Postfix + Dovecot + Squirrelmail en lokale gebruikers - MKB-netwerken

Algemene index van de serie: Computernetwerken voor het MKB: inleiding

Dit artikel is de voortzetting en laatste van de miniserie:

• Squid + PAM-authenticatie op CentOS 7.
• Lokaal gebruikers- en groepsbeheer
• Gezaghebbende DNS-server NSD + Shorewall
• Prosody IM en lokale gebruikers
  

Hallo vrienden en vrienden!

De Liefhebbers ze willen hun eigen mailserver hebben. Ze willen geen servers gebruiken waar "Privacy" tussen vraagtekens staat. De persoon die verantwoordelijk is voor het implementeren van de service op uw kleine server is geen specialist op dit gebied en zal in eerste instantie proberen om de kern van een toekomstige en complete mailserver te installeren. Is dat de "vergelijkingen" om een ​​volledige mailserver te maken een beetje moeilijk te begrijpen en toe te passen zijn? 😉

Marge-annotaties

• Het is noodzakelijk om duidelijk te zijn over welke functies elk programma dat bij een mailserver is betrokken uitvoert. Als eerste gids geven we een hele reeks nuttige links met het verklaarde doel waarvoor ze worden bezocht.
• Het handmatig en vanaf nul implementeren van een complete mailservice is een vermoeiend proces, tenzij u een van de "uitverkorenen" bent die dit soort taken dagelijks uitvoert. Een mailserver wordt in het algemeen gevormd door verschillende programma's die afzonderlijk omgaan met SMTP, POP / IMAP, Lokale opslag van berichten, taken met betrekking tot de behandeling van het sPAM, Antivirus, enz. AL deze programma's moeten correct met elkaar communiceren.
• Er is niet één maat die voor iedereen geschikt is of "best practices" voor het beheren van gebruikers; waar en hoe berichten moeten worden opgeslagen, of hoe u alle componenten als één geheel kunt laten werken.
• Het samenstellen en afstemmen van een mailserver is vaak onaangenaam in zaken als toestemmingen en bestandseigenaren, het kiezen welke gebruiker de leiding heeft over een bepaald proces en bij kleine fouten die in een of ander esoterisch configuratiebestand worden gemaakt.
• Tenzij u heel goed weet wat u doet, zal het eindresultaat een onveilige of enigszins niet-functionele mailserver zijn. Dat aan het einde van de implementatie It Does Not Work, misschien wel het minste kwaad zal zijn.
• We kunnen op internet een groot aantal recepten vinden voor het maken van een mailserver. Een van de meest complete -naar mijn zeer persoonlijke mening- wordt aangeboden door de auteur ivar abrahamsen in zijn dertiende editie van januari 2017 «Een mailserver opzetten op een GNU / Linux-systeem".
• We raden ook aan het artikel te lezen «Een mailserver op Ubuntu 14.04: Postfix, Dovecot, MySQL«, of «Een mailserver op Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Klopt. De beste documentatie hierover is in het Engels te vinden.
  • Hoewel we nooit een mailserver maken die getrouw wordt geleid door het Hoe… al genoemd in de vorige paragraaf, zal het enkele feit dat we het stap voor stap volgen, ons een heel goed idee geven van waar we mee te maken zullen krijgen.
• Als u in een paar stappen een complete mailserver wilt hebben, kunt u de afbeelding downloaden iRedOS-0.6.0-CentOS-5.5-i386.iso, of zoek een modernere, of het nu iRedOS of iRedMail. Het is de manier die ik persoonlijk aanbeveel.

We gaan installeren en configureren:

• postfix als server Mmail Trvoer Agent (SMTP).
• duiventil als POP - IMAP-server.
• Certificaten voor verbindingen via TLS.
• Squirrelmail als een webinterface voor gebruikers.
• DNS-record ten opzichte van «Sender Policy Framework"Of SPF.
• Module generatie Diffie Hellman-groep om de veiligheid van SSL-certificaten te verhogen.

Het moet nog gebeuren:

Ten minste de volgende diensten moeten nog worden geïmplementeerd:

• Postgrijs: Postfix-serverbeleid voor grijze lijsten en weigering van ongewenste e-mail.
  
• Amavisd-nieuw: script dat een interface creëert tussen de MTA en virusscanners en inhoudfilters.
• Clamav-antivirus: antivirussuite
• SpamAssassin: pak ongewenste e-mail uit
• scheermes (pyzor): SPAM-opname via een gedistribueerd en samenwerkingsnetwerk. Het Vipul Razor-netwerk houdt een bijgewerkte catalogus bij van de verspreiding van ongewenste e-mail of SPAM.
• DNS-record "DomainKeys Identified Mail" of DKIM.

