Postfix + Dovecot + Squirrelmail in lokalni uporabniki - MSP omrežja

Splošno kazalo serije: Računalniška omrežja za MSP: Uvod

Ta članek je nadaljevanje in zadnja mini serija:

Pozdravljeni prijatelji in prijatelji!

P Navdušenci želijo imeti svoj poštni strežnik. Ne želijo uporabljati strežnikov, kjer je med vprašanji »Zasebnost«. Oseba, zadolžena za izvajanje storitve na vašem majhnem strežniku, ni strokovnjak za to temo in bo najprej poskusila namestiti jedro prihodnjega in popolnega poštnega strežnika. Ali je "enačbe" za izdelavo celotnega poštnega strežnika nekoliko težko razumeti in uporabiti. 😉

Pripisi robnikov

  • Jasno mora biti, katere funkcije izvaja vsak program, ki je vključen v poštni strežnik. Kot prvo vodilo podajamo vrsto uporabnih povezav z navedenim namenom njihovega obiska.
  • Ročna izvedba celotne poštne storitve ročno in iz nič je naporen postopek, razen če ste eden od "izbranih", ki to vrsto nalog opravljate vsak dan. Poštni strežnik tvorijo - na splošno - različni programi, ki ločeno obdelujejo SMTP, POP / IMAP, Lokalno shranjevanje sporočil, naloge, povezane z obdelavo SPAM, Protivirusni programi itd. VSI programi morajo medsebojno pravilno komunicirati.
  • Za upravljanje uporabnikov ne obstaja ena sama velikost ali »najboljše prakse«; kje in kako shraniti sporočila ali kako narediti, da vse komponente delujejo kot ena celota.
  • Sestavljanje in uravnavanje poštnega strežnika sta ponavadi neprijetna pri zadevah, kot so dovoljenja in lastniki datotek, izbira uporabnika, ki bo zadolžen za določen postopek, ter majhne napake v nekaterih ezoteričnih konfiguracijskih datotekah.
  • Če ne veste dobro, kaj počnete, bo končni rezultat negotov ali nekoliko nefunkcionalen poštni strežnik. Da na koncu izvajanja ne deluje, bo morda manjše zlo.
  • Na internetu lahko najdemo veliko količino receptov, kako narediti poštni strežnik. Eden najbolj popolnih -po mojem zelo osebnem mnenju- je tista, ki jo ponuja avtor Ivar Abrahamsen v svoji trinajsti izdaji januarja 2017 «Kako nastaviti poštni strežnik v sistemu GNU / Linux".
  • Priporočamo tudi branje članka «Poštni strežnik v Ubuntu 14.04: Postfix, Dovecot, MySQL«, ali «Poštni strežnik v Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Prav. Najboljšo dokumentacijo v zvezi s tem lahko najdete v angleščini.
    • Čeprav nikoli ne delamo poštnega strežnika, ki bi ga natančno vodili Kako ... omenjeno v prejšnjem odstavku, nam bo že samo dejstvo, da bomo sledili po korakih, zelo dobro predstavilo, s čim se bomo soočili.
  • Če želite v nekaj korakih imeti celoten poštni strežnik, lahko sliko prenesete iRedOS-0.6.0-CentOS-5.5-i386.iso, ali pa poiščite modernejšega, najsi bo to iRedOS ali iRedMail. To je način, ki ga osebno priporočam.

Namestili in konfigurirali bomo:

Narediti je treba še:

Izvajati bi morali vsaj naslednje storitve:

  • Postgrey: Pravilniki strežnika Postfix za sive sezname in zavrnejo neželeno pošto.
  • Amavisd-novo: skript, ki ustvari vmesnik med MTA ter antivirusnimi programi in filtri vsebine.
  • Protivirusni program Clamav: protivirusni paket
  • SpamAssassin: izvleček neželene pošte
  • Razor (Pyzor): Zajemanje neželene pošte prek distribuiranega in skupnega omrežja. Mreža Vipul Razor vzdržuje posodobljen katalog razmnoževanja neželene pošte ali neželene pošte.
  • DNS zapis "DomainKeys Identified Mail" oz DKIM.

Paketi postgrey, amavisd-new, clamav, spamassassin, britvica y pyzor Najdemo jih v skladiščih programov. Program bomo tudi našli opendkim.

  • Pravilna izjava zapisov DNS "SPF" in "DKIM" je bistvenega pomena, če ne želimo, da bi naš poštni strežnik pravkar začel delovati, če bi ga druge poštne storitve, kot je npr., Razglasile za nezaželeno ali proizvajalca neželene pošte ali neželene pošte. Gmail, Yahoo, hotmailitd.

