Postfix + Dovecot + Squirrelmail ve yerel kullanıcılar - KOBİ Ağları

Serinin genel dizini: KOBİ'ler için Bilgisayar Ağları: Giriş

Bu makale mini dizilerin devamı ve sonuncusudur:

• CentOS 7'de Squid + PAM Kimlik Doğrulaması.
• Yerel kullanıcı ve grup yönetimi
• Yetkili DNS Sunucusu NSD + Shorewall
• Prosody IM ve yerel kullanıcılar
  

Merhaba arkadaşlar ve arkadaşlar!

Jardines de Viveros Meraklıları kendi posta sunucularına sahip olmak istiyorlar. "Gizlilik" in soru işaretleri arasında olduğu sunucuları kullanmak istemiyorlar. Hizmetin küçük sunucunuzda uygulanmasından sorumlu kişi bu konuda uzman değildir ve başlangıçta geleceğin çekirdeğini ve eksiksiz bir posta sunucusunu kurmaya çalışacaktır. Tam Posta Sunucusu yapmak için "denklemler" in anlaşılması ve uygulanması biraz zor mu? 😉

Marj ek açıklamaları

• Bir Posta Sunucusunda yer alan her programın hangi işlevleri yerine getirdiği konusunda net olmak gerekir. İlk kılavuz olarak, ziyaret edildikleri beyan edilen amaçla bir dizi yararlı bağlantı veriyoruz..
• Komple Posta Hizmetini manuel olarak sıfırdan uygulamak yorucu bir süreçtir, bu tür bir görevi her gün gerçekleştiren "Seçilmiş" kişilerden biri değilseniz. Bir Posta Sunucusu genellikle çeşitli programlardan oluşur. SMTP, POP / IMAP, Mesajların Yerel Depolanması, SPAM, Antivirüs vb. Bu programların TÜMÜ birbiriyle doğru şekilde iletişim kurmalıdır.
• Kullanıcıların nasıl yönetileceği konusunda herkese uyan tek bir yöntem veya "en iyi uygulamalar" yoktur; mesajların nerede ve nasıl saklanacağı veya tüm bileşenlerin tek bir bütün olarak nasıl çalıştırılacağı.
• Bir Posta Sunucusunun montajı ve ince ayarı, izinler ve dosya sahipleri gibi konularda, belirli bir işlemden hangi kullanıcının sorumlu olacağını seçme ve bazı ezoterik yapılandırma dosyasında yapılan küçük hatalarda iğrenç olma eğilimindedir.
• Ne yaptığınızı çok iyi bilmiyorsanız, sonuç güvensiz veya biraz işlevsel olmayan bir Posta Sunucusu olacaktır. Uygulamanın sonunda işe yaramazsa, muhtemelen kötülüklerin daha azı olacaktır.
• İnternette bir Posta Sunucusunun nasıl yapılacağına dair çok sayıda tarif bulabiliriz. En eksiksiz olanlardan biri -kişisel görüşüme göre- yazar tarafından teklif edilen ivar abrahamsen Ocak 2017'nin on üçüncü baskısında «GNU / Linux sisteminde bir posta sunucusu nasıl kurulur".
• Ayrıca «makalesini okumanızı öneririz.Ubuntu 14.04 üzerinde bir Posta Sunucusu: Postfix, Dovecot, MySQL«, veya «Ubuntu 16.04 üzerinde bir Posta Sunucusu: Postfix, Dovecot, MySQL".
• Doğru. Bu konudaki en iyi belgeler İngilizce olarak bulunabilir.
  • Asla bir Posta Sunucusu yapmamıza rağmen, Nasıl ... Bir önceki paragrafta bahsettiğimiz gibi, onu adım adım takip etmek bize neyle karşı karşıya kalacağımız konusunda çok iyi bir fikir verecektir.
• Sadece birkaç adımda eksiksiz bir Posta Sunucusuna sahip olmak istiyorsanız, resmi indirebilirsiniz iRedOS-0.6.0-CentOS-5.5-i386.isoveya daha modern olanı arayın, iRedOS veya iRedMail. Şahsen tavsiye ettiğim yol bu.

Yükleyeceğiz ve yapılandıracağız:

• Postfix sunucu olarak Msarımsak Transport Acentilmen (SMTP).
• güvercinlik POP olarak - IMAP sunucusu.
• Aracılığıyla bağlantılar için sertifikalar TLS.
• Sincap postası kullanıcılar için bir web arayüzü olarak.
• «İle ilgili DNS kaydıGönderen Politika Çerçevesi"ya da SPF.
• Modül üretimi Diffie Hellman Grubu SSL sertifikalarının güvenliğini artırmak.

Yapılması gerekenler:

En azından aşağıdaki hizmetler uygulanmaya devam edecektir:

• postgri: Gri Listeler için Postfix sunucu politikaları ve Önemsiz Postaları reddet.
  
• Amavisd-yeni: MTA ile virüs tarayıcıları ve içerik filtreleri arasında bir arayüz oluşturan komut dosyası.
• Clamav Antivirüs: antivirüs paketi
• SpamAssassin: Önemsiz Postayı ayıkla
• jilet (pyzor): Dağıtılmış ve işbirliğine dayalı bir ağ aracılığıyla SPAM yakalama. Vipul Razor ağı, önemsiz posta veya SPAM yayılımının güncellenmiş bir kataloğunu tutar.
• DNS kaydı "DomainKeys Identified Mail" veya DKIM.

paketler postgrey, amavisd-new, clamav, spamassassin, jazor y Pyzor Program havuzlarında bulunurlar. Programı da bulacağız açık kim.

• Posta sunucumuzun henüz faaliyete geçmesini, istenmeyen ilan edilmesini veya bir SPAM veya Önemsiz Posta üreticisinin, aşağıdaki gibi diğer posta hizmetleri tarafından kullanılmasını istemiyorsak, "SPF" ve "DKIM" DNS kayıtlarının doğru bildirimi önemlidir Gmail, Yahhh, Hotmail, vb.

İlk kontroller

Unutmayın bu makale, diğerlerinin devamı niteliğindedir. CentOS 7'de Squid + PAM Kimlik Doğrulaması.

Dahili Ağa bağlı Ens32 LAN arayüzü

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens32
DEVICE=ens32
ONBOOT=yes
BOOTPROTO=static
HWADDR=00:0c:29:da:a3:e7
NM_CONTROLLED=no
IPADDR=192.168.10.5
NETMASK=255.255.255.0
GATEWAY=192.168.10.1
DOMAIN=desdelinux.fan DNS1=127.0.0.1
BÖLGE = genel

[root @ linuxbox ~] # ifdown ens32 && ifup ens32

İnternete bağlı Ens34 WAN arayüzü

[root @ linuxbox ~] # nano / etc / sysconfig / network-scripts / ifcfg-ens34
DEVICE=ens34 ONBOOT=evet BOOTPROTO=statik HWADDR=00:0c:29:da:a3:e7 NM_CONTROLLED=hayır IPADDR=172.16.10.10 NETMASK=255.255.255.0 # ADSL Router bu arayüze # aşağıdaki adresle # bağlanır IP AĞ GEÇİDİ=172.16.10.1 ALAN=desdelinux.fan DNS1=127.0.0.1
BÖLGE = harici

LAN'dan DNS çözümlemesi

[root@linuxbox ~]# cat /etc/resolv.conf araması desdelinux.fan ad sunucusu 127.0.0.1 ad sunucusu 172.16.10.30 [root@linuxbox ~]# ana bilgisayar postası
posta.desdelinux.fan, linuxbox'ın takma adıdır.desdelinux.fan. Linux kutusu.desdelinux.fan'ın adresi 192.168.10.5 linuxbox'tır.desdelinux.fan postası 1 posta tarafından yönetilir.desdelinux.fan.

