Postfix + Dovecot + Squirrelmail a lokal Benotzer - SMB Netzwierker

Allgemeng Index vun der Serie: Computernetzwierker fir PMEen: Aféierung

Dësen Artikel ass d'Fortsetzung an déi lescht vun de Miniserien:

• Squid + PAM Authentifikatioun op CentOS 7.
• Lokal Benotzer- a Gruppemanagement
• NSD Autoritäre DNS Server + Shorewall
• Prosody IM a lokal Benotzer
  

Hallo Frënn a Frënn!

der Begeeschterten si wëllen hiren eegene Mail Server hunn. Si wëllen net Servere benotzen, wou "Privatsphär" tëscht Fraemarken ass. Déi Persoun déi verantwortlech ass fir de Service op Ärem klenge Server z'implementéieren ass net e Spezialist am Thema a probéiert am Ufank de Kär vun engem zukünftegen a komplette Mailserver ze installéieren. Ass datt d '"Gleichungen" fir e Full Mailserver ze maachen e bësse schwéier ze verstoen an uwenden. 😉

Marginnnotatiounen

• Et ass néideg kloer ze sinn wéi eng Funktiounen all Programm involvéiert an engem Mailserver ausféiert. Als initial Guide gi mir eng ganz Rei nëtzlech Links mat dem deklaréierten Zweck datt se besicht ginn.
• E komplette Mail Service manuell a vun Ufank un ëmzesetzen ass en anstrengende Prozess, ausser Dir sidd ee vun de "Chosen" déi all Dag dës Aufgab maachen. E Mail Server gëtt geformt - op allgemeng Manéier - vu verschiddene Programmer déi separat behandelen Simple, POP / IMAP, Lokal Lagerung vu Messagen, Aufgaben am Zesummenhang mat der Behandlung vun der Konklusiounen, Antivirus, asw. ALL vun dëse Programmer musse korrekt matenee kommunizéieren.
• Et gëtt keng Gréisst ugepasst fir all oder "best practices" fir d'Benotzer ze managen; wou a wéi een Noriichte späichert, oder wéi een all Komponente als eenzeg Ganzt funktionéiere léisst.
• D'Versammlung an d'Tuning vun engem Mailserver tendéiert zu onbequemen a Saache wéi Permissiounen a Dateiebesëtzer, wielt wéi ee Benotzer verantwortlech ass fir e gewësse Prozess an a klenge Feeler an enger esoterescher Konfiguratiounsdatei gemaach.
• Ausser Dir wësst ganz gutt wat Dir maacht, ass d'Enn vum Resultat en onsécher oder liicht net-funktionelle Mail Server. Dat um Enn vun der Ëmsetzung Et funktionnéiert net, et wäert méiglecherweis de manner vun de Béisen.
• Mir fannen um Internet eng gutt Unzuel u Rezepter wéi een e Mail Server maacht. Ee vun de komplettsten -a menger ganz perséinlecher Meenung- ass deen vum Autor ugebueden ivar abrahamsen a senger dräizéngter Editioun vum Januar 2017 «Wéi e Mailserver op e GNU / Linux System opbaut".
• Mir recommandéieren och den Artikel ze liesen «E Mailserver op Ubuntu 14.04: Postfix, Dovecot, MySQL«, oder «E Mailserver op Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Richteg. Déi bescht Dokumentatioun an dëser Hisiicht kann op Englesch fonnt ginn.
  • Och wa mir ni e Mailserver trei maachen, guidéiert vun der Wéi ... am fréiere Paragraph ernimmt, de blote Fakt vu Schrëtt no Schrëtt no gëtt eis eng ganz gutt Iddi wat mir wäerte konfrontéieren.
• Wann Dir e komplette Mailserver an nëmmen e puer Schrëtt wëllt hunn, kënnt Dir d'Bild eroflueden iRedOS-0.6.0-CentOS-5.5-i386.iso, oder kuckt no enger méi moderner, sief et iRedOS oder iRedMail. Et ass de Wee deen ech perséinlech empfeelen.

Mir installéieren a konfiguréieren:

• post fix als Server MKnuewelek Transport Agent (SMTP).
• Dovecot als POP - IMAP Server.
• Zertifikater fir Verbindungen duerch TLS.
• Kaweechelcher als Webinterface fir Benotzer.
• DNS Rekord relativ zu «Sender Politik Framework»Oder SPF.
• Modul Generatioun Diffie Hellman Group fir d'Sécherheet vu SSL Zertifikaten ze erhéijen.

Et bleift ze maachen:

Op d'mannst déi folgend Servicer bleiwe weider ëmzesetzen:

• Postgrau: Postfix Server Politik fir Grey Lists a refuséiert Junk Mail.
  
