Forum Debian Users Gang

HOW TO Postfix + sasl + tls  on Debian Etch by BialyS

FAQ ten powstal ze wzgledu na ten post http://forum.dug.net.pl/viewtopic.php?t=6318 nie chcialem sie bardziej pograzac w tym co pisalem, wiec zrobilem intrukcje krok po kroku, na swoim przykladzie (localhoscie) wraz z ustwieniem klienta poczty.


Sciagamy paczki:

apt-get install postfix libsasl2 libsasl2-modules sasl2-bin ipopd-ssl

(Jezli nie chcemy pop3 over ssl mozemy sciagnac np popa3d)


Gdy konfigurator przejdzie do postfixa "Kilakmy OK"

Nastepnie wybieramy No configuration i OK.

[img]http://netg.pl/~bialy/dug/postfix/1.jpg[/img]

Nastepnie tworzymy plik konfiguracyjny postfixa:

nano /etc/postfix/main.cf

Wklejamy i edytujemy zawartosc ponizszego konfigu

smtpd_banner = $myhostname ESMTP Exim4 (GENTOO/GNU)
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = serwer.com.pl
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = serwer.com.pl, serwer.com.pl, localhost.com.pl, localhost
relayhost =
mynetworks = 127.0.0.0/8 #TU WPISUJEMY NASZA ZAUFANA SIEC !!
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

wydajemy polecenie:

newaliases

No i mamy dzialajacego Postfixa.

Teraz zajmiemy sie SASL (autoryzacja). W takim razie edytujemy:

nano /etc/postfix/main.cf

I wklejamy ponizsza zawartosc:

#SASL
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Teraz aktywujemy saslauthd'a:

nano /etc/default/saslauthd

i edytujemy linie i ustawiamy jak ponizej:

START=yes
MECHANISMS="pam"

Teraz tworzymy plik konfiguracyjny saslauthda dla postixa czyli:

nano /etc/postfix/sasl/smtpd.conf

i wklejamy:

pwcheck_method: saslauthd
mech_list: plain login

Ponizej przedstawiam trzy metody zmuszenia postfixa do pracy z saslauthd.

Pierwsza metoda by "ufocek", uwazam,ze faktycznie jest chyba najlepsza dlatego ja polecam.

/etc/init.d/saslauthd start

adduser postfix sasl

mkdir -p /var/spool/postfix/var/run/saslauthd

mount -o bind /var/run/saslauthd /var/spool/postfix/var/run/saslauthd/

edytujemy /etc/fstab:

nano /etc/fstab

oraz dodajemy wpis

/var/run/saslauthd /var/spool/postfix/var/run/saslauthd auto bind 0 0 

/etc/init.d/postfix restart

Druga metoda:

adduser postfix sasl

mkdir -p /var/spool/postfix/var/run/saslauthd

chown -R root.sasl /var/spool/postfix/var/run/saslauthd

nano /etc/default/saslauthd

START=yes
PARAMS="-m /var/spool/postfix/var/run/saslauthd"
MECHANISMS="pam"

nano /etc/init.d/saslauthd

edytujemy linijke PIDFILE

PIDFILE="/var/spool/postfix/var/run/${NAME}/saslauthd.pid"

/etc/init.d/saslauthd restart
/etc/init.d/postfix restart

(Te dwie metody pozwalaja na prace postfixa z saslauthd bez wyciagacia postfixa z chroot'a)

trzecia metoda:
(mniej polecana poniewaz nalezy wyciagnac postfix'a z chroot'a):

adduser postfix sasl

Z tego co wiemy Postfix na Debianie pracuje w chroot'cie , a saslauthd
znajduje sie w /var/run/saslauthd. By zmusic Postfixa do wspórpacy
edytujemy:

nano /etc/postfix/master.cf

Oraz zmieniamy "-" na "n"

# 
==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# 
==========================================================================
smtp      inet  n       -       n       -       -       smtpd

Restartujemy saslauthd'a i postfixa

/etc/init.d/saslauthd restart
/etc/init.d/postfix restart

Sprawdzamy czy dziala:

telnet serwer.com.pl 25
ehlo serwer.com.pl

Powinnismy zobaczyc miedzy innymi taki komunikat

250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN

Teraz mozemy skonfigurowac nasza poczte do wspolpracy z SASL:
OUTLOCK
[img]http://netg.pl/~bialy/dug/postfix/2.jpg[/img]
KMAIL
[img]http://netg.pl/~bialy/dug/postfix/3.jpg[/img]

Wysylamy widomosc do siebie i sprawdzamy czy dochodzi,a jezli nie
patrzymy
co tam logi nam krzycza :).

