Postfix + Dovecot + Squirrelmail in lokalni uporabniki - MSP omrežja

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Ta članek je nadaljevanje in zadnja mini serija:

Pozdravljeni prijatelji in prijatelji!

P Navdušenci želijo imeti svoj poštni strežnik. Ne želijo uporabljati strežnikov, kjer je med vprašanji »Zasebnost«. Oseba, zadolžena za izvajanje storitve na vašem majhnem strežniku, ni strokovnjak za to temo in bo najprej poskusila namestiti jedro prihodnjega in popolnega poštnega strežnika. Ali je "enačbe" za izdelavo celotnega poštnega strežnika nekoliko težko razumeti in uporabiti. 😉

Pripisi robnikov

  • Jasno mora biti, katere funkcije izvaja vsak program, ki je vključen v poštni strežnik. Kot prvo vodilo podajamo vrsto uporabnih povezav z navedenim namenom njihovega obiska.
  • Ročna izvedba celotne poštne storitve ročno in iz nič je naporen postopek, razen če ste eden od "izbranih", ki to vrsto nalog opravljate vsak dan. Poštni strežnik tvorijo - na splošno - različni programi, ki ločeno obdelujejo SMTP, POP / IMAP, Lokalno shranjevanje sporočil, naloge, povezane z obdelavo SPAM, Protivirusni programi itd. VSI programi morajo medsebojno pravilno komunicirati.
  • Za upravljanje uporabnikov ne obstaja ena sama velikost ali »najboljše prakse«; kje in kako shraniti sporočila ali kako narediti, da vse komponente delujejo kot ena celota.
  • Sestavljanje in uravnavanje poštnega strežnika sta ponavadi neprijetna pri zadevah, kot so dovoljenja in lastniki datotek, izbira uporabnika, ki bo zadolžen za določen postopek, ter majhne napake v nekaterih ezoteričnih konfiguracijskih datotekah.
  • Če ne veste dobro, kaj počnete, bo končni rezultat negotov ali nekoliko nefunkcionalen poštni strežnik. Da na koncu izvajanja ne deluje, bo morda manjše zlo.
  • Na internetu lahko najdemo veliko količino receptov, kako narediti poštni strežnik. Eden najbolj popolnih -po mojem zelo osebnem mnenju- je tista, ki jo ponuja avtor ivar abrahamsen v svoji trinajsti izdaji januarja 2017 «Kako nastaviti poštni strežnik v sistemu GNU / Linux".
  • Priporočamo tudi branje članka «Poštni strežnik v Ubuntu 14.04: Postfix, Dovecot, MySQL«, ali «Poštni strežnik v Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Prav. Najboljšo dokumentacijo v zvezi s tem lahko najdete v angleščini.
    • Čeprav nikoli ne delamo poštnega strežnika, ki bi ga natančno vodili Kako ... omenjeno v prejšnjem odstavku, nam bo že samo dejstvo, da bomo sledili po korakih, zelo dobro predstavilo, s čim se bomo soočili.
  • Če želite v nekaj korakih imeti celoten poštni strežnik, lahko sliko prenesete iRedOS-0.6.0-CentOS-5.5-i386.iso, ali pa poiščite modernejšega, najsi bo to iRedOS ali iRedMail. To je način, ki ga osebno priporočam.

Namestili in konfigurirali bomo:

Narediti je treba še:

Izvajati bi morali vsaj naslednje storitve:

  • postgrey: Pravilniki strežnika Postfix za sive sezname in zavrnejo neželeno pošto.
  • Amavisd-novo: skript, ki ustvari vmesnik med MTA ter antivirusnimi programi in filtri vsebine.
  • Protivirusni program Clamav: protivirusni paket
  • SpamAssassin: izvleček neželene pošte
  • Razor (pyzor): Zajemanje neželene pošte prek distribuiranega in skupnega omrežja. Mreža Vipul Razor vzdržuje posodobljen katalog razmnoževanja neželene pošte ali neželene pošte.
  • DNS zapis "DomainKeys Identified Mail" oz razširitev dkim.

Paketi postgrey, amavisd-new, clamav, spamassassin, britvica y pyzor Najdemo jih v skladiščih programov. Program bomo tudi našli openkim.

  • Pravilna izjava zapisov DNS "SPF" in "DKIM" je bistvenega pomena, če ne želimo, da bi naš poštni strežnik pravkar začel delovati, če bi ga druge poštne storitve, kot je npr., Razglasile za nezaželeno ali proizvajalca neželene pošte ali neželene pošte. Gmail, Yahoo, hotmailitd.

Začetni pregledi

Ne pozabite, da je ta članek nadaljevanje drugih, ki se začnejo v Squid + PAM preverjanje pristnosti na CentOS 7.

Vmesnik LAN Ens32, povezan z notranjim omrežjem

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
OBMOČJE = javno

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN vmesnik povezan z internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=172.16.10.10
NETMASK=255.255.255.0
# El Router ADSL está conectado a
# ésta interfaz con
# la siguiente dirección IP
GATEWAY=172.16.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
OBMOČJE = zunanje

Ločljivost DNS iz LAN-a

[root@linuxbox ~]# cat /etc/resolv.conf 
search desdelinux.fan
nameserver 127.0.0.1
nameserver 172.16.10.30

[root@linuxbox ~]# host mail
pošte.desdelinux.fan is an alias for linuxbox.desdelinux.fan.
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

[root@linuxbox ~]# host mail.desdelinux.fan
pošte.desdelinux.fan is an alias for linuxbox.desdelinux.fan.
linuxbox.desdelinux.fan has address 192.168.10.5
linuxbox.desdelinux.fan mail is handled by 1 mail.desdelinux.fan.

Ločljivost DNS iz interneta

buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30
Using domain server:
Name: 172.16.10.30
Address: 172.16.10.30#53
Aliases: 

mail.desdelinux.fan is an alias for desdelinux.fan.
desdelinux.fan has address 172.16.10.10
desdelinux.fan mail is handled by 10 mail.desdelinux.fan.

Problemas al resolver localmente el nombre de host «desdelinux.fan»

Če imate težave z razreševanjem imena gostitelja «desdelinux.fan" Iz LAN, poskusite komentirati vrstico datoteke /etc/dnsmasq.conf kjer je razglašena local=/desdelinux.fan/. Nato znova zaženite Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte spodnjo vrstico:
# local=/desdelinux.fan/

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
Preusmeritev v / bin / systemctl znova zaženite dnsmasq.service

[root @ linuxbox ~] # status dnsmasq storitve

[root@linuxbox ~]# host desdelinux.fan
desdelinux.fan has address 172.16.10.10
desdelinux.fan mail is handled by 10 mail.desdelinux.fan.

Postfix in Dovecot

Zelo obsežno dokumentacijo Postfix in Dovecot najdete na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt ZDRUŽLJIVOST main.cf.default TLS_ACKNOWLEDGEMENTS primeri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AVTORJI KOPIRANJE.MIT dovecot-openssl.cnf NOVICE wiki KOPIRANJE ChangeLog primer-konfiguracija PREBERI KOPIRANJE.LGPL dokumentacija.txt mkcert.sh solr-schema.xml

V CentOS 7 je Postfix MTA privzeto nameščen, ko izberemo možnost Infrastructure Server. Preveriti moramo, ali kontekst SELinux omogoča pisanje v Potfix v lokalno čakalno vrsto sporočil:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Spremembe v požarnem ziduD

Z uporabo grafičnega vmesnika za konfiguriranje požarnega zidu moramo zagotoviti, da so za vsako cono omogočene naslednje storitve in vrata:

# ------------------------------------------------- -----
# Popravki v požarnem ziduD
# ------------------------------------------------- -----
# Požarni zid
# Javna cona: storitve http, https, imap, pop3, smtp
# Javno območje: vrata 80, 443, 143, 110, 25

# Zunanje območje: storitve http, https, imap, pop3s, smtp
# Zunanje območje: vrata 80, 443, 143, 995, 25

Namestimo Dovecot in potrebne programe

[root @ linuxbox ~] # yum namestite dovecot mod_ssl procmail telnet

Najmanjša Dovecot konfiguracija

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli =imap pop3 lmtp
poslušati =*, ::
prijava_pozdrav = Dovecot je pripravljen!

