Postfix + Dovecot + Squirrelmail a miestni používatelia - siete SMB

Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod

Tento článok je pokračovaním a poslednou minisériou:

• Squid + PAM autentifikácia na CentOS 7.
• Správa miestnych používateľov a skupín
• Autoritatívny server DNS NSD + Shorewall
• Prozódie IM a miestni používatelia
  

Ahojte priatelia a priatelia!

undefined Nadšenci chcú mať vlastný poštový server. Nechcú používať servery, kde je medzi otáznikmi „Ochrana osobných údajov“. Osoba zodpovedná za implementáciu služby na vašom malom serveri nie je špecialistom v danom odbore a spočiatku sa pokúsi nainštalovať jadro budúceho a kompletného poštového servera. Je to, že „rovnice“ pre vytvorenie úplného poštového servera sú trochu ťažko pochopiteľné a uplatniteľné. 😉

Anotácie okrajov

• Je potrebné mať jasno v tom, ktoré funkcie vykonáva každý program zapojený do Mailserveru. Ako úvodný sprievodca uvádzame celú sériu užitočných odkazov s deklarovaným účelom, ktorý navštívia.
• Ručná implementácia kompletnej poštovej služby od nuly je únavný proces, pokiaľ nepatríte medzi „Vyvolených“, ktorí tento typ úloh vykonávajú každý deň. Poštový server je tvorený - všeobecne - rôznymi programami, ktoré pracujú osobitne SMTP, POP / IMAP, Lokálne ukladanie správ, úlohy súvisiace s liečením SPAM, Antivírus, atď. VŠETKY tieto programy musia navzájom správne komunikovať.
• Neexistuje žiadna univerzálna verzia alebo „osvedčené postupy“ týkajúce sa správy používateľov; kde a ako ukladať správy alebo ako zabezpečiť, aby všetky komponenty fungovali ako jeden celok.
• Zostavenie a vyladenie Mailservera býva nepríjemné v záležitostiach, ako sú povolenia a vlastníci súborov, výber používateľa, ktorý bude mať na starosti určitý proces, a malé chyby v niektorých ezoterických konfiguračných súboroch.
• Ak veľmi dobre neviete, čo robíte, konečným výsledkom bude nezabezpečený alebo mierne nefunkčný poštový server. Že na konci implementácie to nefunguje, bude to možno to najmenšie zlo.
• Na internete nájdeme množstvo receptov, ako pripraviť poštový server. Jeden z najkompletnejších -podľa môjho veľmi osobného názoru- je ten, ktorý ponúka autor ivar abrahamsen vo svojom trinástom vydaní v januári 2017 «Ako nastaviť poštový server v systéme GNU / Linux".
• Odporúčame prečítať si aj článok «Poštový server na Ubuntu 14.04: Postfix, Dovecot, MySQL«, alebo «Poštový server na Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Pravdaže. Najlepšie dokumentácie v tomto ohľade nájdete v angličtine.
  • Aj keď nikdy nevyrábame Mailserver verne vedeného Ako ... uvedená v predchádzajúcom odseku, samotná skutočnosť, že ju budeme postupovať krok za krokom, nám dá veľmi dobrú predstavu o tom, čomu budeme čeliť.
• Ak chcete mať kompletný poštový server iba v niekoľkých krokoch, môžete si obrázok stiahnuť iRedOS-0.6.0-CentOS-5.5-i386.iso, alebo hľadajte modernejší, či už je to iRedOS alebo iRedMail. Je to spôsob, ktorý osobne odporúčam.

Chystáme sa nainštalovať a nakonfigurovať:

• Postfix ako server Mcesnak Transport Apán (SMTP).
• holubník ako server POP - IMAP.
• Certifikáty na pripojenie cez TLS.
• SquirrelMail ako webové rozhranie pre používateľov.
• Záznam DNS vo vzťahu k «Rámec politiky odosielateľa»Alebo SPF.
• Generovanie modulu Skupina Diffie Hellman na zvýšenie bezpečnosti SSL certifikátov.

Zostáva ešte urobiť:

Zostáva ešte implementovať aspoň tieto služby:

• postgrey: Pravidlá servera Postfix pre šedé zoznamy a odmietanie nevyžiadanej pošty.
  
