Мы — долго запрягаем, быстро ездим, и сильно тормозим.

Авторы
История сайта
Статистика
Архив
  CVSup
  EXIM & courier-imap
  postfix & courier-imap
  SQUID
  SAMBA
  IPsec
  C-ICAP
  exim & dbmail
  vpnd
  Samba как PDC
  pureftpd
  diskless
  gmirror
  SAMBA + LDAP
  IPSEC
  SAMBA+ACL
  Lightsquid
  LiveCD (+restore)
  1С:Предприятие 8.2
Карта сайта
поисковые слова
Личные настройки
Реклама
Друзья сайта


www.lissyara.su —> главная —> Архив —> postfix & courier-imap

Настройка почтового сервера на базе postfix

Автор: lissyara.


Эта статья в архиве. Postfix`ом я больше не пользуюсь, новых не будет. Используйте exim :))

   MTA postfix - был создан как альтернатива sendmail, типа более простой, более шустрый и защищённый. Также в нём был отказ от монолитной структуры - он представляет собой много мелких программ занимающихся разными делами. Отличие от qmail состоит в том, что эти программы не умирают, выполнив порученное задание, а продолжают висеть в памяти. Это позволяет экономить ресурсы на запуск-убиение программ. Всё это, в том числе и структура postfix детально рассмотрено на его сайте, а на русском языке это можно найти тут.
   Я на postfix пересел после sendmail, с которым довольно долго колупался пытаясь сделать на нём виртуальные домены, а в итоге просто плюнул и всё. Кроме поддержки виртуальных доменов postfix порадовал грамотным WEB-интерфейсом, такого у других почтовиков просто нет :(. А жаль... (просто в итоге я-то пользуюсь exim :)) А вот из плохого у него - кривая авторизация пользователей при отправке писем, куча конфигурационных файлов, пусть и с понятым и простым синтаксисом.
   Итак, начало обычное - обновляем порты и поехали. Для начала ставим MySQL нужной нам (читать как Вам) версии, я пользуюсь 4.0:
/root/>cd /usr/ports/databases/mysql40-server
/usr/ports/databases/mysql40-server/>make && make install && make clean

После чего добавляем строчку в /etc/rc.conf и запускаем mysqld.
/usr/ports/databases/mysql40-server/>echo 'mysql_enable="YES"' >> /etc/rc.conf
/usr/ports/databases/mysql40-server/>cd /usr/local/etc/rc.d
/usr/local/etc/rc.d/>./mysql-server.sh start
Starting mysql.
/usr/local/etc/rc.d/>ps -ax | grep sql
54603  p1  S      0:00.02 /bin/sh /usr/local/bin/mysqld_safe --defaults-
54620  p1  S      0:02.54 /usr/local/libexec/mysqld --defaults-extra-fil
54622  p1  DL+    0:00.00 grep sql
/usr/local/etc/rc.d/>

Если для редактирования файлов будете пользоваться такими же извращёнными методами что и я (это про echo 'mysql_enable="YES"' >> /etc/rc.conf), то аккуратней с угловыми скобками - если поставить одну, а не две, то строка будет не дописана в файл, а заменит содержимое файла (короче с одной скобкой в файле тока строка про майскул_енаблед и останется :)). Лучше пользуйтесь ее.
   Дальше собираем phpMyAdmin (в общем-то он не нужен ,но я им пользуюсь, да и при установке он тащит с собой apache, php, и прочие необходимые вещи :))
/usr/local/etc/rc.d/>cd /usr/ports/databases/phpmyadmin
/usr/local/ports/phpmyadmin/>make && make install && make clean

Оставляем все опции по-умолчанию, у меня получилось (список того что я "выбрал"):
bzip2 library support
GD library support
OpenSSL support
PDFlib  support
ZLIB support
MCrypt library support
Multi-byte character-set string support

За собой он тащит apache1.3 и php4. Для php выбираем:
Enable zend multibyte support
Build static OpenSSL extension

Для php4-gd выбираем всё, кроме поддержки японских шрифтов :), т.е.:
Include T1lib support
Enable TrueType string function

В опциях для php4-mpstring выбираем:
Enable multibyte regex support
А вот полный список того, что он за собой потащщит(для версии phpMyAdmin-2.6.4.r1):
php4-bz2-4.4.0
php4-zlib-4.4.0
libiconv-1.9.2_1
php4-mbstring-4.4.0
mysql-client-4.0.25
php4-mysql-4.4.0
autoconf-2.59_2
bison-1.75_2,1
gettext-0.14.5
gmake-3.80_2
imake-4.5.0
libltdl-1.5.20
libtool-1.5.20
m4-1.4.3
p5-gettext-1.03
php4-pcre-4.4.0
pkgconfig-0.17.2
t1lib-5.0.1,1
jpeg-6b_3
php4-gd-4.4.0
png-1.2.8_2
php4-4.4.0
help2man-1.35.1
freetype2-2.1.10_1
pdflib-6.0.2
pecl-pdflib-2.0.4
libmcrypt-2.5.7_1
php4-mcrypt-4.4.0
rc_subr-1.31_1
expat-1.95.8_3
apache-1.3.33_2
fontconfig-2.2.3,1
XFree86-libraries-4.5.0

Редактируем /usr/local/etc/apache/httpd.conf. Особо там нечего редактировать, если не собираетесь поднимать полноценный http-сервер. Если только для себя, тогда меняем эти пункты:
# интерфейс, на котором работать. 
#Если все интерфейсы, то - *
BindAddress 192.168.0.254

