Všeobecný index série: Počítačové siete pre malé a stredné podniky: Úvod
Tento článok je pokračovaním a poslednou minisériou:
- Squid + PAM autentifikácia na CentOS 7.
- Správa miestnych používateľov a skupín
- Autoritatívny server DNS NSD + Shorewall
- Prozódie IM a miestni používatelia
Ahojte priatelia a priatelia!
undefined Nadšenci chcú mať vlastný poštový server. Nechcú používať servery, kde je medzi otáznikmi „Ochrana osobných údajov“. Osoba zodpovedná za implementáciu služby na vašom malom serveri nie je špecialistom v danom odbore a spočiatku sa pokúsi nainštalovať jadro budúceho a kompletného poštového servera. Je to, že „rovnice“ pre vytvorenie úplného poštového servera sú trochu ťažko pochopiteľné a uplatniteľné. 😉
Anotácie okrajov
- Je potrebné mať jasno v tom, ktoré funkcie vykonáva každý program zapojený do Mailserveru. Ako úvodný sprievodca uvádzame celú sériu užitočných odkazov s deklarovaným účelom, ktorý navštívia.
- Ručná implementácia kompletnej poštovej služby od nuly je únavný proces, pokiaľ nepatríte medzi „Vyvolených“, ktorí tento typ úloh vykonávajú každý deň. Poštový server je tvorený - všeobecne - rôznymi programami, ktoré pracujú osobitne SMTP, POP / IMAP, Lokálne ukladanie správ, úlohy súvisiace s liečením SPAM, Antivírus, atď. VŠETKY tieto programy musia navzájom správne komunikovať.
- Neexistuje žiadna univerzálna verzia alebo „osvedčené postupy“ týkajúce sa správy používateľov; kde a ako ukladať správy alebo ako zabezpečiť, aby všetky komponenty fungovali ako jeden celok.
- Zostavenie a vyladenie Mailservera býva nepríjemné v záležitostiach, ako sú povolenia a vlastníci súborov, výber používateľa, ktorý bude mať na starosti určitý proces, a malé chyby v niektorých ezoterických konfiguračných súboroch.
- Ak veľmi dobre neviete, čo robíte, konečným výsledkom bude nezabezpečený alebo mierne nefunkčný poštový server. Že na konci implementácie to nefunguje, bude to možno to najmenšie zlo.
- Na internete nájdeme množstvo receptov, ako pripraviť poštový server. Jeden z najkompletnejších -podľa môjho veľmi osobného názoru- je ten, ktorý ponúka autor ivar abrahamsen vo svojom trinástom vydaní v januári 2017 «Ako nastaviť poštový server v systéme GNU / Linux".
- Odporúčame prečítať si aj článok «Poštový server na Ubuntu 14.04: Postfix, Dovecot, MySQL«, alebo «Poštový server na Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Pravdaže. Najlepšie dokumentácie v tomto ohľade nájdete v angličtine.
- Aj keď nikdy nevyrábame Mailserver verne vedeného Ako ... uvedená v predchádzajúcom odseku, samotná skutočnosť, že ju budeme postupovať krok za krokom, nám dá veľmi dobrú predstavu o tom, čomu budeme čeliť.
- Ak chcete mať kompletný poštový server iba v niekoľkých krokoch, môžete si obrázok stiahnuť iRedOS-0.6.0-CentOS-5.5-i386.iso, alebo hľadajte modernejší, či už je to iRedOS alebo iRedMail. Je to spôsob, ktorý osobne odporúčam.
Chystáme sa nainštalovať a nakonfigurovať:
- Postfix ako server Mcesnak Transport Apán (SMTP).
- holubník ako server POP - IMAP.
- Certifikáty na pripojenie cez TLS.
- SquirrelMail ako webové rozhranie pre používateľov.
- Záznam DNS vo vzťahu k «Rámec politiky odosielateľa»Alebo SPF.
- Generovanie modulu Skupina Diffie Hellman na zvýšenie bezpečnosti SSL certifikátov.
Zostáva ešte urobiť:
Zostáva ešte implementovať aspoň tieto služby:
- postgrey: Pravidlá servera Postfix pre šedé zoznamy a odmietanie nevyžiadanej pošty.
- Amavisd-nový: skript, ktorý vytvára rozhranie medzi MTA a antivírusovými programami a filtrami obsahu.
- Antivírus Clamav: antivírusový balík
- SpamAssassin: extrahovať nevyžiadanú poštu
- britva (pyzor): Zachytenie spamu prostredníctvom distribuovanej a kolaboratívnej siete. Sieť Vipul Razor udržuje aktualizovaný katalóg šírenia nevyžiadanej pošty alebo SPAMU.
- DNS záznam "DomainKeys Identified Mail" alebo DKIM.
pakety postgrey, amavisd-new, clamav, spamassassin, holiaci strojček y pyzor Nachádzajú sa v archívoch programov. Nájdeme aj program openkim.
