Howto foglietto: Debian Lenny Mail Server: Postfix-Courier-SSL SSL SASL CRAM-MD5, TLS virtuale alias Procmail Spamassassin ClamAV

Avevo sempre voluto fare di nuovo con i server di posta. Purtroppo, sono stato spesso confuso, perché - un sacco di diversi componenti hanno bisogno di comunicare con l'altro - a seconda della configurazione. Per questo motivo, ecco il mio foglietto per un server di posta su un host Internet con FQDN. E 'stato testato su una Debian Lenny.

Tutte le connessioni esterne sono cifrati o offuscati con gli hash MD5 pasword Cram. Posta in arrivo è controllato per spam e virus, e gli utenti possono leggere la propria posta tramite IMAP.

und gesichtere Verbindungen grün . Nella foto sopra demoni sono di colore giallo, grigio connessioni database e facce verdi.

Cosa significano i singoli componenti?

• Vuoi inviare posta elettronica Postfix riceve i clienti. Questo lo manda al server corretto su Internet. Inoltre, la posta entfängt Postfix da Internet per gli utenti con caselle di posta sul server.
• alias virtuale (parte di Postfix) è un database con le mail Postfix ricevuto ogni mail gli utenti possono associare.
• Saslauthd autentica l'utente desidera inviare tramite posta elettronica Postfix tramite SMTP. Egli controlla il nome utente e password con MD5 hash Cram.
• Sasldb è la banca dati può chiedere saslauthd i nomi utente e password.
• Courier-IMAP è un client di posta elettronica a Maildir di un utente da loro a disposizione
• Courier-authdaemon utente autenticato leggere la posta del Courier-IMAP. Egli controlla il nome utente e password con MD5 hash Cram.
• Userdb (parte del Corriere) è il database può chiedere il Courier-authdaemon nomi utente e password.
• Procmail è un filtro che attraversano ogni posta in arrivo deve. Procmail passa attraverso la posta al filtro antispam e antivirus e poi li consegna da parte dell'utente.
• Clamassassin è un piccolo strumento che fornisce un'interfaccia tra procmail e ClamAV. Passa attraverso la posta solo per ClamAV.
• Spamassassin (spamd) Spam Checker. È un punteggio di ogni email che racconta come è probabile che la posta viene controllata SPAM.
• Maildir mailbox Qui ci sono le e-mail di utenti del sistema. Si tratta di una normale directory del file system. Client IMAP possibile recuperarlo da lì.

Preparazione

Installare tutti i pacchetti necessari

  apt-get update & & apt-get upgrade
 apt-get install postfix postfix-doc postfix libsasl2-2 sasl2-bin libsasl2 moduli clamassassin courier-imap-ssl procmail spamassassin clamav 

Konfigfragen Courier

• Web directory per l'amministrazione? No

Konfigfragen Postfix

• Server Internet
• E-mail Nome: Il risolvibile dal DNS FQDN del server (ad esempio meinedomain.de)

Configurazione di Postfix continua

  dpkg-reconfigure postfix 

Ulteriori Konfigfragen Postfix

• Server Internet
• A chi devono essere i messaggi inoltrati da root: Niente inserire viene dopo.
• Computer per lo scopo di questo sistema informatico è considerato: tutti i domini con Postfix in grado di ricevere posta e ha una voce DNS per l'IP del server. (Es. meinedomain.de, meinanderedomain.de, meinedrittedomain.de)

Postfix

File di configurazione per Postfix

  # / Etc / postfix / main.cf

 smtpd_banner = $ myhostname ESMTP $ myhostname (Debian / GNU)
 biff = no
 append_dot_mydomain = no
 readme_directory = / usr / share / doc / postfix                                 

 # Abilita TLS
 smtpd_use_tls = yes                                                         

 smtpd_tls_session_cache_database = btree: $ {} data_directory / smtpd_scache
 smtp_tls_session_cache_database = btree: $ {} data_directory / smtp_scache
 myhostname = meinedomain.de
 alias_maps = hash: / etc / aliases
 alias_database = hash: / etc / aliases
 myorigin = / etc / mailname
 mydestination = meinedomain.de, il mio dominio, il mio terzo nome di dominio, localhost, 127.0.0.1
 relayhost =
 mynetworks = 127.0.0.0 / 8 [:: ffff: 127.0.0.0] / 104 [:: 1] / 128
 mailbox_command = 0
 recipient_delimiter = +
 inet_interfaces = tutti
 html_directory = / usr / share / doc / postfix / html
 inet_protocols = ipv4