Začetni pregledi

Ne pozabite, da je ta članek nadaljevanje drugih, ki se začnejo v Squid + PAM preverjanje pristnosti na CentOS 7.

Vmesnik LAN Ens32, povezan z notranjim omrežjem

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
OBMOČJE = javno

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN vmesnik povezan z internetom

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE = ens34 ONBOOT = yes BOOTPROTO = static HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = no IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Usmerjevalnik ADSL je povezan na # ta vmesnik z # naslednjim naslovom IP GATEWAY = 172.16.10.1 DOMENA = desdelinux.fan DNS1 = 127.0.0.1
OBMOČJE = zunanje

Ločljivost DNS iz LAN-a

[root @ linuxbox ~] # cat /etc/resolv.conf iskanje iz linux.fan imenski strežnik 127.0.0.1 imenski strežnik 172.16.10.30 [root @ linuxbox ~] # gostiteljska pošta
mail.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan e-pošto obravnava 1 mail.desdelinux.fan.

[root @ linuxbox ~] # gostitelj mail.fromlinux.fan
mail.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan e-pošto obravnava 1 mail.desdelinux.fan.

Ločljivost DNS iz interneta

buzz @ sysadmin: ~ $ gostitelj mail.fromlinux.fan 172.16.10.30
Uporaba domenskega strežnika: Ime: 172.16.10.30 Naslov: 172.16.10.30 # 53 Vzdevki: mail.desdelinux.fan je vzdevek za desdelinux.fan.
iz linux.fan ima naslov 172.16.10.10
e-pošto desdelinux.fan obravnava 10 mail.desdelinux.fan.

Težave pri lokalni razrešitvi imena gostitelja "desdelinux.fan"

Če imate težave z razreševanjem imena gostitelja «fromlinux.fan" Iz LAN, poskusite komentirati vrstico datoteke /etc/dnsmasq.conf kjer je razglašena lokalno = / iz linux.fan /. Nato znova zaženite Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte spodnjo vrstico:
# lokalno = / desdelinux.fan /

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
Preusmeritev v / bin / systemctl znova zaženite dnsmasq.service

[root @ linuxbox ~] # status dnsmasq storitve

[root @ linuxbox ~] # gostitelj iz linux.fan
desdelinux.fan ima naslov 172.16.10.10 desdelinux.fan e-pošto obravnava 10 mail.desdelinux.fan.

Postfix in Dovecot

Zelo obsežno dokumentacijo Postfix in Dovecot najdete na:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt ZDRUŽLJIVOST main.cf.default TLS_ACKNOWLEDGEMENTS primeri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
AVTORJI KOPIRANJE.MIT dovecot-openssl.cnf NOVICE wiki KOPIRANJE ChangeLog primer-konfiguracija PREBERI KOPIRANJE.LGPL dokumentacija.txt mkcert.sh solr-schema.xml

V CentOS 7 je Postfix MTA privzeto nameščen, ko izberemo možnost Infrastructure Server. Preveriti moramo, ali kontekst SELinux omogoča pisanje v Potfix v lokalno čakalno vrsto sporočil:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Spremembe v požarnem ziduD

Z uporabo grafičnega vmesnika za konfiguriranje požarnega zidu moramo zagotoviti, da so za vsako cono omogočene naslednje storitve in vrata:

# ------------------------------------------------- -----
# Popravki v požarnem ziduD
# ------------------------------------------------- -----
# Požarni zid
# Javna cona: storitve http, https, imap, pop3, smtp
# Javno območje: vrata 80, 443, 143, 110, 25

# Zunanje območje: storitve http, https, imap, pop3s, smtp
# Zunanje območje: vrata 80, 443, 143, 995, 25

Namestimo Dovecot in potrebne programe

[root @ linuxbox ~] # yum namestite dovecot mod_ssl procmail telnet

Najmanjša Dovecot konfiguracija

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoli = imap pop3 lmtp
poslušati = *, ::
prijava_pozdrav = Dovecot je pripravljen!

