postfix電子郵件服務(wù)器配置(doc 56頁).doc

postfix+dovecot+openwebmail安裝設(shè)置 Postfix實(shí)驗(yàn)名稱： postfix電子郵件服務(wù)器配置實(shí)驗(yàn)?zāi)康模簩?shí)現(xiàn)postfix電子郵件服務(wù)器的基本環(huán)境配置，在些基礎(chǔ)上提高postfix防垃圾郵件能力、防電子郵件包含病毒及保護(hù)postfix的安全措施（拒絕服務(wù)攻擊）；如何定期地去清理日志及利用工具查看日志，即是：postfix+dovecot+cyrus-sasl+openwebmail/squirrelmail+mailScanner+Antivirus+spamAssassin(解釋:dovecot提供imap、pop3服務(wù)(在新版本的redhat linux 中dovecot代替了imap軟件包)；cyrus-sasl提供認(rèn)證功能的；openwebmail/squirrelmail都是提供webmail服務(wù),其中squirrelmail是redhat自帶的，在第三張光盤；而openwebmail則是第三方軟件；mailScanner好像是郵件掃描用的，主要與Antivirus（防病毒）結(jié)合；spamAssassin是用來處理垃圾郵件的，判斷郵件是否為垃圾郵件)實(shí)驗(yàn)內(nèi)容：1.設(shè)置服務(wù)器的IP地址為29/24，首先DNS為29，關(guān)閉防火墻（便于測試）2. 安裝dns服務(wù)器所需要的軟件包:bind-utils（第一張光盤）、bind、bind-libs（第一張光盤）、bind-chroot（第二張光盤）、caching-nameserver（第四張光盤）3. 配置dns服務(wù)器的主機(jī)記錄、郵件記錄及測試4.安裝postfix（第三張光盤）和postfix-pflogsumm(依賴于perl-Date-Calcperl-Bit-Vectorperl-Carp-Clan)軟件包-所有包都在第二張光盤5. dovecot及cyrus-sasl(Cyrus-sasl的功能就是實(shí)現(xiàn)密碼驗(yàn)證機(jī)制)一般在系統(tǒng)安裝時(shí)，都安裝上去了6.配置postfix的主配置文件main,cf及其它文件的配置，如：virtual、access（訪問文件）、master.cf（控制文件）7. 安裝openwebmail/squirrelmail、mailScanner、Antivirus、spamAssassin及它們相關(guān)的配置8.在實(shí)驗(yàn)中遇到的問題時(shí)，如何解決，記錄解決的方法，做好實(shí)驗(yàn)的總結(jié)實(shí)驗(yàn)過程：一、設(shè)置服務(wù)器的IP地址，關(guān)閉iptables及SElinux#service network restart#service iptables restart#ifconfig eth0二、DNS配置#vi named.conf#vi named.zones#vi 123.zone#vi 123.localDNS測試：先關(guān)閉防火墻、selinux，開啟dns服務(wù)#chkconfig -level 345 named on三、postfix的基本配置及啟用SMTP認(rèn)證機(jī)制1、設(shè)置服務(wù)器的主機(jī)名為#vi /etc/sysconfig/network #reboot -重啟后主機(jī)名就是，可以用#hostname來查看2、由于之前用過sendmail，所以在安裝啟動(dòng)postfix時(shí)，停止sendmail服務(wù)，最好就是卸載sendmail。