This translation became possible due to efforts of world's most complete How To Call guide authors, who work for UcallWeconn a cheap VoIP provider in Denmark
Уводзіны
АГУЛЬНЫЯ НАТАТКІ:
Гэты дакумент прызначаны для людзей, якія жадаюць наладзіць Postfix выкарыстаннем sasl2 аўтэнтыфікацыі і TLS шыфраванні. Яна таксама можа быць скарыстаны для адной ці іншай, прапускаючы ў частцы пад назвай з адпаведным праграмным забеспячэннем загалоўка.
ВАЖНАЯ ІНФАРМАЦЫЯ:
Выкарыстоўвайце гэтыя інструкцыі на свой страх і рызыка.
Ніколі не тэставаць у асяроддзі!
Вусе гэтыя інструкцыі заснаваны на OpenBSD 3.2 з дрэва порты па змаўчанні. OpenBSD пастаўляецца з OpenSSL ужо ўсталяваны, так што калі вы выкарыстоўваеце распаўсюд ці густы UNIX, які не траўні OpenSSL, што, верагодна, варта ваш першы пакет для ўсталёўкі.
OpenBSD 3,2 дрэва портаў траўні Кір-SASL-2.1.7 даступная для ўсталёўкі па змаўчанні. Простае зрабіць; зрабіць усталёўку з адпаведны каталог будзе клапаціцца о, што для вас.
Дрэва портаў OpenBSD ідзе ў нагу з бягучай Postfix і здымак дабра. Варыянты, якія вы жадаеце ўключыць з'яўляюцца здымак, TLS, sasl2. Калі вы жадаеце выкарыстоўваць LDAP, PCRE, ці іншыя варыянты, простая пагледзіце ў Makefile, і дазволіць тое, што вы жадаеце.
Пакет, які будзе выкарыстоўвацца для мэт гэтага кіраўніцтва:
Postfix-1.1.11-20020917.tls0.8.11a-sasl2-sasl2-TLS якаючы была створана з опцыяй для здымка, TLS, sasl2 у Makefile. Заўважым, што пазней перагляду дрэва портаў можа мець абноўленыя версіі, і гэта рэалізацыя была адмыслова выкарыстаннем 20020917. Нататка Гэтыя інструкцыі былі пратэставаны са здымкі Postfix 20030424 і 20030717 без якіх-небудзь праблем.
Sasl2 падрабязнасці:
Па-першае, пераканаецеся, што sasl2 правільна ўсталяваны і на свой густы. У прыклад канфігурацыі, файлы знаходзяцца ў /usr/local/lib/sasl2, і /usr/lib/sasl2 быў сімвалічны з ім злучана. Файлы, якія былі пакінуты ў каталогу толькі тыя, якія пажаданы ў сістэме. Астатнія былі скапіяваны на /use/local/lib/sasl2_backup.
Бібліятэк, выкарыстоўваных на тэст-сістэмы, якія засталіся ў каталогу прадстаўлена наступным чынам.
libcrammd5
libdigestmd5
liblogin
libplain
libsasldb
Заўважым, што для гэтай рэалізацыі Postfix, мы толькі збіраемся выкарыстоўваць liblogin і libplain, як будзе SSL /TLS тунэль абароны ясная лагіны тэксту (з дапамогай крыптаграфіі). Libsasldb бібліятэка будзе карысная, калі вы збіраецеся мець асобны файл з імёнамі і паролямі. MD5 бібліятэкі з'яўляюцца добрымі для аўтэнтыфікацыі сесіі, якія не абаронены пекла крыптаграфіі.
Вы павінны стварыць файл у /usr/local/lib/sasl2 завецца smtpd.conf. Гэты файл павінен мець правы доступу 0644, і яе ўтрыманне павінна быць наступным:
# Гэта ўсталёўвае smtpd аўтэнтыфікацыі з выкарыстаннем saslauthd дэман.
pwcheck_method: saslauthd
# Гэта дазваляе толькі простая і Лагін, як механізмы праверкі сапраўднасці.
mech_list: plain login
Зараз, калі sasl2 (аўтаномныя) налада завершана, дэман павінен быць запушчаны. У OpenBSD /etc/rc.local з'яўляецца лепшым месцам для гэтага. Вы павінны дадаць запіс у rc.local прыкладна наступнае:
# Sasl2 Дэман Аўтэнтыфікацыя
# Гэта канфігурацыя мноства saslauthd на выкарыстанне файлавай сістэмы пароляў.
if [ -x /usr/local/sbin/saslauthd ]; then
/usr/local/sbin/saslauthd -a getpwent
fi
Зараз, калі sasl2 гатовая ды выкарыстання. Postfix траўні некалькі простых канфігурацыі дадае /змены, якія неабходна зрабіць для таго, каб даручыць яго на выкарыстанне новай сістэмы аўтэнтыфікацыі.