[root@linuxbox ~]# ana bilgisayar postası.desdelinux.fan
posta.desdelinux.fan, linuxbox'ın takma adıdır.desdelinux.fan. Linux kutusu.desdelinux.fan'ın adresi 192.168.10.5 linuxbox'tır.desdelinux.fan postası 1 posta tarafından yönetilir.desdelinux.fan.

İnternetten DNS çözümlemesi

buzz@sysadmin:~$hostmail.desdelinux.fan 172.16.10.30
Etki alanı sunucusunu kullanma: Ad: 172.16.10.30 Adres: 172.16.10.30#53 Takma adlar: mail.desdelinux.fan bir takma addır desdelinux.fan.
desdelinux.fan'ın adresi 172.16.10.10'tir
desdelinux.fan postası 10 posta tarafından yönetilir.desdelinux.fan.

Ana makine adını yerel olarak çözme sorunları «desdelinux.fan"

Ana bilgisayar adını çözmede sorun yaşıyorsanız «desdelinux.fan"dan LAN, dosya satırına yorum yapmayı deneyin /etc/dnsmasq.conf nerede ilan edildi yerel=/desdelinux.fan/. Daha sonra Dnsmasq'ı yeniden başlatın.

[root @ linuxbox ~] # nano /etc/dnsmasq.conf # Aşağıdaki satırı yorumlayın:
#yerel=/desdelinux.fan/

[root @ linuxbox ~] # hizmet dnsmasq yeniden başlatma
/ Bin / systemctl'ye yeniden yönlendiriliyor dnsmasq.service'i yeniden başlat

[root @ linuxbox ~] # hizmet dnsmasq durumu

[root@linuxbox ~]# ana bilgisayar desdelinux.fan
desdelinux.fan'ın adresi 172.16.10.10'tir
desdelinux.fan postası 10 posta tarafından yönetilir.desdelinux.fan.

Postfix ve Dovecot

Postfix ve Dovecot'un çok kapsamlı dokümantasyonu şu adreste bulunabilir:

[root @ linuxbox ~] # ls /usr/share/doc/postfix-2.10.1/
bounce.cf.default LİSANS README-Postfix-SASL-RedHat.txt UYUMLULUK main.cf.default TLS_ACKNOWLEDGEMENTS örnekleri README_FILES TLS_LICENSE

[root @ linuxbox ~] # ls /usr/share/doc/dovecot-2.2.10/
YAZARLAR KOPYALAMA.MIT dovecot-openssl.cnf HABERLER wiki KOPYALAMA ChangeLog example-config README COPYING.LGPL document.txt mkcert.sh solr-schema.xml

CentOS 7'de, Altyapı Sunucusu seçeneğini belirlediğimizde Postfix MTA varsayılan olarak kurulur. SELinux bağlamının yerel mesaj kuyruğunda Potfix'e yazmaya izin verdiğini kontrol etmeliyiz:

[root @ linuxbox ~] # getsebool -a | grep postfix
postfix_local_write_mail_spool -> on

Güvenlik Duvarındaki Değişiklikler D

FirewallD'yi yapılandırmak için grafik arayüzü kullanarak, her Bölge için aşağıdaki hizmetlerin ve bağlantı noktalarının etkinleştirildiğinden emin olmalıyız:

# ------------------------------------------------- -----
# FirewallD'de Düzeltmeler
# ------------------------------------------------- -----
# Güvenlik Duvarı
# Genel bölge: http, https, imap, pop3, smtp hizmetleri
# Genel bölge: 80, 443, 143, 110, 25 numaralı bağlantı noktaları

# Harici bölge: http, https, imap, pop3s, smtp hizmetleri
# Harici bölge: 80, 443, 143, 995, 25 numaralı bağlantı noktaları

Dovecot ve gerekli programları kuruyoruz

[root @ linuxbox ~] # yum yükleme dovecot mod_ssl procmail telnet

Minimum Dovecot yapılandırması

[root @ linuxbox ~] # nano /etc/dovecot/dovecot.conf
protokolleri =imap pop3 lmtp
dinlemek =*, ::
giriş_tebrik = Dovecot hazır!

Dovecot'un düz metin kimlik doğrulamasını açıkça devre dışı bırakıyoruz:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-auth.conf 
disable_plaintext_auth = evet

Grubu, Dovecot ile etkileşim için gerekli ayrıcalıklara ve mesajların yerini beyan ederiz:

[root @ linuxbox ~] # nano /etc/dovecot/conf.d/10-mail.conf
mail_location = mbox: ~ / mail: INBOX = / var / mail /% u
mail_privileged_group = posta
mail_access_groups = posta

Dovecot için Sertifikalar

Dovecot, dosyadaki verilere göre test sertifikalarınızı otomatik olarak oluşturur /etc/pki/dovecot/dovecot-openssl.cnf. Gereksinimlerimize göre yeni sertifikaların oluşturulması için aşağıdaki adımları gerçekleştirmeliyiz:

[root @ linuxbox ~] # cd / etc / pki / dovecot /
[root @ linuxbox dovecot] # nano dovecot-openssl.cnf
[ req ] default_bits = 1024 encrypt_key = evet ayırt edici_adı = req_dn x509_extensions = cert_type istemi = hayır [ req_dn ] # ülke (2 harfli kod) C=CU # Eyalet veya İl Adı (tam ad) ST=Küba # Yerellik Adı (örn. şehir) ) L=Havana # Kuruluş (örn. şirket) O=DesdeLinux.Fan # Organizasyonel Birim Adı (örn. bölüm) OU=Meraklılar # Ortak Ad (*.example.com da mümkündür) CN=*.desdelinux.fan # E-posta iletişim emailAddress=buzz@desdelinux.fan [ cert_type ] nsCertType = sunucu

Test sertifikalarını ortadan kaldırıyoruz

[root @ linuxbox dovecot] # rm certs / dovecot.pem 
rm: normal "certs / dovecot.pem" dosyasını sil? (y / n) y
[root @ linuxbox dovecot] # rm özel / dovecot.pem 
rm: normal "private / dovecot.pem" dosyasını silinsin mi? (y / n) y

