Postfix + Dovecot + Squirrelmail och lokala användare - SME-nätverk

Allmänt index för serien: Datornätverk för små och medelstora företag: introduktion

Den här artikeln är fortsättningen och den sista av miniserierna:

Hej vänner och vänner!

mycket Entusiaster de vill ha sin egen e-postserver. De vill inte använda servrar där "Sekretess" är mellan frågetecken. Den person som ansvarar för att implementera tjänsten på din lilla server är inte specialist i ämnet och kommer initialt att försöka installera kärnan i en framtida och komplett e-postserver. Är det "ekvationerna" för att göra en Full Mailserver är lite svåra att förstå och tillämpa. 😉

Marginalanteckningar

  • Det är nödvändigt att vara tydlig om vilka funktioner varje program som är involverat i en Mailserver utför. Som en inledande guide ger vi en hel serie användbara länkar med det deklarerade syftet att de besöks.
  • Att implementera en komplett e-posttjänst manuellt och från grunden är en tröttsam process, såvida du inte är en av de "utvalda" som utför denna typ av uppgift dagligen. En e-postserver bildas på ett allmänt sätt av olika program som hanterar separat SMTP-, POP / IMAP, Lokal lagring av meddelanden, uppgifter relaterade till behandlingen av SPAM, Antivirus, etc. ALLA dessa program måste kommunicera korrekt med varandra.
  • Det finns ingen storlek som passar alla eller "bästa metoder" för hur man hanterar användare; var och hur man lagrar meddelanden, eller hur man får alla komponenter att fungera som en helhet.
  • Montering och inställning av en Mailserver tenderar att vara motbjudande i frågor som behörigheter och filägare, att välja vilken användare som ska ansvara för en viss process och i små fel som görs i någon esoterisk konfigurationsfil.
  • Om du inte vet mycket väl vad du gör blir slutresultatet en osäker eller lite icke-funktionell e-postserver. Att det i slutet av implementeringen inte fungerar kommer det att vara det minsta av det ont.
  • Vi kan hitta en hel del recept på hur man skapar en e-postserver på Internet. En av de mest kompletta -enligt min mycket personliga åsikt- är den som författaren erbjuder ivar abrahamsen i sin trettonde upplagan i januari 2017 «Hur man ställer in en e-postserver på ett GNU / Linux-system".
  • Vi rekommenderar också att du läser artikeln «En Mailserver på Ubuntu 14.04: Postfix, Dovecot, MySQL«, eller «En Mailserver på Ubuntu 16.04: Postfix, Dovecot, MySQL".
  • Sann. Den bästa dokumentationen i detta avseende finns på engelska.
    • Även om vi aldrig gör en Mailserver troget styrd av Hur… som nämnts i föregående stycke, kommer bara det faktum att följa det steg för steg att ge oss en mycket god uppfattning om vad vi kommer att möta.
  • Om du vill ha en komplett Mailserver i bara några steg kan du ladda ner bilden iRedOS-0.6.0-CentOS-5.5-i386.iso, eller leta efter en modernare, vare sig det är iRedOS eller iRedMail. Det är det sätt som jag personligen rekommenderar.

Vi ska installera och konfigurera:

Det återstår att göra:

Åtminstone följande tjänster återstår att implementera:

  • Postgrå: Postfix-serverpolicyer för grålistor och avvisa skräppost.
  • Amavisd-ny: skript som skapar ett gränssnitt mellan MTA och virusscannrar och innehållsfilter.
  • Clamav Antivirus: antivirusprogram
  • Assassin: extrahera skräppost
  • Razor (pyzor): SPAM-infångning via ett distribuerat och samarbetsnätverk. Vipul Razor-nätverket underhåller en uppdaterad katalog över spridning av skräppost eller skräppost.
  • DNS-post "DomainKeys Identified Mail" eller DKIM.

paket postgrey, amavisd-new, clamav, spamassassin, rakhyvel y pyzor De finns i programförvaren. Vi hittar också programmet openkim.

  • Korrekt deklaration av DNS-posterna "SPF" och "DKIM" är nödvändig om vi inte vill att vår e-postserver bara ska tas i drift, förklaras oönskad eller en producent av SPAM eller skräppost, av andra posttjänster som t.ex. gmail, Yahoo, Hotmail, etc.

Inledande kontroller

Kom ihåg att den här artikeln är en fortsättning på andra som börjar på Squid + PAM-autentisering på CentOS 7.

