K1298.qxd
15.5.2006
12:44
StrÆnka 3
OBSAH P¯edbÏûn· doporuËenÌ Knihy o Postfixu O autorech PodÏkov·nÌ Ralf Hildebrandt Patrick Koetter
15 18 18 18 18
O tÈto knize
20
Základy Řízení obsahu Pokročilé konfigurace Optimalizace Postfixu
20 20 20 20
DalöÌ prameny
20
Dokumentace k Postfixu, návody a často kladené otázky Diskusní skupiny
20 20
Konvence v sazbÏ
21
Domény a jména Náš poskytovatel Skripty Komentáře
21 22 22 22
KAPITOLA 1
⁄vod do Postfixu
23 »¡ST I
Z·klady KAPITOLA 2
P¯Ìprava poËÌtaËe a prost¯edÌ JmÈno poËÌtaËe Konektivita TCP port 25
SystÈmov˝ Ëas a ËasovÈ znaËky Syslog Vyhled·v·nÌ jmen (DNS)
27 27 28 28
29 29 31
K1298.qxd
15.5.2006
4
POSTFIX
12:44
StrÆnka 4
DNS pro poötovnÌ servery Záznamy typu A Záznamy typu PTR Záznamy typu MX
Obsah
32 33 33 34
KAPITOLA 3
PoötovnÌ server v samostatnÈ domÈnÏ Minim·lnÌ konfigurace Konfigurace Postfixu Nastavení jmenovky smtpd Nastavení příjmu pošty Připojování domény k odchozím zprávám Přemapování pošty určené uživateli root do jiné schránky Spuštění Postfixu a test doručení uživateli root Mapování e-mailových adres na uživatelská jména Nastavení povolení k předávání e-mailů z určité sítě
35 35 36 36 37 38 38 39 42 43
KAPITOLA 4
P¯ipojenÌ poötovnÌho serveru pro samostatnou domÈnu prost¯ednictvÌm vyt·ËenÈho spojenÌ 45 ZruöenÌ vyhled·v·nÌ DNS NastavenÌ p¯ed·vacÌch opr·vnÏnÌ NastavenÌ p¯ed·vacÌho serveru poskytovatele p¯ipojenÌ PozastavenÌ p¯ed·v·nÌ zpr·v SpuötÏnÌ doruËenÌ zpr·v Konfigurace p¯ed·vacÌch opr·vnÏnÌ pro p¯ed·vacÌ systÈm Ověření POP-before-SMTP Autentizace pomocí protokolu SMTP
47 47 48 48 49 49 50 50
KAPITOLA 5
Anatomie Postfixu DÈmoni v Postfixu Fronty v Postfixu Mapy Typy map Jak hledáme v mapách
ExternÌ zdroje Utility zad·vanÈ na p¯ÌkazovÈm ¯·dku
51 53 57 59 59 62
62 62
K1298.qxd
15.5.2006
12:44
StrÆnka 5
POSTFIX
Obsah postfix postalias postcat postmap postdrop postkick postlock postlog postqueue postsuper
63 63 63 63 64 64 64 65 65 65
»¡ST II
Zpracov·nÌ zpr·v v z·vislosti na jejich obsahu KAPITOLA 6
Slabik·¯ spr·vce poöty Z·klady p¯enosu zpr·v ÿÌzenÌ komunikace SMTP (ob·lka) Zpracov·nÌ obsahu zpr·vy Hlavičky Tělo Přílohy
69 69 70 74 76 77 78
KAPITOLA 7
Jak fungujÌ omezenÌ p¯i p¯enosu zpr·v SpouötÏcÌ mechanismy omezenÌ Typy omezenÌ Všeobecná omezení Přepínatelná omezení Nastavitelná omezení Nevyžádaná komerční nabídka (UCE) Rozsahy omezení
Jak se vytv·¯ejÌ omezenÌ Zápis Kdy se omezení vyhodnocují Vyhodnocení omezení a provedení příslušné akce Zpomalování špatných klientů
T¯Ìdy omezenÌ
81 81 83 83 83 84 85 85
86 86 86 87 88
90
5
K1298.qxd
15.5.2006
6
POSTFIX
12:44
StrÆnka 6
Obsah
KAPITOLA 8
Jak se pouûÌvajÌ omezenÌ Jak se vytv·¯ejÌ a testujÌ omezenÌ Simulace účinků omezení Jak bezprostředně zefektivnit omezení
ImplicitnÌ omezenÌ KorektnÌ chov·nÌ klient˘ Omezení jména systému v příkazu HELO/EHLO Omezení odesilatele Omezení příjemce
Konformnost s protokolem RFC Prázdná adresa odesilatele Zvláštní účty
Po¯adÌ zpracov·nÌ omezenÌ RFC Antispamov· opat¯enÌ Prevence proti padělkům Zfalšované záznamy jmenného serveru Vracení zpráv více příjemcům Černé listiny DNS Ověřování odesilatele Pořadí zpracování omezení
T¯Ìdy omezenÌ
91 91 92 93
93 93 94 96 97
100 100 100
101 102 102 103 105 106 110 113
114
KAPITOLA 9
Jak pracujÌ vestavÏnÈ filtry obsahu Jak pracujÌ filtry? Filtrov·nÌ jednotliv˝ch Ë·stÌ zpr·v Co je na těchto parametrech tak zvláštního?
