Postfix + Dovecot + Squirrelmail и локални корисници - SMB мрежи

Општ индекс на серијата: Компјутерски мрежи за мали и средни претпријатија: Вовед

Оваа статија е продолжение и последна од минисеријата:

• Автентикација на лигњи + ПЕМ на CentOS 7.
• Менаџмент на локални корисници и групи
• NSD Авторитарен DNS-сервер + Shorewall
• Просодија IM и локални корисници
  

Здраво пријатели и пријатели!

На Ентузијасти тие сакаат да имаат сопствен сервер за пошта. Тие не сакаат да користат сервери каде што е „приватност“ помеѓу прашалниците. Лицето одговорно за спроведување на услугата на вашиот мал сервер не е специјалист за оваа тема и првично ќе се обиде да го инсталира јадрото на идниот и комплетен сервер за пошта. Дали е тоа „равенките“ за да се направи целосен сервер за пошта е малку тешко да се разберат и применат. 😉

Забелешки за маргините

• Неопходно е да се биде јасно кои функции ги извршува секоја програма вклучена во Mailserver. Како првичен водич даваме цела низа корисни врски со декларираната цел да бидат посетени.
• Спроведувањето на Комплетна услуга за пошта рачно и од нула е заморен процес, освен ако не сте еден од „избраните“ кои вршат ваков вид задачи секојдневно. Сервер за пошта се формира -на општ начин- од различни програми кои одделно се справуваат SMTP, ПОП / IMAP, Локално складирање на пораки, задачи поврзани со третманот на Спам, Антивирус, итн. СИТЕ овие програми мора правилно да комуницираат едни со други.
• Не постои единствено соодветно за сите или „најдобра практика“ за тоа како да управувате со корисниците; каде и како да се зачуваат пораките или како да се направат сите компоненти да работат како единствена целина.
• Склопувањето и подесувањето на Mailserver има тенденција да биде одвратно за прашања како што се дозволите и сопствениците на датотеки, избирајќи кој корисник ќе биде одговорен за одреден процес и во мали грешки направени во некоја езотерична конфигурациска датотека.
• Освен ако не знаете многу добро што правите, крајниот резултат ќе биде несигурен или малку нефункционален сервер за пошта. Дека на крајот од спроведувањето Не работи, тоа ќе биде веројатно помалото од злата.
• На Интернет можеме да најдеме добар број рецепти за тоа како да направите сервер за пошта. Еден од најкомплетните -според мое лично мислење- е оној што го нуди авторот Ивар Абрахамсен во тринаесеттото издание на јануари 2017 година «Како да поставите сервер за пошта на систем GNU / Linux".
• Исто така препорачуваме да ја прочитате статијата «Сервер за пошта на Ubuntu 14.04: Postfix, Dovecot, MySQL«, или «Сервер за пошта на Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Вистина. Најдобрата документација во врска со ова може да се најде на англиски јазик.
  • Иако ние никогаш не правиме Mailserver верно водени од Како да… споменат во претходниот пасус, самиот факт да го следиме чекор по чекор ќе ни даде многу добра идеја за тоа со што ќе се соочиме.
• Ако сакате да имате комплетен сервер за пошта во само неколку чекори, можете да ја преземете сликата iRedOS-0.6.0-CentOS-5.5-i386.iso, или побарајте помодерна, било да е тоа iRedOS или iRedMail. Тоа е начинот на кој јас лично го препорачувам.

Toе инсталираме и конфигурираме:

• Постфикс како сервер Mail Transport Aнежен (SMTP).
• Гулаб како POP - IMAP сервер.
• Сертификати за врски преку TLS.
• Верверица како веб-интерфејс за корисниците.
• ДНС рекорд во однос на «Рамка за политика на испраќач»Или СПФ.
• Генерација на модули Група Дифи Хелман да се зголеми безбедноста на SSL сертификатите.

Останува да се направи:

Барем следните услуги ќе останат да се имплементираат:

• Постгреј: Политики за сервери за постфикс за сиви листи и одбијте ја несаканата пошта
  
• Амависд-нов: скрипта што создава интерфејс помеѓу МТА и скенери за вируси и филтри за содржина.
• Антивирус Clamav: пакет со антивируси
• SpamAssassin: извлечете ја несаканата пошта
• Razor (Пизор): СПАМ-снимање преку дистрибуирана и колаборативна мрежа. Мрежата Vipul Razor одржува ажуриран каталог за ширење на несакана пошта или СПАМ.
• ДНС запис „Идентификувана пошта на доменКејс“ или ДКИМ.

Пакети postgrey, amavisd-new, clamav, spamassassin, жилет y пизор Тие се наоѓаат во складиштата на програмата. Исто така, ќе ја најдеме програмата опендиким.

• Правилната декларација на DNS евиденцијата „SPF“ и „DKIM“ е од суштинско значење ако не сакаме нашиот сервер за пошта да биде ставен во функција, да биде прогласен за непожелен или за производител на СПАМ или ѓубре пошта, од други поштенски услуги Gmail, Yахао, Hotmail, итн.

