Postfix + Dovecot + Squirrelmail жана жергиликтүү колдонуучулар - SMB Networks

Сериянын жалпы индекси: Чакан жана орто ишканалар үчүн компьютердик тармактар: Киришүү

Бул макала минисериялардын уландысы жана акыркысы:

Салам достор жана достор!

The Энтузиасттар алардын өз почта сервери болгусу келет. Алар "Купуялык" суроо белгилеринин ортосунда жайгашкан серверлерди колдонууну каалашпайт. Кызматты сиздин чакан серверде ишке ашырууга жооптуу адам бул жаатта адис эмес жана алгач келечектеги жана толук почта серверинин өзөгүн орнотууга аракет кылат. Толук почта серверин түзүү үчүн "теңдемелерди" түшүнүү жана колдонуу бир аз кыйынга турабы. 😉

көрсөткүч

Маржа аннотациялары

  • Почта серверине катышкан ар бир программанын кайсы функцияларды аткара тургандыгы жөнүндө так маалымат керек. Баштапкы колдонмо катарында, биз аларга жарыяланган максат менен бир катар пайдалуу шилтемелерди беребиз.
  • Комплекстүү Почта кызматын нөлдөн баштап кол менен ишке ашыруу чарчоо процесси болуп саналат, эгерде сиз күн сайын ушул типтеги тапшырмаларды аткарган "Тандалгандардын" бири болбосоңуз. Почта сервери көбүнчө өзүнчө иштей турган ар кандай программалардан турат SMTP, POP / IMAP, Билдирүүлөрдү жергиликтүү сактоо, дарылоого байланыштуу тапшырмалар спам, Антивирус ж.б. Бул программалардын бардыгы бири-бири менен туура байланышууга тийиш.
  • Колдонуучуларды кантип башкаруу керектиги боюнча бирдей өлчөмдө же "мыкты тажрыйбада" эч ким жок; билдирүүлөрдү кайда жана кантип сактоо керек, же бардык компоненттерди кантип бир бүтүн кылып иштөө керек.
  • Почта серверин чогултуу жана так жөндөө уруксаттар жана файл ээлери, кайсы колдонуучу белгилүү бир процессти башкарарын тандоо жана кээ бир эзотерикалык конфигурация файлында кетирилген кичинекей каталар сыяктуу маселелерде жагымсыз болуп калат.
  • Эмне кылып жатканыңызды жакшы билбесеңиз, жыйынтыгында кооптуу же бир аз иштебей калган Почта сервери болот. Жүзөгө ашыруунун аягында Ал иштебей калат, балким, жамандыктар азыраак болот.
  • Интернеттен Почта серверин кантип жасоо боюнча көптөгөн рецепттерди таба алабыз. Эң толук бири -менин жеке оюм боюнча- бул автор сунуш кылган Ивар Абрахамсен 2017-жылдын январындагы он үчүнчү басылышында «GNU / Linux тутумунда почта серверин кантип орнотсо болот".
  • Ошондой эле макаланы окууну сунуштайбыз «Ubuntu 14.04теги почта сервери: Postfix, Dovecot, MySQL«, же «Ubuntu 16.04теги почта сервери: Postfix, Dovecot, MySQL".
  • Ырас. Буга байланыштуу мыкты документтер англис тилинде табылат.
    • Биз эч качан Почта серверин ишенимдүү жетекчиликке албайбыз Кантип… Мурунку абзацта айтылган, аны этап-этабы менен аткаруунун өзү эле алдыда эмне күтүп тургандыгыбызды абдан жакшы түшүнүк берет.
  • Эгер сиз бир нече кадамдан кийин толук Почта сервери болгуңуз келсе, анда сүрөттү жүктөп алсаңыз болот iRedOS-0.6.0-CentOS-5.5-i386.iso, же iRedOS же андан заманбап түрүн издеңиз iRedMail. Бул жеке мен сунуш кылган жол.

Орнотуп, конфигурациялайбыз:

  • Постфикс сервер катары Mачуу пияз Transport Aжумшак (SMTP).
  • Dovecot POP - IMAP сервери катары.
  • Аркылуу байланышуу үчүн сертификаттар TLS.
  • Squirrelmail колдонуучулар үчүн веб интерфейс катары.
  • DNS жазуусу «каратаЖөнөтүүчүнүн саясатынын негиздери»Же SPF.
  • Модуль түзүү Diffie Hellman Group SSL сертификаттарынын коопсуздугун жогорулатуу.

Аткарылышы керек:

Жок дегенде төмөнкүдөй кызматтар ишке ашмак:

  • Постгри: Grey Lists үчүн Postfix сервер саясаттары жана керексиз почтаны четке кагуу.
  • Amavisd-жаңы: сценарий, ал интерфейсти түзөт МТА, жана вирус сканерлери жана мазмун чыпкалары.
  • Clamav Antivirus: антивирустук топтом
  • SpamAssassin: керексиз почтаны чыгарып алуу
  • устара (Пызор): Бөлүштүрүлгөн жана биргелешкен тармак аркылуу СПАМ басып алуу. Vipul Razor тармагы спамдарды же керексиз почталарды жайылтуунун жаңыланган каталогун жүргүзөт.
  • DNS жазуусу "DomainKeys Identified Mail" же DKIM.

пакет постгрей, амависд-жаңы, кламав, спамассассин, устара y pyzor Алар программанын кампасынан табылган. Ошондой эле программаны табабыз opendkim.

  • "SPF" жана "DKIM" DNS жазууларынын туура декларациясы, эгерде биз почта серверибиздин жөн гана ишке киришин каалабасак, аны каалабасак же SPAM же керексиз почта өндүрүүчүсү катары билдирүүнү каалабасак, башка почта кызматтары. Gmail, Yахоо, Hotmail, жана башкалар.

