Postfix + Dovecot + Squirrelmail болон орон нутгийн хэрэглэгчид - ЖДҮ-ийн сүлжээ

Цувралын ерөнхий индекс: ЖДҮ эрхлэгчдэд зориулсан компьютерийн сүлжээ: Оршил

Энэ нийтлэл нь мини цувралын үргэлжлэл бөгөөд сүүлчийнх нь юм.

Сайн уу, найз нөхөд, найз нөхөд!

олон тоо Сонирхогчид тэд өөрсдийн шуудангийн сервертэй болохыг хүсдэг. Тэд асуултын тэмдгийн хооронд "Нууцлал" байгаа серверүүдийг ашиглахыг хүсэхгүй байна. Таны жижиг сервер дээр үйлчилгээг нэвтрүүлэх ажлыг хариуцаж байгаа хүн нь тухайн сэдвээр мэргэшсэн мэргэжилтэн биш бөгөөд ирээдүйн болон иж бүрэн мэйл серверийн цөмийг суулгахыг хичээх болно. Бүтэн шуудангийн сервер хийх "тэгшитгэл" нь үүнийг ойлгоход бага зэрэг хэцүү байдаг уу? 😉

Нь

Хөвөөний тэмдэглэгээ

  • Шуудангийн серверт хамрагдсан програм бүр ямар функцийг гүйцэтгэдэг талаар тодорхой байх шаардлагатай. Эхний гарын авлагын хувьд бид зочилсон зарласан зорилготой бүхэл бүтэн цуврал холбоосыг өгдөг.
  • Өдөр бүр ийм төрлийн даалгавар гүйцэтгэдэг "Сонгогдсон" хүмүүсийн нэг л биш бол иж бүрэн мэйлийн үйлчилгээг гар аргаар, эхнээс нь хэрэгжүүлэх нь ядаргаатай үйл явц юм. Шуудангийн серверийг ерөнхийд нь тусад нь зохицуулдаг янз бүрийн програмуудаар үүсгэдэг SMTP, POP / IMAP, Орон нутгийн мессеж хадгалах сан, эмчилгээтэй холбоотой даалгаврууд СПАМ, Антивирус гэх мэт. Эдгээр програмууд бүгд хоорондоо зөв харилцах ёстой.
  • Хэрэглэгчдийг хэрхэн удирдах талаар бүхэлд нь тохирсон эсвэл "шилдэг туршлагууд" гэж байдаггүй. мессежийг хаана, хэрхэн хадгалах, эсвэл бүх бүрэлдэхүүн хэсгүүдийг хэрхэн бүхэлд нь нэгтгэх талаар.
  • Шуудангийн серверийг угсрах, тохируулах нь зөвшөөрөл, файл эзэмшигчид, ямар хэрэглэгч тодорхой процессыг хариуцахаа сонгох, зарим эзотерик тохиргооны файлд гарсан жижиг алдаанууд зэрэг асуудалд дургүйцэх хандлагатай байдаг.
  • Хэрэв та юу хийж байгаагаа сайн мэдэхгүй л бол эцсийн үр дүн нь найдваргүй эсвэл бага зэрэг ажиллагаагүй шуудангийн сервер байх болно. Хэрэгжилтийн төгсгөлд Энэ нь ажиллахгүй, энэ нь бузар муугийн хамгийн бага нь байх болно.
  • Интернетээс шуудангийн серверийг хэрхэн яаж хийх талаар олон тооны жор олж болно. Хамгийн бүрэн гүйцэд ньминий хувийн бодлоор- энэ бол зохиогчийн санал болгосон зүйл юм Ивар Абрахамсен 2017 оны XNUMX-р сарын арван гурав дахь хэвлэлд «GNU / Linux систем дээр мэйлийн сервер хэрхэн тохируулах талаар".
  • Бид мөн нийтлэлийг уншихыг зөвлөж байна «Ubuntu 14.04 дээрх шуудангийн сервер: Postfix, Dovecot, MySQL«, эсвэл "Ubuntu 16.04 дээрх шуудангийн сервер: Postfix, Dovecot, MySQL".
  • Үнэн. Үүнтэй холбоотой хамгийн сайн баримт бичгийг Англи хэл дээрээс олж болно.
    • Хэдийгээр бид мэйл серверийг хэзээ ч үнэнч удирдамжаар удирддаггүй Яаж ... Өмнөх догол мөрөнд дурдсанчлан үүнийг алхам алхамаар дагаж мөрдөх нь бидэнд тулгарч буй зүйлийн талаар маш сайн ойлголт өгөх болно.
  • Хэрэв та хэдхэн алхамаар иж бүрэн Mailserver-тэй болохыг хүсвэл зургийг татаж авах боломжтой iRedOS-0.6.0-CentOS-5.5-i386.isoэсвэл iRedOS эсвэл илүү орчин үеийн хувилбарыг хайж олох iRedMail. Энэ бол миний бие зөвлөж байгаа арга юм.

Бид суулгаж тохируулах гэж байна:

Үүнийг хийх шаардлагатай хэвээр байна:

Наад зах нь дараахь үйлчилгээг хэрэгжүүлэх шаардлагатай хэвээр байна.

  • Постгрей: Саарал жагсаалтад зориулж дараах засварын серверийн бодлого, хог хаягнаас татгалзах.
  • Амависд-шинэ: MTA ба вирусын сканнер ба агуулгын шүүлтүүрүүдийн хоорондох интерфэйсийг үүсгэдэг скрипт.
  • Clamav антивирус: вирусны эсрэг програм
  • SpamAssassin: Хог хаягдлыг задлах
  • Razor (Пизор): Түгээгдсэн болон хамтын сүлжээгээр дамжуулан СПАМ барих. Vipul Razor сүлжээ нь хог хаягдал эсвэл СПАМ-ийн тархалтын шинэчилсэн каталогийг хөтөлдөг.
  • DNS бичлэг "DomainKeys Identified Mail" эсвэл DKIM.

Багцууд postgrey, amavisd-new, clamav, spamassassin, сахлын машин y пизор Эдгээр нь програмын агуулахаас олддог. Бид мөн програмыг олох болно Опендким.

  • "SPF" ба "DKIM" DNS бүртгэлийн зөв мэдүүлэг нь бид шинээр эхэлсэн мэйл серверийг хүсээгүй эсвэл SPAM эсвэл Хаягдал мэйл үйлдвэрлэгчийг бусад шуудангийн үйлчилгээнүүдээр зарлахыг хүсэхгүй байвал зайлшгүй шаардлагатай. Gmail, Yааа, Hotmailгэх мэт.

