„Postfix“ + „Dovecot“ + „Squirrelmail“ ir vietiniai vartotojai - SMB tinklai

Bendras serijos indeksas: Kompiuteriniai tinklai MVĮ: įvadas

Šis straipsnis yra miniserijos tęsinys ir paskutinis:

• „Squid + PAM“ autentifikavimas „CentOS 7“.
• Vietinis vartotojų ir grupių valdymas
• Autoritetingas DNS serveris NSD + „Shorewall“
• Prosody IM ir vietiniai vartotojai
  

Sveiki draugai ir draugai!

Los Entuziastai jie nori turėti savo pašto serverį. Jie nenori naudoti serverių, kur „privatumas“ yra tarp klaustukų. Asmuo, atsakingas už paslaugos įgyvendinimą jūsų mažame serveryje, nėra šios srities specialistas ir iš pradžių bandys įdiegti būsimo ir pilno pašto serverio pagrindą. Ar tai „lygtis“, kad būtų sukurtas visas pašto serveris, yra šiek tiek sunku suprasti ir pritaikyti. 😉

Maržos anotacijos

• Būtina aiškiai žinoti, kurias funkcijas atlieka kiekviena programa, dalyvaujanti pašto serveryje. Kaip pradinį vadovą mes pateikiame visą eilę naudingų nuorodų su deklaruojamu tikslu, kurį jie aplankė.
• Neautomatinis ir visiškos pašto paslaugos įdiegimas yra varginantis procesas, nebent esate vienas iš „išrinktųjų“, kurie kasdien atlieka tokio tipo užduotis. Pašto serveris paprastai susideda iš įvairių programų, kurios tvarkomos atskirai SMTP, Pop / IMAP, Vietinis pranešimų saugojimas, užduotys, susijusios su apie šlamštą, Antivirusas ir kt. VISOS šios programos turi teisingai bendrauti.
• Nėra vieno visiems tinkamo dydžio ar „geriausios praktikos“, kaip valdyti vartotojus; kur ir kaip saugoti pranešimus arba kaip priversti visus komponentus veikti kaip vieną visumą.
• Pašto serverio surinkimas ir koregavimas paprastai būna nemalonus tokiais klausimais kaip leidimai ir failų savininkai, pasirenkant, kuris vartotojas bus atsakingas už tam tikrą procesą, ir dėl nedidelių klaidų, padarytų kai kuriuose ezoterinės konfigūracijos failuose.
• Jei gerai nežinote, ką darote, galutinis rezultatas bus nesaugus arba šiek tiek neveikiantis pašto serveris. Kad įgyvendinimo pabaigoje Tai neveikia, galbūt bus mažesnė blogybė.
• Internete galime rasti nemažai receptų, kaip sukurti pašto serverį. Vienas iš išsamiausių -mano labai asmenine nuomone- yra tas, kurį siūlo autorius Ivaras Abrahamsenas tryliktajame 2017 m. sausio mėn. leidime «Kaip nustatyti pašto serverį GNU / Linux sistemoje"
• Taip pat rekomenduojame perskaityti straipsnį «Pašto serveris „Ubuntu 14.04“: „Postfix“, „Dovecot“, „MySQL“«, arba «Pašto serveris „Ubuntu 16.04“: „Postfix“, „Dovecot“, „MySQL“"
• Tiesa. Geriausius dokumentus šiuo klausimu galite rasti anglų kalba.
  • Nors mes niekada netenkame pašto serverio, ištikimai vadovaujamo Kaip ... paminėtas ankstesnėje pastraipoje, vien faktas, kaip sekti jį žingsnis po žingsnio, leis mums labai gerai suprasti, su kuo susidursime.
• Jei norite atlikti pilną pašto serverį atlikdami kelis veiksmus, galite atsisiųsti vaizdą „iRedOS-0.6.0-CentOS-5.5-i386.iso“, arba ieškokite modernesnio, ar tai būtų iRedOS, ar „iRedMail“. Tai aš asmeniškai rekomenduoju.

Mes ketiname įdiegti ir konfigūruoti:

• „Postfix“ kaip serveris Mčesnakas TRANSPORTAS Ašvelnus (SMTP).
• Balandinė kaip POP - IMAP serveris.
• Pažymėjimai prisijungimui per TLS.
• Voverės paštas kaip interneto sąsaja vartotojams.
• DNS įrašas, palyginti su «Siuntėjo politikos sistema»Arba SPF.
• Modulio generavimas Diffie Hellman grupė padidinti SSL sertifikatų saugumą.

Belieka padaryti:

Beliks įgyvendinti bent šias paslaugas:

• postgrey: „Pilko sąrašo“ „Postfix“ serverio strategija ir atmeskite nepageidaujamą paštą.
  
• Amavisdas-naujas: scenarijus, sukuriantis sąsają tarp MTA ir virusų skaitytuvų bei turinio filtrų.
• „Clamav Antivirus“: antivirusinė programa
• SpamAssassin: išimkite „Junk Mail“
• skustuvas (Pyzoras): Šlamšto surinkimas per paskirstytą ir bendradarbiavimo tinklą. „Vipul Razor“ tinklas tvarko atnaujintą šlamšto ar SPAM platinimo katalogą.
• DNS įrašas „DomainKeys Identified Mail“ arba dkim plėtinys.

Pakuotės postgrey, amavisd-new, clamav, spamassassin, skustuvas y pyzoras Jie randami programos saugyklose. Rasime ir programą openkim.

• Teisingas DNS įrašų „SPF“ ir „DKIM“ deklaravimas yra būtinas, jei nenorime, kad kitos pašto tarnybos, pvz. "Gmail", Yaho, "Hotmail"ir kt.

Pirminiai patikrinimai

Atminkite, kad šis straipsnis yra kitų, kurie prasideda, tęsinys „Squid + PAM“ autentifikavimas „CentOS 7“.

„Ens32“ LAN sąsaja prijungta prie vidinio tinklo

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = vieša

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

„Ens34“ WAN sąsaja prijungta prie interneto

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=172.16.10.10
NETMASK=255.255.255.0
# El Router ADSL está conectado a
# ésta interfaz con
# la siguiente dirección IP
GATEWAY=172.16.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = išorinė

DNS skiriamoji geba iš LAN

[root@linuxbox ~]# cat /etc/resolv.conf 
search desdelinux.fan
nameserver 127.0.0.1
nameserver 172.16.10.30

[root@linuxbox ~]# host mail
paštu.desdelinux.fan yra linuxbox slapyvardis.desdelinux.gerbėjas. linuxbox.desdelinux.fan turi 192.168.10.5 linuxbox adresą.desdelinux.gerbėjų paštas tvarkomas 1 paštu.desdelinux.gerbėjas.

[root@linuxbox ~]# host mail.desdelinux.gerbėjas
paštu.desdelinux.fan yra linuxbox slapyvardis.desdelinux.gerbėjas. linuxbox.desdelinux.fan turi 192.168.10.5 linuxbox adresą.desdelinux.gerbėjų paštas tvarkomas 1 paštu.desdelinux.gerbėjas.

DNS skiriamoji geba iš interneto

buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30
Using domain server:
Name: 172.16.10.30
Address: 172.16.10.30#53
Aliases: 

mail.desdelinux.fan is an alias for desdelinux.gerbėjas.
desdelinux.ventiliatorius turi adresą 172.16.10.10
desdelinux.gerbėjų paštas tvarkomas 10 paštu.desdelinux.gerbėjas.

Problemas al resolver localmente el nombre de host «desdelinux.gerbėjas"

Jei kyla problemų sprendžiant kompiuterio pavadinimą «desdelinux.gerbėjas" nuo LAN, pabandykite pakomentuoti failo eilutę /etc/dnsmasq.conf kur deklaruojama local=/desdelinux.fan/. Po to iš naujo paleiskite „Dnsmasq“.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentuokite žemiau esančią eilutę:
# local=/desdelinux.fan/

[root @ linuxbox ~] # service dnsmasq paleiskite iš naujo
Nukreipiant į / bin / systemctl, iš naujo paleiskite dnsmasq.service

[root @ linuxbox ~] # paslaugos dnsmasq būsena

[root@linuxbox ~]# host desdelinux.gerbėjas
desdelinux.ventiliatorius turi adresą 172.16.10.10
desdelinux.gerbėjų paštas tvarkomas 10 paštu.desdelinux.gerbėjas.