Hmm no fajnie mamy sasl, ale gdzie ten tls ?

Znow edytujemy

nano /etc/postfix/main.cf

wklejamy

#TLS
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Przechodzimy do /etc/postfix/ssl ,jezli nie mamy tego katalogu to
oczywiscie tworzymy.

mkdir /etc/postfix/ssl

cd /etc/postfix/ssl

i robimy certyfikat
(jeden ze sposobow)

openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 
3650

Gdy juz wszystko mamy:

/etc/init.d/postfix restart

Sprawdzamy czy dziala

telnet serwer.com.pl 25
ehlo serwer.com.pl

Powinnismy otrzymac miedzy innymi

250-STARTTLS

I cieszymy sie naszym postfixem z SASL i TLS


Pełna konfiguracja poczty dla mniej zawansowanych:

Outlock
Uwierzytelnienie (SASL)
[img]http://netg.pl/~bialy/dug/postfix/2.jpg[/img]
TLS
[img]http://netg.pl/~bialy/dug/postfix/4.jpg[/img]

Uwagi:
1. Odznaczamy Logowanie przy uzyciu bezpiecznego uwierzytelnia !
2. Zaznacamy Serwer wymaga uwierzytelnienia.
3. Zaznaczamy ten serwer wymaga bezpiecznego polaczenia (ssl).
4. Port ma byc ustawiony na 25 !!


Kmail
Zaznaczamy uwierzytelnie
[img]http://netg.pl/~bialy/dug/postfix/3.jpg[/img]
Zaznaczamy TLS oraz PLAIN
[img]http://netg.pl/~bialy/dug/postfix/5.jpg[/img]
Jak nie jestesmy pewni, mozemy kliknac "Sprtawdz mozliwosci serwera"
[img]http://netg.pl/~bialy/dug/postfix/6.jpg[/img]

Uwagi:
1. Zaznaczamy serwer wymaga uwierzytelnienia.
2. Szyfrowanie ustwaimy na TLS !!! Poniewaz wykorzystuje port 25.
3. Metoda uwierzytelniania PLAIN
4. Mozemy urzyc wygodnej fukcji sprawdzajacej mozliwosci serwera ;D
5. Port smtp ma byc 25 !!!!

Wszystko zrobiles a nie dziala ?
Ruznie to bywa, ale nikt nie jest telepata sprawdz swoje logi, a
napewno znajdziesz odpowiedz.

Problemy na jakie napotkalem podczas tworzenia tego how to:

POP3 over SSL. Wybralem ipopd-ssl poniewaz nie trzeba go
konfigurowac. Teoretycznie ;D poniewaz po zainstalowaniu, telnet
serwer.pl 110 lub 995 dawal ten sam komunikat, a raczej jego brak.
Zachowaywal sie tak jak by wisial. Niemam pojecia czym bylo to
spowodowane. Usunelem resztki couriera

apt-get remove --purge courier* 

I przeinstalowalem ipopd

apt-get install --reinstall ipopd ipopd-ssl

I o dziwo przy telnecie zglosil sie. Zarowno na port 110 jak i na 995.
:)
2. ipopd z paczek debiana nie czyta maili z katalogow domowych urzytkownikow, jedyna metoda by tego dokonac jest kompilacja pakietu ze zrudel z odpowiednimi parametrami.

Z gory przepraszam za wszelkie literowki ktore sie wkradly podczas
pisaina tego how to, oraz za bledy ortograficzne. Nano nie jest az tak
zaawansowany jak moglo by sie wydawac ;D.

Chciał bym zaznaczyć, że nie odpowiadam za ewentualne szkody i zwaly u
prezesa ;D wynikajace z zastosowania sie do tego FAQ Pozdr0

Zastrzezenia na priv lub bialy@netg.pl




Spamassassin + procmail + amavis + clamav HOw TO by BialyS on Debian Etch.

