Poradniki Ściągawka: Debian Lenny Mail Server: Postfix-Courier-SSL SSL CRAM-MD5 SASL TLS wirtualne aliasy Procmail Spamassassin ClamAV

Zawsze chciałem to zrobić ponownie z serwerami poczty. Niestety, często mylone, ponieważ - wiele różnych części muszą komunikować się ze sobą - w zależności od konfiguracji. Z tego powodu, oto mój Ściągawka dla serwera poczty na hosta internetowego z FQDN. To było testowane na Debian Lenny.

Wszystkie połączenia zewnętrzne są szyfrowane lub ukrywane z MD5 Pasword Cram. Poczta przychodząca jest sprawdzana pod kątem spamu i wirusów, a użytkownik może czytać swoją pocztę poprzez IMAP.

und gesichtere Verbindungen grün . Na zdjęciu powyżej demony żółty, szary baz danych połączeń i twarze na zielono.

Co poszczególnych składników?

• Chcesz wysłać pocztę Postfix odbiera, klientów. To on wysyła go do właściwego serwera w Internecie. Ponadto entfängt poczty Postfix z Internetu dla użytkowników skrzynek pocztowych na serwerze.
• wirtualne aliasy (część Postfix) jest bazą danych z poczty Postfix otrzymał każdego maila użytkownicy mogą kojarzyć.
• Saslauthd uwierzytelnia użytkownika chcesz wysłać pocztę przez Postfix przez SMTP. On sprawdza nazwę użytkownika i hasło z MD5 Cram.
• Sasldb jest baza danych może żądać od saslauthd nazw użytkowników i haseł.
• Courier-IMAP jest klientem poczty do użytkownika maili Maildir z dostępnych im
• Courier-authdaemon uwierzytelniony użytkownik czyta pocztę z Courier-IMAP. On sprawdza nazwę użytkownika i hasło z MD5 Cram.
• Userdb (część Courier) jest bazą danych może żądać od Courier-authdaemon nazwy użytkownika i hasła.
• Procmail jest filtrem, które przebiegają przez każdą przychodzącą pocztę musi. Procmail przechodzi przez pocztę na filtr antyspamowy i skaner antywirusowy, a następnie dostarcza je od użytkownika.
• Clamassassin jest małym narzędziem, które zapewnia interfejs pomiędzy procmail i ClamAV. To idzie za pośrednictwem poczty tylko ClamAV.
• Spamassassin (spamd) Spam Checker. Czy wynik każdego e-maila, który mówi jak prawdopodobne jest, że poczta jest sprawdzana SPAM.
• Maildir skrzynki Oto e-mail użytkowników systemu. Jest to normalny katalog w systemie plików. Klientów IMAP można pobrać go z niej.

Przygotowanie

Zainstalować wszystkie potrzebne pakiety

  apt-get update & & apt-get upgrade
 apt-get install postfix postfix-doc postfix libsasl2-2 sasl2-bin libsasl2-modules clamassassin courier-imap-ssl procmail spamassassin clamav 

Konfigfragen Courier

• Katalogów internetowych dla administracji? Nie

Konfigfragen Postfix

• Serwer internetowy
• E-mail Imię i nazwisko: rozpoznawalną przez DNS FQDN serwera (np. meinedomain.de)

Konfiguracja Postfix nadal

  dpkg-reconfigure postfix 

Dalsze Konfigfragen Postfix

• Serwer internetowy
• Komu wiadomości przekazywane przez root: Nic wstawić przychodzi później.
• Komputery dla celów tego systemu komputerowego jest uważane: wszystkie domeny z Postfix może odbierać poczty i wpis DNS dla IP serwera. (Np. meinedomain.de, meinanderedomain.de, meinedrittedomain.de)

Postfix

Plik konfiguracyjny dla Postfix

  # / Etc / postfix / main.cf

 smtpd_banner = $ myhostname ESMTP $ myhostname (Debian / GNU)
 biff = no
 append_dot_mydomain = no
 readme_directory = / usr / share / doc / postfix                                 

 # Włącz TLS
 smtpd_use_tls = yes                                                         

 smtpd_tls_session_cache_database = btree: {} data_directory / smtpd_scache
 smtp_tls_session_cache_database = btree: {} data_directory / smtp_scache
 myhostname = meinedomain.de
 alias_maps = hash: / etc / aliases
 alias_database = hash: / etc / aliases
 myorigin = / etc / mailname
 mydestination = meinedomain.de, moje inne domeny, mój trzeci domeny, localhost, 127.0.0.1
 relayhost =
 mynetworks = 127.0.0.0 / 8 [:: ffff: 127.0.0.0] / 104 [:: 1] / 128
 mailbox_command = 0
 recipient_delimiter = +
 inet_interfaces = wszystkie
 html_directory = / usr / share / doc / postfix / html
 inet_protocols = ipv4

 # Auth poprzez SASL
 smtpd_sasl_auth_enable = yes
 broken_sasl_auth_clients = yes
 # Tylko użytkownicy mogą wysyłać wiadomości, które są w SASL DB, tylko pozwalają haseł MD5
 smtp_sasl_security_options = noanonymous, noplaintext

 # Local Host Only (mynetworks) i zarejestrowani użytkownicy mogą wysyłać e-maile za pomocą SASL
 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
 smtpd_sasl_local_domain =

 # Tylko uwierzytelnianie szyfrowane TLS
 smtp_tls_auth_only = yes

 # Włącz TLS
 smtp_use_tls = yes
 smtpd_use_tls = yes
 smtp_tls_note_starttls_offer = yes

 # Self-Wygenerowane klucz i certyfikat
 smtpd_tls_key_file = / etc / postfix / cert / smtpd.key
 smtpd_tls_cert_file = / etc / postfix / cert / smtpd.crt
 smtpd_tls_CAfile = / etc / postfix / cert / cacert.pem

 Później # 0, dobre dla debugowania
 smtpd_tls_loglevel = 1
 smtpd_tls_received_header = yes
 smtpd_tls_session_cache_timeout = 3600s
 tls_random_source = dev: / dev / urandom

 # Dostarcz pocztę w maildirs
 home_mailbox = Maildir /

 # Nazwa pliku z alias map z przydzieleniem adresu e-mail do lokalnej skrzynki pocztowej
 virtual_alias_maps = hash: / etc / postfix / virtual

 # Mail nie jest bezpośrednio umieszczone w skrzynkach pocztowych, ale przekazywane do procmaila
 mailbox_command = procmail-a "$ EXTENSION" 

SASL

SASL zapewnia demon dla różnych mechanizmów uwierzytelniania. Taka konfiguracja może być przechowywane w bazie danych, użytkownicy SASL którzy mogą wysyłać pocztę przez nasz Postfix. (Tak więc nazwę użytkownika i hasło, które należy wprowadzić w e-mail dostępu klienta do serwera SMTP)

Tworzenie pliku konfiguracyjnym dla SASL

  # / Etc / postfix / smtpd.conf
 pwcheck_method: authdaemond
 mech_list: CRAM-MD5 

Postfix nie może niestety jeszcze korzystać z saslauthd weryfikacji danych użytkownika, gdyż Postfix jest uruchomiony w środowisku chroot i nadal nie ma dostępu do saslauthd.

  # / Etc / default / saslauthd
 START = yes
 DESC = "Daemon uwierzytelniania SASL"
 NAME = "saslauthd"
 MECHANIZMY = "pam"
 MECH_OPTIONS = ""
 NICI = 5

 # Z-m, kładziemy saslauthd gniazdo katalogu, który może osiągnąć z chroot Postfix.
 OPTIONS = "-c-m / var / spool / postfix / var / run / saslauthd" 

Potem jeszcze trzeba zmienić w "start-np." blok z pliku / etc / init.d / saslauthd miejsce na PID, znowu tak, że Postfix może odczytać pliku PID.

