Postfix + Dovecot + Squirrelmail och lokala användare - SME-nätverk

Allmänt index för serien: Datornätverk för små och medelstora företag: introduktion

Den här artikeln är fortsättningen och den sista av miniserierna:

• Squid + PAM-autentisering på CentOS 7.
• Lokal användar- och grupphantering
• NSD auktoritär DNS-server + strandvägg
• Förkasta IM och lokala användare
  

Hej vänner och vänner!

mycket Entusiaster de vill ha sin egen e-postserver. De vill inte använda servrar där "Sekretess" är mellan frågetecken. Den person som ansvarar för att implementera tjänsten på din lilla server är inte specialist i ämnet och kommer initialt att försöka installera kärnan i en framtida och komplett e-postserver. Är det "ekvationerna" för att göra en Full Mailserver är lite svåra att förstå och tillämpa. 😉

Marginalanteckningar

• Det är nödvändigt att vara tydlig om vilka funktioner varje program som är involverat i en Mailserver utför. Som en inledande guide ger vi en hel serie användbara länkar med det deklarerade syftet att de besöks.
• Att implementera en komplett e-posttjänst manuellt och från grunden är en tröttsam process, såvida du inte är en av de "utvalda" som utför denna typ av uppgift dagligen. En e-postserver bildas på ett allmänt sätt av olika program som hanterar separat SMTP-, POP / IMAP, Lokal lagring av meddelanden, uppgifter relaterade till behandlingen av SPAM, Antivirus, etc. ALLA dessa program måste kommunicera korrekt med varandra.
• Det finns ingen storlek som passar alla eller "bästa metoder" för hur man hanterar användare; var och hur man lagrar meddelanden, eller hur man får alla komponenter att fungera som en helhet.
• Montering och inställning av en Mailserver tenderar att vara motbjudande i frågor som behörigheter och filägare, att välja vilken användare som ska ansvara för en viss process och i små fel som görs i någon esoterisk konfigurationsfil.
• Om du inte vet mycket väl vad du gör blir slutresultatet en osäker eller lite icke-funktionell e-postserver. Att det i slutet av implementeringen inte fungerar kommer det att vara det minsta av det ont.
• Vi kan hitta en hel del recept på hur man skapar en e-postserver på Internet. En av de mest kompletta -enligt min mycket personliga åsikt- är den som författaren erbjuder ivar abrahamsen i sin trettonde upplagan i januari 2017 «Hur man ställer in en e-postserver på ett GNU / Linux-system".
• Vi rekommenderar också att du läser artikeln «En Mailserver på Ubuntu 14.04: Postfix, Dovecot, MySQL«, eller «En Mailserver på Ubuntu 16.04: Postfix, Dovecot, MySQL".
• Sann. Den bästa dokumentationen i detta avseende finns på engelska.
  • Även om vi aldrig gör en Mailserver troget styrd av Hur… som nämnts i föregående stycke, kommer bara det faktum att följa det steg för steg att ge oss en mycket god uppfattning om vad vi kommer att möta.
• Om du vill ha en komplett Mailserver i bara några steg kan du ladda ner bilden iRedOS-0.6.0-CentOS-5.5-i386.iso, eller leta efter en modernare, vare sig det är iRedOS eller iRedMail. Det är det sätt som jag personligen rekommenderar.

Vi ska installera och konfigurera:

• postfix som server Mvitlök Transport Agent (SMTP).
• dovecot som POP - IMAP-server.
• Certifikat för anslutningar genom TLS.
• squirrelmail som ett webbgränssnitt för användare.
• DNS-post i förhållande till «Ram för avsändarpolitik"eller SPF.
• Modulgenerering Diffie Hellman Group för att öka säkerheten för SSL-certifikat.

Det återstår att göra:

Åtminstone följande tjänster återstår att implementera:

• Postgrå: Postfix-serverpolicyer för grålistor och avvisa skräppost.
  
