "$ EXTENSION" '
[root @ linuxbox〜] #postconf -e'smtpd_banner = $ myhostname ESMTP $ mail_name($ mail_version) '

ファイルの最後に追加します /etc/postfix/main.cf 以下に示すオプション。 それぞれの意味を知るために、付属のドキュメントを読むことをお勧めします。

biff =いいえ
append_dot_mydomain = いいえ
delay_warning_time = 4 時間
readme_directory =いいえ
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls =はい
smtpd_tls_session_cache_database = btree:$ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree:$ {data_directory} / smtp_scache
smtpd_relay_restrictions = 許可_mynetworks 許可_sasl_authenticated defer_unauth_destination

#最大メールボックスサイズ1024メガバイト= 1gおよびga
メールボックスサイズ制限= 1073741824

receive_delimiter = +
maximal_queue_lifetime = 7d
header_checks = regexp:/ etc / postfix / header_checks
body_checks = regexp:/ etc / postfix / body_checks

#受信メールのコピーを別のアカウントに送信するアカウント
receive_bcc_maps = hash:/ etc / postfix / accounts_forwarding_copy

次の行は、誰がメールを送信して他のサーバーにリレーできるかを判断するために重要です。これにより、認証されていないユーザーがメールを送信できる「オープンリレー」を誤って構成することがなくなります。 各オプションの意味を理解するには、Postfixヘルプページを参照する必要があります。

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
smtpd_helo_restrictions = permit_mynetworks、
 warn_if_reject react_non_fqdn_hostname、
 react_invalid_hostname、
 許可

smtpd_sender_restrictions = permit_sasl_authenticated、
 permit_mynetworks、
 warn_if_reject react_non_fqdn_sender、
 require_unknown_sender_domain、
 require_unauth_pipelining、
 許可

smtpd_client_restrictions = require_rbl_client sbl.spamhaus.org、
 react_rbl_client blackholes.easynet.nl

#注:オプション「check_policy_serviceinet:127.0.0.1:10023」
#Postgreyプログラムを有効にしますが、含めるべきではありません
#それ以外の場合はPostgreyを使用します

smtpd_recipient_restrictions = require_unauth_pipelining、
 permit_mynetworks、
 permit_sasl_authenticated、
 require_non_fqdn_recipient、
 react_unknown_recipient_domain、
 react_unauth_destination、
 check_policy_service inet:127.0.0.1:10023、
 許可

smtpd_data_restrictions = require_unauth_pipelining

smtpd_relay_restrictions = react_unauth_pipelining、
 permit_mynetworks、
 permit_sasl_authenticated、
 require_non_fqdn_recipient、
 react_unknown_recipient_domain、
 react_unauth_destination、
 check_policy_service inet:127.0.0.1:10023、
 許可
 
smtpd_helo_required =はい
smtpd_delay_reject =はい
disable_vrfy_command = はい

ファイルを作成します / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy、ファイルを変更します / etc / postfix / header_checks.

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
[root @ linuxbox〜] #nano / etc / postfix / body_checks
#このファイルが変更された場合、#postmapを実行する必要はありません#ルールをテストするには、rootとして実行します。# postmap -q'super new v1agra 'regexp:/ etc / postfix / body_checks
#戻る必要があります:# ルール#2アンチスパムメッセージ本文を拒否します
/バイアグラ/拒否ルール#1メッセージ本文のスパム対策
/ super new v [i1] agra / REJECT Rule#2 AntiSpamメッセージ本文

[root @ linuxbox〜] #nano / etc / postfix / accounts_forwarding_copy
#変更後、以下を実行する必要があります:# postmap / etc / postfix / accounts_forwarding_copy
#ファイルが作成または測定されます:# /etc/postfix/accounts_forwarding_copy.db
# -------------------------------------- # 1 つのアカウントに 1 つの BCC を転送するコピー # BCC = ブラック カーボン コピー # 例: # webadmin@desdelinux.ファンバズ@desdelinux。ファン

