|
Strona 5 z 9
5. Konfiguracja Postfix'a i SMTP AUTH
Autoryzacja poczty wychodzącej (SMTP AUTH) to zabezpieczenie
uniemożliwiające wysyłkę poczty bez uprzedniego zalogowania się do konta. Dzięki
niemu nikt nie będzie mógł podszyć się pod Twój adres e-mail, a odbiorca danej
wiadomości będzie miał pewność, że jesteś jej autorem. Funkcja ta zabezpiecza
także przed wysłaniem poczty za pośrednictwem Twojego serwera przez nie
autoryzowanego nadawcę lub spamera. Opisana tu konfiguracja zapewnia taką
autoryzację za pomocą biblioteki Cyrus-SASL2. Aby móc wysyłać pocztę z użyciem
autoryzacji poczty wychodzącej, należy wejść w programie pocztowym do
właściwości konta i w zakładce 'Serwery' włączyć opcję 'Serwer wymaga
uwierzytelnienia', a w jego właściwościach wybrać 'Użyj tych samych ustawień co
mój serwer poczty przychodzącej'.To było krótkie wyjaśnienie na jakiej zasadzie
działa SMTP AUTH, teraz czas na jej skonfigurowanie. Edytuj plik `main.cf` i
dodaj do niego poniższe linijki:
# vi /etc/postfix/main.cf
--- main.cf ---
# SASL AUTH
# Uaktywniamy autoryzację:
smtpd_sasl_auth_enable = yes
# Zgodność ze starszymi klientami pocztowymi, np.
Outlook Express 4:
broken_sasl_auth_clients = yes
# Metod autoryzacji, które nie będą obsługiwane:
smtpd_sasl_security_options =
noanonymous
# Ustawienie autoryzacji jest wymagana przy
wysyłaniu listów z określonych tutaj domen. Jeśli zostawisz ten parametr
# pusty będzie to oznaczało, że autoryzacja jest wymagana
przy wszystkich domenach na Twoim serwerze:
smtpd_sasl_local_domain =
# Restrykcje - Sprawdzanie poczty na podstawie
adresu nadawcy listu (RCPT TO):
smtpd_recipient_restrictions =
permit_sasl_authenticated,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
check_relay_domains,
# Restrykcje - Sprawdzenie IP komputera, z którego
wysyłana jest wiadomość:
smtpd_client_restrictions =
permit_sasl_authenticated,
reject_unknown_client,
reject_rbl_client relays.ordb.org,
reject_rbl_client dnsbl.njabl.org,
# Restrykcje - Sprawdzanie poczty na podstawie
adresu odbiorcy listu (MAIL FROM):
smtpd_sender_restrictions =
permit_sasl_authenticated,
reject_unknown_sender_domain,
reject_non_fqdn_sender,
hash:/usr/local/etc/postfix/access |
--- end of main.cf ---
Restrykcjami możemy manipulować dowolnie. Dostępne są 3
rodzaje restrykcji wymienione powyżej. Oto opis niektórych z nich:
1) Sprawdzanie poczty na podstawie adresu nadawcy listu (RCPT TO). Zmienna
odpowiedzialna za tą restrykcje to "smtpd_recipient_restrictions":
- reject_non_fqdn_recipient - odrzuć list, jeśli podany adres odbiorcy nie
jest "pełny" (fully-qualified domain form)
- reject_unknown_recipient_domain - odrzuć, jeśli adres docelowy listu, jego
adres nie istnieje w DNS (czyli i tak nie ma dokąd go wysłać)
- check_recipient_access maptype:mapname - przeszukuje plik podany jako
argument i na jego podstawie decyduje czy wysłać list.
- permit_auth_destination - przyjmij list, jeśli to nasz serwer jest jego
celem lub adres przeznaczenia zawiera się w zmiennej $relay_domains. Jeśli
warunek nie jest spełniony, bierz pod uwagę następne ograniczenia.
- reject_unauth_destination - podobne do poprzedniego, ale odrzuć list,
jeśli to nasz serwer nie jest jego przeznaczeniem. Odrzuca list, nie sprawdza
innych ograniczeń.
- check_relay_domains - jeśli adres IP komputera, który wysyła list pasuje
do $relay_domains lub celem listu jest $relay_domains lub to nasz serwer jest
komputerem docelowym - przyjmij list, w przeciwnym wypadku go odrzuć i
zakończ.
- permit - pozwól na wysłanie listu. Przydatne na końcu listy ograniczeń,
jako zachowanie domyślne, gdy poprzednie reguły nie pasują.
