Postfix + Dovecot + Squirrelmail un vietējie lietotāji - SMB Networks

Sērijas vispārējais indekss: Datoru tīkli MVU: Ievads

Šis raksts ir minisērijas turpinājums un pēdējais:

Sveiki draugi un draugi!

L Entuziasti viņi vēlas, lai viņiem būtu savs pasta serveris. Viņi nevēlas izmantot serverus, kur “Privātums” ir starp jautājuma zīmēm. Persona, kas atbild par pakalpojuma ieviešanu jūsu mazajā serverī, nav šīs tēmas speciāliste, un sākotnēji mēģinās instalēt topošā un pilnīgā pasta servera kodolu. Vai tas, ka "vienādojumus", lai izveidotu pilnu servera serveri, ir mazliet grūti saprast un pielietot. 😉

Maržas anotācijas

  • Ir jābūt skaidram par to, kuras funkcijas veic katra programma, kas iesaistīta Mailserver. Kā sākotnējo ceļvedi mēs sniedzam veselu virkni noderīgu saišu ar deklarēto mērķi, kuru viņi apmeklē.
  • Manuāla un pilnīga pasta pakalpojuma ieviešana ir nogurdinošs process, ja vien jūs neesat viens no izvēlētajiem, kas katru dienu veic šāda veida uzdevumus. Pasta serveri parasti veido dažādas programmas, kuras atsevišķi apstrādā SMTP, POP / IMAP, Ziņojumu vietējā glabāšana, uzdevumi, kas saistīti ar SPAM, Antivīruss utt. VISĀM šīm programmām ir pareizi jāsazinās savā starpā.
  • Nav viena piemērota visiem modeļa vai "paraugprakses", kā pārvaldīt lietotājus. kur un kā saglabāt ziņojumus vai kā panākt, lai visi komponenti darbotos kā vienots veselums.
  • Pasta servera montāža un precizēšana mēdz būt nepatīkama tādos jautājumos kā atļaujas un failu īpašnieki, izvēloties, kurš lietotājs būs atbildīgs par noteiktu procesu, kā arī nelielās kļūdās, kas pieļautas kādā ezotēriskā konfigurācijas failā.
  • Ja vien jūs ļoti labi nezināt, ko darāt, gala rezultāts būs nedrošs vai nedaudz nederīgs pasta serveris. Tas, ka ieviešanas beigās tas nedarbojas, iespējams, būs mazākais no ļaunumiem.
  • Internetā mēs varam atrast daudz receptes, kā izveidot pasta serveri. Viens no pilnīgākajiem -manā ļoti personīgajā skatījumā- ir tā, ko piedāvā autore Ivars Abrahamsens trīspadsmitajā 2017. gada janvāra izdevumā «Kā iestatīt pasta serveri GNU / Linux sistēmā".
  • Iesakām izlasīt arī rakstu «Pasta serveris Ubuntu 14.04: Postfix, Dovecot, MySQL«, vai «Pasta serveris Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Patiesi. Vislabāko dokumentāciju šajā sakarā var atrast angļu valodā.
    • Kaut arī mēs nekad neveidojam Pasta serveri, kuru uzticīgi vadītu Kā ... kas minēts iepriekšējā punktā, tikai fakts, ka tam sekosim soli pa solim, ļaus mums ļoti labi saprast, ar ko mēs saskarsies.
  • Ja vēlaties, lai tikai dažos soļos būtu pilnīgs Mailserver, varat lejupielādēt attēlu iRedOS-0.6.0-CentOS-5.5-i386.iso, vai meklējiet modernāku, vai tas būtu iRedOS vai iRedMail. Tas ir veids, ko es personīgi iesaku.

Mēs gatavojamies instalēt un konfigurēt:

Atliek darīt:

Atliek ieviest vismaz šādus pakalpojumus:

  • Pēcpelēks: Postfix servera politikas pelēkajiem sarakstiem un noraida nevēlamo pastu.
  • Amavisd-jauns: skripts, kas izveido saskarni starp MTA un vīrusu skeneriem un satura filtriem.
  • Clamavas antivīruss: antivīrusu komplekts
  • SpamAssassin: izrakstu nevēlamo pastu
  • Razor (Pyzor): SPAM uztveršana, izmantojot izplatītu un sadarbības tīklu. Tīkls Vipul Razor uztur atjauninātu nevēlamā pasta vai SPAM izplatīšanas katalogu.
  • DNS ieraksts "DomainKeys Identified Mail" vai DKIM.

Pakas postgrey, amavisd-new, clamav, spamassassin, skuveklis y pyzor Tie ir atrodami programmu krātuvēs. Mēs arī atradīsim programmu opendkim.

  • Pareiza DNS ierakstu "SPF" un "DKIM" deklarēšana ir būtiska, ja mēs nevēlamies, lai citi pasta pakalpojumi, piemēram, Gmail, Yahoo, Hotmailutt.

Sākotnējās pārbaudes

Atcerieties, ka šis raksts ir turpinājums citiem, kas sākas gadā Kalmārs + PAM autentifikācija CentOS 7.