• Amavisd-nový: skript, ktorý vytvára rozhranie medzi MTA a antivírusovými programami a filtrami obsahu.
• Antivírus Clamav: antivírusový balík
• SpamAssassin: extrahovať nevyžiadanú poštu
• britva (pyzor): Zachytenie spamu prostredníctvom distribuovanej a kolaboratívnej siete. Sieť Vipul Razor udržuje aktualizovaný katalóg šírenia nevyžiadanej pošty alebo SPAMU.
• DNS záznam "DomainKeys Identified Mail" alebo DKIM.

pakety postgrey, amavisd-new, clamav, spamassassin, holiaci strojček y pyzor Nachádzajú sa v archívoch programov. Nájdeme aj program openkim.

• Správne vyhlásenie DNS záznamov „SPF“ a „DKIM“ je nevyhnutné, ak nechceme, aby náš poštový server bol práve uvedený do prevádzky, aby bol inými poštovými službami, ako je napr. Gmail, Yahoj, Hotmail, atď.

Počiatočné kontroly

Pamätajte, že tento článok je pokračovaním ďalších, ktoré začínajú v Squid + PAM autentifikácia na CentOS 7.

Rozhranie Ens32 LAN pripojené k internej sieti

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZÓNA = verejná

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN rozhranie pripojené k internetu

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=áno BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL router je pripojený k nasledujúcej adrese # toto rozhranie s # IP BRÁNA=172.16.10.1 DOMÉNA=desdelinux.fan DNS1=127.0.0.1
ZÓNA = externá

Rozlíšenie DNS z LAN

[root@linuxbox ~]# cat /etc/resolv.conf vyhľadávanie desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostiteľská pošta
mail.desdelinux.fan je alias pre linuxbox.desdelinux.ventilátor. linuxbox.desdelinux.fanúšik má adresu 192.168.10.5 linuxbox.desdelinux.fanúšikovskú poštu vybavuje 1 mail.desdelinux.ventilátor.

[root@linuxbox ~]# hostiteľská e-mailová adresa.desdelinux.ventilátor
mail.desdelinux.fan je alias pre linuxbox.desdelinux.ventilátor. linuxbox.desdelinux.fanúšik má adresu 192.168.10.5 linuxbox.desdelinux.fanúšikovskú poštu vybavuje 1 mail.desdelinux.ventilátor.

DNS rozlíšenie z Internetu

buzz@sysadmin:~$hostmail.desdelinux.fanúšik 172.16.10.30
Pomocou servera domény: Meno: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasy: mail.desdelinux.fan je alias pre desdelinux.ventilátor.
desdelinux.fanúšik má adresu 172.16.10.10
desdelinux.fanúšikovskú poštu vybavuje 10 mail.desdelinux.ventilátor.

Problémy s lokálnym riešením názvu hostiteľa «desdelinux.ventilátor"

Ak máte problém s vyriešením názvu hostiteľa «desdelinux.ventilátor„z LAN, skúste komentovať riadok súboru /etc/dnsmasq.conf kde sa deklaruje local=/desdelinux.ventilátor/. Potom reštartujte Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentujte nasledujúci riadok:
# local=/desdelinux.ventilátor/

[root @ linuxbox ~] # reštartovanie služby dnsmasq
Presmerovanie na / bin / systemctl reštartuje dnsmasq.service

[root @ linuxbox ~] # stav dnsmasq služby

[root@linuxbox ~]# hostiteľ desdelinux.ventilátor
desdelinux.fanúšik má adresu 172.16.10.10
desdelinux.fanúšikovskú poštu vybavuje 10 mail.desdelinux.ventilátor.

Postfix a Dovecot

Veľmi rozsiahlu dokumentáciu spoločností Postfix a Dovecot nájdete na adrese:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENČNÝ README-Postfix-SASL-RedHat.txt KOMPATIBILITA main.cf.default TLS_ACKNOWLEDGEMENTS príklady README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AUTORI KOPÍROVANIE.MIT dovecot-openssl.cnf SPRÁVY wiki KOPÍROVANIE ChangeLog príklad-konfigurácia README KOPÍROVANIE.LGPL dokumentácia.txt mkcert.sh solr-schema.xml

V systéme CentOS 7 je Postfix MTA nainštalovaný predvolene, keď zvolíme možnosť servera infraštruktúry. Musíme overiť, či kontext SELinuxu umožňuje zápis do Potfixu v lokálnom fronte správ:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Úpravy v bráne FirewallD

Pomocou grafického rozhrania na konfiguráciu brány FirewallD musíme zabezpečiť, aby boli pre každú zónu povolené nasledujúce služby a porty:

# ------------------------------------------------- -----
# Opravy v FirewallD
# ------------------------------------------------- -----
# POŽARNE dvere
# Verejná zóna: služby http, https, imap, pop3, smtp
# Verejná zóna: porty 80, 443, 143, 110, 25

# Externá zóna: služby http, https, imap, pop3s, smtp
# Vonkajšia zóna: porty 80, 443, 143, 995, 25

Inštalujeme Dovecot a potrebné programy

[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet

Minimálna konfigurácia holubníka

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoly =imap pop3 lmtp
počúvať =*, ::
prihlásenie_ pozdrav = Holubica je pripravená!