[root @ linuxbox〜]# postmap / etc / postfix / accounts_forwarding_copy

[root @ linuxbox〜]# nano / etc / postfix / header_checks
#ファイルの最後に追加#正規表現であるため、ポストマップは必要ありません
/ ^件名:=?Big5?/ REJECT中国語のエンコーディングはこのサーバーでは受け入れられません
/ ^件名:=?EUC-KR?/ REJECT韓国語エンコーディングはこのサーバーでは許可されていません
/ ^件名:ADV:/このサーバーで受け入れられない広告を拒否する
/^From:.*\@.*\.cn/ REJECT申し訳ありませんが、ここでは中国語のメールは許可されていません
/^From:.*\@.*\.kr/ REJECT申し訳ありませんが、韓国のメールはここでは許可されていません
/^From:.*\@.*\.tr/ REJECT申し訳ありませんが、トルコのメールはここでは許可されていません
/^From:.*\@.*\.ro/ REJECT申し訳ありませんが、ルーマニアのメールはここでは許可されていません
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge |ステルスから[^。] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite)\ b / REJECT大量のメーラーは許可されていません。
/ ^ From: "spammer / REJECT
/ ^差出人: "スパム/拒否
/^Subject:.*viagra/ 破棄
#危険な拡張機能
/ name = [^>Iluminación* \。(bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs)/拒否拒否これらの拡張子を持つ添付ファイルは受け付けていません。

構文を確認し、ApacheとPostifxを再起動し、Dovecotを有効にして起動します

[root @ linuxbox〜] #postfixチェック
[root @ linuxbox〜]#

[root @ linuxbox〜] #systemctl restart httpd
[root @ linuxbox〜] #systemctl status httpd

[root @ linuxbox〜] #systemctl restart postfix
[root @ linuxbox〜] #systemctl status postfix

[root @ linuxbox〜] #systemctl status dovecot
●dovecot.service-DovecotIMAP / POP3電子メールサーバーロード済み:ロード済み(/usr/lib/systemd/system/dovecot.service;無効;ベンダープリセット:無効)アクティブ:非アクティブ(デッド)

[root @ linuxbox〜] #systemctl enable dovecot
[root @ linuxbox〜] #systemctl start dovecot
[root @ linuxbox〜] #systemctl restart dovecot
[root @ linuxbox〜] #systemctl status dovecot

コンソールレベルのチェック

  • 他のプログラムのインストールと構成を続行する前に、SMTPおよびPOPサービスの必要最小限のチェックを行うことが非常に重要です。.

サーバー自体からローカル

ローカルユーザーにメールを送信します レゴラス.

[root @ linuxbox〜] #echo "こんにちは。これはテストメッセージです" | mail -s "Test" legolas

のメールボックスを確認します レゴラ。

[root @ linuxbox〜] #openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

メッセージの後 Dovecotの準備ができました! 続行します:

---
+ OK Dovecotの準備ができました!
USER Legolas +OK PASS Legolas +OK ログインしました。 STAT +OK 1 559 LIST +OK 1 メッセージ: 1 559 。 RETR 1 +OK 559 オクテット リターンパス:desdelinux.fan> X-オリジナル-宛先:legolas 配信先:legolas@desdelinux.fan 受信日: によって desdelinux.fan (Postfix、ユーザー ID 0 から) ID 7EA22C11FC57; 22 年 2017 月 10 日月曜日 47:10:0400 -22 (東部夏時間) 日付: 2017 年 10 月 47 日月曜日 10:0400:XNUMX -XNUMX 宛先: Legolas@desdelinux.fan 件名: テスト ユーザー エージェント: Heirloom mailx 12.5 7/5/10 MIME バージョン: 1.0 コンテンツ タイプ: text/plain; charset=us-ascii コンテンツ転送エンコーディング: 7 ビット メッセージ ID: <20170522144710.7EA22C11FC57@desdelinux.fan> 送信者: root@desdelinux.fan (ルート) こんにちは。これはテストメッセージです。終了完了
[root @ linuxbox〜]#