Ens32 LAN interfeiss, kas savienots ar iekšējo tīklu

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publiska

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN interfeiss, kas savienots ar internetu

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = jā BOOTPROTO = statisks HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nav IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL maršrutētājs ir savienots ar # šo saskarni ar # šādu adresi GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONA = ārējā

DNS izšķirtspēja no LAN

[root @ linuxbox ~] # cat /etc/resolv.conf meklēšana no linux.fan vārda servera 127.0.0.1 vārdu servera 172.16.10.30 [root @ linuxbox ~] # resursdatora pasts
mail.desdelinux.fan ir linuxbox.desdelinux.fan aizstājvārds. linuxbox.desdelinux.fan adrese ir 192.168.10.5. linuxbox.desdelinux.fan pastu apstrādā 1 mail.desdelinux.fan.

[root @ linuxbox ~] # resursdators mail.fromlinux.fan
mail.desdelinux.fan ir linuxbox.desdelinux.fan aizstājvārds. linuxbox.desdelinux.fan adrese ir 192.168.10.5. linuxbox.desdelinux.fan pastu apstrādā 1 mail.desdelinux.fan.

DNS izšķirtspēja no interneta

buzz @ sysadmin: ~ $ resursdators mail.fromlinux.fan 172.16.10.30
Domēna servera izmantošana: nosaukums: 172.16.10.30 adrese: 172.16.10.30 # 53 Pseidonīmi: mail.desdelinux.fan ir desdelinux.fan aizstājvārds.
no linux.fan ir adrese 172.16.10.10
desdelinux.fan pastu apstrādā 10 mail.desdelinux.fan.

Problēmas lokāli atrisinot resursdatora nosaukumu "desdelinux.fan"

Ja rodas problēmas ar resursdatora nosaukuma atrisināšanu «fromlinux.fan"no LAN, mēģiniet komentēt faila rindiņu /etc/dnsmasq.conf kur tas ir deklarēts vietējais = / no linux.fan /. Pēc tam restartējiet Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentējiet zemāk esošo rindiņu:
# local = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Novirzot uz / bin / systemctl restartējiet dnsmasq.service

[root @ linuxbox ~] # pakalpojuma dnsmasq statuss

[root @ linuxbox ~] # resursdators no linux.fan
desdelinux.fan ir adrese 172.16.10.10 desdelinux.fan pastu apstrādā 10 mail.desdelinux.fan.

Postfix un Dovecot

Ļoti plašu Postfix un Dovecot dokumentāciju var atrast vietnē:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCES README-Postfix-SASL-RedHat.txt SADERĪGUMS main.cf.default TLS_ACKNOWLEDGEMENTS piemēri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI COPYING.MIT dovecot-openssl.cnf JAUNUMI wiki KOPĒŠANA ChangeLog example-config README COPYING.LGPL dokumentācija.txt mkcert.sh solr-schema.xml

CentOS 7 Postfix MTA pēc noklusējuma tiek instalēta, kad mēs izvēlamies opciju Infrastructure Server. Mums jāpārbauda, ​​vai SELinux konteksts ļauj rakstīt uz Potfix vietējā ziņojumu rindā:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Ugunsmūra modifikācijasD

Izmantojot grafisko interfeisu, lai konfigurētu FirewallD, mums jāpārliecinās, vai katrai zonai ir iespējoti šādi pakalpojumi un porti:

# ------------------------------------------------- -----
# Labojumi FirewallD
# ------------------------------------------------- -----
# Ugunsmūris
# Publiskā zona: http, https, imap, pop3, smtp pakalpojumi
# Publiskā zona: 80., 443., 143., 110., 25. osta

# Ārējā zona: http, https, imap, pop3s, smtp pakalpojumi
# Ārējā zona: ports 80, 443, 143, 995, 25

Mēs instalējam Dovecot un nepieciešamās programmas

[root @ linuxbox ~] # yum instalēt dovecot mod_ssl procmail telnet

Minimālā Dovecot konfigurācija

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli = imap pop3 lmtp
klausīties = *, ::
login_greeting = Dovecot ir gatavs!

Mēs skaidri atspējojam Dovecot vienkāršā teksta autentifikāciju:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = jā

Mēs paziņojam grupai ar nepieciešamajām privilēģijām mijiedarbībai ar Dovecot un ziņojumu atrašanās vietu:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pasts
mail_access_groups = pasts

Sertifikāti balodim

Dovecot automātiski ģenerē jūsu pārbaudes sertifikātus, pamatojoties uz failā esošajiem datiem /etc/pki/dovecot/dovecot-openssl.cnf. Lai atbilstoši mūsu prasībām tiktu ģenerēti jauni sertifikāti, mums jāveic šādas darbības:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = jā atšķirts_nosaukums = req_dn x509_extensions = cert_type uzvedne = nē [req_dn] # valsts (2 burtu kods) C = CU # štata vai provinces nosaukums (pilns nosaukums) ST = Kuba # apvidus nosaukums (piemēram, pilsēta ) L = Habana # organizācija (piemēram, uzņēmums) O = FromLinux.Fan # organizācijas vienības nosaukums (piemēram, sadaļa) OU = entuziasti # parastais nosaukums (iespējams arī * .example.com) CN = *. Desdelinux.fan # E -mail contact emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = serveris