- reject - odrzuć list. Przydatne na końcu listy ograniczeń, jako zachowanie
domyślne, gdy poprzednie reguły nie pasują.
2) Sprawdzenie IP komputera, z którego wysyłana jest wiadomość. Zmienna
odpowiedzialna za tą restrykcje to "smtpd_client_restrictions":
- permit_mynetworks - pozwala na połączenie się z naszym serwerem
komputerom, z naszej sieci lokalnej (dokładnie: komputerom, które zostały
ujęte w zmiennej $mynetworks)
- reject_unknown_client - odrzuca komputer, którego adresu IP nie ma w DNS
- check_client_access maptype:mapname - sprawdza IP/nazwę komputera w pliku
wpisanym jako parametr.
- permit - pozwól na połączenie. Przydatne na końcu listy ograniczeń, jako
zachowanie domyślne, gdy poprzednie reguły nie pasują.
- reject - odrzuć połączenie. Przydatne na końcu listy ograniczeń, jako
zachowanie domyślne, gdy poprzednie reguły nie pasują.
3) Sprawdzanie poczty na podstawie adresu odbiorcy listu (MAIL FROM). Zmienna
odpowiedzialna za tą restrykcje to "smtpd_sender_restrictions":
- reject_unknown_sender_domain - odrzuca list, jeśli adres nadawcy,
dokładnie część po @ adresu nadawcy, nie ma wpisu w DNS.
- reject_non_fqdn_hostname - odrzuca list, jeśli adres nadawcy, dokładnie
część po @ adresu nadawcy nie jest "pełna" (fully-qualified domain form).
- check_sender_access maptype:mapname - przeszukuje plik podany jako
argument. Na jego podstawie decyduje czy użytkownik może wysyłać listy.
- permit - pozwól na wysłanie listu. Przydatne na końcu listy ograniczeń,
jako zachowanie domyślne, gdy poprzednie reguły nie pasują.
- reject - odrzuć list. Przydatne na końcu listy ograniczeń, jako zachowanie
domyślne, gdy poprzednie reguły nie pasują.
Jak już wspomniałem tymi zmiennymi możemy manipulować
dowolnie. Szczegółowy ich opis znajdziesz w dokumentacji oraz w pliku `sample-smtpd.cf`
w katalogu z Postfix'em.Utwórzmy teraz plik `access` w katalogu z plikami
konfiguracyjnymi Postfix'a w celu ustawienia ograniczeń nawiązania połączeń z
naszym serwerem. W praktyce dopisujemy do niego każdego użytkownika, który
chciałby mieć możliwość wysyłania i odbierania poczty z naszego serwera, w
opisanym przykładzie użytkownik tomek będzie mógł korzystać z naszego serwera
SMTP, dostaje on takie przywileje gdy dopiszemy słowo `OK` przy jego username i
nazwie domeny. Jeśli jednak chcesz aby użytkownik miał jedynie dostęp do powłoki
i nie miał możliwości wysyłania i odbierania poczty dopisujemy przy jego loginie
i nazwie domeny słowo `REJECT`. Krótko mówiąc `user@domena1.pl` nie będzie
otrzymywał żadnej poczty, jak również na domenę `jakas_domena.pl` nie dojdzie
żadna wiadomość. Zawartość tego pliku może być następująca:
# touch /etc/postfix/access
# vi /etc/postfix/access
--- access ---
tomek@domena1.pl OK
user@domena1.pl REJECT
jakas_domena.pl REJECT |
--- end of access ---
Po dokonaniu wpisów do tego pliku aktualizujemy bazę danych
poleceniem:
# postmap /etc/postfix/access
Restartujemy Postfix'a i uruchamiamy saslauthd:
# /usr/local/etc/rc.d/postfix.sh
reload
# /usr/local/etc/rc.d/saslauthd.sh start
Sprawdzamy teraz czy wszystko gra. Logujemy się przez telnet
na port 25 naszego serwera i wpisujemy `EHLO domena.pl` i powinniśmy ujrzeć
następujący komunikat, jeśli takowy nam się ukarze, znaczy to że Twoja
konfiguracja jest poprawna i możesz przejść do następnej części tego artykułu.
$ telnet 127.0.0.1 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 domena.pl ESMTP Postfix
EHLO domena.pl
250-domena.pl
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-XVERP
250 8BITMIME
Wpisujemy `QUIT` aby zakończyć połączenie.
|
FreeBSD 
Postfix - "Krok po kroku" v1.1
sdi.sh
uEagle 1.0p1
