Postfix Dovecot MySql: Difference between revisions
No edit summary |
No edit summary |
||
| Line 243: | Line 243: | ||
# chmod -R 770 /var/vmail</pre> | # chmod -R 770 /var/vmail</pre> | ||
==== Postfix ==== | ==== Postfix ==== | ||
Так как почтовый сервер должен быть сопряжён с “mysql”-базой данных, то в настройках “postfix” надо будет добавить файлы с информацией для доступа к базе. В нашем случае пользователем для базы данных “postfix” будет “postfix” с паролем “db_admin”. База данных будет находиться на сервере “mysql.example.edu”. Для начала создадим каталог “'''/etc/postfix/mysql'''” и туда запишем ряд файлов: | |||
<ol> | |||
<li><p>“relay_domains.cf”</p> | |||
<pre>hosts = mysql.example.edu | |||
user = postfix | |||
password = db_admin | |||
dbname = postfix | |||
query = SELECT domain FROM domain WHERE domain='%s' and backupmx = '1' </pre></li> | |||
<li><p>“virtual_alias_domain_maps.cf”</p> | |||
<pre>hosts = mysql.example.edu | |||
user = postfix | |||
password = db_admin | |||
dbname = postfix | |||
query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1</pre></li> | |||
<li><p>“virtual_alias_maps.cf”</p> | |||
<pre>hosts = mysql.example.edu | |||
user = postfix | |||
password = db_admin | |||
dbname = postfix | |||
query = SELECT goto FROM alias WHERE address='%s' AND active = '1' </pre></li> | |||
<li><p>“virtual_mailbox_domains.cf”</p> | |||
<pre>hosts = mysql.example.edu | |||
user = postfix | |||
password = db_admin | |||
dbname = postfix | |||
query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'</pre></li> | |||
<li><p>“virtual_mailbox_maps.cf”</p> | |||
<pre>hosts = mysql.example.edu | |||
user = postfix | |||
password = db_admin | |||
dbname = postfix | |||
query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'</pre></li></ol> | |||
В файле “'''/etc/postfix/main.cf'''” надо указать на вновь созданные файлы: | |||
<pre># mysql mappings | |||
# | |||
relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf | |||
virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, | |||
mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf | |||
virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf | |||
virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf </pre> | |||
Кроме этого, надо сделать ещё некоторые изменения в этом файле: | |||
<pre>soft_bounce = no | |||
myhostname = mail.example.edu | |||
mydomain = example.edu | |||
myorigin = $myhostname | |||
mydestination = localhost.$mydomain, localhost | |||
inet_interfaces = all | |||
mynetworks = 192.168.33.0/24, 127.0.0.0/8 | |||
alias_maps = hash:/etc/aliases</pre> | |||
Чтобы происходила подмена исходного адреса от отправителя с<br />“host.domain” на “domain” необходимо в этом файле изменить “masquerade”. Для этого добавим: | |||
<pre># ADDRESS REWRITING | |||
# | |||
# The ADDRESS_REWRITING_README document gives information about | |||
# address masquerading or other forms of address rewriting including | |||
# username->Firstname.Lastname mapping. | |||
masquerade_domains = example.edu </pre> | |||
Ограничения для получения или перенаправления писем почтовым сервером описываются следующим образом: | |||
<pre># restrictions | |||
# | |||
smtpd_discard_ehlo_keywords = etrn, silent-discard | |||
smtpd_forbidden_commands = CONNECT GET POST | |||
broken_sasl_auth_clients = yes | |||
smtpd_delay_reject = yes | |||
smtpd_helo_required = yes | |||
disable_vrfy_command = yes | |||
smtpd_helo_restrictions = permit_mynetworks, | |||
permit_sasl_authenticated, | |||
reject_non_fqdn_helo_hostname, | |||
reject_invalid_helo_hostname | |||
smtpd_data_restrictions = permit_mynetworks, | |||