 # Auth tramite SASL
 smtpd_sasl_auth_enable = yes
 broken_sasl_auth_clients = yes
 # Solo consentono agli utenti di inviare la posta, che sono in SASL DB, consentono solo le password MD5
 smtp_sasl_security_options = noanonymous, noplaintext

 # Host Solo locale (mynetworks) e gli utenti registrati possono inviare mail tramite SASL
 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
 smtpd_sasl_local_domain =

 # Solo l'autenticazione criptata con TLS
 smtp_tls_auth_only = yes

 # Abilita TLS
 smtp_use_tls = yes
 smtpd_use_tls = yes
 smtp_tls_note_starttls_offer = yes

 # Auto-Generated chiave e certificato
 smtpd_tls_key_file = / etc / postfix / cert / smtpd.key
 smtpd_tls_cert_file = / etc / postfix / cert / smtpd.crt
 smtpd_tls_CAfile = / etc / postfix / cert / cacert.pem

 Più tardi # a 0, buono per il debug
 smtpd_tls_loglevel = 1
 smtpd_tls_received_header = yes
 smtpd_tls_session_cache_timeout = 3600s
 tls_random_source = dev: / dev / urandom

 # Consegna posta in maildir
 home_mailbox = Maildir /

 # Nome dell'alias mappa virtuale con l'assegnazione di indirizzo e-mail ad una casella di posta locale
 virtual_alias_maps = hash: / etc / postfix / virtual

 # Mail non è direttamente inserito nelle cassette postali, ma passata a procmail
 mailbox_command = procmail-a "$ EXTENSION" 

SASL

SASL fornisce un demone per il meccanismo di autenticazione diversi. Questa configurazione può essere memorizzato in un database, gli utenti SASL che possono inviare posta attraverso il nostro Postfix. (Così il nome utente e la password che deve essere inserito nella e-mail l'accesso dei client al server SMTP)

La creazione di file di configurazione per SASL

  # / Etc / postfix / smtpd.conf
 pwcheck_method: authdaemond
 mech_list: CRAM-MD5 

Postfix non possono purtroppo ancora utilizzare il saslauthd per verificare i dati degli utenti, perché Postfix è in esecuzione in un ambiente chroot e non ha ancora accesso alla saslauthd.

  # / Etc / default / saslauthd
 START = yes
 DESC = "SASL Authentication Daemon"
 NAME = "saslauthd"
 MECHANISM = "pam"
 MECH_OPTIONS = ""
 FILETTI = 5

 # Con-m, abbiamo posto il socket saslauthd di una directory, che può raggiungere dal chroot di Postfix.
 OPZIONI = "-c-m / var / spool / postfix / var / run / saslauthd" 

Dopo di che deve ancora essere modificata in blocco "start-istanza" da / etc / init.d / saslauthd il posto per il PID, di nuovo in modo che Postfix può leggere il file PID.

  # / Etc / init.d / saslauthd
 .
 .
 PidFile = "/ var / spool / postfix / var / run / $ {NOME} / saslauthd.pid"
 .
 . 

TLS

Si possono ora inviare qualsiasi non autenticata canale più la posta Postfix SMTP, ma le mail sono ancora in chiaro via LAN e Internet. La codifica TLS è abilitato nel main.cf di Postfix sopra file di configurazione. Tuttavia, la chiave ancora mancante e certificato.

  mkdir / etc / postfix / cert
 cd / etc / postfix / cert

 openssl genrsa-des3-rand / etc / hosts-out. / smtpd.key 1024
 chmod 600. / smtpd.key
 openssl req-new-key. / smtpd.key-out. / smtpd.csr
 openssl x509-req-days 99999-in. /-smtpd.csr signkey. / smtpd.key-out. / smtpd.crt
 openssl rsa-in. / smtpd.key-out. / smtpd.key.tmp
 mv-f. / smtpd.key.tmp. / smtpd.key
 chmod 600. / smtpd.key
 openssl req-new-x509-extensions v3_ca-keyout. / cakey.pem-out. / cacert.pem giorni 99 999 

Crea SASL DB

Mail vengono ora crittografate durante la trasmissione, nomi utente e password per l'invio della posta attraverso il server SMTP, ma ancora passare attraverso Internet in formato testo. Questo può essere nascosto, almeno con il metodo CRAM-MD5. Questo era già nel file / etc / postfix / smtpd.conf attivato. Manca solo il database SASL si crea questa di dà semplicemente un utente di posta dopo il nome utente e una password.

