Бруй В.В., Карлов С.В. - Linux-сервер - пошаговые инструкции - инсталляции и настройки (1077321), страница 90
Текст из файла (страница 90)
е. получения пустого вывода команды mailq, проверьте почту:[root@test /]# mail –u real_personFrom root@test.bruy.info Fri Jun 06 14:31:00 2003Return-path: <root@test.bruy.info>Envelope-to: postmaster@test.bruy.infoDelivery-date: Fri, 06 Jun 2003 14:31:00 +0400Received: from root by test.bruy.info with local (Exim 4.20 #1 )id 19OEfY-0002FA-7sfor <postmaster@test.bruy.info>; Fri, 06 Jun 2003 14:30:50 +0400To: postmaster@test.bruy.infoFrom:root@test.bruy.infoSubject: ПроверкаMessage-Id: <19OEfY-0002FA-7s@test.bruy.info>Date: Fri, 06 Jun 2003 14:30:50 +0400Status: ROПроверка доставки локальной почты с помощью EximШаг 6Проверьте (по аналогии с шагом 5) доставку сообщений пользователям удаленныx систем. Для этогоотправьте сообщение удаленному пользователю и проверьте его почту.Шаг 7Проверьте (по аналогии с шагом 5) возможность получения почты локальными пользователями отпользователей удаленных систем.Аутентификация пользователей перед отправкой сообщенийПо умолчанию Exim не позволяет отправлять почту с помощью клиентских почтовых программ (MailUser Agent, MUA), установленных на удаленных системах.
Попробуйте с помощью клиентской почтовойпрограммы, установленной на удаленной системе и настроенной на отправку почты через ваш SMTP-cервер,отправить сообщение какому-нибудь адресату. У вас ничего не получится. Не стоит расстраиваться по этому поводу, т. к. это не получится и у спамеров, которые захотят использовать ваш SMTP-сервер для отправки своих сообщений. Для разрешения отправки почты через ваш SMTP-сервер и затруднения его использования для рассылок спама следует разрешить отправку сообщений только после удачной аутентификациипользователя.Для настройки такого режима отправки сообщений (с аутентификацией пользователей на основестандартных модулей PAM) необходимо выполнить следующие операции.Шаг 1В файле /etc/mail/exim.conf в конец раздела AUTHENTICATION CONFIGURATION добавьтеследующие строки:# AUTH PLAIN authentication meth0d used by Netscape Messenger.#plain:driver = plaintextpublic name = PLAINserver_condition = "${if and {{!eq{$2}{}}{!eq{$3}{}} \{crypteq{$3}{${extract{l}{:} \{${lookup{$2}lsearch{/etc/mail/exim.auth} \394Часть 7.
Программное обеспечение для организации службы электронной почты{$value }{*:*}}}}}}}{ 1} (0}}"# AUTH LOGIN authentication meth0d used by Outlook Express.#login:driver = plaintextpublic name = LOGINserver prompts = "Username:: : Password::"server_condition = "${if and {{!eq{$l}{}}{!eq{$2}{}} \{crypteq{$2} ${extract{l}(:} \{$ { lookup ( $1 } lsearch{ /etc/mail/exim.auth} \{$value}{*:*}}}}}}}{l}{0}}"Шаг 2На предыдущем шаге с использованием директивы:lsearch{/etc/mail/exim.auth}в качестве файла, в котором хранятся имена пользователей и их пароли (естественно, в зашифрованном виде), был определен файл /etc/mail/exim.auth. Для его создания добавьте в систему всех пользователей, которым будет разрешена отправка сообщений, путем добавления их в файл /etc/shadow.
Скопируйте его в /etc/mail/exim.auth и из файла /etc/mail/exim.auth удалите все записи, не соответствующие пользователям, имеющим почтовые учетные записи, например:root:$1$HdSo$8WIF.7SSXO4Gwhf28p6Bt0:12146:0:99999:7:::bin:*:12146:0:99999:7:::daemon:*:12146:0:99999:7:::…sshd:!!:12147:0:99999:7:::chuser:$1$h5hX2qaO$xVyh0q4MA1RoEmkCTuv.I1:12147:0:99999:7:::karlnext:$1$hpxGHH8U$rKTw/hL7FDOSvzA5qJCUx/:12148:0:99999:7:::snort:!!:12149:0:99999:7:::urbanoff:$1$zzLYrxBE$dhZrm7lVg90di2sR1S8RB.:12157:0:99999:7:::ntp:!!:12172:0:99999:7:::named:!!:12181:0:99999:7:::drwalbr:$1$XklGtSxx$3oJXwKxCLzFzpw9jY4BtR0:12209:0:99999:7:::karlnext:$1$hpxGHH8U$rKTw/hL7FDOSvzA5qJCUx/:12148:0:99999:7:::goldfish:!!:12209:0:99999:7:::…Шаг 3Установите права доступа к файлу /etc/mail/exim.auth и определите его владельцем пользователя root и группы-владельца mail:[root@test /]# chmod 640 /etc/mail/exim.auth[root@test /]# chown root.mail /etc/mail/exim.authШаг 4Для того, чтобы изменения вступили в силу, перегрузите SMTP-сервер:[root@test /]# /etc/init.d/exim restartОстанавливается Exim:[ОК]Запускается Exim:[ОК]Шаг 5В почтовых клиентах, используемых пользователями вашего сервера для отправки почтовых сообщений, сначала необходимо настроить режим аутентификации пользователей.