permit_sasl_authenticated, | |||
reject_unauth_pipelining, | |||
reject_multi_recipient_bounce, | |||
smtpd_sender_restrictions = permit_mynetworks, | |||
permit_sasl_authenticated, | |||
reject_non_fqdn_sender, | |||
reject_unknown_sender_domain | |||
smtpd_recipient_restrictions = reject_non_fqdn_recipient, | |||
reject_unknown_recipient_domain, | |||
reject_multi_recipient_bounce, | |||
permit_mynetworks, | |||
permit_sasl_authenticated, | |||
reject_unauth_destination, | |||
check_policy_service unix:/var/spool/postfix/postgrey/socket, | |||
#reject_rbl_client zen.spamhaus.org, | |||
#reject_rbl_client bl.spamcop.net, | |||
#reject_rbl_client dnsbl.sorbs.net, | |||
reject_invalid_hostname </pre> | |||
В целях безопасности передачи почты желательно, чтобы канал был шифрованный. Это можно достичь включив поддержку TLS. Также надо создать ограничения на размер принимаемых писем, поддержку SASL-аутентификации, указать общее с “dovecot” место хранения почты: | |||
<pre># tls | |||
# | |||
smtp_tls_security_level = may | |||
smtpd_tls_security_level = may | |||
smtpd_tls_loglevel = 1 | |||
smtpd_tls_received_header = yes | |||
smtpd_tls_session_cache_timeout = 3600s | |||
smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache | |||
smtpd_tls_key_file = /etc/postfix/certs/key.pem | |||
smtpd_tls_cert_file = /etc/postfix/certs/cert.pem | |||
tls_random_source = dev:/dev/urandom | |||
# limits | |||
# | |||
message_size_limit = 51200000 | |||
smtpd_soft_error_limit = 10 | |||
smtpd_hard_error_limit = 15 | |||
smtpd_error_sleep_time = 20 | |||
anvil_rate_time_unit = 60s | |||
smtpd_client_connection_count_limit = 20 | |||
smtpd_client_connection_rate_limit = 30 | |||
smtpd_client_message_rate_limit = 30 | |||
smtpd_client_event_limit_exceptions = 127.0.0.0/8 | |||
smtpd_client_connection_limit_exceptions = 127.0.0.0/8 | |||
# queue | |||
# | |||
maximal_queue_lifetime = 5d | |||
bounce_queue_lifetime = 5d | |||
# sasl | |||
# | |||
smtpd_sasl_auth_enable = yes | |||
smtpd_sasl_security_options = noanonymous | |||
smtpd_sasl_type = dovecot | |||
smtpd_sasl_path = private/auth | |||
# virtual | |||
# | |||
virtual_mailbox_base = /var/vmail | |||
virtual_minimum_uid = 2000 | |||
virtual_uid_maps = static:2000 | |||
virtual_gid_maps = static:2000 | |||
virtual_transport = dovecot | |||
dovecot_destination_recipient_limit = 1 </pre> | |||
В данном блоке указано место хранения сертификата и ключа. Подробнее о создании самоподписанного сертификата будет рассказано ниже. | |||
Включение кроме 25-го (smtp) по-умолчании порта дополнительного 587-го порта (submission) производится настройкой файла<br />“'''/etc/postfix/master.cf'''”: | |||
<pre>submission inet n - n - - smtpd | |||
-o syslog_name=postfix/submission | |||
-o smtpd_tls_wrappermode=no | |||
-o smtpd_tls_security_level=encrypt | |||
-o smtpd_sasl_auth_enable=yes | |||
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject | |||
-o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination | |||
-o milter_macro_daemon_name=ORIGINATING | |||
# -o smtpd_reject_unlisted_recipient=no | |||
# -o smtpd_client_restrictions=$mua_client_restrictions | |||
# -o smtpd_helo_restrictions=$mua_helo_restrictions | |||
# -o smtpd_sender_restrictions=$mua_sender_restrictions </pre> | |||
Для совместимости с “dovecot” в конце файла надо добвить следующее: | |||
<pre>dovecot unix - n n - - pipe | |||
flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient} </pre> | |||
==== Dovecot ==== | |||
Dovecot - агент доставки почты, а также “imap” и “pop3” сервер. Необходимые пакеты должны быть уже предустановлены. | |||
