Der perfekte Server - Ubuntu Maverick Meerkat (Ubuntu 10.10) [ISPConfig 2] - Seite 5

15 Postfix Mit SMTP-AUTH Und TLS

Um Postfix mit SMTP-AUTH und TLS zu installieren, führen Sie die folgenden Schritte aus:

aptitude install postfix libsasl2-2 sasl2-bin libsasl2-modules procmail

Sie werden mit zwei Fragen konfrontiert. Antworten Sie wie folgt:

Allgemeiner Typ der Mailkonfiguration: <– Internet Site
System-Mail-Name: <– server1.example.com

Führen Sie dann aus

dpkg-reconfigure postfix

Wieder werden Ihnen einige Fragen gestellt:

Allgemeiner Typ der Mailkonfiguration: <– Internet Site
System-Mail-Name: <– server1.example.com
Root- und Postmaster-Mail-Empfänger: <– [leer]
Andere Ziele, um Mail zu akzeptieren (leer für keine): <– server1.example.com, localhost.example.com, localhost.localdomain, localhost
Synchronisierte Updates in der Mail-Warteschlange erzwingen? <– Nein
Lokale Netzwerke: <– 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
Procmail für lokale Zustellung verwenden? <– Ja
Mailbox-Größenlimit (Bytes): <– 0
Lokales Adress-Erweiterungszeichen: <– +
Zu verwendende Internet-Protokolle: <– alle

Als nächstes tun Sie dies:

postconf -e ‘smtpd_sasl_local_domain =’
postconf -e ‘smtpd_sasl_auth_enable = yes’
postconf -e ‘smtpd_sasl_security_options = noanonymous’
postconf -e ‘broken_sasl_auth_clients = yes’
postconf -e ‘smtpd_sasl_authenticated_header = yes’
postconf -e ‘smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination’
postconf -e ‘inet_interfaces = all’
echo ‘pwcheck_method: saslauthd’ >> /etc/postfix/sasl/smtpd.conf
echo ‘mech_list: plain login’ >> /etc/postfix/sasl/smtpd.conf

Danach erstellen wir die Zertifikate für TLS:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Als nächstes konfigurieren wir Postfix für TLS (stellen Sie sicher, dass Sie den richtigen Hostnamen für myhostname verwenden):

postconf -e 'myhostname = server1.example.com'

postconf -e ‘smtpd_tls_auth_only = no’
postconf -e ‘smtp_use_tls = yes’
postconf -e ‘smtpd_use_tls = yes’
postconf -e ‘smtp_tls_note_starttls_offer = yes’
postconf -e ‘smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key’
postconf -e ‘smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt’
postconf -e ‘smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem’
postconf -e ‘smtpd_tls_loglevel = 1’
postconf -e ‘smtpd_tls_received_header = yes’
postconf -e ‘smtpd_tls_session_cache_timeout = 3600s’
postconf -e ‘tls_random_source = dev:/dev/urandom’

Die Datei /etc/postfix/main.cf sollte jetzt so aussehen:

cat /etc/postfix/main.cf

| # Siehe /usr/share/postfix/main.cf.dist für eine kommentierte, vollständigere Version # Debian spezifisch: Das Angeben eines Dateinamens bewirkt, dass die erste # Zeile dieser Datei als Name verwendet wird. Der Debian-Standard # ist /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = nein # Das Anhängen von .domain ist die Aufgabe des MUA. append_dot_mydomain = nein # Kommentieren Sie die nächste Zeile aus, um "verzögerte Mail"-Warnungen zu generieren #delay_warning_time = 4h readme_directory = nein # TLS-Parameter smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_use_tls = ja smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # Siehe /usr/share/doc/postfix/TLS_README.gz im postfix-doc-Paket für # Informationen zur Aktivierung von SSL im SMTP-Client. myhostname = server1.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = server1.example.com, localhost.example.com, localhost.localdomain, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all smtpd_sasl_local_domain = smtpd_sasl_auth_enable = ja smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = ja smtpd_sasl_authenticated_header = ja smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination smtpd_tls_auth_only = nein smtp_use_tls = ja smtp_tls_note_starttls_offer = ja smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = ja smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom |

Die Authentifizierung erfolgt durch saslauthd. Wir müssen einige Dinge ändern, damit es richtig funktioniert. Da Postfix chrooted in /var/spool/postfix läuft, müssen wir Folgendes tun:

mkdir -p /var/spool/postfix/var/run/saslauthd

Jetzt müssen wir /etc/default/saslauthd bearbeiten, um saslauthd zu aktivieren. Setzen Sie START auf ja und ändern Sie die Zeile OPTIONS=”-c -m /var/run/saslauthd” in OPTIONS=”-c -m /var/spool/postfix/var/run/saslauthd -r”:

vi /etc/default/saslauthd

| # # Einstellungen für den saslauthd-Daemon # Bitte lesen Sie /usr/share/doc/sasl2-bin/README.Debian für Details. # # Sollte saslauthd beim Start automatisch ausgeführt werden? (Standard: nein) START=ja # Beschreibung dieser saslauthd-Instanz. Empfohlen. # (Vorschlag: SASL Authentication Daemon) DESC="SASL Authentication Daemon" # Kurzname dieser saslauthd-Instanz. Stark empfohlen. # (Vorschlag: saslauthd) NAME="saslauthd" # Welche Authentifizierungsmechanismen sollte saslauthd verwenden? (Standard: pam) # # Verfügbare Optionen in diesem Debian-Paket: # getpwent -- verwenden Sie die getpwent()-Bibliotheksfunktion # kerberos5 -- verwenden Sie Kerberos 5 # pam -- verwenden Sie PAM # rimap -- verwenden Sie einen Remote-IMAP-Server # shadow -- verwenden Sie die lokale Shadow-Passwortdatei # sasldb -- verwenden Sie die lokale sasldb-Datenbankdatei # ldap -- verwenden Sie LDAP (Konfiguration befindet sich in /etc/saslauthd.conf) # # Es darf immer nur eine Option gleichzeitig verwendet werden. Siehe die saslauthd-Man-Seite # für weitere Informationen. # # Beispiel: MECHANISMS="pam" MECHANISMS="pam" # Zusätzliche Optionen für diesen Mechanismus. (Standard: keine) # Siehe die saslauthd-Man-Seite für Informationen zu mech-spezifischen Optionen. MECH_OPTIONS="" # Wie viele saslauthd-Prozesse sollten wir ausführen? (Standard: 5) # Ein Wert von 0 wird einen neuen Prozess für jede Verbindung erzeugen. THREADS=5 # Andere Optionen (Standard: -c -m /var/run/saslauthd) # Hinweis: Sie MÜSSEN die -m-Option angeben, sonst wird saslauthd nicht ausgeführt! # # WARNUNG: GEBEN SIE NICHT DIE -d OPTION AN. # Die -d-Option bewirkt, dass saslauthd im Vordergrund anstelle als # Daemon ausgeführt wird. Dies VERHINDERT, DASS IHR SYSTEM RICHTIG BOOTET. Wenn Sie # saslauthd im Debug-Modus ausführen möchten, führen Sie es bitte manuell aus, um auf der sicheren Seite zu sein. # # Siehe /usr/share/doc/sasl2-bin/README.Debian für Debian-spezifische Informationen. # Siehe die saslauthd-Man-Seite und die Ausgabe von 'saslauthd -h' für allgemeine # Informationen zu diesen Optionen. # # Beispiel für Postfix-Benutzer: "-c -m /var/spool/postfix/var/run/saslauthd" #OPTIONS="-c -m /var/run/saslauthd" OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r" |

Fügen Sie als nächstes den Postfix-Benutzer zur sasl-Gruppe hinzu (dies stellt sicher, dass Postfix die Berechtigung hat, auf saslauthd zuzugreifen):

adduser postfix sasl

Starten Sie nun Postfix neu und starten Sie saslauthd:

/etc/init.d/postfix restart
/etc/init.d/saslauthd start

Um zu sehen, ob SMTP-AUTH und TLS jetzt richtig funktionieren, führen Sie den folgenden Befehl aus:

telnet localhost 25

Nachdem Sie die Verbindung zu Ihrem Postfix-Mailserver hergestellt haben, geben Sie ein

ehlo localhost

Wenn Sie die Zeilen sehen

250-STARTTLS

und

250-AUTH PLAIN LOGIN

ist alles in Ordnung.

Die Ausgabe auf meinem System sieht so aus:

root@server1:/etc/postfix/ssl# telnet localhost 25
Trying ::1…
Connected to localhost.localdomain.
Escape character is ‘^]’.
220 server1.example.com ESMTP Postfix (Ubuntu)
ehlo localhost
250-server1.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.
root@server1:/etc/postfix/ssl#

Geben Sie ein

quit

um zur Shell des Systems zurückzukehren.

16 Courier-IMAP/Courier-POP3

Führen Sie dies aus, um Courier-IMAP/Courier-IMAP-SSL (für IMAPs auf Port 993) und Courier-POP3/Courier-POP3-SSL (für POP3s auf Port 995) zu installieren:

aptitude install courier-authdaemon courier-base courier-imap courier-imap-ssl courier-pop courier-pop-ssl courier-ssl gamin libgamin0 libglib2.0-0 

Sie werden mit zwei Fragen konfrontiert:

Verzeichnisse für die webbasierte Verwaltung erstellen? <– Nein
SSL-Zertifikat erforderlich <– Ok

Während der Installation werden die SSL-Zertifikate für IMAP-SSL und POP3-SSL mit dem Hostnamen localhost erstellt. Um dies auf den richtigen Hostnamen (server1.example.com in diesem Tutorial) zu ändern, löschen Sie die Zertifikate…

cd /etc/courier
rm -f /etc/courier/imapd.pem
rm -f /etc/courier/pop3d.pem

… und ändern Sie die folgenden beiden Dateien; ersetzen Sie CN=localhost durch CN=server1.example.com (Sie können auch die anderen Werte nach Bedarf ändern):

vi /etc/courier/imapd.cnf

| [...] CN=server1.example.com [...] |

vi /etc/courier/pop3d.cnf

| [...] CN=server1.example.com [...] |

Dann erstellen Sie die Zertifikate erneut…

mkimapdcert
mkpop3dcert

… und starten Sie Courier-IMAP-SSL und Courier-POP3-SSL neu:

/etc/init.d/courier-imap-ssl restart
/etc/init.d/courier-pop-ssl restart

Wenn Sie ISPConfig nicht verwenden möchten, konfigurieren Sie Postfix, um E-Mails an das Maildir* eines Benutzers zuzustellen:

postconf -e ‘home_mailbox = Maildir/‘
postconf -e ‘mailbox_command =’
/etc/init.d/postfix restart

*Bitte beachten Sie: Sie müssen dies nicht tun, wenn Sie beabsichtigen, ISPConfig auf Ihrem System zu verwenden, da ISPConfig die erforderliche Konfiguration mit procmail-Rezepten durchführt. Stellen Sie jedoch sicher, dass Sie Maildir unter Verwaltung -> Server -> Einstellungen -> EMail in der ISPConfig-Weboberfläche aktivieren.