Баштапкы текшерүүлөр

Бул макала башталган башкалардын уландысы экендигин унутпаңыз SquOS + CentAM 7деги PAM аныктыгын текшерүү.

Ички тармакка туташкан Ens32 LAN интерфейси

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = коомдук

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетке туташкан Ens34 WAN интерфейси

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = ооба BOOTPROTO = статикалык HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = жок IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL роутери # ушул интерфейске # төмөнкү дарек менен туташтырылган. IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = тышкы

LANдан DNS чечими

[root @ linuxbox ~] # cat /etc/resolv.conf издөө linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # хост почтасы
mail.desdelinux.fan - linuxbox.desdelinux.fan псевдоними. linuxbox.desdelinux.fan дареги 192.168.10.5 linuxbox.desdelinux.fan почтасы 1 mail.desdelinux.fan тарабынан каралат.

[root @ linuxbox ~] # хост mail.fromlinux.fan
mail.desdelinux.fan - linuxbox.desdelinux.fan псевдоними. linuxbox.desdelinux.fan дареги 192.168.10.5 linuxbox.desdelinux.fan почтасы 1 mail.desdelinux.fan тарабынан каралат.

Интернеттен DNS чечими

buzz @ sysadmin: ~ $ хост mail.fromlinux.fan 172.16.10.30
Домен серверин колдонуу: Аты-жөнү: 172.16.10.30 Дареги: 172.16.10.30 # 53 Бүркүм аттар: mail.desdelinux.fan бул desdelinux.fan үчүн лакап ат.
linux.fan дан 172.16.10.10 дареги бар
desdelinux.fan почтасы 10 mail.desdelinux.fan тарабынан каралат.

"Desdelinux.fan" хост аталышын жергиликтүү деңгээлде чечүү көйгөйлөрү

Хост аталышын чечүүдө көйгөй жаралса «fromlinux.fan"тартып LAN, файл сызыгын комментарийлеп көрүңүз /etc/dnsmasq.conf кайда жарыяланат local = / linux.fan дан /. Андан кийин, Dnsmasq өчүрүп-күйгүзүңүз.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Төмөнкү сапка комментарий бериңиз:
# local = / desdelinux.fan /

[root @ linuxbox ~] # кызматы dnsmasq өчүрүп-күйгүзүү
/ Bin / systemctlге кайра багыттоо dnsmasq.service кайра башталат

[root @ linuxbox ~] # кызматы dnsmasq статусу

[root @ linuxbox ~] linux.fan дан # хост
desdelinux.fan дарегине ээ 172.16.10.10 desdelinux.fan почтасы 10 mail.desdelinux.fan тарабынан иштелип чыгат.

Postfix жана Dovecot

Postfix жана Dovecotтун кеңири документтерин бул жерден тапса болот:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCE README-Postfix-SASL-RedHat.txt ШАЙКАШТЫК main.cf.default TLS_ACKNOWLEDGEMENTS мисалдары README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
АВТОРЛОР COPYING.MIT dovecot-openssl.cnf ЖАҢЫЛЫКТАР wiki КӨЧҮРҮҮ ChangeLog example-config README COPYING.LGPL document.txt mkcert.sh solr-schema.xml

CentOS 7де Postfix MTA, биз Инфраструктура Серверинин вариантын тандаганда, демейки шартта орнотулат. SELinux контекстинин жергиликтүү билдирүүлөр кезегинде Potfixке жазуусуна жол берээрин текшеришибиз керек:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

FirewallDдеги өзгөртүүлөр

FirewallD-ди конфигурациялоо үчүн графикалык интерфейсти колдонуп, биз ар бир Зона үчүн төмөнкү кызматтардын жана порттордун иштешин камсыздашыбыз керек:

# ------------------------------------------------- -----
# FirewallD оңдойт
# ------------------------------------------------- -----
# Firewall
# Коомдук аймак: http, https, imap, pop3, smtp кызматтары
# Коомдук аймак: 80, 443, 143, 110, 25 порттору

# Тышкы зона: http, https, imap, pop3s, smtp кызматтары
# Тышкы зона: 80, 443, 143, 995, 25 порттору

Dovecot жана керектүү программаларды орнотобуз

[root @ linuxbox ~] # yum орнотуу dovecot mod_ssl procmail telnet

Минималдуу Dovecot конфигурациясы

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
протоколдор = imap pop3 lmtp
угуу = *, ::
кирүү_саламдашуу = Dovecot даяр!

Dovecotтун жөнөкөй тексттин аныктыгын текшерүүнү ачык түрдө өчүрүп салдык:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ооба

Dovecot менен өз ара аракеттенүү үчүн зарыл болгон артыкчылыктарга ээ топту жана билдирүүлөрдүн жайгашкан жерин жарыялайбыз:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = почта
mail_access_groups = почта

Dovecot үчүн сертификаттар

Dovecot файлдагы дайындардын негизинде автоматтык түрдө сиздин тест сертификаттарыңызды түзөт /etc/pki/dovecot/dovecot-openssl.cnf. Биздин талаптарга ылайык жаңы сертификаттарга ээ болуу үчүн, биз төмөнкү кадамдарды жасашыбыз керек:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = ото different_name = req_dn x509_extensions = cert_type prompt = жок [req_dn] # өлкө (2 тамга коду) C = CU # Штаттын же провинциянын аты (толук аты) ST = Куба # Жердин аталышы (мис. шаар) ) L = Habana # Уюм (мис. Компания) O = FromLinux.Fan # Уюштуруу бирдигинин аталышы (мис., Бөлүм) OU = Энтузиастар # Жалпы ат (* .example.com да мүмкүн) CN = *. Desdelinux.fan # E -mail электрондук почта байланышы emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = сервер

Тест сертификаттарын жок кылабыз

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: "certs / dovecot.pem" жөнөкөй файлын жок кыласызбы? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: "private / dovecot.pem" жөнөкөй файлын жок кыласызбы? (y / n) y

Биз сценарийди көчүрүп, аткарабыз mkcert.sh документтер каталогунан

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 биттик RSA купуя ачкычын түзүү .... pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Манжа изи = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
бардыгы 4 -rw -------. 1 root root 1029 22 май 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l private /
бардыгы 4 -rw -------. 1 root root 916 22 май 16:08 dovecot.pem

[root @ linuxbox dovecot] # кызматы dovecot өчүрүп-күйгүзүү
[root @ linuxbox dovecot] # кызмат көгүчкөндүн абалы

Postfix үчүн сертификаттар

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout жеке / desdelinux.fan.key

4096 биттик RSA купуя ачкычын түзүү ......... ++ .. ++ 'private / domain.tld.key' жаңы купуя ачкычты жазуу ----- Сизден маалымат киргизүү суралганы жатат ал сиздин күбөлүк сурамыңызга киргизилет. Сиз кире турган нерсе - Атайын ысым же DN деп аталат. Толугу менен бир нече талаа бар, бирок айрымдарын бош калтырып койсоңуз болот. Айрым талаалар үчүн демейки мааниге ээ болот, эгер сиз '.' Деп киргизсеңиз, анда ал бош бойдон калат. ----- Өлкөнүн аты-жөнү (2 тамга коду) [XX]: КС Штаттын же Провинциянын аты-жөнү (толук аты-жөнү) []: Куба Аймактын аталышы (мис., Шаар) [Демейки шаар]: Хабана уюмунун аталышы (мисалы, компания) [ По умолчанию Компания Ltd]: desdeLinux.Fan Уюштуруу бөлүмүнүн аталышы (мисалы, бөлүм) []: Энтузиастардын жалпы аты (мисалы, сиздин атыңыз же сервердин хост аты) []: desdelinux.fan Электрондук почта дареги []: buzz@desdelinux.fan

Минималдуу Postfix конфигурациясы

Файлдын аягына кошобуз / etc / лакап аттар кийинки:

root: buzz

Өзгөртүүлөр күчүнө кириши үчүн биз төмөнкү буйрукту аткарабыз:

[root @ linuxbox ~] # жаңы аталыштар

Postifx конфигурациясын файлды түздөн-түз түзөтүү менен жасоого болот /etc/postfix/main.cf же буйрук боюнча postconf -e Биз өзгөртүүнү же кошууну каалаган бардык параметр консолдун бир сабында чагылдырылышына кам көрүңүз:

  • Ар бири түшүнгөн жана керек болгон варианттарын жарыялашы керек!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = баары'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Файлдын аягына кошобуз /etc/postfix/main.cf төмөндө келтирилген параметрлер. Алардын ар биринин маанисин билүү үчүн, коштоочу документтерди окуп чыгууну сунуштайбыз.

biff = жок
append_dot_mydomain = жок
delay_warning_time = 4с
readme_directory = жок
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = ооба
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = уруксат_минетворктары уруксат_сасл_аутентификацияланган defer_unauth_destination

# Почта кутусунун эң чоң көлөмү 1024 мегабайт = 1 г жана г.
mailbox_size_limit = 1073741824

алуучу_элимит = +
максималдуу_кезекти_жашоо убактысы = 7күн
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Келген почтанын көчүрмөсүн башка эсепке жөнөтүүчү эсептер
reciver_bcc_maps = таштанды: / etc / postfix / accounts_ forwarding_copy

Төмөнкү саптар аныкталбаган колдонуучуларга кат жөнөтүүгө мүмкүнчүлүк берген ачык релени кокустан конфигурациялабашыбыз үчүн, почтаны жана башка серверлерге ким жөнөтө алаарын аныктоо үчүн маанилүү. Ар бир вариант эмнени билдирерин түшүнүү үчүн, Postfix жардам баракчаларына кайрылышыбыз керек.

  • Ар бири түшүнгөн жана керек болгон варианттарын жарыялашы керек!.
smtpd_helo_restrictions = уруксат_мынтыктар,
 Warn_if_reject татгалзуу_нон_фкдн_хостнэм,
 ref_invalid_hostname,
 уруксат берүү

smtpd_sender_restrictions = уруксат_сатуу_ тастыкталган,
 уруксат_мына түйүндөрү,
 Warn_if_reject татгалзуу_non_fqdn_sender,
 return_unknown_sender_domain,
 Rad_unauth_pipelining,
 уруксат берүү

smtpd_client_restrictions = accept_rbl_client sbl.spamhaus.org,
 четке кагуу_rbl_client blackholes.easynet.nl

# ЭСКЕРТҮҮ: "check_policy_service inet: 127.0.0.1: 10023" опциясы
# Postgrey программасын иштетет жана биз аны кошпошубуз керек
# болбосо, биз Postgrey колдонобуз

smtpd_recipient_restrictions = Rad_unauth_pipelining,
 уруксат_мына түйүндөрү,
 allow_sasl_аутентификацияланган,
 Rad_non_fqdn_recipient,
 четке кагуу
 четке кагуу,
 check_policy_service inet: 127.0.0.1: 10023,
 уруксат берүү

smtpd_data_restrictions = Rad_unauth_pipelining

smtpd_relay_restrictions = Rad_unauth_pipelining,
 уруксат_мына түйүндөрү,
 allow_sasl_аутентификацияланган,
 Rad_non_fqdn_recipient,
 четке кагуу
 четке кагуу,
 check_policy_service inet: 127.0.0.1: 10023,
 уруксат берүү
 
smtpd_helo_required = ооба
smtpd_delay_reject = ооба
disable_vrfy_command = ооба

Биз файлдарды түзөбүз / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, жана файлды өзгөртүү / etc / postfix / header_checks.