Mēs izslēdzam testa sertifikātus

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izdzēst parasto failu "certs / dovecot.pem"? (jā / n) jā
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izdzēst parasto failu "private / dovecot.pem"? (jā / n) jā

Mēs kopējam un izpildām skriptu mkcert.sh no dokumentācijas direktorija

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 bitu RSA privātās atslēgas ģenerēšana ...... ++++++ ................ ++++++ rakstot jaunu privāto atslēgu uz '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 pirksta nospiedums = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l serts /
kopā 4 -rw -------. 1 saknes sakne 1029 22. maijs 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privāts /
kopā 4 -rw -------. 1 saknes sakne 916 22. maijs 16:08 dovecot.pem

[root @ linuxbox dovecot] # pakalpojuma baložu restartēšana
[root @ linuxbox dovecot] # pakalpojuma baložu statuss

Sertifikāti Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout privāts / desdelinux.fan.key

Ģenerē 4096 bitu RSA privāto atslēgu ......... ++ .. ++ rakstot jaunu privāto atslēgu uz “private / domain.tld.key” ----- Jums tiks lūgts ievadīt informāciju kas tiks iekļauts jūsu sertifikāta pieprasījumā. Tas, ko jūs gatavojaties ievadīt, ir tas, ko sauc par atšķirīgu vārdu vai DN. Ir diezgan daudz lauku, bet dažus varat atstāt tukšus. Dažiem laukiem būs noklusējuma vērtība, ja ievadīsit “.”, Lauks paliks tukšs. ----- Valsts nosaukums (2 burtu kods) [XX]: CU štata vai provinces nosaukums (pilns nosaukums) []: Kubas apvidus nosaukums (piemēram, pilsēta) [Noklusējuma pilsēta]: Habanas organizācijas nosaukums (piemēram, uzņēmums) [ Default Company Ltd]: DesdeLinux.Fan organizācijas vienības nosaukums (piemēram, sadaļa) []: Entuziastu parastais nosaukums (piemēram, jūsu vārds vai servera resursdatora nosaukums) []: desdelinux.fan e-pasta adrese []: buzz@desdelinux.fan

Minimāla Postfix konfigurācija

Mēs pievienojam faila beigām / etc / aliases Nākamais:

sakne: buzz

Lai izmaiņas stātos spēkā, mēs izpildām šādu komandu:

[root @ linuxbox ~] # newaliases

Postifx konfigurāciju var izdarīt, tieši rediģējot failu /etc/postfix/main.cf vai ar komandu postconf -e rūpējoties, lai visi parametri, kurus mēs vēlamies mainīt vai pievienot, tiktu atspoguļoti vienā konsoles rindiņā:

  • Katram no viņiem ir jāpaziņo viņiem saprotamās un nepieciešamās iespējas!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION" "
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Mēs pievienojam faila beigām /etc/postfix/main.cf zemāk norādītās iespējas. Lai uzzinātu katra no tiem nozīmi, iesakām izlasīt pievienoto dokumentāciju.

biff = nē
append_dot_mydomain = nē
aizkaves_brīdinājuma_laiks = 4h
readme_directory = nē
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = jā
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Maksimālais pastkastes izmērs 1024 megabaiti = 1 g un g
mailbox_size_limit = 1073741824

saņēmēja_ierobežotājs = +
maksimālais_rindas_darba ilgums = 7 d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Konti, kas nosūta ienākošo pastu kopijas uz citu kontu
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Tālāk norādītās rindas ir svarīgas, lai noteiktu, kas var nosūtīt pastu un pārsūtīt uz citiem serveriem, lai mēs nejauši nekonfigurētu "atvērto releju", kas ļauj neautentificētiem lietotājiem sūtīt vēstules. Mums ir jākonsultējas ar Postfix palīdzības lapām, lai saprastu, ko nozīmē katra opcija.

  • Katram no viņiem ir jāpaziņo viņiem saprotamās un nepieciešamās iespējas!.
smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 atļaut

smtpd_sender_restrictions = allow_sasl_authenticated,
 atļaujas_tīkli,
 warn_if_reject noraidīt_non_fqdn_sender,
 noraidīt_nosaukts_nosūtītājs_domēns,
 reject_unauth_pipelining,
 atļaut

smtpd_client_restrictions = noraidīt_rbl_client sbl.spamhaus.org,
 noraidīt_rbl_client blackholes.easynet.nl

# PIEZĪME: opcija "check_policy_service inet: 127.0.0.1: 10023"
# iespējo programmu Postgrey, un mums to nevajadzētu iekļaut
# pretējā gadījumā mēs izmantosim Postgrey

smtpd_recipient_restrictions = noraidīt_unauth_pipelining,
 atļaujas_tīkli,
 allow_sasl_authenticated,
 noraidīt_non_fqdn_saņēmējs,
 noraidīt_nosaukts_saņēmēja_domēns,
 noraidīt_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 atļaut

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 atļaujas_tīkli,
 allow_sasl_authenticated,
 noraidīt_non_fqdn_saņēmējs,
 noraidīt_nosaukts_saņēmēja_domēns,
 noraidīt_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 atļaut
 
smtpd_helo_required = jā
smtpd_delay_reject = jā
disable_vrfy_command = jā

Mēs izveidojam failus / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyun modificējiet failu / etc / postfix / header_checks.