Pakketten postgrey, amavisd-new, clamav, spamassassin, scheermes y pyzoor Ze zijn te vinden in de programma-repositories. We zullen ook het programma vinden openkim.

• De juiste aangifte van de DNS-records "SPF" en "DKIM" is essentieel als we niet willen dat onze mailserver zomaar in gebruik wordt genomen, ongewenst wordt verklaard of een producent van SPAM of Junk Mail, door andere mailservices zoals Gmail, Yahoo, Hotmail, enzovoort.

Eerste controles

Onthoud dat dit artikel een voortzetting is van anderen die beginnen in Squid + PAM-authenticatie op CentOS 7.

Ens32 LAN-interface aangesloten op het interne netwerk

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkscripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = openbaar

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-interface verbonden met internet

[root @ linuxbox ~] # nano / etc / sysconfig / netwerkscripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=ja BOOTPROTO=statisch HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nee IPADDR=172.16.10.10 NETMASK=255.255.255.0 # De ADSL-router is verbonden met # deze interface met # het volgende adres IP-GATEWAY=172.16.10.1 DOMEIN=desdelinux.fan DNS1=127.0.0.1
ZONE = extern

DNS-resolutie van het LAN

[root@linuxbox ~]# cat /etc/resolv.conf zoeken desdelinux.fan naamserver 127.0.0.1 naamserver 172.16.10.30 [root@linuxbox ~]# hostmail
e-mail.desdelinux.fan is een alias voor Linuxbox.desdelinux.fan. Linuxbox.desdelinux.fan heeft adres 192.168.10.5 linuxbox.desdelinux.fanmail wordt afgehandeld door 1 mail.desdelinux.fan.

[root@linuxbox ~]# hostmail.desdelinux.ventilator
e-mail.desdelinux.fan is een alias voor Linuxbox.desdelinux.fan. Linuxbox.desdelinux.fan heeft adres 192.168.10.5 linuxbox.desdelinux.fanmail wordt afgehandeld door 1 mail.desdelinux.fan.

DNS-resolutie van internet

buzz@sysadmin:~$hostmail.desdelinux.ventilator 172.16.10.30
Gebruik van domeinserver: Naam: 172.16.10.30 Adres: 172.16.10.30#53 Aliassen: mail.desdelinux.fan is een alias voor desdelinux.fan.
desdelinux.fan heeft adres 172.16.10.10
desdelinux.fanmail wordt afgehandeld door 10 mail.desdelinux.fan.

Problemen bij het lokaal oplossen van de hostnaam «desdelinux.fan"

Als u problemen heeft met het oplossen van de hostnaam «desdelinux.ventilator" van de LAN, probeer commentaar te geven op de bestandsregel /etc/dnsmasq.conf waar het wordt verklaard lokaal=/desdelinux.fan/. Start daarna de Dnsmasq opnieuw op.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Reageer op de onderstaande regel:
# lokaal=/desdelinux.fan/

[root @ linuxbox ~] # service dnsmasq herstart
Omleiden naar / bin / systemctl herstart dnsmasq.service

[root @ linuxbox ~] # service dnsmasq status

[root@linuxbox ~]# host desdelinux.ventilator
desdelinux.fan heeft adres 172.16.10.10
desdelinux.fanmail wordt afgehandeld door 10 mail.desdelinux.fan.

Postfix en Dovecot

De zeer uitgebreide documentatie van Postfix en Dovecot is te vinden op:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENTIE README-Postfix-SASL-RedHat.txt COMPATIBILITEIT main.cf.default TLS_ACKNOWLEDGEMENTS voorbeelden README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTEURS COPYING.MIT dovecot-openssl.cnf NIEUWS wiki COPYING ChangeLog example-config README COPYING.LGPL documentation.txt mkcert.sh solr-schema.xml

In CentOS 7 wordt de Postfix MTA standaard geïnstalleerd wanneer we de optie Infrastructure Server kiezen. We moeten controleren of de SELinux context het schrijven naar Potfix in de lokale berichtenwachtrij toestaat:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Wijzigingen in de FirewallD

Met behulp van de grafische interface om FirewallD te configureren, moeten we ervoor zorgen dat de volgende services en poorten zijn ingeschakeld voor elke Zone:

# ------------------------------------------------- -----
# Reparaties in FirewallD
# ------------------------------------------------- -----
# firewall
# Openbare zone: http, https, imap, pop3, smtp-services
# Openbare zone: poorten 80, 443, 143, 110, 25

# Externe zone: http, https, imap, pop3s, smtp-services
# Externe zone: poorten 80, 443, 143, 995, 25

We installeren Dovecot en de nodige programma's

[root @ linuxbox ~] # yum installeer dovecot mod_ssl procmail telnet

Minimale duiventil-configuratie

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protocollen =imap pop3 lmtp
luisteren ​
login_begroeting = Dovecot is klaar!

We schakelen Dovecot's plaintext authenticatie expliciet uit:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ja

We verklaren dat de Groep de nodige privileges heeft om te communiceren met de Dovecot, en de locatie van de berichten:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = e-mail
mail_access_groups = e-mail

Certificaten voor de duiventil

Dovecot genereert automatisch uw testcertificaten op basis van de gegevens in het bestand /etc/pki/dovecot/dovecot-openssl.cnf. Om nieuwe certificaten te laten genereren volgens onze vereisten, moeten we de volgende stappen uitvoeren:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano duiventil-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = ja onderscheiden_naam = req_dn x509_extensions = cert_type prompt = nee [ req_dn ] # land (code van 2 letters) C=CU # staats- of provincienaam (volledige naam) ST=Cuba # plaatsnaam (bijv. stad ) L=Havana # Organisatie (bijv. bedrijf) O=DesdeLinux.Fan # Naam organisatie-eenheid (bijv. sectie) OU=Enthousiastelingen # Algemene naam (*.example.com is ook mogelijk) CN=*.desdelinux.fan # E-mailcontact emailAddress=buzz@desdelinux.fan [cert_type] nsCertType = server

We elimineren testcertificaten

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: het reguliere bestand "certs / dovecot.pem" verwijderen? (j / n) j
[root @ linuxbox dovecot] # rm privé / dovecot.pem 
rm: het gewone bestand "private / dovecot.pem" verwijderen? (j / n) j

We kopiëren en voeren het script uit mkcert.sh uit de documentatiemap

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Een 1024-bits RSA-privésleutel genereren ......++++++ ..............++++++ nieuwe privésleutel schrijven naar '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthousiastelingen/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox duiventil] # ls -l certs /
totaal 4 -rw -------. 1 wortel wortel 1029 22 mei 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privé /
totaal 4 -rw -------. 1 wortel wortel 916 22 mei 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot herstart
[root @ linuxbox dovecot] # service duiventil status

Certificaten voor Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout privé/desdelinux.ventilatortoets

Een 4096 bit RSA privésleutel genereren .........++ ..++ nieuwe privésleutel schrijven naar 'private/domain.tld.key' ----- U wordt op het punt gevraagd informatie in te voeren die in uw certificaataanvraag wordt opgenomen. Wat u gaat invoeren, is een zogenaamde Distinguished Name of een DN. Er zijn nogal wat velden, maar u kunt er enkele leeg laten. Voor sommige velden is er een standaardwaarde. Als u '.' invoert, blijft het veld leeg. ----- Landnaam (code van 2 letters) [XX]:CU Staats- of provincienaam (volledige naam) []:Cuba Plaatsnaam (bijvoorbeeld stad) [Standaardstad]:Havana Organisatienaam (bijvoorbeeld bedrijf) [ Standaardbedrijf Ltd]:DesdeLinux.Fan Organisatie-eenheidnaam (bijvoorbeeld sectie) []: Algemene naam van liefhebbers (bijvoorbeeld uw naam of de hostnaam van uw server) []:desdelinux.fan e-mailadres []:buzz@desdelinux.ventilator

Minimale Postfix-configuratie

We voegen aan het einde van het bestand toe / Etc / aliases het volgende:

root: buzz

Om de wijzigingen door te voeren, voeren we het volgende commando uit:

[root @ linuxbox ~] # nieuwe aliassen

De Postifx-configuratie kan worden gedaan door het bestand rechtstreeks te bewerken /etc/postfix/main.cf of op commando postconf -e ervoor zorgen dat alle parameters die we willen wijzigen of toevoegen, worden weergegeven in een enkele regel van de console:

• Iedereen moet de opties aangeven die ze begrijpen en nodig hebben!.

[root@linuxbox ~]# postconf -e 'mijnhostnaam = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mijndomein = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ mijnhostnaam ESMTP $ mail_naam ($ mail_version)'

We voegen aan het einde van het bestand toe /etc/postfix/main.cf de onderstaande opties. Om de betekenis van elk ervan te kennen, raden we aan de bijbehorende documentatie te lezen.

biff = nee
append_dot_mydomain = nee
delay_warning_time = 4 uur
readme_directory = nee
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.ventilatortoets
smtpd_use_tls = ja
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Maximale mailboxgrootte 1024 megabytes = 1 g en g
mailbox_size_limit = 1073741824

ontvanger_scheidingsteken = +
maximale_wachtrij_levensduur = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Accounts die een kopie van inkomende e-mail naar een ander account sturen
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

De volgende regels zijn belangrijk om te bepalen wie mail en relay naar andere servers kan verzenden, zodat we niet per ongeluk een "open relay" configureren waarmee niet-geverifieerde gebruikers mail kunnen verzenden. We moeten de helppagina's van Postfix raadplegen om te begrijpen wat elke optie betekent.

