Splošno kazalo serije: Računalniška omrežja za MSP: Uvod
Ta članek je nadaljevanje in zadnja mini serija:
- Squid + PAM preverjanje pristnosti na CentOS 7.
- Lokalno upravljanje uporabnikov in skupin
- Avtoritativni strežnik DNS NSD + Shorewall
- Prosody IM in lokalni uporabniki
Pozdravljeni prijatelji in prijatelji!
P Navdušenci želijo imeti svoj poštni strežnik. Ne želijo uporabljati strežnikov, kjer je med vprašanji »Zasebnost«. Oseba, zadolžena za izvajanje storitve na vašem majhnem strežniku, ni strokovnjak za to temo in bo najprej poskusila namestiti jedro prihodnjega in popolnega poštnega strežnika. Ali je "enačbe" za izdelavo celotnega poštnega strežnika nekoliko težko razumeti in uporabiti. 😉
Pripisi robnikov
- Jasno mora biti, katere funkcije izvaja vsak program, ki je vključen v poštni strežnik. Kot prvo vodilo podajamo vrsto uporabnih povezav z navedenim namenom njihovega obiska.
- Ročna izvedba celotne poštne storitve ročno in iz nič je naporen postopek, razen če ste eden od "izbranih", ki to vrsto nalog opravljate vsak dan. Poštni strežnik tvorijo - na splošno - različni programi, ki ločeno obdelujejo SMTP, POP / IMAP, Lokalno shranjevanje sporočil, naloge, povezane z obdelavo SPAM, Protivirusni programi itd. VSI programi morajo medsebojno pravilno komunicirati.
- Za upravljanje uporabnikov ne obstaja ena sama velikost ali »najboljše prakse«; kje in kako shraniti sporočila ali kako narediti, da vse komponente delujejo kot ena celota.
- Sestavljanje in uravnavanje poštnega strežnika sta ponavadi neprijetna pri zadevah, kot so dovoljenja in lastniki datotek, izbira uporabnika, ki bo zadolžen za določen postopek, ter majhne napake v nekaterih ezoteričnih konfiguracijskih datotekah.
- Če ne veste dobro, kaj počnete, bo končni rezultat negotov ali nekoliko nefunkcionalen poštni strežnik. Da na koncu izvajanja ne deluje, bo morda manjše zlo.
- Na internetu lahko najdemo veliko količino receptov, kako narediti poštni strežnik. Eden najbolj popolnih -po mojem zelo osebnem mnenju- je tista, ki jo ponuja avtor ivar abrahamsen v svoji trinajsti izdaji januarja 2017 «Kako nastaviti poštni strežnik v sistemu GNU / Linux".
- Priporočamo tudi branje članka «Poštni strežnik v Ubuntu 14.04: Postfix, Dovecot, MySQL«, ali «Poštni strežnik v Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Prav. Najboljšo dokumentacijo v zvezi s tem lahko najdete v angleščini.
- Čeprav nikoli ne delamo poštnega strežnika, ki bi ga natančno vodili Kako ... omenjeno v prejšnjem odstavku, nam bo že samo dejstvo, da bomo sledili po korakih, zelo dobro predstavilo, s čim se bomo soočili.
- Če želite v nekaj korakih imeti celoten poštni strežnik, lahko sliko prenesete iRedOS-0.6.0-CentOS-5.5-i386.iso, ali pa poiščite modernejšega, najsi bo to iRedOS ali iRedMail. To je način, ki ga osebno priporočam.
Namestili in konfigurirali bomo:
- Postfix kot strežnik Mčesen Transport Agent (SMTP).
- Dovecot kot strežnik POP - IMAP.
- Potrdila za povezave prek TLS.
- Squirrelmail kot spletni vmesnik za uporabnike.
- DNS zapis glede na «Okvir pošiljateljske politike»Ali SPF.
- Generiranje modulov Skupina Diffie Hellman za povečanje varnosti potrdil SSL.
Narediti je treba še:
Izvajati bi morali vsaj naslednje storitve:
- postgrey: Pravilniki strežnika Postfix za sive sezname in zavrnejo neželeno pošto.
- Amavisd-novo: skript, ki ustvari vmesnik med MTA ter antivirusnimi programi in filtri vsebine.
- Protivirusni program Clamav: protivirusni paket
- SpamAssassin: izvleček neželene pošte
- Razor (pyzor): Zajemanje neželene pošte prek distribuiranega in skupnega omrežja. Mreža Vipul Razor vzdržuje posodobljen katalog razmnoževanja neželene pošte ali neželene pošte.
- DNS zapis "DomainKeys Identified Mail" oz razširitev dkim.