Výslovne zakazujeme holé overovanie textu spoločnosti Dovecot:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = áno

Prehlasujeme, že Skupina má potrebné privilégiá na komunikáciu s serverom Dovecot a umiestnenie správ:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Certifikáty pre holubník

Dovecot automaticky generuje vaše testovacie certifikáty na základe údajov v súbore /etc/pki/dovecot/dovecot-openssl.cnf. Ak chcete, aby sa nové certifikáty generovali podľa našich požiadaviek, musíme vykonať nasledujúce kroky:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = yes Differented_name = req_dn x509_extensions = cert_type prompt = nie [ req_dn ] # krajina (2 písmenový kód) C=CU # Názov štátu alebo provincie (celý názov) ST=Kuba # Názov lokality (napr. mesto ) L=Havana # Organizácia (napr. spoločnosť) O=DesdeLinux.Fan # Názov organizačnej jednotky (napr. sekcia) OU=nadšenci # Bežný názov (je možné aj *.example.com) CN=*.desdelinux.fan # E-mailový kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server

Eliminujeme testovacie certifikáty

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: odstrániť bežný súbor „certs / dovecot.pem“? (r / n) r
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: odstrániť bežný súbor „private / dovecot.pem“? (r / n) r

Skopírujeme a vykonáme skript mkcert.sh z adresára dokumentácie

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generovanie 1024-bitového súkromného kľúča RSA ......++++++ ................++++++ zápis nového súkromného kľúča do '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
spolu 4 -rw -------. 1 koreňový koreň 1029 22. mája 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l súkromné ​​/
spolu 4 -rw -------. 1 koreňový koreň 916 22. mája 16:08 dovecot.pem

[root @ linuxbox dovecot] # reštart služby dovecot
[root @ linuxbox holubník] # stav holubníka služby

Certifikáty pre Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -dni 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.kľúč

Generovanie 4096-bitového súkromného kľúča RSA .........++ ..++ zápis nového súkromného kľúča do 'private/domain.tld.key' ----- Zobrazí sa výzva na zadanie informácií ktoré budú zahrnuté do vašej žiadosti o certifikát. To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne málo polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte '.', pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) [XX]: Názov štátu alebo provincie CU (celý názov) []: Názov lokality Kuby (napr. mesto) [Predvolené mesto]: Názov organizácie Havana (napr. spoločnosť) [ Default Company Ltd]:DesdeLinux.Názov organizačnej jednotky fanúšikov (napr. sekcia) []:Bežné meno nadšencov (napr. vaše meno alebo názov hostiteľa vášho servera) []:desdelinux.fan E-mailová adresa []:buzz@desdelinux.ventilátor

Minimálna konfigurácia Postfixu

Pridáme na koniec súboru / Etc / aliases nasledovný:

koreň: hláška

Aby sa zmeny prejavili, vykonáme nasledujúci príkaz:

[root @ linuxbox ~] # newaliases

Konfiguráciu Postifxu je možné vykonať priamou úpravou súboru /etc/postfix/main.cf alebo príkazom postconf -e dbajte na to, aby sa všetky parametre, ktoré chceme upraviť alebo pridať, prejavili v jednom riadku konzoly:

• Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.ventilátor'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.ventilátor'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Pridáme na koniec súboru /etc/postfix/main.cf možnosti uvedené nižšie. Aby ste poznali význam každého z nich, odporúčame vám prečítať si sprievodnú dokumentáciu.

biff = nie
append_dot_mydomain = nie
delay_warning_time = 4h
readme_directory = nie
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.kľúč
smtpd_use_tls = áno
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maximálna veľkosť schránky 1024 MB = 1 ga g
mailbox_size_limit = 1073741824

kontajner_oddeľovač = +
maximal_queue_lifetime = 7 d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Účty, ktoré odosielajú kópiu prichádzajúcej pošty na iný účet
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Nasledujúce riadky sú dôležité, aby sme určili, kto môže odosielať poštu a prenášať správy na iné servery, aby sme omylom nenakonfigurovali „otvorené relé“, ktoré umožňuje odosielanie pošty neovereným používateľom. Musíme si prečítať stránky pomocníka Postfixu, aby sme pochopili, čo každá možnosť znamená.

• Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.

smtpd_helo_restrictions = permit_mynetworks,
 warn_if_reject odmietnuť_na_fqdn_hostname,
 odmietnuť_platný_názov_hostiteľa,
 povoliť

smtpd_sender_restrictions = permit_sasl_authenticated,
 permit_mynetworks,
 warn_if_reject odmietnutie_na_fqdn_ odosielateľa,
 odmietnuť_neznámu_doménu odosielateľa,
 odmietnutie_unajutého_pipelinovania,
 povoliť

smtpd_client_restrictions = odmietnutie_rbl_client sbl.spamhaus.org,
 odmietnuť_rbl_client blackholes.easynet.nl

# POZNÁMKA: Možnosť „check_policy_service inet: 127.0.0.1: 10023“
# umožňuje program Postgrey a nemali by sme ho zahrnúť
# inak použijeme Postgrey

smtpd_recipient_restrictions = odmietnutie_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_authenticated,
 odmietnuť_n_fqdn_recipient,
 odmietnuť_neznámu_recipientnú_doménu,
 odmietnutie_unajakej_destinácie,
 check_policy_service inet: 127.0.0.1: 10023,
 povoliť

smtpd_data_restrictions = odmietnutie_unauth_pipelining

smtpd_relay_restrictions = odmietnutie_unauth_pipelining,
 permit_mynetworks,
 permit_sasl_authenticated,
 odmietnuť_n_fqdn_recipient,
 odmietnuť_neznámu_recipientnú_doménu,
 odmietnutie_unajakej_destinácie,
 check_policy_service inet: 127.0.0.1: 10023,
 povoliť
 
smtpd_helo_required = áno
smtpd_delay_reject = áno
disable_vrfy_command = áno

Vytvárame súbory / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copya upravíme súbor / etc / postfix / header_checks.

• Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ak je tento súbor upravený, nie je potrebné # spustiť postmapu # Ak chcete otestovať pravidlá, spustite ako root: # postmap -q 'super nová v1agra' regulárny výraz: / etc / postfix / body_checks
# Malo by sa vrátiť: # ZAMIETNUTIE Pravidlo č. 2 Antispamová správa
/ viagra / ODMIETNUTIE Pravidlo č. 1 Anti Spam tela správy
/ super nový v [i1] agra / ODMIETNUTIE Pravidlo č. 2 tela správy Anti Spam

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po úprave musíte vykonať: # postmap / etc / postfix / accounts_ forwarding_copy
# a súbor sa vytvorí alebo zmeria: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # JEDEN účet na preposlanie jednej BCC copy # BCC = Black Carbon Copy # Príklad: # webadmin@desdelinux.fan buzz@desdelinux.ventilátor

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Pridajte na koniec súboru # NEMUSÍ POŽADOVAŤ poštovú mapu, pretože ide o regulárne výrazy
/ ^ Subject: =? Big5? / REJECT čínske kódovanie nie je týmto serverom akceptované
/ ^ Subject: =? EUC-KR? / REJECT kórejské kódovanie nie je týmto serverom povolené
/ ^ Predmet: ADV: / REJECT Tento server neprijíma reklamy
/^From:.*\@.*\.cn/ ODMIETNUTIE Ľutujeme, čínska pošta tu nie je povolená
/^Od:.*\@.*\.kr/ ODMIETNUTIE Ľutujeme, kórejská pošta tu nie je povolená
/^Od:.*\@.*\.tr/ ODMIETNUTIE Ľutujeme, turecká pošta tu nie je povolená
/^Od:.*\@.*\.ro/ ODMIETNUTIE Ľutujeme, rumunská pošta tu nie je povolená
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | z utajenia [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nie sú povolené hromadné poštové zásielky.
/ ^ Od: „spammer / ODMIETNUTIE
/ ^ Od: „spam / ODMIETNUTIE
/^Predmet :.*viagra/ VYHĽADAŤ
# Nebezpečné rozšírenia
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Neprijímame prílohy s týmito príponami

Skontrolujeme syntax, reštartujeme Apache a Postifx a povolíme a spustíme Dovecot

[root @ linuxbox ~] # kontrola postfixu
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl reštartujte httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl reštartujte postfix
[root @ linuxbox ~] # systemctl postfix stavu

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - e-mailový server Dovecot IMAP / POP3 Načítaný: načítaný (/usr/lib/systemd/system/dovecot.service; deaktivovaný; predvoľba predajcu: deaktivovaný) Aktívny: neaktívny (mŕtvy)

[root @ linuxbox ~] # systemctl povoliť holubník
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl reštart holubník
[root @ linuxbox ~] # systemctl status dovecot

Kontroly na úrovni konzoly

• Pred pokračovaním v inštalácii a konfigurácii ďalších programov je veľmi dôležité vykonať nevyhnutné kontroly služieb SMTP a POP.

