Splošno kazalo serije: Računalniška omrežja za MSP: Uvod
Ta članek je nadaljevanje in zadnja mini serija:
- Squid + PAM preverjanje pristnosti na CentOS 7.
- Lokalno upravljanje uporabnikov in skupin
- Avtoritativni strežnik DNS NSD + Shorewall
- Prosody IM in lokalni uporabniki
Pozdravljeni prijatelji in prijatelji!
P Navdušenci želijo imeti svoj poštni strežnik. Ne želijo uporabljati strežnikov, kjer je med vprašanji »Zasebnost«. Oseba, zadolžena za izvajanje storitve na vašem majhnem strežniku, ni strokovnjak za to temo in bo najprej poskusila namestiti jedro prihodnjega in popolnega poštnega strežnika. Ali je "enačbe" za izdelavo celotnega poštnega strežnika nekoliko težko razumeti in uporabiti. 😉
Pripisi robnikov
- Jasno mora biti, katere funkcije izvaja vsak program, ki je vključen v poštni strežnik. Kot prvo vodilo podajamo vrsto uporabnih povezav z navedenim namenom njihovega obiska.
- Ročna izvedba celotne poštne storitve ročno in iz nič je naporen postopek, razen če ste eden od "izbranih", ki to vrsto nalog opravljate vsak dan. Poštni strežnik tvorijo - na splošno - različni programi, ki ločeno obdelujejo SMTP, POP / IMAP, Lokalno shranjevanje sporočil, naloge, povezane z obdelavo SPAM, Protivirusni programi itd. VSI programi morajo medsebojno pravilno komunicirati.
- Za upravljanje uporabnikov ne obstaja ena sama velikost ali »najboljše prakse«; kje in kako shraniti sporočila ali kako narediti, da vse komponente delujejo kot ena celota.
- Sestavljanje in uravnavanje poštnega strežnika sta ponavadi neprijetna pri zadevah, kot so dovoljenja in lastniki datotek, izbira uporabnika, ki bo zadolžen za določen postopek, ter majhne napake v nekaterih ezoteričnih konfiguracijskih datotekah.
- Če ne veste dobro, kaj počnete, bo končni rezultat negotov ali nekoliko nefunkcionalen poštni strežnik. Da na koncu izvajanja ne deluje, bo morda manjše zlo.
- Na internetu lahko najdemo veliko količino receptov, kako narediti poštni strežnik. Eden najbolj popolnih -po mojem zelo osebnem mnenju- je tista, ki jo ponuja avtor ivar abrahamsen v svoji trinajsti izdaji januarja 2017 «Kako nastaviti poštni strežnik v sistemu GNU / Linux".
- Priporočamo tudi branje članka «Poštni strežnik v Ubuntu 14.04: Postfix, Dovecot, MySQL«, ali «Poštni strežnik v Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Prav. Najboljšo dokumentacijo v zvezi s tem lahko najdete v angleščini.
- Čeprav nikoli ne delamo poštnega strežnika, ki bi ga natančno vodili Kako ... omenjeno v prejšnjem odstavku, nam bo že samo dejstvo, da bomo sledili po korakih, zelo dobro predstavilo, s čim se bomo soočili.
- Če želite v nekaj korakih imeti celoten poštni strežnik, lahko sliko prenesete iRedOS-0.6.0-CentOS-5.5-i386.iso, ali pa poiščite modernejšega, najsi bo to iRedOS ali iRedMail. To je način, ki ga osebno priporočam.
Namestili in konfigurirali bomo:
- Postfix kot strežnik Mčesen Transport Agent (SMTP).
- Dovecot kot strežnik POP - IMAP.
- Potrdila za povezave prek TLS.
- Squirrelmail kot spletni vmesnik za uporabnike.
- DNS zapis glede na «Okvir pošiljateljske politike»Ali SPF.
- Generiranje modulov Skupina Diffie Hellman za povečanje varnosti potrdil SSL.
