Управляемый LDAP почтовый сервер с Postfix и Dovecot для нескольких доменов

1. обзор
2. LDAP
3. постфикс
4. Имя хоста
5. Отображение LDAP
6. Почтовые ящики
7. TLS и сервис представления
8. голубятня
9. конфигурация
10. IMAPS
11. Бэкэнд LDAP
12. TLS

В этой статье будет описано, как настроить и настроить защищенную почтовую систему с Postfix и Dovecot в качестве SMTP и IMAP-сервера и OpenLDAP в качестве бэкэнда для аутентификации пользователей и маршрутизации почты.

Все службы будут настроены на использование TLS по умолчанию для обеспечения безопасности транспортного уровня везде, где это возможно. Предполагается, что у вас уже есть работающая установка OpenLDAP, работающая с доступной поддержкой TLS как описано в моей статье OpenLDAP ,

Используемая ОС - Debian, но концептуальный дизайн должен работать независимо от этого.

Если вы обнаружите какие-либо проблемы с настройкой, описанной здесь, или у вас есть предложения по улучшению, пожалуйста, свяжитесь со мной ,

обзор

Установка состоит из трех различных программных компонентов. Postfix будет передавать сообщения, отправленные клиентами другим MTA, и получать сообщения от других MTA для хранения в maildir пользователя. Dovecot будет обслуживать maildir пользователя через IMAPS, чтобы его можно было читать и управлять клиентским программным обеспечением, таким как Thunderbird. Dovecot также выступает в качестве поставщика аутентификации SASL для Postfix. Информация об учетных записях пользователей и псевдонимах почты хранится в каталоге LDAP и запрашивается Postfix и Dovecot.

Вся установка не будет включать никаких «реальных» учетных записей в ОС. Для Postfix мы можем использовать виртуальные почтовые ящики создавать почтовые ящики с любым UID и GID, который мы хотим, и Dovecot поддерживает виртуальные пользователи которые не должны существовать в контексте ОС.

LDAP

Каталог LDAP должен содержать несколько сведений, необходимых для работы Postfix и Dovecot.

• Имя пользователя и пароль для аутентификации

• UID и GID для управления разрешениями пользователя maildir

• Расположение maildir

• Список почтовых псевдонимов для данного пользователя, позволяющий одному пользователю иметь несколько почтовых адресов.

Информация об учетной записи может храниться в объектном классе posixAccount. Для хранения псевдонимов необходимо установить новую схему LDAP. Он будет содержать объектный класс postfixUser с двумя атрибутами

Чтобы установить схему postfixUser, загрузите LDIF на хост LDAP и добавьте его в cn = schema, cn = config.

root @ ldaphost: ~ # wget -O postfix.ldif https://raw.githubusercontent.com/68b32/postfix-ldap-schema/master/postfix.ldif root @ ldaphost: ~ # ldapadd -ZZ -x -W -D -D cn = admin, cn = config -H ldap: //ldap.example.com -f postfix.ldif

Чтобы пользователи почты были отделены от других и позволяли разделять привилегии в вашем каталоге, вы можете хранить их в организационном блоке, например ou = Mail, dc = example, dc = com.

dn: ou = Mail, dc = example, dc = com объектный класс: organizUnit объектный класс: top ou: Mail

Создайте почтовую учетную запись, которую можно использовать для тестирования при настройке postfix и dovecot. Чтобы создать хешированный пароль, используйте slappasswd. Убедитесь, что вы не используете какой-либо UID или GID, используемый другим пользователем или процессом.

dn: uid = mail000, ou = Mail, dc = пример, dc = com cn: mail000 gidnumber: 20000 homedirectory: / home / mail / mail000 mailacceptinggeneralid: [email protected] mailacceptinggeneralid: [email protected] maildrop : [email protected] объектный класс: учетная запись объектный класс: posixAccount объектный класс: postfixUser объектный класс: top uid: mail000 uidnumber: 20000 userpassword: {SSHA} ncdXGXXD6zaG76dSCVKVAQLH4vPcHaTa

Псевдонимы, перечисленные в mailacceptinggeneralid, могут содержать любой домен, на который запись MX указывает ваш почтовый сервер. Если вы не уверены, какой домен использовать для maildrop, не беспокойтесь, это будет объяснено при настройке postfix.

