Postfix + Dovecot + Squirrelmail dhe përdoruesit lokalë - Rrjetet SMB

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Ky artikull është vazhdimi dhe i fundit i miniseries:

• Vërtetimi i Squid + PAM në CentOS 7.
• Menaxhimi lokal i përdoruesit dhe grupit
• Serveri DNS Autoritar i NSD + Shorewall
• Miratimi i prozodisë dhe përdoruesit lokalë
  

Përshëndetje miq dhe miq!

L Entuziastët ata duan të kenë serverin e tyre të postës. Ata nuk duan të përdorin servera ku "Privatësia" është midis pikëpyetjeve. Personi i ngarkuar për zbatimin e shërbimit në serverin tuaj të vogël nuk është një specialist në këtë temë dhe fillimisht do të përpiqet të instalojë thelbin e një serveri postar të ardhshëm dhe të plotë. A është pak e vështirë të kuptohen dhe zbatohen "ekuacionet" për të bërë një Server të Plotë Postuesi. 😉

Shënimet e marzheve

• Shtë e nevojshme të jesh i qartë se cilat funksione i kryen secili program i përfshirë në një Mailserver. Si udhëzues fillestar ne japim një seri të tërë të lidhjeve të dobishme me qëllimin e deklaruar që ato të vizitohen.
• Zbatimi manual i një Shërbimi të plotë të Postës nga e para është një proces i lodhshëm, përveç nëse jeni një nga "Të Zgjedhurit" që kryejnë këtë lloj detyre çdo ditë. Një server postar formohet - në një mënyrë të përgjithshme - nga programe të ndryshme që trajtojnë veçmas SMTP, POP / IMAP, Ruajtja Lokale e Mesazheve, detyrat në lidhje me trajtimin e Related, Antivirus, etj. T ALL GJITHA këto programe duhet të komunikojnë në mënyrë korrekte.
• Nuk ka asnjë madhësi që i përshtatet të gjitha ose "praktikave më të mira" se si të menaxhojmë përdoruesit; ku dhe si të ruhen mesazhet, ose si t'i bëjmë të gjithë përbërësit të funksionojnë si një e tërë e vetme.
• Montimi dhe akordimi i një Mailserver tenton të jetë i neveritshëm në çështje të tilla si lejet dhe pronarët e skedarëve, duke zgjedhur se cili përdorues do të jetë përgjegjës për një proces të caktuar, dhe në gabime të vogla të bëra në disa skedarë konfigurimi ezoterik.
• Nëse nuk e dini shumë mirë se çfarë po bëni, rezultati përfundimtar do të jetë një server i pasigurt ose pak jofunksional i postës. Se në fund të zbatimit Ai nuk funksionon, do të jetë ndoshta më i vogli nga të këqijat.
• Ne mund të gjejmë në Internet një numër të mirë të recetave se si të krijoni një Server Postar. Një nga më të plotë -sipas mendimit tim shumë personal- është ai që ofron autori ivar abrahamsen në edicionin e tij të trembëdhjetë të janarit 2017 «Si të vendosni një server postë në një sistem GNU / Linux".
• Ne gjithashtu rekomandojmë të lexoni artikullin «Një shërbyes postash në Ubuntu 14.04: Postfix, Dovecot, MySQL«, ose «Një shërbyes postash në Ubuntu 16.04: Postfix, Dovecot, MySQL".
• E vërtetë Dokumentacioni më i mirë në këtë drejtim mund të gjendet në anglisht.
  • Edhe pse ne kurrë nuk bëjmë një Mailserver të udhëhequr me besnikëri nga Si të… përmendur në paragrafin e mëparshëm, thjesht fakti i ndjekjes së tij hap pas hapi do të na japë një ide shumë të mirë të asaj që do të përballemi.
• Nëse dëshironi të keni një Serveri të Postës së plotë në vetëm disa hapa, mund ta shkarkoni imazhin iRedOS-0.6.0-CentOS-5.5-i386.iso, ose kërkoni një më moderne, qoftë iRedOS ose iRedMail. Theshtë mënyra që unë personalisht rekomandoj.

Ne do të instalojmë dhe konfigurojmë:

• Postfiks si server Mhudhër Transporti Afisnik (SMTP).
• Pëllumbadh si server POP - IMAP.
• Certifikata për lidhje përmes TLS.
• Ketri si një ndërfaqe në internet për përdoruesit.
• Regjistrimi DNS në krahasim me «Korniza e Politikave të Dërguesit»Ose SPF.
• Gjenerimi i modulit Grupi Diffie Hellman për të rritur sigurinë e certifikatave SSL.

Mbetet të bëhet:

Të paktën shërbimet e mëposhtme do të mbeteshin për t'u zbatuar:

• postgri: Politikat e serverit Postfix për Listat Gri dhe refuzoni Junk Mail.
  
• Amavisd-ri: skenar që krijon një ndërfaqe midis MTA, dhe skanuesve të virusit dhe filtrave të përmbajtjes.
• Antivirus Clamav: suitë antivirus
• SpamAssassin: ekstrakt Junk Mail
• brisk rroje (pyzor): Kapja e SPAM përmes një rrjeti të shpërndarë dhe bashkëpunues. Rrjeti Vipul Razor mban një katalog të azhurnuar të përhapjes së postës së pavlefshme ose SPAM.
• Regjistroni DNS "Posta e Identifikuar e DomainKeys" ose DKIM.

pako postgrey, amavisd-new, clamav, spamassassin, brisk y pyzor Ato gjenden në depot e programit. Ne gjithashtu do ta gjejmë programin openkim.

