Postfix + Dovecot + Squirrelmail და ადგილობრივი მომხმარებლები - მცირე და საშუალო ბიზნესის ქსელები

სერიის ზოგადი ინდექსი: კომპიუტერული ქსელები მცირე და საშუალო ბიზნესისთვის: შესავალი

ეს სტატია არის მინიერის სერიის გაგრძელება და ბოლო:

გამარჯობა მეგობრებო და მეგობრებო!

L ენთუზიასტები მათ სურთ ჰქონდეთ საკუთარი ფოსტის სერვერი. მათ არ სურთ გამოიყენონ სერვერები, სადაც "კონფიდენციალურობა" კითხვის ნიშნებს შორის არის. თქვენს პატარა სერვერზე მომსახურების განხორციელებაზე პასუხისმგებელი პირი არ არის ამ საკითხის სპეციალისტი და თავდაპირველად შეეცდება დააყენოს მომავალი და სრული ფოსტის სერვერი. სრული ფოსტის სერვერის შესაქმნელად "განტოლებები" ცოტათი გასაგები და გამოყენებითია. 😉

ინდექსი

მარჟის ანოტაციები

  • აუცილებელია იმის გარკვევა, თუ რომელ ფუნქციებს ასრულებს Mailserver- ში ჩართული თითოეული პროგრამა. როგორც თავდაპირველი სახელმძღვანელო, ჩვენ გთავაზობთ სასარგებლო კავშირების მთელ რიგს დეკლარირებული მიზნის მისაღწევად, რომ ისინი მოინახულებენ.
  • სრული ფოსტის სერვისის ხელით განხორციელება და ნულიდან დამღლელი პროცესია, თუ თქვენ არ ხართ იმ ”რჩეულთა ”განი, ვინც ამ ტიპის დავალებებს ყოველდღიურად ასრულებს. ფოსტის სერვერი, ძირითადად, შედგება სხვადასხვა პროგრამებისაგან, რომლებიც ცალკე მუშაობენ SMTP, POP / IMAP, შეტყობინებების ადგილობრივი შენახვა, ამოცანები, რომლებიც მკურნალობასთან არის დაკავშირებული SPAM, ანტივირუსული და ა.შ. ყველა ეს პროგრამა სწორად უნდა დაუკავშირდეს ერთმანეთს.
  • არ არსებობს ერთიანი ან "საუკეთესო პრაქტიკა" მომხმარებლების მართვის შესახებ; სად და როგორ უნდა შეინახოთ შეტყობინებები, ან როგორ უნდა გავაკეთოთ ყველა კომპონენტი, როგორც ერთიანი მთლიანობა.
  • Mailserver- ის აწყობა და სრულყოფა საზიზღარია ისეთ საკითხებში, როგორიცაა ფაილის ნებართვები და მფლობელები, არჩევისას რომელი მომხმარებელი დაევალება გარკვეულ პროცესს და ზოგიერთ ეზოთერულ კონფიგურაციის ფაილში დაშვებულ მცირე შეცდომებში.
  • სანამ კარგად არ იცით რას აკეთებთ, საბოლოო შედეგი იქნება არასაიმედო ან ოდნავ არაფუნქციური ფოსტის სერვერი. რომ განხორციელების ბოლოს ეს არ იმუშავებს, ეს შესაძლოა იყოს ბოროტების ნაკლები.
  • ინტერნეტში შეგვიძლია ვიპოვოთ უამრავი რეცეპტი, თუ როგორ უნდა გააკეთოთ ფოსტის სერვერი. ერთ-ერთი ყველაზე სრულყოფილი -ჩემი ძალიან პირადი აზრით- ავტორის მიერ შემოთავაზებული ივარ აბრაჰამსენი 2017 წლის იანვრის მეცამეტე გამოცემაშიროგორ უნდა დააყენოთ საფოსტო სერვერი GNU / Linux სისტემაზე".
  • ჩვენ ასევე გირჩევთ წაიკითხოთ სტატია «საფოსტო სერვერი Ubuntu 14.04-ზე: Postfix, Dovecot, MySQL«, ან «საფოსტო სერვერი Ubuntu 16.04-ზე: Postfix, Dovecot, MySQL".
  • მართალია ამ მხრივ საუკეთესო დოკუმენტაცია შეგიძლიათ იხილოთ ინგლისურ ენაზე.
    • მიუხედავად იმისა, რომ ჩვენ არასოდეს ვქმნით Mailserver- ს, რომელიც ერთგულად ხელმძღვანელობს Როგორ ... წინა აბზაცში ნათქვამია, რომ მას ეტაპობრივად მივყვებით, ძალიან კარგ წარმოდგენას შეგვიქმნის იმის წინაშე, თუ რა წინაშე აღმოჩნდება.
  • თუ გსურთ გქონდეთ სრული Mailserver რამდენიმე ნაბიჯში, შეგიძლიათ ჩამოტვირთოთ სურათი iRedOS-0.6.0-CentOS-5.5-i386.iso, ან მოძებნეთ უფრო თანამედროვე, იქნება ეს iRedOS თუ iRedMail. ეს არის გზა, რომელსაც პირადად მე გირჩევთ.

ჩვენ ვაყენებთ დაყენებას და კონფიგურაციას:

  • postfix როგორც სერვერი Mail Transport Agent (SMTP).
  • მტრედი როგორც POP - IMAP სერვერი.
  • სერთიფიკატები კავშირის საშუალებით TLS.
  • ციყვი როგორც ვებ ინტერფეისი მომხმარებლებისთვის.
  • DNS ჩანაწერი შედარებით «გამგზავნის პოლიტიკის ჩარჩო»ან SPF.
  • მოდულის წარმოქმნა დიფი ჰელმანის ჯგუფი SSL სერთიფიკატების უსაფრთხოების გაზრდის მიზნით.

რჩება გასაკეთებელი:

მინიმუმ შემდეგი სერვისები უნდა დარჩეს განსახორციელებლად:

  • პოსტგრეი: Postfix სერვერის წესები ნაცრისფერი სიებისთვის და უარყოს უსარგებლო ფოსტა.
  • ამავისდ-ახალი: სკრიპტი, რომელიც ქმნის ინტერფეისს MTA- ს და ვირუსის სკანერებსა და შინაარსის ფილტრებს შორის.
  • ანტივირუსული Clamav: ანტივირუსული პაკეტი
  • SpamAssassin: ამოიღეთ უსარგებლო ფოსტა
  • razor (პიზორი): სპამის აღება განაწილებული და კოლაბორაციული ქსელის საშუალებით. Vipul Razor ქსელი აწარმოებს უსარგებლო ფოსტის ან სპამის გამრავლების განახლებულ კატალოგს.
  • DNS ჩანაწერი "DomainKeys იდენტიფიცირებული ფოსტა" ან დკიმ.

პაკეტები პოსტგრეი, amavisd-new, clamav, spamassassin, razor y პიზორი ისინი გვხვდება პროგრამის საცავებში. ჩვენ ასევე ვიპოვით პროგრამას ოპენდკიმი.