• Iedereen moet de opties aangeven die ze begrijpen en nodig hebben!.

smtpd_helo_restrictions = allow_mynetworks,
 waarschuw_if_reject weigeren_non_fqdn_hostnaam,
 weigeren_invalid_hostnaam,
 toelaten

smtpd_sender_restrictions = vergunning_sasl_authenticated,
 vergunning_mijnnetwerken,
 waarschuw_if_reject reject_non_fqdn_sender,
 weigeren_unknown_sender_domain,
 weigeren_unauth_pipelining,
 toelaten

smtpd_client_restrictions = weiger_rbl_client sbl.spamhaus.org,
 weigeren_rbl_client blackholes.easynet.nl

# OPMERKING: de optie "check_policy_service inet: 127.0.0.1: 10023"
# maakt het Postgrey-programma mogelijk, en we zouden het niet moeten opnemen
# anders gaan we Postgrey gebruiken

smtpd_recipient_restrictions=reject_unauth_pipelining,
 vergunning_mijnnetwerken,
 vergunning_sasl_authenticated,
 weigeren_non_fqdn_recipient,
 weigeren_onbekende_ontvanger_domein,
 weiger_unauth_bestemming,
 check_policy_service inet: 127.0.0.1: 10023,
 toelaten

smtpd_data_restrictions=reject_unauth_pipelining

smtpd_relay_restrictions=reject_unauth_pipelining,
 vergunning_mijnnetwerken,
 vergunning_sasl_authenticated,
 weigeren_non_fqdn_recipient,
 weigeren_onbekende_ontvanger_domein,
 weiger_unauth_bestemming,
 check_policy_service inet: 127.0.0.1: 10023,
 toelaten
 
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja

We maken de bestanden / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, en we wijzigen het bestand / etc / postfix / header_checks.

• Iedereen moet de opties aangeven die ze begrijpen en nodig hebben!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Als dit bestand is gewijzigd, is het # niet nodig om postmap uit te voeren # Om de regels te testen, voer je uit als root: # postmap -q 'super nieuwe v1agra' regexp: / etc / postfix / body_checks
# Moet terugkeren: # REJECT Regel # 2 Hoofdgedeelte van anti-spamberichten
/ viagra / REJECT Regel nr. 1 Anti-spam van de berichttekst
/ super nieuw v [i1] agra / REJECT Regel # 2 Anti Spam berichttekst

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Na het wijzigen moet u het volgende uitvoeren: # postmap / etc / postfix / accounts_ forwarding_copy
# en het bestand is gemaakt of gemeten: # /etc/postfix/accounts_forwarding_copy.db
# --------------------------------------- # ÉÉN account om één BCC door te sturen kopie # BCC = Black Carbon Kopie # Voorbeeld: # webadmin@desdelinux.fanzoem@desdelinux.ventilator

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Toevoegen aan het einde van het bestand # HEEFT GEEN Postmap nodig omdat het reguliere expressies zijn
/ ^ Onderwerp: =? Big5? / REJECT Chinese codering wordt niet geaccepteerd door deze server
/ ^ Onderwerp: =? EUC-KR? / REJECT Koreaanse codering niet toegestaan ​​door deze server
/ ^ Onderwerp: ADV: / REJECT Advertenties worden niet geaccepteerd door deze server
/^Van :.*\@.*\.cn/ REJECT Sorry, Chinese mail is hier niet toegestaan
/^Vanaf :.*\@.*\.kr/ REJECT Sorry, Koreaanse mail is hier niet toegestaan
/^Vanaf :.*\@.*\.tr/ REJECT Sorry, Turkse post is hier niet toegestaan
/ ^ Van :.*\@.*\.ro/ REJECT Sorry, Roemeense mail is hier niet toegestaan
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | van stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Geen massamailers toegestaan.
/ ^ Van: "spammer / REJECT
/ ^ Van: "spam / REJECT
/^ Onderwerp:.*viagra/ WEGGooi
# Gevaarlijke extensies
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT We accepteren geen bijlagen met deze extensies

We controleren de syntaxis, herstarten Apache en Postifx, en activeren en starten Dovecot

[root @ linuxbox ~] # postfix check
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl herstart httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl herstart postfix
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status duiventil
● dovecot.service - Dovecot IMAP / POP3 e-mailserver Geladen: geladen (/usr/lib/systemd/system/dovecot.service; uitgeschakeld; leverancier preset: uitgeschakeld) Actief: inactief (dood)

[root @ linuxbox ~] # systemctl zet duiventil aan
[root @ linuxbox ~] # systemctl start duiventil
[root @ linuxbox ~] # systemctl herstart duivecot
[root @ linuxbox ~] # systemctl status duiventil

Controles op console-niveau

• Voordat u doorgaat met de installatie en configuratie van andere programma's, is het erg belangrijk om de minimaal noodzakelijke controles van de SMTP- en POP-services uit te voeren..