• Amavisd-nei: Skript deen en Interface tëscht dem MTA, a Virusscanneren an Inhaltsfilter erstellt.
• Clamav Antivirus: Antivirus Suite
• SpamAssassin: Junk Mail extrahieren
• Raséierapparat (pyzor): SPAM Erfaassen duerch e verdeelt a kollaborativt Netzwierk. De Vipul Razor Netz hält en aktualiséierte Katalog vun der Ausbreedung vu Junk Mail oder SPAM.
• DNS Record "DomainKeys Identified Mail" oder DKIM.

Packagen postgrey, amavisd-nei, clamav, spamassassin, Raséierapparat y pyzor Si ginn an de Programmrepositories fonnt. Mir wäerten och de Programm fannen oppenkim.

• Déi korrekt Deklaratioun vun den DNS records "SPF" an "DKIM" ass essentiell wa mir net wëllen datt eise Mail Server just a Betrib geholl gëtt, ongewollt deklaréiert gëtt oder e Produzent vu SPAM oder Junk Mail, vun anere Mail Servicer wéi z. Gmail, Yahu, Hotmail, asw.

Éischt Kontrollen

Denkt drun datt dësen Artikel eng Fortsetzung vun aneren ass déi ufänken Squid + PAM Authentifikatioun op CentOS 7.

Ens32 LAN Interface verbonne mam Internen Netzwierk

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = ëffentlech

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN Interface verbonne mam Internet

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = jo BOOTPROTO = statesch HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nee IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Den ADSL Router ass mat # dëser Interface mat # folgender Adress verbonne IP GATEWAY = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = extern

DNS Resolutioun vum LAN

[root @ linuxbox ~] # cat /etc/resolv.conf Sich vu linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # Host Mail
mail.desdelinux.fan ass en Alias ​​fir linuxbox.desdelinux.fan. linuxbox.desdelinux.fan huet Adress 192.168.10.5 linuxbox.desdelinux.fan Mail gëtt vun 1 mail.desdelinux.fan gehandhabt.

[root @ linuxbox ~] # Host mail.fromlinux.fan
mail.desdelinux.fan ass en Alias ​​fir linuxbox.desdelinux.fan. linuxbox.desdelinux.fan huet Adress 192.168.10.5 linuxbox.desdelinux.fan Mail gëtt vun 1 mail.desdelinux.fan gehandhabt.

DNS Resolutioun vum Internet

buzz @ sysadmin: ~ $ Host mail.fromlinux.fan 172.16.10.30
Benotzt Domain Server: Numm: 172.16.10.30 Adress: 172.16.10.30 # 53 Aliasen: mail.desdelinux.fan ass en Alias ​​fir desdelinux.fan.
vu linux.fan huet Adress 172.16.10.10
desdelinux.fan Mail gëtt vun 10 mail.desdelinux.fan gehandhabt.

Probleemer fir den Hostnumm "desdelinux.fan" lokal ze léisen

Wann Dir Problemer hutt den Hostnumm ze léisen «fromlinux.fan" vum Lan, probéiert d'Dateilinn ze kommentéieren /etc/dnsmasq.conf wou et deklaréiert gëtt lokal = / vu linux.fan /. Duerno starten d'Dnsmasq neu.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentéiert d'Linn drënner:
# lokal = / desdelinux.fan /

[root @ linuxbox ~] # Service dnsmasq neu starten
Viruleedung op / bin / systemctl neu starten dnsmasq.service

[root @ linuxbox ~] # Service dnsmasq Status

[root @ linuxbox ~] # Host vun linux.fan
desdelinux.fan huet Adress 172.16.10.10 desdelinux.fan Mail gëtt vun 10 mail.desdelinux.fan gehandhabt.

Postfix an Dovecot

Déi ganz extensiv Dokumentatioun vum Postfix an Dovecot fannt Dir op:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LIZENZ README-Postfix-SASL-RedHat.txt KOMPATIBILITÉIT main.cf.default TLS_ACKNOWLEDGEMENTS Beispiller README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTHORS COPYING.MIT dovecot-openssl.cnf NEWS wiki COPYING ChangeLog Beispill-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

Am CentOS 7 ass de Postfix MTA par défaut installéiert wa mir d'Optioun vun engem Infrastructure Server wielen. Mir musse kontrolléieren datt de SELinux Kontext et erlaabt ze Potfix an der lokaler Noriichteschlau ze schreiwen:

[root @ linuxbox ~] # getsebool -a | grep Postfix
postfix_local_write_mail_spool -> on

Ännerungen an der FirewallD

Mat der grafescher Interface fir d'FirewallD ze konfiguréieren, musse mir sécher sinn datt déi folgend Servicer a Ports fir all Zone aktivéiert sinn:

# ------------------------------------------------- -----
# Fixes an der FirewallD
# ------------------------------------------------- -----
#firewall
# Ëffentlech Zone: http, https, imap, pop3, smtp Servicer
# Ëffentlech Zone: Häfen 80, 443, 143, 110, 25

# Extern Zone: http, https, imap, pop3s, smtp Servicer
# Extern Zone: Häfen 80, 443, 143, 995, 25

Mir installéieren Dovecot an noutwendeg Programmer

[root @ linuxbox ~] # yum installéiert Dovecot mod_ssl procmail Telnet

Minimum Dovecot Konfiguratioun

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
Protokollen =imap pop3 lmtp
lauschtert =*, ::
login_ Begréissung = Dovecot ass prett!

Mir deaktivéieren explizit Dovecot's Kloertext Authentifikatioun:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = jo

Mir deklaréieren d'Grupp mat den néidege Privilegien fir mam Dovecot ze interagéieren, an d'Location vun de Messagen:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = Mail
mail_access_groups = Mail

Zertifikater fir den Dovecot

Dovecot generéiert automatesch Är Testzertifikater baséiert op den Date vun der Datei /etc/pki/dovecot/dovecot-openssl.cnf. Fir nei Zertifikaten no eisen Ufuerderunge generéiert ze kréien, musse mir folgend Schrëtt ausféieren:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
Hattrick ) L = Habana # Organisatioun (z. B. Firma) O = FromLinux.Fan # Organisatoresch Eenheetsnumm (z. B. Sektioun) OU = Enthusiasten # Gemeinsamen Numm (*. Beispill.com ass och méiglech) CN = *. Desdelinux.fan # E -mail Kontakt E-Mail Adresse = buzz@desdelinux.fan [cert_type] nsCertType = Server

Mir eliminéieren Testzertifikater

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: läscht déi regulär Datei "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm privat / dovecot.pem 
rm: läscht déi regulär Datei "privat / dovecot.pem"? (y / n) y

Mir kopéieren an exekutéieren de Skript mkcert.sh aus dem Dokumentatiounsverzeechnes

[root @ linuxbox Dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox Dovecot] # bash mkcert.sh 
Generéiere en 1024 Bit RSA private Schlëssel ...... ++++++ ................ ++++++ Schreiwen neie private Schlëssel op '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Fangerofdrock = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox Dovecot] # ls -l certs /
insgesamt 4 -rw -------. 1 Rootwurzel 1029 22. Mee 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privat /
insgesamt 4 -rw -------. 1 Rootwurzel 916 22. Mee 16:08 dovecot.pem

[root @ linuxbox dovecot] # Service dovecot neu starten
[root @ linuxbox dovecot] # Service dovecot Status

Zertifikater fir Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -noden -newkey rsa: 4096 -deeg 1825 \ -out certs / desdelinux.fan.crt -keyout privat / desdelinux.fan.key

Generéiere vun engem 4096 Bit RSA private Schlëssel ......... ++ .. ++ Schreiwen neie private Schlëssel op 'private / domain.tld.key' ----- Dir sidd ongeféier gefrot fir Informatiounen anzeginn dat gëtt an Är Zertifika Ufro agebaut. Wat Dir amgaang sidd anzeginn ass wat en Distinguished Name oder en DN genannt gëtt. Et gi relativ vill Felder awer Dir kënnt e puer eidel loossen Fir verschidde Felder gëtt et e Standardwäert, Wann Dir '.' Agitt, gëtt d'Feld eidel gelooss. ----- Land Numm (2 Buschtawekode) [XX]: CU Staat oder Provënz Numm (voll Numm) []: Kuba Uertschaftsnumm (z. B. Stad) [Standard Stad]: Habana Organisatioun Numm (z. B. Firma) [ Standard Company Ltd]: FromLinux.Fan Organizational Unit Name (zB Sektioun) []: Enthusiasts Common Name (zB Ären Numm oder Ärem Server Hostname) []: desdelinux.fan E-Mail Adress []: buzz@desdelinux.fan

Minimal Postfix Konfiguratioun

Mir addéieren um Enn vun der Datei / etc / Aliasen déi nächst:

root: Buzz

Fir d'Ännerunge fir effektiv ze ginn, féiere mir de folgenden Kommando aus:

[root @ linuxbox ~] # nei Aliasen

D'Postifx Konfiguratioun kann gemaach ginn andeems Dir d'Datei direkt ännert /etc/postfix/main.cf oder per Kommando postconf -e oppassen datt all de Parameter dee mir änneren oder bäifüüge spigelen an enger eenzeger Zeil vun der Konsole:

• Jiddereen muss d'Optiounen deklaréieren déi se verstoen a brauchen!.

