Postfix + Dovecot + Squirrelmail және жергілікті пайдаланушылар - SMB Networks

Серияның жалпы индексі: ШОБ үшін компьютерлік желілер: кіріспе

Бұл мақала мини-сериялардың жалғасы және соңғысы:

Сәлем достар және достар!

The Энтузиастар олар өздерінің пошта серверін алғысы келеді. Олар «құпиялылық» сұрақ белгілері арасында болатын серверлерді пайдаланғысы келмейді. Қызметті сіздің шағын серверде енгізуге жауапты тұлға бұл тақырып бойынша маман емес және бастапқыда болашақ және толық пошта серверінің өзегін орнатуға тырысады. Толық пошта сервері құрудың «теңдеулерін» түсіну және қолдану біршама қиын. 😉

The

Маржа аннотациялары

  • Пошта серверіне қатысатын әрбір бағдарлама қандай функцияларды орындайтындығы туралы нақты мәлімет қажет. Бастапқы нұсқаулық ретінде біз олар туралы мәлімделген мақсаттағы пайдалы сілтемелердің барлық сериясын береміз.
  • Толық пошта қызметін қолмен және нөлден бастап енгізу - бұл сіз шаршататын процесс, егер сіз күнделікті осы тапсырманы орындайтын «таңдаулы» болсаңыз. Пошта сервері, әдетте, бөлек өңделетін әртүрлі бағдарламалар арқылы құрылады SMTP, ПОП / IMAP, Хабарларды жергілікті сақтау, емдеуге байланысты тапсырмалар SPAM, Антивирус және т.б. Сол бағдарламалардың барлығы бір-бірімен дұрыс байланысуы керек.
  • Қолданушыларды қалай басқаруға болатындығы туралы бірыңғай өлшемдер немесе «үздік тәжірибелер» жоқ. хабарламаларды қайда және қалай сақтау керек, немесе барлық компоненттерді біртұтас етіп қалай жасауға болады.
  • Пошта серверін жинау және баптау кейбір рұқсаттар мен файл иелері, белгілі бір процестің қай қолданушыға жүктелетінін таңдау және кейбір эзотерикалық конфигурация файлында жіберілген кішігірім қателіктер сияқты жағымсыз болып көрінеді.
  • Егер сіз не істеп жатқаныңызды жақсы білмесеңіз, түпкілікті нәтиже сенімсіз немесе сәл жұмыс істемейтін пошта сервері болады. Жүзеге асырудың соңында ол жұмыс істемейді, мүмкін ол зұлымдықтың аз болуы мүмкін.
  • Интернеттен біз пошта серверін қалай жасауға болатын көптеген рецепттер таба аламыз. Ең толықтарының бірі -менің жеке пікірімше- бұл автор ұсынған Ивар Абрахамсен 2017 жылғы қаңтардың он үшінші басылымында «GNU / Linux жүйесінде пошта серверін қалай орнатуға болады«.
  • Сондай-ақ «Біз мақаланы оқуды ұсынамызUbuntu 14.04-те пошта сервері: Postfix, Dovecot, MySQL«, немесе «Ubuntu 16.04-те пошта сервері: Postfix, Dovecot, MySQL«.
  • Рас. Осыған байланысты ең жақсы құжаттаманы ағылшын тілінде табуға болады.
    • Дегенмен, біз ешқашан пошта серверін басшылыққа алмаймыз Қалай ... алдыңғы абзацта айтылған, оны біртіндеп орындау фактісі бізге не күтіп тұрғандығы туралы өте жақсы түсінік береді.
  • Егер сіз бірнеше қадамда толық пошта сервері болғыңыз келсе, суретті жүктей аласыз iRedOS-0.6.0-CentOS-5.5-i386.isoнемесе iRedOS болсын, неғұрлым заманауи түрін іздеңіз iRedMail. Бұл менің жеке ұсынған жолым.

Біз орнатамыз және теңшейміз:

  • Postfix сервер ретінде Mот Transport Aжұмсақ (SMTP).
  • Көгершін POP - IMAP сервері ретінде.
  • Арқылы қосылуға арналған сертификаттар TLS.
  • Squirrelmail пайдаланушыларға арналған веб-интерфейс ретінде.
  • DNS жазбасы «қатыстыЖіберушілер саясатының негіздері»Немесе SPF.
  • Модульді құру Diffie Hellman тобы SSL сертификаттарының қауіпсіздігін арттыру.

Орындалуы керек:

Кем дегенде, келесі қызметтерді жүзеге асыруға тура келеді:

  • Постгрей: Сұр тізімдерге арналған Postfix сервер ережелері және қалаусыз поштаны қабылдамау.
  • Amavisd-жаңа: сценарий, ол MTA мен вирустық сканерлер мен мазмұн сүзгілері арасында интерфейс жасайды.
  • Clamav антивирусы: антивирустық жинақ
  • SpamAssassin: қажетсіз поштаны шығарып алыңыз
  • ұстара (Пизор): Таратылған және бірлескен желі арқылы СПАМ-ды түсіру. Vipul Razor желісі қажетсіз пошта немесе SPAM тарату каталогын жаңартады.
  • DNS жазбасы «DomainKeys Identified Mail» немесе ДКИМ.

Пакеттер постгрей, амависд-жаңа, кламав, спамассассин, ұстара y пизор Олар бағдарлама репозиторийлерінде кездеседі. Біз сонымен бірге бағдарламаны табамыз опендким.

  • «SPF» және «DKIM» DNS жазбаларын дұрыс декларациялау, егер біз өз пошта серверімізді жаңа ғана қажетсіз деп жариялауды қаламасақ немесе SPAM немесе қалаусыз пошта өндірушілері сияқты басқа пошта қызметтері арқылы хабарлағымыз келмесе. Gmail, Yаху, Hotmailжәне т.б..

