Postfix + Dovecot + Squirrelmail dhe përdoruesit lokalë - Rrjetet SMB

Indeksi i përgjithshëm i serisë: Rrjetet kompjuterike për NVM-të: Hyrje

Ky artikull është vazhdimi dhe i fundit i miniseries:

• Vërtetimi i Squid + PAM në CentOS 7.
• Menaxhimi lokal i përdoruesit dhe grupit
• Serveri DNS Autoritar i NSD + Shorewall
• Miratimi i prozodisë dhe përdoruesit lokalë
  

Përshëndetje miq dhe miq!

L Entuziastët ata duan të kenë serverin e tyre të postës. Ata nuk duan të përdorin servera ku "Privatësia" është midis pikëpyetjeve. Personi i ngarkuar për zbatimin e shërbimit në serverin tuaj të vogël nuk është një specialist në këtë temë dhe fillimisht do të përpiqet të instalojë thelbin e një serveri postar të ardhshëm dhe të plotë. A është pak e vështirë të kuptohen dhe zbatohen "ekuacionet" për të bërë një Server të Plotë Postuesi. 😉

Shënimet e marzheve

• Shtë e nevojshme të jesh i qartë se cilat funksione i kryen secili program i përfshirë në një Mailserver. Si udhëzues fillestar ne japim një seri të tërë të lidhjeve të dobishme me qëllimin e deklaruar që ato të vizitohen.
• Zbatimi manual i një Shërbimi të plotë të Postës nga e para është një proces i lodhshëm, përveç nëse jeni një nga "Të Zgjedhurit" që kryejnë këtë lloj detyre çdo ditë. Një server postar formohet - në një mënyrë të përgjithshme - nga programe të ndryshme që trajtojnë veçmas SMTP, POP / IMAP, Ruajtja Lokale e Mesazheve, detyrat në lidhje me trajtimin e Related, Antivirus, etj. T ALL GJITHA këto programe duhet të komunikojnë në mënyrë korrekte.
• Nuk ka asnjë madhësi që i përshtatet të gjitha ose "praktikave më të mira" se si të menaxhojmë përdoruesit; ku dhe si të ruhen mesazhet, ose si t'i bëjmë të gjithë përbërësit të funksionojnë si një e tërë e vetme.
• Montimi dhe akordimi i një Mailserver tenton të jetë i neveritshëm në çështje të tilla si lejet dhe pronarët e skedarëve, duke zgjedhur se cili përdorues do të jetë përgjegjës për një proces të caktuar, dhe në gabime të vogla të bëra në disa skedarë konfigurimi ezoterik.
• Nëse nuk e dini shumë mirë se çfarë po bëni, rezultati përfundimtar do të jetë një server i pasigurt ose pak jofunksional i postës. Se në fund të zbatimit Ai nuk funksionon, do të jetë ndoshta më i vogli nga të këqijat.
• Ne mund të gjejmë në Internet një numër të mirë të recetave se si të krijoni një Server Postar. Një nga më të plotë -sipas mendimit tim shumë personal- është ai që ofron autori ivar abrahamsen në edicionin e tij të trembëdhjetë të janarit 2017 «Si të vendosni një server postë në një sistem GNU / Linux".
• Ne gjithashtu rekomandojmë të lexoni artikullin «Një shërbyes postash në Ubuntu 14.04: Postfix, Dovecot, MySQL«, ose «Një shërbyes postash në Ubuntu 16.04: Postfix, Dovecot, MySQL".
• E vërtetë Dokumentacioni më i mirë në këtë drejtim mund të gjendet në anglisht.
  • Edhe pse ne kurrë nuk bëjmë një Mailserver të udhëhequr me besnikëri nga Si të… përmendur në paragrafin e mëparshëm, thjesht fakti i ndjekjes së tij hap pas hapi do të na japë një ide shumë të mirë të asaj që do të përballemi.
• Nëse dëshironi të keni një Serveri të Postës së plotë në vetëm disa hapa, mund ta shkarkoni imazhin iRedOS-0.6.0-CentOS-5.5-i386.iso, ose kërkoni një më moderne, qoftë iRedOS ose iRedMail. Theshtë mënyra që unë personalisht rekomandoj.

Ne do të instalojmë dhe konfigurojmë:

• Postfiks si server Mhudhër Transporti Afisnik (SMTP).
• Pëllumbadh si server POP - IMAP.
• Certifikata për lidhje përmes TLS.
• Ketri si një ndërfaqe në internet për përdoruesit.
• Regjistrimi DNS në krahasim me «Korniza e Politikave të Dërguesit»Ose SPF.
• Gjenerimi i modulit Grupi Diffie Hellman për të rritur sigurinë e certifikatave SSL.

Mbetet të bëhet:

Të paktën shërbimet e mëposhtme do të mbeteshin për t'u zbatuar:

• postgri: Politikat e serverit Postfix për Listat Gri dhe refuzoni Junk Mail.
  
• Amavisd-ri: skenar që krijon një ndërfaqe midis MTA, dhe skanuesve të virusit dhe filtrave të përmbajtjes.
• Antivirus Clamav: suitë antivirus
• SpamAssassin: ekstrakt Junk Mail
• brisk rroje (pyzor): Kapja e SPAM përmes një rrjeti të shpërndarë dhe bashkëpunues. Rrjeti Vipul Razor mban një katalog të azhurnuar të përhapjes së postës së pavlefshme ose SPAM.
• Regjistroni DNS "Posta e Identifikuar e DomainKeys" ose DKIM.

pako postgrey, amavisd-new, clamav, spamassassin, brisk y pyzor Ato gjenden në depot e programit. Ne gjithashtu do ta gjejmë programin openkim.

• Deklarimi i saktë i regjistrave të DNS "SPF" dhe "DKIM" është thelbësor nëse nuk duam që serveri ynë i postës të vihet në punë, të deklarohet i padëshirueshëm ose prodhues i SPAM ose Junk Mail, nga shërbime të tjera postare si p.sh. Gmail, Yahoo, Hotmail, etj.

Kontrollet fillestare

Mos harroni se ky artikull është një vazhdim i të tjerëve që fillojnë në Vërtetimi i Squid + PAM në CentOS 7.

Ndërfaqja LAN Ens32 e lidhur në Rrjetin e Brendshëm

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONA = publike

[root @ linuxbox] # ifdown ens32 && ifup ens32

Ndërfaqja Ens34 WAN e lidhur në internet

[root @ linuxbox] # nano / etc / sysconfig / skripte rrjeti / ifcfg-ens34
DEVICE = ens34 ONBOOT = po BOOTPROTO = statik HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = pa IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # Routeri ADSL është i lidhur me # këtë ndërfaqe me # adresën vijuese GATEWAY IP = 172.16.10.1 DOMAIN = desdelinux.fan DNS1 = 127.0.0.1
ZONA = e jashtme

Rezolucioni DNS nga LAN

[root @ linuxbox] # cat /etc/resolv.conf kërko nga linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # mail host
mail.desdelinux.fan është një pseudonim për linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ka adresë 192.168.10.5 linuxbox.desdelinux.fan posta trajtohet nga 1 mail.desdelinux.fan.

[root @ linuxbox] # posta pritëse.fromlinux.fan
mail.desdelinux.fan është një pseudonim për linuxbox.desdelinux.fan. linuxbox.desdelinux.fan ka adresë 192.168.10.5 linuxbox.desdelinux.fan posta trajtohet nga 1 mail.desdelinux.fan.

Rezolucioni i DNS nga interneti

buzz @ sysadmin: mail $ host host.fromlinux.fan 172.16.10.30
Përdorimi i serverit të domenit: Emri: 172.16.10.30 Adresa: 172.16.10.30 # 53 Aliases: mail.desdelinux.fan është një pseudonim për desdelinux.fan.
nga linux.fan ka adresën 172.16.10.10
posta desdelinux.fan trajtohet nga 10 mail.desdelinux.fan.

Probleme në zgjidhjen e emrit të hostit "desdelinux.fan" në nivel lokal

Nëse keni probleme për të zgjidhur emrin e hostit «nga linux.fan"nga LAN, provoni të komentoni në vijën e skedarit /etc/dnsmasq.conf ku deklarohet lokale = / nga linux.fan /. Më pas, rinisni Dnsmasq.

[root @ linuxbox] # nano /etc/dnsmasq.conf # Komento rreshtin më poshtë:
# lokale = / desdelinux.fan /

[root @ linuxbox] # shërbim dnsmasq rinis
Po ridrejtoni në / bin / systemctl rinisni dnsmasq.service

[root @ linuxbox ~] # statusi i shërbimit dnsmasq

[root @ linuxbox] # host nga linux.fan
desdelinux.fan ka adresë 172.16.10.10 desdelinux.fan posta trajtohet nga 10 mail.desdelinux.fan.

Postfix dhe Dovecot

Dokumentacioni shumë i gjerë i Postfix dhe Dovecot mund të gjendet në:

[root @ linuxbox] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENCE README-Postfix-SASL-RedHat.txt KOMPANITETI main.cf.default TLS_ACKNOWLEDGEMENTS shembuj README_FILES TLS_LICENSE

[root @ linuxbox] # ls /usr/share/doc/dovecot-2.2.10/
AUTORST COPYING.MIT dovecot-openssl.cnf LAJME wiki KOPJIMI ChangeLog shembull-konfigurimi README COPYING.LGPL dokumentacioni.txt mkcert.sh solr-schema.xml

Në CentOS 7, Postfix MTA instalohet si parazgjedhje kur zgjedhim opsionin Server Infrastruktura. Ne duhet të kontrollojmë që konteksti SELinux lejon shkrimin në Potfix në radhën e mesazhit lokal:

[root @ linuxbox] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Modifikimet në FirewallD

Duke përdorur ndërfaqen grafike për të konfiguruar FirewallD, ne duhet të sigurojmë që shërbimet dhe portet e mëposhtme të jenë të aktivizuara për secilën Zonë:

# ----------------------------------------------------- -----
# Rregullime në FirewallD
# ----------------------------------------------------- -----
# firewall
# Zona publike: Shërbimet http, https, imap, pop3, smtp
# Zona publike: portet 80, 443, 143, 110, 25

# Zona e jashtme: http, https, imap, pop3s, shërbimet smtp
# Zona e jashtme: portet 80, 443, 143, 995, 25

Ne instalojmë Dovecot dhe programet e nevojshme

[root @ linuxbox] # yum instaloni telove prokmail dovecot mod_ssl

Konfigurimi minimal i Dovecot

[root @ linuxbox] # nano /etc/dovecot/dovecot.conf
protokollet = imap pop3 lmtp
dëgjoj = *, ::
login_gungimi = Pëllumbotësi është gati!

Ne në mënyrë të qartë e çaktivizojmë vërtetimin e tekstit të thjeshtë të Dovecot:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plain__uth = po

Ne e deklarojmë Grupin me privilegjet e nevojshme për të bashkëvepruar me Dovecot dhe vendndodhjen e mesazheve:

[root @ linuxbox] # nano /etc/dovecot/conf.d/10-mail.conf
vendndodhja e postës = mbox: ~ / posta: INBOX = / var / posta /% u
mail_privileged_group = postë
mail_access_groups = postë

Çertifikatat për Pëllumbin

Dovecot gjeneron automatikisht certifikatat tuaja të provës bazuar në të dhënat në skedar /etc/pki/dovecot/dovecot-openssl.cnf. Për të krijuar certifikata të reja sipas kërkesave tona, ne duhet të kryejmë hapat e mëposhtëm:

[root @ linuxbox] # cd / etc / pki / dovecot /
[root @ linuxbox pëllumb] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = po emrin e dalluar = req_dn x509_extensions = cert_type prompt = jo [req_dn] # vend (kod 2 shkronjash) C = CU # Shteti ose Emri i Provincës (emri i plotë) ST = Kubë # Emri i Lokalitetit (p.sh. qyteti ) L = Habana # Organizimi (p.sh. Kompania) O = FromLinux.Fan # Emri i Njësisë Organizative (p.sh. Seksioni) OU = Entuziastët # Emri i Përbashkët (*. Shembull. Com është gjithashtu i mundur) CN = *. Desdelinux.fan # E -kontaktoni email-in Adresa Adrese = buzz@desdelinux.fan [cert_type] nsCertType = serveri

Ne eliminojmë certifikatat e provave

[root @ linuxbox pëllumb] # rm vërtetime / dovecot.pem 
rm: fshi skedarin e rregullt "certs / dovecot.pem"? (y / n) y
[root @ linuxbox pëllumb] # rm private / dovecot.pem 
rm: fshi skedarin e rregullt "private / dovecot.pem"? (y / n) y

Ne kopjojmë dhe ekzekutojmë skenarin mkcert.sh nga drejtoria e dokumentacionit

[root @ linuxbox pëllumb] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox pëllumb] # bash mkcert.sh 
Po gjeneron një çelës privat RSA 1024 bit ...... ++++++ ................ +++++++ duke shkruar një çelës të ri privat në '/ etj / pki / dovecot / private / dovecot.pem '----- subjekt = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Gjurma e gishtit = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox pëllumb] # ls -l vërtetime /
gjithsej 4 -rw -------. 1 rrënjë rrënjë 1029 22 maj 16:08 dovecot.pem
[root @ linuxbox pëllumb] # ls -l private /
gjithsej 4 -rw -------. 1 rrënjë rrënjë 916 22 maj 16:08 dovecot.pem

[root @ linuxbox pëllumb] # pëllumb i shërbimit rinis
[root @ linuxbox pëllumb] # status status pëllumbash

Certifikatat për Postfix

[root @ linuxbox] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -nyjet -newkey rsa: 4096 -ditë 1825 \ -jashtë çertifikatat / desdelinux.fan.crt -keyout private / desdelinux.fan.kyç

Gjenerimi i një çelësi privat RSA 4096 bit ......... ++ .. ++ shkrimi i një çelësi të ri privat në 'private / domain.tld.key' ----- Juve do t'ju kërkohet të futni informacione që do të përfshihen në kërkesën tuaj për certifikatë. Ajo që do të futni është ajo që quhet Emër i Dalluar ose DN. Ka mjaft fusha, por mund të lini bosh. Për disa fusha do të ketë një vlerë të paracaktuar, Nëse vendosni '.', Fusha do të mbetet bosh. ----- Emri i Shtetit (kodi 2 shkronjash) [XX]: Emri i Shtetit ose Provincës CU (emri i plotë) []: Emri i Lokalitetit të Kubës (p.sh. qyteti) [Qyteti i Paracaktuar]: Emri i Organizatës së Habana (p.sh., ndërmarrja) [ Company Default Ltd]: Emri i Njësisë Organizative FromLinux.Fan (p.sh., seksioni) []: Entuziastët Emri i Përbashkët (p.sh., emri juaj ose emri i hostit të serverit tuaj) []: desdelinux.fan Adresa e Email []: buzz@desdelinux.fan

Konfigurimi minimal i Postfix

Ne shtojmë në fund të skedarit / etj / pseudonimet tjetri:

rrënjë: gumëzhimë

Që ndryshimet të hyjnë në fuqi, ekzekutojmë komandën e mëposhtme:

[root @ linuxbox] # newaliases

Konfigurimi i Postifx mund të bëhet duke redaktuar direkt skedarin /etj/postfix/main.cf ose me komandë postkonf -e duke u kujdesur që i gjithë parametri që duam të modifikojmë ose shtojmë të pasqyrohet në një rresht të vetëm të konsolës:

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.

[root @ linuxbox] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox] # postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox] # postconf -e 'inet_interfaces = të gjitha'
[root @ linuxbox] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Ne shtojmë në fund të skedarit /etj/postfix/main.cf opsionet e dhëna më poshtë. Për të ditur kuptimin e secilës prej tyre, ju rekomandojmë të lexoni dokumentacionin shoqërues.

goditje = jo
append_dot_mydomain = jo
vonesa_kohë paralajmërimi = 4 orë
readme_directory = jo
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etj / pki / private / desdelinux.fan.key
smtpd_use_tls = po
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = leje_mynetworks leje_sasl_autentifikuar shtyrjen_unauth_destination

# Madhësia maksimale e kutisë postare 1024 megabajt = 1 g dhe g
kuti postare_size_limit = 1073741824

marrësi_delimiter = +
jetëgjatësia_imë maksimale = 7d
header_checks = regexp: / etc / postfix / header_checks
kontrollet e trupit = regexp: / etj / postfiksi / kontrollet e trupit

# Llogaritë që dërgojnë një kopje të postës hyrëse në një llogari tjetër
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Linjat e mëposhtme janë të rëndësishme për të përcaktuar se kush mund të dërgojë postë dhe stafetë në servera të tjerë, në mënyrë që të mos konfigurojmë aksidentalisht një "stafetë të hapur" që lejon përdoruesit e paautorizuar të dërgojnë postë. Ne duhet të konsultohemi me faqet e ndihmës të Postfix për të kuptuar se çfarë do të thotë çdo opsion.