Narediti je treba še:
Izvajati bi morali vsaj naslednje storitve:
- postgrey: Pravilniki strežnika Postfix za sive sezname in zavrnejo neželeno pošto.
- Amavisd-novo: skript, ki ustvari vmesnik med MTA ter antivirusnimi programi in filtri vsebine.
- Protivirusni program Clamav: protivirusni paket
- SpamAssassin: izvleček neželene pošte
- Razor (pyzor): Zajemanje neželene pošte prek distribuiranega in skupnega omrežja. Mreža Vipul Razor vzdržuje posodobljen katalog razmnoževanja neželene pošte ali neželene pošte.
- DNS zapis "DomainKeys Identified Mail" oz razširitev dkim.
Paketi postgrey, amavisd-new, clamav, spamassassin, britvica y pyzor Najdemo jih v skladiščih programov. Program bomo tudi našli openkim.
- Pravilna izjava zapisov DNS "SPF" in "DKIM" je bistvenega pomena, če ne želimo, da bi naš poštni strežnik pravkar začel delovati, če bi ga druge poštne storitve, kot je npr., Razglasile za nezaželeno ali proizvajalca neželene pošte ali neželene pošte. Gmail, Yahoo, hotmailitd.
Začetni pregledi
Ne pozabite, da je ta članek nadaljevanje drugih, ki se začnejo v Squid + PAM preverjanje pristnosti na CentOS 7.
Vmesnik LAN Ens32, povezan z notranjim omrežjem
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
OBMOČJE = javno
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN vmesnik povezan z internetom
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=172.16.10.10
NETMASK=255.255.255.0
# El Router ADSL está conectado a
# ésta interfaz con
# la siguiente dirección IP
GATEWAY=172.16.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
OBMOČJE = zunanje
Ločljivost DNS iz LAN-a
[root@linuxbox ~]# cat /etc/resolv.conf search desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail pošte.desdelinux.fan is an alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan has address 192.168.10.5 linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan. [root@linuxbox ~]# host mail.desdelinux.fan pošte.desdelinux.fan is an alias for linuxbox.desdelinux.fan. linuxbox.desdelinux.fan has address 192.168.10.5 linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.
Ločljivost DNS iz interneta
buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30 Using domain server: Name: 172.16.10.30 Address: 172.16.10.30#53 Aliases: mail.desdelinux.fan is an alias for desdelinux.fan. desdelinux.fan has address 172.16.10.10 desdelinux.fan mail is handled by 10 mail.desdelinux.fan.
Problemas al resolver localmente el nombre de host «desdelinux.fan»
Če imate težave z razreševanjem imena gostitelja «desdelinux.fan" Iz LAN, poskusite komentirati vrstico datoteke /etc/dnsmasq.conf kjer je razglašena local=/desdelinux.fan/. Nato znova zaženite Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte spodnjo vrstico: # local=/desdelinux.fan/ [root @ linuxbox ~] # ponovni zagon storitve dnsmasq Preusmeritev v / bin / systemctl znova zaženite dnsmasq.service [root @ linuxbox ~] # status dnsmasq storitve [root@linuxbox ~]# host desdelinux.fan desdelinux.fan has address 172.16.10.10 desdelinux.fan mail is handled by 10 mail.desdelinux.fan.