Бастапқы тексерулер

Бұл мақала басталатын басқалардың жалғасы екенін ұмытпаңыз SquOS + CentAM 7-де PAM аутентификациясы.

Ішкі желіге қосылған Ens32 LAN интерфейсі

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = қоғамдық

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетке қосылған Ens34 WAN интерфейсі

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = иә BOOTPROTO = статикалық HWADDR = 00: 0c: 29: да: a3: e7 NM_CONTROLLED = жоқ IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL маршрутизаторы # осы интерфейске # келесі адреспен қосылған. GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = сыртқы

Жергілікті желіден DNS ажыратымдылығы

[root @ linuxbox ~] # cat /etc/resolv.conf іздеу linux.fan аттар сервері 127.0.0.1 аттар сервері 172.16.10.30 [root @ linuxbox ~] # хост пошта
mail.desdelinux.fan - linuxbox.desdelinux.fan үшін бүркеншік ат. linuxbox.desdelinux.fan мекен-жайы 192.168.10.5 linuxbox.desdelinux.fan поштасы 1 mail.desdelinux.fan арқылы өңделеді.

[root @ linuxbox ~] # хост mail.fromlinux.fan
mail.desdelinux.fan - linuxbox.desdelinux.fan үшін бүркеншік ат. linuxbox.desdelinux.fan мекен-жайы 192.168.10.5 linuxbox.desdelinux.fan поштасы 1 mail.desdelinux.fan арқылы өңделеді.

Интернеттен DNS шешімі

buzz @ sysadmin: ~ $ хост mail.fromlinux.fan 172.16.10.30
Домен серверін пайдалану: Атауы: 172.16.10.30 Мекен-жайы: 172.16.10.30 # 53 Бүркеншік аттар: mail.desdelinux.fan - бұл desdelinux.fan үшін бүркеншік ат.
linux.fan-дан 172.16.10.10 мекен-жайы бар
desdelinux.fan поштасын 10 mail.desdelinux.fan өңдейді.

Жергілікті жерде «desdelinux.fan» хост атауын шешу проблемалары

Егер хост атауын шешуде қиындықтар туындаса «fromlinux.fan«бастап LAN, файл жолына түсініктеме беріп көріңіз /etc/dnsmasq.conf ол қай жерде жария етіледі local = / linux.fan-дан /. Осыдан кейін Dnsmasq қайта іске қосыңыз.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Төмендегі жолға түсініктеме беріңіз:
# local = / desdelinux.fan /

[root @ linuxbox ~] # қызмет dnsmasq қайта іске қосылады
/ Bin / systemctl қайта бағыттау dnsmasq.service қайта іске қосыңыз

[root @ linuxbox ~] # қызмет dnsmasq мәртебесі

[root @ linuxbox ~] linux.fan-дан # хост
desdelinux.fan мекен-жайы бар 172.16.10.10 desdelinux.fan поштасымен 10 mail.desdelinux.fan айналысады.

Постфикс және Dovecot

Postfix және Dovecot туралы өте кең құжаттаманы мына жерден таба аласыз:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCE README-Postfix-SASL-RedHat.txt СЫЙЛАСУ main.cf.default TLS_ACKNOWLEDGEMENTS мысалдары README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
АВТОРЛАР COPYING.MIT dovecot-openssl.cnf ЖАҢАЛЫҚТАР wiki КӨШІРУ ChangeLog example-config README COPYING.LGPL document.txt mkcert.sh solr-schema.xml

CentOS 7-де Postfix MTA әдепкі бойынша біз инфрақұрылым сервері опциясын таңдаған кезде орнатылады. SELinux мәтінмәні Potfix-ке жергілікті хабарлама кезегінде жазуға мүмкіндік беретіндігін тексеруіміз керек:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

FirewallD ішіндегі өзгертулер

FirewallD-ді теңшеу үшін графикалық интерфейсті қолдана отырып, біз әр аймақ үшін келесі қызметтер мен порттардың қосылуын қамтамасыз етуіміз керек:

# ------------------------------------------------- -----
# FirewallD-дегі түзетулер
# ------------------------------------------------- -----
# Брандмауэр
# Қоғамдық аймақ: http, https, imap, pop3, smtp қызметтері
# Қоғамдық аймақ: 80, 443, 143, 110, 25 порттары

# Сыртқы аймақ: http, https, imap, pop3s, smtp қызметтері
# Сыртқы аймақ: 80, 443, 143, 995, 25 порттары

Біз Dovecot және қажетті бағдарламаларды орнатамыз

[root @ linuxbox ~] # yum орнату dovecot mod_ssl procmail telnet

Dovecot минималды конфигурациясы

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
хаттамалар = imap pop3 lmtp
тыңдау = *, ::
кіру_сәлемдесу = Dovecot дайын!

Dovecot-тың қарапайым мәтіндік түпнұсқалық растамасын анық түрде өшіреміз:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = иә

Dovecot-пен өзара әрекеттесу үшін қажетті артықшылықтары бар топты және хабарламалардың орналасуын жариялаймыз:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = пошта
mail_access_groups = пошта

Dovecot сертификаттары

Dovecot файлдағы деректерге негізделген автоматты түрде сіздің тест сертификаттарыңызды жасайды /etc/pki/dovecot/dovecot-openssl.cnf. Біздің талаптарға сәйкес жаңа сертификаттарға ие болу үшін біз келесі әрекеттерді орындауымыз керек:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes different_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # ел (2 әріптік код) C = CU # штат немесе провинция атауы (толық аты) ST = Куба # елді мекен атауы (мысалы, қала) ) L = Habana # Ұйым (мысалы. Компания) O = FromLinux.Fan # Ұйымның атауы (мысалы, бөлім) OU = Энтузиастар # Жалпы атауы (* .example.com да болуы мүмкін) CN = *. Desdelinux.fan # E -пошта пошта адресі=buzz@desdelinux.fan [cert_type] nsCertType = сервер