LAN上のコンピューターからのリモート

別のメッセージをに送信しましょう レゴラス LAN上の別のコンピューターから。 TLSセキュリティはSMEネットワーク内で厳密に必要なわけではないことに注意してください。

buzz @ sysadmin:〜$ sendemail -f buzz@deslinux.fan \
-t レゴラス@desdelinux。ファン\
-u「こんにちは」\
-m「友達のバズからレゴラスに挨拶」\
-s の電子メール。desdelinux.fan -o tls=いいえ
22月10日53:08:5866sysadmin sendemail [XNUMX]:メールが正常に送信されました。

を介して接続しようとすると telnet LAN上のホストから(もちろんインターネットから)Dovecotまで、プレーンテキスト認証を無効にするため、次のことが起こります。

uzz@sysadmin:~$ Telnet メール。desdelinux.fan 110を試しています...
Linuxboxに接続しました。desdelinux。ファン。エスケープ文字は「^]」です。 +OK Dovecot の準備ができました!ユーザーレゴラス
-ERR [AUTH]非セキュア(SSL / TLS)接続ではプレーンテキスト認証は許可されていません。
quit + OKログアウト外部ホストによって接続が閉じられました。
バズ@sysadmin:〜$

私たちはそれをしなければなりません opensslの。 コマンドの完全な出力は次のようになります。

uzz@sysadmin:~$ openssl s_client -crlf -connect メール。desdelinux.fan:110 -starttls Pop3
CONNECTED(00000003)
深さ=0 C = CU、ST = キューバ、L = ハバナ、O = DesdeLinux.ファン、OU = 愛好家、CN = *。desdelinux.fan、emailAddress =uzz@desdelinux。ファン
検証エラー:num = 18:自己署名証明書検証リターン:1
深さ=0 C = CU、ST = キューバ、L = ハバナ、O = DesdeLinux.ファン、OU = 愛好家、CN = *。desdelinux.fan、emailAddress =uzz@desdelinux.fan 検証戻り値:1
--- 証明書チェーン 0 秒:/C=CU/ST=キューバ/L=ハバナ/O=DesdeLinux.ファン/OU=愛好家/CN=*。desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=キューバ/L=ハバナ/O=DesdeLinux.ファン/OU=愛好家/CN=*。desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.ファン/OU=愛好家/CN=*。desdelinux.fan/emailAddress=buzz@desdelinux.fan発行者=/C=CU/ST=キューバ/L=ハバナ/O=DesdeLinux.ファン/OU=愛好家/CN=*。desdelinux.fan/emailAddress=buzz@desdelinux.fan --- クライアント証明書 CA 名が送信されていません サーバー一時キー: ECDH、secp384r1、384 ビット --- SSL ハンドシェイクは 1342 バイトを読み取り、411 バイトを書き込みました --- 新しい、TLSv1/SSLv3、暗号は ECDHE-RSA-AES256 -GCM-SHA384 サーバーの公開キーは 1024 ビットです セキュアな再ネゴシエーションがサポートされています 圧縮: なし 拡張: なし SSL セッション: プロトコル: TLSv1.2 暗号: ECDHE-RSA-AES256-GCM-SHA384 セッション ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5 DB 6C5295BF4E2D73A セッション-ID- ctx : マスターキー: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: なし Krb5 プリンシパル: なし PSK ID: なし PSK ID ヒント: なし TLS セッション チケットの有効期間ヒント: 300 (秒) TLS セッション チケット: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~。 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:....hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5....h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a....1'fz.Q( 0060 - b7 of 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1....0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV....Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. 開始時間: 1495484262 タイムアウト: 300 (秒) 戻りコードの確認: 18 (自己署名証明書) ---
+ OK Dovecotの準備ができました!
ユーザーレゴラス
+ OK
PASSレゴラス
+ OKログインしました。
LIST
+ OK 1メッセージ:1。
戻る 1
+OK 1021 オクテット リターンパス: X-オリジナル-宛先:legolas@desdelinux.fan 配達先:legolas@desdelinux.fan を受け取りました: システム管理者から。desdelinux.fan (ゲートウェイ [172.16.10.1]) による desdelinuxESMTP ID 51886C11E8C0 の .fan (Postfix)desdelinux.ファン>; Mon, 22 May 2017 15:09:11 -0400 (EDT) メッセージ ID: <919362.931369932-sendEmail@sysadmin> 差出人: "buzz@deslinux.fan"宛先: 「レゴラス@desdelinux。ファン"desdelinux.fan> 件名: こんにちは 日付: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/relative; border="----sendEmail-365707.724894495 の MIME 区切り文字" これは、MIME 形式のマルチパート メッセージです。このメッセージを適切に表示するには、MIME バージョン 1.0 に準拠した電子メール プログラムが必要です。 ------sendEmail-365707.724894495 の MIME 区切り文字 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit 友人の Buzz から Legolas へこんにちは ------sendEmail-365707.724894495-- の MIME 区切り文字。
QUITを
+ OKログアウトします。 閉まっている
バズ@sysadmin:〜$