這里我停止sendmail服務(wù)3、安裝postfix-pflogsumm和postfix軟件包，由于postfix-pflogsumm依賴于perl-Date-Calcperl-Bit-Vectorperl-Carp-Clan，所以先安裝這些軟件包安裝好后在/etc/postfix/目錄下，就有相應(yīng)的配置文件了主要文件： /etc/postfix/master.cf是控制文件 /etc/postfix/main.cf是主配置文件 /etc/postfix/virtual是虛擬域名文件 /etc/aliases是別名配置文件 /etc/access允許那些網(wǎng)段、區(qū)域郵件進(jìn)行轉(zhuǎn)發(fā)4編輯/etc/postfix/main.cf#vi /etc/postfix/main.cf指定運(yùn)行Postfix郵件系統(tǒng)的主機(jī)名稱指定Postfix郵件系統(tǒng)使用的域名指定發(fā)件人所在的域名注意：這里的$mydomain是一個(gè)變量，myorigin的值等于前面賦予123.com配置文件main.cf默認(rèn)開啟的，必須注釋，否則inet_interfaces = all就不生效指定Postfix郵件系統(tǒng)監(jiān)視的網(wǎng)絡(luò)接口指定Postfix接收郵件時(shí)收件人的域名注意：這里的mynetworks_style的值class =與伺服器位于同一級IP網(wǎng)路的主機(jī)都可以使用代轉(zhuǎn)服務(wù)subnet =所在網(wǎng)域的任一個(gè)IP都可以使用代轉(zhuǎn)服務(wù)host =僅開放localhost為信任?可代轉(zhuǎn)的主機(jī)指定您所在的網(wǎng)絡(luò)地址/245.保存并退出，重啟postfix服務(wù)，如果DNS服務(wù)器開啟了，此時(shí)你就會(huì)發(fā)現(xiàn)在啟動(dòng)postfix服務(wù)時(shí)，很慢很慢，甚至啟動(dòng)失敗；如果關(guān)閉DNS服務(wù)器，再啟動(dòng)postfix服務(wù)時(shí)，就可啟動(dòng)了。但是實(shí)驗(yàn)中要用到DNS域名解釋。出現(xiàn)此問題的原因主要是：對于redhat的linux默認(rèn)的mta是sendmail（之前用過sendmail電子郵件服務(wù)），所以要設(shè)置mta是postfix才行，就是使用alternatives -config mta 然后選擇postfix（當(dāng)然你系統(tǒng)要已經(jīng)安裝了postfix）就可以使用postfix來作默認(rèn)的mta了。 #chkconfig -level 345 postfix on6.此時(shí)就可以發(fā)郵件了，但還不能收郵件；在新版本的linux里已經(jīng)用dovecot代替了pop3、imap4，dovecot接收郵件軟件包，包含了pop3 imap4等協(xié)議，所以還必須安裝dovecot和啟用dovecot服務(wù)，其中dovecot依賴于perl-DBI、mysql，有的還會(huì)提示libpq.so.4 is needed by dovecot-1.0-1.2.rc15.el5.i386；還需安裝postgresql-libs。這里采用在安裝系統(tǒng)時(shí)，就安裝好的dovecot,#service dovecot restart域者#vi /etc/dovecot.conf #protocols = imap imaps pop3 pop3s前面的#去掉，再#service dovecot restart也可以。#netstat -antl 7.安裝好cyrus-sasl(Cyrus-sasl的功能就是實(shí)現(xiàn)密碼驗(yàn)證機(jī)制)后，修改#vi /etc/sysconfig/saslauthd通過shadow來認(rèn)證登錄用戶 #service saslauthd restart 測試一下是否成功 #testsaslauthd -u root -p root用戶密碼 若看到0: OK Success. ，那么啟動(dòng)密碼驗(yàn)證機(jī)制就成功了#saslauthd -v 可以查看saslauthd有支持哪些密碼管理機(jī)制8.開啟smtpd認(rèn)證機(jī)制（1）SMTPd_sasl_auth_enable：設(shè)置是否要啟動(dòng)sasl認(rèn)證的意思，如果設(shè)置，Postfix會(huì)主動(dòng)去加載cyrus sasl的函數(shù)庫，而該函數(shù)庫會(huì)依據(jù)/usr/lib/sasl2/SMTPd.conf的設(shè)置來連接到正確的管理賬號與密碼的服務(wù)，即saslauthd。