Lokaal vanaf de server zelf

We sturen een e-mail naar de lokale gebruiker Legolas.

[root @ linuxbox ~] # echo "Hallo. Dit is een testbericht" | mail -s "Test" legolas

We controleren de mailbox van Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Na het bericht Dovecot is klaar! we gaan door:

---
+ OK Dovecot is klaar!
GEBRUIKER legolas +OK PASS legolas +OK Ingelogd. STAT +OK 1 559 LIJST +OK 1 berichten: 1 559 . RETR 1 +OK 559 octetten Retourpad:desdelinux.fan> X-Origineel-Aan: legolas Geleverd aan: legolas@desdelinux.fan Ontvangen: door desdelinux.fan (Postfix, van gebruikers-id 0) id 7EA22C11FC57; Ma, 22 mei 2017 10:47:10 -0400 (EDT) Datum: Ma, 22 mei 2017 10:47:10 -0400 Aan: legolas@desdelinux.fan Onderwerp: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME-versie: 1.0 Inhoudstype: tekst/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Bericht-ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Van: root@desdelinux.fan (root) Hallo. Dit is een testbericht. STOP KLAAR
[root @ linuxbox ~] #

Afstandsbedieningen van een computer op het LAN

Laten we nog een bericht sturen naar Legolas vanaf een andere computer op het LAN. Merk op dat TLS-beveiliging NIET strikt noodzakelijk is binnen het MKB-netwerk.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan\
-u "Hallo" \
-m "Groeten Legolas van je vriend Buzz" \
-s e-mail.desdelinux.fan -o tls=nee
22 mei 10:53:08 sysadmin sendemail [5866]: E-mail is succesvol verzonden!

Als we proberen verbinding te maken telnet Van een host op het LAN - of van internet natuurlijk - tot de Dovecot, het volgende gebeurt omdat we authenticatie in platte tekst uitschakelen:

buzz@sysadmin:~$ telnet-mail.desdelinux.fan 110Probeer 192.168.10.5...
Verbonden met Linuxbox.desdelinux.fan. Escape-teken is '^]'. +OK Duiventil is klaar! gebruiker Legolas
-ERR [AUTH] Authenticatie in platte tekst niet toegestaan ​​op niet-beveiligde (SSL / TLS) verbindingen.
quit + OK Uitloggen Verbinding verbroken door buitenlandse host.
buzz @ sysadmin: ~ $

