Postfix Dovecot MySql: Difference between revisions

From wiki.habital.lv
Jump to navigation Jump to search
No edit summary
No edit summary
Line 477: Line 477:
} </pre></li>
} </pre></li>
<li><p>“20-imap.conf”</p>
<li><p>“20-imap.conf”</p>
<li><p>“90-plugin.conf”</p>
<pre>plugin {
  #setting_name = value
  autocreate = Trash
  autocreate2 = sent-mail
  autocreate3 = drafts
  autosubscribe = Trash
  autosubscribe2 = sent-mail
  autosubscribe3 = drafts
} </pre></li>
<li><p>“90-quota.conf” Здесь надо установить необходимые с вашими требованиями параметры:<br /></p>
<pre>plugin {
  quota_rule = *:storage=1G
  quota_rule2 = Trash:storage=+100M
}
plugin {
  quota_warning = storage=90%% quota-warning 90 %u
  #quota_warning2 = storage=80%% quota-warning 80 %u
}
service quota-warning {
  executable = script /usr/local/bin/quota-warning.sh
  user = vmail
  unix_listener quota-warning {
    user = vmail
  }
}
plugin {
  #quota = dirsize:User quota
  quota = maildir:User quota
  #quota = dict:User quota::proxy::quota
  #quota = fs:User quota
} </pre></li>
<li><p>В соответствии с настройками файла “'''auth-sql.conf.ext'''” надо создать и разместить файл, указанный в параметре “args”:</p>
<pre># cat /etc/dovecot/dovecot-sql.conf.ext
driver = mysql
connect = host=mysql.example.edu dbname=postfix user=postfix password=db_admin default_pass_scheme = MD5-CRYPT
user_query = SELECT '/var/vmail/%d/%n' as home, 'maildir:/var/vmail/%d/%n'as mail, 2000 AS uid, 2000 AS gid, concat('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1'
password_query = SELECT username as user, password, '/var/vmail/%d/%n' as userdb_home, 'maildir:/var/vmail/%d/%n' as userdb_mail, 2000 as userdb_uid, 2000 as userdb_gid, oncat('*:bytes=', quota) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1' </pre></li></ol>
==== Spamassassin ====
Чтобы отсеивать нежелательную почту существует много способов. Один из них - использование “spamassassin”. Для этого надо установить пакет “'''spamassassin'''”, а также создать системного пользователя “spamd”:
<pre># groupadd -r spamd
# useradd -r -g spamd -s /bin/false -d /var/log/spamassassin spamd
# mkdir -p /var/log/spamassassin
# chown -R spamd:spamd /var/log/spamassassin</pre>
и затем добавим в файл “'''/etc/postfix/master.cf'''” параметры запуска “spamassassin”:
<pre>#smtp      inet  n      -      n      -      -      smtpd
smtp      inet  n      -      n      -      -      smtpd -o content_filter=spamassassin </pre>
а также в конце этого файла добавить следующее:
<pre>spamassassin unix -    n      n      -      -      pipe
  flags=R user=spamd argv=/bin/spamc -e /sbin/sendmail -oi -f ${sender} ${recipient} </pre>
Также надо добавить автоматический запуск “spamassassin” при запуске сервера:
<pre># systemctl start spamassassin
# systemctl enable spamassassin
# systemctl start postfix
# systemctl enable postfix
# systemctl start dovecot
# systemctl enable dovecot</pre>
==== Postgrey ====
Этот пакет позволяет отлавливать спам в случае, если письмо отправляется не с почтового сервера, так как почтовый сервер предусматривает повторную пересылку сообщения, если сразу письмо не было принято. Приём письма задерживается на некоторое время и отправителю направляется сообщение, чтобы письмо было вновь переправлено через некоторый период времени. Если же письмо отправляется не через почтовый сервер, то повтора никогда не будет и это исключит приём спама.
Установка заключается в загрузке пакета “'''postgrey'''”. Файлы настроек находятся в каталоге “'''/etc/postfix'''”. Добавим автозапуск пакета:
<pre># systemctl start postgrey
# systemctl enable postgrey</pre>
Более подробную информацию можно найти на сайте “https://wiki.centos.org/HowTos/postgrey”.
==== SASL ====
В настройке “postfix” присутствует использование “sasl”-аутентификации. Для данного примера настройки серверов её использование не нужно, но всё же установка её на почтовый сервер будет рассмотрена. Необходимо только установить следующие пакеты: “'''cyrus-sasl'''” и “'''cyrus-sasl-lib'''”. А также сделать пакет загружаемым:
<pre># systemctl start saslauthd
# systemctl enable saslauthd</pre>
Настройка этого сервиса нужна для автоматической аутентификации с удалёнными клиентскими программами, такими как “sendmail”, “postfix” и им подобными. Например, на удалённом компьютере почта отправляется через локальный почтовый сервер, который в свою очередь настроен на передачу всей своей почты на так называемый “smart-host”.
=== MySQL-сервер ===

