Postfix + Dovecot + Squirrelmailおよびローカルユーザー-SMBネットワーク

シリーズの一般的なインデックス: SME向けのコンピュータネットワーク:はじめに

この記事はミニシリーズの続きであり、最後です。

こんにちは友達と友達!

たくさん 愛好家 彼らは独自のメールサーバーを持ちたいと思っています。 彼らは、「プライバシー」が疑問符の間にあるサーバーを使用したくありません。 小さなサーバーにサービスを実装する担当者は、このテーマの専門家ではなく、最初は将来の完全なメールサーバーのコアをインストールしようとします。 フルメールサーバーを作成するための「方程式」は、理解して適用するのが少し難しいということです。 😉

マージン注釈

  • メールサーバーに関係する各プログラムがどの機能を実行するかを明確にする必要があります。 最初のガイドとして、訪問するという宣言された目的を備えた一連の有用なリンクを提供します.
  • 完全なメールサービスを最初から手動で実装することは、このタイプのタスクを日常的に実行する「選ばれた」人でない限り、面倒なプロセスです。 メールサーバーは、一般的な方法で、個別に処理するさまざまなプログラムによって形成されます。 SMTP, POP / IMAP、メッセージのローカルストレージ、の処理に関連するタスク SPAM、アンチウイルスなど。 これらのプログラムはすべて、互いに正しく通信する必要があります。
  • ユーザーの管理方法に関するすべてまたは「ベストプラクティス」に適合するXNUMXつのサイズはありません。 メッセージを保存する場所と方法、またはすべてのコンポーネントをXNUMXつの全体として機能させる方法。
  • メールサーバーの組み立てと調整は、権限やファイルの所有者、特定のプロセスを担当するユーザーの選択、一部の難解な構成ファイルで発生する小さなエラーなどの問題で不快になる傾向があります。
  • 自分が何をしているのかをよく理解していない限り、最終的には安全でない、またはわずかに機能しないメールサーバーになります。 実装の最後にそれは機能しません、それはおそらく悪の少ない方になるでしょう。
  • メールサーバーの作り方については、インターネット上でたくさんのレシピを見つけることができます。 最も完全なもののXNUMXつ-私の非常に個人的な意見では-著者によって提供されたものです イヴァル・アブラハムセン 2017年XNUMX月の第XNUMX版で«GNU / Linuxシステムでメールサーバーを設定する方法"
  • 記事を読むこともお勧めします«Ubuntu 14.04のメールサーバー:Postfix、Dovecot、MySQL«, または«Ubuntu 16.04のメールサーバー:Postfix、Dovecot、MySQL"
  • 本当。 この点に関する最良のドキュメントは英語で見つけることができます。
    • 私たちはメールサーバーを忠実に指導することは決してありませんが 方法… 前の段落で述べたように、それを段階的に実行するという単なる事実は、私たちが直面することについて非常に良い考えを私たちに与えるでしょう。
  • ほんの数ステップで完全なメールサーバーが必要な場合は、画像をダウンロードできます iRedOS-0.6.0-CentOS-5.5-i386.iso、またはより現代的なものを探してください、それはiRedOSまたは iRedMail。 それは私が個人的にお勧めする方法です。

以下をインストールして構成します。

それはまだ行われていません:

少なくとも次のサービスはまだ実装されていません。

  • ポストグレイ:グレーリストのPostfixサーバーポリシーと迷惑メールを拒否します。
  • Amavisd-新しい:MTAと、ウイルススキャナーおよびコンテンツフィルターの間のインターフェイスを作成するスクリプト。
  • Clamavアンチウイルス:ウイルス対策スイート
  • SpamAssassinの:迷惑メールを抽出する
  • かみそり (パイザー):分散型の協調ネットワークを介したSPAMキャプチャ。 Vipul Razorネットワークは、ジャンクメールまたはSPAMの伝播の更新されたカタログを維持します。
  • DNSレコード「DomainKeysIdentifiedMail」または DKIM.

パッケージ postgrey、amavisd-new、clamav、spamassassin、razor y パイザー それらはプログラムリポジトリにあります。 プログラムもあります オープンキム.

  • DNSレコード「SPF」と「DKIM」の正しい宣言は、メールサーバーを稼働させたくない場合、望ましくないと宣言したい場合、またはSPAMやジャンクメールのプロデューサーとして、次のような他のメールサービスによって不可欠です。 Gmailの, Yああ, ホットメール、など.

初期チェック

この記事は、で始まる他の記事の続きであることを忘れないでください CentOS7でのSquid + PAM認証.

内部ネットワークに接続されたEns32LANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ゾーン=パブリック

[root @ linuxbox〜] #ifdown ens32 && ifup ens32

インターネットに接続されたEns34WANインターフェース

[root @ linuxbox〜] #nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00:0c:29:da:a3:e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0#ADSLルーターは#次のアドレスでこのインターフェースに接続されていますゲートウェイIP = 172.16.10.1ドメイン= desdelinux.fan DNS1 = 127.0.0.1
ゾーン=外部

LANからのDNS解決

[root @ linuxbox〜]#cat / etc / resolv.conf検索fromlinux.fanネームサーバー127.0.0.1ネームサーバー172.16.10.30 [root @ linuxbox〜]#ホストメール
mail.desdelinux.fanは、linuxbox.desdelinux.fanのエイリアスです。 linuxbox.desdelinux.fanのアドレスは192.168.10.5です。linuxbox.desdelinux.fanメールは1つのmail.desdelinux.fanによって処理されます。

[root @ linuxbox〜] #host mail.fromlinux.fan
mail.desdelinux.fanは、linuxbox.desdelinux.fanのエイリアスです。 linuxbox.desdelinux.fanのアドレスは192.168.10.5です。linuxbox.desdelinux.fanメールは1つのmail.desdelinux.fanによって処理されます。

インターネットからのDNS解決

buzz @ sysadmin:〜$ host mail.fromlinux.fan 172.16.10.30
ドメインサーバーの使用:名前:172.16.10.30アドレス:172.16.10.30#53エイリアス:mail.desdelinux.fanはdesdelinux.fanのエイリアスです。
linux.fanからのアドレスは172.16.10.10です
desdelinux.fanメールは10mail.desdelinux.fanによって処理されます。

ホスト名「desdelinux.fan」をローカルで解決する際の問題

ホスト名の解決に問題がある場合«fromlinux.fan" から LAN、ファイル行をコメントアウトしてみてください /etc/dnsmasq.conf 宣言されている場所 ローカル= / linux.fanから/。 その後、Dnsmasqを再起動します。

[root @ linuxbox〜] #nano /etc/dnsmasq.conf#以下の行にコメントしてください:
#ローカル= / desdelinux.fan /

[root @ linuxbox〜] #service dnsmasq restart
/ bin / systemctl restartdnsmasq.serviceにリダイレクトします

[root @ linuxbox〜] #service dnsmasq status

[root @ linuxbox〜]#linux.fanのホスト
desdelinux.fanのアドレスは172.16.10.10です。desdelinux.fanメールは10mail.desdelinux.fanによって処理されます。

PostfixとDovecot

PostfixとDovecotの非常に広範なドキュメントは次の場所にあります。

[root @ linuxbox〜] #ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt COMPATIBILITY main.cf.defaultTLS_ACKNOWLEDGEMENTSの例README_FILESTLS_LICENSE

[root @ linuxbox〜] #ls /usr/share/doc/dovecot-2.2.10/
AUTHORS COPYING.MIT dovecot-openssl.cnf NEWS wiki COPYING ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

CentOS 7では、インフラストラクチャサーバーオプションを選択すると、PostfixMTAがデフォルトでインストールされます。 SELinuxコンテキストがローカルメッセージキューのPotfixへの書き込みを許可していることを確認する必要があります。

[root @ linuxbox〜] #getsebool -a | grep postfix
postfix_local_write_mail_spool-> on

FirewallDでの変更

グラフィカルインターフェイスを使用してFirewallDを設定するには、ゾーンごとに次のサービスとポートが有効になっていることを確認する必要があります。

#------------------------------------------------- -----
#FirewallDの修正
#------------------------------------------------- -----
#ファイアウォール
#パブリックゾーン:http、https、imap、pop3、smtpサービス
#パブリックゾーン:ポート80、443、143、110、25

#外部ゾーン:http、https、imap、pop3s、smtpサービス
#外部ゾーン:ポート80、443、143、995、25

Dovecotと必要なプログラムをインストールします

[root @ linuxbox〜] #yum install dovecot mod_ssl procmail telnet

最小Dovecot構成

[root @ linuxbox〜] #nano /etc/dovecot/dovecot.conf
プロトコル = imap pop3 lmtp
聞く = *、::
login_greeting = Dovecotの準備ができました!

Dovecotのプレーンテキスト認証を明示的に無効にします。

[root @ linuxbox〜] #nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = はい

Dovecotとやり取りするために必要な権限と、メッセージの場所をグループに宣言します。

[root @ linuxbox〜] #nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox:〜/ mail:INBOX = / var / mail /%u
mail_privileged_group = メール
mail_access_groups =メール

ダブコットの証明書

Dovecotは、ファイル内のデータに基づいてテスト証明書を自動的に生成します /etc/pki/dovecot/dovecot-openssl.cnf。 要件に従って新しい証明書を生成するには、次の手順を実行する必要があります。

[root @ linuxbox〜] #cd / etc / pki / dovecot /
[root @ linuxbox dovecot] #nano dovecot-openssl.cnf
[req] default_bits = 1024 crypto_key = yes Distinguished_name = req_dn x509_extensions = cert_type prompt = no [req_dn]#国(2文字のコード)C = CU#州または県の名前(フルネーム)ST =キューバ#地域名(例:都市)L = Habana#組織(例:Company)O = FromLinux.Fan#組織単位名(例:セクション)OU = Enthusiasts#共通名(* .example.comも可能)CN = *。Desdelinux.fan#E -メール連絡先emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = server

テスト証明書を排除します

[root @ linuxbox dovecot] #rm certs / dovecot.pem 
rm:通常のファイル「certs / dovecot.pem」を削除しますか? (y / n)y
[root @ linuxbox dovecot] #rm private / dovecot.pem 
rm:通常のファイル「private / dovecot.pem」を削除しますか? (y / n)y

