Allmänt index för serien: Datornätverk för små och medelstora företag: introduktion
Den här artikeln är fortsättningen och den sista av miniserierna:
- Squid + PAM-autentisering på CentOS 7.
- Lokal användar- och grupphantering
- NSD auktoritär DNS-server + strandvägg
- Förkasta IM och lokala användare
Hej vänner och vänner!
mycket Entusiaster de vill ha sin egen e-postserver. De vill inte använda servrar där "Sekretess" är mellan frågetecken. Den person som ansvarar för att implementera tjänsten på din lilla server är inte specialist i ämnet och kommer initialt att försöka installera kärnan i en framtida och komplett e-postserver. Är det "ekvationerna" för att göra en Full Mailserver är lite svåra att förstå och tillämpa. 😉
Marginalanteckningar
- Det är nödvändigt att vara tydlig om vilka funktioner varje program som är involverat i en Mailserver utför. Som en inledande guide ger vi en hel serie användbara länkar med det deklarerade syftet att de besöks.
- Att implementera en komplett e-posttjänst manuellt och från grunden är en tröttsam process, såvida du inte är en av de "utvalda" som utför denna typ av uppgift dagligen. En e-postserver bildas på ett allmänt sätt av olika program som hanterar separat SMTP-, POP / IMAP, Lokal lagring av meddelanden, uppgifter relaterade till behandlingen av SPAM, Antivirus, etc. ALLA dessa program måste kommunicera korrekt med varandra.
- Det finns ingen storlek som passar alla eller "bästa metoder" för hur man hanterar användare; var och hur man lagrar meddelanden, eller hur man får alla komponenter att fungera som en helhet.
- Montering och inställning av en Mailserver tenderar att vara motbjudande i frågor som behörigheter och filägare, att välja vilken användare som ska ansvara för en viss process och i små fel som görs i någon esoterisk konfigurationsfil.
- Om du inte vet mycket väl vad du gör blir slutresultatet en osäker eller lite icke-funktionell e-postserver. Att det i slutet av implementeringen inte fungerar kommer det att vara det minsta av det ont.
- Vi kan hitta en hel del recept på hur man skapar en e-postserver på Internet. En av de mest kompletta -enligt min mycket personliga åsikt- är den som författaren erbjuder ivar abrahamsen i sin trettonde upplagan i januari 2017 «Hur man ställer in en e-postserver på ett GNU / Linux-system".
- Vi rekommenderar också att du läser artikeln «En Mailserver på Ubuntu 14.04: Postfix, Dovecot, MySQL«, eller «En Mailserver på Ubuntu 16.04: Postfix, Dovecot, MySQL".
- Sann. Den bästa dokumentationen i detta avseende finns på engelska.
- Även om vi aldrig gör en Mailserver troget styrd av Hur… som nämnts i föregående stycke, kommer bara det faktum att följa det steg för steg att ge oss en mycket god uppfattning om vad vi kommer att möta.
- Om du vill ha en komplett Mailserver i bara några steg kan du ladda ner bilden iRedOS-0.6.0-CentOS-5.5-i386.iso, eller leta efter en modernare, vare sig det är iRedOS eller iRedMail. Det är det sätt som jag personligen rekommenderar.
Vi ska installera och konfigurera:
- postfix som server Mvitlök Transport Agent (SMTP).
- dovecot som POP - IMAP-server.
- Certifikat för anslutningar genom TLS.
- squirrelmail som ett webbgränssnitt för användare.
- DNS-post i förhållande till «Ram för avsändarpolitik"eller SPF.
- Modulgenerering Diffie Hellman Group för att öka säkerheten för SSL-certifikat.
Det återstår att göra:
Åtminstone följande tjänster återstår att implementera:
- Postgrå: Postfix-serverpolicyer för grålistor och avvisa skräppost.
- Amavisd-ny: skript som skapar ett gränssnitt mellan MTA och virusscannrar och innehållsfilter.
- Clamav Antivirus: antivirusprogram
- Assassin: extrahera skräppost
- Razor (pyzor): SPAM-infångning via ett distribuerat och samarbetsnätverk. Vipul Razor-nätverket underhåller en uppdaterad katalog över spridning av skräppost eller skräppost.
- DNS-post "DomainKeys Identified Mail" eller dkim förlängning.
paket postgrey, amavisd-new, clamav, spamassassin, rakhyvel y pyzor De finns i programförvaren. Vi hittar också programmet openkim.
- Korrekt deklaration av DNS-posterna "SPF" och "DKIM" är nödvändig om vi inte vill att vår e-postserver bara ska tas i drift, förklaras oönskad eller en producent av SPAM eller skräppost, av andra posttjänster som t.ex. gmail, Yahoo, Hotmail, etc.
Inledande kontroller
Kom ihåg att den här artikeln är en fortsättning på andra som börjar på Squid + PAM-autentisering på CentOS 7.
