Die perfekte Einrichtung - Debian Etch (Debian 4.0) - Seite 5

11 Postfix Mit SMTP-AUTH Und TLS

Um Postfix mit SMTP-AUTH und TLS zu installieren, führen Sie die folgenden Schritte aus:

apt-get install postfix libsasl2 sasl2-bin libsasl2-modules libdb3-util procmail

Sie werden mit zwei Fragen konfrontiert. Antworten Sie wie folgt:

Allgemeine Art der Konfiguration? <– Internet Site
Mail-Name? <– server1.example.com

Führen Sie dann aus

dpkg-reconfigure postfix

Erneut werden Sie mit einigen Fragen konfrontiert:

Allgemeine Art der Konfiguration? <– Internet Site
Wohin soll die Mail für root gehen? <– [leer]
Mail-Name? <– server1.example.com
Andere Ziele, um Mail zu akzeptieren? (leer für keine) <– server1.example.com, localhost.example.com, localhost.localdomain, localhost
Erzwingen Sie synchrone Updates in der Mail-Warteschlange? <– Nein
Lokale Netzwerke? <– 127.0.0.0/8
Verwenden Sie procmail für die lokale Zustellung? <– Ja
Mailbox-Größenlimit <– 0
Lokales Adress-Erweiterungszeichen? <– +
Zu verwendende Internet-Protokolle? <– alle

Als nächstes tun Sie dies:

postconf -e ‘smtpd_sasl_local_domain =’
postconf -e ‘smtpd_sasl_auth_enable = yes’
postconf -e ‘smtpd_sasl_security_options = noanonymous’
postconf -e ‘broken_sasl_auth_clients = yes’
postconf -e ‘smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination’
postconf -e ‘inet_interfaces = all’
echo ‘pwcheck_method: saslauthd’ >> /etc/postfix/sasl/smtpd.conf
echo ‘mech_list: plain login’ >> /etc/postfix/sasl/smtpd.conf

Danach erstellen wir die Zertifikate für TLS:

mkdir /etc/postfix/ssl
cd /etc/postfix/ssl/
openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024

chmod 600 smtpd.key
openssl req -new -key smtpd.key -out smtpd.csr

openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt

openssl rsa -in smtpd.key -out smtpd.key.unencrypted

mv -f smtpd.key.unencrypted smtpd.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

Als nächstes konfigurieren wir Postfix für TLS:

postconf -e ‘smtpd_tls_auth_only = no’
postconf -e ‘smtp_use_tls = yes’
postconf -e ‘smtpd_use_tls = yes’
postconf -e ‘smtp_tls_note_starttls_offer = yes’
postconf -e ‘smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key’
postconf -e ‘smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt’
postconf -e ‘smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem’
postconf -e ‘smtpd_tls_loglevel = 1’
postconf -e ‘smtpd_tls_received_header = yes’
postconf -e ‘smtpd_tls_session_cache_timeout = 3600s’
postconf -e ‘tls_random_source = dev:/dev/urandom’
postconf -e ‘myhostname = server1.example.com’

Die Datei /etc/postfix/main.cf sollte jetzt so aussehen:

cat /etc/postfix/main.cf

| # Siehe /usr/share/postfix/main.cf.dist für eine kommentierte, vollständigere Version # Debian spezifisch: Das Angeben eines Dateinamens bewirkt, dass die erste # Zeile dieser Datei als Name verwendet wird. Der Debian-Standard # ist /etc/mailname. #myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = nein # Das Anhängen von .domain ist die Aufgabe des MUA. append_dot_mydomain = nein # Kommentieren Sie die nächste Zeile aus, um "verzögerte Mail"-Warnungen zu generieren #delay_warning_time = 4h # TLS-Parameter smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key smtpd_use_tls = ja smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache # Siehe /usr/share/doc/postfix/TLS_README.gz im postfix-doc-Paket für # Informationen zum Aktivieren von SSL im smtp-Client. myhostname = server1.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = server1.example.com, localhost.example.com, localhost.localdomain, localhost relayhost = mynetworks = 127.0.0.0/8 mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all inet_protocols = all smtpd_sasl_local_domain = smtpd_sasl_auth_enable = ja smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = ja smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination smtpd_tls_auth_only = nein smtp_use_tls = ja smtp_tls_note_starttls_offer = ja smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = ja smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom |

Starten Sie Postfix neu:

/etc/init.d/postfix restart

Die Authentifizierung erfolgt durch saslauthd. Wir müssen einige Dinge ändern, damit es richtig funktioniert. Da Postfix in /var/spool/postfix chrooted läuft, müssen wir Folgendes tun:

mkdir -p /var/spool/postfix/var/run/saslauthd

Jetzt müssen wir /etc/default/saslauthd bearbeiten, um saslauthd zu aktivieren. Setzen Sie START auf ja und ändern Sie die Zeile OPTIONS=”-c” in OPTIONS=”-c -m /var/spool/postfix/var/run/saslauthd -r”:

vi /etc/default/saslauthd

| # # Einstellungen für den saslauthd-Daemon # # Sollte saslauthd beim Start automatisch ausgeführt werden? (Standard: nein) START=ja # Welche Authentifizierungsmechanismen sollte saslauthd verwenden? (Standard: pam) # # Verfügbare Optionen in diesem Debian-Paket: # getpwent -- verwenden Sie die getpwent()-Bibliotheksfunktion # kerberos5 -- verwenden Sie Kerberos 5 # pam -- verwenden Sie PAM # rimap -- verwenden Sie einen Remote-IMAP-Server # shadow -- verwenden Sie die lokale Schattenpasswortdatei # sasldb -- verwenden Sie die lokale sasldb-Datenbankdatei # ldap -- verwenden Sie LDAP (Konfiguration befindet sich in /etc/saslauthd.conf) # # Es darf jeweils nur eine Option verwendet werden. Siehe die saslauthd-Man-Seite # für weitere Informationen. # # Beispiel: MECHANISMS="pam" MECHANISMS="pam" # Zusätzliche Optionen für diesen Mechanismus. (Standard: keine) # Siehe die saslauthd-Man-Seite für Informationen zu mech-spezifischen Optionen. MECH_OPTIONS="" # Wie viele saslauthd-Prozesse sollten wir ausführen? (Standard: 5) # Ein Wert von 0 erstellt einen neuen Prozess für jede Verbindung. THREADS=5 # Weitere Optionen (Standard: -c) # Siehe die saslauthd-Man-Seite für Informationen zu diesen Optionen. # # Beispiel für Postfix-Benutzer: "-c -m /var/spool/postfix/var/run/saslauthd" # Hinweis: Siehe /usr/share/doc/sasl2-bin/README.Debian OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd -r" |

Jetzt starten Sie saslauthd:

/etc/init.d/saslauthd start

Um zu sehen, ob SMTP-AUTH und TLS jetzt richtig funktionieren, führen Sie den folgenden Befehl aus:

telnet localhost 25

Nachdem Sie die Verbindung zu Ihrem Postfix-Mailserver hergestellt haben, geben Sie ein

ehlo localhost

Wenn Sie die Zeilen sehen

250-STARTTLS

und

250-AUTH PLAIN LOGIN

ist alles in Ordnung.

Die Ausgabe auf meinem System sieht so aus:

server1:/etc/postfix/ssl# telnet localhost 25
Trying 127.0.0.1…
Connected to localhost.localdomain.
Escape character is ‘^]’.
220 server1.example.com ESMTP Postfix (Debian/GNU)
ehlo localhost
250-server1.example.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

Geben Sie

quit

ein, um zur Shell des Systems zurückzukehren.

12 Courier-IMAP/Courier-POP3

Führen Sie dies aus, um Courier-IMAP/Courier-IMAP-SSL (für IMAPs auf Port 993) und Courier-POP3/Courier-POP3-SSL (für POP3s auf Port 995) zu installieren:

apt-get install courier-authdaemon courier-base courier-imap courier-imap-ssl courier-pop courier-pop-ssl courier-ssl gamin libgamin0 libglib2.0-0

Sie werden mit zwei Fragen konfrontiert:

Verzeichnisse für die webbasierte Verwaltung erstellen? <– Nein
SSL-Zertifikat erforderlich <– Ok

Wenn Sie ISPConfig nicht verwenden möchten, konfigurieren Sie Postfix so, dass E-Mails an das Maildir* eines Benutzers zugestellt werden:

postconf -e ‘home_mailbox = Maildir/‘
postconf -e ‘mailbox_command =’
/etc/init.d/postfix restart

*Bitte beachten Sie: Sie müssen dies nicht tun, wenn Sie beabsichtigen, ISPConfig auf Ihrem System zu verwenden, da ISPConfig die erforderliche Konfiguration mit procmail-Rezepten durchführt. Stellen Sie jedoch sicher, dass Sie Maildir unter Verwaltung -> Server -> Einstellungen -> EMail in der ISPConfig-Weboberfläche aktivieren.