Postfix с SMTP-AUTH и TLS
Для того чтобы установить Postfix с SMTP-AUTH и TLS выполним следующие шаги:
|
Установим postfix libsasl2-2 sasl2-bin libsasl2-modules procmail (1 команда) |
|
Вам будет предложено два вопроса. Ответим на них следующим образом:
- Общий тип настройка почты: - Интернет-сайт
- Система почты имя: - server1.example.com
Затем выполним:
|
Перенастройка postfix (1 команда) |
|
- Общий тип настройка почты: - Интернет-сайта
- Система почты имя: - server1.example.com
- Корневые и почты получателя почтмейстер: - [пробел]
- Другие направления принимать почту (пусто, нет): - server1.example.com, localhost.example.com, localhost.localdomain, локальный
- Группа синхронного обновления почтовой очереди? - нет
- Локальные сети: - 127.0.0.0 / 8 [:: FFFF: 127.0.0.0] / 104 [:: 1] / 128
- Используйте Procmail для локальной доставки? - Да
- Почтовый ящик предельный размер (байт): - 0
- Локальный характер расширения адрес: - +
- Интернет-протоколов для использования: - все
Далее, сделайте следующее:
|
Настройка SMTP (9 команд) |
|
Затем мы создаем сертификаты для TLS:
|
Создаем сертификаты TLS (9 команд) |
|
Далее настроить Postfix для TLS (убедитесь, что вы используете правильные имя хоста для myhostname):
|
Создаем сертификаты TLS (12 команд) |
|
Файл /etc/postfix/main.cf должен выглядеть примерно так:
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# TLS parameters
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.
myhostname = server1.example.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = server1.example.com, localhost.example.com, localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
smtpd_sasl_local_domain =
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes
smtpd_sasl_authenticated_header = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
Аутентификация будет сделано saslauthd. Мы должны изменить несколько вещей, чтобы заставить ее работать должным образом. Поскольку Postfix работает изолированной в /var/spool/postfix мы должны сделать следующее:
|
Редактируем saslauthd (1 команда) |
|
# # Settings for saslauthd daemon # Please read /usr/share/doc/sasl2-bin/README.Debian for details. # # Should saslauthd run automatically on startup? (default: no) START=yes # Description of this saslauthd instance. Recommended. # (suggestion: SASL Authentication Daemon) DESC="SASL Authentication Daemon" # Short name of this saslauthd instance. Strongly recommended. # (suggestion: saslauthd) NAME="saslauthd" # Which authentication mechanisms should saslauthd use? (default: pam) # # Available options in this Debian package: # getpwent -- use the getpwent() library function # kerberos5 -- use Kerberos 5 # pam -- use PAM # rimap -- use a remote IMAP server # shadow -- use the local shadow password file # sasldb -- use the local sasldb database file # ldap -- use LDAP (configuration is in /etc/saslauthd.conf) # # Only one option may be used at a time. See the saslauthd man page # for more information. # # Example: MECHANISMS="pam" MECHANISMS="pam" # Additional options for this mechanism. (default: none) # See the saslauthd man page for information about mech-specific options. MECH_OPTIONS="" # How many saslauthd processes should we run? (default: 5) # A value of 0 will fork a new process for each connection. THREADS=5 # Other options (default: -c -m /var/run/saslauthd) # Note: You MUST specify the -m option or saslauthd won't run! # # WARNING: DO NOT SPECIFY THE -d OPTION. # The -d option will cause saslauthd to run in the foreground instead of as # a daemon. This will PREVENT YOUR SYSTEM FROM BOOTING PROPERLY. If you wish # to run saslauthd in debug mode, please run it by hand to be safe. # # See /usr/share/doc/sasl2-bin/README.Debian for Debian-specific information. # See the saslauthd man page and the output of 'saslauthd -h' for general # information about these options. # # Example for postfix users: "-c -m /var/spool/postfix/var/run/saslauthd" #OPTIONS="-c -m /var/run/saslauthd" OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r"
Затем добавьте в Postfix пользователя sasl группы (это гарантирует, что Postfix имеет разрешение на доступ к saslauthd):
|
Добавляем пользователя sasl (1 команда) |
|
|
Теперь перезапустить Postfix и запустим saslauthd: (2 команды) |
|
Чтобы убедиться, что SMTP-AUTH и TLS работать Теперь запустите следующую команду:
|
Проверка Telnet: (1 команда) |
|
Вы увидите: 250-STARTTLS и 250-AUTH PLAIN LOGIN, значит все в порядке. На моей системе это выглядит так:
root@server1:/etc/postfix/ssl# telnet localhost 25 Trying ::1... Connected to localhost.localdomain. Escape character is '^]'. 220 server1.example.com ESMTP Postfix (Ubuntu) ehlo localhost 250-server1.example.com 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN 250-AUTH=PLAIN LOGIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN quit 221 2.0.0 Bye Connection closed by foreign host. root@server1:/etc/postfix/ssl#
|
Возврат в системную оболочку: (1 команда) |
|
Courier-IMAP/Courier-POP3
Запустим установку Courier-IMAP/Courier-IMAP-SSL (для IMAPS на порт 993) и Courier-POP3/Courier-POP3-SSL (для POP3S на порт 995):
|
Установка пакетов Courier-IMAP/Courier-POP3: (1 команда) |
|
Вам будет предложено два вопроса:
- Создание папок для веб-администрирования? - нет
- SSL сертификат требуется - Ok
Во время установки SSL сертификаты для IMAP-и POP3-SSL-SSL создаются с хоста локальный. Чтобы изменить это правильное имя хоста (server1.example.com в этом руководстве), удалим сертификаты ...
|
Удаление сертификатов + отредактируем imapd.cnf: (4 команды) |
|
... и изменить следующие два файла, заменить CN=localhost на CN=server1.example.com (вы можете также изменить другие значения, если это необходимо):
[...] CN=server1.example.com [...]
|
Отредактируем pop3d.cnf: (1 команда) |
|
[...] CN=server1.example.com [...]
|
Пересоздадим сертификаты и перезапустим их: (4 команды) |
|