Ens32 LAN-gränssnitt anslutet till det interna nätverket
[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
ZONE = offentligt
[root @ linuxbox ~] # ifdown ens32 && ifup ens32
Ens34 WAN-gränssnitt anslutet till Internet
[root @ linuxbox ~] # nano / etc / sysconfig / nätverksskript / ifcfg-ens34
DEVICE=sv34 ONBOOT=ja BOOTPROTO=statisk HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=nej IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL-routern är ansluten till # följande adress IP GATEWAY=172.16.10.1 DOMÄN=desdelinux.fan DNS1=127.0.0.1
ZONE = extern
DNS-upplösning från LAN
[root@linuxbox ~]# cat /etc/resolv.conf search desdelinux.fan nameserver 127.0.0.1 nameserver 172.16.10.30 [root@linuxbox ~]# host mail e-post.desdelinux.fan är ett alias för linuxbox.desdelinux.fläkt. linuxbox.desdelinux.fan har adressen 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fläkt. [root@linuxbox ~]# host mail.desdelinux.fläkt e-post.desdelinux.fan är ett alias för linuxbox.desdelinux.fläkt. linuxbox.desdelinux.fan har adressen 192.168.10.5 linuxbox.desdelinux.fan mail hanteras av 1 mail.desdelinux.fläkt.
DNS-upplösning från Internet
buzz@sysadmin:~$ host mail.desdelinux.fan 172.16.10.30 Using domain server: Name: 172.16.10.30 Address: 172.16.10.30#53 Aliases: mail.desdelinux.fan är ett alias för desdelinux.fläkt. desdelinux.fan har adress 172.16.10.10 desdelinux.fan mail hanteras av 10 mail.desdelinux.fläkt.
Problemas al resolver localmente el nombre de host «desdelinux.fläkt"
Om du har problem med att lösa värdnamnet «desdelinux.fläkt" från LAN, försök att kommentera filraden /etc/dnsmasq.conf där det förklaras local=/desdelinux.fan/. Starta sedan om Dnsmasq.
[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Kommentera raden nedan: # local=/desdelinux.fan/ [root @ linuxbox ~] # service dnsmasq starta om Omdirigerar till / bin / systemctl startar om dnsmasq.service [root @ linuxbox ~] # service dnsmasq status [root@linuxbox ~]# host desdelinux.fläkt desdelinux.fan har adress 172.16.10.10 desdelinux.fan mail hanteras av 10 mail.desdelinux.fläkt.
Postfix och Dovecot
Den mycket omfattande dokumentationen av Postfix och Dovecot finns på:
[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/ bounce.cf.default LICENSE README-Postfix-SASL-RedHat.txt KOMPATIBILITET main.cf.default TLS_ACKNOWLEDGEMENTS exempel README_FILES TLS_LICENSE [root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/ FÖRFATTARE KOPIERAR.MIT dovecot-openssl.cnf NYHETER wiki KOPIERING ChangeLog exempel-config LÄS KOPIERING.LGPL documentation.txt mkcert.sh solr-schema.xml
I CentOS 7 installeras Postfix MTA som standard när vi väljer alternativet Infrastructure Server. Vi måste kontrollera att SELinux-sammanhanget tillåter skrivning till Potfix i den lokala meddelandekön:
[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on
Ändringar i FirewallD
Med hjälp av det grafiska gränssnittet för att konfigurera FirewallD måste vi garantera att följande tjänster och portar är aktiverade för varje zon:
# ------------------------------------------------- ----- # Fixar i FirewallD # ------------------------------------------------- ----- # Brandvägg # Offentlig zon: http, https, imap, pop3, smtp-tjänster # Offentlig zon: portar 80, 443, 143, 110, 25 # Extern zon: http, https, imap, pop3s, smtp-tjänster # Extern zon: portar 80, 443, 143, 995, 25
Vi installerar Dovecot och nödvändiga program
[root @ linuxbox ~] # yum installera dovecot mod_ssl procmail telnet
Minsta Dovecot-konfiguration
[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf protokoll =imap pop3 lmtp lyssna =*, :: inloggningshälsning = Dovecot är redo!