Lokálne zo samotného servera

Posielame e-mail miestnemu používateľovi Legolas.

[root @ linuxbox ~] # echo "Dobrý deň. Toto je testovacia správa" | e-maily "Test" legolas

Skontrolujeme poštovú schránku používateľa legoly.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po správe Holubník je pripravený! postupujeme:

---
+ OK Dovecot je pripravený!
USER legolas +OK PASS legolas +OK Prihlásený. STAT +OK 1 559 LIST +OK 1 správy: 1 559 . RETR 1 + OK 559 oktetov spiatočná cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fanúšik Prijaté: od desdelinux.fan (Postfix, z ID používateľa 0) id 7EA22C11FC57; Pon, 22. máj 2017 10:47:10 -0400 (EDT) Dátum: Po, 22. máj 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Subject: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verzia: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (koreň) Dobrý deň. Toto je testovacia správa. KONIEC HOTOVO
[root @ linuxbox ~] #

Diaľkové ovládače z počítača v sieti LAN

Pošleme ďalšiu správu komu Legolas z iného počítača v sieti LAN. Upozorňujeme, že zabezpečenie TLS NIE JE v sieti SME nevyhnutne potrebné.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.ventilátor\
-u "ahoj" \
-m "Zdravím Legolas od vášho priateľa Buzza" \
-s emailom.desdelinux.fan -o tls=nie
22. mája 10:53:08 sysadmin sendemail [5866]: E-mail bol úspešne odoslaný!

Ak sa pokúsime spojiť cez telnet Od hostiteľa v sieti LAN - alebo samozrejme z Internetu - po server Dovecot sa stane toto, pretože deaktivujeme overenie obyčajného textu:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Skúšam 192.168.10.5...
Pripojené k linuxboxu.desdelinux.ventilátor. Únikový znak je '^]'. +OK Dovecot je pripravený! užívateľ legolas
-ERR [AUTH] Overovanie v obyčajnom texte je zakázané na nezabezpečených (SSL / TLS) pripojeniach.
quit + OK Odhlasovanie Pripojenie ukončené zahraničným hostiteľom.
buzz @ sysadmin: ~ $

