Postfix a sasl dovecot autentizace

Postfix a sasl dovecot autentizace

Postfix a autentizace

Protože je to sice děsně jednoduché, ale spousta lidiček nepochopila onu jednoduchost, raději zahájím takový maličkatý seriál ohledně MX serveru s virtuálním uživatelem, antispamem a tak podobně.

Začnu trochu z kraje a to konfigurací postfixu tak, aby byl schopen ověřit uživatele přes sasl. Zatímco v dobách dřívějších se toto řešilo pomocí saslauthd daemona, který trpěl mnoha neduhy, jako například memory leaks, nebo záhadnou nespoluprací s pam.d a mysql, kterou řešil jedině jeho restart, přišli vývojáři postfixu a dovecotu se super myšlenkou autentizací spojit tyto dva programy poněkud „těšněji“ k sobě.

Instalace balíků

Tedy, potřebujeme instalované základní balíky (uvažuji i pop3)

apt-get install postfix dovecot-imapd dovecot-pop3d

Vlastní konfigurace postfixu a dovecotu

Následně upravíme dovecot:
/etc/dovecot/conf.d/10-auth.conf:

disable_plaintext_auth = no
auth_mechanisms = plain login

/etc/dovecot/conf.d/10-master.conf:

unix_listener /var/spool/postfix/private/auth {
user = postfix
group = postfix
mode = 0666
}

a postfix:
/etc/postfix/main.cf:

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
broken_sasl_auth_clients = yes

smtpd_recipient_restrictions =
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination

Něco na závěr

A teď trocha povídání k úpravám – opětovně zapnout plain text autentifikaci pomocí disable_plaintext_auth je sice prasárna, ale narovinu říkám, že dodnes existuje mraky zařízení a klientů, kteří si prostě s ne-plain text neporadí. auth_mechanisms nám říká, které mechanismy ověřování lze vůbec použít. Existuje jich celá řada, nicméně i vzhledem k následným plánům pro využití databáze si postačíme s plain a login. Popravdě i ten login bych nejraději neviděl, ale třeba takový iOS emailový klient nebyl stavu rozdýchat plain mechanismus (autentizace vůči imapu).

Další řádky v dovecot konfiguraci nám už jen poskytnou listener tedy vlastní socket pro postfix, který se touto cestou bude ověřovat vůči dovecotu.

V konfiguraci postfixu snad ani není potřeba nic vysvětlovat. Rozhodně si ale dejte pozor na to, co máte v mynetworks, protože i sebelépe nastavené autentifikace je k ničemu, pokud svět dáte do mynetworks.

Docela určitě se vyplatí prostudovat si manuálové stránky postfixu a dovecotu:
http://www.postfix.org/postfix-manuals.html
http://wiki.dovecot.org/

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *