Vollständige Mail-Server-Lösung mit virtuellen Domains und Benutzern (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL) - Seite 11

B. Sicheres Postfix+TLS

Um zu beginnen, müssen wir Postfix auf secure-mail.example.com installieren. Diese spezielle Installation benötigt keine Quota-Unterstützung (sie verarbeitet keine lokale Zustellung), aber um die Dinge einfach zu halten, installieren wir es auf die gleiche Weise wie oben:

# dpkg -i postfix_2.3.8-2_i386.deb  
# dpkg -i postfix-mysql_2.3.8-2_i386.deb

Wenn/wenn die Auto-Konfiguration während der Installation Fragen zu Postfix stellt, wählen Sie einfach “Keine Konfiguration”

dpkg wird alle Konfigurationsdateien für Postfix in /etc/postfix installieren, also gehen Sie dorthin und erstellen Sie die Datei main.cf:

# cd /etc/postfix  
# touch main.cf

Die main.cf-Datei kann mit zwei verschiedenen Methoden bearbeitet werden. Sie können Ihren bevorzugten Texteditor verwenden oder das integrierte Postfix-Tool postconf verwenden. Wir haben postconf bereits einmal verwendet, um unsere Version im Abschnitt IV.A oben zu bestimmen.

Der eigentliche Vorteil des postconf-Tools ist, dass es eine eingebaute Fehlerprüfung hat und die Möglichkeit von ‘Eigenheiten’ aufgrund von Wagenrückläufen, Zeilenumbrüchen, seltsamen Anführungszeichen usw. beseitigt. Wir werden es in diesem Leitfaden verwenden, aber es gibt wirklich keine Anforderung.

Beginnen Sie damit, die grundlegenden Informationen auszufüllen:

# postconf -e 'myhostname = secure-mail.example.com'  
# postconf -e 'smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)'  
# postconf -e 'biff = no'  
# postconf -e 'append_dot_mydomain = no'  
# postconf -e 'myorigin = example.com'  
# postconf -e 'inet_interfaces = all'  
# postconf -e 'local_recipient_maps ='  
# postconf -e 'local_transport = error:local mail delivery is disabled'  
# postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated, reject'

Sie werden feststellen, dass wir diesmal die lokale Zustellung deaktiviert haben. Da dies im Grunde nur ein ausgehender Relay-Server ist, wollen wir nicht, dass er versucht, irgendwelche E-Mails zu ‘zustellen’… nur weiterzuleiten. Wir haben auch den SMTP-Server so eingestellt, dass er nur SASL-authentifizierte Sitzungen zulässt und alle anderen Sitzungen ablehnt.

Jetzt möchten wir die Informationen für SASL (SMTP-Authentifizierung) ausfüllen. Dies verschlüsselt NICHT die Verbindung, es erfordert nur, dass sich die Benutzer anmelden:

# postconf -e 'smtpd_sasl_auth_enable = yes'  
# postconf -e 'smtpd_sasl_security_options = noanonymous'  
# postconf -e 'broken_sasl_auth_clients = yes'  
# postconf -e 'smtpd_sasl_type = dovecot'  
# postconf -e 'smtpd_sasl_path = private/auth'

Jetzt wird Ihre Postfix-Installation Dovecot für alle Authentifizierungsbedürfnisse abfragen, aber es ist immer noch nicht verschlüsselt. Lassen Sie uns das ändern…

# postconf -e 'smtpd_tls_cert_file = /etc/ssl/example.com/mailserver/mail-cert.pem'  
# postconf -e 'smtpd_tls_key_file = /etc/ssl/example.com/mailserver/mail-key.pem'  
# postconf -e 'smtpd_tls_session_cache_database = btree:/var/spool/postfix/smtpd_tls_session_cache'  
# postconf -e 'smtpd_tls_security_level = encrypt'  
# postconf -e 'smptd_tls_received_header = no'  
# postconf -e 'smtpd_tls_loglevel = 0'  
# postconf -e 'tls_random_source = dev:/dev/urandom'

Laden Sie Postfix neu…

# postfix reload

Und dann lassen Sie uns Dovecot zum Laufen bringen…