„Postfix“ ir „Dovecot“

Labai išsamią „Postfix“ ir „Dovecot“ dokumentaciją galite rasti:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCIJOS README-Postfix-SASL-RedHat.txt SUDERINAMUMAS main.cf.default TLS_ACKNOWLEDGEMENTS pavyzdžiai README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORIAI KOPIJUOTI.MIT dovecot-openssl.cnf NAUJIENOS wiki KOPIJUOTI ChangeLog example-config README COPYING.LGPL dokumentacija.txt mkcert.sh solr-schema.xml

„CentOS 7“ „Postfix MTA“ yra įdiegta pagal numatytuosius nustatymus, kai pasirenkame parinktį „Infrastructure Server“. Turime patikrinti, ar SELinux kontekstas leidžia rašyti į „Potfix“ vietinėje pranešimų eilėje:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Modifikacijos ugniasienėjeD

Naudodami grafinę sąsają konfigūruodami „FirewallD“, turime užtikrinti, kad kiekvienoje zonoje būtų įgalintos šios paslaugos ir prievadai:

# ------------------------------------------------- -----
# Pataisymai „FirewallD“
# ------------------------------------------------- -----
# Ugniasienė
# Viešoji zona: http, https, imap, pop3, smtp paslaugos
# Viešoji zona: 80, 443, 143, 110, 25 uostai

# Išorinė zona: http, https, imap, pop3s, smtp paslaugos
# Išorinė zona: 80, 443, 143, 995, 25 prievadai

Įdiegiame „Dovecot“ ir reikalingas programas

[root @ linuxbox ~] # yum įdiegti dovecot mod_ssl procmail telnet

Minimali Dovecot konfigūracija

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokolai =imap pop3 lmtp
klausyti =*, ::
prisijungimo_pasveikinimas = Balandis paruoštas!

Mes aiškiai išjungėme „Dovecot“ paprastojo teksto autentifikavimą:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = taip

Mes deklaruojame, kad grupė turi būtinas privilegijas bendrauti su „Dovecot“ ir pranešimų vietą:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = paštas
mail_access_groups = paštas

Sertifikatai balandžiui

„Dovecot“ automatiškai sugeneruoja jūsų bandymo sertifikatus pagal failo duomenis /etc/pki/dovecot/dovecot-openssl.cnf. Norėdami, kad nauji sertifikatai būtų sugeneruoti pagal mūsų reikalavimus, turime atlikti šiuos veiksmus:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
# country (2 letter code)
C=CU
# State or Province Name (full name)
ST=Cuba
# Locality Name (eg. city)
L=Habana
# Organization (eg. company)
O=DesdeLinux.Fan
# Organizational Unit Name (eg. section)
OU=Entusiastas
# Common Name (*.example.com is also possible)
CN=*.desdelinux.fan
# E-mail contact
emailAddress=buzz@desdelinux.fan
[ cert_type ]
nsCertType = server

Panaikiname testų sertifikatus

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: ištrinti įprastą failą "certs / dovecot.pem"? (taip / ne) taip
[root @ linuxbox dovecot] # rm privatus / dovecot.pem 
rm: ištrinti įprastą failą "private / dovecot.pem"? (taip / ne) taip

Nukopijuojame ir vykdome scenarijų mkcert.sh iš dokumentų katalogo

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----
subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l sertifikatai /
viso 4 -rw -------. 1 šaknies šaknis 1029 gegužės 22 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privatus /
viso 4 -rw -------. 1 šaknies šaknis 916 gegužės 22 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot paleiskite iš naujo
[root @ linuxbox dovecot] # paslaugos balandinės būsena

„Postfix“ sertifikatai

[root@linuxbox ~]# cd /etc/pki/tls/
[root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \
-out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

Generating a 4096 bit RSA private key
.........++
..++
writing new private key to 'private/dominio.tld.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CU
State or Province Name (full name) []:Cuba
Locality Name (eg, city) [Default City]:Habana
Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan
Organizational Unit Name (eg, section) []:Entusiastas
Common Name (eg, your name or your server's hostname) []:desdelinux.fan el. pašto adresas []:buzz@desdelinux.gerbėjas

Minimali „Postfix“ konfigūracija

Pridedame prie bylos pabaigos / etc / pseudonimai Kitas:

šaknis: šurmulys

Kad pakeitimai įsigaliotų, vykdome šią komandą:

[root @ linuxbox ~] # naujovės

„Postifx“ konfigūraciją galima atlikti tiesiogiai redaguojant failą /etc/postfix/main.cf arba įsakymu postconf -e rūpindamiesi, kad visi parametrai, kuriuos norime pakeisti ar pridėti, būtų rodomi vienoje konsolės eilutėje:

• Kiekvienas turi deklaruoti jiems suprantamas ir reikalingas galimybes!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION" "
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Pridedame prie bylos pabaigos /etc/postfix/main.cf toliau pateiktas galimybes. Norėdami sužinoti kiekvieno iš jų reikšmę, rekomenduojame perskaityti pridedamus dokumentus.

biff = ne
append_dot_mydomain = ne
atidėjimo_įspėjimo_ laikas = 4h
readme_directory = ne
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls = taip
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Maksimalus pašto dėžutės dydis 1024 megabaitai = 1 g ir g
pašto dėžutės_size_limit = 1073741824

gavėjo_apribotojas = +
maksimalus_laikinis_gyvenimo laikas = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Paskyros, kurios siunčia gaunamų laiškų kopijas į kitą paskyrą
recipient_bcc_maps = maišos: / etc / postfix / accounts_ forwarding_copy

Šios eilutės yra svarbios norint nustatyti, kas gali siųsti laiškus ir persiųsti kitus serverius, kad netyčia nekonfigūruotume „atviros relės“, leidžiančios neautentifikuotiems vartotojams siųsti laiškus. Turime ieškoti „Postfix“ pagalbos puslapių, kad suprastume, ką reiškia kiekviena parinktis.

• Kiekvienas turi deklaruoti jiems suprantamas ir reikalingas galimybes!.

smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 legalizuoti

smtpd_sender_restrictions = allow_sasl_authenticated,
 allow_mynetworks,
 warn_if_reject reject_non_fqdn_sender,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 legalizuoti

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# PASTABA: parinktis „check_policy_service inet: 127.0.0.1: 10023“
# įgalina „Postgrey“ programą, ir mes neturėtume jos įtraukti
# kitaip mes naudosime „Postgrey“

smtpd_recipient_restrictions = reject_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 atmesti_non_fqdn_gavėjas,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 legalizuoti

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 atmesti_non_fqdn_gavėjas,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 legalizuoti
 
smtpd_helo_required = taip
smtpd_delay_reject = taip
disable_vrfy_command = taip

Mes kuriame failus / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, ir mes modifikuojame failą / etc / postfix / header_checks.

• Kiekvienas turi deklaruoti jiems suprantamas ir reikalingas galimybes!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Jei šis failas yra modifikuotas, nebūtina # paleisti pašto žemėlapio # Norėdami išbandyti taisykles, paleiskite kaip root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Turėtų grįžti: # ATMETTI Taisyklės Nr. 2 „Anti Spam Message Body“
/ viagra / REJECT Taisyklė Nr. 1 „Anti Spam“
/ super new v [i1] agra / ATMETTI Taisyklę Nr. 2 „Anti Spam“ žinutės turinys

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Pakeitę turite atlikti: # postmap / etc / postfix / accounts_ forwarding_copy
# ir failas sukurtas arba matuojamas: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.gerbėjas

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Pridėti failo gale # NEBŪTINA Postmap, nes jie yra reguliarūs posakiai
/ ^ Tema: =? Big5? / REJECT Kinijos kodavimas, kurio nepriima šis serveris
/ ^ Tema: =? EUC-KR? / ATMETTI korėjiečių kodavimą neleidžia šis serveris
/ ^ Tema: ADV: / REJECT Skelbimai, kurių nepriima šis serveris
/^From :.*\@.*\.cn/ ATSISAKYTI Atsiprašome, kinų paštas čia neleidžiamas
/^From :.*\@.*\.kr/ ATSISAKYTI Atsiprašome, korėjietiškas paštas čia neleidžiamas
/^From :.*\@.*\.tr/ ATSISAKYTI Atsiprašome, turkiški laiškai čia neleidžiami
/^From :.*\@.*\.ro/ ATMETTI Atsiprašome, rumunų pašto čia neleidžiama
/^(Gautas|Message-Id|X-(Mailer|Sender)):.*\b(AutomailMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | „Global Messenger“ | „GroupMaster“ | „Mailcast“ | „MailKing“ | „Match10“ | „MassE-Mail“ | massmail \ .pl | „News Breaker“ | „Powermailer“ | „Quick Shot“ | „Ready Aim Fire“ | „WindoZ“ | „WorldMerge | Yourdora | Lite“) \ b / ATMESTIS Neleidžiama siųsti masinių siuntėjų.
/ ^ From: "spammer / REJECT
/ ^ Nuo: "šlamštas / ATMETTI
/^Subjektas :.*viagra/ ATMETTI
# Pavojingi pratęsimai
/ name = [^> Iluminación * \. (šikšnosparnis | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / ATMESTI ATMETTI Nepriimame priedų su šiais plėtiniais