Musíme to dokázať OpenSSL. Úplný výstup príkazu by bol:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
PRIPOJENÉ (00000003)
hĺbka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor
overiť chybu: num = 18: vlastnoručne podpísaný certifikát overiť návrat: 1
hĺbka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor overiť návratnosť:1
--- Reťaz certifikátov 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.vydavateľ fanúšikov=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nebol odoslaný žiadny klientsky certifikát s názvami CA Server Temp Key: ECDH, secp384r1, 384 bitov --- SSL handshake prečítal 1342 bajtov a zapísal 411 bajtov --- Nové, TLSv1/SSLv3, šifra je ECDHE-RSA-AES256 -Verejný kľúč servera GCM-SHA384 je 1024-bitový Zabezpečené opätovné vyjednávanie JE podporované Kompresia: ŽIADNA Rozšírenie: ŽIADNA SSL-relácia: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID relácie: 745C4BF0236204Esxsion-D16234 : Master-Kľúč: 15D9C3B084125CEA5989F5AF6AF5295D4C2F73F1904A204FD564CD76361F50373BC8879BFF793E7F7506neSKAr04473777 Hlav : Žiadne Tip na životnosť relácie TLS: 6 (sekúnd) Lístok relácie TLS: 3503 - 9e 919a f1 837 67a 29f 309 352526-ee f5 a5 300f fc ec 0000e 4c N:.)zOcr...O..~. 3 - 8c d29 be a7 be 4 63e ae-72 7e 6 4d 7 c1 0010 a2 ,......~.mE... 4 - db 8a 92 2 df 98b dc 7d-f87 6f 45 5e 17 d .:.......hn.... 8 - 0020 3 e86 eb 80 b8 a8 8-1 b68 ea f6 7 f3 c86 0030 .08......h...r ..y 35 - 5 98a 8 e4 98 a68 1b da-e7 72a 7 c1 79 bf 5 0040d .J(......z).w.". 89 - bd 4c f28 3 85c a4 8 bd-cb 9 7 29 7a dc 77 22 .\.a.....0'fz.Q( 0050 - b5 z 6 bd 61b 8f d1 ec-d14 e31 27 c66 7 51 b28 1 ..0060.+.... ...e ..7 35 - 2 0 f4 de 3 da ae 0-14 bd f8 b65 e03 1c cf 35 5..H..5........ 0070 - f38 34 8 48 31 b90 6c db-aa ee 0a d6 9b 19c dd 84 .BV.......Z..,.q 1 - 0080a f5 42 56 13 88 c0 8a-5 e7 1f 2c bf dc 71c a0090 z..p.. ..b. ....< Čas začiatku: 7 Časový limit: 1 (s) Overiť návratový kód: 03 (certifikát s vlastným podpisom) ---
+ OK Dovecot je pripravený!
UŽÍVATEĽSKÉ legolas
+ OK
PRESTAŤ legoly
+ OK Prihlásený.
ZOZNAM
+ OK 1 správ: 1 1021.
SPÄŤ 1
+OK 1021 oktetov návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prijaté: od sysadmina.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id 51886C11E8C0 predesdelinux.fan>; Pon, 22. máj 2017 15:09:11 -0400 (EDT) ID správy: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.ventilátor"desdelinux.fan> Predmet: Dobrý deň Dátum: Po, 22. máj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Verzia: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" Toto je viacdielna správa vo formáte MIME. Na správne zobrazenie tejto správy potrebujete e-mailový program kompatibilný s MIME verzia 1.0. ------Oddeľovač MIME pre odosielanieEmail-365707.724894495 Typ obsahu: text/obyčajný; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Pozdrav Legolas od tvojho priateľa Buzz ------MIME oddeľovač pre sendEmail-365707.724894495-- .
KONIEC
+ OK Odhlasujem sa. zatvorené
buzz @ sysadmin: ~ $

SquirrelMail

SquirrelMail je webový klient napísaný výhradne v PHP. Zahŕňa natívnu podporu PHP pre protokoly IMAP a SMTP a poskytuje maximálnu kompatibilitu s rôznymi používanými prehľadávačmi. Funguje správne na ľubovoľnom serveri IMAP. Má všetky funkcie, ktoré od e-mailového klienta potrebujete, vrátane podpory MIME, správy adresárov a priečinkov.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # reštart služby httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.ventilátor';
$imapServerAddress = 'mail.desdelinux.ventilátor';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.ventilátor';

[root @ linuxbox ~] # načítanie služby httpd

Záznam DNS Framenwork alebo SPF záznam

V článku Autoritatívny server DNS NSD + Shorewall Videli sme, že zóna «desdelinux.ventilátor» bol nakonfigurovaný nasledovne:

root@ns:~# nano /etc/nsd/desdelinux.fan.zóna
$ORIGIN desdelinux.ventilátor. $ TTL 3H @ IN SOA č.desdelinux.ventilátor. koreň.desdelinux.ventilátor. (1; sériové 1D; obnovenie 1H; opakovanie 1W; expirácia 3H); minimálne alebo ; Negatívny čas ukladania do vyrovnávacej pamäte; @ IN NS ns.desdelinux.ventilátor. @ IN MX 10 e-mail.desdelinux.ventilátor.
@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"
; ; Registrácia na riešenie digových otázok desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.ventilátor. chat v CNAME   desdelinux.ventilátor. www IN CNAME   desdelinux.ventilátor. ; ; Záznamy SRV súvisiace s XMPP
_xmpp-server._tcp IN SRV 0 0 5269 desdelinux.ventilátor. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.ventilátor. _jabber._tcp IN SRV 0 0 5269 desdelinux.ventilátor.

V ňom je register deklarovaný:

@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"

Ak chcete mať rovnaký parameter nakonfigurovaný pre sieť SME alebo LAN, musíme upraviť konfiguračný súbor Dnsmasq takto:

# TXT záznamy. Môžeme tiež deklarovať SPF záznam txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan-all"

Potom službu reštartujeme:

[root @ linuxbox ~] # reštartovanie služby dnsmasq
[root@linuxbox ~]# stav dnsmasq služby [root@linuxbox ~]# pošta TXT hostiteľa -t.desdelinux.fanúšikovská pošta.desdelinux.fan je alias pre desdelinux.ventilátor.
desdelinux.fanúšik popisný text "v=spf1 a:mail.desdelinux.fan-all"

Vlastné podpisy a Apache alebo httpd

Aj keď vám váš prehliadač hovorí, že «Vlastník mail.desdelinux.ventilátor Váš web ste nakonfigurovali nesprávne. Aby sa zabránilo odcudzeniu vašich informácií, Firefox sa nepripojil k tomuto webu “, predtým vygenerovaný certifikát JE TO PLATNÉ, a umožní to, aby poverenia medzi klientom a serverom mohli cestovať šifrované, keď prijmeme certifikát.

