0. Wstęp

Niniejszy artykuł przedstawia konfigurację Postfixa z autoryzacją i szyfrowanym połączeniem SMTP. Autoryzacja odbywa się na podstawie haseł systemowych, czyli na podstawie hasła do konta shellowego. W związku z tym, że taka autoryzacja wymaga przesyłania hasła za każdym razem kiedy chcemy wysłać list (co nie jest zbyt bezpieczne) "dozbrajamy" jeszcze Postfixa o obsługę TLS czyli szyfrowane połączenie SMTP. Ponadto SMTP AUTH i TLS jest wymuszony na klientach. Co to znaczy? To znaczy, że bez autoryzacji po szyfrowanym połączeniu nie zdołamy wysłać listu (jeżeli jest autoryzacja a nie ma szyfrowanego połączenia i na odwrót również nie uda nam się wysłać emaila). Wniosek z tego taki, że maila możemy wysłać tylko i wyłącznie gdy SMTP AUTH idzie w parze z TLSem 

1. Instalacja

Oczywiście polecam instalacje z portów. W naszym przypadku wykorzystywana będzie biblioteka SASL2. Jest ona potrzebna, aby móc wykorzystywać SMTP AUTH. W pierwszej kolejności wykonujemy następujące kroki. 

# cd /usr/ports/security/cyrus-sasl2
# make build && make install && make clean
# cd /usr/ports/security/cyrus-sasl2-saslauthd
# make build && make install && make clean

Następnie instalujemy Postfixa (w artykule 2.0.16). Podczas instalacji w menu zaznaczamy następujące opcje: DB3, SASL2, TLS:

# cd /usr/ports/mail/postfix
# make build && make install && make clean

2. Konfiguracja

Jeżeli podczas instalacji nie kazaliśmy aby zostały wprowadzone zmiany w pliku /etc/mail/mailer.conf, musimy dokonać tego teraz. Prawidłowo plik powinien wyglądać tak jak poniżej:

# cat /etc/mail/mailer.conf

Zgodnie z dokumentacją Postfixa powinniśmy jeszcze dodać odpowiednie wpisy w pliku /etc/periodic.conf, jeżeli go nie mamy to musimy utworzyć i dodać poniższe wpisy:

a) podstawowa

Po instalacji konieczne jest skonfigurowanie Postfixa. Zmieniamy następujące linie lub jeżeli ich brakuje to dodajemy do pliku main.cf:

# cd /usr/local/etc/postfix
# vi main.cf

--- main.cf ---

--- end of main.cf ---

Aby dodać kilka aliasów wskazujących na jedno konto pocztowe edytujemy plik /usr/local/etc/postfix/aliases, który ma następującą składnię:

alias:konto
np.
admin:arti

co powoduje, że maile zaadresowane na zawsze trafią na konto arti. Po utworzeniu aliasów i zapisaniu zmian w pliku wydajemy komendę, która zbuduje nam bazę aliasów i bazę access (opisana w SMTP AUTH):

# newaliases
# postmap access

Dodajemy postfixa do grupy mail:

# pw mod group mail -M postfix

W tym momencie postfix już powinien zadziałać, odpalamy go i telnetujemy się na jego port

# postfix start
# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 domena.pl ESMTP Postfix
EHLO domena.pl
250-domena.pl
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-XVERP
250 8BITMIME
QUIT
221 Bye
Connection closed by foreign host.

W takim przypadku wydaje się być wszystko w porządku. Spróbuj wysłać maila, jeżeli będą problemy to zaglądaj w logi /var/log/maillog i sprawdź powyższe kroki.

UWAGA: Po każdorazowej zmianie w pliku main.cf lub master.cf wydaj polecenie postfix reload aby Postfix zaczytał nową konfigurację. Również po każdorazowym dodaniu nowego aliasu wydajemy polecenie newaliases.

b) SMTP AUTH 

do naszego configa main.cf dodajemy poniższe opcje:

Teraz utworzymy sobie bazę adresów e-mail, z których można wysyłać maile przez nasz serwer. Składnia tego pliku jest następująca:

adres e-mailco_zrobić
np.

REJECT

co oznacza, że adres e-mail, który ma w nagłówku MAIL FROM zostanie wysłany a mail z nagłówkiem zostanie zablokowany. 
Po utworzeniu pliku i zapisaniu zmian, każdorazowo budujemy bazę access:

# postmap access

P.S. Aby pozbyć się cfaniaków (niektórzy nasi użytkownicy), którzy po zautoryzowaniu się mogą dowolnie zmienić nagłówek MAIL FROM (np. mogą podać się za admina i wpisać sobie MAIL FROM ) musimy stworzyć sobie plik, w którym zamieścimy adresy e-mail i loginy z jakich można je wysłać. Jednym słowem mówiąc:

arti
arti


arti może mieć nagłówek MAIL FROM tylko taki jak zdefiniujemy w tym pliku (czyli albo albo ) a bolo może mieć tylko W ten oto sposób nikt się nie podszyje pod nikogo. Nazwijmy ten plik np. login i stwórzmy go w /usr/etc/local/postfix:

