Postfix + Dovecot + Squirrelmail dan pengguna tempatan - SMB Networks

Indeks umum siri: Rangkaian Komputer untuk PKS: Pengenalan

Artikel ini adalah kesinambungan dan terakhir dari miniseri:

Helo rakan-rakan dan rakan-rakan!

The Peminat mereka mahu mempunyai pelayan surat mereka sendiri. Mereka tidak mahu menggunakan pelayan di mana "Privasi" berada di antara tanda tanya. Orang yang bertanggungjawab melaksanakan perkhidmatan di pelayan kecil anda bukanlah pakar dalam subjek ini dan pada mulanya akan berusaha memasang inti pelayan mel yang akan datang dan lengkap. Adakah itu "persamaan" untuk membuat Mailserver Penuh agak sukar difahami dan diaplikasikan. 😉

Anotasi margin

  • Perlu jelas mengenai fungsi mana yang dilakukan oleh setiap program yang terlibat dalam Mailserver. Sebagai panduan awal, kami memberikan serangkaian pautan berguna dengan tujuan yang dinyatakan bahawa mereka dikunjungi.
  • Melaksanakan Perkhidmatan Mel Lengkap secara manual dan dari awal adalah proses yang melelahkan, kecuali anda adalah salah seorang "Terpilih" yang melakukan tugas seperti ini setiap hari. Pelayan Mel dibentuk - dengan cara umum - oleh pelbagai program yang dikendalikan secara berasingan SMTP, POP / IMAP, Penyimpanan Pesanan Tempatan, tugas-tugas yang berkaitan dengan rawatan SPAM, Antivirus, dll. SEMUA program ini mesti saling berkomunikasi dengan betul.
  • Tidak ada satu ukuran yang sesuai dengan semua atau "amalan terbaik" mengenai cara mengurus pengguna; di mana dan bagaimana menyimpan mesej, atau bagaimana menjadikan semua komponen berfungsi secara keseluruhan.
  • Perhimpunan dan penyetelan Mailserver cenderung menjengkelkan dalam hal-hal seperti izin dan pemilik fail, memilih pengguna mana yang akan bertanggung jawab atas proses tertentu, dan dalam kesalahan kecil yang dibuat dalam beberapa file konfigurasi esoterik.
  • Kecuali anda mengetahui dengan baik apa yang anda lakukan, hasil akhirnya akan menjadi Pelayan Mel yang tidak selamat atau sedikit tidak berfungsi. Bahawa pada akhir pelaksanaannya tidak berhasil, kemungkinan akan lebih rendah dari kejahatan.
  • Kita dapat mencari di Internet sebilangan besar resipi bagaimana membuat Pelayan Mel. Salah satu yang paling lengkap -pada pendapat saya yang sangat peribadi- adalah yang ditawarkan oleh pengarang ivar abrahamsen dalam edisi ketiga belas Januari 2017 «Cara menyediakan pelayan mel pada sistem GNU / Linux".
  • Kami juga mengesyorkan membaca artikel «A Mailserver di Ubuntu 14.04: Postfix, Dovecot, MySQL«, atau «A Mailserver di Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Betul. Dokumentasi terbaik dalam hal ini boleh didapati dalam bahasa Inggeris.
    • Walaupun kami tidak pernah membuat Mailserver yang dipandu dengan setia oleh Bagaimana untuk… disebutkan dalam perenggan sebelumnya, fakta hanya mengikutinya selangkah demi selangkah akan memberi kita idea yang sangat baik tentang apa yang akan kita hadapi.
  • Sekiranya anda ingin memiliki Mailserver lengkap hanya dalam beberapa langkah, anda boleh memuat turun gambar iRedOS-0.6.0-CentOS-5.5-i386.iso, atau cari yang lebih moden, sama ada iRedOS atau iRedMail. Ini adalah cara yang saya cadangkan secara peribadi.

Kami akan memasang dan mengkonfigurasi:

Masih perlu dilakukan:

Sekurang-kurangnya perkhidmatan berikut akan tetap dilaksanakan:

  • postgrey: Dasar pelayan Postfix untuk Daftar Kelabu dan menolak Surat Sampah.
  • Amavisd-baru: skrip yang membuat antara muka antara MTA, dan pengimbas virus dan penapis kandungan.
  • Antivirus Clamav: antivirus
  • SpamAssassin: ekstrak Surat Sampah
  • Razor (pyzor): Menangkap SPAM melalui rangkaian yang diedarkan dan kolaboratif. Rangkaian Vipul Razor menyimpan katalog terkini penyebaran surat sampah atau SPAM.
  • Rekod DNS "MailKeys Identified Mail" atau DKIM.

Pakej postgrey, amavisd-new, clamav, spamassassin, pisau cukur y pyzor Mereka dijumpai di repositori program. Kami juga akan menemui programnya openkim.

  • Pengisytiharan yang betul mengenai rekod DNS "SPF" dan "DKIM" adalah mustahak jika kami tidak mahu pelayan mel kami hanya beroperasi, dinyatakan tidak diingini atau pengeluar SPAM atau Junk Mail, oleh perkhidmatan mel lain seperti gmail, Yahoo, Hotmail, dan lain-lain.