Postfix in Dovecot
Zelo obsežno dokumentacijo Postfix in Dovecot najdete na:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt ZDRUŽLJIVOST main.cf.default TLS_ACKNOWLEDGEMENTS primeri README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AVTORJI KOPIRANJE.MIT dovecot-openssl.cnf NOVICE wiki KOPIRANJE ChangeLog primer-konfiguracija PREBERI KOPIRANJE.LGPL dokumentacija.txt mkcert.sh solr-schema.xml
V CentOS 7 je Postfix MTA privzeto nameščen, ko izberemo možnost Infrastructure Server. Preveriti moramo, ali kontekst SELinux omogoča pisanje v Potfix v lokalno čakalno vrsto sporočil:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Spremembe v požarnem ziduD
Z uporabo grafičnega vmesnika za konfiguriranje požarnega zidu moramo zagotoviti, da so za vsako cono omogočene naslednje storitve in vrata:
# ------------------------------------------------- ----- # Popravki v požarnem ziduD # ------------------------------------------------- ----- # Požarni zid # Javna cona: storitve http, https, imap, pop3, smtp # Javno območje: vrata 80, 443, 143, 110, 25 # Zunanje območje: storitve http, https, imap, pop3s, smtp # Zunanje območje: vrata 80, 443, 143, 995, 25
Namestimo Dovecot in potrebne programe
[root @ linuxbox ~] # yum namestite dovecot mod_ssl procmail telnet
Najmanjša Dovecot konfiguracija
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoli =imap pop3 lmtp poslušati =*, :: prijava_pozdrav = Dovecot je pripravljen!
Izrecno onemogočimo avtentikacijo Dovecot v navadnem besedilu:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = da
Skupini izjavljamo potrebne privilegije za interakcijo z Dovecot in lokacijo sporočil:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = pošta mail_access_groups = pošta
Potrdila za Dovecot
Dovecot samodejno ustvari vaše testne certifikate na podlagi podatkov v datoteki /etc/pki/dovecot/dovecot-openssl.cnf. Če želite ustvariti nova potrdila v skladu z našimi zahtevami, moramo izvesti naslednje korake:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # country (2 letter code) C=CU # State or Province Name (full name) ST=Cuba # Locality Name (eg. city) L=Habana # Organization (eg. company) O=DesdeLinux.Fan # Organizational Unit Name (eg. section) OU=Entusiastas # Common Name (*.example.com is also possible) CN=*.desdelinux.fan # E-mail contact emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Odpravljamo potrdila o preizkusu
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: izbrisati običajno datoteko "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: izbrisati navadno datoteko "private / dovecot.pem"? (y / n) y
Kopiramo in izvedemo skript mkcert.sh iz imenika dokumentacije
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generating a 1024 bit RSA private key ......++++++ ................++++++ writing new private key to '/etc/pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / skupaj 4 -rw -------. 1 korenski koren 1029 22. maja 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l zasebno / skupaj 4 -rw -------. 1 korenski koren 916 22. maja 16:08 dovecot.pem [root @ linuxbox dovecot] # ponovni zagon storitve dovecot [root @ linuxbox dovecot] # status dovecot storitve
Potrdila za Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Generating a 4096 bit RSA private key .........++ ..++ writing new private key to 'private/dominio.tld.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CU State or Province Name (full name) []:Cuba Locality Name (eg, city) [Default City]:Habana Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan Organizational Unit Name (eg, section) []:Entusiastas Common Name (eg, your name or your server's hostname) []:desdelinux.fan Email Address []:buzz@desdelinux.fan
Minimalna konfiguracija Postfix
Dodamo na konec datoteke / etc / vzdevki naslednji:
koren: brenčanje
Da spremembe začnejo veljati, izvedemo naslednji ukaz:
[root @ linuxbox ~] # newaliases
Konfiguracijo Postifx lahko izvedete z neposrednim urejanjem datoteke /etc/postfix/main.cf ali po ukazu postconf -e skrbimo, da se vsi parametri, ki jih želimo spremeniti ali dodati, odražajo v eni vrstici konzole:
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena' [root @ linuxbox ~] # postconf -e 'inet_interfaces = vsi' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Dodamo na konec datoteke /etc/postfix/main.cf spodaj navedene možnosti. Če želite vedeti pomen vsakega od njih, priporočamo, da preberete spremno dokumentacijo.