[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Mir addéieren um Enn vun der Datei /etc/postfix/main.cf d'Optiounen hei ënnendrënner. Fir d'Bedeitung vun jidderengem vun hinnen ze wëssen, empfehle mir d'begleedend Dokumentatioun ze liesen.

biff = nee
append_dot_mydomain = nee
delay_warning_time = 4h
readme_directory = nee
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = jo
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maximal Bréifkëscht Gréisst 1024 Megabyte = 1 g a g
mailbox_size_limit = 1073741824

recipient_delimiter = +
maximal_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Konten déi eng Kopie vun Entréeën Mailen op en anere Kont schécken
recipient_bcc_maps = Hash: / etc / postfix / accounts_ forwarding_copy

Déi folgend Zeilen si wichteg fir ze bestëmmen, wien e Mail ka schécken a weidergeleet op aner Serveren, sou datt mir net zoufälleg en "oppent Relais" konfiguréieren, dat et net autoriséiert Benotzer erlaabt Mail ze schécken. Mir mussen d'Postfix Hëllefsäiten konsultéieren fir ze verstoen wat all Optioun bedeit.

• Jiddereen muss d'Optiounen deklaréieren déi se verstoen a brauchen!.

smtpd_helo_restrictions = Permis_Mynetwierker,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 ufroen

smtpd_sender_restrictions = Permis_sasl_authentizéiert,
 Permis_Mynetwierker,
 warn_if_reject reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 ufroen

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# NOTÉIERT: D'Optioun "check_policy_service inet: 127.0.0.1: 10023"
# aktivéiert de Postgrey Programm, a mir sollten et net abannen
# soss wäerte mir Postgrey benotzen

smtpd_recipient_restrictions = reject_unauth_pipelining,
 Permis_Mynetwierker,
 Permis_sasl_authentizéiert,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 refuséieren_unauth_destinatioun,
 check_policy_service inet: 127.0.0.1: 10023,
 ufroen

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 Permis_Mynetwierker,
 Permis_sasl_authentizéiert,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 refuséieren_unauth_destinatioun,
 check_policy_service inet: 127.0.0.1: 10023,
 ufroen
 
smtpd_helo_required = jo
smtpd_delay_reject = jo
disable_vrfy_command = jo

Mir kreéieren d'Dateien / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, a mir änneren d'Datei / etc / postfix / header_checks.

• Jiddereen muss d'Optiounen deklaréieren déi se verstoen a brauchen!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Wann dës Datei geännert gëtt, ass et net néideg # Postmap auszeféieren # Fir d'Regelen ze testen, lafen als root: # Postmap -q 'super nei v1agra' regexp: / etc / postfix / body_checks
# Sollt zréck: # REJECT Regel # 2 Anti Spam Message Body
/ viagra / REJECT Regel # 1 Anti Spam vum Message Kierper
/ super nei v [i1] agra / REJECT Regel # 2 Anti Spam Message Kierper

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# No der Ännerung musst Dir ausféieren: # Postmap / etc / postfix / accounts_ forwarding_copy
# an d'Datei gëtt erstallt oder gemooss: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Een eenzege Kont fir e weiderginn BCC Kopie # BCC = Black Carbon Copy # Beispill: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ Linuxbox ~] # Postmap / etc / postfix / accounts_ forwarding_copy

[root @ Linuxbox ~] # nano / etc / postfix / header_checks
# Füügt um Enn vun der Datei bäi # NET Fuerdert Postmap well se Regular Expressiounen sinn
/ ^ Betreff: =? Big5? / REJECT Chinesesch Kodéierung net vun dësem Server akzeptéiert
/ ^ Betreff: =? EUC-KR? / REJECT Koreanesch Kodéierung net erlaabt vun dësem Server
/ ^ Betreff: ADV: / REJECT Annoncen net vun dësem Server akzeptéiert
/^ Vun :.*\@.*\.cn/ REJECT Sorry, Chinese Mail net hei erlaabt
/^ Vun :.*\@.*\.kr/ REJECT Sorry, Koreanesch Mail hei net erlaabt
/^ Vun :.*\@.*\.tr/ REJECT Sorry, türkesch Mail hei net erlaabt
/^ Vun :.*\@.*\.ro/ REJECT Sorry, rumänesch Mail hei net erlaabt
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | Massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Keng Massemailer erlaabt.
/ ^ Vun: "Spammer / REJECT
/ ^ Vun: "Spam / REJECT
/^Sujet :.*viagra/ VERWÄIERT
# Geféierlech Extensiounen
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Mir akzeptéiere keng Uschlëss mat dësen Extensiounen

Mir kontrolléieren d'Syntax, starten Apache a Postifx, a aktivéieren an starten Dovecot