Біз тест сертификаттарын алып тастаймыз

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: «certs / dovecot.pem» кәдімгі файлын жою керек пе? (y / n) y
[root @ linuxbox dovecot] # rm жеке / dovecot.pem 
rm: «private / dovecot.pem» кәдімгі файлын жою керек пе? (y / n) y

Біз сценарийді көшіреміз және орындаймыз mkcert.sh құжаттама каталогынан

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 биттік RSA жеке кілтін құру ...... ++++++ ................ ++++++ жаңа құпия кілтті '/ etc /' ге жазу pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Саусақ ізі = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
барлығы 4 -rw -------. 1 түбірлік тамыр 1029 22 мамыр 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l жеке /
барлығы 4 -rw -------. 1 түбірлік тамыр 916 22 мамыр 16:08 dovecot.pem

[root @ linuxbox dovecot] # қызмет көгершінді қайта іске қосады
[root @ linuxbox dovecot] # қызмет көгершін мәртебесі

Postfix сертификаттары

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout жеке / desdelinux.fan.key

4096 биттік RSA жеке кілтін жасау ......... ++ .. ++ 'private / domain.tld.key' жаңа құпия кілт жазу ----- Сізден ақпарат енгізу сұралғалы тұр бұл сіздің сертификат сұрауыңызға қосылады. Сіз енгізгіңіз келетін нәрсе - бұл ерекше есім немесе DN деп аталады. Өрістер өте аз, бірақ сіз оларды бос қалдыра аласыз. Кейбір өрістерде әдепкі мән болады, егер сіз '.' Енгізсеңіз, өріс бос қалады. ----- Елдің атауы (2 әріптік код) [ХХ]: КО штатының немесе провинцияның атауы (толық аты-жөні) []: Куба Аймақ атауы (мысалы, қала) [Әдепкі қала]: Хабана ұйымының атауы (мысалы, компания) [ Default Company Ltd]: desdeLinux.Fan Ұйымдастыру бірлігінің атауы (мысалы, бөлім) []: Энтузиастардың жалпы аты (мысалы, сіздің атыңыз немесе сіздің серверіңіздің хост аты) []: desdelinux.fan Электрондық пошта мекен-жайы []: buzz@desdelinux.fan

Минималды Postfix конфигурациясы

Біз файлдың соңына қосамыз / etc / aliases келесі:

түбір: бұзау

Өзгерістер күшіне енуі үшін біз келесі команданы орындаймыз:

[root @ linuxbox ~] # жаңа аттар

Postifx конфигурациясын файлды тікелей редакциялау арқылы жасауға болады /etc/postfix/main.cf немесе бұйрық бойынша постконф -е біз өзгерткіміз немесе қосқымыз келетін барлық параметр консольдің бір жолында көрінетініне назар аударыңыз:

  • Әрқайсысы түсінетін және қажет нұсқаларын жариялауы керек!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = барлығы'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a «$ EXTENSION»'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Біз файлдың соңына қосамыз /etc/postfix/main.cf төменде берілген опциялар. Олардың әрқайсысының мағынасын білу үшін ілеспе құжаттаманы оқуға кеңес береміз.

biff = жоқ
append_dot_mydomain = жоқ
кешіктіру_ ескерту_ уақыты = 4сағ
readme_directory = жоқ
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = иә
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = рұқсат_міндік желілерінің рұқсаты_sasl_ohenticated defer_unauth_destination

# Пошта жәшігінің максималды мөлшері 1024 мегабайт = 1 г және г.
пошта жәшігі_өлшемі_шегі = 1073741824

алушы_шектеуіші = +
максималды_көз_өмір уақыты = 7күн
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Кіріс поштасының көшірмесін басқа шотқа жіберетін шоттар
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Пошта мен релені басқа серверлерге кім жібере алатынын анықтау үшін келесі жолдар маңызды, сондықтан біз расталмаған пайдаланушыларға пошта жіберуге мүмкіндік беретін «ашық релені» кездейсоқ реттемейміз. Әр опция нені білдіретінін түсіну үшін біз Postfix анықтамалық беттерінен кеңес алуымыз керек.

  • Әрқайсысы түсінетін және қажет нұсқаларын жариялауы керек!.
smtpd_helo_restrications = рұқсат_міндік жұмыстар,
 ескерту_болмаса, бас тарту_non_fqdn_hostname,
 қабылдамау_қабылданбаған,
 рұқсат ету

smtpd_sender_restrications = рұқсат_асыл_астық расталған,
 рұқсат_міндік жұмыстар,
 ескерту_қабылдамау_нон_фқдн_жіберуші,
 қабылдамау_белгі_беруші_домен,
 құбырды қабылдамау,
 рұқсат ету

smtpd_client_restrictions = accept_rbl_client sbl.spamhaus.org,
 қара_ұңғыштар.easynet.nl

# ЕСКЕРТПЕ: «check_policy_service inet: 127.0.0.1: 10023» опциясы
# Postgrey бағдарламасын қосады және біз оны қоспауымыз керек
# әйтпесе біз Postgrey-ді қолданамыз

smtpd_recipient_restrictions = қабылдамау_құбыры,
 рұқсат_міндік жұмыстар,
 рұқсат_sasl_тексерілген,
 қабылдамау_нон_фкдн_ алушы,
 қабылдамау_белгі_ алушы_домен
 тағайындаудан бас тарту,
 check_policy_service кірісі: 127.0.0.1: 10023,
 рұқсат ету

smtpd_data_restrictions = бас тарту_ұнтақ_құбыры

smtpd_relay_restrictions = бас тарту_ұнтақ_құбыры,
 рұқсат_міндік жұмыстар,
 рұқсат_sasl_тексерілген,
 қабылдамау_нон_фкдн_ алушы,
 қабылдамау_белгі_ алушы_домен
 тағайындаудан бас тарту,
 check_policy_service кірісі: 127.0.0.1: 10023,
 рұқсат ету
 
smtpd_helo_required = иә
smtpd_delay_reject = иә
disable_vrfy_command = иә

Біз файлдарды жасаймыз / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, және біз файлды өзгертеміз / etc / postfix / header_checks.