Ak chcete a ako spôsob zjednotenia certifikátov môžete pre Apache deklarovať rovnaké certifikáty, ktoré ste deklarovali pre Postfix, čo je správne.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.kľúč

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # stav služby httpd

Skupina Diffie-Hellman

Otázka bezpečnosti sa na internete každým dňom stáva zložitejšou. Jeden z najbežnejších útokov na pripojenia SSL, je ním nakopenie plaveného dreva a na jeho obranu je potrebné do konfigurácie SSL pridať neštandardné parametre. K tomu existuje RFC-3526 «Viac modulárneho exponenciálu (MODP) diffie-hellman skupiny pre internetovú výmenu kľúčov (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out súkromné ​​/ dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 súkromné ​​/ dhparams.pem

Podľa verzie Apache, ktorú sme si nainštalovali, použijeme zo súboru Diffie-Helman Group /etc/pki/tls/dhparams.pem. Ak je to verzia 2.4.8 alebo novšia, potom budeme musieť do súboru pridať /etc/httpd/conf.d/ssl.conf nasledujúci riadok:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Verzia Apache, ktorú používame, je:

[root @ linuxbox tls] # yum info httpd
Načítané doplnky: najrýchlejší Mirror, langpacks Načítanie rýchlostí zrkadiel z hostiteľského súboru v medzipamäti Nainštalované balíčky Názov: httpd Architektúra: x86_64
Verzia: 2.4.6
Vydanie: 45.el7.centos Veľkosť: 9.4 M Repozitár: nainštalovaný Z úložiska: Base-Repo Zhrnutie: Adresa URL servera Apache HTTP: http://httpd.apache.org/ Licencia: ASL 2.0 Popis: Server Apache HTTP je výkonný server , efektívny a rozšíriteľný: webový server.

Pretože máme verzi starší než 2.4.8, na konci predtým generovaného certifikátu CRT pridávame obsah skupiny Diffie-Helman Group:

[root @ linuxbox tls] # súkromná mačka / dhparams.pem >> certifikáty/desdelinux.fan.crt

Ak chcete skontrolovať, či boli parametre DH pridané do certifikátu CRT správne, vykonajte nasledujúce príkazy:

[root @ linuxbox tls] # súkromná mačka / dhparams.pem 
----- ZAČÍNAME PARAMETRE DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONIEC PARAMETROV DH -----

[root@linuxbox tls]# mačacie certifikáty/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONIEC PARAMETROV DH -----

Po týchto zmenách musíme reštartovať služby Postfix a httpd:

[root @ linuxbox tls] # reštartovanie postfixu služby
[root @ linuxbox tls] # stav postfixu služby
[root @ linuxbox tls] # reštart služby httpd
[root @ linuxbox tls] # stav httpd služby

Zahrnutie skupiny Diffie-Helman do našich certifikátov TLS môže spôsobiť, že pripojenie cez HTTPS bude o niečo pomalšie, ale pridanie zabezpečenia za to stojí.

Prebieha kontrola Squirrelmail

Despues že certifikáty sú správne vygenerované a že ich správnosť fungovania kontrolujeme pomocou príkazov konzoly, nasmerujte preferovaný prehliadač na adresu URL http://mail.desdelinux.fan/webmail a pripojí sa k webovému klientovi po prijatí príslušného certifikátu. Upozorňujeme, že aj keď zadáte protokol HTTP, bude presmerovaný na HTTPS. Je to spôsobené predvolenou konfiguráciou, ktorú CentOS ponúka pre Squirrelmail. Pozri súbor /etc/httpd/conf.d/squirrelmail.conf.