  • DNS ჩანაწერების "SPF" და "DKIM" სწორი დეკლარაცია აუცილებელია, თუ არ გვინდა, რომ ჩვენი ახლად დაწყებული ფოსტის სერვერი გამოცხადდეს არასასურველად ან SPAM ან Junk Mail- ის მწარმოებელი, სხვა საფოსტო სერვისების მიერ Gmail, Yაჰოო, Hotmailდა ა.შ..

საწყისი შემოწმებები

გახსოვდეთ, რომ ეს სტატია არის სხვების გაგრძელება, რომლებიც იწყება Squid + PAM ავთენტიფიკაცია CentOS 7-ზე.

Ens32 LAN ინტერფეისი დაკავშირებულია შიდა ქსელთან

[root @ linuxbox] # nano / etc / sysconfig / ქსელის სკრიპტები / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = საზოგადოება

[root @ linuxbox] # ifdown ens32 && ifup ens32

Ens34 WAN ინტერფეისი ინტერნეტთან არის დაკავშირებული

[root @ linuxbox] # nano / etc / sysconfig / ქსელის სკრიპტები / ifcfg-ens34
DEVICE = ens34 ONBOOT = დიახ BOOTPROTO = სტატიკური HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = არა IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL როუტერი უკავშირდება # ამ ინტერფეისს # შემდეგი მისამართით GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = გარე

DNS რეზოლუცია LAN– დან

[root @ linuxbox] # cat /etc/resolv.conf ძიება linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # მასპინძელი ფოსტა
mail.desdelinux.fan არის მეტსახელი linuxbox.desdelinux.fan- ისთვის. linuxbox.desdelinux.fan მისამართი აქვს 192.168.10.5 linuxbox.desdelinux.fan ფოსტა ამუშავებს 1 mail.desdelinux.fan.

[root @ linuxbox] # მასპინძელი mail.fromlinux.fan
mail.desdelinux.fan არის მეტსახელი linuxbox.desdelinux.fan- ისთვის. linuxbox.desdelinux.fan მისამართი აქვს 192.168.10.5 linuxbox.desdelinux.fan ფოსტა ამუშავებს 1 mail.desdelinux.fan.

DNS რეზოლუცია ინტერნეტიდან

buzz @ sysadmin: host $ host mail.fromlinux.fan 172.16.10.30
დომენის სერვერის გამოყენება: სახელი: 172.16.10.30 მისამართი: 172.16.10.30 # 53 მეტსახელები: mail.desdelinux.fan არის მეტსახელი desdelinux.fan.
linux.fan– დან აქვს მისამართი 172.16.10.10
desdelinux.fan ფოსტას ამუშავებს 10 mail.desdelinux.fan.

პრობლემები ხდება ჰოსტის სახელის "desdelinux.fan" გადაჭრის ადგილზე

თუ მასპინძლის სახელის გადაჭრის პრობლემები გაქვთ «fromlinux.fan" დან LAN, სცადეთ კომენტარი გააკეთოთ ფაილის სტრიქონზე /და ა.შ./dnsmasq.conf სადაც იგი დეკლარირებულია ადგილობრივი = / linux.fan- დან /. ამის შემდეგ, გადატვირთეთ Dnsmasq.

[root @ linuxbox] # nano /etc/dnsmasq.conf # კომენტარი გააკეთეთ ქვემოთ მოცემულ სტრიქონზე:
# ადგილობრივი = / desdelinux.fan /

[root @ linuxbox] # სერვისი dnsmasq გადატვირთეთ
გადამისამართება / bin / systemctl გადატვირთეთ dnsmasq.service

[root @ linuxbox] # სერვისი dnsmasq სტატუსი

[root @ linuxbox] # მასპინძელი linux.fan– დან
desdelinux.fan მისამართი აქვს 172.16.10.10 desdelinux.fan ფოსტა ამუშავებს 10 mail.desdelinux.fan.

Postfix და Dovecot

Postfix და Dovecot– ის ძალიან ვრცელი დოკუმენტაცია შეგიძლიათ იხილოთ შემდეგ ვებ – გვერდზე:

[root @ linuxbox] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt თავსებადობა main.cf.default TLS_ACKNOWLEDGEMENTS მაგალითები README_FILES TLS_LICENSE

[root @ linuxbox] # ls /usr/share/doc/dovecot-2.2.10/
AUTHORS COPYING.MIT dovecot-openssl.cnf სიახლეები wiki კოპირება ChangeLog მაგალითად-კონფიგურაცია README COPYING.LGPL დოკუმენტაცია.txt mkcert.sh solr-schema.xml

CentOS 7 – ში, Postfix MTA სტანდარტულად არის დაინსტალირებული, როდესაც ვირჩევთ ინფრასტრუქტურის სერვერის ვარიანტს. ჩვენ უნდა შეამოწმოთ, რომ SELinux კონტექსტი საშუალებას აძლევს წერილებს Potfix– ს ადგილობრივი შეტყობინებების რიგში:

[root @ linuxbox] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

ცვლილებები FirewallD- ში

გრაფიკული ინტერფეისის გამოყენებით FirewallD კონფიგურაციისთვის, ჩვენ უნდა დავრწმუნდეთ, რომ თითოეული ზონისთვის შემდეგი სერვისები და პორტებია ჩართული:

# ----------------------------------------------------- -----
# აფიქსირებს FirewallD– ს
# ----------------------------------------------------- -----
# ბუხარი
# საზოგადოებრივი ზონა: http, https, imap, pop3, smtp სერვისები
# საზოგადოებრივი ზონა: პორტები 80, 443, 143, 110, 25

# გარე ზონა: http, https, imap, pop3s, smtp სერვისები
# გარე ზონა: პორტები 80, 443, 143, 995, 25

ჩვენ ვაყენებთ Dovecot- ს და საჭირო პროგრამებს

[root @ linuxbox] # yum დააინსტალირეთ dovecot mod_ssl ტელნეტის პროკლამა

მინიმალური Dovecot კონფიგურაცია

[root @ linuxbox] # nano / და ა.შ. / dovecot/dovecot.conf
ოქმები = imap pop3 lmtp
მოვუსმინოთ = *, ::
შესვლა_სალამი = Dovecot მზად არის!

ჩვენ აშკარად გავთიშავთ Dovecot- ის მარტივი ტექსტის ავტორიზაციას:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-auth.conf 
გამორთვა_პაექტური_აუთი = დიახ

ჩვენ ვაცხადებთ ჯგუფს Dovecot- თან ურთიერთობისთვის საჭირო პრივილეგიებით და შეტყობინებების ადგილმდებარეობით:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / ფოსტა: INBOX = / var / mail /% u
mail_privileged_group = ფოსტა
mail_access_groups = ფოსტა

სერთიფიკატები Dovecot- ისთვის

Dovecot ავტომატურად ქმნის თქვენს ტესტის სერთიფიკატებს ფაილში მოცემული მონაცემების საფუძველზე /etc/pki/dovecot/dovecot-openssl.cnf. ჩვენი მოთხოვნების შესაბამისად გენერირებული ახალი სერთიფიკატების მისაღებად უნდა შევასრულოთ შემდეგი ნაბიჯები:

[root @ linuxbox] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = დიახ გამორჩეული_ სახელი = req_dn x509_extensions = სერტიფიკატის ტიპი = არა [req_dn] # ქვეყანა (2 ასოს კოდი) C = CU # შტატის ან პროვინციის სახელი (სრული სახელი) ST = კუბა # ადგილობრივი დასახლების სახელი (მაგ. ქალაქი ) L = Habana # ორგანიზაცია (მაგ. კომპანია) O = FromLinux.Fan # ორგანიზაციული ერთეულის სახელი (მაგ. განყოფილება) OU = ენთუზიასტები # საერთო სახელი (*. მაგალითად. Com ასევე შესაძლებელია) CN = *. Desdelinux.fan # E ელ.ფოსტით საკონტაქტო ელ.ფოსტაAddress=buzz@desdelinux.fan [cert_type] nsCertType = სერვერი

ჩვენ გამოვრიცხავთ ტესტის სერთიფიკატებს

[root @ linuxbox dovecot] # rm სერთიფიკატი / dovecot.pem 
rm: წაშალოთ ჩვეულებრივი ფაილი "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: წაშალოთ ჩვეულებრივი ფაილი "private / dovecot.pem"? (y / n) y

ჩვენ ვაკოპირებთ და ვასრულებთ სკრიპტს mkcert.შ დოკუმენტაციის დირექტორიიდან

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 ბიტიანი RSA პირადი გასაღების გენერირება ...... ++++++ ................ ++++++ წერა ახალი პირადი გასაღების "/ და ა.შ." pki / dovecot / private / dovecot.pem '----- საგანი = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 თითის ანაბეჭდი = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ლ-ს სერტიფიკატი /
სულ 4 -rw -------. 1 ფესვის ფესვი 1029 22 მაისი 16:08 dovecot.pem
[root @ linuxbox dovecot] # ლ-ლ პირადი /
სულ 4 -rw -------. 1 ფესვის ფესვი 916 22 მაისი 16:08 dovecot.pem

[root @ linuxbox dovecot] # სერვისის მტრედის გადატვირთვა
[root @ linuxbox dovecot] # სერვისის სტატუსის მტრედი

სერთიფიკატები Postfix- ისთვის

[root @ linuxbox] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes-newkey rsa: 4096 -დღიანი 1825 \ -out სერთიფიკატები / desdelinux.fan.crt -keyout private / desdelinux.fan.key

4096 ბიტიანი RSA პირადი გასაღების გენერირება ......... ++ .. ++ ახალი შეტყობინების გასაღების დაწერა "private / domain.tld.key" - სთვის - თქვენ აპირებთ ინფორმაციის შეყვანას. ეს ჩაირთვება თქვენს სერთიფიკატის მოთხოვნაში. რას აპირებთ შეიყვანოთ არის რასაც უწოდებენ გამორჩეულ სახელს ან DN. საკმაოდ ბევრი ველია, მაგრამ შეგიძლიათ დატოვოთ ცარიელი ზოგიერთ ველში იქნება ნაგულისხმევი მნიშვნელობა, თუ შეიყვანეთ '.', ველი ცარიელი დარჩება. ----- ქვეყნის სახელი (2 ასო კოდი) [XX]: CU შტატი ან პროვინციის სახელი (სრული სახელი) []: კუბის რაიონის სახელი (მაგ., ქალაქი) [ნაგულისხმევი ქალაქი]: ჰაბანას ორგანიზაციის სახელი (მაგ., კომპანია) [ Default Company Ltd]: FromLinux.Fan ორგანიზაციული ერთეულის სახელი (მაგ., სექცია) []: ენთუზიასტების საერთო სახელი (მაგ., თქვენი სახელი ან თქვენი სერვერის ჰოსტის სახელი) []: desdelinux.fan ელ.ფოსტის მისამართი []: buzz@desdelinux.fan

მინიმალური Postfix კონფიგურაცია

ჩვენ დავამატებთ ფაილის ბოლოს / ა.შ. / მეტსახელები შემდეგი:

ფესვი: ზუზუნი

ცვლილებების ძალაში შესასრულებლად ჩვენ ვასრულებთ შემდეგ ბრძანებას:

[root @ linuxbox] # ახალი სახელი

Postifx კონფიგურაციის გაკეთება შესაძლებელია ფაილის უშუალო რედაქტირებით /და ა.შ/postfix/main.cf ან ბრძანებით პოსტკონფ -ე იზრუნეთ იმაზე, რომ ყველა პარამეტრი, რომლის შეცვლა ან დამატებაც გვსურს, აისახოს კონსოლის ერთ ხაზზე:

  • თითოეულმა უნდა განაცხადოს საკუთარი თავისთვის გასაგები და საჭირო ვარიანტების შესახებ..
[root @ linuxbox] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox] # postconf -e 'inet_interfaces = ყველა'
[root @ linuxbox] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, ფოსტა. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox] # postconf -e 'mailbox_command = / usr / bin / procmail - "$ EXTENSION"'
[root @ linuxbox] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

ჩვენ დავამატებთ ფაილის ბოლოს /და ა.შ/postfix/main.cf ქვემოთ მოცემული ვარიანტები. თითოეული მათგანის მნიშვნელობა რომ იცოდეთ, გირჩევთ წაიკითხოთ თანდართული დოკუმენტაცია.

ბიფი = არა
append_dot_mydomain = არა
დაგვიანებით_გაფრთხილების დრო = 4 სთ
readme_directory = არა
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = დიახ
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restriction = allow_mynetworks allow_sasl_ ავთენტიფიცირებული გადავადების_ნოუტის_დანიშნულების

# საფოსტო ყუთის მაქსიმალური ზომა 1024 მეგაბაიტი = 1 გ და გ
საფოსტო ყუთის ზომა_limit = 1073741824

მიმღები_დელიმიტერი = +
მაქსიმალური_წყალი_ სიცოცხლის = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# ანგარიშები, რომლებიც შემოსული ფოსტის ასლს აგზავნიან სხვა ანგარიშზე
recipient_bcc_maps = hash: / etc / postfix / ანგარიშები_ გადამისამართება_ ასლი

შემდეგი ხაზები მნიშვნელოვანია იმის დასადგენად, თუ ვის შეუძლია გააგზავნოს ფოსტა და სარელეო სხვა სერვერებს, ასე რომ, ჩვენ შემთხვევით არ შევქმნით კონფიგურაციას "ღია სარელეო", რომელიც საშუალებას მისცემს არააიდენტიფიცირებულ მომხმარებლებს გაგზავნონ ფოსტა. ჩვენ უნდა გავეცნოთ Postfix დახმარების გვერდებს, რომ გავიგოთ რას ნიშნავს თითოეული ვარიანტი.