Revision as of 23:16, 5 December 2018

Обычно в примерах создания серверов описывается настройка одного общего сервера почты и сервера базы данных. В данной книге будет рассмотрен пример создания независимых серверов со взаимодействием между собой.

Для этого в качестве основы создания серверов будет использоваться “vagrant” и “virtualbox”. Пакеты “vagrant” и “virtualbox” можно взять непосредственно с сайтов.

Создание гостевых узлов

В качестве сервера виртуальных машин был выбран “Oracle Linux 7”. Для этого с сайта “Oracle” был взят готовый образ для “vagrant”.

Vagrant

Установку “virtualbox” по всей видимости можно здесь не рассматривать, так как это на мой взгляд не представляет никаких проблем. Остановимся на установке гостевых систем с помощью “vagrant”. После инсталляции пакета “vagrant” и заранее установленного пакета “virtualbox” от имени не root-пользователя производится добавление гостевого исходного образа (box) и его инициализация:

$ vagrant box add --name ol7 https://yum.oracle.com/boxes/oraclelinux/ol75/
ol75.box
$ vagrant init ol7
$ vagrant up
$ vagrant ssh

После того, как гостевая система успешно загрузится и произойдёт удачное подключение по ssh-протоколу, из гостевой системы можно будет выйти и остановить её:

$ vagrant halt

и в домашнем каталоге появится файл “Vagrantfile”. Кроме того, если запустить “virtualbox”, то можно будет увидеть, что появилась новая гостевая система. Все настройки этой и других гостевых систем, созданных с помощью “vagrant”, осуществляются в файле “Vagrantfile”.

У гостевого сервера всегда будет присутствовать один сетевой интерфейс с внутренним адресом сети “virtualbox”. В данном случае это будет один из адресов сети “10.0.2.0/24”. Кроме того, нам понадобится дополнительная внутренняя сеть для всех гостевых систем.

Для удобства имя гостевой системы в “virtualbox” можно будет переименовать в более адекватное.

DNS

Перейдём к созданию DNS-сервера на основе имеющегося образа. Для этого вместо “default”-настройки добавим в имеющийся “Vagrantfile” следующее:

config.vm.define "dns" do |dns|  
  dns.vm.box = "ol7" 
  dns.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box&
quot;  
  dns.vm.hostname = "ns.example.edu"   
  dns.vm.network "private_network", ip: "192.168.33.12",
    :netmask => "255.255.255.0" 
  dns.vm.provider "virtualbox" do |vb|   
    vb.name = "dns"   
    # vb.gui = true  
    vb.memory = "512"   
    vb.cpus = "1"      
    vb.customize ["modifyvm", :id, "--vram", "10"]
   
    vb.customize ["modifyvm", :id, "--natdnshostresolver1", 
"on"]   
  end 
end 

Инициализируем “dns”-сервер:

$ vagrant init dns
$ vagrant up dns
$ vagrant ssh dns

и попробуем к этому серверу подключиться через “ssh”-протокол.