Izrecno onemogočimo avtentikacijo Dovecot v navadnem besedilu:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = da

Skupini izjavljamo potrebne privilegije za interakcijo z Dovecot in lokacijo sporočil:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Potrdila za Dovecot

Dovecot samodejno ustvari vaše testne certifikate na podlagi podatkov v datoteki /etc/pki/dovecot/dovecot-openssl.cnf. Če želite ustvariti nova potrdila v skladu z našimi zahtevami, moramo izvesti naslednje korake:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
# country (2 letter code)
C=CU
# State or Province Name (full name)
ST=Cuba
# Locality Name (eg. city)
L=Habana
# Organization (eg. company)
O=DesdeLinux.Fan
# Organizational Unit Name (eg. section)
OU=Entusiastas
# Common Name (*.example.com is also possible)
CN=*.desdelinux.fan
# E-mail contact
emailAddress=buzz@desdelinux.fan
[ cert_type ]
nsCertType = server

Odpravljamo potrdila o preizkusu

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izbrisati običajno datoteko "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izbrisati navadno datoteko "private / dovecot.pem"? (y / n) y

Kopiramo in izvedemo skript mkcert.sh iz imenika dokumentacije

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----
subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
skupaj 4 -rw -------. 1 korenski koren 1029 22. maja 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l zasebno /
skupaj 4 -rw -------. 1 korenski koren 916 22. maja 16:08 dovecot.pem

[root @ linuxbox dovecot] # ponovni zagon storitve dovecot
[root @ linuxbox dovecot] # status dovecot storitve

Potrdila za Postfix

[root@linuxbox ~]# cd /etc/pki/tls/
[root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \
-out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

Generating a 4096 bit RSA private key
.........++
..++
writing new private key to 'private/dominio.tld.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CU
State or Province Name (full name) []:Cuba
Locality Name (eg, city) [Default City]:Habana
Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan
Organizational Unit Name (eg, section) []:Entusiastas
Common Name (eg, your name or your server's hostname) []:desdelinux.fan
Email Address []:buzz@desdelinux.fan

Minimalna konfiguracija Postfix

Dodamo na konec datoteke / etc / vzdevki naslednji:

koren: brenčanje

Da spremembe začnejo veljati, izvedemo naslednji ukaz:

[root @ linuxbox ~] # newaliases

Konfiguracijo Postifx lahko izvedete z neposrednim urejanjem datoteke /etc/postfix/main.cf ali po ukazu postconf -e skrbimo, da se vsi parametri, ki jih želimo spremeniti ali dodati, odražajo v eni vrstici konzole:

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = vsi'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dodamo na konec datoteke /etc/postfix/main.cf spodaj navedene možnosti. Če želite vedeti pomen vsakega od njih, priporočamo, da preberete spremno dokumentacijo.

biff = št
append_dot_mydomain = št
čas zakasnitve_opozorila = 4 ure
readme_directory = št
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls = da
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = dovoljenje_mreže dovoljenje_sasl_authenticated defer_unauth_destination

# Največja velikost nabiralnika 1024 megabajtov = 1 g in g
mailbox_size_limit = 1073741824

prejemnik_delimiter = +
maksimalno_tevilo_ivotne dobe = 7d
header_checks = regularni izraz: / etc / postfix / header_checks
body_checks = regularni izraz: / etc / postfix / body_checks

# Računi, ki pošljejo kopijo dohodne pošte na drug račun
prejemnik_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Naslednje vrstice so pomembne za določitev, kdo lahko pošilja pošto in posreduje drugim strežnikom, da nenamerno ne konfiguriramo "odprtega releja", ki nepooblaščenim uporabnikom omogoča pošiljanje pošte. Če želite razumeti, kaj posamezna možnost pomeni, si oglejte strani s pomočjo Postfix.

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
smtpd_helo_restrictions = dovoli_moja omrežja,
 warn_if_reject reject_non_fqdn_hostname,
 zavrni_neveljavno_ime gostitelja,
 omogočajo

smtpd_sender_restrictions = dovoljenje_sasl_authenticated,
 dovoljenje_mreža,
 warn_if_reject reject_non_fqdn_sender,
 zavrni_neznano_datoteko_pošiljatelja,
 reject_unauth_pipelining,
 omogočajo

smtpd_client_restrictions = zavrni_rbl_client sbl.spamhaus.org,
 zavrni_rbl_klient blackholes.easynet.nl

# OPOMBA: Možnost "check_policy_service inet: 127.0.0.1: 10023"
# omogoča program Postgrey in ga ne smemo vključiti
# drugače bomo uporabili Postgrey

smtpd_recipient_restrictions = zavrni_nautino_pipeliniranje,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo

smtpd_data_restrictions = zavrni_nautino_pipeliranje

smtpd_relay_restrictions = zavrni_unauth_pipelining,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo
 
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da

Datoteke ustvarimo / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyin spremenite datoteko / etc / postfix / header_checks.

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Če je ta datoteka spremenjena, ni treba # zagnati postmapa # Če želite preizkusiti pravila, zaženite kot root: # postmap -q 'super nov v1agra' regularni izraz: / etc / postfix / body_checks
# Naj se vrne: # ZAVRNITE Pravilo # 2 Telo sporočila proti neželeni pošti
/ viagra / REJECT Pravilo # 1 Proti neželeni pošti sporočila
/ super new v [i1] agra / REJECT Pravilo # 2 Zaščita pred neželeno pošto sporočila

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po spremembi morate izvesti: # postmap / etc / postfix / accounts_ forwarding_copy
# in datoteka je ustvarjena ali izmerjena: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na konec datoteke # NE ZAHTEVA poštnega zemljevida, saj so regularni izrazi
/ ^ Zadeva: =? Big5? / REJECT Kitajsko kodiranje tega strežnika ne sprejema
/ ^ Zadeva: =? EUC-KR? / REJECT Korejsko kodiranje tega strežnika ne dovoljuje
/ ^ Zadeva: ADV: / REJECT Oglaševanje, ki ga ta strežnik ne sprejema
/^ Od :.*\@.*\.cn/ ZAVRNI
/^Od:.*\@.*\.kr/ ZAVRNI Žal korejska pošta tukaj ni dovoljena
/^Od:.*\@.*\.tr/ ZAVRNI Oprostite, turška pošta tukaj ni dovoljena
/^Od:.*\@.*\.ro/ ZAVRNITE Oprostite, romunska pošta tukaj ni dovoljena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker News | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masovni pošiljatelji niso dovoljeni.
/ ^ Od: "neželena pošta / ZAVRNI
/ ^ Od: "neželena pošta / ZAVRNI
/^ Predmet :.*viagra/ ZAVRNI
# Nevarne razširitve
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne sprejemamo prilog s temi razširitvami

Preverimo skladnjo, znova zaženemo Apache in Postifx ter omogočimo in zaženemo Dovecot

[root @ linuxbox ~] # preverjanje postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl znova zaženite httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl znova zaženite postfix
[root @ linuxbox ~] # postfiks stanja systemctl

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - e-poštni strežnik Dovecot IMAP / POP3 Naloženo: naloženo (/usr/lib/systemd/system/dovecot.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogoči dovecot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl znova zaženite golobico
[root @ linuxbox ~] # systemctl status dovecot

Preverjanja na ravni konzole

  • Preden nadaljujete z namestitvijo in konfiguracijo drugih programov, je zelo pomembno, da opravite najmanj potrebne preglede storitev SMTP in POP..

Lokalno od samega strežnika

Lokalnemu uporabniku pošljemo e-pošto Legolas.