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.

smtpd_helo_kufizimet = leje_mynetworks,
 warn_if_reject refuz_non_fqdn_hostname,
 refuzo_emrin e pavlefshëm,
 leje

kufizimet smtpd_sender = leje_sasl_autentikohet,
 leje_mynetworks,
 paralajmëro_ë_ refuzo refuzo_non_fqdn_ dërguesin,
 refuzoj_ domenin_sensues_i panjohur,
 refuzoni tubacionin_unauth_,
 leje

smtpd_client_restrictions = refuzo_rbl_client sbl.spamhaus.org,
 refuzo_rbl_client blackholes.easynet.nl

# SHENIM: Opsioni "check_policy_service inet: 127.0.0.1: 10023"
# mundëson programin Postgrey, dhe ne nuk duhet ta përfshijmë atë
# përndryshe ne do të përdorim Postgrey

smtpd_recipient_restrictions = refuzo_unauth_pipeline,
 leje_mynetworks,
 leje_sasl_autentikohet,
 refuzo_non_fqdn_pranuesin,
 refuzoj_ domenin_arresor_unjohur,
 refuzo_caktimin_unauth_,
 check_policy_service inet: 127.0.0.1: 10023,
 leje

kufizimet smtpd_data_ = refuzoj_vlerësimin_unetën_ tubacion

smtpd_relay_restrictions = refuzo_unauth_pipeline,
 leje_mynetworks,
 leje_sasl_autentikohet,
 refuzo_non_fqdn_pranuesin,
 refuzoj_ domenin_arresor_unjohur,
 refuzo_caktimin_unauth_,
 check_policy_service inet: 127.0.0.1: 10023,
 leje
 
smtpd_helo_kërkuar = po
smtpd_delay_reject = po
disable_vrfy_command = po

Ne krijojmë skedarët / etj / postfix / body_checks y / etj / postfix / llogaritë_kopjo_përcjellëse, dhe ne modifikojmë skedarin / etj / postfix / header_checks.

• Secili duhet të deklarojë opsionet që i kupton dhe i duhen!.
  

[root @ linuxbox] # nano / etc / postfix / body_checks
# Nëse kjo skedar është modifikuar, nuk është e nevojshme # për të ekzekutuar hartën postare # Për të provuar rregullat, ekzekuto si root: # harta postare -q 'super e re v1agra' regexp: / etc / postfix / body_checks
# Duhet të kthehen: # REFUZO Rregullën # 2 Trupi i Mesazhit Anti Spam
/ viagra / REFUZO Rregullën # 1 Anti Spam i trupit të mesazhit
/ super i ri v [i1] agra / REFUZO Rregullën # 2 Trupi i mesazhit anti Spam

[root @ linuxbox] # nano / etc / postfix / llogaritë_ përcjellja_kopje
# Pas modifikimit, duhet të ekzekutoni: # harta postare / etj / postfix / llogaritë_ kopje të përcjelljes
# dhe skedari është krijuar ose matur: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Një llogari e vetme për të përcjellë një Kopjimi i BCC # BCC = Kopja e Karbonit të Zi # Shembull: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # harta postare / etj / postfix / llogaritë_ kopje të përcjelljes

[root @ linuxbox ~] # kontrollet nano / etc / postfix / header
# Shto në fund të skedarit # NUK K RERKON Harta Postare pasi ato janë Shprehje të Rregullta
/ ^ Subjekti: =? Big5? / REFUZO Kodimi kinez nuk pranohet nga ky server
/ ^ Subjekti: =? EUC-KR? / REJECT Kodifikimi Korean nuk lejohet nga ky server
/ ^ Subjekti: ADV: / REJECT Reklamat nuk pranohen nga ky server
/^From:.*\@.*\.cn/ REJECT Na vjen keq, posta kineze nuk lejohet këtu
/^From:.*\@.*\.kr/ REJECT Na vjen keq, posta koreane nuk lejohet këtu
/^From:.*\@.*\.tr/ REJECT Na vjen keq, posta turke nuk lejohet këtu
/^From:.*\@.*\.ro/ REJECT Na vjen keq, posta rumune nuk lejohet këtu
/^( Mori..Mesazhi- Id..X-(Mailer| Dërguesi )):.** b(AutoMail|E-Broadcaster|Emailer Platinum | Server Thunder | eMarksman | Nxjerrësi | e-Merge | nga vjedhurazi [^.] | Messenger Global | GroupMaster | Postë Postare | MailKing | Ndeshje10 | MassE-Mail | massmail \ .pl | Shkelës i lajmeve | Powermailer | Shkrepje e shpejtë | Zjarr i gatshëm me qëllim | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Nuk lejohen posta masive.
/ ^ Nga: "spammer / REJECT
/ ^ Nga: "spam / REFUZO
/^Lenda :.*viagra / HIDHJE
# Zgjatime të rrezikshme
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Ne nuk pranojmë bashkëngjitje me këto shtesa