Эхний шалгалт

Энэ нийтлэл нь эхэлсэн бусад хүмүүсийн үргэлжлэл гэдгийг санаарай SquOS + CentOS 7 дээрх PAM баталгаажуулалт.

Дотоод сүлжээнд холбогдсон Ens32 LAN интерфэйс

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
БҮС = олон нийтийн

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Интернетэд холбогдсон Ens34 WAN интерфэйс

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL чиглүүлэгч дараахь # хаягаар # энэ интерфейст холбогдсон байна. GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
БҮС = гадаад

LAN-аас DNS тогтоол

[root @ linuxbox ~] # cat /etc/resolv.conf линуксаас хайх. 127.0.0.1 нэрийн сервер 172.16.10.30 [root @ linuxbox ~] # хост мэйл
mail.desdelinux.fan нь linuxbox.desdelinux.fan-ийн нэр юм. linuxbox.desdelinux.fan хаяг нь 192.168.10.5 linuxbox.desdelinux.fan мэйлийг 1 mail.desdelinux.fan хаягаар зохицуулдаг.

[root @ linuxbox ~] # хост mail.fromlinux.fan
mail.desdelinux.fan нь linuxbox.desdelinux.fan-ийн нэр юм. linuxbox.desdelinux.fan хаяг нь 192.168.10.5 linuxbox.desdelinux.fan мэйлийг 1 mail.desdelinux.fan хаягаар зохицуулдаг.

Интернетээс DNS тогтоол

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Домэйн сервер ашиглах: Нэр: 172.16.10.30 Хаяг: 172.16.10.30 # 53 Хуурамч хаягууд: mail.desdelinux.fan бол desdelinux.fan-ийн нэр юм.
linux.fan-аас 172.16.10.10 хаягтай байна
desdelinux.fan мэйлийг 10 mail.desdelinux.fan зохицуулдаг.

"Desdelinux.fan" хост нэрийг орон нутагт шийдвэрлэхэд гарсан бэрхшээлүүд

Хэрэв танд хостын нэрийг шийдвэрлэхэд асуудал гарвал «fromlinux.fan" аас LAN, файлын мөрийг тайлбарлаж үзээрэй /etc/dnsmasq.conf хаана зарласан тухай local = / linux.fan-аас /. Үүний дараа Dnsmasq-г дахин эхлүүлнэ үү.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Доорх мөрөнд тайлбар хийх:
# local = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq дахин эхлүүлэх
/ Bin / systemctl руу дахин чиглүүлэх dnsmasq.service

[root @ linuxbox ~] # үйлчилгээний dnsmasq статус

[root @ linuxbox ~] linux.fan-аас # хост
desdelinux.fan хаяг нь 172.16.10.10 desdelinux.fan мэйлийг 10 mail.desdelinux.fan хаягаар зохицуулдаг.

Postfix ба Dovecot

Postfix ба Dovecot-ийн маш өргөн цар хүрээтэй баримт бичгийг дараахь хаягаас олж болно.

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCE README-Postfix-SASL-RedHat.txt ҮНДЭСЛЭЛ main.cf.default TLS_ACKNOWLEDGEMENTS жишээ README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
Зохиогчид COPYING.MIT dovecot-openssl.cnf МЭДЭЭЛЭЛ wiki ХУУЛАХ ChangeLog example-config README COPYING.LGPL document.txt mkcert.sh solr-schema.xml

CentOS 7 дээр бид дэд бүтцийн серверийн сонголтыг хийх үед Postfix MTA нь анхдагчаар суулгагддаг. SELinux контекст нь орон нутгийн мессежний дараалалд Potfix руу бичих боломжийг олгодог эсэхийг бид шалгах ёстой.

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Галт ханан дахь өөрчлөлтүүд

FirewallD-ийг тохируулахын тулд график интерфэйсийг ашиглан бүс бүрт дараах үйлчилгээ, портууд идэвхжсэн байх ёстой.

# ------------------------------------------------- -----
# FirewallD дээрх засварууд
# ------------------------------------------------- -----
# Галт хана
# Олон нийтийн бүс: http, https, imap, pop3, smtp үйлчилгээ
# Олон нийтийн бүс: 80, 443, 143, 110, 25 боомтууд

# Гадаад бүс: http, https, imap, pop3s, smtp үйлчилгээ
# Гадаад бүс: 80, 443, 143, 995, 25 боомтууд

Бид Dovecot болон шаардлагатай програмуудыг суулгаж өгдөг

[root @ linuxbox ~] # yum суулгах dovecot mod_ssl procmail telnet

Dovecot-ийн хамгийн бага тохиргоо

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
протоколууд = imap pop3 lmtp
сонсох = *, ::
нэвтрэх_мэндчилгээ = Dovecot бэлэн боллоо!

Dovecot-ийн энгийн текст баталгаажуулалтыг бид идэвхгүйжүүлэв.

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
идэвхгүйжүүлэх_плантекст_авт = тийм

Dovecot-тэй харилцах шаардлагатай давуу эрх, мессежний байршлыг бид бүлэгт мэдэгдэж байна.

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = шуудан
mail_access_groups = шуудан

Dovecot-ийн гэрчилгээ

Dovecot нь файл дахь өгөгдөл дээр үндэслэн таны тестийн гэрчилгээг автоматаар үүсгэдэг /etc/pki/dovecot/dovecot-openssl.cnf. Бидний шаардлагын дагуу шинээр гэрчилгээ авахын тулд дараахь алхамуудыг хийх ёстой.