[root @ linuxbox ~] # echo "Pozdravljeni. To je testno sporočilo" | mail -s "Test" legolas

Preverjamo nabiralnik legole.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po sporočilu Dovecot je pripravljen! nadaljujemo:

---
+ OK Dovecot je pripravljen!
USER legolas
+OK
PASS legolas
+OK Logged in.
STAT
+OK 1 559
LIST
+OK 1 messages:
1 559
.
RETR 1
+OK 559 octets
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
    id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)

Hola. Este es un mensaje de prueba
.
QUIT
DONE
[root @ linuxbox ~] #

Daljinski upravljalniki iz računalnika v LAN-u

Pošljimo še eno sporočilo Legolas iz drugega računalnika v LAN-u. Upoštevajte, da v omrežju MSP varnost TLS NI nujno potrebna.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan\
-u "Pozdravljeni" \
-m "Legolas od vašega prijatelja Buzz"
-s mail.desdelinux.fan -o tls=no
22. maj 10:53:08 sysadmin sendemail [5866]: E-pošta je bila uspešno poslana!

Če se poskusimo povezati skozi telnet Od gostitelja v LAN-u - ali prek interneta, seveda - do Dovecota, se bo zgodilo naslednje, ker onemogočimo avtentifikacijo v odprtem besedilu:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Preverjanje pristnosti v odprtem besedilu ni dovoljeno na povezavah, ki niso varne (SSL / TLS).
izhod + OK Odjava Povezava je zaprta s strani tujega gostitelja.
buzz @ sysadmin: ~ $

To moramo storiti skozi openssl. Celotni izhod ukaza bi bil:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
POVEZAN (00000003)
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
napaka preverjanja: num = 18: samopodpisano potrdilo preverjanje vrnitve: 1
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
verify return:1
---
Certificate chain
 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
   i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
No client certificate CA names sent
Server Temp Key: ECDH, secp384r1, 384 bits
---
SSL handshake has read 1342 bytes and written 411 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A
    Session-ID-ctx: 
    Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c   N:.)zOcr...O..~.
    0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8   ,........~.mE...
    0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86   .:........hn....
    0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79   .5......h...r..y
    0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d   .J(......z).w.".
    0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28   .\.a.....1'fz.Q(
    0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35   ..5.+.......e..5
    0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19   84..H..1........
    0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71   .BV.......Z..,.q
    0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0   z..p....b.....<.

    Start Time: 1495484262
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+ OK Dovecot je pripravljen!
UPORABNIŠKE legole
+ V redu
PASS legole
+ V redu Prijavi se.
SEZNAM
+ OK 1 sporočila: 1 1021.
NAZAJ 1
+OK 1021 octets
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
    by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0
    for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT)
Message-ID: <919362.931369932-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 19:09:11 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495"

This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program.

------MIME delimiter for sendEmail-365707.724894495
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Saludos Legolas de tu amigo Buzz

------MIME delimiter for sendEmail-365707.724894495--
.
QUIT
+ V redu Odjava. zaprto
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail je spletni odjemalec, v celoti napisan v PHP. Vključuje izvorno podporo PHP za protokola IMAP in SMTP ter zagotavlja največjo združljivost z različnimi uporabljenimi brskalniki. Pravilno deluje na katerem koli strežniku IMAP. Ima vse funkcije, ki jih potrebujete od e-poštnega odjemalca, vključno s podporo za MIME, imenikom in upravljanjem map.

