Смоленск 1.5 Настройка почтового сервера на Astra Linux 1.5 special edition
Хочу поделиться собственным опытом настройки почтового сервера в AstarLinux 1.5 Смоленск. В настройке почтового сервера в Astra Linux есть несколько тонких моментов, возможно это описание поможет кому-нибудь сэкономить собственное время и позволит получить работающий сервер с минимальными затратами.
Предполагается, что служба имен bind9 уже настроена и может обрабатывать запросы на разрешение имен не только собственного домена. Настройка bind9 здесь не рассматривается. Проверить работу bind9 можно командами
dig MX moidomen.org.ru
dig MX nemoidomen.org.ru
Вместо moidomen.org.ru и nemoidomen.org.ru используйте свои варианты.
На эти команды bind должен возвращать IP адреса почтовых серверов доменов moidomen.org.ru и nemoidomen.org.ru.
Работу нашего почтового сервера обеспечат 2 службы: exim4 и dovecot. Эти службы уже из коробки сконфигурированы для работы друг с другом, поэтому дополнительной настройки не требуют. Каждая из указанных служб выполняет свою часть работы по передаче почты. В частности, exim4 принимает входящие соединения на порт 25 (smtp), получает сообщение (письмо) и аккуратно кладет его в почтовый ящик пользователя. У службы dovecot обратная задача, она слушает 143 порт (imap) ожидая подключения почтового клиента, которому и отдаст полученное сообщение из почтового ящика. Короче говоря, exim4 получает сообщение и помещает его в ящик, а dovecot из этого ящика отдает почтовому клиенту.
Чтобы картина была полной нужно еще упомянуть, что если сообщение, полученное exim4 содержит адресат, находящийся за пределами домена, такое письмо отбрасывается, за исключением случая, когда сообщение получено с IP адреса, для которого данный сервер является релеем. В этом случае exim4 пересылает сообщение серверу, ответственному за указанный в назначении домен. Практически это означает, что вы должны все ваши внутренние IP адреса включить в разрешенные для релейной передачи, иначе ваши сообщения не уйдут за пределы родного домена.
Теория закончена. Пора приступать к установке. Порядок установки служб не принципиален, поэтому мы начнем с exim4.
Запустите менеджер пакетов Synaptic и установите пакет exim4-daemon-heavy. В принципе для наших целей подойдет и exim-daemon-light, но он не работает с базой LDAP (которая вероятно у вас есть). Кроме того, нужно установить пакет astrase-fix-maildir.
После установки exim4 нужно настроить. Для настройки не рекомендуется править конфигурационные файлы вручную, для этих целей требуется запустить программу настройки:
dpkg-reconfigure exim4-config
Результатом работы этой программы будет файл /etc/exim4/update-exim4.conf.conf. Данный файл содержит значения переменных, которые будут использованы в конфигурационных скриптах /etc/exim4/conf.d/*.
В процессе работы программа настройки задаст несколько вопросов, отвечаем на которые следующим образом:
1. интернет-сайт
2. moidomen.org.ru
3. оставить пустое поле
4. moidomen.org.ru
5. оставить пустое поле
6. 100.150.200.0/24
7. нет
8. Maildir формат в домашнем каталоге
9. да
Здесь moidomen.org.ru — имя домена вашей организации, 100.150.200.0/24 — внутренная подсеть вашей организации.
На этом настройку exim4 можно было бы и закончить. Упомяну только, что если вы настраиваете почтовый сервер в замкнутом ведомственном сегменте, не имеющем выхода в интернет, вам нужно проверить, не входит ли ваша сеть в перечень адресов, которые сервер exim4 игнорирует. Для этого в файле /etc/exim4/conf.d/router/200_exim4-config_primary найдите строчку
ignore_target_hosts = 0.0.0.0 : 127.0.0.0/8 : 192.168.0.0/16 :\
172.16.0.0/12 : 10.0.0.0/8 : 169.254.0.0/16 :\
255.255.255.255
Если в этом перечне есть ваша подсеть — удалите ее.
Теперь настроим сервер dovecot.
Запустите менеджер пакетов Synaptic и установите пакеты dovecot-core и dovecot-imapd. Устанавливать их нужно в одной транзакции, пакет dovecot-core без dovecot-imapd корректно не установится. Проверьте, чтобы был установлен astrase-fix-maildir.
Собственно настройки пакет dovecot не требует. Максимум, что можно сделать — в файле /etc/dovecot/dovecot.conf в строчке
protocols = imap
добавить еще и протокол pop3. Должно получиться protocols = imap pop3
Все.
Добавляем службы exim4 и dovecot в автозагрузку командами:
chkconfig exim4 on
chkconfig dovecot on
Перезагружаемся, проверяем слушаются ли порты:
netstat -anp | grep exim4
netstat -anp | grep tcp | grep dovecot
В этом месте почтовые службы запущены и настроены.Теперь нужно создать почтовые ящики. Почтовые ящики находятся в каталоге /var/mail/. После установки операционной системы в этом каталоге находится почтовый ящих в формате mbox первого пользователя. Его нужно удалить.