Vi inaktiverar uttryckligen Dovecots autentisering av klartext:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf
disable_plaintext_auth = ja
Vi förklarar gruppen med nödvändiga behörigheter för att interagera med Dovecot och placeringen av meddelandena:
[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf mail_location = mbox: ~ / mail: INBOX = / var / mail /% u mail_privileged_group = e-post mail_access_groups = e-post
Certifikat för Dovecot
Dovecot genererar automatiskt dina testcertifikat baserat på data i filen /etc/pki/dovecot/dovecot-openssl.cnf. För att få nya certifikat genererade enligt våra krav måste vi utföra följande steg:
[root @ linuxbox ~] # cd / etc / pki / dovecot / [root @ linuxbox dovecot] # nano dovecot-openssl.cnf [ req ] default_bits = 1024 encrypt_key = yes distinguished_name = req_dn x509_extensions = cert_type prompt = no [ req_dn ] # country (2 letter code) C=CU # State or Province Name (full name) ST=Cuba # Locality Name (eg. city) L=Habana # Organization (eg. company) O=DesdeLinux.Fan # Organizational Unit Name (eg. section) OU=Entusiastas # Common Name (*.example.com is also possible) CN=*.desdelinux.fan # E-mail contact emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = server
Vi eliminerar testcertifikat
[root @ linuxbox dovecot] # rm certs / dovecot.pem rm: ta bort den vanliga filen "certs / dovecot.pem"? (y / n) y [root @ linuxbox dovecot] # rm privat / dovecot.pem rm: ta bort den vanliga filen "privat / dovecot.pem"? (y / n) y
Vi kopierar och kör skriptet mkcert.sh från dokumentationskatalogen
[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh Generating a 1024 bit RSA private key ......++++++ ................++++++ writing new private key to '/etc/pki/dovecot/private/dovecot.pem' ----- subject= /C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A [root @ linuxbox dovecot] # ls -l certs / totalt 4 -rw -------. 1 rotrot 1029 22 maj 16:08 dovecot.pem [root @ linuxbox dovecot] # ls -l privat / totalt 4 -rw -------. 1 rotrot 916 22 maj 16:08 dovecot.pem [root @ linuxbox dovecot] # service dovecot restart [root @ linuxbox dovecot] # service dovecot status
Certifikat för Postfix
[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -keyout private/desdelinux.fan.key Generating a 4096 bit RSA private key .........++ ..++ writing new private key to 'private/dominio.tld.key' ----- You are about to be asked to enter information that will be incorporated into your certificate request. What you are about to enter is what is called a Distinguished Name or a DN. There are quite a few fields but you can leave some blank For some fields there will be a default value, If you enter '.', the field will be left blank. ----- Country Name (2 letter code) [XX]:CU State or Province Name (full name) []:Cuba Locality Name (eg, city) [Default City]:Habana Organization Name (eg, company) [Default Company Ltd]:DesdeLinux.Fan Organizational Unit Name (eg, section) []:Entusiastas Common Name (eg, your name or your server's hostname) []:desdelinux.fan Email Address []:buzz@desdelinux.fläkt
Minsta konfiguration av Postfix
Vi lägger till i slutet av filen / etc / alias nästa:
rot: surr
För att ändringarna ska träda i kraft utför vi följande kommando:
[root @ linuxbox ~] # newaliases
Postifx-konfigurationen kan göras genom att direkt redigera filen /etc/postfix/main.cf eller med kommando postconf -e se till att alla parametrar som vi vill ändra eller lägga till återspeglas i en enda rad på konsolen:
- Var och en måste förklara de alternativ de förstår och behöver!.
[root@linuxbox ~]# postconf -e 'myhostname = desdelinux.fan' [root@linuxbox ~]# postconf -e 'mydomain = desdelinux.fan' [root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain' [root @ linuxbox ~] # postconf -e 'inet_interfaces = all' [root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain' [root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8' [root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ EXTENSION"' [root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'
Vi lägger till i slutet av filen /etc/postfix/main.cf alternativen nedan. För att veta innebörden av var och en av dem rekommenderar vi att du läser medföljande dokumentation.
biff = nej append_dot_mydomain = nej delay_warning_time = 4h readme_directory = nej smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.key smtpd_use_tls = ja smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination # Maximal postlådestorlek 1024 megabyte = 1 g och g mailbox_size_limit = 1073741824 container_delimiter = + maximal_kölivstid = 7d header_checks = regexp: / etc / postfix / header_checks body_checks = regexp: / etc / postfix / body_checks # Konton som skickar en kopia av inkommande e-post till ett annat konto recipient_bcc_maps = hash: / etc / postfix / accounts_ forwarding_copy
Följande rader är viktiga för att avgöra vem som kan skicka e-post och vidarebefordra till andra servrar, så att vi inte av misstag konfigurerar ett öppet relä som gör att obehöriga användare kan skicka e-post. Vi måste konsultera Postfix hjälpsidor för att förstå vad varje alternativ betyder.
