Postfix + Dovecot + Squirrelmail og lokale brukere - SMB Networks

Generell indeks for serien: Datanettverk for SMB: Introduksjon

Denne artikkelen er fortsettelsen og den siste av miniseriene:

Hei venner og venner!

den Entusiaster de vil ha sin egen e-postserver. De ønsker ikke å bruke servere der "Personvern" er mellom spørsmålstegn. Personen som har ansvaret for å implementere tjenesten på den lille serveren din, er ikke spesialist på emnet og vil i utgangspunktet prøve å installere kjernen til en fremtidig og komplett e-postserver. Er det at "ligningene" for å lage en full mailserver er litt vanskelige å forstå og anvende. 😉

Marginoteringer

  • Det er nødvendig å være klar over hvilke funksjoner hvert program involvert i en Mailserver utfører. Som en innledende guide gir vi en hel rekke nyttige lenker med det erklærte formålet at de blir besøkt.
  • Å implementere en komplett e-posttjeneste manuelt og fra bunnen av er en anstrengende prosess, med mindre du er en av de "utvalgte" som utfører denne typen oppgaver daglig. En e-postserver blir dannet - på en generell måte - av forskjellige programmer som håndterer hver for seg SMTP, POP / IMAP, Lokal lagring av meldinger, oppgaver knyttet til behandlingen av SPAM, Antivirus, etc. ALLE av disse programmene må kommunisere riktig.
  • Det er ingen one-size-fits-all eller "best practice" om hvordan du administrerer brukere; hvor og hvordan du lagrer meldinger, eller hvordan du får alle komponentene til å fungere som en helhet.
  • Montering og tuning av en Mailserver har en tendens til å være motbydelig i forhold som tillatelser og fileiere, og velger hvilken bruker som skal være ansvarlig for en bestemt prosess, og i små feil gjort i noen esoteriske konfigurasjonsfiler.
  • Med mindre du vet veldig godt hva du gjør, blir sluttresultatet en usikker eller litt ikke-funksjonell e-postserver. At det på slutten av implementeringen Det virker ikke, vil muligens være det minste av det onder.
  • Vi kan finne en god mengde oppskrifter på hvordan du lager en e-postserver på Internett. En av de mest komplette -etter min veldig personlige mening- er den som tilbys av forfatteren Ivar Abrahamsen i sin trettende utgave av januar 2017 «Hvordan sette opp en e-postserver på et GNU / Linux-system".
  • Vi anbefaler også å lese artikkelen «En mailserver på Ubuntu 14.04: Postfix, Dovecot, MySQL«, eller «En mailserver på Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Ekte. Den beste dokumentasjonen i denne forbindelse vil bli funnet på engelsk.
    • Selv om vi aldri gjør en Mailserver trofast ledet av Hvordan… nevnt i forrige avsnitt, vil det faktum at vi følger det trinn for trinn, gi oss en veldig god ide om hva vi vil møte.
  • Hvis du vil ha en komplett Mailserver i noen få trinn, kan du laste ned bildet iRedOS-0.6.0-CentOS-5.5-i386.iso, eller se etter en mer moderne, det være seg iRedOS eller iRedMail. Det er slik jeg personlig anbefaler.

Vi skal installere og konfigurere:

Det gjenstår å gjøre:

I det minste vil følgende tjenester gjenstå å implementeres:

  • Postgrå: Postfix-serverpolitikk for grå lister og avvis søppelpost.
  • Amavisd-ny: skript som skaper et grensesnitt mellom MTA, og virusscannere og innholdsfiltre.
  • Clamav Antivirus: antiviruspakke
  • SpamAssassin: trekk ut søppelpost
  • Razor (Pyzor): SPAM-fangst gjennom et distribuert og samarbeidende nettverk. Vipul Razor-nettverket har en oppdatert katalog over forplantning av søppelpost eller spam.
  • DNS-posten "DomainKeys Identified Mail" eller DKIM.

pakker postgrey, amavisd-new, clamav, spamassassin, barberhøvel y pyzor De finnes i programregisterene. Vi finner også programmet opendkim.

  • Den riktige erklæringen av DNS-postene "SPF" og "DKIM" er viktig hvis vi ikke vil at e-postserveren vår bare skal tas i bruk, blir erklært uønsket eller produsent av SPAM eller søppelpost, av andre posttjenester som f.eks. Gmail, Yahoo, Hotmail, etc.