Ens32 LAN-gränssnitt anslutet till det interna nätverket

[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan
DNS1=127.0.0.1
ZONE = offentligt

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

Ens34 WAN-gränssnitt anslutet till Internet

[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens34
ENHET = ens34 ONBOOT = ja BOOTPROTO = statisk HWADDR = 00: 0c: 29: da: a3: e7 NM_CONTROLLED = ingen IPADDR = 172.16.10.10 NETMASK = 255.255.255.0 # ADSL-routern är ansluten till # detta gränssnitt med # följande adress IP GATEWAY = 172.16.10.1 DOMÄN = desdelinux.fan DNS1 = 127.0.0.1
ZONE = extern

DNS-upplösning från LAN

[root @ linuxbox ~] # cat /etc/resolv.conf sök från linux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root @ linuxbox ~] # host mail
mail.desdelinux.fan är ett alias för linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adress 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fan.

[root @ linuxbox ~] # värdmail.fromlinux.fan
mail.desdelinux.fan är ett alias för linuxbox.desdelinux.fan. linuxbox.desdelinux.fan har adress 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fan.

DNS-upplösning från Internet

buzz @ sysadmin: ~ $ host mail.fromlinux.fan 172.16.10.30
Använda domänserver: Namn: 172.16.10.30 Adress: 172.16.10.30 # 53 Alias: mail.desdelinux.fan är ett alias för desdelinux.fan.
från linux.fan har adress 172.16.10.10
desdelinux.fan-post hanteras av 10 mail.desdelinux.fan.

Problemen med att lösa värdnamnet "desdelinux.fan" lokalt

Om du har problem med att lösa värdnamnet «fromlinux.fan" från LAN, försök att kommentera filraden /etc/dnsmasq.conf där det förklaras lokal = / från linux.fan /. Starta sedan om Dnsmasq.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentera raden nedan:
# lokal = / desdelinux.fan /

[root @ linuxbox ~] # service dnsmasq starta om
Omdirigerar till / bin / systemctl startar om dnsmasq.service

[root @ linuxbox ~] # service dnsmasq status

[root @ linuxbox ~] # värd från linux.fan
desdelinux.fan har adressen 172.16.10.10 desdelinux.fan mail hanteras av 10 mail.desdelinux.fan.

Postfix och Dovecot

Den mycket omfattande dokumentationen av Postfix och Dovecot finns på:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt KOMPATIBILITET main.cf.default TLS_ACKNOWLEDGEMENTS exempel README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
FÖRFATTARE KOPIERAR.MIT dovecot-openssl.cnf NYHETER wiki KOPIERING ChangeLog exempel-config LÄS KOPIERING.LGPL documentation.txt mkcert.sh solr-schema.xml

I CentOS 7 installeras Postfix MTA som standard när vi väljer alternativet Infrastructure Server. Vi måste kontrollera att SELinux-sammanhanget tillåter skrivning till Potfix i den lokala meddelandekön:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Ändringar i FirewallD

Med hjälp av det grafiska gränssnittet för att konfigurera FirewallD måste vi garantera att följande tjänster och portar är aktiverade för varje zon:

# ------------------------------------------------- -----
# Fixar i FirewallD
# ------------------------------------------------- -----
# Brandvägg
# Offentlig zon: http, https, imap, pop3, smtp-tjänster
# Offentlig zon: portar 80, 443, 143, 110, 25

# Extern zon: http, https, imap, pop3s, smtp-tjänster
# Extern zon: portar 80, 443, 143, 995, 25

Vi installerar Dovecot och nödvändiga program

[root @ linuxbox ~] # yum installera dovecot mod_ssl procmail telnet

Minsta Dovecot-konfiguration

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokoll = imap pop3 lmtp
lyssna = *, ::
inloggningshälsning = Dovecot är redo!

Vi inaktiverar uttryckligen Dovecots autentisering av klartext:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = ja

Vi förklarar gruppen med nödvändiga behörigheter för att interagera med Dovecot och placeringen av meddelandena:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = e-post
mail_access_groups = e-post

Certifikat för Dovecot

Dovecot genererar automatiskt dina testcertifikat baserat på data i filen /etc/pki/dovecot/dovecot-openssl.cnf. För att få nya certifikat genererade enligt våra krav måste vi utföra följande steg:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[req] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [req_dn] # country (2 letter code) C = CU # State or Province Name (full name) ST = Cuba # Ortnamn (t.ex. stad ) L = Habana # Organisation (t.ex. företag) O = FromLinux.Fan # Organisationsenhetsnamn (t.ex. avsnitt) OU = Entusiaster # Vanligt namn (* .exempel.com är också möjligt) CN = *. Desdelinux.fan # E e-postadress för e-postkontaktAddress=buzz@desdelinux.fan [cert_type] nsCertType = server

Vi eliminerar testcertifikat

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: ta bort den vanliga filen "certs / dovecot.pem"? (y / n) y
[root @ linuxbox dovecot] # rm privat / dovecot.pem 
rm: ta bort den vanliga filen "privat / dovecot.pem"? (y / n) y