[root @ linuxbox ~] # yum namestite squirrelmail
[root @ linuxbox ~] # ponovni zagon storitve httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain            = 'desdelinux.fan';
$imapServerAddress   = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress   = 'desdelinux.fan';

[root @ linuxbox ~] # ponovno naloži storitev httpd

DNS Pošiljanje pravilnika Framenwork ali zapis SPF

V članku Avtoritativni strežnik DNS NSD + Shorewall vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:

root@ns:~# nano /etc/nsd/desdelinux.fan.zone
$ORIGIN desdelinux.fan.
$TTL 3H
@       IN      SOA     ns.desdelinux.fan.      root.desdelinux.fan. (
                                        1       ; serial
                                        1D      ; refresh
                                        1H      ; retry
                                        1W      ; expire
                                        3H )    ; minimum or
                                                ; Negative caching time to live
;
@       IN      NS      ns.desdelinux.fan.
@       IN      MX      10 mail.desdelinux.fan.
@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"
;
; Registro para resolver consultas dig desdelinux.fan
@       IN      A       172.16.10.10
;
ns      IN      A       172.16.10.30
mail    IN      CNAME   desdelinux.fan.
chat    IN      CNAME   desdelinux.fan.
www     IN      CNAME   desdelinux.fan.
;
; Registros SRV relativos al XMPP
_xmpp-server._tcp IN SRV  0 0 5269 desdelinux.fan.
_xmpp-client._tcp   IN SRV  0 0 5222 desdelinux.fan.
_jabber._tcp        IN SRV  0 0 5269 desdelinux.fan.

V njem je razviden register:

@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"

Če želite imeti enak parameter konfiguriran za omrežje SME ali LAN, moramo konfiguracijsko datoteko Dnsmasq spremeniti na naslednji način:

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"

Nato storitev znova zaženemo:

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
[root@linuxbox ~]# service dnsmasq status

[root@linuxbox ~]# host -t TXT mail.desdelinux.fan
mail.desdelinux.fan is an alias for desdelinux.fan.
desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"

Samopodpisana potrdila in Apache ali httpd

Tudi če vam brskalnik pove, da «Lastnik pošte.desdelinux.fan Napačno ste konfigurirali svoje spletno mesto. Da bi preprečil krajo vaših podatkov, Firefox ni vzpostavil povezave s tem spletnim mestom «, predhodno ustvarjenim potrdilom VELJA VELJAVNOin bo omogočil, da bodo poverilnice med odjemalcem in strežnikom šifrirane, potem ko bomo potrdilo sprejeli.

Če želite in kot način poenotenja potrdil lahko za Apache prijavite enaka potrdila, kot ste jih prijavili za Postfix, kar je pravilno.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # storitev httpd status

Skupina Diffie-Hellman

Tema Varnost je vsak dan težja na internetu. Eden najpogostejših napadov na povezave SSL, je zastoj in za obrambo pred njo je treba v konfiguracijo SSL dodati nestandardne parametre. Za to obstaja RFC-3526 «Bolj modularno eksponentno (MODP) Diffie–Hellman skupine za internetno izmenjavo ključev (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Glede na različico Apacheja, ki smo jo namestili, bomo iz datoteke uporabili skupino Diffie-Helman /etc/pki/tls/dhparams.pem. Če gre za različico 2.4.8 ali novejšo, jo bomo morali dodati v datoteko /etc/httpd/conf.d/ssl.conf naslednja vrstica:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Različica Apache, ki jo uporabljamo, je:

[root @ linuxbox tls] # yum info httpd
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Nalaganje hitrosti zrcal iz predpomnjene datoteke gostitelja Nameščeni paketi Ime: httpd Arhitektura: x86_64
Različica: 2.4.6
Izdaja: 45.el7.centos Velikost: 9.4 M Repozitorij: nameščen Iz repozitorija: Base-Repo Povzetek: URL strežnika Apache HTTP: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Strežnik Apache HTTP je zmogljiv , učinkovit in razširljiv: spletni strežnik.

Ker imamo različico pred 2.4.8, na koncu predhodno ustvarjenega certifikata CRT dodamo vsebino skupine Diffie-Helman:

[root @ linuxbox tls] # mačka private / dhparams.pem >> certs/desdelinux.fan.crt

Če želite preveriti, ali so bili parametri DH pravilno dodani potrdilu CRT, izvedite naslednje ukaze:

[root @ linuxbox tls] # mačka private / dhparams.pem 
----- ZAČNI PARAMETRI DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

[root@linuxbox tls]# cat certs/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

Po teh spremembah moramo znova zagnati storitve Postfix in httpd:

[root @ linuxbox tls] # ponovni zagon storitve postfix
[root @ linuxbox tls] # status postfix storitve
[root @ linuxbox tls] # ponovni zagon storitve httpd
[root @ linuxbox tls] # status httpd storitve

Vključitev skupine Diffie-Helman v naša potrdila TLS bo morda nekoliko počasneje povezovala HTTPS, vendar se dodajanje varnosti splača.