  • თითოეულმა უნდა განაცხადოს საკუთარი თავისთვის გასაგები და საჭირო ვარიანტების შესახებ..
smtpd_helo_ შეზღუდვები = ნებართვის_მ ქსელები,
 გაფრთხილება, თუ უარყოფს უარყოფს_ არა_ფყდნ_ სახელს,
 უარყოს_ არასწორი_სახელი,
 ნებართვა

smtpd_sender_ შეზღუდვები = ნებართვის_სასლ_ ავტორიზაცია,
 allow_mynetworks,
 გაფრთხილება, თუ უარყოფს უარყოფს_ არა_fqdn_ გამგზავნი,
 უარყოს_უცნობი_ გამგზავნი_დომენი,
 უარი თქვას მილსადენის მიწოდებაზე,
 ნებართვა

smtpd_client_restriction = უარყო_რბლ_ კლიენტი sbl.spamhaus.org,
 rej_rbl_client blackholes.easynet.nl

# შენიშვნა: ვარიანტი "შეამოწმეთ_პოლიტიკური_მომსახურების სერვისი: 127.0.0.1: 10023"
# საშუალებას აძლევს Postgrey პროგრამას და არ უნდა ჩავრთოთ იგი
# წინააღმდეგ შემთხვევაში ჩვენ ვაპირებთ გამოვიყენოთ Postgrey

smtpd_recipient_restriction = უარყოს_უარსი_ მილსადენი,
 allow_mynetworks,
 ნებართვის_ასლის ავტორიზაცია,
 უარყო_ არა_ფქდნ_ მიმღები,
 უარყოს_უცნობი_ მიმღები_ დომენი,
 უარყოს_ადამიანური_ დანიშნულება,
 check_policy_service inet: 127.0.0.1: 10023,
 ნებართვა

smtpd_data_restriction = უარყოს_უარსი_ მილსადენი

smtpd_relay_ შეზღუდვები = უარი თქვით მილსადენის მიწოდებაზე,
 allow_mynetworks,
 ნებართვის_ასლის ავტორიზაცია,
 უარყო_ არა_ფქდნ_ მიმღები,
 უარყოს_უცნობი_ მიმღები_ დომენი,
 უარყოს_ადამიანური_ დანიშნულება,
 check_policy_service inet: 127.0.0.1: 10023,
 ნებართვა
 
smtpd_helo_ მოითხოვა = დიახ
smtpd_delay_reject = დიახ
disable_vrfy_command = დიახ

ჩვენ ვქმნით ფაილებს / etc / postfix / body_checks y / etc / postfix / Accounts_forwarding_copy, და ჩვენ ვცვლით ფაილს / etc / postfix / header_checks.

  • თითოეულმა უნდა განაცხადოს საკუთარი თავისთვის გასაგები და საჭირო ვარიანტების შესახებ..
[root @ linuxbox] # nano / etc / postfix / body_checks
# თუ ეს ფაილი შეცვლილია, არ არის საჭირო # საფოსტო რუკის გასაშვებად # წესების შესამოწმებლად გამოიყენეთ როგორც root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# უნდა დაბრუნდეს: # უარყოს წესი # 2 ანტი სპამი შეტყობინებების ტექსტი
/ viagra / უარყოს წესი # 1 შეტყობინების ტექსტი სპამის საწინააღმდეგოდ
/ super new v [i1] agra / უარი თქვას წესის # 2 შეტყობინების ტექსტის ანტი სპამი

[root @ linuxbox] # nano / etc / postfix / accounts_forwarding_copy
# შეცვლის შემდეგ, თქვენ უნდა შეასრულოთ: # საფოსტო რუქა / etc / postfix / ანგარიშები_ გადამისამართება_ ასლი
# და ფაილი იქმნება ან იზომება: # /და ა.შ.postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # ერთი ანგარიში, რომლის გადამისამართებაც ხდება BCC ასლი # BCC = შავი ნახშირბადის ასლი # მაგალითი: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox] # საფოსტო რუქა / etc / postfix / ანგარიშები_ გადამისამართება_ ასლი

[root @ linuxbox] # nano / etc / postfix / header_checks
# ფაილის ბოლოს დაამატეთ # არ საჭიროებს საფოსტო რუკას, რადგან ისინი რეგულარული გამოსახულებებია
/ ^ თემა: =? Big5? / უარი თქვას ჩინურ კოდირებაზე, რომელიც ამ სერვერმა არ მიიღო
/ ^ თემა: =? EUC-KR? / REJECT კორეული კოდირება დაუშვებელია ამ სერვერის მიერ
/ ^ თემა: ADV: / უარი თქვას ამ სერვერის მიერ მიღებულ რეკლამებზე
/^ დან :.*\@.*\.cn/ უარყოფს უკაცრავად, ჩინური ფოსტა აქ არ დაიშვება
/^ დან :.*\@.*\.kr/ უარყოფს უკაცრავად, კორეული ფოსტა აქ არ დაიშვება
/^ დან :.*\@.*\.tr/ უარყოფა უკაცრავად, თურქული ფოსტა აქ არ დაიშვება
/^ დან :.*\@.*\.ro/ უარყოფს უკაცრავად, რუმინეთის ფოსტა აქ არ დაიშვება
/^( მიღებულია| შეტყობინება- Id| X-( მაილერი..სენდერი)):.** b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | ელექტრონული შერწყმა | სტელსიდან [^.] | გლობალური მესენჯერი | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | სწრაფი კადრი | Read Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT მასობრივი ფოსტის გაგზავნა დაუშვებელია.
/ From საწყისი: ”სპამერი / უარყოფ
/ From აქედან: "spam / REJECT
/^ თემა :.*viagra / DISCARD
# საშიში გაგრძელება
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT ჩვენ არ ვიღებთ დანართებს ამ გაფართოებებთან

ჩვენ შეამოწმეთ სინტაქსი, გადატვირთეთ Apache და Postifx და ჩართეთ და დავიწყეთ Dovecot

[root @ linuxbox] # გადამოწმების შემოწმება
[root @ linuxbox] #

[root @ linuxbox] # systemctl გადატვირთეთ httpd
[root @ linuxbox] # systemctl სტატუსი httpd

[root @ linuxbox] # systemctl გადატვირთეთ postfix
[root @ linuxbox] # systemctl სტატუსის გადაკეთება

[root @ linuxbox] # systemctl სტატუსის მტრედი
Ove dovecot.service - Dovecot IMAP / POP3 ელ.ფოსტის სერვერი დატვირთულია: ჩატვირთული (/usr/lib/systemd/system/dovecot.service; გამორთულია; გამყიდველის წინასწარ დაყენებული: გამორთულია) აქტიური: არააქტიური (მკვდარი)

[root @ linuxbox] # systemctl ჩართავს dovecot
[root @ linuxbox] # systemctl დაწყება dovecot
[root @ linuxbox] # systemctl გადატვირთეთ dovecot
[root @ linuxbox] # systemctl სტატუსის მტრედი

კონსოლის დონის შემოწმებები

  • ძალზე მნიშვნელოვანია, სანამ გააგრძელებთ სხვა პროგრამების ინსტალაციასა და კონფიგურაციას, SMTP და POP სერვისების მინიმალური შემოწმების ჩატარებას..

ადგილობრივი სერვერიდან

ჩვენ ელ.წერილს ვუგზავნით ადგილობრივ მომხმარებელს ლეგოლები.

[root @ linuxbox] # echo "გამარჯობა. ეს არის საცდელი შეტყობინება" | mail -s "Test" legolas

ჩვენ ვამოწმებთ საფოსტო ყუთს ლეგოლები.