Innledende kontroller

Husk at denne artikkelen er en fortsettelse av andre som begynner i Squid + PAM-autentisering på CentOS 7.

Ens32 LAN-grensesnitt koblet til det interne nettverket

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
SONE = offentlig

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-grensesnitt koblet til Internett

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
ENHET = ens34 ONBOOT = ja BOOTPROTO = statisk HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = nei IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL-ruteren er koblet til # dette grensesnittet med # følgende adresse GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
SONE = ekstern

DNS-oppløsning fra LAN

[root @ linuxbox ~] # cat /etc/resolv.conf søk fra linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # host mail
mail.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres av 1 mail.desdelinux.fan.

[root @ linuxbox ~] # host mail.fromlinux.fan
mail.desdelinux.fan er et alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adresse 192.168.10.5 linuxbox.desdelinux.fan mail håndteres av 1 mail.desdelinux.fan.

DNS-oppløsning fra Internett

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Bruker domeneserver: Navn: 172.16.10.30 Adresse: 172.16.10.30 # 53 Aliaser: mail.desdelinux.fan er et alias for desdelinux.fan.
fra linux.fan har adresse 172.16.10.10
desdelinux.fan-post håndteres av 10 mail.desdelinux.fan.

Problemer med å løse vertsnavnet "desdelinux.fan" lokalt

Hvis du har problemer med å løse vertsnavnet «fromlinux.fan" fra LAN, prøv å kommentere fillinjen /etc/dnsmasq.conf der det er erklært lokal = / fra linux.fan /. Start deretter Dnsmasq på nytt.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommenter linjen nedenfor:
# lokal = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq restart
Omdirigering til / bin / systemctl start dnsmasq.service på nytt

[root @ linuxbox ~] # service dnsmasq status

[root @ linuxbox ~] # vert fra linux.fan
desdelinux.fan har adresse 172.16.10.10 desdelinux.fan mail håndteres av 10 mail.desdelinux.fan.

Postfix og Dovecot

Den svært omfattende dokumentasjonen til Postfix og Dovecot finner du på:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LISENS README-Postfix-SASL-RedHat.txt KOMPATIBILITET main.cf.default TLS_ACKNOWLEDGEMENTS eksempler README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
FORfatterE KOPIERING.MIT dovecot-openssl.cnf NYHETER wiki KOPIERING ChangeLog example-config LES KOPIERING.LGPL documentation.txt mkcert.sh solr-schema.xml

I CentOS 7 er Postfix MTA installert som standard når vi velger alternativet Infrastructure Server. Vi må sjekke at SELinux-konteksten tillater skriving til Potfix i den lokale meldingskøen:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Endringer i brannmuren D.

Ved å bruke det grafiske grensesnittet for å konfigurere FirewallD, må vi garantere at følgende tjenester og porter er aktivert for hver sone:

# ------------------------------------------------- -----
# Løsninger i FirewallD
# ------------------------------------------------- -----
# Brannmur
# Offentlig sone: http, https, imap, pop3, smtp-tjenester
# Offentlig sone: porter 80, 443, 143, 110, 25

# Ekstern sone: http, https, imap, pop3s, smtp-tjenester
# Ekstern sone: porter 80, 443, 143, 995, 25

Vi installerer Dovecot og nødvendige programmer

[root @ linuxbox ~] # yum installer dovecot mod_ssl procmail telnet

Minimum Dovecot-konfigurasjon

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoller = imap pop3 lmtp
lytte = *, ::
innloggingshilsen = Dovecot er klar!

Vi deaktiverer eksplisitt Dovecots godkjenning i ren tekst:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ja

Vi erklærer at gruppen har de nødvendige privilegier for å kommunisere med Dovecot, og plasseringen av meldingene:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = post
mail_access_groups = e-post

Sertifikater for Dovecot

Dovecot genererer automatisk testsertifikatene dine basert på dataene i filen /etc/pki/dovecot/dovecot-openssl.cnf. For å få nye sertifikater generert i henhold til våre krav, må vi utføre følgende trinn:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # country (2 letter code) C = CU # State or Province Name (full name) ST = Cuba # Locality Name (eg. city ) L = Habana # Organisasjon (f.eks. Selskap) O = FromLinux.Fan # Organisasjonsenhetsnavn (f.eks. Seksjon) OU = Entusiaster # Felles navn (* .eksempel.com er også mulig) CN = *. Desdelinux.fan # E -mail kontakt e-postadresse Adresse = buzz@desdelinux.fan [cert_type] nsCertType = server

