Постфик + Довецот + Скуиррелмаил и локални корисници - МСП мреже

Општи индекс серије: Рачунарске мреже за мала и средња предузећа: Увод

Овај чланак је наставак и последњи мини-серијал:

Здраво пријатељи и пријатељи!

Л Ентузијаста желе да имају свој сервер за пошту. Они не желе да користе сервере где је „Приватност“ између знакова питања. Особа задужена за примену услуге на вашем малом серверу није специјалиста за ту тему и у почетку ће покушати да инсталира језгро будућег и комплетног поштанског сервера. Да ли је то „једначине“ за прављење Фулл Маилсервера мало тешко разумети и применити. 😉

Индекс

Напомене на маргинама

  • Неопходно је да буде јасно које функције обавља сваки програм који је укључен у Маилсервер. Као почетни водич дајемо читав низ корисних веза са наведеном сврхом да су посећени.
  • Комплетна поштанска услуга је ручно имплементирање од нуле напоран процес, осим ако нисте један од „Изабраних“ који свакодневно обављају ову врсту задатака. Маил Сервер се обично састоји од различитих програма који се посебно обрађују СМТП, ПОП / ИМАП, Локално складиштење порука, задаци везани за третман СПАМ, Антивирус итд. СВИ ови програми морају правилно да комуницирају једни с другима.
  • Не постоји једнозначна или „најбоља пракса“ о начину управљања корисницима; где и како чувати поруке или како учинити све компоненте да функционишу као јединствена целина.
  • Састављање и фино подешавање поштанског сервера обично није досадно у питањима као што су дозволе датотека и власници, одабир корисника који ће бити задужен за одређени процес и у малим грешкама у некој езотеричној конфигурационој датотеци.
  • Ако добро не знате шта радите, крајњи резултат биће несигуран или помало нефункционалан сервер поште. Да на крају примене Не успе, можда ће бити мање зло.
  • На Интернету можемо наћи добар број рецепата о томе како направити Маил Сервер. Један од најкомплетнијих -по мом врло личном мишљењу- је онај који нуди аутор Ивар Абрахамсен у свом тринаестом издању од јануара 2017. «Како поставити сервер за пошту на ГНУ / Линук систему".
  • Такође препоручујемо читање чланка «Маилсервер на Убунту 14.04: Постфик, Довецот, МиСКЛ«, или «Маилсервер на Убунту 16.04: Постфик, Довецот, МиСКЛ".
  • Истина. Најбоља документација у овом погледу може се наћи на енглеском језику.
    • Иако никада не правимо Маилсервер који би се верно водио Како да ... поменуто у претходном пасусу, сама чињеница да га пратимо корак по корак даће нам врло добру представу са чиме ћемо се суочити.
  • Ако желите да имате комплетни Маилсервер у само неколико корака, можете да преузмете слику иРедОС-0.6.0-ЦентОС-5.5-и386.исо, или потражите модернију, било да је то иРедОС или иРедМаил. То је начин који лично препоручујем.

Инсталираћемо и конфигурисати:

Остаје да се уради:

Требало би да се имплементирају најмање следеће услуге:

  • Постгреи: Постфик смернице сервера за сиве листе и одбацивање нежељене поште.
  • Амависд-ново: скрипта која креира интерфејс између МТА-а, скенера вируса и филтера садржаја.
  • Цламав Антивирус: антивирусни пакет
  • СпамАссассин: екстракт нежељене поште
  • бријач (Пизор): СПАМ снимање кроз дистрибуирану и заједничку мрежу. Мрежа Випул Разор одржава ажурирани каталог ширења нежељене поште или СПАМ-а.
  • ДНС запис „ДомаинКеис Идентифиед Маил“ или ДКИМ.

Пакети постгреи, амависд-нев, цламав, спамассассин, бритва y пизор Налазе се у спремиштима програма. Пронаћи ћемо и програм опендким.

  • Тачна декларација ДНС записа „СПФ“ и „ДКИМ“ је од суштинске важности ако не желимо да наш новопокренути маил сервер буде проглашен непожељним или произвођачем СПАМ-а или нежељене поште од стране других поштанских услуга као што је нпр. гмаил, Yахоо, Хотмаил, итд.

Почетне провере

Запамтите да је овај чланак наставак осталих који почињу у Провера идентитета Скуид + ПАМ на ЦентОС 7.

Енс32 ЛАН интерфејс повезан на унутрашњу мрежу

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ЗОНА = јавна

[роот @ линукбок ~] # ифдовн енс32 && ифуп енс32

Енс34 ВАН интерфејс повезан на Интернет

[роот @ линукбок ~] # нано / етц / сисцонфиг / нетворк-сцриптс / ифцфг-енс34
УРЕЂАЈ = енс34 ОНБООТ = да БООТПРОТО = статички ХВАДДР = 00: 0ц: 29: да: а3: е7 НМ_ЦОНТРОЛЛЕД = не ИПАДДР = 172.16.10.10 НЕТМАСК = 255.255.255.0 # АДСЛ рутер је повезан на # овај интерфејс са # следећом адресом ИП ГАТЕВАИ = 172.16.10.1 ДОМЕН = десделинук.фан ДНС1 = 127.0.0.1
ЗОНА = спољна

ДНС резолуција из ЛАН-а

[роот @ линукбок ~] # цат /етц/ресолв.цонф претрага са линук.фан намесервер 127.0.0.1 намесервер 172.16.10.30 [роот @ линукбок ~] # хост маил
маил.десделинук.фан је псеудоним за линукбок.десделинук.фан. линукбок.десделинук.фан има адресу 192.168.10.5 линукбок.десделинук.фан пошту обрађује 1 маил.десделинук.фан.

[роот @ линукбок ~] # хост маил.фромлинук.фан
маил.десделинук.фан је псеудоним за линукбок.десделинук.фан. линукбок.десделинук.фан има адресу 192.168.10.5 линукбок.десделинук.фан пошту обрађује 1 маил.десделинук.фан.

ДНС резолуција са Интернета

бузз @ сисадмин: ~ $ хост маил.фромлинук.фан 172.16.10.30
Коришћење сервера домена: Име: 172.16.10.30 Адреса: 172.16.10.30 # 53 псеудоними: маил.десделинук.фан је псеудоним за десделинук.фан.
са линук.фан има адресу 172.16.10.10
са поштом десделинук.фан ради 10 маил.десделинук.фан.

Проблеми са локалним решавањем имена хоста „десделинук.фан“

Ако имате проблема са решавањем имена хоста «фромлинук.фан" од ЛАН, покушајте да коментаришете ред датотека /етц/днсмаск.цонф где је проглашено локално = / из линук.фан /. После тога, поново покрените Днсмаск.