Vi kopierar och kör skriptet mkcert.sh från dokumentationskatalogen

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
Generera en 1024 bitars RSA privat nyckel ...... ++++++ ................ ++++++ skriva ny privat nyckel till '/ etc / pki / dovecot / private / dovecot.pem '----- subject = /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress= buzz@desdelinux.fan SHA1 Fingerprint = 5F: 4A: 0C: 44: EC: EC: EF: 95: 73: 3E: 1E: 37: D5: 05: F8: 23: 7E: E1: A4: 5A

[root @ linuxbox dovecot] # ls -l certs /
totalt 4 -rw -------. 1 rotrot 1029 22 maj 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l privat /
totalt 4 -rw -------. 1 rotrot 916 22 maj 16:08 dovecot.pem

[root @ linuxbox dovecot] # service dovecot restart
[root @ linuxbox dovecot] # service dovecot status

Certifikat för Postfix

[root @ linuxbox ~] # cd / etc / pki / tls / [root @ linuxbox tls] # openssl req -sha256 -x509 -noder -nyckel rsa: 4096-dagar 1825 \ -out certs / desdelinux.fan.crt -keyout privat / desdelinux.fan.key

Skapa en 4096-bitars RSA-privatnyckel ......... ++ .. ++ skriva ny privatnyckel till 'privat / domän.tld.key' ----- Du ska ombeds ange information som kommer att införlivas i din certifikatbegäran Det du ska ange är vad som kallas ett framstående namn eller ett DN. Det finns en hel del fält men du kan lämna några tomma. För vissa fält kommer det att finnas ett standardvärde. Om du anger '.', Kommer fältet att vara tomt. ----- Landsnamn (kod med två bokstäver) [XX]: CU Stat eller provinsnamn (fullständigt namn) []: Kuba Ortnamn (t.ex. stad) [Standardstad]: Habana Organisationsnamn (t.ex. företag) [ Standard Company Ltd]: FromLinux.Fan Organisationsenhetsnamn (t.ex. avsnitt) []: Entusiaster Common Name (t.ex. ditt namn eller serverns värdnamn) []: desdelinux.fan E-postadress []: buzz@desdelinux.fan

Minsta konfiguration av Postfix

Vi lägger till i slutet av filen / etc / alias nästa:

rot: surr

För att ändringarna ska träda i kraft utför vi följande kommando:

[root @ linuxbox ~] # newaliases

Postifx-konfigurationen kan göras genom att direkt redigera filen /etc/postfix/main.cf eller med kommando postconf -e se till att alla parametrar som vi vill ändra eller lägga till återspeglas i en enda rad på konsolen:

  • Var och en måste förklara de alternativ de förstår och behöver!.
[root @ linuxbox ~] # postconf -e 'myhostname = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'mindomän = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Vi lägger till i slutet av filen /etc/postfix/main.cf alternativen nedan. För att veta innebörden av var och en av dem rekommenderar vi att du läser medföljande dokumentation.

biff = nej
append_dot_mydomain = nej
delay_warning_time = 4h
readme_directory = nej
smtpd_tls_cert_file = / etc / pki / certs / desdelinux.fan.crt
smtpd_tls_key_file = / etc / pki / private / desdelinux.fan.key
smtpd_use_tls = ja
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

# Maximal postlådestorlek 1024 megabyte = 1 g och g
mailbox_size_limit = 1073741824

recipient_delimiter = +
maximal_kölivstid = 7d
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Konton som skickar en kopia av inkommande e-post till ett annat konto
recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy

Följande rader är viktiga för att avgöra vem som kan skicka e-post och vidarebefordra till andra servrar, så att vi inte av misstag konfigurerar ett öppet relä som gör att obehöriga användare kan skicka e-post. Vi måste konsultera Postfix hjälpsidor för att förstå vad varje alternativ betyder.

  • Var och en måste förklara de alternativ de förstår och behöver!.
smtpd_helo_restrictions = permit_mynetworks,
 warn_if_reject reject_non_fqdn_hostname,
 reject_invalid_hostname,
 tillstånd

smtpd_sender_restrictions = permit_sasl_autenticated,
 permit_mynetworks,
 varna_om_avvisa avvisa_non_fqdn_sändare,
 reject_unknown_sender_domain,
 reject_unauth_pipelining,
 tillstånd

smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
 reject_rbl_client blackholes.easynet.nl

# OBS: Alternativet "check_policy_service inet: 127.0.0.1: 10023"
# aktiverar Postgrey-programmet, och vi bör inte inkludera det
# annars kommer vi att använda Postgrey

smtpd_recipient_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tillstånd_sasl_autentiserad,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 avvisa_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillstånd

smtpd_data_restrictions = reject_unauth_pipelining

smtpd_relay_restrictions = reject_unauth_pipelining,
 permit_mynetworks,
 tillstånd_sasl_autentiserad,
 reject_non_fqdn_recipient,
 reject_unknown_recipient_domain,
 avvisa_unauth_destination,
 check_policy_service inet: 127.0.0.1: 10023,
 tillstånd
 
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja

Vi skapar filerna / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, och vi ändrar filen / etc / postfix / header_checks.