Vi eliminerer testsertifikater

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: slett den vanlige filen "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: slett den vanlige filen "private / dovecot.pem"? (y / n) y

Vi kopierer og utfører skriptet mkcert.sh fra dokumentasjonskatalogen

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Genererer en 1024 bit RSA privat nøkkel ...... ++++++ ................ ++++++ skriver ny privat nøkkel til '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Fingeravtrykk = 5F: 4A: 0C: 44: EC: EF: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
totalt 4 -rw -------. 1 rotrot 1029 22. mai 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l private /
totalt 4 -rw -------. 1 rotrot 916 22. mai 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # service dovecot status

Sertifikater for Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -nykey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

Genererer en 4096 bit RSA privat nøkkel ......... ++ .. ++ skriver ny privat nøkkel til 'private / domain.tld.key' ----- Du er i ferd med å bli bedt om å oppgi informasjon som blir innlemmet i sertifikatforespørselen din. Det du er i ferd med å skrive inn er det som kalles et fremtredende navn eller en DN. Det er ganske mange felt, men du kan la være tomme. For noen felt vil det være en standardverdi. Hvis du skriver inn '.', Vil feltet stå tomt. ----- Landnavn (2 bokstavskoder) [XX]: CU-stat eller provinsnavn (fullt navn) []: Cuba lokalitetsnavn (f.eks. By) [Standard by]: Habana-organisasjonsnavn (f.eks. Selskap) [ Standard Company Ltd]: desdeLinux.Fan Organisasjonsenhetsnavn (f.eks. Seksjon) []: Entusiasts Common Name (f.eks. Ditt navn eller serverens vertsnavn) []: desdelinux.fan E-postadresse []: buzz@desdelinux.fan

Minimal Postfix-konfigurasjon

Vi legger til på slutten av filen / etc / aliaser følgende:

rot: buzz

For at endringene skal tre i kraft, utfører vi følgende kommando:

[root @ linuxbox ~] # newaliases

Postifx-konfigurasjonen kan gjøres ved å direkte redigere filen /etc/postfix/main.cf eller på kommando postconf -e pass på at alle parameterne som vi vil endre eller legge til gjenspeiles i en enkelt linje i konsollen:

  • Hver og en må erklære alternativene de forstår og trenger!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Vi legger til på slutten av filen /etc/postfix/main.cf alternativene gitt nedenfor. For å vite betydningen av hver av dem, anbefaler vi å lese den medfølgende dokumentasjonen.

biff = nei
append_dot_mydomain = nei
delay_warning_time = 4t
readme_directory = nei
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = ja
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maksimal postboksstørrelse 1024 megabyte = 1 g og g
mailbox_size_limit = 1073741824

mottaker_delimiter = +
maximum_queue_lifetime = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Kontoer som sender en kopi av innkommende e-post til en annen konto
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Følgende linjer er viktige for å bestemme hvem som kan sende e-post og videresende til andre servere, slik at vi ikke ved et uhell konfigurerer et "åpent videresending" som lar uautoriserte brukere sende e-post. Vi må konsultere Postfix-hjelpesidene for å forstå hva hvert alternativ betyr.

  • Hver og en må erklære alternativene de forstår og trenger!.
smtpd_helo_restrictions = permit_mynetworks,
 advarsel_avvis avvis_ ikke_fqdn_hostname,
 reject_invalid_hostname,
 tillate

smtpd_sender_restrictions = permit_sasl_autenticated,
 permit_mynetworks,
 advarsel_avvis avvis_ ikke_fqdn_sender,
 reject_unknown_sender_domene,
 reject_unauth_pipelining,
 tillate

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# MERKNAD: Alternativet "check_policy_service inet: 127.0.0.1: 10023"
# aktiverer Postgrey-programmet, og vi bør ikke inkludere det
# Ellers skal vi bruke Postgrey

smtpd_recipient_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_autenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillate

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_autenticated,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 reject_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillate
 
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja

Vi lager filene / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, og vi endrer filen / etc / postfix / header_checks.