  • Әрқайсысы түсінетін және қажет нұсқаларын жариялауы керек!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Егер бұл файл өзгертілсе, # картаны іске қосу қажет емес # Ережелерді тексеру үшін root ретінде іске қосыңыз: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Қайтару керек: # № 2 ережеден бас тартыңыз. Спамға қарсы хабарлама
/ viagra / ҚАБЫЛДАМАУ № 1 ереже Хабарлама денесінің спамына қарсы
/ super new v [i1] agra / № 2 ережеден бас тарту Спамға қарсы хабарлама денесі

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Өзгерткеннен кейін сіз келесі әрекеттерді орындауыңыз керек: # postmap / etc / postfix / accounts_ forwarding_copy
# және файл құрылды немесе өлшенді: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Бір шотты бағыттау үшін BCC көшірмесі # BCC = Қара көміртекті көшірмесі # Мысалы: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Файлдың соңына қосу # Пошта картасын ҚАЖЕТ ЕМЕС, өйткені олар тұрақты өрнектер
/ ^ Тақырыбы: =? Big5? / Бұл серверде қабылданбаған қытай кодтауынан бас тарту
/ ^ Тақырыбы: =? EUC-KR? / Бұл серверде корей кодтауынан бас тарту
/ ^ Тақырыбы: ADV: / Бұл сервер қабылдамаған жарнамалардан бас тарту
/^ ::**@.*\.cn/ ҚАБЫЛДАМАУ Кешіріңіз, мұнда қытай поштасына рұқсат жоқ
/^ ::**@.*\.kr/ ҚАБЫЛДАМАУ Кешіріңіз, мұнда корей поштасына рұқсат жоқ
/^ ::**@.*\.tr/ ҚАБЫЛДАМАУ Кешіріңіз, мұнда түрік поштасына рұқсат жоқ
/^ ::**@.*\.ro/ ҚАБЫЛДАМАУ Кешіріңіз, Румыния поштасына мұнда рұқсат етілмейді
/^(Қабылданды | Хабарлама-Ид| Х-( Почта| Жіберуші))..*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | жасырыннан алынған [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Жылдам ату | Дайын мақсаттағы өрт | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Жаппай жіберушілерге рұқсат берілмейді.
/ ^ Кімнен: «спаммер / ҚАБЫЛДАМАУ
/ ^ Кімнен: «спам / РАД
/^Тақырып :.*viagra/ ЖОЮ
# Қауіпті кеңейтімдер
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Біз бұл кеңейтімдермен тіркемелер қабылдамаймыз

Біз синтаксисті тексереміз, Apache және Postifx қайта іске қосылып, Dovecot іске қосылып іске қосылады

[root @ linuxbox ~] # постфиксті тексеру
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl қайта іске қосыңыз httpd
[root @ linuxbox ~] # systemctl мәртебесі httpd

[root @ linuxbox ~] # systemctl постфиксті қайта іске қосыңыз
[root @ linuxbox ~] # systemctl күйі постфиксі

[root @ linuxbox ~] # systemctl мәртебесі dovecot
● dovecot.service - Dovecot IMAP / POP3 электрондық пошта сервері Жүктелген: жүктелген (/usr/lib/systemd/system/dovecot.service; өшірілген; жеткізушінің алдын-ала орнатылған: өшірілген) Белсенді: белсенді емес (өлі)

[root @ linuxbox ~] # systemctl dovecot мүмкіндігін қосады
[root @ linuxbox ~] # systemctl dovecot бастау
[root @ linuxbox ~] # systemctl dovecot қайта іске қосылады
[root @ linuxbox ~] # systemctl мәртебесі dovecot

Консоль деңгейіндегі тексерулер

  • Басқа бағдарламаларды орнатуды және конфигурациялауды жалғастырмас бұрын SMTP және POP қызметтерін минималды тексерулерден өткізу өте маңызды..

Сервердің өзінен жергілікті

Біз жергілікті пайдаланушыға электрондық пошта жібереміз леголалар.

[root @ linuxbox ~] # echo «Сәлеметсіз бе. Бұл тесттік хабарлама» | пошта хаттары «Тест» леголалары

Пошта жәшігін тексереміз леголалар.

[root @ linuxbox ~] # openssl s_client -crlf -қосылу 127.0.0.1:110 -бастау pop3

Хабарламадан кейін Dovecot дайын! біз жалғастырамыз:

---
+ Жарайды Dovecot дайын!
USER legolas + OK PASS legolas + OK Кіру. STAT + OK 1 559 LIST + OK 1 хабарлама: 1 559. RETR 1 + OK 559 октет Қайту жолы: X-түпнұсқа: кімге жеткізілді: legolas@desdelinux.fan алынды: desdelinux.fan (Postfix, 0 пайдаланушы идентификаторынан) id 7EA22C11FC57; Дүйсенбі, 22 мамыр 2017 ж. 10:47:10 -0400 (EDT) Күні: Дүйсенбі, 22 мамыр 2017 ж. 10:47:10 -0400 Кімге: legolas@desdelinux.fan Тақырыбы: Пайдаланушы-агент тесті: Heirloom mailx 12.5 7/5 / 10 MIME-нұсқасы: 1.0 Мазмұн түрі: мәтін / қарапайым; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Қайдан: root@desdelinux.fan (root) Сәлеметсіз бе. Бұл тест хабарламасы. Дайын
[root @ linuxbox ~] #

Жергілікті желідегі компьютерден қашықтан басқару құралдары

Келесіге хабарлама жіберейік леголалар жергілікті компьютердегі басқа компьютерден. TLS қауіпсіздігі ШОБ желісінде қатаң түрде қажет емес екенін ескеріңіз.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-у «Сәлем» \
-м «Сіздің досыңыз Buzz-ден Legolas-қа сәлем!»
-s mail.desdelinux.fan -o tls = жоқ
22 мамыр 10:53:08 sysadmin sendemail [5866]: Электрондық пошта сәтті жіберілді!