Izrecno onemogočimo avtentikacijo Dovecot v navadnem besedilu:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = da

Skupini izjavljamo potrebne privilegije za interakcijo z Dovecot in lokacijo sporočil:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = pošta
mail_access_groups = pošta

Potrdila za Dovecot

Dovecot samodejno ustvari vaše testne certifikate na podlagi podatkov v datoteki /etc/pki/dovecot/dovecot-openssl.cnf. Če želite ustvariti nova potrdila v skladu z našimi zahtevami, moramo izvesti naslednje korake:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes distinc_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # država (dvočrkovna koda) C = CU # Ime države ali province (polno ime) ST = Kuba # Ime kraja (npr. mesto ) L = Habana # Organizacija (npr. Podjetje) O = FromLinux.Fan # Ime organizacijske enote (npr. Odsek) OU = Navdušenci # Splošno ime (* .example.com je možen tudi) CN = *. Desdelinux.fan # E -mail kontaktni naslovAddress=buzz@desdelinux.fan [cert_type] nsCertType = strežnik

Odpravljamo potrdila o preizkusu

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: izbrisati običajno datoteko "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm private / dovecot.pem 
rm: izbrisati navadno datoteko "private / dovecot.pem"? (y / n) y

Kopiramo in izvedemo skript mkcert.sh iz imenika dokumentacije

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Ustvarjanje 1024-bitnega zasebnega ključa RSA ...... ++++++ ................ ++++++ pisanje novega zasebnega ključa v '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Prstni odtis = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
skupaj 4 -rw -------. 1 korenski koren 1029 22. maja 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l zasebno /
skupaj 4 -rw -------. 1 korenski koren 916 22. maja 16:08 dovecot.pem

[root @ linuxbox dovecot] # ponovni zagon storitve dovecot
[root @ linuxbox dovecot] # status dovecot storitve

Potrdila za Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nodes -newkey rsa: 4096 -days 1825 \ -out certs / desdelinux.fan.crt -keyout private / desdelinux.fan.key

Ustvarjanje 4096-bitnega zasebnega ključa RSA ......... ++ .. ++ pisanje novega zasebnega ključa v 'private / domain.tld.key' ----- Kmalu boste morali vnesti podatke ki bo vključena v vašo zahtevo za potrdilo. Vpisali boste tisto, kar se imenuje ugledno ime ali DN. Polj je kar nekaj, vendar lahko nekaj pustite prazna. Za nekatera polja bo privzeta vrednost, če vnesete '.', Polje ostane prazno. ----- Ime države (dvočrkovna koda) [XX]: Ime države ali province CU (polno ime) []: Ime kraja Kube (npr. Mesto) [Privzeto mesto]: Ime organizacije Habana (npr. Podjetje) [ Privzeto podjetje Ltd]: desdeLinux.Fan Ime organizacijske enote (npr. Odsek) []: Splošno ime entuzijastov (npr. Vaše ime ali ime gostitelja strežnika) []: desdelinux.fan e-poštni naslov []: buzz@desdelinux.fan

Minimalna konfiguracija Postfix

Dodamo na konec datoteke / etc / vzdevki naslednji:

koren: brenčanje

Da spremembe začnejo veljati, izvedemo naslednji ukaz:

[root @ linuxbox ~] # newaliases

Konfiguracijo Postifx lahko izvedete z neposrednim urejanjem datoteke /etc/postfix/main.cf ali po ukazu postconf -e skrbimo, da se vsi parametri, ki jih želimo spremeniti ali dodati, odražajo v eni vrstici konzole:

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = vsi'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dodamo na konec datoteke /etc/postfix/main.cf spodaj navedene možnosti. Če želite vedeti pomen vsakega od njih, priporočamo, da preberete spremno dokumentacijo.

biff = št
append_dot_mydomain = št
čas zakasnitve_opozorila = 4 ure
readme_directory = št
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = da
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = dovoljenje_mreže dovoljenje_sasl_authenticated defer_unauth_destination

# Največja velikost nabiralnika 1024 megabajtov = 1 g in g
mailbox_size_limit = 1073741824

prejemnik_delimiter = +
maksimalno_tevilo_ivotne dobe = 7d
header_checks = regularni izraz: / etc / postfix / header_checks
body_checks = regularni izraz: / etc / postfix / body_checks

# Računi, ki pošljejo kopijo dohodne pošte na drug račun
prejemnik_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Naslednje vrstice so pomembne za določitev, kdo lahko pošilja pošto in posreduje drugim strežnikom, da nenamerno ne konfiguriramo "odprtega releja", ki nepooblaščenim uporabnikom omogoča pošiljanje pošte. Če želite razumeti, kaj posamezna možnost pomeni, si oglejte strani s pomočjo Postfix.