Paketi postgrey, amavisd-new, clamav, spamassassin, britvica y pyzor Najdemo jih v skladiščih programov. Program bomo tudi našli openkim.
- Pravilna izjava zapisov DNS "SPF" in "DKIM" je bistvenega pomena, če ne želimo, da bi naš poštni strežnik pravkar začel delovati, če bi ga druge poštne storitve, kot je npr., Razglasile za nezaželeno ali proizvajalca neželene pošte ali neželene pošte. Gmail, Yahoo, hotmailitd.
Začetni pregledi
Ne pozabite, da je ta članek nadaljevanje drugih, ki se začnejo v Squid + PAM preverjanje pristnosti na CentOS 7.
Vmesnik LAN Ens32, povezan z notranjim omrežjem
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = javno
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN vmesnik povezan z internetom
[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=en34 ONBOOT=da BOOTPROTO=statični HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=ne IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Usmerjevalnik ADSL je povezan s # tem vmesnikom z # naslednjim naslovom IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.fan DNS1=127.0.0.1
OBMOČJE = zunanje
Ločljivost DNS iz LAN-a
[root@linuxbox ~]# cat /etc/resolv.conf iskanje desdelinux.fan imenski strežnik 127.0.0.1 imenski strežnik 172.16.10.30 [root@linuxbox ~]# pošta gostitelja pošte.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan. [root@linuxbox ~]# hostmail.desdelinux.fan pošte.desdelinux.fan je vzdevek za linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ima naslov 192.168.10.5 linuxbox.desdelinux.fan mail obravnava 1 mail.desdelinux.fan.
Ločljivost DNS iz interneta
buzz@sysadmin:~$hostmail.desdelinux.ventilator 172.16.10.30 Uporaba domenskega strežnika: Ime: 172.16.10.30 Naslov: 172.16.10.30#53 Vzdevki: pošta.desdelinux.fan je vzdevek za desdelinux.fan. desdelinux.fan ima naslov 172.16.10.10 desdelinux.fan mail obravnava 10 mail.desdelinux.fan.
Težave pri lokalnem reševanju imena gostitelja «desdelinux.fan"
Če imate težave z razreševanjem imena gostitelja «desdelinux.fan" Iz LAN, poskusite komentirati vrstico datoteke /etc/dnsmasq.conf kjer je razglašena lokalno=/desdelinux.fan/. Nato znova zaženite Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Komentirajte spodnjo vrstico: # lokalno=/desdelinux.fan/ [root @ linuxbox ~] # ponovni zagon storitve dnsmasq Preusmeritev v / bin / systemctl znova zaženite dnsmasq.service [root @ linuxbox ~] # status dnsmasq storitve [root@linuxbox ~]# gostitelj desdelinux.fan desdelinux.fan ima naslov 172.16.10.10 desdelinux.fan mail obravnava 10 mail.desdelinux.fan.
Postfix in Dovecot
Zelo obsežno dokumentacijo Postfix in Dovecot najdete na:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENCA README-Postfix-SASL-RedHat.txt ZDRUŽLJIVOST main.cf.default TLS_ACKNOWLEDGEMENTS primeri README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ AVTORJI KOPIRANJE.MIT dovecot-openssl.cnf NOVICE wiki KOPIRANJE ChangeLog primer-konfiguracija PREBERI KOPIRANJE.LGPL dokumentacija.txt mkcert.sh solr-schema.xml
V CentOS 7 je Postfix MTA privzeto nameščen, ko izberemo možnost Infrastructure Server. Preveriti moramo, ali kontekst SELinux omogoča pisanje v Potfix v lokalno čakalno vrsto sporočil:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Spremembe v požarnem ziduD
Z uporabo grafičnega vmesnika za konfiguriranje požarnega zidu moramo zagotoviti, da so za vsako cono omogočene naslednje storitve in vrata:
# ------------------------------------------------- ----- # Popravki v požarnem ziduD # ------------------------------------------------- ----- # Požarni zid # Javna cona: storitve http, https, imap, pop3, smtp # Javno območje: vrata 80, 443, 143, 110, 25 # Zunanje območje: storitve http, https, imap, pop3s, smtp # Zunanje območje: vrata 80, 443, 143, 995, 25
Namestimo Dovecot in potrebne programe
[root @ linuxbox ~] # yum namestite dovecot mod_ssl procmail telnet
Najmanjša Dovecot konfiguracija
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoli =imap pop3 lmtp poslušati =*, :: prijava_pozdrav = Dovecot je pripravljen!