[root @ Linuxbox ~] # Postfix Kontroll
[root @ Linuxbox ~] #

[root @ linuxbox ~] # systemctl neu starten httpd
[root @ Linuxbox ~] # systemctl Status httpd

[root @ linuxbox ~] # systemctl de Postfix neu starten
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl Status Dovecot
● dovecot.service - Dovecot IMAP / POP3 E-Mail Server Luet: gelueden (/usr/lib/systemd/system/dovecot.service; behënnert; Verkeefer Virausbehandlung: behënnert) Aktiv: inaktiv (dout)

[root @ linuxbox ~] # systemctl aktivéiert Dovecot
[root @ linuxbox ~] # systemctl start Dovecot
[root @ linuxbox ~] # systemctl erneit DoveCot
[root @ linuxbox ~] # systemctl Status Dovecot

Konsoleniveau Kontrollen

• Et ass ganz wichteg ier Dir mat der Installatioun an der Konfiguratioun vun anere Programmer weidergitt, déi minimum noutwendeg Kontrollen vun de SMTP a POP Servicer ze maachen.

Lokal vum Server selwer

Mir schécken eng E-Mail un de lokale Benotzer Legolas.

[root @ linuxbox ~] # echo "Hallo. Dëst ass eng Testmeldung" | Mail -s "Test" Legolas

Mir kontrolléieren d'Mailbox vun Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Nom Message Dovecot ass prett! mir fuere weider:

- -
+ OK Dovecot ass fäerdeg!
BENOTZER legolas + OK PASS legolas + OK ageloggt. STAT + OK 1 559 LËSCHT + OK 1 Messagen: 1 559. RETR 1 + OK 559 Oktette Retour-Wee: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Kritt: vun desdelinux.fan (Postfix, vum userid 0) id 7EA22C11FC57; Mon, 22. Mee 2017 10:47:10 -0400 (EDT) Datum: Mon, 22. Mee 2017 10:47:10 -0400 Zu: legolas@desdelinux.fan Betreff: User-Agent Test: Heirloom mailx 12.5 7/5 / 10 MIME-Versioun: 1.0 Inhalt-Typ: Text / Plain; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Moien. Dëst ass eng Testmeldung. OPSCHREIWEN
[root @ Linuxbox ~] #

Fernsteuer vun engem Computer am LAN

Loosst eis nach eng Noriicht schécken un Legolas vun engem anere Computer am LAN. Bedenkt datt TLS Sécherheet NET streng am SME Network ass.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Hallo" \
-m "Gréiss Legolas vun Ärem Frënd Buzz" \
-s mail.desdelinux.fan -o tls = nee
22. Mee 10:53:08 sysadmin sendemail [5866]: E-Mail gouf erfollegräich geschéckt!

Wa mir probéieren duerch ze konnektéieren Telnet Vun engem Host um LAN - oder vum Internet, natierlech - op den Dovecot, wäert dat folgend passéiere well mir Plaintext Authentifikatioun deaktivéieren:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Probéiert 192.168.10.5 ...
Verbonne mat linuxbox.fromlinux.fan. Flucht Charakter ass '^]'. + OK Dovecot ass fäerdeg! Benotzer Legolas
-ERR [AUTH] Plaintext Authentifikatioun net erlaabt op net sécher (SSL / TLS) Verbindungen.
ophalen + OK Ausloggen Verbindung zougemaach vun auslänneschen Host.
buzz @ sysadmin: ~ $