• Amavisd-ny: skript som skapar ett gränssnitt mellan MTA och virusscannrar och innehållsfilter.
• Clamav Antivirus: antivirusprogram
• Assassin: extrahera skräppost
• Razor (pyzor): SPAM-infångning via ett distribuerat och samarbetsnätverk. Vipul Razor-nätverket underhåller en uppdaterad katalog över spridning av skräppost eller skräppost.
• DNS-post "DomainKeys Identified Mail" eller dkim förlängning.

paket postgrey, amavisd-new, clamav, spamassassin, rakhyvel y pyzor De finns i programförvaren. Vi hittar också programmet openkim.

• Korrekt deklaration av DNS-posterna "SPF" och "DKIM" är nödvändig om vi inte vill att vår e-postserver bara ska tas i drift, förklaras oönskad eller en producent av SPAM eller skräppost, av andra posttjänster som t.ex. gmail, Yahoo, Hotmail, etc.

Inledande kontroller

Kom ihåg att den här artikeln är en fortsättning på andra som börjar på Squid + PAM-autentisering på CentOS 7.

Ens32 LAN-gränssnitt anslutet till det interna nätverket

[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = offentligt

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-gränssnitt anslutet till Internet

[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens34
DEVICE=sv34 ONBOOT=ja BOOTPROTO=statisk HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nej IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-routern är ansluten till # följande adress IP GATEWAY=172.16.10.1 DOMÄN=desdelinux.fan DNS1=127.0.0.1
ZONE = extern

DNS-upplösning från LAN

[root@linuxbox ~]# cat /etc/resolv.conf 
search desdelinux.fan
nameserver 127.0.0.1
nameserver 172.16.10.30

[root@linuxbox ~]# host mail
e-post.desdelinux.fan är ett alias för linuxbox.desdelinux.fläkt. linuxbox.desdelinux.fan har adressen 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fläkt.

[root@linuxbox ~]# host mail.desdelinux.fläkt
e-post.desdelinux.fan är ett alias för linuxbox.desdelinux.fläkt. linuxbox.desdelinux.fan har adressen 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fläkt.

DNS-upplösning från Internet

buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30
Using domain server:
Name: 172.16.10.30
Address: 172.16.10.30#53
Aliases: 

mail.desdelinux.fan är ett alias för desdelinux.fläkt.
desdelinux.fan har adress 172.16.10.10
desdelinux.fan mail hanteras av 10 mail.desdelinux.fläkt.

Problemas al resolver localmente el nombre de host «desdelinux.fläkt"

Om du har problem med att lösa värdnamnet «desdelinux.fläkt" från LAN, försök att kommentera filraden /etc/dnsmasq.conf där det förklaras local=/desdelinux.fan/. Starta sedan om Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentera raden nedan:
# local=/desdelinux.fan/

[root @ linuxbox ~] # service dnsmasq starta om
Omdirigerar till / bin / systemctl startar om dnsmasq.service

[root @ linuxbox ~] # service dnsmasq status

[root@linuxbox ~]# host desdelinux.fläkt
desdelinux.fan har adress 172.16.10.10
desdelinux.fan mail hanteras av 10 mail.desdelinux.fläkt.

Postfix och Dovecot

Den mycket omfattande dokumentationen av Postfix och Dovecot finns på:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt KOMPATIBILITET main.cf.default TLS_ACKNOWLEDGEMENTS exempel README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
FÖRFATTARE KOPIERAR.MIT dovecot-openssl.cnf NYHETER wiki KOPIERING ChangeLog exempel-config LÄS KOPIERING.LGPL documentation.txt mkcert.sh solr-schema.xml

I CentOS 7 installeras Postfix MTA som standard när vi väljer alternativet Infrastructure Server. Vi måste kontrollera att SELinux-sammanhanget tillåter skrivning till Potfix i den lokala meddelandekön:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Ändringar i FirewallD

Med hjälp av det grafiska gränssnittet för att konfigurera FirewallD måste vi garantera att följande tjänster och portar är aktiverade för varje zon:

# ------------------------------------------------- -----
# Fixar i FirewallD
# ------------------------------------------------- -----
# Brandvägg
# Offentlig zon: http, https, imap, pop3, smtp-tjänster
# Offentlig zon: portar 80, 443, 143, 110, 25

# Extern zon: http, https, imap, pop3s, smtp-tjänster
# Extern zon: portar 80, 443, 143, 995, 25

Vi installerar Dovecot och nödvändiga program

[root @ linuxbox ~] # yum installera dovecot mod_ssl procmail telnet

Minsta Dovecot-konfiguration

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoll =imap pop3 lmtp
lyssna =*, ::
inloggningshälsning = Dovecot är redo!