  • Ар бири түшүнгөн жана керек болгон варианттарын жарыялашы керек!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Эгерде бул файл өзгөртүлгөн болсо, анда # картаны иштетүүнүн кажети жок # Эрежелерди текшерүү үчүн, root катары чуркаңыз: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Кайра келиши керек: # Эреже # 2 Четке кагуу Спамга каршы билдирүү
/ viagra / Четке кагуу Эреже №1 Билдирүү бөлүгүнүн Анти-спам
/ super new v [i1] agra / REJECT No2 Эреже Анти-Спам билдирүүсүнүн негизги бөлүгү

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Өзгөртүүдөн кийин, аткарылышыңыз керек: # postmap / etc / postfix / accounts_ forwarding_copy
# жана файл түзүлөт же өлчөнөт: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # Бирөөнү жөнөтүү үчүн бир гана эсеп BCC көчүрмөсү # BCC = Кара көмүртек көчүрмөсү # Мисалы: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Файлдын аягына кошуңуз # Почта картасы талап кылынбайт, анткени алар туруктуу сөз айкаштары
/ ^ Тема: =? Big5? / Бул сервер тарабынан кабыл алынбаган Кытай кодировкасынан баш тартуу
/ ^ Тема: =? EUC-KR? / Бул сервер тарабынан корей кодировкасынан баш тартуу
/ ^ Темасы: ADV: / Четке кагуу Бул сервер тарабынан кабыл алынбаган жарнамалар
/^From:.*\@.*\.cn/ Четке кагуу Кечиресиз, бул жерде кытай почталарына уруксат жок
/^From:.*\@.*\.kr/ ЧЕК КЫЛГЫЛА Кечиресиз, бул жерге корей почтасына уруксат жок
/^From:.*\@.*\.tr/ ЧЕК КЫЛУУ Кечиресиз, түрк почтасы бул жерге киргизилбейт
/^From:.*\@.*\.ro/ ЧЕК КЫЛУУ Кечиресиз, Румыниянын каттарына бул жерде уруксат жок
/^(Received|Message-Id|X-(Mailer|Sender))..*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth from [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Массалык почта билдирүүлөрүнө тыюу салынат.
/ ^ Кимден: "спамер / Четке кагуу
/ ^ Кимден: "спам / Четке кагуу
/^Subject:.*viagra/ ЖОК
# Кооптуу кеңейтүүлөр
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Биз бул кеңейтүүлөр менен тиркемелерди кабыл албайбыз

Биз синтаксисти текшерип, Apache жана Postifx өчүрүп-күйгүзүп, Dovecotту иштетип баштайбыз

[root @ linuxbox ~] # постфиксти текшерүү
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl кайра башталат httpd
[root @ linuxbox ~] # systemctl абалы httpd

[root @ linuxbox ~] # systemctl кайра баштоо постфикси
[root @ linuxbox ~] # systemctl статусу постфикс

[root @ linuxbox ~] # systemctl статусу dovecot
● dovecot.service - Dovecot IMAP / POP3 электрондук почта сервери Жүктөлгөн: жүктөлгөн (/usr/lib/systemd/system/dovecot.service; өчүрүлгөн; сатуучу алдын-ала орнотулган: өчүрүлгөн) Активдүү: жигерсиз (өлүк)

[root @ linuxbox ~] # systemctl dovecot иштетүү
[root @ linuxbox ~] # systemctl dovecot башталат
[root @ linuxbox ~] # systemctl dovecot өчүрүп-күйгүзүү
[root @ linuxbox ~] # systemctl статусу dovecot

Консоль деңгээлиндеги текшерүүлөр

  • Башка программаларды орнотууну жана конфигурациялоону улантуудан мурун, SMTP жана POP кызматтарын минималдуу текшерүүдөн өткөрүү абдан маанилүү..

Сервердин өзүнөн жергиликтүү

Биз жергиликтүү колдонуучуга электрондук кат жөнөтөбүз леголалар.

[root @ linuxbox ~] # echo "Салам. Бул тесттик билдирүү" | mail -s "Test" legolas

Почта кутучасын текшеребиз леголалар.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Билдирүүдөн кийин Dovecot даяр! биз улантабыз:

---
+ Макул Dovecot даяр!
USER legolas + OK PASS legolas + OK Кирди. СТАТ + ОК 1 559 ТИЗМЕ + ОК 1 билдирүү: 1 559. RETR 1 + OK 559 октет Return-Path: X-Original-To: legolas жеткирилген: legolas@desdelinux.fan алынды: desdelinux.fan тарабынан (Postfix, userid 0 дан) id 7EA22C11FC57; Дүйшөмбү, 22-май 2017-жыл 10:47:10 -0400 (EDT) Дата: Дүйшөмбү, 22-май 2017-жыл 10:47:10 -0400 Кимге: legolas@desdelinux.fan Тема: Колдонуучу-Агенттик тест: Heirloom mailx 12.5 7/5 / 10 MIME версиясы: 1.0 Мазмун түрү: текст / жөнөкөй; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Кимден: root@desdelinux.fan (root) Салам. Бул сыноо билдирүүсү. ЧЫГЫҢЫЗ
[root @ linuxbox ~] #

LANдагы компьютерден алыстан башкаруу

Келгиле, дагы бир билдирүү жөнөтөбүз леголалар LANдагы башка компьютерден. Чакан жана орто бизнес тармагында TLS коопсуздугу талап кылынбайт.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-у "Салам" \
-m "Сиздин Buzz досуңуздан Леголаларга салам жолдойм" \
-s mail.desdelinux.fan -o tls = жок
22-май 10:53:08 sysadmin sendemail [5866]: Электрондук почта ийгиликтүү жөнөтүлдү!