  • Katram no viņiem ir jāpaziņo viņiem saprotamās un nepieciešamās iespējas!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ja šis fails ir modificēts, nav nepieciešams # palaist pastkarti # Lai pārbaudītu noteikumus, palaidiet to kā root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Jāatgriežas: # Noraidīt 2. noteikuma pret surogātpasta ziņojumu saturu
/ viagra / REJECT Noteikuma Nr. 1 ziņu pamatteksta anti spam
/ super new v [i1] agra / REJECT Noteikums Nr. 2 Anti Spam ziņojuma pamatteksts

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Pēc modifikācijas jums jāizpilda: # postmap / etc / postfix / accounts_ forwarding_copy
# un fails ir izveidots vai izmērīts: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # Viens konts, lai pārsūtītu vienu BCC kopija # BCC = melnās ogles kopijas # piemērs: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Pievienojiet faila beigās # NEPIECIEŠAMS Postmap, jo tie ir regulārie izteicieni
/ ^ Temats: =? Big5? / REJECT Ķīniešu kodējums, kuru šis serveris nepieņem
/ ^ Temats: =? EUC-KR? / REJECT Korejas kodējumu šis serveris neatļauj
/ ^ Temats: ADV: / REJECT Reklāmas, kuras šis serveris nav pieņēmis
/^From:.*\@.*\.cn/ REJECT Atvainojiet, ķīniešu pasts šeit nav atļauts
/^From:.*\@.*\.kr/ REJECT Atvainojiet, korejiešu pasts šeit nav atļauts
/^From:.*\@.*\.tr/ REJECT Atvainojiet, turku pasts šeit nav atļauts
/^From:.*\@.*\.ro/ REJECT Atvainojiet, rumāņu pasts šeit nav atļauts
/^(Saņemtais|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | no Maskēšanās [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nav atļauts izmantot masveida sūtītājus.
/ ^ No: "surogātpasta izplatītājs / REJECT
/ ^ From: "surogātpasts / REJECT
/^Tēma :.*viagra/ ATMET
# Bīstami pagarinājumi
/ name = [^> Iluminación * \. (nūja | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Mēs nepieņemam pielikumus ar šiem paplašinājumiem

Mēs pārbaudām sintaksi, restartējam Apache un Postifx, iespējojam un startējam Dovecot

[root @ linuxbox ~] # postfix pārbaude
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl restartējiet httpd
[root @ linuxbox ~] # systemctl statuss httpd

[root @ linuxbox ~] # systemctl restartējiet postfix
[root @ linuxbox ~] # systemctl statusa postfix

[root @ linuxbox ~] # systemctl statusa balodis
● dovecot.service - Dovecot IMAP / POP3 e-pasta serveris ielādēts: ielādēts (/usr/lib/systemd/system/dovecot.service; atspējots; pārdevēja sākotnējais iestatījums: atspējots) Aktīvs: neaktīvs (miris)

[root @ linuxbox ~] # systemctl iespējot baložu
[root @ linuxbox ~] # systemctl sākt baložu
[root @ linuxbox ~] # systemctl restartējiet baložu
[root @ linuxbox ~] # systemctl statusa balodis

Konsoles līmeņa pārbaudes

  • Pirms citu programmu instalēšanas un konfigurēšanas ir ļoti svarīgi veikt SMTP un POP pakalpojumu minimālo nepieciešamo pārbaudi.

Vietējais no paša servera

Mēs nosūtām e-pastu vietējam lietotājam Legolas.

[root @ linuxbox ~] # echo "Sveiki. Šis ir testa ziņojums" | pasts -s "Test" legolas

Mēs pārbaudām legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Pēc ziņojuma Balodis ir gatavs! mēs turpinām:

---
+ Labi Dovecot ir gatavs!
USER legolas + OK PASS legolas + OK pieteicies. STAT + OK 1 559 LIST + OK 1 ziņojumi: 1 559. RETR 1 + OK 559 oktetu atgriešanās ceļš: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Saņemts: desdelinux.fan (Postfix, no userid 0) id 7EA22C11FC57; Pirmdiena, 22. gada 2017. maijs 10:47:10 -0400 (EDT) Datums: Pirmdiena, 22. gada 2017. maijs 10:47:10 -0400 Kam: legolas@desdelinux.fan Temats: User-Agent tests: Heirloom mailx 12.5 7/5 / 10 MIME versija: 1.0 Content-Type: text / plain; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Labdien. Šis ir pārbaudes ziņojums. PĀRTRAUKT GATAVU
[root @ linuxbox ~] #

Pultis no datora LAN tīklā

Nosūtīsim vēl vienu ziņojumu Legolas no cita datora LAN. Ņemiet vērā, ka TLS drošība NAV obligāti nepieciešama MVU tīklā.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Sveiki" \
-m "Sveiciens Legolas no jūsu drauga Buzz" \
-s mail.desdelinux.fan -o tls = nē
22. maijs 10:53:08 sysadmin sendemail [5866]: E-pasts tika veiksmīgi nosūtīts!

