Konfigurowanie uwierzytelniania SASL dla serwera SMTP Postfix

Konfigurowanie uwierzytelniania SASL dla serwera SMTP Postfix
Zabezpieczenie serwerów pocztowych wymaga czasu, wysiłku i zasobów finansowych. Jeśli jesteś administratorem serwera pocztowego, jedną rzeczą, która najbardziej cię przeraża, powinna być szansa na naruszenie serwera. Nikt nie chce, aby ich serwery stały się otwarte sztafety.

Serwery SMTP lub ogólnie postfix, przydają się do zabezpieczenia serwerów. Używają MyNetWorks parametr do określenia zaufanych nadawców w sieci. Było to dość łatwe kilka dekad temu, odkąd instytucje i organizacje wykorzystały LAN, aby określić użytkowników sieci.

Ale sprawy nie są już takie same, a ten artykuł wyjaśni różnicę. W tym artykule wyjaśniono, jak działa SMTP Postfix z uwierzytelnianiem SASL. Ale co ważniejsze, ten artykuł zawiera szczegółowy przewodnik po konfigurowaniu uwierzytelniania SASL dla SMTP postfix i uwierzytelniania.

Jak działa SMTP Postfix z uwierzytelnianiem SASL

Jesteśmy w 21St wiek, a dzisiejszy przeciętny personel biurowy chce maksymalnej mobilności. Chcą być w stanie wysyłać i odbierać e -maile na smartfonach, laptopach, tabletach lub komputerach domowych. Praca nie jest już zinstytucjonalizowana tak, jak kiedyś.

Postfix SMTP ma na celu wypełnienie luk mobilności. Wykorzystuje prostą warstwę uwierzytelniania i bezpieczeństwa (SASL) do weryfikacji użytkowników. SASL to ramy obecnie używane przez wiele programów i aplikacji zorientowanych na połączenia w celu zabezpieczenia danych, serwerów i sprawdzania poprawności użytkowników.

Zatem włączenie SASL w twoich systemach zapewnia, że ​​PostFix zaakceptuje tylko połączenia STMP z wiarygodnymi uwierzytelnianiami. Serwery SMTP niezawodnie zdecydują, czy klient SMTP ma autoryzację do wysyłania e -maili do zdalnych gadżetów, czy tylko do miejsc docelowych na serwerze.

Oczywiście serwery SMTP często zezwalają na e -maile do zdalnych miejsc docelowych, o ile klient i serwer znajdują się w tym samym adresie IP. Ale klienci z dala od adresu IP serwera będą potrzebować innych sposobów dostępu do uprawnień „tej samej sieci”. Tutaj pojawia się uwierzytelnianie SASL.

Postfix SMTP obsługuje implementacje SASL, ponieważ mają do tego niezbędną architekturę wtyczek. Zdalny użytkownik SMTP z kombinacją uwierzytelni się na Twój serwer SMTP Postfix. Podobnie klient Postfix SMTP będzie mógł uwierzytelnić się na zdalnym serwerze SMTP. I dzięki udane uwierzytelnianie, w obu przypadkach serwer zapewni klientowi te same uprawnienia sieciowe.

Warto jednak zauważyć, że Postfix nie wdraża niezależnie SASL. Zamiast tego wykorzystuje dostępne implementacje w ramach SASL jako swoich bloków składowych. Oznacza to, że kilka plików konfiguracyjnych SASL należy do Postfix.

A to prowadzi nas do ostatniej części tego projektu!

Konfigurowanie uwierzytelniania SASL do pracy z serwerem Postfix SMTP

Funkcjonalny framework SASL jest niezbędny do pomyślnego uwierzytelnienia z serwerami SMTP. Poza tym będziesz potrzebować obsługi TLS/SSL dla serwera pocztowego.

Konieczne są następujące kroki;

Krok 1: Skonfiguruj biblioteki SASL

Po pierwsze, musisz wybrać, której wersji SASL chcesz użyć. Poniższe polecenie powinno pomóc zainstalować biblioteki SASL, jeśli nie masz SASL w systemie.

Po zakończeniu użyj następującego polecenia, aby potwierdzić implementacje SASL, które obsługuje instalacja postfix. Następujące polecenia pomogą:

W poprzedniej ilustracji -a jest po stronie serwera SMTP, a -A jest poleceniem klienta SMTP. W rezultacie obsługuje zarówno gołębia, jak i Cyrus SASL, podczas gdy strona klienta obsługuje jedynie implementację Cyrus SASL. Twoje wyniki z poleceniami mogą być inne.

Krok 2: Skonfiguruj Dovecot SASL i Cyrus SASL

W przypadku tej ilustracji zademonstrujemy, jak skonfigurować Dovecot SASL i Cyrus SASL. Jednak wybierzesz, co najlepiej działa dla twoich systemów na podstawie twoich zainteresowań i dostępnych opcji wsparcia.