Првични проверки

Запомнете дека овој напис е продолжение на другите што започнуваат во Автентикација на лигњи + ПЕМ на CentOS 7.

Интерфејс Ens32 LAN поврзан на Внатрешната мрежа

[root @ linuxbox] # nano / etc / sysconfig / мрежни скрипти / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ЗОНА = јавна

[root @ linuxbox] # ifdown ens32 && ifup ens32

Интерфејс Ens34 WAN поврзан на Интернет

[root @ linuxbox] # nano / etc / sysconfig / мрежни скрипти / ifcfg-ens34
DEVICE = ens34 ONBOOT = да BOOTPROTO = статичен HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = нема IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Рутерот ADSL е поврзан на # овој интерфејс со # следнава адреса GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ЗОНА = надворешна

DNS резолуција од LAN

[root @ linuxbox] # cat /etc/resolv.conf пребарување од linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # e-mail домаќин
mail.desdelinux.fan е алијас за linuxbox.desdelinux.fan. linuxbox.desdelinux.fan има адреса 192.168.10.5 linuxbox.desdelinux.fan поштата се ракува со 1 mail.desdelinux.fan.

[root @ linuxbox] # домаќин пошта.fromlinux.fan
mail.desdelinux.fan е алијас за linuxbox.desdelinux.fan. linuxbox.desdelinux.fan има адреса 192.168.10.5 linuxbox.desdelinux.fan поштата се ракува со 1 mail.desdelinux.fan.

Резолуција на ДНС од Интернет

зуи @ sysadmin: mail $ домаќин пошта.fromlinux.fan 172.16.10.30
Користење на домен сервер: Име: 172.16.10.30 Адреса: 172.16.10.30 # 53 Псевдоними: mail.desdelinux.fan е алијас за desdelinux.fan.
од linux.fan има адреса 172.16.10.10
со поштата desdelinux.fan се ракува 10 пошта.desdelinux.fan.

Проблеми со решавање на локалното име на домаќинот "desdelinux.fan"

Ако имате проблеми со решавање на името на домаќинот «од Форукс.фан" од LAN, обидете се да ја коментирате линијата со датотеки /тнк/dnsmasq.conf каде е декларирано локално = / од linux.fan /. После тоа, рестартирајте го Днсмаск.

[root @ linuxbox] # nano /etc/dnsmasq.conf # Коментирајте ја линијата подолу:
# локално = / desdelinux.fan /

[root @ linuxbox] # сервис dnsmasq рестартирај
Пренасочување кон / bin / systemctl рестартирајте го dnsmasq.service

[root @ linuxbox ~] # статус на услуга dnsmasq

[root @ linuxbox] # домаќин од linux.fan
desdelinux.fan има адреса 172.16.10.10 desdelinux.fan поштата се ракува со 10 mail.desdelinux.fan.

Постфикс и Довекот

Многу обемната документација за Postfix и Dovecot може да се најде на:

[root @ linuxbox] # ls /usr/share/doc/postfix-2.10.1/
отскокнување.цф.дефаулт ПРОДОЛSEУВАЕ НА ЛИЦЕНЦА-Пост-фикс-SASL-RedHat.txt КОМПАТИБИЛНОСТ главни.cf.default TLS_ACKNOWLEDGEMENTS примери README_FILES TLS_LICENSE

[root @ linuxbox] # ls /usr/share/doc/dovecot-2.2.10/
АВТОРИ КОПИРАЕ.МИТ dovecot-openssl.cnf ВЕСТИ вики КОПИРАЕ ChangeLog пример-конфигурација README COPYING.LGPL документација.txt mkcert.sh solr-schema.xml

Во CentOS 7, Postfix MTA е стандардно инсталиран кога избираме опција за сервер за инфраструктура. Ние мора да провериме дали контекстот SELinux дозволува пишување на Potfix во редот на локалната порака:

[root @ linuxbox] # getsebool -а | грп постфикс
postfix_local_write_mail_spool -> on

Измени во FirewallD

Користејќи го графичкиот интерфејс за конфигурирање на FirewallD, мора да осигураме дека следниве услуги и порти се овозможени за секоја зона:

# ----------------------------------------------------- -----
# Поправки во FirewallD
# ----------------------------------------------------- -----
# Заштитен allид
# Јавна зона: http, https, imap, pop3, smtp услуги
# Јавна зона: пристаништа 80, 443, 143, 110, 25

# Надворешна зона: http, https, imap, pop3s, smtp услуги
# Надворешна зона: пристаништа 80, 443, 143, 995, 25

Ние инсталираме Dovecot и потребните програми

[root @ linuxbox] # yum инсталирај го dovecot mod_ssl про-пошта теленет

Минимална конфигурација на Dovecot

[root @ linuxbox] # nano /etc/dovecot/dovecot.conf
протоколи =imap pop3 lmtp
слушам =*, ::
најава_здравје = Dovecot е подготвен!