We moeten het erdoorheen doen openssl. De volledige uitvoer van de opdracht zou zijn:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
CONNECTED (00000003)
diepte=0 C = CU, ST = Cuba, L = Havana, O = DesdeLinux.Fan, OU = Liefhebbers, CN = *.desdelinux.fan, e-mailadres = buzz@desdelinux.ventilator
verifieer fout: num = 18: zelfondertekend certificaat verifieer retour: 1
diepte=0 C = CU, ST = Cuba, L = Havana, O = DesdeLinux.Fan, OU = Liefhebbers, CN = *.desdelinux.fan, e-mailadres = buzz@desdelinux.fan verifieer retour:1
--- Certificaatketen 0 s:/C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthousiastelingen/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthousiastelingen/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthousiastelingen/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Enthousiastelingen/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Geen clientcertificaat CA-namen verzonden Tijdelijke serversleutel: ECDH, secp384r1, 384 bits --- SSL-handshake heeft 1342 bytes gelezen en 411 bytes geschreven --- Nieuw, TLSv1/SSLv3, codering is ECDHE-RSA-AES256 -GCM-SHA384 Openbare sleutel van de server is 1024 bit Secure Renegotiation WORDT ondersteund Compressie: GEEN Uitbreiding: GEEN SSL-sessie: Protocol: TLSv1.2 Cipher: ECDHE-RSA-AES256-GCM-SHA384 Sessie-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB 6C 5295BF4E2D73A Sessie-ID- ctx: Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Geen Krb5 Principal: Geen PSK-identiteit: Geen PSK-identiteithint: Geen TLS hint levensduur sessieticket: 300 (seconden) TLS-sessieticket: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 van 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+... ...e ..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....< Starttijd: 1495484262 Time-out: 300 (sec) Controleer retourcode: 18 (zelfondertekend certificaat) ---
+ OK Dovecot is klaar!
GEBRUIKER legolas
+ OK
PAS legolas
+ OK Ingelogd.
LIJST
+ OK 1 berichten: 1 1021.
TERUG 1
+OK 1021 octetten Retourpad: X-Origineel-To: legolas@desdelinux.fan Bezorgd aan: legolas@desdelinux.fan Ontvangen: van sysadmin.desdelinux.fan (gateway [172.16.10.1]) door desdelinux.fan (Postfix) met ESMTP-id 51886C11E8C0 voordesdelinux.ventilator>; Ma, 22 mei 2017 15:09:11 -0400 (EDT) Bericht-ID: <919362.931369932-sendEmail@sysadmin> Van: "buzz@deslinux.fan" Aan: "legolas@desdelinux.fan"desdelinux.fan> Onderwerp: Hallo Datum: ma, 22 mei 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-versie: 1.0 Inhoudstype: multipart/gerelateerd; grens = "----MIME-scheidingsteken voor sendEmail-365707.724894495" Dit is een uit meerdere delen bestaand bericht in MIME-indeling. Om dit bericht correct weer te geven heeft u een e-mailprogramma nodig dat compatibel is met MIME-versie 1.0. ------MIME-scheidingsteken voor sendEmail-365707.724894495 Inhoudstype: tekst/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Groeten Legolas van je vriend Buzz ------MIME-scheidingsteken voor sendEmail-365707.724894495-- .
QUIT
+ OK Uitloggen. Gesloten
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail is een webclient die volledig in PHP is geschreven. Het bevat native PHP-ondersteuning voor de IMAP- en SMTP-protocollen en biedt maximale compatibiliteit met de verschillende gebruikte browsers. Het werkt correct op elke IMAP-server. Het heeft alle functionaliteit die u nodig heeft van een e-mailclient, inclusief MIME-ondersteuning, adresboek en mapbeheer.

[root @ linuxbox ~] # yum installeer squirrelmail
[root @ linuxbox ~] # service httpd herstart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domein = 'desdelinux.fan';
$imapServerAddress = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # service httpd herladen

DNS Send Policy Framenwork of SPF-record

In het artikel Gezaghebbende DNS-server NSD + Shorewall We hebben gezien dat de Zone «desdelinux.fan» is als volgt geconfigureerd:

root@ns:~# nano /etc/nsd/desdelinux.fan.zone
$OORSPRONG desdelinux.fan. $TTL 3H @ IN SOA-nrs.desdelinux.fan. wortel.desdelinux.fan. (1; serieel 1D; vernieuwen 1H; opnieuw proberen 1W; verlopen 3H); minimaal of; Negatieve cachetijd om te leven; @ IN NS ns.desdelinux.fan. @ IN MX 10 e-mail.desdelinux.fan.
@ IN TXT "v=spf1 a:mail.desdelinux.fan -alles"
; ; Registratie om opgravingsvragen op te lossen desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.fan. chatten IN CNAME   desdelinux.fan. www IN CNAME   desdelinux.fan. ; ; SRV-records gerelateerd aan XMPP
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.fan.

Daarin wordt het register verklaard:

@ IN TXT "v=spf1 a:mail.desdelinux.fan -alles"

Om dezelfde parameter te configureren voor het SME-netwerk of LAN, moeten we het Dnsmasq-configuratiebestand als volgt wijzigen:

# TXT-records. We kunnen ook een SPF-record txt-record= declarerendesdelinux.fan,"v=spf1 a:mail.desdelinux.fan -alles"

Vervolgens herstarten we de service:

[root @ linuxbox ~] # service dnsmasq herstart
[root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.fanmail.desdelinux.fan is een alias voor desdelinux.fan.
desdelinux.fan beschrijvende tekst "v=spf1 a:mail.desdelinux.fan -alles"

Zelfondertekende certificaten en Apache of httpd

Zelfs als uw browser u vertelt dat «De eigenaar van e-mail.desdelinux.ventilator U heeft uw website verkeerd geconfigureerd. Om te voorkomen dat uw informatie wordt gestolen, heeft Firefox geen verbinding met deze website gemaakt ”, het eerder gegenereerde certificaat HET IS GELDIG, en zorgt ervoor dat de inloggegevens tussen de client en de server versleuteld reizen, nadat we het certificaat hebben geaccepteerd.