- Správne vyhlásenie DNS záznamov „SPF“ a „DKIM“ je nevyhnutné, ak nechceme, aby náš poštový server bol práve uvedený do prevádzky, aby bol inými poštovými službami, ako je napr. Gmail, Yahoj, Hotmail, atď.
Počiatočné kontroly
Pamätajte, že tento článok je pokračovaním ďalších, ktoré začínajú v Squid + PAM autentifikácia na CentOS 7.
Rozhranie Ens32 LAN pripojené k internej sieti
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZÓNA = verejná
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN rozhranie pripojené k internetu
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=áno BOOTPROTO=static HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=no IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL router je pripojený k nasledujúcej adrese # toto rozhranie s # IP BRÁNA=172.16.10.1 DOMÉNA=desdelinux.fan DNS1=127.0.0.1
ZÓNA = externá
Rozlíšenie DNS z LAN
[root@linuxbox ~]# cat /etc/resolv.conf vyhľadávanie desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# hostiteľská pošta mail.desdelinux.fan je alias pre linuxbox.desdelinux.ventilátor. linuxbox.desdelinux.fanúšik má adresu 192.168.10.5 linuxbox.desdelinux.fanúšikovskú poštu vybavuje 1 mail.desdelinux.ventilátor. [root@linuxbox ~]# hostiteľská e-mailová adresa.desdelinux.ventilátor mail.desdelinux.fan je alias pre linuxbox.desdelinux.ventilátor. linuxbox.desdelinux.fanúšik má adresu 192.168.10.5 linuxbox.desdelinux.fanúšikovskú poštu vybavuje 1 mail.desdelinux.ventilátor.
DNS rozlíšenie z Internetu
buzz@sysadmin:~$hostmail.desdelinux.fanúšik 172.16.10.30 Pomocou servera domény: Meno: 172.16.10.30 Adresa: 172.16.10.30#53 Aliasy: mail.desdelinux.fan je alias pre desdelinux.ventilátor. desdelinux.fanúšik má adresu 172.16.10.10 desdelinux.fanúšikovskú poštu vybavuje 10 mail.desdelinux.ventilátor.
Problémy s lokálnym riešením názvu hostiteľa «desdelinux.ventilátor"
Ak máte problém s vyriešením názvu hostiteľa «desdelinux.ventilátor„z LAN, skúste komentovať riadok súboru /etc/dnsmasq.conf kde sa deklaruje local=/desdelinux.ventilátor/. Potom reštartujte Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentujte nasledujúci riadok: # local=/desdelinux.ventilátor/ [root @ linuxbox ~] # reštartovanie služby dnsmasq Presmerovanie na / bin / systemctl reštartuje dnsmasq.service [root @ linuxbox ~] # stav dnsmasq služby [root@linuxbox ~]# hostiteľ desdelinux.ventilátor desdelinux.fanúšik má adresu 172.16.10.10 desdelinux.fanúšikovskú poštu vybavuje 10 mail.desdelinux.ventilátor.
Postfix a Dovecot
Veľmi rozsiahlu dokumentáciu spoločností Postfix a Dovecot nájdete na adrese:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENČNÝ README-Postfix-SASL-RedHat.txt KOMPATIBILITA main.cf.default TLS_ACKNOWLEDGEMENTS príklady README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AUTORI KOPÍROVANIE.MIT dovecot-openssl.cnf SPRÁVY wiki KOPÍROVANIE ChangeLog príklad-konfigurácia README KOPÍROVANIE.LGPL dokumentácia.txt mkcert.sh solr-schema.xml
V systéme CentOS 7 je Postfix MTA nainštalovaný predvolene, keď zvolíme možnosť servera infraštruktúry. Musíme overiť, či kontext SELinuxu umožňuje zápis do Potfixu v lokálnom fronte správ:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Úpravy v bráne FirewallD
Pomocou grafického rozhrania na konfiguráciu brány FirewallD musíme zabezpečiť, aby boli pre každú zónu povolené nasledujúce služby a porty:
# ------------------------------------------------- ----- # Opravy v FirewallD # ------------------------------------------------- ----- # POŽARNE dvere # Verejná zóna: služby http, https, imap, pop3, smtp # Verejná zóna: porty 80, 443, 143, 110, 25 # Externá zóna: služby http, https, imap, pop3s, smtp # Vonkajšia zóna: porty 80, 443, 143, 995, 25
Inštalujeme Dovecot a potrebné programy
[root @ linuxbox ~] # yum install dovecot mod_ssl procmail telnet
Minimálna konfigurácia holubníka
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoly =imap pop3 lmtp počúvať =*, :: prihlásenie_ pozdrav = Holubica je pripravená!
Výslovne zakazujeme holé overovanie textu spoločnosti Dovecot:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = áno
Prehlasujeme, že Skupina má potrebné privilégiá na komunikáciu s serverom Dovecot a umiestnenie správ:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = pošta mail_access_groups = pošta
Certifikáty pre holubník
Dovecot automaticky generuje vaše testovacie certifikáty na základe údajov v súbore /etc/pki/dovecot/dovecot-openssl.cnf. Ak chcete, aby sa nové certifikáty generovali podľa našich požiadaviek, musíme vykonať nasledujúce kroky:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes Differented_name = req_dn x509_extensions = cert_type prompt = nie [ req_dn ] # krajina (2 písmenový kód) C=CU # Názov štátu alebo provincie (celý názov) ST=Kuba # Názov lokality (napr. mesto ) L=Havana # Organizácia (napr. spoločnosť) O=DesdeLinux.Fan # Názov organizačnej jednotky (napr. sekcia) OU=nadšenci # Bežný názov (je možné aj *.example.com) CN=*.desdelinux.fan # E-mailový kontakt emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Eliminujeme testovacie certifikáty
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: odstrániť bežný súbor „certs / dovecot.pem“? (r / n) r [root @ linuxbox dovecot] # rm private / dovecot.pem rm: odstrániť bežný súbor „private / dovecot.pem“? (r / n) r
Skopírujeme a vykonáme skript mkcert.sh z adresára dokumentácie
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generovanie 1024-bitového súkromného kľúča RSA ......++++++ ................++++++ zápis nového súkromného kľúča do '/etc/ pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / spolu 4 -rw -------. 1 koreňový koreň 1029 22. mája 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l súkromné / spolu 4 -rw -------. 1 koreňový koreň 916 22. mája 16:08 dovecot.pem [root @ linuxbox dovecot] # reštart služby dovecot [root @ linuxbox holubník] # stav holubníka služby
Certifikáty pre Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -dni 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.kľúč Generovanie 4096-bitového súkromného kľúča RSA .........++ ..++ zápis nového súkromného kľúča do 'private/domain.tld.key' ----- Zobrazí sa výzva na zadanie informácií ktoré budú zahrnuté do vašej žiadosti o certifikát. To, čo sa chystáte zadať, sa nazýva rozlišovacie meno alebo DN. Existuje pomerne málo polí, ale niektoré môžete nechať prázdne. Pre niektoré polia bude predvolená hodnota. Ak zadáte '.', pole zostane prázdne. ----- Názov krajiny (2 písmenový kód) [XX]: Názov štátu alebo provincie CU (celý názov) []: Názov lokality Kuby (napr. mesto) [Predvolené mesto]: Názov organizácie Havana (napr. spoločnosť) [ Default Company Ltd]:DesdeLinux.Názov organizačnej jednotky fanúšikov (napr. sekcia) []:Bežné meno nadšencov (napr. vaše meno alebo názov hostiteľa vášho servera) []:desdelinux.fan E-mailová adresa []:buzz@desdelinux.ventilátor
Minimálna konfigurácia Postfixu
Pridáme na koniec súboru / Etc / aliases nasledovný:
koreň: hláška
Aby sa zmeny prejavili, vykonáme nasledujúci príkaz:
[root @ linuxbox ~] # newaliases
Konfiguráciu Postifxu je možné vykonať priamou úpravou súboru /etc/postfix/main.cf alebo príkazom postconf -e dbajte na to, aby sa všetky parametre, ktoré chceme upraviť alebo pridať, prejavili v jednom riadku konzoly:
- Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.ventilátor' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.ventilátor' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = all' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Pridáme na koniec súboru /etc/postfix/main.cf možnosti uvedené nižšie. Aby ste poznali význam každého z nich, odporúčame vám prečítať si sprievodnú dokumentáciu.
biff = nie append_dot_mydomain = nie delay_warning_time = 4h readme_directory = nie smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.kľúč smtpd_use_tls = áno smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination # Maximálna veľkosť schránky 1024 MB = 1 ga g mailbox_size_limit = 1073741824 kontajner_oddeľovač = + maximal_queue_lifetime = 7 d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Účty, ktoré odosielajú kópiu prichádzajúcej pošty na iný účet recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Nasledujúce riadky sú dôležité, aby sme určili, kto môže odosielať poštu a prenášať správy na iné servery, aby sme omylom nenakonfigurovali „otvorené relé“, ktoré umožňuje odosielanie pošty neovereným používateľom. Musíme si prečítať stránky pomocníka Postfixu, aby sme pochopili, čo každá možnosť znamená.
- Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.
smtpd_helo_restrictions = permit_mynetworks,
warn_if_reject odmietnuť_na_fqdn_hostname,
odmietnuť_platný_názov_hostiteľa,
povoliť
smtpd_sender_restrictions = permit_sasl_authenticated,
permit_mynetworks,
warn_if_reject odmietnutie_na_fqdn_ odosielateľa,
odmietnuť_neznámu_doménu odosielateľa,
odmietnutie_unajutého_pipelinovania,
povoliť
smtpd_client_restrictions = odmietnutie_rbl_client sbl.spamhaus.org,
odmietnuť_rbl_client blackholes.easynet.nl
# POZNÁMKA: Možnosť „check_policy_service inet: 127.0.0.1: 10023“
# umožňuje program Postgrey a nemali by sme ho zahrnúť
# inak použijeme Postgrey
smtpd_recipient_restrictions = odmietnutie_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
odmietnuť_n_fqdn_recipient,
odmietnuť_neznámu_recipientnú_doménu,
odmietnutie_unajakej_destinácie,
check_policy_service inet: 127.0.0.1: 10023,
povoliť
smtpd_data_restrictions = odmietnutie_unauth_pipelining
smtpd_relay_restrictions = odmietnutie_unauth_pipelining,
permit_mynetworks,
permit_sasl_authenticated,
odmietnuť_n_fqdn_recipient,
odmietnuť_neznámu_recipientnú_doménu,
odmietnutie_unajakej_destinácie,
check_policy_service inet: 127.0.0.1: 10023,
povoliť
smtpd_helo_required = áno
smtpd_delay_reject = áno
disable_vrfy_command = áno
Vytvárame súbory / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copya upravíme súbor / etc / postfix / header_checks.
- Každý z nich musí deklarovať možnosti, ktorým rozumie a ktoré potrebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Ak je tento súbor upravený, nie je potrebné # spustiť postmapu # Ak chcete otestovať pravidlá, spustite ako root: # postmap -q 'super nová v1agra' regulárny výraz: / etc / postfix / body_checks
# Malo by sa vrátiť: # ZAMIETNUTIE Pravidlo č. 2 Antispamová správa
/ viagra / ODMIETNUTIE Pravidlo č. 1 Anti Spam tela správy
/ super nový v [i1] agra / ODMIETNUTIE Pravidlo č. 2 tela správy Anti Spam
[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po úprave musíte vykonať: # postmap / etc / postfix / accounts_ forwarding_copy
# a súbor sa vytvorí alebo zmeria: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # JEDEN účet na preposlanie jednej BCC copy # BCC = Black Carbon Copy # Príklad: # webadmin@desdelinux.fan buzz@desdelinux.ventilátor
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Pridajte na koniec súboru # NEMUSÍ POŽADOVAŤ poštovú mapu, pretože ide o regulárne výrazy
/ ^ Subject: =? Big5? / REJECT čínske kódovanie nie je týmto serverom akceptované
/ ^ Subject: =? EUC-KR? / REJECT kórejské kódovanie nie je týmto serverom povolené
/ ^ Predmet: ADV: / REJECT Tento server neprijíma reklamy
/^From:.*\@.*\.cn/ ODMIETNUTIE Ľutujeme, čínska pošta tu nie je povolená
/^Od:.*\@.*\.kr/ ODMIETNUTIE Ľutujeme, kórejská pošta tu nie je povolená
/^Od:.*\@.*\.tr/ ODMIETNUTIE Ľutujeme, turecká pošta tu nie je povolená
/^Od:.*\@.*\.ro/ ODMIETNUTIE Ľutujeme, rumunská pošta tu nie je povolená
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | z utajenia [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nie sú povolené hromadné poštové zásielky.
/ ^ Od: „spammer / ODMIETNUTIE
/ ^ Od: „spam / ODMIETNUTIE
/^Predmet :.*viagra/ VYHĽADAŤ
# Nebezpečné rozšírenia
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Neprijímame prílohy s týmito príponami
Skontrolujeme syntax, reštartujeme Apache a Postifx a povolíme a spustíme Dovecot
[root @ linuxbox ~] # kontrola postfixu [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl reštartujte httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl reštartujte postfix [root @ linuxbox ~] # systemctl postfix stavu [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - e-mailový server Dovecot IMAP / POP3 Načítaný: načítaný (/usr/lib/systemd/system/dovecot.service; deaktivovaný; predvoľba predajcu: deaktivovaný) Aktívny: neaktívny (mŕtvy) [root @ linuxbox ~] # systemctl povoliť holubník [root @ linuxbox ~] # systemctl start dovecot [root @ linuxbox ~] # systemctl reštart holubník [root @ linuxbox ~] # systemctl status dovecot
Kontroly na úrovni konzoly
- Pred pokračovaním v inštalácii a konfigurácii ďalších programov je veľmi dôležité vykonať nevyhnutné kontroly služieb SMTP a POP.
Lokálne zo samotného servera
Posielame e-mail miestnemu používateľovi Legolas.