（2）broken_sasl_auth_Clients：這是針對早期非正規(guī)MUA的設(shè)置項(xiàng)目，因?yàn)樵缙谲浖_發(fā)商在開發(fā)MUA時(shí)沒有參考通信協(xié)議標(biāo)準(zhǔn)，所以造成在SMTP認(rèn)證時(shí)可能會(huì)發(fā)生的一些困擾。例如MS的Outlook Express第4版就是這樣，后來的版本應(yīng)該沒有這個(gè)問題。所以這個(gè)設(shè)置值您也可以不設(shè)置。（3）SMTPd_sasl_security_options：要取消哪些登錄方式的意思。可以取消匿名登錄的可能性，所以設(shè)置為noanonymous即可。由于saslauthd使用的是plaintext，所以不能設(shè)置noplaintext，這里需要留意。（4）smtpd_sasl_local_domain：確認(rèn)已經(jīng)通過認(rèn)證的網(wǎng)域（5）SMTPd_recipient_restrictions：最重要的就是這個(gè)。sasl認(rèn)證可以放在第二行，在局域網(wǎng)的可信任區(qū)域的后面加以認(rèn)證。上述代碼的設(shè)置意義是：局域網(wǎng)內(nèi)的MUA不需要認(rèn)證也能夠進(jìn)行Relay，而非局域網(wǎng)內(nèi)的其他來源才需要進(jìn)行SMTP認(rèn)證。 smtp認(rèn)證機(jī)制測試是否成功 可以用Outlook Express來測試，也可以用telnet 測試，方法：telnet命令可以連接到Postfix服務(wù)器的25號端口，也就是發(fā)信服務(wù)器端口，然后輸入幾個(gè)命令，就可以知道配置是否成功了。由于telnet用的明文的密碼，而postfix的SMTP用戶身份認(rèn)證采用的不是明文方式,所以首先要計(jì)算出用戶名和密碼，通過perl命令就可以很快計(jì)算出來：用戶名為lili、密碼為123的等價(jià)模式 經(jīng)過編碼后的用戶名bGlsaQ經(jīng)過編碼后的密碼為MTIz#telnet 25 同時(shí)也可以通printf “l(fā)ili” |openssl base64和printf “123” |openssl base64計(jì)算出用戶名和密碼。如果在測試時(shí)，出現(xiàn)出現(xiàn)：535 5.7.8 Error: authentication failed: another step is needed in authentication表示輸入的BASE64編碼有問題9.到此時(shí)配置的基本環(huán)境已經(jīng)起來了，可以進(jìn)行測試了提示解釋失敗解釋方法：# vi /etc/resolv.conf #service network restart 10.新建兩個(gè)用戶分別是redhat和rongli，利用outlookup進(jìn)行測試 同樣方法，郵箱此時(shí)查看#tail /var/log/maillog，就可以看到用戶redhat和rongli登錄postfix服務(wù)器的信息了，如下： 測試收發(fā)信 查看/var/log/maillog四、用tls加密SMTP會(huì)話1.進(jìn)入目錄/etc/pki/tls/certs，運(yùn)行命令# openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 365 -x5092.此時(shí)就會(huì)在當(dāng)前目錄下生成smtpd.cert和smtpd.key文件，移動(dòng)smtpd.key到/etc/pki/tls/private/目錄下3.編輯/etc/postfix/main.cf文件，加入下面的內(nèi)容smtpd_use_tls = yes 是啟用tls加密smtp會(huì)話smtpd_tls_cert_file = /etc/pki/tls/certs/smtp.cert TLS需要的ssl證書存放位置smtpd_tls_key_file = /etc/pki/tls/private/smtpd.key TLS需要的ssl私鑰存放位置4保存退出，并重新讀取配置文件5測試當(dāng)出現(xiàn)(250 STARTTLS )說明tls已經(jīng)啟用了五、使用ssl加密的方法接收郵件pop3及IMAP4協(xié)議都是采用明文方式進(jìn)行數(shù)據(jù)傳輸，不過可以通過SSL對其數(shù)據(jù)傳輸進(jìn)行加密，在/etc/pki/tls/certs目錄下輸入以下命令生成密鑰（dovecot.pem只是文件名可任意） 有空格 此時(shí)生成的密鑰及證書,就在當(dāng)前目錄下的dovecot.pem。密鑰及證書都在dovecot.pem里面， cp /etc/pki/tls/certs/dovecot.pem /etc/pki/tls/private/dovecot.pem就可以了#cat dovecot.pem 編輯/etc/dovecot.conf文件 在dovecot配置完成后可以通過mutt命令對pop3/pops及imap/iamps進(jìn)行測試。具體方法如下：1、使用POP3方法驗(yàn)證Dovecotmutt -f pop:/userserver:portmutt -f pops:/userserver:port輸入命令可通過pop（如使用pops方式，將下圖命令中pop改為pops即可）方式收取郵件，注意是接服務(wù)器名稱。mutt -f pops:/按“o”同意， 按“o” 輸入密碼： 使用IMAP4方法驗(yàn)證Dovecotmutt -f imap:/userserver:portmutt -f imaps:/userserver:port同樣,輸入命令可通過imap（如使用imaps方式，將下圖命令中imap改為imaps即可）方式收取郵件，注意是接服務(wù)器名稱。mutt -f imaps:/輸入”o”同意開始通過imap連接服務(wù)器,測試也同上面的一樣Outlook Express測試把用戶的客戶端軟件outlook express的“工具”-“帳戶”-“屬性”-“高級” 出現(xiàn)這樣的情況，可能是證書沒有授權(quán)的原因，因?yàn)樽C書是自己做的，證書不是由證書頒發(fā)機(jī)構(gòu)頒發(fā)的，但還可以繼續(xù)使用這個(gè)服務(wù)器。六、以Web方式收發(fā)電子郵件 由于在sendmail配置時(shí)，用過了Openwebmail。所以想在postfix里使用一下SquirrelMai，Red Hat Enterprise Linux 5內(nèi)置了Postfix的Web支持-SquirrelMail，但在默認(rèn)情況下并沒有安裝。1. 將Red Hat Enterprise Linux 5的第2、3張安裝盤放入光驅(qū)，加載光驅(qū)后在光盤的Server目錄下分別找到SquirrelMail的RPM安裝包文件php-mbstring（第二張光盤） 和squirrelmail（第三張光盤），然后使用下面的命令安裝。2.配置squirrelmailSquirrelMail的主配置文件為/etc/squirrelmail/config.php。要配置SquirrelMail，可以直接修改該文件的內(nèi)容，但是使用SquirrelMail的配置工具來配置更方便、更直觀,配置工具是：/usr/share/squirrelmail/config/conf.pl#vi /etc/squirrelmail/config.php #/usr/share/squirrelmail/config/conf.plSquirrelMail的配置界面包括組織信息、服務(wù)器設(shè)置、目錄設(shè)置、一般選項(xiàng)、界面主題、地址簿、插件、數(shù)據(jù)庫、語言、設(shè)置IMAPservers、保存和退出等部分，這就要根據(jù)個(gè)人意向去設(shè)置了（主要的設(shè)置是在Server Settings）配置SquirrelMail的imap服務(wù)器，輸入Ddovecot回車 配置Squirrelmail的缺省語言，選擇“10” “1”zh_CN回車，再選擇“2” “GB2312” 回車 配置Squirrelmail的域名和smtp服務(wù)器，選擇“2” “1” 輸入域名回車“3” “2” 回車 保存配置，選擇主菜單s保存，配置將保存在創(chuàng)建squirremail別名#vi /etc/httpd/conf.d/squirrelmail.conf添加如下內(nèi)容(默認(rèn)存在,無需設(shè)置)alias /webmail /usr/share/squirrelmail啟動(dòng)apache服務(wù),使squirrelmail別名生效#service httpd start3.