В файле “'''dovecot.conf'''” достаточно только указать на протоколы, с которыми будет работать “dovecot”: | |||
<pre>protocols = imap pop3</pre> | |||
Также надо отредактировать файлы находяциеся в каталоге “'''conf.d'''”. Надо отметить, что в настройке необходимо указать тот же номер “id”, который был выбран при настройке “postfix”: | |||
<ol> | |||
<li><p>“10-mail.conf”</p> | |||
<pre>mail_uid = 2000 | |||
mail_gid = 2000 | |||
first_valid_uid = 2000 | |||
mail_plugins = quota | |||
mail_location = maildir:/var/vmail/%d/%n</pre></li> | |||
<li><p>“10-auth.conf”</p> | |||
<pre>disable_plaintext_auth = no | |||
auth_realms = example.edu | |||
auth_default_realm = example.edu | |||
auth_mechanisms = plain login | |||
#!include auth-system.conf.ext | |||
!include auth-sql.conf.ext</pre></li> | |||
<li><p>“10-master.conf”</p> | |||
<pre>service imap-login { | |||
inet_listener imap { | |||
port = 143 | |||
} | |||
inet_listener imaps { | |||
port = 993 | |||
ssl = yes | |||
} | |||
} | |||
service pop3-login { | |||
inet_listener pop3 { | |||
port = 110 | |||
} | |||
inet_listener pop3s { | |||
port = 995 | |||
ssl = yes | |||
} | |||
} | |||
service auth { | |||
unix_listener auth-userdb { | |||
mode = 0600 | |||
user = vmail | |||
group = vmail | |||
} | |||
unix_listener /var/spool/postfix/private/auth { | |||
mode = 0666 | |||
user = postfix | |||
group = postfix | |||
} | |||
}</pre></li> | |||
<li><p>“10-ssl.conf”</p> | |||
<pre>ssl = yes | |||
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem | |||
ssl_key = </etc/pki/dovecot/private/dovecot.pem </pre></li> | |||
<li><p>“15-lda.conf”</p> | |||
<pre>quota_full_tempfail = no | |||
lda_mailbox_autocreate = yes | |||
protocol lda { | |||
# Space separated list of plugins to load (default is global mail_plugins). | |||
mail_plugins = $mail_plugins autocreate | |||
} </pre></li> | |||
<li><p>“20-imap.conf”</p> | |||
Revision as of 23:09, 5 December 2018
Обычно в примерах создания серверов описывается настройка одного общего сервера почты и сервера базы данных. В данной книге будет рассмотрен пример создания независимых серверов со взаимодействием между собой.
Для этого в качестве основы создания серверов будет использоваться “vagrant” и “virtualbox”. Пакеты “vagrant” и “virtualbox” можно взять непосредственно с сайтов.
Создание гостевых узлов
В качестве сервера виртуальных машин был выбран “Oracle Linux 7”. Для этого с сайта “Oracle” был взят готовый образ для “vagrant”.
Vagrant
Установку “virtualbox” по всей видимости можно здесь не рассматривать, так как это на мой взгляд не представляет никаких проблем. Остановимся на установке гостевых систем с помощью “vagrant”. После инсталляции пакета “vagrant” и заранее установленного пакета “virtualbox” от имени не root-пользователя производится добавление гостевого исходного образа (box) и его инициализация:
$ vagrant box add --name ol7 https://yum.oracle.com/boxes/oraclelinux/ol75/ ol75.box $ vagrant init ol7 $ vagrant up $ vagrant ssh
После того, как гостевая система успешно загрузится и произойдёт удачное подключение по ssh-протоколу, из гостевой системы можно будет выйти и остановить её:
$ vagrant halt
и в домашнем каталоге появится файл “Vagrantfile”. Кроме того, если запустить “virtualbox”, то можно будет увидеть, что появилась новая гостевая система. Все настройки этой и других гостевых систем, созданных с помощью “vagrant”, осуществляются в файле “Vagrantfile”.
У гостевого сервера всегда будет присутствовать один сетевой интерфейс с внутренним адресом сети “virtualbox”. В данном случае это будет один из адресов сети “10.0.2.0/24”. Кроме того, нам понадобится дополнительная внутренняя сеть для всех гостевых систем.