Kdy se aplikujÌ filtry JakÈ mohou n·sledovat akce
117 117 118 119
120 120
KAPITOLA 10
Jak se pouûÌvajÌ vestavÏnÈ filtry Jakou podporu poskytuje Postfix Jak vytvořit Postfix s podporou PCRE
BezpeËn· implementace filtr˘ Jak se do mapy přidá vzorek s akcí WARN Jak vytvoříme testovací vzorek Nalezne se shoda mezi regulárním výrazem a testovacím vzorkem?
123 123 124
124 125 125 125
K1298.qxd
15.5.2006
12:44
StrÆnka 7
POSTFIX
Obsah Nastavení filtrů v hlavní konfiguraci Testování filtru v běžném provozu
Filtrov·nÌ hlaviËek Odmítnutí zprávy Pozdržení doručení Odstraňování hlaviček Zrušení zprávy Přesměrování zpráv Filtrování zpráv
Filtrov·nÌ hlaviËek typu MIME Filtrov·nÌ hlaviËek v p¯iloûen˝ch zpr·v·ch Filtrov·nÌ tÏla zpr·vy
125 125
126 126 127 127 128 128 128
129 130 130
KAPITOLA 11
Jak pracujÌ externÌ filtry Kdy se m· filtrovat obsah zpr·vy? Přepisování adres
133 134 135
content_filter: nejd¯Ìv fronta, potom filtr
135
Démoni pro předávání zpráv externím filtrům Zásady při konfiguraci filtru content_filter
136 138
smtpd_proxy_filter: nejd¯Ìv filtr, potom fronta Úvahy o proxy-filtrech Základy konfigurace filtru smtpd_proxy_filter
140 140 142
KAPITOLA 12
Jak se pouûÌvajÌ externÌ filtry
143
Jak se ke zpr·v·m p¯ipojuje v˝hrada
143
Instalace alterMIME a vytvoření filtrovacího skriptu Konfigurace Postfixu Definice přenosu Ověření výhrady ve zprávě
Vyhled·v·nÌ vir˘ pomocÌ filtru content_filter a systÈmu amavisd-new Instalace programu amavisd-new Testování amavisd-new Optimalizace programu amavisd-new Konfigurace Postfixu pro použití s programem amavisd-new Testování filtru amavisd-new
Vyhled·v·nÌ vir˘ pomocÌ amavisd-new a proxy-filtru Konfigurace Postfixu s amavisd-new a filtrem smtpd_proxy_filter
145 146 147 149
149 150 151 155 157 160
163 164
7
K1298.qxd
15.5.2006
8
POSTFIX
12:44
StrÆnka 8
Obsah
»¡ST III
PokroËilÈ konfigurace KAPITOLA 13
PoötovnÌ br·ny
169
Z·kladnÌ nastavenÌ
170
Nastavení předávacích práv brány Nastavení předávací domény v bráně Nastavení interního poštovního počítače v bráně Definování příjemců předávání
PokroËilÈ nastavenÌ br·ny Zvýšení bezpečnosti Spolupráce Postfixu a Exchange Serveru firmy Microsoft Konfigurace Exchange Serveru a komunikace s Postfixem
NastavenÌ NAT
170 170 170 171
172 172 174 183
185
KAPITOLA 14
PoötovnÌ server pro nÏkolik domÈn Virtu·lnÌ aliasovÈ domÈny Vytvoření mapy adres příjemců Konfigurace Postfixu pro příjem pošty z virtuálních aliasových domén Test nastavení virtuální aliasové domény Sběrné (catchall) položky
Virtu·lnÌ schr·nkovÈ domÈny
187 187 188 188 189 190
191
Kontrola podpory doručovacího agenta virtual Základní konfigurace Pokročilé konfigurace
192 192 195
Virtu·lnÌ schr·nkovÈ domÈny ¯ÌzenÈ datab·zÌ
199
Ověření podpory MySQL Vytvoření Postfixu s podporou MySQL Konfigurace databáze Test virtuálních schránkových domén řízených databází
200 201 201 207
KAPITOLA 15
Principy autentizace SMTP Architektura a konfigurace systÈmu Cyrus SASL Který přístup je nejlepší?
