Howto feuille de fraude: Debian Lenny courrier du serveur: Postfix-Courier-SSL SSL SASL CRAM-MD5 TLS virtuels alias Procmail Spamassassin ClamAV

J'ai toujours eu envie de faire à nouveau avec les serveurs de messagerie. Malheureusement, j'ai souvent été confus, parce que - beaucoup d'éléments différents ont besoin de communiquer les uns avec les autres - en fonction de votre configuration. Pour cette raison, voici mon aide-mémoire pour un serveur de messagerie sur un hôte Internet avec FQDN. Il a été testé sur une Debian Lenny.

Toutes les connexions externes sont cryptés ou masquée avec MD5 hashes Cram Mot de Passe. Le courrier entrant est vérifié pour le spam et les virus, et les utilisateurs peuvent lire leurs mails via IMAP.

und gesichtere Verbindungen grün . Dans l'image ci-dessus démons sont jaune, gris connexions bases de données et les visages verts.

Qu'est-ce que les composants individuels?

• Vous voulez envoyer Postfix reçoit le courrier, les clients. Ce qu'il envoie au serveur correct sur Internet. En outre, entfängt messagerie Postfix de l'Internet pour les utilisateurs de boîtes aux lettres sur le serveur.
• virtuels alias (une partie de Postfix) est une base de données avec les mails reçus chaque mail Postfix utilisateurs peuvent associer.
• Saslauthd authentifie l'utilisateur à envoyer du courrier via Postfix via SMTP. Il vérifie l'identifiant et le mot de passe avec hachage MD5 Cram.
• Sasldb est la base de données peut demander les identifiants et mots de passe saslauthd.
• Courier-IMAP est un client de messagerie pour courriels Maildir d'un utilisateur de leur disposition
• Courier-authdaemon utilisateur authentifié lire le courrier de l'Courier-IMAP. Il vérifie l'identifiant et le mot de passe avec hachage MD5 Cram.
• Userdb (partie de Courrier) est la base de données peut demander les noms d'utilisateur Courier-authdaemon et mots de passe.
• Procmail est un filtre qui traversent chaque courrier entrant doit. Procmail va par la poste au filtre le spam et antivirus puis les délivre de l'utilisateur.
• Clamassassin est un petit outil qui fournit une interface entre procmail et ClamAV. Elle passe par l'e-mail uniquement à ClamAV.
• SpamAssassin (spamd) Spam Checker. Est-ce un score de chaque e-mail qui raconte comment il est probable que l'e-mail est cochée SPAM.
• Maildir boîte Voici les courriels des utilisateurs du système. Il s'agit d'un répertoire normal sur le système de fichiers. Les clients IMAP pouvez le récupérer à partir de là.

Préparation

Installez tous les paquets nécessaires

  apt-get update & & apt-get upgrade
 apt-get install postfix postfix postfix-doc libsasl2-2 sasl2-bin libsasl2-modules clamassassin courier-imap-ssl procmail spamassassin clamav 

Courrier Konfigfragen

• Les annuaires du Web pour l'administration? Aucun

Konfigfragen Postfix

• Serveur Internet
• E-mail Nom: La résolvable par DNS FQDN du serveur (par exemple meinedomain.de)

Configuration de Postfix continue

  dpkg-reconfigure postfix 

En outre Konfigfragen Postfix

• Serveur Internet
• À qui doit messages transmis par la racine: Rien insertion vient plus tard.
• Ordinateurs pour le but de ce système informatique est considéré comme: tous les domaines avec Postfix peut recevoir du courrier et avoir une entrée DNS pour l'adresse IP du serveur. (Ex. meinedomain.de, meinanderedomain.de, meinedrittedomain.de)

Postfix

Fichier de configuration pour Postfix

  # / Etc / postfix / main.cf

 smtpd_banner = $ myhostname ESMTP $ myhostname (Debian / GNU)
 biff = pas
 append_dot_mydomain = pas
 readme_directory = / usr / share / doc / postfix                                 

 # Activer TLS
 smtpd_use_tls = yes                                                         

 smtpd_tls_session_cache_database = btree: $ {} data_directory / smtpd_scache
 smtp_tls_session_cache_database = btree: $ {} data_directory / smtp_scache
 myhostname = meinedomain.de
 alias_maps = hash: / etc / aliases
 alias_database = hash: / etc / aliases
 myorigin = / etc / mailname
 mydestination = meinedomain.de, mon domaine, mon troisième domaine, localhost, 127.0.0.1
 relayhost =
 mynetworks = 127.0.0.0 / 8 [:: ffff: 127.0.0.0] / 104 [:: 1] / 128
 mailbox_command = 0
 recipient_delimiter = +
 inet_interfaces = all
 html_directory = / usr / share / doc / postfix / html
 inet_protocols = ipv4