Для удобства имя гостевой системы в “virtualbox” можно будет переименовать в более адекватное.
DNS
Перейдём к созданию DNS-сервера на основе имеющегося образа. Для этого вместо “default”-настройки добавим в имеющийся “Vagrantfile” следующее:
config.vm.define "dns" do |dns|
dns.vm.box = "ol7"
dns.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box&
quot;
dns.vm.hostname = "ns.example.edu"
dns.vm.network "private_network", ip: "192.168.33.12",
:netmask => "255.255.255.0"
dns.vm.provider "virtualbox" do |vb|
vb.name = "dns"
# vb.gui = true
vb.memory = "512"
vb.cpus = "1"
vb.customize ["modifyvm", :id, "--vram", "10"]
vb.customize ["modifyvm", :id, "--natdnshostresolver1",
"on"]
end
end
Инициализируем “dns”-сервер:
$ vagrant init dns $ vagrant up dns $ vagrant ssh dns
и попробуем к этому серверу подключиться через “ssh”-протокол.
Из настроек видно, что “dns”-сервер будет иметь имя “ns.example.edu”, адрес этого сервера будет “192.168.33.12” с маской “255.255.255.0”. Объём ОЗУ выбран 512 МБ, 1 процессор, 10 МБ видеопамяти. Также произведено переименование исходного имени гостевой системы в “virtualbox” после инициализации в “dns”.
Запуск сервера будет выглядить приблизительно следующим образом:
$ vagrant up dns
==> dns: Clearing any previously set forwarded ports...
==> dns: Fixed port collision for 22 => 2222. Now on port 2200.
==> dns: Clearing any previously set network interfaces...
==> dns: Preparing network interfaces based on configuration...
dns: Adapter 1: nat
dns: Adapter 2: hostonly
==> dns: Forwarding ports...
dns: 22 (guest) => 2200 (host) (adapter 1)
==> dns: Running 'pre-boot' VM customizations...
==> dns: Booting VM...
==> dns: Waiting for machine to boot. This may take a few minutes...
dns: SSH address: 127.0.0.1:2200
dns: SSH username: vagrant
dns: SSH auth method: private key
dns: Warning: Connection reset. Retrying...
dns: Warning: Remote connection disconnect. Retrying...
==> dns: Machine booted and ready!
==> dns: Checking for guest additions in VM...
==> dns: Setting hostname...
==> dns: Configuring and enabling network interfaces...
==> dns: Mounting shared folders...
dns: /vagrant => /home/eugene
$
Установка пакетов и настройка DNS-сервера
В качестве DNS-сервера используется BIND. Для этого устанавливаются пакеты “bind, bind-utils”.
После установки пакетов начнём настраивать “dns”-сервер. Для этого надо будет создать прямую и реверсную зоны, а также информацию об этих зонах надо будет добавить в файл настроек “/etc/named.conf”. Файлы зон размещаются в каталоге “/var/named/” с именами “example.edu” и “33.168.192.in-addr.arpa”.
Файлы зон выглядят следующим образом:
[root@ns named]# cat /var/named/example.edu
$ORIGIN example.edu.
$TTL 86400 ; 1 day
@ IN SOA ns.example.edu. hostmaster.example.edu. (
2018092605 ; serial
10800 ; refresh (3 hours)
3600 ; retry (1 hour)
1209600 ; expire (2 weeks #RFC1912)
86400 ; minimum (1 day)
)
; DNS Servers
IN NS ns.example.edu.
; MX Records
IN MX 10 mail.example.edu.
$ORIGIN example.edu.
www A 192.168.33.10
mysql A 192.168.33.11
ns A 192.168.33.12
mail A 192.168.33.13
и
[root@ns named]# cat /var/named/33.168.192.in-addr.arpa
$TTL 86400 ; 1 day
@ IN SOA ns.example.edu. hostmaster.example.edu. (
7 ; serial
28800 ; refresh (8 hours)
14400 ; retry (4 hours)
3600000 ; expire (5 weeks 6 days 16 hours)
86400 ; minimum (1 day)
)
@ IN NS ns.example.edu.