#И добавляем альяс на папку phpMyAdmin
    Alias /phpMyAdmin/ "/usr/local/www/phpMyAdmin/"

    <Directory "/usr/local/www/phpMyAdmin">
        Options Indexes FollowSymlinks MultiViews
        AllowOverride AuthConfig
        Order deny,allow
        Allow from all
    </Directory>

Создаём файл паролей, и файл с пользователями (чтобы кто попало не шарился по этой папке) для апача:
/usr/local/etc/rc.d/>cd /usr/local/www/
/usr/local/www/>htpasswd -bc .htpasswd lissyara my_password
Adding password for user lissyara
/usr/local/www/>htpasswd -b .htpasswd vasya_pryanikow vasin_password
Adding password for user vasya_pryanikow
/usr/local/www/>cat .htpasswd
lissyara:xrQpFTJSERWNY
vasya_pryanikow:kVrHSjsKfSDi.
/usr/local/www/>cd phpMyAdmin
/usr/local/www/phpMyAdmin/>cat > .htaccess
AuthName "Admin`s level :)"
AuthType Basic
AuthUserFile /usr/local/www/.htpasswd
Require valid-user

^C

Вкратце, о проделанных действиях - создали файл паролей, одновременно внеся туда пользователя lissyara с паролем my_password, затем добавили vasya_pryanikow с паролем vasin_password. Создали файл .htaccess - там прописали необходимость авторизации и путь до файла с паролями.
Добавляем apache_enable="YES" в rc.conf, и запускаем апача:
/usr/local/www/phpMyAdmin/>echo 'apache_enable="YES"' >> /etc/rc.conf
/usr/local/www/phpMyAdmin/>../../etc/rc.d/apache.sh start
Starting apache.
[Thu Sep  8 10:07:06 2005] [alert] httpd: Could not determine the server's 
fully qualified domain name, using 192.168.0.254 for ServerName
/usr/local/www/phpMyAdmin/>

У меня он ругнулся на жизнь - я не прописал DNS :) Ну и пробуем зайти по сети на него - http://192.168.0.254/phpMyAdmin/ (завершающий слэш обязателен, без него ругнётся что ненайдено). После чего даём пароль руту, правим /usr/local/www/phpMyAdmin/config.inc.php (заносим туда пароль root).
   Ставим postfix:
/usr/local/www/phpMyAdmin/>cd postfix
/usr/ports/mail/postfix/>cd /usr/ports/mail/postfix
/usr/ports/mail/postfix/>make && make install && make clean

Выбираем: MySQL map lookups и VDA (Virtual Delivery Agent). Если надо что-то ещё - выбирайте, а я не магистральный майлер поднимаю :) Потом будет следующий вопрос:
Added user "postfix".
You need user "postfix" added to group "mail".
Would you like me to add it [y]? 
 

- говорим y, следующий вопрос:
Would you like to activate Postfix in /etc/mail/mailer.conf [n]? y

- тоже соглашаемся. Потом быренько вверх проскакивает инструкция что делать дальше, я первый раз прошляпил, и долго ковырялся над простыми вещами :(
If you have postfix configured in your /etc/mail/mailer.conf (answered yes to
the previous question) and would like to enable postfix to start at boot time,
please set these variables in your /etc/rc.conf file:

sendmail_enable="YES"
sendmail_flags="-bd"
sendmail_pidfile="/var/spool/postfix/pid/master.pid"
sendmail_procname="/usr/local/libexec/postfix/master"
sendmail_outbound_enable="NO"
sendmail_submit_enable="NO"
sendmail_msp_queue_enable="NO"

This will disable Sendmail completely, and allow you to use /etc/rc.d/sendmail
to start and stop postfix (FreeBSD 5.x and up).  For FreeBSD 4.x, it will just
cause the system boot scripts to start sendmail for you.

Alternatively to the above settings, you can enable postfix to start with
the other local services, for example, after your database server starts if
you need it to be running for postfix.  To do this, set in your rc.conf file:

sendmail_enable="NO"
sendmail_submit_enable="NO"
sendmail_outbound_enable="NO"
sendmail_msp_queue_enable="NO"

Then make the following symbolic link:

cd /usr/local/etc/rc.d
ln -s /usr/local/sbin/postfix postfix.sh

With either startup configuration, you will want to disable some
Sendmail-specific daily maintenance routines in your /etc/periodic.conf file:

daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"

Ну, и выполняем инструкцию :), вернее её вторую часть, где говорится о том, что если надо чтобы postfix запускался после БД то надо.... Читаем инструкцию, короче :)
   Ставим postfixadmin.
/usr/ports/>cd /usr/ports/mail/postfixadmin
/usr/ports/mail/postfixadmin/>make && make install && make clean

По окончании опять-таки вылезет инструкция:
1. Create the MySQL Tables
--------------------------
In ${PREFIX}/www/postfixadmin/DATABASE.TXT you can find the table
structure that you need in order to configure Postfix Admin and Postfix
in general to work with Virtual Domains and Users

2. Configure
------------
Check the ${PREFIX}/www/postfixadmin/config.inc.php file. There you
can specify settings that are relevant to your setup.

The default password for the admin part of Postfix Admin is admin/admin.
This is specified in the .htpasswd file in the admin directory. Make sure
that the location of the .htpasswd file matches your path.