Izrecno onemogočimo avtentikacijo Dovecot v navadnem besedilu:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = da
Skupini izjavljamo potrebne privilegije za interakcijo z Dovecot in lokacijo sporočil:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = pošta mail_access_groups = pošta
Potrdila za Dovecot
Dovecot samodejno ustvari vaše testne certifikate na podlagi podatkov v datoteki /etc/pki/dovecot/dovecot-openssl.cnf. Če želite ustvariti nova potrdila v skladu z našimi zahtevami, moramo izvesti naslednje korake:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes differented_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # država (2 črkovna koda) C=CU # Ime države ali province (polno ime) ST=Cuba # Ime kraja (npr. mesto ) L=Havana # Organizacija (npr. podjetje) O=DesdeLinux.Fan # Ime organizacijske enote (npr. razdelek) OU=Enthusiasts # Običajno ime (možno je tudi *.example.com) CN=*.desdelinux.fan # E-poštni kontakt emailAddress=buzz@desdelinux.fan [ vrsta_certifikata ] nsCertType = strežnik
Odpravljamo potrdila o preizkusu
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: izbrisati običajno datoteko "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm private / dovecot.pem rm: izbrisati navadno datoteko "private / dovecot.pem"? (y / n) y
Kopiramo in izvedemo skript mkcert.sh iz imenika dokumentacije
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Ustvarjanje 1024-bitnega zasebnega ključa RSA ......++++++ ................++++++ pisanje novega zasebnega ključa v '/etc/ pki/dovecot/private/dovecot.pem' ----- subjekt= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / skupaj 4 -rw -------. 1 korenski koren 1029 22. maja 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l zasebno / skupaj 4 -rw -------. 1 korenski koren 916 22. maja 16:08 dovecot.pem [root @ linuxbox dovecot] # ponovni zagon storitve dovecot [root @ linuxbox dovecot] # status dovecot storitve
Potrdila za Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Ustvarjanje 4096-bitnega zasebnega ključa RSA .........++ ..++ pisanje novega zasebnega ključa v 'private/domain.tld.key' ----- Pozvani boste, da vnesete informacije ki bo vključen v vašo zahtevo za potrdilo. Kar boste vnesli, je tisto, kar se imenuje razločno ime ali DN. Obstaja kar nekaj polj, vendar lahko nekatera pustite prazna. Za nekatera polja bo privzeta vrednost. Če vnesete '.', bo polje ostalo prazno. ----- Ime države (2 črkovna koda) [XX]: Ime države ali province CU (polno ime) []: Ime kraja Kube (npr. mesto) [Privzeto mesto]: Ime organizacije Havana (npr. podjetje) [ Default Company Ltd]:DesdeLinuxIme organizacijske enote .Fan (npr. razdelek) []: Splošno ime navdušencev (npr. vaše ime ali ime gostitelja vašega strežnika) []:desdelinux.fan e-poštni naslov []:buzz@desdelinux.fan
Minimalna konfiguracija Postfix
Dodamo na konec datoteke / etc / vzdevki naslednji:
koren: brenčanje
Da spremembe začnejo veljati, izvedemo naslednji ukaz:
[root @ linuxbox ~] # newaliases
Konfiguracijo Postifx lahko izvedete z neposrednim urejanjem datoteke /etc/postfix/main.cf ali po ukazu postconf -e skrbimo, da se vsi parametri, ki jih želimo spremeniti ali dodati, odražajo v eni vrstici konzole:
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mojadomena = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mojadomena' [root @ linuxbox ~] # postconf -e 'inet_interfaces = vsi' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Dodamo na konec datoteke /etc/postfix/main.cf spodaj navedene možnosti. Če želite vedeti pomen vsakega od njih, priporočamo, da preberete spremno dokumentacijo.
biff = št append_dot_mydomain = št čas zakasnitve_opozorila = 4 ure readme_directory = št smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = da smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = dovoljenje_mreže dovoljenje_sasl_authenticated defer_unauth_destination # Največja velikost nabiralnika 1024 megabajtov = 1 g in g mailbox_size_limit = 1073741824 prejemnik_delimiter = + maksimalno_tevilo_ivotne dobe = 7d header_checks = regularni izraz: / etc / postfix / header_checks body_checks = regularni izraz: / etc / postfix / body_checks # Računi, ki pošljejo kopijo dohodne pošte na drug račun prejemnik_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Naslednje vrstice so pomembne za določitev, kdo lahko pošilja pošto in posreduje drugim strežnikom, da nenamerno ne konfiguriramo "odprtega releja", ki nepooblaščenim uporabnikom omogoča pošiljanje pošte. Če želite razumeti, kaj posamezna možnost pomeni, si oglejte strani s pomočjo Postfix.