- Var och en måste förklara de alternativ de förstår och behöver!.
smtpd_helo_restrictions = permit_mynetworks,
warn_if_reject reject_non_fqdn_hostname,
reject_invalid_hostname,
tillstånd
smtpd_sender_restrictions = permit_sasl_autenticated,
permit_mynetworks,
varna_om_avvisa avvisa_non_fqdn_sändare,
reject_unknown_sender_domain,
reject_unauth_pipelining,
tillstånd
smtpd_client_restrictions = reject_rbl_client sbl.spamhaus.org,
reject_rbl_client blackholes.easynet.nl
# OBS: Alternativet "check_policy_service inet: 127.0.0.1: 10023"
# aktiverar Postgrey-programmet, och vi bör inte inkludera det
# annars kommer vi att använda Postgrey
smtpd_recipient_restrictions = reject_unauth_pipelining,
permit_mynetworks,
tillstånd_sasl_autentiserad,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
avvisa_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
tillstånd
smtpd_data_restrictions = reject_unauth_pipelining
smtpd_relay_restrictions = reject_unauth_pipelining,
permit_mynetworks,
tillstånd_sasl_autentiserad,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
avvisa_unauth_destination,
check_policy_service inet: 127.0.0.1: 10023,
tillstånd
smtpd_helo_required = ja
smtpd_delay_reject = ja
disable_vrfy_command = ja
Vi skapar filerna / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copy, och vi ändrar filen / etc / postfix / header_checks.
- Var och en måste förklara de alternativ de förstår och behöver!.
[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Om den här filen ändras är det inte nödvändigt att köra postmap # För att testa reglerna, kör som root: # postmap -q 'super new v1agra' regexp: / etc / postfix / body_checks
# Bör återvända: # AVSLUTA regel nr 2 Anti Spam meddelandekropp
/ viagra / REJECT Regel 1 Anti Spam i meddelandekroppen
/ super new v [i1] agra / REJECT Regel # 2 Anti Spam-meddelandetext
[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Efter modifiering måste du köra: # postmap / etc / postfix / accounts_ forwarding_copy
# och filen skapas eller mäts: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------------------
# UNA sola cuenta para reenviar una copia BCC
# BCC = Black Carbon Copy
# Ejemplo:
# webadmin@desdelinux.fan buzz@desdelinux.fläkt
[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy
[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Lägg till i slutet av filen # KRÄVER INTE Postmap eftersom de är reguljära uttryck
/ ^ Ämne: =? Big5? / REJECT Kinesisk kodning accepteras inte av denna server
/ ^ Ämne: =? EUC-KR? / REJECT Koreansk kodning tillåts inte av denna server
/ ^ Ämne: ADV: / REJECT Annonser accepteras inte av denna server
/^Från :.*\@.*\.cn/ REJECT Tyvärr, kinesisk post är inte tillåten här
/^Från :.*\@.*\.kr/ REJECT Tyvärr, koreansk post är inte tillåten här
/^Från :.*\@.*\.tr/ REJECT Tyvärr, turkiskt mail är inte tillåtet här
/^Från :.*\@.*\.ro/ REJECT Tyvärr, rumänsk post är inte tillåten här
/^(Received|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | from stealth [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Inga massutskick tillåtna.
/ ^ Från: "spammer / REJECT
/ ^ Från: "spam / REJECT
/^ Ämne :.*viagra/ KASSAD
# Farliga tillägg
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REJECT REJECT Vi accepterar inte bilagor med dessa tillägg
Vi kontrollerar syntaxen, startar om Apache och Postifx och aktiverar och startar Dovecot
[root @ linuxbox ~] # postfix-kontroll [root @ linuxbox ~] # [root @ linuxbox ~] # systemctl starta om httpd [root @ linuxbox ~] # systemctl status httpd [root @ linuxbox ~] # systemctl startar om postfix [root @ linuxbox ~] # systemctl status postfix [root @ linuxbox ~] # systemctl status dovecot ● dovecot.service - Dovecot IMAP / POP3 e-postserver laddad: laddad (/usr/lib/systemd/system/dovecot.service; inaktiverad; leverantörsförinställning: inaktiverad) Aktiv: inaktiv (död) [root @ linuxbox ~] # systemctl aktiverar dovecot [root @ linuxbox ~] # systemctl starta duvcot [root @ linuxbox ~] # systemctl starta om duvecot [root @ linuxbox ~] # systemctl status dovecot
Kontroller på konsolenivå
- Innan du fortsätter med installationen och konfigurationen av andra program är det mycket viktigt att göra de minsta nödvändiga kontrollerna av SMTP- och POP-tjänsterna.
Lokalt från själva servern
Vi skickar ett mejl till den lokala användaren legolas.
[root @ linuxbox ~] # echo "Hej. Detta är ett testmeddelande" | mail-"Test" legolas
Vi kollar postlådan till Legolas.
[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3
Efter meddelandet Dovecot är redo! vi fortsätter:
--- + OK Dovecot är redo! USER legolas +OK PASS legolas +OK Logged in. STAT +OK 1 559 LIST +OK 1 messages: 1 559 . RETR 1 +OK 559 octets Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) Hola. Este es un mensaje de prueba . QUIT DONE [root @ linuxbox ~] #
Fjärrkontroller från en dator på LAN
Låt oss skicka ett nytt meddelande till legolas från en annan dator på LAN. Observera att TLS-säkerhet INTE är absolut nödvändig inom SME-nätverket.
buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \ -t legolas@desdelinux.fläkt\ -u "Hej" \ -m "Hälsningar Legolas från din vän Buzz" \ -s mail.desdelinux.fan -o tls=no 22 maj 10:53:08 sysadmin sendemail [5866]: E-postmeddelandet skickades!