[роот @ линукбок ~] # нано /етц/днсмаск.цонф # Коментирајте доњи ред:
# локално = / десделинук.фан /

[роот @ линукбок ~] # сервис днсмаск рестарт
Преусмеравање на / бин / системцтл поново покрените днсмаск.сервице

[роот @ линукбок ~] # статус днсмаск услуге

[роот @ линукбок ~] # хост са линук.фан
десделинук.фан има адресу 172.16.10.10 десделинук.фан пошту обрађује 10 маил.десделинук.фан.

Постфик и Довецот

Веома обимну документацију Постфик-а и Довецот-а можете пронаћи на:

[роот @ линукбок ~] # лс /уср/схаре/доц/постфик-2.10.1/
боунце.цф.дефаулт ЛИЦЕНЦА РЕАДМЕ-Постфик-САСЛ-РедХат.ткт КОМПАТИБИЛНОСТ маин.цф.дефаулт ТЛС_АЦКНОВЛЕДГЕМЕНТС примери РЕАДМЕ_ФИЛЕС ТЛС_ЛИЦЕНСЕ

[роот @ линукбок ~] # лс /уср/схаре/доц/довецот-2.2.10/
АУТХОРС ЦОПИИНГ.МИТ довецот-опенссл.цнф ВЕСТИ вики КОПИРАЊЕ ЦхангеЛог екампле-цонфиг РЕАДМЕ ЦОПИИНГ.ЛГПЛ доцументатион.ткт мкцерт.сх солр-сцхема.кмл

У ЦентОС 7, Постфик МТА се подразумевано инсталира када одаберемо опцију Инфраструцтуре Сервер. Морамо проверити да ли СЕЛинук контекст омогућава писање у Потфик у локалном реду порука:

[роот @ линукбок ~] # гетсебоол -а | греп постфик
постфик_лоцал_врите_маил_споол -> on

Измене у заштитном зидуД

Користећи графички интерфејс за конфигурисање заштитног зида, морамо осигурати да су следеће услуге и портови омогућени за сваку зону:

# ------------------------------------------------- -----
# Исправке у заштитном зидуД
# ------------------------------------------------- -----
# Ватрени зид
# Јавна зона: хттп, хттпс, имап, поп3, смтп услуге
# Јавна зона: луке 80, 443, 143, 110, 25

# Спољна зона: хттп, хттпс, имап, поп3с, смтп услуге
# Спољна зона: портови 80, 443, 143, 995, 25

Инсталирамо Довецот и потребне програме

[роот @ линукбок ~] # иум инсталирај довецот мод_ссл процмаил телнет

Минимална конфигурација Довецот

[роот @ линукбок ~] # нано /етц/довецот/довецот.цонф
протоколи = имап поп3 лмтп
слушати =*, ::
логин_греетинг = Голубињак је спреман!

Изричито онемогућавамо Довецотову аутентификацију отвореног текста:

[роот @ линукбок ~] # нано /етц/довецот/цонф.д/10-аутх.цонф 
дисабле_плаинтект_аутх = да

Изјављујемо Групу са потребним привилегијама за интеракцију са Довецот-ом и локацијом порука:

[роот @ линукбок ~] # нано /етц/довецот/цонф.д/10-маил.цонф
маил_лоцатион = мбок: ~ / маил: ИНБОКС = / вар / маил /% у
маил_привилегед_гроуп = пошта
маил_аццесс_гроупс = маил

Сертификати за Голубињак

Довецот аутоматски генерише ваше тест потврде на основу података у датотеци /етц/пки/довецот/довецот-опенссл.цнф. Да бисмо генерисали нове сертификате у складу са нашим захтевима, морамо извршити следеће кораке:

[роот @ линукбок ~] # цд / етц / пки / довецот /
[роот @ линукбок довецот] # нано довецот-опенссл.цнф
[рек] дефаулт_битс = 1024 енцрипт_кеи = иес кновн_наме = рек_дн к509_ектенсионс = церт_типе промпт = но [рек_дн] # држава (двословни код) Ц = ЦУ # Име државе или провинције (пуно име) СТ = Куба # Назив локације (нпр. град ) Л = Хабана # Организација (нпр. Компанија) О = ФромЛинук.Фан # Назив организационе јединице (нпр. Одељак) ОУ = Љубитељи # Уобичајено име (* .екампле.цом је такође могућ) ЦН = *. Десделинук.фан # Е -маил контакт емаилАддресс=бузз@десделинук.фан [церт_типе] нсЦертТипе = сервер

Уклањамо потврде о тестирању

[роот @ линукбок довецот] # рм цертс / довецот.пем 
рм: избрисати редовну датотеку "цертс / довецот.пем"? (г / н) г.
[роот @ линукбок довецот] # рм привате / довецот.пем 
рм: избрисати редовну датотеку „привате / довецот.пем“? (г / н) г.

Копирамо и извршавамо скрипту мкцерт.сх из директоријума документације

[роот @ линукбок довецот] # цп /уср/схаре/доц/довецот-2.2.10/мкцерт.сх. [роот @ линукбок довецот] # басх мкцерт.сх 
Генерирање 1024-битног РСА приватног кључа ...... ++++++ ................ ++++++ писање новог приватног кључа у '/ етц / пки / довецот / привате / довецот.пем '----- субјецт = /Ц=ЦУ/СТ=Цуба/Л=Хабана/О=ДесдеЛинук.Фан/ОУ=Ентусиастс/ЦН=*.десделинук.фан/емаилАддресс= бузз@десделинук.фан СХА1 Отисак прста = 5Ф: 4А: 0Ц: 44: ЕЦ: ЕЦ: ЕФ: 95: 73: 3Е: 1Е: 37: Д5: 05: Ф8: 23: 7Е: Е1: А4: 5А

[роот @ линукбок довецот] # лс -л цертс /
укупно 4 -рв -------. 1 корен корена 1029 22. маја 16:08 довецот.пем
[роот @ линукбок довецот] # лс -л приватно /
укупно 4 -рв -------. 1 корен корена 916 22. маја 16:08 довецот.пем

[роот @ линукбок довецот] # рестарт услужног голуба
[роот @ линукбок довецот] # статус довецот услуге

Сертификати за Постфик

[роот @ линукбок ~] # цд / етц / пки / тлс / [роот @ линукбок тлс] # опенссл рек -сха256 -к509 -нодес -невкеи рса: 4096 -даис 1825 \ -оут цертс / десделинук.фан.црт -кеиоут привате / десделинук.фан.кеи