• Deklarimi i saktë i regjistrave të DNS "SPF" dhe "DKIM" është thelbësor nëse nuk duam që serveri ynë i postës të vihet në punë, të deklarohet i padëshirueshëm ose prodhues i SPAM ose Junk Mail, nga shërbime të tjera postare si p.sh. Gmail, Yahoo, Hotmail, etj.

Kontrollet fillestare

Mos harroni se ky artikull është një vazhdim i të tjerëve që fillojnë në Vërtetimi i Squid + PAM në CentOS 7.

Ndërfaqja LAN Ens32 e lidhur në Rrjetin e Brendshëm

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.tifoz DNS1=127.0.0.1
ZONA = publike

[root @ linuxbox] # ifdown ens32 && ifup ens32

Ndërfaqja Ens34 WAN e lidhur në internet

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens34
DEVICE=ens34 ONBOOT=po BOOTPROTO=statike HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=pa IPADDR=172.16.10.10 NETMASK=255.255.255.0 # Adresa ADSL # është e lidhur me ruterin e mëposhtëm IP GATEWAY=172.16.10.1 DOMAIN=desdelinux.tifoz DNS1=127.0.0.1
ZONA = e jashtme

Rezolucioni DNS nga LAN

[root@linuxbox ~]# cat /etc/resolv.conf kërkim desdelinux.fan server 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# email host
postës.desdelinux.fan është një pseudonim për linuxbox.desdelinux.tifoz. linuxbox.desdelinux.fan ka adresën 192.168.10.5 linuxbox.desdelinuxPosta e tifozëve trajtohet nga 1 postë.desdelinux.tifoz.

[root@linuxbox ~]# hostmail.desdelinux.tifoz
postës.desdelinux.fan është një pseudonim për linuxbox.desdelinux.tifoz. linuxbox.desdelinux.fan ka adresën 192.168.10.5 linuxbox.desdelinuxPosta e tifozëve trajtohet nga 1 postë.desdelinux.tifoz.

Rezolucioni i DNS nga interneti

buzz@sysadmin:~$hostmail.desdelinux.tifoz 172.16.10.30
Përdorimi i serverit të domenit: Emri: 172.16.10.30 Adresa: 172.16.10.30#53 Pseudonimet: mail.desdelinux.fan është një pseudonim për desdelinux.tifoz.
desdelinux.fan ka adresen 172.16.10.10
desdelinuxPosta e tifozëve trajtohet nga 10 postë.desdelinux.tifoz.

Problemet me zgjidhjen e emrit të hostit në nivel lokal «desdelinux.tifoz"

Nëse keni probleme për të zgjidhur emrin e hostit «desdelinux.tifoz"nga LAN, provoni të komentoni në vijën e skedarit /etc/dnsmasq.conf ku deklarohet lokal=/desdelinux.fan/. Më pas, rinisni Dnsmasq.

[root @ linuxbox] # nano /etc/dnsmasq.conf # Komento rreshtin më poshtë:
# lokal=/desdelinux.fan/

[root @ linuxbox] # shërbim dnsmasq rinis
Po ridrejtoni në / bin / systemctl rinisni dnsmasq.service

[root @ linuxbox ~] # statusi i shërbimit dnsmasq

[root@linuxbox ~]# host desdelinux.tifoz
desdelinux.fan ka adresen 172.16.10.10
desdelinuxPosta e tifozëve trajtohet nga 10 postë.desdelinux.tifoz.

Postfix dhe Dovecot

Dokumentacioni shumë i gjerë i Postfix dhe Dovecot mund të gjendet në:

[root @ linuxbox] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCE README-Postfix-SASL-RedHat.txt KOMPANITETI main.cf.default TLS_ACKNOWLEDGEMENTS shembuj README_FILES TLS_LICENSE

[root @ linuxbox] # ls /usr/share/doc/dovecot-2.2.10/
AUTORST COPYING.MIT dovecot-openssl.cnf LAJME wiki KOPJIMI ChangeLog shembull-konfigurimi README COPYING.LGPL dokumentacioni.txt mkcert.sh solr-schema.xml

Në CentOS 7, Postfix MTA instalohet si parazgjedhje kur zgjedhim opsionin Server Infrastruktura. Ne duhet të kontrollojmë që konteksti SELinux lejon shkrimin në Potfix në radhën e mesazhit lokal:

[root @ linuxbox] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Modifikimet në FirewallD

Duke përdorur ndërfaqen grafike për të konfiguruar FirewallD, ne duhet të sigurojmë që shërbimet dhe portet e mëposhtme të jenë të aktivizuara për secilën Zonë:

# ----------------------------------------------------- -----
# Rregullime në FirewallD
# ----------------------------------------------------- -----
# firewall
# Zona publike: Shërbimet http, https, imap, pop3, smtp
# Zona publike: portet 80, 443, 143, 110, 25

# Zona e jashtme: http, https, imap, pop3s, shërbimet smtp
# Zona e jashtme: portet 80, 443, 143, 995, 25

Ne instalojmë Dovecot dhe programet e nevojshme

[root @ linuxbox] # yum instaloni telove prokmail dovecot mod_ssl

Konfigurimi minimal i Dovecot

[root @ linuxbox] # nano /etc/dovecot/dovecot.conf
protokollet =imap pop3 lmtp
dëgjoj =*, ::
login_gungimi = Pëllumbotësi është gati!