測試：打開SquirrelMail的登錄界面，如下用redhat用戶登錄后，記住賬號是：redhat，而不是收發(fā)信測試：選擇“撰寫郵件”，還可以增加附件 發(fā)信箱“Sent” rongli用戶登錄 4.通過tls安全連接#/usr/share/squirrelmail/config/conf.pl ，選擇“2”“A” “7” “y” 回車“5” “993” “回車” “B” “8” “y” 回車，之后保存退出#service httpd restart測試，不過可能連接過程有點(diǎn)慢Tls連接 七、安裝防范病毒軟件F-Prot Antivirus軟件包安裝和配置過程，可以通過迅雷下載F-Prot Antivirus軟件包，下載地址：安裝F-Prot Antivirus軟件包前，請先啟動(dòng)SpamAssassin服務(wù)器，其中SpamAssassin（SA）是較為流行的反垃圾郵件軟件，SpamAssassin利用Perl語言來對郵件內(nèi)容進(jìn)行規(guī)則匹配，從而達(dá)到判斷過濾垃圾郵件的目的。它的判斷方式是基于評分的方式，也就是說如果這封郵件符合某條規(guī)則，則給與一定分值；當(dāng)累計(jì)的分值超過了一定限度時(shí)，則判定該郵件為垃圾郵件。對Sendmail、Qmail、Postfix和Exim等各種郵件平臺(tái)都適用。SpamAssassin的安裝過程比較簡單。而在RHEL5.0 默認(rèn)已經(jīng)安裝了，如果沒有安裝， spamassassin是（在第二張光盤）#service spamassassin start# rpm -ivh fp-linux-ws.rpm 出現(xiàn)上面的情況，并不是fp-linux-ws.rpm安裝不成功，只是提示不能升級的F-Prot Antivirus病毒庫而已，可以用#rpm q fp-linux-ws查看有沒有安裝了。若以后想對病毒庫進(jìn)行升級，可以輸入如下命令進(jìn)行升級#cd /usr/local/f-prot/tools/#./check-updates.pl由于我這里不能上網(wǎng)，所以升級不了，可以設(shè)定時(shí)間對病毒庫進(jìn)行升級，假如在星期日的5：00定時(shí)對病毒庫進(jìn)行升級方法如下#crontab -u root -e #crontab l u root -可以查看MailScanner軟件包安裝和配置過程 可以先到網(wǎng)上下載mailscanner軟件包，之后進(jìn)行解壓安裝，安裝過程如下：#tar -zxvf MailScanner-4.80.4-1.rpm.tar.gz# cd MailScanner-4.80.4-1 如果不會(huì)安裝，可以閱讀# more README幫助文檔# ./install.sh （執(zhí)行MailScanner軟件的安裝命令）安裝過程如下： 安裝過程時(shí)間比較長，大概要30分鐘左右，可以使安裝在后臺(tái)進(jìn)行#./install.sh &更改incoming、quarantine兩個(gè)目錄相關(guān)用戶和組的使用權(quán)限incomingquarantine修改/etc/MailScanner/目錄下的MailScanner.conf文件#vi /etc/MailScanner/MailScanner.conf 修改/etc/postfix/目錄下的header_checks文件，新增加以下一行內(nèi)容到文件中，詳細(xì)內(nèi)容如下#vi /etc/postfix/header_checks 修改/etc/postfix/目錄下的main.conf文件 停止Postfix服務(wù)器，因?yàn)閱?dòng)MailScanner服務(wù)時(shí)會(huì)自動(dòng)啟動(dòng)Postfix服務(wù)器啟動(dòng)MailScanner服務(wù)器和設(shè)置開機(jī)時(shí)自動(dòng)啟動(dòng)：病毒檢測測試添加附件：H:portfixemail病毒.txt在發(fā)送后查看日志/var/log/maillog 我做的測試不成功，是不是沒有上網(wǎng)更新病毒庫，所以掃不出病毒來？