Генерирање 4096-битног РСА приватног кључа ......... ++ .. ++ писање новог приватног кључа у 'привате / домаин.тлд.кеи' ----- Од вас ће бити затражено да унесете информације који ће бити уграђени у ваш захтев за сертификат. Оно што ћете уписати је оно што се назива истакнуто име или ДН. Пуно је поља, али можете оставити нека празна. За нека поља ће бити задана вредност, Ако унесете '.', Поље ће остати празно. ----- Назив државе (двословни код) [КСКС]: Назив државе или провинције ЦУ (пуно име) []: Назив локалитета Кубе (нпр. Град) [Подразумевани град]: Назив организације Хабана (нпр. Компанија) [ Подразумевано предузеће доо]: Име организационе јединице ФромЛинук.Фан (нпр. Одељак) []: Уобичајено име ентузијаста (нпр. Ваше име или име хоста вашег сервера) []: десделинук.фан Адреса е-поште []: бузз@десделинук.фан

Минимална конфигурација Постфик-а

Додамо на крај датотеке / етц / алиасес Следећа:

корен: зујање

Да би промене ступиле на снагу извршавамо следећу наредбу:

[роот @ линукбок ~] # невалиасес

Постифк конфигурација се може извршити директним уређивањем датотеке /етц/постфик/маин.цф или по наредби постцонф -е водећи рачуна да се сви параметри које желимо изменити или додати одразе у једном реду конзоле:

  • Свако мора да се изјасни о могућностима које разуме и које су им потребне!.
[роот @ линукбок ~] # постцонф -е 'михостнаме = десделинук.фан'
[роот @ линукбок ~] # постцонф -е 'мидомаин = десделинук.фан'
[роот @ линукбок ~] # постцонф -е 'миоригин = $ мојадомена'
[роот @ линукбок ~] # постцонф -е 'инет_интерфацес = све'
[роот @ линукбок ~] # постцонф -е 'мидестинатион = $ михостнаме, лоцалхост. $ мидомаин, лоцалхост, $ мидомаин, маил. $ мидомаин, ввв. $ мидомаин, фтп. $ мидомаин'

[роот @ линукбок ~] # постцонф -е 'минетворкс = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[роот @ линукбок ~] # постцонф -е 'маилбок_цомманд = / уср / бин / процмаил -а "$ ЕКСТЕНСИОН"'
[роот @ линукбок ~] # постцонф -е 'смтпд_баннер = $ михостнаме ЕСМТП $ маил_наме ($ маил_версион)'

Додамо на крај датотеке /етц/постфик/маин.цф опције дате у наставку. Да бисте знали значење сваког од њих, препоручујемо вам читање пратеће документације.

бифф = бр
аппенд_дот_мидомаин = бр
делаи_варнинг_тиме = 4х
реадме_дирецтори = бр
смтпд_тлс_церт_филе = / етц / пки / цертс / десделинук.фан.црт
смтпд_тлс_кеи_филе = / етц / пки / привате / десделинук.фан.кеи
смтпд_усе_тлс = да
смтпд_тлс_сессион_цацхе_датабасе = бтрее: $ {дата_дирецтори} / смтпд_сцацхе
смтп_тлс_сессион_цацхе_датабасе = бтрее: $ {дата_дирецтори} / смтп_сцацхе
смтпд_релаи_рестрицтионс = дозвола_мојих мрежа дозвола_сасл_аутхентицатед дефер_унаутх_дестинатион

# Максимална величина поштанског сандучета 1024 мегабајта = 1 г и г
маилбок_сизе_лимит = 1073741824

прималац_делимитер = +
максимално_време_живота = 7д
хеадер_цхецкс = регуларни израз: / етц / постфик / хеадер_цхецкс
боди_цхецкс = регуларни израз: / етц / постфик / боди_цхецкс

# Рачуни који шаљу копију долазне поште на други рачун
приматељ_бцц_мапс = хеш: / етц / постфик / аццоунтс_ форвардинг_цопи

Следећи редови су важни да би се утврдило ко може да шаље пошту и преусмерава на друге сервере, како не бисмо случајно конфигурисали „отворени релеј“ који омогућава неовлашћеним корисницима да шаљу пошту. Морамо да прегледамо странице помоћи за Постфик да бисмо разумели шта свака опција значи.

  • Свако мора да се изјасни о могућностима које разуме и које су им потребне!.
смтпд_хело_рестрицтионс = дозволи_мреже,
 варн_иф_рејецт рејецт_нон_фкдн_хостнаме,
 рејецт_инвалид_хостнаме,
 дозвола

смтпд_сендер_рестрицтионс = дозвола_сасл_аутхентицатед,
 аллов_минетворкс,
 варн_иф_рејецт рејецт_нон_фкдн_сендер,
 рејецт_ункновн_сендер_домаин,
 рејецт_унаутх_пипелининг,
 дозвола

смтпд_цлиент_рестрицтионс = одбити_рбл_цлиент сбл.спамхаус.орг,
 рејецт_рбл_цлиент блацкхолес.еасинет.нл

# НАПОМЕНА: Опција "цхецк_полици_сервице инет: 127.0.0.1: 10023"
# омогућава програм Постгреи и не бисмо га требали укључити
# иначе ћемо користити Постгреи

смтпд_реципиент_рестрицтионс = одбаци_наутину_пипелининг,
 аллов_минетворкс,
 дозвола_сасл_аутхентицатед,
 рејецт_нон_фкдн_реципиент,
 рејецт_ункновн_реципиент_домаин,
 рејецт_унаутх_дестинатион,
 цхецк_полици_сервице инет: 127.0.0.1: 10023,
 дозвола

смтпд_дата_рестрицтионс = одбаци_наутину_пипелина

смтпд_релаи_рестрицтионс = одбаци_наутину_пипелининг,
 аллов_минетворкс,
 дозвола_сасл_аутхентицатед,
 рејецт_нон_фкдн_реципиент,
 рејецт_ункновн_реципиент_домаин,
 рејецт_унаутх_дестинатион,
 цхецк_полици_сервице инет: 127.0.0.1: 10023,
 дозвола
 
смтпд_хело_рекуиред = да
смтпд_делаи_рејецт = да
дисабле_врфи_цомманд = да

Ми креирамо датотеке / етц / постфик / боди_цхецкс y / етц / постфик / аццоунтс_форвардинг_цопи, и ми модификујемо датотеку / етц / постфик / хеадер_цхецкс.