  • Hver og en må erklære alternativene de forstår og trenger!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Hvis denne filen er endret, er det ikke nødvendig # å kjøre postmap # For å teste reglene, kjør som root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Bør returnere: # AVVIS Regel nr. 2 Anti-spam meldingsorgan
/ viagra / REJECT Regel 1 Anti Spam av meldingslegemet
/ super new v [i1] agra / REJECT Regel # 2 Anti Spam av meldingslegemet

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Etter endring må du utføre: # postmap / etc / postfix / accounts_ forwarding_copy
# og filen blir opprettet eller målt: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # En enkelt konto for å videresende en BCC kopi # BCC = Black Carbon Copy # Eksempel: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Legg til på slutten av filen # KREVER IKKE Postmap ettersom de er regulære uttrykk
/ ^ Subject: =? Big5? / REJECT Kinesisk koding godtas ikke av denne serveren
/ ^ Subject: =? EUC-KR? / REJECT Koreansk koding er ikke tillatt av denne serveren
/ ^ Emne: ADV: / REJECT Annonser aksepteres ikke av denne serveren
/^Fra :.*\@.*\.cn/ REJECT Beklager, kinesisk post er ikke tillatt her
/^Fra :.*\@.*\.kr/ AVVIS Beklager, koreansk post er ikke tillatt her
/^Fra :.*\@.*\.tr/ AVVIS Beklager, tyrkisk post er ikke tillatt her
/^Fra :.*\@.*\.ro/ AVVIS Beklager, rumensk e-post er ikke tillatt her
/^(Mottatt|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Ingen massesendere tillatt.
/ ^ Fra: "spammer / REJECT
/ ^ Fra: "spam / REJECT
/^Tema :.*viagra/ KASSER
# Farlige utvidelser
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Vi godtar ikke vedlegg med disse utvidelsene

Vi sjekker syntaksen, starter Apache og Postifx på nytt, og aktiverer og starter Dovecot

[root @ linuxbox ~] # postfix-sjekk
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl start httpd på nytt
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl start postfix på nytt
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Dovecot IMAP / POP3 e-postserver lastet: lastet (/usr/lib/systemd/system/dovecot.service; deaktivert; leverandør forhåndsinnstilling: deaktivert) Aktiv: inaktiv (død)

[root @ linuxbox ~] # systemctl aktiverer dukkavle
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl start dovecot på nytt
[root @ linuxbox ~] # systemctl status dovecot

Kontroller på konsollnivå

  • Det er veldig viktig før du fortsetter med installasjonen og konfigurasjonen av andre programmer, å foreta de minste nødvendige kontrollene av SMTP- og POP-tjenestene..

Lokalt fra selve serveren

Vi sender en e-post til den lokale brukeren Legolas.

[root @ linuxbox ~] # echo "Hei. Dette er en testmelding" | mail-"Test" legolas

Vi sjekker postkassen til legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Etter meldingen Dovecot er klar! vi fortsetter:

---
+ OK Dovecot er klar!
BRUKER legolas + OK PASS legolas + OK Logget inn. STAT + OK 1 559 LISTE + OK 1 meldinger: 1 559. RETR 1 + OK 559 oktetter Retursti: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Mottatt: av desdelinux.fan (Postfix, fra brukerid 0) id 7EA22C11FC57; Man, 22. mai 2017 10:47:10 -0400 (EDT) Dato: Man, 22. mai 2017 10:47:10 -0400 Til: legolas@desdelinux.fan Emne: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-versjon: 1.0 Innholdstype: tekst / vanlig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hei. Dette er en testmelding. SLUTT FERDIG
[root @ linuxbox ~] #

Fjernkontroller fra en datamaskin på LAN

La oss sende en ny melding til Legolas fra en annen datamaskin på LAN. Merk at TLS-sikkerhet IKKE er strengt nødvendig i SMB-nettverket.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Hei" \
-m "Hilsen Legolas fra vennen din Buzz" \
-s mail.desdelinux.fan -o tls = nei
22. mai 10:53:08 sysadmin sendemail [5866]: E-post ble sendt!