Om vi försöker ansluta igenom Telnet Från en värd på LAN - eller naturligtvis från Internet - till Dovecot kommer följande att hända för att vi inaktiverar autentisering av klartext:
buzz@sysadmin:~$ telnet mail.desdelinux.fan 110Trying 192.168.10.5...
Connected to linuxbox.desdelinux.fan.
Escape character is '^]'.
+OK ¡Dovecot está Listo!
user legolas
-ERR [AUTH] Plaintext-autentisering tillåts inte på osäkra (SSL / TLS) anslutningar.
avsluta + OK Logga ut Anslutning stängd av utländsk värd.
buzz @ sysadmin: ~ $
Vi måste göra det igenom openssl. Hela kommandot kommer att vara:
buzz@sysadmin:~$ openssl s_client -crlf -connect mail.desdelinux.fan:110 -starttls pop3 CONNECTED (00000003) depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fläkt verifiera fel: num = 18: självtecknat certifikat verifiera retur: 1 depth=0 C = CU, ST = Cuba, L = Habana, O = DesdeLinux.Fan, OU = Entusiastas, CN = *.desdelinux.fan, emailAddress = buzz@desdelinux.fan verify return:1 --- Certificate chain 0 s:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- Server certificate -----BEGIN CERTIFICATE----- MIICyzCCAjSgAwIBAgIJAKUHI/2ZD+MeMA0GCSqGSIb3DQEBBQUAMIGbMQswCQYD VQQGEwJDVTENMAsGA1UECBMEQ3ViYTEPMA0GA1UEBxMGSGFiYW5hMRcwFQYDVQQK Ew5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECxMLRW50dXNpYXN0YXMxGTAXBgNVBAMU ECouZGVzZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51 eC5mYW4wHhcNMTcwNTIyMjAwODEwWhcNMTgwNTIyMjAwODEwWjCBmzELMAkGA1UE BhMCQ1UxDTALBgNVBAgTBEN1YmExDzANBgNVBAcTBkhhYmFuYTEXMBUGA1UEChMO RGVzZGVMaW51eC5GYW4xFDASBgNVBAsTC0VudHVzaWFzdGFzMRkwFwYDVQQDFBAq LmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC7wckAiNNfYSz5hdePzKuZ m2MMuhGDvwrDSPDEcVutznbZSgJ9bvTo445TR+Bnk+OZ80lujS2hP+nBmqxzJbpc XR7E9eWIXxr4fP4HpRrCA8NxlthEsapVMSHW+lnPBqF2b/Bt2eYyR7gJhtlP6gRG V57MmgL8BdYAJLvxqxDIxQIDAQABoxUwEzARBglghkgBhvhCAQEEBAMCBkAwDQYJ KoZIhvcNAQEFBQADgYEAAuYU1nIXTbXtddW+QkLskum7ESryHZonKOCelfn2vnRl 8oAgHg7Hbtg/e6sR/W9m3DObP5DEp3lolKKIKor7ugxtfA4PBtmgizddfDKKMDql LT+MV5/DP1pjQbxTsaLlZfveNxfLRHkQY13asePy4fYJFOIZ4OojDEGQ6/VQBI8= -----END CERTIFICATE----- subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan issuer=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Entusiastas/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- No client certificate CA names sent Server Temp Key: ECDH, secp384r1, 384 bits --- SSL handshake has read 1342 bytes and written 411 bytes --- New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384 Server public key is 1024 bit Secure Renegotiation IS supported Compression: NONE Expansion: NONE SSL-Session: Protocol : TLSv1.2 Cipher : ECDHE-RSA-AES256-GCM-SHA384 Session-ID: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5DB6C5295BF4E2D73A Session-ID-ctx: Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Key-Arg : None Krb5 Principal: None PSK identity: None PSK identity hint: None TLS session ticket lifetime hint: 300 (seconds) TLS session ticket: 0000 - 4e 3a f8 29 7a 4f 63 72-ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,........~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:........hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 de 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.......e..5 0070 - 38 34 f8 de 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p....b.....<. Start Time: 1495484262 Timeout : 300 (sec) Verify return code: 18 (self signed certificate) --- + OK Dovecot är redo! ANVÄNDARE legolas + OK PASSA legolas + OK Inloggad. LISTA + OK 1 meddelanden: 1 1021. TILLBAKA 1 +OK 1021 octets Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id 51886C11E8C0 for <legolas@desdelinux.fan>; Mon, 22 May 2017 15:09:11 -0400 (EDT) Message-ID: <919362.931369932-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-365707.724894495" This is a multi-part message in MIME format. To properly display this message you need a MIME-Version 1.0 compliant Email program. ------MIME delimiter for sendEmail-365707.724894495 Content-Type: text/plain; charset="iso-8859-1" Content-Transfer-Encoding: 7bit Saludos Legolas de tu amigo Buzz ------MIME delimiter for sendEmail-365707.724894495-- . SLUTA + OK Logga ut. stängd buzz @ sysadmin: ~ $
squirrelmail
squirrelmail är en webbklient skriven helt i PHP. Den innehåller inbyggt PHP-stöd för IMAP- och SMTP-protokollen och ger maximal kompatibilitet med de olika webbläsare som används. Den körs korrekt på vilken IMAP-server som helst. Den har all den funktionalitet som du behöver från en e-postklient inklusive MIME-support, adressbok och mapphantering.