[root @ linuxbox ~] # echo "Dobrý deň. Toto je testovacia správa" | e-maily "Test" legolas
Skontrolujeme poštovú schránku používateľa legoly.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Po správe Holubník je pripravený! postupujeme:
--- + OK Dovecot je pripravený! USER legolas +OK PASS legolas +OK Prihlásený. STAT +OK 1 559 LIST +OK 1 správy: 1 559 . RETR 1 + OK 559 oktetov spiatočná cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fanúšik Prijaté: od desdelinux.fan (Postfix, z ID používateľa 0) id 7EA22C11FC57; Pon, 22. máj 2017 10:47:10 -0400 (EDT) Dátum: Po, 22. máj 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Subject: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verzia: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (koreň) Dobrý deň. Toto je testovacia správa. KONIEC HOTOVO [root @ linuxbox ~] #
Diaľkové ovládače z počítača v sieti LAN
Pošleme ďalšiu správu komu Legolas z iného počítača v sieti LAN. Upozorňujeme, že zabezpečenie TLS NIE JE v sieti SME nevyhnutne potrebné.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.ventilátor\ -u "ahoj" \ -m "Zdravím Legolas od vášho priateľa Buzza" \ -s emailom.desdelinux.fan -o tls=nie 22. mája 10:53:08 sysadmin sendemail [5866]: E-mail bol úspešne odoslaný!
Ak sa pokúsime spojiť cez telnet Od hostiteľa v sieti LAN - alebo samozrejme z Internetu - po server Dovecot sa stane toto, pretože deaktivujeme overenie obyčajného textu:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Skúšam 192.168.10.5...
Pripojené k linuxboxu.desdelinux.ventilátor. Únikový znak je '^]'. +OK Dovecot je pripravený! užívateľ legolas
-ERR [AUTH] Overovanie v obyčajnom texte je zakázané na nezabezpečených (SSL / TLS) pripojeniach.
quit + OK Odhlasovanie Pripojenie ukončené zahraničným hostiteľom.
buzz @ sysadmin: ~ $
Musíme to dokázať OpenSSL. Úplný výstup príkazu by bol:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 PRIPOJENÉ (00000003) hĺbka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor overiť chybu: num = 18: vlastnoručne podpísaný certifikát overiť návrat: 1 hĺbka=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Nadšenci, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.ventilátor overiť návratnosť:1 --- Reťaz certifikátov 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.vydavateľ fanúšikov=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Nebol odoslaný žiadny klientsky certifikát s názvami CA Server Temp Key: ECDH, secp384r1, 384 bitov --- SSL handshake prečítal 1342 bajtov a zapísal 411 bajtov --- Nové, TLSv1/SSLv3, šifra je ECDHE-RSA-AES256 -Verejný kľúč servera GCM-SHA384 je 1024-bitový Zabezpečené opätovné vyjednávanie JE podporované Kompresia: ŽIADNA Rozšírenie: ŽIADNA SSL-relácia: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 ID relácie: 745C4BF0236204Esxsion-D16234 : Master-Kľúč: 15D9C3B084125CEA5989F5AF6AF5295D4C2F73F1904A204FD564CD76361F50373BC8879BFF793E7F7506neSKAr04473777 Hlav : Žiadne Tip na životnosť relácie TLS: 6 (sekúnd) Lístok relácie TLS: 3503 - 9e 919a f1 837 67a 29f 309 352526-ee f5 a5 300f fc ec 0000e 4c N:.)zOcr...O..~. 3 - 8c d29 be a7 be 4 63e ae-72 7e 6 4d 7 c1 0010 a2 ,......~.mE... 4 - db 8a 92 2 df 98b dc 7d-f87 6f 45 5e 17 d .:.......hn.... 8 - 0020 3 e86 eb 80 b8 a8 8-1 b68 ea f6 7 f3 c86 0030 .08......h...r ..y 35 - 5 98a 8 e4 98 a68 1b da-e7 72a 7 c1 79 bf 5 0040d .J(......z).w.". 89 - bd 4c f28 3 85c a4 8 bd-cb 9 7 29 7a dc 77 22 .\.a.....0'fz.Q( 0050 - b5 z 6 bd 61b 8f d1 ec-d14 e31 27 c66 7 51 b28 1 ..0060.+.... ...e ..7 35 - 2 0 f4 de 3 da ae 0-14 bd f8 b65 e03 1c cf 35 5..H..5........ 0070 - f38 34 8 48 31 b90 6c db-aa ee 0a d6 9b 19c dd 84 .BV.......Z..,.q 1 - 0080a f5 42 56 13 88 c0 8a-5 e7 1f 2c bf dc 71c a0090 z..p.. ..b. ....< Čas začiatku: 7 Časový limit: 1 (s) Overiť návratový kód: 03 (certifikát s vlastným podpisom) --- + OK Dovecot je pripravený! UŽÍVATEĽSKÉ legolas + OK PRESTAŤ legoly + OK Prihlásený. ZOZNAM + OK 1 správ: 1 1021. SPÄŤ 1 +OK 1021 oktetov návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prijaté: od sysadmina.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id 51886C11E8C0 predesdelinux.fan>; Pon, 22. máj 2017 15:09:11 -0400 (EDT) ID správy: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.ventilátor"desdelinux.fan> Predmet: Dobrý deň Dátum: Po, 22. máj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Verzia: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" Toto je viacdielna správa vo formáte MIME. Na správne zobrazenie tejto správy potrebujete e-mailový program kompatibilný s MIME verzia 1.0. ------Oddeľovač MIME pre odosielanieEmail-365707.724894495 Typ obsahu: text/obyčajný; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Pozdrav Legolas od tvojho priateľa Buzz ------MIME oddeľovač pre sendEmail-365707.724894495-- . KONIEC + OK Odhlasujem sa. zatvorené buzz @ sysadmin: ~ $
SquirrelMail
SquirrelMail je webový klient napísaný výhradne v PHP. Zahŕňa natívnu podporu PHP pre protokoly IMAP a SMTP a poskytuje maximálnu kompatibilitu s rôznymi používanými prehľadávačmi. Funguje správne na ľubovoľnom serveri IMAP. Má všetky funkcie, ktoré od e-mailového klienta potrebujete, vrátane podpory MIME, správy adresárov a priečinkov.