Из настроек видно, что “dns”-сервер будет иметь имя “ns.example.edu”, адрес этого сервера будет “192.168.33.12” с маской “255.255.255.0”. Объём ОЗУ выбран 512 МБ, 1 процессор, 10 МБ видеопамяти. Также произведено переименование исходного имени гостевой системы в “virtualbox” после инициализации в “dns”.

Запуск сервера будет выглядить приблизительно следующим образом:

$ vagrant up dns
==> dns: Clearing any previously set forwarded ports... 
==> dns: Fixed port collision for 22 => 2222. Now on port 2200. 
==> dns: Clearing any previously set network interfaces... 
==> dns: Preparing network interfaces based on configuration... 
    dns: Adapter 1: nat
    dns: Adapter 2: hostonly 
==> dns: Forwarding ports...
    dns: 22 (guest) => 2200 (host) (adapter 1) 
==> dns: Running 'pre-boot' VM customizations... 
==> dns: Booting VM... 
==> dns: Waiting for machine to boot. This may take a few minutes...
    dns: SSH address: 127.0.0.1:2200
    dns: SSH username: vagrant
    dns: SSH auth method: private key
    dns: Warning: Connection reset. Retrying...
    dns: Warning: Remote connection disconnect. Retrying... 
==> dns: Machine booted and ready! 
==> dns: Checking for guest additions in VM... 
==> dns: Setting hostname... 
==> dns: Configuring and enabling network interfaces... 
==> dns: Mounting shared folders...
dns: /vagrant => /home/eugene
$

Установка пакетов и настройка DNS-сервера

В качестве DNS-сервера используется BIND. Для этого устанавливаются пакеты “bind, bind-utils”.

После установки пакетов начнём настраивать “dns”-сервер. Для этого надо будет создать прямую и реверсную зоны, а также информацию об этих зонах надо будет добавить в файл настроек “/etc/named.conf”. Файлы зон размещаются в каталоге “/var/named/” с именами “example.edu” и “33.168.192.in-addr.arpa”.

Файлы зон выглядят следующим образом:

[root@ns named]# cat /var/named/example.edu
$ORIGIN example.edu. 
$TTL 86400      ; 1 day
@       IN SOA  ns.example.edu. hostmaster.example.edu. (
                           2018092605 ; serial
                           10800      ; refresh (3 hours)
                           3600       ; retry (1 hour)
                           1209600    ; expire (2 weeks #RFC1912)
                           86400      ; minimum (1 day)
                           )
; DNS Servers
        IN      NS      ns.example.edu.
; MX Records
        IN      MX      10 mail.example.edu.
$ORIGIN example.edu.
www             A               192.168.33.10
mysql           A               192.168.33.11
ns              A               192.168.33.12
mail            A               192.168.33.13 

и

[root@ns named]# cat /var/named/33.168.192.in-addr.arpa
$TTL 86400      ; 1 day
@  IN SOA  ns.example.edu. hostmaster.example.edu. (
                        7          ; serial
                        28800      ; refresh (8 hours)
                        14400      ; retry (4 hours)
                        3600000    ; expire (5 weeks 6 days 16 hours)
                        86400      ; minimum (1 day)
                        )
@                       IN      NS      ns.example.edu.

10                      PTR     www.example.edu.
11                      PTR     mysql.example.edu.
12                      PTR     ns.example.edu.
13                      PTR     mail.example.edu. 

а в файл “/etc/named.conf” надо внести следующие обновления:

options {
        listen-on port 53 { any; };
        allow-query {any; };
...
zone "example.edu" IN {
        type master;
        file "example.edu";
        allow-update { none; };
        allow-query { any; };
        notify yes;
};

zone "33.168.192.in-addr.arpa" IN {
        type master;
        file "33.168.192.in-addr.arpa";
        allow-update { none; };
        allow-query { any; };
        notify yes;
};

В этом файле минимальные настройки, которые для нашего примера описывают только внутреннюю сеть “192.168.33.0/24”.