У файле /etc/postfix/main.cf будзе кантраляваць налады для smtpd дэманам. Для таго каб атрымаць гэту працу (без занясення змен больш), вы павінны ўсталяваць smtpd не ізаляванай. Пасля таго як вы пацвердзілі, што SASL працуе без ізаляванай, уключыце ізаляванай і паспрабаваць прымусіць яго працаваць у гэтым больш бяспечным спосабам.
| service | type | private | unpriv | chroot | wakeup | maxproc | command |
| smtp | inet | n | n | n | - | - | smtpd |
Адзначым, што ідэя вельмі дрэнна unchroot працэс, які можа працаваць ізаляванай, калі гэта абсалютна неабходна! Для таго каб запусціць smtpd ізаляванай, вам прыйдзецца скапіяваць шэраг файлаў у ізаляваную турму. Гэта будзе ўключаць вусе адпаведныя файлы праверкі сапраўднасці, і ўсё астатняе, што вы дадаць / змяніць, што прывядзе ды Postfix патрабаваць файл па-за ізаляванай турме. |
|||||||
У файле /etc/Postfix/main.cf павінен мець некалькі дадаткаў у мэтах даручыць яго выкарыстоўваць sasl2:
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes
Нататка: Па абмеркаванні ў спісе рассылання карыстачоў Postfix, есць вядомая праблема ў Postfix20020917/SASL2 дзе smtpd_sasl_local_domain опцыя павінна быць пакінута на пустыя (нулявыя) значэнні, у адваротным выпадку sasl2 не сапраўднасці.
Калі вы жадаеце дазволіць аўтарызаваным карыстачам для перадачы пошты, тыя вы таксама павінны дадаць smtpd_recipient_restrictions = permit_sasl_authenticated так main.cf. Smtpd абмежаванняў на ўезд павінен быць шмат больш, і павінна ўтрымоўваць больш абмежаванняў, як у наступным прыкладзе:
smtpd_recipient_restrictions =
permit_mynetworks,
check_recipient_access hash:/etc/postfix/maps/access,
reject_maps_rbl,
reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_unknown_recipient_domain,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_non_fqdn_hostname,
permit_sasl_authenticated,
check_relay_domains
Звернеце ўвагу, што запіс для reject_maps_rbl, верагодна, варта ў спісе раней абмежаванні, і як такая будзе залішнім тут. Акрамя таго, уступ reject_non_fqdn_hostname, верагодна, выкліча шмат праблем, у якасці прымалага боку, не заўсёды (ці нават частая) наладжаны поўныя даменныя імёны.
Для больш поўнага прыклад main.cf гл. http://www.posluns.com/files/main.cf
TLS падрабязнасці:
Адна вельмі важная рэч, каб разгледзець тое, што карыстачы зараз будуць аўтэнтыфікацыі ў выглядзе адкрытага тэксту. Калі вы збіраецеся ажыццяўляць TLS (шыфраванне) у Postfix, тыя вы, верагодна, варта дадаць наступныя радкі ў ваш main.cf:
# Гэта толькі дазволіць аўтэнтыфікацыі карыстачоў разоў TLS было
# пачала і перадатнай інфармацыі ў зашыфраваным выглядзе.
smtpd_tls_auth_only = yes
Для таго каб выкарыстоўваць TLS, ваш сервер павінен мець сертыфікат у фармаце PEM. Калі вы збіраецеся сертыфікацыі (які вы павінны заплаціць), вам прыйдзецца стварыць сертыфікат па сваім меркаванні. Самы простыя тып сертыфіката на выкарыстанне самозаверяющих. PEM файл, які можа быць створаны з дапамогай OpenSSL.
Нататка: добрыя набор інструкцый для выраба сертыфікатаў можна знайсці на http://www.eclectica.ca/howto/ssl-cert-howto.php.
Нататка:. Іншым карысным метадам для стварэння самозаверяющего PEM файла з'яўляецца выкарыстанне mkimapdcert праграма, якаючы пастаўляецца з Courier-IMAP. Гэта праграма будзе стварыць сабе сертыфікат завецца imapd.pem. Вусе, што вам трэба зрабіць гэта пераназваць гэта smtpd.pem, перамясціць яго ў /etc/Postfix/SSL, і гэта CHMOD так 400.
Для таго каб выкарыстоўваць сертыфікат, вам неабходна зрабіць наступныя дадаткі ў main.cf:
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
Канчатковыя дэталі:
Перазапускам, калі ўсё вышэй канфігурацыі былі завершаны, і зараз вы павінны мець sasl2 аўтэнтыфікацыю і TLS уключаны Postfix сервера.