Егер біз қосылуға тырысатын болсақ телнет Жергілікті желідегі хосттан немесе әрине Интернеттен Dovecot-қа дейін қарапайым мәтін түпнұсқалық растамасын өшіргендіктен, келесідей болады:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 192.168.10.5-ке тырысу ...
Linuxbox.fromlinux.fan-ға қосылған. Escape таңбасы '^]'. + Жарайды Dovecot дайын! пайдаланушы леголалары
-ERR [AUTH] Қауіпсіз (SSL / TLS) қосылымдарда қарапайым мәтінді аутентификациялауға тыйым салынған.
шығу + OK Шығу Байланысты шетелдік хост жабады.
buzz @ sysadmin: ~ $

Біз мұны істеуіміз керек ашылады. Команданың толық шығысы:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
ҚОСЫЛҒАН (00000003)
тереңдік = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Энтузиастар, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
тексеру қатесі: num = 18: қол қойылған сертификаттың қайтарылуын растау: 1
тереңдік = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Энтузиастар, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan қайтаруды растайды: 1
--- Сертификаттар тізбегі 0 с: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Сервер сертификаты ----- БАСТАУ СЕРТИФИКАТЫ-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END CERTIFICATE тақырыбы = / С = КО / ST = Куба / L = Гавана / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Куба / L = Хабана / О = DesdeLinux.Fan / OU = Энтузиастар / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Клиенттік сертификаттар жоқ, CA атаулары Сервердің уақытша кілті жіберілмеді: ECDH, secp384r1, 384 бит --- SSL қол алысу 1342 байт оқыды және 411 байт жазды --- Жаңа, TLSv1 / SSLv3 , Шифр ​​- ECDHE-RSA-AES256-GCM-SHA384 Сервердің ашық кілті 1024 биттік қауіпсіз қайта келіссөзге қолдау көрсетіледі Қысу: NONE кеңейту: NONE SSL-сессия: Хаттама: TLSv1.2 шифр: ECDHE-RSA-AES256-GCM-SHA384 сессиясы ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Негізгі-ARG: None Krb5 Principal: None PSK жеке басын куәландыратын: None PSK жеке басын куәландыратын мәлімет: HS 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 Негізгі-ARG: None Krb4 Principal: None 7 PSK жеке басын куәландыратын: None PSK жеке басын куәландыратын мәлімет: HS 1TLS сессиясы XNUMX секунд XNUMX F None-XNUMX сессиясы XNUMX XNUMX TLF секунд билет fXNUMXfXNUMX билет ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. «.
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Жарайды Dovecot дайын!
ПАЙДАЛАНУШЫ ЛЕГОЛА
+ Жақсы
PASS леголасы
+ OK Кіру
ТІЗІМІ
+ OK 1 хабарлама: 1 1021.
Қайталау 1
+ OK 1021 октет Қайту жолы: X-Original-To: legolas@desdelinux.fan жеткізілді: legolas@desdelinux.fan алынды: sysadmin.desdelinux.fan-дан (шлюз [172.16.10.1]) desdelinux.fan (Postfix) арқылы ESMTP идентификаторы 51886C11E8 ; Дүйсенбі, 0 мамыр 22 жыл 2017:15:09 -11 (EDT) Хабарлама идентификаторы: <0400-sendEmail@sysadmin> Қайдан: «buzz@deslinux.fan» Кімге: «legolas@desdelinux.fan» Пәні: Сәлем Күні: Дүйсенбі, 919362.931369932 Мамыр 22 ж. 2017:19:09 +11 X-Mailer: sendEmail-0000 MIME-Нұсқасы: 1.56 Мазмұн түрі: көпбөлшек / байланысты; border = «---- sendEmail-1.0 үшін MIME бөлгіш» Бұл MIME форматындағы көп бөлімнен тұратын хабарлама. Бұл хабарламаны дұрыс көрсету үшін сізге MIME-365707.724894495 сәйкес келетін электрондық пошта бағдарламасы қажет. ------ sendEmail-1.0 үшін MIME бөлгіш: Мазмұн түрі: мәтін / қарапайым; charset = «iso-365707.724894495-8859» Content-Transfer-Encoding: 1bit құттықтаулар Legolas сіздің досыңыздан Buzz ------ жіберу үшін MIME бөлгіш - Email-7--.
QUIT
+ OK Шығу. жабық
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail толығымен PHP-де жазылған веб-клиент. Ол IMAP және SMTP хаттамаларына арналған PHP-дің жергілікті қолдауын қолданады және пайдаланудағы әр түрлі браузерлермен максималды үйлесімділікті қамтамасыз етеді. Ол кез келген IMAP серверінде дұрыс жұмыс істейді. Мұнда MIME қолдауы, мекен-жай кітабы және қалтаны басқару бар пошта клиентінен қажет барлық функциялар бар.