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
smtpd_helo_restrictions = dovoli_moja omrežja,
warn_if_reject reject_non_fqdn_hostname,
zavrni_neveljavno_ime gostitelja,
omogočajo
smtpd_sender_restrictions = dovoljenje_sasl_authenticated,
dovoljenje_mreža,
warn_if_reject reject_non_fqdn_sender,
zavrni_neznano_datoteko_pošiljatelja,
reject_unauth_pipelining,
omogočajo
smtpd_client_restrictions = zavrni_rbl_client sbl.spamhaus.org,
zavrni_rbl_klient blackholes.easynet.nl
# OPOMBA: Možnost "check_policy_service inet: 127.0.0.1: 10023"
# omogoča program Postgrey in ga ne smemo vključiti
# drugače bomo uporabili Postgrey
smtpd_recipient_restrictions = zavrni_nautino_pipeliniranje,
dovoljenje_mreža,
dovoljenje_sasl_authenticated,
zavrni_ne_fqdn_prejemnik,
zavrni_neznano_prejemniško_domena,
zavrni_navtino_navedbo,
check_policy_service inet: 127.0.0.1: 10023,
omogočajo
smtpd_data_restrictions = zavrni_nautino_pipeliranje
smtpd_relay_restrictions = zavrni_unauth_pipelining,
dovoljenje_mreža,
dovoljenje_sasl_authenticated,
zavrni_ne_fqdn_prejemnik,
zavrni_neznano_prejemniško_domena,
zavrni_navtino_navedbo,
check_policy_service inet: 127.0.0.1: 10023,
omogočajo
smtpd_helo_required = da
smtpd_delay_reject = da
disable_vrfy_command = da
Datoteke ustvarimo / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyin spremenite datoteko / etc / postfix / header_checks.
- Vsak mora navesti možnosti, ki jih razume in potrebuje!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Če je ta datoteka spremenjena, ni treba # zagnati postmapa # Če želite preizkusiti pravila, zaženite kot root: # postmap -q 'super nov v1agra' regularni izraz: / etc / postfix / body_checks
# Naj se vrne: # ZAVRNITE Pravilo # 2 Telo sporočila proti neželeni pošti
/ viagra / REJECT Pravilo # 1 Proti neželeni pošti sporočila
/ super new v [i1] agra / REJECT Pravilo # 2 Zaščita pred neželeno pošto sporočila
[root @ linuxbox ~] # nano / etc / postfix / accounts_forwarding_copy
# Po spremembi morate izvesti: # postmap / etc / postfix / accounts_ forwarding_copy
# in datoteka je ustvarjena ali izmerjena: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # EN račun za posredovanje enega BCC kopija # BCC = črna kopija # Primer: # webadmin@desdelinux.fan buzz@desdelinux.fan
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dodaj na konec datoteke # NE ZAHTEVA poštnega zemljevida, saj so regularni izrazi
/ ^ Zadeva: =? Big5? / REJECT Kitajsko kodiranje tega strežnika ne sprejema
/ ^ Zadeva: =? EUC-KR? / REJECT Korejsko kodiranje tega strežnika ne dovoljuje
/ ^ Zadeva: ADV: / REJECT Oglaševanje, ki ga ta strežnik ne sprejema
/^ Od :.*\@.*\.cn/ ZAVRNI
/^Od:.*\@.*\.kr/ ZAVRNI Žal korejska pošta tukaj ni dovoljena
/^Od:.*\@.*\.tr/ ZAVRNI Oprostite, turška pošta tukaj ni dovoljena
/^Od:.*\@.*\.ro/ ZAVRNITE Oprostite, romunska pošta tukaj ni dovoljena
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | iz stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | Breaker News | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Masovni pošiljatelji niso dovoljeni.
/ ^ Od: "neželena pošta / ZAVRNI
/ ^ Od: "neželena pošta / ZAVRNI
/^ Predmet :.*viagra/ ZAVRNI
# Nevarne razširitve
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne sprejemamo prilog s temi razširitvami
Preverimo skladnjo, znova zaženemo Apache in Postifx ter omogočimo in zaženemo Dovecot
[root @ linuxbox ~] # preverjanje postfix [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl znova zaženite httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl znova zaženite postfix [root @ linuxbox ~] # postfiks stanja systemctl [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - e-poštni strežnik Dovecot IMAP / POP3 Naloženo: naloženo (/usr/lib/systemd/system/dovecot.service; onemogočeno; prednastavitev prodajalca: onemogočeno) Aktivno: neaktivno (mrtvo) [root @ linuxbox ~] # systemctl omogoči dovecot [root @ linuxbox ~] # systemctl start dovecot [root @ linuxbox ~] # systemctl znova zaženite golobico [root @ linuxbox ~] # systemctl status dovecot
Preverjanja na ravni konzole
- Preden nadaljujete z namestitvijo in konfiguracijo drugih programov, je zelo pomembno, da opravite najmanj potrebne preglede storitev SMTP in POP..