Hvis vi prøver å koble oss gjennom telnet Fra en vert på LAN - eller fra Internett, selvfølgelig - til Dovecot, vil følgende skje fordi vi deaktiverer godkjenning av ren tekst:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Prøver 192.168.10.5 ...
Koblet til linuxbox.fromlinux.fan. Escape-karakter er '^]'. + OK Dovecot er klar! bruker legolas
-ERR [AUTH] Godkjennelse av ren tekst ikke tillatt på usikre (SSL / TLS) tilkoblinger.
avslutte + OK Logge av Tilkobling stengt av utenlandsk vert.
buzz @ sysadmin: ~ $

Vi må gjøre det openssl. Hele utgangen av kommandoen vil være:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.fromlinux.fan:110 -starttls pop3
KOBLET (00000003)
dybde = 0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Entusiaster, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
verifiser feil: num = 18: selvsignert sertifikat bekreft retur: 1
dybde = 0 C = CU, ST = Cuba, L = Havana, O = FromLinux.Fan, OU = Entusiaster, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan verifisere retur: 1
--- Sertifikatkjede 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C = CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Serversertifikat ----- BEGIN SERTIFIKAT-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END SERTIFIKAT gjenstand = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Ingen klientsertifikat CA-navn sendt Server Temp-nøkkel: ECDH, secp384r1, 384 bits --- SSL-håndtrykk har lest 1342 byte og skrevet 411 byte --- Ny, TLSv1 / SSLv3 , Cipher er ECDHE-RSA-AES256-GCM-SHA384 Offentlig nøkkel for serveren er 1024 bit Sikker reforhandling ER støttet ID: C1.2B256A384E745CB4DC0236204CDBC16234D15FF9F3DB084125C5989BF5E6D5295A Session-ID-ctx: Master-Key : 4D2C73B1904CEA204F564AF76361AF50373D8879C793F7F7506A04473777FD6CD3503F9BC919BFF1E837F67F29 Key-Arg: Ingen krb309 Principal: Ingen 352526 PSK identitet: Ingen PSK identitet hint: hS 5F5F300A0000FD4CD3F8BC29BFF7E4F63F72 Key-Arg: Ingen krb7 Principal: Ingen 6 PSK identitet: Ingen PSK identitet hint: hS 4TLS sesjon 7 sekunder 1 f Ingen XNUMX sesjon XNUMX f Nonec-billett XNUMX sekunder XNUMX FXNUMXFXNUMX-billett ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot er klar!
BRUKER legolas
+ OK
PASS legolas
+ OK Logget inn.
LIST
+ OK 1 meldinger: 1.
RETR 1
+ OK 1021 oktetter Retursti: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Mottatt: fra sysadmin.desdelinux.fan (gateway [172.16.10.1]) av desdelinux.fan (Postfix) med ESMTP id 51886C11E8C0 for ; Man, 22. Mai 2017 15:09:11 -0400 (EDT) Melding-ID: <919362.931369932-sendEmail@sysadmin> Fra: "buzz@deslinux.fan" Til: "legolas@desdelinux.fan" Subject: Hello Date: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart / related; border = "---- MIME-skilletegn for sendEmail-365707.724894495" Dette er en flerdelt melding i MIME-format. For å vise denne meldingen riktig må du ha et MIME-versjon 1.0-kompatibelt e-postprogram. ------ MIME-skilletegn for sendEmail-365707.724894495 Innholdstype: tekst / vanlig; charset = "iso-8859-1" Content-Transfer-Encoding: 7bit Hilsen Legolas fra vennen din Buzz ------ MIME-skilletegn for sendEmail-365707.724894495--.
SLUTTE
+ OK Logger ut. lukket
buzz @ sysadmin: ~ $

Ekornemail

Ekornemail er en webklient skrevet helt i PHP. Den inkluderer innfødt PHP-støtte for IMAP- og SMTP-protokollene, og gir maksimal kompatibilitet med de forskjellige nettleserne som er i bruk. Den kjører riktig på alle IMAP-servere. Den har all funksjonaliteten du trenger fra en e-postklient, inkludert MIME-støtte, adressebok og mappeadministrasjon.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # tjeneste httpd omstart

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # service httpd reload

DNS Send Policy Framenwork eller SPF-post

I artikkelen Autoritativ DNS-server NSD + Shorewall Vi så at "desdelinux.fan" -sonen ble konfigurert som følger:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN fra linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; seriell 1D; oppdater 1H; prøv 1W; utløper 3H); minimum eller; Negativ cachetid for å leve; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Logg på for å løse gravspørsmål fra linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 mail IN CNAME from linux.fan. chatte IN CNAME fra linux.fan. www IN CNAME fra linux.fan. ; ; SRV-poster relatert til XMPP
_xmpp-server._tcp IN SRV 0 0 5269 fra linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 fra linux.fan. _jabber._tcp IN SRV 0 0 5269 fra linux.fan.