Vi inaktiverar uttryckligen Dovecots autentisering av klartext:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ja

Vi förklarar gruppen med nödvändiga behörigheter för att interagera med Dovecot och placeringen av meddelandena:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = e-post
mail_access_groups = e-post

Certifikat för Dovecot

Dovecot genererar automatiskt dina testcertifikat baserat på data i filen /etc/pki/dovecot/dovecot-openssl.cnf. För att få nya certifikat genererade enligt våra krav måste vi utföra följande steg:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no
[ req_dn ]
# country (2 letter code)
C=CU
# State or Province Name (full name)
ST=Cuba
# Locality Name (eg. city)
L=Habana
# Organization (eg. company)
O=DesdeLinux.Fan
# Organizational Unit Name (eg. section)
OU=Entusiastas
# Common Name (*.example.com is also possible)
CN=*.desdelinux.fan
# E-mail contact
emailAddress=buzz@desdelinux.fan
[ cert_type ]
nsCertType = server

Vi eliminerar testcertifikat

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: ta bort den vanliga filen "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm privat / dovecot.pem 
rm: ta bort den vanliga filen "privat / dovecot.pem"? (y / n) y

Vi kopierar och kör skriptet mkcert.sh från dokumentationskatalogen

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generating a 1024 bit RSA private key
......++++++
................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----
subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
totalt 4 -rw -------. 1 rotrot 1029 22 maj 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privat /
totalt 4 -rw -------. 1 rotrot 916 22 maj 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # service dovecot status

Certifikat för Postfix

[root@linuxbox ~]# cd /etc/pki/tls/
[root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \
-out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key

Generating a 4096 bit RSA private key
.........++
..++
writing new private key to 'private/dominio.tld.key'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [XX]:CU
State or Province Name (full name) []:Cuba
Locality Name (eg, city) [Default City]:Habana
Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan
Organizational Unit Name (eg, section) []:Entusiastas
Common Name (eg, your name or your server's hostname) []:desdelinux.fan
Email Address []:buzz@desdelinux.fläkt

Minsta konfiguration av Postfix

Vi lägger till i slutet av filen / etc / alias nästa:

rot: surr

För att ändringarna ska träda i kraft utför vi följande kommando:

[root @ linuxbox ~] # newaliases

Postifx-konfigurationen kan göras genom att direkt redigera filen /etc/postfix/main.cf eller med kommando postconf -e se till att alla parametrar som vi vill ändra eller lägga till återspeglas i en enda rad på konsolen:

• Var och en måste förklara de alternativ de förstår och behöver!.

[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Vi lägger till i slutet av filen /etc/postfix/main.cf alternativen nedan. För att veta innebörden av var och en av dem rekommenderar vi att du läser medföljande dokumentation.

biff = nej
append_dot_mydomain = nej
delay_warning_time = 4h
readme_directory = nej
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key
smtpd_use_tls = ja
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maximal postlådestorlek 1024 megabyte = 1 g och g
mailbox_size_limit = 1073741824

container_delimiter = +
maximal_kölivstid = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Konton som skickar en kopia av inkommande e-post till ett annat konto
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Följande rader är viktiga för att avgöra vem som kan skicka e-post och vidarebefordra till andra servrar, så att vi inte av misstag konfigurerar ett öppet relä som gör att obehöriga användare kan skicka e-post. Vi måste konsultera Postfix hjälpsidor för att förstå vad varje alternativ betyder.

• Var och en måste förklara de alternativ de förstår och behöver!.

smtpd_helo_restrictions = permit_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 tillstånd

smtpd_sender_restrictions = permit_sasl_autenticated,
 permit_mynetworks,
 varna_om_avvisa avvisa_non_fqdn_sändare,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 tillstånd

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# OBS: Alternativet "check_policy_service inet: 127.0.0.1: 10023"
# aktiverar Postgrey-programmet, och vi bör inte inkludera det
# annars kommer vi att använda Postgrey

smtpd_recipient_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tillstånd_sasl_autentiserad,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 avvisa_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillstånd

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tillstånd_sasl_autentiserad,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 avvisa_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillstånd
 
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja

Vi skapar filerna / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, och vi ändrar filen / etc / postfix / header_checks.