Lokalno od samega strežnika
Lokalnemu uporabniku pošljemo e-pošto Legolas.
[root @ linuxbox ~] # echo "Pozdravljeni. To je testno sporočilo" | mail -s "Test" legolas
Preverjamo nabiralnik legole.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Po sporočilu Dovecot je pripravljen! nadaljujemo:
--- + OK Dovecot je pripravljen! UPORABNIK legolas +OK PASS legolas +OK Prijavljen. STAT +OK 1 559 LIST +OK 1 sporočila: 1 559 . RETR 1 +OK 559 oktetov Povratna pot:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Prejeto: avtor desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Pon, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Testni uporabniški agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) Pozdravljeni. To je testno sporočilo. KONČAJ KONČANO [root @ linuxbox ~] #
Daljinski upravljalniki iz računalnika v LAN-u
Pošljimo še eno sporočilo Legolas iz drugega računalnika v LAN-u. Upoštevajte, da v omrežju MSP varnost TLS NI nujno potrebna.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fan\ -u "Pozdravljeni" \ -m "Legolas od vašega prijatelja Buzz" -s e-pošta.desdelinux.fan -o tls=št 22. maj 10:53:08 sysadmin sendemail [5866]: E-pošta je bila uspešno poslana!
Če se poskusimo povezati skozi telnet Od gostitelja v LAN-u - ali prek interneta, seveda - do Dovecota, se bo zgodilo naslednje, ker onemogočimo avtentifikacijo v odprtem besedilu:
buzz@sysadmin:~$ telnet pošta.desdelinux.fan 110 Poskus 192.168.10.5 ...
Povezan z linuxboxom.desdelinux.fan. Ubežni znak je '^]'. +OK Dovecot je pripravljen! uporabnik legolas
-ERR [AUTH] Preverjanje pristnosti v odprtem besedilu ni dovoljeno na povezavah, ki niso varne (SSL / TLS).
izhod + OK Odjava Povezava je zaprta s strani tujega gostitelja.
buzz @ sysadmin: ~ $
To moramo storiti skozi openssl. Celotni izhod ukaza bi bil:
buzz@sysadmin:~$ openssl s_client -crlf -poveži pošto.desdelinux.fan:110 -starttls pop3 POVEZAN (00000003) globina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziasti, CN = *.desdelinux.fan, e-poštni naslov = buzz@desdelinux.fan napaka preverjanja: num = 18: samopodpisano potrdilo preverjanje vrnitve: 1 globina=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziasti, CN = *.desdelinux.fan, e-poštni naslov = buzz@desdelinux.fan verify return:1 --- Veriga potrdil 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Enthusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Imena CA potrdila odjemalca niso bila poslana Temp. ključ strežnika: ECDH, secp384r1, 384 bitov --- SSL rokovanje je prebralo 1342 bajtov in zapisalo 411 bajtov --- Novo, TLSv1/SSLv3, Šifra je ECDHE-RSA-AES256 -GCM-SHA384 Javni ključ strežnika je 1024-bitno Varno ponovno pogajanje JE podprto Stiskanje: NI Razširitev: NI SSL-seja: Protokol: TLSv1.2 Šifra: ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125 FF5989F5DB 6C5295BF4E2D73A ID-seje- ctx : Glavni ključ: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Brez Krb5 Glavni: Brez Identiteta PSK: Brez namiga o identiteti PSK: Brez Namiga o življenjski dobi vstopnice za sejo TLS: 300 (sekund) Vstopnice za sejo TLS: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,.....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 od 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. Začetni čas: 1495484262 Časovna omejitev: 300 (sek) Preverite povratno kodo: 18 (samopodpisano potrdilo) --- + OK Dovecot je pripravljen! UPORABNIŠKE legole + V redu PASS legole + V redu Prijavi se. SEZNAM + OK 1 sporočila: 1 1021. NAZAJ 1 +OK 1021 oktetov Povratna pot: X-Original-Za: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prejeto: od sistemskega skrbnika.desdelinux.fan (prehod [172.16.10.1]) avtor desdelinux.fan (Postfix) z ESMTP ID 51886C11E8C0 zadesdelinux.fan>; Pon, 22. maj 2017 15:09:11 -0400 (EDT) ID sporočila: <919362.931369932-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan"desdelinux.fan> Zadeva: Pozdravljeni Datum: Pon, 22. maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" To je večdelno sporočilo v formatu MIME. Za pravilen prikaz tega sporočila potrebujete e-poštni program, združljiv z MIME različico 1.0. ------Ločilo MIME za sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Lep pozdrav Legolasu od vašega prijatelja Buzz ------Ločilo MIME za sendEmail-365707.724894495-- . QUIT + V redu Odjava. zaprto buzz @ sysadmin: ~ $
Squirrelmail
Squirrelmail je spletni odjemalec, v celoti napisan v PHP. Vključuje izvorno podporo PHP za protokola IMAP in SMTP ter zagotavlja največjo združljivost z različnimi uporabljenimi brskalniki. Pravilno deluje na katerem koli strežniku IMAP. Ima vse funkcije, ki jih potrebujete od e-poštnega odjemalca, vključno s podporo za MIME, imenikom in upravljanjem map.