Ja mēs mēģinām izveidot savienojumu caur telnet Sākot ar resursdatoru LAN vai, protams, no interneta, līdz Dovecot, notiks šādi gadījumi, jo mēs atspējojam vienkārša teksta autentifikāciju:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Mēģina 192.168.10.5 ...
Savienots ar linuxbox.fromlinux.fan. Bēgšanas raksturs ir '^]'. + Labi Dovecot ir gatavs! lietotāja legolas
-ERR [AUTH] vienkārša teksta autentifikācija nav atļauta nedrošiem (SSL / TLS) savienojumiem.
atmest + Labi Atteikšanās Savienojumu slēdzis ārzemju resursdators.
buzz @ sysadmin: ~ $

Mums tas jādara caur OpenSSL. Komandas pilnīga izeja būtu:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
Savienots (00000003)
dziļums = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux. Ventilators, OU = entuziasti, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
pārbaudīt kļūdu: num = 18: pašparakstīts sertifikāts pārbaudīt atgriešanu: 1
dziļums = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux. Ventilators, OU = entuziasti, CN = * .flinlinux.fan, emailAddress = buzz@fromlinux.fan pārbaudīt atgriešanos: 1
--- Sertifikātu ķēde 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Servera sertifikāts ----- SĀKT SERTIFIKĀTU-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END SERTIFIKĀTS subject = / C = CU / ST = Kuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan emitents = / C = CU / ST = Kuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. .fan / emailAddress = buzz @ desdelinux.fan --- Klienta sertifikāta CA nosaukumi nav nosūtīti. Servera temp atslēga: ECDH, secp384r1, 384 biti --- SSL rokasspiediens ir izlasījis 1342 baitus un uzrakstījis 411 baitus --- jauns, TLSv1 / SSLv3 , Šifrs ir ECDHE-RSA-AES256-GCM-SHA384 Servera publiskā atslēga ir 1024 bitu Droša atkārtota pārrunas IS tiek atbalstīta Kompresija: NAV Paplašināšana: NAV SSL sesija: Protokols: TLSv1.2 Šifrs: ECDHE-RSA-AES256-GCM-SHA384 Sesija- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A sesijas ID-ctx: galvenā atslēga : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Nav Krb5 Galvenais: Neviens PSK 300 identitāte: Neviens PSK identitāte mājiens: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: Nav Krb7 Galvenais: nav 1 PSK identitāte: Neviens PSK identitāte mājiens: HS XNUMX TLS sesija XNUMX sekundes XNUMX f Nonec XNUMX biļešu sesijas XNUMX f XNUMX sekundes XNUMX FXNUMXFXNUMX biļete ec XNUMXe XNUMXc N:.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Labi Dovecot ir gatavs!
LIETOTĀJA legolas
+ Labi
PAST legolas
+ Labi pieteicies.
SARAKSTS
+ Labi 1 ziņojumi: 1 1021.
RETR 1
+ Labi 1021 oktetu atgriešanās ceļš: X-Original-To: legolas@desdelinux.fan Piegādāts-to: legolas@desdelinux.fan Saņemts: no sysadmin.desdelinux.fan (vārteja [172.16.10.1]) ar desdelinux.fan (Postfix) ar ESMTP ID 51886C11E8C0 domēnam ; Pirmdiena, 22. gada 2017. maijs 15:09:11 -0400 (EDT) Ziņojuma ID: <919362.931369932-sendEmail@sysadmin> No: "buzz@deslinux.fan" Kam: "legolas@desdelinux.fan" Temats: Sveiki, datums: pirmdiena, 22. gada 2017. maijs 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-versija: 1.0 Content-Type: multipart / related; robežas = "---- MIME atdalītājs sendEmail-365707.724894495" Šis ir daudzdaļīgs ziņojums MIME formātā. Lai pareizi parādītu šo ziņojumu, jums ir nepieciešama ar MIME versiju 1.0 saderīga e-pasta programma. ------ MIME atdalītājs sendEmail-365707.724894495 Content-Type: text / plain; charset = "iso-8859-1" Satura pārsūtīšana-kodēšana: 7 bitu apsveikumi Legolas no jūsu drauga Buzz ------ MIME atdalītājs sendEmail-365707.724894495--.
QUIT
+ Labi Atteikšanās. slēgts
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail ir tīmekļa klients, kas pilnībā rakstīts PHP. Tas ietver vietējo PHP atbalstu IMAP un SMTP protokoliem un nodrošina maksimālu saderību ar dažādām izmantotajām pārlūkprogrammām. Tas darbojas pareizi jebkurā IMAP serverī. Tam ir visas e-pasta klientam nepieciešamās funkcijas, tostarp MIME atbalsts, adrešu grāmatas un mapju pārvaldība.

