Настроить Postfix MTA и IMAP / POP3

Чтобы отправить электронное письмо с нашего сервера CentOS 7, нам потребуется настройка для настройки современного агента передачи почты (MTA). Агент передачи почты - это демон, отвечающий за отправку исходящей почты для пользователей системы или корпоративных Интернет-доменов через SMTP.

Стоит отметить, что в этом руководстве описывается только процесс настройки демона для локального использования. Мы не будем вдаваться в подробности расширенной конфигурации для настройки MTA для бизнес-операций. Это сочетание многих навыков, включая, помимо прочего: DNS, получение статического маршрутизируемого IP-адреса, не занесенного в черный список, и настройку дополнительных параметров безопасности и услуг. Короче говоря, это руководство предназначено для ознакомления вас с базовой конфигурацией. Не используйте это руководство для настройки MTA хоста с выходом в Интернет.

Сосредоточив внимание как на безопасности, так и на простоте администрирования, мы выбрали Postfixкак MTA для этого учебника. MTA по умолчанию, установленный в более старых версиях CentOS, - это Sendmail .Sendmailотличный MTA. Однако, по скромному мнению автора, Postfix попадает в золотую середину, обращаясь к следующим примечаниям для MTA. В самой последней версии CentOS Postfix заменил Sendmail в качестве MTA по умолчанию.

Postfix - это широко используемый и хорошо документированный MTA. Он активно поддерживается и развивается. Он требует минимальной настройки (это просто электронная почта) и эффективно использует системные ресурсы (опять же, это просто электронная почта).

Step 1 - Установите Postfix из диспетчера пакетов YUM.

[root@centos]# yum -y install postfix

Step 2 - Настроить конфигурационный файл Postfix.

Файл конфигурации Postfix находится в: /etc/postfix/main.cf

В простой конфигурации Postfix для конкретного хоста необходимо настроить следующее: имя хоста, домен, источник, inet_interfaces и место назначения.

Configure the hostname- Имя хоста - это полное доменное имя хоста Postfix. В главе об OpenLDAP мы назвали блок CentOS: centos в домене vmnet.local . Давайте придерживаться этого в этой главе.

# The myhostname parameter specifies the internet hostname of this
# mail system. The default is to use the fully-qualified domain name
# from gethostname(). $myhostname is used as a default value for many
# other configuration parameters.
#
myhostname = centos.vmnet.local

Configure the domain- Как указано выше, в этом руководстве мы будем использовать домен vmnet.local.

# The mydomain parameter specifies the local internet domain name.
# The default is to use $myhostname minus the first component.
# $mydomain is used as a default value for many other configuration
# parameters.
#
mydomain = vmnet.local

Configure the origin - Для настройки одного сервера и домена нам просто нужно раскомментировать следующие разделы и оставить переменные Postfix по умолчанию.

# SENDING MAIL
#
# The myorigin parameter specifies the domain that locally-posted
# mail appears to come from. The default is to append $myhostname,
# which is fine for small sites.  If you run a domain with multiple
# machines, you should (1) change this to $mydomain and (2) set up
# a domain-wide alias database that aliases each user to
# [email protected].
#
# For the sake of consistency between sender and recipient addresses,
# myorigin also specifies the default domain name that is appended
# to recipient addresses that have no @domain part. 
#
myorigin = $myhostname
myorigin = $mydomain

Configure the network interfaces- Мы оставим Postfix прослушивать наш единый сетевой интерфейс и все протоколы и IP-адреса, связанные с этим интерфейсом. Для этого просто оставьте настройки по умолчанию для Postfix включенными.

# The inet_interfaces parameter specifies the network interface
# addresses that this mail system receives mail on.  By default,
# the software claims all active interfaces on the machine. The
# parameter also controls delivery of mail to user@[ip.address].
#
# See also the proxy_interfaces parameter, for network addresses that
# are forwarded to us via a proxy or network address translator.
#
# Note: you need to stop/start Postfix when this parameter changes. 
#
#inet_interfaces = all
#inet_interfaces = $myhostname
#inet_interfaces = $myhostname, localhost
#inet_interfaces = localhost
# Enable IPv4, and IPv6 if supported
inet_protocols = all

Step 3 - Настроить поддержку SASL для Postfix.

Без поддержки аутентификации SASL Postfix позволит отправлять электронную почту только от локальных пользователей. Или он выдаст ошибку отказа в ретрансляции, когда пользователи отправят электронную почту из локального домена.

