Минимальный почтовый сервер на основе Postfix и Dovecot. Часть 1: Dovecot
Цель: получить минимально работающий почтовый сервер, используя только Postfix и Dovecot, с минимальным изменением настроек по умолчанию. Получить каркас системы, на основе которого можно, в дальнейшем, настраивать спам фильтры, работу с базами данных, LDAP…Почтовая система должна: Поддерживать любое количество доменов и пользователей.
Обслуживать пользователей, не привязанных к локальным учетным записям.
Обеспечивать доступ к почтовым ящикам по протоколам POP3, IMAP с поддержкой TLS.
Обеспечивать отправку и прием писем по протоколу SMTP с поддержкой TLS.
Настройка проводилась в CentOS 6. Postfix 2.6.6, Dovecot 2.0.9. Никакие особенности ОС не применялись.Структура почтовой системыУсловно, почтовые системы можно разделить по методу доступа к почтовым ящикам и списку пользователей.
Классическая почтовая система
Postfix, Dovecot имеют доступ к списку пользователей и работают параллельно, разделяя доступ к почтовым ящикам пользователей.
Упрощенная почтовая система
Dovecot является «бэкендом» для доступа к почтовым ящикам пользователей. При этом подходе, расположение почтовых ящиков, список пользователей, известен только Dovecot. Именно этот подход мы будет использовать для достижения нашей цели.
Основные плюсы классической системы по сравнению с упрощенной: Производительность. Postfix имеет доступ к почтовым ящикам и может быстрее и проще, нежели во втором случае, доставить почту непосредственно пользователю.
Независимость частей системы друг от друга. В случае отключения Dovecot, Postfix продолжит свою основную функцию — принимать письма.
Основные недостатки классической системы по сравнению с упрощенной: Формат почтовых ящиков должен быть понятен обеим программам.
Необходимо синхронизировать доступ к почтовым ящикам.
Безопасность. Необходимы дополнительные полномочия для Postfix. Postfix должен иметь прямой доступ к почтовым ящикам и списку пользователей.
Настройка и сопровождение немного сложнее.
Dovecot
Несмотря на то, что Dovecot является ядром системы, выполняющим много функций. Его настройка не должна вызвать, каких-либо затруднений. Возможно, это связано с тем, что Dovecot имеет дело только с аутентифицированными клиентами, что нельзя сказать про Postfix. Имена будем задавать в формате username@domainname.Создадим пользователя «vmail» для хранения почты, без «шелл» доступа, но с домашней папкой »/home/vmail».
Настроим аутентификацию.
auth_mechanisms = plain login
(login это тот же plain, но для Outlook)
mail_gid = vmail
mail_uid = vmail
Ограничение передачи пароля только после установки TLS соединения, выполняется в Dovecot по умолчанию и не требует дополнительных настроек. Так как мы будем использовать TLS, никаких других механизмов аутентификации нам не нужно, только PLAIN. Самоподписанный сертификат, в CentOS, создается при установке Dovecot в папке, /etc/pki/dovecot/certs/, воспользуемся пока им, для настройки TLS.Хочу обратить ваше внимание на один важный момент. Нужно различать, механизм аутентификации от метода хранения аутентификационных данных. Хотя эти два понятия могут называться одинакого, это две разные вещи. Подробности здесь и здесь.
Настроим, где будем хранить почтовые ящики пользователей.Для каждого виртуального пользователя задаем домашнюю папку в формате — /home/vmail/domain/username,
mail_home = /home/vmail/%d/%n
и местоположение почты в домашней папке — /home/vmail/domain/username/Maildir,
mail_location = maildir:~/Maildir
Формат почтовых ящиков Maildir выбран для упрощения перехода к классической системе, в случае необходимости, т.к. Postfix поддерживает Maildir. Но если вы не планируете возврат к классической системе, можно выбрать любой формат почтовых ящиков поддерживаемый Dovecot.
Следующие две директивы задают, где и как Dovecot будет искать имена и пароли пользователей.
userdb {
args = username_format=%u /etc/dovecot/users
driver = passwd-file
}
passdb {
args = scheme=ssha512 username_format=%u /etc/dovecot/users
driver = passwd-file
}
Мы использовали для этого файл, /etc/dovecot/users, имеющий формат стандартного файла паролей /etc/passwd.Пример файла паролей (пароль обрезан):
user1@example1.com:{SSHA512}2YT51xuhilbvb4vYRIb1oj1EvrKFszhf2MNw=:::user3@example3.com:{SSHA512}GdBv9GEE1rfFpd4+fzXS+UKh4×6gTpTaH4=:::
Для безопасности, мы не храним пароли пользователей в открытом виде, а храним их подсоленные SHA512. Для заполнения файла »/etc/dovecot/users», будем использовать этот скрипт с двумя параметрами, именем пользователя и паролем пользователя.
#!/bin/sh
echo $1:$(doveadm pw -s ssha512 -p $2):::>> /etc/dovecot/users
Настроим сервисы для связи с Postfix.Для поиска имен пользователей и SASL аутентификации.
service auth {
unix_listener /var/spool/postfix/private/auth {
group = postfix
mode = 0660
user = postfix
}
unix_listener auth-userdb {
mode = 0600
user = vmail
}
}
Для доступа к почтовым ящикам пользователей.
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
group = postfix
mode = 0600
user = postfix
}
user = vmail
}
protocol lmtp {
postmaster_address = postmaster@example1.ru
}
Более подробно можно почитать: здесь про LMTP, здесь про LMTP и Postfix, а здесь про SASL.
Итоговый «devconf –N»:
# 2.0.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32–504.16.2.el6.x86_64×86_64 CentOS release 6.6 (Final)
auth_mechanisms = plain login
mail_gid = vmail
mail_home = /home/vmail/%d/%n
mail_location = maildir:~/Maildir
mail_uid = vmail
mbox_write_locks = fcntl
passdb {
args = scheme=ssha512 username_format=%u /etc/dovecot/users
driver = passwd-file
}
service auth {
unix_listener /var/spool/postfix/private/auth {
group = postfix
mode = 0660
user = postfix
}
unix_listener auth-userdb {
mode = 0600
user = vmail
}
}
service lmtp {
unix_listener /var/spool/postfix/private/dovecot-lmtp {
group = postfix
mode = 0600
user = postfix
}
user = vmail
}
ssl_cert =