[root @ linuxbox ~] # yum орнату squirrelmail
[root @ linuxbox ~] # қызметі httpd қайта іске қосыңыз

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # қызмет httpd қайта жүктеу

DNS жіберу саясатының негіздері немесе SPF жазбасы

Мақалада NSD авторитарлық DNS сервері + Shorewall «Desdelinux.fan» аймағы келесідей конфигурацияланғанын көрдік:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
Linux.fan-дан $ ORIGIN. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; сериялық 1D; 1H жаңару; 1W қайталау; 3H мерзімі аяқталады); минимум немесе; Өмір сүруге арналған теріс кэштеу уақыты; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT «v = spf1 a: mail.desdelinux.fan -all»
; ; Linux.fan @ IN A 172.16.10.10 сұранысын шешуге арналған журнал; ns IN 172.16.10.30 INAME INAME linux.fan-дан. linux.fan-дан CNAME-де сөйлесу. www INAME IN linux.fan. ; ; XMPP-ге қатысты SRV жазбалары
_xmpp-server._tcp IN SRV 0 0 5269 linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 linux.fan. _jabber._tcp IN SRV 0 0 5269 linux.fan.

Онда тізілім жарияланды:

@ IN TXT «v = spf1 a: mail.desdelinux.fan -all»

SME Network немесе LAN үшін бірдей параметрге ие болу үшін Dnsmasq конфигурация файлын келесідей өзгерту керек:

# TXT жазбалары. Біз SPF жазбасын txt-record = desdelinux.fan деп жариялай аламыз, «v = spf1 a: mail.desdelinux.fan -all»

Содан кейін біз қызметті қайта іске қосамыз:

[root @ linuxbox ~] # қызмет dnsmasq қайта іске қосылады
[root @ linuxbox ~] # dnsmasq күйі [root @ linuxbox ~] # хост -t TXT mail.fromlinux.fan mail.fromlinux.fan - fromlinux.fan үшін бүркеншік ат. desdelinux.fan сипаттамалық мәтін «v = spf1 a: mail.desdelinux.fan -all»

Өздігінен қол қойылған сертификаттар және Apache немесе httpd

Егер сіздің браузеріңіз сізге «иесі mail.fromlinux.fan Сіз өзіңіздің сайтыңызды дұрыс конфигурацияламадыңыз. Сіздің ақпараттың ұрлануын болдырмау үшін Firefox бұл веб-сайтқа қосылмаған », бұрын жасалған сертификат Бұл жарамдыжәне біз сертификатты қабылдағаннан кейін клиент пен сервер арасындағы тіркелгі деректерінің шифрланған жолмен жүруіне мүмкіндік береді.

Егер сіз қаласаңыз және сертификаттарды бірегейлендіру тәсілі ретінде сіз Apache үшін Postfix үшін жариялаған сол сертификаттарды жариялай аласыз, бұл дұрыс.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # httpd қызметін қайта іске қосу
[root @ linuxbox ~] # қызмет httpd мәртебесі

Diffie-Hellman тобы

Интернетте қауіпсіздік тақырыбы күн сайын қиындай түседі. Байланысқа жиі кездесетін шабуылдардың бірі SSL, ол logjam және одан қорғану үшін SSL конфигурациясына стандартты емес параметрлерді қосу қажет. Бұл үшін бар RFC-3526 «Көбірек модульдік экспоненциалды (MODP) Диффи-Хеллман топтар Internet Key Exchange (IKE) үшін«.

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam - жеке / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 жеке / dhparams.pem

Біз орнатқан Apache нұсқасы бойынша біз Diffie-Helman тобын файлдан қолданамыз /etc/pki/tls/dhparams.pem. Егер бұл 2.4.8 немесе одан кейінгі нұсқасы болса, онда біз файлға қосуымыз керек болады /etc/httpd/conf.d/ssl.conf келесі жол:

SSLOpenSSLConfCmd DHParameters «/etc/pki/tls/private/dhparams.pem»

Біз қолданып жүрген Apache нұсқасы:

[root @ linuxbox tls] # yum ақпарат httpd
Жүктелген плагиндер: fastestmirror, langpacks Кэштелген хост файлынан айна жылдамдығын жүктеу Орнатылған бумалар Атауы: httpd Архитектура: x86_64
Нұсқа: 2.4.6
Шығарылым: 45.el7.centos Көлемі: 9.4 M Репозиторий: орнатылған репозиторийден: Негізгі репо туралы қысқаша түсінік: Apache HTTP серверінің URL мекенжайы: http://httpd.apache.org/ Лицензия: ASL 2.0 Сипаттама: Apache HTTP сервері қуатты, тиімді және кеңейтілетін: веб-сервер.

Бізде 2.4.8 нұсқасы болғандықтан, біз бұрын жасалған CRT сертификатының соңында Diffie-Helman тобының мазмұнын қосамыз:

[root @ linuxbox tls] # мысық жеке / dhparams.pem >> certs / desdelinux.fan.crt

DH параметрлерінің CRT сертификатына дұрыс қосылғанын тексергіңіз келсе, келесі командаларды орындаңыз:

[root @ linuxbox tls] # мысық жеке / dhparams.pem 
----- DH ПАРАМЕТРЛЕРІНЕН БАСТАУ -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH DH ПАРАМЕТРЛЕРІ -----

[root @ linuxbox tls] # мысықтар / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH DH ПАРАМЕТРЛЕРІ -----

Осы өзгерістерден кейін біз Postfix және httpd қызметтерін қайта қосуымыз керек:

[root @ linuxbox tls] # қызмет постфиксін қайта іске қосу
[root @ linuxbox tls] # қызмет постфиксінің мәртебесі
[root @ linuxbox tls] # сервис httpd қайта іске қосыңыз
[root @ linuxbox tls] # қызмет httpd күйі

Diffie-Helman тобының біздің TLS сертификаттарымызға енуі HTTPS арқылы қосылуды сәл баяулатуы мүмкін, бірақ қауіпсіздікті қосқан жөн.