Pemeriksaan awal

Ingat bahawa artikel ini adalah kesinambungan dari yang lain yang bermula pada Pengesahan Sotong + PAM di CentOS 7.

Antara muka LAN Ens32 disambungkan ke Rangkaian Dalaman

[root @ linuxbox ~] # nano / etc / sysconfig / rangkaian-skrip / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZON = awam

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Antara muka Ens34 WAN disambungkan ke Internet

[root @ linuxbox ~] # nano / etc / sysconfig / rangkaian-skrip / ifcfg-ens34
PERANGKAT = ens34 ONBOOT = yes BOOTPROTO = statik HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Router ADSL disambungkan ke # antara muka ini dengan # alamat berikut GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZON = luaran

Resolusi DNS dari LAN

[root @ linuxbox ~] # cat /etc/resolv.conf carian dari linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # surat hos
mail.desdelinux.fan adalah alias untuk linuxbox.desdelinux.fan. linuxbox.desdelinux.fan mempunyai alamat 192.168.10.5 mel linuxbox.desdelinux.fan dikendalikan oleh 1 mail.desdelinux.fan.

[root @ linuxbox ~] # host host.fromlinux.fan
mail.desdelinux.fan adalah alias untuk linuxbox.desdelinux.fan. linuxbox.desdelinux.fan mempunyai alamat 192.168.10.5 mel linuxbox.desdelinux.fan dikendalikan oleh 1 mail.desdelinux.fan.

Resolusi DNS dari Internet

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Menggunakan pelayan domain: Nama: 172.16.10.30 Alamat: 172.16.10.30 # 53 Alias: mail.desdelinux.fan adalah alias untuk desdelinux.fan.
dari linux.fan mempunyai alamat 172.16.10.10
surat desdelinux.fan dikendalikan oleh 10 surat.desdelinux.fan.

Masalah menyelesaikan nama host "desdelinux.fan" secara tempatan

Sekiranya anda menghadapi masalah menyelesaikan nama host «daripadalinux.fan" daripada LAN, cuba komen baris failnya /etc/dnsmasq.conf di mana ia diisytiharkan tempatan = / dari linux.fan /. Selepas itu, mulakan semula Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komen baris di bawah:
# tempatan = / desdelinux.fan /

[root @ linuxbox ~] # perkhidmatan dimulakan semula dnsmasq
Mengalihkan ke / bin / systemctl mulakan semula perkhidmatan dnsmasq.service

[root @ linuxbox ~] # status dnsmasq perkhidmatan

[root @ linuxbox ~] # hos dari linux.fan
desdelinux.fan mempunyai alamat 172.16.10.10 surat desdelinux.fan dikendalikan oleh 10 surat.desdelinux.fan.

Postfix dan Dovecot

Dokumentasi Postfix dan Dovecot yang sangat lengkap boleh didapati di:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LESEN README-Postfix-SASL-RedHat.txt SESUAIAN main.cf.default TLS_ACKNOWLEDGEMENTS contoh README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
PENULIS COPYING.MIT dovecot-openssl.cnf BERITA wiki COPYING ChangeLog contoh-config README COPYING.LGPL dokumentasi.txt mkcert.sh solr-schema.xml

Di CentOS 7, Postfix MTA dipasang secara lalai apabila kita memilih pilihan Pelayan Infrastruktur. Kita mesti memastikan bahawa konteks SELinux membenarkan penulisan ke Potfix dalam barisan pesanan tempatan:

[root @ linuxbox ~] # getebool -a | grep postfix
postfix_local_write_mail_spool -> on

Pengubahsuaian di FirewallD

Dengan menggunakan antara muka grafik untuk mengkonfigurasi FirewallD, kita mesti memastikan bahawa perkhidmatan dan port berikut diaktifkan untuk setiap Zon:

# ------------------------------------------------- -----
# Pembaikan di FirewallD
# ------------------------------------------------- -----
# tembok api
# Zon awam: Perkhidmatan http, https, imap, pop3, smtp
# Zon awam: port 80, 443, 143, 110, 25

# Zon luaran: perkhidmatan http, https, imap, pop3s, smtp
# Zon luaran: port 80, 443, 143, 995, 25

Kami memasang Dovecot dan program yang diperlukan

[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet

Konfigurasi Dovecot minimum

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokol = imap pop3 lmtp
mendengar = *, ::
log masuk_ salam = Dovecot sudah siap!

Kami secara terang-terangan melumpuhkan pengesahan teks biasa Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
lumpuhkan_plaintext_auth = ya

Kami menyatakan Kumpulan dengan hak istimewa yang diperlukan untuk berinteraksi dengan Dovecot, dan lokasi mesej:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = mel
mail_access_groups = mel

Sijil untuk Dovecot

Dovecot menghasilkan sijil ujian anda secara automatik berdasarkan data dalam fail /etc/pki/dovecot/dovecot-openssl.cnf. Untuk membuat sijil baru yang dihasilkan mengikut keperluan kami, kami mesti melakukan langkah-langkah berikut:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes dibezakan_nama = req_dn x509_extensions = cert_type prompt = no [req_dn] # country (2 letter code) C = CU # Nama Negeri atau Wilayah (nama penuh) ST = Cuba # Nama Lokasi (mis. kota ) L = Habana # Organisasi (mis. Syarikat) O = FromLinux.Fan # Nama Unit Organisasi (contoh. Bahagian) OU = Peminat # Nama Umum (*. Contoh.com juga mungkin) CN = *. Desdelinux.fan # E -mail hubungi e-melAddress=buzz@desdelinux.fan [cert_type] nsCertType = pelayan