Например, в Microsoft OutLookExpress 6 для отправки сообщений c предварительной аутентификацией пользователей в свойствах учетнойзаписи необходимо для сервера исходящей почты включить проверку подлинности пользователя (рис. 27.2).С настройками других почтовых программ можно ознакомится в их документации.Глава 27. Exim – почтовый транспортный агент395Рис. 27.2 Включение проверки подлинности пользователя.Запуск Exim с поддержкой SSLПри работе Exim с поддержкой протокола SSL расшифровка почтовых сообщений, логинов и паролейв случае попытки перехвата сообщений между клиентской почтовой программой и SMTP-сервером практически невозможна.
Однако следует учесть, что в этом случае сообщение может быть перехвачено на другихстадиях его доставки, при передаче с SMTP-сервера получателя клиентской почтовой программе. Таким образом, использование Exim с поддержкой SSL защищает аутентификационную информацию пользователей,но не гарантирует конфиденциальность пересылки сообщений.
Нужна ли вам поддержка SSL в Exim, решайте сами.Для запуска Exim с поддержкой протокола SSL необходимо выполнить следующие операции.Шаг 1Для создания самостоятельно подписанного сертификата необходимо наличие собственного сертификационного центра. Если вы его уже создали, то перейдите к следующему шагу. В противном случае ознакомьтесь с рекомендациями раздела «Тестирование OpenSSL» главы 12 и создайте собственный сертификационный центр.Шаг 2Создайте закрытый ключ, незащищенный паролем, для чего перейдите в каталог/usr/share/ssl:[root@test /]# cd /usr/share/sslВыберите пять любых больших файлов со случайным (уникальным) содержанием, скопируйте их вкаталог /usr/share/ssl и переименуйте в random1, random2, random3, random4, random5, после чего выполните команду:[root@test ssl]# openssl genrsa -rand random1:random2:random3:random4:random5 -out smtp.key 10242019245 semi-random bytes loadedGenerating RSA private key, 1024 bit long modulus.++++++396Часть 7.
Программное обеспечение для организации службы электронной почты................++++++e is 65537 (0x10001)Шаг 3Создайте запрос на подтверждение сертификата:[root@test ssl]# openssl req -new -key smtp.key -out smtp.csrYou are about to be asked to enter information that will be incorporatedinto your certificate request.What you are about to enter is what is called a Distinguished Name or aDN.There are quite a few fields but you can leave some blankFor some fields there will be a default value,If you enter '.', the field will be left blank.----Country Name (2 letter code) [RU]: <Enter>State or Province Name (full name) [Moscow]: <Enter>Locality Name (eg, city) [Yubileyniy]: <Enter>Organization Name (eg, company) [Valentine Bruy]: <Enter>Organizational Unit Name (eg, section) [Home]: <Enter>Common Name (eg, YOUR name) [test.bruy.info]: <Enter>Email Address [drwalbr@bruy.info]: <Enter>Please enter the following 'extra' attributesto be sent with your certificate requestA challenge password []: <Enter>An optional company name []: <Enter>Шаг 4Подпишите сертификат:[root@test ssl]# /usr/share/ssl/misc/sign smtp.csrCA signing: smtp.csr -> smtp.crt:Using configuration from ca.configEnter pass phrase for /usr/share/ssl/private/ca.key:Check that the request matches the signatureSignature okThe Subject's Distinguished Name is as followscountryName:PRINTABLE:'RU'stateOrProvinceName:PRINTABLE:'Moscow'localityName:PRINTABLE:'Yubileyniy'organizationName:PRINTABLE:'Valentine Bruy'organizationalUnitName:PRINTABLE:'Home'commonName:PRINTABLE:'test.bruy.info'emailAddress:IA5STRING:'drwalbr@bruy.info'Please enter the following 'extra' attributes to be sent with your certificate requestA challenge password [] : <Enter>An optional company name [ ] : <Enter>Certificate is to be certified until Jun 21 16:56:10 2004 GMT (365 days)Sign the certificate? [y/n]: <y>1 out of 1 certificate requests certified, commit? [y/n] <y>Write out database with 1 new entriesData Base UpdatedCA verifying: smtp.crt <-> CA certsmtp.crt: OKЗАМЕЧАНИЕ Если вы получите сообщение об ошибке, вызванной тем, что такой сертификат уже существует, слегка измените информацию, вводимую при создании запроса на подтверждение сертификата,например, введитеAn optional company name []: SMTP <Enter>Шаг 5Глава 27.