Squirrelmail тексерілуде

DESPUÉS сертификаттардың дұрыс жасалғандығын және олардың дұрыс жұмыс істеуін консоль командалары арқылы тексеретіндігімізді қалаған браузерді URL мекен-жайына бағыттаңыз http://mail.desdelinux.fan/webmail және ол тиісті сертификатты қабылдағаннан кейін веб-клиентке қосылады. Сіз HTTP протоколын көрсеткен болсаңыз да, ол HTTPS-ке қайта бағытталатынын ескертіңіз және бұл Squirrelmail үшін CentOS ұсынатын әдепкі параметрлерге байланысты. Файлды қараңыз /etc/httpd/conf.d/squirrelmail.conf.

Пайдаланушының пошта жәшіктері туралы

Dovecot қалтада IMAP пошта жәшіктерін жасайды үй әр пайдаланушының:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
барлығы 12 drwxrwx ---. 5 legolas пошта 4096 22 мамыр 12:39. drwx ------. 3 legolas legolas 75 22 мамыр 11:34 .. -rw -------. 1 legolas legolas 72 22 мамыр 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 мамыр 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22 мамыр 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22 мамыр 10:23 INBOX drwx ------. 2 legolas legolas 56 22 мамыр 12:39 Жіберілген drwx ------. 2 legolas legolas 30 мамыр 22 11:34 қоқыс

Олар / var / mail / ішінде сақталады

[root @ linuxbox ~] # аз / var / mail / legolas
MAILER_DAEMON бастап Дүйсенбі 22 мамыр 10:28:00 2017 Дата: Дүйсенбі, 22 Мамыр 2017 10:28:00 -0400 Бастапқы: Пошта жүйесінің ішкі деректері Тақырыбы: БҰЛ ХАБАРДЫ ӨШІРМЕҢІЗ - ҚАЛТАЛЫҚ ІШКІ МӘЛІМЕТТЕР Хабарлама идентификаторы: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Күй: RO Бұл мәтін сіздің пошта қалтаңыздың ішкі форматының бөлігі болып табылады және нақты хабарлама емес . Ол пошта жүйесінің бағдарламалық жасақтамасымен автоматты түрде жасалады. Егер жойылған болса, қалтаның маңызды деректері жоғалады және олар бастапқы мәндерге қалпына келтіріліп қайта құрылады. Root@desdelinux.fan сайтынан Дүйсенбі 22 мамыр 10:47:10 2017 Қайту жолы: X-түпнұсқа: legolas жеткізілді: legolas@desdelinux.fan алынды: desdelinux.fan (Postfix, 0 пайдаланушы идентификаторынан) id 7EA22C11FC57; Дүйсенбі, 22 мамыр 2017 ж. 10:47:10 -0400 (EDT) Күні: Дүйсенбі, 22 мамыр 2017 ж. 10:47:10 -0400 Кімге: legolas@desdelinux.fan Тақырыбы: Пайдаланушы-агент тесті: Heirloom mailx 12.5 7/5 / 10 MIME-нұсқасы: 1.0 Мазмұн түрі: мәтін / қарапайым; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Кімнен: root@desdelinux.fan (root) X-UID: 7 Күй: RO Сәлем. Бұл тесттік хабарлама Buzz@deslinux.fan Дүйсенбі 22 мамыр 10:53:08 2017 Қайту жолы: X-түпнұсқа: legolas@desdelinux.fan жеткізілді: legolas@desdelinux.fan алынды: sysadmin.desdelinux.fan-дан (шлюз [172.16.10.1]) desdelinux.fan (Postfix) ESMTP идентификаторымен C184DC11 ; Дүйсенбі, 57 мамыр 22 жыл 2017:10:53 -08 (EDT) Хабарлама идентификаторы: <0400-sendEmail@sysadmin> Қайдан: «buzz@deslinux.fan» Кімге: «legolas@desdelinux.fan» Тақырыбы: Сәлем Күні: Дүйсенбі, 739874.219379516 Мамыр 22 ж. 2017:14:53 +08 X-Mailer: sendEmail-0000 MIME-Нұсқа: 1.56 Мазмұн түрі: көп бөлімді / байланысты; шекара = «---- sendEmail-1.0 үшін MIME бөлгіш
/ var / mail / legolas

PAM минисериалдарының қысқаша мазмұны

Біз пошта сервері өзегіне назар аудардық және қауіпсіздікке аз көңіл бөлдік. Мақала пошта серверін қолмен енгізу сияқты күрделі және қателіктерге бейім тақырыпқа кіру нүктесі ретінде қызмет етеді деп сенеміз.

Біз жергілікті пайдаланушының аутентификациясын қолданамыз, өйткені файлды дұрыс оқысақ /etc/dovecot/conf.d/10-auth.conf, біз оның соңында енгізілгенін көреміз -әдепкі бойынша- жүйені пайдаланушылардың аутентификация файлы ! auth-system.conf.ext қосыңыз. Дәл осы файл өзінің тақырыбында бізге мынаны айтады:

[root @ linuxbox ~] # кем /etc/dovecot/conf.d/auth-system.conf.ext
# Жүйе пайдаланушылары үшін аутентификация. 10 авторлық конфигурациядан енгізілген. # # # # PAM аутентификациясы. Қазіргі кезде көптеген жүйелер артық көреді.
# PAM әдетте userdb passwd немесе userdb статикалық күйінде қолданылады. # ЕСІҢІЗДЕ БОЛСЫН: сізге шынымен жұмыс жасау үшін PAM # аутентификациясы үшін жасалған /etc/pam.d/dovecot файлы қажет. passdb {драйвер = пам # [сессия = иә] [setcred = иә] [істен шығу_ шоу_msg = иә] [максимум_сұрақтар = ] # [кэш_кілті = ] [ ] #args = dovecot}

Ал басқа файл бар /etc/pam.d/dovecot:

[root @ linuxbox ~] # мысық /etc/pam.d/dovecot 
#% PAM-1.0 авторизациясы қажет pam_nologin.so auth пароль-auth тіркелгісін қосады password-auth сеансы кіреді password-auth

PAM аутентификациясы туралы не айтқымыз келеді?