biff = št append_dot_mydomain = št čas zakasnitve_opozorila = 4 ure readme_directory = št smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = da smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = dovoljenje_mreže dovoljenje_sasl_authenticated defer_unauth_destination # Največja velikost nabiralnika 1024 megabajtov = 1 g in g mailbox_size_limit = 1073741824 prejemnik_delimiter = + maksimalno_tevilo_ivotne dobe = 7d header_checks = regularni izraz: / etc / postfix / header_checks body_checks = regularni izraz: / etc / postfix / body_checks # Računi, ki pošljejo kopijo dohodne pošte na drug račun prejemnik_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Naslednje vrstice so pomembne za določitev, kdo lahko pošilja pošto in posreduje drugim strežnikom, da nenamerno ne konfiguriramo "odprtega releja", ki nepooblaščenim uporabnikom omogoča pošiljanje pošte. Če želite razumeti, kaj posamezna možnost pomeni, si oglejte strani s pomočjo Postfix.
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
smtpd_helo_restrictions = dovoli_moja omrežja,
warn_if_reject reject_non_fqdn_hostname,
zavrni_neveljavno_ime gostitelja,
omogočajo
smtpd_sender_restrictions = dovoljenje_sasl_authenticated,
dovoljenje_mreža,
warn_if_reject reject_non_fqdn_sender,
zavrni_neznano_datoteko_pošiljatelja,
reject_unauth_pipelining,
omogočajo
smtpd_client_restrictions = zavrni_rbl_client sbl.spamhaus.org,
zavrni_rbl_klient blackholes.easynet.nl
# OPOMBA: Možnost "check_policy_service inet: 127.0.0.1: 10023"
# omogoča program Postgrey in ga ne smemo vključiti
# drugače bomo uporabili Postgrey
smtpd_recipient_restrictions = zavrni_nautino_pipeliniranje,
dovoljenje_mreža,
dovoljenje_sasl_authenticated,
zavrni_ne_fqdn_prejemnik,
zavrni_neznano_prejemniško_domena,
zavrni_navtino_navedbo,
check_policy_service inet: 127.0.0.1: 10023,
omogočajo
smtpd_data_restrictions = zavrni_nautino_pipeliranje
smtpd_relay_restrictions = zavrni_unauth_pipelining,
dovoljenje_mreža,
dovoljenje_sasl_authenticated,
zavrni_ne_fqdn_prejemnik,
zavrni_neznano_prejemniško_domena,
zavrni_navtino_navedbo,
check_policy_service inet: 127.0.0.1: 10023,
omogočajo
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da
Datoteke ustvarimo / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyin spremenite datoteko / etc / postfix / header_checks.
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Če je ta datoteka spremenjena, ni treba # zagnati postmapa # Če želite preizkusiti pravila, zaženite kot root: # postmap -q 'super nov v1agra' regularni izraz: / etc / postfix / body_checks
# Naj se vrne: # ZAVRNITE Pravilo # 2 Telo sporočila proti neželeni pošti
/ viagra / REJECT Pravilo # 1 Proti neželeni pošti sporočila
/ super new v [i1] agra / REJECT Pravilo # 2 Zaščita pred neželeno pošto sporočila
[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po spremembi morate izvesti: # postmap / etc / postfix / accounts_ forwarding_copy
# in datoteka je ustvarjena ali izmerjena: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.fan
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na konec datoteke # NE ZAHTEVA poštnega zemljevida, saj so regularni izrazi
/ ^ Zadeva: =? Big5? / REJECT Kitajsko kodiranje tega strežnika ne sprejema
/ ^ Zadeva: =? EUC-KR? / REJECT Korejsko kodiranje tega strežnika ne dovoljuje
/ ^ Zadeva: ADV: / REJECT Oglaševanje, ki ga ta strežnik ne sprejema
/^ Od :.*\@.*\.cn/ ZAVRNI
/^Od:.*\@.*\.kr/ ZAVRNI Žal korejska pošta tukaj ni dovoljena
/^Od:.*\@.*\.tr/ ZAVRNI Oprostite, turška pošta tukaj ni dovoljena
/^Od:.*\@.*\.ro/ ZAVRNITE Oprostite, romunska pošta tukaj ni dovoljena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker News | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masovni pošiljatelji niso dovoljeni.
