Triển khai máy chủ mail, Giải pháp bảo mật

Install Postfix SMTP SSL Certificate

ITtoday.vn – Trong hướng dẫn này, bạn sẽ tìm hiểu về Cài đặt SSL Certificate (Giấy chứng nhận an toàn máy chủ) để bảo đảm thông tin liên lạc giữa Postfix máy chủ SMTP và mail client như Outlook hoặc Thunderbird.

Install Postfix SMTP SSL CertificateBạn cần phải tạo ra một giấy chứng nhận CSR cho CA, để sử dụng với Postfix của bạn mail server . Hướng dẫn này instuctions được kiểm tra trong:

Redhat doanh nghiệp Linux 5

CentOS 5 máy chủ

FreeBSD 7 máy chủ

Thủ tục cho việc tạo ra một CSR trên Postfix MTA là giống như máy chủ web. Bạn cần phải sử dụng OpenSSL là một bộ công cụ mã hóa thực hiện Secure Sockets Layer (SSL v2/v3) và Transport Layer an ninh (TLS v1) giao thức mạng và các tiêu chuẩn liên quan đến mật mã trong Linux / Unix. Cấu hình Postfix SSL SMTP bạn cần 3 file

  • Khóa riêng được tạo ra sử dụng bước # 1
  • Tập tin chứng chỉ của bạn. CRT (nó sẽ được gửi bởi CA)
  • CA giấy chứng nhận

Chúng ta hãy xem làm thế nào để tạo ra giấy chứng nhận cho Postfix máy chủ SMTP gọi  smtp.theos.in .

Bước 1: Tạo một CSR và khóa riêng cho Postfix SMTP

Gõ lệnh để tạo ra một CSR SSL cho một máy chủ mail được gọi là smtp.theos.in:

# Mkdir / etc / postfix / ssl
# cd / etc / postfix / ssl
# openssl req-new-nút-keyout smtp.theos.in.key ra smtp.theos.in.csr

Quan trọng nhất là  tên thường gọi , trong ví dụ của chúng tôi nó được thiết lập để smtp.theos.in. Cho tên gọi chung, bạn nên nhập Địa chỉ email đầy đủ máy chủ của trang web của bạn.

Mẫu đầu ra:

Tạo ra một RSA 1024 bit khóa riêng
……….. + + + + + +
…………………… + + + + + +
viết khóa riêng mới để ‘smtp.theos.in.key’
—–
Bạn đang về để được yêu cầu nhập thông tin sẽ được kết hợp
vào yêu cầu chứng chỉ của bạn.
Những gì bạn đang bước vào là những gì được gọi là một tên sắc hoặc một DN.
Có một vài lĩnh vực nhưng bạn có thể để lại một số trống
Đối với một số lĩnh vực sẽ có một giá trị mặc định,
Nếu bạn nhập ‘.’, Lĩnh vực này sẽ được để trống.
—–
Tên quốc gia (2 lá thư code) [AU]: TRÊN
Nhà nước hoặc tỉnh Name (tên đầy đủ) [Một số quốc]: MHA
Địa phương Tên (ví dụ, thành phố) []: Pune
Tên tổ chức (ví dụ, công ty) [Internet Widgits Pty Ltd ]: NIXCRAFT TNHH
tổ chức Đơn vị Tên (ví dụ, phần) []: ITDEPT
Tên thông thường (ví dụ, tên BẠN) []: smtp.theos.in
Địa chỉ Email []: ssladmin@staff.theos.in
Xin vui lòng nhập các ‘thêm’ thuộc tính sau
được gửi với yêu cầu chứng chỉ của bạn
Một thách thức mật khẩu []: MYPASSWORD
Một tên công ty tùy chọn []: NIXCRAFT TNHH

Bước 2: Gửi CSR đến CA

Bây giờ là một trách nhiệm xã hội được tạo ra. Tất cả bạn phải làm là sao chép và dán nội dung của file CSR vào các nhà cung cấp chứng chỉ SSL (hay còn gọi là CA) tài khoản. Không bao giờ bao giờ đưa ra khóa riêng của bạn hoặc giấy chứng nhận cho bất cứ ai. Sau khi xác minh, bạn sẽ nhận được một file zip có giấy chứng nhận.

Bước 3: Cài đặt chứng chỉ SSL của bạn

Giải nén tập tin tải lên và giấy chứng nhận cho / etc / postfix / thư mục ssl.