[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # reštart služby httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.ventilátor';
$imapServerAddress = 'mail.desdelinux.ventilátor';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.ventilátor';
[root @ linuxbox ~] # načítanie služby httpd
Záznam DNS Framenwork alebo SPF záznam
V článku Autoritatívny server DNS NSD + Shorewall Videli sme, že zóna «desdelinux.ventilátor» bol nakonfigurovaný nasledovne:
root@ns:~# nano /etc/nsd/desdelinux.fan.zóna $ORIGIN desdelinux.ventilátor. $ TTL 3H @ IN SOA č.desdelinux.ventilátor. koreň.desdelinux.ventilátor. (1; sériové 1D; obnovenie 1H; opakovanie 1W; expirácia 3H); minimálne alebo ; Negatívny čas ukladania do vyrovnávacej pamäte; @ IN NS ns.desdelinux.ventilátor. @ IN MX 10 e-mail.desdelinux.ventilátor. @ IN TXT "v=spf1 a:mail.desdelinux.fan-all" ; ; Registrácia na riešenie digových otázok desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME desdelinux.ventilátor. chat v CNAME desdelinux.ventilátor. www IN CNAME desdelinux.ventilátor. ; ; Záznamy SRV súvisiace s XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.ventilátor. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.ventilátor. _jabber._tcp IN SRV 0 0 5269 desdelinux.ventilátor.
V ňom je register deklarovaný:
@ IN TXT "v=spf1 a:mail.desdelinux.fan-all"
Ak chcete mať rovnaký parameter nakonfigurovaný pre sieť SME alebo LAN, musíme upraviť konfiguračný súbor Dnsmasq takto:
# TXT záznamy. Môžeme tiež deklarovať SPF záznam txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan-all"
Potom službu reštartujeme:
[root @ linuxbox ~] # reštartovanie služby dnsmasq [root@linuxbox ~]# stav dnsmasq služby [root@linuxbox ~]# pošta TXT hostiteľa -t.desdelinux.fanúšikovská pošta.desdelinux.fan je alias pre desdelinux.ventilátor. desdelinux.fanúšik popisný text "v=spf1 a:mail.desdelinux.fan-all"
Vlastné podpisy a Apache alebo httpd
Aj keď vám váš prehliadač hovorí, že «Vlastník mail.desdelinux.ventilátor Váš web ste nakonfigurovali nesprávne. Aby sa zabránilo odcudzeniu vašich informácií, Firefox sa nepripojil k tomuto webu “, predtým vygenerovaný certifikát JE TO PLATNÉ, a umožní to, aby poverenia medzi klientom a serverom mohli cestovať šifrované, keď prijmeme certifikát.
Ak chcete a ako spôsob zjednotenia certifikátov môžete pre Apache deklarovať rovnaké certifikáty, ktoré ste deklarovali pre Postfix, čo je správne.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.kľúč
[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # stav služby httpd
Skupina Diffie-Hellman
Otázka bezpečnosti sa na internete každým dňom stáva zložitejšou. Jeden z najbežnejších útokov na pripojenia SSL, je ním nakopenie plaveného dreva a na jeho obranu je potrebné do konfigurácie SSL pridať neštandardné parametre. K tomu existuje RFC-3526 «Viac modulárneho exponenciálu (MODP) diffie-hellman skupiny pre internetovú výmenu kľúčov (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out súkromné / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 súkromné / dhparams.pem
Podľa verzie Apache, ktorú sme si nainštalovali, použijeme zo súboru Diffie-Helman Group /etc/pki/tls/dhparams.pem. Ak je to verzia 2.4.8 alebo novšia, potom budeme musieť do súboru pridať /etc/httpd/conf.d/ssl.conf nasledujúci riadok:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Verzia Apache, ktorú používame, je:
[root @ linuxbox tls] # yum info httpd
Načítané doplnky: najrýchlejší Mirror, langpacks Načítanie rýchlostí zrkadiel z hostiteľského súboru v medzipamäti Nainštalované balíčky Názov: httpd Architektúra: x86_64
Verzia: 2.4.6
Vydanie: 45.el7.centos Veľkosť: 9.4 M Repozitár: nainštalovaný Z úložiska: Base-Repo Zhrnutie: Adresa URL servera Apache HTTP: http://httpd.apache.org/ Licencia: ASL 2.0 Popis: Server Apache HTTP je výkonný server , efektívny a rozšíriteľný: webový server.