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
smtpd_helo_restrictions = dovoli_moja omrežja,
 warn_if_reject reject_non_fqdn_hostname,
 zavrni_neveljavno_ime gostitelja,
 omogočajo

smtpd_sender_restrictions = dovoljenje_sasl_authenticated,
 dovoljenje_mreža,
 warn_if_reject reject_non_fqdn_sender,
 zavrni_neznano_datoteko_pošiljatelja,
 reject_unauth_pipelining,
 omogočajo

smtpd_client_restrictions = zavrni_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# OPOMBA: Možnost "check_policy_service inet: 127.0.0.1: 10023"
# omogoča program Postgrey in ga ne smemo vključiti
# drugače bomo uporabili Postgrey

smtpd_recipient_restrictions = zavrni_nautino_pipeliniranje,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo

smtpd_data_restrictions = zavrni_nautino_pipeliranje

smtpd_relay_restrictions = zavrni_unauth_pipelining,
 dovoljenje_mreža,
 dovoljenje_sasl_authenticated,
 zavrni_ne_fqdn_prejemnik,
 zavrni_neznano_prejemniško_domena,
 zavrni_navtino_navedbo,
 check_policy_service inet: 127.0.0.1: 10023,
 omogočajo
 
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da

Datoteke ustvarimo / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyin spremenite datoteko / etc / postfix / header_checks.

  • Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Če je ta datoteka spremenjena, ni treba # zagnati postmapa # Če želite preizkusiti pravila, zaženite kot root: # postmap -q 'super nov v1agra' regularni izraz: / etc / postfix / body_checks
# Naj se vrne: # ZAVRNITE Pravilo # 2 Telo sporočila proti neželeni pošti
/ viagra / REJECT Pravilo # 1 Proti neželeni pošti sporočila
/ super new v [i1] agra / REJECT Pravilo # 2 Zaščita pred neželeno pošto sporočila

[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po spremembi morate izvesti: # postmap / etc / postfix / accounts_ forwarding_copy
# in datoteka je ustvarjena ali izmerjena: # /etc/postfix/cuentas_reenviando_copia.db
# ------------------------------------------ # En račun za posredovanje BCC copy # BCC = Black Carbon Copy # Primer: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na konec datoteke # NE ZAHTEVA poštnega zemljevida, saj so regularni izrazi
/ ^ Zadeva: =? Big5? / REJECT Kitajsko kodiranje tega strežnika ne sprejema
/ ^ Zadeva: =? EUC-KR? / REJECT Korejsko kodiranje tega strežnika ne dovoljuje
/ ^ Zadeva: ADV: / REJECT Oglaševanje, ki ga ta strežnik ne sprejema
/^ Od :.*\@.*\.cn/ ZAVRNI
/^Od:.*\@.*\.kr/ ZAVRNI Žal korejska pošta tukaj ni dovoljena
/^Od:.*\@.*\.tr/ ZAVRNI Oprostite, turška pošta tukaj ni dovoljena
/^Od:.*\@.*\.ro/ ZAVRNITE Oprostite, romunska pošta tukaj ni dovoljena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker News | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masovni pošiljatelji niso dovoljeni.
/ ^ Od: "neželena pošta / ZAVRNI
/ ^ Od: "neželena pošta / ZAVRNI
/^ Predmet :.*viagra/ ZAVRNI
# Nevarne razširitve
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne sprejemamo prilog s temi razširitvami

Preverimo skladnjo, znova zaženemo Apache in Postifx ter omogočimo in zaženemo Dovecot

[root @ linuxbox ~] # preverjanje postfix
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl znova zaženite httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl znova zaženite postfix
[root @ linuxbox ~] # postfiks stanja systemctl

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - e-poštni strežnik Dovecot IMAP / POP3 Naloženo: naloženo (/usr/lib/systemd/system/dovecot.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo)

[root @ linuxbox ~] # systemctl omogoči dovecot
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl znova zaženite golobico
[root @ linuxbox ~] # systemctl status dovecot

Preverjanja na ravni konzole

  • Preden nadaljujete z namestitvijo in konfiguracijo drugih programov, je zelo pomembno, da opravite najmanj potrebne preglede storitev SMTP in POP..

Lokalno od samega strežnika

Lokalnemu uporabniku pošljemo e-pošto Legolas.

[root @ linuxbox ~] # echo "Pozdravljeni. To je testno sporočilo" | mail -s "Test" legolas

Preverjamo nabiralnik legole.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Po sporočilu Dovecot je pripravljen! nadaljujemo:

---
+ OK Dovecot je pripravljen!
USER legolas + OK PASS legolas + OK Prijavljeni. STAT + OK 1 559 LIST + OK 1 sporočila: 1 559. RETR 1 + OK 559 oktetov Povratna pot: X-Original-To: legolas Dostavljeno-To: legolas@desdelinux.fan Prejeto: desdelinux.fan (Postfix, z uporabniškega imena 0) id 7EA22C11FC57; Ponedeljek, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Test uporabniškega agenta: Heirloom mailx 12.5 7/5 / 10 MIME-različica: 1.0 Vsebina: besedilo / navaden; charset = us-ascii Content-Transfer-Encoding: 7bit Id sporočila: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdravljeni. To je testno sporočilo. KONČAJ
[root @ linuxbox ~] #

Daljinski upravljalniki iz računalnika v LAN-u

Pošljimo še eno sporočilo Legolas iz drugega računalnika v LAN-u. Upoštevajte, da v omrežju MSP varnost TLS NI nujno potrebna.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Pozdravljeni" \
-m "Legolas od vašega prijatelja Buzz"
-s mail.desdelinux.fan -o tls = št
22. maj 10:53:08 sysadmin sendemail [5866]: E-pošta je bila uspešno poslana!