スクリプトをコピーして実行します mkcert.sh ドキュメントディレクトリから

[root @ linuxbox dovecot]#cp / usr / share / doc / dovecot-2.2.10 / mkcert.sh。 [root @ linuxbox dovecot] #bash mkcert.sh 
1024ビットのRSA秘密鍵を生成する...... ++++++ ................ ++++++新しい秘密鍵を '/ etc /に書き込むpki / dovecot / private / dovecot.pem '-----サブジェクト= / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *。desdelinux.fan/emailAddress= buzz@desdelinux.fanSHA1フィンガープリント= 5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] #ls -l certs /
合計4-rw -------。 1ルートルート1029月22日16:08dovecot.pem
[root @ linuxbox dovecot] #ls -l private /
合計4-rw -------。 1ルートルート916月22日16:08dovecot.pem

[root @ linuxbox dovecot] #service dovecot restart
[root @ linuxbox dovecot]#サービスdovecotステータス

Postfixの証明書

[root @ linuxbox〜] #cd / etc / pki / tls / [root @ linuxbox tls] #openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyoutプライベート/desdelinux.fan.key

4096ビットのRSA秘密鍵の生成......... ++ .. ++新しい秘密鍵の 'private /domain.tld.key'への書き込み-----情報の入力を求められようとしていますそれはあなたの証明書要求に組み込まれます。 入力しようとしているのは、いわゆる識別名またはDNです。 かなりの数のフィールドがありますが、空白のままにすることができます。一部のフィールドにはデフォルト値があります。「。」と入力すると、フィールドは空白のままになります。 -----国名(2文字コード)[XX]:CU州または州名(フルネーム)[]:キューバ地域名(例:市)[デフォルトの市]:ハバナ組織名(例:会社)[ Default Company Ltd]:desdeLinux.Fan組織単位名(例:セクション)[]:Entusiasts共通名(例:名前またはサーバーのホスト名)[]:desdelinux.fan電子メールアドレス[]:buzz@desdelinux.fan

最小限のPostfix設定

ファイルの最後に追加します /etc/aliases 次:

ルート:バズ

変更を有効にするには、次のコマンドを実行します。

[root @ linuxbox〜] #newaliases

Postifxの構成は、ファイルを直接編集することで実行できます /etc/postfix/main.cf またはコマンドによって postconf -e 変更または追加するすべてのパラメーターがコンソールのXNUMX行に反映されるように注意してください。

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
[root @ linuxbox〜] #postconf -e'myhostname = desdelinux.fan '
[root @ linuxbox〜] #postconf -e'mydomain = desdelinux.fan '
[root @ linuxbox〜] #postconf -e'myorigin = $ mydomain '
[root @ linuxbox〜] #postconf -e'inet_interfaces = all '
[root @ linuxbox〜] #postconf -e'mydestination = $ myhostname、localhost。$ mydomain、localhost、$ mydomain、mail。$ mydomain、www。$ mydomain、ftp。$ mydomain '

[root @ linuxbox〜] #postconf -e'mynetworks = 192.168.10.0/24、172.16.10.0/24、127.0.0.0/8 '
[root @ linuxbox〜] #postconf -e'mailbox_command = / usr / bin / procmail -a "$ EXTENSION" '
[root @ linuxbox〜] #postconf -e'smtpd_banner = $ myhostname ESMTP $ mail_name($ mail_version) '

ファイルの最後に追加します /etc/postfix/main.cf 以下に示すオプション。 それぞれの意味を知るために、付属のドキュメントを読むことをお勧めします。

biff =いいえ
append_dot_mydomain = いいえ
delay_warning_time = 4 時間
readme_directory =いいえ
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls =はい
smtpd_tls_session_cache_database = btree:$ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree:$ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

#最大メールボックスサイズ1024メガバイト= 1gおよびga
メールボックスサイズ制限= 1073741824

receive_delimiter = +
maximal_queue_lifetime = 7d
header_checks = regexp:/ etc / postfix / header_checks
body_checks = regexp:/ etc / postfix / body_checks

#受信メールのコピーを別のアカウントに送信するアカウント
receive_bcc_maps = hash:/ etc / postfix / accounts_forwarding_copy

次の行は、誰がメールを送信して他のサーバーにリレーできるかを判断するために重要です。これにより、認証されていないユーザーがメールを送信できる「オープンリレー」を誤って構成することがなくなります。 各オプションの意味を理解するには、Postfixヘルプページを参照する必要があります。

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
smtpd_helo_restrictions = permit_mynetworks、
 warn_if_reject react_non_fqdn_hostname、
 react_invalid_hostname、
 許可

smtpd_sender_restrictions = permit_sasl_authenticated、
 permit_mynetworks、
 warn_if_reject react_non_fqdn_sender、
 require_unknown_sender_domain、
 require_unauth_pipelining、
 許可

smtpd_client_restrictions = require_rbl_client sbl.spamhaus.org、
 react_rbl_client blackholes.easynet.nl

#注:オプション「check_policy_serviceinet:127.0.0.1:10023」
#Postgreyプログラムを有効にしますが、含めるべきではありません
#それ以外の場合はPostgreyを使用します

smtpd_recipient_restrictions = require_unauth_pipelining、
 permit_mynetworks、
 permit_sasl_authenticated、
 require_non_fqdn_recipient、
 react_unknown_recipient_domain、
 react_unauth_destination、
 check_policy_service inet:127.0.0.1:10023、
 許可

smtpd_data_restrictions = require_unauth_pipelining

smtpd_relay_restrictions = react_unauth_pipelining、
 permit_mynetworks、
 permit_sasl_authenticated、
 require_non_fqdn_recipient、
 react_unknown_recipient_domain、
 react_unauth_destination、
 check_policy_service inet:127.0.0.1:10023、
 許可
 
smtpd_helo_required =はい
smtpd_delay_reject =はい
disable_vrfy_command = はい

ファイルを作成します / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy、ファイルを変更します / etc / postfix / header_checks.

  • 一人一人が理解し、必要とするオプションを宣言する必要があります!.
[root @ linuxbox〜] #nano / etc / postfix / body_checks
#このファイルが変更された場合、#postmapを実行する必要はありません#ルールをテストするには、rootとして実行します。# postmap -q'super new v1agra 'regexp:/ etc / postfix / body_checks
#戻る必要があります:# ルール#2アンチスパムメッセージ本文を拒否します
/バイアグラ/拒否ルール#1メッセージ本文のスパム対策
/ super new v [i1] agra / REJECT Rule#2 AntiSpamメッセージ本文

[root @ linuxbox〜] #nano / etc / postfix / accounts_forwarding_copy
#変更後、以下を実行する必要があります:# postmap / etc / postfix / accounts_forwarding_copy
#ファイルが作成または測定されます:# /etc/postfix/cuentas_reenviando_copia.db
#------------------------------------------#XNUMXつのアカウントを転送するBCCコピー#BCC =ブラックカーボンコピー#例:#webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox〜]# postmap / etc / postfix / accounts_forwarding_copy

[root @ linuxbox〜]# nano / etc / postfix / header_checks
#ファイルの最後に追加#正規表現であるため、ポストマップは必要ありません
/ ^件名:=?Big5?/ REJECT中国語のエンコーディングはこのサーバーでは受け入れられません
/ ^件名:=?EUC-KR?/ REJECT韓国語エンコーディングはこのサーバーでは許可されていません
/ ^件名:ADV:/このサーバーで受け入れられない広告を拒否する
/^From:.*\@.*\.cn/ REJECT申し訳ありませんが、ここでは中国語のメールは許可されていません
/^From:.*\@.*\.kr/ REJECT申し訳ありませんが、韓国のメールはここでは許可されていません
/^From:.*\@.*\.tr/ REJECT申し訳ありませんが、トルコのメールはここでは許可されていません
/^From:.*\@.*\.ro/ REJECT申し訳ありませんが、ルーマニアのメールはここでは許可されていません
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge |ステルスから[^。] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite)\ b / REJECT大量のメーラーは許可されていません。
/ ^ From: "spammer / REJECT
/ ^差出人: "スパム/拒否
/^Subject:.*viagra/ 破棄
#危険な拡張機能
/ name = [^>Iluminación* \。(bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs)/拒否拒否これらの拡張子を持つ添付ファイルは受け付けていません。

構文を確認し、ApacheとPostifxを再起動し、Dovecotを有効にして起動します

[root @ linuxbox〜] #postfixチェック
[root @ linuxbox〜]#

[root @ linuxbox〜] #systemctl restart httpd
[root @ linuxbox〜] #systemctl status httpd

[root @ linuxbox〜] #systemctl restart postfix
[root @ linuxbox〜] #systemctl status postfix

[root @ linuxbox〜] #systemctl status dovecot
●dovecot.service-DovecotIMAP / POP3電子メールサーバーロード済み:ロード済み(/usr/lib/systemd/system/dovecot.service;無効;ベンダープリセット:無効)アクティブ:非アクティブ(デッド)

[root @ linuxbox〜] #systemctl enable dovecot
[root @ linuxbox〜] #systemctl start dovecot
[root @ linuxbox〜] #systemctl restart dovecot
[root @ linuxbox〜] #systemctl status dovecot

コンソールレベルのチェック

  • 他のプログラムのインストールと構成を続行する前に、SMTPおよびPOPサービスの必要最小限のチェックを行うことが非常に重要です。.

サーバー自体からローカル

ローカルユーザーにメールを送信します レゴラス.

[root @ linuxbox〜] #echo "こんにちは。これはテストメッセージです" | mail -s "Test" legolas

のメールボックスを確認します レゴラ。

[root @ linuxbox〜] #openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

メッセージの後 Dovecotの準備ができました! 続行します:

---
+ OK Dovecotの準備ができました!
USERレゴラス+ OKPASSレゴラス+ OKログインしました。 STAT + OK 1 559 LIST + OK 1メッセージ:1。 RETR 559 + OK 1オクテットリターンパス: X-Original-To:legolas配信先:legolas@desdelinux.fan受信:desdelinux.fan(Postfix、ユーザーID 559から)id 0EA7C22FC11; 57年22月2017日月曜日10:47:10-0400(EDT)日付:22年2017月10日月曜日47:10:0400 -12.5宛先:legolas@desdelinux.fan件名:ユーザーエージェントテスト:Heirloom mailx 7 5/10 / 1.0 MIME-バージョン:7コンテンツタイプ:テキスト/プレーン; charset = us-ascii Content-Transfer-Encoding:20170522144710.7bit Message-Id:<22EA11C57FCXNUMX@desdelinux.fan> From:root@desdelinux.fan(root)こんにちは。 これはテストメッセージです。 終了しました
[root @ linuxbox〜]#