Ние експлицитно ја оневозможуваме проверката на обичен текст на Довекот:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-auth.conf 
оневозможи_објасен_аут = да

Ние ја прогласуваме Групата со потребните привилегии за интеракција со Dovecot и локацијата на пораките:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-mail.conf
пошта_локација = mbox: ~ / пошта: INBOX = / var / пошта /% u
mail_privileged_group = пошта
mail_access_groups = пошта

Сертификати за Dovecot

Dovecot автоматски ги генерира вашите тест сертификати врз основа на податоците во датотеката /итн)/pki/dovecot/dovecot-openssl.cnf. За да имаме генерирани нови сертификати според нашите барања, мора да ги извршиме следниве чекори:

[root @ linuxbox] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = да истакнати_ име = req_dn x509_extensions = потврда_ тип на брза = не [req_dn] # земја (код со 2 букви) C = CU # Име на покраина или држава (полно име) ST = Куба # Име на локалитет (на пр. град ) L = Habana # Организација (на пр. Компанија) O = FromLinux.Fan # Име на организациска единица (на пр. Дел) OU = ентузијасти # заедничко име (* .пример.com е исто така можно) CN = *. Desdelinux.fan # E -маил за контакт по е-поштаAddress=buzz@desdelinux.fan [cert_type] nsCertType = сервер

Ние ги елиминираме сертификатите за тест

[root @ linuxbox dovecot] # rm потврди / dovecot.pem 
rm: избришете ја редовната датотека "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: избришете ја редовната датотека "приватна / dovecot.pem"? (y / n) y

Ние ја копираме и извршуваме сценариото mkcert.ш од директориумот за документација

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # баш мкцерт.ш 
Генерирање на 1024-битен приватен клуч RSA ...... ++++++ ................ ++++++ пишување нов приватен клуч на '/ etc / pki / dovecot / private / dovecot.pem '----- предмет = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Отпечаток од прст = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l потврди /
вкупно 4 -rw -------. 1 корен корен 1029 22 мај 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l приватно /
вкупно 4 -rw -------. 1 корен корен 916 22 мај 16:08 dovecot.pem

[root @ linuxbox dovecot] # сервис рестартирај го гулабот
[root @ linuxbox dovecot] # статус на гулаб на услуга

Сертификати за Postfix

[root @ linuxbox] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -денови 1825 \ -над сертификати / desdelinux.fan.crt -keyout приватна / desdelinux.fan.key

Генерирање 4096 бит RSA приватен клуч ......... ++ .. ++ пишување нов приватен клуч на „private / domain.tld.key“ ----- Од вас ќе биде побарано да внесете информации што ќе биде вметнато во вашето барање за сертификат. Она што ќе го внесете е она што се нарекува Истакнато име или ДН. Постојат доста полиња, но можете да оставите празни. За некои полиња ќе има стандардна вредност, Ако внесете '.', Полето ќе остане празно. ----- Име на држава (шифра со 2 букви) [XX]: Име на државата или покраината на ЦУ (полно име) []: Име на локалитетот Куба (на пр. Град) [Стандарден град]: Име на организацијата Хабана (на пример, компанија) [ Default Company Ltd]: Име на организациска единица од FromLinux.Fan (на пр. Дел) []: Заедничко име на ентузијастите (на пр., Вашето име или името на домаќинот на вашиот сервер) []: desdelinux.fan Адреса за е-пошта []: buzz@desdelinux.fan

Минимална конфигурација на Postfix

Ние додаваме на крајот од датотеката / итн / псевдоними следниот:

корен: зуи

За да стапат на сила промените, ја извршуваме следнава команда:

[root @ linuxbox] # нови новитети

Конфигурацијата Postifx може да се изврши со директно уредување на датотеката /тнк/postfix/main.cf или по наредба постконф -е водејќи сметка целиот параметар што сакаме да го измениме или додадеме се рефлектира во една линија на конзолата:

• Секој мора да ги објави опциите што ги разбира и им треба!.

[root @ linuxbox] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox] # postconf -e 'inet_interfaces = сите'
[root @ linuxbox] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Ние додаваме на крајот од датотеката /тнк/postfix/main.cf опциите дадени подолу. За да го знаете значењето на секој од нив, препорачуваме да ја прочитате придружната документација.

биф = не
append_dot_mydomain = бр
време_предупредување_време = 4 ч
readme_directory = бр
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = да
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_ ограничувања = allow_mynetworks allow_sasl_authenticated defer_unauth_stestination

# Максимална големина на поштенското сандаче 1024 мегабајти = 1 g и ga
поштенско сандаче_size_limit = 1073741824

примач_делимитер = +
максимална_патека_животно = 7д
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Сметки што испраќаат копија од дојдовната пошта на друга сметка
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Следните редови се важни за да се утврди кој може да испраќа пошта и реле на други сервери, така што не случајно конфигурираме „отворено реле“ што им овозможува на неавтентицирани корисници да испраќаат пошта. Ние мора да ги консултираме страниците за помош на Postfix за да разбереме што значи секоја опција.

• Секој мора да ги објави опциите што ги разбира и им треба!.

smtpd_helo_ ограничувања = дозвола_минет мрежи,
 предупредување_ ако_одбие одбие_но_фкдн_хома
 одбие_невалиден_hostname,
 дозвола

smtpd_sender_ ограничувања = автентицирана дозвола_sasl_,
 дозвола_минет мрежи,
 предупредување_ ако_одбие одбие_но_фкдн_испраќач,
 одбие_непознат_доменски_домен,
 отфрли го цевководот_унат
 дозвола

smtpd_client_ ограничувања = отфрли_рбл_ клиент sbl.spamhaus.org,
 отфрли_рбл_ клиент црни дупки.easynet.nl

# ЗАБЕЛЕШКА: Опцијата „провери_политичка_услуга за вметнување: 127.0.0.1: 10023“
# ја овозможува програмата Постгри и не треба да ја вклучуваме
# во спротивно ќе го користиме Postgrey

smtpd_recipient_ ограничувања = отфрли_едноставно-цевковод,
 дозвола_минет мрежи,
 автентицирана дозвола_сал,
 одбие_но_фкдн_ примач,
 одбие_непознат_ примач_домен,
 отфрли
 чек_политички_инвестициски услуги: 127.0.0.1: 10023,
 дозвола

smtpd_data_ ограничувања = одбие_волинирање на цевководи

smtpd_relay_ ограничувања = одбие_волинирање на цевководи,
 дозвола_минет мрежи,
 автентицирана дозвола_сал,
 одбие_но_фкдн_ примач,
 одбие_непознат_ примач_домен,
 отфрли
 чек_политички_инвестициски услуги: 127.0.0.1: 10023,
 дозвола
 
smtpd_helo_required = да
smtpd_delay_reject = да
оневозможи_vrfy_command = да

Ние ги создаваме датотеките / etc / postfix / body_checks y / итн / поштенска фиксна сметка / сметки за препраќање_копија, и ние ја менуваме датотеката / etc / postfix / header_checks.

• Секој мора да ги објави опциите што ги разбира и им треба!.
  

[root @ linuxbox] # проверки нано / итн / постфикс / тело
# Ако оваа датотека е изменета, не е потребно # да се изврши поштенска мапа # За да ги тестирате правилата, извршете како root: # мапа -q 'супер нова v1agra' regexp: / итн / postfix / body_checks
# Треба да се врати: # ОДБИВЕТЕ го правилото број 2 Тело за борба против несакана пошта
/ вијагра / ОДБИВИ правило # 1 Анти-спам на телото на пораката
/ super new v [i1] agra / REJECT Правило # 2 Тело за порака против несакана пошта

[root @ linuxbox] # nano / etc / postfix / Accounts_forwarding_copy
# По модификацијата, мора да извршите: # поштенска мапа / итн / поштенска фиксна сметка / сметки_ препраќање_копија
# и датотеката е креирана или измерена: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Единечна сметка за проследување на една Копија на БКК # копија од ЦЦЦ = копија од црн јаглерод # Пример: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # поштенска мапа / итн / поштенска фиксна сметка / сметки_ препраќање_копија

[root @ linuxbox ~] # проверки нано / итн / постфикс / заглавие
# Додади на крајот од датотеката # НЕ БАРА поштенска мапа бидејќи тие се редовни изрази
/ ^ Предмет: =? Big5? / ОДБИВА кинеско кодирање не е прифатено од овој сервер
/ ^ Предмет: =? EUC-KR? / REJECT Корејското кодирање не е дозволено од овој сервер
/ ^ Предмет: ADV: / ОДБИВАЈТЕ Рекламите не се прифатени од овој сервер
/^Од :.** @
/^Од :.**@.*\.kr/ ОДБИВА Извинете, корејската пошта не е дозволена овде
/^Од :.** @
/^Од :.** @
/^(Примено..Порака- Ид..X-(Поштар..Сендер )):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Тандер сервер | eMarksman | Екстрактор | е-спојување | од скришум [^.] | Глобален месинџер | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Прекинувач на вести | Powermailer | Брзо снимање | Подготвен пожар | WindoZ | WorldMerge | Yourdora | Lite) \ b / ОДБИВАЈТЕ Не се дозволени масовни испраќачи
/ ^ Од: "спамер / ОДБИВИ
/ ^ Од: "спам / ОДБИВА
/^Предмет:.*viagra / ОДГОВОР
# Опасни екстензии
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ние не прифаќаме прилози со овие додатоци

Ја проверуваме синтаксата, ги рестартираме Apache и Postifx и го активираме и стартуваме Dovecot