Mes patikriname sintaksę, perkrauname „Apache“ ir „Postifx“, įjungiame ir paleidžiame „Dovecot“

[root @ linuxbox ~] # postfix patikrinimas
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl paleiskite iš naujo httpd
[root @ linuxbox ~] # systemctl būsena httpd

[root @ linuxbox ~] # systemctl paleiskite iš naujo postfix
[root @ linuxbox ~] # systemctl būsenos postfix

[root @ linuxbox ~] # systemctl būsenos balandis
● dovecot.service - „Dovecot“ IMAP / POP3 el. Pašto serveris Įkelta: įkelta (/usr/lib/systemd/system/dovecot.service; išjungta; pardavėjo išankstinis nustatymas: išjungtas) Aktyvus: neaktyvus (negyvas)

[root @ linuxbox ~] # systemctl įjungti balandį
[root @ linuxbox ~] # systemctl paleisti balandį
[root @ linuxbox ~] # systemctl paleiskite balandį iš naujo
[root @ linuxbox ~] # systemctl būsenos balandis

Pulto lygio patikrinimai

• Labai svarbu prieš tęsiant diegti ir konfigūruoti kitas programas atlikti būtiniausius būtinus SMTP ir POP paslaugų patikrinimus.

Vietinis iš paties serverio

Siunčiame el. Laišką vietiniam vartotojui Legolas.

[root @ linuxbox ~] # echo "Sveiki. Tai bandomasis pranešimas" | paštas -s "Testas" legolas

Mes patikriname pašto dėžutę Legolasas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po žinutės Dovecot yra pasirengusi! mes tęsiame:

---
+ Gerai „Dovecot“ yra pasirengusi!
USER legolas
+OK
PASS legolas
+OK Logged in.
STAT
+OK 1 559
LIST
+OK 1 messages:
1 559
.
RETR 1
+OK 559 octets
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
    id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)

Hola. Este es un mensaje de prueba
.
QUIT
DONE
[root @ linuxbox ~] #

Nuotolinio valdymo pultai iš kompiuterio, esančio LAN tinkle

Išsiųskime dar vieną žinutę Legolas iš kito LAN kompiuterio. Atkreipkite dėmesį, kad TLS saugumas nėra būtinas MVĮ tinkle.

„buzz @ sysadmin“: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.gerbėjas\
-u "labas" \
-m "Sveikinimai Legolas iš tavo draugo Buzzo" \
-s mail.desdelinux.fan -o tls=no
Gegužės 22 d. 10:53:08 sysadmin sendemail [5866]: El. Paštas sėkmingai išsiųstas!

Jei bandysime prisijungti per Telnet Nuo pagrindinio kompiuterio LAN arba, žinoma, iš interneto, iki „Dovecot“, nutiks taip, nes mes išjungiame paprastojo teksto autentifikavimą:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Paprasto teksto autentifikavimas neleidžiamas nesaugiems (SSL / TLS) ryšiams.
baigti + Gerai Atsijungimas Ryšį uždarė užsienio kompiuteris.
„buzz @ sysadmin“: ~ $

Turime tai padaryti $ openssl. Visa komandos išvestis būtų:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
Prijungti (00000003)
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.gerbėjas
patikrinti klaidą: num = 18: savarankiškai pasirašytas sertifikatas patvirtinti grąžinimą: 1
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
verify return:1
---
Certificate chain
 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
   i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----
MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD
VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK
Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU
ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51
eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE
BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO
RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq
LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ
m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc
XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG
V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ
KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl
8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql
LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
No client certificate CA names sent
Server Temp Key: ECDH, secp384r1, 384 bits
---
SSL handshake has read 1342 bytes and written 411 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A
    Session-ID-ctx: 
    Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c   N:.)zOcr...O..~.
    0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8   ,........~.mE...
    0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86   .:........hn....
    0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79   .5......h...r..y
    0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d   .J(......z).w.".
    0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28   .\.a.....1'fz.Q(
    0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35   ..5.+.......e..5
    0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19   84..H..1........
    0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71   .BV.......Z..,.q
    0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0   z..p....b.....<.