Чтобы ускорить поиск в директории, необходимо создать индексы для атрибутов mailacceptinggeneralid и maildrop. Добавьте следующий LDIF к определению вашей базы данных в cn = config, чтобы активировать индексы.

dn: olcDatabase = {1} mdb, cn = config объектный класс: olcDatabaseConfig объектный класс: olcMdbConfig olcdbindex: mailacceptinggeneralid eq, sub olcdbindex: maildrop eq

Поскольку postfix и dovecot будут запрашивать каталог, необходимо создать отдельного пользователя с достаточными правами для чтения поддерева ou = Mail, dc = example, dc = com.

dn: cn = mailAccountReader, ou = Manager, dc = пример, dc = com cn: mailAccountReader объектный класс: objectRole объектный класс: simpleSecurityObject объектный класс: верхний пароль пользователя: {SSHA} GY6RPlSGKI7SPKnnT7i / ktb / 3JGm = авторский xx) от * none до dn.subtree = "ou = Mail, dc = example, dc = com" от dn.base = "cn = mailAccountReader, ou = Manager, dc = example, dc = com", прочитанных * none

Убедитесь, что анонимным учетным записям LDAP разрешено проходить аутентификацию по своему userPassword, поскольку этот механизм будет использоваться Dovecot для аутентификации клиентов.

постфикс

Postfix можно установить из репозитория Debian.

root @ mailhost: ~ # apt-get установить postfix postfix-ldap

Выберите Интернет-сайт в качестве начального типа конфигурации. Затем введите полное доменное имя вашего почтового хоста. Вероятно, это то же самое, что настроено для myhostname в /etc/postfix/main.cf (см. Следующий раздел). Это оставит вам базовый файл /etc/postfix/main.cf для начала работы с постфиксной конфигурацией.

Имя хоста

Самый первый параметр для настройки - это директива myhostname. Это имя хоста почтового сервера, и оно должно совпадать с MX-записью доменов, для которых этот сервер будет получать почту. Это также должно быть установлено как PTR запись для IP-адреса, к которому относится это имя хоста, поскольку обычно блокируется почта с хостов, где это не так. Чтобы проверить это, выполните обратный поиск с помощью dig -x <IP-адрес>.

main.cf

myhostname = mail.example.com

Отображение LDAP

Перед настройкой postfix для доставки и получения почты мы создаем несколько Таблицы поиска LDAP postfix будет использовать для запроса директории. Следующая таблица дает обзор того, как запрашивается информация.

Значение ключа virtual_alias_domains Доменная часть адреса [email protected] Что угодно, если это размещенный домен, в противном случае - virtual_alias_maps Адрес в форме [email protected] Адрес в форме [email protected] virtual_mailbox_maps Адрес в форме [email protected] Путь к почтовому каталогу virtual_uid_maps Адрес от [email protected] Числовой UID, который будет использоваться для почтового каталога smtpd_sender_login_maps Адрес в форме [email protected] Имя пользователя, которому разрешено использовать этот адрес отправителя

Создайте каталог / etc / postfix / ldap, чтобы хранить все определения карт в одном месте. Поскольку файлы в этом каталоге будут содержать ваши учетные данные LDAP, установите для его владельца значение postfix: postfix и его режим на 0100.

Информация о соединении для вашего каталога LDAP является общей для всех карт и может быть скопирована в начало всех них.

server_host = ldap: //ldap.example.com start_tls = yes version = 3 tls_ca_cert_file = /etc/ldap/tls/CA.pem tls_require_cert = yes bind = yes bind_dn = cn = mailAccountReader, ou = Manager, dc = пример, dc = com bind_pw = <пароль для bind_dn> search_base = ou = Mail, dc = пример, dc = com scope = sub

Это соединится с каталогом LDAP с использованием TLS и проверит действительность сертификата, предоставленного узлом. Это должно быть включено во все файлы в / etc / postfix / ldap, перечисленные далее.