  # Per un utente locale il nome dell'utente di posta elettronica utilizzato per creare il DB SASL con un primo utente
 saslpasswd2 nome utente 

Postfix è finito. Egli può ricevere e inviare mail. Connessioni con altri client di posta e server sono cifrate.

Corriere

Corrieri file di configurazione

  # / Etc / courier / authdaemonrc

 # UserDB vengono compattate per utilizzare l'autenticazione
 authmodulelist = "authuserdb"

 authmodulelistorig = "authuserdb AuthPAM authpgsql authldap authmysql authcustom authpipe"
 daemons = 5
 authdaemonvar = / var / run / courier / authdaemon

 # Buon per il debug
 DEBUG_LOGIN = 2
 OPZIONI DI DEFAULT = ""
 LOGGEROPTS = "" 

  # / Etc / courier / authmodulelist

 Courierauthdaemon # utilizza MD5 CRAM
 authcram 

 # / Etc / courier / INDIRIZZO imapd = 0 PORT = 143 MAXDAEMONS maxperip = 40 = 20 pidfile = / var / run / courier / imapd.pid TCPDOPTS = "nodnslookup-noidentlookup" LOGGEROPTS = "imapd-name =" # Qui AUTH = CRAM-MD5 IMAP_CAPABILITY aggiunto = "IMAP4rev1 UIDPLUS NAMESPACE BAMBINI = ORDEREDSUBJECT FILETTO FILETTO = REFERENCES SORT QUOTA AUTH = CRAM-MD5 IDLE" IMAP_KEYWORDS = 1 = 1 IMAP_ACL IMAP_CAPABILITY_ORIG = "IMAP4rev1 UIDPLUS NAMESPACE BAMBINI = ORDEREDSUBJECT FILETTO FILETTO = REFERENCES SORT QUOTA AUTH = CRAM-MD5 AUTH = CRAM-SHA1 AUTH = CRAM-SHA256 IDLE "IMAP_PROXY IMAP_PROXY_FOREIGN = 0 = 0 = 60 = 1 IMAP_MAILBOX_SANITY_CHECK IMAP_IDLE_TIMEOUT IMAP_CAPABILITY_TLS =" $ AUTH = PLAIN "IMAP_CAPABILITY_TLS_ORIG =" $ IMAP_CAPABILITY AUTH = PLAIN IMAP_CAPABILITY_ORIG "IMAP_DISABLETHREADSORT = 0 IMAP_CHECK_ALL_FOLDERS IMAP_OBSOLETE_CLIENT = 0 = 0 = 022 IMAP_UMASK IMAP_ULIMITD = 65536 IMAP_USELOCKS = 1 IMAP_SHAREDINDEXFILE = / etc / courier / shared / index = 0 IMAP_ENHANCEDIDLE IMAP_TRASHFOLDERNAME = Cestino IMAP_EMPTYTRASH = Cestino: 7 IMAP_MOVE_EXPUNGE_TO_TRASH = 0 SENDMAIL = / usr / sbin / sendmail colpo di testa da = X IMAP-Sender IMAPDSTART = YES MAILDIRPATH = Maildir 

  SSLPort = 993
 SSLADDRESS = externe.ip.des.servers
 SSLPIDFILE = / var / run / courier / imapd-ssl.pid
 SSLLOGGEROPTS = "-name = imapd-ssl"
 IMAPDSSLSTART = YES
 IMAPDSTARTTLS = YES
 IMAP_TLS_REQUIRED = 1
 Couriertls = / usr / bin / couriertls
 TLS_KX_LIST = ALL
 TLS_COMPRESSION = ALL
 TLS_CERTS = X509
 TLS_CERTFILE = / etc / courier / imapd.pem
 TLS_TRUSTCERTS = / etc / ssl / certs
 TLS_VERIFYPEER = NONE
 TLS_CACHEFILE = / var / lib / courier / couriersslcache
 TLS_CACHESIZE = 524288
 MAILDIRPATH = Maildir

 # Ancora una volta viene in CRAM-MD5 AUTH =

 IMAP_CAPABILITY = "IMAP4rev1 NAMESPACE BAMBINI FILETTO FILETTO UIDPLUS = = REFERENCES SORT QUOTA ORDEREDSUBJECT AUTH = CRAM-MD5 IDLE" 

Spam Assassin

Spam Assassin è abilitato

  # / Etc / default / spamassassin
 ENABLED = 1
 OPTIONS = "- create-prefs - max-bambini 5 - helper-home-dir"
 PidFile = "/ var / run / spamd.pid"
 CRON = 0 

Procmail

Dopo Postfix ha ricevuto la posta da Internet per un utente locale, passa a procmail. Procmail passa la posta a Spamassassin loro verificare la presenza di spam e clamassassin che li inoltra al programma antivirus ClamAV.