Squirrelmail

Squirrelmail は完全にPHPで書かれたWebクライアントです。 IMAPおよびSMTPプロトコルのネイティブPHPサポートが含まれており、使用中のさまざまなブラウザーとの最大の互換性を提供します。 どのIMAPサーバーでも正しく実行されます。 MIMEサポート、アドレスブック、フォルダ管理など、電子メールクライアントに必要なすべての機能を備えています。

[root @ linuxbox〜] #yum install squirrelmail
[root @ linuxbox〜] #service httpd restart

[root @ linuxbox〜] #nano /etc/squirrelmail/config.php
$ドメイン = 'desdelinux。ファン';
$imapServerAddress = 'メール。desdelinux。ファン';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux。ファン';

[root @ linuxbox〜] #service httpd reload

DNS送信ポリシーフレームワークまたはSPFレコード

記事では NSD権威DNSサーバー+ショアウォール ゾーン«desdelinux.fan» は次のように構成されました。

root@ns:~# nano /etc/nsd/desdelinux.ファンゾーン
$ORIGIN desdelinux。ファン。 $TTL 3H @ IN SOA 番号desdelinux。ファン。根。desdelinux。ファン。 (1; シリアル 1D; リフレッシュ 1H; 再試行 1W; 期限切れ 3H);最小または;ネガティブ キャッシュの存続時間。 @ IN NS ns。desdelinux。ファン。 @ IN MX 10 メール。desdelinux。ファン。
@ IN TXT "v=spf1 a:mail.desdelinux.fan -all」
; ; dig クエリを解決するための登録 desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 メール IN CNAME   desdelinux。ファン。 CNAME でチャットする   desdelinux。ファン。 CNAME 内の www   desdelinux。ファン。 ; ; XMPP に関連する SRV レコード
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux。ファン。 _xmpp-client._tcp IN SRV 0 0 5222 desdelinux。ファン。 _jabber._tcp IN SRV 0 0 5269 desdelinux。ファン。

その中でレジストリは宣言されています:

@ IN TXT "v=spf1 a:mail.desdelinux.fan -all」

SMEネットワークまたはLANに同じパラメーターを構成するには、Dnsmasq構成ファイルを次のように変更する必要があります。

# TXT レコード。 SPF レコード txt-record= を宣言することもできます。desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all」

次に、サービスを再起動します。

[root @ linuxbox〜] #service dnsmasq restart
[root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT メール。desdelinux。ファンレター。desdelinux.fan はのエイリアスです desdelinux。ファン。
desdelinux.fan 説明文「v=spf1 a:mail.desdelinux.fan -all」