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
. ) L = Habana # Байгууллага (жишээлбэл. Компани) O = FromLinux.Fan # Байгууллагын нэгжийн нэр (жишээлбэл. Хэсэг) OU = Сонирхогчид # Түгээмэл нэр (*. Жишээ загвар. Боломжтой) CN = *. Desdelinux.fan # E -мэйл хаягтай холбоо барих emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = сервер

Бид туршилтын гэрчилгээг хасдаг

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: "certs / dovecot.pem" ердийн файлыг устгах уу? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: "private / dovecot.pem" ердийн файлыг устгах уу? (y / n) y

Бид скриптийг хуулж, гүйцэтгэдэг mkcert.sh баримт бичгийн лавлахаас

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 битийн RSA хувийн түлхүүр үүсгэх. ...... ++++++ ................ ++++++ шинэ хувийн түлхүүр бичих pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Хурууны хээ = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
нийт 4 -rw -------. 1 язгуур үндэс 1029 22-р сарын 16 08:XNUMX dovecot.pem
[root @ linuxbox dovecot] # ls -l private /
нийт 4 -rw -------. 1 язгуур үндэс 916 22-р сарын 16 08:XNUMX dovecot.pem

[root @ linuxbox dovecot] # үйлчилгээ dovecot дахин эхлүүлэх
[root @ linuxbox dovecot] # үйлчилгээ dovecot статус

Postfix-ийн гэрчилгээ

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout хувийн / desdelinux.fan.key

4096 битийн RSA хувийн түлхүүр үүсгэж байна ......... ++ .. ++ 'private / domain.tld.key' руу шинэ хувийн түлхүүр бичиж байна ----- Та мэдээлэл оруулахыг шаардах гэж байна. Энэ нь таны гэрчилгээний хүсэлтэд багтах болно. Таны оруулах гэж байгаа зүйл бол Онцгой нэр эсвэл DN гэж нэрлэгддэг зүйл юм. Нэлээд хэдэн талбар байгаа боловч та хоосон үлдээж болно. Зарим талбарт анхдагч утга байх болно, хэрэв та '.' Оруулбал талбар хоосон үлдэх болно. ----- Улс орны нэр (2 үсгийн код) [XX]: CU муж эсвэл мужийн нэр (бүтэн нэр) []: Куба Орон нутгийн нэр (жишээлбэл, хот) [Анхдагч хот]: Хабана байгууллагын нэр (жишээлбэл, компани) [ Default Company Ltd]: desdeLinux.Fan Байгууллагын нэгжийн нэр (жишээлбэл, хэсэг) []: Сонирхогчдын нийтлэг нэр (жишээлбэл, таны нэр эсвэл таны серверийн хостын нэр) []: desdelinux.fan Имэйл хаяг []: buzz@desdelinux.fan

Хамгийн бага Postfix тохиргоо

Бид файлын төгсгөлд нэмнэ / etc / aliases-ийн талаар дараагийн:

root: buzz

Өөрчлөлт хүчин төгөлдөр болохын тулд бид дараах тушаалыг ажиллуулна.

[root @ linuxbox ~] # шинэ хувилбарууд

Postifx тохиргоог файлыг шууд засах замаар хийж болно /etc/postfix/main.cf эсвэл тушаалаар postconf -e Бидний өөрчлөх эсвэл нэмэхийг хүссэн бүх параметрийг консолын нэг мөрөнд тусгахыг анхаарч үзээрэй.

  • Хүн бүр ойлгосон, хэрэгтэй сонголтуудаа тунхаглах ёстой!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'.
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'.
[root @ linuxbox ~] # postconf -e 'inet_interfaces = бүгд'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Бид файлын төгсгөлд нэмнэ /etc/postfix/main.cf доор өгсөн сонголтууд. Тэд тус бүрийн утга учрыг мэдэхийн тулд дагалдах баримт бичгүүдийг уншихыг зөвлөж байна.

biff = үгүй
append_dot_mydomain = үгүй
хойшлуулах_сэрэмжлүүлгийн_ цаг = 4цаг
readme_directory = үгүй
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = тийм
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Шуудангийн хайрцгийн дээд хэмжээ 1024 мегабайт = 1 гр ба гр
шуудангийн хайрцгийн_хэмжээний_хязгаар = 1073741824

хүлээн авагч_хайруулагч = +
хамгийн их_хувийн_хугацаа = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Ирсэн мэйлийн хуулбарыг өөр дансанд илгээх дансууд
recipient_bcc_maps = хэш: / etc / postfix / accounts_ forwarding_copy

Дараах мөрүүд нь хэн мэйл илгээх, бусад серверүүд рүү дамжуулахыг тодорхойлоход чухал ач холбогдолтой бөгөөд ингэснээр бид танигдаагүй хэрэглэгчид захидал илгээх боломжийг олгодог нээлттэй дамжуулалтыг санамсаргүйгээр тохируулахгүй байх болно. Сонголт тус бүр юу гэсэн үг болохыг ойлгохын тулд бид Postfix тусламжийн хуудсуудаас лавлах хэрэгтэй.

  • Хүн бүр ойлгосон, хэрэгтэй сонголтуудаа тунхаглах ёстой!.
smtpd_helo_restrications = зөвшөөрөл_засгийн сүлжээ,
 сэрэмжлүүлбэл татгалзах_non_fqdn_hostname,
 хүчингүй_hostname,
 зөвшөөрөл

smtpd_sender_restrictions = Зөвшөөрөл_сасл_ нотлогдсон,
 зөвшөөрөл_минетворк,
 сэрэмжлүүлбэл татгалзах_нон_фкдн_ илгээгч,
 домэйныг үгүйсгэх,
 хоолойн хоолойноос татгалзах,
 зөвшөөрөл

smtpd_client_restrictions = татгалзах_rbl_client sbl.spamhaus.org,
 татгалзах_rbl_client blackholes.easynet.nl

# Тэмдэглэл: "check_policy_service inet: 127.0.0.1: 10023" гэсэн сонголт
# Postgrey програмыг идэвхжүүлдэг бөгөөд бид үүнийг оруулах ёсгүй
# үгүй ​​бол бид Postgrey-ийг ашиглах болно

smtpd_recipient_restrictions = татгалзах_нутаг_ шугам хоолой,
 зөвшөөрөл_минетворк,
 зөвшөөрлийн_sasl_ баталгаажуулсан,
 татгалзах_гүй_фкдн_ хүлээн авагч,
 домэйныг үгүйсгэх,
 томилохоос татгалзах,
 check_policy_service оролт: 127.0.0.1: 10023,
 зөвшөөрөл

smtpd_data_restrictions = татгалзах_нутаг_ шугам хоолой

smtpd_relay_restrictions = татгалзах_нутаг_ шугам хоолой,
 зөвшөөрөл_минетворк,
 зөвшөөрлийн_sasl_ баталгаажуулсан,
 татгалзах_гүй_фкдн_ хүлээн авагч,
 домэйныг үгүйсгэх,
 томилохоос татгалзах,
 check_policy_service оролт: 127.0.0.1: 10023,
 зөвшөөрөл
 
smtpd_helo_required = тийм
smtpd_delay_reject = тийм
идэвхгүй_vrfy_command = тийм

Бид файлуудыг үүсгэдэг / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, мөн бид файлыг өөрчилдөг / etc / postfix / header_checks.