  • Свако мора да се изјасни о могућностима које разуме и које су им потребне!.
[роот @ линукбок ~] # нано / етц / постфик / боди_цхецкс
# Ако је ова датотека измењена, није потребно # покретати постмап # Да бисте тестирали правила, покрените као роот: # постмап -к 'супер нови в1агра' регекп: / етц / постфик / боди_цхецкс
# Требало би да се врати: # ОДБИЈИ Правило # 2 Тело поруке против нежељене поште
/ виагра / ОДБИЈАЊЕ Правило # 1 Анти Спам тела поруке
/ супер нев в [и1] агра / ОДБИЈАЊЕ Правило # 2 Анти Спам тела поруке

[роот @ линукбок ~] # нано / етц / постфик / аццоунтс_форвардинг_цопи
# Након модификације, морате извршити: # постмап / етц / постфик / аццоунтс_ форвардинг_цопи
# и датотека се креира или мери: # /етц/постфик/цуентас_реенвиандо_цопиа.дб
# ------------------------------------------ # Један рачун за прослеђивање БЦЦ копија # БЦЦ = Црна карбонска копија # Пример: # вебадмин@десделинук.фан бузз@десделинук.фан

[роот @ линукбок ~] # постмап / етц / постфик / аццоунтс_ форвардинг_цопи

[роот @ линукбок ~] # нано / етц / постфик / хеадер_цхецкс
# Додај на крају датотеке # НЕ ПОТРЕБУЈЕ поштанску карту јер су регуларни изрази
/ ^ Предмет: =? Биг5? / ОДБАЦИ Кинеско кодирање овај сервер не прихвата
/ ^ Предмет: =? ЕУЦ-КР? / ОДБИЈАЊЕ Кодирање на корејском језику није дозвољено
/ ^ Предмет: АДВ: / ОДБИЈИ Оглашавање које овај сервер не прихвата
/^Од:.*\@.*\.цн/ ОДБИЈИ Жао нам је, кинеска пошта овде није дозвољена
/^Од:.*\@.*\.кр/ ОДБИЈИ Жао нам је, корејска пошта овде није дозвољена
/^Од:.*\@.*\.тр/ ОДБИЈИ Жао нам је, турска пошта овде није дозвољена
/^Од:.*\@.*\.ро/ ОДБИЈИ Жао нам је, румунска пошта овде није дозвољена
/^(Рецеивед|Мессаге-Ид|Кс-(Маилер|Сендер)):.*\б(АутоМаил|Е-Броадцастер|Емаилер Платинум | Тхундер Сервер | еМарксман | Ектрацтор | е-Мерге | из стеалтх [^.] | Глобал Мессенгер | ГроупМастер | Маилцаст | МаилКинг | Матцх10 | МассЕ-Маил | массмаил \ .пл | Невс Бреакер | Повермаилер | Куицк Схот | Реади Аим Фире | ВиндоЗ | ВорлдМерге | Иоурдора | Лите) \ б / РЕЈЕЦТ Нису дозвољени масовни поштари.
/ ^ Од: „нежељена пошта / ОДБИЈАЊЕ
/ ^ Од: „нежељена пошта / ОДБИЈАЊЕ
/^Предмет :.*виагра/ ОДБАЦИ
# Опасна продужења
/ наме = [^> Илуминацион * \. (бат | цмд | еке | цом | пиф | рег | сцр | вб | вбе | вбс) / ОДБАЦИ ОДБИЈАЊЕ Не прихватамо прилоге са овим наставцима

Проверавамо синтаксу, поново покрећемо Апацхе и Постифк, и омогућавамо и покрећемо Довецот

[роот @ линукбок ~] # провера постфикса
[роот @ линукбок ~] #

[роот @ линукбок ~] # системцтл поново покрените хттпд
[роот @ линукбок ~] # системцтл статус хттпд

[роот @ линукбок ~] # системцтл поново покрените постфик
[роот @ линукбок ~] # системцтл статус постфик

[роот @ линукбок ~] # системцтл статус довецот
● довецот.сервице - Довецот ИМАП / ПОП3 сервер за е-пошту Учитана: учитана (/уср/либ/системд/систем/довецот.сервице; онемогућена; унапред подешена опција продавца: онемогућена)

[роот @ линукбок ~] # системцтл омогући довецот
[роот @ линукбок ~] # системцтл старт довецот
[роот @ линукбок ~] # системцтл поново покрените довецот
[роот @ линукбок ~] # системцтл статус довецот

Провере на нивоу конзоле

  • Прије наставка инсталације и конфигурације других програма врло је важно извршити минимално потребне провјере СМТП и ПОП услуга.

Локално са самог сервера

Локалном кориснику шаљемо е-пошту Леголас.

[роот @ линукбок ~] # ецхо "Здраво. Ово је пробна порука" | маил-с "Тест" леголас

Проверавамо поштанско сандуче од леголе.

[роот @ линукбок ~] # опенссл с_цлиент -црлф -цоннецт 127.0.0.1:110 -старттлс поп3

После поруке Голубињак је спреман! настављамо:

---
+ ОК Довецот је спреман!
УСЕР леголас + ОК ПАСС леголас + ОК Пријављени. СТАТ + ОК 1 559 ЛИСТ + ОК 1 поруке: 1 559. РЕТР 1 + ОК 559 октета Повратна путања: Кс-Оригинал-То: леголас Достављено-на: леголас@десделинук.фан Примљено: десделинук.фан (Постфик, са корисничког броја 0) ид 7ЕА22Ц11ФЦ57; Пон, 22. маја 2017. 10:47:10 -0400 (ЕДТ) Датум: Понедељак, 22. маја 2017. 10:47:10 -0400 За: леголас@десделинук.фан Предмет: Тест корисничког агента: Хеирлоом маилк 12.5 7/5 / 10 МИМЕ-верзија: 1.0 Садржај: текст / обичан; цхарсет = ус-асции Цонтент-Трансфер-Енцодинг: 7бит Ид поруке: <20170522144710.7ЕА22Ц11ФЦ57@десделинук.фан> Од: роот@десделинук.фан (роот) Здраво. Ово је пробна порука. КУИТ ДОНЕ
[роот @ линукбок ~] #

Даљински управљачи са рачунара на ЛАН мрежи

Пошаљите још једну поруку Леголас са другог рачунара на ЛАН-у. Имајте на уму да ТЛС сигурност НИЈЕ строго неопходна у оквиру МСП мреже.

бузз @ сисадмин: ~ $ сендемаил -ф бузз@деслинук.фан \
-т леголас@десделинук.фан \
-у "Здраво" \
-м "Поздрав Леголас од вашег пријатеља Бузз" \
-с маил.десделинук.фан -о тлс = не
22. маја 10:53:08 сисадмин сендемаил [5866]: Е-пошта је успешно послата!