[root @ linuxbox ~] # yum namestite squirrelmail
[root @ linuxbox ~] # ponovni zagon storitve httpd
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domena = 'desdelinux.fan';
$imapServerAddress = 'pošta.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # ponovno naloži storitev httpd
DNS Pošiljanje pravilnika Framenwork ali zapis SPF
V članku Avtoritativni strežnik DNS NSD + Shorewall Videli smo, da cona «desdelinux.fan» je bil konfiguriran na naslednji način:
root@ns:~# nano /etc/nsd/desdelinux.fan.cona $ORIGIN desdelinux.fan. $TTL 3H @ IN SOA št.desdelinux.fan. korenina.desdelinux.fan. (1; serijski 1D; osvežitev 1H; ponovni poskus 1W; potek 3H); najmanj ali ; Negativni življenjski čas predpomnjenja; @ IN NS ns.desdelinux.fan. @ IN MX 10 email.desdelinux.fan. @ IN TXT "v=spf1 a:mail.desdelinux.fan -vse" ; ; Registracija za reševanje dig poizvedb desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 pošta IN CNAME desdelinux.fan. klepet IN CNAME desdelinux.fan. www IN CNAME desdelinux.fan. ; ; Zapisi SRV, povezani z XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.fan.
V njem je razviden register:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -vse"
Če želite imeti enak parameter konfiguriran za omrežje SME ali LAN, moramo konfiguracijsko datoteko Dnsmasq spremeniti na naslednji način:
# Zapisi TXT. Lahko tudi deklariramo zapis SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -vse"
Nato storitev znova zaženemo:
[root @ linuxbox ~] # ponovni zagon storitve dnsmasq [root@linuxbox ~]# storitev dnsmasq status [root@linuxbox ~]# gostitelj -t TXT mail.desdelinux.pošta oboževalcev.desdelinux.fan je vzdevek za desdelinux.fan. desdelinux.fan opisno besedilo "v=spf1 a:mail.desdelinux.fan -vse"
Samopodpisana potrdila in Apache ali httpd
Tudi če vam brskalnik pove, da «Lastnik pošte.desdelinux.fan Napačno ste konfigurirali svoje spletno mesto. Da bi preprečil krajo vaših podatkov, Firefox ni vzpostavil povezave s tem spletnim mestom «, predhodno ustvarjenim potrdilom VELJA VELJAVNOin bo omogočil, da bodo poverilnice med odjemalcem in strežnikom šifrirane, potem ko bomo potrdilo sprejeli.
Če želite in kot način poenotenja potrdil lahko za Apache prijavite enaka potrdila, kot ste jih prijavili za Postfix, kar je pravilno.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # storitev httpd status
Skupina Diffie-Hellman
Tema Varnost je vsak dan težja na internetu. Eden najpogostejših napadov na povezave SSL, je zastoj in za obrambo pred njo je treba v konfiguracijo SSL dodati nestandardne parametre. Za to obstaja RFC-3526 «Bolj modularno eksponentno (MODP) Diffie–Hellman skupine za internetno izmenjavo ključev (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem
Glede na različico Apacheja, ki smo jo namestili, bomo iz datoteke uporabili skupino Diffie-Helman /etc/pki/tls/dhparams.pem. Če gre za različico 2.4.8 ali novejšo, jo bomo morali dodati v datoteko /etc/httpd/conf.d/ssl.conf naslednja vrstica:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Različica Apache, ki jo uporabljamo, je:
[root @ linuxbox tls] # yum info httpd
Naloženi vtičniki: najhitrejše ogledalo, jezikovni paketi Nalaganje hitrosti zrcal iz predpomnjene datoteke gostitelja Nameščeni paketi Ime: httpd Arhitektura: x86_64
Različica: 2.4.6
Izdaja: 45.el7.centos Velikost: 9.4 M Repozitorij: nameščen Iz repozitorija: Base-Repo Povzetek: URL strežnika Apache HTTP: http://httpd.apache.org/ Licenca: ASL 2.0 Opis: Strežnik Apache HTTP je zmogljiv , učinkovit in razširljiv: spletni strežnik.