  • Var och en måste förklara de alternativ de förstår och behöver!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Om den här filen ändras är det inte nödvändigt att köra postmap # För att testa reglerna, kör som root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Bör återvända: # AVSLUTA regel nr 2 Anti Spam meddelandekropp
/ viagra / REJECT Regel 1 Anti Spam i meddelandekroppen
/ super new v [i1] agra / REJECT Regel # 2 Anti Spam-meddelandetext

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Efter modifiering måste du köra: # postmap / etc / postfix / accounts_ forwarding_copy
# och filen skapas eller mäts: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------ # Ett enda konto för att vidarebefordra ett BCC-kopia # BCC = Black Carbon Copy # Exempel: # webadmin@desdelinux.fan buzz@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lägg till i slutet av filen # KRÄVER INTE Postmap eftersom de är reguljära uttryck
/ ^ Ämne: =? Big5? / REJECT Kinesisk kodning accepteras inte av denna server
/ ^ Ämne: =? EUC-KR? / REJECT Koreansk kodning tillåts inte av denna server
/ ^ Ämne: ADV: / REJECT Annonser accepteras inte av denna server
/^Från :.*\@.*\.cn/ REJECT Tyvärr, kinesisk post är inte tillåten här
/^Från :.*\@.*\.kr/ REJECT Tyvärr, koreansk post är inte tillåten här
/^Från :.*\@.*\.tr/ REJECT Tyvärr, turkiskt mail är inte tillåtet här
/^Från :.*\@.*\.ro/ REJECT Tyvärr, rumänsk post är inte tillåten här
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Inga massutskick tillåtna.
/ ^ Från: "spammer / REJECT
/ ^ Från: "spam / REJECT
/^ Ämne :.*viagra/ KASSAD
# Farliga tillägg
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Vi accepterar inte bilagor med dessa tillägg

Vi kontrollerar syntaxen, startar om Apache och Postifx och aktiverar och startar Dovecot

[root @ linuxbox ~] # postfix-kontroll
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl starta om httpd
[root @ linuxbox ~] # systemctl status httpd

[root @ linuxbox ~] # systemctl startar om postfix
[root @ linuxbox ~] # systemctl status postfix

[root @ linuxbox ~] # systemctl status dovecot
● dovecot.service - Dovecot IMAP / POP3 e-postserver laddad: laddad (/usr/lib/systemd/system/dovecot.service; inaktiverad; leverantörsförinställning: inaktiverad) Aktiv: inaktiv (död)

[root @ linuxbox ~] # systemctl aktiverar dovecot
[root @ linuxbox ~] # systemctl starta duvcot
[root @ linuxbox ~] # systemctl starta om duvecot
[root @ linuxbox ~] # systemctl status dovecot

Kontroller på konsolenivå

  • Innan du fortsätter med installationen och konfigurationen av andra program är det mycket viktigt att göra de minsta nödvändiga kontrollerna av SMTP- och POP-tjänsterna.

Lokalt från själva servern

Vi skickar ett mejl till den lokala användaren legolas.

[root @ linuxbox ~] # echo "Hej. Detta är ett testmeddelande" | mail-"Test" legolas

Vi kollar postlådan till Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Efter meddelandet Dovecot är redo! vi fortsätter:

---
+ OK Dovecot är redo!
ANVÄNDARE legolas + OK PASS legolas + OK Inloggad. STAT + OK 1 559 LIST + OK 1 meddelanden: 1 559. RETR 1 + OK 559 oktetter Return-Path: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Mottaget: av desdelinux.fan (Postfix, från userid 0) id 7EA22C11FC57; Mån 22 maj 2017 10:47:10 -0400 (EDT) Datum: Mån 22 maj 2017 10:47:10 -0400 Till: legolas@desdelinux.fan Ämne: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-version: 1.0 Innehållstyp: text / vanlig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hej. Detta är ett testmeddelande. Sluta gjort
[root @ linuxbox ~] #

Fjärrkontroller från en dator på LAN

Låt oss skicka ett nytt meddelande till legolas från en annan dator på LAN. Observera att TLS-säkerhet INTE är absolut nödvändig inom SME-nätverket.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolas@desdelinux.fan \
-u "Hej" \
-m "Hälsningar Legolas från din vän Buzz" \
-s mail.desdelinux.fan -o tls = nej
22 maj 10:53:08 sysadmin sendemail [5866]: E-postmeddelandet skickades!