  • Хүн бүр ойлгосон, хэрэгтэй сонголтуудаа тунхаглах ёстой!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Хэрэв энэ файлыг өөрчилсөн бол шуудангийн зургийг ажиллуулах шаардлагагүй # # Дүрмийг туршихын тулд root байдлаар ажиллуулна уу: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Буцах ёстой: # Дүрэм # 2-оос татгалз
/ viagra / МЭДЭЭЛЛИЙН ХЭРЭГЖҮҮЛЭХ ДҮРЭМ No1-ээс татгалзах
/ super new v [i1] agra / МЭДЭЭЛЛИЙН ХЭРЭГЖҮҮЛЭХ ДҮРЭМ # 2-ээс татгалз

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Өөрчлөлт хийсний дараа та дараахь зүйлийг гүйцэтгэх ёстой. postmap / etc / postfix / accounts_ forwarding_copy
# ба файлыг үүсгэсэн эсвэл хэмжсэн: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # Нэг данс дамжуулах данс BCC хуулбар # BCC = Хар нүүрстөрөгчийн хуулбар # Жишээ: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Файлын төгсгөлд нэмэх # Байнгын илэрхийлэл тул шуудангийн зургийг шаарддаггүй
/ ^ Сэдэв: =? Big5? / Энэ сервер хүлээн аваагүй хятад кодчилолоос татгалзах
/ ^ Subject: =? EUC-KR? / Энэ серверээс зөвшөөрөөгүй солонгос кодчилолоос татгалзах
/ ^ Сэдэв: ADV: / Энэхүү сервер хүлээн аваагүй зараас татгалзах
/^Дашрамд :.*\@.*\.cn/ татгалзах Уучлаарай, энд хятад шуудан орохыг хориглоно
/^Хэрэв:.*\@.*\.kr/ татгалзах УУЧЛААРАЙ, энд Солонгос шуудан орохыг хориглоно
/^Хэрэв:.*\@.*\.tr/ татгалзах Уучлаарай, энд Туркийн шуудан орохыг хориглоно
/^Дашрамд :.*\@.*\.ro/ татгалзах Уучлаарай, Румыны мэйлийг энд оруулахыг хориглоно
/^(Хүлээн авсан | Зурвас-Id|X-( Захидалчин илгээгч)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Олон нийтийн захидал илгээхгүй.
/ ^ Хаанаас: "спам илгээгч / татгалзах
/ ^ Эхлэл: "спам / татгалзах
/^Сэдэв :.*viagra/ ХАСАХ
# Аюултай өргөтгөлүүд
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Бид эдгээр өргөтгөлтэй хавсралтыг хүлээн авахгүй.

Бид синтаксийг шалгаж, Apache болон Postifx-ийг дахин эхлүүлж, Dovecot-ийг идэвхжүүлж ажиллуулна

[root @ linuxbox ~] # postfix шалгах
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl дахин эхлүүлэх httpd
[root @ linuxbox ~] # systemctl байдал httpd

[root @ linuxbox ~] # systemctl дахин эхлүүлэх postfix
[root @ linuxbox ~] # systemctl статусын дараахь засвар

[root @ linuxbox ~] # systemctl статус dovecot
● dovecot.service - Dovecot IMAP / POP3 имэйлийн сервер Ачаалагдсан: ачаалагдсан (/usr/lib/systemd/system/dovecot.service; идэвхгүй; үйлдвэрлэгчийн урьдчилан тохируулсан: идэвхгүй) Идэвхтэй: идэвхгүй (үхсэн)

[root @ linuxbox ~] # systemctl нь dovecot-ийг идэвхжүүлдэг
[root @ linuxbox ~] # systemctl dovecot эхлүүлэх
[root @ linuxbox ~] # systemctl dovecot дахин эхлүүлэх
[root @ linuxbox ~] # systemctl статус dovecot

Консолын түвшний шалгалт

  • Бусад програмуудыг суулгах, тохируулах ажлыг үргэлжлүүлэхээс өмнө SMTP болон POP үйлчилгээний хамгийн бага шалгалтыг хийх нь маш чухал юм..

Серверээс өөрөө локал

Бид орон нутгийн хэрэглэгч рүү имэйл илгээдэг леголас.

[root @ linuxbox ~] # echo "Сайн уу. Энэ бол туршилтын мессеж" | mail -s "Test" legolas

Бид шуудангийн хайрцгийг шалгана уу леголас.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 - pop3 эхлүүлэх

Зурвасын дараа Dovecot бэлэн боллоо! бид үргэлжлүүлье:

---
+ OK Dovecot бэлэн боллоо!
USER legolas + OK PASS legolas + OK Нэвтэрсэн. STAT + OK 1 559 LIST + OK 1 мессеж: 1 559. RETR 1 + OK 559 октет буцах зам: X-Original-To: legolas хүргүүлсэн: legolas@desdelinux.fan Хүлээн авсан: desdelinux.fan (Postfix, userid 0-с) id 7EA22C11FC57; 22 оны 2017-р сарын 10-ны даваа гараг 47:10:0400 -22 (EDT) Огноо: 2017 оны 10-р сарын 47-ны даваа гараг 10:0400:12.5 -7 Хаана: legolas@desdelinux.fan Сэдэв: Хэрэглэгч-Агентын тест: Heirloom mailx 5 10/1.0 / 7 MIME хувилбар: 20170522144710.7 Агуулгын төрөл: текст / энгийн; charset = us-ascii Content-Transfer-Encoding: 22bit Message-Id: <11EA57CXNUMXFCXNUMX@desdelinux.fan> From: root@desdelinux.fan (root) Сайн уу. Энэ бол туршилтын мессеж юм. ДУУСАА
[root @ linuxbox ~] #

LAN дээр компьютерээс алсын удирдлага

Дахин мессеж явуулъя леголас LAN дээрх өөр компьютерээс. TLS аюулгүй байдал нь ЖДҮ-ийн сүлжээнд заавал байх албагүй гэдгийг анхаарна уу.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Сайн уу" \
-m "Танай найз Buzz-аас Legolas мэндчилгээ дэвшүүлье" \
-s mail.desdelinux.fan -o tls = үгүй
22-р сарын 10 53:08:5866 sysadmin sendemail [XNUMX]: Имэйлийг амжилттай илгээв!