Senaryoyu kopyalıyor ve çalıştırıyoruz mkcert.sh dokümantasyon dizininden

[root @ linuxbox dovecot] # cp /usr/share/doc/dovecot-2.2.10/mkcert.sh. [root @ linuxbox dovecot] # bash mkcert.sh 
1024 bitlik bir RSA özel anahtarı oluşturuluyor ......++++++ ................++++++ '/etc/' dosyasına yeni özel anahtar yazılıyor pki/dovecot/private/dovecot.pem' ----- konu= /C=CU/ST=Cuba/L=Havana/O=DesdeLinux.Fan/OU=Meraklılar/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
SHA1 Fingerprint=5F:4A:0C:44:EC:EC:EF:95:73:3E:1E:37:D5:05:F8:23:7E:E1:A4:5A

[root @ linuxbox dovecot] # ls -l certs /
toplam 4 -rw -------. 1 kök kök 1029 22 Mayıs 16:08 dovecot.pem
[root @ linuxbox dovecot] # ls -l özel /
toplam 4 -rw -------. 1 kök kök 916 22 Mayıs 16:08 dovecot.pem

[root @ linuxbox dovecot] # hizmet dovecot yeniden başlatma
[root @ linuxbox dovecot] # hizmet dovecot durumu

Postfix için Sertifikalar

[root@linuxbox ~]# cd /etc/pki/tls/ [root@linuxbox tls]# openssl req -sha256 -x509 -nodes -newkey rsa:4096 -days 1825 \ -out certs/desdelinux.fan.crt -anahtar çıkışı özel/desdelinux.fan.anahtarı

4096 bit RSA özel anahtarı oluşturuluyor .........++ ..++ 'private/domain.tld.key'e yeni özel anahtar yazılıyor ----- Sizden bilgi girmeniz istenecek Bu, sertifika isteğinize dahil edilecektir. Girmek üzere olduğunuz şey, Ayırt Edici Ad veya DN olarak adlandırılan şeydir. Oldukça fazla alan var ama bazılarını boş bırakabilirsiniz. Bazı alanlar için varsayılan bir değer olacaktır. '.' girerseniz alan boş bırakılacaktır. ----- Ülke Adı (2 harfli kod) [XX]:CU Eyaleti veya İl Adı (tam ad) []:Küba Yerellik Adı (örneğin, şehir) [Varsayılan Şehir]:Havana Kuruluş Adı (örneğin, şirket) [ Varsayılan Şirket Ltd]:DesdeLinux.Fan Organizasyon Birimi Adı (örn. bölüm) []:Meraklıların Ortak Adı (örn. adınız veya sunucunuzun ana bilgisayar adı) []:desdelinux.fan E-posta Adresi []:buzz@desdelinux.fan

Minimal Postfix yapılandırması

Dosyanın sonuna ekliyoruz / etc / aliases sonraki:

kök: buzz

Değişikliklerin etkili olması için aşağıdaki komutu uyguluyoruz:

[root @ linuxbox ~] # yeni takma ad

Postifx yapılandırması doğrudan dosyayı düzenleyerek yapılabilir /etc/postfix/main.cf veya komutla son konf -e Değiştirmek veya eklemek istediğimiz tüm parametrelerin konsolun tek bir satırına yansıtılmasına dikkat ederek:

• Herkes anladığı ve ihtiyaç duyduğu seçenekleri beyan etmelidir!.

[root@linuxbox ~]# postconf -e 'anasistem adı = desdelinux.fan'
[root@linuxbox ~]# postconf -e 'etki alanım = desdelinux.fan'
[root @ linuxbox ~] # postconf -e 'myorigin = $ mydomain'
[root @ linuxbox ~] # postconf -e 'inet_interfaces = all'
[root @ linuxbox ~] # postconf -e 'mydestination = $ myhostname, localhost. $ mydomain, localhost, $ mydomain, mail. $ mydomain, www. $ mydomain, ftp. $ mydomain'

[root @ linuxbox ~] # postconf -e 'mynetworks = 192.168.10.0/24, 172.16.10.0/24, 127.0.0.0/8'
[root @ linuxbox ~] # postconf -e 'mailbox_command = / usr / bin / procmail -a "$ UZANTI"'
[root @ linuxbox ~] # postconf -e 'smtpd_banner = $ myhostname ESMTP $ mail_name ($ mail_version)'

Dosyanın sonuna ekliyoruz /etc/postfix/main.cf aşağıda verilen seçenekler. Her birinin anlamını bilmek için, beraberindeki belgeleri okumanızı öneririz.

biff = hayır
append_dot_mydomain = hayır
gecikme_uyarı_zamanı = 4 saat
readme_directory = hayır
smtpd_tls_cert_file=/etc/pki/certs/desdelinux.fan.crt
smtpd_tls_key_file=/etc/pki/private/desdelinux.fan.anahtarı
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree: $ {data_directory} / smtpd_scache
smtp_tls_session_cache_database = btree: $ {data_directory} / smtp_scache
smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination

# Maksimum posta kutusu boyutu 1024 megabayt = 1 g ve ga
mailbox_size_limit = 1073741824

alıcı_ sınırlayıcı = +
maximal_queue_lifetime = 7 gün
header_checks = regexp: / etc / postfix / header_checks
body_checks = regexp: / etc / postfix / body_checks

# Gelen postanın bir kopyasını başka bir hesaba gönderen hesaplar
alıcı_bcc_maps = karma: / etc / postfix / accounts_ forwarding_copy

Aşağıdaki satırlar, diğer sunuculara kimin posta gönderebileceğini ve geçiş yapabileceğini belirlemek için önemlidir, böylece kimliği doğrulanmamış kullanıcıların posta göndermesine olanak tanıyan bir "açık geçişi" yanlışlıkla yapılandırmayız. Her seçeneğin ne anlama geldiğini anlamak için Postfix yardım sayfalarına başvurmalıyız.

• Herkes anladığı ve ihtiyaç duyduğu seçenekleri beyan etmelidir!.

smtpd_helo_restrictions = allow_mynetworks,
 warn_if_reject reddetme_non_fqdn_hostname,
 reddet_invalid_hostname,
 izin vermek

smtpd_sender_restrictions = allow_sasl_authenticated,
 allow_mynetworks,
 warn_if_reject reddetme_non_fqdn_sender,
 reddet_unknown_sender_domain,
 reddet_unauth_pipelining,
 izin vermek

smtpd_client_restrictions = red_rbl_client sbl.spamhaus.org,
 reddet_rbl_client blackholes.easynet.nl

# NOT: "check_policy_service inet: 127.0.0.1: 10023" seçeneği
# Postgrey programını etkinleştirir ve bunu dahil etmemeliyiz
# aksi takdirde Postgrey kullanacağız

smtpd_recipient_restrictions = red_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 reddet_non_fqdn_recipient,
 reddet_unknown_recipient_domain,
 reddet_unauth_hedef,
 check_policy_service inet: 127.0.0.1: 10023,
 izin vermek

smtpd_data_restrictions = red_unauth_pipelining

smtpd_relay_restrictions = red_unauth_pipelining,
 allow_mynetworks,
 allow_sasl_authenticated,
 reddet_non_fqdn_recipient,
 reddet_unknown_recipient_domain,
 reddet_unauth_hedef,
 check_policy_service inet: 127.0.0.1: 10023,
 izin vermek
 
smtpd_helo_required = evet
smtpd_delay_reject = evet
disable_vrfy_command = evet

Dosyaları biz oluşturuyoruz / etc / postfix / body_checks y / etc / postfix / accounts_forwarding_copyve dosyayı değiştirin / etc / postfix / header_checks.

• Herkes anladığı ve ihtiyaç duyduğu seçenekleri beyan etmelidir!.
  

[root @ linuxbox ~] # nano / etc / postfix / body_checks
# Bu dosya değiştirilirse, postmap # çalıştırmaya gerek yoktur # Kuralları test etmek için root olarak çalıştırın: # postmap -q 'süper yeni v1agra' regexp: / etc / postfix / body_checks
# Dönmeli: # REJECT Rule # 2 Anti Spam Mesaj Gövdesi
/ viagra / REJECT Rule # 1 Mesaj gövdesinin Anti Spam'i
/ super new v [i1] agra / REJECT Rule # 2 Anti Spam ileti gövdesi

[root @ linuxbox ~] # nano / etc / postfix / accounts_ forwarding_copy
# Değiştirdikten sonra şunları yapmanız gerekir: # postmap / etc / postfix / accounts_ forwarding_copy
# ve dosya oluşturulur veya ölçülür: # /etc/postfix/accounts_forwarding_copy.db
# ------------------------------- # Bir BCC iletmek için BİR hesap kopya # BCC = Siyah Karbon Kopya # Örnek: # webadmin@desdelinux.hayran sesi@desdelinux.fan

[root @ linuxbox ~] # postmap / etc / postfix / accounts_ forwarding_copy

[root @ linuxbox ~] # nano / etc / postfix / header_checks
# Dosyanın sonuna ekleyin # Normal İfadeler oldukları için Postmap GEREKMEZ
/ ^ Konu: =? Big5? / REJECT Çince kodlama bu sunucu tarafından kabul edilmiyor
/ ^ Konu: =? EUC-KR? / REJECT Kore kodlamasına bu sunucu tarafından izin verilmiyor
/ ^ Konu: ADV: / REJECT Bu sunucu tarafından kabul edilmeyen reklamlar
/ ^ Kimden:.*\@.*\.cn/ REJECT Üzgünüz, burada Çince postaya izin verilmiyor
/ ^ Kimden:.*\@.*\.kr/ REJECT Üzgünüz, Korece postaya burada izin verilmiyor
/ ^ Kimden:.*\@.*\.tr/ REJECT Üzgünüz, burada Türkçe postaya izin verilmiyor
/ ^ Kimden:.*\@.*\.ro/ REJECT Üzgünüz, burada Romen postasına izin verilmiyor
/ ^(Alanı|Message-Id|X-(Mailer|Sender)):.*\b(AutoMail|E-Broadcaster|Emailer Platinum | Thunder Server | eMarksman | Extractor | e-Merge | stealth'ten [^.] | Global Messenger | GroupMaster | Mailcast | MailKing | Match10 | MassE-Mail | massmail \ .pl | News Breaker | Powermailer | Quick Shot | Ready Aim Fire | WindoZ | WorldMerge | Yourdora | Lite) \ b / REJECT Toplu postalara izin verilmez.
/ ^ Gönderen: "spam gönderen / REDDET
/ ^ Gönderen: "spam / REJECT
/ ^ Konu:.*viagra/ SÖKME
# Tehlikeli uzantılar
/ name = [^> Iluminación * \. (bat | cmd | exe | com | pif | reg | scr | vb | vbe | vbs) / REDDET Bu uzantılara sahip eklentileri kabul etmiyoruz

Sözdizimini kontrol ediyoruz, Apache ve Postifx'i yeniden başlatıyoruz ve Dovecot'u etkinleştirip başlatıyoruz

[root @ linuxbox ~] # sonek kontrolü
[root @ linuxbox ~] #

[root @ linuxbox ~] # systemctl yeniden httpd
[root @ linuxbox ~] # systemctl durumu httpd

[root @ linuxbox ~] # systemctl postfix'i yeniden başlat
[root @ linuxbox ~] # systemctl durum soneki

[root @ linuxbox ~] # systemctl durumu dovecot
● dovecot.service - Dovecot IMAP / POP3 e-posta sunucusu Yüklendi: yüklendi (/usr/lib/systemd/system/dovecot.service; devre dışı; satıcı ön ayarı: devre dışı) Etkin: etkin değil (ölü)

[root @ linuxbox ~] # systemctl dovecot'u etkinleştir
[root @ linuxbox ~] # systemctl start dovecot
[root @ linuxbox ~] # systemctl yeniden başlatma dovecot
[root @ linuxbox ~] # systemctl durumu dovecot

Konsol düzeyinde kontroller

• Diğer programların kurulumuna ve konfigürasyonuna geçmeden önce SMTP ve POP servislerinin gerekli minimum kontrollerini yapmak çok önemlidir..

Sunucunun kendisinden yerel

Yerel kullanıcıya bir e-posta gönderiyoruz legolas.

[root @ linuxbox ~] # echo "Merhaba. Bu bir test mesajıdır" | mail -s "Test" legolas

Posta kutusunu kontrol ediyoruz Legolas.

[root @ linuxbox ~] # openssl s_client -crlf -connect 127.0.0.1:110 -starttls pop3

Mesajdan sonra Dovecot Hazır! devam ediyoruz:

---
+ OK Dovecot Hazır!
KULLANICI legolas +OK PASS legolas +OK Giriş yaptı. STAT +OK 1 559 LIST +OK 1 mesaj: 1 559 . RETR 1 +OK 559 sekizli Dönüş Yolu:desdelinux.fan> X-Original-Alıcı: legolas Teslim Edilen Yer: legolas@desdelinux.fan Alındı: yazan desdelinux.fan (Postfix, kullanıcı kimliği 0'dan) kimlik 7EA22C11FC57; 22 Mayıs 2017 Pazartesi 10:47:10 -0400 (EDT) Tarih: 22 Mayıs 2017 Pazartesi 10:47:10 -0400 Kime: legolas@desdelinux.fan Konusu: Test Kullanıcı Aracısı: Heirloom mailx 12.5 7/5/10 MIME Sürümü: 1.0 İçerik Türü: metin/düz; charset=us-ascii İçerik Aktarımı Kodlaması: 7 bit Mesaj Kimliği: <20170522144710.7EA22C11FC57@desdelinux.fan> Gönderen: root@desdelinux.fan (kök) Merhaba. Bu bir deneme mesajıdır. ÇIKIŞ BİTİRİLDİ
[root @ linuxbox ~] #

LAN üzerindeki bir bilgisayardan uzaktan kumanda

Bir mesaj daha gönderelim legolas LAN üzerindeki başka bir bilgisayardan. TLS güvenliğinin KOBİ Ağı içinde kesinlikle gerekli OLMADIĞINI unutmayın.

buzz @ sysadmin: ~ $ sendemail -f buzz@deslinux.fan \
-t legolalar@desdelinux.fan\
-u "Merhaba" \
-m "Arkadaşınız Buzz'dan Selamlar Legolas" \
-s e-postası.desdelinux.fan -o tls=hayır
22 Mayıs 10:53:08 sysadmin posta gönderimi [5866]: E-posta başarıyla gönderildi!