3. Configure Apache
-------------------
Add a line in your httpd.conf to allow the use of .htaccess file.

<Directory "/usr/local/www/postfixadmin">
        Options Indexes
        AllowOverride AuthConfig
</Directory>

Что и делаем:
/usr/ports/mail/postfixadmin/>cd /usr/local/www/postfixadmin/
/usr/local/www/postfixadmin/>mysql --user=root --password= < DATABASE_MYSQL.TXT 

Вообще-то я бы порекомендовал для начала чуть поправить этот файл в текстовом редакторе, - конкретно место где в БД вносится пользователи и пароли - пароли надо бы сменить... Можно это сделать и через phpMyAdmin. В этом примере я ничего не меняю. Чего вам делать не советую. Далее - запароливаем директорию postfixadmin - чтобы никто лишний не шарился. Для этого используем всё теже файлы, что и для phpMyAdmin:
cp ../phpMyAdmin/.htaccess .htaccess
/usr/local/www/postfixadmin/>rm admin/.ht*

Последнее сделано потому, что я предпочитаю запароливать весь интерфейс postfixadmin, а не только его папку admin. И добавляем в конфиг апача следующие строчки:
    Alias /postfixadmin/ "/usr/local/www/postfixadmin/"

    <Directory "/usr/local/www/postfixadmin">
        Options Indexes FollowSymlinks MultiViews
        AllowOverride AuthConfig
        Order deny,allow
        Allow from all
    </Directory>

Перезапускаем apache и пробуем зайти по адресу http://192.168.0.254/postfixadmin/ Там нам предлагают запустить setup. У меня он ругнулся на отсутствующий модуль php и дал подробную инструкцию что сделать. После выпоннения инструкции надо перезапустить апач (этого в инструкции нет). После всё работает. (Ну, там стандартные ошибки из версии в версию - надо исправить кодировку в файле templates/header.tpl на windows-1251 и влепить в меню 4 штуки <br>-ов чтоб не наезжало друг а друга в файле templates/admin_menu.tpl).
   Можно конфигурить postfix. В директории /usr/local/etc/postfix создаём следующие файлы:
/usr/local/etc/postfix/mysql_relay_domains_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
table = domain
select_field = domain
where_field = domain

/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
table = alias
select_field = goto
where_field = address

/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
table = domain
select_field = transport
where_field = domain

/usr/local/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
table = mailbox
select_field = quota
where_field = username

/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
user = postfix
password = postfix
hosts = localhost
dbname = postfix
table = mailbox
select_field = maildir
where_field = username

/usr/local/etc/postfix/main.cf
queue_directory = /var/spool/postfix
command_directory = /usr/local/sbin
daemon_directory = /usr/local/libexec/postfix
mail_owner = postfix
mynetworks_style = subnet
mynetworks = 192.168.8.0/24, 127.0.0.0/8
sendmail_path = /usr/local/sbin/sendmail
newaliases_path = /usr/local/sbin/newaliases
mailq_path = /usr/local/sbin/mailq
setgid_group = maildrop
html_directory = no
manpage_directory = /usr/local/man
sample_directory = /usr/local/etc/postfix
readme_directory = no
myhostname = mail.my_domain.ru
mydomain = my_domain.ru
myorgin = $mydomain
mydestination = localhost
local_transport = virtual
smtpd_recipient_restrictions =
    permit_mynetworks,
    reject_non_fqdn_hostname,
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client sbl-xbl.spamhaus.org
content_filter = scan:127.0.0.1:10025
receive_override_options = no_address_mappings

relay_domains = mysql:/usr/local/etc/postfix/mysql_relay_domains_maps.cf
virtual_alias_maps = mysql:/usr/local/etc/postfix/mysql_virtual_alias_maps.cf
virtual_gid_maps = static:125
virtual_mailbox_base = /var/spool/postfix/virtual/
virtual_mailbox_domains = mysql:/usr/local/etc/postfix/mysql_relay_domains_maps.cf
virtual_mailbox_limit = 51200000
virtual_mailbox_maps = mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_maps.cf
virtual_minimum_uid = 125
virtual_transport = virtual
virtual_uid_maps = static:125
# QUOTA
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = \
mysql:/usr/local/etc/postfix/mysql_virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = Дохрена почты скопилось в ящике. Надо удалить!
virtual_overquota_bounce = yes
unknown_local_recipient_reject_code = 550
transport_map = mysql:/usr/local/etc/postfix/mysql_virtual_domains_maps.cf
message_size_limit = 10240000
smtpd_recipient_limit = 5

/usr/local/etc/postfix/master.cf - тут редактируем не все строки
# CLAMAV
scan    unix    -       -       n       -       16      smtp    -o smtp_send_xfo
127.0.0.1:10026 inet    n       -       n       -       16      smtpd
    -o content_filter=
    -o smtpd_helo_restrictions=
    -o smtpd_client_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o mynetworks_style=host
    -o smtpd_autorized_xforward_hosts=127.0.0.0/8

Затем ставим ClamAV и ClamSMTP:

/usr/local/etc/postfix/>cd /usr/ports/security/clamsmtp
/usr/ports/security/clamsmtp/>make && make install && make clean

Чуть погодя появляется окошко ClamAV с опциями (ClamSMTP его за собой тащщит), где ничё не выбираем. Затем конфигурим ClamSMTP:
/usr/local/etc/postfix/clamsmtpd.conf (его там нет, есть только исходный clamsmtpd.conf-sample)
OutAddress: 10026
Listen: 0.0.0.0:10025
ClamAddress: /var/run/clamav/clamd
Header: X-AV-Checked: ClamAV using ClamSMTP on mail.my_domain.ru
TempDirectory: /tmp/clamav_tmp
Quarantine: on
User: clamav

И ClamAV:
/usr/local/etc/postfix/clamd.conf
LogFile /var/log/clamd.log
PidFile /var/run/clamav/clamd.pid
DatabaseDirectory /var/db/clamav
LocalSocket /var/run/clamav/clamd
FixStaleSocket
User clamav
ScanPE
ScanOLE2
ScanMail
ScanHTML
ScanArchive
ScanRAR
ArchiveMaxFiles 5000

Добавляем в /etc/rc.conf строки, создаём папки, запускаем это хозяйство и сразу его обновляем:
/usr/local/etc/>echo 'clamav_clamd_enable="YES"' >> /etc/rc.conf
/usr/local/etc/>echo 'clamsmtpd_enable="YES"' >> /etc/rc.conf
/usr/local/etc/>cd rc.d
/usr/local/etc/rc.d/>mkdir /tmp/clamav_tmp
/usr/local/etc/rc.d/>chown clamav /tmp/clamav_tmp
/usr/local/etc/rc.d/>
/usr/local/etc/rc.d/>./clamsmtpd.sh start
Starting clamsmtpd.
/usr/local/etc/rc.d/>./clamav-clamd.sh start
Starting clamav_clamd.
/usr/local/etc/rc.d/>ps -ax | grep clam
87674  ??  Is     0:00.00 /usr/local/sbin/clamsmtpd -f /usr/local/etc/clamsmtpd.conf
87683  ??  Ss     0:00.01 /usr/local/sbin/clamd
87698  p0  S+     0:00.01 grep clam
/usr/local/etc/rc.d/>mkdir /var/spool/postfix/virtual
/usr/local/etc/rc.d/>chown postfix:mail /var/spool/postfix/virtual
/usr/local/etc/rc.d/>
/usr/local/etc/rc.d/>newaliases
/usr/local/etc/rc.d/>
/usr/local/etc/rc.d/>freshclam
freshclam: Command not found.
/usr/local/etc/rc.d/>rehash
/usr/local/etc/rc.d/>freshclam
ClamAV update process started at Fri Sep  9 17:50:11 2005
main.cvd is up to date (version: 33, sigs: 36102, f-level: 5, builder: tkojm)
Downloading daily.cvd [*]
ERROR: Mirrors are not fully synchronized. Please try again later.
Trying again in 5 secs...
ClamAV update process started at Fri Sep  9 17:50:17 2005
main.cvd is up to date (version: 33, sigs: 36102, f-level: 5, builder: tkojm)
Downloading daily.cvd [*]
daily.cvd updated (version: 1072, sigs: 4080, f-level: 5, builder: sven)
Database updated (40182 signatures) from database.clamav.net (IP: 213.248.60.121)
Clamd successfully notified about the update.
/usr/local/etc/rc.d/>

Во как. Попал на момент синхронизации самого зеркала. Вообще неплохо добавить строчку обновления ClamAV в crontab - пусть обновляется 3-4 раза в сутки. Перезагружаем машину, и смотрим, запустился ли postfix.
/usr/home/lissyara/>ps -ax | grep master
  215  ??  Is     0:02.55 /usr/local/libexec/postfix/master
/usr/home/lissyara/>

для тестирования работы создаём два домена через postfixadmin - my_domain.ru и mail.my_domain.ru. В домене mail.my_domain.ru создаём альяс * - чтоб вся его почта валилась на какой нужно ящик.
   В качестве pop3 и imap демонов выступит courier-imap. Почему он? Ну просто настраивается он легко, и возможностей выше крыши. И нравится мне он. :)
/root/>cd /usr/ports/mail/courier-imap/
/usr/ports/mail/courier-imap/>make && make install && make clean

Выбираем только одну опцию - AUTH_MySQL. Если Вам нужно что-то ещё - ставьте. Он за собой потащщит courier-authlib-base и courier-authlib-mysql. После чего настраиваем:
/usr/local/etc/authlib/authmysqlrc
MYSQL_SERVER            localhost
MYSQL_USERNAME          postfix
MYSQL_PASSWORD          postfix
MYSQL_PORT              3306
MYSQL_DATABASE          postfix
MYSQL_USER_TABLE        `mailbox`
MYSQL_CRYPT_PWFIELD     `password`
MYSQL_UID_FIELD         125
MYSQL_GID_FIELD         125
MYSQL_LOGIN_FIELD       `username`
MYSQL_NAME_FIELD        `name`
MYSQL_HOME_FIELD        CONCAT('/var/spool/postfix/virtual/', `maildir`)
MYSQL_MAILDIR_FIELD     CONCAT('/var/spool/postfix/virtual/', `maildir`)
DEFAULT_DOMAIN          my_domain.ru