Bước 4: Cấu hình Postfix SMTP cho chứng chỉ SSL

Postfix mở tập tin cấu hình SMTP và thêm chỉ thị sau đây:

smtpd_use_tls = có
smtpd_tls_auth_only = có
smtpd_tls_key_file = / etc / postfix / ssl / smtp.theos.in.key
smtpd_tls_cert_file = / etc / postfix / ssl / smtp.theos.in.crt
smtpd_tls_CAfile = / etc / postfix / ssl / caroot.crt
smtpd_tls_loglevel = 1

smtpd_tls_received_header = có
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev :/ dev / urandom

Lưu và đóng file. Khởi động lại hoặc tải lại postfix

# Postfix tải lại.
hoặc # / etc / init.d / postfix restart

Lưu ý tôi có SASL cấu hình như sau trong main.cf:

smtpd_sasl_auth_enable = có
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks check_relay_domains
smtpd_delay_reject = có
broken_sasl_auth_clients = có

Kiểm tra Postfix TLS (SSL)

Để kiểm tra các TLS, chỉ thâm smpt.theos.in trên cổng 25 (bạn phải xem STARTTLS và dòng AUTH):

$ Telnet smpt.theos.in 25

Sản lượng:

Cố gắng 202.54.221.5 …
Kết nối với smtp.theos.in.
Escape nhân vật là ‘^]’.
220 smtp.theos.in ESMTP Postfix
ehlo smtp.theos.in
250-smtp.theos.in
250-PIPELINING
250-SIZE 10.240.000
250-ETRN
250 – STARTTLS
250 – AUTH LOGIN ĐỒNG BẰNG
250-AUTH = ĐỒNG BẰNG Đăng nhập
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

Và gửi tập tin đăng nhập …

# Tail-f / var / log / maillog
ra:

12 tháng 7 14:25:10 smtp postfix / smtpd [28.817]: kết nối từ chưa biết [84.167.114.61]
12 tháng 7 14:25:11 smtp postfix / smtpd [28.817]: thiết lập kết nối TLS từ chưa biết [84.167.114.61]
12 tháng 7 14:25:11 smtp postfix / smtpd [28.817]: kết nối TLS thành lập từ chưa biết [84.167.114.61]: TLSv1 với mật mã DHE-RSA-AES256-SHA (256/256 bit)
12 tháng 7 14:25:12 smtp postfix / smtpd [28.817]: B3A0A9D8443: khách hàng = không rõ [84.167.114.61], sasl_method = đồng bằng, sasl_username = user1@theos.in
12 tháng 7 14:25:13 smtp postfix / dọn dẹp [28.807]: B3A0A9D8443: tin nhắn-id = <46968015,50400 @ theos.in>
12 tháng 7 14:25:13 smtp postfix / qmgr [28806]: B3A0A9D8443: từ =, kích thước = 632, nrcpt = 1 (hàng đợi hoạt động)
12 tháng 7 14:25:14 smtp postfix / smtpd [28.817]: ngắt kết nối từ chưa biết [122.167.114.61]
12 tháng 7 14:25:14 smtp postfix / smtp [28.821]: B3A0A9D8443: để =, tiếp sức = aspmx.l.google.com [209.85.163.27]: 25, chậm trễ = 2,1, sự chậm trễ = 1.5/0/0.13/0.49 , DSN = 2.0.0, tình trạng = gửi (250 2.0.0 OK 1184268314 n29si21297786elf)
12 tháng 7 14:25:14 smtp postfix / qmgr [28806]: B3A0A9D8443: loại bỏ
Máy chủ thư Postfix tạo các chứng chỉ SSL tự gán
Sử dụng tài liệu này, / hướng dẫn để nếu bạn cần, để tạo các chứng chỉ SSL tự ký trên Cent OS / Redhat Linux (RHEL 4/5) Chuyển đến / tmp thư mục

cd / tmp
mkdir cấu hình
cd cấu hình
mkdir certs crl newcerts tin
echo “01”> nối tiếp
cp / dev / null index.txt
cat / usr / share / ssl / openssl.cnf | sed-e ‘.. s / \ \ / demoCA / \ /’> openssl.cnf