Хэрэв бид холбогдохыг хичээвэл Telnet Доковотын LAN дээр байгаа хостоос эсвэл мэдээж интернетээс Dovecot руу шилжихэд бид энгийн текст баталгаажуулалтыг идэвхгүй болгосноор дараахь зүйл тохиолдох болно.

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 192.168.10.5-г туршиж байна ...
Linuxbox.fromlinux.fan-тай холбогдсон. Оргох тэмдэгт нь '^]' юм. + OK Dovecot бэлэн боллоо! хэрэглэгчийн legolas
-ERR [AUTH] Аюулгүй (SSL / TLS) холболт дээр энгийн текстийг баталгаажуулахыг хориглосон.
гарах + OK Гарах Холболтыг гадаадын хост хаав.
buzz @ sysadmin: ~ $

Бид үүнийг хийх ёстой openssl. Тушаалын бүрэн гаралт нь:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
ХОЛБООТОЙ (00000003)
гүн = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Сонирхогчид, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
баталгаажуулах алдаа: num = 18: өөрөө гарын үсэг зурсан гэрчилгээг баталгаажуулах өгөөж: 1
гүн = 0 C = CU, ST = Куба, L = Гавана, O = FromLinux.Fan, OU = Сонирхогчид, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan буцах баталгаажуулах: 1
--- Гэрчилгээний сүлжээ 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Серверийн гэрчилгээ ----- ГЭРЧИЛГЭЭ ЭХЭЛЛЭЭ-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END ГЭРЧИЛГЭЭ захирах = / C = CU / БХ = Куба / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux. .fan / emailAddress = buzz @ desdelinux.fan --- Үйлчлүүлэгчийн гэрчилгээ CA-ийн нэрс илгээгдээгүй Server Temp Key: ECDH, secp384r1, 384 bit --- SSL гар барилт 1342 байт уншиж, 411 байт бичсэн байна --- Шинэ, TLSv1 / SSLv3 , Шифр ​​нь ECDHE-RSA-AES256-GCM-SHA384 Серверийн нийтийн түлхүүр нь 1024 битийн аюулгүй байдлыг дахин тохиролцохыг дэмждэг. Шахалт: NONE өргөтгөл: NONE SSL-Session: Protocol: TLSv1.2 Cipher: ECDHE-RSA-AES256-GCM-SHA384 Session- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Мастер-түлхүүр : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Түлхүүр-Arg: Байхгүй krb5 Үндсэн: Байхгүй PSK 300 баримжаа: Байхгүй PSK таних зөвлөгөө: ТАРХИ 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Түлхүүр-Arg: Байхгүй krb7 Үндсэн: Байхгүй 1 PSK биеийн: Байхгүй PSK таних зөвлөгөө: ТАРХИ XNUMX-TLS хурал XNUMX секунд XNUMX е Nonec XNUMX тасалбар хуралдаан XNUMX XNUMX е XNUMX секунд FXNUMXFXNUMX тасалбар ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot бэлэн боллоо!
USER legolas
+ За
PASS леголас
+ OK Нэвтэрсэн.
ЖАГСААЛТ
+ OK 1 мессеж: 1 1021.
ДАХИН ЭХЛЭХ 1
+ OK 1021 октет буцах зам: X-Original-To: legolas@desdelinux.fan Хүргэв: legolas@desdelinux.fan Хүлээн авсан: sysadmin.desdelinux.fan-аас (гарц [172.16.10.1]) desdelinux.fan (Postfix) -аар ESMTP id 51886C11E8 for ; 0 оны 22-р сарын 2017, Даваа гараг 15:09:11 -0400 (EDT) Зурвас-ID: <919362.931369932-sendEmail@sysadmin> Оруулсан: "buzz@deslinux.fan" Хэнд: "legolas@desdelinux.fan" Гарчиг: Сайн уу Огноо: 22 оны 2017-р сарын 19-ны Даваа гараг, 09:11:0000 +1.56 X-Mailer: sendEmail-1.0 MIME-Хувилбар: 365707.724894495 Агуулга-Төрөл: олон хэсэг / холбоотой; border = "---- sendEmail-1.0-ийн MIME хязгаарлагч" Энэ бол MIME форматтай олон хэсгээс бүрдсэн мессеж юм. Энэ мессежийг зөв харуулахын тулд танд MIME-Version 365707.724894495 нийцсэн имэйлийн програм хэрэгтэй. ------ sendEmail-8859-д зориулсан MIME заагч. Агуулгын төрөл: текст / энгийн; charset = "iso-1-7" Агуулга-Шилжүүлэх-Кодчилол: Таны найз Buzz-аас 365707.724894495bit мэндчилгээний Legolas ------ sendEmail-XNUMX-- - MIME заагч.
татахаа больсон
+ За гарах. хаалттай
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail нь PHP дээр бүрэн бичигдсэн вэб клиент юм. Энэ нь IMAP болон SMTP протоколуудад зориулсан эх PHP дэмжлэгийг багтаасан бөгөөд ашиглагдаж буй өөр өөр хөтөчтэй хамгийн их нийцдэг. Энэ нь ямар ч IMAP сервер дээр зөв ажилладаг. Энэ нь танд MIME дэмжлэг, хаягийн дэвтэр, фолдерын менежмент зэрэг имэйлийн клиентээс шаардлагатай бүх функцийг агуулсан болно.

[root @ linuxbox ~] # yum squirrelmail суулгах
[root @ linuxbox ~] # үйлчилгээ httpd дахин эхлүүлэх

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # үйлчилгээ httpd дахин ачаалах

DNS илгээх бодлогын хүрээ эсвэл SPF бичлэг

Нийтлэлд NSD авторитар DNS сервер + Shorewall "Desdelinux.fan" бүсийг дараах байдлаар тохируулсан болохыг бид харсан.