[root @ linuxbox] # openssl s_client -crlf -კავშირება 127.0.0.1:110 -starttls pop3

შეტყობინების შემდეგ Dovecot მზად არის! ჩვენ გავაგრძელებთ:

---
+ კარგი Dovecot მზად არის!
მომხმარებელი legolas + OK PASS legolas + OK შესული. STAT + OK 1 559 LIST + OK 1 შეტყობინებები: 1 559. RETR 1 + OK 559 octets დაბრუნების გზა: X- ორიგინალი: legolas ჩაბარებულია: legolas@desdelinux.fan მიღებულია: desdelinux.fan (Postfix, userid 0) id 7EA22C11FC57; ორშაბათი, 22 წლის 2017 მაისი 10:47:10 -0400 (EDT) თარიღი: ორშაბათი, 22 წლის 2017 მაისი 10:47:10 -0400 დან: legolas@desdelinux.fan თემა: მომხმარებლის აგენტის ტესტი: Heirloom mailx 12.5 7/5 / 10 MIME- ვერსია: 1.0 შინაარსის ტიპი: ტექსტი / სადა; charset = us-ascii შინაარსის გადაცემა-კოდირება: 7 ბიტიანი შეტყობინება-ID: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) გამარჯობა. ეს არის საცდელი შეტყობინება. დასრულდა
[root @ linuxbox] #

დისტანციური კომპიუტერიდან LAN- ზე

მოდით გავაგზავნოთ კიდევ ერთი შეტყობინება ლეგოლები სხვა კომპიუტერიდან LAN. გაითვალისწინეთ, რომ TLS უსაფრთხოება მკაცრად არ არის საჭირო მცირე და საშუალო ბიზნესის ქსელში.

buzz @ sysadmin: send $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "გამარჯობა" \
-m "მივესალმოთ ლეგოლასს თქვენი მეგობრისგან Buzz" \
-s mail.desdelinux.fan -o tls = არა
22 მაისი 10:53:08 sysadmin sendemail [5866]: ელ.ფოსტა წარმატებით გაიგზავნა!

თუ ჩვენ ვცდილობთ დაკავშირება მეშვეობით telnet LAN– ის მასპინძელიდან - ან, რა თქმა უნდა, ინტერნეტიდან - Dovecot– ით, მოხდება შემდეგი რამ, რადგან ჩვენ გამორთეთ მარტივი ტექსტის ავტორიზაცია:

buzz @ sysadmin: tel $ telnet mail.fromlinux.fan 110 ვცდილობ 192.168.10.5 ...
დაკავშირებულია linuxbox.fromlinux.fan- თან. გაქცევის სიმბოლოა '^]'. + კარგი Dovecot მზად არის! მომხმარებლის legolas
-ERR [AUTH] მარტივი ტექსტის ავტორიზაცია აკრძალულია არასაიმედო (SSL / TLS) კავშირებზე.
გასვლა + OK გამოსვლა კავშირი დახურულია უცხოელი მასპინძლის მიერ.
ხმაური @ sysadmin: $

ჩვენ ეს უნდა გავაკეთოთ openssl. ბრძანების სრული გამომავალი იქნება:

buzz @ sysadmin: ~ $ openssl s_client -crlf -დააკავშირეთ mail.fromlinux.fan:110 -starttls pop3
დაკავშირებული (00000003)
სიღრმე = 0 C = CU, ST = კუბა, L = ჰავანა, O = FromLinux.Fan, OU = ენთუზიასტები, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
შემოწმების შეცდომა: num = 18: თვითნებურად ხელმოწერილი სერთიფიკატი შემოწმების დაბრუნებას: 1
სიღრმე = 0 C = CU, ST = კუბა, L = ჰავანა, O = FromLinux.Fan, OU = ენთუზიასტები, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan შეამოწმეთ დაბრუნება: 1
--- სერთიფიკატების ქსელი 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C = CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- სერვერის სერთიფიკატი ----- სერთიფიკატის დაწყება - --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END მოწმობა სათაური = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan გამცემი = / C = CU / ST = კუბა / L = ჰაბანა / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- არ არის კლიენტის სერთიფიკატი CA სახელები გაგზავნილია სერვერის დროებითი გასაღები: ECDH, secp384r1, 384 ბიტი --- SSL ხელის ჩაწვდომამ წაიკითხა 1342 ბაიტი და დაწერილი 411 ბაიტი , შიფრი არის ECDHE-RSA-AES1-GCM-SHA3 სერვერის საჯარო გასაღები არის 256 ბიტიანი უსაფრთხო მოლაპარაკება. მხარდაჭერილია შეკუმშვა: არცერთი გაფართოება: არცერთი SSL სესია: ოქმი: TLSv384 შიფრი: ECDHE-RSA-AES1024-GCM-SHA1.2 სესია- ID: C256B384A745E4CB0236204DC16234CDBC15D9FF3F084125DB5989C5BF6E5295D4A Session-ID-ctx: Master-Key : 2D73C1904B204CEA564F76361AF50373AF8879D793C7F7506F04473777A6FD3503CD9F919BC1BFF837E67F29F309 Key-არგ: None Krb352526 ძირითადი: None PSK პირადობის: None PSK პირადობის მინიშნება: HS 5F5F300A0000FD4CD3F8BC29BFF7E4F63F72 Key-არგ: None Krb7 ძირითადი: None 6 PSK პირადობის: None PSK პირადობის მინიშნება: HS 4TLS სხდომაზე 7 წამი 1 f არც-XNUMX სხდომა XNUMX ტლფ XNUMX წამი ბილეთი fXNUMXfXNUMX ბილეთი ec XNUMXe XNUMXc N :.) zOcr ... O ...
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. "
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ კარგი Dovecot მზად არის!
მომხმარებლის ლეგოლები
+ კარგი
PASS ლეგოლები
+ OK შესული
LIST
+ OK 1 შეტყობინება: 1 1021.
RETR 1
+ OK 1021 octets დაბრუნების გზა: X- ორიგინალი: legolas@desdelinux.fan ჩაბარებულია: legolas@desdelinux.fan მიღებულია: sysadmin.desdelinux.fan (კარიბჭე [172.16.10.1]) მიერ desdelinux.fan (Postfix) ESMTP id 51886C11E8C0 for ; ორშაბათი, 22 წლის 2017 მაისი 15:09:11 -0400 (EDT) შეტყობინება-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" დან: "legolas@desdelinux.fan" თემა: გამარჯობა თარიღი: ორშაბათი, 22 წლის 2017 მაისი 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME- ვერსია: 1.0 შინაარსის ტიპი: multipart / დაკავშირებული; საზღვარი = "---- MIME გამყოფი მიმწოდებლისთვის sendEmail-365707.724894495" ეს არის მრავალმხრივი შეტყობინება MIME ფორმატში. ამ წერილის სწორად საჩვენებლად გჭირდებათ MIME-Version 1.0 შესაბამისი ელ.ფოსტის პროგრამა. ------ MIME გამიზნული sendEmail-365707.724894495 შინაარსის ტიპი: ტექსტი / სადა; charset = "iso-8859-1" შინაარსის გადაცემა-კოდირება: 7 ბიტიანი მისალოცი ლეგოლასი თქვენი მეგობრისგან Buzz ------ MIME გამიჯნული sendEmail-365707.724894495--.
გამოსვლა
+ კარგი გამოსვლა. დახურულია
ხმაური @ sysadmin: $

ციყვი

ციყვი არის ვებ – კლიენტი, რომელიც დაწერილია PHP– ით. იგი მოიცავს IMAP და SMTP პროტოკოლების ადგილობრივ PHP მხარდაჭერას და უზრუნველყოფს მაქსიმალურ შესაბამისობას გამოყენებულ სხვადასხვა ბრაუზერებთან. ის სწორად მუშაობს ნებისმიერ IMAP სერვერზე. მას აქვს ყველა ფუნქცია, რაც გჭირდებათ ელ.ფოსტის კლიენტისგან, მათ შორის MIME მხარდაჭერა, მისამართების წიგნი და საქაღალდეების მართვა.