Als je wilt, en als een manier om de certificaten te verenigen, kun je voor Apache dezelfde certificaten declareren die je voor Postfix hebt gedeclareerd, wat correct is.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.ventilatortoets

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # service httpd-status

Diffie-Hellman-groep

Het onderwerp beveiliging wordt op internet elke dag moeilijker. Een van de meest voorkomende aanvallen op verbindingen SSL, is de impasse en om daartegen te verdedigen is het noodzakelijk om niet-standaard parameters aan de SSL-configuratie toe te voegen. Hiervoor is er RFC-3526 «Meer modulair exponentieel (MODP) Diffie-Hellman groepen voor Internet Key Exchange (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Volgens de versie van Apache die we hebben geïnstalleerd, gebruiken we de Diffie-Helman Group uit het bestand /etc/pki/tls/dhparams.pem. Als het een versie 2.4.8 of hoger is, zullen we het aan het bestand moeten toevoegen /etc/httpd/conf.d/ssl.conf de volgende regel:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

De Apache-versie die we gebruiken is:

[root @ linuxbox tls] # yum info httpd
Geladen plug-ins: snelstemirror, langpacks Spiegelsnelheden laden vanuit in cache opgeslagen hostbestand Geïnstalleerde pakketten Naam: httpd Architectuur: x86_64
Versie: 2.4.6
Release: 45.el7.centos Grootte: 9.4 M Repository: geïnstalleerd Van repository: Base-Repo Samenvatting: Apache HTTP-server URL: http://httpd.apache.org/ Licentie: ASL 2.0 Beschrijving: De Apache HTTP-server is een krachtig, efficiënt en uitbreidbaar: webserver.

Omdat we een eerdere versie hebben dan 2.4.8, voegen we aan het einde van het eerder gegenereerde CRT-certificaat de inhoud van de Diffie-Helman Group toe:

[root @ linuxbox tls] # kat privé / dhparams.pem >> certificaten/desdelinux.fan.crt

Als u wilt controleren of de DH-parameters correct zijn toegevoegd aan het CRT-certificaat, voert u de volgende opdrachten uit:

[root @ linuxbox tls] # kat privé / dhparams.pem 
----- BEGIN DH-PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- EINDE DH-PARAMETERS -----

[root@linuxbox tls]# catcerts/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- EINDE DH-PARAMETERS -----

Na deze wijzigingen moeten we de Postfix- en httpd-services opnieuw starten:

[root @ linuxbox tls] # service postfix herstart
[root @ linuxbox tls] # service postfix status
[root @ linuxbox tls] # service httpd herstart
[root @ linuxbox tls] # service httpd status

De opname van de Diffie-Helman Group in onze TLS-certificaten kan het verbinden via HTTPS iets langzamer maken, maar de toevoeging van beveiliging is de moeite waard.

Squirrelmail controleren

VERVOLGENS dat de certificaten correct zijn gegenereerd en dat we hun correcte werking verifiëren zoals we deden met de console-opdrachten, wijs uw favoriete browser naar de URL http://mail.desdelinux.fan/webmail en het zal verbinding maken met de webclient na acceptatie van het bijbehorende certificaat. Merk op dat hoewel je het HTTP-protocol specificeert, het zal worden omgeleid naar HTTPS, en dit komt door de standaardinstellingen die CentOS biedt voor Squirrelmail. Zie het dossier /etc/httpd/conf.d/squirrelmail.conf.

Over mailboxen van gebruikers

Dovecot maakt de IMAP-mailboxen in de map home van elke gebruiker:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
totaal 12 drwxrwx ---. 5 legolas mail 4096 22 mei 12:39. drwx ------. 3 legolas legolas 75 22 mei 11:34 .. -rw -------. 1 legolas legolas 72 22 mei 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 mei 22 12:39 duiventil-geldigheid -r - r - r--. 1 legolas legolas 0 22 mei 10:12 duiventil-geldigheid. 5922f1d1 drwxrwx ---. 2 legolas mail 56 22 mei 10:23 INBOX drwx ------. 2 legolas legolas 56 22 mei 12:39 Verzonden drwx ------. 2 legolas legolas 30 mei 22 11:34 Prullenbak