Če se poskusimo povezati skozi telnet Od gostitelja v LAN-u - ali prek interneta, seveda - do Dovecota, se bo zgodilo naslednje, ker onemogočimo avtentifikacijo v odprtem besedilu:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110 Poskus 192.168.10.5 ...
Povezan z linuxbox.fromlinux.fan. Znak za pobeg je '^]'. + OK Dovecot je pripravljen! uporabniške legole
-ERR [AUTH] Preverjanje pristnosti v odprtem besedilu ni dovoljeno na povezavah, ki niso varne (SSL / TLS).
izhod + OK Odjava Povezava je zaprta s strani tujega gostitelja.
buzz @ sysadmin: ~ $

To moramo storiti skozi openssl. Celotni izhod ukaza bi bil:

buzz @ sysadmin: ~ $ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
POVEZAN (00000003)
globina = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Navdušenci, CN = * .fromlinux.fan, emailAddress = buzz@desdelinux.fan
napaka preverjanja: num = 18: samopodpisano potrdilo preverjanje vrnitve: 1
globina = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Navdušenci, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan preveri vrnitev: 1
--- Veriga potrdil 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Potrdilo strežnika ----- ZAČNI CERTIFIKAT-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END subjekta potrdila = / C = CU / ST = Kuba / L = Havana / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan izdajatelj = / C = CU / ST = Kuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Ni poslanih imen CA potrdila odjemalca Ključ začasne strežnika: ECDH, secp384r1, 384 bitov --- SSL stisk je prebral 1342 bajtov in napisal 411 bajtov --- Novo, TLSv1 / SSLv3 , Šifra je ECDHE-RSA-AES256-GCM-SHA384 Javni ključ strežnika je 1024-bitna Podprta je varna ponovna pogajanja Stiskanje: NONE Razširitev: NONE SSL-seja: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 Session- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A ID seje-ctx: Glavni ključ : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Noben Krb5 Glavni: Brez 300 PSK identiteta: Noben PSK identiteta namig: hS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: Noben Krb7 Glavni: Noben 1 PSK identiteta: Noben PSK identiteta namig: hS XNUMXTLS seje XNUMX sekund XNUMX f Nič XNUMX seje XNUMX f Nonec vozovnico XNUMX sekund XNUMX FXNUMXFXNUMX vstopnica ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot je pripravljen!
UPORABNIŠKE legole
+ V redu
PASS legole
+ V redu Prijavi se.
SEZNAM
+ OK 1 sporočila: 1 1021.
RETR 1
+ OK 1021 oktetov Povratna pot: X-Original-To: legolas@desdelinux.fan Dostavljeno-To: legolas@desdelinux.fan Prejel: od sysadmin.desdelinux.fan (prehod [172.16.10.1]) desdelinux.fan (Postfix) z ESMTP id 51886C11E8C0 za ; Ponedeljek, 22. maj 2017 15:09:11 -0400 (EDT) ID sporočila: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan" Zadeva: Pozdravljeni datum: ponedeljek, 22. maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-različica: 1.0 Vrsta vsebine: večdelna / povezana; border = "---- Ločilo MIME za sendEmail-365707.724894495" To je večdelno sporočilo v obliki MIME. Za pravilen prikaz tega sporočila potrebujete e-poštni program, skladen z MIME-različico 1.0. ------ Ločilo MIME za sendEmail-365707.724894495 Content-Type: text / plain; charset = "iso-8859-1" Content-Transfer-Encoding: 7bit Lepa pozdrav od vašega prijatelja Buzz ------ Ločilo MIME za sendEmail-365707.724894495--.
QUIT
+ V redu Odjava. zaprto
buzz @ sysadmin: ~ $

Squirrelmail

Squirrelmail je spletni odjemalec, v celoti napisan v PHP. Vključuje izvorno podporo PHP za protokola IMAP in SMTP ter zagotavlja največjo združljivost z različnimi uporabljenimi brskalniki. Pravilno deluje na katerem koli strežniku IMAP. Ima vse funkcije, ki jih potrebujete od e-poštnega odjemalca, vključno s podporo za MIME, imenikom in upravljanjem map.

