Postfix Dovecot MySql
Обычно в примерах создания серверов описывается настройка одного общего сервера почты и сервера базы данных. В данной книге будет рассмотрен пример создания независимых серверов со взаимодействием между собой.
Для этого в качестве основы создания серверов будет использоваться “vagrant” и “virtualbox”. Пакеты “vagrant” и “virtualbox” можно взять непосредственно с сайтов.
Создание гостевых узлов
В качестве сервера виртуальных машин был выбран “Oracle Linux 7”. Для этого с сайта “Oracle” был взят готовый образ для “vagrant”.
Vagrant
Установку “virtualbox” по всей видимости можно здесь не рассматривать, так как это на мой взгляд не представляет никаких проблем. Остановимся на установке гостевых систем с помощью “vagrant”. После инсталляции пакета “vagrant” и заранее установленного пакета “virtualbox” от имени не root-пользователя производится добавление гостевого исходного образа (box) и его инициализация:
$ vagrant box add --name ol7 https://yum.oracle.com/boxes/oraclelinux/ol75/ ol75.box $ vagrant init ol7 $ vagrant up $ vagrant ssh
После того, как гостевая система успешно загрузится и произойдёт удачное подключение по ssh-протоколу, из гостевой системы можно будет выйти и остановить её:
$ vagrant halt
и в домашнем каталоге появится файл “Vagrantfile”. Кроме того, если запустить “virtualbox”, то можно будет увидеть, что появилась новая гостевая система. Все настройки этой и других гостевых систем, созданных с помощью “vagrant”, осуществляются в файле “Vagrantfile”.
У гостевого сервера всегда будет присутствовать один сетевой интерфейс с внутренним адресом сети “virtualbox”. В данном случае это будет один из адресов сети “10.0.2.0/24”. Кроме того, нам понадобится дополнительная внутренняя сеть для всех гостевых систем.
Для удобства имя гостевой системы в “virtualbox” можно будет переименовать в более адекватное.
DNS
Перейдём к созданию DNS-сервера на основе имеющегося образа. Для этого вместо “default”-настройки добавим в имеющийся “Vagrantfile” следующее:
config.vm.define "dns" do |dns| dns.vm.box = "ol7" dns.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box& quot; dns.vm.hostname = "ns.example.edu" dns.vm.network "private_network", ip: "192.168.33.12", :netmask => "255.255.255.0" dns.vm.provider "virtualbox" do |vb| vb.name = "dns" # vb.gui = true vb.memory = "512" vb.cpus = "1" vb.customize ["modifyvm", :id, "--vram", "10"] vb.customize ["modifyvm", :id, "--natdnshostresolver1", "on"] end end
Инициализируем “dns”-сервер:
$ vagrant init dns $ vagrant up dns $ vagrant ssh dns
и попробуем к этому серверу подключиться через “ssh”-протокол.
Из настроек видно, что “dns”-сервер будет иметь имя “ns.example.edu”, адрес этого сервера будет “192.168.33.12” с маской “255.255.255.0”. Объём ОЗУ выбран 512 МБ, 1 процессор, 10 МБ видеопамяти. Также произведено переименование исходного имени гостевой системы в “virtualbox” после инициализации в “dns”.
Запуск сервера будет выглядить приблизительно следующим образом:
$ vagrant up dns ==> dns: Clearing any previously set forwarded ports... ==> dns: Fixed port collision for 22 => 2222. Now on port 2200. ==> dns: Clearing any previously set network interfaces... ==> dns: Preparing network interfaces based on configuration... dns: Adapter 1: nat dns: Adapter 2: hostonly ==> dns: Forwarding ports... dns: 22 (guest) => 2200 (host) (adapter 1) ==> dns: Running 'pre-boot' VM customizations... ==> dns: Booting VM... ==> dns: Waiting for machine to boot. This may take a few minutes... dns: SSH address: 127.0.0.1:2200 dns: SSH username: vagrant dns: SSH auth method: private key dns: Warning: Connection reset. Retrying... dns: Warning: Remote connection disconnect. Retrying... ==> dns: Machine booted and ready! ==> dns: Checking for guest additions in VM... ==> dns: Setting hostname... ==> dns: Configuring and enabling network interfaces... ==> dns: Mounting shared folders... dns: /vagrant => /home/eugene $
Установка пакетов и настройка DNS-сервера
В качестве DNS-сервера используется BIND. Для этого устанавливаются пакеты “bind, bind-utils”.