Tạo ra một CA mới

openssl req-new-x509-keyout tin / cakey.pem ra CAcert.pem-365-config openssl.cnf
Cert yêu cầu dấu

openssl req-nút-new-x509-keyout newreq.pem ra newreq.pem-365-config openssl.cnf
openssl x509-x509toreq-trong-newreq.pem signkey newreq.pem ra tmp.pem
Giấy chứng nhận đăng xuất

openssl ca-cấu hình openssl.cnf-chính sách policy_anything-ra-newcert.pem infiles tmp.pem
Bây giờ sao chép CERT

cp CAcert.pem / usr / share / ssl / certs
grep-B 100 “END RSA PRIVATE KEY” newreq.pem> / usr / share / ssl / certs / key.pem
chmod 400 / usr / share / ssl / certs / key.pem
cp newcert.pem / usr / share / ssl / certs / cert.pem
Mở / etc / postfix / main.cf và thêm hoặc sửa đổi cấu hình như sau:

# # # # SASL bit # # # #
smtpd_sasl_auth_enable = có
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous

# # Sau đây cho phép bất cứ ai trong mynetworks, hoặc bất cứ ai có thể xác nhận, gửi thư qua máy chủ này
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination, permit_mynetworks check_relay_domains
smtpd_delay_reject = có

# # Này là cần thiết đối với một số khách hàng email
broken_sasl_auth_clients = có

# # # # TLS bit # # # #
smtpd_tls_auth_only = không
smtp_use_tls = có
smtpd_use_tls = có
smtp_tls_note_starttls_offer = có

# # Vị trí quan trọng, CERT và CA-CERT.
# # Những tập tin này cần phải được tạo ra sử dụng openssl

smtpd_tls_key_file = / usr / share / ssl / certs / key.pem
smtpd_tls_cert_file = / usr / share / ssl / certs / cert.pem
smtpd_tls_CAfile = / usr / share / ssl / certs / CAcert.pem

smtpd_tls_loglevel = 1
smtpd_tls_received_header = có
smtpd_tls_session_cache_timeout = 3600s
tls_random_exchange_name = / var / run / prng_exch
tls_random_source = dev :/ dev / urandom
tls_smtp_use_tls = có
ipv6_version = 1.25
Hãy chắc chắn rằng bạn có cyrus-sasl cài đặt

yum install cyrus-sasl
(Hoặc)
up2date cyrus-sasl dovecot
Mở / etc / dovecot.conf và cho phép an toàn IMPA và pop3

Tạo người sử dụng cho mỗi người dùng mail:

saslpasswd2-c đá
Cho phép postfix để đọc tập tin mật khẩu cyrus-sasl

chown: postfix / etc/sasldb2
Hãy chắc chắn rằng / usr/lib/sasl2/smtpd.conf trông giống như như sau:

pwcheck_method: auxprop
Khởi động lại Postfix và Cyrus:

/ Etc / init.d / khởi động lại saslauthd
/ Etc / init.d / postfix restart
Khởi động lại / etc / init.d / dovecot
Chạy ntsysv và cho phép tất cả các dịch vụ khi khởi động

ntsysv
Kiểm tra tất cả mọi thứ đang làm việc

telnet server-ip 25
telnet server-ip 143
telnet server-ip 110
netstat-Tulp
Hãy chắc chắn rằng tất cả các cổng email được mở từ iptables cũng mở / etc / sysconfig / iptables:

/ Etc / init.d / iptables lưu
vi / etc / sysconfig / iptables
Thêm các quy tắc đó cho phép incomming cổng 25.143.110

-A INPUT-i eth1-p tcp-m tcp – dport 25-j ACCEPT
-A INPUT-i eth1-p tcp-m tcp – dport 110-j ACCEPT
-A INPUT-i eth1-p tcp-m tcp – dport 143-j ACCEPT
Hãy chắc chắn rằng bạn thực hiện thay đổi theo thiết lập của bạn.

/ Etc / init.d / iptables khởi động lại

 

Hãy liên hệ với chúng tôi:

ITtoday

VP Miền Bắc: Số 47 – Ngõ 207 Xuân Đỉnh – Q.Bắc Từ Liêm – TP.Hà Nội – ĐT: 097 383 6600
VP Miền Nam: 53/21 Đường 18, Khu phố 5, Phường Ninh Chung,  Quận Thủ Đức, TP Hồ Chí Minh. – ĐT: 0976.413.635
Email: itotdayvn@gmail.com
Website: www.ittoday.vn

Chúc các bạn thành công!