query_filter = mailacceptinggeneralid = * @ @% s result_attribute = mailacceptinggeneralid result_format =% d virtual_alias_maps query_filter = mailacceptinggeneralid =% s result_attribute = maildrop virtual_mailbox_maps query_filter = maildrop =% s result_attribute = homeDirectory result_format =% s / mailbox / virtual_uid_maps query_filter = maildrop =% s result_attribute = uidNumber smtpd_sender_login_maps query_filter = (| (mailacceptinggeneralid =% s) (maildrop =% s)) result_attribute = uid

Вы можете проверить отображение с помощью команды postmap. Вот пример вывода для пользователя, созданного для тестирования.

root @ mailhost: ~ # postmap -q hosted-domain.com ldap: / etc / postfix / ldap / virtual_alias_domains hosted-domain.com, hosted-domain.com root @ mailhost: ~ # postmap -q [email protected]. com ldap: / etc / postfix / ldap / virtual_mailbox_maps / home / mail / mail000 / mailbox / root @ mailhost: ~ # postmap -q [email protected] ldap: / etc / postfix / ldap / virtual_uid_maps 20000 root @ mailhost : ~ # postmap -q [email protected] ldap: / etc / postfix / ldap / smtpd_sender_login mail000

Если поиск не работает должным образом, установите debuglevel = -1 в определении карты и просмотрите выходные данные при запуске postmap.

Поскольку файлы содержат учетные данные для привязки к каталогу, убедитесь, что установлены правильные разрешения для файлов.

root @ mailhost: ~ # chown postfix: postfix / etc / postfix / ldap / * root @ mailhost: ~ # chmod 400 / etc / postfix / ldap / *

Еще одна проблема, которую нужно решить, это то, что postfix будет работать в окружающая среда (/ var / spool / postfix) и не будет обращать внимания на сертификат CA /etc/ldap/tls/CA.pem, необходимый для проверки сертификата сервера. Чтобы противостоять этой проблеме, создайте / var / spool / postfix / etc / ldap / tls / и либо скопируйте /etc/ldap/tls/CA.pem в этот каталог, либо создайте привязку, чтобы сделать сертификат CA доступным в обоих местах ,

root @ mailhost: ~ # mkdir -p / var / spool / postfix / etc / ldap / tls root @ mailhost: ~ # touch /var/spool/postfix/etc/ldap/tls/CA.pem root @ mailhost: ~ # mount --bind /etc/ldap/tls/CA.pem /var/spool/postfix/etc/ldap/tls/CA.pem

Имейте в виду, что это не будет сохраняться при перезагрузке, поэтому обязательно связывайте каталог до запуска postfix. Это может быть достигнуто с помощью системного модуля монтирования. Создайте /etc/systemd/system/var-spool-postfix-etc-ldap-tls-CA.pem.mount со следующим содержимым.

вар-золотниковый Постфиксный-и т.д.-LDAP-TLS-CA.pem.mount

[Unit] Описание = Привязать /etc/ldap/tls/CA.pem к /var/spool/postfix/etc/ldap/tls/CA.pem Before = postfix.service [Монтировать] Что = / etc / ldap / tls / CA.pem Где = / var / spool / postfix / etc / ldap / tls / CA.pem Тип = нет Параметры = bind [Установить] WantedBy = postfix.service

Перезагрузите systemd и запустите модуль.

root @ mailhost: ~ # systemctl daemon-reload root @ mailhost: ~ # systemctl start var-spool-postfix-etc-ldap-tls-CA.pem.mount root @ mailhost: ~ # mount | grep CA

Проверьте выходные данные mount, чтобы увидеть, было ли связывание успешным, и разрешите настройку bind mount перед постфиксом при загрузке.

root @ mailhost: ~ # systemctl enable var-spool-postfix-etc-ldap-tls-CA.pem.mount Создана символическая ссылка из /etc/systemd/system/postfix.service.wants/var-spool-postfix-etc-ldap -tls-CA.pem.mount в /etc/systemd/system/var-spool-postfix-etc-ldap-tls-CA.pem.mount.

Перезагрузите хост, чтобы увидеть, создается ли привязка во время загрузки.

Почтовые ящики

Postfix реализует разные методы доставить почту получателю. В этой настройке мы будем использовать класс домена виртуального псевдонима и класс домена виртуального почтового ящика . Каждый конечный почтовый ящик связан с определенным адресом <username> @ $ myhostname. $ myhostname содержит имя хоста, установленное в /etc/postfix/main.cf, и будет указано в virtual_mailbox_domains. Все размещенные домены рассматриваются как виртуальные домены-псевдонимы и будут перечислены в virtual_alias_domains с картой LDAP, определенной ранее и сопоставленной с адресом конечного почтового ящика.

Testuser mail000, созданный в разделе LDAP, содержит адреса [email protected] и [email protected] в качестве mailacceptinggeneralid. Когда письмо получено для одного из этих адресов, postfix будет искать соответствующий атрибут maildrop, который может быть либо удаленным адресом (например, просто переслать адрес Gmail), либо адресом с доменом, указанным в virtual_mailbox_domains, например mail000 @ mail.example.com. Письма на домены, перечисленные в virtual_mailbox_domains, будут храниться в почтовом ящике пользователя. Информация о том, где и как создать почтовый ящик, также извлекается из LDAP с использованием адреса почтового ящика.

myhostname = mail.example.com virtual_alias_domains = ldap: / etc / postfix / ldap / virtual_alias_domains virtual_mailbox_domains = $ myhostname virtual_alias_maps = ldap: / etc / postfix / ldap / virtual_alias_maps virtual_mailbox_base = / virtual_ap_setup_mags_mags_mags_mags_mags_mags_plus_mags_plus_mags_plus_mags_ps virtual_uid_maps = ldap: / etc / postfix / ldap / virtual_uid_maps virtual_gid_maps = ldap: / etc / postfix / ldap / virtual_uid_maps smtpd_sender_login_maps = ldap: / etc / postfix / ldap / smtlod_mader

Очень важно перечислить каждый домен только один раз. Например, не указывайте $ myhostname в mydestination или virtual_alias_domains, если они уже перечислены в virtual_mailbox_domains.

virtual_alias_domains распространяется на все домены, используемые в адресах, указанных в любом атрибуте mailacceptinggeneralid в поддереве ou = Mail, dc = example, dc = com.

Почтовые ящики будут храниться в формат maildir если значение, возвращаемое картой virtual_mailbox_maps, заканчивается на /. Возвращенное значение будет добавлено к virtual_mailbox_base. Карта, используемая в этой настройке, будет возвращать путь, сохраненный в атрибуте homedirectory пользователя, с / mailbox / appended. Таким образом, для созданного ранее testuser, почта на [email protected] и [email protected] сначала будет перенаправлена ​​на [email protected], а затем сохранена в / home / mail / mail000 / mailbox / in формат maildir .

Каталог / home / mail, содержащий домашние страницы пользователей, должен быть создан заранее и должен быть доступен для записи всем потенциальным пользователям почты. Чтобы достичь этого, либо используйте один и тот же GID для всех пользователей почты и задайте для группы владение этим GID, либо сделайте мир каталогов доступным для записи.

root @ mailhost: ~ # mkdir -p / home / mail root @ mailhost: ~ # chmod o + w / home / mail # Сделать мир доступным для записи или root @ mailhost: ~ # chown: <common GID> / home / mail && chmod g + w / home / mail # использовать общую группу

Пользовательские каталоги будут создаваться с UID и GID пользователя и минимальными разрешениями для postix при получении почты.