[root @ linuxbox ~] # yum namestite squirrelmail
[root @ linuxbox ~] # ponovni zagon storitve httpd

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # ponovno naloži storitev httpd

DNS Pošiljanje pravilnika Framenwork ali zapis SPF

V članku Avtoritativni strežnik DNS NSD + Shorewall Videli smo, da je bila cona "desdelinux.fan" konfigurirana na naslednji način:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN iz linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; serijski 1D; osveži 1H; poskusi 1W; poteče 3H); najmanj ali; Negativni čas predpomnjenja za življenje; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Dnevnik za reševanje poizvedb o kopanju iz linux.fan @ IN A 172.16.10.10; ns V pošti 172.16.10.30 IN CNAME iz linux.fan. klepet v CNAME iz linux.fan. www IN CNAME iz linux.fan. ; ; Zapisi SRV, povezani z XMPP
_xmpp-server._tcp IN SRV 0 0 5269 od linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 od linux.fan. _jabber._tcp IN SRV 0 0 5269 od linux.fan.

V njem je razviden register:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

Če želite imeti enak parameter konfiguriran za omrežje SME ali LAN, moramo konfiguracijsko datoteko Dnsmasq spremeniti na naslednji način:

# Zapisi TXT. Lahko tudi razglasimo zapis SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Nato storitev znova zaženemo:

[root @ linuxbox ~] # ponovni zagon storitve dnsmasq
[root @ linuxbox ~] # status dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan je vzdevek za fromlinux.fan. desdelinux.fan opisno besedilo "v = spf1 a: mail.desdelinux.fan -all"

Samopodpisana potrdila in Apache ali httpd

Tudi če vam brskalnik pove, da «Lastnik mail.fromlinux.fan Napačno ste konfigurirali svoje spletno mesto. Da bi preprečil krajo vaših podatkov, Firefox ni vzpostavil povezave s tem spletnim mestom «, predhodno ustvarjenim potrdilom VELJA VELJAVNOin bo omogočil, da bodo poverilnice med odjemalcem in strežnikom šifrirane, potem ko bomo potrdilo sprejeli.

Če želite in kot način poenotenja potrdil lahko za Apache prijavite enaka potrdila, kot ste jih prijavili za Postfix, kar je pravilno.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # storitev httpd status

Skupina Diffie-Hellman

Tema Varnost je vsak dan težja na internetu. Eden najpogostejših napadov na povezave SSL, je Logjam in za obrambo pred njo je treba v konfiguracijo SSL dodati nestandardne parametre. Za to obstaja RFC-3526 «Bolj modularno eksponentno (MODP) Diffie-Hellman skupine za internetno izmenjavo ključev (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Glede na različico Apacheja, ki smo jo namestili, bomo iz datoteke uporabili skupino Diffie-Helman /etc/pki/tls/dhparams.pem. Če gre za različico 2.4.8 ali novejšo, jo bomo morali dodati v datoteko /etc/httpd/conf.d/ssl.conf naslednja vrstica:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Različica Apache, ki jo uporabljamo, je:

[root @ linuxbox tls] # yum info httpd
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Nalaganje hitrosti zrcal iz predpomnjene datoteke gostitelja Nameščeni paketi Ime: httpd Arhitektura: x86_64
Različica: 2.4.6
Izdaja: 45.el7.centos Velikost: 9.4 M Repozitorij: nameščen Iz repozitorija: Base-Repo Povzetek: URL strežnika Apache HTTP: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Strežnik Apache HTTP je zmogljiv , učinkovit in razširljiv: spletni strežnik.

Ker imamo različico pred 2.4.8, na koncu predhodno ustvarjenega certifikata CRT dodamo vsebino skupine Diffie-Helman:

[root @ linuxbox tls] # mačka private / dhparams.pem >> certs / desdelinux.fan.crt

Če želite preveriti, ali so bili parametri DH pravilno dodani potrdilu CRT, izvedite naslednje ukaze:

[root @ linuxbox tls] # mačka private / dhparams.pem 
----- ZAČNI PARAMETRI DH -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

[root @ linuxbox tls] # mačka certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- KONČNI PARAMETRI DH -----

Po teh spremembah moramo znova zagnati storitve Postfix in httpd:

[root @ linuxbox tls] # ponovni zagon storitve postfix
[root @ linuxbox tls] # status postfix storitve
[root @ linuxbox tls] # ponovni zagon storitve httpd
[root @ linuxbox tls] # status httpd storitve

Vključitev skupine Diffie-Helman v naša potrdila TLS bo morda nekoliko počasneje povezovala HTTPS, vendar se dodajanje varnosti splača.