Pretože máme verzi starší než 2.4.8, na konci predtým generovaného certifikátu CRT pridávame obsah skupiny Diffie-Helman Group:
[root @ linuxbox tls] # súkromná mačka / dhparams.pem >> certifikáty/desdelinux.fan.crt
Ak chcete skontrolovať, či boli parametre DH pridané do certifikátu CRT správne, vykonajte nasledujúce príkazy:
[root @ linuxbox tls] # súkromná mačka / dhparams.pem ----- ZAČÍNAME PARAMETRE DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONIEC PARAMETROV DH ----- [root@linuxbox tls]# mačacie certifikáty/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONIEC PARAMETROV DH -----
Po týchto zmenách musíme reštartovať služby Postfix a httpd:
[root @ linuxbox tls] # reštartovanie postfixu služby [root @ linuxbox tls] # stav postfixu služby [root @ linuxbox tls] # reštart služby httpd [root @ linuxbox tls] # stav httpd služby
Zahrnutie skupiny Diffie-Helman do našich certifikátov TLS môže spôsobiť, že pripojenie cez HTTPS bude o niečo pomalšie, ale pridanie zabezpečenia za to stojí.
Prebieha kontrola Squirrelmail
Despues že certifikáty sú správne vygenerované a že ich správnosť fungovania kontrolujeme pomocou príkazov konzoly, nasmerujte preferovaný prehliadač na adresu URL http://mail.desdelinux.fan/webmail a pripojí sa k webovému klientovi po prijatí príslušného certifikátu. Upozorňujeme, že aj keď zadáte protokol HTTP, bude presmerovaný na HTTPS. Je to spôsobené predvolenou konfiguráciou, ktorú CentOS ponúka pre Squirrelmail. Pozri súbor /etc/httpd/conf.d/squirrelmail.conf.
O poštových schránkach používateľov
Dovecot vytvorí poštové schránky IMAP v priečinku domov každého používateľa:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ spolu 12 drwxrwx ---. 5 legolas mail 4096 22. mája 12:39. drwx ------. 3 legolas legolas 75 22. mája 11:34 .. -rw -------. 1 legolas legolas 72 22. mája 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. mája 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 May 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 22. mája 10:23 DORUČENÉ správy drwx ------. 2 legolas legolas 56 22. mája 12:39 Odoslané drwx ------. 2 legolas legolas 30. mája 22 11:34 Kôš
Sú tiež uložené v / var / mail /
[root @ linuxbox ~] # menej / var / mail / legolas Od MAILER_DAEMON Po 22. máj 10:28:00 2017 Dátum: Po, 22. máj 2017 10:28:00 -0400 Od: Interné údaje systému pošty Predmet: NEODSTRAŇUJTE TÚTO SPRÁVU -- VNÚTORNÉ ÚDAJE PRIESTORU ID správy: <1495463280@linuxbox> . Vytvára sa automaticky softvérom poštového systému. Ak sa odstránia, dôležité údaje priečinka sa stratia a znova sa vytvoria s obnovením pôvodných hodnôt údajov. Od root@desdelinux.fan Po 22. máj 10:47:10 2017 Návrat-Cesta:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fanúšik Prijaté: od desdelinux.fan (Postfix, z ID používateľa 0) id 7EA22C11FC57; Pon, 22. máj 2017 10:47:10 -0400 (EDT) Dátum: Po, 22. máj 2017 10:47:10 -0400 Komu: legolas@desdelinux.fan Subject: Test User-Agent: Heirloom mailx 12.5 7/5/10 MIME verzia: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Stav: RO Dobrý deň. Toto je testovacia správa From buzz@deslinux.fan Po 22. máj 10:53:08 2017 Návratová cesta: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prijaté: od sysadmina.desdelinux.fan (brána [172.16.10.1]) od desdelinux.fan (Postfix) s ESMTP id C184DC11FC57 predesdelinux.fan>; Pon, 22. máj 2017 10:53:08 -0400 (EDT) ID správy: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Komu: "legolas@desdelinux.ventilátor"desdelinux.fan> Predmet: Dobrý deň Dátum: Po, 22. máj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Verzia: 1.0 Content-Type: multipart/related; boundary="----MIME oddeľovač pre sendEmail-794889.899510057 / var / mail / legolas
Zhrnutie minisérie PAM
Pozreli sme sa na jadro Mailserveru a kládli sme malý dôraz na bezpečnosť. Dúfame, že článok poslúži ako vstupný bod do témy, ktorá je rovnako komplikovaná a náchylná na chyby ako manuálna implementácia poštového servera.