• Var och en måste förklara de alternativ de förstår och behöver!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Om den här filen ändras är det inte nödvändigt att köra postmap # För att testa reglerna, kör som root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Bör återvända: # AVSLUTA regel nr 2 Anti Spam meddelandekropp
/ viagra / REJECT Regel 1 Anti Spam i meddelandekroppen
/ super new v [i1] agra / REJECT Regel # 2 Anti Spam-meddelandetext

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Efter modifiering måste du köra: # postmap / etc / postfix / accounts_ forwarding_copy
# och filen skapas eller mäts: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.fläkt

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lägg till i slutet av filen # KRÄVER INTE Postmap eftersom de är reguljära uttryck
/ ^ Ämne: =? Big5? / REJECT Kinesisk kodning accepteras inte av denna server
/ ^ Ämne: =? EUC-KR? / REJECT Koreansk kodning tillåts inte av denna server
/ ^ Ämne: ADV: / REJECT Annonser accepteras inte av denna server
/^Från :.*\@.*\.cn/ REJECT Tyvärr, kinesisk post är inte tillåten här
/^Från :.*\@.*\.kr/ REJECT Tyvärr, koreansk post är inte tillåten här
/^Från :.*\@.*\.tr/ REJECT Tyvärr, turkiskt mail är inte tillåtet här
/^Från :.*\@.*\.ro/ REJECT Tyvärr, rumänsk post är inte tillåten här
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Inga massutskick tillåtna.
/ ^ Från: "spammer / REJECT
/ ^ Från: "spam / REJECT
/^ Ämne :.*viagra/ KASSAD
# Farliga tillägg
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Vi accepterar inte bilagor med dessa tillägg

Vi kontrollerar syntaxen, startar om Apache och Postifx och aktiverar och startar Dovecot

[root @ linuxbox ~] # postfix-kontroll
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl starta om httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl startar om postfix
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Dovecot IMAP / POP3 e-postserver laddad: laddad (/usr/lib/systemd/system/dovecot.service; inaktiverad; leverantörsförinställning: inaktiverad) Aktiv: inaktiv (död)

[root @ linuxbox ~] # systemctl aktiverar dovecot
[root @ linuxbox ~] # systemctl starta duvcot
[root @ linuxbox ~] # systemctl starta om duvecot
[root @ linuxbox ~] # systemctl status dovecot

Kontroller på konsolenivå

• Innan du fortsätter med installationen och konfigurationen av andra program är det mycket viktigt att göra de minsta nödvändiga kontrollerna av SMTP- och POP-tjänsterna.

Lokalt från själva servern

Vi skickar ett mejl till den lokala användaren legolas.

[root @ linuxbox ~] # echo "Hej. Detta är ett testmeddelande" | mail-"Test" legolas

Vi kollar postlådan till Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Efter meddelandet Dovecot är redo! vi fortsätter:

---
+ OK Dovecot är redo!
USER legolas
+OK
PASS legolas
+OK Logged in.
STAT
+OK 1 559
LIST
+OK 1 messages:
1 559
.
RETR 1
+OK 559 octets
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
    id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)

Hola. Este es un mensaje de prueba
.
QUIT
DONE
[root @ linuxbox ~] #

Fjärrkontroller från en dator på LAN

Låt oss skicka ett nytt meddelande till legolas från en annan dator på LAN. Observera att TLS-säkerhet INTE är absolut nödvändig inom SME-nätverket.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fläkt\
-u "Hej" \
-m "Hälsningar Legolas från din vän Buzz" \
-s mail.desdelinux.fan -o tls=no
22 maj 10:53:08 sysadmin sendemail [5866]: E-postmeddelandet skickades!

Om vi ​​försöker ansluta igenom Telnet Från en värd på LAN - eller naturligtvis från Internet - till Dovecot kommer följande att hända för att vi inaktiverar autentisering av klartext:

buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Plaintext-autentisering tillåts inte på osäkra (SSL / TLS) anslutningar.
avsluta + OK Logga ut Anslutning stängd av utländsk värd.
buzz @ sysadmin: ~ $

Vi måste göra det igenom openssl. Hela kommandot kommer att vara:

buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3
CONNECTED (00000003)
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fläkt
verifiera fel: num = 18: självtecknat certifikat verifiera retur: 1
depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan
verify return:1
---
Certificate chain
 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
   i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----
MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD
VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK
Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU
ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51
eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE
BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO
RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq
LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ
m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc
XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG
V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ
KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl
8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql
LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
No client certificate CA names sent
Server Temp Key: ECDH, secp384r1, 384 bits
---
SSL handshake has read 1342 bytes and written 411 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A
    Session-ID-ctx: 
    Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    TLS session ticket lifetime hint: 300 (seconds)
    TLS session ticket:
    0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c   N:.)zOcr...O..~.
    0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8   ,........~.mE...
    0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86   .:........hn....
    0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79   .5......h...r..y
    0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d   .J(......z).w.".
    0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28   .\.a.....1'fz.Q(
    0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35   ..5.+.......e..5
    0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19   84..H..1........
    0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71   .BV.......Z..,.q
    0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0   z..p....b.....<.

    Start Time: 1495484262
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+ OK Dovecot är redo!
ANVÄNDARE legolas
+ OK
PASSA legolas
+ OK Inloggad.
LISTA
+ OK 1 meddelanden: 1 1021.
TILLBAKA 1
+OK 1021 octets
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
    by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0
    for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT)
Message-ID: <919362.931369932-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 19:09:11 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495"

This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program.

------MIME delimiter for sendEmail-365707.724894495
Content-Type: text/plain;
        charset="iso-8859-1"
Content-Transfer-Encoding: 7bit

Saludos Legolas de tu amigo Buzz

------MIME delimiter for sendEmail-365707.724894495--
.
SLUTA
+ OK Logga ut. stängd
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail är en webbklient skriven helt i PHP. Den innehåller inbyggt PHP-stöd för IMAP- och SMTP-protokollen och ger maximal kompatibilitet med de olika webbläsare som används. Den körs korrekt på vilken IMAP-server som helst. Den har all den funktionalitet som du behöver från en e-postklient inklusive MIME-support, adressbok och mapphantering.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # service httpd starta om

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain            = 'desdelinux.fan';
$imapServerAddress   = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress   = 'desdelinux.fan';

[root @ linuxbox ~] # tjänst httpd omladdning

Framenwork för DNS-sändning eller SPF-post

I artikeln NSD auktoritär DNS-server + strandvägg vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:

root@ns:~# nano /etc/nsd/desdelinux.fanzon
$ORIGIN desdelinux.fläkt. $TTL 3H @ IN SOA nr.desdelinux.fläkt. rot.desdelinux.fläkt. (1; seriell 1D; uppdatera 1H; försök igen 1W; går ut 3H); minimum eller ; Negativ cachningstid att leva; @ IN NS ns.desdelinux.fläkt. @ IN MX 10 e-post.desdelinux.fläkt.
@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"
;
; Registro para resolver consultas dig desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 post IN CNAME   desdelinux.fläkt. chatta I CNAME   desdelinux.fläkt. www I CNAME   desdelinux.fläkt. ; ; SRV-poster relaterade till XMPP
_xmpp-server._tcp IN SRV  0 0 5269 desdelinux.fan.
_xmpp-client._tcp   IN SRV  0 0 5222 desdelinux.fan.
_jabber._tcp        IN SRV  0 0 5269 desdelinux.fläkt.

I det förklaras registret:

@       IN      TXT     "v=spf1 a:mail.desdelinux.fan -all"

För att ha samma parameter konfigurerad för SME-nätverket eller LAN måste vi ändra Dnsmasq-konfigurationsfilen enligt följande:

# Registros TXT. Podemos declarar también un registro SPF
txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"

Sedan startar vi om tjänsten:

[root @ linuxbox ~] # service dnsmasq starta om
[root@linuxbox ~]# service dnsmasq status

[root@linuxbox ~]# host -t TXT mail.desdelinux.beundrarbrev.desdelinux.fan är ett alias för desdelinux.fläkt.
desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"

Självsignerade certifikat och Apache eller httpd

Även om din webbläsare säger att «Ägaren till e-post.desdelinux.fläkt Du har konfigurerat din webbplats fel. För att förhindra att din information blir stulen har Firefox inte anslutit till den här webbplatsen ”, det tidigare genererade certifikatet DET Gäller, och gör det möjligt för autentiseringsuppgifterna mellan klienten och servern att krypteras, efter att vi accepterat certifikatet.