  # / Etc / init.d / saslauthd
 .
 .
 Pidfile = "/ var / spool / postfix / var / run / $ {NAME} / saslauthd.pid"
 .
 . 

TLS

Może teraz wysyłać nieuwierzytelnionych kanał więcej niż poczty SMTP Postfix, ale maile nadal są w postaci zwykłego tekstu poprzez sieć LAN i Internet. Szyfrowania TLS jest włączone w main.cf Postfix plik powyżej-config. Jednak nadal brakuje klucza i certyfikatu.

  mkdir / etc / postfix / cert
 cd / etc / postfix / cert

 openssl genrsa-des3-rand / etc / hosts-out. / smtpd.key 1024
 chmod 600. / smtpd.key
 openssl req-new-key. / smtpd.key-out. / smtpd.csr
 openssl x509-req-days 99999-w. /-smtpd.csr signkey. / smtpd.key-out. / smtpd.crt
 openssl rsa-in. / smtpd.key-out. / smtpd.key.tmp
 mv-f. / smtpd.key.tmp. / smtpd.key
 chmod 600. / smtpd.key
 openssl req-new-x509-extensions v3_ca-keyout. / cakey.pem-out. / cacert.pem-days 99 999 

Tworzenie SASL DB

Maile są szyfrowane podczas transmisji, nazwy użytkownika i hasła do wysyłania poczty przez serwer SMTP, ale nadal są przekazywane poprzez Internet w postaci zwykłego tekstu. To da się ukryć, przynajmniej z metodą Cram-MD5. Było to już w / etc / postfix / smtpd.conf aktywowane. Brakuje tylko bazy danych SASL sama tworzy ten po prostu daje później użytkownik mail z nazwą użytkownika i hasłem.

  # Dla lokalnego użytkownika poczty nazwę użytkownika używane do tworzenia SASL DB z pierwszego użytkownika
 saslpasswd2 użytkownika 

Postfix jest gotowy. On może odbierać i wysyłać maile. Połączenia do innych klientów poczty oraz serwerów są szyfrowane.

Kurier

Kurierzy pliki konfiguracyjne

  # / Etc / courier / authdaemonrc

 # UserDB do korzystania z uwierzytelniania
 authmodulelist = "authuserdb"

 authmodulelistorig = "authuserdb AuthPAM authpgsql authldap authmysql authcustom authpipe"
 demony = 5
 authdaemonvar = / var / run / courier / authdaemon

 # Dobre do debugowania
 DEBUG_LOGIN = 2
 Domyślne opcje = ""
 LOGGEROPTS = "" 

  # / Etc / courier / authmodulelist

 Courierauthdaemon # używa MD5 dopchać
 authcram 

 # / Etc / courier / imapd ADRES = 0 PORT = 143 MAXDAEMONS maxperip = 40 = 20 pidfile = / var / run / courier / imapd.pid TCPDOPTS = "nodnslookup-noidentlookup" LOGGEROPTS = "-name = imapd" # Tutaj AUTH = CRAM-MD5 dodał IMAP_CAPABILITY = "IMAP4rev1 UIDPLUS NAMESPACE DZIECI thread = ORDEREDSUBJECT thread = REFERENCJE QUOTA SORT AUTH = CRAM-MD5 IDLE" IMAP_KEYWORDS = 1 IMAP_ACL = 1 IMAP_CAPABILITY_ORIG = "IMAP4rev1 UIDPLUS NAMESPACE DZIECI thread = ORDEREDSUBJECT thread = REFERENCES SORT AUTH QUOTA = CRAM-MD5 AUTH = CRAM-SHA1 AUTH = CRAM-SHA256 IDLE "IMAP_PROXY IMAP_PROXY_FOREIGN = 0 = 0 = 60 IMAP_MAILBOX_SANITY_CHECK IMAP_IDLE_TIMEOUT = 1 IMAP_CAPABILITY_TLS =" $ AUTH = PLAIN IMAP_CAPABILITY "IMAP_CAPABILITY_TLS_ORIG =" $ AUTH = PLAIN IMAP_CAPABILITY_ORIG "IMAP_DISABLETHREADSORT = 0 IMAP_CHECK_ALL_FOLDERS = 0 IMAP_OBSOLETE_CLIENT = 0 IMAP_UMASK = 022 IMAP_ULIMITD = 65536 IMAP_USELOCKS = 1 IMAP_SHAREDINDEXFILE = / etc / courier / shared / index IMAP_ENHANCEDIDLE = 0 IMAP_TRASHFOLDERNAME = Trash IMAP_EMPTYTRASH = Trash: 7 IMAP_MOVE_EXPUNGE_TO_TRASH = 0 SENDMAIL = / usr / sbin / sendmail HEADER Z = X IMAP-Sender IMAPDSTART = TAK MAILDIRPATH = Maildir 

