[PDF] Postfix - nasacsnctuedutw



Previous PDF Next PDF







Postfix - National Chiao Tung University

Postfix Free and open source mail transfer agent (MTA) sender_canonical_maps recipient_canonical_maps CS, NCTU 29 Postfix Configuration –



Postfix - National Chiao Tung University

Postfix and POP/IMAP must agree on the type of mailbox format sender_canonical_maps recipient_canonical_maps TU 29 Postfix Configuration –



Postfix - peoplecsnctuedutw

Postfix and POP3/IMAP must agree on the type of mailbox format and style of locking Standard message store sender_canonical_maps、sender_canonical_classes



Postfix - nasacsnctuedutw

Postfix Free and open source mail transfer agent (MTA) For the routing and delivery of email Intended as a fast, easy-to-administer, and secure alternative to the widely-used Sendmail



Tutoriel : sur un système Linux

sender_canonical_maps = hash:/etc/postfix/canonical ATTENTION : A chaque modification de ce fichier ou des tables ci-dessous, il faut recharger la configuration :



Installing the Xerxes Project

*- Added a postfix lookup for mail forwarding as configured in web-cyradm (table virtual) *- Added chkconfig entries for mail daemons *- Added simple test protocols for pop3, imap, and smtp services *- Added appendix, including Michael Hsu’s PHP patch 8-12-05 1 0 1 1 *- Corrected errors related to crypt call in incorrect position 1 0 1



Cómo Configurar Postfix con SASL - Redes-Linuxcom

Cómo Configurar Postfix con SASL Este es un manual en versión BETA, puede haber algunos errores tipográficos y de ortografía Última modificación: Viernes 26 de Agosto de 2003, 8:55



LPI 202-450 Exam

LPI 202-450 Exam Leading the way in IT testing and certification tools, www examkiller net B Create a symbolic link that points to the required library outside the chroot jail

[PDF] postulat de bohr

[PDF] Postuler pour être une jeune fille au pair

[PDF] POsture et locomotion

[PDF] posture professionnelle infirmière définition

[PDF] postvention definition

[PDF] postvention en milieu scolaire

[PDF] potassium 40

[PDF] Poteaux téléphoniques PGCD !!

[PDF] potentialités et contraintes du territoire français (ultramarin compris)

[PDF] potentialités et contraintes du territoire français 1ere s

[PDF] potentialités et contraintes du territoire français carte vierge

[PDF] potentialités et contraintes du territoire français composition

[PDF] potentialités et contraintes du territoire français croquis

[PDF] potentialités et contraintes du territoire français croquis 1ere s

[PDF] potentialités et contraintes du territoire français croquis hatier

Konfiguracja serwera poczty

elektronicznej

Postfix a spam

dr inĪ. Maciej Miostan

Instytut Informatyki,

Politechnika PoznaĔska

Instytut Informatyki, Politechnika PoznaĔska

Agenda

Co to jest Postfix?

Podstawowa konfiguracja

Autoryzacja, TLS itp.

Opcje antyspamowe

Integracja zewnĊtrznych filtrów

Podsumowanie

Instytut Informatyki, Politechnika PoznaĔska

Postfix

MTA (Mail Transfer Agent)

IBM Research

Secure Mailer open source

release (grudzieĔ1998)

Lekki, bezpieczny

Alternatywa dla sendmail-a

Szybki,

atwy w uĪytkowaniu i bezpieczny

Wietse Zweitze Venema

Instytut Informatyki, Politechnika PoznaĔska

Udziaw rynku

Na podstawie opracowania Ken-a Simpson-a i Stas-a Bekman-a, O'Reilly SysAdmin, StyczeĔ2007.