 # Auth via SASL
 smtpd_sasl_auth_enable = oui
 broken_sasl_auth_clients = oui
 # Seuls permettent aux utilisateurs d'envoyer du courrier, qui sont en SASL DB, ne permettent que des mots de passe MD5
 smtp_sasl_security_options = noanonymous, noplaintext

 # Hôte local uniquement (mynetworks) et les utilisateurs enregistrés peuvent envoyer des mails via SASL
 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
 smtpd_sasl_local_domain =

 # Seuls authentifier cryptée avec TLS
 smtp_tls_auth_only = oui

 # Activer TLS
 smtp_use_tls = oui
 smtpd_use_tls = yes
 smtp_tls_note_starttls_offer = oui

 # Auto-Généré clé et le certificat
 smtpd_tls_key_file = / etc / postfix / cert / smtpd.key
 smtpd_tls_cert_file = / etc / postfix / cert / smtpd.crt
 smtpd_tls_CAfile = / etc / postfix / cert / cacert.pem

 Plus tard, # 0, bon pour le débogage
 smtpd_tls_loglevel = 1
 smtpd_tls_received_header = oui
 smtpd_tls_session_cache_timeout = 3600s
 tls_random_source = dev: / dev / urandom

 # Livrer le courrier dans maildirs
 home_mailbox = Maildir /

 # Nom de l'alias carte virtuelle avec l'attribution des adresse e-mail à une boîte aux lettres locale
 virtual_alias_maps = hash: / etc / postfix / virtual

 # E-mail n'est pas directement placés dans les boîtes aux lettres, mais passé à procmail
 mailbox_command = procmail-a "$ EXTENSION" 

SASL

SASL fournit un démon pour le mécanisme d'authentification différents. Cette configuration peut être stockée dans une base de données, les utilisateurs SASL qui peuvent envoyer du courrier à travers nos Postfix. (Ainsi, le nom d'utilisateur et mot de passe qui doit être inscrit dans l'accès du client e-mail au serveur SMTP)

Création du fichier de config pour SASL

  # / Etc / postfix / smtpd.conf
 pwcheck_method: authdaemond
 mech_list: CRAM-MD5 

Postfix peut malheureusement pas encore utiliser le saslauthd pour vérifier les données utilisateur, car Postfix s'exécute dans un environnement chroot et n'a toujours pas accès à l'saslauthd.

  # / Etc / default / saslauthd
 START = yes
 Desc = "Démon d'authentification SASL"
 NOM = "saslauthd"
 MÉCANISMES = "pam"
 MECH_OPTIONS = ""
 Threads = 5

 # Avec m, nous plaçons la prise saslauthd d'un répertoire, qui peut atteindre à partir du chroot de Postfix.
 OPTIONS = "-c-m / var / spool / postfix / var / run / saslauthd" 

Après cela doit encore être changé en «start-instance" bloc de / etc / init.d / saslauthd l'endroit pour le PID, encore une fois pour que Postfix peut lire le fichier PID.

  # / Etc / init.d / saslauthd
 .
 .
 Pidfile = "/ var / spool / postfix / var / run / $ {NAME} / saslauthd.pid"
 .
 . 

TLS

Il peut maintenant envoyer n'importe quel canal non authentifié de plus que le courrier SMTP Postfix, mais les mails sont encore en texte brut via LAN et Internet. Le cryptage TLS est activé dans le main.cf de Postfix ci-config. Toutefois, la clé toujours portés disparus et un certificat.

  mkdir / etc / postfix / cert
 cd / etc / postfix / cert

 openssl genrsa-des3-rand / etc / hosts-out. / smtpd.key 1024
 chmod 600. / smtpd.key
 openssl req-new-key. / smtpd.key-out. / smtpd.csr
 openssl x509-req-days 99999-dans. /-smtpd.csr signkey. / smtpd.key-out. / smtpd.crt
 openssl rsa-in. / smtpd.key-out. / smtpd.key.tmp
 mv-f. / smtpd.key.tmp. / smtpd.key
 chmod 600. / smtpd.key
 openssl req-new-x509-extensions v3_ca-keyout. / cakey.pem-out. / cacert.pem-jour 99 999 

Créer SASL DB

Les mails sont désormais cryptées pendant la transmission des noms d'utilisateur et mots de passe pour l'envoi de mail via le serveur SMTP, mais encore passer par l'Internet en texte brut. Cela peut être caché, au moins avec la méthode CRAM-MD5. Cela était déjà dans le fichier / etc / postfix / smtpd.conf activé. Il ne manque que la base de données SASL elle-même crée celui-ci par donne simplement un utilisateur de messagerie plus tard, un nom d'utilisateur et un mot de passe.