Ne në mënyrë të qartë e çaktivizojmë vërtetimin e tekstit të thjeshtë të Dovecot:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plain__uth = po

Ne e deklarojmë Grupin me privilegjet e nevojshme për të bashkëvepruar me Dovecot dhe vendndodhjen e mesazheve:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-mail.conf
vendndodhja e postës = mbox: ~ / posta: INBOX = / var / posta /% u
mail_privileged_group = postë
mail_access_groups = postë

Çertifikatat për Pëllumbin

Dovecot gjeneron automatikisht certifikatat tuaja të provës bazuar në të dhënat në skedar /etc/pki/dovecot/dovecot-openssl.cnf. Për të krijuar certifikata të reja sipas kërkesave tona, ne duhet të kryejmë hapat e mëposhtëm:

[root @ linuxbox] # cd / etc / pki / dovecot /
[root @ linuxbox pëllumb] # nano dovecot-openssl.cnf
[ req ] bit_të parazgjedhur = 1024 çelësi i enkriptimit = po emri i dalluar = req_dn x509_extensions = prompt_cert_type = jo [ req_dn ] # shteti (kodi me 2 shkronja) C=CU # Emri i shtetit ose i krahinës (emri i plotë) ST=Kuba # Emri i lokalitetit (p.sh. ) L=Havana # Organizata (p.sh. kompani) O=DesdeLinux.Fan # Emri i njësisë organizative (p.sh. seksioni) OU=Entuziastët # Emri i përbashkët (*.shembull.com është gjithashtu i mundur) CN=*.desdelinux.fan # Email kontakti me email Adresa=buzz@desdelinux.fan [ cert_type ] nsCertType = server

Ne eliminojmë certifikatat e provave

[root @ linuxbox pëllumb] # rm vërtetime / dovecot.pem 
rm: fshi skedarin e rregullt "certs / dovecot.pem"? (y / n) y
[root @ linuxbox pëllumb] # rm private / dovecot.pem 
rm: fshi skedarin e rregullt "private / dovecot.pem"? (y / n) y

Ne kopjojmë dhe ekzekutojmë skenarin mkcert.sh nga drejtoria e dokumentacionit

[root @ linuxbox pëllumb] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox pëllumb] # bash mkcert.sh 
Gjenerimi i një çelësi privat RSA 1024 bit ......++++++ ................++++++ shkrimi i një çelësi të ri privat në '/etc/ pki/dovecot/private/dovecot.pem' ----- subjekt= /C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Antuziast/CN=*.desdelinux.fan/emailadresa=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox pëllumb] # ls -l vërtetime /
gjithsej 4 -rw -------. 1 rrënjë rrënjë 1029 22 maj 16:08 dovecot.pem
[root @ linuxbox pëllumb] # ls -l private /
gjithsej 4 -rw -------. 1 rrënjë rrënjë 916 22 maj 16:08 dovecot.pem

[root @ linuxbox pëllumb] # pëllumb i shërbimit rinis
[root @ linuxbox pëllumb] # status status pëllumbash

Certifikatat për Postfix

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.tifoz.çelës

Gjenerimi i një çelësi privat RSA 4096 bit .........++ ..++ shkrimi i një çelësi të ri privat në 'private/domain.tld.key' ----- Do t'ju kërkohet të vendosni informacione që do të përfshihet në kërkesën tuaj për certifikatë. Ajo që do të futni është ajo që quhet Emër i Dalluar ose DN. Ka mjaft fusha, por ju mund t'i lini disa bosh Për disa fusha do të ketë një vlerë të paracaktuar, nëse futni '.', fusha do të lihet bosh. ----- Emri i shtetit (kodi me 2 shkronja) [XX]: Emri i shtetit ose provincës CU (emri i plotë) []: Emri i lokalitetit të Kubës (p.sh., qyteti) [Qyteti i paracaktuar]: Emri i organizatës Havana (p.sh., kompania) [ Kompania e paracaktuar Ltd]:DesdeLinux.Emri i njësisë organizative të tifozëve (p.sh. seksioni) []:Emri i përbashkët i entuziastëve (p.sh., emri juaj ose emri i hostit të serverit tuaj) []:desdelinux.fan Adresa Email []:buzz@desdelinux.tifoz

Konfigurimi minimal i Postfix

Ne shtojmë në fund të skedarit / etj / pseudonimet tjetri:

rrënjë: gumëzhimë

Që ndryshimet të hyjnë në fuqi, ekzekutojmë komandën e mëposhtme:

[root @ linuxbox] # newaliases

Konfigurimi i Postifx mund të bëhet duke redaktuar direkt skedarin /etj/postfix/main.cf ose me komandë postkonf -e duke u kujdesur që i gjithë parametri që duam të modifikojmë ose shtojmë të pasqyrohet në një rresht të vetëm të konsolës:

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.tifoz'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.tifoz'
[root @ linuxbox] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox] # postconf -e 'inet_interfaces = të gjitha'
[root @ linuxbox] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Ne shtojmë në fund të skedarit /etj/postfix/main.cf opsionet e dhëna më poshtë. Për të ditur kuptimin e secilës prej tyre, ju rekomandojmë të lexoni dokumentacionin shoqërues.

goditje = jo
append_dot_mydomain = jo
vonesa_kohë paralajmërimi = 4 orë
readme_directory = jo
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.tifoz.çelës
smtpd_use_tls = po
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = leje_mynetworks leje_sasl_autentifikuar shtyrjen_unauth_destination

# Madhësia maksimale e kutisë postare 1024 megabajt = 1 g dhe g
kuti postare_size_limit = 1073741824

marrësi_delimiter = +
jetëgjatësia_imë maksimale = 7d
header_checks = regexp: / etc / postfix / header_checks
kontrollet e trupit = regexp: / etj / postfiksi / kontrollet e trupit

# Llogaritë që dërgojnë një kopje të postës hyrëse në një llogari tjetër
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Linjat e mëposhtme janë të rëndësishme për të përcaktuar se kush mund të dërgojë postë dhe stafetë në servera të tjerë, në mënyrë që të mos konfigurojmë aksidentalisht një "stafetë të hapur" që lejon përdoruesit e paautorizuar të dërgojnë postë. Ne duhet të konsultohemi me faqet e ndihmës të Postfix për të kuptuar se çfarë do të thotë çdo opsion.