[root @ linuxbox] # yum დააყენეთ squirrelmail
[root @ linuxbox] # სერვისი httpd გადატვირთეთ

[root @ linuxbox] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox] # სერვისი httpd გადატვირთეთ

DNS Send Policy Framenwork ან SPF ჩანაწერი

სტატიაში ავტორიტეტული DNS სერვერი NSD + Shorewall ჩვენ ვნახეთ, რომ "desdelinux.fan" ზონა კონფიგურირებულია შემდეგნაირად:

root @ ns: # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN linux.fan– დან. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; სერიული 1D; განახლება 1H; ცადეთ 1W; ვადა ამოიწურება 3H); მინიმალური ან; ნეგატიური ქეშირების დრო საცხოვრებლად; @ NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; შედით linux.fan @ IN A– დან 172.16.10.10– დან ამოჭრილი მოთხოვნების მოსაგვარებლად. ns IN 172.16.10.30 ფოსტა CNAME– დან linux.fan– დან. ესაუბრეთ CNAME– ზე linux.fan– ისგან. www IN CNAME– დან linux.fan– დან. ; ; SRV ჩანაწერები დაკავშირებული XMPP– სთან
_xmpp-server._tcp IN SRV 0 0 5269 linux.fan- ისგან. _xmpp-client._tcp IN SRV 0 0 5222 linux.fan- ისგან. _jabber._tcp IN SRV 0 0 5269 linux.fan- დან.

მასში რეგისტრირებულია:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

SME ქსელის ან LAN- სთვის იგივე პარამეტრის კონფიგურაციისთვის, ჩვენ უნდა შეცვალოთ Dnsmasq კონფიგურაციის ფაილი შემდეგნაირად:

# TXT ჩანაწერი. ჩვენ ასევე შეგვიძლია გამოვაცხადოთ SPF ჩანაწერი txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

შემდეგ ჩვენ ხელახლა ვიწყებთ მომსახურებას:

[root @ linuxbox] # სერვისი dnsmasq გადატვირთეთ
[root @ linuxbox] # სერვისი dnsmasq სტატუსი [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan მეტსახელია fromlinux.fan. desdelinux.fan აღწერითი ტექსტი "v = spf1 a: mail.desdelinux.fan -all"

ხელმოწერილი სერთიფიკატები და Apache ან httpd

მაშინაც კი, თუ თქვენი ბრაუზერი გითხრათ, რომ «მფლობელი ფოსტა.ფრომლინუქსი.ფანი თქვენი ვებსაიტი არასწორად გაქვთ კონფიგურირებული. თქვენი ინფორმაციის მოპარვის თავიდან ასაცილებლად, Firefox არ დაუკავშირა ამ ვებსაიტს ”, ეს იყო ადრე შექმნილი სერთიფიკატი ის მოქმედებს, და საშუალებას მისცემს სერთიფიკატებს კლიენტსა და სერვერს შორის იმოძრაოს დაშიფრული, მას შემდეგ რაც ჩვენ მივიღებთ სერთიფიკატს.

თუ გსურთ და როგორც სერთიფიკატების გაერთიანების საშუალება, შეგიძლიათ Apache– ს განუცხადოთ იგივე სერთიფიკატები, რაც თქვენ განაცხადეთ Postfix– ისთვის, რაც სწორია.

[root @ linuxbox] # ნანო/და ა.შ.httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile/და ასე შემდეგ/pki/tls/private/desdelinux.fan.key

[root @ linuxbox] # მომსახურება httpd გადატვირთეთ
[root @ linuxbox] # სერვისის httpd სტატუსი

დიფი-ჰელმანის ჯგუფი

უსაფრთხოების საგანი ყოველდღე რთულდება ინტერნეტში. კავშირებზე ერთ-ერთი ყველაზე გავრცელებული შეტევა SSL, არის ის ლოჯამი და მისგან დასაცავად საჭიროა SSL კონფიგურაციაში არასტანდარტული პარამეტრების დამატება. ამისათვის არსებობს RFC-3526 «უფრო მოდულური ექსპონენციალური (MODP) Diffie- ჯოჯოხეთი ჯგუფები ინტერნეტ გასაღებების გაცვლისთვის (IKE)".

[root @ linuxbox] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

ჩვენ მიერ დაინსტალირებული Apache ვერსიის მიხედვით, ჩვენ გამოვიყენებთ Diffie-Helman ჯგუფს ფაილიდან /etc/pki/tls/dhparams.pem. თუ ეს არის ვერსია 2.4.8 ან უფრო ახალი, მაშინ ჩვენ უნდა დავამატოთ ფაილი /და ა.შ.httpd/conf.d/ssl.conf შემდეგი ხაზი:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Apache ვერსია, რომელსაც ვიყენებთ არის:

[root @ linuxbox tls] # yum ინფორმაცია httpd
დატვირთული დანამატები: fastestmirror, langpacks სარკეების სიჩქარის ჩატვირთვა cached hostfile– დან დაყენებული პაკეტები სახელი: httpd არქიტექტურა: x86_64
ვერსია: 2.4.6
გამოცემა: 45.el7.centos ზომა: 9.4 M საცავი: დაინსტალირებული საცავისგან: Base-Repo რეზიუმე: Apache HTTP სერვერის URL: http://httpd.apache.org/ ლიცენზია: ASL 2.0 აღწერა: Apache HTTP სერვერი არის ძლიერი, ეფექტური და განვრცობადი: ვებ სერვერი.

როგორც ჩვენ გვაქვს ვერსია 2.4.8-მდე, ჩვენ დაამატეთ ადრე გამომუშავებული CRT ​​სერთიფიკატი Diffie-Helman Group- ის შინაარსს:

[root @ linuxbox tls] # კატა პირადი / dhparams.pem >> სერტიფიკატები / desdelinux.fan.crt

თუ გსურთ შეამოწმოთ, რომ DH პარამეტრები სწორად დაემატა CRT სერთიფიკატს, შეასრულეთ შემდეგი ბრძანებები:

[root @ linuxbox tls] # კატა პირადი / dhparams.pem 
----- დაიწყე DH პარამეტრი -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- დასრულდა DH პარამეტრი -----

[root @ linuxbox tls] # კატის სერტიფიკატი / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- დასრულდა DH პარამეტრი -----

ამ ცვლილებების შემდეგ, ჩვენ უნდა განვაახლოთ Postfix და httpd სერვისები:

[root @ linuxbox tls] # სერვისის გადატვირთვის შემდეგ გადატვირთვა
[root @ linuxbox tls] # სერვისის პოსტ – ფიქსის სტატუსი
[root @ linuxbox tls] # სერვისი httpd გადატვირთეთ
[root @ linuxbox tls] # სერვისის httpd სტატუსი

Diffie-Helman ჯგუფის ჩართვამ ჩვენს TLS სერთიფიკატებში შეიძლება HTTPS– ზე კავშირი შეანელა, მაგრამ უსაფრთხოების დამატებით ღირს.