Ze worden ook opgeslagen in / var / mail /

[root @ linuxbox ~] # less / var / mail / legolas
Van MAILER_DAEMON ma 22 mei 10:28:00 2017 Datum: ma 22 mei 2017 10:28:00 -0400 Van: interne gegevens van het mailsysteem Onderwerp: VERWIJDER DIT BERICHT NIET -- MAP INTERNE GEGEVENS Bericht-ID: <1495463280@linuxbox> . Het wordt automatisch aangemaakt door de mailsysteemsoftware. Als u deze verwijdert, gaan belangrijke mapgegevens verloren en worden deze opnieuw aangemaakt, waarbij de gegevens opnieuw worden ingesteld op de oorspronkelijke waarden. Van root@desdelinux.fan ma 22 mei 10:47:10 2017 Terugweg:desdelinux.fan> X-Origineel-Aan: legolas Geleverd aan: legolas@desdelinux.fan Ontvangen: door desdelinux.fan (Postfix, van gebruikers-id 0) id 7EA22C11FC57; Ma, 22 mei 2017 10:47:10 -0400 (EDT) Datum: Ma, 22 mei 2017 10:47:10 -0400 Aan: legolas@desdelinux.fan Onderwerp: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME-versie: 1.0 Inhoudstype: tekst/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Bericht-ID: <20170522144710.7EA22C11FC57@desdelinux.fan> Van: root@desdelinux.fan (root) X-UID: 7 Status: RO Hallo. Dit is een testbericht van buzz@deslinux.fan ma 22 mei 10:53:08 2017 Terug-pad: X-Origineel-To: legolas@desdelinux.fan Bezorgd aan: legolas@desdelinux.fan Ontvangen: van sysadmin.desdelinux.fan (gateway [172.16.10.1]) door desdelinux.fan (Postfix) met ESMTP-id C184DC11FC57 voordesdelinux.ventilator>; Ma, 22 mei 2017 10:53:08 -0400 (EDT) Bericht-ID: <739874.219379516-sendEmail@sysadmin> Van: "buzz@deslinux.fan" Aan: "legolas@desdelinux.fan"desdelinux.fan> Onderwerp: Hallo Datum: ma, 22 mei 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-versie: 1.0 Inhoudstype: multipart/gerelateerd; grens = "----MIME-scheidingsteken voor sendEmail-794889.899510057
/ var / mail / legolas

Samenvatting van PAM-miniserie

We hebben gekeken naar de kern van een mailserver en hebben een beetje nadruk gelegd op beveiliging. We hopen dat het artikel dient als een startpunt voor een onderwerp dat zo ingewikkeld en foutgevoelig is als de handmatige implementatie van een mailserver.

We gebruiken lokale gebruikersauthenticatie, want als we het bestand correct lezen /etc/dovecot/conf.d/10-auth.conf, we zullen zien dat het uiteindelijk wordt opgenomen -standaard- het authenticatiebestand van de systeemgebruikers ! inclusief auth-system.conf.ext. Precies dit bestand vertelt ons in de koptekst dat:

[root @ linuxbox ~] # less /etc/dovecot/conf.d/auth-system.conf.ext
# Authenticatie voor systeemgebruikers. Inbegrepen bij 10-auth.conf. # # # # PAM-authenticatie. Tegenwoordig de voorkeur van de meeste systemen.
# PAM wordt meestal gebruikt met userdb passwd of userdb static. # ONTHOUD: Je hebt een /etc/pam.d/dovecot-bestand nodig dat is gemaakt voor PAM # -authenticatie om echt te werken. passdb {driver = pam # [sessie = ja] [setcred = ja] [failure_show_msg = ja] [max_requests = ] # [cache_key = ] [ ] #args = duiventil}

En het andere bestand bestaat /etc/pam.d/dovecot:

[root @ linuxbox ~] # kat /etc/pam.d/dovecot 
#% PAM-1.0 auth vereist pam_nologin.so auth inclusief wachtwoord-auth account inclusief wachtwoord-auth sessie inclusief wachtwoord-auth

Wat proberen we over te brengen over PAM-authenticatie?

• CentOS, Debian, Ubuntu en vele andere Linux-distributies installeren Postifx en Dovecot met lokale authenticatie standaard ingeschakeld.
• Veel artikelen op internet gebruiken MySQL - en meer recentelijk MariaDB - om gebruikers en andere gegevens over een mailserver op te slaan. MAAR dit zijn servers voor DUIZENDEN GEBRUIKERS, en niet voor een klassiek MKB-netwerk met - misschien - honderden gebruikers.
• Authenticatie door middel van PAM is nodig en voldoende om netwerkdiensten te leveren, zolang ze op een enkele server draaien, zoals we in deze miniserie hebben gezien.
• Gebruikers die zijn opgeslagen in een LDAP-database kunnen worden toegewezen alsof ze lokale gebruikers zijn, en PAM-authenticatie kan worden gebruikt om netwerkservices te bieden vanaf verschillende Linux-servers die fungeren als LDAP-clients voor de centrale authenticatieserver. Op deze manier zouden we werken met de inloggegevens van de gebruikers die zijn opgeslagen in de database van de centrale LDAP-server, en het zou NIET essentieel zijn om een ​​database met lokale gebruikers te onderhouden.

  

  

  

Tot het volgende avontuur!