Эгерде биз аркылуу байланышууга аракет кылсак telnet Желедеги хосттон - же албетте Интернеттен - Dovecotко чейин, төмөнкүлөр болот, анткени биз ачык тексттин аутентификациясын өчүрөбүз:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 192.168.10.5 аракет ...
Linuxbox.fromlinux.fan менен туташкан. Качуу белгиси '^]'. + Макул Dovecot даяр! колдонуучу legolas
-ERR [AUTH] Коопсуз эмес (SSL / TLS) туташууларда жөнөкөй тексттин аныктыгын текшерүүгө тыюу салынган.
чыгуу + OK Чыгуу Байланыш чет элдик хост тарабынан жабылган.
buzz @ sysadmin: ~ $

Биз муну кылдаттык менен аткарышыбыз керек OpenSSL. Буйруктун толук чыгышы:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
БАЙЛАНЫШТУУ (00000003)
тереңдик = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Энтузиастар, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
текшерүү катасы: num = 18: өзү кол койгон тастыктама тастыктоону кайтаруу: 1
тереңдик = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Энтузиастар, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan кайтарууну текшерет: 1
--- Тастыктамалар тизмеги 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Сервер сертификаты ----- БАШТАЛГАН СЕРТИФИКАТ-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ БНК m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END КАТ аты = / C = КС / ST = Куба / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Клиенттин тастыктамасы жок, CA ысымдары Сервердин Темп ачкычы: ECDH, secp384r1, 384 бит --- SSL кол алышуу 1342 байт окуп, 411 байт жазды --- Жаңы, TLSv1 / SSLv3 , Шифр ​​ECDHE-RSA-AES256-GCM-SHA384 Сервердин ачык ачкычы - 1024 бит Коопсуз Кайрадан сүйлөшүү колдоого алынат Компрессия: NONE Expansion: NONE SSL-Session: Protocol: TLSv1.2 Cipher: ECDHE-RSA-AES256-GCM-SHA384 Session- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 ачыш-С: Бироо да Krb5 Негизги: Бироо да PSK аныктык: Бироо да PSK аныктык кыйытма: HS 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 ачыш-С: Бироо да Krb4 Негизги: Бироо да 7 PSK аныктык: Бироо да PSK аныктык кыйытма: HS 1TLS сессиясы XNUMX секунд XNUMX е бири-XNUMX-сессиясы XNUMX тлф XNUMX секунд билет fXNUMXfXNUMX билет ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Макул Dovecot даяр!
USER legolas
+ Макул
PASS legolas
+ OK Кирди.
ТИЗМЕСИ
+ OK 1 билдирүү: 1 1021.
RETR 1
+ OK 1021 октет Return-Path: X-Original-To: legolas@desdelinux.fan Жеткирилген: legolas@desdelinux.fan алынды: sysadmin.desdelinux.fan дан (шлюз [172.16.10.1]) desdelinux.fan (Postfix) менен ESMTP id 51886C11EC8 ; Дүйшөмбү, 0-Май 22-жыл 2017:15:09 -11 (EDT) Билдирүү-ID: <0400-sendEmail@sysadmin> Кимден: "buzz@deslinux.fan" Кимге: "legolas@desdelinux.fan" Темасы: Саламатсызбы Дата: Дүйшөмбү, 919362.931369932 Май 22 2017:19:09 +11 X-Mailer: sendEmail-0000 MIME-Нускасы: 1.56 Мазмун-Түрү: көп бөлүк / байланыштуу; border = "---- sendEmail-1.0 үчүн MIME бөлүүчү" Бул MIME форматындагы көп бөлүктөн турган билдирүү. Бул билдирүүнү туура көрсөтүү үчүн MIME-Version 365707.724894495 шайкеш келген электрондук почта программасы керек. ------ sendEmail-1.0 үчүн MIME бөлүштүргүч Мазмун-түрү: текст / жөнөкөй; charset = "iso-365707.724894495-8859" Content-Transfer-Encoding: 1bit саламдашуу Legolas досуңуздан Buzz ------ MIME бөлүү үчүн sendEmail-7--.
ЧЫГУУ
+ OK Кирүү. жабык
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail толугу менен PHPде жазылган веб-кардар. Ал IMAP жана SMTP протоколдору үчүн жергиликтүү PHP колдоосун камтыйт жана колдонулуп жаткан ар кандай браузерлер менен максималдуу шайкештикти камсыз кылат. Ал каалаган IMAP серверинде туура иштейт. Электрондук почта кардарынан MIME колдоосу, дарек китеби жана папканы башкарууну талап кылган бардык функциялары бар.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # кызматы httpd өчүрүп-күйгүзүү

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # кызматы httpd кайра жүктөө

DNS саясатынын алкагын же SPF жазуусун жөнөтүү

макала NSD Authoritarian DNS Server + Shorewall "Desdelinux.fan" аймагы төмөнкүдөй конфигурациялангандыгын көрдүк:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN linux.fan дан. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; сериялык 1D; сергитүү 1Н; кайрадан 1W аракет; 3H мөөнөтү бүтөт); минимум же; Жашоо үчүн терс кэш убактысы; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Linux.fan @ IN A 172.16.10.10 казуу суроолорун чечүү үчүн журнал; ns IN linux.fan дан CNAME IN 172.16.10.30 почта. linux.fan дан CNAME менен баарлашуу. www INAME IN linux.fan дан. ; ; XMPPге байланыштуу SRV жазуулары
_xmpp-server._tcp IN SRV 0 0 5269 linux.fan дан. _xmpp-client._tcp IN SRV 0 0 5222 linux.fan дан. _jabber._tcp IN SRV 0 0 5269 linux.fan дан.