Om du vill, och som ett sätt att förena certifikaten, kan du för Apache deklarera samma certifikat som du förklarade för Postfix, vilket är korrekt.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key

[root @ linuxbox ~] # tjänsten httpd starta
[root @ linuxbox ~] # tjänst httpd-status

Diffie-Hellman Group

Frågan om säkerhet blir svårare varje dag på Internet. En av de vanligaste attackerna på anslutningar SSL, Är logjam och för att försvara sig mot det är det nödvändigt att lägga till icke-standardparametrar i SSL-konfigurationen. För detta finns det RFC-3526 «Mer modulär exponentiell (MODP) Diffie-Hellman grupper för Internet Key Exchange (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out privat / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 privat / dhparams.pem

Enligt den version av Apache vi har installerat kommer vi att använda Diffie-Helman Group från /etc/pki/tls/dhparams.pem. Om det är en version 2.4.8 eller senare måste vi lägga till filen /etc/httpd/conf.d/ssl.conf följande rad:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Apache-versionen som vi använder är:

[root @ linuxbox tls] # yum info httpd
Laddade plugins: snabbaste spegel, långpacks Laddar spegelhastigheter från cachad värdfil Installerade paket Namn: httpd Arkitektur: x86_64
Version: 2.4.6
Släpp: 45.el7.centos Storlek: 9.4 M Förvar: installerat Från förvar: Bas-Repo Sammanfattning: Apache HTTP-server-URL: http://httpd.apache.org/ Licens: ASL 2.0 Beskrivning: Apache HTTP-servern är en kraftfull, effektiv och utbyggbar: webbserver.

Eftersom vi har en version före 2.4.8 lägger vi till slutet av det tidigare genererade CRT-certifikatet innehållet i Diffie-Helman Group:

[root @ linuxbox tls] # cat privat / dhparams.pem >> certs/desdelinux.fan.crt

Utför följande kommandon om du vill kontrollera att DH-parametrarna har lagts till i CRT-certifikatet:

[root @ linuxbox tls] # cat privat / dhparams.pem 
----- BÖRJA DH-PARAMETRAR -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

[root@linuxbox tls]# cat certs/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

Efter dessa ändringar måste vi starta om Postfix- och httpd-tjänsterna:

[root @ linuxbox tls] # tjänsten postfix startas om
[root @ linuxbox tls] # tjänst postfix status
[root @ linuxbox tls] # service httpd starta om
[root @ linuxbox tls] # tjänst httpd status

Införandet av Diffie-Helman-gruppen i våra TLS-certifikat kan göra att anslutningen via HTTPS blir lite långsammare, men tillägget av säkerhet är väl värt det.

Kontrollerar Squirrelmail

Despues att certifikaten genereras korrekt och att vi kontrollerar att de fungerar korrekt genom att använda konsolkommandona, peka din webbläsare på URL: en http://mail.desdelinux.fan/webmail och den kommer att ansluta till webbklienten efter att ha accepterat motsvarande certifikat. Observera att även om du anger HTTP-protokollet kommer det att omdirigeras till HTTPS, och detta beror på standardinställningarna som CentOS erbjuder för Squirrelmail. Se filen /etc/httpd/conf.d/squirrelmail.conf.