  SSLPort = 993
 SSLADDRESS = externe.ip.des.servers
 SSLPIDFILE = / var / run / courier / imapd-ssl.pid
 SSLLOGGEROPTS = "-name = imapd-ssl"
 IMAPDSSLSTART = TAK
 IMAPDSTARTTLS = TAK
 IMAP_TLS_REQUIRED = 1
 Couriertls = / usr / bin / couriertls
 TLS_KX_LIST = ALL
 TLS_COMPRESSION = ALL
 TLS_CERTS = X509
 TLS_CERTFILE = / etc / courier / imapd.pem
 TLS_TRUSTCERTS = / etc / ssl / certs
 TLS_VERIFYPEER = NONE
 TLS_CACHEFILE = / var / lib / courier / couriersslcache
 TLS_CACHESIZE = 524288
 MAILDIRPATH = Maildir

 # Po raz kolejny dochodzi do CRAM-MD5 AUTH =

 IMAP_CAPABILITY = "IMAP4rev1 NAMESPACE DZIECI thread = GWINT UIDPLUS = REFERENCES SORT QUOTA ORDEREDSUBJECT AUTH = CRAM-MD5 IDLE" 

Spam Assassin

Spam Assassin jest włączony

  # / Etc / default / spamassassin
 ENABLED = 1
 OPTIONS = "- create-preferencje - max-dzieci 5 - pomocnika-home-dir"
 Pidfile = "/ var / run / spamd.pid"
 CRON = 0 

Procmail

Po Postfix otrzymał listy z Internetu dla lokalnego użytkownika, przekazuje je do procmaila. Procmail następnie przekazuje mail do Spamassassin sprawdzić je pod kątem spamu i clamassassin który przekazuje je do skanera clamav wirusa.

  # Próbki. Procmailrc dla katalogów domowych użytkowników poczty elektronicznej

 PATH = $ HOME / bin: / usr / bin: / bin: / usr / local / bin:.
 MAILDIR = $ HOME / Maildir /
 DEFAULT = $ HOME / Maildir / new
 LOGFILE = $ HOME / procmail.log

 ASSASSIN SPAM #
 : 0fw: / var / run / spam.lock
 * <256 000
 | Spamc-f-u LOGNAME $

 # Wszystkie spamu 10-99 z tą samą drogą
 : 0:
 * ^ X-Spam-Status: Yes, score = [1-9] [0-9] \.
 / Dev / null

 SPAM # Wszystkie z wynikiem> 3 zniknie
 #: 0:
 # * ^ X-Spam-Status: Yes, score = \ [09/04].
 # / Dev / null

 : 0fw
 | / Usr / bin / clamassassin

 # Przepisz wierszu Temat, jeśli poziom spamu jest wystarczająco wysoka.
 : 0fw
 * ^ X-Spam-Status: Tak
 | Sed '1 ,/^$/ s @ ^ Subject: @ Temat: / wirusów / @!