    Start Time: 1495484262
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+ Gerai „Dovecot“ yra pasirengusi!
VARTOTOJO legolas
+ Gerai
PASAUKI Legolas
+ Gerai prisijungęs.
SĄRAŠAS
+ Gerai 1 pranešimai: 1 1021.
ATGAL 1
+OK 1021 octets
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
    by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0
    for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT)
Message-ID: <919362.931369932-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 19:09:11 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495"

This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program.

------MIME delimiter for sendEmail-365707.724894495
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Saludos Legolas de tu amigo Buzz

------MIME delimiter for sendEmail-365707.724894495--
.
BAIGTI
+ Gerai Atsijungimas. uždaryta
„buzz @ sysadmin“: ~ $

Voverės paštas

Voverės paštas yra žiniatinklio klientas, parašytas tik PHP. Tai apima vietinį PHP palaikymą IMAP ir SMTP protokolams ir užtikrina maksimalų suderinamumą su skirtingomis naudojamomis naršyklėmis. Jis veikia tinkamai bet kuriame IMAP serveryje. Jis turi visas funkcijas, kurių jums reikia iš el. Pašto kliento, įskaitant MIME palaikymą, adresų knygos ir aplankų valdymą.

[root @ linuxbox ~] # yum įdiegti „squirrelmail“
[root @ linuxbox ~] # tarnyba httpd paleiskite iš naujo

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain            = 'desdelinux.fan';
$imapServerAddress   = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress   = 'desdelinux.fan';

[root @ linuxbox ~] # tarnyba httpd perkrauti

DNS siuntimo politikos rėminimas arba SPF įrašas

Straipsnyje Autoritetingas DNS serveris NSD + „Shorewall“ vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:

root@ns:~# nano /etc/nsd/desdelinux.fan.zone
$ORIGIN desdelinux.fan.
$TTL 3H
@       IN      SOA     ns.desdelinux.fan.      root.desdelinux.fan. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@       IN      NS      ns.desdelinux.fan.
@       IN      MX      10 mail.desdelinux.gerbėjas.
@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"
;
; Registro para resolver consultas dig desdelinux.fan
@       IN      A       172.16.10.10
;
ns      IN      A       172.16.10.30
mail    IN      CNAME   desdelinux.fan.
chat    IN      CNAME   desdelinux.fan.
www     IN      CNAME   desdelinux.fan.
;
; Registros SRV relativos al XMPP
_xmpp-server._tcp IN SRV  0 0 5269 desdelinux.fan.
_xmpp-client._tcp   IN SRV  0 0 5222 desdelinux.fan.
_jabber._tcp        IN SRV  0 0 5269 desdelinux.gerbėjas.

Jame registruojamas:

@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"

Norėdami, kad tas pats parametras būtų sukonfigūruotas „SME Network“ ar LAN, turime modifikuoti „Dnsmasq“ konfigūracijos failą taip:

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"

Tada mes iš naujo paleidžiame paslaugą:

[root @ linuxbox ~] # service dnsmasq paleiskite iš naujo
[root@linuxbox ~]# service dnsmasq status

[root@linuxbox ~]# host -t TXT mail.desdelinux.fan
mail.desdelinux.fan is an alias for desdelinux.gerbėjas.
desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"

Pačių pasirašyti sertifikatai ir „Apache“ arba httpd

Net jei jūsų naršyklėje jums sakoma, kad « paštu.desdelinux.gerbėjas Neteisingai sukonfigūravote savo svetainę. Kad jūsų informacija nebūtų pavogta, „Firefox“ neprisijungė prie šios svetainės “, - tai anksčiau sugeneruotas sertifikatas TAI GALIOJAir leis kliento ir serverio kredencialams keliauti užšifruotais, kai priimsime sertifikatą.