Skonfiguruj dovecot i ustal komunikację między SMTP Postfix a Dovecot SASL

Dovecot to serwer IMAP. Zawiera szereg konfiguracji, które pozwalają mu uwierzytelnianie klientów IMAP. W przypadkach, w których konfigurujesz serwery SMTP Postfix do używania Dovecot SASL, serwery użyją części konfiguracji SASL.

Upewnij się więc, że poprawnie skonfigurujesz Dovecot SASL w systemach za pomocą następującego polecenia:

Kontynuuj ustanowienie połączenia między SMTP postfix a Dovecot SASL. Zrobimy to przez domenę UNIX dla zwiększonej prywatności. Na poniższym rysunku założymy, że mamy naszą kolejkę po FIX /var/szpula/postfix/, Jak pokazano w linii 4:

Z wierszy 5-8 zauważysz, że ilustracja ogranicza tylko czytanie i zapisz uprawnienia do użytkowników i grup postfix. Z drugiej strony wiersz 14 wskazuje, że SASL będzie używać tylko mechanizmów zwykłego tekstu równiny i logowania.

Skonfiguruj Cyrus SASL i ustal Postfix na Cyrus SASL Communication

Framework Cyrus SASL jest wszechstronny i obsługuje wiele programów i aplikacji, w tym IMAP, POP i SMTP. Konfigurowanie Cyrusa SASL zaczyna się od określania nazwy i lokalizacji pliku konfiguracyjnego. To opisuje, w jaki sposób SMTP będzie używać frameworka Cyrus SASL. Zawsze domyślnie SMTP i powinien z powodzeniem skonfigurować za pomocą tych zmiennych.

Krok 3: Skonfiguruj Postfix

Dwa pliki konfiguracyjne, których możesz użyć do napędzania serwera postfix, są główne.CF i mistrz.por. Mistrz.Plik CF z powodzeniem skonfiguruje wszystkie podsystemy postfix, w tym przekaźnik, kolejki, oczyszczone i SMTP,. Poza tym tutaj wyjaśnisz, czy podsystemy postfix będą działać w więzieniu. Ten krok wybierze również porty, które chciałbyś ograniczyć.

Poniższy zrzut ekranu pokazuje postfix STMP na rejestrowaniu i działanie w więzieniu Chroot. Wskazuje również, że Postfix słucha na portach 2525 i 25.

Poprzedni obraz ilustruje, co mistrz.Plik CF pokaże. Jednak główny.plik CF będzie bardziej skomplikowany. Pokazuje wszystkie małe podzbiory opcji konfiguracji, a wszystko, co nie jest wskazane, pozostanie w ustawieniach domyślnych.

Krok 4: Wygeneruj plik PlainText SASL_PASSWD

Plik PlainText powinien wyglądać tak:

Pierwszy wiersz wskazuje miejsce, w którym Postfix przekaże e -maile, a pozostałe wiersze są poświadczeniami użytkownika na liście.

Możesz także wygenerować hashed wersję tego samego pliku, co pokazano poniżej:

Krok 5: Skonfiguruj Cyrus SASL po stronie serwera

Mieliśmy już do czynienia z konfiguracją SASL po stronie klienta. Skonfigurujmy go teraz po stronie serwera. Użyjemy Cyrus SASL obok SASLDB Pomocnicza i wtyczki właściwości (AuxProp).

Poniższy rysunek pokazuje, jak powinna wyglądać konfiguracja wtyczki:

Krok 6: Utwórz poświadczenia klienta

Utwórz poświadczenia klienta po stronie serwera. Tylko klienci, których poświadczenia pojawiają się poprawnie na serwerze, będą mieli połączenie z serwerem postfix.

Linie 5 i 6 Włączają kopiowanie bazy danych haseł, ponieważ pakowany postfix na Ubuntu istnieje w środowisku Chroot. Po skopiowaniu Postfix odczytuje bazę danych i dostosuje uprawnienia. Następnie możesz ponownie uruchomić postfix i możesz iść.

Wniosek

Postfix SMTP jest niewątpliwie jednym z najbardziej uznanych agentów transferu poczty otwartej. Niezwykle prowadzi i dostarcza e -maile. Jego najważniejszą zaletą nad innymi MTA, takimi jak Sendmail, jest to, że jest dość łatwa w konfiguracji i użyciu. Poprzednia konfiguracja będzie prowadzić tylko wiadomości e -mail od klientów już uwierzytelnionych za pomocą SASL. Tak więc skonfigurowaliśmy Postfix, aby działał jako kolejka SMTP i przekaźnik.