Анда реестр жарыяланган:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Ошол эле параметрди чакан жана орто бизнес тармагы үчүн же LAN үчүн конфигурациялоо үчүн, Dnsmasq конфигурация файлын төмөнкүдөй өзгөртүү керек:

# TXT жазуусу. Ошондой эле SPF жазуусун жарыялай алабыз txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Андан кийин биз кызматты кайра баштайбыз:

[root @ linuxbox ~] # кызматы dnsmasq өчүрүп-күйгүзүү
[root @ linuxbox ~] # кызматы dnsmasq абалы [root @ linuxbox ~] # хост -t TXT mail.fromlinux.fan mail.fromlinux.fan fromlinux.fan үчүн лакап ат. desdelinux.fan сүрөттөөчү текст "v = spf1 a: mail.desdelinux.fan -all"

Өз алдынча кол коюлган сертификаттар жана Apache же httpd

Сиздин браузерде сизге «ээси mail.fromlinux.fan Вебсайтыңызды туура эмес конфигурациялагансыз. Маалыматтарыңыз уурдалып кетпеши үчүн, Firefox бул вебсайтка туташкан жок ”деп, мурда түзүлгөн сертификат ЭЧ КҮЧҮ ЖОК, жана биз сертификатты кабыл алгандан кийин, кардар менен сервердин ортосундагы эсептик дайындардын шифрленген түрүндө саякатташына мүмкүнчүлүк берет.

Кааласаңыз жана күбөлүктөрдү унификациялоонун жолу катары, Apache үчүн Postfixке жарыялаган сертификаттарыңызды туура деп жарыялай аласыз, бул туура.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # кызматы httpd өчүрүп-күйгүзүү
[root @ linuxbox ~] # кызмат httpd абалы

Diffie-Hellman Group

Коопсуздук маселеси Интернетте күн сайын татаалдашууда. Байланыштарга кеңири тараган кол салуулардын бири SSL, ал бы Logjam жана андан коргонуу үчүн SSL конфигурациясына стандарттуу эмес параметрлерди кошуу керек. Бул үчүн бар RFC-3526 «Көбүрөөк модулдук экспоненциалдык (MODP) Диффи-Хеллман топтор Интернет ачкычын алмашуу үчүн (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 жеке / dhparams.pem

Орноткон Apache версиясына ылайык, биз Diffie-Helman тобун файлдан колдонобуз /etc/pki/tls/dhparams.pem. Эгер бул 2.4.8 же андан кийинки версия болсо, анда файлга кошушубуз керек болот /etc/httpd/conf.d/ssl.conf төмөнкү сап:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Биз колдонгон Apache версиясы:

[root @ linuxbox tls] # yum info httpd
Жүктөлгөн плагиндер: fastestmirror, langpacks Кэштелген хост файлынан күзгү ылдамдыгын жүктөө Орнотулган таңгактар ​​Аты: httpd Архитектура: x86_64
Нускасы: 2.4.6
Чыгарылышы: 45.el7.centos Көлөм: 9.4 M Репозиторий: орнотулган Репозиторийден: Base-Repo Жыйынтык: Apache HTTP Server URL: http://httpd.apache.org/ Лицензия: ASL 2.0 Сыпаттама: Apache HTTP Сервер , натыйжалуу жана кеңейтилүүчү: веб-сервер.

2.4.8ге чейинки нускабыз болгондуктан, мурун түзүлгөн CRT сертификатынын аягында Diffie-Helman Groupтун мазмунун кошумчалайбыз:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

DH параметрлеринин CRT сертификатына туура кошулгандыгын текшергиңиз келсе, төмөнкү буйруктарды аткарыңыз:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- DH ПАРАМЕТРЛЕРИН БАШТАҢЫЗ -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH DH ПАРАМЕТРЛЕРИ -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH DH ПАРАМЕТРЛЕРИ -----

Бул өзгөртүүлөрдөн кийин, биз Postfix жана httpd кызматтарын кайрадан башташыбыз керек:

[root @ linuxbox tls] # кызмат постфиксин өчүрүп-күйгүзүү
[root @ linuxbox tls] # кызмат постфиксинин абалы
[root @ linuxbox tls] # кызматы httpd өчүрүп-күйгүзүү
[root @ linuxbox tls] # кызмат httpd абалы

Diffie-Helman тобун биздин TLS сертификаттарга кошуу HTTPS аркылуу туташууну бир аз жайыраак кылышы мүмкүн, бирок коопсуздукту кошуу татыктуу.

Squirrelmail текшерилүүдө

АНДА тастыктамалар туура түзүлгөндүгүн жана алардын туура иштешин консоль буйруктары аркылуу текшергенибизди жактырган браузериңизди URL дарегине буруңуз http://mail.desdelinux.fan/webmail жана ал тиешелүү сертификатты кабыл алгандан кийин веб кардарга туташат. Белгилей кетүүчү нерсе, сиз HTTP протоколун көрсөткөнүңүз менен, сиз HTTPSке багытталасыз жана бул CentOS Squirrelmail үчүн сунуш кылган демейки жөндөөлөргө байланыштуу. Файлды караңыз /etc/httpd/conf.d/squirrelmail.conf.