[root @ linuxbox ~] # yum instalēt squirrelmail
[root @ linuxbox ~] # pakalpojuma httpd restartēšana

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # pakalpojuma httpd pārlādēšana

DNS sūtīšanas politikas ietvara vai SPF ieraksts

Šajā rakstā Autoritatīvs DNS serveris NSD + Shorewall Mēs redzējām, ka zona "desdelinux.fan" tika konfigurēta šādi:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN no linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; sērijas 1D; atsvaidziniet 1H; mēģiniet vēlreiz 1W; derīguma termiņš ir 3H); minimums vai; Negatīvs kešatmiņas laiks dzīvošanai; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Žurnāls, lai atrisinātu rakšanas jautājumus no linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 pasts CNAME no linux.fan. tērzēt CNAME no linux.fan. www CNAME no linux.fan. ; ; SRV ieraksti, kas saistīti ar XMPP
_xmpp-server._tcp IN SRV 0 0 5269 no linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 no linux.fan. _jabber._tcp IN SRV 0 0 5269 no linux.fan.

Tajā reģistrs ir deklarēts:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Lai MVU tīklam vai LAN konfigurētu to pašu parametru, mums ir jāmaina Dnsmasq konfigurācijas fails šādi:

# TXT ieraksti. Mēs varam arī deklarēt SPF ierakstu txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Pēc tam mēs restartējam pakalpojumu:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host-TXT mail.fromlinux.fan mail.fromlinux.fan ir aizstājvārds vietnei fromlinux.fan. desdelinux.fan aprakstošs teksts "v = spf1 a: mail.desdelinux.fan -all"

Pašparakstīti sertifikāti un Apache vai httpd

Pat ja jūsu pārlūkprogramma jums paziņo, ka « mail.fromlinux.fan Jūs esat nepareizi konfigurējis savu vietni. Lai jūsu informācija netiktu nozagta, Firefox nav izveidojis savienojumu ar šo vietni ”, iepriekš ģenerētais sertifikāts TAS IR DERĪGSun ļaus akreditācijas datiem starp klientu un serveri ceļot šifrētā veidā pēc tam, kad būsim pieņēmuši sertifikātu.

Ja vēlaties un kā sertifikātu vienādošanas veidu, Apache varat deklarēt tos pašus sertifikātus, kurus deklarējāt Postfix, kas ir pareizi.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # pakalpojumu httpd restart
[root @ linuxbox ~] # pakalpojuma httpd statuss

Diffie-Hellman grupa

Drošības tēma katru dienu internetā kļūst arvien grūtāka. Viens no biežākajiem uzbrukumiem savienojumiem SSL, vai viņš ir Logjam un, lai pret to aizstāvētos, SSL konfigurācijai jāpievieno nestandarta parametri. Šim nolūkam ir RFC-3526 «Vairāk moduļu eksponenciāla (MODP) Difija-Hellmane grupas interneta atslēgu apmaiņai (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Saskaņā ar mūsu instalēto Apache versiju mēs izmantosim Diffie-Helman Group no faila /etc/pki/tls/dhparams.pem. Ja tā ir 2.4.8 vai jaunāka versija, mums tā būs jāpievieno failam /etc/httpd/conf.d/ssl.conf šādā rindā:

SSLOpenSSLConfCmd DHParametri "/etc/pki/tls/private/dhparams.pem"

Apache versija, kuru mēs izmantojam, ir:

[root @ linuxbox tls] # yum informācija httpd
Ielādēti spraudņi: fastestmirror, langpacks Spoguļa ātrumu ielāde no kešatmiņā saglabātā resursdatora Instalētās paketes Nosaukums: httpd Arhitektūra: x86_64
Versija: 2.4.6
Izlaidums: 45.el7.centos Izmērs: 9.4 M repozitorijs: instalēts no repozitorija: Base-Repo kopsavilkums: Apache HTTP servera URL: http://httpd.apache.org/ Licence: ASL 2.0 Apraksts: Apache HTTP serveris ir jaudīgs, efektīvs un paplašināms: tīmekļa serveris.

Tā kā mums ir versija pirms 2.4.8, iepriekš izveidotā CRT sertifikāta beigās mēs pievienojam Diffie-Helman grupas saturu:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

Ja vēlaties pārbaudīt, vai DH parametri ir pareizi pievienoti CRT sertifikātam, izpildiet šādas komandas:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- SĀK DH PARAMETRUS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

[root @ linuxbox tls] # kaķu certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETRI -----

Pēc šīm izmaiņām mums ir jārestartē Postfix un httpd pakalpojumi:

[root @ linuxbox tls] # service postfix restart
[root @ linuxbox tls] # pakalpojuma postfix statuss
[root @ linuxbox tls] # pakalpojuma httpd restartēšana
[root @ linuxbox tls] # pakalpojuma httpd statuss

Diffie-Helman grupas iekļaušana mūsu TLS sertifikātos var nedaudz lēnāk izveidot savienojumu ar HTTPS, taču drošības pievienošana ir tā vērts.