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.

smtpd_helo_kufizimet = leje_mynetworks,
 warn_if_reject refuz_non_fqdn_hostname,
 refuzo_emrin e pavlefshëm,
 leje

kufizimet smtpd_sender = leje_sasl_autentikohet,
 leje_mynetworks,
 paralajmëro_ë_ refuzo refuzo_non_fqdn_ dërguesin,
 refuzoj_ domenin_sensues_i panjohur,
 refuzoni tubacionin_unauth_,
 leje

smtpd_client_restrictions = refuzo_rbl_client sbl.spamhaus.org,
 refuzo_rbl_client blackholes.easynet.nl

# SHENIM: Opsioni "check_policy_service inet: 127.0.0.1: 10023"
# mundëson programin Postgrey, dhe ne nuk duhet ta përfshijmë atë
# përndryshe ne do të përdorim Postgrey

smtpd_recipient_restrictions = refuzo_unauth_pipeline,
 leje_mynetworks,
 leje_sasl_autentikohet,
 refuzo_non_fqdn_pranuesin,
 refuzoj_ domenin_arresor_unjohur,
 refuzo_caktimin_unauth_,
 check_policy_service inet: 127.0.0.1: 10023,
 leje

kufizimet smtpd_data_ = refuzoj_vlerësimin_unetën_ tubacion

smtpd_relay_restrictions = refuzo_unauth_pipeline,
 leje_mynetworks,
 leje_sasl_autentikohet,
 refuzo_non_fqdn_pranuesin,
 refuzoj_ domenin_arresor_unjohur,
 refuzo_caktimin_unauth_,
 check_policy_service inet: 127.0.0.1: 10023,
 leje
 
smtpd_helo_kërkuar = po
smtpd_delay_reject = po
disable_vrfy_command = po

Ne krijojmë skedarët / etj / postfix / body_checks y / etj / postfix / llogaritë_kopjo_përcjellëse, dhe ne modifikojmë skedarin / etj / postfix / header_checks.

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.
  

[root @ linuxbox] # nano / etc / postfix / body_checks
# Nëse kjo skedar është modifikuar, nuk është e nevojshme # për të ekzekutuar hartën postare # Për të provuar rregullat, ekzekuto si root: # harta postare -q 'super e re v1agra' regexp: / etc / postfix / body_checks
# Duhet të kthehen: # REFUZO Rregullën # 2 Trupi i Mesazhit Anti Spam
/ viagra / REFUZO Rregullën # 1 Anti Spam i trupit të mesazhit
/ super i ri v [i1] agra / REFUZO Rregullën # 2 Trupi i mesazhit anti Spam

[root @ linuxbox] # nano / etc / postfix / llogaritë_ përcjellja_kopje
# Pas modifikimit, duhet të ekzekutoni: # harta postare / etj / postfix / llogaritë_ kopje të përcjelljes
# dhe skedari është krijuar ose matur: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------- # ONE llogari për të përcjellë një BCC kopjoni # BCC = Kopje me karbon të zi # Shembull: # webadmin@desdelinux.fan buzz@desdelinux.tifoz

[root @ linuxbox ~] # harta postare / etj / postfix / llogaritë_ kopje të përcjelljes

[root @ linuxbox ~] # kontrollet nano / etc / postfix / header
# Shto në fund të skedarit # NUK K RERKON Harta Postare pasi ato janë Shprehje të Rregullta
/ ^ Subjekti: =? Big5? / REFUZO Kodimi kinez nuk pranohet nga ky server
/ ^ Subjekti: =? EUC-KR? / REJECT Kodifikimi Korean nuk lejohet nga ky server
/ ^ Subjekti: ADV: / REJECT Reklamat nuk pranohen nga ky server
/^From:.*\@.*\.cn/ REJECT Na vjen keq, posta kineze nuk lejohet këtu
/^From:.*\@.*\.kr/ REJECT Na vjen keq, posta koreane nuk lejohet këtu
/^From:.*\@.*\.tr/ REJECT Na vjen keq, posta turke nuk lejohet këtu
/^From:.*\@.*\.ro/ REJECT Na vjen keq, posta rumune nuk lejohet këtu
/^( Mori..Mesazhi- Id..X-(Mailer| Dërguesi )):.** b(AutoMail|E-Broadcaster|Emailer Platinum | Server Thunder | eMarksman | Nxjerrësi | e-Merge | nga vjedhurazi [^.] | Messenger Global | GroupMaster | Postë Postare | MailKing | Ndeshje10 | MassE-Mail | massmail \ .pl | Shkelës i lajmeve | Powermailer | Shkrepje e shpejtë | Zjarr i gatshëm me qëllim | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nuk lejohen posta masive.
/ ^ Nga: "spammer / REJECT
/ ^ Nga: "spam / REFUZO
/^Lenda :.*viagra / HIDHJE
# Zgjatime të rrezikshme
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne nuk pranojmë bashkëngjitje me këto shtesa

Ne kontrollojmë sintaksën, rifillojmë Apache dhe Postifx, dhe mundësojmë dhe fillojmë Dovecot

[root @ linuxbox ~] # kontroll i postfiksit
[root @ linuxbox ~] #

[root @ linuxbox] # systemctl rindiz httpd
[root @ linuxbox] # statusctctl status httpd

[root @ linuxbox] # systemctl rinis postfix
[root @ linuxbox] # statusf systemctl postfix

[root @ linuxbox] # sistemi statctl pëllumb
● dovecot.service - Dovecot IMAP / POP3 serveri i postës elektronike Ngarkuar: i ngarkuar (/usr/lib/systemd/system/dovecot.service; i paaftë; i paravendosur nga shitësi: i paaftë) Aktiv: joaktiv (i vdekur)

[root @ linuxbox ~] # systemctl mundëson dovecot
[root @ linuxbox] # systemctl fillon pëllumbin
[root @ linuxbox] # systemctl rifillon pëllumbin
[root @ linuxbox] # sistemi statctl pëllumb

Kontrollet në nivelin e konzollës

• Veryshtë shumë e rëndësishme para se të vazhdoni me instalimin dhe konfigurimin e programeve të tjerë, të bëni kontrollet minimale të nevojshme të shërbimeve SMTP dhe POP.