После установки пакетов начнём настраивать “dns”-сервер. Для этого надо будет создать прямую и реверсную зоны, а также информацию об этих зонах надо будет добавить в файл настроек “/etc/named.conf”. Файлы зон размещаются в каталоге “/var/named/” с именами “example.edu” и “33.168.192.in-addr.arpa”.
Файлы зон выглядят следующим образом:
[root@ns named]# cat /var/named/example.edu $ORIGIN example.edu. $TTL 86400 ; 1 day @ IN SOA ns.example.edu. hostmaster.example.edu. ( 2018092605 ; serial 10800 ; refresh (3 hours) 3600 ; retry (1 hour) 1209600 ; expire (2 weeks #RFC1912) 86400 ; minimum (1 day) ) ; DNS Servers IN NS ns.example.edu. ; MX Records IN MX 10 mail.example.edu. $ORIGIN example.edu. www A 192.168.33.10 mysql A 192.168.33.11 ns A 192.168.33.12 mail A 192.168.33.13
и
[root@ns named]# cat /var/named/33.168.192.in-addr.arpa $TTL 86400 ; 1 day @ IN SOA ns.example.edu. hostmaster.example.edu. ( 7 ; serial 28800 ; refresh (8 hours) 14400 ; retry (4 hours) 3600000 ; expire (5 weeks 6 days 16 hours) 86400 ; minimum (1 day) ) @ IN NS ns.example.edu. 10 PTR www.example.edu. 11 PTR mysql.example.edu. 12 PTR ns.example.edu. 13 PTR mail.example.edu.
а в файл “/etc/named.conf” надо внести следующие обновления:
options { listen-on port 53 { any; }; allow-query {any; }; ... zone "example.edu" IN { type master; file "example.edu"; allow-update { none; }; allow-query { any; }; notify yes; }; zone "33.168.192.in-addr.arpa" IN { type master; file "33.168.192.in-addr.arpa"; allow-update { none; }; allow-query { any; }; notify yes; };
В этом файле минимальные настройки, которые для нашего примера описывают только внутреннюю сеть “192.168.33.0/24”.
В каталоге “/var/named/” права для вновь созданных файлов поменяем на “named”:
# chown named:named /var/named/{example.edu,33.168.192.in-addr.arpa} # systemctl start named
и проверим, что сервис запущен без ошибок:
# systemctl status named * named.service - Berkeley Internet Name Domain (DNS) Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled) Active: <@\textcolor{red}{active (running)}@> since Wed 2018-11-28 12: 55:23 EET; 52min ago Process: 1058 ExecStart=/usr/sbin/named -u named-c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS) Process: 1051 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS) Main PID: 1060 (named) CGroup: /system.slice/named.service |__1060 /usr/sbin/named -u named -c /etc/named.conf Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.127.in-addr.arpa/IN: ...0 Nov 28 12:55:23 ns.example.edu named[1060]: zone 33.168.192.in-addr.arpa/IN:...7 Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost.localdomain/IN: l...0 Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0...0 Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost/IN: loaded serial 0 Nov 28 12:55:23 ns.example.edu named[1060]: all zones loaded Nov 28 12:55:23 ns.example.edu systemd[1]: Started Berkeley Internet Name Do.... Nov 28 12:55:23 ns.example.edu named[1060]: running Nov 28 12:55:28 ns.example.edu named[1060]: no longer listening on 192.168.3...3 Nov 28 12:55:32 ns.example.edu named[1060]: listening on IPv4 interface eth1...3 Hint: Some lines were ellipsized, use -l to show in full.