Bağlanmaya çalışırsak telnet LAN üzerindeki bir ana bilgisayardan - veya tabii ki İnternet'ten Dovecot'a, düz metin kimlik doğrulamasını devre dışı bıraktığımız için aşağıdakiler gerçekleşecektir:

buzz@sysadmin:~$ telnet postası.desdelinux.fan 110 deneniyor...
Linuxbox'a bağlandım.desdelinux.fan. Kaçış karakteri '^]'dir. +Tamam Güvercin Hazır! kullanıcı legolas
-ERR [AUTH] Güvenli olmayan (SSL / TLS) bağlantılarda düz metin kimlik doğrulamasına izin verilmez.
quit + OK Çıkış yapılıyor Bağlantı yabancı ana bilgisayar tarafından kapatıldı.
buzz @ sysadmin: ~ $

Bunu baştan sona yapmalıyız openssl. Komutun tam çıktısı şöyle olacaktır:

buzz@sysadmin:~$ openssl s_client -crlf -postayı bağlayın.desdelinux.fan:110 -starttls pop3
BAĞLANTILI (00000003)
derinlik=0 C = CU, ST = Küba, L = Havana, O = DesdeLinux.Fan, OU = Meraklılar, CN = *.desdelinux.fan, emailAdresi = buzz@desdelinux.fan
doğrulama hatası: num = 18: kendinden imzalı sertifika doğrulama dönüş: 1
derinlik=0 C = CU, ST = Küba, L = Havana, O = DesdeLinux.Fan, OU = Meraklılar, CN = *.desdelinux.fan, emailAdresi = buzz@desdelinux.fan dönüşü doğrula:1
--- Sertifika zinciri 0 s:/C=CU/ST=Küba/L=Havana/O=DesdeLinux.Fan/OU=Meraklılar/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan i:/C=CU/ST=Küba/L=Havana/O=DesdeLinux.Fan/OU=Meraklılar/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan
---
Server certificate
-----BEGIN CERTIFICATE-----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=
-----END CERTIFICATE-----
subject=/C=CU/ST=Cuba/L=Habana/O=DesdeLinux.Fan/OU=Meraklılar/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan veren kuruluş=/C=CU/ST=Küba/L=Havana/O=DesdeLinux.Fan/OU=Meraklılar/CN=*.desdelinux.fan/emailAddress=buzz@desdelinux.fan --- İstemci sertifikası CA adları gönderilmedi Sunucu Geçici Anahtarı: ECDH, secp384r1, 384 bit --- SSL anlaşması 1342 bayt okudu ve 411 bayt yazdı --- Yeni, TLSv1/SSLv3, Şifre ECDHE-RSA-AES256 -GCM-SHA384 Sunucu genel anahtarı 1024 bit Güvenli Yeniden Anlaşma IS desteklenir Sıkıştırma: YOK Genişletme: YOK SSL Oturumu: Protokol: TLSv1.2 Şifre: ECDHE-RSA-AES256-GCM-SHA384 Oturum Kimliği: C745B4A0236204E16234CB15DC9CDBC3D084125FF5989F5 DB 6C5295BF4E2D73A Oturum Kimliği- ctx : Master-Key: 1904D204C564B76361CEA50373F8879AF793AF7D7506C04473777F6F3503A9FD919CD1F837BC67BFF29E309F352526F5 Anahtar-Arg: Yok Krb5 Asıl: Yok PSK kimliği: Yok PSK kimlik ipucu: Yok TLS oturum bileti ömür ipucu: 300 (saniye) TLS oturum bileti: 0000 - 4e 3a f8 29 7a 4f 63 72- ee f7 a6 4f fc ec 7e 1c N:.)zOcr...O..~. 0010 - 2c d4 be a8 be 92 2e ae-98 7e 87 6d 45 c5 17 a8 ,....~.mE... 0020 - db 3a 86 80 df 8b dc 8d-f8 1f 68 6e db a7 e3 86 .:.......hn.... 0030 - 08 35 e5 eb 98 b8 a4 98-68 b1 ea f7 72 f7 c1 79 .5......h...r ..y 0040 - 89 4a 28 e3 85 a4 8b da-e9 7a 29 c7 77 bf 22 0d .J(......z).w.". 0050 - bd 5c f6 61 8c a1 14 bd-cb 31 27 66 7a dc 51 28 .\.a.....1'fz.Q( 0060 - b7 / 35 bd 2b 0f d4 ec-d3 e0 14 c8 65 03 b1 35 ..5.+.... ...e ..5 0070 - 38 34 f8 ila 48 da ae 31-90 bd f6 b0 e6 9c cf 19 84..H..1........ 0080 - f5 42 56 13 88 b0 8c db-aa ee 5a d7 1b 2c dd 71 .BV.......Z..,.q 0090 - 7a f1 03 70 90 94 c9 0a-62 e5 0f 9c bf dc 3c a0 z..p.. ..b. ....<. Başlangıç ​​Zamanı: 1495484262 Zaman Aşımı: 300 (sn) Dönüş kodunu doğrulayın: 18 (kendinden imzalı sertifika) ---
+ OK Dovecot Hazır!
KULLANICI Legolas
+ Tamam
GEÇİŞ legolaları
+ OK Giriş yapıldı.
LİSTESİ
+ Tamam 1 mesaj: 1 1021.
RETR 1
+OK 1021 sekizli Dönüş Yolu: X-Orijinal-Kime: legolas@desdelinux.fan'ın Teslim Edildiği Yer: legolas@desdelinux.fan Alındı: sysadmin'den.desdelinux.fan (ağ geçidi [172.16.10.1]) tarafından desdelinuxESMTP kimliği 51886C11E8C0 olan .fan (Postfix)desdelinux.fan>; Pazartesi, 22 Mayıs 2017 15:09:11 -0400 (EDT) Mesaj Kimliği: <919362.931369932-sendEmail@sysadmin> Gönderen: "buzz@deslinux.fan" Kime: "legolas@desdelinux.fan"desdelinux.fan> Konu: Merhaba Tarih: 22 Mayıs 2017 Pazartesi 19:09:11 +0000 X-Mailer: sendEmail-1.56 MIME Sürümü: 1.0 İçerik Türü: çok parçalı/ilişkili; border="----sendEmail-365707.724894495 için MIME sınırlayıcısı" Bu, MIME biçiminde çok parçalı bir mesajdır. Bu mesajı düzgün bir şekilde görüntülemek için MIME Sürümü 1.0 uyumlu bir E-posta programına ihtiyacınız vardır. ------ sendEmail-365707.724894495 için MIME sınırlayıcı İçerik Türü: metin/düz; charset="iso-8859-1" İçerik Aktarımı-Kodlama: 7bit Arkadaşınız Buzz'dan selamlar Legolas ------ sendEmail-365707.724894495-- için MIME sınırlayıcı.
ÇIK
+ OK Çıkış yapılıyor. kapalı
buzz @ sysadmin: ~ $

Sincap postası

Sincap postası tamamen PHP ile yazılmış bir web istemcisidir. IMAP ve SMTP protokolleri için yerel PHP desteği içerir ve kullanımdaki farklı tarayıcılarla maksimum uyumluluk sağlar. Herhangi bir IMAP sunucusunda düzgün çalışır. MIME desteği, adres defteri ve klasör yönetimi dahil olmak üzere bir e-posta istemcisinden ihtiyaç duyduğunuz tüm işlevlere sahiptir.