I det er registeret erklært:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

For å ha den samme parameteren konfigurert for SME-nettverket eller LAN, må vi endre Dnsmasq-konfigurasjonsfilen som følger:

# TXT poster. Vi kan også erklære en SPF-post txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Deretter starter vi tjenesten på nytt:

[root @ linuxbox ~] # service dnsmasq restart
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan er et alias for fromlinux.fan. desdelinux.fan beskrivende tekst "v = spf1 a: mail.desdelinux.fan -all"

Selvsignerte sertifikater og Apache eller httpd

Selv om nettleseren din forteller deg at «Eieren av mail.fromlinux.fan Du har konfigurert nettstedet ditt feil. For å forhindre at informasjonen din blir stjålet, har Firefox ikke koblet seg til dette nettstedet ”, det tidligere genererte sertifikatet DET GJELDER, og vil tillate legitimasjonen mellom klienten og serveren å reise kryptert, etter at vi godtar sertifikatet.

Hvis du ønsker det, og som en måte å forene sertifikatene på, kan du erklære for Apache de samme sertifikatene som du erklærte for Postfix, noe som er riktig.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # Tjenesten httpd restart
[root @ linuxbox ~] # tjeneste httpd-status

Diffie-Hellman Group

Emnet sikkerhet blir vanskeligere hver dag på Internett. Et av de vanligste angrepene på forbindelser SSL, er Loggjam og for å forsvare seg mot det er det nødvendig å legge til ikke-standardparametere i SSL-konfigurasjonen. For dette er det RFC-3526 «Mer modulær eksponentiell (MODP) Diffie-Hellman grupper for Internet Key Exchange (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

I henhold til versjonen av Apache som vi har installert, vil vi bruke Diffie-Helman Group fra filen /etc/pki/tls/dhparams.pem. Hvis det er en versjon 2.4.8 eller nyere, må vi legge til filen /etc/httpd/conf.d/ssl.conf følgende linje:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Apache-versjonen som vi bruker er:

[root @ linuxbox tls] # yum info httpd
Lastede plugins: raskeste speil, langpacks Laster speilhastigheter fra hurtigbufret vertsfil Installerte pakker Navn: httpd Arkitektur: x86_64
Versjon: 2.4.6
Utgivelse: 45.el7.centos Størrelse: 9.4 M Repository: installert Fra repository: Base-Repo Sammendrag: Apache HTTP Server URL: http://httpd.apache.org/ Lisens: ASL 2.0 Beskrivelse: Apache HTTP Server er en kraftig , effektiv og utvidbar: webserver.

Siden vi har en versjon før 2.4.8, legger vi til på slutten av det tidligere genererte CRT-sertifikatet innholdet i Diffie-Helman Group:

[root @ linuxbox tls] # cat private / dhparams.pem >> certs / desdelinux.fan.crt

Hvis du vil sjekke at DH-parameterne ble riktig lagt til CRT-sertifikatet, kjører du følgende kommandoer:

[root @ linuxbox tls] # cat private / dhparams.pem 
----- BEGIN DH PARAMETERS -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

Etter disse endringene må vi starte Postfix- og httpd-tjenestene på nytt:

[root @ linuxbox tls] # tjenestepostfix start på nytt
[root @ linuxbox tls] # service postfix status
[root @ linuxbox tls] # tjeneste httpd omstart
[root @ linuxbox tls] # service httpd status

Inkluderingen av Diffie-Helman Group i TLS-sertifikatene kan gjøre tilkobling via HTTPS litt tregere, men tillegg av sikkerhet er vel verdt det.