LAN上のコンピューターからのリモート

別のメッセージをに送信しましょう レゴラス LAN上の別のコンピューターから。 TLSセキュリティはSMEネットワーク内で厳密に必要なわけではないことに注意してください。

buzz @ sysadmin:〜$ sendemail -f buzz@deslinux.fan \
-tレゴラス@ desdelinux.fan \
-u「こんにちは」\
-m「友達のバズからレゴラスに挨拶」\
-s mail.desdelinux.fan -o tls = no
22月10日53:08:5866sysadmin sendemail [XNUMX]:メールが正常に送信されました。

を介して接続しようとすると telnet LAN上のホストから(もちろんインターネットから)Dovecotまで、プレーンテキスト認証を無効にするため、次のことが起こります。

buzz @ sysadmin:〜$ telnet mail.fromlinux.fan 110を試す..。
linuxbox.fromlinux.fanに接続しました。 エスケープ文字は「^]」です。 + OK Dovecotの準備ができました! ユーザーレゴラス
-ERR [AUTH]非セキュア(SSL / TLS)接続ではプレーンテキスト認証は許可されていません。
quit + OKログアウト外部ホストによって接続が閉じられました。
バズ@sysadmin:〜$

私たちはそれをしなければなりません opensslの。 コマンドの完全な出力は次のようになります。

buzz @ sysadmin:〜$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
CONNECTED(00000003)
深さ= 0 C = CU、ST =キューバ、L =ハバナ、O = FromLinux.Fan、OU =愛好家、CN = * .fromlinux.fan、emailAddress = buzz@desdelinux.fan
検証エラー:num = 18:自己署名証明書検証リターン:1
深さ= 0 C = CU、ST =キューバ、L =ハバナ、O = FromLinux.Fan、OU =愛好家、CN = * .fromlinux.fan、emailAddress = buzz@fromlinux.fan検証リターン:1
---証明書チェーン0秒:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*。Desdelinux.fan/emailAddress=buzz@desdelinux.fani:/ C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *。desdelinux.fan/ emailAddress = buzz@desdelinux.fan---サーバー証明書----- BEGIN CERTIFICATE-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnkをm2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END証明書サブジェクト= / C = CU / ST =キューバ/ L =ハバナ/ O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *。Desdelinux .fan / emailAddress = buzz @ desdelinux.fan ---クライアント証明書CA名は送信されませんサーバー一時キー:ECDH、secp384r1、384ビット--- SSLハンドシェイクは1342バイトを読み取り、411バイトを書き込みました---新規、TLSv1 / SSLv3 、暗号はECDHE-RSA-AES256-GCM-SHA384サーバー公開鍵は1024ビットセキュア再ネゴシエーションがサポートされています圧縮:なし拡張:なしSSL-セッション:プロトコル:TLSv1.2暗号:ECDHE-RSA-AES256-GCM-SHA384セッション- ID:C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73AセッションID-ctx:マスターキー:1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5キーのArg:なしkrb5の校長:なしPSK 300アイデンティティ:なしPSKアイデンティティヒント:HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4キーのArg:なしkrb7の校長:なし1 PSKアイデンティティ:なしPSKアイデンティティヒント:HS XNUMX TLSセッションXNUMX秒Nonec XNUMXチケットセッションF XNUMX XNUMX XNUMX F秒XNUMX FXNUMXFXNUMXチケットec XNUMXe XNUMXc N:。)zOcr ... O ..〜。
 0010-2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8、........ 〜.mE..。
 0020-db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86。:........ hn...。
 0030-08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040-89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(...... z).w。 "​​。
 0050-bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28。\。A ..... 1'fz.Q(0060-b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35..5。+ ....... e..5 0070-38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1....。 ..。
 0080-f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..、。Q 0090-7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <。

+ OK Dovecotの準備ができました!
ユーザーレゴラス
+ OK
PASSレゴラス
+ OKログインしました。
LIST
+ OK 1メッセージ:1。
RETR 1
+ OK 1021オクテットリターンパス: X-Original-To:legolas@desdelinux.fan配信先:legolas@desdelinux.fan受信:sysadmin.desdelinux.fan(ゲートウェイ[172.16.10.1])からdesdelinux.fan(Postfix)、ESMTP ID 51886C11E8C0 for ; 22年2017月15日月曜日09:11:0400-919362.931369932(EDT)メッセージID:<22-sendEmail @ sysadmin>差出人: "buzz@deslinux.fan" 宛先:「legolas@desdelinux.fan」 件名:こんにちは日付:2017年19月09日月曜日11:0000:1.56 +1.0 X-Mailer:sendEmail-365707.724894495 MIME-Version:1.0 Content-Type:multipart / related; border = "---- sendEmailのMIME区切り文字-365707.724894495"これはMIME形式のマルチパートメッセージです。 このメッセージを正しく表示するには、MIMEバージョン8859に準拠した電子メールプログラムが必要です。 ------ sendEmailのMIME区切り文字-1コンテンツタイプ:テキスト/プレーン; charset = "iso-7-365707.724894495" Content-Transfer-Encoding:XNUMXbit Greetings Legolas from your friend Buzz ------ sendEmailのMIME区切り文字-XNUMX--。
QUITを
+ OKログアウトします。 閉まっている
バズ@sysadmin:〜$