[root @ linuxbox ~] # yum install squirrelmail
[root @ linuxbox ~] # hizmet httpd yeniden başlatma

[root @ linuxbox ~] # nano /etc/squirrelmail/config.php
$etki alanı = 'desdelinux.fan';
$imapServerAddress = 'posta.desdelinux.fan';
$ imapPort = 143;
$smtpServerAdresi = 'desdelinux.fan';

[root @ linuxbox ~] # hizmet httpd yeniden yükleme

DNS Gönderme Politikası Çerçevesi veya SPF kaydı

Makalede Yetkili DNS Sunucusu NSD + Shorewall Bölgeyi gördük «desdelinux.fan» şu şekilde yapılandırılmıştır:

root@ns:~# nano /etc/nsd/desdelinux.hayran Bölgesi
$ORIGIN desdelinux.fan. $TTL 3H @ SOA No.desdelinux.fan. kök.desdelinux.fan. ( 1 ; seri 1D ; 1 saat yenile ; 1 saat yeniden dene ; 3 saat sonra sona er ) ; minimum veya; Yaşamak için olumsuz önbellekleme süresi; @ IN NS ns.desdelinux.fan. @ IN MX 10 e-postası.desdelinux.fan.
@ IN TXT "v=spf1 a:mail.desdelinux.hayran -hepsi"
; ; Kazma sorgularını çözmek için kayıt desdelinux.fan @ IN A 172.16.10.10; ns IN A 172.16.10.30 postası IN CNAME   desdelinux.fan. CNAME'DE sohbet et   desdelinux.fan. www CNAME'DE   desdelinux.fan. ; ; XMPP ile ilgili SRV kayıtları
_xmpp-server._tcp SRV'DE 0 0 5269 desdelinux.fan. _xmpp-client._tcp SRV'DE 0 0 5222 desdelinux.fan. _jabber._tcp SRV'DE 0 0 5269 desdelinux.fan.

İçinde sicil beyan edilir:

@ IN TXT "v=spf1 a:mail.desdelinux.hayran -hepsi"

SME Ağı veya LAN için aynı parametreyi yapılandırmak için, Dnsmasq yapılandırma dosyasını aşağıdaki gibi değiştirmeliyiz:

# TXT kayıtları. Ayrıca bir SPF kaydı da bildirebiliriz txt-record=desdelinux.fan,"v=spf1 a:mail.desdelinux.hayran -hepsi"

Ardından servisi yeniden başlatıyoruz:

[root @ linuxbox ~] # hizmet dnsmasq yeniden başlatma
[root@linuxbox ~]# hizmet dnsmasq durumu [root@linuxbox ~]# ana bilgisayar -t TXT postası.desdelinux.hayran mektubu.desdelinux.fan bir takma addır desdelinux.fan.
desdelinux.fan açıklayıcı metin "v=spf1 a:mail.desdelinux.hayran -hepsi"

Kendinden İmzalı Sertifikalar ve Apache veya httpd

Tarayıcınız size şunu söylese bile «Sahibi posta.desdelinux.fan Web sitenizi yanlış yapılandırdınız. Bilgilerinizin çalınmasını önlemek için, Firefox bu web sitesine daha önce oluşturulmuş sertifika ”ile bağlanmadı GEÇERLİDİRve biz sertifikayı kabul ettikten sonra istemci ile sunucu arasındaki kimlik bilgilerinin şifreli olarak dolaşmasına izin verir.

Dilerseniz ve sertifikaları birleştirmenin bir yolu olarak, Postfix için beyan ettiğiniz sertifikaların aynısını Apache için de bildirebilirsiniz, bu doğru.

[root @ linuxbox ~] # nano /etc/httpd/conf.d/ssl.conf
SSLCertificateFile /etc/pki/tls/certs/desdelinux.fan.crt
SSLCertificateKeyFile /etc/pki/tls/private/desdelinux.fan.anahtarı

[root @ linuxbox ~] # service httpd restart
[root @ linuxbox ~] # hizmet httpd durumu

Diffie-Hellman Grubu

İnternette Güvenlik konusu her geçen gün daha da zorlaşmaktadır. Bağlantılara yönelik en yaygın saldırılardan biri SSL, logjam ve buna karşı savunmak için, SSL konfigürasyonuna standart olmayan parametreler eklemek gerekir. Bunun için var RFC 3526 «Daha Modüler Üstel (MODP) diffie-cehennem gruplar İnternet Anahtar Değişimi (IKE) için".

[root @ linuxbox ~] # cd / etc / pki / tls /
[root @ linuxbox tls] # openssl dhparam -out private / dhparams.pem 2048
[root @ linuxbox tls] # chmod 600 özel / dhparams.pem

Kurmuş olduğumuz Apache sürümüne göre, Diffie-Helman Group'u dosyadan kullanacağız. /etc/pki/tls/dhparams.pem. 2.4.8 veya sonraki bir sürümse, dosyaya eklememiz gerekecek /etc/httpd/conf.d/ssl.conf aşağıdaki satır:

SSLOpenSSLConfCmd DHParameters "/etc/pki/tls/private/dhparams.pem"

Kullandığımız Apache sürümü:

[root @ linuxbox tls] # yum bilgisi httpd
Yüklenen eklentiler: fastestmirror, langpacks Önbelleğe alınmış ana bilgisayar dosyasından yansıtma hızları yükleniyor Yüklenen paketler Adı: httpd Mimari: x86_64
Sürüm: 2.4.6
Sürüm: 45.el7.centos Boyut: 9.4 M Depo: yüklendi Depodan: Temel Depo Özeti: Apache HTTP Sunucusu URL'si: http://httpd.apache.org/ Lisans: ASL 2.0 Açıklama: Apache HTTP Sunucusu güçlü bir , verimli ve genişletilebilir: web sunucusu.