# cd /usr/local/etc/postfix
# vi login
# postmap login

Aby powyższe zadziałało musimy dodać dodatkową opcję do naszego main.cf:

a w smtpd_sender_restrictions po znaku = dopisujemy:
reject_sender_login_mismatch

Tworzymy plik smtpd.conf w podanej lokalizacji z odpowiednimi wpisami :

# vi /usr/local/lib/sasl2/smtpd.conf

Edytujemy plik /usr/local/etc/rc.d/saslauthd.sh i zmieniamy wartość w saslauthd_flags z "-a pam" na "-a getpwent". Teraz linijka ta powinna wyglądać tak jak poniżej:

Uruchamiamy postfixa i sasluthd:

# postfix start
# /usr/local/etc/rc.d/saslauthd.sh start

Następnie telnetujemy się na port 25 i sprawdzamy nasze dokonania:

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 domena.pl ESMTP Postfix
EHLO domena.pl
250-domena.pl
250-PIPELINING
250-SIZE 20480000
250-ETRN
250-AUTH PLAIN LOGIN 
250-AUTH=PLAIN LOGIN
250-XVERP
250 8BITMIME
QUIT
221 Bye
Connection closed by foreign host.

To znaczy, że wszystko jest ok, autoryzacja działa. Aby się upewnić spróbuj powysyłać kilka maili różnymi sposobami i z różnych miejsc. Możesz również spróbować wysłać maila z OE nie konfigurując go do używania autoryzacji, jeżeli nie wyśle to jest OK.

Konfiguracja klientów do używania SMTP AUTH.

Czas na konfiguracje klientów na przykładzie (Outlook Express.) :

Menu --> Narzędzia --> Konta --> Właściwości -->Serwery

Zaznacz "Serwer wymaga uwierzytelnienia". 
Oczywiście twój e-mail wychodzący ma mieć adres i użytkownika domeny $mydomain.

c) TLS

teraz do naszej autoryzacji dorzucimy szyfrowane połączenie SMTP (aby mieć również szyfrowanego POP3 zainteresuj się programem Stunnel).
W tym wypadku będziemy musieli wygenerować odpowiednie certyfikaty dla naszego serwera. Możemy się posłużyć artykułem o Stunnel, w którym to jest opisane jak się takie certyfikaty tworzy. Na końcu naszego pliku main.cf dopisujemy poniższe opcje:

Uruchamiamy postfixa i sasluthd:

# postfix start
# /usr/local/etc/rc.d/saslauthd.sh start

Następnie telnetujemy się na port 25 i sprawdzamy nasze dokonania:

# telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 domena.pl ESMTP Postfix
EHLO domena.pl
250-domena.pl
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-XVERP
250 8BITMIME
QUIT
221 Bye
Connection closed by foreign host.

Wydaje się być wszystko w porządku. Spróbujmy wysłać teraz maila bez dodatkowego konfigurowania klienta np. OE. Jeżeli nie wyśle to jest wszystko tak jak należy. Dlaczego? Dlatego, że wymusiliśmy aby autoryzacja odbywała się tylko po szyfrowanym połączeniu a tego jeszcze nie ustawiliśmy w kliencie.

Konfiguracja klientów do używania SMTP AUTH i TLS.

Czas na konfiguracje klientów na przykładzie (Outlook Express.) :

Menu --> Narzędzia --> Konta --> Właściwości -->Serwery

Zaznacz "Serwer wymaga uwierzytelnienia". 

Menu --> Narzędzia --> Konta --> Właściwości -->Zaawansowane

Zaznacz "Ten serwer wymaga bezpiecznego połączenia SSL" w miejscu SMTP. 
Oczywiście twój e-mail wychodzący ma mieć adres i użytkownika domeny $mydomain.

Teraz powinniśmy osiągnąć efekt jaki pożądaliśmy. Postfix + SMTP AUTH + TLS. Cóż więcej trzeba chcieć. Teraz wystarczy dobrze przetestować serwer i zaglądać w logi.

3. Uruchamianie Postfixa podczas startu systemu.

Aby nasz Postfix zawsze był uruchamiany podczas startu systemu musimy napisać sobie mały skrypt, który będzie za nas to robił.

# cd /usr/local/etc/rc.d
# vi postfix.sh

--- postfix.sh ---

--- end of postfix.sh ---

Jeszcze tylko zmiana praw do pliku i gotowe

# chmod 755 postfix.sh

Po bardziej szczegółowe informacje na temat Postfixa i jego konfiguracji odsyłam do dokumentacji /usr/local/share/doc/postfix oraz do plików sample-* w /usr/local/etc/postfix.
Za wszelkie uwagi i poprawki będę wdzięczny.