Squirrelmail- ის შემოწმება

შემდეგ რომ სერთიფიკატები სწორად არის გენერირებული და რომ ჩვენ ვამოწმებთ მათ სწორად მუშაობას, როგორც კონსოლის ბრძანებების გამოყენებით, მიუთითეთ სასურველი ბრაუზერი URL- ზე http://mail.desdelinux.fan/webmail და ის დაუკავშირდება ვებ კლიენტს შესაბამისი სერტიფიკატის მიღების შემდეგ. გაითვალისწინეთ, რომ მიუხედავად იმისა, რომ მიუთითებთ HTTP პროტოკოლს, ის გადამისამართდება HTTPS– ზე და ეს გამოწვეულია ნაგულისხმევი პარამეტრებით, რომელსაც CentOS გთავაზობთ Squirrelmail– სთვის. იხილეთ ფაილი /და ა.შ.httpd/conf.d/squirrelmail.conf.

მომხმარებლის შესახებ mailboxes

Dovecot ქმნის IMAP საფოსტო ყუთებს საქაღალდეში მთავარი თითოეული მომხმარებლის:

[root @ linuxbox] # ls -la /home/legolas/mail/.imap/
სულ 12 drwxrwx ---. 5 ლეგოლას ფოსტა 4096 22 მაისი 12:39. drwx ------. 3 legolas legolas 75 22 მაისი 11:34 .. -rw -------. 1 legolas legolas 72 22 მაისი 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 მაისი 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 მაისი 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22 მაისი 10:23 INBOX drwx ------. 2 legolas legolas 56 22 მაისი 12:39 გაგზავნილი drwx ------. 2 legolas legolas 30 მაისი 22 11:34 ნაგავი

ისინი ასევე ინახება / var / mail /

[root @ linuxbox] # ნაკლები / var / ფოსტა / ლეგოლასი
MAILER_DAEMON- დან ორშაბათი, მაისი 22 10:28:00 2017 თარიღი: ორშაბათი, 22 მაისი 2017 10:28:00 -0400 მდებარეობა: ფოსტა სისტემის შიდა მონაცემები თემა: არ წაშალოთ ეს შეტყობინება - საქაღალდის შიდა მონაცემები - ID ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 სტატუსი: RO ეს ტექსტი თქვენი საფოსტო საქაღალდის შიდა ფორმატის ნაწილია და არ არის რეალური შეტყობინება. იგი ავტომატურად იქმნება საფოსტო სისტემის პროგრამულ უზრუნველყოფით. წაშლის შემთხვევაში, მნიშვნელოვანი საქაღალდის მონაცემები დაიკარგება და ის ხელახლა შეიქმნება მონაცემების თავდაპირველ მნიშვნელობებზე გადაყენებით. Root@desdelinux.fan ორშაბათი, 22 მაისი 10:47:10 2017 დაბრუნება-გზა: X- ორიგინალი: legolas მიწოდება: legolas@desdelinux.fan მიღებულია: desdelinux.fan (Postfix, userid 0) id 7EA22C11FC57; ორშაბათი, 22 წლის 2017 მაისი 10:47:10 -0400 (EDT) თარიღი: ორშაბათი, 22 წლის 2017 მაისი 10:47:10 -0400 დან: legolas@desdelinux.fan თემა: მომხმარებლის აგენტის ტესტი: Heirloom mailx 12.5 7/5 / 10 MIME- ვერსია: 1.0 შინაარსის ტიპი: ტექსტი / სადა; charset = us-ascii შინაარსის გადაცემა-კოდირება: 7 ბიტიანი შეტყობინება-ID: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 სტატუსი: RO გამარჯობა. ეს არის სატესტო შეტყობინება buzz@deslinux.fan ორშაბათს, 22 მაისი 10:53:08 2017 დაბრუნების გზა: X- ორიგინალი: legolas@desdelinux.fan ჩაბარებულია: legolas@desdelinux.fan მიღებულია: sysadmin.desdelinux.fan (კარიბჭე [172.16.10.1]) მიერ desdelinux.fan (Postfix) ESMTP ID C184DC11FC57 for ; ორშაბათი, 22 წლის 2017 მაისი 10:53:08 -0400 (EDT) შეტყობინება-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" დან: "legolas@desdelinux.fan" თემა: გამარჯობა თარიღი: ორშაბათი, 22 წლის 2017 მაისი 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME- ვერსია: 1.0 შინაარსის ტიპი: multipart / დაკავშირებული; საზღვარი = "---- MIME გამიჯნული sendEmail-794889.899510057
/ var / mail / legolas

PAM მინი-სერიის რეზიუმე

ჩვენ გადავხედეთ Mailserver- ის ბირთვს და ცოტა ყურადღება გავამახვილეთ უსაფრთხოებაზე. ვიმედოვნებთ, რომ სტატია იქნება თემა, ისევე რთული და შეცდომების დაშვების თემა, როგორც ფოსტის სერვერის ხელით განხორციელება.

ჩვენ ვიყენებთ ადგილობრივი მომხმარებლის ავტორიზაციას, რადგან თუ ფაილს სწორად ვკითხულობთ /etc/dovecot/conf.d/10-auth.conf, ვნახავთ, რომ ბოლოს იგი შედის -ნაგულისხმევი- სისტემის მომხმარებლების ავთენტიფიკაციის ფაილი მოიცავს auth-system.conf.ext. ზუსტად ეს ფაილი თავის სათაურში გვეუბნება:

[root @ linuxbox] # ნაკლები / და ა.შ. / dovecot/conf.d/auth-system.conf.ext
# ავტორიზაცია სისტემის მომხმარებლებისთვის. შედის 10-auth.conf- დან. # # # # PAM ავტორიზაცია. დღეს უპირატესობა ენიჭება სისტემების უმეტესობას.
# PAM ჩვეულებრივ გამოიყენება ან userdb passwd ან userdb static– ით. # გახსოვდეთ: თქვენ გჭირდებათ /etc/pam.d/dovecot ფაილი, რომელიც შექმნილია PAM # ავთენტიფიკაციისთვის, რეალურად მუშაობისთვის. passdb {მძღოლი = პამ # [სესია = დიახ] [setcred = დიახ] [მარცხი_შოუ_მსგ = დიახ] [მაქსიმალური მოთხოვნები = ] # [cache_key = ] [ ] # არგები = მტრედი}

და სხვა ფაილი არსებობს /და ა.შ.pam.d/dovecot:

[root @ linuxbox] # კატა / და ა.შ. / pam.d/dovecot 
#% PAM-1.0 auth აუცილებელია pam_nologin.so auth მოიცავს პაროლი- auth ანგარიში მოიცავს პაროლი- auth სესია მოიცავს პაროლი- auth

რის გადაცემას ვცდილობთ PAM ავტორიზაციის შესახებ?