После чего добавляем строчки в /etc/rc.conf и запускаем это хозяйство:
/usr/local/etc/authlib/>cd /usr/local/etc/rc.d
/usr/local/etc/rc.d/>echo 'courier_imap_pop3d_enable="YES"' >> /etc/rc.conf
/usr/local/etc/rc.d/>echo 'courier_imap_imapd_enable="YES"' >> /etc/rc.conf
/usr/local/etc/rc.d/>echo 'courier_authdaemond_enable="YES"' >> /etc/rc.conf
/usr/local/etc/rc.d/>./courier-authdaemond.sh start
Starting courier_authdaemond.
/usr/local/etc/rc.d/>./courier-imap-imapd.sh  start
Starting courier_imap_imapd.
/usr/local/etc/rc.d/>./courier-imap-pop3d.sh  start
Starting courier_imap_pop3d.
/usr/local/etc/rc.d/>ps -ax | grep imap
68539  ??  I      0:00.00 /usr/local/sbin/courierlogger -pid=/var/run/imapd.pid
68540  ??  I      0:00.02 /usr/local/libexec/courier-imap/couriertcpd -address=0
68549  ??  S      0:00.00 /usr/local/sbin/courierlogger -pid=/var/run/pop3d.pid 
68550  ??  S      0:00.02 /usr/local/libexec/courier-imap/couriertcpd -address=0
68552  p0  S+     0:00.01 grep imap
/usr/local/etc/rc.d/>sockstat | grep couri
root     couriert 68550    3 tcp4   *:110                 *:*
root     couriert 68540    3 tcp4   *:143                 *:*
root     courierl 68549    4 dgram  syslogd[70]:3
root     courierl 68539    4 dgram  syslogd[70]:3
root     courierl 68523    4 dgram  syslogd[70]:3
/usr/local/etc/rc.d/>sockstat | grep auth
root     authdaem 68529    5 stream /var/run/authdaemond/socket.tmp
root     authdaem 68528    5 stream /var/run/authdaemond/socket.tmp

   Ну, вот и всё. Всё работает и крутится :)
   Данная конфигурация тестилась на следующей машине:
P-II 233 MHz
64 Mb RAM
8 Gb HDD

Версии установленного ПО (без учёта мелочи что тянется следом):
courier-authlib-base-0.57 Courier authentication library base
courier-authlib-mysql-0.57 MySQL support for the Courier authentication library
courier-imap-4.0.4,1 IMAP (and POP3) server that provides access to Maildir mail
postfix-2.2.5,1     A secure alternative to widely-used Sendmail
postfixadmin-2.1.0_1 PHP frontend to postfix and mySQL
mysql-client-4.0.25 Multithreaded SQL database (client)
mysql-server-4.0.25 Multithreaded SQL database (server)


P.S. Добавлено 2006-01-14 в 16:20
   Жизнь полна сюрпризов и неожиданностей :))) На старой работе понадобилось приделать отправку почты снаружи - а там конфигурация ровно как описанная в статье - соответствено снаружи ничё не предусмотрено. Что потребовалось - пересобрать и переустановить postfix с опциями (предварительно удалив старый - pkg_delete):
[X] SASL2     Cyrus SASLv2 (Simple Authentication and Security Layer) 
[X] MySQL     MySQL map lookups (choose version with WITH_MYSQL_VER)
[X] VDA       VDA (Virtual Delivery Agent)  

SASL2 он сам за собой потащщит. Но, перед тем как установить SASL2 его надо пропатчить. Причина проста - sasl не умеет работать с криптоваными паролями, а в бд они хранятся в зашифрованном виде. Затем и патчим - чтоб научить :) Патч берём отсюда. Сохраняем его в /usr/ports/security/cyrus-sasl2/files/ под именем patch-crypt. Вот его содержимое (на случай если тот сервер будет лежать):
/usr/ports/security/cyrus-sasl2/files/>cat patch-crypt
*** lib/checkpw.c.orig  Thu Jan 13 09:44:01 2005
--- lib/checkpw.c       Thu Jan 13 09:47:17 2005
***************
*** 143,149 ****
                                       "*cmusaslsecretPLAIN",
                                       NULL };
      struct propval auxprop_values[3];
!
      if (!conn || !userstr)
        return SASL_BADPARAM;

--- 143,153 ----
                                       "*cmusaslsecretPLAIN",
                                       NULL };
      struct propval auxprop_values[3];
!
!     /* added by lopaka */
!     char salt[31];
!     char *crypt_passwd = NULL;
!
      if (!conn || !userstr)
        return SASL_BADPARAM;

***************
*** 180,191 ****
        goto done;
      }

      /* At the point this has been called, the username has been canonified
       * and we've done the auxprop lookup.  This should be easy. */
      if(auxprop_values[0].name
         && auxprop_values[0].values
         && auxprop_values[0].values[0]
!        && !strcmp(auxprop_values[0].values[0], passwd)) {
        /* We have a plaintext version and it matched! */
        return SASL_OK;
      } else if(auxprop_values[1].name
--- 184,220 ----
        goto done;
      }

+     /* 20041008 added by lopaka */
+     /* encrypt the passwd and then compare it with the encrypted passwd */
+     if(!strncmp(auxprop_values[0].values[0],"$1",2))
+     {
+         /* MD5 */
+         /* obtain salt = first 12 chars */
+         crypt_set_format("md5");
+         strlcpy(salt,auxprop_values[0].values[0],13);
+     }
+     else if(!strncmp(auxprop_values[0].values[0],"$2",2))
+     {
+         /* BLF (blowfish) */
+         /* obtain salt = first 30 chars */
+         crypt_set_format("blf");
+         strlcpy(salt,auxprop_values[0].values[0],31);
+     }
+     else
+     {
+         /* DES */
+         /* obtain salt = first 2 chars */
+         crypt_set_format("des");
+         strlcpy(salt,auxprop_values[0].values[0],3);
+     }
+     crypt_passwd = crypt(passwd,salt);
+
      /* At the point this has been called, the username has been canonified
       * and we've done the auxprop lookup.  This should be easy. */
      if(auxprop_values[0].name
         && auxprop_values[0].values
         && auxprop_values[0].values[0]
!        && !strcmp(auxprop_values[0].values[0], crypt_passwd)) {
        /* We have a plaintext version and it matched! */
        return SASL_OK;
      } else if(auxprop_values[1].name