Preverjanje veverice

PO da so potrdila pravilno ustvarjena in da preverjamo njihovo pravilno delovanje, kot smo to storili z ukazi konzole, usmerite želeni brskalnik na URL http://mail.desdelinux.fan/webmail in se bo po sprejetju ustreznega potrdila povezal s spletnim odjemalcem. Čeprav določite protokol HTTP, bo preusmerjen na HTTPS, kar je posledica privzete konfiguracije, ki jo CentOS ponuja za Squirrelmail. Glej datoteko /etc/httpd/conf.d/squirrelmail.conf.

O nabiralnikih uporabnikov

Dovecot v mapi ustvari nabiralnike IMAP domov vsakega uporabnika:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
skupaj 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legole legole 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 22. maj 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legoli mail 56 22. maj 10:23 INBOX drwx ------. 2 legole legole 56 22. maj 12:39 Poslano drwx ------. 2 legole legole 30. maja 22 11:34 Smetnjak

Shranjeni so tudi v / var / mail /

[root @ linuxbox ~] # manj / var / mail / legolas
Od MAILER_DAEMON pon. 22. maja 10:28:00 2017 Datum: pon., 22. maja 2017 10:28:00 -0400 Od: Notranji podatki poštnega sistema Zadeva: NE IZBRIŠI TEGA SPOROČILA - NOTRANJI PODATKI MAPE ID sporočila: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO To besedilo je del notranjega formata vaše poštne mape in ni resnično sporočilo . Samodejno ga ustvari programska oprema poštnega sistema. Če jih izbrišete, se bodo pomembni podatki mape izgubili in bodo znova ustvarjeni s ponastavitvijo na začetne vrednosti. From root@desdelinux.fan Mon May 22 10:47:10 2017 Povratna pot: X-Original-To: legolas Dostavljeno-To: legolas@desdelinux.fan Prejeto: desdelinux.fan (Postfix, z uporabniškega imena 0) id 7EA22C11FC57; Ponedeljek, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Test uporabniškega agenta: Heirloom mailx 12.5 7. 5. 10 MIME-različica: 1.0 Vsebina: besedilo / navaden; charset = us-ascii Content-Transfer-Encoding: 7bit-Id sporočila: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdravljeni. To je testno sporočilo od buzz@deslinux.fan ponedeljek 22. maj 10:53:08 2017 Povratna pot: X-Original-To: legolas@desdelinux.fan Dostavljeno-To: legolas@desdelinux.fan Prejel: od sysadmin.desdelinux.fan (prehod [172.16.10.1]) desdelinux.fan (Postfix) z ESMTP id C184DC11FC57 za ; Ponedeljek, 22. maj 2017 10:53:08 -0400 (EDT) ID sporočila: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan" Zadeva: Pozdravljeni: Ponedeljek, 22. maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-različica: 1.0 Vrsta vsebine: večdelna / povezana; border = "---- Ločilo MIME za sendEmail-794889.899510057
/ var / mail / legolas

Povzetek mini serije PAM

Preučili smo jedro poštnega strežnika in nekoliko poudarili varnost. Upamo, da članek služi kot vstopna točka za tako zapleteno in dovzetno napako, saj gre za ročno izvajanje poštnega strežnika.

Uporabljamo lokalno avtentikacijo uporabnika, ker če datoteko pravilno preberemo /etc/dovecot/conf.d/10-auth.conf, bomo videli, da je na koncu vključen -privzeto- avtentikacijska datoteka uporabnikov sistema ! vključuje auth-system.conf.ext. Ravno ta datoteka nam v glavi pove, da:

[root @ linuxbox ~] # manj /etc/dovecot/conf.d/auth-system.conf.ext
# Preverjanje pristnosti za uporabnike sistema. Vključeno iz 10-auth.conf. # # # # Preverjanje pristnosti PAM. Danes je všeč večini sistemov.
# PAM se običajno uporablja bodisi z userdb passwd bodisi userdb static. # ZAPOMNI: Potrebovali boste datoteko /etc/pam.d/dovecot, ustvarjeno za preverjanje pristnosti PAM #, da bo dejansko delovala. passdb {gonilnik = pam # [seja = da] [setcred = da] [neuspeh_pokazati_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

In druga datoteka obstaja /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth

Kaj poskušamo sporočiti o preverjanju pristnosti PAM?