自己署名証明書とApacheまたはhttpd

あなたのブラウザがあなたにそれを言ったとしても«の所有者 郵便物。desdelinux。ファン Webサイトを正しく構成していません。 あなたの情報が盗まれるのを防ぐために、Firefoxはこのウェブサイトに接続していません」、以前に生成された証明書 それは有効です、および証明書を受け入れた後、クライアントとサーバー間の資格情報が暗号化されて移動できるようにします。

必要に応じて、証明書を統合する方法として、Postfixで宣言したのと同じ証明書をApacheで宣言できます。これは正しいことです。

[root @ linuxbox〜]# nano /etc/httpd/conf.d/ssl.conf
SSL証明書ファイル /etc/pki/tls/certs/desdelinux.fan.crt
SSL証明書キーファイル /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox〜]# サービスhttpdが再起動
[root @ linuxbox〜]# サービスhttpdステータス

ディフィーヘルマングループ

セキュリティの問題は、インターネット上で日々難しくなっています。 接続に対する最も一般的な攻撃のXNUMXつ SSL、は ログジャム それを防ぐには、SSL構成に非標準のパラメーターを追加する必要があります。 このためにあります RFC-3526 «より冪剰余(MODP) Diffie-Hellman グループヘッド インターネットキーエクスチェンジ(IKE)用"

[root @ linuxbox〜] #cd / etc / pki / tls /
[root @ linuxbox tls] #openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] #chmod 600 private / dhparams.pem

インストールしたApacheのバージョンに応じて、ファイルのDiffie-Helmanグループを使用します /etc/pki/tls/dhparams.pem。 バージョン2.4.8以降の場合は、ファイルに追加する必要があります /etc/httpd/conf.d/ssl.conf 次の行:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

使用しているApacheのバージョンは次のとおりです。

[root @ linuxbox tls] #yum info httpd
ロードされたプラグイン:fastestmirror、langpacksキャッシュされたhostfileからのミラー速度のロードインストールされたパッケージ名前:httpdアーキテクチャ:x86_64
バージョン:2.4.6
リリース:45.el7.centosサイズ:9.4 Mリポジトリ:インストール済みリポジトリから:Base-Repo概要:Apache HTTPサーバーURL:http://httpd.apache.org/ライセンス:ASL 2.0説明:ApacheHTTPサーバーは強力です、効率的、かつ拡張可能:Webサーバー。

2.4.8より前のバージョンがあるため、以前に生成されたCRT証明書の最後に、Diffie-Helmanグループのコンテンツを追加します。

[root @ linuxbox tls] #cat private / dhparams.pem >> 証明書/desdelinux.fan.crt

DHパラメータがCRT証明書に正しく追加されたことを確認する場合は、次のコマンドを実行します。

[root @ linuxbox tls] #cat private / dhparams.pem 
----- DHパラメータを開始します-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DHパラメータを終了-----

[root@linuxbox tls]# cat certs/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DHパラメータを終了-----

これらの変更後、Postfixおよびhttpdサービスを再起動する必要があります。

[root @ linuxbox tls] #service postfix restart
[root @ linuxbox tls]#サービスpostfixステータス
[root @ linuxbox tls] #service httpd restart
[root @ linuxbox tls] #service httpd status

TLS証明書にDiffie-HelmanGroupを含めると、HTTPSを介した接続が少し遅くなる可能性がありますが、セキュリティを追加する価値は十分にあります。

Squirrelmailをチェックしています

証明書が正しく生成され、コンソールコマンドで行ったように正しい動作を確認するために、ご希望のブラウザでURLを指定します http://mail.desdelinux.fan/webmail 対応する証明書を受け入れた後、Webクライアントに接続します。 HTTPプロトコルを指定しても、HTTPSにリダイレクトされることに注意してください。これは、CentOSがSquirrelmailに提供するデフォルトの構成によるものです。 ファイルを見る /etc/httpd/conf.d/squirrelmail.conf.