После чего инсталлируем postfix и делаем файлик /usr/local/lib/sasl2/smtpd.conf следующего содержания:
log_level:      7
pwcheck_method: auxprop
sql_engine:     mysql
mech_list:      plain login cram-md5 digest-md5
sql_hostnames:  localhost
sql_user:       postfix
sql_passwd:     postfix
sql_database:   postfix
sql_select:     SELECT password FROM mailbox WHERE username = '%u@%r'
sql_verbose:    true

(На пункт log_level он почему-то забивает, причину пока не нашёл), добавить в main.cf следующие строки:
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

И рихтануть строку smtpd_recipient_restrictions = было так:
smtpd_recipient_restrictions =
    permit_mynetworks,
    reject_non_fqdn_hostname,
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client sbl-xbl.spamhaus.org

А станет так:
smtpd_recipient_restrictions =
    permit_mynetworks,
    permit_sasl_authenticated,
    reject_non_fqdn_hostname,
    reject_non_fqdn_sender,
    reject_unauth_destination,
    reject_unauth_pipelining,
    reject_invalid_hostname,
    reject_rbl_client list.dsbl.org,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client sbl-xbl.spamhaus.org

После чего делаем команду postfix reload и можно пользоваться почтой снаружи (не забудте указать в почтовом клиенте аутентификацию на отправку - логин-пароль такой же как и на приёме).
Усё :)



Ссылка на обсуждение: http://forum.lissyara.su/viewtopic.php?t=13470.

размещено: 2005-09-14,
последнее обновление: 2009-08-30,
автор: lissyara

оценить статью:

Spider, 2005-10-09 в 8:13:34

Респект.
Несмотря на то, что моя система уже работает и настроена практически так же, я всё равно подчесркнул немного моментов из этой стать. Правда postFix админ глюкакая штука. Пришлось много изменить, чтобы он заработал.

Sergey Molchanov, 2005-10-30 в 13:31:27

Спасибо, очень помогло, но при инсталляции под FreeBSD 5.4 встретились некоторые тонкости. Пришлось смотреть ещё сюда

baobab, 2006-02-17 в 17:48:42

Большое спасибо.
Правда долго мучался пока доехал что еще нежно в указать virtual: в поле транспорт.

grave, 2006-02-20 в 17:09:53

я думаю незачем патчить sasl.. не понимает криптованные пассворды - пускать его в бд через курьеровский authdaemond

123, 2009-08-29 в 18:56:35

Товарищи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :)
Для вопросов есть форум!


Оставьте свой комментарий:
Ваше имя:   *
e-mail:  
жирный
наклонный
подчёркнутый
ссылка
цвет
Нынешний год:   *
 


Хостинг HOST-FOOD

2014-07-27, lissyara
gmirror

Удалённое создание софтверного зеркала средствами gmirror, на диске разбитом с использованием gpart. Использование меток дисков для монтирования разделов.
2013-08-20, zentarim
Scan+Print server FreeBSD 9

Настройка сервера печати и сервера сканирования под управлением операционной системы FreebSD 9 для МФУ Canon PIXMA MP540
2011-11-20, BlackCat
Разъём на WiFi-карту

Делаем съёмной несъёмную антену на WiFi-карте путём установки ВЧ-разъёма
2011-09-14, manefesto
Настройка git+gitosis

Настройка системы контроля версия исходного кода в связке git+gitosis+ssh
2011-08-14, zentarim
Wi-FI роутер + DHCP + DNS

Настройка Wi-Fi роутера на Freebsd 8 + DNS сервер + DHCP сервер: чтобы Wi-Fi клиенты были в одной подсети с проводными, проводные и беспроводные клиенты получали адреса автоматически по DHCP, кэширующ
2011-06-15, -ZG-
Охранная система на FreeBSD+LPT

В этой статье описана попытка реализации простой охранной системы на базе FreeBSD с подключением к ней охранных устройтсв на LPT порт и видеорегистрацией.
2011-03-13, terminus
ng_nat

Описание работы ng_nat, практическое использование, достоинства и недостатки в сравнении с ipfw nat
2011-02-20, Капитан
Nagios+Digitemp

Статья описывает создание системы оповещения о превышении температуры в специальных помещениях на основе Nagios с использованием программы Digitemp.
2011-02-17, Le1
Zyxel Configuration

Скрипт для массового изменения конфига свичей Zyxel. Берет из файла iplist список ip-шек, заходит последовательно на каждый и выполняет комманды из файла commands, записывая происходящее в лог файл.
2011-02-16, fox
hast carp zfs ucarp cluster

HAST (Highly Available Storage), CARP, UCARP, ZFS, Cluster настройка и одаптация плюс личные размышления…
2011-02-04, BlackCat
Восстановление ZFS

История о том, как был восстановлен развалившийся RAIDZ ZFS-пул (перешедший в FAULTED) с помощью скотча и подручных средств. Или о том, какие приключения ожидают тех, кто не делает резервных копий.
2011-02-03, Капитан
1-Wire

Статья описывает самостоятельное изготовление контроллера DS9097 для съёма показаний с датчиков температуры DS1820 с помощью программы Digitemp.
2011-01-28, Капитан
Температура в серверной

Статья описывает построение системы наблюдения за температурой в помещении серверной с использованием программы Digitemp и выводом графиков в MRTG
2011-01-21, m4rkell
Syslog server

Как то буквально на днях, у нас завалилось, что то в еве) или не в еве не суть. Суть в том, что когда захотели снять логи с хостов esx обнаружили, что хранят эти негодяи логии только за последнии сутк
2011-01-07, lissyara
Canon/gphotofs