Ако покушамо да се повежемо кроз Телнет Од хоста на ЛАН-у - или са Интернета, наравно - до Довецот-а, догодиће се следеће јер онемогућимо аутентификацију у отвореном тексту:

бузз @ сисадмин: ~ $ телнет маил.фромлинук.фан 110Покушај 192.168.10.5 ...
Повезано са линукбок.фромлинук.фан. Карактер „Есцапе“ је „^]“. + ОК Довецот је спреман! корисничке леголе
-ЕРР [АУТХ] Аутентификација у отвореном тексту није дозвољена на несигурним (ССЛ / ТЛС) везама.
куит + ОК Одјава Веза је прекинута од стране домаћина.
бузз @ сисадмин: ~ $

Морамо то учинити до краја опенссл. Комплетни излаз наредбе био би:

бузз @ сисадмин: ~ $ опенссл с_цлиент -црлф -цоннецт маил.фромлинук.фан:110 -старттлс поп3
ПОВЕЗАН (00000003)
дубина = 0 Ц = ЦУ, СТ = Куба, Л = Хавана, О = ФромЛинук.Фан, ОУ = Љубитељи, ЦН = * .фромлинук.фан, емаилАддресс = бузз@фромлинук.фан
проверити грешку: нум = 18: самопотписани сертификат верификовати повратак: 1
дубина = 0 Ц = ЦУ, СТ = Куба, Л = Хавана, О = ФромЛинук.Фан, ОУ = Љубитељи, ЦН = * .фромлинук.фан, емаилАддресс = бузз@фромлинук.фан провери повратак: 1
--- Ланац сертификата 0 с: /Ц=ЦУ/СТ=Цуба/Л=Хабана/О=ДесдеЛинук.Фан/ОУ=Ентусиастс/ЦН = *. Десделинук.фан/емаилАддресс=бузз@десделинук.фан и: / Ц =ЦУ/СТ=Цуба/Л=Хабана/О=ДесдеЛинук.Фан/ОУ=Ентусиастс/ЦН=*.десделинук.фан/емаилАддресс=бузз@десделинук.фан --- Сертификат сервера ----- БЕГИН ЦЕРТИФИЦАТЕ-- --- МИИЦизЦЦАјСгАвИБАгИЈАКУХИ / 2ЗД + МеМА0ГЦСкГСИб3ДКЕББКУАМИГбМКсвЦКИД ВККГЕвЈДВТЕНМАсГА1УЕЦБМЕК3ВиИТЕПМА0ГА1УЕБкМГСГФиИВ5хМРцвФКИДВККК Ев5ЕЗКСНкЗУкпбнВ4ЛкЗхбјЕУМБИГА1УЕЦкМЛРВ50дКСНпИКСН0ИКСМкГТАКСБгНВБАМУ ЕЦоуЗГВзЗГВсаВ51еЦ5мИВ4кИјАгБгккхкиГ9в0БЦКЕВЕ2Ј1енпАЗГВзЗГВсаВ51 еЦ5мИВ4вХхцНМТцвНТИиМјАвОДЕвВхцНМТгвНТИиМјАвОДЕвВјЦБмзЕЛМАкГА1УЕ БхМЦК1УкДТАЛБгНВБАгТБЕН1ИмЕкДзАНБгНВБАцТБкххИмФуИТЕКСМБУГА1УЕЦхМО РГВзЗГВМаВ51еЦ5ГИВ4кФДАСБгНВБАсТЦ0ВудХВзаВФздГФзМРквФвИДВККДФБАк ЛмРлц2РлбГлудКсгуЗмФуМСИвИАИЈКоЗИхвцНАКкБФхНидКсп6КГРлц2РлбГлудКсгу ЗмФуМИГфМА0ГЦСкГСИб3ДКЕБАКУАА4ГНАДЦБиККБгКЦ7вцкАиННфИСз5хдеПзКуЗ Бнк м2ММухГДвврДСПДЕцВутзнбЗСгЈ9бвТо445ТР + + + нБмккзЈбпц ОЗ80лујС2хП КСР7Е9еВИКСкр4фП4ХпРрЦА8НклтхЕсапВМСХВ + лнПБкФ2б / Бт2еИиР7г ЈхтлП6гРГ В57МмгЛ8БдИАЈЛвкккДИкКИДАКАБокУвЕзАРБглгхкгБхвхЦАКЕЕБАМЦБкАвДКИЈ КоЗИхвцНАКЕФБКАДгИЕААуИУ1нИКСТбКстддВ + КкЛскум7ЕСриХЗонКОЦелфн2внРл 8оАгХг7Хбтг / е6сР / В9м3ДОбП5ДЕп3лолККИКор7угктфА4ПБтмгизддфДККМДкл ЛТ + МВ5 / ДП1пјКбкТсаЛлЗфвеНкфЛРХкКИ13асеПи4фИЈФОИЗ4ОојДЕГК6 / ВКБИ8 = ----- ----- ЕНД ЦЕРТИФИЦАТЕ субјецт = / Ц = ЦУ / СТ = Цуба / Л = Хавана / О = ДесдеЛинук.Фан /ОУ=Ентусиастс/ЦН=*.десделинук.фан/емаилАддресс=бузз@десделинук.фан издавач = / Ц = ЦУ / СТ = Куба / Л = Хабана / О = ДесдеЛинук.Фан / ОУ = Ентусиастс / ЦН = *. Десделинук .фан / емаилАддресс = бузз @ десделинук.фан --- Није послато ниједно ЦА име сертификата клијента Привремени кључ сервера: ЕЦДХ, сецп384р1, 384 бита --- ССЛ руковање прочитало је 1342 бајта и написало 411 бајтова --- Ново, ТЛСв1 / ССЛв3 , Шифра је ЕЦДХЕ-РСА-АЕС256-ГЦМ-СХА384 Јавни кључ сервера је 1024-битна Подржана је сигурна поновна погодба Компресија: НОНЕ Проширење: НОНЕ ССЛ-сесија: Протокол: ТЛСв1.2 Шифра: ЕЦДХЕ-РСА-АЕС256-ГЦМ-СХА384 Сесија- ИД: Ц745Б4А0236204Е16234ЦБ15ДЦ9ЦДБЦ3Д084125ФФ5989Ф5ДБ6Ц5295БФ4Е2Д73А ИД сесије-цтк: Главни кључ : 1904Д204Ц564Б76361ЦЕА50373Ф8879АФ793АФ7Д7506Ц04473777Ф6Ф3503А9ФД919ЦД1Ф837БЦ67БФФ29Е309Ф352526Ф5 кључ-АРГ: Нема крб5 Директор: Нема ПСК 300 идентитет: Нема ПСК идентитет наговештај: ХС 0000Ф4Ф3А8ФД29ЦД7Ф4БЦ63БФФ72Е7Ф6Ф4 кључ-АРГ: Нема крб7 Директор: Нема 1 ПСК идентитет: Нема ПСК идентитет наговештај: ХС XNUMX ТЛС сесије XNUMX секунди XNUMX Ф Нонец XNUMX сесија тикета XNUMX ф XNUMX секунде XNUMX ФXNUMXФXNUMX карта ец XNUMXе XNUMXц Н :.) зОцр ... О .. ~.
 0010 - 2ц д4 бе а8 бе 92 2е ае-98 7е 87 6д 45 ц5 17 а8, ........ ~ .мЕ ...
 0020 - дб 3а 86 80 дф 8б дц 8д-ф8 1ф 68 6е дб а7 е3 86 .: ........ хн ....
 0030 - 08 35 е5 еб 98 б8 а4 98-68 б1 еа ф7 72 ф7 ц1 79 .5 ...... х ... р..и 0040 - 89 4а 28 е3 85 а4 8б да-е9 7а 29 ц7 77 бф 22 0д .Ј (...... з) .в. ".
 0050 - бд 5ц ф6 61 8ц а1 14 бд-цб 31 27 66 7а дц 51 28. \. А ..... 1'фз.К (0060 - б7 де 35 бд 2б 0ф д4 ец-д3 е0 14 ц8 65 03 б1 35 ..5. + ....... е..5 0070 - 38 34 ф8 де 48 да ае 31-90 бд ф6 б0 е6 9ц цф 19 84..Х..1 ..... ...
 0080 - ф5 42 56 13 88 б0 8ц дб-аа ее 5а д7 1б 2ц дд 71 .БВ ....... З ..,. К 0090 - 7а ф1 03 70 90 94 ц9 0а-62 е5 0ф 9ц бф дц 3ц а0 з..п .... б ..... <.