Používame lokálne overovanie používateľov, pretože ak súbor prečítame správne /etc/dovecot/conf.d/10-auth.conf, uvidíme, že na konci je zahrnutá -v predvolenom nastavení- autentifikačný súbor používateľov systému ! zahrnúť auth-system.conf.ext. Tento súbor nám v záhlaví hovorí, že:
[root @ linuxbox ~] o # menej /etc/dovecot/conf.d/auth-system.conf.ext
# Autentifikácia pre používateľov systému. Zahrnuté v 10-auth.conf. # # # # Autentifikácia PAM. V dnešnej dobe uprednostňované väčšinou systémov.
# PAM sa zvyčajne používa buď s userdb passwd, alebo userdb static. # PAMÄTAJTE: Na skutočné fungovanie budete potrebovať súbor /etc/pam.d/dovecot vytvorený pre autentifikáciu PAM #. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = holubica}
A existuje ďalší súbor /etc/pam.d/dovecot:
[root @ linuxbox ~] # mačka /etc/pam.d/dovecot #% Vyžaduje sa autorizácia PAM-1.0 pam_nologin.so auth zahrnúť účet pre overenie hesla zahrnúť reláciu pre overenie hesla zahrnúť heslo pre overenie
Čo sa snažíme povedať o autentifikácii PAM?
- CentOS, Debian, Ubuntu a mnoho ďalších distribúcií Linuxu inštaluje Postifx a Dovecot s predvoleným povolením lokálnej autentifikácie.
- Mnoho článkov na internete používa MySQL - a v poslednej dobe MariaDB - na ukladanie používateľov a ďalších údajov týkajúcich sa poštového servera. ALE toto sú servery pre TISÍC POUŽÍVATEĽOV, a nie pre klasickú Sieť SME s - možno - stovkami používateľov.
- Autentifikácia prostredníctvom PAM je nevyhnutná a dostatočná na zabezpečenie sieťových služieb, pokiaľ bežia na jednom serveri, ako sme videli v tejto minisérii.
- Používateľov uložených v databáze LDAP je možné mapovať, akoby to boli lokálni používatelia, a autentifikáciu PAM možno použiť na poskytovanie sieťových služieb z rôznych serverov Linux, ktoré pôsobia ako klienti LDAP, na centrálny autentifikačný server. Týmto spôsobom by sme pracovali s prihlasovacími údajmi používateľov uložených v centrálnej databáze servera LDAP a NEBOL by nevyhnutné udržiavať databázu s lokálnymi používateľmi.
Až do ďalšieho dobrodružstva!
Verte mi, že v praxi ide o proces, ktorý spôsobuje viac ako jednému sysadminovi silné bolesti hlavy, som presvedčený, že v budúcnosti bude referenčnou príručkou pre každého, kto chce spravovať svoje vlastné e-maily, čo je praktický prípad, ktorý sa stane v abc pri integrácii postfix, holubník, squirrelmail ..
Ďakujem pekne za váš chvályhodný príspevok,
Prečo nepoužívať Mailpile, pokiaľ ide o bezpečnosť, s PGP? Roundcube má tiež oveľa intuitívnejšie rozhranie a môže tiež integrovať PGP.
Pred 3 dnami som si precitala prispevok, viem sa vam podakovat. Neplánujem inštalovať poštový server, ale vždy je užitočné vidieť vytváranie certifikátov, ktoré sú užitočné pre iné aplikácie a platnosť týchto návodov ťažko vyprší (najmä pri použití systému centOS).
Manuel Cillero: Ďakujeme za prepojenie tohto článku s vaším blogom, ktorý je minimálnym jadrom poštového servera založeného na serveroch Postfix a Dovecot.
Jašterica: Ako vždy, vaše hodnotenie je veľmi dobre prijaté. Ďakujem.
Darko: Takmer vo všetkých svojich článkoch viac-menej vyjadrujem, že „Každý implementuje služby pomocou programov, ktoré sa mu najviac páčia.“ Ďakujem za komentár.
Martin: Ďakujem vám aj za prečítanie článku a dúfam, že vám pomôže pri práci.
Obrovský článok, priateľ Federico. Veľmi pekne ďakujem za tak dobrú tuto.
vynikajúce, aj keď by som použil „virtuálnych používateľov“, aby som nemusel vytvárať používateľa systému zakaždým, keď pridám e-mail, vďaka, naučil som sa veľa nových vecí a na tento typ príspevku som čakal
Dobrý deň,
Odvážili by sa vyrobiť to isté s adresárovým serverom fedora + postifx + dovecot + thunderbird alebo outlook.
Mám časť, ale zasekol som sa, rád by som zdieľal dokument komunite @desdelinux
Nepredstavoval som si, že dosiahne viac ako 3000 návštev !!!
Pozdravujem jaštericu!
Vynikajúci kolega z tutoriálu.
Mohli by ste to urobiť pre Debian 10 s používateľmi Active Directory pripojenými k Samba4 ???
Predstavujem si, že by to bolo takmer rovnaké, ale so zmenou typu autentifikácie.
Sekcia, ktorú venujete vytváraniu certifikátov s vlastným podpisom, je veľmi zaujímavá.