Монтирование цифровых фотоаппаратов Canon (PTP) как файловой системы, автоматизация этого процесса через события devd и внешние скрипты.
2010-12-13, Al
IPSec

Описание принципов работы IPSEC и способов аутентификации.
2010-12-07, manefesto
FreeBSD on flash

Было принято решении переехать на USB Flash и установить минимальный джентельменский набор для работы своего роутера. Делаем =)
2010-12-05, Fomalhaut
root ZFS, GPT

Инструкция по установке FreeBSD с использованием в качестве таблицы разделов GPT и в качестве основной файловой системы - ZFS
2010-09-05, Cancer
Настройка аудиоплеера на ximp3

Цели: Простенький аудиоплеер, для того что бы тетя продавец в магазине утром пришла нажала на кнопку Power и заиграла в зале музыка, так же был доступ по сети, общая шара куда можно заливать музыку, к
2010-08-31, Cancer
Установка и настройка OpenVPN

На днях появилась задача - объединить головной офис и 3 филиала в одну сеть через интернет посредством OpenVPN, чтобы люди могли подключаться через RDP к базам 1С на серверах.
2010-08-25, manefesto
freebsd lvm

Использование linux_lvm для работы с LVM разделами из-под FreeBSD. Проблемы которые возники при монтирование lvm раздела
2010-04-30, gonzo111
proftpd file auth&quota

Proftpd - квоты и авторизация из файлов, без использования базы данных и/или системных пользователей
2010-04-22, lissyara
tw_cli

Пошаговая инструкция по восстановлению RAID на контроллере 3ware, из которого выпал один диск. Настройка мониторинга состояния рейда и отчётов о его состоянии на email.
2010-04-14, fox
MySQL Master+Master

MySQL (Master Master) and (Master Slave) Как настроить репликацию…
2010-03-09, terminus
DNS zones

Краткий ликбез про управление DNS зонами. Примеры проведения делегирования прямых и обратных DNS зон.
2010-03-09, aspera
Squid+AD (group access)

Настройка прокси сервера SQUID с автроризацией пользователей в AD. Разделение пользователей на группы
2010-03-02, BlackCat
Шлюз: Часть 4

Настройка дополнительных сервисов: синхронизация времени (OpenNTPD), клиент DynDNS.org.
2010-03-01, BlackCat
Шлюз: Часть 3

Настройка DHCP и DNS серверов для работы внутри частной сети, c поддержкой внутренних (частных зон) DNS, а так же интеграция DHCP и DNS сервисов.
2010-03-01, BlackCat
Шлюз: Часть 2

Конфигурация МСЭ pf для проброса портов с изменением порта назначения и без, а так же поддержки активного режима FTP и ограничения максимального размера сегмента
2010-03-01, BlackCat
Шлюз: Часть 1

Быстрая настройка шлюза/маршрутизатора с установлением PPPoE-соединения, поддержкой NAT и DNS-forwarding.
2010-02-23, Morty
darkstat

Простая считалка траффика, со встроенным веб-сервером. Очень маленькая, может делать отчеты трафика по хостам, портам, протоколам, а также строить графики
2010-01-23, gonzo111
squid+sams+sqstat

Пилим squid и sams - примеры конфигов с объяснениями. Установка SqStat.
2009-12-19, schizoid
mpd5 + radius + ng_car + Abills

Настройка pppoe-сервера с биллинговой системой Abills и шейпером ng_car
2009-11-16, lissyara
UFS->ZFS

Удалённая миграция с UFS на ZFS. Загрузка с раздела zfs. Настройка для работы с малым количеством памяти под архитектурой i386.
2009-11-13, gx_ua
fusefs-ntfs

Установка, настройка и использование fusefs-ntfs, драйвер NTFS, предназанченного для монтирования NTFS разделов под FreeBSD
2009-11-12, Morty
LiveCD

Создание собственного LiveCD с необходимыми вам изменениями, автоматизирование данного процесса, а так же вариант скоростной сборки СД.
2009-09-27, lissyara
Samba как PDC

Контроллер домена - аналог M$ NT4 домена под самбой, без использования LDAP и прочей хиромантии. Просто и быстро =)
2009-08-30, terminus
ipfw nat

Подробное руководство по ipfw nat, сложные случаи конфигурации.
2009-08-24, levantuev
HotSpot

Установка Hotspot системы в общественное заведение.
2009-08-18, lissyara
diskless

Создание бездисковых терминалов под управлением FreeBSD - с загрузкой по сети. Используются для старта rdesktop и подключения к виндовому серверу терминалов.
2009-07-29, BAV_Lug
Видеонаблюдение

Настройка бюджетного варианта видеонаблюдения на удаленном объекте
2009-07-22, Cancer
OpenLDAP адресная книга

Настройка и создание адресной книги на базе OpenLDAP + phpLDAPadmin
2009-06-30, SergeySL
AimSniff

Руководство по созданию системы мониторинга ICQ-переписки на базе AimSniff, использующей базу данных MySQL для хранения и Web-интерфейс WAS (Web Aim Sniff) для просмотра перехваченных сообщений
2009-06-25, atrium
Управление правами доступа

Полномочия пользователей и файлов, принадлежащих им, формирует концепцию ОС UNIX.
2009-06-16, DNK
Exim+PgSQL

Установка почтовой системы exim+pgsql на FreeBSD 7.1
2009-05-30, mvalery
HDD(mbr) -> HDD(gpt)

Как разбить диск размером более 2TB на разделы, сделать загрузочным, а затем перенести на него информацию с рабочей системы — донора.
2009-05-22, Cancer
SendXMPP