Lokale nga vetë serveri

Ne i dërgojmë një email përdoruesit lokal legola.

[root @ linuxbox] # echo "Përshëndetje. Ky është një mesazh provë" | postat elektronike "Test" legolas

Ne kontrollojmë kutinë postare të legola.

[root @ linuxbox] # openssl s_client -crlf -lidhu 127.0.0.1:110 -starttls pop3

Pas mesazhit Dovecot është gati! ne vazhdojmë:

---
+ Në rregull Dovecot është gati!
USER legolas +OK PASS legolas +OK Identifikohu. STAT +OK 1 559 LIST +OK 1 mesazhe: 1 559 . RETR 1 +OK 559 oktete Rruga e Kthimit:desdelinux.fan> X-Origjinal-Për: legolas Dërguar-Për: legolas@desdelinux.tifoz Marrë: nga desdelinux.fan (Postfix, nga userid 0) id 7EA22C11FC57; Hënë, 22 maj 2017 10:47:10 -0400 (EDT) Data: Hënë, 22 maj 2017 10:47:10 -0400 Për: legolas@desdelinux.fan Subjekti: Test Përdoruesi-Agjent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Lloji i përmbajtjes: tekst/i thjeshtë; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Nga: root@desdelinux.tifoz (rrënjë) Përshëndetje. Ky është një mesazh testimi. LËSHIMI I KRYER
[root @ linuxbox ~] #

Remote nga një kompjuter në LAN

Le të dërgojmë një mesazh tjetër tek legola nga një kompjuter tjetër në LAN. Vini re se siguria e TLS NUK është rreptësisht e nevojshme brenda Rrjetit të NVM-ve.

buzz @ sysadmin: send $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan\
-u "Përshëndetje" \
-m "Përshëndetje Legolas nga shoku yt Buzz" \
-s email.desdelinux.fan -o tls=jo
22 maj 10:53:08 sysadmin sendemail [5866]: Emaili u dërgua me sukses!

Nëse përpiqemi të lidhemi përmes telnet Nga një host në LAN - ose nga interneti, natyrisht - te Dovecot, do të ndodhë e mëposhtmja sepse ne e çaktivizojmë vërtetimin e tekstit të thjeshtë:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Lidhur me linuxbox.desdelinux.tifoz. Karakteri i arratisjes është '^]'. +OK Dovecot është gati! përdorues legolas
-ERR [AUTH] Vërtetimi i tekstit të thjeshtë nuk lejohet në lidhjet jo të sigurta (SSL / TLS).
lë + OK Dalja Lidhja u mbyll nga host i huaj.
zhurmë @ sysadmin: ~ $

Ne duhet ta bëjmë atë përmes openssl. Dalja e plotë e komandës do të ishte:

buzz@sysadmin:~$ openssl s_client -crlf -lidh postën.desdelinux.fan:110 -fillon pop3
E LIDHUR (00000003)
thellësia=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziast, CN = *.desdelinux.tifoz, adresa e emailit = buzz@desdelinux.tifoz
verifikoni gabimin: num = 18: certifikata e vetë nënshkruar verifikoni kthimin: 1
thellësia=0 C = CU, ST = Kuba, L = Havana, O = DesdeLinux.Fan, OU = Entuziast, CN = *.desdelinux.tifoz, adresa e emailit = buzz@desdelinux.tifoz verifikoj kthimin:1
--- Zinxhiri i certifikatës 0 s:/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Antuziast/CN=*.desdelinux.fan/emailadresa=buzz@desdelinux.tifoz i:/C=CU/ST=Kubë/L=Havana/O=DesdeLinux.Fan/OU=Antuziast/CN=*.desdelinux.fan/emailadresa=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Antuziast/CN=*.desdelinux.fan/emailadresa=buzz@desdelinux.lëshuesi i tifozëve=/C=CU/ST=Kuba/L=Havana/O=DesdeLinux.Fan/OU=Antuziast/CN=*.desdelinux.fan/emailadresa=buzz@desdelinux.fan --- Nuk u dërguan emra të certifikatës së klientit CA Çelësi i temperaturës së serverit: ECDH, secp384r1, 384 bit --- Shtrëngimi i duarve SSL ka lexuar 1342 bajt dhe ka shkruar 411 bajte --- E re, TLSv1/SSLv3, Shifra është ECDHE-RSA-AES256 -Çelësi publik i serverit GCM-SHA384 është 1024 bit Rinegocimi i Sigurt Mbështetet Kompresimi: ASNJË Zgjerimi: ASNJËSISË SSL-Sesioni: Protokolli: TLSv1.2 Shifra: ECDHE-RSA-AES256-GCM-SHA384 Session-ID745BCD4BBCD0236204BCD16234C. 15D9FF3F084125DB 5989C5BF6E5295D4A ID-ja e sesionit- ctx : Çelësi kryesor: 2D73C1904B204CEA564F76361AF50373AF8879D793C7F7506F04473777A6FD3503CD9F919BC1BFF837E67F29SKne Nr. Nr. Këshillë për identitetin PSK: Asnjë biletë TLS këshillë për jetëgjatësinë: 309 (sekonda) Bileta e seancës TLS: 352526 - 5e 5a f300 0000 4a 3f 8 29- ee f7 a4 63f fc ec 72e 7c N:.)zOcr...O..~. 6 - 4c d7 be a1 be 0010 2e ae-4 8e 92 2d 98 c7 87 a6 ,.....~.mE... 45 - db 5a 17 8 df 0020b dc 3d-f86 80f 8 a 8 db .:.......hn.... 8 - 1 68 e6 eb 7 b3 a86 0030-08 b35 ea f5 98 f8 c4 98 .68......h...r ..y 1 - 7 72a 7 e1 79 a5 0040b da-e89 4a 28 c3 85 bf 4 8d .J(......z).w.". 9 - bd 7c f29 7 77c a22 0 bd-cb 0050 5 6 61a dc 8 1 .\.a.....14'fz.Q( 31 - b27 e 66 bd 7b 51f d28 ec-d1 e0060 7 c35 2 0 b4 3 ..0.+.... ...e ..14 8 - 65 03 f1 de 35 da ae 5-5 bd f0070 b38 e34 8c cf 48 31..H..90........ 6 - f0 6 9 19 84 b1 0080c db-aa ee 5a d42 56b 13c dd 88 .BV.......Z..,.q 0 - 8a f5 7 1 2 71 c0090 7a-1 e03 70f 90c bf dc 94c a9 z..p.. ..b. ....<. Koha e fillimit: 0 Koha e skaduar: 62 (sek) Verifiko kodin e kthimit: 5 (certifikatë e nënshkruar vetë) ---
+ Në rregull Dovecot është gati!
LEGOolasT E PERRDORUESIT
+ Në rregull
PASSAT legola
+ Në rregull Identifikuar
LISTË
+ Në rregull 1 mesazhe: 1 1021.
PRAPA 1
+OK 1021 oktete Rruga e Kthimit: X-Origjinal-Për: legolas@desdelinux.tifoz Dorëzohet-Për: legolas@desdelinux.fan Marrë: nga sysadmin.desdelinux.tifoz (porta [172.16.10.1]) nga desdelinux.fan (Postfix) me id ESMTP 51886C11E8C0 përdesdelinux.tifoz>; Hënë, 22 maj 2017 15:09:11 -0400 (EDT) ID-Mesazhi: <919362.931369932-sendEmail@sysadmin> Nga: "buzz@deslinux.fan" Për: "legolas@desdelinux.tifoz"desdelinux.fan> Tema: Përshëndetje Data: Hënë, 22 maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Lloji i përmbajtjes: shumëpjesësh/lidhur; boundary="----Përcaktues MIME për sendEmail-365707.724894495" Ky është një mesazh me shumë pjesë në formatin MIME. Për të shfaqur siç duhet këtë mesazh, ju nevojitet një program Email në përputhje me MIME-Version 1.0. ------Deliteruesi MIME për dërgimin Email-365707.724894495 Lloji i përmbajtjes: tekst/i thjeshtë; charset="iso-8859-1" Përmbajtja-Transferimi-Enkodimi: 7bit Përshëndetje Legolas nga miku juaj Buzz ------kufizues MIME për dërgimin Email-365707.724894495-- .
NDËRPRITET
+ Në rregull Dalja jashtë. mbyllur
zhurmë @ sysadmin: ~ $

Ketri

Ketri është një klient në internet i shkruar tërësisht në PHP. Ai përfshin mbështetje vendase PHP për protokollet IMAP dhe SMTP dhe siguron pajtueshmëri maksimale me shfletuesit e ndryshëm në përdorim. Ajo funksionon si duhet në çdo server IMAP. Ka të gjitha funksionet që ju nevojiten nga një klient email duke përfshirë mbështetjen MIME, librin e adresave dhe menaxhimin e dosjeve.

[root @ linuxbox] # yum instalo squirrelmail
[root @ linuxbox ~] # shërbim httpd rinisni

[root @ linuxbox] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.tifoz';
$imapServerAddress = 'mail.desdelinux.tifoz';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.tifoz';

[root @ linuxbox] # shërbim httpd ringarkoni

DNS Send Policy Framenwork ose rekord SPF

Në artikull Serveri DNS Autoritar i NSD + Shorewall Ne pamë që Zona «desdelinux.fan» u konfigurua si më poshtë:

root@ns:~# nano /etc/nsd/desdelinux.fan.zone
ORIGJINA $ desdelinux.tifoz. $TTL 3H @ Nr. NË SOA.desdelinux.tifoz. rrënjë.desdelinux.tifoz. (1; serial 1D; rifresko 1H; riprovo 1W; skadon 3H); minimale ose ; Koha negative e ruajtjes në memorie për të jetuar; @ NË NS ns.desdelinux.tifoz. Email @ IN MX 10.desdelinux.tifoz.
@ IN TXT "v=spf1 a:mail.desdelinux.fan - të gjithë"
; ; Regjistrimi për të zgjidhur pyetjet e gërmimit desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 mail IN CNAME   desdelinux.tifoz. chat NE CNAME   desdelinux.tifoz. www NE CNAME   desdelinux.tifoz. ; ; Regjistrimet SRV në lidhje me XMPP
_xmpp-server._tcp NË SRV 0 0 5269 desdelinux.tifoz. _xmpp-client._tcp NË SRV 0 0 5222 desdelinux.tifoz. _jabber._tcp NË SRV 0 0 5269 desdelinux.tifoz.