ユーザーメールボックスについて

DovecotはフォルダにIMAPメールボックスを作成します ホーム 各ユーザーの:

[root @ linuxbox〜] #ls -la /home/legolas/mail/.imap/
合計12drwxrwx ---。 5レゴラスメール4096月22日12:39。 drwx ------。 3レゴラレゴラ75月22日11:34 .. -rw -------。 1レゴラレゴラ72月22日11:34dovecot.mailbox.log -rw -------。 1レゴラレゴラ8月22日12:39 dovecot-uidvalidity -r --r --r--。 1レゴラレゴラ0月22日10:12dovecot-uidvalidity.5922f1d1 drwxrwx ---。 2レゴラスメール56月22日10:23INBOX drwx ------。 2レゴラレゴラ56月22日12:39drwxを送信------。 2レゴラレゴラ30月22日11:34ゴミ箱

それらは/ var / mail /にも保存されます

[root @ linuxbox〜] #less / var / mail / legolas
MAILER_DAEMON より Mon May 22 10:28:00 2017 Date: Mon, 22 May 2017 10:28:00 -0400 From: メール システム内部データ件名: このメッセージを削除しないでください -- フォルダー内部データ メッセージ ID: <1495463280@linuxbox> 。メールシステムソフトによって自動作成されます。削除すると大切なフォルダーのデータが失われ、初期値に戻って再作成されます。ルート@からdesdelinux.fan Mon May 22 10 47:10:2017 Return-Path:desdelinux.fan> X-オリジナル-宛先:legolas 配信先:legolas@desdelinux.fan 受信日: によって desdelinux.fan (Postfix、ユーザー ID 0 から) ID 7EA22C11FC57; 22 年 2017 月 10 日月曜日 47:10:0400 -22 (東部夏時間) 日付: 2017 年 10 月 47 日月曜日 10:0400:XNUMX -XNUMX 宛先: Legolas@desdelinux.fan 件名: テスト ユーザー エージェント: Heirloom mailx 12.5 7/5/10 MIME バージョン: 1.0 コンテンツ タイプ: text/plain; charset=us-ascii コンテンツ転送エンコーディング: 7 ビット メッセージ ID: <20170522144710.7EA22C11FC57@desdelinux.fan> 送信者: root@desdelinux.fan (root) X-UID: 7 ステータス: RO こんにちは。これはテストメッセージです、buzz@deslinux.fan からの月曜日 22 年 10 月 53 日 08:2017:XNUMX リターンパス: X-オリジナル-宛先:legolas@desdelinux.fan 配達先:legolas@desdelinux.fan を受け取りました: システム管理者から。desdelinux.fan (ゲートウェイ [172.16.10.1]) による desdelinuxESMTP ID C184DC11FC57 の .fan (Postfix)desdelinux.ファン>; Mon, 22 May 2017 10:53:08 -0400 (EDT) メッセージ ID: <739874.219379516-sendEmail@sysadmin> 差出人: "buzz@deslinux.fan"宛先: 「レゴラス@desdelinux。ファン"desdelinux.fan> 件名: こんにちは 日付: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/relative; border="----sendEmail-794889.899510057 の MIME 区切り文字
/ var / mail / legolas

PAMミニシリーズのまとめ

メールサーバーのコアを見て、セキュリティに少し重点を置きました。 この記事が、メールサーバーを手動で実装するのと同じくらい複雑で、間違いを犯しやすいトピックへのエントリポイントとして役立つことを願っています。

ファイルを正しく読み取れば、ローカルユーザー認証を使用します /etc/dovecot/conf.d/10-auth.conf、最終的には含まれていることがわかります-デフォルトで-システムユーザーの認証ファイル !auth-system.conf.extを含める。 正確には、このファイルはヘッダーで次のことを示しています。

[root @ linuxbox〜] #less /etc/dovecot/conf.d/auth-system.conf.ext
#システムユーザーの認証。 10-auth.confから含まれています。 ## # # PAM認証。 今日ではほとんどのシステムで好まれています。
#PAMは通常、userdbpasswdまたはuserdbstaticのいずれかで使用されます。 #注意:PAM認証が実際に機能するには、#/ etc / pam.d / dovecotファイルを作成する必要があります。 passdb {driver = pam#[session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ]#[cache_key = ] [ ] #args = dovecot}

そして他のファイルが存在します /etc/pam.d/dovecot:

[root @ linuxbox〜] #cat /etc/pam.d/dovecot 
#%PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth

PAM認証について何を伝えようとしていますか?