Колдонуучунун почта ящиктери жөнүндө

Dovecot папкасында IMAP почта ящиктерин түзөт үй ар бир колдонуучунун:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
бардыгы 12 drwxrwx ---. 5 legolas mail 4096 22 май 12:39. drwx ------. 3 legolas legolas 75 22 май 11:34 .. -rw -------. 1 legolas legolas 72 22 май 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 май 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22 май 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22 май 10:23 INBOX drwx ------. 2 legolas legolas 56 22 май 12:39 Жөнөтүлдү drwx ------. 2 legolas legolas 30 май 22 11:34 Таштанды

Алар ошондой эле / var / mail / ичинде сакталат

[root @ linuxbox ~] # аз / var / mail / legolas
MAILER_DAEMON Дүйшөмбү 22 Май 10:28:00 2017 Дата: Дүйшөмбү, 22 Май 2017 10:28:00 -0400 Кимден: Почта Тутумунун Ички Маалыматтары Тема: БУЛ ХАБАРДЫ ӨЧҮРБӨӨҢҮЗ - ИЧКИ ДАТАЛАР ПОЧКАСЫ Билдирүүнүн идентификатору: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Абалы: RO Бул текст сиздин почта папкаңыздын ички форматына кирген жана чыныгы билдирүү эмес. Ал автоматтык түрдө почта тутумунун программасы аркылуу түзүлөт. Жок кылынса, маанилүү папка дайындары жоголот жана баштапкы маанилерге кайтарылып берилиштер менен кайрадан түзүлөт. Root@desdelinux.fan дан Дүйшөмбү, 22-май 10:47:10 2017 Кайтып келүү жолу: X-Original-To: legolas жеткирилген: legolas@desdelinux.fan алынды: desdelinux.fan тарабынан (Postfix, userid 0 дан) id 7EA22C11FC57; Дүйшөмбү, 22-май 2017-жыл 10:47:10 -0400 (EDT) Дата: Дүйшөмбү, 22-май 2017-жыл 10:47:10 -0400 Кимге: legolas@desdelinux.fan Тема: Колдонуучу-Агенттик тест: Heirloom mailx 12.5 7/5 / 10 MIME версиясы: 1.0 Мазмун түрү: текст / жөнөкөй; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Кимден: root@desdelinux.fan (root) X-UID: 7 Статус: RO Салам. Бул тесттик билдирүү Buzz@deslinux.fan Дүйшөмбү 22-май 10:53:08 2017 Кайтып келүү жолу: X-Original-To: legolas@desdelinux.fan Жеткирилген: legolas@desdelinux.fan алынды: sysadmin.desdelinux.fan дан (шлюз [172.16.10.1]) desdelinux.fan (Postfix) менен ESMTP id C184DC11 ; Дүйшөмбү, 57-май 22-жыл 2017:10:53 -08 (EDT) Билдирүү-ID: <0400-sendEmail@sysadmin> Кимден: "buzz@deslinux.fan" Кимге: "legolas@desdelinux.fan" Темасы: Саламатсызбы Дата: Дүйшөмбү, 739874.219379516 Май 22-жыл 2017:14:53 +08 X-Mailer: sendEmail-0000 MIME-Нускасы: 1.56 Мазмун-түрү: көп бөлүк / байланыштуу; border = "---- sendEmail-1.0 үчүн MIME бөлүүчү
/ var / mail / legolas

PAM miniseries жөнүндө кыскача маалымат

Биз Почта Серверинин өзөгүн карап чыгып, коопсуздукка бир аз басым жасадык. Макала почта Серверин кол менен ишке ашыруу сыяктуу татаал жана ката кетирүүчү темага кирүү чекити катары кызмат кылат деп ишенебиз.

Жергиликтүү колдонуучунун аутентификациясын колдонобуз, анткени файлды туура окусак /etc/dovecot/conf.d/10-auth.conf, биз аягында анын киргенин көрөбүз -демейки боюнча- тутумдун колдонуучуларынын аутентификация файлы ! auth-system.conf.ext камтыйт. Так ушул файл анын баш жагында мындай дейт:

[root @ linuxbox ~] # азыраак /etc/dovecot/conf.d/auth-system.conf.ext
# Системанын колдонуучулары үчүн аутентификация. 10-auth.conf дан киргизилген. # # # # PAM аныктыгын текшерүү. Бүгүнкү күндө көпчүлүк системалар артыкчылык беришет.
# PAM адатта userdb passwd же userdb static менен колдонулат. # ЭСИҢИЗДЕ: Чындыгында иштөө үчүн сизге PAM # аныктыгын текшерүү үчүн түзүлгөн /etc/pam.d/dovecot файлы керек болот. passdb {драйвер = пам # [сессия = ооба] [setcred = ооба] [fail_show_msg = ооба] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Ал эми башка файл бар /etc/pam.d/dovecot:

[root @ linuxbox ~] # мышык /etc/pam.d/dovecot 
#% PAM-1.0 auth талап pam_nologin.so auth кирет пароль-auth эсеп жазуусу пароль-auth сессиясы камтылат password-auth

PAM аутентификациясы жөнүндө эмнени билдирүүгө аракет кылып жатабыз?