Jei norite ir kaip būdą suvienodinti sertifikatus, galite deklaruoti „Apache“ tuos pačius sertifikatus, kuriuos deklaravote „Postfix“, o tai yra teisinga.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # tarnyba httpd restartas
[root @ linuxbox ~] # paslaugos httpd būsena

„Diffie-Hellman“ grupė

Saugumo klausimas internete tampa vis sunkesnis. Vienas iš labiausiai paplitusių ryšių išpuolių SSL, ar jis Logjam ir norint apsiginti, būtina prie SSL konfigūracijos pridėti nestandartinius parametrus. Tam yra RFC-3526 «Daugiau modulinių eksponentų (MODP) Diffie-Hellmanas grupės interneto raktų mainams (IKE)"

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 privatus / dhparams.pem

Pagal įdiegtą „Apache“ versiją naudosime „Diffie-Helman Group“ iš failo /etc/pki/tls/dhparams.pem. Jei tai 2.4.8 ar naujesnė versija, turėsime pridėti prie failo /etc/httpd/conf.d/ssl.conf šią eilutę:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Naudojama „Apache“ versija yra:

[root @ linuxbox tls] # yum info httpd
Įkelti papildiniai: „fastestmirror“, „langpacks“ Veidrodžio greičio įkelimas iš talpykloje saugomos pagrindinės bylos Įdiegti paketai Pavadinimas: httpd Architektūra: x86_64
Versija: 2.4.6
Išleidimas: 45.el7.centos Dydis: 9.4 M saugykla: įdiegta iš saugyklos: „Base-Repo“ santrauka: „Apache“ HTTP serverio URL: http://httpd.apache.org/ Licencija: ASL 2.0 Aprašymas: „Apache“ HTTP serveris yra galingas, efektyvus ir išplečiamas: interneto serveris.

Kadangi turime versiją iki 2.4.8, anksčiau sugeneruoto CRT sertifikato pabaigoje pridedame „Diffie-Helman Group“ turinį:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs/desdelinux.fan.crt

Jei norite patikrinti, ar DT parametrai buvo teisingai pridėti prie CRT sertifikato, vykdykite šias komandas:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- PRADŽIA DH PARAMETRAI -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PABAIGOS DH PARAMETRAI -----

[root@linuxbox tls]# cat certs/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PABAIGOS DH PARAMETRAI -----

Po šių pakeitimų turime iš naujo paleisti „Postfix“ ir „httpd“ paslaugas:

[root @ linuxbox tls] # service postfix paleiskite iš naujo
[root @ linuxbox tls] # paslaugos postfix būsena
[root @ linuxbox tls] # tarnyba httpd paleiskite iš naujo
[root @ linuxbox tls] # paslaugos httpd būsena

Įtraukus „Diffie-Helman“ grupę į mūsų TLS sertifikatus, prisijungimas per HTTPS gali būti šiek tiek lėtesnis, tačiau verta pridėti saugumo.

Tikrinamas „Voverės paštas“

TADA kad sertifikatai yra tinkamai sugeneruoti ir kad mes patikriname jų teisingą veikimą, kaip tai darėme per konsolės komandas, nukreipkite pageidaujamą naršyklę į URL http://mail.desdelinux.fan/webmail ir jis prisijungs prie interneto kliento, priėmęs atitinkamą sertifikatą. Atkreipkite dėmesį, kad net jei nurodote HTTP protokolą, jis bus nukreiptas į HTTPS ir taip yra dėl numatytųjų „CentOS“ „Squirrelmail“ nustatymų. Žr. Failą /etc/httpd/conf.d/squirrelmail.conf.

Apie vartotojo pašto dėžutes

„Dovecot“ sukuria IMAP pašto dėžutes aplanke home kiekvieno vartotojo:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
iš viso 12 drwxrwx ---. 5 legolas mail 4096 gegužės 22 d. 12:39. drwx ------. 3 legolas legolas 75 gegužės 22 d. 11:34 .. -rw -------. 1 legolas legolas 72 gegužės 22 d. 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas gegužės 8 d. 22:12 dovecot-uidvalidity -r - r - r--. 39 legolas legolas 1 gegužės 0 d. 22:10 dovecot-uidvalidity.12f5922d1 drwxrwx ---. 1 legolas mail 2 geguzes 56 22:10 INBOX drwx ------. 23 legolas legolas 2 gegužės 56 d. 22:12 Išsiųsta drwx ------. 39 legolas legolas gegužės 2 d. 30:22 Šiukšliadėžė