  # Un campione. Procmailrc per le home directory degli utenti di posta elettronica

 PATH = $ HOME / bin: bin / usr / local /: / usr / bin: / bin:.
 MAILDIR = $ HOME / Maildir /
 DEFAULT = $ HOME / Maildir / new
 LOGFILE = $ HOME / procmail.log

 Spam Assassin #
 : 0fw: / var / run / spam.lock
 * <256 000
 | Spamc-f-u $ LOGNAME

 # Tutti punteggio SPAM 10-99 con lo stesso percorso
 : 0:
 * ^ X-Spam-Status: Yes, score = [1-9] [0-9] \.
 / Dev / null

 SPAM # Tutti con punteggio> 3 è andato
 #: 0:
 # * ^ X-Spam-Status: Yes, score = \ [4-9].
 # / Dev / null

 : 0fw
 | / Usr / bin / clamassassin

 # Rewrite riga Oggetto, se il livello di spam è abbastanza alto.
 : 0fw
 * ^ X-Spam-Status: Yes
 | Sed '1 ,/^$/ s @ ^ Oggetto: @ Oggetto: / VIRUS / @ '!

 : 0:
 * ^ X-Spam-Status: Yes
 / Dev / null

 # Sposta SA SPAM MAIL DI SPAM
 : 0:
 * ^ X-Spam-Status: Yes
 $ MAILDIR /. Spam / nuovo

 # Tutte le mail l'hanno fatta fino a questo punto, senza lesioni a finire automaticamente nella casella di posta dell'utente.  "C'è posta per te!" 

Uff! Il sistema di posta è terminata! Mancano le maildir degli utenti e la configurazione degli alias virtuali per stabilire quali indirizzi di posta elettronica caricata in cui caselle di posta locali. Lo script seguente crea degli utenti del sistema UNIX, e lo stesso utente di nuovo per il Postfix e Courier sasldb in Courier-userdb.

Script per creare un nuovo utente

  # Aggiunto un nuovo utente al sistema di posta                      

 # / Bin / bash
 chiaro
 echo "Nuovo utente per il sistema di posta elettronica";
 echo "Inserire il nome utente:";
 leggere newuser                          

 echo $ newuser>> / root / scripts / mail / mail_users.dat

 # Aggiungere utente Unix

 adduser - ingroup utenti - quiet - shell / bin / false $ newuser

 eco
 echo "Linux è stato creato ....."
 eco

 # Aggiungere Corriere Caselle

 maildirmake / home / $ newuser / Maildir
 f maildirmake spam / home / $ newuser / Maildir
 maildirmake virus f / home / $ newuser / Maildir
 maildirmake LerneSpam f / home / $ newuser / Maildir
 maildirmake LerneKeinSpam f / home / $ newuser / Maildir
 maildirmake f mia cartella / home / $ newuser / Maildir
 maildirmake Sent f / home / $ newuser / Maildir
 maildirmake Trash-f / home / $ newuser / Maildir
 chown-R $ newuser.users / home / $ newuser / Maildir
 eco
 echo "directory di posta IMAP sono stati creati ...."
 eco

 # Impostazione SASL per Postfix SMTP auth la password

 eco
 eco
 echo "la password per SMTP-Auth (indicare mail con il cliente)"
 saslpasswd2 $ newuser

 eco
 eco
 echo "Specificare una password per il Corriere (Zuganspasswort per imapserver)"

 NEWUID = `cat / etc / passwd | grep $ newuser | cut-d:-f3`

 $ Userdb set newuser home = / home / $ newuser = $ uid = 100 gid NEWUID
 userdbpw-HMAC-MD5 | userdb insieme newuser $ imap-HMAC-md5pw home = / home / $ newuser
 makeuserdb

 / Etc / init.d / courier-authdaemon riavvio
 / Etc / init.d / saslauthd restart

 echo "OK. Utente creato"
 echo "Assegnare il nuovo utente, ancora indirizzi e-mail!"
 eco
 eco
 echo "modificare il file / etc / postfix / virtual".
 echo "Quindi eseguire una volta: postmap / etc / postfix / virtual"
 echo "Quindi eseguire una volta: / etc / init.d / postfix reload"