[root @ linuxbox] # проверка на постфикс
[root @ linuxbox ~] #

[root @ linuxbox] # systemctl рестартирај httpd
[root @ linuxbox] # статус systemctl httpd

[root @ linuxbox] # systemctl рестартирај пост-фикс
[root @ linuxbox ~] # пост-фикс системски статус

[root @ linuxbox] # systemctl status dovecot
Ove dovecot.service - Dovecot IMAP / POP3 сервер за е-пошта Вчитан: вчитан (/usr/lib/systemd/system/dovecot.service; оневозможен; претходно поставен продавач: оневозможено) Активно: неактивно (мртво)

[root @ linuxbox] # systemctl овозможуваат dovecot
[root @ linuxbox] # systemctl започнете го гулабот
[root @ linuxbox] # systemctl рестартирај го гулабот
[root @ linuxbox] # systemctl status dovecot

Проверки на ниво на конзола

• Многу е важно пред да продолжите со инсталирање и конфигурирање на други програми, да направите минимални потребни проверки на услугите SMTP и POP.

Локално од самиот сервер

Ние испраќаме е-пошта до локалниот корисник легола.

[root @ linuxbox] # ехо "Здраво. Ова е тест порака" | е-пошта "Тест" легола

Ние го проверуваме поштенското сандаче на легола.

[root @ linuxbox] # openssl s_client -crlf -поврзи 127.0.0.1:110 -стартс поп3

По пораката Dovecot е подготвен! продолжуваме:

---
+ Добро Dovecot е подготвен!
КОРИСНИК легола + ОК ПАС легола + Добро најавено СТАТ + ОК 1 559 ЛИСТА + ОК 1 пораки: 1 559. RETR 1 + ОК 559 октети-пат на враќање: Х-оригинал до: legolas Доставено до: legolas@desdelinux.fan Добиено: од desdelinux.fan (Постфикс, од userid 0) ID 7EA22C11FC57; Пон, 22 2017:10:47 -10 (EDT) Датум: Пон, 0400 22:2017:10 -47 До: legolas@desdelinux.fan Тема: Тест за кориснички агент: Последователност по пошта 10 0400/12.5 7 MIME-верзија: 5 Тип на содржина: текст / обичен; charset = us-ascii Шифрирање на пренос на содржина: ID на порака од 10 бита: <1.0EA7C20170522144710.7FC22@desdelinux.fan> Од: root@desdelinux.fan (корен) Здраво. Ова е тест порака. ПОВРШИ ГОТОВО
[root @ linuxbox ~] #

Далечински управувачи од компјутер на LAN

Ајде да испратиме уште една порака до легола од друг компјутер на LAN. Забележете дека безбедноста на TLS НЕ е строго неопходна во мрежата на МСП.

зуи @ sysadmin: send $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-у "Здраво" \
-м "Поздрав Леголас од твојот пријател Баз" \
-пошта.desdelinux.fan -o tls = бр
22 мај 10:53:08 sysadmin sendemail [5866]: Е-поштата е успешно испратена!

Ако се обидеме да се поврземе преку телнет Од домаќин на LAN - или, се разбира, од Интернет - до Dovecot, ќе се случи следново затоа што оневозможуваме проверка на обичен текст:

зуи @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Обидете се со 192.168.10.5 ...
Поврзано со linuxbox.fromlinux.fan. Карактерот за бегство е '^]'. + Добро Dovecot е подготвен! кориснички легола
-ЕРР [AUTH] Автентикација на обичен текст е забранета за небезбедни (SSL / TLS) врски.
напушти + ОК Одјавување Врската е затворена од странски домаќин.
зуи @ sysadmin: ~ $

Ние мора да го сториме тоа преку openssl. Комплетниот излез на командата ќе биде:

зуи @ sysadmin: ~ $ openssl s_client -crlf -поврзи пошта.fromlinux.fan:110 -starttls pop3
ПОВРЗАНО (00000003)
длабочина = 0 C = CU, ST = Куба, L = Хавана, O = FromLinux.Fan, OU = ентузијасти, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
потврди грешка: број = 18: самопотпишан сертификат потврди поврат: 1
длабочина = 0 C = CU, ST = Куба, L = Хавана, O = FromLinux. Фан, ОУ = ентузијасти, CN = * .fromlinux.fan, е-поштаАдреса = buzz@fromlinux.fan потврди поврат: 1
--- Синџир на сертификати 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Сертификат за сервер ----- ПОЧНИ СЕРТИФИКАТ-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END субјектот на сертификатот = / C = CU / ST = Куба / L = Хавана / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan издавач = / C = CU / ST = Куба / L = Хабана / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Нема испратен сертификат за клиент Имиња на ИС испратени клуч за сервер: ECDH, secp384r1, 384 бита --- SSL ракувањето прочита 1342 бајти и напиша 411 бајти --- Ново, TLSv1 / SSLv3 , Шифрата е ECDHE-RSA-AES256-GCM-SHA384 Јавниот клуч на серверот е 1024 бита Безбедна преговарачка поддршка е компресија: НЕМА Проширување: НЕМА SSL-сесија: Протокол: TLSv1.2 Шифра: ECDHE-RSA-AES256-GCM-SHA384 Сесија- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Сесија-ID-ctx: Главен клуч : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 клуч-Arg: Никој Krb5 главните: Никој PSK 300 идентитет: Никој PSK идентитет навестување: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 клуч-Arg: Никој Krb7 главните: None 1 PSK идентитет: Никој PSK идентитет навестување: HS XNUMX TLS сесија XNUMX секунди XNUMX F Nonec XNUMX сесија за билети XNUMX f XNUMX секунди XNUMX FXNUMXFXNUMX билет ec XNUMXe XNUMXc N :.) zOcr ... O ...
 0010 - 2c d4 биде a8 биде 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Добро Dovecot е подготвен!
КОРИСНИК легола
+ Добро
ПАСИ легола
+ Добро Пријавени се
ЛИСТА
+ ОК 1 пораки: 1 1021.
ПОВЕЕ 1
+ Добра патека за враќање на 1021 октет: X-оригинал-до: legolas@desdelinux.fan Доставено до: legolas@desdelinux.fan Добиено: од sysadmin.desdelinux.fan (портал [172.16.10.1]) од desdelinux.fan (Постфикс) со ESMTP ID 51886C11E8C0 за ; Пон., 22 2017:15:09 -11 (EDT) -ИД-порака: <0400-sendEmail@sysadmin> Од: "buzz@deslinux.fan" До: "legolas@desdelinux.fan" Тема: Здраво Датум: Пон, 919362.931369932 22:2017:19 +09 X-Mailer: sendEmail-11 MIME-верзија: 0000 Тип на содржина: повеќеделен / поврзан; граница = "---- MIME разграничувач за sendEmail-1.56" Ова е повеќеделна порака во формат MIME. За правилно прикажување на оваа порака потребна ви е програма за е-пошта во согласност со MIME-Version 1.0. ------ МИМЕ разграничувач за sendEmail-365707.724894495 Тип на содржина: текст / обичен; charset = "ISO-1.0-365707.724894495" Кодирање со содржина-трансфер: 8859битни поздрави Леголас од твојот пријател Баз ------ МИМ разграничувач за sendEmail-1--.
ОТВОРИ
+ Добро Одјавување. затворен
зуи @ sysadmin: ~ $

Верверица

Верверица е веб-клиент напишан целосно во PHP. Вклучува природна PHP поддршка за протоколите IMAP и SMTP и обезбедува максимална компатибилност со различните прелистувачи што се користат. Прави правилно на кој било сервер IMAP. Ги има сите функционалности што ви требаат од клиент за е-пошта, вклучувајќи поддршка за MIME, книга со адреси и управување со папки.

[root @ linuxbox] # yum инсталирај верверица
[root @ linuxbox] # услуга httpd рестартирај

[root @ linuxbox] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox] # услуга httpd повторно вчитување

DNS Испрати политика Framenwork или SPF запис

Во статијата NSD Авторитарен DNS-сервер + Shorewall Видовме дека зоната "desdelinux.fan" е конфигурирана на следниов начин:

корен @ ns: # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN од linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; сериски 1D; освежи 1H; обиди се повторно 1W; истекува 3H); минимум или; Негативно време за кеширање за живеење; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan - сите"
; ; Пријавете се за да ги решите барањата за копање од linux.fan @ IN A 172.16.10.10; ns ВО 172.16.10.30 пошта во CNAME од linux.fan. разговор во CNAME од linux.fan. www во CNAME од linux.fan. ; ; СРВ-записи поврзани со XMPP
_xmpp-сервер._tcp ВО SRV 0 0 5269 од linux.fan. _xmpp-клиент._tcp ВО SRV 0 0 5222 од linux.fan. _jabber._tcp ВО СРВ 0 0 5269 од linux.fan.

Во него регистриран е регистарот:

@ IN TXT "v = spf1 a: mail.desdelinux.fan - сите"

За да го конфигурираме истиот параметар за МСП мрежата или LAN, ние мора да ја измениме конфигурациската датотека Dnsmasq како што следува:

# TXT записи. Ние исто така можеме да прогласиме запис за SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Потоа ја рестартираме услугата:

[root @ linuxbox] # сервис dnsmasq рестартирај
[root @ linuxbox] # услуга статус dnsmasq [root @ linuxbox ~] # домаќин -t TXT mail.fromlinux.fan mail.fromlinux.fan е алијас за fromlinux.fan. desdelinux.fan описен текст "v = spf1 a: mail.desdelinux.fan -all"

Самопотпишани сертификати и Apache или httpd

Дури и ако прелистувачот ви каже дека «Сопственикот на пошта.fromlinux.fan Неправилно ја конфигуриравте вашата веб-страница. За да спречи вашите информации да бидат украдени, Firefox не се поврза на оваа веб-страница “, претходно генерираниот сертификат ВАИ, и ќе им овозможи на ингеренциите меѓу клиентот и серверот да патуваат криптирани, откако ќе го прифатиме сертификатот.