Në të regjistri deklarohet:

@ IN TXT "v=spf1 a:mail.desdelinux.fan - të gjithë"

Për të konfiguruar të njëjtin parametër për Rrjetin e SME-ve ose LAN-in, duhet të modifikojmë skedarin e konfigurimit të Dnsmasq si më poshtë:

# regjistrime TXT. Ne gjithashtu mund të deklarojmë një rekord SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan - të gjithë"

Pastaj ne rifillojmë shërbimin:

[root @ linuxbox] # shërbim dnsmasq rinis
[root@linuxbox ~]# shërbim dnsmasq status [root@linuxbox ~]# host -t postë TXT.desdelinux.posta e tifozëve.desdelinux.fan është një pseudonim për desdelinux.tifoz.
desdelinux.teksti përshkrues i tifozëve "v=spf1 a:mail.desdelinux.fan - të gjithë"

Certifikatat e vetë nënshkruara dhe Apache ose httpd

Edhe nëse shfletuesi juaj ju tregon se «Pronari i postës.desdelinux.tifoz Ju keni konfiguruar faqen tuaj të internetit gabimisht. Për të parandaluar vjedhjen e informacionit tuaj, Firefox nuk është lidhur me këtë faqe në internet ”, certifikata e krijuar më parë ISSHT E vlefshme, dhe do të lejojë kredencialet midis klientit dhe serverit të udhëtojnë të koduara, pasi të pranojmë certifikatën.

Nëse dëshironi, dhe si mënyrë për të unifikuar certifikatat, mund të deklaroni për Apache të njëjtat certifikata që keni deklaruar për Postfix, e cila është e saktë.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCcertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.tifoz.çelës

[root @ linuxbox ~] # shërbimi httpd rinisni
[root @ linuxbox ~] # statusi httpd i shërbimit

Grupi Diffie-Hellman

Lënda e Sigurisë bëhet më e vështirë çdo ditë në Internet. Një nga sulmet më të zakonshme në lidhje SSL, eshte ai lopë lopë dhe për të mbrojtur kundër tij është e nevojshme të shtoni parametra jo-standardë në konfigurimin SSL. Për këtë nuk është RFC-3526 «Më eksponenciale modulare (PZHK) Diffie–Hellman Grupe për shkëmbimin e çelësave në internet (IKE)".

[root @ linuxbox] # cd / etj / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Sipas versionit të Apache që kemi instaluar, ne do të përdorim Grupin Diffie-Helman nga skedari /etc/pki/tls/dhparams.pem. Nëse është një version 2.4.8 ose më i ri, atëherë do të duhet të shtojmë në skedar /etc/httpd/conf.d/ssl.conf rreshti i mëposhtëm:

SSLOpenSSLConfCmd DHParametrat "/etc/pki/tls/private/dhparams.pem"

Versioni i Apache që po përdorim është:

[root @ linuxbox tls] # informacion yum httpd
Pluginat e ngarkuara: fastestmirror, langpacks Ngarkimi i shpejtësive të pasqyrave nga hostfile e memorizuar paketat e instaluara Emri: Arkitektura httpd: x86_64
Versioni: 2.4.6
Lirimi: 45.el7.centos Madhësia: 9.4 M Depoja: instaluar Nga depoja: Përmbledhje Base-Repo: Apache HTTP URL e serverit: http://httpd.apache.org/ Licenca: ASL 2.0 Përshkrimi: Serveri Apache HTTP është një i fuqishëm, efikas dhe i zgjerueshëm: server në internet.

Ndërsa kemi një version para 2.4.8, ne shtojmë në fund të certifikatës KRRT të krijuar më parë, përmbajtjen e Grupit Diffie-Helman:

[root @ linuxbox tls] # mace private / dhparams.pem >> çertifikata/desdelinux.fan.crt

Nëse dëshironi të kontrolloni nëse parametrat DH janë shtuar në mënyrë korrekte në certifikatën CRT, ekzekutoni komandat e mëposhtme:

[root @ linuxbox tls] # mace private / dhparams.pem 
----- FILLO PARAMETRAT E DH - ---
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETRAT E DHE FUNDIT -----

[root@linuxbox tls]# çertifikata mace/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETRAT E DHE FUNDIT -----

Pas këtyre ndryshimeve, ne duhet të rinisim shërbimet Postfix dhe httpd:

[root @ linuxbox tls] # rifillimi i post-rregullimit të shërbimit
[root @ linuxbox tls] # status postfix shërbimi
[root @ linuxbox tls] # shërbim httpd rinisni
[root @ linuxbox tls] # status statusi httpd

Përfshirja e Grupit Diffie-Helman në certifikatat tona TLS mund ta bëjë lidhjen përmes HTTPS pak më të ngadaltë, por shtimi i sigurisë ia vlen.

Po kontrollon Squirrelmail

PASTAJ që certifikatat të jenë gjeneruar në mënyrë korrekte dhe që ne të kontrollojmë funksionimin e tyre të saktë siç bëmë përmes komandave të konsolës, drejtojeni shfletuesin tuaj të preferuar në URL http://mail.desdelinux.fan/webmail dhe do të lidhet me klientin e internetit pasi të pranojë certifikatën përkatëse. Vini re se edhe pse specifikoni protokollin HTTP, ai do të ridrejtohet në HTTPS dhe kjo është për shkak të cilësimeve të paracaktuara që ofron CentOS për Squirrelmail. Shihni skedarin /etc/httpd/conf.d/squirrelmail.conf.