Preverjanje veverice

PO da so potrdila pravilno ustvarjena in da preverjamo njihovo pravilno delovanje, kot smo to storili z ukazi konzole, usmerite želeni brskalnik na URL http://mail.desdelinux.fan/webmail in se bo po sprejetju ustreznega potrdila povezal s spletnim odjemalcem. Čeprav določite protokol HTTP, bo preusmerjen na HTTPS, kar je posledica privzete konfiguracije, ki jo CentOS ponuja za Squirrelmail. Glej datoteko /etc/httpd/conf.d/squirrelmail.conf.

O nabiralnikih uporabnikov

Dovecot v mapi ustvari nabiralnike IMAP domov vsakega uporabnika:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
skupaj 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legole legole 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 22. maj 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legoli mail 56 22. maj 10:23 INBOX drwx ------. 2 legole legole 56 22. maj 12:39 Poslano drwx ------. 2 legole legole 30. maja 22 11:34 Smetnjak

Shranjeni so tudi v / var / mail /

[root @ linuxbox ~] # manj / var / mail / legolas
From MAILER_DAEMON  Mon May 22 10:28:00 2017
Date: Mon, 22 May 2017 10:28:00 -0400
From: Mail System Internal Data <MAILER-DAEMON@linuxbox>
Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA
Message-ID: <1495463280@linuxbox>
X-IMAP: 1495462351 0000000008
Status: RO

This text is part of the internal format of your mail folder, and is not
a real message.  It is created automatically by the mail system software.
If deleted, important folder data will be lost, and it will be re-created
with the data reset to initial values.

From root@desdelinux.fan  Mon May 22 10:47:10 2017
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
        id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)
X-UID: 7                                                  
Status: RO

Hola. Este es un mensaje de prueba

From buzz@deslinux.fan  Mon May 22 10:53:08 2017
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
        by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57
        for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT)
Message-ID: <739874.219379516-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 14:53:08 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057
/ var / mail / legolas

Povzetek mini serije PAM

Preučili smo jedro poštnega strežnika in nekoliko poudarili varnost. Upamo, da članek služi kot vstopna točka za tako zapleteno in dovzetno napako, saj gre za ročno izvajanje poštnega strežnika.

Uporabljamo lokalno avtentikacijo uporabnika, ker če datoteko pravilno preberemo /etc/dovecot/conf.d/10-auth.conf, bomo videli, da je na koncu vključen -privzeto- avtentikacijska datoteka uporabnikov sistema ! vključuje auth-system.conf.ext. Ravno ta datoteka nam v glavi pove, da:

[root @ linuxbox ~] # manj /etc/dovecot/conf.d/auth-system.conf.ext
# Preverjanje pristnosti za uporabnike sistema. Vključeno iz 10-auth.conf. # # # # Preverjanje pristnosti PAM. Danes je všeč večini sistemov.
# PAM se običajno uporablja bodisi z userdb passwd bodisi userdb static. # ZAPOMNI: Potrebovali boste datoteko /etc/pam.d/dovecot, ustvarjeno za preverjanje pristnosti PAM #, da bo dejansko delovala. passdb {gonilnik = pam # [seja = da] [setcred = da] [neuspeh_pokazati_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

In druga datoteka obstaja /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth

Kaj poskušamo sporočiti o preverjanju pristnosti PAM?