Sjekker ekornespor

DERETTER at sertifikatene er generert riktig og at vi bekrefter at de fungerer som vi gjorde gjennom konsollkommandoene, peker du på nettadressen du foretrekker http://mail.desdelinux.fan/webmail og den vil koble seg til nettklienten etter å ha godtatt det tilsvarende sertifikatet. Merk at selv om du spesifiserer HTTP-protokollen, vil du bli omdirigert til HTTPS, og dette skyldes standardinnstillingene CentOS tilbyr for Squirrelmail. Se filen /etc/httpd/conf.d/squirrelmail.conf.

Om brukerpostbokser

Dovecot oppretter IMAP-postkassene i mappen hjem av hver bruker:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
totalt 12 drwxrwx ---. 5 legolas mail 4096 22. mai 12:39. drwx ------. 3 legolas legolas 75 22. mai 11:34 .. -rw -------. 1 legolas legolas 72 22. mai 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. mai 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. mai 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. mai 10:23 INBOKS drwx ------. 2 legolas legolas 56 22. mai 12:39 Sendt drwx ------. 2 legolas legolas 30. mai 22 11:34 Søppel

De lagres også i / var / mail /

[root @ linuxbox ~] # mindre / var / mail / legolas
Fra MAILER_DAEMON man 22. mai 10:28:00 2017 Dato: man 22. mai 2017 10:28:00 -0400 Fra: Mail System Internal Data Emne: IKKE SLETTE DENNE MELDINGEN - MAPP INTERNE DATA Meldings-ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Denne teksten er en del av det interne formatet til e-postmappen din, og er ikke en reell melding. Den opprettes automatisk av e-postprogramvaren. Hvis de blir slettet, vil viktige mappedata gå tapt, og de vil bli opprettet på nytt når dataene tilbakestilles til de opprinnelige verdiene. Fra root@desdelinux.fan Man 22. mai 10:47:10 2017 Retursti: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Mottatt: av desdelinux.fan (Postfix, fra userid 0) id 7EA22C11FC57; Man, 22 Mai 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-versjon: 1.0 Innholdstype: tekst / vanlig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hei. Dette er en testmelding Fra buzz@deslinux.fan Man 22. mai 10:53:08 2017 Return-Path: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Mottatt: fra sysadmin.desdelinux.fan (gateway [172.16.10.1]) av desdelinux.fan (Postfix) med ESMTP id C184DC11FC57 for ; Man, 22. Mai 2017 10:53:08 -0400 (EDT) Melding-ID: <739874.219379516-sendEmail@sysadmin> Fra: "buzz@deslinux.fan" Til: "legolas@desdelinux.fan" Emne: Hei Dato: Man, 22. mai 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-versjon: 1.0 Innholdstype: flerdelt / relatert; border = "---- MIME-avgrenser for sendEmail-794889.899510057
/ var / mail / legolas

Sammendrag av PAM-miniserie

Vi har sett på kjernen i en Mailserver og lagt litt vekt på sikkerhet. Vi håper at artikkelen vil tjene som inngangspunkt til et emne som er så komplisert og utsatt for å gjøre feil som implementeringen av en e-postserver manuelt.

Vi bruker lokal brukerautentisering fordi hvis vi leser filen riktig /etc/dovecot/conf.d/10-auth.conf, vil vi se at det til slutt er inkludert -som standard- autentiseringsfilen til systembrukerne inkluder auth-system.conf.ext. Nettopp denne filen forteller oss i overskriften at:

[root @ linuxbox ~] # mindre /etc/dovecot/conf.d/auth-system.conf.ext
# Autentisering for systembrukere. Inkludert fra 10-auth.conf. # # # # PAM-autentisering. Foretrekkes i dag av de fleste systemer.
# PAM brukes vanligvis med enten userdb passwd eller userdb statisk. # HUSK: Du trenger /etc/pam.d/dovecot-fil opprettet for at PAM # -godkjenning faktisk skal fungere. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Og den andre filen eksisterer /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth kreves pam_nologin.so auth include password-auth account include password-auth session include password-auth

Hva prøver vi å formidle om PAM-autentisering?