В каталоге “/var/named/” права для вновь созданных файлов поменяем на “named”:

# chown named:named /var/named/{example.edu,33.168.192.in-addr.arpa}
# systemctl start named

и проверим, что сервис запущен без ошибок:

# systemctl status named
*   named.service - Berkeley Internet Name Domain (DNS)
    Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
    Active: <@\textcolor{red}{active (running)}@> since Wed 2018-11-28 12:
55:23 EET; 52min ago
    Process: 1058 ExecStart=/usr/sbin/named -u named-c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
    Process: 1051 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
 Main PID: 1060 (named)
  CGroup: /system.slice/named.service
          |__1060 /usr/sbin/named -u named -c /etc/named.conf

Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.127.in-addr.arpa/IN: ...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone 33.168.192.in-addr.arpa/IN:...7
Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost.localdomain/IN: l...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost/IN: loaded serial 0
Nov 28 12:55:23 ns.example.edu named[1060]: all zones loaded
Nov 28 12:55:23 ns.example.edu systemd[1]: Started Berkeley Internet Name Do....
Nov 28 12:55:23 ns.example.edu named[1060]: running
Nov 28 12:55:28 ns.example.edu named[1060]: no longer listening on 192.168.3...3
Nov 28 12:55:32 ns.example.edu named[1060]: listening on IPv4 interface eth1...3
Hint: Some lines were ellipsized, use -l to show in full. 

Теперь можно проверить, что сервер отвечает правильно на запросы:

[root@ns named]# nslookup - 127.0.0.1
> ns.example.edu
Server:         127.0.0.1
Address:        127.0.0.1#53

Name:   ns.example.edu
Address: 192.168.33.12
> 192.168.33.12
Server:         127.0.0.1
Address:        127.0.0.1#53
12.33.168.192.in-addr.arpa      name = ns.example.edu.
>  
^D

После того, когда убедились, что сервер правильно отвечает на запросы, надо “named.service” добавить в автоматическую загрузку при старте гостевого узла:

# systemctl enable named

Для нормального ответа на все сетевые запросы необходимо, чтобы в файле “/etc/resolv.conf” была ссылка на локальный “dns”-сервер, а так как первый интерфейс всегда “nat”, получаемый параметры через “dhcp”, то в этом файле исходно запись “nameserver” указывает на основной сервер с “virtualbox”. Поэтому необходимо после запуска гостевой системы содержимое файла /etc/resolv.conf” изменить. Это делается изменением в файле “Vagrantfile”:

    config.vm.provision :shell do |shell|
      shell.path = "bin/fix_vagrant_resolv.conf.sh"
    end 

В домашнем каталоге хостового узла в директории “$HOME/bin” надо создать файл “fix_vagrant_resolv.conf.sh” с содержимым:

$ cat ~/bin/fix_vagrant_resolv.conf.sh
cat > /etc/resolv.conf <<EOF
#
# managed by vagrant
#
domain example.edu
search example.edu
nameserver 192.168.33.12
EOF 

Mail-сервер

Следующим сервером установим почтовый сервер. Для этого, также как и для “dns”-сервера, воспользуемся имеющейся заготовкой “vagrant” с той лишь разницей, что вместо “dns” укажем “mail”. Для этого в имеющийся файл “Vagrantfile”, также как и для “dns”-сервера, надо добавть информацию о “mail”-сервере:

  config.vm.define "mail" do |mail|
    mail.vm.box = "ol7"
    mail.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box"
    mail.vm.hostname = "mail.example.edu"
    mail.vm.network "private_network", ip: "192.168.33.13", 
      :netmask => "255.255.255.0"
    mail.vm.provider "virtualbox" do |vb|
      vb.name = "mail"
      #  vb.gui = true
      vb.memory = "512"
      vb.cpus = "1"
      vb.customize ["modifyvm", :id, "--vram", "10"]
      vb.customize ["modifyvm", :id, "--natdnshostresolver1", "on"]
    end
  end 

и произведём инициализацию:

$ vagrant init mail
$ vagrant up mail
$ vagrant ssh mail

Почтовый сервер будет состоять из “postfix” и “dovecot”. Авторизация пользователей будет осуществляться через базу данных “mysql”. Для этого добавим пакеты “postfix, dovecot, dovecot-mysql”, а также “mariadb, mariadb-libs”.