SASL: Jednoduch· autentizace a bezpeËnostnÌ vrstva
211 211 214
214
K1298.qxd
15.5.2006
12:44
StrÆnka 9
POSTFIX
Obsah Autentizační rozhraní Ověřovací mechanismy SMTP AUTH Autentizační metody (služby pro ověřování hesel) Autentizační procedury
Pl·nov·nÌ autentizace SMTP na stranÏ serveru Nalezení klientů a stanovení ověřovacích mechanismů Definování autentizační procedury a služby pro ověřování hesel
Instalace a konfigurace systÈmu Cyrus SASL Instalace systému Cyrus SASL Vytvoření konfiguračního souboru pro postfixové aplikace Konfigurace hlášení a úrovně hlášení Nastavení služby pro ověřování hesla Výběr ověřovacího mechanismu SMTP AUTH Konfigurace saslauthd Konfigurace pomocných zásuvných modulů (auxprop) Test autentizace Spuštění programu server
Budoucnost SMTP AUTH
215 216 218 218
219 219 220
221 222 223 223 224 224 225 228 233 235
236
KAPITOLA 16
Jak se prov·dÌ autentizace SMTP Jak ovϯÌme podporu SMTP AUTH Jak p¯id·me do Postfixu podporu SMTP AUTH Autentizace SMTP na stranÏ serveru
239 239 240 241
Aktivace a konfigurace serveru Test SMTP AUTH na straně serveru Pokročilá nastavení serveru Omezení okruhu odesilatelů
241 245 248 249
Autentizace SMTP na stranÏ klienta
249
AUTH pro postfixového klienta SMTP Test SMTP AUTH na straně klienta Klient lmtp Omezení lmtp na skupinu autentizačních mechanismů Test SMTP AUTH pro klienta lmtp
250 253 255 255 255
KAPITOLA 17
Co je bezpeËnost transportnÌ vrstvy Z·klady TLS
257 257
Jak funguje TLS
259
Co jsou certifik·ty
259
Jak se vytváří důvěra Která certifikační autorita vyhovuje našim požadavkům?
259 260
9
K1298.qxd
15.5.2006
10
POSTFIX
12:44
StrÆnka 10
Jak se vytvo¯Ì certifik·t Požadované informace Vytvoření certifikátu Distribuce a instalace certifikátu certifikační autority (CA) Podpis serverového certifikátu Příprava certifikátů pro použití v Postfixu
Obsah
260 261 261 262 266 267
KAPITOLA 18
Jak se zajiöùuje bezpeËnost transportnÌ vrstvy 269 OvϯenÌ podpory TLS Vytvo¯enÌ Postfixu s podporou TLS Vytvoření a instalace OpenSSL ze zdrojového kódu Vytvoření Postfixu s TLS
TLS na stranÏ serveru Základní konfigurace serveru Nastavení cesty certifikátu Ladění výkonu serveru Bezpečnostní opatření na straně serveru Přenos na základě certifikátů na straně serveru Konfigurace Postfixu pro klientské certifikáty Zpřísnění režimu Závazné používání TLS Vyžadování klientského certifikátu
TLS na stranÏ klienta Základní klientská konfigurace Selektivní použití TLS Ladění výkonu klienta Zabezpečení klienta SMTP AUTH Předávání na základě certifikátů na straně klienta Zpřísnění režimu na straně klienta
269 271 271 272
273 273 274 279 281 286 287 290 290 290
291 291 294 295 296 296 297
KAPITOLA 19
FiremnÌ poötovnÌ server Z·kladnÌ koncepce Struktura adres·¯e LDAP Výbět atributů v postfixovém schématu Návrh větve Vytváření uživatelských objektů Vytváření objektů typu seznam Přidání atributů pro zbývající servery
Z·kladnÌ konfigurace
299 299 300 301 303 303 305 305
306
K1298.qxd
15.5.2006
12:44
StrÆnka 11
POSTFIX
Obsah Konfigurace Cyrus SASL Konfigurace OpenLDAP Import adresáře Vytvoření konfiguračního adresáře LDAP Konfigurace Courier maildrop Instalace Courier Maildrop Konfigurace Courier IMAP