/ ^ Od: "neželena pošta / ZAVRNI
/ ^ Od: "neželena pošta / ZAVRNI
/^ Predmet :.*viagra/ ZAVRNI
# Nevarne razširitve
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne sprejemamo prilog s temi razširitvami
Preverimo skladnjo, znova zaženemo Apache in Postifx ter omogočimo in zaženemo Dovecot
[root @ linuxbox ~] # preverjanje postfix [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl znova zaženite httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl znova zaženite postfix [root @ linuxbox ~] # postfiks stanja systemctl [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - e-poštni strežnik Dovecot IMAP / POP3 Naloženo: naloženo (/usr/lib/systemd/system/dovecot.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo) [root @ linuxbox ~] # systemctl omogoči dovecot [root @ linuxbox ~] # systemctl start dovecot [root @ linuxbox ~] # systemctl znova zaženite golobico [root @ linuxbox ~] # systemctl status dovecot
Preverjanja na ravni konzole
- Preden nadaljujete z namestitvijo in konfiguracijo drugih programov, je zelo pomembno, da opravite najmanj potrebne preglede storitev SMTP in POP..
Lokalno od samega strežnika
Lokalnemu uporabniku pošljemo e-pošto Legolas.
[root @ linuxbox ~] # echo "Pozdravljeni. To je testno sporočilo" | mail -s "Test" legolas
Preverjamo nabiralnik legole.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Po sporočilu Dovecot je pripravljen! nadaljujemo:
--- + OK Dovecot je pripravljen! USER legolas +OK PASS legolas +OK Logged in. STAT +OK 1 559 LIST +OK 1 messages: 1 559 . RETR 1 +OK 559 octets Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hola. Este es un mensaje de prueba . QUIT DONE [root @ linuxbox ~] #
Daljinski upravljalniki iz računalnika v LAN-u
Pošljimo še eno sporočilo Legolas iz drugega računalnika v LAN-u. Upoštevajte, da v omrežju MSP varnost TLS NI nujno potrebna.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fan\ -u "Pozdravljeni" \ -m "Legolas od vašega prijatelja Buzz" -s mail.desdelinux.fan -o tls=no 22. maj 10:53:08 sysadmin sendemail [5866]: E-pošta je bila uspešno poslana!
Če se poskusimo povezati skozi telnet Od gostitelja v LAN-u - ali prek interneta, seveda - do Dovecota, se bo zgodilo naslednje, ker onemogočimo avtentifikacijo v odprtem besedilu:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Preverjanje pristnosti v odprtem besedilu ni dovoljeno na povezavah, ki niso varne (SSL / TLS).
izhod + OK Odjava Povezava je zaprta s strani tujega gostitelja.
buzz @ sysadmin: ~ $
To moramo storiti skozi openssl. Celotni izhod ukaza bi bil:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 POVEZAN (00000003) depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan napaka preverjanja: num = 18: samopodpisano potrdilo preverjanje vrnitve: 1 depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan verify return:1 --- Certificate chain 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- No client certificate CA names sent Server Temp Key: ECDH, secp384r1, 384 bits --- SSL handshake has read 1342 bytes and written 411 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,........~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:........hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.......e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p....b.....<. Start Time: 1495484262 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- + OK Dovecot je pripravljen! UPORABNIŠKE legole + V redu PASS legole + V redu Prijavi se. SEZNAM + OK 1 sporočila: 1 1021. NAZAJ 1 +OK 1021 octets Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0 for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT) Message-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program. ------MIME delimiter for sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Saludos Legolas de tu amigo Buzz ------MIME delimiter for sendEmail-365707.724894495-- . QUIT + V redu Odjava. zaprto buzz @ sysadmin: ~ $
Squirrelmail
Squirrelmail je spletni odjemalec, v celoti napisan v PHP. Vključuje izvorno podporo PHP za protokola IMAP in SMTP ter zagotavlja največjo združljivost z različnimi uporabljenimi brskalniki. Pravilno deluje na katerem koli strežniku IMAP. Ima vse funkcije, ki jih potrebujete od e-poštnega odjemalca, vključno s podporo za MIME, imenikom in upravljanjem map.