Ако сакате, и како начин за обединување на сертификатите, можете да ги пријавите за Apache истите сертификати што ги објавивте за Postfix, што е точно.

[root @ linuxbox ~] # нано /etc/httpd/conf.d/ssl.conf
SSLCertificateFile/итн/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile/итн/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # сервис httpd рестартирај
[root @ linuxbox ~] # услуга httpd статус

Група Дифи-Хелман

Прашањето за безбедност станува сè потешко секој ден на Интернет. Еден од најчестите напади на врски SSL, Дали е тој ќор-сокак и за да се одбрани од него, потребно е да се додадат нестандардни параметри на SSL конфигурацијата. За ова постои RFC-3526 «Повеќе модуларен експоненцијален (MODP) Дифи-Хелман групи за размена на клучеви на Интернет (IKE)".

[root @ linuxbox] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 приватни / dhparams.pem

Според верзијата на Apache што ја инсталиравме, ќе ја користиме Групата Дифи-Хелман од датотеката /тнк/pki/tls/dhparams.pem. Ако станува збор за верзија 2.4.8 или понова, тогаш ќе мора да додадеме во датотеката /тнк/httpd/conf.d/ssl.conf следнава линија:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Верзијата на Apache што ја користиме е:

[root @ linuxbox tls] # yum инфо httpd
Вчитани приклучоци: најбрз мимир, пакет Вчитување на брзините на огледалото од зачуваната хост-датотека Инсталирани пакети Име: Архитектура httpd: x86_64
Верзија: 2.4.6
Објавување: 45.el7.centos Големина: 9.4 М Репозиториум: инсталиран Од складиште: Резиме на база-репо: URL на сервер Apache HTTP: http://httpd.apache.org/ Лиценца: ASL 2.0 Опис: Apache HTTP серверот е моќен , ефикасен и проширен: веб-сервер.

Бидејќи имаме верзија пред 2.4.8, ја додаваме на крајот од претходно генерираниот сертификат за ЦРТ, содржината на групата Дифи-Хелман:

[root @ linuxbox tls] # приватна мачка / dhparams.pem >> потврди / desdelinux.fan.crt

Ако сакате да проверите дали параметрите за DH се правилно додадени на сертификатот CRT, извршете ги следниве команди:

[root @ linuxbox tls] # приватна мачка / dhparams.pem 
----- ПОЧНИ ПАРАМЕТРИ ДА -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- КРАЈ ПАРАМЕТРИ -----

[root @ linuxbox tls] # потврди за мачки / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- КРАЈ ПАРАМЕТРИ -----

По овие промени, ние мора да ги рестартираме услугите Postfix и httpd:

[root @ linuxbox tls] рестартирај # постфикс услуга
[root @ linuxbox tls] # статус на постфикс услуга
[root @ linuxbox tls] # услуга httpd рестартирај
[root @ linuxbox tls] # услуга httpd статус

Вклучувањето на Групата Дифи-Хелман во нашите TLS сертификати може да го направи поврзувањето преку HTTPS малку побавно, но додавањето на безбедноста вреди.

Проверка на Squirrelmail

después дека сертификатите се правилно генерирани и дека ја потврдуваме нивната правилна работа како што правевме преку командите за конзола, насочете го преферираниот прелистувач кон URL-то http://mail.desdelinux.fan/webmail и тој ќе се поврзе со веб-клиентот откако ќе го прифати соодветниот сертификат. Забележете дека, иако го наведете HTTP протоколот, тој ќе биде пренасочен кон HTTPS, а тоа се должи на стандардните поставки што CentOS ги нуди за Squirrelmail. Погледнете ја датотеката /etc/httpd/conf.d/squirrelmail.conf.

За поштенските сандачиња за корисникот

Dovecot ги создава поштенските сандачиња IMAP во папката дома на секој корисник:

[root @ linuxbox] # ls -la /home/legolas/mail/.imap/
вкупно 12 drwxrwx ---. 5 легола пошта 4096 22 12:39. drwx ------. 3 легола леголас 75 мај 22 11:34 часот .. -rw -------. 1 леголас леголас 72 мај 22 11:34 часот dovecot.mailbox.log -rw -------. 1 легола леголас 8 мај 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 мај 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 мај 22 10:23 ИНБОКС drwx ------. 2 legolas legolas 56 мај 22 12:39 Испратено drwx ------. 2 легола легола 30 мај 22 11:34 Traубре