  • CentOS, Debian, Ubuntu in številne druge distribucije Linuxa namestijo Postifx in Dovecot z lokalno overitvijo, ki je privzeto omogočena.
  • Številni članki na internetu uporabljajo MySQL - in v zadnjem času MariaDB - za shranjevanje uporabnikov in drugih podatkov o poštnem strežniku. A to so strežniki za TISOČE UPORABNIKOV in ne za klasično MSP omrežje z - morda - stotimi uporabniki.
  • Preverjanje pristnosti prek PAM je potrebno in zadostno za zagotavljanje omrežnih storitev, če delujejo na enem strežniku, kot smo videli v tej seriji.
  • Uporabnike, shranjene v zbirki podatkov LDAP, lahko preslikate, kot da gre za lokalne uporabnike, overitev PAM pa lahko uporabite za zagotavljanje omrežnih storitev iz različnih strežnikov Linux, ki delujejo kot odjemalci LDAP za osrednji strežnik za preverjanje pristnosti. Na ta način bi delali s poverilnicami uporabnikov, ki so shranjene v bazi podatkov osrednjega strežnika LDAP, in NE bi bilo bistvenega pomena vzdrževanje baze podatkov z lokalnimi uporabniki.

Do naslednje pustolovščine!


Vsebina članka je v skladu z našimi načeli uredniška etika. Če želite prijaviti napako, kliknite tukaj.

9 komentarja, pustite svojega

Pustite svoj komentar

Vaš e-naslov ne bo objavljen. Obvezna polja so označena z *

*

*

  1. Za podatke odgovoren: Miguel Ángel Gatón
  2. Namen podatkov: Nadzor neželene pošte, upravljanje komentarjev.
  3. Legitimacija: Vaše soglasje
  4. Sporočanje podatkov: Podatki se ne bodo posredovali tretjim osebam, razen po zakonski obveznosti.
  5. Shranjevanje podatkov: Zbirka podatkov, ki jo gosti Occentus Networks (EU)
  6. Pravice: Kadar koli lahko omejite, obnovite in izbrišete svoje podatke.

  1.   kuščar je dejal

    Verjemite mi, da je v praksi to postopek, ki več kot enega sysadmina povzroča hude preglavice, prepričan sem, da bo v prihodnosti to referenčno vodilo za vse, ki želijo upravljati lastno e-pošto, praktičen primer, ki postane abc, ko integracija postfix, dovecot, squirrelmail ..

    Najlepša hvala za vaš hvalevreden prispevek,

  2.   Darko je dejal

    Zakaj ne bi uporabljali Mailpile, ko gre za varnost, s PGP? Tudi Roundcube ima veliko bolj intuitiven vmesnik in lahko vključuje tudi PGP.

  3.   Martin je dejal

    Pred tremi dnevi sem prebrala prispevek, vem se vam zahvaliti. Ne nameravam namestiti poštnega strežnika, vendar je vedno koristno videti ustvarjanje potrdil, uporabnih za druge programe in te vaje skorajda ne potečejo (še posebej, če uporabljate centOS).

  4.   Federico je dejal

    Manuel Cillero: Hvala, ker ste se povezali s svojim blogom in iz tega članka, ki je minimalno jedro poštnega strežnika, ki temelji na Postfix in Dovecot.

    Kuščar: Kot vedno je bila vaša ocena zelo dobro sprejeta. Hvala vam.

    Darko: V skoraj vseh svojih člankih bolj ali manj izrazim, da "Vsak izvaja storitve s programi, ki so mu najbolj všeč." Hvala za komentar.

    Martin: Zahvaljujem se vam tudi za branje članka in upam, da vam bo pomagal pri vašem delu.

  5.   Zodiak Carburus je dejal

    Izjemen član član Federico. Najlepša hvala za tako dober tuto.

  6.   Archy je dejal

    Odlično, čeprav bi se z "virtualnimi uporabniki" izognil ustvarjanju sistemskega uporabnika vsakič, ko dodam e-poštno sporočilo, hvala, naučil sem se veliko novih stvari in to je vrsta objave, ki sem jo čakal

  7.   Wilinton Acevedo Rueda je dejal

    Dober dan,

    Spodbujali bi jih, da naredijo istega z imeniškim strežnikom fedora + postifx + dovecot + thunderbird ali Outlook.

    Imam del, vendar sem obtičal, z veseljem bi dokument delil s skupnostjo @desdelinux

  8.   phico je dejal

    Nisem si predstavljal, da bo dosegel več kot 3000 obiskov !!!

    Lep pozdrav Kuščar!

  9.   Darkend je dejal

    Odličen kolega z vajami.
    Bi lahko to storili za Debian 10 z uporabniki Active Directory, nameščen na Samba4 ???
    Mislim, da bi bilo skoraj enako, vendar bi spremenili vrsto preverjanja pristnosti.
    Razdelek, ki ga namenjate ustvarjanju samopodpisanih potrdil, je zelo zanimiv.