Ne kontrollojmë sintaksën, rifillojmë Apache dhe Postifx, dhe mundësojmë dhe fillojmë Dovecot

[root @ linuxbox ~] # kontroll i postfiksit
[root @ linuxbox ~] #

[root @ linuxbox] # systemctl rindiz httpd
[root @ linuxbox] # statusctctl status httpd

[root @ linuxbox] # systemctl rinis postfix
[root @ linuxbox] # statusf systemctl postfix

[root @ linuxbox] # sistemi statctl pëllumb
● dovecot.service - Dovecot IMAP / POP3 serveri i postës elektronike Ngarkuar: i ngarkuar (/usr/lib/systemd/system/dovecot.service; i paaftë; i paravendosur nga shitësi: i paaftë) Aktiv: joaktiv (i vdekur)

[root @ linuxbox ~] # systemctl mundëson dovecot
[root @ linuxbox] # systemctl fillon pëllumbin
[root @ linuxbox] # systemctl rifillon pëllumbin
[root @ linuxbox] # sistemi statctl pëllumb

Kontrollet në nivelin e konzollës

• Veryshtë shumë e rëndësishme para se të vazhdoni me instalimin dhe konfigurimin e programeve të tjerë, të bëni kontrollet minimale të nevojshme të shërbimeve SMTP dhe POP.

Lokale nga vetë serveri

Ne i dërgojmë një email përdoruesit lokal legola.

[root @ linuxbox] # echo "Përshëndetje. Ky është një mesazh provë" | postat elektronike "Test" legolas

Ne kontrollojmë kutinë postare të legola.

[root @ linuxbox] # openssl s_client -crlf -lidhu 127.0.0.1:110 -starttls pop3

Pas mesazhit Dovecot është gati! ne vazhdojmë:

---
+ Në rregull Dovecot është gati!
PERRDORUESI legolas + OK PASS legolas + OK Identifikuar STAT + OK 1 559 LISTA + OK 1 mesazhe: 1 559. Rruga e kthimit RETR 1 + OKT 559 okte: X-Origjinal-Për: legolas Dorëzuar-në: legolas@desdelinux.fan Marrë: nga desdelinux.fan (Postfix, nga userid 0) id 7EA22C11FC57; E hënë, 22 maj 2017 10:47:10 -0400 (EDT) Data: e hënë, 22 maj 2017 10:47:10 -0400 Për: legolas@desdelinux.fan Lënda: Testi i përdoruesit-agjent: Posta e trashëgimisë 12.5 7/5 / 10 MIME-Versioni: 1.0 Përmbajtja-Lloji: teksti / i thjeshtë; charset = us-ascii-Kodifikimi i transferimit të përmbajtjes: Identifikimi i mesazhit 7bit: <20170522144710.7EA22C11FC57@desdelinux.fan> Nga: root@desdelinux.fan (rrënja) Përshëndetje. Ky është një mesazh provë. PERFUNDUAR
[root @ linuxbox ~] #

Remote nga një kompjuter në LAN

Le të dërgojmë një mesazh tjetër tek legola nga një kompjuter tjetër në LAN. Vini re se siguria e TLS NUK është rreptësisht e nevojshme brenda Rrjetit të NVM-ve.

buzz @ sysadmin: send $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Përshëndetje" \
-m "Përshëndetje Legolas nga shoku yt Buzz" \
-s mail.desdelinux.fan -o tls = nr
22 maj 10:53:08 sysadmin sendemail [5866]: Emaili u dërgua me sukses!

Nëse përpiqemi të lidhemi përmes telnet Nga një host në LAN - ose nga interneti, natyrisht - te Dovecot, do të ndodhë e mëposhtmja sepse ne e çaktivizojmë vërtetimin e tekstit të thjeshtë:

zhurmë @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Provimi 192.168.10.5 ...
Lidhur me linuxbox.fromlinux.fan. Karakteri i arratisjes është '^]'. + Në rregull Dovecot është gati! përdoruesit legolas
-ERR [AUTH] Vërtetimi i tekstit të thjeshtë nuk lejohet në lidhjet jo të sigurta (SSL / TLS).
lë + OK Dalja Lidhja u mbyll nga host i huaj.
zhurmë @ sysadmin: ~ $

Ne duhet ta bëjmë atë përmes openssl. Dalja e plotë e komandës do të ishte:

buzz @ sysadmin: ~ $ openssl s_client -crlf -lidhni postën.fromlinux.fan:110 -starttls pop3
E LIDHUR (00000003)
thellësia = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Entuziastë, CN = * .fromlinux.fan, emailAdresa = buzz@desdelinux.fan
verifikoni gabimin: num = 18: certifikata e vetë nënshkruar verifikoni kthimin: 1
thellësia = 0 C = CU, ST = Kuba, L = Havana, O = FromLinux.Fan, OU = Entuziastë, CN = * .fromlinux.fan, emailAdresa = buzz@fromlinux.fan verifikoni kthimin: 1
--- Zinxhiri i certifikatave 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Certifikata e serverit ----- FILLIMI CERTIFIKATA-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ BNK m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- Fundi CERTIFICATE subjekt = / C = CU / ST = Cuba / L = Havana / O = DesdeLinux.Fan Emetuesi /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan = / C = CU / ST = Kubë / L = Habana / O = DesdeLinux.Fan / OU = Entuziastë / CN = *. Desdelinux .fan / emailAdresa = buzz @ desdelinux.fan --- Nuk ka çertifikatë klienti Emrat e CA-së nuk janë dërguar Çelësi i Tempullit të serverit: ECDH, secp384r1, 384 bit --- Shtrëngimi i duarve SSL ka lexuar 1342 bajt dhe ka shkruar 411 bajt --- E re, TLSv1 / SSLv3 , Shifra është ECDHE-RSA-AES256-GCM-SHA384 Çelësi publik i serverit është 1024 bit Rinegociimi i sigurt ISSHT Comp Mbështetja e kompresimit: ASNJ Exp Zgjerimi: ASNJ SS SSL-Sesioni: Protokolli: TLSv1.2 Shifra: ECDHE-RSA-AES256-GCM-SHA384 Sesioni- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Sesioni-ID-ctx: Key-Master : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Asnjë Krb5 kryesor: Asnjë PSK 300 identitet: Asnjë kontakt identitet PSK: HS 0000F4F3A8FD29CD7F4BC63BFF72E7F6F4 Key-Arg: Asnjë Krb7 kryesor: Asnjë 1 PSK identitet: kontakt identitet Asnjë PSK: HS XNUMX sesion TLS XNUMX sekonda XNUMX f Nonec XNUMX seanca e biletave XNUMX f XNUMX sekonda XNUMX FXNUMXFXNUMX bileta ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 të jetë a8 të jetë 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ Në rregull Dovecot është gati!
LEGOolasT E PERRDORUESIT
+ Në rregull
PASSAT legola
+ Në rregull Identifikuar
LISTË
+ Në rregull 1 mesazhe: 1 1021.
RETR 1
+ Shtegu i kthimit 1021 oktete në rregull: X-Origjinal Për: legolas@desdelinux.fan Dorëzuar-Për: legolas@desdelinux.fan Marrë: nga sysadmin.desdelinux.fan (porta [172.16.10.1]) nga desdelinux.fan (Postfix) me IDM ESMTP 51886C11E8C0 për ; E hënë, 22 maj 2017 15:09:11 -0400 (EDT) Mesazhi-ID: <919362.931369932-sendEmail@sysadmin> Nga: "buzz@deslinux.fan" Për: "legolas@desdelinux.fan" Tema: Përshëndetje Data: E hënë, 22 maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Lloji i përmbajtjes: multipart / i lidhur; kufiri = "---- Kufizuesi MIME për sendEmail-365707.724894495" Ky është një mesazh me shumë pjesë në formatin MIME. Për të shfaqur siç duhet këtë mesazh, ju nevojitet një program Email i përputhshëm me MIME-Version 1.0. ------ Ndarësin MIME për sendEmail-365707.724894495 Lloji i përmbajtjes: teksti / i thjeshtë; charset = "ISO-8859-1" Përmbajtja-Kodifikimi i Transferimit: Përshëndetje 7bit Legolas nga shoku juaj Buzz ------ Kufizuesi MIME për sendEmail-365707.724894495--.
NDËRPRITET
+ Në rregull Dalja jashtë. mbyllur
zhurmë @ sysadmin: ~ $

Ketri

Ketri është një klient në internet i shkruar tërësisht në PHP. Ai përfshin mbështetje vendase PHP për protokollet IMAP dhe SMTP dhe siguron pajtueshmëri maksimale me shfletuesit e ndryshëm në përdorim. Ajo funksionon si duhet në çdo server IMAP. Ka të gjitha funksionet që ju nevojiten nga një klient email duke përfshirë mbështetjen MIME, librin e adresave dhe menaxhimin e dosjeve.

[root @ linuxbox] # yum instalo squirrelmail
[root @ linuxbox ~] # shërbim httpd rinisni

[root @ linuxbox] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox] # shërbim httpd ringarkoni

DNS Send Policy Framenwork ose rekord SPF

Në artikull Serveri DNS Autoritar i NSD + Shorewall Ne pamë që Zona "desdelinux.fan" ishte konfiguruar si më poshtë:

rrënja @ ns: # nano /etc/nsd/desdelinux.fan.zone
$ ORIGJIN from nga linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. rrënjë.fromlinux.fan. (1; serial 1D; rifreskoni 1H; riprovoni 1W; skadon 3H); minimale ose; Koha e caching negativ për të jetuar; @ NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -të gjitha"
; ; Regjistrohuni për të zgjidhur pyetjet e gërmimit nga linux.fan @ IN A 172.16.10.10; nS N A një postë 172.16.10.30 N CN CNAME nga linux.fan. bisedoni ne CNAME nga linux.fan. www N CN CNAME nga linux.fan. ; ; Regjistrimet SRV në lidhje me XMPP
_xmpp-server._tcp IN SRV 0 0 5269 nga linux.fan. _xmpp-klient._tcp N S SRV 0 0 5222 nga linux.fan. _jabber._tcp IN SRV 0 0 5269 nga linux.fan.

Në të regjistri deklarohet:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -të gjitha"

Për të konfiguruar të njëjtin parametër për Rrjetin e SME-ve ose LAN-in, duhet të modifikojmë skedarin e konfigurimit të Dnsmasq si më poshtë:

# Rekorde TXT. Ne gjithashtu mund të deklarojmë një rekord SPF txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan - të gjitha"

Pastaj ne rifillojmë shërbimin:

[root @ linuxbox] # shërbim dnsmasq rinis
[root @ linuxbox] # statusi i shërbimit dnsmasq [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan është një pseudonim për fromlinux.fan. desdelinux.fan teksti përshkrues "v = spf1 a: mail.desdelinux.fan -të gjithë"

Certifikatat e vetë nënshkruara dhe Apache ose httpd

Edhe nëse shfletuesi juaj ju tregon se «Pronari i mail.fromlinux.fan Ju keni konfiguruar faqen tuaj të internetit gabimisht. Për të parandaluar vjedhjen e informacionit tuaj, Firefox nuk është lidhur me këtë faqe në internet ”, certifikata e krijuar më parë ISSHT E vlefshme, dhe do të lejojë kredencialet midis klientit dhe serverit të udhëtojnë të koduara, pasi të pranojmë certifikatën.

