0

SASL TLS

Първоначално в https://posluns.com/guides/sasl-tls/. Отидете на главната страница.

Общи указания:
Този документ е предназначен за хора, които искат да се създаде Postfix използване SASL2 удостоверяване и TLS криптиране. Той може да се използва за един или друг от пропускане на секцията с подходящ софтуер заглавието.

Важни забележки:
Използвайте тези инструкции на свой собствен риск.
Никога не тества нещата в производствена среда!

Всички тези инструкции се основават на OpenBSD 3.2 с портове по подразбиране дървото на. OpenBSD идва с OpenSSL вече е инсталиран, така че ако сте с помощта на разпределение или аромат на UNIX, че не разполага с OpenSSL, че може би трябва да ви бъде първият пакет за инсталиране.

The OpenBSD 3.2 портовете има Сайръс-SASL-2.1.7 достъпна за инсталиране по подразбиране. А просто грим; да инсталирате от правилното директория ще се погрижи за това за вас.

The OpenBSD портовете в крак с Postfix ток и моментна снимка доста добре. Опциите, които искате да разрешите са моментна снимка, TLS, sasl2. Ако искате да използвате LDAP, PCRE, или други опции, просто погледнете в Makefile, и даде възможност на това, което искате.

Пакетът, който ще се използва за целите на това ръководство е:
Postfix-1.1.11-20020917.tls0.8.11a-sasl2-sasl2-TLS, който е създаден с възможност за снимка, TLS, sasl2 в Makefile. Имайте предвид, че по-късно преразглеждане на портовете може да са актуализирани версии, и това изпълнение е специфично използване 20020917. Забележка: Тези инструкции са били тествани с снимки на Postfix 20030424 и 20030717, без никакви проблеми.

SASL2 ДЕТАЙЛИ:
Първо, уверете се, че SASL2 е поставена правилно и да ви хареса. В примерната конфигурация, файлове са разположени в /usr/local/lib/sasl2, и /usr/lib/sasl2 е символ, свързан с него. Файловете, които бяха останали в директорията са само тези, които са желани в системата. Останалите бяха подкрепени с /use/local/lib/sasl2_backup.

Библиотеките, използвани за системата за изпитване, които са останали в указателя са както следва.

libcrammd5
libdigestmd5
liblogin
libplain
libsasldb

Имайте предвид, че за тази реализация на Postfix, ние само ще използвате liblogin и libplain, като ще има SSL / TLS тунел защитават ясни текстови потребителските имена (чрез криптография). Библиотеката за libsasldb би било полезно, ако ще да има отделен файл с вашите потребителско име и парола. Библиотеките MD5 са добри за установяване автентичността на сесия, която не е защитена от криптографията.

Вие ще трябва да създадете файл в  /usr/local/lib/sasl2 нарича smtpd.conf. Този файл трябва да има права за 0644, и съдържанието му трябва да бъдат както следва:

# Това определя smtpd Удостоверяването с помощта на saslauthd daemon.
pwcheck_method:saslauthd
# Това позволява само обикновена и вход като механизмите за автентикация.
mech_list: plain login

Сега, че SASL2 (самостоятелен) конфигурация е пълен, демонът трябва да бъде стартирана. В OpenBSD, на /etc/rc.local файл е най-доброто място, за да направите това. Трябва да добавите запис в rc.local, подобно на следното:

# SASL2 Authentication Daemon
# Тази конфигурация комплекти saslauthd да използва документация на системата за парола.
if [ -x /usr/local/sbin/saslauthd ]; then
/usr/local/sbin/saslauthd -a getpwent
fi

Сега, SASL2 е готова да бъде използвана. Postfix има няколко прости конфигурация добавя / промени, които трябва да се направи, за да го инструктира да използват новата система за идентификация.

/etc/postfix/master.cf На файла ще контролирате настройките за smtpd демона. За да получите тази работа (без да се правят повече промени), ще трябва да зададете smtpd да не Chroot. След като потвърди, че SASL работи без Chroot, активирайте отново Chroot и се опитайте да го работи в тази по-сигурен начин.

service type private unpriv chroot wakeup maxproc command
smtp inet n n n - - smtpd

Имайте предвид, че това е много лоша идея да unchroot процес, който може да работи chrooted, освен ако не е абсолютно необходимо! За да стартирате smtpd chrooted, вие ще трябва да копирате поредица от файлове на chrooted затвора. Това ще включва всички съответни автентични файлове, както и всичко друго, което сте добавили / модифицира, че ще предизвика Postfix да изискват файл извън chrooted затвора.

Файл  /etc/postfix/main.cf На файла трябва да има няколко допълнения, за да му даде указания за употреба SASL2:

mtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =
broken_sasl_auth_clients = yes

Забележка: По обсъждания на потребителите Postfix пощенския списък, има известен проблем в Postfix20020917 / SASL2 където опцията smtpd_sasl_local_domain трябва да се остави на празен (нула) стойност, в противен случай SASL2 няма да разпознаете.

Ако искате да позволите регистрирани потребители да предават поща, тогава и вие ще трябва да добавите smtpd_recipient_restrictions = permit_sasl_authenticated да main.cf. Записът ограничения smtpd трябва да бъде много по-дълго, и трябва да съдържа повече ограничения, както в следния пример:

smtpd_recipient_restrictions =
permit_mynetworks,
check_recipient_access hash:/etc/postfix/maps/access,
reject_maps_rbl,
reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_unknown_recipient_domain,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_non_fqdn_hostname,
permit_sasl_authenticated,
check_relay_domains

Имайте предвид, че влизането на reject_maps_rbl вероятно ще трябва да бъде в по-ранен списък ограничения, и като такава би била излишна тук. Също така, на входната reject_non_fqdn_hostname вероятно ще доведе до много проблеми, като домакини, не винаги (или дори често) са конфигурирани с пълните имена на домейните.

За по-пълно пример за main.cf моля вижте http://www.posluns.com/files/main.cf

TLS ДЕТАЙЛИ:
Едно много важно нещо е да се помисли, че потребителите вече ще бъдат автентификация в чист текст. Ако ще да се приложи TLS (криптиране) в рамките на Postfix, след това вероятно ще трябва да добавите следния текст, за да си main.cf:

# Това ще позволи само автентикация на потребителите, след като TLS е
# започна и информация се прехвърля е кодирано.
smtpd_tls_auth_only = yes

За да се използва TLS, вашият сървър трябва да има сертификат във формат PEM. Освен ако не ще да сертифициращ орган (който ще трябва да плати), ще трябва да се създаде сертификат по своему. Най-лесният вид сертификат за използване е самостоятелно подписан .pem файл, който може да бъде създаден с помощта на OpenSSL.

Забележка: Един добър набор от инструкции за вземане на сертификати могат да бъдат намерени в http://www.eclectica.ca/howto/ssl-cert-howto.php.

Забележка: Друг полезен метод за създаване на самостоятелно подписан .pem файл е да използвате програмата mkimapdcert, който идва с куриер-IMAP. Тази програма ще се създаде самостоятелно подписан сертификат за нарича imapd.pem. Всичко, което трябва да направите, да го преименувате тази да smtpd.pem, да го преместите в / и т.н. / постфиксната / SSL, и да го коригират до 400.

За да използвате вашия сертификат, ще трябва да се направят следните допълнения към main.cf:

smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Последните детайли:
Рестартирайте постфиксната веднъж всички гореспоменати конфигурации са приключили, а вие сега вече има SASL2 истинност и TLS активирани постфиксната сървър.

admin

Leave a Reply

Your email address will not be published. Required fields are marked *