Kami menghapuskan sijil ujian

[root @ linuxbox dovecot] # rmsertifikat / dovecot.pem 
rm: hapus fail biasa "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm peribadi / dovecot.pem 
rm: hapuskan fail biasa "private / dovecot.pem"? (y / n) y

Kami menyalin dan melaksanakan skrip mkcert.sh dari direktori dokumentasi

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Menjana kunci peribadi RSA 1024 bit ...... ++++++ ................ ++++++ menulis kunci peribadi baru untuk '/ etc / pki / dovecot / private / dovecot.pem '----- subjek = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Cap Jari = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l sijil /
jumlah 4 -rw -------. 1 root root 1029 22 Mei 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l peribadi /
jumlah 4 -rw -------. 1 root root 916 22 Mei 16:08 dovecot.pem

[root @ linuxbox dovecot] # perkhidmatan dovecot dimulakan semula
[root @ linuxbox dovecot] # status perkhidmatan dovecot

Sijil untuk Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout peribadi / desdelinux.fan.key

Menjana kunci peribadi RSA 4096 bit ......... ++ .. ++ menulis kunci peribadi baru ke 'private / domain.tld.key' ----- Anda akan diminta memasukkan maklumat yang akan dimasukkan ke dalam permintaan sijil anda. Apa yang hendak anda masukkan adalah apa yang disebut Nama Terkenal atau DN. Terdapat beberapa medan tetapi anda boleh membiarkan kosong Untuk beberapa bidang akan ada nilai lalai, Jika anda memasukkan '.', Medan akan dibiarkan kosong. ----- Nama Negara (kod 2 huruf) [XX]: Nama Negeri atau Wilayah CU (nama penuh) []: Nama Lokasi Cuba (contohnya, bandar) [Bandar Lalai]: Nama Organisasi Habana (mis., Syarikat) [ Default Company Ltd]: Nama Unit Organisasi FromLinux.Fan (contoh, bahagian) []: Penggemar Nama Umum (contohnya, nama anda atau nama host pelayan anda) []: desdelinux.fan Alamat E-mel []: buzz@desdelinux.fan

Konfigurasi Postfix Minimum

Kami menambah pada akhir fail / etc / alias perkara seterusnya:

akar: buzz

Untuk perubahan yang berlaku, kami melaksanakan perintah berikut:

[root @ linuxbox ~] # newaliases

Konfigurasi Postifx dapat dilakukan dengan mengedit fail secara langsung /etc/postfix/main.cf atau dengan perintah postconf -e menjaga bahawa semua parameter yang ingin kita ubah atau tambah ditunjukkan dalam satu baris konsol:

  • Masing-masing mesti menyatakan pilihan yang mereka fahami dan perlukan!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = semua'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Kami menambah pada akhir fail /etc/postfix/main.cf pilihan yang diberikan di bawah. Untuk mengetahui maksud masing-masing, kami mengesyorkan membaca dokumentasi yang disertakan.

biff = tidak
append_dot_mydomain = tidak
kelewatan_warning_time = 4jam
readme_directory = tidak
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = ya
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mintetwork permit_sasl_authenticated defer_unauth_destination

# Saiz peti mel maksimum 1024 megabait = 1 g dan g
peti mel_size_limit = 1073741824

penerima_delimiter = +
maksimum_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Akaun yang menghantar salinan surat masuk ke akaun lain
penerima_bcc_maps = hash: / etc / postfix / account_ forwarding_copy

Garis berikut adalah penting untuk menentukan siapa yang boleh menghantar e-mel dan penyampai ke pelayan lain, agar kami tidak mengkonfigurasi "relay terbuka" secara tidak sengaja yang membolehkan pengguna yang tidak disahkan menghantar e-mel. Kita mesti melihat halaman bantuan Postfix untuk memahami maksud setiap pilihan.

  • Masing-masing mesti menyatakan pilihan yang mereka fahami dan perlukan!.
smtpd_helo_restriction = permit_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 menolak_invalid_hostname,
 permit

smtpd_sender_restrictions = permit_sasl_autentikasi,
 permit_mynetworks,
 warn_if_tolak penolakan_non_fqdn_sender,
 menolak_unknown_sender_domain,
 menolak_unauth_pipelining,
 permit

smtpd_client_restrictions = tolak_rbl_client sbl.spamhaus.org,
 tolak_rbl_client blackholes.easynet.nl

# CATATAN: Pilihan "check_policy_service inet: 127.0.0.1: 10023"
# membolehkan program Postgrey, dan kita tidak boleh memasukkannya
# jika tidak, kita akan menggunakan Postgrey

smtpd_recipient_restrictions = menolak_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_dikesahkan,
 menolak_non_fqdn_recipient,
 menolak_unknown_recipient_domain,
 menolak_unauth_destinasi,
 check_policy_service inet: 127.0.0.1: 10023,
 permit

smtpd_data_restriction = menolak_unauth_pipelining

smtpd_relay_restrictions = menolak_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_dikesahkan,
 menolak_non_fqdn_recipient,
 menolak_unknown_recipient_domain,
 menolak_unauth_destinasi,
 check_policy_service inet: 127.0.0.1: 10023,
 permit
 
smtpd_helo_required = ya
smtpd_delay_reject = ya
lumpuhkan_vrfy_command = ya

Kami membuat fail / etc / postfix / body_checks y / etc / postfix / akaun_forwarding_copy, dan kami mengubah suai fail / etc / postfix / header_checks.

  • Masing-masing mesti menyatakan pilihan yang mereka fahami dan perlukan!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Sekiranya fail ini diubah suai, tidak perlu # menjalankan postmap # Untuk menguji peraturan, jalankan sebagai root: # postmap -q 'regexp' super new v1agra ': / etc / postfix / body_checks
# Sekiranya kembali: # REJECT Peraturan # 2 Badan Mesej Anti Spam
/ viagra / REJECT Peraturan # 1 Anti Spam badan mesej
/ super new v [i1] agra / REJECT Peraturan # 2 badan mesej Anti Spam

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Setelah mengubah suai, anda mesti melaksanakan: # postmap / etc / postfix / account_ forwarding_copy
# dan fail dibuat atau diukur: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Satu akaun untuk meneruskan satu Salinan BCC # BCC = Salinan Karbon Hitam # Contoh: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / account_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Tambah pada akhir fail # TIDAK MEMERLUKAN Postmap kerana mereka adalah Ungkapan Biasa
/ ^ Subjek: =? Big5? / REJECT Pengekodan Cina tidak diterima oleh pelayan ini
/ ^ Subjek: =? EUC-KR? / REJECT Pengekodan Korea tidak dibenarkan oleh pelayan ini
/ ^ Subjek: ADV: / REJECT Iklan tidak diterima oleh pelayan ini
/^From:.*\@.*\.cn/ REJECT Maaf, mel Cina tidak dibenarkan di sini
/^From:.*\@.*\.kr/ REJECT Maaf, mel Korea tidak dibenarkan di sini
/^From:.*\@.*\.tr/ REJECT Maaf, mel Turki tidak dibenarkan di sini
/^From:.*\@.*\.ro/ REJECT Maaf, mel Romania tidak dibenarkan di sini
/^(Diterima|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | dari stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker Berita | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Pengirim surat massal tidak dibenarkan.
/ ^ Dari: "spammer / REJECT
/ ^ Dari: "spam / REJECT
/^Subject:.*viagra/ Buang
# Sambungan berbahaya
/ name = [^> Iluminación * \. (kelawar | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Kami tidak menerima lampiran dengan pelanjutan ini

Kami memeriksa sintaks, mulakan semula Apache dan Postifx, dan aktifkan dan mulakan Dovecot

[root @ linuxbox ~] # semakan postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl mulakan semula httpd
[root @ linuxbox ~] # status systemctl httpd

[root @ linuxbox ~] # sistemctl mulakan semula postfix
[root @ linuxbox ~] # postfix status systemctl

[root @ linuxbox ~] # sistemctl status dovecot
● dovecot.service - Pelayan e-mel Dovecot IMAP / POP3 Dimuat: dimuat (/usr/lib/systemd/system/dovecot.service; dilumpuhkan; pratetap vendor: dilumpuhkan) Aktif: tidak aktif (mati)

[root @ linuxbox ~] # systemctl mengaktifkan dovecot
[root @ linuxbox ~] # systemctl mulakan dovecot
[root @ linuxbox ~] # systemctl mulakan semula dovecot
[root @ linuxbox ~] # sistemctl status dovecot

Pemeriksaan peringkat konsol

  • Sangat penting sebelum meneruskan pemasangan dan konfigurasi program lain, untuk membuat semakan minimum untuk perkhidmatan SMTP dan POP.

Tempatan dari pelayan itu sendiri

Kami menghantar e-mel kepada pengguna tempatan anhebu.

[root @ linuxbox ~] # echo "Hello. Ini adalah mesej ujian" | mail -s "Test" legolas

Kami menyemak kotak mel Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1 -starttls pop110

Selepas mesej Dovecot Sedia! kami meneruskan:

---
+ OK Dovecot Sedia!
PENGGUNA legolas + OK LULUS legolas + OK Log masuk. STAT + OK 1 559 DAFTAR + OK 1 mesej: 1 559. RETR 1 + OK 559 oktet Laluan Kembali: X-Original-To: legolas Dihantar-Kepada: legolas@desdelinux.fan Diterima: oleh desdelinux.fan (Postfix, dari userid 0) id 7EA22C11FC57; Isnin, 22 Mei 2017 10:47:10 -0400 (EDT) Tarikh: Isnin, 22 Mei 2017 10:47:10 -0400 Kepada: legolas@desdelinux.fan Subjek: Ujian Ejen Pengguna: Heirloom mailx 12.5 7/5 / 10 MIME-Versi: 1.0 Jenis Kandungan: teks / dataran; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Dari: root@desdelinux.fan (root) Hello. Ini adalah mesej ujian. CEPAT SELESAI
[root @ linuxbox ~] #

Jauh dari komputer di LAN

Mari hantar mesej lain ke anhebu dari komputer lain di LAN. Perhatikan bahawa keselamatan TLS TIDAK sangat diperlukan dalam Rangkaian UKM.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Helo" \
-m "Salam Legolas dari rakan anda Buzz" \
-s mail.desdelinux.fan -o tls = tidak
22 Mei 10:53:08 e-mel sysadmin [5866]: E-mel berjaya dihantar!

Sekiranya kita cuba berhubung melalui telnet Dari host di LAN - atau dari Internet, tentu saja - ke Dovecot, perkara berikut akan berlaku kerana kami melumpuhkan pengesahan teks biasa:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Mencuba 192.168.10.5 ...
Bersambung ke linuxbox.fromlinux.fan. Watak melarikan diri adalah '^]'. + OK Dovecot Sedia! pengguna legolas
-ERR [AUTH] Pengesahan teks biasa tidak dibenarkan pada sambungan tidak selamat (SSL / TLS).
berhenti + OK Log keluar Sambungan ditutup oleh tuan rumah asing.
buzz @ sysadmin: ~ $

Kita mesti melakukannya OpenSSL. Output lengkap arahannya adalah:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan[110 -starttls pop3
BERHUBUNG (00000003)
kedalaman = 0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Penggemar, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
sahkan ralat: num = 18: sijil yang ditandatangani sendiri mengesahkan pengembalian: 1
kedalaman = 0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Penggemar, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan sahkan pulangan: 1
--- Rantai sijil 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Sijil pelayan ----- MULAI SIJIL-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END SIJIL tertakluk = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan penerbit = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Penggemar / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Tiada nama sijil klien CA yang dihantar Kekunci Temp Server: ECDH, secp384r1, 384 bit --- Jabat tangan SSL telah membaca 1342 bait dan ditulis 411 bait --- Baru, TLSv1 / SSLv3 , Cipher ialah ECDHE-RSA-AES256-GCM-SHA384 Kunci awam pelayan adalah 1024 bit Renegosiasi Selamat disokong IS Pemampatan: NONE Pengembangan: TIADA SSL-Sesi: Protokol: TLSv1.2 Cipher: ECDHE-RSA-AES256-GCM-SHA384 Sesi- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Sesi-ID-ctx: Master-Kekunci : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Tiada Krb5 Utama: Tiada PSK identiti: Tiada identiti PSK petunjuk: HS 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 Key-Arg: Tiada Krb4 Utama: Tiada 7 PSK identiti: tanda-tanda identiti Tiada PSK: Sesi HS 1TLS XNUMX saat XNUMX f sesi tiada-XNUMX XNUMX tlf XNUMX saat tiket fXNUMXfXNUMX tiket ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 .... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot Sedia!
Legolas PENGGUNA
+ OK
LULUS legola
+ OK Log masuk.
SENARAI
+ OK 1 mesej: 1 1021.
RETR 1
+ Laluan Balik OK 1021 oktet: X-Original-To: legolas@desdelinux.fan Dihantar-Kepada: legolas@desdelinux.fan Diterima: dari sysadmin.desdelinux.fan (gateway [172.16.10.1]) oleh desdelinux.fan (Postfix) dengan ESMTP id 51886C11E8C0 untuk ; Isnin, 22 Mei 2017 15:09:11 -0400 (EDT) ID Mesej: <919362.931369932-sendEmail@sysadmin> Dari: "buzz@deslinux.fan" Kepada: "legolas@desdelinux.fan" Subjek: Hello Tarikh: Isnin, 22 Mei 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart / berkaitan; batas = "---- pembatas MIME untuk sendEmail-365707.724894495" Ini adalah mesej berbilang bahagian dalam format MIME. Untuk menampilkan mesej ini dengan betul, anda memerlukan program E-mel yang mematuhi MIME-Versi 1.0. ------ pembatas MIME untuk sendEmail-365707.724894495 Jenis Kandungan: teks / dataran; charset = "iso-8859-1" Content-Transfer-Encoding: 7bit Salam Legolas dari rakan anda Buzz ------ pembatas MIME untuk sendEmail-365707.724894495--.
BERHENTI
+ OK Log keluar. ditutup
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail adalah pelanggan web yang ditulis sepenuhnya dalam PHP. Ini termasuk sokongan PHP asli untuk protokol IMAP dan SMTP, dan memberikan keserasian maksimum dengan penyemak imbas yang berbeza yang digunakan. Ia berjalan dengan betul di mana-mana pelayan IMAP. Ia mempunyai semua fungsi yang anda perlukan dari klien e-mel termasuk sokongan MIME, buku alamat dan pengurusan folder.