  • CentOS、Debian、Ubuntu、および他の多くのLinuxディストリビューションは、デフォルトでローカル認証が有効になっているPostifxとDovecotをインストールします。
  • インターネット上の多くの記事では、MySQL(最近ではMariaDB)を使用して、メールサーバーに関するユーザーやその他のデータを保存しています。 しかし、これらは数千人のユーザー向けのサーバーであり、数百人のユーザーがいる従来のSMEネットワーク向けではありません。
  • このミニシリーズで見たように、PAMによる認証は、ネットワークサービスが単一のサーバーで実行されている限り、ネットワークサービスを提供するために必要かつ十分です。
  • LDAPデータベースに格納されているユーザーは、ローカルユーザーであるかのようにマッピングでき、PAM認証を使用して、LDAPクライアントとして機能するさまざまなLinuxサーバーから中央認証サーバーにネットワークサービスを提供できます。 このようにして、中央のLDAPサーバーデータベースに格納されているユーザーの資格情報を処理します。ローカルユーザーでデータベースを維持することは必須ではありません。

次の冒険まで!


9コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ラガルト

    実際には、これは複数のsysadminに深刻な頭痛の種を与えるプロセスであると私は信じています。将来的には、自分のメールを管理したい人のためのリファレンスガイドになると確信しています。 postfix、dovecot、squirrelmailを統合するときのabcで..

    称賛に値する貢献をありがとうございました、

  2.   ダルコ

    セキュリティに関しては、PGPでMailpileを使用してみませんか? また、Roundcubeははるかに直感的なインターフェイスを備えており、PGPを統合することもできます。

  3.   マーティン

    3日前に投稿を読みました。ありがとうございます。 メールサーバーをインストールする予定はありませんが、証明書の作成を確認することは常に役立ちます。これは他のアプリケーションに役立ち、これらのチュートリアルはほとんど期限切れになりません(特に、centOSを使用する場合)。

  4.   フェデリコ

    Manuel Cillero:PostfixとDovecotに基づくメールサーバーの最小コアであるこの記事をブログにリンクしてくれてありがとう。

    トカゲ:いつものように、あなたの評価は非常に好評です。 ありがとうございました。

    Darko:私の記事のほとんどすべてで、「誰もが最も好きなプログラムでサービスを実装している」と多かれ少なかれ表現しています。 コメントありがとうございます。

    マーティン:記事を読んでくれてありがとう。それがあなたの仕事に役立つことを願っています。

  5.   ゾディアックカーブルス

    ものすごい記事の友達フェデリコ。 こんなにいいツトをありがとうございました。

  6.   アーチー

    メールを追加するたびにシステムユーザーを作成する必要がないように「仮想ユーザー」を使用しますが、すばらしいことです。多くの新しいことを学び、これが私が待っていたタイプの投稿です。

  7.   ウィリントン・アセベド・ルエダ

    良い午後、

    彼らは、fedoraディレクトリサーバー+ postifx + dovecot + thunderbirdまたはoutlookで同じものを作成することをお勧めします。

    部分的にはありますが、行き詰まっています。ドキュメントをコミュニティ @ に喜んで共有します。desdelinux

  8.   FICO

    3000回以上の訪問になるとは想像もしていませんでした!!!

    あいさつトカゲ!

  9.   ダークエンド

    優秀なチュートリアルの同僚。
    Samba10にマウントされたActiveDirectoryのユーザーがいるDebian4でそれを実行できますか?
    ほぼ同じだと思いますが、認証タイプを変更します。
    自己署名証明書の作成に専念するセクションは非常に興味深いものです。