Перезагрузите postfix и попробуйте отправить тестовое письмо на ваш новый сервер.

root @ mailhost: ~ # systemctl перезагрузка postfix root @ mailhost: ~ # tail -f /var/log/mail.info

Когда почта получена, журналы должны содержать что-то вроде

... / smtpd [6693]: подключиться из неизвестного [xxxx: ...] ... / smtpd [6693]: A7D1665808DE: клиент = неизвестно [xxxx: ...] ... / cleanup [6697]: A7D1665808DE : message-id = <[email protected]> ... / qmgr [5561]: A7D1665808DE: from = <[email protected]>, размер = 892, nrcpt = 1 (очередь активна) ... / smtpd [6693]: отключиться от неизвестного [xxx: ...] ... / virtual [6698]: A7D1665808DE: to = <[email protected]>, orig_to = <test0 @ hosted-domain .com>, реле = виртуальный, задержка = 0,42, задержки = 0,31 / 0,01 / 0 / 0,1, DSN = 2,0,0, статус = отправлено (доставлено в maildir) ... / qmgr [5561]: A7D1665808DE: удалено

затем проверьте, был ли создан maildir

root @ mailhost: ~ # tree -pug / home / mail / mail000 / / home / mail / mail000 / └── [drwx ------ 20000 20000] почтовый ящик ├── [drwx ------ 20000 20000] cur ├── [drwx ------ 20000 20000] новый │ └── [-rw ------- 20000 20000] 1458124575.V902I1b800feM892045.mx0 └── [drwx ----- - 20000 20000] т / т

TLS и сервис представления

Чтобы избежать перехвата данных, которыми обмениваются с постфиксом, TLS должен быть включен и настроен правильно. Рекомендуется по крайней мере использовать длину ключа 2048 бит для ключа RSA и предоставить действительный сертификат с правильным общим именем (CN), подписанный известным центром сертификации. Если вы не хотите платить деньги, подумайте Давайте зашифруем как бесплатная альтернатива. Также рекомендуется генерировать свои собственные группы Диффи-Хеллмана, по крайней мере, с 2048 битами из-за некоторых недостатки, обнаруженные в широко и широко используемых группах Диффи-Хеллмана ,

Чтобы создать группу с 4096 бит, запустите

root @ mailhost: ~ # openssl dhparam 4096> /etc/postfix/dhparam/dh4096.pem

Создание новой группы время от времени повысит безопасность.

Поддержка TLS должна быть настроена для серверной части (smtpd_tls_ *) postfix, чтобы шифровать и аутентифицировать соединение при получении почты, а также на стороне клиента (smtp_tls_ *) для обеспечения доставки внешним MTA.

main.cf

smtpd_tls_cert_file = /etc/postfix/tls/server.crt smtpd_tls_key_file = /etc/postfix/tls/server.key smtpd_tls_loglevel = 1 smtpd_tls_received_header = да smtpd_tls_security_level = может smtpd_tls_auth_only = да smtpd_tls_mandatory_protocols =! SSLv2,! SSLv3 #tls_preempt_cipherlist = да tls_disable_workarounds = 0xFFFFFFFFFFFFFFFF smtpd_tls_mandatory_ciphers = высокий smtpd_tls_exclude_ciphers = aNULL, eNULL, экспорт, DES, RC4, MD5, ФМн, aECDH, ЭДГ-DSS-DES-CBC3-ША, ЭДГ-RSA-DES-CDB3-ША, krb5-DES, CBC3-ША smtpd_tls_dh1024_param_file = /etc/postfix/dhparam/dh4096.pem smtpd_tls_eecdh_grade = ultra

Эта конфигурация для стороны smtpd довольно безопасна, но ограничена и может работать не со всеми MTA.

smtpd_tls_mandatory_ciphers устанавливает разрешенный к использованию набор шифров и имеет высокий уровень. Чтобы увидеть, какие шифры принадлежат этой группе, запустите postconf tls_high_cipherlist.

smtpd_tls_exclude_ciphers содержит список небезопасных шифров и является рекомендуемые исследовательской группой, упомянутой выше.

tls_preempt_cipherlist включает настройки шифрования сервера, если установлено значение yes. Это означает, что вместо клиента postfix выберет шифр, используемый для связи. Это может вызвать некоторые проблемы совместимости, смотрите документацию postfix для дополнительной информации.

tls_disable_workarounds значение 0xFFFFFFFFFFFFFFFF отключает все способы устранения ошибок OpenSSL в 64-битной системе, поскольку они могут создавать неожиданные проблемы безопасности.

smtpd_tls_security_level имеет значение may, что означает, что шифрование не является обязательным. Изменение этого параметра на шифрование приведет к принудительному использованию TLS, но имеет побочный эффект, заключающийся в том, что MTA без возможности TLS не смогут доставлять почту на ваш сервер.

smtpd_tls_auth_only обеспечивает шифрование во время аутентификации независимо от smtpd_tls_security_level.

smtpd_tls_dh1024_param_file устанавливает путь к группе Диффи-Хеллмана и, несмотря на то, что имя может (и должно!) быть больше 1024 бит.

smtpd_tls_eecdh_grade выбирает кривые, используемые постфиксом для обмена эфемерными ключами ECDH. ultra выбирает кривую, заданную в tls_eecdh_ultra_curve (см. postconf tls_eecdh_ultra_curve), и является самой сильной из доступных настроек, но требует примерно вдвое больше вычислительных затрат для сильной настройки.

Для отладки соединений TLS smtpd_tls_loglevel должен быть установлен как минимум в 1.

Значение smtpd_tls_received_header, установленное в yes, добавит информацию о шифрах, используемых при передаче, в заголовки сообщений.

smtp_tls_security_level = проверить smtp_tls_CApath = / и т.д. / SSL / сертификаты smtp_tls_loglevel = $ smtpd_tls_loglevel smtp_tls_mandatory_protocols = $ smtpd_tls_mandatory_protocols smtp_tls_mandatory_ciphers = $ smtpd_tls_mandatory_ciphers smtp_tls_exclude_ciphers = $ smtpd_tls_exclude_ciphers

Для стороны smtp для smtp_tls_loglevel, smtp_tls_mandatory_protocols, smtp_tls_mandatory_ciphers и smtp_tls_exclude_ciphers установлены те же значения, что и для их аналогов smtpd. smtp_tls_security_level установите для проверки принудительное шифрование при доставке почты. Соединение с внешним MTA не будет установлено, если TLS не поддерживается или сертификат удаленного сайта не может быть проверен. Для проверки сертификата используются сертификаты CA в smtp_tls_CApath. Это может привести к тому, что почта будет отложена, если сертификат партнера был самоподписан или срок его действия истек. Чтобы решить эту проблему, используйте параметр менее безопасного шифрования или установите delay_warning_time до подходящего значения, чтобы получить уведомление, если ваша почта была отложена.

Если для smtpd_tls_security_level задано значение may или для tls_preempt_cipherlist значение no, рекомендуется предоставить второй экземпляр прослушивания smtpd через порт 587, для которого smtpd_tls_security_level имеет значение encrypt, а для tls_preempt_cipherlist установлено значение yes. Этот экземпляр затем должен использоваться пользователями для отправки почты для доставки (исходящий SMTP-сервер).

Чтобы включить службу отправки, отредактируйте /etc/postfix/master.cf и раскомментируйте соответствующие строки.

... отправка inet n - - - - smtpd -o syslog_name = postfix / submission -o smtpd_tls_security_level = шифровать -o tls_preempt_cipherlist = да

Перезагрузите postfix и проверьте /var/log/mail.* на наличие ошибок. Также проверьте, прослушивает ли служба представления порт 587.

root @ mailhost: ~ # systemctl перезагрузка postfix root @ mailhost: ~ # netstat -pltn | мастер grep

голубятня

В то время как Postfix служит SMTP-сервером и ретранслятором, Dovecot будет служить IMAP сервер для извлечения сообщений, хранящихся на почтовом узле. Dovecot также включает в себя SASL реализация, которая может использоваться postfix для аутентификации пользователей.

Пакеты Dovecot можно установить из репозитория Debian.

root @ mailhost: ~ # apt-get установить dovecot-core dovecot-imapd dovecot-ldap

конфигурация

Конфигурация распределена по нескольким файлам в / etc / dovecot / и /etc/dovecot/conf.d и содержит некоторые базовые блоки конфигурации, которые можно включить, раскомментировав их. doveconf -n распечатает окончательную сборку конфигурации из всех фрагментов.

