Configurazione di Postfix con autenticazione Sasl su Debian

From RVM Wiki
Revision as of 13:23, 14 January 2010 by Gabriele.vivinetto (talk | contribs)
Jump to navigation Jump to search

Installazione Postfix

sudo apt-get install --purge postfix 

-
Package configuration                                                           
                                                                               
                                                                               
                                                                               
                                                                               
                     ┌────┤ Postfix Configuration ├─────┐                      
                     │ General type of configuration?   │                      
                     │                                  │                      
                     │     *No configuration            │                      
                     │     Internet Site                │                      
                     │     Internet with smarthost      │                      
                     │     Satellite system             │                      
                     │     Local only                   │                      
                     │                                  │                      
                     │                                  │                      
                     │      <Ok>          <Cancel>      │                      
                     │                                  │                      
                     └──────────────────────────────────┘                      
                                                                               
                                                                               
                                                                               
                                                                               
                                                                               

-

Debian Lenny

Installazione Sasl

sudo apt-get install sasl2-bin libsasl2-modules

Configurazione Sasl

  • Abilitarne l'esecuzione, e configurarlo per Postfix:
sudoedit /etc/default/saslauthd

START=yes 
...
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"
  • Sistemare per Postfix:
sudo dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
sudo adduser postfix sasl
  • Creare il file per smtpd:
cat | sudo tee /etc/postfix/sasl/smtpd.conf > /dev/null <<EOFile
pwcheck_method: saslauthd 
mech_list: PLAIN LOGIN
EOFile
  • Avviare Sasl
sudo invoke-rc.d saslauthd start
  • Impostarne l'esecuzione al boot:
sudo update-rc.d -f saslauthd remove
sudo update-rc.d saslauthd defaults


Configurazione Postfix

  • Copiare la configurazione base:
sudo cp /etc/postfix/main.cf /etc/postfix/main.cf.dpkg-old
sudo cp /usr/share/postfix/main.cf.debian /etc/postfix/main.cf
  • Impostare l'uso del formato Maildir:
sudo apt-get install courier-base
sudo postconf -e home_mailbox=Maildir/
sudo maildirmake /etc/skel/Maildir
  • Configurare il dominio
export DOMAIN=ronchetti.it
export PUBIP=91.81.17.146

sudo postconf -e myhostname=$DOMAIN
sudo postconf -e myorigin=$DOMAIN
sudo postconf -e mynetworks=127.0.0.0/8
sudo postconf -e mydestination=$DOMAIN,$(hostname -f),$(hostname),localhost,localhost.localdomain
sudo postconf -e relay_domains=$DOMAIN
sudo postconf -e proxy_interfaces=$PUBIP
  • Impostare gli alias di sistema:
sudoedit /etc/aliases

postmaster:    root
root:   mat-alert@rvmgroup.it 

sudo newaliases
  • Impostare le configurazioni per Sasl
sudo postconf -e smtpd_recipient_restrictions=permit_sasl_authenticated,check_relay_domains
sudo postconf -e smtpd_sasl_security_options=noanonymous
sudo postconf -e smtpd_sasl_auth_enable=yes
sudo postconf -e smtpd_sasl_security_options=noanonymous
sudo postconf -e smtpd_sasl_application_name=smtpd
sudo postconf -e smtpd_sasl_local_domain=
sudo postconf -e broken_sasl_auth_clients=yes

sudo invoke-rc.d postfix stop; sudo invoke-rc.d postfix start
  • Impostare le regole antispam
sudo postconf -e "smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination,check_sender_access hash:/etc/postfix/whitelist,reject_rbl_client sbl.spamhaus.org,reject_rbl_client cbl.abuseat.org"
  • Impostare la whitelist per le regole antispam
sudo touch /etc/postfix/whitelist
cd /etc/postfix
sudo postmap whitelist
sudo invoke-rc.d postfix stop; sudo invoke-rc.d postfix start

Debian Etch

Installazione postfix

  • Innanzitutto definire le varialibili:
export POST_HOSTNAME=fire.mendrisio.croalliance.com
export POST_DOMAIN=croalliance.com
  • Poi procedere all'installazione:
apt-get install --purge postfix-tls postfix

NB: Scegliere NO CONFIGURATION

  • Fermare immediatamente postfix:
/etc/init.d/postfix stop


Installazione SASL per autenticazione SMTP

  • Installazione:
apt-get install libsasl2-modules sasl2-bin
  • Togliere il commento da "START=YES" ed aggiungere la righe con PARAMS e PWDIR in /etc/defaults/saslauthd:
cat > /etc/default/saslauthd <<EOFile
# This needs to be uncommented before saslauthd will be run automatically
START=yes

# You must specify the authentication mechanisms you wish to use.
# This defaults to "pam" for PAM support, but may also include
# "shadow" or "sasldb", like this:
# MECHANISMS="pam shadow"