[root @ linuxbox ~] # yum namestite squirrelmail
[root @ linuxbox ~] # ponovni zagon storitve httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fan';
$imapServerAddress = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # ponovno naloži storitev httpd
DNS Pošiljanje pravilnika Framenwork ali zapis SPF
V članku Avtoritativni strežnik DNS NSD + Shorewall vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:
root@ns:~# nano /etc/nsd/desdelinux.fan.zone $ORIGIN desdelinux.fan. $TTL 3H @ IN SOA ns.desdelinux.fan. root.desdelinux.fan. ( 1 ; serial 1D ; refresh 1H ; retry 1W ; expire 3H ) ; minimum or ; Negative caching time to live ; @ IN NS ns.desdelinux.fan. @ IN MX 10 mail.desdelinux.fan. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Registro para resolver consultas dig desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME desdelinux.fan. chat IN CNAME desdelinux.fan. www IN CNAME desdelinux.fan. ; ; Registros SRV relativos al XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.fan.
V njem je razviden register:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -all"
Če želite imeti enak parameter konfiguriran za omrežje SME ali LAN, moramo konfiguracijsko datoteko Dnsmasq spremeniti na naslednji način:
# Registros TXT. Podemos declarar también un registro SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"
Nato storitev znova zaženemo:
[root @ linuxbox ~] # ponovni zagon storitve dnsmasq [root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.fan mail.desdelinux.fan is an alias for desdelinux.fan. desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"
Samopodpisana potrdila in Apache ali httpd
Tudi če vam brskalnik pove, da «Lastnik pošte.desdelinux.fan Napačno ste konfigurirali svoje spletno mesto. Da bi preprečil krajo vaših podatkov, Firefox ni vzpostavil povezave s tem spletnim mestom «, predhodno ustvarjenim potrdilom VELJA VELJAVNOin bo omogočil, da bodo poverilnice med odjemalcem in strežnikom šifrirane, potem ko bomo potrdilo sprejeli.
Če želite in kot način poenotenja potrdil lahko za Apache prijavite enaka potrdila, kot ste jih prijavili za Postfix, kar je pravilno.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # storitev httpd status
Skupina Diffie-Hellman
Tema Varnost je vsak dan težja na internetu. Eden najpogostejših napadov na povezave SSL, je zastoj in za obrambo pred njo je treba v konfiguracijo SSL dodati nestandardne parametre. Za to obstaja RFC-3526 «Bolj modularno eksponentno (MODP) Diffie–Hellman skupine za internetno izmenjavo ključev (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Glede na različico Apacheja, ki smo jo namestili, bomo iz datoteke uporabili skupino Diffie-Helman /etc/pki/tls/dhparams.pem. Če gre za različico 2.4.8 ali novejšo, jo bomo morali dodati v datoteko /etc/httpd/conf.d/ssl.conf naslednja vrstica:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Različica Apache, ki jo uporabljamo, je:
[root @ linuxbox tls] # yum info httpd
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Nalaganje hitrosti zrcal iz predpomnjene datoteke gostitelja Nameščeni paketi Ime: httpd Arhitektura: x86_64
Različica: 2.4.6
Izdaja: 45.el7.centos Velikost: 9.4 M Repozitorij: nameščen Iz repozitorija: Base-Repo Povzetek: URL strežnika Apache HTTP: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Strežnik Apache HTTP je zmogljiv , učinkovit in razširljiv: spletni strežnik.