Расположение Maildir указывается в /etc/dovecot/conf.d/10-mail.conf. Домашний каталог пользователя будет считан из LDAP, а к / mailbox добавится следующая конфигурация.

Maildir: ~ / почтовый ящик

IMAPS

Чтобы активировать только поддержку IMAPS на порту 993 и деактивировать потенциально небезопасные попытки входа в систему на обычный порт IMAP 143, порт прослушивателя imap должен быть установлен на 0, а строки для IMAPS необходимо раскомментировать в /etc/dovecot/conf.d/ 10-master.conf.

10-master.conf

service imap-login {inet_listener imap {port = 0} inet_listener imaps {port = 993 ssl = yes} service_count = 1 process_min_avail = 1}

Бэкэнд LDAP

Dovecot может использовать LDAP в качестве база паролей для аутентификации, а также база данных пользователей для получения информации, такой как местоположение maildir, а также UID и GID пользователя. Обзор дается в Dovecot Wiki ,

Чтобы активировать LDAP в качестве базы данных паролей и пользователей, включите ее в /etc/dovecot/conf.d/10-auth.conf и отключите auth-system.conf.ext.

#! include auth-system.conf.ext! include auth-ldap.conf.ext

/etc/dovecot/conf.d/auth-ldap.conf.ext должен содержать объявление для passdb и userdb.

passdb {driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext} userdb {driver = ldap args = /etc/dovecot/dovecot-ldap.conf.ext}

Файл /etc/dovecot/dovecot-ldap.conf.ext используется и passdb, и userdb для настройки параметров соединения с каталогом LDAP.

uris = ldap: //ldap.example.com dn = cn = mailAccountReader, ou = Manager, dc = пример, dc = com dnpass = <dn bind password> tls = yes tls_ca_cert_file = /etc/ldap/tls/CA.pem tls_require_cert = hard debug_level = 0 auth_bind = да auth_bind_userdn = uid =% u, ou = Mail, dc = пример, dc = com ldap_version = 3 base = ou = Mail, dc = пример, dc = com scope = поддерево user_attrs = homeDirectory = home, uidNumber = uid, gidNumber = gid user_filter = (& (objectClass = posixAccount) (uid =% u))

Эта конфигурация auth_bind = yes пытается привязать к OpenLDAP с DN аутентифицирующего пользователя IMAP вместо прямой проверки пароля. Преимущество этой конфигурации заключается в том, что пароль, хранящийся в каталоге, не должен быть доступен для чтения Dovecot. Когда шаблон auth_bind_userdn определен, pass_attr может быть опущен. user_filter устанавливает фильтр для поиска записи LDAP, используя имя пользователя для входа. user_attrs сопоставляет атрибуты LDAP с внутренними атрибутами Dovecot. При получении информации о пользователе Dovecot подключается к каталогу с учетными данными, установленными с помощью директив dn и dnpass. Другие параметры используются для подключения к OpenLDAP с TLS и такие же, как в конфигурации postfix.

TLS

Протокол TLS можно настроить в /etc/dovecot/conf.d/10-ssl.conf. Либо повторно используйте ключ и сертификат, используемые для postfix, если имя хоста для сервера IMAP будет одинаковым, либо сгенерируйте новый ключ и сертификат для Dovecot. Группа Диффи-Хеллмана генерируется и управляется автоматически Dovecot, размер может быть установлен с помощью ssl_dh_parameters_length и должен быть по крайней мере установлен на 2048 бит. Ciphersuite был взят из weakdh.org