10 PTR www.example.edu.
11 PTR mysql.example.edu.
12 PTR ns.example.edu.
13 PTR mail.example.edu.
а в файл “/etc/named.conf” надо внести следующие обновления:
options {
listen-on port 53 { any; };
allow-query {any; };
...
zone "example.edu" IN {
type master;
file "example.edu";
allow-update { none; };
allow-query { any; };
notify yes;
};
zone "33.168.192.in-addr.arpa" IN {
type master;
file "33.168.192.in-addr.arpa";
allow-update { none; };
allow-query { any; };
notify yes;
};
В этом файле минимальные настройки, которые для нашего примера описывают только внутреннюю сеть “192.168.33.0/24”.
В каталоге “/var/named/” права для вновь созданных файлов поменяем на “named”:
# chown named:named /var/named/{example.edu,33.168.192.in-addr.arpa}
# systemctl start named
и проверим, что сервис запущен без ошибок:
# systemctl status named
* named.service - Berkeley Internet Name Domain (DNS)
Loaded: loaded (/usr/lib/systemd/system/named.service; enabled; vendor preset: disabled)
Active: <@\textcolor{red}{active (running)}@> since Wed 2018-11-28 12:
55:23 EET; 52min ago
Process: 1058 ExecStart=/usr/sbin/named -u named-c ${NAMEDCONF} $OPTIONS (code=exited, status=0/SUCCESS)
Process: 1051 ExecStartPre=/bin/bash -c if [ ! "$DISABLE_ZONE_CHECKING" == "yes" ]; then /usr/sbin/named-checkconf -z "$NAMEDCONF"; else echo "Checking of zone files is disabled"; fi (code=exited, status=0/SUCCESS)
Main PID: 1060 (named)
CGroup: /system.slice/named.service
|__1060 /usr/sbin/named -u named -c /etc/named.conf
Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.127.in-addr.arpa/IN: ...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone 33.168.192.in-addr.arpa/IN:...7
Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost.localdomain/IN: l...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0...0
Nov 28 12:55:23 ns.example.edu named[1060]: zone localhost/IN: loaded serial 0
Nov 28 12:55:23 ns.example.edu named[1060]: all zones loaded
Nov 28 12:55:23 ns.example.edu systemd[1]: Started Berkeley Internet Name Do....
Nov 28 12:55:23 ns.example.edu named[1060]: running
Nov 28 12:55:28 ns.example.edu named[1060]: no longer listening on 192.168.3...3
Nov 28 12:55:32 ns.example.edu named[1060]: listening on IPv4 interface eth1...3
Hint: Some lines were ellipsized, use -l to show in full.
Теперь можно проверить, что сервер отвечает правильно на запросы:
[root@ns named]# nslookup - 127.0.0.1 > ns.example.edu Server: 127.0.0.1 Address: 127.0.0.1#53 Name: ns.example.edu Address: 192.168.33.12 > 192.168.33.12 Server: 127.0.0.1 Address: 127.0.0.1#53 12.33.168.192.in-addr.arpa name = ns.example.edu. > ^D
После того, когда убедились, что сервер правильно отвечает на запросы, надо “named.service” добавить в автоматическую загрузку при старте гостевого узла:
# systemctl enable named
Для нормального ответа на все сетевые запросы необходимо, чтобы в файле “/etc/resolv.conf” была ссылка на локальный “dns”-сервер, а так как первый интерфейс всегда “nat”, получаемый параметры через “dhcp”, то в этом файле исходно запись “nameserver” указывает на основной сервер с “virtualbox”. Поэтому необходимо после запуска гостевой системы содержимое файла /etc/resolv.conf” изменить. Это делается изменением в файле “Vagrantfile”:
config.vm.provision :shell do |shell|
shell.path = "bin/fix_vagrant_resolv.conf.sh"
end
В домашнем каталоге хостового узла в директории “$HOME/bin” надо создать файл “fix_vagrant_resolv.conf.sh” с содержимым:
$ cat ~/bin/fix_vagrant_resolv.conf.sh cat > /etc/resolv.conf <<EOF # # managed by vagrant # domain example.edu search example.edu nameserver 192.168.33.12 EOF
Mail-сервер
Следующим сервером установим почтовый сервер. Для этого, также как и для “dns”-сервера, воспользуемся имеющейся заготовкой “vagrant” с той лишь разницей, что вместо “dns” укажем “mail”. Для этого в имеющийся файл “Vagrantfile”, также как и для “dns”-сервера, надо добавть информацию о “mail”-сервере:
config.vm.define "mail" do |mail|
mail.vm.box = "ol7"
mail.vm.box_url = "https://yum.oracle.com/boxes/oraclelinux/ol75/ol75.box"
mail.vm.hostname = "mail.example.edu"
mail.vm.network "private_network", ip: "192.168.33.13",
:netmask => "255.255.255.0"
mail.vm.provider "virtualbox" do |vb|
vb.name = "mail"
# vb.gui = true
vb.memory = "512"
vb.cpus = "1"
vb.customize ["modifyvm", :id, "--vram", "10"]
vb.customize ["modifyvm", :id, "--natdnshostresolver1", "on"]
end
end
и произведём инициализацию:
$ vagrant init mail $ vagrant up mail $ vagrant ssh mail
Почтовый сервер будет состоять из “postfix” и “dovecot”. Авторизация пользователей будет осуществляться через базу данных “mysql”. Для этого добавим пакеты “postfix, dovecot, dovecot-mysql”, а также “mariadb, mariadb-libs”.
Письма будут храниться в каталоге “/var/vmail” и доступ к почтовым ящикам будет иметь виртуальный пользователь “vmail”:
# groupadd -g 2000 vmail # mkdir -p /var/vmail # useradd -g vmail -u 2000 -c "Virtuial Mail User" -d /var/vmail -s /sbin/nologin vmail # chown -R vmail:vmail /var/vmail # chmod -R 770 /var/vmail
Postfix
Так как почтовый сервер должен быть сопряжён с “mysql”-базой данных, то в настройках “postfix” надо будет добавить файлы с информацией для доступа к базе. В нашем случае пользователем для базы данных “postfix” будет “postfix” с паролем “db_admin”. База данных будет находиться на сервере “mysql.example.edu”. Для начала создадим каталог “/etc/postfix/mysql” и туда запишем ряд файлов:
“relay_domains.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' and backupmx = '1'
“virtual_alias_domain_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1“virtual_alias_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
“virtual_mailbox_domains.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
“virtual_mailbox_maps.cf”
hosts = mysql.example.edu user = postfix password = db_admin dbname = postfix query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
В файле “/etc/postfix/main.cf” надо указать на вновь созданные файлы:
# mysql mappings # relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf, mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf
Кроме этого, надо сделать ещё некоторые изменения в этом файле:
soft_bounce = no myhostname = mail.example.edu mydomain = example.edu myorigin = $myhostname mydestination = localhost.$mydomain, localhost inet_interfaces = all mynetworks = 192.168.33.0/24, 127.0.0.0/8 alias_maps = hash:/etc/aliases
Чтобы происходила подмена исходного адреса от отправителя с
“host.domain” на “domain” необходимо в этом файле изменить “masquerade”. Для этого добавим:
# ADDRESS REWRITING # # The ADDRESS_REWRITING_README document gives information about # address masquerading or other forms of address rewriting including # username->Firstname.Lastname mapping. masquerade_domains = example.edu
Ограничения для получения или перенаправления писем почтовым сервером описываются следующим образом:
# restrictions
#
smtpd_discard_ehlo_keywords = etrn, silent-discard
smtpd_forbidden_commands = CONNECT GET POST
broken_sasl_auth_clients = yes
smtpd_delay_reject = yes
smtpd_helo_required = yes
disable_vrfy_command = yes
smtpd_helo_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname
smtpd_data_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining,
reject_multi_recipient_bounce,
smtpd_sender_restrictions = permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain
smtpd_recipient_restrictions = reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
reject_multi_recipient_bounce,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
check_policy_service unix:/var/spool/postfix/postgrey/socket,