Ker imamo različico pred 2.4.8, na koncu predhodno ustvarjenega certifikata CRT dodamo vsebino skupine Diffie-Helman:
[root @ linuxbox tls] # mačka private / dhparams.pem >> certs/desdelinux.fan.crt
Če želite preveriti, ali so bili parametri DH pravilno dodani potrdilu CRT, izvedite naslednje ukaze:
[root @ linuxbox tls] # mačka private / dhparams.pem ----- ZAČNI PARAMETRI DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONČNI PARAMETRI DH ----- [root@linuxbox tls]# cat certs/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONČNI PARAMETRI DH -----
Po teh spremembah moramo znova zagnati storitve Postfix in httpd:
[root @ linuxbox tls] # ponovni zagon storitve postfix [root @ linuxbox tls] # status postfix storitve [root @ linuxbox tls] # ponovni zagon storitve httpd [root @ linuxbox tls] # status httpd storitve
Vključitev skupine Diffie-Helman v naša potrdila TLS bo morda nekoliko počasneje povezovala HTTPS, vendar se dodajanje varnosti splača.
Preverjanje veverice
PO da so potrdila pravilno ustvarjena in da preverjamo njihovo pravilno delovanje, kot smo to storili z ukazi konzole, usmerite želeni brskalnik na URL http://mail.desdelinux.fan/webmail in se bo po sprejetju ustreznega potrdila povezal s spletnim odjemalcem. Čeprav določite protokol HTTP, bo preusmerjen na HTTPS, kar je posledica privzete konfiguracije, ki jo CentOS ponuja za Squirrelmail. Glej datoteko /etc/httpd/conf.d/squirrelmail.conf.
O nabiralnikih uporabnikov
Dovecot v mapi ustvari nabiralnike IMAP domov vsakega uporabnika:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ skupaj 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legole legole 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 22. maj 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legoli mail 56 22. maj 10:23 INBOX drwx ------. 2 legole legole 56 22. maj 12:39 Poslano drwx ------. 2 legole legole 30. maja 22 11:34 Smetnjak
Shranjeni so tudi v / var / mail /
[root @ linuxbox ~] # manj / var / mail / legolas From MAILER_DAEMON Mon May 22 10:28:00 2017 Date: Mon, 22 May 2017 10:28:00 -0400 From: Mail System Internal Data <MAILER-DAEMON@linuxbox> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1495463280@linuxbox> X-IMAP: 1495462351 0000000008 Status: RO This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values. From root@desdelinux.fan Mon May 22 10:47:10 2017 Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hola. Este es un mensaje de prueba From buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57 for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT) Message-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057 / var / mail / legolas
Povzetek mini serije PAM
Preučili smo jedro poštnega strežnika in nekoliko poudarili varnost. Upamo, da članek služi kot vstopna točka za tako zapleteno in dovzetno napako, saj gre za ročno izvajanje poštnega strežnika.
Uporabljamo lokalno avtentikacijo uporabnika, ker če datoteko pravilno preberemo /etc/dovecot/conf.d/10-auth.conf, bomo videli, da je na koncu vključen -privzeto- avtentikacijska datoteka uporabnikov sistema ! vključuje auth-system.conf.ext. Ravno ta datoteka nam v glavi pove, da:
[root @ linuxbox ~] # manj /etc/dovecot/conf.d/auth-system.conf.ext
# Preverjanje pristnosti za uporabnike sistema. Vključeno iz 10-auth.conf. # # # # Preverjanje pristnosti PAM. Danes je všeč večini sistemov.
# PAM se običajno uporablja bodisi z userdb passwd bodisi userdb static. # ZAPOMNI: Potrebovali boste datoteko /etc/pam.d/dovecot, ustvarjeno za preverjanje pristnosti PAM #, da bo dejansko delovala. passdb {gonilnik = pam # [seja = da] [setcred = da] [neuspeh_pokazati_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}
In druga datoteka obstaja /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth
Kaj poskušamo sporočiti o preverjanju pristnosti PAM?