Mir mussen et maachen openssl. Déi komplett Ausgab vum Kommando wier:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
VERBINDT (00000003)
Déift = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Begeeschterten, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
verifizéieren Feeler: num = 18: selbst signéiert Zertifika verifizéieren zréck: 1
Déift = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Enthusiasten, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan verifizéieren zréck: 1
--- Zertifikatkette 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C = CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server Zertifikat ----- BEGIN ZERTIFIKAT-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql dra + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- ENN CERTIFICAT Sujet = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Kee Client Zertifika CA Numm geschéckt Server Temp Schlëssel: ECDH, secp384r1, 384 Bits --- SSL Handshake huet 1342 Bytes gelies a 411 Bytes geschriwwen --- Nei, TLSv1 / SSLv3 , Chiffer ass ECDHE-RSA-AES256-GCM-SHA384 Server ëffentleche Schlëssel ass 1024 Bit Séchere Renegotiatioun IS ënnerstëtzt Kompressioun: KEE Expansioun: KEE SSL-Sessioun: Protokoll: TLSv1.2 Chiffer: ECDHE-RSA-AES256-GCM-SHA384 Sessioun ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Sessioun-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-ARG: Keen Krb5 Principal: Keen PSK 300 Identitéit: Keen PSK Identitéit Hiweis: t 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-ARG: Keen Krb7 Principal: Keen 1 PSK Identitéit: Keen PSK Identitéit Hiweis: t XNUMX TLS Sitzung XNUMX Sekonne XNUMX f Nonec XNUMX Ticket Sëtzung XNUMX f XNUMX Sekonnen XNUMX FXNUMXFXNUMX Ticket ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot ass fäerdeg!
BENOTZER legolas
+ OK
PASS Legolas
+ OK ageloggt.
LËSCHT
+ OK 1 Messagen: 1 1021.
BACK 1
+ OK 1021 Oktetten Retour-Wee: X-Original-To: legolas@desdelinux.fan Geliwwert-To: legolas@desdelinux.fan Kritt: vu sysadmin.desdelinux.fan (Gateway [172.16.10.1]) vun desdelinux.fan (Postfix) mat ESMTP Id 51886C11E8C0 fir ; Méindeg, 22. Mee 2017 15:09:11 -0400 (EDT) Message-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" Op: "legolas@desdelinux.fan" Betreff: Hallo Datum: Mon, 22 Mee 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Versioun: 1.0 Inhalt-Typ: multipart / relatéiert; boundary = "---- MIME Ofgrenzung fir sendEmail-365707.724894495" Dëst ass eng Multi-Deel Noriicht am MIME Format. Fir dës Noriicht richteg ze affichéieren braucht Dir e MIME-Versioun 1.0 kompatibel E-Mail Programm. ------ MIME Ofgrenzung fir sendEmail-365707.724894495 Inhalt-Typ: Text / Plain; charset = "iso-8859-1" Inhalt-Transfer-Kodéierung: 7bit Gréiss Legolas vun Ärem Frënd Buzz ------ MIME Ofgrenzung fir sendEmail-365707.724894495--.
QUIT
+ OK Ausloggen. zougemaach
buzz @ sysadmin: ~ $

Kaweechelcher

Kaweechelcher ass e Webclient ganz a PHP geschriwwen. Et enthält natierlechen PHP Support fir den IMAP a SMTP Protokollen, a bitt maximal Kompatibilitéit mat de verschiddene Browser am Gebrauch. Et leeft korrekt op all IMAP Server. Et huet all d'Funktionalitéit déi Dir braucht vun engem E-Mail Client inklusive MIME Support, Adressbuch an Dossiermanagement.

[root @ linuxbox ~] # yum installéieren squirrelmail
[root @ linuxbox ~] # Service httpd neu starten

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ Domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # Service httpd nei lueden

DNS Send Policy Framenwork oder SPF Record

Am Artikel NSD Autoritäre DNS Server + Shorewall Mir hu gesinn datt d'Zone "desdelinux.fan" sou konfiguréiert war:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN vun linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; Serial 1D; 1H erfrëschen; 1W nei probéieren; 3H oflafen); Minimum oder; Negativ Cache Zäit fir ze liewen; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Loggt fir Dig Ufroen vu linux.fan @ IN A 172.16.10.10 ze léisen; ns IN A 172.16.10.30 Mail IN CNAME vun linux.fan. chat IN CNAME vun linux.fan. www IN CNAME vun linux.fan. ; ; SRV records am Zesummenhang mat XMPP
_xmpp-server._tcp IN SRV 0 0 5269 vun linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 vun linux.fan. _jabber._tcp IN SRV 0 0 5269 vun linux.fan.

An dësem gëtt de Registry deklaréiert:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Fir dee selwechte Parameter fir de PME Netzwierk oder LAN konfiguréiert ze hunn, musse mir d'Dnsmasq Konfiguratiounsdatei sou änneren:

# TXT records. Mir kënnen och e SPF-Rekord deklaréieren txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Duerno starten mir de Service neu:

[root @ linuxbox ~] # Service dnsmasq neu starten
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan ass en Alias ​​fir fromlinux.fan. desdelinux.fan Beschreiwungstext "v = spf1 a: mail.desdelinux.fan -all"

Selwer signéiert Zertifikaten an Apache oder httpd

Och wann Äre Browser Iech seet datt «De Besëtzer vun mail.fromlinux.fan Dir hutt Är Websäit falsch konfiguréiert. Fir ze verhënneren datt Är Informatioun geklaut gëtt, huet Firefox net mat dëser Websäit verbonnen “, de virdrun generéierte Certificat ET ass valabel, a erlaabt d'Umeldungsinformatioune tëscht dem Client an dem Server verschlësselt ze reesen, nodeems mir de Certificat akzeptéieren.

Wann Dir wëllt, an als Wee fir d'Zertifikater ze vereenegen, kënnt Dir fir Apache déiselwecht Zertifikater deklaréieren, déi Dir fir Postfix deklaréiert hutt, wat richteg ass.