Om vi ​​försöker ansluta igenom Telnet Från en värd på LAN - eller naturligtvis från Internet - till Dovecot kommer följande att hända för att vi inaktiverar autentisering av klartext:

buzz @ sysadmin: ~ $ telnet mail.fromlinux.fan 110Provar 192.168.10.5 ...
Ansluten till linuxbox.fromlinux.fan. Escape karaktär är '^]'. + OK Dovecot är redo! användare legolas
-ERR [AUTH] Plaintext-autentisering tillåts inte på osäkra (SSL / TLS) anslutningar.
avsluta + OK Logga ut Anslutning stängd av utländsk värd.
buzz @ sysadmin: ~ $

Vi måste göra det igenom openssl. Hela kommandot kommer att vara:

buzz @ sysadmin: ~ $ openssl s_client -crlf -anslut mail.desdelinux.fan:110 -starttls pop3
CONNECTED (00000003)
djup = 0 C = CU, ST = Kuba, L = Havanna, O = FromLinux.Fan, OU = Entusiaster, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan
verifiera fel: num = 18: självtecknat certifikat verifiera retur: 1
djup = 0 C = CU, ST = Kuba, L = Havanna, O = FromLinux.Fan, OU = Entusiaster, CN = * .fromlinux.fan, emailAddress = buzz@fromlinux.fan verifiera retur: 1
--- Certifikatkedja 0 s: /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN = *. Desdelinux.fan/emailAddress=buzz@desdelinux.fan i: / C =CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Servercertifikat ----- BÖRJA CERTIFIKAT-- --- MIICyzCCAjSgAwIBAgIJAKUHI / 2ZD + MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ Bnk m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR + + + nBmqxzJbpc OZ80lujS2hP XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW + lnPBqF2b / Bt2eYyR7g JhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW + QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg / e6sR / W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT + MV5 / DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6 / VQBI8 = ----- ----- END INTYG ämne = / C = CU / ST = Kuba / L = Havanna / O = DesdeLinux.Fan /OU=Entusiasts/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer = / C = CU / ST = Cuba / L = Habana / O = DesdeLinux.Fan / OU = Entusiasts / CN = *. Desdelinux .fan / emailAddress = buzz @ desdelinux.fan --- Inget klientcertifikat CA-namn skickat Server Temp-nyckel: ECDH, secp384r1, 384 bitar - SSL-handskakning har läst 1342 byte och skrivit 411 byte --- Nytt, TLSv1 / SSLv3 , Chiffer är ECDHE-RSA-AES256-GCM-SHA384 Server offentlig nyckel är 1024 bitar Säker omförhandling stöds Komprimering: INGEN Expansion: INGEN SSL-session: Protokoll: TLSv1.2 Chiffer: ECDHE-RSA-AES256-GCM-SHA384 Session- ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key : 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg: Inga KRB5 Principal: Inga PSK identitet: Inga PSK identitet ledtråd: HS 300F0000F4A3FD8CD29F7BC4BFF63E72F7F6 Key-Arg: Inga KRB4 Principal: Inga 7 PSK identitet: Inga PSK identitet ledtråd: HS 1TLS session XNUMX sekunder XNUMX f ingen-XNUMX session XNUMX tlf XNUMX sekunder en biljett fXNUMXfXNUMX biljett ec XNUMXe XNUMXc N :.) zOcr ... O .. ~.
 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8, ........ ~ .mE ...
 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .: ........ hn ....
 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5 ...... h ... r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J (...... z) .w. ".
 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28. \. A ..... 1'fz.Q (0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5. + ....... e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1 ..... ...
 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV ....... Z ..,. Q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p .... b ..... <.

+ OK Dovecot är redo!
ANVÄNDARE legolas
+ OK
PASSA legolas
+ OK Inloggad.
LISTA
+ OK 1 meddelanden: 1 1021.
RETR 1
+ OK 1021 oktetter Return-Path: X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Mottaget: från sysadmin.desdelinux.fan (gateway [172.16.10.1]) av desdelinux.fan (Postfix) med ESMTP-id 51886C11E8C0 för ; Måndag 22 maj 2017 15:09:11 -0400 (EDT) Meddelande-ID: <919362.931369932-sendEmail@sysadmin> Från: "buzz@deslinux.fan" Till: "legolas@desdelinux.fan" Ämne: Hej Datum: må 22 maj 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-version: 1.0 Innehållstyp: multipart / relaterat; boundary = "---- MIME-avgränsare för sendEmail-365707.724894495" Detta är ett meddelande i flera delar i MIME-format. För att korrekt kunna visa detta meddelande behöver du ett MIME-version 1.0-kompatibelt e-postprogram. ------ MIME-avgränsare för sendEmail-365707.724894495 Innehållstyp: text / vanlig; charset = "iso-8859-1" Innehållsöverföring-kodning: 7bit hälsningar Legolas från din vän Buzz ------ MIME-avgränsare för sendEmail-365707.724894495--.
SLUTA
+ OK Logga ut. stängd
buzz @ sysadmin: ~ $

squirrelmail

squirrelmail är en webbklient skriven helt i PHP. Den innehåller inbyggt PHP-stöd för IMAP- och SMTP-protokollen och ger maximal kompatibilitet med de olika webbläsare som används. Den körs korrekt på vilken IMAP-server som helst. Den har all den funktionalitet som du behöver från en e-postklient inklusive MIME-support, adressbok och mapphantering.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # service httpd starta om