Squirrelmail

Squirrelmail は完全にPHPで書かれたWebクライアントです。 IMAPおよびSMTPプロトコルのネイティブPHPサポートが含まれており、使用中のさまざまなブラウザーとの最大の互換性を提供します。 どのIMAPサーバーでも正しく実行されます。 MIMEサポート、アドレスブック、フォルダ管理など、電子メールクライアントに必要なすべての機能を備えています。

[root @ linuxbox〜] #yum install squirrelmail
[root @ linuxbox〜] #service httpd restart

[root @ linuxbox〜] #nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox〜] #service httpd reload

DNS送信ポリシーフレームワークまたはSPFレコード

記事では NSD権威DNSサーバー+ショアウォール 「desdelinux.fan」ゾーンが次のように構成されていることがわかりました。

ルート@ns:〜#nano /etc/nsd/desdelinux.fan.zone
linux.fanからの$ ORIGIN。 $ TTL 3H @ IN SOAns.fromlinux.fan。 root.fromlinux.fan。 (1;シリアル1D;リフレッシュ1H;再試行1W;期限切れ3H); 最小または; 存続時間の負のキャッシュ。 @ IN NSns.fromlinux.fan。 @ IN MX 10mail.fromlinux.fan。
@ IN TXT "v = spf1 a:mail.desdelinux.fan -all"
; ; linux.fan @ IN A172.16.10.10からのdigクエリを解決するためのログ。 ns IN A 172.16.10.30linux.fanからのCNAMEのメール。 linux.fanからCNAMEでチャットします。 linux.fanのwwwINCNAME。 ; ; XMPPに関連するSRVレコード
_xmpp-server._tcp IN SRV 0 0 5269(linux.fanから)。 _xmpp-client._tcp IN SRV 0 0 5222(linux.fanから)。 _jabber._tcp IN SRV 0 0 5269(linux.fanから)。

その中でレジストリは宣言されています:

@ IN TXT "v = spf1 a:mail.desdelinux.fan -all"

SMEネットワークまたはLANに同じパラメーターを構成するには、Dnsmasq構成ファイルを次のように変更する必要があります。

#TXTレコード。 SPFレコードを宣言することもできますtxt-record = desdelinux.fan、 "v = spf1 a:mail.desdelinux.fan-all"

次に、サービスを再起動します。

[root @ linuxbox〜] #service dnsmasq restart
[root @ linuxbox〜] #service dnsmasq status [root @ linuxbox〜] #host -t TXT mail.fromlinux.fan mail.fromlinux.fanは、fromlinux.fanのエイリアスです。 desdelinux.fan説明テキスト "v = spf1 a:mail.desdelinux.fan -all"

自己署名証明書とApacheまたはhttpd

あなたのブラウザがあなたにそれを言ったとしても«の所有者 mail.fromlinux.fan Webサイトを正しく構成していません。 あなたの情報が盗まれるのを防ぐために、Firefoxはこのウェブサイトに接続していません」、以前に生成された証明書 それは有効です、および証明書を受け入れた後、クライアントとサーバー間の資格情報が暗号化されて移動できるようにします。

必要に応じて、証明書を統合する方法として、Postfixで宣言したのと同じ証明書をApacheで宣言できます。これは正しいことです。

[root @ linuxbox〜]# nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox〜]# サービスhttpdが再起動
[root @ linuxbox〜]# サービスhttpdステータス

ディフィーヘルマングループ

セキュリティの問題は、インターネット上で日々難しくなっています。 接続に対する最も一般的な攻撃のXNUMXつ SSL、は ログジャム それを防ぐには、SSL構成に非標準のパラメーターを追加する必要があります。 このためにあります RFC-3526 «より冪剰余(MODP) Diffie-Hellman グループヘッド インターネットキーエクスチェンジ(IKE)用"

[root @ linuxbox〜] #cd / etc / pki / tls /
[root @ linuxbox tls] #openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] #chmod 600 private / dhparams.pem

インストールしたApacheのバージョンに応じて、ファイルのDiffie-Helmanグループを使用します /etc/pki/tls/dhparams.pem。 バージョン2.4.8以降の場合は、ファイルに追加する必要があります /etc/httpd/conf.d/ssl.conf 次の行:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

使用しているApacheのバージョンは次のとおりです。

[root @ linuxbox tls] #yum info httpd
ロードされたプラグイン:fastestmirror、langpacksキャッシュされたhostfileからのミラー速度のロードインストールされたパッケージ名前:httpdアーキテクチャ:x86_64
バージョン:2.4.6
リリース:45.el7.centosサイズ:9.4 Mリポジトリ:インストール済みリポジトリから:Base-Repo概要:Apache HTTPサーバーURL:http://httpd.apache.org/ライセンス:ASL 2.0説明:ApacheHTTPサーバーは強力です、効率的、かつ拡張可能:Webサーバー。