[root @ Linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ Linuxbox ~] # Service httpd neu starten
[root @ Linuxbox ~] # Service httpd Status

Diffie-Hellman Group

D'Thema Sécherheet gëtt all Dag méi schwéier um Internet. Ee vun den heefegsten Attacken op Verbindungen SSL, ass de logjam a fir et ze verteidegen ass et néideg Net-Standardparameteren zu der SSL Konfiguratioun bäizefügen. Fir dëst gëtt et den RFC-3526 Fotoen «Méi Modular Exponential (MODP) diffie-hellman Gruppen fir Internet Key Exchange (IKE)".

[root @ Linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out privat / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Geméiss der Versioun vun Apache déi mir installéiert hunn, benotze mir d'Diffie-Helman Group aus der Datei /etc/pki/tls/dhparams.pem. Wann et eng Versioun 2.4.8 oder méi spéit ass, da musse mir der Datei bäifügen /etc/httpd/conf.d/ssl.conf folgend Linn:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

D'Versioun vun Apache déi mir benotzen ass:

[root @ linuxbox tls] # yum info httpd
Luede Plugins: schnellsten Mirror, Langpacks Luede Spigelgeschwindegkeet vu cache Hostfile Installéiert Packagen Numm: httpd Architektur: x86_64
Versioun: 2.4.6
Fräisetzung: 45.el7.centos Gréisst: 9.4 M Repository: installéiert Vum Repository: Base-Repo Resumé: Apache HTTP Server URL: http://httpd.apache.org/ Lizenz: ASL 2.0 Beschreiwung: Den Apache HTTP Server ass e mächteg, effizient an erweiterbar: Webserver.

Wéi mir eng Versioun virum 2.4.8 hunn, addéiere mer um Enn vum virdrun generéierte CRT Zertifika, den Inhalt vun der Diffie-Helman Group:

[root @ linuxbox tls] # cat privat / dhparams.pem >> certs / desdelinux.fan.crt

Wann Dir wëllt kontrolléieren ob d'DH Parameteren korrekt an den CRT Zertifika bäigefüügt goufen, féiert déi folgend Kommandoen aus:

[root @ linuxbox tls] # cat privat / dhparams.pem 
----- BEGIN DH PARAMETER -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETER -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETER -----

No dësen Ännerunge musse mir de Postfix an httpd Servicer neu starten:

[root @ linuxbox tls] # Service Postfix Neistart
[root @ linuxbox tls] # Service Postfix Status
[root @ linuxbox tls] # Service httpd neu starten
[root @ linuxbox tls] # Service httpd Status

D'Inklusioun vun der Diffie-Helman Group an eisen TLS Zertifikaten kann d'Verbindung iwwer HTTPS e bësse méi lues maachen, awer d'Zousatz vu Sécherheet ass et derwäert.

Iwwerpréiwen Squirrelmail

DANN datt d'Zertifikater korrekt generéiert sinn an datt mir hir korrekt Operatioun kontrolléieren wéi mir et duerch d'Konsol Kommandoe gemaach hunn, weist Äre gewënschte Browser op d'URL http://mail.desdelinux.fan/webmail an et wäert mam Webclient verbannen nodeems de korrespondéierte Zertifika akzeptéiert gouf. Bedenkt datt, och wann Dir den HTTP-Protokoll spezifizéiert, gëtt en op HTTPS weidergeleet, an dëst ass wéinst de Standardastellungen déi CentOS fir Squirrelmail bitt. Kuckt d'Datei /etc/httpd/conf.d/squirrelmail.conf.

Iwwer Benotzer Mailboxen

Dovecot erstellt d'IMAP Mailboxen am Dossier doheem vun all Benotzer:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
am Ganzen 12 drwxrwx ---. 5 legolas Mail 4096 22. Mee 12:39. drwx ------. 3 legolas legolas 75 Mee 22 11:34 .. -rw -------. 1 legolas legolas 72 Mee 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. Mee 22 12:39 Dovecot-Uidvaliditéit -r - r - r--. 1 legolas legolas 0 22. Mee 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 Legolas Mail 56 Mee 22 10:23 INBOX drwx ------. 2 legolas legolas 56 22. Mee 12:39 Geschéckt drwx ------. 2 legolas legolas 30. Mee 22 11:34 Trash