10-ssl.conf

ssl = обязательный ssl_cert = </etc/dovecot/tls/server.crt ssl_key = </etc/dovecot/tls/server.key ssl_dh_parameters_length = 4096 ssl_protocols =! SSLv2! SSLv3-ssl_cipher_list = ECD: ECD: ECD: ESC: ESC: = ECDHE-ECDSA-AES128-GCM-SHA256: ECDHE-RSA-AES256-GCM-SHA384: ECDHE-ECDSA-AES256-GCM-SHA384: DHE-RSA-AES128-GCM-SHA256: ДНЕ-DSS-AES128-GCM-SHA256: kEDH + AESGCM: ECDHE-RSA-AES128-SHA256: ECDHE-ECDSA-AES128-SHA256: ECDHE-RSA-AES128-SHA: ECDHE-ECDSA-AES128-SHA: ECDHE-RSA-AES256-SHA384: ECDHE-ECDSA-AES256- SHA384: ECDHE-RSA-AES256-SHA: ECDHE-ECDSA-AES256-SHA: DHE-RSA-AES128-SHA256: DHE-RSA-AES128-SHA: ДНЕ-DSS-AES128-SHA256: DHE-RSA-AES256-SHA256: DHE-DSS-AES256-SHA: DHE-RSA-AES256-SHA: AES128-GCM-SHA256: AES256-GCM-SHA384: AES128-SHA256: AES256-SHA256: AES128-SHA: AES256-SHA: AES: КАМЕЛИЯ: DES- CBC3-ША! aNULL: eNULL: ЭКСПОРТ: DES: RC4: MD5: PSK: aECDH: EDH-DSS-DES-CBC3-ША! EDH-RSA-DES-CBC3-ША: ! KRB5-DES-CBC3-SHA ssl_prefer_server_ciphers = yes verbose_ssl = yes

Dovecot может быть настроен для предоставления интерфейса SASL для postfix, чтобы аутентификация для postfix могла выполняться через Dovecot, который затем использует LDAP в качестве бэкэнда.

Чтобы активировать интерфейс SASL, включите службу авторизации в /etc/dovecot/conf.d/10-master.conf.

10-master.conf

аутентификация службы {... unix_listener / var / spool / postfix / private / auth {mode = 0660 user = postfix group = postfix}}

Это создаст сокет unix в / var / spool / postfix / private / auth, принадлежащий и доступный только пользователю postfix.

Чтобы активировать аутентификацию SASL в postfix, включите ее в /etc/postfix/main.cf.

main.cf

smtpd_sasl_type = dovecot smtpd_sasl_path = private / auth smtpd_sasl_auth_enable = да неработающий_sasl_auth_clients = да

Чтобы разрешить ретрансляцию почты от прошедших проверку пользователей удаленным адресатам, добавьте allow_sasl_authenticated в smtpd_relay_restriction. И чтобы разрешить только адреса FROM, принадлежащие аутентифицированному пользователю, установите reject_sender_login_mismatch в smtpd_recipient_restrictions. Разрешенные адреса ищутся по карте, определенной в smtpd_sender_login_maps.

smtpd_relay_restrictions = allow_mynetworks allow_sasl_authenticated defer_unauth_destination smtpd_recipient_restrictions = reject_sender_login_mismatch

Postfix аутентификацию можно легко проверить из командной строки. Сначала подключитесь к серверу через порт 25 или порт 587.

you @ workspace: ~ $ openssl s_client -starttls smtp -connect mail.example.com:25

Вы получите много полезной информации об установленном соединении TLS. Следующий шаг - познакомиться с командой EHLO.

EHLO foo.example.com 250-mail.example.com 250-ТРУБОПРОВОД 250-РАЗМЕР 10240000 250-VRFY 250-ETRN 250-AUTH PLAIN 250-AUTH = PLAIN 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN

Строка 250-AUTH указывает, что аутентификация включена. Для проверки подлинности создайте строку в кодировке base64, содержащую имя пользователя и пароль с префиксом NULL-байтов.

you @ workstation: ~ $ echo -ne "\ 0username \ 0password" | base64

Затем выполните аутентификацию, отправьте строку на сервер.

AUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk 235 2.7.0 Аутентификация прошла успешно

Вы получите либо 235, либо 535 в зависимости от того, прошла ли аутентификация успешно. Если аутентификация не работает должным образом, см. Ошибки в /var/log/mail.*. Если это не помогает, установите debug_level = -1 в /etc/dovecot/dovecot-ldap.conf.ext и снова проверьте журналы при тестировании аутентификации.

связи

Похожие

Комментарии