  • CentOS, Debian, Ubuntu және басқа көптеген Linux дистрибутивтері Postifx пен Dovecot бағдарламаларын әдепкі бойынша жергілікті аутентификациямен орнатады.
  • Интернеттегі көптеген мақалалар пайдаланушыларды және Mailserver-ке қатысты басқа деректерді сақтау үшін MySQL-ді және жақында MariaDB-ны пайдаланады. БІРАҚ бұл жүздеген қолданушылары бар классикалық ШОБ желісі үшін емес, МЫҢ ПАЙДАЛАНУШЫЛАРҒА арналған серверлер.
  • PAM арқылы түпнұсқалық растама желілік қызметтерді ұсыну үшін қажет және жеткілікті, егер олар бір серверде жұмыс жасайтын болса, біз осы кішігірім серияларда көрдік.
  • LDAP дерекқорында сақталған пайдаланушыларды жергілікті пайдаланушылар сияқты бейнелеуге болады және PAM аутентификациясы LDAP клиенттері ретінде әрекет ететін әр түрлі Linux серверлерінен орталық аутентификация серверіне желілік қызметтерді ұсыну үшін қолданыла алады. Осылайша, біз LDAP серверінің орталық дерекқорында сақталған пайдаланушылардың тіркелгі деректерімен жұмыс істейтін боламыз және жергілікті пайдаланушылармен мәліметтер базасын жүргізу маңызды болмас еді.

Келесі приключенияға дейін!


Мақаланың мазмұны біздің ұстанымдарымызды ұстанады редакторлық этика. Қате туралы хабарлау үшін нұқыңыз Мұнда.

9 пікір, өз пікіріңізді қалдырыңыз

Пікіріңізді қалдырыңыз

Сіздің электрондық пошта мекен-жайы емес жарияланады.

*

*

  1. Деректерге жауапты: Мигель Анхель Гатан
  2. Деректердің мақсаты: СПАМ-ны басқару, түсініктемелерді басқару.
  3. Заңдылық: Сіздің келісіміңіз
  4. Деректер туралы ақпарат: заңды міндеттемелерді қоспағанда, деректер үшінші тұлғаларға жіберілмейді.
  5. Деректерді сақтау: Occentus Networks (ЕО) орналастырған мәліметтер базасы
  6. Құқықтар: Сіз кез-келген уақытта ақпаратты шектей, қалпына келтіре және жоя аласыз.

  1.   лагарто дижо

    Маған сеніңіз, бұл іс жүзінде бұл бірнеше сисадминге қатты ауырсыну әкеледі, мен болашақта бұл өз электрондық пошталарын басқарғысы келетін кез келген адам үшін анықтамалық нұсқаулық болатынына сенімдімін абфта постфиксті, көгершінді, сквермайлды интеграциялау кезінде ..

    Мадақталған үлесіңіз үшін көп рахмет,

  2.   Darko дижо

    PGP-мен қауіпсіздік туралы айтатын болсақ, неге Mailpile-ді қолданбаймыз? Сондай-ақ, Roundcube интуитивті интерфейске ие және PGP-ді біріктіре алады.

  3.   Мартин дижо

    3 күн бұрын жазбаны оқыдым, сізге қалай рахмет айтуды білемін. Мен пошта серверін орнатуды жоспарламаймын, бірақ басқа қосымшалар үшін пайдалы сертификаттардың құрылуын көру өте пайдалы және бұл оқулықтардың мерзімі әрең бітеді (әсіресе сіз centOS-ты қолданған кезде).

  4.   федерико дижо

    Мануэль Киллеро: Postfix және Dovecot негізіндегі пошта серверінің минималды өзегі болып табылатын осы мақаланы блогыңызға сілтеме жасағаныңыз үшін рахмет.

    Кесіртке: Әдеттегідей, сіздің бағаңыз өте жақсы қабылданады. Рақмет сізге.

    Дарко: Мен өзімнің барлық мақалаларымда «Барлығы өздеріне ұнайтын бағдарламалармен қызметтерді жүзеге асырады» деп азды-көпті білдіремін. Пікір үшін рақмет.

    Мартин: Мақаланы оқығаныңыз үшін де сізге рахмет және бұл сіздің жұмысыңызға көмектеседі деп сенемін.

  5.   Зодиак карбюры дижо

    Үлкен мақала досы Федерико. Осындай жақсы сабақ үшін үлкен рахмет.

  6.   архия дижо

    өте жақсы, дегенмен мен электронды поштаны қосқан сайын жүйелік пайдаланушы құруды болдырмау үшін «виртуалды қолданушыларды» қолданатын едім, рахмет, мен көптеген жаңалықтар білдім және бұл мен күткен посттың түрі.

  7.   Вилинтон Асеведо Руэда дижо

    Қайырлы кеш,

    Олар fedora каталог серверімен + postifx + dovecot + thunderbird немесе Outlook-пен дәл осылай жасауға батылы келеді.

    Менің бір бөлігім бар, бірақ мен тығырыққа тіреліп тұрмын, мен @desdelinux қауымдастығына қуана-қуана бөлісер едім

  8.   phico дижо

    Мен 3000-нан астам сапарға жетемін деп ойлаған емеспін !!!

    Сәлем, кесіртке!

  9.   Қараңғы дижо

    Оқулық бойынша тамаша әріптес.
    Сіз мұны Debian 10 үшін Samba4-те орнатылған Active Directory қолданушыларымен жасай аласыз ба ???
    Менің ойымша, бұл бірдей болады, бірақ аутентификация түрін өзгертеді.
    Сіз өзіңіздің қолыңызбен сертификаттар жасауға арналған бөлім өте қызықты.

bool(шын)