Script per l'eliminazione degli utenti

  echo "cancellare questo utente"
 leggere Deluser

 # Di mail_users_dat lernespam ottenere l'utente di posta
 cat / root / scripts / mail / mail_users.dat | grep-v "^ Deluser $ $"> / root / scripts / mail / mail_users.dat.tmp
 rm / root / scripts / mail / mail_users.dat
 mv / root / scripts / mail / mail_users.dat.tmp / root / scripts / mail / mail_users.dat

 deluser - remove-home $ Deluser
 saslpasswd2-d $ Deluser
 $ Userdb Deluser del
 makeuserdb
 / Etc / init.d / courier-authdaemon riavvio
 / Etc / init.d / saslauthd restart

Script per imparare manualmente lo spam

  # / Bin / bash

 per l'utente in $ (cat / root / scripts / mail mail_users.dat /);
 fare

 Sadir = / home / $ user. Spamassassin /
 NOSPAM = / home / $ user / Maildir /. LerneKeinSpam / cur /

 per l in $ (ls $ NOSPAM);
 fare
 STAMPA = `cat $ NOSPAM / $ l | grep-e" ^ From: "| grep-o" [[:. Alnum:] \ \ + \ - \ _]*@[[: alnum:] \ \ -. ] * "| sort-u`
 echo "whitelist_from $ STAMPA">> $ Sadir / user_prefs
 fatto

 # Lasciate SA imparare
 / Usr / bin / sa-learn-D - spam / home / $ user / Maildir / LerneSpam / corr.
 / Usr / bin / sa-learn-D - ham / home / $ user / Maildir / LerneKeinSpam / corr.

 # Sposta Stuff
 mv / home / $ user / Maildir /. LerneKeinSpam / cur / * / home / $ user / Maildir / cur /
 rm / home / $ user / Maildir /. LerneSpam / cur / *

 fatto
 uscita

Alias ​​virtuale

Il nostro Postfix non sa nemmeno cosa indirizzi e-mail che sono assegnati alle caselle di posta locali. Questa assegnazione è nel file / etc / postfix / virtual creato. I collegamenti sono indirizzi e-mail del mittente o locale "root" il diritto è il nome utente per la casella di posta IMAP o destinazione indirizzo e-mail per l'inoltro

  # / Etc / postfix / virtual
 radice daniel
 daniel@meinedomain.de daniel
 daniel@meineanderedomain.de daniel
 fritz@meinedomain.de fritz
 alle@meinedomain.de daniel fritz
 weiterleitung@meinedomain.de daniel@gmail.com 

Poi deve inizializzare gli alias virtuali Postfix di nuovo. Ciò è necessario dopo ogni modifica al file.

  postmap / etc / postfix / virtual 

Ora tutto è pronto. Deve avere tutti i servizi vengono avviati.

  / Etc / init.d / postfix restart
 / Etc / init.d / courier-imap riavvio
 / Etc / init.d / courier-imap-ssl riavvio
 / Etc / init.d / courier-authdaemon riavvio
 / Etc / init.d / saslauthd restart
 / Etc / init.d / spamassassin
 / Etc / init.d / clamav 

Qualcosa certamente non funziona! Per eseguire il debug è / var / log / mail.log abbastanza bene. Nel file di configurazione molti posso semplicemente impostare il livello di log per avere maggiori informazioni.

Trasporto Mappe

Per weiterzurouten posta ad un altro SMTP, è necessario mappe di trasporto. Sei nel file / etc / postfix / transport creato:

 # / Etc / postfix / transport
 # Link-destinazione locale
 # SMTP viene inoltrata a destra

 daniel-ritter.de smtp: 12.13.14.15
 daniel-ritter.de smtp: anderer.host.de

 # Inoltre, tutti i sottodomini
 . Ritter.de daniel-smtp: anderer.host.de

 # / Etc / postfix / main.cf
 transport_maps = hash: / etc / postfix / transport

 # Verificare le modifiche apportate alle mappe dei trasporti

 postmap / etc / postfix / transport
 / Etc / init.d / postfix reload

L'utente può modificare la password, il Corriere, anche

 echo "Cambia password Times"
 eco

 eco
 echo "Username:"
 leggere U
 echo "Vecchia password"
 Un letto
 echo "Nuova password"
 legge N

 if [$ (echo $ F | grep-e ^ [0-9])];
 poi
 echo "Spiacente. password non deve iniziare con i numeri."
 uscita
 fi

 echo-e "$ U \ 0 $ A \ 0 $ N \ 0" | / usr / courierpasswd - verbose - stderr - stdin - changepw