+ ОК Довецот је спреман!
КОРИСНИК леголе
+ ОК
ПАСС леголас
+ ОК Пријављени.
СПИСАК
+ ОК 1 порука: 1 1021.
РЕТР 1
+ ОК 1021 октета Повратна путања: Кс-Оригинал-То: леголас@десделинук.фан Достављено-То: леголас@десделинук.фан Примљено: од сисадмин.десделинук.фан (гатеваи [172.16.10.1]) од десделинук.фан (Постфик) са ЕСМТП ид 51886Ц11Е8Ц0 за ; Понедељак, 22. мај 2017. 15:09:11 -0400 (ЕДТ) ИД поруке: <919362.931369932-сендЕмаил@сисадмин> Од: "бузз@деслинук.фан" За: "леголас@десделинук.фан" Предмет: Здраво Датум: Понедељак, 22. мај 2017. 19:09:11 +0000 Кс-Маилер: сендЕмаил-1.56 МИМЕ-верзија: 1.0 Тип садржаја: вишеделни / повезани; бордер = "---- МИМЕ граничник за сендЕмаил-365707.724894495" Ово је вишеделна порука у МИМЕ формату. Да бисте правилно приказали ову поруку, потребан вам је програм е-поште компатибилан са МИМЕ-верзијом 1.0. ------ МИМЕ граничник за сендЕмаил-365707.724894495 Цонтент-Типе: тект / плаин; цхарсет = "исо-8859-1" Кодирање за пренос садржаја: 7-битни поздрав Леголас од вашег пријатеља Бузз ------ МИМЕ граничник за сендЕмаил-365707.724894495--.
КУИТ
+ ОК Одјава. затворено
бузз @ сисадмин: ~ $

Вјеверица

Вјеверица је веб клијент написан у потпуности на ПХП-у. Укључује изворну ПХП подршку за ИМАП и СМТП протоколе и пружа максималну компатибилност са различитим прегледачима који се користе. Ради исправно на било ком ИМАП серверу. Има све функције које су вам потребне од клијента е-поште, укључујући МИМЕ подршку, адресар и управљање фасциклама.

[роот @ линукбок ~] # иум инсталирај скуиррелмаил
[роот @ линукбок ~] # услуга хттпд рестарт

[роот @ линукбок ~] # нано /етц/скуиррелмаил/цонфиг.пхп
$ домаин = 'десделинук.фан';
$ имапСерверАддресс = 'маил.фромлинук.фан';
$ имапПорт = 143;
$ смтпСерверАддресс = 'десделинук.фан';

[роот @ линукбок ~] # поновно учитавање услуге хттпд

ДНС оквир за слање смерница или СПФ запис

У чланку Ауторитативни ДНС сервер НСД + Схоревалл Видели смо да је зона „десделинук.фан“ конфигурисана на следећи начин:

роот @ нс: ~ # нано /етц/нсд/десделинук.фан.зоне
$ ОРИГИН са линук.фан. $ ТТЛ 3Х @ ИН СОА нс.фромлинук.фан. роот.фромлинук.фан. (1; серијски 1Д; освежи 1Х; покушај поново 1В; истиче 3Х); минимум или; Негативно време кеширања за живот; @ ИН НС нс.фромлинук.фан. @ ИН МКС 10 маил.фромлинук.фан.
@ ИН ТКСТ "в = спф1 а: маил.десделинук.фан -алл"
; ; Пријавите се да бисте решили упите за копање са линук.фан @ ИН А 172.16.10.10; нс ИН А 172.16.10.30 маил ИН ЦНАМЕ фром линук.фан. цхат ИН ЦНАМЕ са линук.фан. ввв ИН ЦНАМЕ са линук.фан. ; ; СРВ записи везани за КСМПП
_кмпп-сервер._тцп ИН СРВ 0 0 5269 од линук.фан. _кмпп-цлиент._тцп ИН СРВ 0 0 5222 од линук.фан. _јаббер._тцп ИН СРВ 0 0 5269 од линук.фан.

У њему је регистар декларисан:

@ ИН ТКСТ "в = спф1 а: маил.десделинук.фан -алл"

Да би исти параметар био конфигурисан за МСП мрежу или ЛАН, морамо изменити Днсмаск конфигурациону датотеку на следећи начин:

# ТКСТ записа. Такође можемо прогласити СПФ запис ткт-рецорд = десделинук.фан, "в = спф1 а: маил.десделинук.фан -алл"

Затим поново покрећемо услугу:

[роот @ линукбок ~] # сервис днсмаск рестарт
[роот @ линукбок ~] # статус днсмаск услуге [роот @ линукбок ~] # хост -т ТКСТ маил.фромлинук.фан маил.фромлинук.фан је алиас за фромлинук.фан. десделинук.фан описни текст "в = спф1 а: маил.десделинук.фан -алл"

Самопотписани сертификати и Апацхе или хттпд

Чак и ако вам прегледач каже да је „Власник маил.фромлинук.фан Погрешно сте конфигурисали веб локацију. Да би спречио крађу ваших података, Фирефок се није повезао са овом веб локацијом “, претходно генерисаним сертификатом ВРЕДИ, и омогућиће поверљиве податке између клијента и сервера да путују шифровано, након што прихватимо сертификат.

Ако желите, и као начин обједињавања сертификата, за Апацхе можете пријавити исте сертификате које сте декларисали за Постфик, што је тачно.