Теперь можно проверить, что сервер отвечает правильно на запросы:
[root@ns named]# nslookup - 127.0.0.1 > ns.example.edu Server: 127.0.0.1 Address: 127.0.0.1#53 Name: ns.example.edu Address: 192.168.33.12 > 192.168.33.12 Server: 127.0.0.1 Address: 127.0.0.1#53 12.33.168.192.in-addr.arpa name = ns.example.edu. > ^D
После того, когда убедились, что сервер правильно отвечает на запросы, надо “named.service” добавить в автоматическую загрузку при старте гостевого узла:
# systemctl enable named
Для нормального ответа на все сетевые запросы необходимо, чтобы в файле “/etc/resolv.conf” была ссылка на локальный “dns”-сервер, а так как первый интерфейс всегда “nat”, получаемый параметры через “dhcp”, то в этом файле исходно запись “nameserver” указывает на основной сервер с “virtualbox”. Поэтому необходимо после запуска гостевой системы содержимое файла /etc/resolv.conf” изменить. Это делается изменением в файле “Vagrantfile”:
config.vm.provision :shell do |shell| shell.path = "bin/fix_vagrant_resolv.conf.sh" end
В домашнем каталоге хостового узла в директории “$HOME/bin” надо создать файл “fix_vagrant_resolv.conf.sh” с содержимым:
$ cat ~/bin/fix_vagrant_resolv.conf.sh cat > /etc/resolv.conf <<EOF # # managed by vagrant # domain example.edu search example.edu nameserver 192.168.33.12 EOF
Mail-сервер
Следующим сервером установим почтовый сервер. Для этого, также как и для “dns”-сервера, воспользуемся имеющейся заготовкой “vagrant” с той лишь разницей, что вместо “dns” укажем “mail”. Для этого в имеющийся файл “Vagrantfile”, также как и для “dns”-сервера, надо добавть информацию о “mail”-сервере:
config.vm.define "mail" do |mail| mail.vm.box = "ol7" mail.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box" mail.vm.hostname = "mail.example.edu" mail.vm.network "private_network", ip: "192.168.33.13", :netmask => "255.255.255.0" mail.vm.provider "virtualbox" do |vb| vb.name = "mail" # vb.gui = true vb.memory = "512" vb.cpus = "1" vb.customize ["modifyvm", :id, "--vram", "10"] vb.customize ["modifyvm", :id, "--natdnshostresolver1", "on"] end end
и произведём инициализацию:
$ vagrant init mail $ vagrant up mail $ vagrant ssh mail
Почтовый сервер будет состоять из “postfix” и “dovecot”. Авторизация пользователей будет осуществляться через базу данных “mysql”. Для этого добавим пакеты “postfix, dovecot, dovecot-mysql”, а также “mariadb, mariadb-libs”.
Письма будут храниться в каталоге “/var/vmail” и доступ к почтовым ящикам будет иметь виртуальный пользователь “vmail”:
# groupadd -g 2000 vmail # mkdir -p /var/vmail # useradd -g vmail -u 2000 -c "Virtuial Mail User" -d /var/vmail -s /sbin/nologin vmail # chown -R vmail:vmail /var/vmail # chmod -R 770 /var/vmail
Postfix
Так как почтовый сервер должен быть сопряжён с “mysql”-базой данных, то в настройках “postfix” надо будет добавить файлы с информацией для доступа к базе. В нашем случае пользователем для базы данных “postfix” будет “postfix” с паролем “db_admin”. База данных будет находиться на сервере “mysql.example.edu”. Для начала создадим каталог “/etc/postfix/mysql” и туда запишем ряд файлов:
“relay_domains.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' and backupmx = '1'
“virtual_alias_domain_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1
“virtual_alias_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
“virtual_mailbox_domains.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
“virtual_mailbox_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
В файле “/etc/postfix/main.cf” надо указать на вновь созданные файлы:
# mysql mappings # relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
Кроме этого, надо сделать ещё некоторые изменения в этом файле:
soft_bounce = no myhostname = mail.example.edu mydomain = example.edu myorigin = $myhostname mydestination = localhost.$mydomain, localhost inet_interfaces = all mynetworks = 192.168.33.0/24, 127.0.0.0/8 alias_maps = hash:/etc/aliases
Чтобы происходила подмена исходного адреса от отправителя с
“host.domain” на “domain” необходимо в этом файле изменить “masquerade”. Для этого добавим:
# ADDRESS REWRITING # # The ADDRESS_REWRITING_README document gives information about # address masquerading or other forms of address rewriting including # username->Firstname.Lastname mapping. masquerade_domains = example.edu
Ограничения для получения или перенаправления писем почтовым сервером описываются следующим образом:
# restrictions # smtpd_discard_ehlo_keywords = etrn, silent-discard smtpd_forbidden_commands = CONNECT GET POST broken_sasl_auth_clients = yes smtpd_delay_reject = yes smtpd_helo_required = yes disable_vrfy_command = yes smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_invalid_helo_hostname smtpd_data_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_pipelining, reject_multi_recipient_bounce, smtpd_sender_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_sender, reject_unknown_sender_domain smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_multi_recipient_bounce, permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, check_policy_service unix:/var/spool/postfix/postgrey/socket, #reject_rbl_client zen.spamhaus.org, #reject_rbl_client bl.spamcop.net, #reject_rbl_client dnsbl.sorbs.net, reject_invalid_hostname
В целях безопасности передачи почты желательно, чтобы канал был шифрованный. Это можно достичь включив поддержку TLS. Также надо создать ограничения на размер принимаемых писем, поддержку SASL-аутентификации, указать общее с “dovecot” место хранения почты:
# tls # smtp_tls_security_level = may smtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem tls_random_source = dev:/dev/urandom # limits # message_size_limit = 51200000 smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 15 smtpd_error_sleep_time = 20 anvil_rate_time_unit = 60s smtpd_client_connection_count_limit = 20 smtpd_client_connection_rate_limit = 30 smtpd_client_message_rate_limit = 30 smtpd_client_event_limit_exceptions = 127.0.0.0/8 smtpd_client_connection_limit_exceptions = 127.0.0.0/8 # queue # maximal_queue_lifetime = 5d bounce_queue_lifetime = 5d # sasl # smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # virtual # virtual_mailbox_base = /var/vmail virtual_minimum_uid = 2000 virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 virtual_transport = dovecot dovecot_destination_recipient_limit = 1
В данном блоке указано место хранения сертификата и ключа. Подробнее о создании самоподписанного сертификата будет рассказано ниже.
Включение кроме 25-го (smtp) по-умолчании порта дополнительного 587-го порта (submission) производится настройкой файла
“/etc/postfix/master.cf”:
submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_wrappermode=no -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination -o milter_macro_daemon_name=ORIGINATING # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions
Для совместимости с “dovecot” в конце файла надо добвить следующее:
dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}
Dovecot
Dovecot - агент доставки почты, а также “imap” и “pop3” сервер. Необходимые пакеты должны быть уже предустановлены.
В файле “dovecot.conf” достаточно только указать на протоколы, с которыми будет работать “dovecot”:
protocols = imap pop3
Также надо отредактировать файлы находяциеся в каталоге “conf.d”. Надо отметить, что в настройке необходимо указать тот же номер “id”, который был выбран при настройке “postfix”:
“10-mail.conf”
mail_uid = 2000 mail_gid = 2000 first_valid_uid = 2000 mail_plugins = quota mail_location = maildir:/var/vmail/%d/%n
“10-auth.conf”
disable_plaintext_auth = no auth_realms = example.edu auth_default_realm = example.edu auth_mechanisms = plain login #!include auth-system.conf.ext !include auth-sql.conf.ext
“10-master.conf”
service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 ssl = yes } } service pop3-login { inet_listener pop3 { port = 110 } inet_listener pop3s { port = 995 ssl = yes } } service auth { unix_listener auth-userdb { mode = 0600 user = vmail group = vmail } unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } }
“10-ssl.conf”
ssl = yes ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
“15-lda.conf”