  • CentOS, Debian, Ubuntu in številne druge distribucije Linuxa namestijo Postifx in Dovecot z lokalno overitvijo, ki je privzeto omogočena.
  • Številni članki na internetu uporabljajo MySQL - in v zadnjem času MariaDB - za shranjevanje uporabnikov in drugih podatkov o poštnem strežniku. A to so strežniki za TISOČE UPORABNIKOV in ne za klasično MSP omrežje z - morda - stotimi uporabniki.
  • Preverjanje pristnosti prek PAM je potrebno in zadostno za zagotavljanje omrežnih storitev, če delujejo na enem strežniku, kot smo videli v tej seriji.
  • Uporabnike, shranjene v zbirki podatkov LDAP, lahko preslikate, kot da gre za lokalne uporabnike, overitev PAM pa lahko uporabite za zagotavljanje omrežnih storitev iz različnih strežnikov Linux, ki delujejo kot odjemalci LDAP za osrednji strežnik za preverjanje pristnosti. Na ta način bi delali s poverilnicami uporabnikov, ki so shranjene v bazi podatkov osrednjega strežnika LDAP, in NE bi bilo bistvenega pomena vzdrževanje baze podatkov z lokalnimi uporabniki.

Do naslednje pustolovščine!


9 komentarja, pustite svojega

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   kuščar je dejal

    Verjemite mi, da je v praksi to postopek, ki več kot enega sysadmina povzroča hude preglavice, prepričan sem, da bo v prihodnosti to referenčno vodilo za vse, ki želijo upravljati lastno e-pošto, praktičen primer, ki postane abc, ko integracija postfix, dovecot, squirrelmail ..

    Najlepša hvala za vaš hvalevreden prispevek,

  2.   Darko je dejal

    Zakaj ne bi uporabljali Mailpile, ko gre za varnost, s PGP? Tudi Roundcube ima veliko bolj intuitiven vmesnik in lahko vključuje tudi PGP.

  3.   Martin je dejal

    Pred tremi dnevi sem prebrala prispevek, vem se vam zahvaliti. Ne nameravam namestiti poštnega strežnika, vendar je vedno koristno videti ustvarjanje potrdil, uporabnih za druge programe in te vaje skorajda ne potečejo (še posebej, če uporabljate centOS).

  4.   Federico je dejal

    Manuel Cillero: Hvala, ker ste se povezali s svojim blogom in iz tega članka, ki je minimalno jedro poštnega strežnika, ki temelji na Postfix in Dovecot.

    Kuščar: Kot vedno je bila vaša ocena zelo dobro sprejeta. Hvala vam.

    Darko: V skoraj vseh svojih člankih bolj ali manj izrazim, da "Vsak izvaja storitve s programi, ki so mu najbolj všeč." Hvala za komentar.

    Martin: Zahvaljujem se vam tudi za branje članka in upam, da vam bo pomagal pri vašem delu.

  5.   Zodiak Carburus je dejal

    Izjemen član član Federico. Najlepša hvala za tako dober tuto.

  6.   Archy je dejal

    Odlično, čeprav bi se z "virtualnimi uporabniki" izognil ustvarjanju sistemskega uporabnika vsakič, ko dodam e-poštno sporočilo, hvala, naučil sem se veliko novih stvari in to je vrsta objave, ki sem jo čakal

  7.   Willinton Acevedo Rueda je dejal

    Dober dan,

    Spodbujali bi jih, da naredijo istega z imeniškim strežnikom fedora + postifx + dovecot + thunderbird ali Outlook.

    Tengo una parte pero estoy pegado, con gusto compartiria el documento a la comunidad @desdelinux

  8.   phico je dejal

    Nisem si predstavljal, da bo dosegel več kot 3000 obiskov !!!

    Lep pozdrav Kuščar!

  9.   temni konec je dejal

    Odličen kolega z vajami.
    Bi lahko to storili za Debian 10 z uporabniki Active Directory, nameščen na Samba4 ???
    Mislim, da bi bilo skoraj enako, vendar bi spremenili vrsto preverjanja pristnosti.
    Razdelek, ki ga namenjate ustvarjanju samopodpisanih potrdil, je zelo zanimiv.