Przystepujemy do dziela

Najpierw zajmiemy sie spamassassinem

apt-get install spamassassin spamc procmail

aby spamassassin mogl wystartowac musimy przejsc do
/etc/default/spamassassin i wyedytowac linijke ENABLED.

nano /etc/default/spamassassin

ENABLED=1

Teraz mozemy wystartowac naszego spamassassina z defaultowym configiem
lub stworzyc wlasny ;)

nano /etc/spamassassin/local.cf

Treaz edytujemy dostepny config

# Wynik po ktorego otrzymaniu dostajemy wiadomosci oznaczone jako spam
required_score           5.0

# Temat wiadomosci oznaczonej jako spam
rewrite_header subject        **** UWAGA MOZLIWY SPAM ****

# Wiadomosc spam w zalaczniku na ustwiona nie (0=no, 1=yes, 2=safe)
report_safe             0

#Czy userzy moga tworzyc wlasne regulki w swoim katalogu domowym
allow_user_rules 0


# Bayes system
use_bayes               1

# Enable Bayes auto-learning
bayes_auto_learn        1

# Enable or disable network checks
skip_rbl_checks         0

use_razor2              0 # ustaw na 1 jezli masz zamiar odpialic razira


# Mail using locales used in these country codes will not be marked
# as being possibly spam in a foreign language.
# Mozesz dac np: pl en 
ok_locales              all

# Tutaj wyedytowalem niektore regulki i zmienilem punktaje wystarczy je 
wykasowac i bedzie defaultowo
score USER_IN_BLACKLIST 100000.000
score USER_IN_WHITELIST -100000.000
score UNWANTED_LANGUAGE_BODY 5
score HTML_IMAGE_ONLY_08 3
score FREE_TRIAL 5
score ALL_TRUSTED 0
score MICROSOFT_EXECUTABLE 4.5
score DATE_MISSING 1.5
score HTML_MESSAGE 0.5
score MIME_HTML_ONLY 0.5
score MIME_SUSPECT_NAME 0.5
score MISSING_MIMEOLE 1.5
score HTML_RELAYING_FRAME 2
score HTML_LINK_CLICK_HERE 3
score HTML_FONTCOLOR_BLUE 0.5
score HTML_FONTCOLOR_GREEN 0.5
score HTML_FONTCOLOR_RED 0.5
score HTML_20_30 1
score HTML_30_40 1
score HTML_40_50 1
score HTML_50_60 1
score HTML_60_70 1
score HTML_70_80 1
score HTML_80_90 1
score HTML_90_100 1
score CLICK_BELOW 3
score CLICK_BELOW_CAPS 3
score CLICK_TO_REMOVE_1 5
score CLICK_TO_REMOVE_2 5
score FOR_FREE 3
score NO_REAL_NAME 1.5
score PRIORITY_NO_NAME 1.5
score FORGED_YAHOO_RCVD 2
score FORGED_HOTMAIL_RCVD 2
score MISSING_OUTLOOK_NAME 0.5
score FORGED_OUTLOOK_TAGS 1.5
score LINES_OF_YELLING 0.5
score LINES_OF_YELLING_2 0.5
score LINES_OF_YELLING_3 0.5
score BIZ_TLD 1
score HEADER_COUNT_CTYPE 2.5
score MIME_HEADER_CTYPE_ONLY 2.5
score MORE_SEX 5

## white list ( tu wklejamy wazne adresy, aby nie miec przypalu ;D)
whitelist_from *@dug,net.pl

## black list (a tu nie chciane ktore spamassassin przepuszcza, a 
ktorych niechcemy)
blacklist_from *@*.ru
blacklist_from *.@eu-vest.biz

startujemy spamassassina

/etc/init.d/spamassassin start

W tym momecie musimy wyslac wiadomosc testowa,
sprawdzamy czy maile dochodza jezli tak mozemy przejsc do nastepnego
kroku.