  # Pour un nom d'utilisateur mail de l'utilisateur local utilisé pour créer la DB SASL avec un premier utilisateur
 saslpasswd2 username 

Postfix est prêt. Il peut recevoir et envoyer des mails. Les connexions à autres clients de messagerie et les serveurs sont cryptées.

Courrier

Courriers des fichiers de config

  # / Etc / courier / authdaemonrc

 # UserDB pour utiliser l'authentification
 authmodulelist = "authuserdb"

 authmodulelistorig = "authuserdb AuthPAM authpgsql authldap authmysql authcustom authpipe"
 daemons = 5
 authdaemonvar = / var / run / courier / authdaemon

 # Bon pour le débogage
 DEBUG_LOGIN = 2
 Options par défaut = ""
 LOGGEROPTS = "" 

  # / Etc / courier / authmodulelist

 Courierauthdaemon # utilise MD5 CRAM
 authcram 

 # / Etc / courier / imapd ADRESSE = 0 PORT = 143 MAXDAEMONS maxperip = 40 = 20 = PIDFILE / var / run / courier / imapd.pid TCPDOPTS = "nodnslookup-noidentlookup" LOGGEROPTS = "-name = imapd" # Ici AUTH = CRAM-MD5 IMAP_Capability ajouté = "IMAP4rev1 FIL UIDPLUS NAMESPACE enfants = ORDEREDSUBJECT thread = SORT RÉFÉRENCES QUOTA AUTH = CRAM-MD5 IDLE" IMAP_KEYWORDS = 1 = 1 IMAP_ACL IMAP_CAPABILITY_ORIG = "IMAP4rev1 FIL UIDPLUS NAMESPACE enfants = ORDEREDSUBJECT thread = REFERENCES SORT QUOTA AUTH = CRAM-MD5 AUTH = CRAM-SHA1 AUTH = CRAM-SHA256 IDLE "IMAP_PROXY IMAP_PROXY_FOREIGN = 0 = 0 = 60 = 1 IMAP_MAILBOX_SANITY_CHECK IMAP_IDLE_TIMEOUT IMAP_CAPABILITY_TLS =" $ AUTH PLAIN = IMAP_Capability "IMAP_CAPABILITY_TLS_ORIG =" $ AUTH = PLAIN IMAP_CAPABILITY_ORIG "IMAP_DISABLETHREADSORT = 0 IMAP_CHECK_ALL_FOLDERS = 0 = 0 IMAP_OBSOLETE_CLIENT IMAP_UMASK = 022 = 65536 IMAP_ULIMITD IMAP_USELOCKS = 1 = IMAP_SHAREDINDEXFILE / etc / courier / shared / index IMAP_ENHANCEDIDLE = 0 = Trash IMAP_TRASHFOLDERNAME IMAP_EMPTYTRASH = Trash: 7 = 0 IMAP_MOVE_EXPUNGE_TO_TRASH SENDMAIL = / usr / sbin / sendmail-TÊTE DE = X IMAP-Sender IMAPDSTART = OUI = Maildir MAILDIRPATH 

  SSLPort = 993
 SSLADDRESS = externe.ip.des.servers
 SSLPIDFILE = / var / run / courier / imapd-ssl.pid
 SSLLOGGEROPTS = "-name = imapd-ssl"
 IMAPDSSLSTART = OUI
 IMAPDSTARTTLS = OUI
 IMAP_TLS_REQUIRED = 1
 Couriertls = / usr / bin / couriertls
 TLS_KX_LIST = ALL
 TLS_COMPRESSION = ALL
 TLS_CERTS = X509
 TLS_CERTFILE = / etc / courier / imapd.pem
 TLS_TRUSTCERTS = / etc / ssl / certs
 TLS_VERIFYPEER = NONE
 TLS_CACHEFILE = / var / lib / courier / couriersslcache
 TLS_CACHESIZE = 524288
 MAILDIRPATH = Maildir

 # Une fois de plus vient d'CRAM-MD5 AUTH =

 IMAP_Capability = "IMAP4rev1 FIL NAMESPACE enfants = FIL UIDPLUS = REFERENCES SORT QUOTA AUTH = ORDEREDSUBJECT CRAM-MD5 IDLE" 

Spam Assassin

Spam Assassin est activé

  # / Etc / default / spamassassin
 ENABLED = 1
 OPTIONS = "- create-prefs - max-enfants de 5 - helper-home-dir"
 Pidfile = "/ var / run / spamd.pid"
 CRON = 0 

Procmail

Après Postfix a reçu du courrier de l'Internet pour un utilisateur local, il lui transmet à procmail. Procmail passe ensuite le mail à Spamassassin les vérifier pour le spam et clamassassin qui les transmet à l'antivirus ClamAV.