  • CentOS, Debian, Ubuntu და მრავალი სხვა Linux დისტრიბუციები აყენებენ Postifx- სა და Dovecot- ს, ადგილობრივი ავტორიზაციის საშუალებით, სტანდარტულად ჩართული.
  • ინტერნეტში ბევრი სტატია იყენებს MySQL - და ახლახანს MariaDB - მომხმარებლებისა და Mailserver– ის შესახებ სხვა მონაცემების შესანახად. მაგრამ ეს არის სერვერები ათასი მომხმარებლისთვის და არა კლასიკური მცირე და საშუალო ბიზნესის ქსელისთვის, რომელსაც ასობით მომხმარებელია.
  • ავტორიზაცია PAM– ით აუცილებელია და საკმარისია ქსელის სერვისების უზრუნველსაყოფად, რადგან ისინი მუშაობს ერთ სერვერზე, როგორც ეს ვნახეთ ამ მინი – სერიებში.
  • LDAP მონაცემთა ბაზაში შენახული მომხმარებლების ასახვა შეიძლება მოხდეს ისე, როგორც ადგილობრივი მომხმარებლები, ხოლო PAM ავთენტიფიკაცია შეიძლება გამოყენებულ იქნას სხვადასხვა Linux სერვერებიდან ქსელის სერვისების უზრუნველსაყოფად, რომლებიც LDAP კლიენტების როლს ასრულებენ ცენტრალური ავტორიზაციის სერვერზე. ამ გზით, ჩვენ ვიმუშავებთ ცენტრალურ LDAP სერვერის მონაცემთა ბაზაში შენახული მომხმარებლების სერთიფიკატებთან და ადგილობრივი მომხმარებლებისთვის მონაცემთა ბაზის შენარჩუნება აუცილებელი არ იქნება.

შემდეგ ავანტიურამდე!


სტატიის შინაარსი იცავს ჩვენს პრინციპებს სარედაქციო ეთიკა. შეცდომის შესატყობინებლად დააჭირეთ ღილაკს აქ.

9 კომენტარი დატოვე შენი

დატოვე კომენტარი

თქვენი ელფოსტის მისამართი გამოქვეყნებული არ იყო. აუცილებელი ველები აღნიშნულია *

*

*

  1. მონაცემებზე პასუხისმგებელი: მიგელ ანგელ გატონი
  2. მონაცემთა მიზანი: სპამის კონტროლი, კომენტარების მართვა.
  3. ლეგიტიმაცია: თქვენი თანხმობა
  4. მონაცემთა კომუნიკაცია: მონაცემები არ გადაეცემა მესამე პირებს, გარდა სამართლებრივი ვალდებულებისა.
  5. მონაცემთა შენახვა: მონაცემთა ბაზა, რომელსაც უმასპინძლა Occentus Networks (EU)
  6. უფლებები: ნებისმიერ დროს შეგიძლიათ შეზღუდოთ, აღადგინოთ და წაშალოთ თქვენი ინფორმაცია.

  1.   ხვლიკი დიჯო

    მერწმუნეთ, რომ პრაქტიკაში ეს არის პროცესი, რომელიც ერთზე მეტ სიდასმინს იწვევს თავის ტკივილს, დარწმუნებული ვარ, რომ მომავალში ეს იქნება სახელმძღვანელო ყველასთვის, ვისაც სურს საკუთარი ელ.ფოსტის მართვა, ეს არის პრაქტიკული შემთხვევა ინტეგრირება postfix, dovecot, squirrelmail ..

    დიდი მადლობა თქვენი საქებარი წვლილისთვის,

  2.   Darko დიჯო

    რატომ არ გამოიყენოთ Mailpile, როდესაც საქმე ეხება უსაფრთხოებას, PGP– ით? ასევე Roundcube– ს აქვს ბევრად უფრო ინტუიციური ინტერფეისი და ასევე შეუძლია PGP ინტეგრირება.

  3.   Martin დიჯო

    3 დღის წინ წავიკითხე პოსტი, ვიცი როგორ უნდა გმადლობ. მე არ ვაპირებ ფოსტის სერვერის დაყენებას, მაგრამ ყოველთვის გამოსადეგია სერთიფიკატების შექმნა, რომლებიც სხვა პროგრამებისთვის არის სასარგებლო და ამ სახელმძღვანელოების ვადა არ იწურება (უფრო მეტიც, როდესაც centOS იყენებთ).

  4.   ფედერიკო დიჯო

    მანუელ ცილერო: მადლობას გიხდით სტატიის დასაკავშირებლად და თქვენს ბლოგთან დაკავშირებით, რომელიც საფოსტო სერვერის მინიმალური ბირთვია Postfix და Dovecot– ზე დაფუძნებული.

    ხვლიკი: როგორც ყოველთვის, თქვენი შეფასება ძალიან კარგად არის მიღებული. Გმადლობთ.

    დარკო: თითქმის ჩემს ყველა სტატიაში მეტნაკლებად გამოვხატავ, რომ "ყველა ახორციელებს მომსახურებას იმ პროგრამებით, რაც ყველაზე მეტად მოსწონს". მადლობა კომენტარისთვის.

    მარტინი: მადლობას გიხდით სტატიის წაკითხვისთვის და ვიმედოვნებ, რომ ის დაგეხმარებათ მუშაობაში.

  5.   ნიშანი Carburus დიჯო

    უდიდესი სტატიის მეგობარი ფედერიკო. დიდი მადლობა ასეთი კარგი ტუტოსთვის.

  6.   არქივი დიჯო

    შესანიშნავი, თუმცა მე ვიყენებდი "ვირტუალურ მომხმარებლებს", რათა თავიდან ავიცილოთ სისტემის შექმნა, როდესაც ელ.წერილს დავამატებ, მადლობა ბევრი ახალი რამ ვისწავლე და სწორედ ამ ტიპის პოსტს ველოდი

  7.   ვილინტონ აცევედო რუედა დიჯო

    მოგესალმებით,

    მათ შეეძლებათ იგივე გააკეთონ fedora დირექტორია სერვერზე + postifx + dovecot + thunderbird ან Outlook.

    მე მაქვს ნაწილი, მაგრამ დავრჩი, სიამოვნებით ვუზიარებ დოკუმენტს @desdelinux საზოგადოებას

  8.   ფიკო დიჯო

    მე არ წარმომედგინა, რომ ეს 3000-ზე მეტ ვიზიტს მიაღწევდა !!!

    მოგესალმებით ხვლიკებო!

  9.   დარკენდი დიჯო

    შესანიშნავი სამეურვეო კოლეგა.
    შეგიძიათ ამის გაკეთება Debian 10-ისთვის Samba4- ზე დამონტაჟებული აქტიური დირექტორიის მომხმარებლებთან ერთად ???
    მე წარმომიდგენია, რომ თითქმის იგივე იქნებოდა, მაგრამ შეიცვლება ავტორიზაციის ტიპი.
    სექცია, რომელსაც თქვენ თავად ხელმოწერილი სერთიფიკატების შექმნას დაუთმეთ, ძალიან საინტერესოა.