Instytut Informatyki, Politechnika PoznaĔska

Wzrost rozmiarów MTA w czasie

Na podstawie: http://www.ceas.cc/2007/postfix-ceas-public.ppt

Instytut Informatyki, Politechnika PoznaĔska

mailbox (plik)

Sendmail*

/bin/mail* do sieci z sieci lokalne zgoszenie dostarczenie lokalne (local delivery) * uĪywa przywilejów root-a (root privileges) do |komenda** do /plik/nazwa** ** w plikach .forward u Īytkowników i bazie aliasów systemowychwaĞcicielem jest odbiorcawykonywane z przywilejami odbiorcy

Architektura tradycyjnego systemu poczty

z BSD UNIX impersonacja wymaga przywilejów, model monolityczny utrudnia kontrolĊnad ew. zniszczeniami

Instytut Informatyki, Politechnika PoznaĔska

Architektura Postfix-a (client server

service oriented) smtpd local pickup smtpd internet serwer smtp inne demony smtpdsmtpd local delivery smtpdsmtpd smtp client mail store (np. cyrus) internet etc mailbox |command /file/name mail queue uprzywilejowany (privileged)smtpdsmtpd to external transports uucp fax pager uprzywilejowany (privileged) nieuprzywilejowany (unprivileged)(unprivileged) nieuprzywilejowany (unprivileged) klient smtp/lmtp wysy ka lokalna (local submission) = uprawnienia root-a = uprawnienia postfix-a interfejsy wej

Ğciowe

(input interfaces) rdzeĔ(core) interfejsy wyjĞciowe (output interfaces)

Instytut Informatyki, Politechnika PoznaĔska

Inspekcja zawartoĞci poprzez SMTP

(post queue)

Czerwony = brudny, zielony = czysty.

To nie moĪe bytakie proste, prawda?

U ycie dwóch MTA to marnotrawstwo! MTA 1 Filtr MTA 2 wej cie smtp smtp wyj cie

Instytut Informatyki, Politechnika PoznaĔska

Inspekcja zawartoĞci poprzez SMTP

(post queue)

ZoĪenie dwóch MTA w jeden system powoduje

zaoszcz Ċdzenie zasobów, ale zwiĊksza zoĪonoĞ network smtp server mail queue smtp client smtp server smtp client content filter local delivery local pickup mailbox command filenetwork local submit

MTA 1 = MTA 2

Instytut Informatyki, Politechnika PoznaĔska

Milter a Postfix

Czerwony = brudny, zielony = czysty

Twórca Postfixa zostauhonorowany nagrodąSendmaila za dodanie tej funkcjonalnoĞci sie

Lokalny

odbiór (local pickup)

Iniekcja

do kolejki (queue inject) aplikacje milter serwer smtp lokalne zgoszenie

Kolejka

pocztowa (mail queue)

Postfix (podzbiór)

Zdarzenia smtp

(events)

Nagówek (header)

ZawartoĞ(body)...

Instytut Informatyki, Politechnika PoznaĔska

Pliki konfiguracyjne

Dwa g

ówne pliki konfiguracyjne

/etc/postfix/master.cf /etc/postfix/main.cf

Instytut Informatyki, Politechnika PoznaĔska

Filtracja a protokóSMTP

>telnet 127.0.0.1 25

Trying 127.0.0.1...

Connected to localhost.

Escape character is '^]'.

220 mail.xxx.poznan.pl ESMTP Postfix on SuperServer

helo client.some.domain

250 mail.xxx.put.poznan.pl

mail from: mm@xxx.poznan.pl

250 2.1.0 Ok

rcpt to: mm@xxx.poznan.pl

250 2.1.5 Ok

DATA

354 End data with .

Subject: Test Postfix-a

To: Administrator

Witaj Administratorze,

Pozdrawiam.

250 2.0.0 Ok: queued as 10D5C5E

quit

221 2.0.0 Bye

Connection closed by foreign host.