2.4.8より前のバージョンがあるため、以前に生成されたCRT証明書の最後に、Diffie-Helmanグループのコンテンツを追加します。

[root @ linuxbox tls] #cat private / dhparams.pem >> certs / desdelinux.fan.crt

DHパラメータがCRT証明書に正しく追加されたことを確認する場合は、次のコマンドを実行します。

[root @ linuxbox tls] #cat private / dhparams.pem 
----- DHパラメータを開始します-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DHパラメータを終了-----

[root @ linuxbox tls] #cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DHパラメータを終了-----

これらの変更後、Postfixおよびhttpdサービスを再起動する必要があります。

[root @ linuxbox tls] #service postfix restart
[root @ linuxbox tls]#サービスpostfixステータス
[root @ linuxbox tls] #service httpd restart
[root @ linuxbox tls] #service httpd status

TLS証明書にDiffie-HelmanGroupを含めると、HTTPSを介した接続が少し遅くなる可能性がありますが、セキュリティを追加する価値は十分にあります。

Squirrelmailをチェックしています

証明書が正しく生成され、コンソールコマンドで行ったように正しい動作を確認するために、ご希望のブラウザでURLを指定します http://mail.desdelinux.fan/webmail 対応する証明書を受け入れた後、Webクライアントに接続します。 HTTPプロトコルを指定しても、HTTPSにリダイレクトされることに注意してください。これは、CentOSがSquirrelmailに提供するデフォルトの構成によるものです。 ファイルを見る /etc/httpd/conf.d/squirrelmail.conf.

ユーザーメールボックスについて

DovecotはフォルダにIMAPメールボックスを作成します ホーム 各ユーザーの:

[root @ linuxbox〜] #ls -la /home/legolas/mail/.imap/
合計12drwxrwx ---。 5レゴラスメール4096月22日12:39。 drwx ------。 3レゴラレゴラ75月22日11:34 .. -rw -------。 1レゴラレゴラ72月22日11:34dovecot.mailbox.log -rw -------。 1レゴラレゴラ8月22日12:39 dovecot-uidvalidity -r --r --r--。 1レゴラレゴラ0月22日10:12dovecot-uidvalidity.5922f1d1 drwxrwx ---。 2レゴラスメール56月22日10:23INBOX drwx ------。 2レゴラレゴラ56月22日12:39drwxを送信------。 2レゴラレゴラ30月22日11:34ゴミ箱

それらは/ var / mail /にも保存されます

[root @ linuxbox〜] #less / var / mail / legolas
MAILER_DAEMONから22年10月28日月曜日00:2017:22日付:2017年10月28日月曜日00:0400:1495463280 -1495462351差出人:メールシステム内部データ件名:このメッセージを削除しないでください-フォルダ内部データメッセージID:<0000000008 @ linuxbox> X-IMAP:22 10ステータス:ROこのテキストはメールフォルダの内部形式の一部であり、実際のメッセージではありません。 メールシステムソフトウェアによって自動的に作成されます。 削除すると重要なフォルダデータが失われ、データが初期値にリセットされて再作成されます。 root@desdelinux.fanからMonMay 47 10:2017:0 7 Return-Path: X-Original-To:legolas配信先:legolas@desdelinux.fan受信:desdelinux.fan(Postfix、ユーザーID 22から)id 11EA57C22FC2017; 10年47月10日月曜日0400:22:2017-10(EDT)日付:47年10月0400日月曜日12.5:7:5 -10宛先:legolas@desdelinux.fan件名:ユーザーエージェントテスト:Heirloom mailx 1.0 7/20170522144710.7 / 22 MIME-バージョン:11コンテンツタイプ:テキスト/プレーン; charset = us-ascii Content-Transfer-Encoding:57bit Message-Id:<7EA22C10FC53@desdelinux.fan> From:root@desdelinux.fan(root)X-UID:08 Status:ROHello。 これはbuzz@deslinux.fanからのテストメッセージです月2017月172.16.10.1日184:11:57リターンパス: X-オリジナル-宛先:legolas@desdelinux.fan配信先:legolas@desdelinux.fan受信:sysadmin.desdelinux.fan(ゲートウェイ[22])からdesdelinux.fan(Postfix)、ESMTP ID C2017DC10FC53 for ; 08年0400月739874.219379516日月曜日22:2017:14-53(EDT)メッセージID:<08-sendEmail@sysadmin>差出人: "buzz@deslinux.fan" 宛先:「legolas@desdelinux.fan」 件名:こんにちは日付:0000年1.56月1.0日月曜日794889.899510057:XNUMX:XNUMX +XNUMX X-Mailer:sendEmail-XNUMX MIME-Version:XNUMX Content-Type:multipart / related; border = "---- sendEmailのMIME区切り文字-XNUMX
/ var / mail / legolas

PAMミニシリーズのまとめ

メールサーバーのコアを見て、セキュリティに少し重点を置きました。 この記事が、メールサーバーを手動で実装するのと同じくらい複雑で、間違いを犯しやすいトピックへのエントリポイントとして役立つことを願っています。