 : 0:
 * ^ X-Spam-Status: Tak
 / Dev / null

 # Przenieś SA wiadomości spam do folderu Spam
 : 0:
 * ^ X-Spam-Status: Tak
 $ MAILDIR /. Spam / nowy

 # Wszystkie maile tak daleko bez urazy kończy się automatycznie w skrzynce odbiorczej użytkownika.  "Musisz mail!" 

Uff! System poczty elektronicznej jest gotowy! Brakuje tylko użytkowników maildirs i konfiguracji wirtualne aliasy określić, które adresy e-mail, który załadowany do lokalnej skrzynki pocztowej. Poniższy skrypt tworzy użytkowników systemu UNIX, a sam użytkownik ponownie Postfix i Courier sasldb w Courier-Userdb.

Skrypt do tworzenia nowych użytkowników

  # Dodano nowy użytkownik systemu poczty                      

 # / Bin / bash
 jasny
 echo "Nowy użytkownik dla systemu pocztowego";
 echo "Wprowadź nazwę użytkownika:";
 czytaj newuser                          

 echo $ newuser>> / root / skrypty / mail / mail_users.dat

 # Dodanie użytkownika Unix

 adduser - użytkownicy ingroup - quiet - shell / bin / false $ newuser

 echo
 echo "Linux został stworzony ....."
 echo

 # Dodawanie Courier skrzynek pocztowych

 maildirmake / home / $ newuser / Maildir
 f maildirmake spam / home / $ newuser / Maildir
 maildirmake wirus f / home / $ newuser / Maildir
 maildirmake LerneSpam f / home / $ newuser / Maildir
 maildirmake LerneKeinSpam f / home / $ newuser / Maildir
 maildirmake f folderu / home / $ newuser / Maildir
 maildirmake Wysłane f / home / $ newuser / Maildir
 maildirmake Trash-f / home / $ newuser / Maildir
 chown-R $ newuser.users / home / $ newuser / Maildir
 echo
 echo "katalogów poczty IMAP powstały ...."
 echo

 # Ustawienie SASL do Postfiksa SMTP auth hasło

 echo
 echo
 echo "Hasło dla SMTP-Auth (wskazać maile z klientem)"
 saslpasswd2 $ newuser

 echo
 echo
 echo "Podaj hasło dla Courier (Zuganspasswort dla imapserver)"

 NEWUID = `cat / etc / passwd | grep $ newuser | cut-d:-f3`

 $ Userdb zestaw newuser home = / home / $ = $ uid newuser = 100 gid NEWUID
 userdbpw-HMAC-MD5 | userdb zestaw newuser $ imap-HMAC-md5pw home = / home / $ newuser
 makeuserdb

 / Etc / init.d / courier-authdaemon restart
 / Etc / init.d / saslauthd restart

 echo "OK. użytkownika stworzył"
 echo "Przypisywanie nowego użytkownika, proszę jeszcze adresy e-mail!"
 echo
 echo
 echo "/ etc / postfix / virtual".
 echo "Następnie uruchom raz: postmap / etc / postfix / virtual"
 echo "Następnie uruchom raz: / etc / init.d / postfix reload"

Skrypt do usuwania użytkowników

  echo "usunąć tego użytkownika"
 czytaj Deluser

 # Z mail_users_dat lernespam uzyskać użytkownik poczty
 cat / root / skrypty / mail / mail_users.dat | grep-v "^ $ Deluser $"> / root / skrypty / mail / mail_users.dat.tmp
 rm / root / skrypty / mail / mail_users.dat
 mv / root / skrypty / mail / mail_users.dat.tmp / root / skrypty / mail / mail_users.dat

 deluser - remove-home $ Deluser
 saslpasswd2-d $ Deluser
 $ Userdb Deluser del
 makeuserdb
 / Etc / init.d / courier-authdaemon restart
 / Etc / init.d / saslauthd restart