O poštových schránkach používateľov

Dovecot vytvorí poštové schránky IMAP v priečinku domov každého používateľa:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
spolu 12 drwxrwx ---. 5 legolas mail 4096 22. mája 12:39. drwx ------. 3 legolas legolas 75 22. mája 11:34 .. -rw -------. 1 legolas legolas 72 22. mája 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. mája 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 May 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. mája 10:23 DORUČENÉ správy drwx ------. 2 legolas legolas 56 22. mája 12:39 Odoslané drwx ------. 2 legolas legolas 30. mája 22 11:34 Kôš

Sú tiež uložené v / var / mail /

[root @ linuxbox ~] # menej / var / mail / legolas
Od MAILER_DAEMON Po 22. máj 10:28:00 2017 Dátum: Po, 22. máj 2017 10:28:00 -0400 Od: Interné údaje systému pošty Predmet: NEODSTRAŇUJTE TÚTO SPRÁVU -- VNÚTORNÉ ÚDAJE PRIESTORU ID správy: <1495463280@linuxbox> . Vytvára sa automaticky softvérom poštového systému. Ak sa odstránia, dôležité údaje priečinka sa stratia a znova sa vytvoria s obnovením pôvodných hodnôt údajov. Od root@desdelinux.fan Po 22. máj 10:47:10 2017 Návrat-Cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fanúšik Prijaté: od desdelinux.fan (Postfix, z ID používateľa 0) id 7EA22C11FC57; Pon, 22. máj 2017 10:47:10 -0400 (EDT) Dátum: Po, 22. máj 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Subject: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verzia: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Stav: RO Dobrý deň. Toto je testovacia správa From buzz@deslinux.fan Po 22. máj 10:53:08 2017 Návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prijaté: od sysadmina.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 predesdelinux.fan>; Pon, 22. máj 2017 10:53:08 -0400 (EDT) ID správy: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.ventilátor"desdelinux.fan> Predmet: Dobrý deň Dátum: Po, 22. máj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Verzia: 1.0 Content-Type: multipart/related; boundary="----MIME oddeľovač pre sendEmail-794889.899510057
/ var / mail / legolas

Zhrnutie minisérie PAM

Pozreli sme sa na jadro Mailserveru a kládli sme malý dôraz na bezpečnosť. Dúfame, že článok poslúži ako vstupný bod do témy, ktorá je rovnako komplikovaná a náchylná na chyby ako manuálna implementácia poštového servera.

Používame lokálne overovanie používateľov, pretože ak súbor prečítame správne /etc/dovecot/conf.d/10-auth.conf, uvidíme, že na konci je zahrnutá -v predvolenom nastavení- autentifikačný súbor používateľov systému ! zahrnúť auth-system.conf.ext. Tento súbor nám v záhlaví hovorí, že:

[root @ linuxbox ~] o # menej /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikácia pre používateľov systému. Zahrnuté v 10-auth.conf. # # # # Autentifikácia PAM. V dnešnej dobe uprednostňované väčšinou systémov.
# PAM sa zvyčajne používa buď s userdb passwd, alebo userdb static. # PAMÄTAJTE: Na skutočné fungovanie budete potrebovať súbor /etc/pam.d/dovecot vytvorený pre autentifikáciu PAM #. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = holubica}

A existuje ďalší súbor /etc/pam.d/dovecot:

[root @ linuxbox ~] # mačka /etc/pam.d/dovecot 
#% Vyžaduje sa autorizácia PAM-1.0 pam_nologin.so auth zahrnúť účet pre overenie hesla zahrnúť reláciu pre overenie hesla zahrnúť heslo pre overenie

Čo sa snažíme povedať o autentifikácii PAM?

• CentOS, Debian, Ubuntu a mnoho ďalších distribúcií Linuxu inštaluje Postifx a Dovecot s predvoleným povolením lokálnej autentifikácie.
• Mnoho článkov na internete používa MySQL - a v poslednej dobe MariaDB - na ukladanie používateľov a ďalších údajov týkajúcich sa poštového servera. ALE toto sú servery pre TISÍC POUŽÍVATEĽOV, a nie pre klasickú Sieť SME s - možno - stovkami používateľov.
• Autentifikácia prostredníctvom PAM je nevyhnutná a dostatočná na zabezpečenie sieťových služieb, pokiaľ bežia na jednom serveri, ako sme videli v tejto minisérii.
• Používateľov uložených v databáze LDAP je možné mapovať, akoby to boli lokálni používatelia, a autentifikáciu PAM možno použiť na poskytovanie sieťových služieb z rôznych serverov Linux, ktoré pôsobia ako klienti LDAP, na centrálny autentifikačný server. Týmto spôsobom by sme pracovali s prihlasovacími údajmi používateľov uložených v centrálnej databáze servera LDAP a NEBOL by nevyhnutné udržiavať databázu s lokálnymi používateľmi.

  

  

  

Až do ďalšieho dobrodružstva!