Tworzymy plik konfiguracyjny procmaila

nano /etc/procmailrc

# katalog glowny wiadomosci email
MAILDIR=/var/mail
#Logowanie jak cos nie trybi to lepiej odpalic ;)
#LOGFILE=/etc/procmail.log

# pominiecie plikow konfiguracyjnych procmailrc w katalogach domowych
DROPPRIVS=yes

#regula skanowania poczty nie przekraczajacej 256kB

:0fw: spamassassin.lock
* < 256000
| /usr/bin/spamc

#przy 8 gwiazdkach spam trafia do kosza

:0
* ^X-Spam-Level: ********
/dev/null



# bugfix
:0
* ^^rom[ ] { LOG="*** Dropped F off From_ header! Fixing up. "
:0 fhw
| sed -e '1s/^/F/'
}

Jezli nie korzystalismy z konfiguratora postfix nie wie co to procmail nalezy doadac ponizszy wiersz.

nano /etc/postfix/main.cf

i wklejamy takia linijke

mailbox_command = procmail -a "$EXTENSION"

restartujemy postfixa

/etc/init.d/postfix restart

Wysylamy wiadomosc testowa. W zrudle maila ktory otrzymamy powinienes
zobaczyc takie linijki:

X-Spam-Checker-Version: SpamAssassin 3.1.7 (2006-10-05) on serwer.pl
X-Spam-Level: 
X-Spam-Status: No, score=0.5 required=5.0 tests=DNS_FROM_RFC_ABUSE 
    autolearn=no version=3.1.7

(Mozemy wyslac wiadomosc spam by sprawdzic czy napewno spam zostanie
uciety)

Doszlismy do punktu w ktorym mamy w pelni dzialajacego spamassassina.
Co prawda nie do konca wpelni poniewaz mozemy doinstalowac programy wspomagajace spamassassina.
Jedym z nich jest razor

wydajemy polecenie

apt-get install razor

tworzymy katalog domowy dla razora

mkdir -p /etc/mail/spamassassin/.razor

Oraz wydajemu kolejno polecenia:

razor-admin -home=/etc/mail/spamassassin/.razor -register
razor-admin -home=/etc/mail/spamassassin/.razor -create
razor-admin -home=/etc/mail/spamassassin/.razor -discover

nastepnie edytujemy config spamassassina a

nano /etc/spamassassin/local.cf

i aktywujemy w configu razor'a

use_razor2   1
razor_config /etc/mail/spamassassin/.razor/razor-agent.conf

edytujemy plik konfiguracyjny razora

nano /etc/mail/spamassassin/.razor/razor-agent.conf

oraz dodajemy

razorhome = /etc/mail/spamassassin/.razor/

Mozemy zrestartowac spamassassina

/etc/init.d./spamassassin restart

Teraz mozemy sprawdzamy plik

nano /etc/mail/spamassassin/v310.pre

Jezli mamy hashe "#" na loadplugin razor2, to je usuwamy

loadplugin Mail::SpamAssassin::Plugin::Razor2

No i tak wzbogacilismy spamassassina o obsluge razor2 :).


Pamietajmy o whitelistowaniu waznych adresow dla firmy.
Zazwyczaj firmy z ktorymi korespondujemy nie zdaja sobie sprawy,ze sa na czarnych listach serwerow. Przez co wiadomosci trafiaja do /dev/null zamiast do naszych skrzynek.


Spamassassin usunie spora czesc spamu, lecz sam spam nie
jest grozny. Grozne sa wirusy w zalacznikach, ktore nieswiadomi pracownicy firmy otwieraja.

By temu zapobiec mozemy skanowac poczte w poszukiwaniu virusow i ucinac maile z niechcianymi zalacznikami za pomoca clamav i amavisa.

Koniec gadania zaczynamy instalacje:

apt-get install clamav-daemon clamav amavis

edytujemy postfixa

nano /etc/postfix/main.cf

oraz dodajemy gdzies na koncu linijke

#Amavis
content_filter = smtp-amavis:[127.0.0.1]:10024

nastepnie master.cf

nano /etc/postfix/master.cf

na samym koncu pliku wklejamy takie cos:

##Amavis
smtp-amavis unix -      -       n        -      2       smtp
         -o smtp_data_done_timeout=1200s
         -o smtp_never_send_ehlo=yes
         -o disable_dns_lookups=yes
127.0.0.1:10025 inet n  -       n        -      -       smtpd
         -o content_filter=
         -o local_recipient_maps=
         -o realy_recipient_maps=
         -o smtpd_restriction_classes=
         -o smtpd_client_restrictions=
         -o smtpd_helo_restrictions=
         -o smtpd_sender_restrictions=
         -o smtpd_recipient_restrictions=permit_mynetworks,reject
         -o mynetworks=127.0.0.0/8
         -o strict_rfc821_envelopes=yes
         -o smtpd_error_sleep_time=0
         -o smtpd_soft_error_limit=1001
         -o smtpd_hard_error_limit=1000

Zostal nam clamav i amavis wlasciewie

edytujemy clamd.conf

nano /etc/clamav/clamd.conf

Zmieniamy linie User na ponizsza

User amavis

nano /etc/clamav/freshclam.conf

Zmieniamy linie DatabaseOwner

DatabaseOwner amavis

chown -R amavis.amavis /var/run/clamav
chown -R amavis.amavis /var/lib/clamav
chown -R amavis.amavis /var/log/clamav

edytujemy pliki konfiguracyjne amavisa

nano /etc/amavis/conf.d/15-content_filter_mode

I odznaczamy hashe "#" z linijek bypass_viruses

@bypass_virus_checks_maps = (
   %bypass_virus_checks, @bypass_virus_checks_acl, $bypass_virus_checks_re);

zakazane zalaczniki mozemy znalesc w  pliku podanym poniezej. Edycja jest
banalna
wystarczy odchashowac "#" linijke w ktorej sa rosrzezenia plikow ktorych
niechcemy w naszej poczcie, a zachaszowac te ktore chcemy ;)(ewentualnie
usunac jakies rosrzezenie z linijki w ktorej jest, lub dodac ;D)

nano /etc/amavis/conf.d/20-debian_defaults

I to wszystko.

/etc/init.d/clamav-daemon restart
/etc/init.d/clamav-freshclam restart
/etc/init.d/amavis restart

Powinno dzialac :)

a jezeli zobaczysz cos takiego ;D

warning: connect to transpor smtp-amavis: No such file or directory

(to sie nie przestrasz umnie pomogl zwykly reboot maszyny ;D)

Uwagi:

1. W Debian Etch plik konfiguracyjny amavisa znajduje sie w
/etc/amavis/conf.d/ i jest podzielony na mniejsze pliki.
2. Jezli chcesz zmienic serwer lustrzany lub ilosc updatow clamav w
ciagu dnia wystarczy wydac polecenie

dpkg-reconfigure clamav-freshclam

3. Przypadkiem nie ustawiaj w amavisie odpowiedzi na mail z virusem.
4. Tak jak wyzej nie uzywaj softu do automatycznego odsylania spamu.
5. chesz przetestowac dzialanie swojego antyvirusa doinstaluj pakiet

apt-get install clamav-testfiles

lub sciagnij sobie z tad jeden z plikow znajdujacych sie w tej paczce
http://www.netg.pl/~bialy/dug/amavis/test.exe
Dodaj do zalacznika i wyslij. Root powinien dostac wiadomosc o virusie.
6. Pamietaj, ze antyvirus nie przeskanuje archiwum ktorego niemasz wiec
jak chcesz skanowac zip rar bzip musisz miec te archiwery.
7. Test spamassassina - jako tres wiadomosci wpisz

XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X

Jezeli niema cie na whiteliscie powinienes zobaczyc info w logach o ilosci pkt ile dostala ta wiadomosc, umnie jest
"1000", oraz informacje o usunieciu tego maila.
7. Jezeli masz zamiar zainstalowac pyzora musisz wiedziec,ze sa problemy z instalacja. Nalezy sciagnac odpowiednie latki by zaczal funcjonowac.
8. Pelna liste komend spamassassina znajdziesz wydajac polecenie

perldoc Mail::SpamAssassin::Conf

Mam nadzieje,ze wszystko bedzie dzialac ;D

Tak jak ostatnio przepraszam za wszelkie literowki i bledy ortograficzne.
Nie opowiadam za szkody winikajace z korzystania z mojego tego HOW TO.


Kontakt bialys@netg.pl lub GG 2808080

Pozrdrawiam BialyS.