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domy

lna

Nazwa listy ograniczeĔStatus

smtpd_client_restrictions

Opcjonalna

smtpd_helo_restrictionsOpcjonalna smtpd_sender_restrictionsOpcjonalna smtpd_recipient_restrictionsWymagana smtpd_data_restrictionsOpcjonalna smtpd_end_of_data_restrictionsOpcjonalna smtpd_etrn_restrictionsOpcjonalna smtpd_delay_reject = yes

Instytut Informatyki, Politechnika PoznaĔska

Restrykcje wzglĊdem klientów,

nadawców i odbiorców Co mo

Īemy sprawdza:

PoprawnoĞskadniowąadresu e-mail

Rekordy w DNS:

MX NS A

TEXT (np. SPF)

ZgodnoĞdziaania klienta z protokoem

Czy komendy sąprzesyane po uzyskaniu odpowiedzi na poprzednie

Czy lokalny uĪytkownik jest zalogowany

Czy lokalny uĪytkownik moĪe wysyaz danego adresu e-mail Z jakiego adresu IP zostao nawiązane poączenie, czy z zaufanego adresu itp. itd.

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Nazwa domeny, nazwa hosta

/etc/postfix/main.cf: myhostname = host.my.domain (nazwa hosta nie jest FQDN, rose (NFQDN) vs. rose.man.poznan.pl (FQDN)) mydomain = my.domain (gdzie my.domain jest konkretnądomeną, np. man.poznan.pl) myhostname = host.virtual.domain (virtual interface) myhostname = virtual.domain (virtual interface)

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Poczta wychodząca (outbound mail)/etc/postfix/main.cf:myorigin myhostname (domyĞlnie: wysya e-mail jako "user@$ myhostname myorigin mydomain (prawdopodobnie poĪądana forma: "user@$ mydomain

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Poczta przychodząca - obsugiwane adresy

/etc/postfix/main.cf:mydestination myhostname localhost.$ mydomain localhost (domyĞlnie) mydestination myhostname localhost.$ mydomain localhost $ mydomain (serwer dla caej domeny) mydestination myhostname localhost.$ mydomain localhost www.$ mydomain ftp.$ mydomain (host z wieloma rekordami A w DNS) Uwaga: w celu unikniĊcia pĊtli (mail delivery loops) trzeba wylistowa wszystkie nazwy danej maszyny

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Ograniczanie przesyania z naszych adresów,

czyli "what clients to relay mail from"/etc/postfix/main.cf: mynetworks_style = subnet (default: authorize subnetworks) mynetworks_style = host (safe: authorize local machine only) mynetworks = 127.0.0.0/8 (safe: authorize local machine only) mynetworks = 127.0.0.0/8 168.100.189.2/32 (authorize local machine) mynetworks_style jest ignorowane

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Metoda dorĊczania - poĞrednio czy

bezpoĞrednio /etc/postfix/main.cf: relayhost (default: direct delivery to Internet) relayhost mydomain (deliver via local mailhub) relayhost = [mail.$ mydomain (deliver via local mailhub) relayhost = [mail.isp.tld] (deliver via provider mailhub)

Nawiasy

eliminują wyszukiwanie rekordu MX w DNS-ie

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

Postmaster

/etc/aliases: postmaster: you root: you

O czym (domy

Ğlnie) informowa:

/etc/postfix/main.cf: notify_classes = resource, software

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

O czym informowa(

notify_classes 1. bounce 2.

2bounce

3. delay 4. policy 5. protocol 6. resource 7. software

Instytut Informatyki, Politechnika PoznaĔska

Konfiguracja domyĞlna i podstawowe parametry

/etc/postfix/main.cf: inet_interfaces = all inet_interfaces = virtual.host.tld (virtual Postfix) inet_interfaces myhostname localhost... (non-virtual Postfix)

Instytut Informatyki, Politechnika PoznaĔska

Dostarczanie do skrzynek

local_recipient_maps local_recipient_maps proxy :unix:passwd.byname $ alias_maps (odrzucanie maili do nieznanych uĪytkowników, domyĞlne ustawienie) mailbox_transport (default:empty) mailbox_transport = lmtp:unix:/var/imap/socket/lmtp (dostarczanie za pomocąprotokou LMTP np. do skrzynek cyrus imap-a nasuchującego na lokalnym gniazdku (socket))