  # Un échantillon de procmailrc. Pour les répertoires personnels des utilisateurs de messagerie

 Bin / usr / local /: PATH = $ HOME / bin: / usr / bin: / bin:.
 MAILDIR = $ HOME / Maildir /
 DEFAULT = $ HOME / Maildir / new
 LOGFILE = $ HOME / procmail.log

 Spam Assassin #
 : 0fw: / var / run / spam.lock
 * <256 000
 | Spamc-f-u $ LOGNAME

 # Tous score de SPAM 10-99 avec le même chemin
 : 0:
 * ^ X-Spam-Status: Yes, score = [1-9] [0-9] \.
 / Dev / null

 # Tous les SPAM avec un score> 3 soit allé
 #: 0:
 # * ^ X-Spam-Status: Yes, score = \ [4-9].
 # / Dev / null

 : 0fw
 | / Usr / bin / clamassassin

 # Réécrire la ligne Objet, si le niveau de spam est assez élevé.
 : 0fw
 * ^ X-Spam-Status: Yes
 | Sed '1 ,/^$/ s @ ^ Sujet: @ Sujet: / virus / @ "!

 : 0:
 * ^ X-Spam-Status: Yes
 / Dev / null

 # Déplacer SA Mails-spam sur le SPAM
 : 0:
 * ^ X-Spam-Status: Yes
 $ MAILDIR /. Spam / nouvelles

 # Tous les mails en ont fait jusqu'ici sans blessures finissent automatiquement dans la boîte de réception de l'utilisateur.  «Vous avez du courrier!" 

Ouf! Le système de messagerie est terminé! Il ne manque que maildirs utilisateurs et la configuration des alias virtuels pour déterminer quelles adresses e-mail chargée dans quelles boîtes aux lettres locale. Le script suivant crée les utilisateurs du système UNIX, et le même utilisateur à nouveau pour la Postfix et Courier sasldb dans le Courrier-userdb.

Script pour créer un nouvel utilisateur

 ! # Ajout d'un nouvel utilisateur # pour le système de messagerie / bin / bash claires echo "nouvel utilisateur pour le système de messagerie" bin echo "Entrez le nom d'utilisateur:"; lisez newuser echo $ newuser>> / root / scripts / mail / mail_users.dat # Ajout Unix adduser utilisateur - Les utilisateurs endogroupe - calme - shell / bin / false $ newuser echo echo "Linux a été créé ....."  # Echo Ajout des boîtes aux lettres Courrier maildirmake / home / $ newuser / Maildir maildirmake mails f / home / $ newuser / Maildir F du virus maildirmake / home / $ newuser / Maildir maildirmake LerneSpam-f / home / $ newuser / Maildir maildirmake f LerneKeinSpam / home / $ newuser / Maildir maildirmake f mon dossier / home / $ newuser / Maildir maildirmake Envoyé f / home / $ newuser / Maildir maildirmake-f Trash / home / $ newuser / Maildir chown-R newuser.users $ / home / $ newuser / Maildir echo echo "annuaires de messagerie IMAP ont été créés ...."  echo # Réglage SASL mot de passe pour Postfix SMTP AUTH echo echo echo "Spécifier un mot de passe pour SMTP-AUTH (envoyer des emails au client)" saslpasswd2 $ newuser echo echo echo "Spécifier un mot de passe pour Courier (Zuganspasswort pour imapserver)" NEWUID = `cat / etc / passwd | grep $ newuser | cut-d:-f3 `userdb mis newuser $ home = / home / $ = $ newuser uid = 100 gid NEWUID userdbpw-HMAC-MD5 | userdb mis newuser $ imap-hmac-home = md5pw / home / $ newuser makeuserdb / etc / init.d / courier-authdaemon restart / etc / init.d / saslauthd restart echo "OK. créé l'utilisateur" echo "Assigner un nouvel utilisateur, s'il vous plaît encore adresses e-mail!"  echo echo echo "/ etc / postfix / virtual modifier."  echo "Ensuite, exécutez la fois: postmap / etc / postfix / virtual" echo "Puis lancez une fois: / etc / init.d / postfix reload" 