[роот @ линукбок ~] # нано /етц/хттпд/цонф.д/ссл.цонф
ССЛЦертифицатеФиле /етц/пки/тлс/цертс/десделинук.фан.црт
ССЛЦертифицатеКеиФиле /етц/пки/тлс/привате/десделинук.фан.кеи

[роот @ линукбок ~] # сервице хттпд рестарт
[роот @ линукбок ~] # статус хттпд услуге

Диффие-Хеллман Гроуп

Питање безбедности постаје све теже свакодневно на Интернету. Један од најчешћих напада на везе ССЛ, Је ли он логјам а за одбрану од њега потребно је у ССЛ конфигурацију додати нестандардне параметре. За ово постоји РФЦ-3526 «Модуларнији експоненцијални (МОДП) Диффие-Хеллман групе за Интернет размену кључева (ИКЕ)".

[роот @ линукбок ~] # цд / етц / пки / тлс /
[роот @ линукбок тлс] # опенссл дхпарам -оут привате / дхпарамс.пем 2048
[роот @ линукбок тлс] # цхмод 600 привате / дхпарамс.пем

Према верзији Апацхе-а коју смо инсталирали, користићемо Диффие-Хелман Гроуп из датотеке /етц/пки/тлс/дхпарамс.пем. Ако се ради о верзији 2.4.8 или новијој, тада ћемо морати да додамо датотеку /етц/хттпд/цонф.д/ссл.цонф следећи ред:

ССЛОпенССЛЦонфЦмд ДХПараметерс "/етц/пки/тлс/привате/дхпарамс.пем"

Верзија Апацхе-а коју користимо је:

[роот @ линукбок тлс] # иум инфо хттпд
Учитани додаци: најбрже огледало, лангпацкс Учитавање брзина огледала из кеширане датотеке хоста Инсталирани пакети Име: хттпд Архитектура: к86_64
Верзија: 2.4.6
Издање: 45.ел7.центос Величина: 9.4 М Спремиште: инсталирано Из спремишта: Басе-Репо Сажетак: УРЛ Апацхе ХТТП сервера: хттп://хттпд.апацхе.орг/ Лиценца: АСЛ 2.0 Опис: Апацхе ХТТП Сервер је моћан , ефикасан и проширив: веб сервер.

Како имамо верзију пре 2.4.8, додајемо на крају претходно генерисаног ЦРТ сертификата садржај Диффие-Хелман Гроуп:

[роот @ линукбок тлс] # мачка привате / дхпарамс.пем >> цертс / десделинук.фан.црт

Ако желите да проверите да ли су параметри ДХ исправно додани у ЦРТ сертификат, извршите следеће наредбе:

[роот @ линукбок тлс] # мачка привате / дхпарамс.пем 
----- ПОЧНИТЕ ПАРАМЕТРИ ДХ -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- КРАЈ ДХ ПАРАМЕТАРА -----

[роот @ линукбок тлс] # цер цертс / десделинук.фан.црт 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- КРАЈ ДХ ПАРАМЕТАРА -----

Након ових промена, морамо поново покренути услуге Постфик и хттпд:

[роот @ линукбок тлс] # рестарт сервисног постфикса
[роот @ линукбок тлс] # постфик статус услуге
[роот @ линукбок тлс] # услуга хттпд рестарт
[роот @ линукбок тлс] # статус хттпд статуса

Укључивање Диффие-Хелман Групе у наше ТЛС сертификате може успорити повезивање преко ХТТПС-а, али додавање сигурности се исплати.

Провера веверице

Деспуес да су сертификати правилно генерисани и да верификујемо њихов исправан рад као што смо то урадили кроз команде конзоле, усмерите жељени прегледач на УРЛ http://mail.desdelinux.fan/webmail и повезаће се са веб клијентом након прихватања одговарајућег сертификата. Имајте на уму да ће, иако наведете ХТТП протокол, бити преусмерен на ХТТПС, а то је због подразумеване конфигурације коју ЦентОС нуди за Скуиррелмаил. Погледајте датотеку /етц/хттпд/цонф.д/скуиррелмаил.цонф.

О корисничким поштанским сандучићима

Довецот креира ИМАП поштанске сандучиће у фасцикли дом сваког корисника:

[роот @ линукбок ~] # лс -ла /хоме/леголас/маил/.имап/
укупно 12 дрвкрвк ---. 5 легола пошта 4096 22. мај 12:39. дрвк ------. 3 леголе леголе 75 22. маја 11:34 .. -рв -------. 1 леголас леголас 72 22. маја 11:34 довецот.маилбок.лог -рв -------. 1 леголас леголас 8. маја 22 12:39 довецот-уидвалидити -р - р - р--. 1 леголас леголас 0 22. маја 10:12 довецот-уидвалидити.5922ф1д1 дрвкрвк ---. 2 леголе маил 56 22. маја 10:23 ИНБОКС дрвк ------. 2 леголас леголас 56 22. мај 12:39 Послато дрвк ------. 2 леголе леголе 30. маја 22. 11:34 Смеће

Такође се чувају у / вар / маил /

[роот @ линукбок ~] # мање / вар / маил / леголас
Од МАИЛЕР_ДАЕМОН пон. 22. маја 10:28:00 2017. Датум: пон., 22. 2017. 10. 28:00:0400 -1495463280 Од: Интерни подаци система поште Предмет: НЕ БРИШИ Ову ПОРУКУ - УНУТАРЊИ ПОДАЦИ ФАПЛЕ ИД-а поруке: <1495462351 @ линукбок> Кс-ИМАП: 0000000008 22 Статус: РО Овај текст је део интерног формата мапе ваше поште и није стварна порука. Аутоматски га креира софтвер система поште. Ако се избришу, важни подаци из директоријума ће се изгубити и поново ће се креирати са враћањем података на почетне вредности. Фром роот@десделинук.фан Мон Маи 10 47:10:2017 0 Повратак-Пут: Кс-Оригинал-То: леголас Достављено-на: леголас@десделинук.фан Примљено: од десделинук.фан (Постфик, са корисничког броја 7) ид 22ЕА11Ц57ФЦ22; Пон, 2017. маја 10. 47:10:0400 -22 (ЕДТ) Датум: Пон, 2017. маја 10. 47:10:0400 -12.5 За: леголас@десделинук.фан Предмет: Тест корисничког агента: Хеирлоом маилк 7 5/10 / 1.0 МИМЕ-верзија: 7 Садржај: текст / обичан; цхарсет = ус-асции Цонтент-Трансфер-Енцодинг: 20170522144710.7бит Ид поруке: <22ЕА11Ц57ФЦ7@десделинук.фан> Од: роот@десделинук.фан (роот) Кс-УИД: 22 Статус: РО Здраво. Ово је пробна порука од бузз@деслинук.фан Мон Маи 10 53:08:2017 172.16.10.1 Ретурн-Патх: Кс-Оригинал-То: леголас@десделинук.фан Достављено-То: леголас@десделинук.фан Примљено: од сисадмин.десделинук.фан (гатеваи [184]) од десделинук.фан (Постфик) са ЕСМТП ид Ц11ДЦ57ФЦ22 за ; Мон, 2017. маја 10. 53:08:0400 -739874.219379516 (ЕДТ) ИД поруке: <22-сендЕмаил@сисадмин> Од: "бузз@деслинук.фан" За: "леголас@десделинук.фан" Предмет: Здраво Датум: Понедељак, 2017. мај 14. 53:08:0000 +1.56 Кс-Маилер: сендЕмаил-1.0 МИМЕ-верзија: 794889.899510057 Тип садржаја: вишеделни / повезани; бордер = "---- МИМЕ граничник за сендЕмаил-XNUMX
/ вар / маил / леголас