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
Linux.fan-аас $ ORIGIN. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; цуврал 1D; 1H-ийг сэргээнэ; 1W-ийг дахин оролдоно; 3H-ийн хугацаа дуусна); хамгийн бага буюу; Амьдрахад сөрөг кэш хийх хугацаа; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Linux.fan @ IN A 172.16.10.10; ns IN linux.fan-аас CNAME IN 172.16.10.30 мэйлд. linux.fan-аас CNAME-д чатлах. www IN CNAME linux.fan-аас. ; ; XMPP-тэй холбоотой SRV бичлэгүүд
_xmpp-server._tcp IN SRV 0 0 5269 linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 linux.fan. _jabber._tcp SRV IN 0 0 5269 linux.fan.

Үүнд бүртгэлийг тунхаглав.

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

ЖДҮ-ийн сүлжээ эсвэл LAN-д ижил параметрийг тохируулахын тулд бид Dnsmasq тохиргооны файлыг дараах байдлаар өөрчлөх ёстой.

# TXT бичлэг. Мөн бид SPF бичлэгийг txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all" гэж зарлаж болно.

Дараа нь бид үйлчилгээг дахин эхлүүлнэ:

[root @ linuxbox ~] # service dnsmasq дахин эхлүүлэх
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan нь fromlinux.fan-ийн нэр юм. desdelinux.fan дүрслэх текст "v = spf1 a: mail.desdelinux.fan -all"

Өөртөө гарын үсэг зурсан гэрчилгээ ба Apache эсвэл httpd

Таны хөтөч танд «Эзэмшигч мэйл.fromlinux.fan Та вэбсайтаа буруу тохируулсан байна. Таны мэдээллийг хулгайлахаас урьдчилан сэргийлэхийн тулд Firefox энэ вэбсайттай холбогдоогүй байна ”гэж өмнө нь үүсгэсэн гэрчилгээ юм ХҮЧИНЭ, мөн бид гэрчилгээг хүлээн авсны дараа үйлчлүүлэгч болон серверийн хоорондох итгэмжлэлийг шифрлэгдсэн байдлаар аялах боломжийг олгоно.

Хэрэв та хүсвэл, мөн гэрчилгээг нэгтгэх арга хэлбэрээр Apache-д Postfix-т зарласан гэрчилгээгээ зарлаж болох бөгөөд энэ нь зөв юм.

[root @ linuxbox ~] # нано /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # үйлчилгээ httpd дахин эхлүүлэх
[root @ linuxbox ~] # үйлчилгээ httpd статус

Diffie-Hellman Group

Аюулгүй байдлын асуудал интернетэд өдөр бүр улам хэцүү болж байна. Холболтын хамгийн түгээмэл халдлагуудын нэг SSL, нь logjam үүнээс хамгаалахын тулд SSL тохиргоонд стандарт бус параметрүүдийг нэмэх шаардлагатай. Үүний тулд байдаг RFC-3526 «Илүү их модульчлагдсан экспоненциал (БХХ) Диффи-Хеллман бүлэг Интернет түлхүүр солилцоо (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam-хувийн / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Apache-ийн суулгасан хувилбарын дагуу бид Diffie-Helman Group-ийг файлаас ашиглах болно /etc/pki/tls/dhparams.pem. Хэрэв энэ нь 2.4.8 буюу түүнээс дээш хувилбартай бол бид файл дээр нэмэх шаардлагатай болно /etc/httpd/conf.d/ssl.conf дараах мөр:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Бидний ашиглаж буй Apache хувилбар нь:

[root @ linuxbox tls] # yum info httpd
Ачаалагдсан залгаасууд: fastestmirror, langpacks Кэш хийгдсэн файлаас толин тусгал хурдыг ачаалах Суулгасан багцууд Нэр: httpd Архитектур: x86_64
Хувилбар: 2.4.6
Хувилбар: 45.el7.centos Хэмжээ: 9.4 M Репозитор: суулгасан сангаас: Base-Repo Хураангуй: Apache HTTP Server URL: http://httpd.apache.org/ Лиценз: ASL 2.0 Тодорхойлолт: Apache HTTP Сервер нь хүчирхэг, үр ашигтай, өргөтгөх боломжтой: вэб сервер.

2.4.8-ээс өмнөх хувилбартай тул бид өмнө нь үүсгэсэн CRT гэрчилгээний төгсгөлд Diffie-Helman Group-ийн агуулгыг нэмж оруулав.

[root @ linuxbox tls] # муур хувийн / dhparams.pem >> certs / desdelinux.fan.crt

Хэрэв та DH параметрүүдийг CRT гэрчилгээнд зөв оруулсан эсэхийг шалгахыг хүсвэл дараах тушаалуудыг гүйцэтгэнэ үү.

[root @ linuxbox tls] # муур хувийн / dhparams.pem 
----- DH ПАРАМЕТРУУД ЭХЛЭХ -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- Төгсгөлийн DH ПАРАМЕТРУУД -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- Төгсгөлийн DH ПАРАМЕТРУУД -----

Эдгээр өөрчлөлтүүдийн дараа бид Postfix болон httpd үйлчилгээг дахин эхлүүлэх ёстой.

[root @ linuxbox tls] # үйлчилгээний дараахь засварыг дахин эхлүүлэх
[root @ linuxbox tls] # үйлчилгээний шуудангийн төлөв
[root @ linuxbox tls] # үйлчилгээ httpd дахин эхлүүлэх
[root @ linuxbox tls] # үйлчилгээ httpd статус

Diffie-Helman Group-ийг манай TLS гэрчилгээнд хамруулсан нь HTTPS холболтыг арай удаашруулж болзошгүй боловч аюулгүй байдлыг нэмэх нь үнэ цэнэтэй юм.

Squirrelmail-ийг шалгаж байна

ТЭГВЭЛ гэрчилгээг зөв бүрдүүлж, консолын командын дагуу зөв үйлдлийг нь шалгаж, дуртай хөтөчөө URL руу чиглүүлээрэй. http://mail.desdelinux.fan/webmail харгалзах гэрчилгээг хүлээн авсны дараа вэб клиенттэй холбогдох болно. Хэдийгээр та HTTP протоколыг зааж өгсөн ч гэсэн HTTPS руу шилжих болно, энэ нь CentOS-ийн Squirrelmail-д санал болгодог анхдагч тохиргоотой холбоотой гэдгийг анхаарна уу. Файлыг үзнэ үү /etc/httpd/conf.d/squirrelmail.conf.