Ker imamo različico pred 2.4.8, na koncu predhodno ustvarjenega certifikata CRT dodamo vsebino skupine Diffie-Helman:
[root @ linuxbox tls] # mačka private / dhparams.pem >> potrdila/desdelinux.fan.crt
Če želite preveriti, ali so bili parametri DH pravilno dodani potrdilu CRT, izvedite naslednje ukaze:
[root @ linuxbox tls] # mačka private / dhparams.pem ----- ZAČNI PARAMETRI DH ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONČNI PARAMETRI DH ----- [root@linuxbox tls]# mačja potrdila/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- KONČNI PARAMETRI DH -----
Po teh spremembah moramo znova zagnati storitve Postfix in httpd:
[root @ linuxbox tls] # ponovni zagon storitve postfix [root @ linuxbox tls] # status postfix storitve [root @ linuxbox tls] # ponovni zagon storitve httpd [root @ linuxbox tls] # status httpd storitve
Vključitev skupine Diffie-Helman v naša potrdila TLS bo morda nekoliko počasneje povezovala HTTPS, vendar se dodajanje varnosti splača.
Preverjanje veverice
PO da so potrdila pravilno ustvarjena in da preverjamo njihovo pravilno delovanje, kot smo to storili z ukazi konzole, usmerite želeni brskalnik na URL http://mail.desdelinux.fan/webmail in se bo po sprejetju ustreznega potrdila povezal s spletnim odjemalcem. Čeprav določite protokol HTTP, bo preusmerjen na HTTPS, kar je posledica privzete konfiguracije, ki jo CentOS ponuja za Squirrelmail. Glej datoteko /etc/httpd/conf.d/squirrelmail.conf.
O nabiralnikih uporabnikov
Dovecot v mapi ustvari nabiralnike IMAP domov vsakega uporabnika:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ skupaj 12 drwxrwx ---. 5 legolas mail 4096 22. maj 12:39. drwx ------. 3 legole legole 75 22. maj 11:34 .. -rw -------. 1 legolas legolas 72 22. maj 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8. maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 22. maj 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legoli mail 56 22. maj 10:23 INBOX drwx ------. 2 legole legole 56 22. maj 12:39 Poslano drwx ------. 2 legole legole 30. maja 22 11:34 Smetnjak
Shranjeni so tudi v / var / mail /
[root @ linuxbox ~] # manj / var / mail / legolas Od MAILER_DAEMON Pon, 22. maj 10:28:00 2017 Datum: Pon, 22. maj 2017 10:28:00 -0400 Od: Notranji podatki poštnega sistema Zadeva: NE IZBRIŠI TEGA SPOROČILA -- NOTRANJI PODATKI MAPE ID sporočila: <1495463280@linuxbox> . Programska oprema poštnega sistema ga ustvari samodejno. Če izbrišete, bodo pomembni podatki mape izgubljeni in bodo ponovno ustvarjeni s ponastavitvijo podatkov na začetne vrednosti. Od root@desdelinux.fan Mon May 22 10:47:10 2017 Povratna pot:desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Prejeto: avtor desdelinux.fan (Postfix, od userid 0) id 7EA22C11FC57; Pon, 22. maj 2017 10:47:10 -0400 (EDT) Datum: ponedeljek, 22. maj 2017 10:47:10 -0400 Za: legolas@desdelinux.fan Zadeva: Testni uporabniški agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Od: root@desdelinux.fan (root) X-UID: 7 Status: RO Pozdravljeni. To je testno sporočilo od buzz@deslinux.fan Pon, 22. maja 10:53:08 2017 Povratna pot: X-Original-Za: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Prejeto: od sistemskega skrbnika.desdelinux.fan (prehod [172.16.10.1]) avtor desdelinux.fan (Postfix) z ESMTP ID C184DC11FC57 zadesdelinux.fan>; Pon, 22. maj 2017 10:53:08 -0400 (EDT) ID sporočila: <739874.219379516-sendEmail@sysadmin> Od: "buzz@deslinux.fan" Za: "legolas@desdelinux.fan"desdelinux.fan> Zadeva: Pozdravljeni Datum: Pon, 22. maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME ločilo za sendEmail-794889.899510057 / var / mail / legolas
Povzetek mini serije PAM
Preučili smo jedro poštnega strežnika in nekoliko poudarili varnost. Upamo, da članek služi kot vstopna točka za tako zapleteno in dovzetno napako, saj gre za ročno izvajanje poštnega strežnika.