Skrypt do ręcznie nauczyć spam

  # / Bin / bash

 użytkownika w $ (cat / root / skrypty / mail mail_users.dat /);
 zrobić

 Sadir = / home / $ user. Spamassassin /
 NOSPAM = / home / $ user / Maildir /. LerneKeinSpam / cur /

 do l in $ (ls $ NOSPAM);
 zrobić
 PRINT = `cat $ NOSPAM / $ l | grep-e" ^ Od: "| grep-o" [[:. Alnum:] \ \ \ - \ _]*@[[: alnum:] \ \ -. ] * "| sort-u`
 echo "whitelist_from $ PRINT">> $ Sadir / user_prefs
 zrobić

 # Niech SA nauczyć
 / Usr / bin / sa-learn-D - spam / home / $ user / Maildir / LerneSpam / bież.
 / Usr / bin / sa-learn-D - szynka / home / $ user / Maildir / LerneKeinSpam / bież.

 # Przenieś Rzeczy
 mv / home / $ user / Maildir /. LerneKeinSpam / cur / * / home / $ user / Maildir / cur /
 rm / home / $ user / Maildir /. LerneSpam / cur / *

 zrobić
 zjazd

Wirtualne Aliasy

Nasze Postfix nawet nie wiem co adresy e-mail, które są przypisane do lokalnej skrzynki pocztowej. To zadanie znajduje się w pliku / etc / postfix / virtual utworzony. Linki są adresy e-mail nadawcy lub lokalnych "root", jak prawo to nazwa użytkownika dla poczty IMAP lub przeznaczenia adres e-mail do przesyłania

  # / Etc / postfix / virtual
 korzeń daniel
 daniel@meinedomain.de daniel
 daniel@meineanderedomain.de daniel
 fritz@meinedomain.de fritz
 alle@meinedomain.de daniel fritz
 daniel@gmail.com weiterleitung@meinedomain.de 

Następnie należy zainicjować Postfix aliasów wirtualnych ponownie. Jest to niezbędne, po każdej zmianie pliku.

  postmap / etc / postfix / virtual 

Teraz wszystko jest gotowe. Musi mieć wszystkie usługi są uruchomione.

  / Etc / init.d / postfix restart
 / Etc / init.d / courier-imap restart
 / Etc / init.d / courier-imap-ssl restart
 / Etc / init.d / courier-authdaemon restart
 / Etc / init.d / saslauthd restart
 / Etc / init.d / spamassassin
 / Etc / init.d / clamav 

Coś na pewno nie działa! Aby debugować jest / var / log / mail.log całkiem dobrze. W wielu plików konfiguracyjnych można po prostu ustawić poziom logowania, aby uzyskać więcej informacji.

Transportu Maps

Aby weiterzurouten mail do innego serwera SMTP, musisz map transportu. Jesteś w pliku / etc / postfix / transport utworzony:

 # / Etc / postfix / transport
 # Link-local miejsce
 # SMTP jest przekazywany do prawej

 daniel-ritter.de smtp: 12.13.14.15
 daniel-ritter.de smtp: anderer.host.de

 # Dodatkowo, wszystkie subdomeny
 . Ritter.de daniel-smtp: anderer.host.de

 # / Etc / postfix / main.cf
 transport_maps = hash: / etc / postfix / transport

 # Sprawdź, czy zmiany do map transportu

 postmap / etc / postfix / transport
 / Etc / init.d / postfix reload

Użytkownik może zmienić hasło, Courier-nawet

 echo "Zmień hasło Times"
 echo

 echo
 echo "Login:"
 czytaj U
 echo "Old Password"
 czytaj
 echo "New Password"
 Przeczytaj N

 if [$ (echo $ F | grep-e ^ [0-9])];
 następnie
 echo "Przepraszamy. Hasła nie musi zaczynać się od cyfry."
 zjazd
 fi

 echo-e "$ U \ 0 $ \ 0 $ N \ 0" | / usr / courierpasswd - verbose - stderr - stdin - changepw