Отправка сообщений на Джаббер сервер по средствам SendXMPP
2009-05-11, Raven2000
Network UPS Tools

Network UPS Tools представляет собой набор программ, которые обеспечивают общий интерфейс для мониторинга и администрирование UPS оборудования.
2009-04-29, m0ps
IPSEC over GRE with RIP

Пример IPSEC over GRE и динамическим роутингом (RIP), с ADSL в качестве последней мили на оборудовании Cisco.
2009-04-24, WhiteBear777
qemu network

Появилась необходимость поставить на БСД эмулятор(qemu) и настроить в качестве гостевой ОС Windows XP, предоставив ей выход в локалку и в сеть internet...
2009-04-22, vp
freebsd + huawei 162 gsm modem

В статье описывается простой способ подключения модема huawei 162 к freebsd + первичная настройка smstools
2009-04-12, mvalery
Мониторинг RAID

Мониторинг из командной строки RAID компаний AMCC 3ware, HighPoint, Dell (Perc 5/i и PERC 6/i) и LSI (MegaRAID SAS 8408E и SAS1078)
2009-04-09, texnotronic
RAID1 via LAN

Функциональности DRBD во FreeBSD можно добиться примонтировав блочное устройство по сети при помощи GEOM Gate (ggate) и добавив его в зеркало с локальным диском средствами gmirror.
2009-04-03, Raven2000
Оптимизация хоста для CMS

В последнее время на старый и не очень быстрый ПК (Celeron 800 RAM 256) мною было навешано с десяток сайтов и некоторые были из серии тяжелых CMS. И так нам дано FreeBSD 7.1 и ~10 сайтов/CMS.
2009-04-01, atrium
VSFTPD + AD && MySQL

Настройка самого безопасного сервера FTP - vsftpd.
2009-03-31, Dron
Peoplenet + C-motech (3G)

Описание подключения к сети Peoplenet посредством 3G модема С-motech CCu-650U на FreeBSD
2009-03-25, lissyara
mod_auth_external

mod_auth_external - авторизация пользователей в apache c помощью внешней программы - например, системных пользователей.
2009-03-24, gx_ua
Lightsquid

Частично lightsquid может заменить sams: быстрая и простая инсталляция, быстрый парсер, cgi скрипт для динамической генерации отчета, нет привязки к БД, различные графические отчеты, мультиязычный инт
2009-03-18, LHC
Установка Zabbix-1.6

Установка и первоначальная настройка системы мониторинга Zabbix (версия 1.6)
2009-03-16, Cancer
Принт-Сервер Samba+LPD & AD

Простейшая настройка Принт-Сервера на FreeBSD используя Samba+LPD & AD
2009-03-04, Mad_caterpillar
ipsec_vpnc

Настройка VPN IPSec концентратора на FreeBSD 6.2 для клиента cisco с использованием ipsec-tools и авторизацией в активной директории
2009-02-18, Andy
Free-SA

Программа анализирует log файлы Squid'а и формирует по ним отчет.
2009-02-02, Cancer
Openfire Jabber Server

Установка Jabber сервера на примере Openfire
2009-01-28, Cancer
mpd5 + сжатие и шифрование

Установка VPN сервера mpd5 + сжатие и шифрование
2009-01-26, vp
freebsd + webcamera

Подключение и настройка вебмкамеры для работы с freebsd на примере Logitech QCam STX
2009-01-10, Grishun_U_S
конфиг для офисов

В статье разбирается конфиг для офиса, пользователи которого имеют строгие ограничения по портам. Заворачиваем www трафик на транспарентный прокси, а остальное NAT'им. Эффективно делим канал интернет
2008-12-27, Storoge
sftp+chroot

Возникла необходимость дать возможность нескольким пользователям заливать на сервер контент для своих сайтов через sftp, чтобы при этом не страдала безопасность.
2008-12-13, Morty
PurefFTPd

Администрирование pureftpd-сервера с помощью вэб интерфейса Usermanager
2008-12-11, lissyara
termlog

Небольшая простая утилита, использующаяся для записи в файл всего что происходит на терминалах системы. Полезно, когда есть доступ по ssh у тех, кому не очень доверяете. Паранойя - это не плохо =)
2008-11-26, Cancer
SQUID+SAMS +Rejik-(ADLDAP)

Установка Прокси сервера SQUID с красивой мордой SAMS и редиректором REJIK,для учета кто куда ходил + графики в pdf,РЕЖИК собственно рубит банеры и запрещает пользователям ходить на запрещенные сайты,
2008-11-22, dvg_lab
php5-oci8

Решение проблем segmentation fault (core dumped) при работе с oracle8-client и php5-oci8
подписка

    вверх      
Статистика сайта
Сейчас на сайте находится: 21 чел.
За последние 30 мин было: 81 человек
За сегодня было
244 показов,
81 уникальных IP
 

  Этот информационный блок появился по той простой причине, что многие считают нормальным, брать чужую информацию не уведомляя автора (что не так страшно), и не оставляя линк на оригинал и автора — что более существенно. Я не против распространения информации — только за. Только условие простое — извольте подписывать автора, и оставлять линк на оригинальную страницу в виде прямой, активной, нескриптовой, незакрытой от индексирования, и не запрещенной для следования роботов ссылки.
  Если соизволите поставить автора в известность — то вообще почёт вам и уважение.

© lissyara 2006-10-24 08:47 MSK

Время генерации страницы 0.0626 секунд
Из них PHP: 55%; SQL: 45%; Число SQL-запросов: 63 шт.
Исходный размер: 174792; Сжатая: 33689