MECHANISMS="pam"
PWDIR="/var/spool/postfix/var/run/saslauthd"
PARAMS="-m /var/spool/postfix/var/run/saslauthd"
EOFile
  • Creare la cartella per il chroot di postfix e settarne i diritti in dpkg-statoverride:
mkdir -p /var/spool/postfix/var/run/saslauthd
dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
  • Creare il file di configurazione per postfix:
cat > /etc/postfix/sasl/smtpd.conf <<EOFile
pwcheck_method: saslauthd 
mech_list: PLAIN LOGIN
EOFile
  • Avviare saslauthd:
/etc/init.d/saslauthd start

Si viene informati del fixing dei permessi: 

Starting SASL Authentication Daemon: changed ownership of `/var/spool/postfix/var/run/saslauthd' to root:sasl
mode of `/var/spool/postfix/var/run/saslauthd' changed to 0710 (rwx--x---)
saslauthd.
  • Verificare che funzioni:
ps waux | grep saslauthd

Il risultato deve essere simile a: 

root      3018  0.0  0.7  6500 1536 ?        Ss   21:24   0:00 /usr/sbin/saslauthd -a pam
.....
  • lanciare rcconf ed assicurarsi che saslauthd parta all'avvio:
rcconf

ATTENZIONE: ricordarsi di aggiungere postfix al gruppo sasl prima di testare il tutto !!!! (Vedi di seguito)

Configurazione postfix

  • Copiare il file di partenza:
cp /usr/share/postfix/main.cf.debian /etc/postfix/main.cf
  • Abilitare il delivery locale in formato Maildir e creare la cartella Maildir in /etc/skel.

NB: maildirmake fa parte dei pacchetti Maildrop e Courier-IMAP. Non fa parte di Postfix.

Quindi occorre installare prima il pacchetto courier-base per poter usere il comando maildirmake 

apt-get install courier-base
postconf -e home_mailbox=Maildir/
maildirmake /etc/skel/Maildir
  • Settare il nome che apparirà nel greeting e che possibilmente corrisponderà al cname del record mx del mailserver e il nome presentato negli header:
postconf -e myhostname=$POST_HOSTNAME
postconf -e myorigin=$POST_DOMAIN
  • In caso il server sia dietro una NAT box, occorre specificare l'ip pubblico a.b.c.d.della nat box, soprattutto se il server è anche mx secondario per un dominio, al fine di evitare loop:
postconf -e proxy_interfaces=a.b.c.d
  • Abilitare il supporto della alias map 'a la sendmail':
postconf -e alias_maps=hash:/etc/aliases
postconf -e alias_database=hash:/etc/aliases


  • Settare in /etc/aliases l'eventuale alias locale per root, e poi compilare la tabella:
newaliases
  • Impostare le reti di fiducia (che potranno fare relay senza autenticazione); Nel caso ci siano dei mail server interni che usano il mail server senza autenticazione, aggiungerli come a.b.c.d/32. Normalmente aggiungere solo localnet, da usare con l'antivirus:
postconf -e mynetworks=127.0.0.0/8
  • Definire i domini per cui il mail server è la destinazione finale:
postconf -e mydestination=$POST_DOMAIN,$POST_HOSTNAME,$(hostname -f),$(hostname),localhost

Abilitazione dell'autenticazione obbligatoria per i client smtp basata su sasl 2

postconf -e smtpd_recipient_restrictions=permit_sasl_authenticated,check_relay_domains
postconf -e smtpd_sasl_security_options=noanonymous
postconf -e smtpd_sasl_auth_enable=yes
postconf -e smtpd_sasl_security_options=noanonymous
postconf -e smtpd_sasl_application_name=smtpd
postconf -e smtpd_sasl_local_domain=''
postconf -e broken_sasl_auth_clients=yes
  • Aggiungere l'utente postfix al gruppo sasl:
usermod -G sasl postfix
  • Riavviare postfix:
/etc/init.d/postfix stop;/etc/init.d/postfix start

Abilitazione dell' ANTIRELAY ed RBL

o manualmente tramite "vi" 

--- /etc/postfix/main.cf
# Relay control:
# Allow all mail from localhost, autenticated sessions
smtpd_recipient_restrictions = 	permit_mynetworks
					permit_sasl_authenticated
					reject_rbl_client relays.ordb.org
					reject_rbl_client dnsbl.njabl.org
					reject_rbl_client sbl.spamhaus.org
					reject_rbl_client cbl.abuseat.org
					reject_unauth_destination
---

o con il comando: 

postconf -e smtpd_recipient_restrictions=permit_mynetworks,\ permit_sasl_authenticated,\ reject_rbl_client\ relays.ordb.org,\ reject_rbl_client\ nsbl.njabl.org,\ reject_rbl_client\ sbl.spamhaus.org\ reject_rbl_client\ cbl.abuseat.org,\ reject_unauth_destination