Резиме ПАМ минисерије

Размотрили смо срж поштанског сервера и ставили мали нагласак на сигурност. Надамо се да чланак служи као улазна тачка за тему која је толико компликована и подложна грешкама, као што је ручна примена поштанског сервера.

Користимо локалну потврду идентитета корисника, јер ако смо датотеку правилно прочитали /етц/довецот/цонф.д/10-аутх.цонф, видећемо да је на крају укључено -по дефаулту- датотека за потврду идентитета корисника система ! укључују аутх-систем.цонф.ект. Управо нам ова датотека у заглављу каже:

[роот @ линукбок ~] # мање /етц/довецот/цонф.д/аутх-систем.цонф.ект
# Аутентификација за кориснике система. Укључено у 10-аутх.цонф. # # # # ПАМ аутентификација. Данас преферира већина система.
# ПАМ се обично користи са усердб пассвд или усердб статиц. # ЗАПАМТИТЕ: Требаће вам датотека /етц/пам.д/довецот створена да би ПАМ # аутентификација стварно функционисала. пассдб {возач = пам # [сесија = да] [сетцред = да] [неуспех_приказати_мсг = да] [мак_рекуестс = ] # [цацхе_кеи = ] [ ] #аргс = голубињак}

А друга датотека постоји /етц/пам.д/довецот:

[роот @ линукбок ~] # цат /етц/пам.д/довецот 
#% ПАМ-1.0 аутх рекуиред пам_нологин.со аутх инцлуде пассворд-аутх аццоунт инцлуде пассворд-аутх сессион инцлуде пассворд-аутх

Шта покушавамо да саопштимо у вези са ПАМ аутентификацијом?

  • ЦентОС, Дебиан, Убунту и многе друге дистрибуције Линука инсталирају Постифк и Довецот са локалном потврдом идентитета која је подразумевано омогућена.
  • Многи чланци на Интернету користе МиСКЛ - а однедавно и МариаДБ - за складиштење корисника и других података који се тичу поштанског сервера. АЛИ ово су сервери за ХИЉАДЕ КОРИСНИКА, а не за класичну МСП мрежу са - можда - стотинама корисника.
  • Аутентификација путем ПАМ-а је неопходна и довољна за пружање мрежних услуга све док раде на једном серверу као што смо видели у овој минисерији.
  • Корисници ускладиштени у ЛДАП бази података могу се мапирати као да су локални корисници, а ПАМ потврда идентитета може се користити за пружање мрежних услуга са различитих Линук сервера који делују као ЛДАП клијенти централном серверу за потврду идентитета. На тај начин бисмо радили са акредитивима корисника ускладиштених у централној бази података ЛДАП сервера и НЕ би било неопходно одржавати базу података са локалним корисницима.

До следеће авантуре!


Садржај чланка се придржава наших принципа уређивачка етика. Да бисте пријавили грешку, кликните овде.

9 коментара, остави свој

Оставите свој коментар

Ваша емаил адреса неће бити објављена.

*

*

  1. За податке одговоран: Мигуел Ангел Гатон
  2. Сврха података: Контрола нежељене поште, управљање коментарима.
  3. Легитимација: Ваш пристанак
  4. Комуникација података: Подаци се неће преносити трећим лицима, осим по законској обавези.
  5. Похрана података: База података коју хостује Оццентус Нетворкс (ЕУ)
  6. Права: У било ком тренутку можете ограничити, опоравити и избрисати своје податке.

  1.   гуштер дијо

    Верујте ми да је ово у пракси процес који више од једног системског администратора задаје јаке главобоље, уверен сам да ће у будућности то бити референтни водич за свакога ко жели да управља сопственом е-поштом, практичан случај који се у абц интегришући постфик, довецот, скуиррелмаил ..

    Хвала вам пуно на вашем похвалном доприносу,

  2.   дарко дијо

    Зашто не користити Маилпиле, када је реч о сигурности, са ПГП-ом? Такође Роундцубе има много интуитивнији интерфејс и такође може да интегрише ПГП.

  3.   мартин дијо

    Пре 3 дана прочитао сам пост, знам како да вам захвалим. Не планирам да инсталирам сервер за пошту, али увек је корисно видети стварање сертификата корисних за друге апликације и ови водичи тешко да истичу (чак и више када користите центОС).

  4.   Федерицо дијо

    Мануел Циллеро: Хвала на повезивању са и са вашег блога овај чланак који је минимално језгро поштанског сервера заснованог на Постфик-у и Довецот-у.

    Гуштер: Као и увек, ваша оцена је одлично прихваћена. Хвала вам.

    Дарко: У скоро свим својим чланцима кажем мање-више да „Свако имплементира услуге са програмима који му се највише свиђају“. Хвала на коментару.

    Мартин: Хвала и вама што сте прочитали чланак и надам се да ће вам помоћи у раду.

  5.   Зодиац Царбурус дијо

    Страшан члан члана Федерицо. Пуно вам хвала на тако добром тутоу.

  6.   арцхи дијо

    одличан иако бих користио „виртуелне кориснике“ да избегнем да морам да стварам системског корисника сваки пут кад додам е-пошту, хвала што сам научио пуно нових ствари и ово је врста поста коју сам чекао

  7.   Вилинтон Ацеведо Руеда дијо

    Добар дан,

    Било би их подстакнуто да направе исти са Федора сервером директорија + постифк + довецот + тхундербирд или Оутлоок.

    Имам део, али сам заглављен, радо бих поделио документ заједници @десделинук

  8.   пхицо дијо

    Нисам претпостављао да ће достићи више од 3000 посета !!!

    Поздрав гуштеру!

  9.   Даркенд дијо

    Одличан колега из туторијала.
    Можете ли то учинити за Дебиан 10 са корисницима Ацтиве Дирецтори монтираним на Самба4 ???
    Претпостављам да би то било готово исто, али да се промени тип аутентификације.
    Веома је занимљив одељак који посвећујете стварању самопотписаних сертификата.