Nëse dëshironi, dhe si mënyrë për të unifikuar certifikatat, mund të deklaroni për Apache të njëjtat certifikata që keni deklaruar për Postfix, e cila është e saktë.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
Skedari SSLCertificate /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # shërbimi httpd rinisni
[root @ linuxbox ~] # statusi httpd i shërbimit

Grupi Diffie-Hellman

Lënda e Sigurisë bëhet më e vështirë çdo ditë në Internet. Një nga sulmet më të zakonshme në lidhje SSL, eshte ai lopë lopë dhe për të mbrojtur kundër tij është e nevojshme të shtoni parametra jo-standardë në konfigurimin SSL. Për këtë nuk është RFC-3526 «Më eksponenciale modulare (PZHK) Diffie–Hellman Grupe për shkëmbimin e çelësave në internet (IKE)".

[root @ linuxbox] # cd / etj / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 private / dhparams.pem

Sipas versionit të Apache që kemi instaluar, ne do të përdorim Grupin Diffie-Helman nga skedari /etc/pki/tls/dhparams.pem. Nëse është një version 2.4.8 ose më i ri, atëherë do të duhet të shtojmë në skedar /etc/httpd/conf.d/ssl.conf rreshti i mëposhtëm:

SSLOpenSSLConfCmd DHParametrat "/etc/pki/tls/private/dhparams.pem"

Versioni i Apache që po përdorim është:

[root @ linuxbox tls] # informacion yum httpd
Pluginat e ngarkuara: fastestmirror, langpacks Ngarkimi i shpejtësive të pasqyrave nga hostfile e memorizuar paketat e instaluara Emri: Arkitektura httpd: x86_64
Versioni: 2.4.6
Lirimi: 45.el7.centos Madhësia: 9.4 M Depoja: instaluar Nga depoja: Përmbledhje Base-Repo: Apache HTTP URL e serverit: http://httpd.apache.org/ Licenca: ASL 2.0 Përshkrimi: Serveri Apache HTTP është një i fuqishëm, efikas dhe i zgjerueshëm: server në internet.

Ndërsa kemi një version para 2.4.8, ne shtojmë në fund të certifikatës KRRT të krijuar më parë, përmbajtjen e Grupit Diffie-Helman:

[root @ linuxbox tls] # mace private / dhparams.pem >> vërtetime / desdelinux.fan.crt

Nëse dëshironi të kontrolloni nëse parametrat DH janë shtuar në mënyrë korrekte në certifikatën CRT, ekzekutoni komandat e mëposhtme:

[root @ linuxbox tls] # mace private / dhparams.pem 
----- FILLO PARAMETRAT E DH - ---
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETRAT E DHE FUNDIT -----

[root @ linuxbox tls] # certifikata mace / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- PARAMETRAT E DHE FUNDIT -----

Pas këtyre ndryshimeve, ne duhet të rinisim shërbimet Postfix dhe httpd:

[root @ linuxbox tls] # rifillimi i post-rregullimit të shërbimit
[root @ linuxbox tls] # status postfix shërbimi
[root @ linuxbox tls] # shërbim httpd rinisni
[root @ linuxbox tls] # status statusi httpd

Përfshirja e Grupit Diffie-Helman në certifikatat tona TLS mund ta bëjë lidhjen përmes HTTPS pak më të ngadaltë, por shtimi i sigurisë ia vlen.

Po kontrollon Squirrelmail

PASTAJ që certifikatat të jenë gjeneruar në mënyrë korrekte dhe që ne të kontrollojmë funksionimin e tyre të saktë siç bëmë përmes komandave të konsolës, drejtojeni shfletuesin tuaj të preferuar në URL http://mail.desdelinux.fan/webmail dhe do të lidhet me klientin e internetit pasi të pranojë certifikatën përkatëse. Vini re se edhe pse specifikoni protokollin HTTP, ai do të ridrejtohet në HTTPS dhe kjo është për shkak të cilësimeve të paracaktuara që ofron CentOS për Squirrelmail. Shihni skedarin /etc/httpd/conf.d/squirrelmail.conf.

Rreth kutive postare të përdoruesit

Dovecot krijon kutitë postare IMAP në dosje shtëpi të secilit përdorues:

[root @ linuxbox] # ls -la /home/legolas/mail/.imap/
gjithsej 12 drwxrwx ---. 5 legolas mail 4096 22 maj 12:39. drwx ------. 3 legolas legolas 75 maj 22 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 Maj 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas postë 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 maj 22 12:39 Dërguar drwx ------. 2 legolas legolas 30 maj 22 11:34 Plehra