2.4.8'den önceki bir sürüme sahip olduğumuz için, önceden oluşturulmuş CRT sertifikasının sonuna Diffie-Helman Group içeriğini ekliyoruz:

[root @ linuxbox tls] # kedi özel / dhparams.pem >> sertifikalar/desdelinux.fan.crt

DH parametrelerinin CRT sertifikasına doğru bir şekilde eklendiğini kontrol etmek istiyorsanız, aşağıdaki komutları yürütün:

[root @ linuxbox tls] # kedi özel / dhparams.pem 
----- DH PARAMETRELERİNİ BAŞLAT -----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH PARAMETRELERİNİN SONU -----

[root@linuxbox tls]# kedi sertifikası/desdelinux.fan.crt 
-----BEGIN CERTIFICATE-----
MIIGBzCCA++gAwIBAgIJANd9FLCkDBfzMA0GCSqGSIb3DQEBCwUAMIGZMQswCQYD
VQQGEwJDVTENMAsGA1UECAwEQ3ViYTEPMA0GA1UEBwwGSGFiYW5hMRcwFQYDVQQK
DA5EZXNkZUxpbnV4LkZhbjEUMBIGA1UECwwLRW50dXNpYXN0YXMxFzAVBgNVBAMM
DmRlc2RlbGludXguZmFuMSIwIAYJKoZIhvcNAQkBFhNidXp6QGRlc2RlbGludXgu
ZmFuMB4XDTE3MDUyMjE0MDQ1MloXDTIyMDUyMTE0MDQ1MlowgZkxCzAJBgNVBAYT
AkNVMQ0wCwYDVQQIDARDdWJhMQ8wDQYDVQQHDAZIYWJhbmExFzAVBgNVBAoMDkRl
c2RlTGludXguRmFuMRQwEgYDVQQLDAtFbnR1c2lhc3RhczEXMBUGA1UEAwwOZGVz
ZGVsaW51eC5mYW4xIjAgBgkqhkiG9w0BCQEWE2J1enpAZGVzZGVsaW51eC5mYW4w
ggIiMA0GCSqGSIb3DQEBAQUAA4ICDwAwggIKAoICAQCn5MkKRdeFYiN+xgGdsRn8
sYik9X75YnJcbeZrD90igfPadZ75ehtfYIxxOS+2U+omnFgr/tCKYUVJ50seq/lB
idcLP4mt7wMrMZUDpy1rlWPOZGKkG8AdStCYI8iolvJ4rQtLcsU6jhRzEXsZxfOb
O3sqc71yMIj5qko55mlsEVB3lJq3FTDQAY2PhXopJ8BThW1T9iyl1HlYpxj7OItr
/BqiFhxbP17Fpd3QLyNiEl+exVJURYZkvuZQqVPkFAlyNDh5I2fYfrI9yBVPBrZF
uOdRmT6jv6jFxsBy9gggcy+/u1nhlKssLBEhyaKfaQoItFGCAmevkyzdl1LTYDPY
ULi79NljQ1dSwWgraZ3i3ACZIVO/kHcOPljsNxE8omI6qNFWqFd1qdPH5S4c4IR1
5URRuwyVNffEHKaCJi9vF9Wn8LVKnN/+5zZGRJA8hI18HH9kF0A1sCNj1KKiB/xe
/02wTzR/Gbj8pkyO8fjVBvd/XWI8EMQyMc1gvtIAvZ00SAB8c1NEOCs5pt0Us6pm
1lOkgD6nl90Dx9p805mTKD+ZcvRaShOvTyO3HcrxCxOodFfZQCuHYuQb0dcwoK2B
yOwL77NmxNH1QVJL832lRARn8gpKoRAUrzdTSTRKmkVrOGcfvrCKhEBsJ67Gq1+T
YDLhUiGVbPXXR9rhAyyX2QIDAQABo1AwTjAdBgNVHQ4EFgQURGCMiLVLPkjIyGZK
UrZgMkO0X8QwHwYDVR0jBBgwFoAURGCMiLVLPkjIyGZKUrZgMkO0X8QwDAYDVR0T
BAUwAwEB/zANBgkqhkiG9w0BAQsFAAOCAgEAdy1tH1DwfCW47BNJE1DW8Xlyp+sZ
uYTMOKfNdnAdeSag1WshR6US6aCtU6FkzU/rtV/cXDKetAUIzR50aCYGTlfMCnDf
KKMZEPjIlX/arRwBkvIiRTU1o3HTniGp9d3jsRWD/AvB3rSus4wfuXeCoy7Tqc9U
FaXqnvxhF8/ptFeeCeZgWu16zyiGBqMj4ZaQ7RxEwcoHSd+OByg8E9IE2cYrWP2V
6P7hdCXmw8voMxCtS2s++VRd1fGqgGxXjXT8psxmY2MrseuTM2GyWzs+18A3VVFz
UXLD2lzeYs638DCMXj5/BMZtVL2a4OhMSYY4frEbggB3ZgXhDDktUb7YhnBTViM3
2sgJJOSTltOgAnyOPE0CDcyktXVCtu3PNUc+/AB3UemI9XCw4ypmTOMaIZ2Gl6Uo
pmTk41fpFuf8pqW3ntyu43lC5pKRBqhit6MoFGNOCvFYFBWcltpqnjsWfY2gG/b5
8D5HsedueqkAsVblKPBFpv1BB9X0HhBUYsrz8jNGZGbkgR4XQoIoLbQZHEB35APU
4yT1Lzc3jk34yZF5ntmFt3wETSWwJZ+0cYPw7n4E6vbs1C7iKAMQRVy+lI5f8XYS
YKfrieiPPdmQ22Zm2Tbkqi4zjJBWmstrw6ezzAQNaaAkiOiJIwvXU81KYsN37THh
Nf0/JsEjPklCugE=
-----END CERTIFICATE-----
-----BEGIN DH PARAMETERS-----
MIIBCAKCAQEAnwfWSlirEuMwJft0hgAdB0km9d3qGGiErRXPfeZU+Tqp/ZFOCdzP
/O6NeXuHI4vnsTDWEAjXmpRzq/z1ZEWQa6j+l1PgTgk2XqaMViD/gN+sFPnx2EmV
keVcMDqG03gnmCgO9R4aLYT8uts5T6kBRhvxUcrk9Q7hIpGCzGtdgwaVf1cbvgOe
8kfpc5COh9IxAYahmNt+5pBta0SDlmoDz4Rk/4AFXk2mjpDYoizaYMPeIInGUzOv
/LE6Y7VVRY/BJG9EZ5pVYJPCruPCUHkhvm+r9Tt56slk+HE2d52uFRSDd2FxK3n3
cN1vJ5ogsvmHayWUjVUA18LLfGSxEFsc4wIBAg==
----- DH PARAMETRELERİNİN SONU -----

Bu değişikliklerden sonra Postfix ve httpd hizmetlerini yeniden başlatmalıyız:

[root @ linuxbox tls] # hizmet soneki yeniden başlatma
[root @ linuxbox tls] # hizmet sonek durumu
[root @ linuxbox tls] # hizmet httpd yeniden başlatma
[root @ linuxbox tls] # hizmet httpd durumu

Diffie-Helman Grubunun TLS sertifikalarımıza dahil edilmesi, HTTPS üzerinden bağlanmayı biraz daha yavaş hale getirebilir, ancak güvenlik eklenmesi buna değer.

Squirrelmail kontrol ediliyor

SONRA sertifikaların doğru bir şekilde oluşturulduğunu ve konsol komutları aracılığıyla yaptığımız gibi doğru çalıştığını doğruladığımızı, tercih ettiğiniz tarayıcıyı URL'ye yönlendirin http://mail.desdelinux.fan/webmail ve ilgili sertifikayı kabul ettikten sonra web istemcisine bağlanacaktır. HTTP protokolünü belirtmiş olsanız bile, HTTPS'ye yönlendirileceğinizi ve bunun nedeni CentOS'un Squirrelmail için sunduğu varsayılan ayarlardan kaynaklandığını unutmayın. Dosyayı görün /etc/httpd/conf.d/squirrelmail.conf.

Kullanıcı posta kutuları hakkında

Dovecot, klasörde IMAP posta kutularını oluşturur Anasayfa her kullanıcının:

[root @ linuxbox ~] # ls -la /home/legolas/mail/.imap/
toplam 12 drwxrwx ---. 5 legolas mail 4096 22 Mayıs 12:39. drwx ------. 3 legolas legolas 75 Mayıs 22 11:34 .. -rw -------. 1 legolas legolas 72 Mayıs 22 11:34 dovecot.mailbox.log -rw -------. 1 legolas legolas 8 Mayıs 22 12:39 dovecot-uidvalidity -r - r - r--. 1 legolas legolas 0 Mayıs 22 10:12 dovecot-uidvalidity.5922f1d1 drwxrwx ---. 2 legolas mail 56 Mayıs 22 10:23 INBOX drwx ------. 2 legolas legolas 56 Mayıs 22 12:39 Gönderilen drwx ------. 2 legolas legolas 30 Mayıs 22 11:34 Çöp kutusu

Ayrıca / var / mail / dizininde saklanırlar.

[root @ linuxbox ~] # daha az / var / mail / legolas
MAILER_DAEMON'dan 22 Mayıs Pazartesi 10:28:00 2017 Tarih: 22 Mayıs 2017 Pazartesi 10:28:00 -0400 Gönderen: Mail Sistemi Dahili Verileri Konu: BU MESAJI SİLMEYİN -- KLASÖR DAHİLİ VERİLERİ Mesaj Kimliği: <1495463280@linuxbox> . Mail sistemi yazılımı tarafından otomatik olarak oluşturulur. Silinmesi halinde, önemli klasör verileri kaybolacak ve veriler başlangıç ​​değerlerine sıfırlanarak yeniden oluşturulacaktır. Kökten@desdelinux.fan Pzt Mayıs 22 10:47:10 2017 Dönüş Yolu:desdelinux.fan> X-Original-Alıcı: legolas Teslim Edilen Yer: legolas@desdelinux.fan Alındı: yazan desdelinux.fan (Postfix, kullanıcı kimliği 0'dan) kimlik 7EA22C11FC57; 22 Mayıs 2017 Pazartesi 10:47:10 -0400 (EDT) Tarih: 22 Mayıs 2017 Pazartesi 10:47:10 -0400 Kime: legolas@desdelinux.fan Konusu: Test Kullanıcı Aracısı: Heirloom mailx 12.5 7/5/10 MIME Sürümü: 1.0 İçerik Türü: metin/düz; charset=us-ascii İçerik Aktarımı Kodlaması: 7 bit Mesaj Kimliği: <20170522144710.7EA22C11FC57@desdelinux.fan> Gönderen: root@desdelinux.fan (kök) X-UID: 7 Durum: RO Merhaba. Bu, buzz@deslinux.fan Pazartesi 22 Mayıs 10:53:08 2017'den gelen bir test mesajıdır. Dönüş Yolu: X-Orijinal-Kime: legolas@desdelinux.fan'ın Teslim Edildiği Yer: legolas@desdelinux.fan Alındı: sysadmin'den.desdelinux.fan (ağ geçidi [172.16.10.1]) tarafından desdelinuxESMTP kimliği C184DC11FC57 olan .fan (Postfix)desdelinux.fan>; Pazartesi, 22 Mayıs 2017 10:53:08 -0400 (EDT) Mesaj Kimliği: <739874.219379516-sendEmail@sysadmin> Gönderen: "buzz@deslinux.fan" Kime: "legolas@desdelinux.fan"desdelinux.fan> Konu: Merhaba Tarih: 22 Mayıs 2017 Pazartesi 14:53:08 +0000 X-Mailer: sendEmail-1.56 MIME Sürümü: 1.0 İçerik Türü: çok parçalı/ilişkili; border="----sendEmail-794889.899510057 için MIME sınırlayıcısı
/ var / mail / legolas

PAM mini dizisi özeti

Bir Posta Sunucusunun özüne baktık ve güvenliğe biraz önem verdik. Makalenin, bir Posta Sunucusunun manuel olarak uygulanması gibi, karmaşık ve hata yapmaya açık bir konuya Giriş Noktası olarak hizmet vereceğini umuyoruz.

Yerel kullanıcı kimlik doğrulamasını kullanıyoruz çünkü dosyayı doğru okursak /etc/dovecot/conf.d/10-auth.conf, sonunda dahil olduğunu göreceğiz -varsayılan olarak- sistem kullanıcılarının kimlik doğrulama dosyası ! auth-system.conf.ext ekleyin. Tam olarak bu dosya, başlığında bize şunu söyler:

[root @ linuxbox ~] # less /etc/dovecot/conf.d/auth-system.conf.ext
# Sistem kullanıcıları için kimlik doğrulama. 10-auth.conf'dan dahildir. # # # # PAM kimlik doğrulaması. Günümüzde çoğu sistem tarafından tercih edilmektedir.
# PAM genellikle userdb passwd veya userdb static ile kullanılır. # UNUTMAYIN: Gerçekte çalışmak için PAM # kimlik doğrulaması için oluşturulmuş /etc/pam.d/dovecot dosyasına ihtiyacınız olacak. passdb {sürücü = pam # [session = yes] [setcred = yes] [fail_show_msg = yes] [max_requests = ] # [cache_key = ] [ ] #args = dovecot}

Ve diğer dosya var /etc/pam.d/dovecot:

[root @ linuxbox ~] # cat /etc/pam.d/dovecot 
#% PAM-1.0 yetkilendirme gerekli pam_nologin.so yetkilendirme şifre-kimlik doğrulama hesabını dahil etme şifre-yetkilendirme oturumu dahil şifre-yetkilendirme

PAM kimlik doğrulaması hakkında ne anlatmaya çalışıyoruz?

• CentOS, Debian, Ubuntu ve diğer birçok Linux dağıtımı, Postifx ve Dovecot'u varsayılan olarak yerel kimlik doğrulama etkinleştirilmiş olarak kurar.
• İnternetteki birçok makale, bir Posta Sunucusu ile ilgili kullanıcıları ve diğer verileri depolamak için MySQL - ve daha yakın zamanda MariaDB - kullanır. ANCAK bunlar BİNLERCE KULLANICI için sunuculardır ve belki yüzlerce kullanıcısı olan klasik bir KOBİ Ağı için değil.
• PAM aracılığıyla kimlik doğrulama, bu mini dizide gördüğümüz gibi tek bir sunucuda çalıştıkları sürece ağ hizmetleri sağlamak için gerekli ve yeterlidir.
• Bir LDAP veritabanında depolanan kullanıcılar, yerel kullanıcılar gibi eşleştirilebilir ve PAM kimlik doğrulaması, LDAP istemcileri olarak işlev gören farklı Linux sunucularından merkezi kimlik doğrulama sunucusuna ağ hizmetleri sağlamak için kullanılabilir. Bu şekilde, merkezi LDAP sunucu veritabanında depolanan kullanıcıların kimlik bilgileriyle çalışacaktık ve yerel kullanıcılarla bir veritabanı sürdürmek gerekli YOKTUR.

  

  

  

Bir sonraki maceraya kadar!