NiezbĊdne przy dostarczaniu

e-maili do uĪytkowników bez konta unix-owego

Instytut Informatyki, Politechnika PoznaĔska

Przyk adowa konfiguracja /etc/postfix/main.cf myhostname = cos.costam.poznan.pl mydomain = costam.poznan.pl inet_interfaces = all notify_classes = resource, software relayhost = relay_domains = $mydestination mydestination = $myhostname, localhost.$mydomain, $mydomain, mail.$mydomain mynetworks = 150.254.x.x, 127.0.0.0/8 alias_database = hash:/etc/mail/aliases alias_maps = hash:/etc/aliasessmtpd_recipient_restrictions permit_mynetworks reject_unauth_destination

Instytut Informatyki, Politechnika PoznaĔska

Problemy

PocztĊna zewnątrz mogąwysyatylko

uĪytkownicy sieci/hostów wyspecyfikowanych w mynetworks

Spamerzy mogąpodszywasiĊpod

wewn

Ċtrznych uĪytkowników

WewnĊtrzni uĪytkownicy mogą

faszowaadresy nadawców i wysya do dowolnych odbiorców

Instytut Informatyki, Politechnika PoznaĔska

Rozwiązanie problemu

PocztĊna zewnątrz mogąwysyatylko

uĪytkownicy sieci/hostów wyspecyfikowanych w mynetworks Rozwi

ązanie:

wykorzystacheck_sender_access hash:/etc/postfix/access uĪyautoryzacji

SMTP AUTH =

permit_sasl_authenticated SASL

Instytut Informatyki, Politechnika PoznaĔska

Autoryzacja

SASL /etc/postfix/ main.cf smtpd_sasl_auth_enable = yes smtpd_recipient_restrictions permit_mynetworks permit_sasl_authenticated = noanonymous smtpd_sasl_local_domain = $myhostname smtpd_sasl_authenticated_header = yes) broken_sasl_auth_clients = yes)

Instytut Informatyki, Politechnika PoznaĔska

Autoryzacja

Cyrus SASL version 2.1.x

/etc/sasl2/smtpd.conf: pwcheck_method: saslauthd mech_list: PLAIN LOGIN

W celu u

Īycia PAM (PluggableAuthentication Modules)

, uruchom saslauthd z opcją"-a pam".

Instytut Informatyki, Politechnika PoznaĔska

Testowanie autoryzacji

>printf '\0username\0password'|mimencodeAHVzZXJuYW1lAHBhc3N3b3Jk>telnet server.example.com 25. . . 220 server.example.com ESMTP PostfixEHLO client.example.com250-server.example.com250-PIPELINING 250-SIZE 10240000 250-ETRN 250-AUTH DIGEST-MD5 PLAIN CRAM-MD5250 8BITMIMEAUTH PLAIN AHVzZXJuYW1lAHBhc3N3b3Jk235 Authentication successful

Instytut Informatyki, Politechnika PoznaĔska

Problem z hasem

Haso jest przesyane "czystym tekstem"

Rozwi

ązanie:

szyfrowanie transmisji, czyli TLS

Instytut Informatyki, Politechnika PoznaĔska

Szyfrowanie

TLS /etc/postfix/main.cf smtpd_use_tls = yes smtpd_tls_auth_only = no smtpd_tls_key_file = /etc/postfix/postfix.key smtpd_tls_cert_file = /etc/postfix/postfix.crt smtpd_tls_CAfile = /etc/postfix/CA.crt smtpd_tls_loglevel = 2 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom

Instytut Informatyki, Politechnika PoznaĔska

Problemy

PocztĊna zewnątrz mogąwysyatylko

uĪytkownicy sieci/hostów wyspecyfikowanych w mynetworks

Spamerzy mogąpodszywasiĊpod

wewnquotesdbs_dbs48.pdfusesText_48