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$ domain = 'desdelinux.fan';
$ imapServerAddress = 'mail.fromlinux.fan';
$ imapPort = 143;
$ smtpServerAddress = 'desdelinux.fan';

[root @ linuxbox ~] # tjänst httpd omladdning

Framenwork för DNS-sändning eller SPF-post

I artikeln NSD auktoritär DNS-server + strandvägg Vi såg att zonen "desdelinux.fan" konfigurerades enligt följande:

root @ ns: ~ # nano /etc/nsd/desdelinux.fan.zone
$ ORIGIN från linux.fan. $ TTL 3H @ IN SOA ns.fromlinux.fan. root.fromlinux.fan. (1; serie 1D; uppdatera 1H; försök 1W; upphöra 3H); minimum eller; Negativ cachetid för att leva; @ IN NS ns.fromlinux.fan. @ IN MX 10 mail.fromlinux.fan.
@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"
; ; Logga in för att lösa grävfrågor från linux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 mail IN CNAME from linux.fan. chatta IN CNAME från linux.fan. www IN CNAME från linux.fan. ; ; SRV-poster relaterade till XMPP
_xmpp-server._tcp IN SRV 0 0 5269 från linux.fan. _xmpp-client._tcp IN SRV 0 0 5222 från linux.fan. _jabber._tcp IN SRV 0 0 5269 från linux.fan.

I det förklaras registret:

@ IN TXT "v = spf1 a: mail.desdelinux.fan -all"

För att ha samma parameter konfigurerad för SME-nätverket eller LAN måste vi ändra Dnsmasq-konfigurationsfilen enligt följande:

# TXT-poster. Vi kan också deklarera en SPF-post txt-record = desdelinux.fan, "v = spf1 a: mail.desdelinux.fan -all"

Sedan startar vi om tjänsten:

[root @ linuxbox ~] # service dnsmasq starta om
[root @ linuxbox ~] # service dnsmasq status [root @ linuxbox ~] # host -t TXT mail.fromlinux.fan mail.fromlinux.fan är ett alias för fromlinux.fan. desdelinux.fan beskrivande text "v = spf1 a: mail.desdelinux.fan -all"

Självsignerade certifikat och Apache eller httpd

Även om din webbläsare säger att «Ägaren till mail.fromlinux.fan Du har konfigurerat din webbplats fel. För att förhindra att din information blir stulen har Firefox inte anslutit till den här webbplatsen ”, det tidigare genererade certifikatet DET Gäller, och gör det möjligt för autentiseringsuppgifterna mellan klienten och servern att krypteras, efter att vi accepterat certifikatet.

Om du vill, och som ett sätt att förena certifikaten, kan du för Apache deklarera samma certifikat som du förklarade för Postfix, vilket är korrekt.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/fromlinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/fromlinux.fan.key

[root @ linuxbox ~] # tjänsten httpd starta
[root @ linuxbox ~] # tjänst httpd-status

Diffie-Hellman Group

Frågan om säkerhet blir svårare varje dag på Internet. En av de vanligaste attackerna på anslutningar SSL, Är logjam och för att försvara sig mot det är det nödvändigt att lägga till icke-standardparametrar i SSL-konfigurationen. För detta finns det RFC-3526 «Mer modulär exponentiell (MODP) Diffie-Hellman grupper för Internet Key Exchange (IKE)".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out privat / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 privat / dhparams.pem

Enligt den version av Apache vi har installerat kommer vi att använda Diffie-Helman Group från /etc/pki/tls/dhparams.pem. Om det är en version 2.4.8 eller senare måste vi lägga till filen /etc/httpd/conf.d/ssl.conf följande rad:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Apache-versionen som vi använder är:

[root @ linuxbox tls] # yum info httpd
Laddade plugins: snabbaste spegel, långpacks Laddar spegelhastigheter från cachad värdfil Installerade paket Namn: httpd Arkitektur: x86_64
Version: 2.4.6
Släpp: 45.el7.centos Storlek: 9.4 M Förvar: installerat Från förvar: Bas-Repo Sammanfattning: Apache HTTP-server-URL: http://httpd.apache.org/ Licens: ASL 2.0 Beskrivning: Apache HTTP-servern är en kraftfull, effektiv och utbyggbar: webbserver.