- CentOS, Debian, Ubuntu in številne druge distribucije Linuxa namestijo Postifx in Dovecot z lokalno overitvijo, ki je privzeto omogočena.
- Številni članki na internetu uporabljajo MySQL - in v zadnjem času MariaDB - za shranjevanje uporabnikov in drugih podatkov o poštnem strežniku. A to so strežniki za TISOČE UPORABNIKOV in ne za klasično MSP omrežje z - morda - stotimi uporabniki.
- Preverjanje pristnosti prek PAM je potrebno in zadostno za zagotavljanje omrežnih storitev, če delujejo na enem strežniku, kot smo videli v tej seriji.
- Uporabnike, shranjene v zbirki podatkov LDAP, lahko preslikate, kot da gre za lokalne uporabnike, overitev PAM pa lahko uporabite za zagotavljanje omrežnih storitev iz različnih strežnikov Linux, ki delujejo kot odjemalci LDAP za osrednji strežnik za preverjanje pristnosti. Na ta način bi delali s poverilnicami uporabnikov, ki so shranjene v bazi podatkov osrednjega strežnika LDAP, in NE bi bilo bistvenega pomena vzdrževanje baze podatkov z lokalnimi uporabniki.
Do naslednje pustolovščine!
Verjemite mi, da je v praksi to postopek, ki več kot enega sysadmina povzroča hude preglavice, prepričan sem, da bo v prihodnosti to referenčno vodilo za vse, ki želijo upravljati lastno e-pošto, praktičen primer, ki postane abc, ko integracija postfix, dovecot, squirrelmail ..
Najlepša hvala za vaš hvalevreden prispevek,
Zakaj ne bi uporabljali Mailpile, ko gre za varnost, s PGP? Tudi Roundcube ima veliko bolj intuitiven vmesnik in lahko vključuje tudi PGP.
Pred tremi dnevi sem prebrala prispevek, vem se vam zahvaliti. Ne nameravam namestiti poštnega strežnika, vendar je vedno koristno videti ustvarjanje potrdil, uporabnih za druge programe in te vaje skorajda ne potečejo (še posebej, če uporabljate centOS).
Manuel Cillero: Hvala, ker ste se povezali s svojim blogom in iz tega članka, ki je minimalno jedro poštnega strežnika, ki temelji na Postfix in Dovecot.
Kuščar: Kot vedno je bila vaša ocena zelo dobro sprejeta. Hvala vam.
Darko: V skoraj vseh svojih člankih bolj ali manj izrazim, da "Vsak izvaja storitve s programi, ki so mu najbolj všeč." Hvala za komentar.
Martin: Zahvaljujem se vam tudi za branje članka in upam, da vam bo pomagal pri vašem delu.
Izjemen član član Federico. Najlepša hvala za tako dober tuto.
Odlično, čeprav bi se z "virtualnimi uporabniki" izognil ustvarjanju sistemskega uporabnika vsakič, ko dodam e-poštno sporočilo, hvala, naučil sem se veliko novih stvari in to je vrsta objave, ki sem jo čakal
Dober dan,
Spodbujali bi jih, da naredijo istega z imeniškim strežnikom fedora + postifx + dovecot + thunderbird ali Outlook.
Tengo una parte pero estoy pegado, con gusto compartiria el documento a la comunidad @desdelinux
Nisem si predstavljal, da bo dosegel več kot 3000 obiskov !!!
Lep pozdrav Kuščar!
Odličen kolega z vajami.
Bi lahko to storili za Debian 10 z uporabniki Active Directory, nameščen na Samba4 ???
Mislim, da bi bilo skoraj enako, vendar bi spremenili vrsto preverjanja pristnosti.
Razdelek, ki ga namenjate ustvarjanju samopodpisanih potrdil, je zelo zanimiv.