[root @ linuxbox ~] # yum pasang squirrelmail
[root @ linuxbox ~] # perkhidmatan memulakan semula httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # perkhidmatan tambah nilai httpd

Rangka Kerja Dasar Hantar DNS atau rekod SPF

Dalam artikel itu Pelayan DNS autoriti NSD + Shorewall Kami melihat bahawa Zon "desdelinux.fan" dikonfigurasi seperti berikut:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ASAL dari linux.fan. $ TTL 3H @ DI SOA ns.fromlinux.fan. root.fromlinux.fan. (1; siri 1D; muat semula 1H; cuba semula 1W; tamat 3H); minimum atau; Masa cache negatif untuk hidup; @ DI NS ns.fromlinux.fan. @ IN MX 10 mel.fromlinux.fan.
@ DALAM TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Log untuk menyelesaikan pertanyaan penggalian dari linux.fan @ IN A 172.16.10.10; ns DALAM 172.16.10.30 mel IN CNAME dari linux.fan. sembang DI CNAME dari linux.fan. www DI CNAME dari linux.fan. ; ; Rekod SRV yang berkaitan dengan XMPP
_xmpp-server._tcp IN SRV 0 0 5269 dari linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 dari linux.fan. _jabber._tcp IN SRV 0 0 5269 dari linux.fan.

Di dalamnya pendaftaran dinyatakan:

@ DALAM TXT "v = spf1 a: mail.desdelinux.fan -all"

Untuk memiliki parameter yang sama dikonfigurasi untuk Jaringan SME atau LAN, kita harus mengubah fail konfigurasi Dnsmasq seperti berikut:

# Rekod TXT. Kita juga boleh menyatakan rekod SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Kemudian kami mulakan semula perkhidmatan:

[root @ linuxbox ~] # perkhidmatan dimulakan semula dnsmasq
[root @ linuxbox ~] # status status dnsmasq [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan adalah alias untuk fromlinux.fan. teks deskriptif desdelinux.fan "v = spf1 a: mail.desdelinux.fan -all"

Sijil dan Apache yang ditandatangani sendiri atau httpd

Walaupun penyemak imbas anda memberitahu anda bahawa «Pemilik mel.fromlinux.fan Anda telah mengkonfigurasi laman web anda dengan tidak betul. Untuk mengelakkan maklumat anda dicuri, Firefox belum menyambung ke laman web ini ”, sijil yang dihasilkan sebelumnya ITU SALAH, dan akan membenarkan tauliah antara klien dan pelayan bergerak disulitkan, setelah kami menerima sijil.

Sekiranya anda mahu, dan sebagai kaedah untuk menyatukan sijil, anda boleh menyatakan untuk Apache sijil yang sama dengan yang anda nyatakan untuk Postfix, yang betul.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # httpd perkhidmatan memulakan semula
[root @ linuxbox ~] # status httpd perkhidmatan

Kumpulan Diffie-Hellman

Subjek Keselamatan menjadi lebih sukar setiap hari di Internet. Salah satu serangan yang paling biasa pada sambungan SSL, adalah jalan buntu dan untuk mempertahankannya perlu menambahkan parameter bukan standard pada konfigurasi SSL. Untuk ini terdapat RFC-3526 «Eksponen Lebih Modular (MODP) Diffie-Hellman kumpulan untuk Pertukaran Kunci Internet (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -sendiri / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 peribadi / dhparams.pem

Menurut versi Apache yang telah kami pasang, kami akan menggunakan Kumpulan Diffie-Helman dari fail tersebut /etc/pki/tls/dhparams.pem. Sekiranya versi 2.4.8 atau yang lebih baru, maka kita harus menambah fail tersebut /etc/httpd/conf.d/ssl.conf baris berikut:

Parameter DHL SSLOpenSSLConfCmd "/etc/pki/tls/private/dhparams.pem"

Versi Apache yang kami gunakan adalah:

[root @ linuxbox tls] # maklumat yum httpd
Plugin yang dimuat: cermin tercepat, langpacks Memuatkan kelajuan cermin dari hostfile cache Pakej terpasang Nama: httpd Architecture: x86_64
Versi: 2.4.6
Keluaran: 45.el7.centos Saiz: 9.4 M Repositori: dipasang Dari repositori: Base-Repo Ringkasan: Apache HTTP Server URL: http://httpd.apache.org/ Lesen: ASL 2.0 Penerangan: Pelayan HTTP Apache adalah kuat , cekap, dan boleh diperluas: pelayan web.

Oleh kerana kami mempunyai versi sebelum 2.4.8, kami menambahkan kandungan Kumpulan Diffie-Helman ke akhir sijil CRT yang dihasilkan sebelumnya:

[root @ linuxbox tls] # kucing peribadi / dhparams.pem >> sijil / desdelinux.fan.crt

Sekiranya anda ingin memastikan bahawa parameter DH telah ditambahkan dengan betul ke sijil CRT, jalankan perintah berikut:

[root @ linuxbox tls] # kucing peribadi / dhparams.pem 
----- MULAI PARAMETER DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETER DH TAMAT -----

[root @ linuxbox tls] # sijil kucing / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETER DH TAMAT -----

Selepas perubahan ini, kita mesti memulakan semula perkhidmatan Postfix dan httpd:

[root @ linuxbox tls] # mulakan semula perkhidmatan pasca perbaikan
[root @ linuxbox tls] # status postfix perkhidmatan
[root @ linuxbox tls] # perkhidmatan mulakan semula httpd
[root @ linuxbox tls] # status httpd perkhidmatan

Kemasukan Kumpulan Diffie-Helman dalam sijil TLS kami mungkin menjadikan penyambungan melalui HTTPS sedikit lebih perlahan, tetapi penambahan keselamatan sangat berbaloi.