[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # service httpd starta om
[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$domain = 'desdelinux.fan';
$imapServerAddress = 'mail.desdelinux.fan';
$ imapPort = 143;
$smtpServerAddress = 'desdelinux.fan';
[root @ linuxbox ~] # tjänst httpd omladdning
Framenwork för DNS-sändning eller SPF-post
I artikeln NSD auktoritär DNS-server + strandvägg vimos en que la Zona «desdelinux.fan» quedaba configurada de la forma siguiente:
root@ns:~# nano /etc/nsd/desdelinux.fanzon $ORIGIN desdelinux.fläkt. $TTL 3H @ IN SOA nr.desdelinux.fläkt. rot.desdelinux.fläkt. (1; seriell 1D; uppdatera 1H; försök igen 1W; går ut 3H); minimum eller ; Negativ cachningstid att leva; @ IN NS ns.desdelinux.fläkt. @ IN MX 10 e-post.desdelinux.fläkt. @ IN TXT "v=spf1 a:mail.desdelinux.fan -all" ; ; Registro para resolver consultas dig desdelinux.fan @ IN A 172.16.10.10 ; ns IN A 172.16.10.30 post IN CNAME desdelinux.fläkt. chatta I CNAME desdelinux.fläkt. www I CNAME desdelinux.fläkt. ; ; SRV-poster relaterade till XMPP _xmpp-server._tcp IN SRV 0 0 5269 desdelinux.fan. _xmpp-client._tcp IN SRV 0 0 5222 desdelinux.fan. _jabber._tcp IN SRV 0 0 5269 desdelinux.fläkt.
I det förklaras registret:
@ IN TXT "v=spf1 a:mail.desdelinux.fan -all"
För att ha samma parameter konfigurerad för SME-nätverket eller LAN måste vi ändra Dnsmasq-konfigurationsfilen enligt följande:
# Registros TXT. Podemos declarar también un registro SPF txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.fan -all"
Sedan startar vi om tjänsten:
[root @ linuxbox ~] # service dnsmasq starta om [root@linuxbox ~]# service dnsmasq status [root@linuxbox ~]# host -t TXT mail.desdelinux.beundrarbrev.desdelinux.fan är ett alias för desdelinux.fläkt. desdelinux.fan descriptive text "v=spf1 a:mail.desdelinux.fan -all"
Självsignerade certifikat och Apache eller httpd
Även om din webbläsare säger att «Ägaren till e-post.desdelinux.fläkt Du har konfigurerat din webbplats fel. För att förhindra att din information blir stulen har Firefox inte anslutit till den här webbplatsen ”, det tidigare genererade certifikatet DET Gäller, och gör det möjligt för autentiseringsuppgifterna mellan klienten och servern att krypteras, efter att vi accepterat certifikatet.
Om du vill, och som ett sätt att förena certifikaten, kan du för Apache deklarera samma certifikat som du förklarade för Postfix, vilket är korrekt.
[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.key
[root @ linuxbox ~] # tjänsten httpd starta
[root @ linuxbox ~] # tjänst httpd-status
Diffie-Hellman Group
Frågan om säkerhet blir svårare varje dag på Internet. En av de vanligaste attackerna på anslutningar SSL, Är logjam och för att försvara sig mot det är det nödvändigt att lägga till icke-standardparametrar i SSL-konfigurationen. För detta finns det RFC-3526 «Mer modulär exponentiell (MODP) Diffie-Hellman grupper för Internet Key Exchange (IKE)".
[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out privat / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 privat / dhparams.pem
Enligt den version av Apache vi har installerat kommer vi att använda Diffie-Helman Group från /etc/pki/tls/dhparams.pem. Om det är en version 2.4.8 eller senare måste vi lägga till filen /etc/httpd/conf.d/ssl.conf följande rad:
SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"
Apache-versionen som vi använder är:
[root @ linuxbox tls] # yum info httpd
Laddade plugins: snabbaste spegel, långpacks Laddar spegelhastigheter från cachad värdfil Installerade paket Namn: httpd Arkitektur: x86_64
Version: 2.4.6
Släpp: 45.el7.centos Storlek: 9.4 M Förvar: installerat Från förvar: Bas-Repo Sammanfattning: Apache HTTP-server-URL: http://httpd.apache.org/ Licens: ASL 2.0 Beskrivning: Apache HTTP-servern är en kraftfull, effektiv och utbyggbar: webbserver.