  • CentOS, Debian, Ubuntu жана башка көптөгөн Linux дистрибутивдери Postifx жана Dovecot программаларын демейки шартта иштетилген жергиликтүү аныктыгын текшерүү менен орнотушат.
  • Интернеттеги көптөгөн макалалар колдонуучуларды жана Почта серверине байланыштуу башка маалыматтарды сактоо үчүн MySQLди жана жакында MariaDBди колдонушат. БИРОК бул жүздөгөн колдонуучулары бар, балким, классикалык чакан жана орто бизнес тармагы үчүн эмес, МЫҢ КОЛДОНУУЧУЛАР үчүн серверлер.
  • PAM аркылуу аутентификация тармактык кызматтарды көрсөтүү үчүн зарыл жана жетиштүү, эгерде алар бир серверде иштесе, биз ушул мини-серияларда байкадык.
  • LDAP маалымат базасында сакталган колдонуучулар жергиликтүү колдонуучулардай болуп картага түшүрүлүп, PAM аутентификациясы LDAP кардары катары иштеген ар кандай Linux серверлеринен борбордук аутентификация серверине тармактык кызматтарды көрсөтүү үчүн колдонулушу мүмкүн. Ошентип, биз LDAP серверинин борбордук маалымат базасында сакталган колдонуучулардын маалыматтары менен иштешмекпиз жана жергиликтүү колдонуучулар менен маалымат базасын жүргүзүү ЭҢ КЕРЕК эмес.

Кийинки укмуштуу окуяга чейин!


Макаланын мазмуну биздин принциптерге карманат редакциялык этика. Ката жөнүндө кабарлоо үчүн чыкылдатыңыз бул жерде.

9 комментарий, өзүңүздүкүн калтырыңыз

Комментарий калтырыңыз

Сиздин электрондук почта дареги жарыяланбайт. Милдеттүү талаалар менен белгиленет *

*

*

  1. Маалыматтар үчүн жооптуу: Мигель Анхель Гатан
  2. Маалыматтын максаты: СПАМды көзөмөлдөө, комментарийлерди башкаруу.
  3. Мыйзамдуулук: Сиздин макулдугуңуз
  4. Маалыматтарды берүү: Маалыматтар үчүнчү жактарга юридикалык милдеттенмелерден тышкары билдирилбейт.
  5. Маалыматтарды сактоо: Occentus Networks (ЕС) тарабынан уюштурулган маалыматтар базасы
  6. Укуктар: Каалаган убакта маалыматыңызды чектеп, калыбына келтирип жана жок кыла аласыз.

  1.   кескелдирик ал мындай деди:

    Иш жүзүндө бул бир нече sysadmin катуу баш оорусун алып келүүчү процесс деп ишенип койгула, мен келечекте өз электрондук почталарын башкарууну каалагандар үчүн колдонмо болот деп ишенем. postfix, dovecot, squirrelmail интеграциялоо ..

    Мактоого татыктуу салымыңыз үчүн чоң рахмат,

  2.   Darko ал мындай деди:

    Эмне үчүн MailPile, коопсуздук маселесине келгенде, PGP менен колдонууга болбойт? Ошондой эле Roundcube кыйла интуитивдүү интерфейске ээ жана PGPди интеграциялай алат.

  3.   Мартин ал мындай деди:

    3 күн мурун постту окудум, кантип рахмат айтарымды билем. Почта серверин орнотууну пландабайм, бирок башка колдонмолор үчүн пайдалуу сертификаттардын түзүлүшүн көрүү ар дайым пайдалуу жана бул окуу куралдары дээрлик бүтпөйт (айрыкча, centOS колдонгондо).

  4.   Federico ал мындай деди:

    Мануэль Киллеро: Postfix жана Dovecot негизделген почта серверинин минималдуу өзөгү болгон бул макалаңызды блогуңузга шилтеме бергендигиңиз үчүн рахмат.

    Кескелдирик: Адаттагыдай эле, сиздин бааңыз абдан жакшы кабыл алынды. Рахмат сага.

    Дарко: Менин макалаларымдын дээрлик көпчүлүгүндө аздыр-көптүр "Ар ким кызматты өзүнө жаккан программалар менен ишке ашырат" деп айтып жатам. Комментарий үчүн рахмат.

    Мартин: Макаланы окуганыңыз үчүн дагы сизге рахмат жана ал сиздин ишиңизге жардам берет деп ишенем.

  5.   Zodiac Carburus ал мындай деди:

    Укмуш макала досу Федерико. Ушундай жакшы туто үчүн чоң рахмат.

  6.   архий ал мындай деди:

    Электрондук кат кошкон сайын тутум колдонуучусун түзбөш үчүн "виртуалдык колдонуучуларды" колдонсом дагы жакшы, рахмат, мен көптөгөн жаңы нерселерди үйрөндүм жана ушул посттун түрү мен күттүм

  7.   Вилтонон Асеведо Руэда ал мындай деди:

    Саламатсыздарбы,

    Аларга fedora каталог сервери + postifx + dovecot + thunderbird же Outlook менен бир нерсени жасоого үндөшөт.

    Менин бир бөлүгүм бар, бирок тыгылып калдым, документти @desdelinux жамаатына кубаныч менен бөлүшмөкмүн

  8.   phico ал мындай деди:

    3000ден ашык зыяратка жетет деп ойлогон эмесмин !!!

    Салам Кескелдирик!

  9.   Darkend ал мындай деди:

    Мыкты окуу курбусу.
    Debian 10 үчүн Samba4 орнотулган Active Directory колдонуучулары менен жасай аласыңарбы ???
    Менин оюмча, ал дээрлик бирдей болот, бирок аутентификация түрүн өзгөртөт.
    Өзүңүз кол койгон сертификаттарды түзүүгө арналган бөлүм абдан кызыктуу.