Memeriksa Squirrelmail

KINI bahawa sijil dihasilkan dengan betul dan bahawa kami memeriksa operasi yang betul seperti yang kami lakukan melalui arahan konsol, arahkan penyemak imbas pilihan anda ke URL http://mail.desdelinux.fan/webmail dan ia akan disambungkan ke pelanggan web setelah menerima sijil yang sesuai. Perhatikan bahawa, walaupun anda menentukan protokol HTTP, protokol tersebut akan dialihkan ke HTTPS, dan ini disebabkan oleh konfigurasi lalai yang ditawarkan oleh CentOS untuk Squirrelmail. Lihat failnya /etc/httpd/conf.d/squirrelmail.conf.

Mengenai peti mel pengguna

Dovecot membuat peti mel IMAP dalam folder rumah setiap pengguna:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
jumlah 12 drwxrwx ---. 5 surat legolas 4096 22 Mei 12:39. drwx ------. 3 legolas legolas 75 22 Mei 11:34 .. -rw -------. 1 legolas legolas 72 22 Mei 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 Mei 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22 Mei 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 surat legolas 56 Mei 22 10:23 INBOX drwx ------. 2 legolas legolas 56 22 Mei 12:39 Dihantar drwx ------. 2 legolas legolas 30 Mei 22 11:34 Sampah

Mereka juga disimpan di / var / mail /

[root @ linuxbox ~] # kurang / var / mail / legolas
Dari MAILER_DAEMON Isnin 22 Mei 10:28:00 2017 Tarikh: Isnin, 22 Mei 2017 10:28:00 -0400 Dari: Data Dalaman Sistem Mel Subjek: JANGAN HAPUS MESEJ INI - DATA DALAMAN FOLDER ID Mesej: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Teks ini adalah sebahagian daripada format dalaman folder mel anda, dan bukan mesej sebenar. Ia dibuat secara automatik oleh perisian sistem mel. Sekiranya dihapus, data folder penting akan hilang, dan akan dibuat semula dengan data diset semula ke nilai awal. Dari root@desdelinux.fan Isnin 22 Mei 10:47:10 Laluan Balik 2017: X-Original-To: legolas Dihantar-Kepada: legolas@desdelinux.fan Diterima: oleh desdelinux.fan (Postfix, dari userid 0) id 7EA22C11FC57; Isnin, 22 Mei 2017 10:47:10 -0400 (EDT) Tarikh: Isnin, 22 Mei 2017 10:47:10 -0400 Kepada: legolas@desdelinux.fan Subjek: Ujian Ejen Pengguna: Heirloom mailx 12.5 7/5 / 10 MIME-Versi: 1.0 Jenis Kandungan: teks / dataran; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Dari: root@desdelinux.fan (root) X-UID: 7 Status: RO Hello. Ini adalah mesej ujian Dari buzz@deslinux.fan Isnin 22 Mei 10:53:08 Laluan Kembali 2017: X-Original-To: legolas@desdelinux.fan Dihantar-Ke: legolas@desdelinux.fan Diterima: dari sysadmin.desdelinux.fan (gateway [172.16.10.1]) oleh desdelinux.fan (Postfix) dengan id ESMTP C184DC11FC57 untuk ; Isnin, 22 Mei 2017 10:53:08 -0400 (EDT) ID Mesej: <739874.219379516-sendEmail@sysadmin> Dari: "buzz@deslinux.fan" Kepada: "legolas@desdelinux.fan" Subjek: Hello Tarikh: Isnin, 22 Mei 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart / berkaitan; batas = "---- pembatas MIME untuk sendEmail-794889.899510057
/ var / mel / legolas

Ringkasan miniseri PAM

Kami telah melihat inti dari Mailserver dan memberikan sedikit penekanan pada keselamatan. Kami berharap artikel itu berfungsi sebagai Titik Masuk ke topik yang rumit dan mudah melakukan kesalahan ketika pelaksanaan Mail Server secara manual.

Kami menggunakan pengesahan pengguna tempatan kerana jika kami membaca fail dengan betul /etc/dovecot/conf.d/10-auth.conf, kita akan melihat bahawa pada akhirnya ia disertakan -secara lalai- fail pengesahan pengguna sistem ! sertakan auth-system.conf.ext. Dengan tepat fail ini memberitahu kita di tajuknya bahawa:

[root @ linuxbox ~] # kurang /etc/dovecot/conf.d/auth-system.conf.ext
# Pengesahan untuk pengguna sistem. Termasuk dari 10-auth.conf. # # # # Pengesahan PAM. Lebih disukai sekarang oleh kebanyakan sistem.
# PAM biasanya digunakan dengan userdb passwd atau userdb static. # INGAT: Anda memerlukan fail /etc/pam.d/dovecot yang dibuat untuk pengesahan PAM # agar benar-benar berfungsi. passdb {driver = pam # [sesi = ya] [setcred = yes] [kegagalan_show_msg = ya] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Dan fail lain ada /etc/pam.d/dovecot:

[root @ linuxbox ~] # kucing /etc/pam.d/dovecot 
#% PAM-1.0 autentikasi diperlukan pam_nologin.so auth termasuk password-auth account include password-auth sesi include password-auth

Apa yang ingin kita sampaikan mengenai pengesahan PAM?