Uporabljamo lokalno avtentikacijo uporabnika, ker če datoteko pravilno preberemo /etc/dovecot/conf.d/10-auth.conf, bomo videli, da je na koncu vključen -privzeto- avtentikacijska datoteka uporabnikov sistema ! vključuje auth-system.conf.ext. Ravno ta datoteka nam v glavi pove, da:
[root @ linuxbox ~] # manj /etc/dovecot/conf.d/auth-system.conf.ext
# Preverjanje pristnosti za uporabnike sistema. Vključeno iz 10-auth.conf. # # # # Preverjanje pristnosti PAM. Danes je všeč večini sistemov.
# PAM se običajno uporablja bodisi z userdb passwd bodisi userdb static. # ZAPOMNI: Potrebovali boste datoteko /etc/pam.d/dovecot, ustvarjeno za preverjanje pristnosti PAM #, da bo dejansko delovala. passdb {gonilnik = pam # [seja = da] [setcred = da] [neuspeh_pokazati_msg = da] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}
In druga datoteka obstaja /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% PAM-1.0 auth required pam_nologin.so auth include password-auth account include password-auth session include password-auth
Kaj poskušamo sporočiti o preverjanju pristnosti PAM?
- CentOS, Debian, Ubuntu in številne druge distribucije Linuxa namestijo Postifx in Dovecot z lokalno overitvijo, ki je privzeto omogočena.
- Številni članki na internetu uporabljajo MySQL - in v zadnjem času MariaDB - za shranjevanje uporabnikov in drugih podatkov o poštnem strežniku. A to so strežniki za TISOČE UPORABNIKOV in ne za klasično MSP omrežje z - morda - stotimi uporabniki.
- Preverjanje pristnosti prek PAM je potrebno in zadostno za zagotavljanje omrežnih storitev, če delujejo na enem strežniku, kot smo videli v tej seriji.
- Uporabnike, shranjene v zbirki podatkov LDAP, lahko preslikate, kot da gre za lokalne uporabnike, overitev PAM pa lahko uporabite za zagotavljanje omrežnih storitev iz različnih strežnikov Linux, ki delujejo kot odjemalci LDAP za osrednji strežnik za preverjanje pristnosti. Na ta način bi delali s poverilnicami uporabnikov, ki so shranjene v bazi podatkov osrednjega strežnika LDAP, in NE bi bilo bistvenega pomena vzdrževanje baze podatkov z lokalnimi uporabniki.
Do naslednje pustolovščine!
Verjemite mi, da je v praksi to postopek, ki več kot enega sysadmina povzroča hude preglavice, prepričan sem, da bo v prihodnosti to referenčno vodilo za vse, ki želijo upravljati lastno e-pošto, praktičen primer, ki postane abc, ko integracija postfix, dovecot, squirrelmail ..
Najlepša hvala za vaš hvalevreden prispevek,
Zakaj ne bi uporabljali Mailpile, ko gre za varnost, s PGP? Tudi Roundcube ima veliko bolj intuitiven vmesnik in lahko vključuje tudi PGP.
Pred tremi dnevi sem prebrala prispevek, vem se vam zahvaliti. Ne nameravam namestiti poštnega strežnika, vendar je vedno koristno videti ustvarjanje potrdil, uporabnih za druge programe in te vaje skorajda ne potečejo (še posebej, če uporabljate centOS).
Manuel Cillero: Hvala, ker ste se povezali s svojim blogom in iz tega članka, ki je minimalno jedro poštnega strežnika, ki temelji na Postfix in Dovecot.
Kuščar: Kot vedno je bila vaša ocena zelo dobro sprejeta. Hvala vam.
Darko: V skoraj vseh svojih člankih bolj ali manj izrazim, da "Vsak izvaja storitve s programi, ki so mu najbolj všeč." Hvala za komentar.
Martin: Zahvaljujem se vam tudi za branje članka in upam, da vam bo pomagal pri vašem delu.
Izjemen član član Federico. Najlepša hvala za tako dober tuto.
Odlično, čeprav bi se z "virtualnimi uporabniki" izognil ustvarjanju sistemskega uporabnika vsakič, ko dodam e-poštno sporočilo, hvala, naučil sem se veliko novih stvari in to je vrsta objave, ki sem jo čakal
Dober dan,
Spodbujali bi jih, da naredijo istega z imeniškim strežnikom fedora + postifx + dovecot + thunderbird ali Outlook.
Imam del, vendar sem obtičal, dokument bi z veseljem delil s skupnostjo @desdelinux
Nisem si predstavljal, da bo dosegel več kot 3000 obiskov !!!
Lep pozdrav Kuščar!
Odličen kolega z vajami.
Bi lahko to storili za Debian 10 z uporabniki Active Directory, nameščen na Samba4 ???
Mislim, da bi bilo skoraj enako, vendar bi spremenili vrsto preverjanja pristnosti.
Razdelek, ki ga namenjate ustvarjanju samopodpisanih potrdil, je zelo zanimiv.