Хэрэглэгчийн шуудангийн хайрцагуудын тухай

Dovecot фолдерт IMAP шуудангийн хайрцгуудыг үүсгэдэг Нүүр хуудас хэрэглэгч бүрийн:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
нийт 12 drwxrwx ---. 5 legolas mail 4096 22-р сарын 12-ны 39:3. drwx ------. 75 legolas legolas 22 11-р сарын 34 1:72 .. -rw -------. 22 legolas legolas 11 34-р сарын 1 8:22 dovecot.mailbox.log -rw -------. 12 legolas legolas 39-р сарын 1 0 22:10 dovecot-uidvalidity -r - r - r--. 12 legolas legolas 5922 1-р сарын 1 2:56 dovecot-uidvalidity.22f10d23 drwxrwx ---. 2 legolas mail 56 22 сарын 12 39:2 INBOX drwx ------. 30 legolas legolas 22 11-р сарын 34 XNUMX:XNUMX sent drwx ------. XNUMX legolas legolas XNUMX сарын XNUMX XNUMX:XNUMX Хогийн сав

Тэд мөн / var / mail / -д хадгалагддаг

[root @ linuxbox ~] # less / var / mail / legolas
MAILER_DAEMON-оос 22-р сарын 10-ны даваа гараг 28:00:2017 цагт Огноо: 22 оны 2017-р сарын 10-ны даваа гараг 28:00:0400 -1495463280-аас: Шуудангийн системийн дотоод мэдээлэл Сэдэв: ЭНЭ МЭДЭЭГ БҮҮ БУСААРАЙ - ХАВТАНЫ ДОТООД МЭДЭЭЛЭЛ Мессеж-ID: <1495462351 @ linuxbox> X-IMAP: 0000000008 22 Статус: RO Энэ текст нь таны мэйл фолдерын дотоод форматын хэсэг бөгөөд жинхэнэ мессеж биш юм. . Үүнийг шуудангийн системийн програм хангамжаар автоматаар үүсгэдэг. Хэрэв устгасан бол хавтасны чухал өгөгдөл устах бөгөөд өгөгдлийг анхны утга болгон дахин тохируулах замаар дахин үүсгэх болно. Root@desdelinux.fan-аас Мон 10-р сарын 47 10:2017:0 7 буцах зам: X-Original-To: legolas хүргүүлсэн: legolas@desdelinux.fan Хүлээн авсан: desdelinux.fan (Postfix, userid 22-с) id 11EA57C22FC2017; 10 оны 47-р сарын 10-ны даваа гараг 0400:22:2017 -10 (EDT) Огноо: 47 оны 10-р сарын 0400-ны даваа гараг 12.5:7:5 -10 Хаана: legolas@desdelinux.fan Сэдэв: Хэрэглэгч-Агентын тест: Heirloom mailx 1.0 7/20170522144710.7 / 22 MIME хувилбар: 11 Агуулгын төрөл: текст / энгийн; charset = us-ascii Content-Transfer-Encoding: 57bit Message-Id: <7EA22C10FC53@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 08 Status: RO Сайн уу. Энэ бол 2017 оны 172.16.10.1-р сарын 184-ны buzz@deslinux.fan-аас илгээсэн туршилтын мессеж юм. 11:57:22 2017 буцах зам: X-Original-To: legolas@desdelinux.fan Хүргэв: legolas@desdelinux.fan Хүлээн авсан: sysadmin.desdelinux.fan-аас (гарц [10]) desdelinux.fan (Postfix) -тай ESMTP id C53DC08 хамт ; 0400 оны 739874.219379516-р сарын 22, Даваа гараг 2017:14:53 -08 (EDT) Зурвас-ID: <0000-sendEmail@sysadmin> Эхнээс: "buzz@deslinux.fan" Хэнд: "legolas@desdelinux.fan" Гарчиг: Сайн уу Огноо: 1.56 оны 1.0-р сарын 794889.899510057, Даваа гараг, XNUMX:XNUMX:XNUMX +XNUMX X-Mailer: sendEmail-XNUMX MIME-Хувилбар: XNUMX Агуулга-Төрөл: олон хэсэг / холбоотой; border = "---- sendEmail-XNUMX-ийн MIME хязгаарлагч
/ var / mail / legolas

PAM минисерийн хураангуй

Бид шуудангийн серверийн цөмийг харж, аюулгүй байдалд бага зэрэг анхаарлаа хандуулсан. Энэ нийтлэл нь мэйл серверийг гараар хэрэгжүүлэх тул төвөгтэй, алдаа гаргахад хялбар сэдвээр нэвтрэх цэг болж өгдөг гэж найдаж байна.

Бид файлыг зөв уншсан тохиолдолд локал хэрэглэгчийн баталгаажуулалтыг ашигладаг /etc/dovecot/conf.d/10-auth.confЭцэст нь үүнийг оруулсныг бид харах болно -анхдагчаар- системийн хэрэглэгчдийн баталгаажуулалтын файл ! оруулах auth-system.conf.ext. Яг энэ файл нь толгойдоо бидэнд дараахь зүйлийг хэлж өгдөг.

[root @ linuxbox ~] # less /etc/dovecot/conf.d/auth-system.conf.ext
# Системийн хэрэглэгчдэд зориулсан нэвтрэлт танилт. 10-auth.conf-аас оруулсан болно. # # # # PAM нэвтрэлт танилт. Өнөө үед ихэнх системүүд илүүд үздэг.
# PAM нь ихэвчлэн userdb passwd эсвэл userdb static аль алинд нь ашиглагддаг. # САНААРАЙ: Бодит ажиллахын тулд танд PET # баталгаажуулалтад зориулж бүтээсэн /etc/pam.d/dovecot файл хэрэгтэй болно. passdb {driver = pam # [session = yes] [setcred = yes] [fail_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = тагтаа}

Бусад файл байна /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth шаардлагатай pam_nologin.so auth оруулах нууц үг-auth данс оруулах password-auth хуралдаан оруулах password-auth

PAM нэвтрэлт танилтын талаар бид юу хүргэхийг хичээдэг вэ?

