摩托學園討論區

[moto]

作者: Song (song) 站內: Song
標題: [測試] postfix-tls + sasl + ssl
時間: Fri May 16 21:37:06 2003

OS:
debian 3.0 r1

INSTALL: (in stable)

# apt-get install postfix-tls sasl-bin libsasl-modules-plain \
libsasl7 openssl

postfix-tls -- 1.1.11+tls0.7.15-0.woody1
sasl-bin -- 1.5.27-3
libsasl-modules-plain -- 1.5.27-3.5
libsasl7 -- 1.5.27-3.5

SETUP:

1. 修改啟動檔：

# vi /etc/init.d/postfix
...
start)
+ /usr/sbin/pwcheck daemon
...
stop)
+ killall pwcheck
:wq!

2. 建立 X.509 certificates (CSR)

# cd /etc/postfix
# openssl req -new -x509 -nodes -out cert.pem

Country Name (2 letter code) [AU]: TW
State or Province Name (full name) [Some-State]: Taiwan
Locality Name (eg, city) []: Taipei
Organization Name (eg, company) [Internet Widgits Pty Ltd]: S&B
Organizational Unit Name (eg, section) []: Admin
Common Name (eg, YOUR name) []: Song Huang
Email Address []: Song.bbs@bbs.sayya.org

# ls -la *.pem
-rw-r----- 1 root root 1249 5?e 16 11:43 cert.pem
-rw-r----- 1 root root 887 5?e 16 11:43 privkey.pem

3. 修改 main.cf 增加下列於最後面：

# sasl setup
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
check_relay_domains

# SSL setup
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_key_file = /etc/postfix/privkey.pem
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
tls_daemon_random_source = dev:/dev/urandom

4. 修改 master.cf

smtp inet n - - - - smtpd

改成

smtp inet n n n - - smtpd

將最下方的 smtps 前的 # 去掉

5. 增加 /etc/postfix/sasl/smtpd.conf 內容如下：

pwcheck_method: pwcheck
mech_list: plain login

6. restart postfix:

/etc/init.d/postfix restart

第一次可能會有 no process killed 的訊息，那是因為 restart 時會
killall pwcheck 而 pwcheck 並未啟動的關係。

7. 修改郵件程式，設定外寄郵件需要驗證。
因為在 main.cf 中 smtpd_recipient_restrictions 的設定包含了
permit_mynetworks，所以 mynetworks 設定的網路中可以不需驗證
就能寄信了。

後記：

這是為了「痴呆中」所作的記錄，看不懂代表你很正常，看得懂表示
你也在進行中，如果看懂了還看出我寫錯了，拜託一定要告訴我，讓
我崇拜一下，感恩啊~~。

最後謝謝所有前輩的努力，謝謝 !!

--

========== Song Huang ==========
泉涸，魚相與處於陸，
相呴以濕，相濡以沫，
不如相忘於江湖。
--
※ Origin: SayYA 資訊站 <bbs.sayya.org>

[Drake]

幾個疑問：

• 後起之秀的MTA如exim, postfix, Qmail(希望名字沒記錯)等是基於什麼理由而決定出來和sendmail搶大餅呢?
• 有不少人架過bbs吧，在過去的bbs為了讓外部的信件能寄到 bbs user 的手上，於是利用一些 email address rewriting rules ，使得像 Drake.bbs@blah.ooxx.tw 最後會變成呼叫一支 ~bbs/bin/bbsmail ，給個 email stream 當作參數，再由這支程式把信件內容寫到 user 的 home 下頭 (ex, ~bbs/home/D/Drake/..) 等。於是有一陣子想弄懂如何在 exim or postfix 下也達到相同的 address rewriting ，不過看了 /usr/share/doc/~ 下的 manual 後放棄了，實在太多不太了解的 terms 了 不曉得這方面有人要講解說明一下嗎:?:
• moto 你的 avatar 我都看不到也:!:

[阿信]

sendmail當時有一些bug的問題出現，記得好像會得到root權限？

所以才建議改成qmail or postfix

但我是認為postfix是比sendmail方便許多。

[moto]