Eftersom vi har en version före 2.4.8 lägger vi till slutet av det tidigare genererade CRT-certifikatet innehållet i Diffie-Helman Group:

[root @ linuxbox tls] # cat privat / dhparams.pem >> certs / desdelinux.fan.crt

Utför följande kommandon om du vill kontrollera att DH-parametrarna har lagts till i CRT-certifikatet:

[root @ linuxbox tls] # cat privat / dhparams.pem 
----- BÖRJA DH-PARAMETRAR -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

[root @ linuxbox tls] # cat certs / desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- END DH PARAMETERS -----

Efter dessa ändringar måste vi starta om Postfix- och httpd-tjänsterna:

[root @ linuxbox tls] # tjänsten postfix startas om
[root @ linuxbox tls] # tjänst postfix status
[root @ linuxbox tls] # service httpd starta om
[root @ linuxbox tls] # tjänst httpd status

Införandet av Diffie-Helman-gruppen i våra TLS-certifikat kan göra att anslutningen via HTTPS blir lite långsammare, men tillägget av säkerhet är väl värt det.

Kontrollerar Squirrelmail

Despues att certifikaten genereras korrekt och att vi kontrollerar att de fungerar korrekt genom att använda konsolkommandona, peka din webbläsare på URL: en http://mail.desdelinux.fan/webmail och den kommer att ansluta till webbklienten efter att ha accepterat motsvarande certifikat. Observera att även om du anger HTTP-protokollet kommer det att omdirigeras till HTTPS, och detta beror på standardinställningarna som CentOS erbjuder för Squirrelmail. Se filen /etc/httpd/conf.d/squirrelmail.conf.

Om användarens brevlådor

Dovecot skapar IMAP-postlådorna i mappen hem för varje användare:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
totalt 12 drwxrwx ---. 5 legolas mail 4096 22 maj 12:39. drwx ------. 3 legolas legolas 75 maj 22 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 maj 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 maj 22 12:39 Skickat drwx ------. 2 legolas legolas 30 maj 22 11:34 Papperskorgen

De lagras också i / var / mail /

[root @ linuxbox ~] # mindre / var / mail / legolas
Från MAILER_DAEMON må 22 maj 10:28:00 2017 Datum: må 22 maj 2017 10:28:00 -0400 Från: Mail System Intern data Ämne: RADERA INTE DENNA MEDDELANDE - MAPP INTERN DATA Meddelande-ID: <1495463280 @ linuxbox> X-IMAP: 1495462351 0000000008 Status: RO Denna text är en del av det interna formatet i din e-postmapp och är inte ett verkligt meddelande . Det skapas automatiskt av e-postprogramvaran. Om det tas bort kommer viktiga mappdata att gå förlorade och de kommer att skapas på nytt när data återställs till ursprungliga värden. Från root@desdelinux.fan må 22 maj 10:47:10 2017 Return-Path: X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Mottaget: av desdelinux.fan (Postfix, från userid 0) id 7EA22C11FC57; Mån 22 maj 2017 10:47:10 -0400 (EDT) Datum: Mån 22 maj 2017 10:47:10 -0400 Till: legolas@desdelinux.fan Ämne: User-Agent test: Heirloom mailx 12.5 7/5 / 10 MIME-version: 1.0 Innehållstyp: text / vanlig; charset = us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hej. Detta är ett testmeddelande från buzz@deslinux.fan må 22 maj 10:53:08 2017 Return-Path: X-Original-To: legolas@desdelinux.fan Levereras till: legolas@desdelinux.fan Mottaget: från sysadmin.desdelinux.fan (gateway [172.16.10.1]) av desdelinux.fan (Postfix) med ESMTP-id C184DC11FC57 för ; Mån 22 maj 2017 10:53:08 -0400 (EDT) Meddelande-ID: <739874.219379516-sendEmail@sysadmin> Från: "buzz@deslinux.fan" Till: "legolas@desdelinux.fan" Ämne: Hej Datum: må 22 maj 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-version: 1.0 Innehållstyp: multipart / relaterat; boundary = "---- MIME-avgränsare för sendEmail-794889.899510057
/ var / mail / legolas

PAM-miniseriesammanfattning

Vi har tittat på kärnan i en Mailserver och lagt lite vikt vid säkerhet. Vi hoppas att artikeln fungerar som en startpunkt för ett ämne som är så komplicerat och mottagligt för att göra misstag eftersom det är implementeringen av en e-postserver manuellt.

Vi använder lokal användarautentisering för om vi läser filen korrekt /etc/dovecot/conf.d/10-auth.conf, kommer vi att se att det till slut ingår -som standard- autentiseringsfilen för systemanvändarna ! inkludera auth-system.conf.ext. Just den här filen säger i rubriken att:

[root @ linuxbox ~] # mindre /etc/dovecot/conf.d/auth-system.conf.ext
# Autentisering för systemanvändare. Ingår från 10-auth.conf. # # # # PAM-autentisering. Föredras nuförtiden av de flesta system.
# PAM används vanligtvis med antingen userdb passwd eller userdb static. # Ihåg: Du måste /etc/pam.d/dovecot-filen skapas för att PAM # -autentisering ska fungera. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Och den andra filen finns /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 auth krävs pam_nologin.so auth include password-auth account include password-auth session include password-auth

Vad försöker vi förmedla om PAM-autentisering?

  • CentOS, Debian, Ubuntu och många andra Linux-distributioner installerar Postifx och Dovecot med lokal autentisering aktiverad som standard.
  • Många artiklar på Internet använder MySQL - och nyligen MariaDB - för att lagra användare och annan information om en Mailserver. MEN det här är servrar för tusentals användare och inte för ett klassiskt SMF-nätverk med - kanske - hundratals användare.
  • Autentisering via PAM är nödvändig och tillräcklig för att tillhandahålla nättjänster så länge de körs på en enda server som vi har sett i denna miniserie.
  • Användare som är lagrade i en LDAP-databas kan kartläggas som om de vore lokala användare och PAM-autentisering kan användas för att tillhandahålla nättjänster från olika Linux-servrar som fungerar som LDAP-klienter till den centrala autentiseringsservern. På detta sätt skulle vi arbeta med användaruppgifterna för de användare som är lagrade i den centrala LDAP-serverdatabasen, och det skulle INTE vara viktigt att ha en databas med lokala användare.

Fram till nästa äventyr!


Innehållet i artikeln följer våra principer om redaktionell etik. Klicka på för att rapportera ett fel här.

9 kommentarer, lämna din

Lämna din kommentar

Din e-postadress kommer inte att publiceras.

*

*

  1. Ansvarig för uppgifterna: Miguel Ángel Gatón
  2. Syftet med uppgifterna: Kontrollera skräppost, kommentarhantering.
  3. Legitimering: Ditt samtycke
  4. Kommunikation av uppgifterna: Uppgifterna kommer inte att kommuniceras till tredje part förutom enligt laglig skyldighet.
  5. Datalagring: databas värd för Occentus Networks (EU)
  6. Rättigheter: När som helst kan du begränsa, återställa och radera din information.

  1.   lagarto sade

    Tro mig att detta i praktiken är en process som ger mer än en sysadmin svår huvudvärk, jag är övertygad om att det i framtiden kommer att vara en referensguide för alla som vill hantera sina egna e-postmeddelanden, ett praktiskt fall som blir abc när integrera postfix, dovecot, squirrelmail ..

    Tack så mycket för ditt prisvärda bidrag,

  2.   darko sade

    Varför inte använda Mailpile, när det gäller säkerhet, med PGP? Roundcube har också ett mycket mer intuitivt gränssnitt och kan också integrera PGP.

  3.   Martin sade

    För 3 dagar sedan läste jag inlägget, jag vet hur man tackar dig. Jag planerar inte att installera en e-postserver men det är alltid bra att se skapandet av certifikat, användbart för andra applikationer och dessa självstudier upphör knappast (speciellt när du använder centOS).

  4.   federico sade

    Manuel Cillero: Tack för att du länkar till och från din blogg den här artikeln som är den minsta kärnan i en e-postserver baserad på Postfix och Dovecot.

    Ödla: Som alltid tas din utvärdering mycket väl emot. Tack.

    Darko: I nästan alla mina artiklar uttrycker jag mer eller mindre att "Alla implementerar tjänsterna med de program som de gillar mest." Tack för kommentaren.

    Martin: Tack till dig också för att du läste artikeln och jag hoppas att det hjälper dig i ditt arbete.

  5.   Zodiac Carburus sade

    Fantastisk artikelvän Federico. Tack så mycket för en så bra tuto.

  6.   arkiv sade

    utmärkt även om jag skulle använda "virtuella användare" för att undvika att behöva skapa en systemanvändare varje gång jag lägger till ett e-postmeddelande, tack, jag lärde mig många nya saker och det här är den typ av inlägg jag väntade på

  7.   Willinton Acevedo Rueda sade

    God eftermiddag,

    De vågade göra samma med fedora katalogserver + postifx + duvkot + thunderbird eller outlook.

    Jag har en del men jag har fastnat, jag skulle gärna dela dokumentet till @desdelinux-communityn

  8.   phico sade

    Jag trodde inte att det skulle nå mer än 3000 besök !!!

    Hälsningar ödla!

  9.   mörkt slut sade

    Utmärkt handledningskollega.
    Kan du göra det för Debian 10 med användare av en Active Directory monterad på Samba4 ???
    Jag antar att det skulle vara nästan detsamma men att ändra autentiseringstypen.
    Avsnittet du ägnar åt att skapa självsignerade certifikat är mycket intressant.