  • CentOS, Debian, Ubuntu, dan banyak distribusi Linux lain memasang Postifx dan Dovecot dengan pengesahan tempatan yang diaktifkan secara lalai.
  • Banyak artikel di Internet menggunakan MySQL - dan baru-baru ini MariaDB - untuk menyimpan pengguna dan data lain mengenai Mailserver. TETAPI ini adalah pelayan untuk RIBUAN PENGGUNA, dan bukan untuk Rangkaian PKS klasik dengan - mungkin - beratus-ratus pengguna.
  • Pengesahan melalui PAM adalah perlu dan mencukupi untuk menyediakan perkhidmatan rangkaian selama mereka berjalan di satu pelayan seperti yang kita lihat di miniseri ini.
  • Pengguna yang tersimpan dalam pangkalan data LDAP dapat dipetakan seolah-olah mereka adalah pengguna lokal, dan pengesahan PAM dapat digunakan untuk menyediakan perkhidmatan rangkaian dari pelayan Linux yang berlainan yang bertindak sebagai klien LDAP ke pelayan pengesahan pusat. Dengan cara ini, kami akan bekerjasama dengan tauliah pengguna yang tersimpan di pangkalan data pelayan LDAP pusat, dan TIDAK penting untuk mengekalkan pangkalan data dengan pengguna tempatan.

Sehingga pengembaraan seterusnya!


Kandungan artikel mematuhi prinsip kami etika editorial. Untuk melaporkan ralat, klik di sini.

9 komen, tinggalkan komen anda

Tinggalkan komen anda

Alamat email anda tidak akan disiarkan. Ruangan yang diperlukan ditanda dengan *

*

*

  1. Bertanggungjawab atas data: Miguel Ángel Gatón
  2. Tujuan data: Mengendalikan SPAM, pengurusan komen.
  3. Perundangan: Persetujuan anda
  4. Komunikasi data: Data tidak akan disampaikan kepada pihak ketiga kecuali dengan kewajiban hukum.
  5. Penyimpanan data: Pangkalan data yang dihoskan oleh Occentus Networks (EU)
  6. Hak: Pada bila-bila masa anda boleh menghadkan, memulihkan dan menghapus maklumat anda.

  1.   biawak kata

    Percayalah bahawa dalam praktiknya ini adalah proses yang memberikan lebih daripada satu sysadmin sakit kepala yang teruk, saya yakin bahawa pada masa akan datang ia akan menjadi panduan rujukan bagi sesiapa sahaja yang ingin menguruskan e-mel mereka sendiri, kes praktikal yang berlaku di abc ketika mengintegrasikan postfix, dovecot, squirrelmail ..

    Terima kasih banyak atas sumbangan anda yang terpuji,

  2.   Darko kata

    Mengapa tidak menggunakan Mailpile, jika berkaitan dengan keselamatan, dengan PGP? Roundcube juga mempunyai antara muka yang lebih intuitif dan juga dapat mengintegrasikan PGP.

  3.   Martin kata

    3 hari yang lalu saya membaca siaran itu, saya tahu bagaimana mengucapkan terima kasih. Saya tidak merancang untuk memasang pelayan mel tetapi sangat berguna untuk melihat pembuatan sijil, berguna untuk aplikasi lain dan tutorial ini hampir tidak tamat (lebih-lebih lagi apabila anda menggunakan centOS).

  4.   Federico kata

    Manuel Cillero: Terima kasih kerana menghubungkan ke dan dari blog anda artikel ini yang merupakan inti minimum pelayan mel berdasarkan Postfix dan Dovecot.

    Kadal: Seperti biasa, penilaian anda diterima dengan baik. Terima kasih.

    Darko: Dalam hampir semua artikel saya, saya menyatakan lebih kurang bahawa "Semua orang menggunakan perkhidmatan dengan program yang paling mereka sukai." Terima kasih atas komen.

    Martin: Terima kasih juga kerana membaca artikel itu dan saya harap ia dapat membantu anda dalam kerja anda.

  5.   Zodiak Carburus kata

    Rakan artikel hebat Federico. Terima kasih banyak untuk tuto yang baik.

  6.   lengkungan kata

    sangat baik walaupun saya akan menggunakan "pengguna maya" untuk mengelakkan daripada membuat pengguna sistem setiap kali saya menambah e-mel, terima kasih saya belajar banyak perkara baru dan ini adalah jenis siaran yang saya nantikan

  7.   Willinton Acevedo Rueda kata

    Selamat petang,

    Mereka akan didorong untuk membuat yang sama dengan pelayan direktori fedora + postifx + dovecot + thunderbird atau outlook.

    Saya mempunyai bahagian tetapi saya buntu, saya dengan senang hati akan berkongsi dokumen itu kepada komuniti @desdelinux

  8.   phico kata

    Saya tidak membayangkan bahawa ia akan mencapai lebih daripada 3000 lawatan !!!

    Salam Kadal!

  9.   Gelap kata

    Rakan tutorial yang sangat baik.
    Bolehkah anda melakukannya untuk Debian 10 dengan pengguna Direktori Aktif yang dipasang di Samba4 ???
    Saya bayangkan ia hampir sama tetapi mengubah jenis pengesahan.
    Bahagian yang anda dedikasikan untuk pembuatan sijil yang ditandatangani sendiri sangat menarik.