Eftersom vi har en version före 2.4.8 lägger vi till slutet av det tidigare genererade CRT-certifikatet innehållet i Diffie-Helman Group:
[root @ linuxbox tls] # cat privat / dhparams.pem >> certs/desdelinux.fan.crt
Utför följande kommandon om du vill kontrollera att DH-parametrarna har lagts till i CRT-certifikatet:
[root @ linuxbox tls] # cat privat / dhparams.pem ----- BÖRJA DH-PARAMETRAR ----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- END DH PARAMETERS ----- [root@linuxbox tls]# cat certs/desdelinux.fan.crt -----BEGIN CERTIFICATE----- MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8 sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr /BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1 5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe /02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm 1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V 6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3 2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5 8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU 4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh Nf0/JsEjPklCugE= -----END CERTIFICATE----- -----BEGIN DH PARAMETERS----- MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP /O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe 8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv /LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3 cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg== ----- END DH PARAMETERS -----
Efter dessa ändringar måste vi starta om Postfix- och httpd-tjänsterna:
[root @ linuxbox tls] # tjänsten postfix startas om [root @ linuxbox tls] # tjänst postfix status [root @ linuxbox tls] # service httpd starta om [root @ linuxbox tls] # tjänst httpd status
Införandet av Diffie-Helman-gruppen i våra TLS-certifikat kan göra att anslutningen via HTTPS blir lite långsammare, men tillägget av säkerhet är väl värt det.
Kontrollerar Squirrelmail
Despues att certifikaten genereras korrekt och att vi kontrollerar att de fungerar korrekt genom att använda konsolkommandona, peka din webbläsare på URL: en http://mail.desdelinux.fan/webmail och den kommer att ansluta till webbklienten efter att ha accepterat motsvarande certifikat. Observera att även om du anger HTTP-protokollet kommer det att omdirigeras till HTTPS, och detta beror på standardinställningarna som CentOS erbjuder för Squirrelmail. Se filen /etc/httpd/conf.d/squirrelmail.conf.
Om användarens brevlådor
Dovecot skapar IMAP-postlådorna i mappen hem för varje användare:
[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/ totalt 12 drwxrwx ---. 5 legolas mail 4096 22 maj 12:39. drwx ------. 3 legolas legolas 75 maj 22 11:34 .. -rw -------. 1 legolas legolas 72 maj 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 maj 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 maj 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 maj 22 10:23 INBOX drwx ------. 2 legolas legolas 56 maj 22 12:39 Skickat drwx ------. 2 legolas legolas 30 maj 22 11:34 Papperskorgen
De lagras också i / var / mail /
[root @ linuxbox ~] # mindre / var / mail / legolas From MAILER_DAEMON Mon May 22 10:28:00 2017 Date: Mon, 22 May 2017 10:28:00 -0400 From: Mail System Internal Data <MAILER-DAEMON@linuxbox> Subject: DON'T DELETE THIS MESSAGE -- FOLDER INTERNAL DATA Message-ID: <1495463280@linuxbox> X-IMAP: 1495462351 0000000008 Status: RO This text is part of the internal format of your mail folder, and is not a real message. It is created automatically by the mail system software. If deleted, important folder data will be lost, and it will be re-created with the data reset to initial values. From root@desdelinux.fan Mon May 22 10:47:10 2017 Return-Path: <root@desdelinux.fan> X-Original-To: legolas Delivered-To: legolas@desdelinux.fan Received: by desdelinux.fan (Postfix, from userid 0) id 7EA22C11FC57; Mon, 22 May 2017 10:47:10 -0400 (EDT) Date: Mon, 22 May 2017 10:47:10 -0400 To: legolas@desdelinux.fan Subject: Prueba User-Agent: Heirloom mailx 12.5 7/5/10 MIME-Version: 1.0 Content-Type: text/plain; charset=us-ascii Content-Transfer-Encoding: 7bit Message-Id: <20170522144710.7EA22C11FC57@desdelinux.fan> From: root@desdelinux.fan (root) X-UID: 7 Status: RO Hola. Este es un mensaje de prueba From buzz@deslinux.fan Mon May 22 10:53:08 2017 Return-Path: <buzz@deslinux.fan> X-Original-To: legolas@desdelinux.fan Delivered-To: legolas@desdelinux.fan Received: from sysadmin.desdelinux.fan (gateway [172.16.10.1]) by desdelinux.fan (Postfix) with ESMTP id C184DC11FC57 for <legolas@desdelinux.fan>; Mon, 22 May 2017 10:53:08 -0400 (EDT) Message-ID: <739874.219379516-sendEmail@sysadmin> From: "buzz@deslinux.fan" <buzz@deslinux.fan> To: "legolas@desdelinux.fan" <legolas@desdelinux.fan> Subject: Hola Date: Mon, 22 May 2017 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME-Version: 1.0 Content-Type: multipart/related; boundary="----MIME delimiter for sendEmail-794889.899510057 / var / mail / legolas
PAM-miniseriesammanfattning
Vi har tittat på kärnan i en Mailserver och lagt lite vikt vid säkerhet. Vi hoppas att artikeln fungerar som en startpunkt för ett ämne som är så komplicerat och mottagligt för att göra misstag eftersom det är implementeringen av en e-postserver manuellt.
