Сервисы электронной почты

1. Postfix

В Ubuntu агент передачи почты (Mail Transfer Agent (MTA)) по умолчанию —

Postfix. Он считается безопасным, быстрым и лёгким в администрировании. Он совместим с MTA sendmail. Данный раздел объяснит, как установить

и настроить postfix. Так же будет описано, как настроить SMTP-сервер с использованием безопасного соединения (для безопасной передачи почты).

Это руководство не рассматривает настройку виртуальных доменов postfix. Для получения информации по виртуальным доменам и другим расширенным настройкам смотрите Раздел 1.7.3, «Ссылки» [277].

1.1. Установка

Чтобы установить postfix, запустите следующую команду:

sudo apt-get install postfix

Просто нажимайте ввод, когда процесс установки задает вопросы, более детальная настройка будет выполнена на следующем этапе.

1.2. Базовая конфигурация

Чтобы настроить postfix, выполните следующую команду:

sudo dpkg-reconfigure postfix

Будет запущен пользовательский интерфейс. На каждом экране выбирайте следующие значения:

•Сайт в интернете

•mail.example.com

•steve

•mail.example.com, localhost.localdomain, localhost

•No

•127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 192.168.0.0/24

•0

•+

•все

Замените mail.example.com на домен, для которого вы настраиваете email, 192.168.0.0/24 на актуальную подсеть и маску для вашего почтового сервера и steve на соответствующее имя пользователя.

271

Сервисы электронной почты

Теперь самое время решить, какой формат почтового ящика вы хотите использовать. По умолчанию, Postfix будет использовать mbox, как формат почтового ящика. Вместо прямого редактирования конфигурационного файла, вы можете использовать команду postconf для настройки всех параметров postfix. Параметры конфигурации будут храниться в файле /etc/postfix/main.cf. Позже, если вы захотите перенастроить отдельный параметр, вы можете либо запустить команду, либо изменить его в файле вручную.

Для настройки формата почтового ящика в Maildir:

sudo postconf -e 'home_mailbox = Maildir/'

Это поместит новую почту в /home/username/Maildir, поэтому вам потребуется настроить вашего агента доставки почты (MDA) на использование этого же каталога.

1.3. Аутентификация SMTP

SMTP-AUTH позволяет клиенту идентифицировать себя через механизм аутентификации (SASL). Транспортный уровень безопасности (TLS) будет использоваться для шифрования процесса аутентификации. После аутентификации SMTP сервер позволит клиенту передавать почту.

1.Настройте Postfix на SMTP-AUTH с использованием SASL (Dovecot SASL):

sudo postconf -e 'smtpd_sasl_type = dovecot'

sudo postconf -e 'smtpd_sasl_path = private/auth-client' sudo postconf -e 'smtpd_sasl_local_domain ='

sudo postconf -e 'smtpd_sasl_security_options = noanonymous' sudo postconf -e 'broken_sasl_auth_clients = yes'

sudo postconf -e 'smtpd_sasl_auth_enable = yes' sudo postconf -e 'smtpd_recipient_restrictions = \

permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'

Настройка smtpd_sasl_path является путём, относительным к каталогу запросов Postfix.

2.Далее создайте или получите цифровой сертификат для TLS. Смотрите подробности в разделе Раздел 5, «Сертификаты» [194]. Этот пример также использует Центр сертификации (CA). Для информации по созданию сертификатов CA смотрите раздел Раздел 5.5, «Центр Сертификации» [197].

Почтовым агентам пользователей (MUA), подключающимся к вашему почтовому серверу через TLS, потребуется распознать

272

Сервисы электронной почты

сертификат, используемый для TLS. Это может быть сделано либо с использованием сертификата от коммерческого центра сертификации, либо с самоподписанным сертификатом, который пользователи установили вручную. Для TLS между MTA (агентами передачи почты) сертификаты никогда

не подтверждаются без дополнительного соглашения с контролирующими организациями. Поэтому для таких соединений, если локальные политики этого не требуют, нет резона не использовать самоподписанные сертификаты. Смотрите подробности в разделе Раздел 5.3, «Создание сертификата со своей подписью» [197].

3.Как только у вас появился сертификат, настройте Postfix на использование TLS-шифрования как для входящей, так и для исходящей почты:

sudo postconf -e 'smtp_tls_security_level = may' sudo postconf -e 'smtpd_tls_security_level = may'

sudo postconf -e 'smtp_tls_note_starttls_offer = yes'

sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/server.key' sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/server.crt' sudo postconf -e 'smtpd_tls_loglevel = 1'

sudo postconf -e 'smtpd_tls_received_header = yes' sudo postconf -e 'myhostname = mail.example.com'

4.Если вы используете собственный Центр сертификации, для подписи сертификата введите:

sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'

Опять же, для подробностей смотрите раздел Раздел 5, «Сертификаты» [194].

После выполнения всех команд Postfix настроен на SMTP-AUTH и самоподписанный сертификат создан для TLS шифрования.

Теперь, файл /etc/postfix/main.cf должен выглядеть подобным1 образом.

Начальная настройка postfix закончена. Выполните следующую команду для перезапуска сервиса postfix:

sudo /etc/init.d/postfix restart

1 ../sample/postfix_configuration

273

Сервисы электронной почты

Postfix поддерживает SMTP-AUTH как описано в RFC25542. Он основан на SASL3. Однако все-таки необходимо настроить аутентификацию перед тем, как вы сможете использовать SMTP-AUTH.

1.4. Настройка SASL

Postfix поддерживает две реализации SASL: Cyrus SASL и Dovecot SASL.

Чтобы разрешить Dovecot SASL, требуется установить пакет dovecotcommon. Для этого из терминала введите следующее:

sudo apt-get install dovecot-common

Далее вам потребуется отредактировать /etc/dovecot/dovecot.conf. В секции auth default снимите комментарий с опции socket listen и измените её следующим образом:

socket listen { #master {

#Master socket provides access to userdb information. It's typically

#used to give Dovecot's local delivery agent access to userdb so it

#can find mailbox locations.

#path = /var/run/dovecot/auth-master #mode = 0600

# Default user/group is the one who started dovecot-auth (root) #user =

#group =

#} client {

#The client socket is generally safe to export to everyone. Typical use

#is to export it to your SMTP server so it can do SMTP AUTH lookups

#using it.

path = /var/spool/postfix/private/auth-client mode = 0660

user = postfix group = postfix

}

}

Чтобы позволить использовать SMTP-AUTH клиентам Outlook, в секции auth default файла /etc/dovecot/dovecot.conf добавьте "login":

mechanisms = plain login

После того, как Dovecot настроен, перезапустите его:

2http://www.ietf.org/rfc/rfc2554.txt

3http://www.ietf.org/rfc/rfc2222.txt

274