Тие исто така се чуваат во / var / пошта /

[root @ linuxbox] # помалку / var / пошта / легола
Од MAILER_DAEMON Пон. 22 мај 10:28:00 часот Датум: Пон, 2017 година 22:2017:10 часот -28 Од: Внатрешни податоци за системот за пошта Тема: НЕ БИРАЈТЕ ГО ОВАА ПОРАКА - ИД на пораката за внатрешни податоци на папката: <00 @ linuxbox> X-IMAP: 0400 1495463280 Статус: RO Овој текст е дел од внатрешниот формат на вашата папка за пошта и не е вистинска порака. Се креира автоматски од софтверот за поштенски систем. Ако се избришат, важните податоци за папката ќе бидат изгубени и тие ќе бидат повторно создадени со ресетирање на податоците на почетните вредности. Од root@desdelinux.fan Пон. 1495462351 мај 0000000008:22:10 47 Враќање-патека: Х-оригинал до: legolas Доставено до: legolas@desdelinux.fan Добиено: од desdelinux.fan (Постфикс, од userid 10) ID 2017EA0C7FC22; Пон, 11 57:22:2017 -10 (EDT) Датум: Пон, 47 10:0400:22 -2017 До: legolas@desdelinux.fan Тема: Тест за кориснички агент: Последователност по пошта 10 47/10 0400 MIME-верзија: 12.5 Тип на содржина: текст / обичен; charset = us-ascii-кодирање на содржина-трансфер: идентификација на порака од 7 бита: <5EA10C1.0FC7@desdelinux.fan> Од: root@desdelinux.fan (корен) X-UID: 20170522144710.7 Статус: RO Здраво. Ова е тест порака Од buzz@deslinux.fan Пон. 22 мај 11:57:7 22 Враќање-патека: X-оригинал-до: legolas@desdelinux.fan Доставено-до: legolas@desdelinux.fan Добиено: од sysadmin.desdelinux.fan (портал [10]) од desdelinux.fan (Постфикс) со ESMTP ID C53DC08FC2017 за ; Пон., 172.16.10.1 184:11:57 -22 (EDT) -ИД-порака: <2017-sendEmail@sysadmin> Од: "buzz@deslinux.fan" До: "legolas@desdelinux.fan" Тема: Здраво Датум: Пон, 10 53:08:0400 +739874.219379516 X-Mailer: sendEmail-22 MIME-верзија: 2017 Тип на содржина: повеќеделен / поврзан; граница = "---- MIME разграничувач за sendEmail-14
/ var / пошта / легола

Резиме на мини-серија PAM

Го разгледавме јадрото на Mailserver и ставивме малку акцент на безбедноста. Се надеваме дека написот служи како точка за влез во тема толку комплицирана и подложна на грешки, како што е рачно спроведување на сервер за пошта.

Ние користиме автентикација на локален корисник затоа што ако правилно ја прочитаме датотеката /etc/dovecot/conf.d/10-auth.conf, ќе видиме дека на крајот е вклучено -стандардно- датотеката за автентикација на корисниците на системот ! вклучете го системот за авторство.conf.ext. Токму оваа датотека во својот наслов ни кажува дека:

[root @ linuxbox] # помалку / и друго / dovecot/conf.d/auth-system.conf.ext
# Автентикација за корисниците на системот. Вклучено од 10-auth.conf. # # # # Автентикација на ПЕМ. Повеќето системи се претпочитаат во денешно време.
# PAM обично се користи или со userdb passwd или userdb статички. # ЗАПОМНЕТЕ: needе ви треба /etc/pam.d/dovecot датотеката креирана за автентикација на PAM # за да работи навистина. passdb {возач = пам # [сесија = да] [setcred = да] [неуспех_покажи_мсг = да] [макс_ барања = ] # [cache_key = ] [ ] # арги = гулабик}

И другата датотека постои /тнк/pam.d/dovecot:

[root @ linuxbox] # мачка / и друго / пошта.d/dovecot 
#% PAM-1.0 потребна е амх. Pam_nologin. Така, аут вклучуваат лозинка-авт. Сметка вклучуваат лозинка-авторска сесија вклучуваат лозинка-авт

Што се обидуваме да пренесеме за автентикација на ПЕМ?

• CentOS, Debian, Ubuntu и многу други дистрибуции на Linux ги инсталираат Postifx и Dovecot со локална автентикација стандардно овозможена.
• Многу написи на Интернет користат MySQL - и неодамна MariaDB - за складирање на корисници и други податоци во врска со Mailserver. НО, ова се сервери за Илјадници корисници, а не за класична МСП мрежа со - можеби - стотици корисници.
• Автентикацијата преку PAM е неопходна и доволна за да се обезбедат мрежни услуги сè додека работат на еден сервер, како што видовме во оваа минисерија.
• Корисниците зачувани во базата на податоци LDAP може да бидат мапирани како да се локални корисници, а автентикацијата PAM може да се користи за да се обезбедат мрежни услуги од различни Linux сервери кои дејствуваат како LDAP клиенти до централниот сервер за автентикација. На овој начин, ние би работеле со квалификациите на корисниците зачувани во централната база на податоци на LDAP серверот и НЕ би било од суштинско значење да се одржува база на податоци со локални корисници.

До следната авантура!