quota_full_tempfail = no lda_mailbox_autocreate = yes protocol lda { # Space separated list of plugins to load (default is global mail_plugins). mail_plugins = $mail_plugins autocreate }
“20-imap.conf”
“90-plugin.conf”
plugin { #setting_name = value autocreate = Trash autocreate2 = sent-mail autocreate3 = drafts autosubscribe = Trash autosubscribe2 = sent-mail autosubscribe3 = drafts }
“90-quota.conf” Здесь надо установить необходимые с вашими требованиями параметры:
plugin { quota_rule = *:storage=1G quota_rule2 = Trash:storage=+100M } plugin { quota_warning = storage=90%% quota-warning 90 %u #quota_warning2 = storage=80%% quota-warning 80 %u } service quota-warning { executable = script /usr/local/bin/quota-warning.sh user = vmail unix_listener quota-warning { user = vmail } } plugin { #quota = dirsize:User quota quota = maildir:User quota #quota = dict:User quota::proxy::quota #quota = fs:User quota }
В соответствии с настройками файла “auth-sql.conf.ext” надо создать и разместить файл, указанный в параметре “args”:
# cat /etc/dovecot/dovecot-sql.conf.ext driver = mysql connect = host=mysql.example.edu dbname=postfix user=postfix password=db_admin default_pass_scheme = MD5-CRYPT user_query = SELECT '/var/vmail/%d/%n' as home, 'maildir:/var/vmail/%d/%n'as mail, 2000 AS uid, 2000 AS gid, concat('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' AND active = '1' password_query = SELECT username as user, password, '/var/vmail/%d/%n' as userdb_home, 'maildir:/var/vmail/%d/%n' as userdb_mail, 2000 as userdb_uid, 2000 as userdb_gid, oncat('*:bytes=', quota) AS userdb_quota_rule FROM mailbox WHERE username = '%u' AND active = '1'
Spamassassin
Чтобы отсеивать нежелательную почту существует много способов. Один из них - использование “spamassassin”. Для этого надо установить пакет “spamassassin”, а также создать системного пользователя “spamd”:
# groupadd -r spamd # useradd -r -g spamd -s /bin/false -d /var/log/spamassassin spamd # mkdir -p /var/log/spamassassin # chown -R spamd:spamd /var/log/spamassassin
и затем добавим в файл “/etc/postfix/master.cf” параметры запуска “spamassassin”:
#smtp inet n - n - - smtpd smtp inet n - n - - smtpd -o content_filter=spamassassin
а также в конце этого файла добавить следующее:
spamassassin unix - n n - - pipe flags=R user=spamd argv=/bin/spamc -e /sbin/sendmail -oi -f ${sender} ${recipient}
Также надо добавить автоматический запуск “spamassassin” при запуске сервера:
# systemctl start spamassassin # systemctl enable spamassassin # systemctl start postfix # systemctl enable postfix # systemctl start dovecot # systemctl enable dovecot
Postgrey
Этот пакет позволяет отлавливать спам в случае, если письмо отправляется не с почтового сервера, так как почтовый сервер предусматривает повторную пересылку сообщения, если сразу письмо не было принято. Приём письма задерживается на некоторое время и отправителю направляется сообщение, чтобы письмо было вновь переправлено через некоторый период времени. Если же письмо отправляется не через почтовый сервер, то повтора никогда не будет и это исключит приём спама.
Установка заключается в загрузке пакета “postgrey”. Файлы настроек находятся в каталоге “/etc/postfix”. Добавим автозапуск пакета:
# systemctl start postgrey # systemctl enable postgrey
Более подробную информацию можно найти на сайте “https://wiki.centos.org/HowTos/postgrey”.
SASL
В настройке “postfix” присутствует использование “sasl”-аутентификации. Для данного примера настройки серверов её использование не нужно, но всё же установка её на почтовый сервер будет рассмотрена. Необходимо только установить следующие пакеты: “cyrus-sasl” и “cyrus-sasl-lib”. А также сделать пакет загружаемым:
# systemctl start saslauthd # systemctl enable saslauthd
Настройка этого сервиса нужна для автоматической аутентификации с удалёнными клиентскими программами, такими как “sendmail”, “postfix” и им подобными. Например, на удалённом компьютере почта отправляется через локальный почтовый сервер, который в свою очередь настроен на передачу всей своей почты на так называемый “smart-host”.