八、自動(dòng)監(jiān)控Postfix郵件服務(wù)器 安裝源代碼軟件包Time-HiRes-1.9721.tar.gz File-Tail-0.99.3.tar.gz rrdtool-1.2.15.tar.gz mailgraph-1.14.tar.gz #tar zxvf Time-HiRes-1.9721.tar.gz#cd Time-HiRes-1.9721#perl Makefile.PL#make #make test#make install#cd .#tar zxvf File-Tail-0.99.3.tar.gz#cd File-Tail-0.99.3#perl Makefile.PL#make #make test#make install#cd .#tar rrdtool-1.2.15.tar.gz#cd rrdtool-1.2.15#./configure#make#make install# make site-perl-install#tar zxvf mailgraph-1.14.tar.gz#cd mailgraph-1.14.tar.gz 修改配置文件/etc/init.d/mailgraph-init#service httpd restart#/etc/init.d/mailgraph-init start在啟動(dòng)mailgrap-init時(shí)，會(huì)遇到上面的錯(cuò)誤；解決方法：修改mailgraph.pl文件，保證RRDs.pm模塊能包含進(jìn)來。打開/usr/local/bin/mailgraph.pl文件，在第二行加上use lib /usr/local/rrdtool-1.2.15/lib/perl/;可以通過命令來查找RRDs.pm模塊#find /usr -name “RRDs.pm” -print再啟動(dòng)mailgraph-init就不會(huì)出現(xiàn)剛才的錯(cuò)誤了可是在訪問會(huì)出現(xiàn)錯(cuò)誤而查看web日志時(shí)，#tail -f /var/log/httpd/error_log，還是出現(xiàn)上面的問題根據(jù)日志，可以看出Cant locate RRDs.pm in INC，而INC是一個(gè)很多路徑的集合，在這些路徑里，都找不到這RRDs.pm，所以解決方法就做一個(gè)軟件鏈接RRDs.pm，具體情況如下：再測試，還會(huì)遇下面的問題，找不到RRDs模塊，即是RRDs.so,找到RRDs.so，再做一個(gè)軟鏈接#service httpd restart再測試，就可以了編輯/var/log/www/cgi-bin/mailgraph.cgi#service httpd restart 在網(wǎng)上查看了一些資料，出現(xiàn)錯(cuò)誤的還有一種情況，就是Cant locate File/Tail.pm in INC，這時(shí)就要上網(wǎng)下載安裝File:Tail,不過前面已經(jīng)安裝了，也可以這樣安裝#cpancpan install Time:HiRescpan install File:Tailcpan exit或者#perl -MCPAN -e shellcpan install File:Tail）九、自動(dòng)向管理員發(fā)送日志分析文件 -參考 安裝postfix-pflogsumm軟件包，如果沒有安裝，可以到第二張光盤里找到，也可以到網(wǎng)上找源代碼。Logrotate是系統(tǒng)自身帶的一個(gè)日志輪循程序，它的執(zhí)行程序所在的目錄是/usr/sbin/logrotate ，是專門對各種系統(tǒng)日志; Red Hat Linux 缺省的crontab 來每天運(yùn)行l(wèi)ogrotate（syslogd，mail）進(jìn)行輪循的程序logrotate 的配置文件是 /etc/logrotate.conf。 主要參數(shù)：compress 通過gzip 壓縮轉(zhuǎn)儲(chǔ)以后的日志nocompress 不需要壓縮時(shí)，用這個(gè)參數(shù)copytruncate 用于還在打開中的日志文件，把當(dāng)前日志并截?cái)鄋ocopytruncate 備份日志文件但是不截?cái)郼reate mode owner group 轉(zhuǎn)儲(chǔ)文件，使用指定的文件模式創(chuàng)建新的日