ファイルを正しく読み取れば、ローカルユーザー認証を使用します /etc/dovecot/conf.d/10-auth.conf、最終的には含まれていることがわかります-デフォルトで-システムユーザーの認証ファイル !auth-system.conf.extを含める。 正確には、このファイルはヘッダーで次のことを示しています。

[root @ linuxbox〜] #less /etc/dovecot/conf.d/auth-system.conf.ext
#システムユーザーの認証。 10-auth.confから含まれています。 ## # # PAM認証。 今日ではほとんどのシステムで好まれています。
#PAMは通常、userdbpasswdまたはuserdbstaticのいずれかで使用されます。 #注意:PAM認証が実際に機能するには、#/ etc / pam.d / dovecotファイルを作成する必要があります。 passdb {driver = pam#[session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ]#[cache_key = ] [ ] #args = dovecot}

そして他のファイルが存在します /etc/pam.d/dovecot:

[root @ linuxbox〜] #cat /etc/pam.d/dovecot 
#%PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth

PAM認証について何を伝えようとしていますか?

  • CentOS、Debian、Ubuntu、および他の多くのLinuxディストリビューションは、デフォルトでローカル認証が有効になっているPostifxとDovecotをインストールします。
  • インターネット上の多くの記事では、MySQL(最近ではMariaDB)を使用して、メールサーバーに関するユーザーやその他のデータを保存しています。 しかし、これらは数千人のユーザー向けのサーバーであり、数百人のユーザーがいる従来のSMEネットワーク向けではありません。
  • このミニシリーズで見たように、PAMによる認証は、ネットワークサービスが単一のサーバーで実行されている限り、ネットワークサービスを提供するために必要かつ十分です。
  • LDAPデータベースに格納されているユーザーは、ローカルユーザーであるかのようにマッピングでき、PAM認証を使用して、LDAPクライアントとして機能するさまざまなLinuxサーバーから中央認証サーバーにネットワークサービスを提供できます。 このようにして、中央のLDAPサーバーデータベースに格納されているユーザーの資格情報を処理します。ローカルユーザーでデータベースを維持することは必須ではありません。

次の冒険まで!


記事の内容は、次の原則に準拠しています。 編集倫理。 エラーを報告するには、 ここで.

9コメント、あなたのコメントを残してください

コメントを残す

あなたのメールアドレスが公開されることはありません。 必須フィールドには付いています *

*

*

  1. データの責任者:MiguelÁngelGatón
  2. データの目的:SPAMの制御、コメント管理。
  3. 正当化:あなたの同意
  4. データの伝達:法的義務がある場合を除き、データが第三者に伝達されることはありません。
  5. データストレージ:Occentus Networks(EU)がホストするデータベース
  6. 権利:いつでも情報を制限、回復、削除できます。

  1.   ラガルト

    実際には、これは複数のsysadminに深刻な頭痛の種を与えるプロセスであると私は信じています。将来的には、自分のメールを管理したい人のためのリファレンスガイドになると確信しています。 postfix、dovecot、squirrelmailを統合するときのabcで..

    称賛に値する貢献をありがとうございました、

  2.   ダルコ

    セキュリティに関しては、PGPでMailpileを使用してみませんか? また、Roundcubeははるかに直感的なインターフェイスを備えており、PGPを統合することもできます。

  3.   マーティン

    3日前に投稿を読みました。ありがとうございます。 メールサーバーをインストールする予定はありませんが、証明書の作成を確認することは常に役立ちます。これは他のアプリケーションに役立ち、これらのチュートリアルはほとんど期限切れになりません(特に、centOSを使用する場合)。

  4.   フェデリコ

    Manuel Cillero:PostfixとDovecotに基づくメールサーバーの最小コアであるこの記事をブログにリンクしてくれてありがとう。

    トカゲ:いつものように、あなたの評価は非常に好評です。 ありがとうございました。

    Darko:私の記事のほとんどすべてで、「誰もが最も好きなプログラムでサービスを実装している」と多かれ少なかれ表現しています。 コメントありがとうございます。

    マーティン:記事を読んでくれてありがとう。それがあなたの仕事に役立つことを願っています。

  5.   ゾディアックカーブルス

    ものすごい記事の友達フェデリコ。 こんなにいいツトをありがとうございました。

  6.   アーチー

    メールを追加するたびにシステムユーザーを作成する必要がないように「仮想ユーザー」を使用しますが、すばらしいことです。多くの新しいことを学び、これが私が待っていたタイプの投稿です。

  7.   ウィリントン・アセベド・ルエダ

    良い午後、

    彼らは、fedoraディレクトリサーバー+ postifx + dovecot + thunderbirdまたはoutlookで同じものを作成することをお勧めします。

    私には一部がありますが、行き詰まっています。ドキュメントを@desdelinuxコミュニティに喜んで共有します。

  8.   FICO

    3000回以上の訪問になるとは想像もしていませんでした!!!

    あいさつトカゲ!

  9.   ダークエンド

    優秀なチュートリアルの同僚。
    Samba10にマウントされたActiveDirectoryのユーザーがいるDebian4でそれを実行できますか?
    ほぼ同じだと思いますが、認証タイプを変更します。
    自己署名証明書の作成に専念するセクションは非常に興味深いものです。