Configurar Postfix MTA e IMAP / POP3

Para enviar um e-mail de nosso servidor CentOS 7, precisaremos da configuração para configurar um Agente de Transferência de Correio (MTA) moderno. O Mail Transfer Agent é o daemon responsável por enviar mensagens de saída para usuários do sistema ou domínios da Internet corporativos via SMTP.

É importante notar que este tutorial ensina apenas o processo de configuração do daemon para uso local. Não entramos em detalhes sobre a configuração avançada para configurar um MTA para operações comerciais. Esta é uma combinação de muitas habilidades, incluindo, mas não se limitando a: DNS, obtenção de um endereço IP estático roteável que não está na lista negra e definição de configurações avançadas de segurança e serviço. Resumindo, este tutorial visa familiarizá-lo com a configuração básica. Não use este tutorial para configuração do MTA de um host voltado para a Internet.

Com seu foco combinado em segurança e facilidade de administração, escolhemos Postfixcomo o MTA para este tutorial. O MTA padrão instalado nas versões anteriores do CentOS é o Sendmail .Sendmailé um ótimo MTA. No entanto, na humilde opinião do autor, o Postfix atinge um ponto ideal ao abordar as seguintes notas para um MTA. Com a versão mais atual do CentOS, o Postfix substituiu o Sendmail como o MTA padrão.

Postfix é um MTA amplamente utilizado e bem documentado. É mantido e desenvolvido ativamente. Ele requer configuração mínima em mente (isso é apenas e-mail) e é eficiente com recursos do sistema (novamente, isso é apenas e-mail).

Step 1 - Instale o Postfix a partir do Gerenciador de pacotes YUM.

[[email protected]]# yum -y install postfix

Step 2 - Configure o arquivo de configuração do Postfix.

O arquivo de configuração Postfix está localizado em: /etc/postfix/main.cf

Em uma configuração Postfix simples, o seguinte deve ser configurado para um host específico: nome do host, domínio, origem, inet_interfaces e destino.

Configure the hostname- O nome do host é um nome de domínio totalmente qualificado do host Postfix. No capítulo OpenLDAP, chamamos a caixa CentOS: centos no domínio vmnet.local . Vamos ficar com isso neste capítulo.

# The myhostname parameter specifies the internet hostname of this
# mail system. The default is to use the fully-qualified domain name
# from gethostname(). $myhostname is used as a default value for many
# other configuration parameters.
#
myhostname = centos.vmnet.local

Configure the domain- Conforme declarado acima, o domínio que usaremos neste tutorial é vmnet.local

# The mydomain parameter specifies the local internet domain name.
# The default is to use $myhostname minus the first component.
# $mydomain is used as a default value for many other configuration
# parameters.
#
mydomain = vmnet.local

Configure the origin - Para configurar um único servidor e domínio, precisamos apenas descomentar as seguintes seções e deixar as variáveis ​​Postfix padrão.

# SENDING MAIL
#
# The myorigin parameter specifies the domain that locally-posted
# mail appears to come from. The default is to append $myhostname,
# which is fine for small sites.  If you run a domain with multiple
# machines, you should (1) change this to $mydomain and (2) set up
# a domain-wide alias database that aliases each user to
# [email protected]
#
# For the sake of consistency between sender and recipient addresses,
# myorigin also specifies the default domain name that is appended
# to recipient addresses that have no @domain part. 
#
myorigin = $myhostname
myorigin = $mydomain

Configure the network interfaces- Deixaremos o Postfix escutando em nossa única interface de rede e todos os protocolos e endereços IP associados a essa interface. Isso é feito simplesmente deixando as configurações padrão habilitadas para Postfix.

# The inet_interfaces parameter specifies the network interface
# addresses that this mail system receives mail on.  By default,
# the software claims all active interfaces on the machine. The
# parameter also controls delivery of mail to [email protected][ip.address].
#
# See also the proxy_interfaces parameter, for network addresses that
# are forwarded to us via a proxy or network address translator.
#
# Note: you need to stop/start Postfix when this parameter changes. 
#
#inet_interfaces = all
#inet_interfaces = $myhostname
#inet_interfaces = $myhostname, localhost
#inet_interfaces = localhost
# Enable IPv4, and IPv6 if supported
inet_protocols = all

Step 3 - Configurar suporte SASL para Postfix.

Sem suporte à autenticação SASL, o Postfix só permitirá o envio de e-mail de usuários locais. Ou apresentará um erro de relaying denied quando os usuários enviarem e-mail para fora do domínio local.

Note - SASL ou Simple Application Security Layer Frameworké uma estrutura projetada para autenticação que oferece suporte a diferentes técnicas entre diferentes protocolos da camada de aplicativo. Em vez de deixar os mecanismos de autenticação para o protocolo da camada de aplicativo, os desenvolvedores SASL (e consumidores) utilizam os protocolos de autenticação atuais para protocolos de nível superior que podem não ter a conveniência ou uma autenticação mais segura (quando se trata de acesso a serviços protegidos) incorporada.