  • CentOS, Debian, Ubuntu болон бусад олон Linux дистрибьюторууд нь Postifx, Dovecot програмыг анхдагчаар идэвхжүүлсэн локал баталгаажуулалттай суулгаж өгдөг.
  • Интернет дээрх олон нийтлэлүүд MySQL-ийг ашигладаг бөгөөд саяхан MariaDB нь хэрэглэгчид болон Mailserver-тэй холбоотой бусад мэдээллийг хадгалахад ашигладаг. ГЭХДЭЭ эдгээр нь хэдэн зуун хэрэглэгчидтэй, магадгүй ЖДҮ-ийн сонгодог сүлжээнд биш МЯНГА ХЭРЭГЛЭГЧдэд зориулсан серверүүд юм.
  • PAM-ээр дамжуулан нэвтрэлт танилт хийх шаардлагатай бөгөөд энэ нь жижиг серверүүд дээр харсанчлан нэг сервер дээр ажилладаг л бол сүлжээний үйлчилгээ үзүүлэхэд хангалттай юм.
  • LDAP мэдээллийн санд хадгалагдсан хэрэглэгчдийг орон нутгийн хэрэглэгчид шиг зураглаж болох бөгөөд PAM баталгаажуулалтыг ашиглан LDAP програмын үйлчлүүлэгчийн үүрэг гүйцэтгэдэг өөр өөр Линукс серверүүдээс сүлжээний үйлчилгээг төв нэвтрэлт танилтын сервер рүү хүргэхэд ашиглаж болно. Ийм байдлаар бид төв LDAP серверийн мэдээллийн санд хадгалагдсан хэрэглэгчдийн үнэмлэхтэй ажиллах бөгөөд орон нутгийн хэрэглэгчидтэй мэдээллийн санг хадгалах нь ХЭРЭГГҮЙ байх болно.

Дараагийн адал явдал хүртэл!


Нийтлэлийн агуулга нь бидний зарчмуудыг баримталдаг редакцийн ёс зүй. Алдааны талаар мэдээлэхийн тулд товшино уу энд байна.

9 сэтгэгдэл, үлдээгээрэй

Сэтгэгдэлээ үлдээгээрэй

Таны и-мэйл хаяг хэвлэгдсэн байх болно. Шаардлагатай талбарууд нь тэмдэглэгдсэн байна *

*

*

  1. Мэдээллийг хариуцах: Мигель Анхель Гатан
  2. Мэдээллийн зорилго: СПАМ-ыг хянах, сэтгэгдлийн менежмент.
  3. Хууль ёсны байдал: Таны зөвшөөрөл
  4. Мэдээллийн харилцаа холбоо: Хуулийн үүргээс бусад тохиолдолд мэдээллийг гуравдагч этгээдэд дамжуулахгүй.
  5. Өгөгдөл хадгалах: Occentus Networks (ЕХ) -с зохион байгуулсан мэдээллийн сан
  6. Эрх: Та хүссэн үедээ мэдээллээ хязгаарлаж, сэргээж, устгаж болно.

  1.   гүрвэл гэж хэлэв

    Практикт энэ нь sysadmin-ээс илүү хүчтэй толгой өвдөх процесс юм гэдэгт итгээрэй, ирээдүйд энэ нь өөрийн имэйлийг удирдах хүсэлтэй бүх хүмүүст зориулсан гарын авлага болно гэдэгт би итгэж байна. abf нь postfix, dovecot, squirrelmail зэргийг нэгтгэх үед.

    Таны магтаалаар оруулсан хувь нэмэрт маш их баярлалаа,

  2.   Darko гэж хэлэв

    Аюулгүй байдлын тухайд PGP-тэй яагаад Mailpile ашиглаж болохгүй гэж? Түүнчлэн Roundcube нь илүү хялбар интерфэйстэй бөгөөд PGP-ийг нэгтгэж чаддаг.

  3.   Мартин гэж хэлэв

    3 хоногийн өмнө би бичлэгийг уншсан, танд хэрхэн талархахаа мэдэж байна. Би мэйл сервер суулгах бодолгүй байгаа боловч бусад програмуудад ашиг тустай гэрчилгээ бий болгох нь үргэлж тустай байдаг бөгөөд эдгээр хичээлийн хугацаа бараг дуусдаггүй (ялангуяа та centOS ашигладаг үед).

  4.   federico гэж хэлэв

    Мануэль Киллеро: Postfix ба Dovecot дээр суурилсан мэйл серверийн хамгийн бага цөм болох энэ нийтлэлийг блогтоо холбосон танд баярлалаа.

    Гүрвэл: Үргэлж л байдаг шиг таны үнэлгээ маш сайхан хүлээж авдаг. Баярлалаа.

    Дарко: Би бараг бүх нийтлэлдээ "Хүн бүр үйлчилгээг хамгийн дуртай програмаараа хэрэгжүүлдэг" гэж бага багаар илэрхийлдэг. Сэтгэгдэл бичсэнд баярлалаа.

    Мартин: Нийтлэлийг уншиж өгсөн танд бас баярлалаа, энэ нь таны ажилд тусална гэж найдаж байна.

  5.   Zodiac Carburus гэж хэлэв

    Гайхамшигтай нийтлэлийн найз Федерико. Ийм сайн хичээл хийсэнд маш их баярлалаа.

  6.   Архи гэж хэлэв

    Маш сайн хэдий ч би имэйл нэмэх болгондоо системийн хэрэглэгч үүсгэхээс зайлсхийхийн тулд "виртуал хэрэглэгчид" -ийг ашигладаг байсан ч маш олон зүйлийг сурч мэдсэнийхээ ачаар энэ төрлийн бичлэгийг хүлээж байсан.

  7.   Вилинтон Асеведо Руэда гэж хэлэв

    Сайн үдэш,

    Тэд fedora лавлах сервер + postifx + dovecot + thunderbird эсвэл хэтийн төлөвтэй ижил зүйлийг хийхийг зүрхлэх болно.

    Надад нэг хэсэг байгаа боловч би гацсан тул би @desdelinux нийгэмлэгт баримт бичгээ дуртайяа хуваалцах болно

  8.   phico гэж хэлэв

    Энэ нь 3000 гаруй зочилно гэж төсөөлөөгүй !!!

    Сайн байцгаана уу Гүрвэл!

  9.   Харанхуй гэж хэлэв

    Маш сайн гарын авлагын хамт олон.
    Та Samian дээр суулгасан Active Directory хэрэглэгчидтэй Debian 10-т зориулж хийж чадах уу ???
    Энэ нь бараг адилхан байх болно гэж бодож байна, гэхдээ нэвтрэлт танилтын төрлийг өөрчилж байна.
    Өөрөө гарын үсэг зурсан гэрчилгээ бий болгоход зориулж буй хэсэг нь маш сонирхолтой юм.