Om användarens brevlådor

Dovecot skapar IMAP-postlådorna i mappen hem för varje användare:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
totalt 12 drwxrwx ---. 5 legolas mail 4096 22 maj 12:39. drwx ------. 3 legolas legolas 75 maj 22 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 maj 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 maj 22 12:39 Skickat drwx ------. 2 legolas legolas 30 maj 22 11:34 Papperskorgen

De lagras också i / var / mail /

[root @ linuxbox ~] # mindre / var / mail / legolas
From MAILER_DAEMON  Mon May 22 10:28:00 2017
Date: Mon, 22 May 2017 10:28:00 -0400
From: Mail System Internal Data <MAILER-DAEMON@linuxbox>
Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA
Message-ID: <1495463280@linuxbox>
X-IMAP: 1495462351 0000000008
Status: RO

This text is part of the internal format of your mail folder, and is not
a real message.  It is created automatically by the mail system software.
If deleted, important folder data will be lost, and it will be re-created
with the data reset to initial values.

From root@desdelinux.fan  Mon May 22 10:47:10 2017
Return-Path: <root@desdelinux.fan>
X-Original-To: legolas
Delivered-To: legolas@desdelinux.fan
Received: by desdelinux.fan (Postfix, from userid 0)
        id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT)
Date: Mon, 22 May 2017 10:47:10 -0400
To: legolas@desdelinux.fan
Subject: Prueba
User-Agent: Heirloom mailx 12.5 7/5/10
MIME-Version: 1.0
Content-Type: text/plain; charset=us-ascii
Content-Transfer-Encoding: 7bit
Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan>
From: root@desdelinux.fan (root)
X-UID: 7                                                  
Status: RO

Hola. Este es un mensaje de prueba

From buzz@deslinux.fan  Mon May 22 10:53:08 2017
Return-Path: <buzz@deslinux.fan>
X-Original-To: legolas@desdelinux.fan
Delivered-To: legolas@desdelinux.fan
Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1])
        by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57
        for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT)
Message-ID: <739874.219379516-sendEmail@sysadmin>
From: "buzz@deslinux.fan" <buzz@deslinux.fan>
To: "legolas@desdelinux.fan" <legolas@desdelinux.fan>
Subject: Hola
Date: Mon, 22 May 2017 14:53:08 +0000
X-Mailer: sendEmail-1.56
MIME-Version: 1.0
Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057
/ var / mail / legolas

PAM-miniseriesammanfattning

Vi har tittat på kärnan i en Mailserver och lagt lite vikt vid säkerhet. Vi hoppas att artikeln fungerar som en startpunkt för ett ämne som är så komplicerat och mottagligt för att göra misstag eftersom det är implementeringen av en e-postserver manuellt.

Vi använder lokal användarautentisering för om vi läser filen korrekt /etc/dovecot/conf.d/10-auth.conf, kommer vi att se att det till slut ingår -som standard- autentiseringsfilen för systemanvändarna ! inkludera auth-system.conf.ext. Just den här filen säger i rubriken att:

[root @ linuxbox ~] # mindre /etc/dovecot/conf.d/auth-system.conf.ext
# Autentisering för systemanvändare. Ingår från 10-auth.conf. # # # # PAM-autentisering. Föredras nuförtiden av de flesta system.
# PAM används vanligtvis med antingen userdb passwd eller userdb static. # Ihåg: Du måste /etc/pam.d/dovecot-filen skapas för att PAM # -autentisering ska fungera. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Och den andra filen finns /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth krävs pam_nologin.so auth include password-auth account include password-auth session include password-auth

Vad försöker vi förmedla om PAM-autentisering?

• CentOS, Debian, Ubuntu och många andra Linux-distributioner installerar Postifx och Dovecot med lokal autentisering aktiverad som standard.
• Många artiklar på Internet använder MySQL - och nyligen MariaDB - för att lagra användare och annan information om en Mailserver. MEN det här är servrar för tusentals användare och inte för ett klassiskt SMF-nätverk med - kanske - hundratals användare.
• Autentisering via PAM är nödvändig och tillräcklig för att tillhandahålla nättjänster så länge de körs på en enda server som vi har sett i denna miniserie.
• Användare som är lagrade i en LDAP-databas kan kartläggas som om de vore lokala användare och PAM-autentisering kan användas för att tillhandahålla nättjänster från olika Linux-servrar som fungerar som LDAP-klienter till den centrala autentiseringsservern. På detta sätt skulle vi arbeta med användaruppgifterna för de användare som är lagrade i den centrala LDAP-serverdatabasen, och det skulle INTE vara viktigt att ha en databas med lokala användare.

  

  

  

Fram till nästa äventyr!