Instale o pacote "cyrus-sasl *

[[email protected]]# yum -y install  cyrus-sasl 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * base: repos.forethought.net 
 * extras: repos.dfw.quadranet.com 
 * updates: mirrors.tummy.com 
Package cyrus-sasl-2.1.26-20.el7_2.x86_64 already installed and latest version
Nothing to do

Configure /etc/postfix/main.cf para SASL Auth

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Minhas opções SASL em main.conf

##Configure SASL Options Entries:
smtpd_sasl_auth_enable = yes
smptd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtp_sasl_type = dovecot
smtp_sasl_path = private/auth/etc

Step 4 - Configure o FirewallD para permitir a entrada de serviços SMTP.

[[email protected]]# firewall-cmd --permanent --add-service=smtp 
success

[[email protected]]# firewall-cmd --reload 
success

[[email protected]]#

Agora vamos verificar se nosso host CentOS está permitindo e respondendo às solicitações na porta 25 (SMTP).

Nmap scan report for 172.16.223.132 
Host is up (0.00035s latency). 
Not shown: 993 filtered ports 
PORT    STATE  SERVICE 
   20/tcp  closed ftp-data 
   21/tcp  open   ftp 
   22/tcp  open   ssh 
   25/tcp  open   smtp 
   80/tcp  open   http 
   389/tcp open   ldap 
   443/tcp open   https 
MAC Address: 00:0C:29:BE:DF:5F (VMware)

Como você pode ver, o SMTP está escutando e o daemon está respondendo às solicitações de nossa LAN interna.

Instale Dovecot IMAP e servidor POP3

Dovecot é um servidor IMAP e POP3 seguro projetado para lidar com as necessidades de entrada de emails de uma organização menor ou maior. Devido ao seu uso prolífico com CentOS, estaremos usando Dovecot como um exemplo de instalação e configuração de um servidor de email de entrada para CentOS e MTA SASL Provider.

Conforme observado anteriormente, não configuraremos registros MX para DNS nem criaremos regras seguras que permitam que nossos serviços gerenciem e-mails para um domínio. Conseqüentemente, apenas configurar esses serviços em um host voltado para a Internet pode deixar espaço para brechas de segurança sem registros SPF.

Step 1 - Instale Dovecot.

[[email protected]]# yum -y install dovecot

Step 2 - Configure dovecot.

O arquivo de configuração principal do dovecot está localizado em: /etc/dovecot.conf . Primeiro, faremos backup do arquivo de configuração principal. É uma boa prática sempre fazer backup dos arquivos de configuração antes de fazer edições. Desta forma, as quebras de linha de id (por exemplo) são destruídas por um editor de texto e anos de alterações são perdidos. Reverter é tão fácil quanto copiar o backup atual para a produção.

Ativar protocolos e serviço daemon para dovecot

# Protocols we want to be serving. 
protocols = imap imaps pop3 pop3s

Agora, precisamos habilitar o daemon dovecot para escutar na inicialização -

[[email protected]]# systemctl start  dovecot 
[[email protected]]# systemctl enable dovecot

Vamos nos certificar de que o Dovecot esteja escutando localmente nas portas especificadas para: imap, pop3, imap protected e pop3 secure.

[[email protected]]# netstat -antup | grep dovecot 
 tcp        0        0 0.0.0.0:110        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:143        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:993        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:995        0.0.0.0:*        LISTEN        4368/dovecot
 tcp6       0        0 :::110                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::143                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::993                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::995                :::*          LISTEN        4368/dovecot

[[email protected]]#

Como visto, o dovecot está escutando nas portas especificadas para IPv4 e IPv4.

POP3 110
POP3s 995
IMAP 143
IMAPs 993

Agora, precisamos fazer algumas regras de firewall.

[[email protected]]# firewall-cmd --permanent --add-port=110/tcp 
success
 
[[email protected]]# firewall-cmd --permanent --add-port=143/tcp 
success
 
[[email protected]]# firewall-cmd --permanent --add-port=995/tcp 
success
 
[[email protected]]# firewall-cmd --permanent --add-port=993/tcp 
success
 
[[email protected]]# firewall-cmd --reload 
success
 
[[email protected]]#

Nosso servidor de e-mail de entrada está aceitando solicitações de POP3 , POP3s , IMAP e IMAPs para hosts na LAN.

Port Scanning host: 192.168.1.143

   Open TCP Port:   21          ftp 
   Open TCP Port:   22          ssh 
   Open TCP Port:   25          smtp 
   Open TCP Port:   80          http 
   Open TCP Port:   110         pop3 
   Open TCP Port:   143         imap 
   Open TCP Port:   443         https 
   Open TCP Port:   993         imaps 
   Open TCP Port:   995         pop3s