幾個疑問：

• 後起之秀的MTA如exim, postfix, Qmail(希望名字沒記錯)等是基於什麼理由而決定出來和sendmail搶大餅呢?
• 有不少人架過bbs吧，在過去的bbs為了讓外部的信件能寄到 bbs user 的手上，於是利用一些 email address rewriting rules ，使得像 Drake.bbs@blah.ooxx.tw 最後會變成呼叫一支 ~bbs/bin/bbsmail ，給個 email stream 當作參數，再由這支程式把信件內容寫到 user 的 home 下頭 (ex, ~bbs/home/D/Drake/..) 等。於是有一陣子想弄懂如何在 exim or postfix 下也達到相同的 address rewriting ，不過看了 /usr/share/doc/~ 下的 manual 後放棄了，實在太多不太了解的 terms 了 不曉得這方面有人要講解說明一下嗎:?:
• moto 你的 avatar 我都看不到也:!:

.. 真的不見了....難道是來源位置圖已經不見，我本來以為指定位置之後會 copy 一份在 local ..

[enduser]

我的也是stable的debian現在
大致上照著作

不過有幾點不太懂:
這邊的精華區說要mkdir /var/run/pwcheck
所以我有建立這個資料夾然後執行/usr/sbin/pwcheck
但是後面到底要不要加上"daemon"這個參數(不好意思 我真的不懂)

然後修改main.cf
我有先改了幾個地方:
myhostname = enduser.twbbs.org
mydomain = twbbs.org
mynetworks = 127.0.0.0/8,192.168.1.1/24
然後其他的就像song教的那樣

現在# ps aux | grep 'pwcheck'
root 1283 0.0 0.1 1556 520 ? S 08:57 0:00 /usr/sbin/pwcheck daemon

然後接著
# telnet enduser.twbbs.org 25
Trying 211.74.184.75...
Connected to swtn184-75.adsl.seed.net.tw.
Escape character is '^]'.
220 enduser.twbbs.org ESMTP Postfix (Debian/GNU)
ehlo localhost
250-enduser.twbbs.org
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-XVERP
250 8BITMIME
quit

再來我用mozilla mail亂設定
新增csj@enduser.twbbs.org
然後smtp和pop server都設成enduser.twbbs.org
然後把smtp的設定SSL選擇when available

但是現在按get message他會說
cannot connect to server:enduser.twbbs.org;the connection was refused
不好意思 我真的不知道怎麼設定 請教一下大家了 謝謝

[twu2]

我習慣用 pam 來處理認證的問題. 因為後端的方式可以很方便的轉移到 ldap 或其他的方式來處理.

要使用 pam 來處理的話. pwchech_method 設為 pam.

pwcheck_method: pam

如果後面使用的是 pam_unix.so 的話, 在 debian 中, 可以把 postfix 加到 shadow 的 group, 這樣就可以認證. 在 redhat 中, 把 /etc/shadow 改為 0640, 然後把 group 設為 postfix 也可以做到.

[Drake]

sendmail當時有一些bug的問題出現，記得好像會得到root權限？

所以才建議改成qmail or postfix

但我是認為postfix是比sendmail方便許多。

嗯~~不過 sendmail 也在某版後改掉了那問題的樣子
不過exim or postfix 的設定的確看起來比sendmail不那麼嚇人

[阿信]

我習慣用 pam 來處理認證的問題. 因為後端的方式可以很方便的轉移到 ldap 或其他的方式來處理.

要使用 pam 來處理的話. pwchech_method 設為 pam.

pwcheck_method: pam

如果後面使用的是 pam_unix.so 的話, 在 debian 中, 可以把 postfix 加到 shadow 的 group, 這樣就可以認證. 在 redhat 中, 把 /etc/shadow 改為 0640, 然後把 group 設為 postfix 也可以做到.

小弟也是用pam呢...

[訪客]

再來我用mozilla mail亂設定
新增csj@enduser.twbbs.org
然後smtp和pop server都設成enduser.twbbs.org
然後把smtp的設定SSL選擇when available

但是現在按get message他會說
cannot connect to server:enduser.twbbs.org;the connection was refused
不好意思 我真的不知道怎麼設定 請教一下大家了 謝謝

get message 是收信吧 ??!

那就與上面的設定無關了耶，請檢查 log 檔看看。

-- Song Huang

[palmpilote]

用postfix來處理bbsmail可以參考
http://ccca.nctu.edu.tw/~gslin/Document ... ostfix.txt
http://ccca.nctu.edu.tw/~gslin/Document ... ix-fix.txt
雖然是寫給freebsd的
但是大同小異
參考看看吧