Autor: Artur Kulda
arti(at)bsd4u.org

Powyższy artykuł został udostępniony na zasadach Licencji BSD

Komentarze:

Re: Pozdrownienia dla autora artykułu. Dodane przez tomus w dniu - 2004-04-03 21:24:53

Witam,    Początkowo ze skonfigurowaniem Postfix'a + SASL + TLS miałem trochę problemów, ale jakoś się z nimi uporałem - dobra rada dla początkujących, którzy chcieli by to skonfigurować:    Czytać uważnie artykuł i w razie problemów przeczytać jeszcze dokumentację na stronie http://www.postfix.org.    Pozdrowienia dla autora - wielkie dzięki arti! , Tomek.

Re: Postfix z autoryzacją i szyfrowanym Dodane przez sybnet w dniu - 2004-07-04 00:21:53

FreeBSD 5.2.1 --> po instalacji i konfiguracji wedłóg powyższego opisu NIE DZIAŁA. Po "telnet localhost 25" --> łączy się, ale nie wyśiwetla powitania, i nie odpowiada na żadne polecenia ( np. "ehlo wp.pl" ). Nie wiem co może być źle? POMOCY

Re: Postfix z autoryzacją i szyfrowanym Dodane przez planar w dniu - 2004-07-12 00:43:35

Witam,  Dla wszystkich, którym przy próbie wysłania maila pojawia się komunikat: "TLS not available due to temporary reason", w moim przypadku wina była po stronie klienta, a konkretnie oprogramowania antywirusowego (NAV). Po wyłączeniu skanowania poczty wychodzącej wszystko było OK.    --   Pozdrawiam  LJ

Re: Postfix z autoryzacją i szyfrowanym Dodane przez hellboy w dniu - 2004-08-01 11:23:40

Przejżyj logi w /var/log/maillog, Ja mialem to samo jak brakowalo jakiegos pliku lub nie byl zrobiony jako DB.   Zeby pliki byly rehashowane musisz wydac polecenie   postmap nazwa_pliku.  Jezeli nie bedzie wszystkich plikow uzytych w konfiguracji to  podczas logowania postfix bedzie sie blokowal z powodu bledu.

Re: Postfix z autoryzacją i szyfrowanym Dodane przez slesh w dniu - 2004-09-07 15:14:34

Tekst w miare czytelny i zrozumialy jednak mam problem w punkcie:  "Edytujemy plik /usr/local/etc/rc.d/saslauthd.sh i zmieniamy wartość w saslauthd_flags z "-a pam" na "-a getpwent". Teraz linijka ta powinna wyglądać tak jak poniżej:    saslauthd_flags="-a getpwent" "    dokładnie chodzi o zamiane flagi -a pam na -a getpwent. Przy takim ustawieniu saslauthd zwraca bład o nieznanej metodzie autoryzacji i sie nie odpala.    Ma ktos jakis pomysł?    FreeBSD 5.2.1

Re: Postfix z autoryzacją i szyfrowanym Dodane przez arti w dniu - 2004-09-07 18:31:23

Witam,    No to spróbuj z -a pam.    Artykuł był pisany dla wersji 4.x niemniej powinien też działać w 5.x po małych zmianach.    A dokładnie jaki błąd zwraca?

Re: Postfix z autoryzacją i szyfrowanym Dodane przez natan4 w dniu - 2004-10-05 21:16:27

Witam  Oto moj konfig   myhostname = domena.pl  alias_maps = hash:/etc/aliases  alias_database = hash:/etc/aliases  myorigin = /etc/mailname  mydestination = domena.pl  relayhost =  #relay_domains =   mynetworks = 127.0.0.0/8 , 192.168.0.0/24  mailbox_command =  mailbox_size_limit = 0  recipient_delimiter = +    --cut---  dalej mam sasl i tls     Jak chce wysylac poczte to musze miec odchaszowane "relay_domains = "  i podac doemne czyli np zeby wyslac maila do hello.pl musze miec ustawione  relay_domains = pl    A jak wam to u was dziala ?

Re: Postfix z autoryzacją i szyfrowanym Dodane przez al w dniu - 2005-01-16 21:00:22

na wstepie dzieki za ten artykół, byl inspiracja do przejscia na posfix , ale jak sie domyslacie mam problem.  nie dziala mi autoryzacja, nie robilem jeszcze tls, a po zalogowniu sie telnetem dostaje taka odpowiedz :  250-PIPELINING  250-SIZE 10240000  250-ETRN  250-AUTH LOGIN PLAIN  250-AUTH=LOGIN PLAIN  250 8BITMIME    niestety, jak ustawiam w usawieniach serwer wymaga uwierzytelnienia dostaje odpowiedz command not implemented. kiedy to wylacze moge spokojnie wysylac maile. pewnie gdzies robie blad tylko nie wiem gdzie szukac, bo niby wszystko robie jak w artykole. dzieki za odp.  pozdrawiam  al

Tylko zarejestrowani użytkownicy mogą pisać komentarze.
Prosze zaloguj się i dodaj komentarz.

Powered by AkoComment!