Exim – почтовый транспортный агент397Создайте необходимые каталоги, разместите в них файлы с сертификатами, определите владельцев иправа доступа к ним, удалите ненужный более файл smtp.csr:[root@test ssl]# mkdir -p /etc/mail/certs[root@test ssl]# chmod 700 /etc/mail/certs/[root@test ssl]# chown mail.mail /etc/mail/certs/[root@test ssl]# mv smtp.key /etc/mail/certs/[root@test ssl]# mv smtp.crt /etc/mail/certs/[root@test ssl]# chmod 400 /etc/mail/certs/smtp.key[root@test ssl]# chmod 400 /etc/mail/certs/smtp.crt[root@test ssl]# chown mail.mail /etc/mail/certs/smtp.key[root@test ssl]# chown mail.mail /etc/mail/certs/smtp.crt[root@test ssl]# rm -f smtp.csrШаг 6Внесение изменения в файл /etc/mail/exim.conf:#######################################################################MAIN CONFIGURATION SETTINGS#############################################################################1111111primary_hostname = smtp.domain.comprimary_hostname = test.bruy.infoacl_smtp_rcpt = check_recipientacl_smtp_data = check_messageacl_smtp_auth = check_authdomainlist local_domains = @ : lsearch;/etc/mail/localdomainshostlist relay_hosts = lsearch;/etc/mail/relaydomainshostlist auth_relay_hosts = *hostlist auth_over_tls_hosts = *hostlist tls_relay_hosts = *log_selector = \+all_parents \+received_sender \+received_recipients \+smtp_confirmation \+smtp_syntax_errorallow_domain_literals = falsenever_users = root:daemon:bin:sync:namedhost_lookup = *trusted_users = mailgecos_pattern = ^([^,:]*)gecos_name = $1freeze_tell = postmasterauto_thaw = 1hignore_bounce_errors_after = 30mtimeout_frozen_after = 7dreceived_header_text = "Received: \${if def:sender_rcvhost {from ${sender_rcvhost}\n\t}\{${if def:sender_ident {from ${sender_ident} }}\${if def:sender_helo_name {(helo=${sender_helo_name})\n\t}}}}\by ${primary_hostname} \${if def:received_protocol {with ${received_protocol}}} \(Exim ${version_number} #${compile_number} )\n\t\id ${message_id}\${if def:received_for {\n\tfor <$received_for>}}"system_filter = /etc/mail/system-filter398Часть 7.
Программное обеспечение для организации службы электронной почтыmessage_body_visible = 5000message_size_limit = 10Msmtp_accept_max = 2048smtp_connect_backlog = 256queue_onlysplit_spool_directoryqueue_run_max = 1remote_max_parallel = 1rfc1413_hosts = *rfc1413_query_timeout = 0ssmtp_banner = "Welcome on our mail server!\n\This system does not accept Unsolicited \Commercial Email\nand will blacklist \offenders via our spam processor.\nHave a \nice day!\n\n${primary_hostname} ESMTP Exim \${version_number} ${tod_full}"tls_advertise_hosts = *tls_certificate = /etc/mail/certs/smtp.crttls_privatekey = /etc/mail/certs/smtp.key#######################################################################ACL CONFIGURATION##Specifies access control lists for incoming SMTP mail#######################################################################begin aclcheck_recipient:accept hosts = :denylocal_parts= ^.*[@%!/|]denysenders= *@dbm;/etc/mail/access.db : \dbm;/etc/mail/access.dbrequire verify= senderdeny= unrouteable address= !127.0.0.1/8:0.0.0.0/0= recipientacceptacceptacceptacceptdenymessagehosts!verifydomainsendpassmessageverify= +local_domainshosts= +relay_hosts= unknown user= recipienthosts= +auth_relay_hostsendpassmessage= authentication requiredauthenticated = *hosts = +tls_relay_hostsendpassmessage = encryption requiredencrypted = *messagecheck_message:accept= relay not permittedГлава 27.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