Si possono aggiungere anche:

- reject_rbl_client proxies.relays.monkeys.com

- reject_rbl_client opm.blitzed.org

- reject_rbl_client blackholes.wirehub.net

- reject_rbl_client list.dsbl.org


  • Abilitare il RELAY solo per posta To: dominio.com

o manualmente tramite "vi" 

--- /etc/postfix/main.cf
relay_domains = dominio.com
---

o con il comando: 

postconf -e relay_domains=$POST_DOMAIN


Test autenticazione Sasl

  • Creare un utente locale di prova:
sudo adduser --force-badname --gecos "Utente di prova" nome.cognome

Test con swaks

  • Da un client linux
sudo apt-get install swaks
  • Questo deve andare:
swaks -f nome.cognome@ronchetti.it -s fireron -t gabriele@rvmgroup.it -au nome.cognome
  • Questo non deve andare:

swaks -f nome.cognome@ronchetti.it -s fireron -t gabriele@rvmgroup.it

  • Rimuovere l'account di prova:
sudo userdel -r nome.cognome

Test con Telnet

  • Per testare l'SMTP-AUTH, assicurarsi di aver installato libmime-per:
sudo apt-get install libmime-perl


  • Generare la stringa di autenticazione, sostituendo username e password coi valori di un account valido:
perl -MMIME::Base64 -e 'print encode_base64("nome.cognome\0nome.cognome\0password");'

Il cui risultato è una stringa similare a:

dXNlcm5hbWUAdXNlcm5hbWUAcGFzc3dvcmQ=

  • Testare ora la corretta autenticazione uasndo la stringa generata:
# telnet localhost 25                                                
Trying 127.0.0.1...
Connected to localhost.localdomain.
Escape character is '^]'.
220 fire.all-logistics.com ESMTP Postfix (Debian/GNU)
ehlo p
250-fire.all-logistics.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME
auth plain dGVzdHVzZXIAdGVzdHVzZXIAbGFwYXNzYQ==
235 Authentication successful
quit
221 Bye
Connection closed by foreign host.
  • Rimuovere l'account di prova:
sudo userdel -r nome.cognome

Test invio smtp della posta con telnet

A. Da dominio a dominio 

#telnet mailserver 25
...
helo vittorio
...
mail from: <mittente@dominio.dom>
...
rcpt to: <destinatario@dominio.dom>
....
data
...
subject: soggetto email

testo messaggio
testo messaggio
testo messaggio
.
quit
#

B. Da esterno a dominio (usare account libero.it o simili)

C. Da dominio a esterno (con autenticazione) 

#telnet mailserver 25
Connected to localhost.localdomain.
Escape character is '^]'.
220 fire.all-logistics.com ESMTP Postfix (Debian/GNU)
ehlo miamacchina
250-fire.all-logistics.com
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME
auth plain dGVzdHVzZXIAdGVzdHVzZXIAbGFwYXNzYQ==
235 Authentication successful
mail from: mittente@dominio.dom
...
rcpt to: destinatario@dominioesterno.dom
....
data
...
subject: soggetto email

testo messaggio
testo messaggio
testo messaggio
.
quit
#
  • Rimuovere l'account di prova:
sudo userdel -r nome.cognome

Verifica in caso di errori Sasl

Se si verificasse un errore in /var/log/mail.log tipo: 

Jan  4 11:01:20 fire postfix/smtpd[1511]: warning: SASL authentication failure:
cannot connect to saslauthd server: No such file or directory

Probabilmente c'è un errore ni parametri in /etc/default/saslauthd oppure non è attivo il chroot in /etc/postfix/master.cf in cui la seguente linea deve essere: 

...
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
...


Configurazione account locali e remoti

Nel caso ci siano caselle da tenere in locale, ed altre da inoltrare ad un'altra macchina.

  • Definire la mappa:
postconf -e transport_maps=hash:/etc/postfix/transport
  • Creare la mappa:
vi /etc/postfix/transport

user1.local@domain.com	local:
user2.local@domain.com	local:
domain.com	        smtp:[ip-nome.gateway.destinazione]
*	                smtp:

user1 e user2 vengono deliverati in locale, tutti gli altri utenti vengono inviati al mailserver ip-nome.gateway.destinazione, mentre tutti gli altri vengono inviati via MX ai relativi mailserver di destinazione.

  • Compilare la tabella con:
postmap  /etc/postfix/transport < transport


Configurare Postfix per Amavis

  • Seguire

Installazione Amavisd-new in Debian

Attivazione greylisting

Retrieved from "https://kb.rvmgroup.it/index.php?title=Configurazione_di_Postfix_con_autenticazione_Sasl_su_Debian&oldid=6721"