PokroËilÈ konfigurace
306 307 308 311 317 318 326
330
Rozšíření adresáře Přidání autentizace pro servery Ochrana adresářových dat Šifrování dotazů LDAP Prosazení platné adresy odesilatele Konfigurace omezení smtpd
330 332 337 339 345 346
KAPITOLA 20
Provozov·nÌ Postfixu v uzav¯enÈm prostoru Co se dÏje v uzav¯enÈm prostoru Základní principy nastavení uzavřeného prostoru Technická implementace
Vliv uzav¯enÈho prostoru na Postfix Pomocné skripty pro uzavřený prostor Démoni v uzavřeném prostoru Knihovny, konfigurační soubory a ostatní soubory v uzavřeném prostoru
OmezenÌ v uzav¯enÈm prostoru
349 350 350 351
351 352 352 353
354
»¡ST IV
LadÏnÌ Postfixu KAPITOLA 21
ParalelnÌ zpracov·nÌ vzd·len˝ch klient˘ a omezenÌ rychlosti zad·v·nÌ poûadavk˘ Z·klady omezov·nÌ rychlosti Vytv·¯enÌ statistik Spuštění démona anvil
OmezenÌ Ëetnosti klientsk˝ch spojenÌ OmezenÌ paralelnÌch spojenÌ VynÏtÌ klienta z limitu
359 359 360 360
361 363 365
11
K1298.qxd
15.5.2006
12
POSTFIX
12:44
StrÆnka 12
Obsah
KAPITOLA 22
LadÏnÌ v˝konu
367
Z·kladnÌ ˙kony
367
Zrychlení vyhledávání DNS Není server veden v seznamu otevřených předávání? Odmítání zpráv od neexistujících uživatelů Blokování zpráv ze sítí uvedených na černých listinách Odmítání zpráv z neznámých domén odesilatele Snížení četnosti pokusů o opětovný přenos
Vyhled·v·nÌ ˙zk˝ch mÌst
367 369 369 370 371 371
371
Úzká místa ve frontě maildrop Úzká místa ve frontě deferred Úzká místa ve frontě active Asynchronní nerovnost pro přeplňování front vrácenými zprávami Nouzové předávání
NaladÏnÌ vyööÌ pr˘chodnosti Konfigurace alternativnÌho transportu
374 375 375 377 379
380 380
»¡ST V
P¯Ìlohy KAPITOLA A
Instalace Postfixu
385
Zdrojov˝ kÛd Postfixu
385
Aplikace záplat Vytváření a instalace ze zdrojového kódu Spouštění a ukončování Postfixu
Instalace Postfixu v operaËnÌm systÈmu Linuxu Debian Instalace Postfixu Spouštění a ukončování Postfixu Aktualizace Vytvoření Postfixu ze zdrojového balíku Debian
385 386 386
387 387 388 388 388
Instalace Postfixu v operaËnÌm systÈmu Red Hat Linux
390
Jak získáme Postfix pro systém Red Hat Linux Vytvoření Postfixu na CD Stažení Postfixu ze stránek Red Hat Stahování RPM Postfixu udržovaného Simonem J. Muddem Stahování Postfixu z rpmfind.net Nastavení adresářové struktury a vnější proměnné
390 390 390 391 391 391
K1298.qxd
15.5.2006
12:44
StrÆnka 13
POSTFIX
Obsah Přepnutí do Postfixu Odstranění programu Sendmail Spouštění a ukončování Postfixu v systému Red Hat Linux
393 393 393
PÿÕLOHA B
OdstraÚov·nÌ z·vad v Postfixu ProblÈmy se spouötÏnÌm a se ûurn·lem P¯ipojov·nÌ k Postfixu Ověření sítě Ověření procesu sledování
Spr·vn˝ konfiguraËnÌ soubor Ohlaöov·nÌ problÈm˘ s Postfixem Zv˝öenÌ mnoûstvÌ informacÌ v ûurn·lnÌm souboru Zápis do žurnálu dle klienta Žurnál a qmgr
DalöÌ chyby v konfiguraci Nesn·ze s uzav¯en˝m prostorem ProblÈmy se systÈmem soubor˘ Dûungle v knihovn·ch Nekonzistentnost dÈmon˘
395 395 398 398 399
400 400 401 401 401
402 402 403 404 404
Paralelní bludiště
404
Testov·nÌ z·tÏûe
405
smtp-source smtp-sink Diskové operace
405 405 406
PÿÕLOHA C
Odkaz na Standardy CIDR a SMTP PodsÌtÏ v notaci CIDR KÛdy odpovÏdÌ serveru
409 409 410
SlovnÌk pojm˘
413
Rejst¯Ìk
421
13