Rreth kutive postare të përdoruesit

Dovecot krijon kutitë postare IMAP në dosje shtëpi të secilit përdorues:

[root @ linuxbox] # ls -la /home/legolas/mail/.imap/
gjithsej 12 drwxrwx ---. 5 legolas mail 4096 22 maj 12:39. drwx ------. 3 legolas legolas 75 maj 22 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 Maj 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas postë 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 maj 22 12:39 Dërguar drwx ------. 2 legolas legolas 30 maj 22 11:34 Plehra

Ato gjithashtu ruhen në / var / postë /

[root @ linuxbox] # më pak / var / postë / legolas
Nga MAILER_DAEMON Hënë 22 maj 10:28:00 2017 Data: Hënë, 22 maj 2017 10:28:00 -0400 Nga: Të dhënat e brendshme të sistemit të postës Tema: MOS E FSHI KËTË MESAZH -- ID-ja e mesazhit të të dhënave të brendshme të Dosjes: <1495463280@linuxbox> . Ai krijohet automatikisht nga softueri i sistemit të postës. Nëse fshihet, të dhënat e rëndësishme të dosjes do të humbasin dhe do të rikrijohen me rivendosjen e të dhënave në vlerat fillestare. Nga root@desdelinux.fan Hënë 22 maj 10:47:10 2017 Rruga e Kthimit:desdelinux.fan> X-Origjinal-Për: legolas Dërguar-Për: legolas@desdelinux.tifoz Marrë: nga desdelinux.fan (Postfix, nga userid 0) id 7EA22C11FC57; Hënë, 22 maj 2017 10:47:10 -0400 (EDT) Data: Hënë, 22 maj 2017 10:47:10 -0400 Për: legolas@desdelinux.fan Subjekti: Test Përdoruesi-Agjent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Lloji i përmbajtjes: tekst/i thjeshtë; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> Nga: root@desdelinux.fan (root) X-UID: 7 Statusi: RO Përshëndetje. Ky është një mesazh testimi Nga buzz@deslinux.fan Hën 22 maj 10:53:08 2017 Rruga e Kthimit: X-Origjinal-Për: legolas@desdelinux.tifoz Dorëzohet-Për: legolas@desdelinux.fan Marrë: nga sysadmin.desdelinux.tifoz (porta [172.16.10.1]) nga desdelinux.tifoz (Postfix) me id ESMTP C184DC11FC57 përdesdelinux.tifoz>; Hënë, 22 maj 2017 10:53:08 -0400 (EDT) ID-Mesazhi: <739874.219379516-sendEmail@sysadmin> Nga: "buzz@deslinux.fan" Për: "legolas@desdelinux.tifoz"desdelinux.fan> Tema: Përshëndetje Data: Hënë, 22 maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Lloji i përmbajtjes: shumëpjesësh/lidhur; boundary="----kufizues MIME për sendEmail-794889.899510057
/ var / postë / legolas

Përmbledhje e Miniseries PAM

Ne kemi parë thelbin e një Mailserver dhe kemi vënë pak theks në sigurinë. Shpresojmë që artikulli të shërbejë si një pikë hyrëse në një temë aq të komplikuar dhe të ndjeshme ndaj bërjes së gabimeve pasi është zbatimi manual i një serveri postash.

Ne përdorim legalizimin e përdoruesit lokal sepse nëse e lexojmë skedarin saktë /etc/dovecot/conf.d/10-auth.conf, ne do të shohim se në fund të fundit është përfshirë -sipas parazgjedhjes- skedari i vërtetimit të përdoruesve të sistemit ! përfshijnë sistemin auth.conf.ext. Pikërisht kjo skedar na tregon në titullin e saj se:

[root @ linuxbox] # më pak / etj / etj / dovecot/conf.d/auth-system.conf.ext
# Vërtetimi për përdoruesit e sistemit. Përfshirë nga 10-auth.conf. # # # # Vërtetimi i PAM. Preferohet në ditët e sotme nga shumica e sistemeve.
# PAM përdoret zakonisht me userdb passwd ose userdb statike. # KUJTO: Do të të duhet skedari /etc/pam.d/dovecot i krijuar për vërtetimin e PAM # që të funksionojë në të vërtetë. passdb {shoferi = pam # [sesioni = po] [setcred = po] [dështimi_shfaqje_msg = po] [kërkesa_maks = ] # [cache_key = ] [ ] # shigjeta = pëllumb}

Dhe skedari tjetër ekziston /etj/pam.d/dovecot:

[root @ linuxbox] # cat / etj / pam.d/dovecot 
#% PAM-1.0 kërkohet auth pam_nologin.prandaj auth përfshin llogari fjalëkalimi-auth përfshijnë fjalëkalim-seancë auth përfshijnë fjalëkalim-auth

Çfarë po përpiqemi të transmetojmë në lidhje me vërtetimin e PAM?

• CentOS, Debian, Ubuntu dhe shumë shpërndarje të tjera Linux instalojnë Postifx dhe Dovecot me vërtetimin lokal të aktivizuar si parazgjedhje.
• Shumë artikuj në internet përdorin MySQL - dhe së fundmi MariaDB - për të ruajtur përdoruesit dhe të dhëna të tjera në lidhje me një Postues server. POR këta janë servera për Mijëra përdorues dhe jo për një rrjet klasik SME me - mbase - qindra përdorues.
• Vërtetimi përmes PAM është i domosdoshëm dhe i mjaftueshëm për të siguruar shërbime të rrjetit për sa kohë që ato funksionojnë në një server të vetëm siç kemi parë në këtë ministri.
• Përdoruesit e ruajtur në një bazë të dhënash LDAP mund të hartëzohen sikur të ishin përdorues lokalë, dhe vërtetimi i PAM mund të përdoret për të siguruar shërbime të rrjetit nga servera të ndryshëm Linux që veprojnë si klientë LDAP në serverin qendror të vërtetimit. Në këtë mënyrë, ne do të punonim me kredencialet e përdoruesve të ruajtur në bazën e të dhënave qendrore të serverit LDAP, dhe NUK do të ishte thelbësore të mirëmbahet një bazë e të dhënave me përdoruesit lokalë.

  

  

  

Deri në aventurën tjetër!