Письма будут храниться в каталоге “/var/vmail” и доступ к почтовым ящикам будет иметь виртуальный пользователь “vmail”:

# groupadd -g 2000 vmail
# mkdir -p /var/vmail
# useradd -g vmail -u 2000 -c "Virtuial Mail User" -d /var/vmail -s /sbin/nologin vmail
# chown -R vmail:vmail /var/vmail
# chmod -R 770 /var/vmail

Postfix

Так как почтовый сервер должен быть сопряжён с “mysql”-базой данных, то в настройках “postfix” надо будет добавить файлы с информацией для доступа к базе. В нашем случае пользователем для базы данных “postfix” будет “postfix” с паролем “db_admin”. База данных будет находиться на сервере “mysql.example.edu”. Для начала создадим каталог “/etc/postfix/mysql” и туда запишем ряд файлов:

  1. “relay_domains.cf”

    hosts = mysql.example.edu
    user = postfix
    password = db_admin
    dbname = postfix
    query = SELECT domain FROM domain WHERE domain='%s' and backupmx = '1' 
  2. “virtual_alias_domain_maps.cf”

    hosts = mysql.example.edu
    user = postfix
    password = db_admin
    dbname = postfix
    query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1
  3. “virtual_alias_maps.cf”

    hosts = mysql.example.edu
    user = postfix
    password = db_admin
    dbname = postfix
    query = SELECT goto FROM alias WHERE address='%s' AND active = '1' 
  4. “virtual_mailbox_domains.cf”

    hosts = mysql.example.edu
    user = postfix
    password = db_admin
    dbname = postfix
    query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
  5. “virtual_mailbox_maps.cf”

    hosts = mysql.example.edu
    user = postfix
    password = db_admin
    dbname = postfix
    query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'

В файле “/etc/postfix/main.cf” надо указать на вновь созданные файлы:

# mysql mappings
#
relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,
mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf 

Кроме этого, надо сделать ещё некоторые изменения в этом файле:

soft_bounce = no
myhostname = mail.example.edu
mydomain = example.edu
myorigin = $myhostname
mydestination = localhost.$mydomain, localhost
inet_interfaces = all
mynetworks = 192.168.33.0/24, 127.0.0.0/8
alias_maps = hash:/etc/aliases

Чтобы происходила подмена исходного адреса от отправителя с
“host.domain” на “domain” необходимо в этом файле изменить “masquerade”. Для этого добавим:

# ADDRESS REWRITING
#
# The ADDRESS_REWRITING_README document gives information about
# address masquerading or other forms of address rewriting including
# username->Firstname.Lastname mapping.
masquerade_domains = example.edu 

Ограничения для получения или перенаправления писем почтовым сервером описываются следующим образом:

# restrictions
#
smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
disable_vrfy_command = yes
smtpd_helo_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_non_fqdn_helo_hostname,
                          reject_invalid_helo_hostname

smtpd_data_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unauth_pipelining,
                          reject_multi_recipient_bounce,

smtpd_sender_restrictions = permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_non_fqdn_sender,
                          reject_unknown_sender_domain

smtpd_recipient_restrictions = reject_non_fqdn_recipient,
                          reject_unknown_recipient_domain,
                          reject_multi_recipient_bounce,
                          permit_mynetworks,
                          permit_sasl_authenticated,
                          reject_unauth_destination,
                          check_policy_service unix:/var/spool/postfix/postgrey/socket,
                          #reject_rbl_client zen.spamhaus.org,
                          #reject_rbl_client bl.spamcop.net,
                          #reject_rbl_client dnsbl.sorbs.net,
                          reject_invalid_hostname 

В целях безопасности передачи почты желательно, чтобы канал был шифрованный. Это можно достичь включив поддержку TLS. Также надо создать ограничения на размер принимаемых писем, поддержку SASL-аутентификации, указать общее с “dovecot” место хранения почты:

# tls
#
smtp_tls_security_level = may
smtpd_tls_security_level = may
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache
smtpd_tls_key_file = /etc/postfix/certs/key.pem
smtpd_tls_cert_file = /etc/postfix/certs/cert.pem
tls_random_source = dev:/dev/urandom 

# limits
#
message_size_limit = 51200000
smtpd_soft_error_limit = 10
smtpd_hard_error_limit = 15
smtpd_error_sleep_time = 20
anvil_rate_time_unit = 60s
smtpd_client_connection_count_limit = 20
smtpd_client_connection_rate_limit = 30
smtpd_client_message_rate_limit = 30
smtpd_client_event_limit_exceptions = 127.0.0.0/8
smtpd_client_connection_limit_exceptions = 127.0.0.0/8 

# queue
#
maximal_queue_lifetime = 5d
bounce_queue_lifetime = 5d
# sasl
#
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

# virtual
#
virtual_mailbox_base = /var/vmail
virtual_minimum_uid = 2000
virtual_uid_maps = static:2000
virtual_gid_maps = static:2000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1 

В данном блоке указано место хранения сертификата и ключа. Подробнее о создании самоподписанного сертификата будет рассказано ниже.

Включение кроме 25-го (smtp) по-умолчании порта дополнительного 587-го порта (submission) производится настройкой файла
/etc/postfix/master.cf”:

submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_wrappermode=no
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
  -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination
  -o milter_macro_daemon_name=ORIGINATING
#  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions 

Для совместимости с “dovecot” в конце файла надо добвить следующее:


dovecot   unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient} 

Dovecot

Dovecot - агент доставки почты, а также “imap” и “pop3” сервер. Необходимые пакеты должны быть уже предустановлены.

В файле “dovecot.conf” достаточно только указать на протоколы, с которыми будет работать “dovecot”:

protocols = imap pop3

Также надо отредактировать файлы находяциеся в каталоге “conf.d”. Надо отметить, что в настройке необходимо указать тот же номер “id”, который был выбран при настройке “postfix”:

  1. “10-mail.conf”

    mail_uid = 2000
    mail_gid = 2000 
    first_valid_uid = 2000
    mail_plugins = quota
    mail_location = maildir:/var/vmail/%d/%n
  2. “10-auth.conf”

    disable_plaintext_auth = no
    auth_realms = example.edu
    auth_default_realm = example.edu
    auth_mechanisms = plain login
    #!include auth-system.conf.ext
    !include auth-sql.conf.ext
  3. “10-master.conf”

    service imap-login {
      inet_listener imap {
        port = 143
      }
      inet_listener imaps {
        port = 993
        ssl = yes
      } 
    }
    
    service pop3-login {
      inet_listener pop3 {
        port = 110
      }
      inet_listener pop3s {
        port = 995
        ssl = yes
      }
    }
    
    service auth {
      unix_listener auth-userdb {
        mode = 0600
        user = vmail
        group = vmail
      } 
    
      unix_listener /var/spool/postfix/private/auth {
        mode = 0666
        user = postfix 
        group = postfix
      } 
    }
  4. “10-ssl.conf”

    ssl = yes
    ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
    ssl_key = </etc/pki/dovecot/private/dovecot.pem 
  5. “15-lda.conf”

    quota_full_tempfail = no
    lda_mailbox_autocreate = yes
    protocol lda {
      # Space separated list of plugins to load (default is global mail_plugins).
      mail_plugins = $mail_plugins autocreate
    } 
  6. “20-imap.conf”