Note - SASL или же Simple Application Security Layer Framework- это структура, разработанная для аутентификации, поддерживающая различные методы среди разных протоколов уровня приложений. Вместо того, чтобы оставлять механизмы аутентификации протоколу прикладного уровня, разработчики (и потребители) SASL используют текущие протоколы аутентификации для протоколов более высокого уровня, которые могут не иметь встроенной удобной или более безопасной аутентификации (если говорить о доступе к защищенным службам).

Установите пакет cyrus-sasl *

[root@centos]# yum -y install  cyrus-sasl 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * base: repos.forethought.net 
 * extras: repos.dfw.quadranet.com 
 * updates: mirrors.tummy.com 
Package cyrus-sasl-2.1.26-20.el7_2.x86_64 already installed and latest version
Nothing to do

Настройте /etc/postfix/main.cf для аутентификации SASL

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Мои параметры SASL в main.conf

##Configure SASL Options Entries:
smtpd_sasl_auth_enable = yes
smptd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtp_sasl_type = dovecot
smtp_sasl_path = private/auth/etc

Step 4 - Настройте FirewallD, чтобы разрешить входящие службы SMTP.

[root@centos]# firewall-cmd --permanent --add-service=smtp 
success

[root@centos]# firewall-cmd --reload 
success

[root@centos]#

Теперь давайте проверим, разрешает ли наш хост CentOS и отвечает на запросы через порт 25 (SMTP).

Nmap scan report for 172.16.223.132 
Host is up (0.00035s latency). 
Not shown: 993 filtered ports 
PORT    STATE  SERVICE 
   20/tcp  closed ftp-data 
   21/tcp  open   ftp 
   22/tcp  open   ssh 
   25/tcp  open   smtp 
   80/tcp  open   http 
   389/tcp open   ldap 
   443/tcp open   https 
MAC Address: 00:0C:29:BE:DF:5F (VMware)

Как видите, SMTP прослушивает, а демон отвечает на запросы из нашей внутренней локальной сети.

Установите Dovecot IMAP и POP3 Server

Dovecot - это безопасный сервер IMAP и POP3, предназначенный для обработки входящей почты от небольших до крупных организаций. Из-за его активного использования с CentOS, мы будем использовать Dovecot в качестве примера установки и настройки сервера входящей почты для CentOS и MTA SASL Provider.

Как отмечалось ранее, мы не будем настраивать записи MX для DNS или создавать правила безопасности, позволяющие нашим службам обрабатывать почту для домена. Следовательно, простая установка этих служб на хосте, выходящем в Интернет, может оставить место для брешей в безопасности без записей SPF.

Step 1 - Установите Dovecot.

[root@centos]# yum -y install dovecot

Step 2 - Настроить голубятню.

Основной файл конфигурации dovecot находится по адресу: /etc/dovecot.conf . Сначала мы создадим резервную копию основного файла конфигурации. Перед внесением изменений рекомендуется всегда делать резервные копии файлов конфигурации. Таким образом, текстовый редактор уничтожает разрывы строк идентификатора (например) и теряет годы изменений. Вернуть назад просто, как скопировать текущую резервную копию в производство.

Включить протоколы и службу демона для dovecot

# Protocols we want to be serving. 
protocols = imap imaps pop3 pop3s

Теперь нам нужно включить демон dovecot для прослушивания при запуске -

[root@localhost]# systemctl start  dovecot 
[root@localhost]# systemctl enable dovecot

Убедитесь, что Dovecot локально прослушивает указанные порты для: imap, pop3, imap secure и pop3 secure.

[root@localhost]# netstat -antup | grep dovecot 
 tcp        0        0 0.0.0.0:110        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:143        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:993        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:995        0.0.0.0:*        LISTEN        4368/dovecot
 tcp6       0        0 :::110                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::143                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::993                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::995                :::*          LISTEN        4368/dovecot

[root@localhost]#

Как видно, dovecot прослушивает указанные порты для IPv4 и IPv4.

POP3 110
POP3s 995
IMAP 143
IMAP 993

Теперь нам нужно создать несколько правил брандмауэра.

[root@localhost]# firewall-cmd --permanent --add-port=110/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=143/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=995/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=993/tcp 
success
 
[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

Наш сервер входящей почты принимает запросы POP3 , POP3 , IMAP и IMAP к хостам в локальной сети.

Port Scanning host: 192.168.1.143

   Open TCP Port:   21          ftp 
   Open TCP Port:   22          ssh 
   Open TCP Port:   25          smtp 
   Open TCP Port:   80          http 
   Open TCP Port:   110         pop3 
   Open TCP Port:   143         imap 
   Open TCP Port:   443         https 
   Open TCP Port:   993         imaps 
   Open TCP Port:   995         pop3s