Si ginn och an / var / mail / gelagert

[root @ linuxbox ~] # manner / var / mail / legolas
Vum MAILER_DAEMON Mon Mee 22 10:28:00 2017 Datum: Mon, 22 Mee 2017 10:28:00 -0400 Vun: Mail System Intern Daten Betreff: DÉI MESSAGE NET LESCHT - FOLDER INTERN DATA Message-ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Dësen Text ass Deel vum internen Format vun Ärem Maildossier, an ass net e richtege Message . Et gëtt automatesch vun der Mail System Software erstallt. Wann se geläscht ginn, ginn wichteg Ordner Date verluer, an et gëtt erstallt mat den Daten zréckgesat op initial Wäerter. Vu root@desdelinux.fan Mon Mee 22 10:47:10 2017 Retour-Path: X-Original-To: legolas Delivered To: legolas@desdelinux.fan Empfang: vun desdelinux.fan (Postfix, vum userid 0) id 7EA22C11FC57; Mon, 22. Mee 2017 10:47:10 -0400 (EDT) Datum: Mon, 22. Mee 2017 10:47:10 -0400 Zu: legolas@desdelinux.fan Betreff: User-Agent Test: Heirloom mailx 12.5 7/5 / 10 MIME-Versioun: 1.0 Inhalt-Typ: Text / Einfache; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Moien. Dëst ass eng Testmeldung Vun buzz@deslinux.fan Mon Mee 22 10:53:08 2017 Zréck Wee: X-Original-To: legolas@desdelinux.fan Geliwwert-To: legolas@desdelinux.fan Kritt: vu sysadmin.desdelinux.fan (Gateway [172.16.10.1]) vun desdelinux.fan (Postfix) mat ESMTP id C184DC11FC57 fir ; Méindeg, 22. Mee 2017 10:53:08 -0400 (EDT) Message-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" Op: "legolas@desdelinux.fan" Betreff: Moien Datum: Mon, 22. Mee 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Versioun: 1.0 Inhalt-Typ: multipart / relatéiert; Grenz = "---- MIME Ofgrenzung fir sendEmail-794889.899510057
/ var / mail / legolas

PAM Miniserie Resumé

Mir hunn de Kär vun engem Mailserver gekuckt an e bësse Wäert op Sécherheet gesat. Mir hoffen datt den Artikel als Entry Point zu engem Thema déngt wéi komplizéiert an ufälleg fir Feeler ze maachen wéi d'Ëmsetzung vun engem Mail Server manuell.

Mir benotze lokal Benotzer Authentifikatioun well wa mir d'Datei richteg liesen /etc/dovecot/conf.d/10-auth.conf, mir wäerte gesinn datt et am Endeffekt abegraff ass -par défaut- d'Authentifikatiounsdatei vun de Systembenutzer ! enthält auth-system.conf.ext. Genau dës Datei seet eis a sengem Header datt:

[root @ linuxbox ~] # manner /etc/dovecot/conf.d/auth-system.conf.ext
# Authentifikatioun fir System Benotzer. Abegraff vun 10-auth.conf. # # # # PAM Authentifikatioun. Am léifsten haut vun de meeschte Systemer.
# PAM gëtt normalerweis entweder mat userdb passwd oder userdb statesch benotzt. # ERËNNERT: Dir braucht /etc/pam.d/dovecot Datei erstallt fir PAM # Authentifikatioun fir tatsächlech ze schaffen. passdb {Chauffeur = Pam # [Sessioun = Jo] [setcred = Jo] [failure_show_msg = Jo] [max_requests = ] # [cache_key = ] [ ] #args = Dovecot}

An déi aner Datei existéiert /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth erfuerdert pam_nologin.so auth enthält Passwuert-auth Kont enthält Passwuert-auth Sessioun enthält Passwuert-auth

Wat versiche mir iwwer d'PAM Authentifikatioun ze vermëttelen?

• CentOS, Debian, Ubuntu a vill aner Linux Verdeelunge installéiere Postifx an Dovecot mat lokaler Authentifikatioun aktivéiert als Standard.
• Vill Artikelen um Internet benotze MySQL - a kierzlech MariaDB - fir Benotzer an aner Daten iwwer e Mailserver ze speichern. MEE dës sinn Server fir Dausende vu Benotzer, an net fir e klassescht PME Netzwierk mat - vläicht - Honnerte vu Benotzer.
• Authentifikatioun duerch PAM ass noutwendeg a genuch fir Netzwierkservicer ze bidden soulaang se op engem eenzege Server lafen, wéi mir an dëse Miniserie gesinn hunn.
• D'Benotzer déi an enger LDAP-Datebank gespäichert sinn, kënne mappéiert ginn wéi wa se lokal Benotzer wieren, a PAM-Authentifikatioun ka benotzt ginn fir Netzwierkservicer vu verschiddene Linux Serveren ze bidden déi als LDAP Clientë fir den zentrale Authentifikatiounsserver handelen. Op dës Manéier wäerte mir mat Umeldungsinformatioune vun de Benotzer schaffen, déi an der zentraler LDAP Server Datebank gespäichert sinn, an et wier NET essentiel eng Datebank mat lokalen Useren ze halen.

Bis déi nächst Aventure!