  7. “90-plugin.conf”

    plugin {
      #setting_name = value
      autocreate = Trash
      autocreate2 = sent-mail
      autocreate3 = drafts
      autosubscribe = Trash
      autosubscribe2 = sent-mail
      autosubscribe3 = drafts
    } 
  8. “90-quota.conf” Здесь надо установить необходимые с вашими требованиями параметры:

    plugin {
      quota_rule = *:storage=1G
      quota_rule2 = Trash:storage=+100M
    }
    
    plugin {
      quota_warning = storage=90%% quota-warning 90 %u
      #quota_warning2 = storage=80%% quota-warning 80 %u
    }
    
    service quota-warning {
      executable = script /usr/local/bin/quota-warning.sh
      user = vmail
      unix_listener quota-warning {
        user = vmail
      }
    }
    
    plugin {
      #quota = dirsize:User quota
      quota = maildir:User quota
      #quota = dict:User quota::proxy::quota
      #quota = fs:User quota
    } 
  9. В соответствии с настройками файла “auth-sql.conf.ext” надо создать и разместить файл, указанный в параметре “args”:

    # cat /etc/dovecot/dovecot-sql.conf.ext
    driver = mysql
    connect = host=mysql.example.edu dbname=postfix user=postfix password=db_admin default_pass_scheme = MD5-CRYPT
    user_query = SELECT '/var/vmail/%d/%n' as home, 'maildir:/var/vmail/%d/%n'as mail, 2000 AS uid, 2000 AS gid, concat('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1'
    password_query = SELECT username as user, password, '/var/vmail/%d/%n' as userdb_home, 'maildir:/var/vmail/%d/%n' as userdb_mail, 2000 as userdb_uid, 2000 as userdb_gid, oncat('*:bytes=', quota) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1' 

Spamassassin

Чтобы отсеивать нежелательную почту существует много способов. Один из них - использование “spamassassin”. Для этого надо установить пакет “spamassassin”, а также создать системного пользователя “spamd”:

# groupadd -r spamd
# useradd -r -g spamd -s /bin/false -d /var/log/spamassassin spamd
# mkdir -p /var/log/spamassassin
# chown -R spamd:spamd /var/log/spamassassin

и затем добавим в файл “/etc/postfix/master.cf” параметры запуска “spamassassin”:

#smtp      inet  n       -       n       -       -       smtpd
smtp      inet  n       -       n       -       -       smtpd -o content_filter=spamassassin 

а также в конце этого файла добавить следующее:

spamassassin unix -     n       n       -       -       pipe
  flags=R user=spamd argv=/bin/spamc -e /sbin/sendmail -oi -f ${sender} ${recipient} 

Также надо добавить автоматический запуск “spamassassin” при запуске сервера:

# systemctl start spamassassin
# systemctl enable spamassassin
# systemctl start postfix
# systemctl enable postfix
# systemctl start dovecot
# systemctl enable dovecot

Postgrey

Этот пакет позволяет отлавливать спам в случае, если письмо отправляется не с почтового сервера, так как почтовый сервер предусматривает повторную пересылку сообщения, если сразу письмо не было принято. Приём письма задерживается на некоторое время и отправителю направляется сообщение, чтобы письмо было вновь переправлено через некоторый период времени. Если же письмо отправляется не через почтовый сервер, то повтора никогда не будет и это исключит приём спама.

Установка заключается в загрузке пакета “postgrey”. Файлы настроек находятся в каталоге “/etc/postfix”. Добавим автозапуск пакета:

# systemctl start postgrey
# systemctl enable postgrey

Более подробную информацию можно найти на сайте “https://wiki.centos.org/HowTos/postgrey”.

SASL

В настройке “postfix” присутствует использование “sasl”-аутентификации. Для данного примера настройки серверов её использование не нужно, но всё же установка её на почтовый сервер будет рассмотрена. Необходимо только установить следующие пакеты: “cyrus-sasl” и “cyrus-sasl-lib”. А также сделать пакет загружаемым:

# systemctl start saslauthd
# systemctl enable saslauthd

Настройка этого сервиса нужна для автоматической аутентификации с удалёнными клиентскими программами, такими как “sendmail”, “postfix” и им подобными. Например, на удалённом компьютере почта отправляется через локальный почтовый сервер, который в свою очередь настроен на передачу всей своей почты на так называемый “smart-host”.

MySQL-сервер