Serwer pocztowy -> Część 3. Autoryzacja, szyfrowanie, restrykcje

---

Dodał / zmodyfikował: pkania, w dniu:2015-08-28

---

Uwaga ! Zawarte poniżej konfiguracje należy bezwzględnie wykonać przed wystawieniem naszego serwera pocztowego na "świat". Dopiero ta konfiguracja pozwala nam uzyskać serwer, który nie będzie open-relay !

1) Autoryzacja poczty wychodzącej (SASL - Simple Authentication and Security Layer).
Autoryzacja SASL to zabezpieczenie, które uniemożliwia wysyłkę poczty bez uprzedniej autoryzacji użytkownika.

Konfigurację autoryzacji poczty wychodzącej zaczynamy od edycji pliku konfiguracyjnego MDA Dovecota.
a) do pliku vi /etc/dovecot/dovecot.conf (na końcu) dodaj następującą sekcję:
service auth {
  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
  mode = 0666
  user = postfix
  group = postfix
  }
}

b) restart Dovecota: service dovecot restart

Następnie wskażemy naszemu MTA (Postfix-owi), aby autoryzacja następowała przy użyciu Dovecot-a.

c) Dopisz poniższe dyrektywy do pliku vi /etc/postfix/main.cf
smtpd_sasl_auth_enable = yes # włączenie autoryzacji
smtpd_sasl_type = dovecot # korzystaj z dovecot-a
smtpd_sasl_path = private/auth # sposób autoryzacji
broken_sasl_auth_clients = yes # dostęp dla "starszych" klientów pocztowych (opcjonalnie ponieważ dotyczy np. outlook wer. 4)
smtpd_sasl_security_options = noanonymous # nie przyjmuj podczas autoryzacji opcji anonymous
smtpd_sasl_local_domain = $mydomain, $myhostname # autoryzacja wymagana przy wysyłaniu wiadomości z wymienionych domen. Parametr pusty oznacza autoryzację wszystkich domen które są obsługiwane przez ten serwer.

d) restart Postfix-a: service postfix restart

Weryfikacja dokonanej konfiguracji.
Aby dokonać weryfikacji naszych ustawień nawiążemy sesję telnet-ową:

telnet localhost 25
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 SMTP server
ehlo localhost
250-mail.pup-miechow.pl
250-PIPELINING
250-SIZE
250-ETRN
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

Te dwa wyróżnione kolorem wpisy mówią, że autoryzacja poczty wychodzącej została skonfigurowana poprawnie (Postfix korzysta z SASL).
W tym miejscu należy nadmienić, że w tym momencie połączenie pomiędzy klientem a serwerem nie jest szyfrowane ! więc możliwe jest np. przechwycenie hasła. Aby uniemożliwić przechwytywanie haseł musimy szyfrować ponadto samą komunikację klienta z serwerem. Zrobimy to w kolejnym punkcie.

2) Uruchomienie TLS (Transport Layer Security - rozwinięcie ptotokołu SSL).
Zajmiemy się teraz konfiguracją połączenia szyfrowanego pomiędzy klientem a serwerem. W ten sposób wszystkie dane przesyłane podczas komunikacji klienta z naszym serwerem zostaną zaszyfrowane, przez co uniemożliwimy odczytanie ew. przechwyconego hasła oraz innych informacji.

a) do pliku vi /etc/postfix/main.cf dopisz następujące dyrektywy:
smtpd_use_tls = yes # włącz TLS
smtpd_tls_cert_file = /etc/dovecot/ssl/certyfikat.pem # ścieżka do pliku z certyfikatem
smtpd_tls_key_file = /etc/dovecot/ssl/klucz.pem # ścieżka do pliku z kluczem

b) restart Postfixa: service postfix restart

Aby dokonać weryfikacji naszych ustawień nawiążemy ponownie sesję telnet-ową:
telnet localhost 25
Trying ::1...
Connected to localhost.
Escape character is '^]'.
220 SMTP server
ehlo localhost
250-mail.pup-miechow.pl
250-PIPELINING
250-SIZE
250-ETRN
250-STARTTLS
250-AUTH PLAIN
250-AUTH=PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

Wpis wyróżniony kolorem mówi, że TLS zostało włączone.

c) dodatkowo możesz ustawić dla Postfix-a opcję smtpd_tls_auth_only = yes
Wtedy autoryzacja będzie mogła przebiegać tylko za pośrednictwem TLS. Z sesji telnet znikną wtedy wpisy AUTH PLAIN.

Pomimo poprawnego wyniku powyższego testu (wpis STARTTLS) w logach /var/log/mail podczas uruchamiania Postfix-a pojawiają się wpisy:
2015-08-21T11:30:11.351108+02:00 mail postfix/smtpd[1662]: warning: connect to private/tlsmgr: No such file or directory
2015-08-21T11:30:12.356842+02:00 mail postfix/smtpd[1662]: warning: connect to private/tlsmgr: No such file or directory
2015-08-21T11:30:12.357307+02:00 mail postfix/smtpd[1662]: warning: problem talking to server private/tlsmgr: No such file or directory
2015-08-21T11:30:12.357852+02:00 mail postfix/smtpd[1662]: warning: no entropy for TLS key generation: disabling TLS support

Jak wskazują powyższe logi musimy podczas startu uruchamiać dodatkowo tlsmgr.

d) edytujmy więc plik vi /etc/postfix/master.cf i odkomentujmy / dodajmy następującą linię:
tlsmgr    unix  -       -       n       1000?   1       tlsmgr

e) restartujemy postfix-a service postfix restart i od tej pory wszystko powinno działać poprawnie.

3) Definiujemy podstawowe restrykcje serwera Postfix [ teoria w tym artykule ]:

a) dodajemy następujące wpisy do pliku vi /etc/postfix/main.cf :
smtpd_sender_restrictions = hash:/etc/postfix/moja_black_lista, reject_unauth_pipelining, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unknown_address, permit
smtpd_helo_required = yes
smtpd_helo_restrictions = reject_unauth_pipelining, reject_invalid_helo_hostname, permit
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_invalid_hostname, reject_unauth_pipelining, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client zen.spamhaus.org, reject_rbl_client dnsbl.sorbs.net, reject_rhsbl_client blackhole.securitysage.com, reject_rhsbl_sender blackhole.securitysage.com, permit

---