Одним из способов создания почтовых ящиков — положитья в этом деле на dovecot. При первом обращении к почтовому ящику — он будет автоматически создан. Нужно понимать, что dovecot настроен на аутентификацию pam. Это значит, что сначала на сервере нужно создать пользователя, задать ему пароль, а потом, при подключении к серверу почтовым клиентом, dovecot создаст Maildir пользователя. Важная тонкость — пользователю при создании требуется задать уровни конфиденциальности, без этого dovecot корректно работать не будет (вы просто не сможете подключиться к нему). После создания Maildir`а, exim4 сможет доставлять этому пользователю сообщения.
И напоследок, некоторые особенности при настройке почтового клиента Thunderbird. Суть проблемы: при настройке учетной записи вы не сможете проверить доступность сервера, пока не получен сертификат сервера, а сертификат сервера вы не получите, пока не установите соединение с сервером.
Чтобы решить это дилемму, выполняйте настроку Thunderbird следующим образом. В первом окне мастера настройки задайте имя, почтовый адрес, пароль, затем — Продолжить. Thunderbird начнет искать конфигурации из базы ISP от Mozilla, прервите поиск нажатием на Настройка вручную. Затем в окрывшемся окне настроки задайте правильное доменное имя почтового сервера, для входящей почты — порт 143, SSL STARTTLS, обычный пароль, для исходящей почты — порт 25, SSL нет, без аутентификации. После ввода всех параметров вручную, кнопка Готово станет доступна для нажатия — нажмите ее. Появится предупреждение о риске — я понимаю риск и Готово. И в этом месте откроется окно о добавлении сертификата безопасности. В этом диалоговом окне нажмите Подтвердить исплючение безопасности.
astra linux 1.5 exim4
Мануал
На днях начал настраивать exim4, который входит в состав комплекса защищенной электронной почты на астра линукс 1.5 SE.
После стандартного запуска :
# dpkg-reconfigure exim4-config
Появилось сообщение системы вида:
# ALERT : exim paniclog /var/log/exim4/paniclog has non-zero size, mail system possible broken
Вроде бы, решение этой проблемы я уже описывал в публикации Exim4 + Dovecot.
Однако, тут и решение это не помогло, и SMTP listener and queue runner daemon не запустился.
Содержания лога /var/log/exim4/panic.log:
socket bind to port 25 for address 192.168.5.1 failed cannot assign requested address
Решение заключается в следующем:
1. Неоходимо перезапустить реконфигурацию exim4:
# dpkg-reconfigure exim4-config
В пунтке , где необходимо указать сетевые интерфейсы, проверим правильность адреса, уберем ipv6 адресса.
2. Закончим реконфигурацию почтового сервиса.
3. Перезапустим сервис exim4, чтобы изменения вступили в силу:
4. Убедимся в отсутствии ошибок и проверим работу компанентов:
Пожалуйста, не спамьте и никого не оскорбляйте. Это поле для комментариев, а не спамбокс. Рекламные ссылки не индексируются!
- Аудит ИБ (49)
- Вакансии (12)
- Закрытие уязвимостей (105)
- Книги (27)
- Мануал (2 305)
- Медиа (66)
- Мероприятия (39)
- Мошенники (23)
- Обзоры (820)
- Обход запретов (34)
- Опросы (3)
- Скрипты (114)
- Статьи (352)
- Философия (114)
- Юмор (18)
Anything in here will be replaced on browsers that support the canvas element
Что такое 404 Frame? Большинство инструментов для взлома веб-сайта находятся в 404 Frame. Итак, что же представляют собой команды? Вы можете отдавать команды, используя повседневный разговорный язык, поскольку разработчики не хотели выбирать очень сложную систему команд. Команды Команды “help” / “commands” показывают все команды и их назначение. Команда “set target” – это команда, которая должна […]
В этой заметке вы узнаете о блокировке IP-адресов в Nginx. Это позволяет контролировать доступ к серверу. Nginx является одним из лучших веб-сервисов на сегодняшний день. Скорость обработки запросов делает его очень популярным среди системных администраторов. Кроме того, он обладает завидной гибкостью, что позволяет использовать его во многих ситуациях. Наступает момент, когда необходимо ограничить доступ к […]
Знаете ли вы, что выполняется в ваших контейнерах? Проведите аудит своих образов, чтобы исключить пакеты, которые делают вас уязвимыми для эксплуатации Насколько хорошо вы знаете базовые образы контейнеров, в которых работают ваши службы и инструменты? Этот вопрос часто игнорируется, поскольку мы очень доверяем им. Однако для обеспечения безопасности рабочих нагрузок и базовой инфраструктуры необходимо ответить […]
Одной из важнейших задач администратора является обеспечение обновления системы и всех доступных пакетов до последних версий. Даже после добавления нод в кластер Kubernetes нам все равно необходимо управлять обновлениями. В большинстве случаев после получения обновлений (например, обновлений ядра, системного обслуживания или аппаратных изменений) необходимо перезагрузить хост, чтобы изменения были применены. Для Kubernetes это может быть […]
Является ли запуск сервера NFS в кластере Kubernetes хорошей идеей или это ворота для хакеров Одним из многочисленных преимуществ сетевой файловой системы является ее способность выполнять многократное чтение-запись. И как и все в наши дни, NFS – это просто еще одна служба, которую можно запустить в своем кластере Kubernetes. Однако является ли сервер NFS подходящей […]