Vi använder lokal användarautentisering för om vi läser filen korrekt /etc/dovecot/conf.d/10-auth.conf, kommer vi att se att det till slut ingår -som standard- autentiseringsfilen för systemanvändarna ! inkludera auth-system.conf.ext. Just den här filen säger i rubriken att:
[root @ linuxbox ~] # mindre /etc/dovecot/conf.d/auth-system.conf.ext
# Autentisering för systemanvändare. Ingår från 10-auth.conf. # # # # PAM-autentisering. Föredras nuförtiden av de flesta system.
# PAM används vanligtvis med antingen userdb passwd eller userdb static. # Ihåg: Du måste /etc/pam.d/dovecot-filen skapas för att PAM # -autentisering ska fungera. passdb {driver = pam # [session = yes] [setcred = yes] [failure_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}
Och den andra filen finns /etc/pam.d/dovecot:
[root @ linuxbox ~] # cat /etc/pam.d/dovecot #% PAM-1.0 auth krävs pam_nologin.so auth include password-auth account include password-auth session include password-auth
Vad försöker vi förmedla om PAM-autentisering?
- CentOS, Debian, Ubuntu och många andra Linux-distributioner installerar Postifx och Dovecot med lokal autentisering aktiverad som standard.
- Många artiklar på Internet använder MySQL - och nyligen MariaDB - för att lagra användare och annan information om en Mailserver. MEN det här är servrar för tusentals användare och inte för ett klassiskt SMF-nätverk med - kanske - hundratals användare.
- Autentisering via PAM är nödvändig och tillräcklig för att tillhandahålla nättjänster så länge de körs på en enda server som vi har sett i denna miniserie.
- Användare som är lagrade i en LDAP-databas kan kartläggas som om de vore lokala användare och PAM-autentisering kan användas för att tillhandahålla nättjänster från olika Linux-servrar som fungerar som LDAP-klienter till den centrala autentiseringsservern. På detta sätt skulle vi arbeta med användaruppgifterna för de användare som är lagrade i den centrala LDAP-serverdatabasen, och det skulle INTE vara viktigt att ha en databas med lokala användare.
Fram till nästa äventyr!
Tro mig att detta i praktiken är en process som ger mer än en sysadmin svår huvudvärk, jag är övertygad om att det i framtiden kommer att vara en referensguide för alla som vill hantera sina egna e-postmeddelanden, ett praktiskt fall som blir abc när integrera postfix, dovecot, squirrelmail ..
Tack så mycket för ditt prisvärda bidrag,
Varför inte använda Mailpile, när det gäller säkerhet, med PGP? Roundcube har också ett mycket mer intuitivt gränssnitt och kan också integrera PGP.
För 3 dagar sedan läste jag inlägget, jag vet hur man tackar dig. Jag planerar inte att installera en e-postserver men det är alltid bra att se skapandet av certifikat, användbart för andra applikationer och dessa självstudier upphör knappast (speciellt när du använder centOS).
Manuel Cillero: Tack för att du länkar till och från din blogg den här artikeln som är den minsta kärnan i en e-postserver baserad på Postfix och Dovecot.
Ödla: Som alltid tas din utvärdering mycket väl emot. Tack.
Darko: I nästan alla mina artiklar uttrycker jag mer eller mindre att "Alla implementerar tjänsterna med de program som de gillar mest." Tack för kommentaren.
Martin: Tack till dig också för att du läste artikeln och jag hoppas att det hjälper dig i ditt arbete.
Fantastisk artikelvän Federico. Tack så mycket för en så bra tuto.
utmärkt även om jag skulle använda "virtuella användare" för att undvika att behöva skapa en systemanvändare varje gång jag lägger till ett e-postmeddelande, tack, jag lärde mig många nya saker och det här är den typ av inlägg jag väntade på
God eftermiddag,
De vågade göra samma med fedora katalogserver + postifx + duvkot + thunderbird eller outlook.
Tengo una parte pero estoy pegado, con gusto compartiria el documento a la comunidad @desdelinux
Jag trodde inte att det skulle nå mer än 3000 besök !!!
Hälsningar ödla!
Utmärkt handledningskollega.
Kan du göra det för Debian 10 med användare av en Active Directory monterad på Samba4 ???
Jag antar att det skulle vara nästan detsamma men att ändra autentiseringstypen.
Avsnittet du ägnar åt att skapa självsignerade certifikat är mycket intressant.