Jie taip pat saugomi aplanke / var / mail /

[root @ linuxbox ~] # mažiau / var / mail / legolas
From MAILER_DAEMON  Mon May 22 10:28:00 2017
Date: Mon, 22 May 2017 10:28:00 -0400
From: Mail System Internal Data <MAILER-DAEMON@linuxbox>
Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA
Message-ID: <1495463280@linuxbox>
X-IMAP: 1495462351 0000000008
Status: RO

This text is part of the internal format of your mail folder, and is not
a real message.  It is created automatically by the mail system software.
If deleted, important folder data will be lost, and it will be re-created
with the data reset to initial values.

From root@desdelinux.fan  Mon May 22 10:47:10 2017
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
        id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)
X-UID: 7                                                  
Status: RO

Hola. Este es un mensaje de prueba

From buzz@deslinux.fan  Mon May 22 10:53:08 2017
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
        by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57
        for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT)
Message-ID: <739874.219379516-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 14:53:08 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057
/ var / mail / legolas

PAM miniserijos santrauka

Mes pažvelgėme į „Mailserver“ pagrindą ir šiek tiek akcentavome saugumą. Tikimės, kad straipsnis bus įvedimo taškas į tokią sudėtingą temą ir jautrią klaidoms, kaip tai yra pašto serverio diegimas rankiniu būdu.

Mes naudojame vietinį vartotojo autentifikavimą, nes jei teisingai perskaitysime failą /etc/dovecot/conf.d/10-auth.conf, pamatysime, kad galų gale jis yra įtrauktas -pagal nutylėjimą- sistemos vartotojų autentifikavimo byla ! įtraukti auth-system.conf.ext. Būtent šio failo antraštėje mums sakoma:

[root @ linuxbox ~] # mažiau /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikavimas sistemos vartotojams. Įtraukta iš 10-auth.conf. # # # # PAM autentifikavimas. Šiuo metu pageidaujama daugumos sistemų.
# PAM paprastai naudojamas su „userdb passwd“ arba „userdb static“. # ATMINKITE: Jums tikrai reikės /etc/pam.d/dovecot failo, sukurto PAM # autentifikavimui. passdb {driver = pam # [session = yes] [setcred = yes] [fail_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = balandis

Kitas failas egzistuoja /etc/pam.d/dovecot:

[root @ linuxbox ~] # katė /etc/pam.d/dovecot 
Reikalingas #% PAM-1.0 Autent pam_nologin.so Autent įtraukti slaptažodžio autentifikavimo sąskaitą įtraukti slaptažodžio autentifikavimo sesiją įtraukti slaptažodžio autentifikavimą

Ką mes bandome pasakyti apie PAM autentifikavimą?

• „CentOS“, „Debian“, „Ubuntu“ ir daugelis kitų „Linux“ distribucijų įdiegia „Postifx“ ir „Dovecot“, pagal numatytuosius nustatymus įgalinus vietinį autentifikavimą.
• Daugelyje straipsnių internete naudojama „MySQL“ ir pastaruoju metu „MariaDB“, kad būtų saugomi vartotojai ir kiti su pašto serveriu susiję duomenys. BET tai serveriai TŪKSTANTIEMS VARTOTOJŲ, o ne klasikiniam MVĮ tinklui, kuriame galbūt yra šimtai vartotojų.
• Autentifikavimas per PAM yra būtinas ir pakankamas tinklo paslaugoms teikti tol, kol jos veikia viename serveryje, kaip matėme šioje mini serijoje.
• LDAP duomenų bazėje saugomus vartotojus galima susieti taip, lyg jie būtų vietiniai vartotojai, o PAM autentifikavimas gali būti naudojamas teikiant tinklo paslaugas iš skirtingų „Linux“ serverių, veikiančių kaip LDAP klientai centriniam autentifikavimo serveriui. Tokiu būdu mes dirbtume su vartotojų duomenimis, saugomais centrinėje LDAP serverio duomenų bazėje, ir NEBŪTŲ svarbu išlaikyti vietinių vartotojų duomenų bazę.

  

  

  

Iki kito nuotykio!