  • CentOS, Debian, Ubuntu og mange andre Linux-distribusjoner installerer Postifx og Dovecot med lokal autentisering aktivert som standard.
  • Mange artikler på Internett bruker MySQL - og nylig MariaDB - til å lagre brukere og andre data om en Mailserver. MEN dette er servere for tusenvis av brukere, og ikke for et klassisk SMB-nettverk med - kanskje - hundrevis av brukere.
  • Autentisering gjennom PAM er nødvendig og tilstrekkelig for å tilby nettverkstjenester så lenge de kjører på en enkelt server som vi har sett i denne miniserien.
  • Brukere som er lagret i en LDAP-database, kan kartlegges som om de var lokale brukere, og PAM-autentisering kan brukes til å tilby nettverkstjenester fra forskjellige Linux-servere som fungerer som LDAP-klienter til den sentrale autentiseringsserveren. På denne måten ville vi jobbe med legitimasjonen til brukerne som er lagret i den sentrale LDAP-serverdatabasen, og det ville IKKE være viktig å opprettholde en database med lokale brukere.

Inntil neste eventyr!


Innholdet i artikkelen følger våre prinsipper for redaksjonell etikk. Klikk på for å rapportere en feil her.

9 kommentarer, legg igjen dine

Legg igjen kommentaren

Din e-postadresse vil ikke bli publisert. Obligatoriske felt er merket med *

*

*

  1. Ansvarlig for dataene: Miguel Ángel Gatón
  2. Formålet med dataene: Kontroller SPAM, kommentaradministrasjon.
  3. Legitimering: Ditt samtykke
  4. Kommunikasjon av dataene: Dataene vil ikke bli kommunisert til tredjeparter bortsett fra ved juridisk forpliktelse.
  5. Datalagring: Database vert for Occentus Networks (EU)
  6. Rettigheter: Når som helst kan du begrense, gjenopprette og slette informasjonen din.

  1.   øgle sa

    Tro meg at dette i praksis er en prosess som gir mer enn en sysadmin alvorlig hodepine, jeg er overbevist om at det i fremtiden vil være en referanseguide for alle som ønsker å administrere sine egne e-poster, en praktisk sak som blir i en abc når integrering av postfix, dovecot, squirrelmail ..

    Tusen takk for ditt prisverdige bidrag,

  2.   Darko sa

    Hvorfor ikke bruke Mailpile, når det gjelder sikkerhet, med PGP? Roundcube har også et mye mer intuitivt grensesnitt og kan også integrere PGP.

  3.   Martin sa

    For 3 dager siden leste jeg innlegget, jeg vet hvordan jeg skal takke deg. Jeg har ikke tenkt å installere en e-postserver, men det er alltid nyttig å se oppretting av sertifikater, nyttige for andre applikasjoner, og disse opplæringene utløper knapt (spesielt når du bruker centOS).

  4.   Federico sa

    Manuel Cillero: Takk for at du lenker til og fra bloggen din denne artikkelen, som er minimumskjernen til en e-postserver basert på Postfix og Dovecot.

    Lizard: Som alltid blir evalueringen din veldig godt mottatt. Takk skal du ha.

    Darko: I nesten alle artiklene mine sier jeg mer eller mindre at "Alle implementerer tjenestene med programmene de liker best." Takk for kommentaren.

    Martin: Takk også for at du leste artikkelen, og jeg håper det vil hjelpe deg i arbeidet ditt.

  5.   Zodiac Carburus sa

    Enorm artikkelvenn Federico. Takk for en så god tuto.

  6.   arkiv sa

    utmerket selv om jeg ville brukt "virtuelle brukere" for å unngå å måtte opprette en systembruker hver gang jeg legger til en e-post, takk jeg lærte mange nye ting, og dette er typen innlegg jeg ventet på

  7.   Wilinton Acevedo Rueda sa

    God ettermiddag,

    De vil bli oppfordret til å lage den samme med fedora katalogserver + postifx + duvehage + Thunderbird eller Outlook.

    Jeg har en del, men jeg sitter fast, jeg vil gjerne dele dokumentet til @desdelinux-fellesskapet

  8.   phico sa

    Jeg så ikke for meg at den ville nå mer enn 3000 besøk !!!

    Hilsen øgle!

  9.   Darkend sa

    Utmerket opplæringskollega.
    Kan du gjøre det for Debian 10 med brukere av en Active Directory montert på Samba4 ???
    Jeg forestiller meg at det ville være nesten det samme, men å endre autentiseringstypen.
    Avsnittet du dedikerer til opprettelsen av selvsignerte sertifikater er veldig interessant.