Pārbauda Squirrelmail

DESPUÉS vai sertifikāti ir pareizi ģenerēti un ka mēs pārbaudām to pareizu darbību, kā to darījām, izmantojot konsoles komandas, norādiet vēlamo pārlūkprogrammu uz URL http://mail.desdelinux.fan/webmail un tas izveidos savienojumu ar tīmekļa klientu pēc attiecīgā sertifikāta pieņemšanas. Ņemiet vērā, ka, pat ja jūs norādāt HTTP protokolu, tas tiks novirzīts uz HTTPS, un tas ir saistīts ar noklusējuma konfigurāciju, ko CentOS piedāvā Squirrelmail. Skatiet failu /etc/httpd/conf.d/squirrelmail.conf.

Par lietotāju pastkastēm

Dovecot mapē izveido IMAP pastkastes mājas katram lietotājam:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
kopā 12 drwxrwx ---. 5 legolas pasts 4096 22. maijs 12:39. drwx ------. 3 legolas legolas 75 22. maijs 11:34 .. -rw -------. 1 legolas legolas 72 22. maijs 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maijs 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maijs 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas pasts 56 22. maijs 10:23 INBOX drwx ------. 2 legolas legolas 56. gada 22. maijā 12:39 Nosūtīti drwx ------. 2 legolas legolas 30. maijs 22. maijs 11:34 Miskaste

Tie tiek glabāti arī mapē / var / mail /

[root @ linuxbox ~] # mazāk / var / mail / legolas
No MAILER_DAEMON pirmdiena, 22. maijs 10:28:00 2017 Datums: pirmdiena, 22. gada 2017. maijs 10:28:00 -0400 No: Pasta sistēmas iekšējie dati Temats: NEDZĒSTI ŠO ZIŅU - Mapes iekšējie dati Ziņojuma ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Statuss: RO Šis teksts ir jūsu pasta mapes iekšējā formāta daļa un nav īsts ziņojums . To automātiski izveido pasta sistēmas programmatūra. Ja tas tiks izdzēsts, svarīgie mapes dati tiks zaudēti, un tie tiks izveidoti no jauna, atjaunojot datu sākotnējās vērtības. No root@desdelinux.fan Pirmdiena, 22. maijs 10:47:10 2017 Atgriešanās ceļš: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Saņemts: desdelinux.fan (Postfix, no userid 0) id 7EA22C11FC57; Pirmdiena, 22. gada 2017. maijs 10:47:10 -0400 (EDT) Datums: Pirmdiena, 22. gada 2017. maijs 10:47:10 -0400 Kam: legolas@desdelinux.fan Temats: User-Agent tests: Heirloom mailx 12.5 7/5 / 10 MIME versija: 1.0 Content-Type: text / plain; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Statuss: RO Labdien. Šis ir testa ziņojums no buzz@deslinux.fan pirmdiena, 22. maijs 10:53:08 2017 atgriešanās ceļš: X-Original-To: legolas@desdelinux.fan Piegādāts-to: legolas@desdelinux.fan Saņemts: no sysadmin.desdelinux.fan (vārteja [172.16.10.1]) ar desdelinux.fan (Postfix) ar ESMTP ID C184DC11FC57 domēnam ; Pirmdiena, 22. gada 2017. maijs 10:53:08 -0400 (EDT) Ziņojuma ID: <739874.219379516-sendEmail@sysadmin> No: "buzz@deslinux.fan" Kam: "legolas@desdelinux.fan" Temats: Sveiki, datums: pirmdiena, 22. gada 2017. maijs 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-versija: 1.0 Content-Type: multipart / related; robeža = "---- MIME atdalītājs vietnei sendEmail-794889.899510057
/ var / mail / legolas

PAM minisērijas kopsavilkums

Mēs esam apskatījuši Mailserver kodolu un nedaudz uzsvēruši drošību. Mēs ceram, ka raksts kalpo kā ievades punkts tēmai, kas ir tik sarežģīta un pakļauta kļūdām, kā tas ir Mail Server ieviešana manuāli.

Mēs izmantojam vietējo lietotāju autentifikāciju, jo, ja mēs pareizi lasām failu /etc/dovecot/conf.d/10-auth.conf, mēs redzēsim, ka beigās tas ir iekļauts -pēc noklusējuma- sistēmas lietotāju autentifikācijas fails ! include auth-system.conf.ext. Tieši šī faila galvenē mums ir teikts, ka:

[root @ linuxbox ~] # mazāk /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikācija sistēmas lietotājiem. Iekļauts no 10-auth.conf. # # # # PAM autentifikācija. Mūsdienās to dod priekšroka lielākajai daļai sistēmu.
# PAM parasti izmanto vai nu userdb parole, vai statisks userdb. # ATCERIETIES: Lai reāli darbotos, jums būs nepieciešams /etc/pam.d/dovecot fails, kas izveidots PAM # autentifikācijai. passdb {draiveris = pam # [sesija = jā] [iestatīts = jā] [kļūda_parādīt_msg = jā] [max_requests = ] # [kešatmiņas_atslēga = ] [ ] #args = baložu}

Un otrs fails pastāv /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
Nepieciešams #% PAM-1.0 autentifikācija pam_nologin. Tāpēc Autent ietver paroles autorizācijas kontu Iekļaut paroles autorizācijas sesiju Iekļaut paroles autorizāciju

Ko mēs cenšamies pateikt par PAM autentifikāciju?

  • CentOS, Debian, Ubuntu un daudzi citi Linux izplatītāji instalē Postifx un Dovecot ar vietējo autentifikāciju pēc noklusējuma.
  • Daudzi raksti internetā izmanto MySQL - un nesen arī MariaDB -, lai glabātu lietotājus un citus datus, kas saistīti ar Pasta serveri. BET tie ir serveri TŪKSTOŠIEM LIETOTĀJIEM, nevis klasiskam MVU tīklam ar, iespējams, simtiem lietotāju.
  • Autentifikācija caur PAM ir nepieciešama un pietiekama, lai nodrošinātu tīkla pakalpojumus, ja vien tie darbojas vienā serverī, kā mēs redzējām šajā minisērijā.
  • LDAP datu bāzē saglabātos lietotājus var kartēt tā, it kā viņi būtu vietējie lietotāji, un PAM autentifikāciju var izmantot, lai nodrošinātu tīkla pakalpojumus no dažādiem Linux serveriem, kas darbojas kā LDAP klienti centrālajam autentifikācijas serverim. Tādā veidā mēs darbotos ar centrālo LDAP serveru datu bāzē saglabāto lietotāju akreditācijas datiem, un NAV svarīgi uzturēt datu bāzi ar vietējiem lietotājiem.

Līdz nākamajam piedzīvojumam!


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

9 komentāri, atstājiet savus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta. Obligātie lauki ir atzīmēti ar *

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.

  1.   ķirzaka teica

    Ticiet man, ka praksē tas ir process, kas vairāk nekā vienam sysadmin sagādā smagas galvassāpes, esmu pārliecināts, ka nākotnē tas būs atsauces ceļvedis ikvienam, kurš vēlas pats pārvaldīt savus e-pastus, praktisks gadījums, kas kļūst par abc, integrējot postfix, dovecot, squirrelmail ..

    Liels paldies par slavējamo ieguldījumu,

  2.   Darko teica

    Kāpēc neizmantot Mailpile, kad runa ir par drošību, ar PGP? Arī Roundcube ir daudz intuitīvāks interfeiss, un tas var arī integrēt PGP.

  3.   čurkste teica

    Pirms 3 dienām es izlasīju ierakstu, es zinu, kā jums pateikties. Es neplānoju instalēt pasta serveri, taču vienmēr ir noderīgi redzēt sertifikātu izveidi, kas ir noderīga citām lietojumprogrammām, un šo apmācību laiks gandrīz nebeidzas (pat vairāk, ja izmantojat centOS).

  4.   Federico teica

    Manuels Cillero: Paldies, ka esat izveidojis saiti uz emuāru un no šī raksta, kas ir minimālais pasta servera pamats, pamatojoties uz Postfix un Dovecot.

    Ķirzaka: Kā vienmēr, tavs vērtējums tiek ļoti labi novērtēts. Paldies.

    Darko: Gandrīz visos savos rakstos es vairāk vai mazāk saku: "Ikviens īsteno pakalpojumus ar tām programmām, kas viņiem visvairāk patīk." Paldies par komentāru.

    Mārtiņš: Paldies arī jums par raksta izlasīšanu, un es ceru, ka tas jums palīdzēs jūsu darbā.

  5.   Zodiaka karburuss teica

    Milzīgs rakstu draugs Federiko. Liels paldies par tik labu tuto.

  6.   arhija teica

    lieliski, lai gan es izmantotu "virtuālos lietotājus", lai katru reizi, kad pievienoju e-pastu, nebūtu jāizveido sistēmas lietotājs, paldies, es uzzināju daudz jaunu lietu, un šāda veida ziņu es gaidīju

  7.   Vilintons Acevedo Rueda teica

    Labdien,

    Viņi uzdrošinātos izveidot to pašu ar fedora direktoriju serveri + postifx + dovecot + thunderbird vai outlook.

    Man ir daļa, bet es esmu iestrēdzis, es labprāt kopīgotu dokumentu @desdelinux kopienai

  8.   phico teica

    Nebiju iedomājies, ka tas sasniegs vairāk nekā 3000 apmeklējumus !!!

    Sveiciens ķirzaka!

  9.   Tumšs teica

    Izcila apmācības kolēģe.
    Vai jūs to varētu izdarīt Debian 10 ar Active Directory lietotājiem, kas uzstādīti uz Samba4 ???
    Es domāju, ka tas būtu gandrīz tāds pats, bet mainītu autentifikācijas veidu.
    Ļoti interesanta ir sadaļa, kuru veltāt pašparakstītu sertifikātu izveidei.