Script pour la suppression d'utilisateurs

  echo "supprimer cet utilisateur"
 Lire Deluser

 # Des mail_users_dat lernespam obtenir l'utilisateur de messagerie
 cat / root / scripts / mail / mail_users.dat | grep-v "^ $ $ Deluser"> / root / scripts / mail / mail_users.dat.tmp
 rm / root / scripts / mail / mail_users.dat
 mv / root / scripts / mail / mail_users.dat.tmp / root / scripts / mail / mail_users.dat

 deluser - remove-home $ Deluser
 saslpasswd2-d $ Deluser
 $ Userdb Deluser del
 makeuserdb
 / Etc / init.d / courier-authdaemon restart
 / Etc / init.d / saslauthd restart

Script pour apprendre le spam manuellement

  # / Bin / bash

 pour l'utilisateur dans $ (cat / root / scripts / mail mail_users.dat /);
 ne

 Sadir = / home / $ user. Spamassassin /
 NOSPAM = / home / $ user / Maildir /. LerneKeinSpam / actu /

 pour l in $ (ls $ NOSPAM);
 ne
 PRINT = `cat $ NOSPAM $ / l | grep-e" ^ From: "| grep-o" [[:. Alnum:] \ \ + \ - \ _]*@[[: alnum:] \ \ -. ] * "| sort-u`
 echo "$ whitelist_from PRINT">> $ Sadir / prefs_utilisateur
 fait

 # Laissez SA apprendre
 / Usr / bin / sa-learn-D - Spam / home / $ user / Maildir / LerneSpam / actu.
 / Usr / bin / sa-learn-D - jambon / home / $ user / Maildir / LerneKeinSpam / actu.

 # Déplacez vos commandes
 mv / home / $ user / Maildir /. LerneKeinSpam / actu / * / home / $ user / Maildir / actu /
 rm / home / $ user / Maildir /. LerneSpam / actu / *

 fait
 la sortie

Alias ​​virtuels

Notre Postfix ne sais même pas ce que les adresses électroniques qui sont affectés aux boîtes aux lettres locale. Cette affectation est dans le fichier / etc / postfix / virtual créé. Les liens sont des adresses d'expéditeur e-mail ou locales "root" que le droit est le nom d'utilisateur pour la boîte aux lettres IMAP ou adresse e-mail pour transmission

  # / Etc / postfix / virtual
 racine de Daniel
 Daniel daniel@meinedomain.de
 Daniel daniel@meineanderedomain.de
 fritz@meinedomain.de Fritz
 alle@meinedomain.de Daniel Fritz
 daniel@gmail.com weiterleitung@meinedomain.de 

Alors il faut initialiser les alias Postfix virtuelles à nouveau. Cela est nécessaire après chaque modification du fichier.

  postmap / etc / postfix / virtual 

Maintenant tout est prêt. Il doit avoir tous les services sont démarrés.

  / Etc / init.d / postfix restart
 / Etc / init.d / courier-imap restart
 / Etc / init.d / courier-imap-ssl restart
 / Etc / init.d / courier-authdaemon restart
 / Etc / init.d / saslauthd restart
 / Etc / init.d / spamassassin
 / Etc / init.d / clamav 

Quelque chose ne va certainement pas de travail! Pour déboguer est / var / log / mail.log assez bien. Dans de nombreux fichiers de config je ne peux tout simplement mettre le niveau de journalisation pour obtenir plus d'informations.

Transport Maps

Pour weiterzurouten courrier à un autre SMTP, vous avez besoin de cartes de transport. Vous êtes dans le fichier / etc / postfix / transport créé:

 # / Etc / postfix / transport
 # Lien-local de destination
 # SMTP est transmis à la droite

 daniel-ritter.de smtp: 12.13.14.15
 daniel-ritter.de smtp: anderer.host.de

 # De plus, tous les sous-domaines
 . Ritter.de Daniel-smtp: anderer.host.de

 # / Etc / postfix / main.cf
 transportjnaps = hash: / etc / postfix / transport

 # Vérifier les modifications des cartes de transport

 postmap / etc / postfix / transport
 / Etc / init.d / postfix reload

L'utilisateur peut changer de mot de passe, le Courier-même

 echo "Change Password Times"
 echo

 echo
 echo "Nom d'utilisateur:"
 Lire U
 echo "Ancien mot de passe"
 Une lecture
 echo "Nouveau mot de passe"
 Lecture de n

 if [$ (echo $ F | grep-e ^ [0-9])];
 puis
 echo "Désolé. mots de passe doivent pas commencer par des chiffres."
 la sortie
 fi

 echo-e "$ U \ 0 $ A \ 0 $ N \ 0" | / usr / courierpasswd - verbose - stderr - stdin - changepw