#reject_rbl_client zen.spamhaus.org,
#reject_rbl_client bl.spamcop.net,
#reject_rbl_client dnsbl.sorbs.net,
reject_invalid_hostname
В целях безопасности передачи почты желательно, чтобы канал был шифрованный. Это можно достичь включив поддержку TLS. Также надо создать ограничения на размер принимаемых писем, поддержку SASL-аутентификации, указать общее с “dovecot” место хранения почты:
# tls # smtp_tls_security_level = may smtpd_tls_security_level = may smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s smtp_tls_session_cache_database = btree:$data_directory/smtp_tls_session_cache smtpd_tls_key_file = /etc/postfix/certs/key.pem smtpd_tls_cert_file = /etc/postfix/certs/cert.pem tls_random_source = dev:/dev/urandom # limits # message_size_limit = 51200000 smtpd_soft_error_limit = 10 smtpd_hard_error_limit = 15 smtpd_error_sleep_time = 20 anvil_rate_time_unit = 60s smtpd_client_connection_count_limit = 20 smtpd_client_connection_rate_limit = 30 smtpd_client_message_rate_limit = 30 smtpd_client_event_limit_exceptions = 127.0.0.0/8 smtpd_client_connection_limit_exceptions = 127.0.0.0/8 # queue # maximal_queue_lifetime = 5d bounce_queue_lifetime = 5d # sasl # smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # virtual # virtual_mailbox_base = /var/vmail virtual_minimum_uid = 2000 virtual_uid_maps = static:2000 virtual_gid_maps = static:2000 virtual_transport = dovecot dovecot_destination_recipient_limit = 1
В данном блоке указано место хранения сертификата и ключа. Подробнее о создании самоподписанного сертификата будет рассказано ниже.
Включение кроме 25-го (smtp) по-умолчании порта дополнительного 587-го порта (submission) производится настройкой файла
“/etc/postfix/master.cf”:
submission inet n - n - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_wrappermode=no -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination -o milter_macro_daemon_name=ORIGINATING # -o smtpd_reject_unlisted_recipient=no # -o smtpd_client_restrictions=$mua_client_restrictions # -o smtpd_helo_restrictions=$mua_helo_restrictions # -o smtpd_sender_restrictions=$mua_sender_restrictions
Для совместимости с “dovecot” в конце файла надо добвить следующее:
dovecot unix - n n - - pipe
flags=DRhu user=vmail:vmail argv=/usr/libexec/dovecot/deliver -f ${sender} -d ${recipient}
Dovecot
Dovecot - агент доставки почты, а также “imap” и “pop3” сервер. Необходимые пакеты должны быть уже предустановлены.
В файле “dovecot.conf” достаточно только указать на протоколы, с которыми будет работать “dovecot”:
protocols = imap pop3
Также надо отредактировать файлы находяциеся в каталоге “conf.d”. Надо отметить, что в настройке необходимо указать тот же номер “id”, который был выбран при настройке “postfix”:
“10-mail.conf”
mail_uid = 2000 mail_gid = 2000 first_valid_uid = 2000 mail_plugins = quota mail_location = maildir:/var/vmail/%d/%n
“10-auth.conf”
disable_plaintext_auth = no auth_realms = example.edu auth_default_realm = example.edu auth_mechanisms = plain login #!include auth-system.conf.ext !include auth-sql.conf.ext
“10-master.conf”
service imap-login { inet_listener imap { port = 143 } inet_listener imaps { port = 993 ssl = yes } } service pop3-login { inet_listener pop3 { port = 110 } inet_listener pop3s { port = 995 ssl = yes } } service auth { unix_listener auth-userdb { mode = 0600 user = vmail group = vmail } unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } }“10-ssl.conf”
ssl = yes ssl_cert = </etc/pki/dovecot/certs/dovecot.pem ssl_key = </etc/pki/dovecot/private/dovecot.pem
“15-lda.conf”
quota_full_tempfail = no lda_mailbox_autocreate = yes protocol lda { # Space separated list of plugins to load (default is global mail_plugins). mail_plugins = $mail_plugins autocreate }“20-imap.conf”