Ato gjithashtu ruhen në / var / postë /

[root @ linuxbox] # më pak / var / postë / legolas
Nga MAILER_DAEMON E hënë 22 maj 10:28:00 2017 Data: e hënë, 22 maj 2017 10:28:00 -0400 nga: Të dhënat e brendshme të sistemit postar Subjekti: MOS FALASI KIST M MESAZH - T D DHNAT E BRENDSHME TOLD DETYRUESHME ID-Mesazh: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Statusi: RO Ky tekst është pjesë e formatit të brendshëm të dosjes tuaj të postës dhe nuk është një mesazh i vërtetë . Krijohet automatikisht nga softueri i sistemit të postës. Nëse fshihet, të dhënat e rëndësishme të dosjes do të humbasin dhe ato do të rikrijohen me rivendosjen e të dhënave në vlerat fillestare. Nga root@desdelinux.fan Mon 22 maj 10:47:10 2017 Kthimi-Rruga: X-Origjinal-Në: legolas Dorëzuar-në: legolas@desdelinux.fan Marrë: nga desdelinux.fan (Postfix, nga userid 0) id 7EA22C11FC57; E hënë, 22 maj 2017 10:47:10 -0400 (EDT) Data: e hënë, 22 maj 2017 10:47:10 -0400 Për: legolas@desdelinux.fan Tema: Testi i Agjentit të Përdoruesit: Posta e trashëgimisë 12.5 7/5 / 10-MIME-Version: 1.0 Përmbajtja-Type: teksti / i thjeshtë; charset = us-ascii-Kodifikimi i transferimit të përmbajtjes: Identifikimi i mesazhit 7bit: <20170522144710.7EA22C11FC57@desdelinux.fan> Nga: root@desdelinux.fan (rrënja) X-UID: 7 Statusi: RO Përshëndetje. Ky është një mesazh provë Nga buzz@deslinux.fan Mon 22 maj 10:53:08 2017 Kthimi-Rruga: X-Origjinal Për: legolas@desdelinux.fan Dorëzuar-Për: legolas@desdelinux.fan Marrë: nga sysadmin.desdelinux.fan (porta [172.16.10.1]) nga desdelinux.fan (Postfix) me IDM ESMTP C184DC11FC57 për ; E hënë, 22 maj 2017 10:53:08 -0400 (EDT) Mesazhi-ID: <739874.219379516-sendEmail@sysadmin> Nga: "buzz@deslinux.fan" Për: "legolas@desdelinux.fan" Tema: Përshëndetje Data: E hënë, 22 maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Lloji i përmbajtjes: multipart / i lidhur; kufiri = "---- Kufizuesi MIME për sendEmail-794889.899510057
/ var / postë / legolas

Përmbledhje e Miniseries PAM

Ne kemi parë thelbin e një Mailserver dhe kemi vënë pak theks në sigurinë. Shpresojmë që artikulli të shërbejë si një pikë hyrëse në një temë aq të komplikuar dhe të ndjeshme ndaj bërjes së gabimeve pasi është zbatimi manual i një serveri postash.

Ne përdorim legalizimin e përdoruesit lokal sepse nëse e lexojmë skedarin saktë /etc/dovecot/conf.d/10-auth.conf, ne do të shohim se në fund të fundit është përfshirë -sipas parazgjedhjes- skedari i vërtetimit të përdoruesve të sistemit ! përfshijnë sistemin auth.conf.ext. Pikërisht kjo skedar na tregon në titullin e saj se:

[root @ linuxbox] # më pak / etj / etj / dovecot/conf.d/auth-system.conf.ext
# Vërtetimi për përdoruesit e sistemit. Përfshirë nga 10-auth.conf. # # # # Vërtetimi i PAM. Preferohet në ditët e sotme nga shumica e sistemeve.
# PAM përdoret zakonisht me userdb passwd ose userdb statike. # KUJTO: Do të të duhet skedari /etc/pam.d/dovecot i krijuar për vërtetimin e PAM # që të funksionojë në të vërtetë. passdb {shoferi = pam # [sesioni = po] [setcred = po] [dështimi_shfaqje_msg = po] [kërkesa_maks = ] # [cache_key = ] [ ] # shigjeta = pëllumb}

Dhe skedari tjetër ekziston /etj/pam.d/dovecot:

[root @ linuxbox] # cat / etj / pam.d/dovecot 
#% PAM-1.0 kërkohet auth pam_nologin.prandaj auth përfshin llogari fjalëkalimi-auth përfshijnë fjalëkalim-seancë auth përfshijnë fjalëkalim-auth

Çfarë po përpiqemi të transmetojmë në lidhje me vërtetimin e PAM?

• CentOS, Debian, Ubuntu dhe shumë shpërndarje të tjera Linux instalojnë Postifx dhe Dovecot me vërtetimin lokal të aktivizuar si parazgjedhje.
• Shumë artikuj në internet përdorin MySQL - dhe së fundmi MariaDB - për të ruajtur përdoruesit dhe të dhëna të tjera në lidhje me një Postues server. POR këta janë servera për Mijëra përdorues dhe jo për një rrjet klasik SME me - mbase - qindra përdorues.
• Vërtetimi përmes PAM është i domosdoshëm dhe i mjaftueshëm për të siguruar shërbime të rrjetit për sa kohë që ato funksionojnë në një server të vetëm siç kemi parë në këtë ministri.
• Përdoruesit e ruajtur në një bazë të dhënash LDAP mund të hartëzohen sikur të ishin përdorues lokalë, dhe vërtetimi i PAM mund të përdoret për të siguruar shërbime të rrjetit nga servera të ndryshëm Linux që veprojnë si klientë LDAP në serverin qendror të vërtetimit. Në këtë mënyrë, ne do të punonim me kredencialet e përdoruesve të ruajtur në bazën e të dhënave qendrore të serverit LDAP, dhe NUK do të ishte thelbësore të mirëmbahet një bazë e të dhënave me përdoruesit lokalë.

Deri në aventurën tjetër!