Ćwiczenie 7

Administracja
sieciami LAN

Laboratorium 5ED - sem.

9

Materiały

pomocnicze

Temat ćwiczenia:

Instalacja i konfiguracja bezpiecznego
serwera SMTP na przykładzie programu
Postfix.

Instalacja programu Postfix

1. Należy zainstalować pakiet postfix:

root@debian# aptitude install postfix

W czasie konfiguracji wybrać:
General Type of Configuration: Internet Site
Mail for root should go to: student
Mail name: debian.prz.edu.pl
Other destination to accept mail for: debian.prz.edu.pl
Synchronous update: off (Nie)

2. Sprawdzenie, czy program Postfix jest uruchomiony, sprawdzenie możliwości serwera:

root@debian# telnet debian.prz.edu.pl 25
Trying 10.0.2.15...
Connected to debian.prz.edu.pl.
Escape character is '^]'.
220 debian.prz.edu.pl ESMTP Postfix (Debian/GNU)
ehlo localhost
250-debian.prz.edu.pl
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250 8BITMIME
quit
221 Bye
Connection closed by foreign host.

3. Pliki konfiguracyjne programu Postfix znajdują się w katalogu /etc/postfix

Instalacja systemu uwierzytelniania klientów SASL

1. Należy zainstalować pakiety: postfix-tls libsasl2-modules sasl2-bin

root@debian# aptitude install postfix-tls libsasl2-modules sasl2-bin

2. Do pliku konfiguracyjnego /etc/postfix/main.cf należy dopisać następujące opcje:

# SASL SUPPORT FOR CLIENTS

smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname
broken_sasl_auth_clients = yes

smtpd_recipient_restrictions =

reject_unauth_pipelining,
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_destination,
permit

3. Poprawić konfigurację w pliku /etc/postfix/master.cf:

# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args

# (yes) (yes) (yes) (never) (100)
# ==========================================================================

smtp inet n - n - - smtpd

4. Konfiguracja demona SASL. W pliku /etc/postfix/sasl/smtpd.conf należy wpisać:

pwcheck_method: saslauthd
auto_transition: false
mech_list: PLAIN

5. Przygotowanie do uruchomienia demona SASL (saslauthd). Należy usunąć komentarz w pliku
/etc/default/saslauthd oraz włączyć metodę uwierzytelniania na podstawie haseł
systemowych (shadow):

# This needs to be uncommented before saslauthd will be run automatically

START=yes

...
MECHANISMS="shadow"

6. Uruchomienie demona SASL:

root@debian# /etc/init.d/saslauthd start
Starting SASL Authentication Daemon: saslauthd.

7. Sprawdzenie, czy demon poprawnie się uruchomił:

root@debian# ps aux |grep saslauthd
root 4305 0.0 0.1 6736 540 ? Ss Nov06 0:00 /usr/sbin/saslauthd -a shadow
root 4306 0.0 0.1 6736 556 ? S Nov06 0:00 /usr/sbin/saslauthd -a shadow
root 4307 0.0 0.2 6736 668 ? S Nov06 0:00 /usr/sbin/saslauthd -a shadow
root 4308 0.0 0.1 6736 560 ? S Nov06 0:00 /usr/sbin/saslauthd -a shadow
root 4309 0.0 0.1 6736 540 ? S Nov06 0:00 /usr/sbin/saslauthd -a shadow
root 19054 0.0 0.2 1936 728 pts/2 S+ 20:19 0:00 grep saslauthd

8. Aby demon pocztowy poprawnie korzystał z usług demona uwierzytelniania SSL, należy dodać
użytkownika, który uruchamia system pocztowy (użytkownik postfix) do grupy, która jest właścicielem
demona saslauthd (grupa sasl). Po tej operacji należy zrestartować demon pocztowy:

root@debian# usermod -G sasl postfix
root@debian# /etc/init.d/postfix restart

9. Sprawdzenie, czy serwer obsługuje uwierzytelnianie:

root@debian# telnet debian.prz.edu.pl 25
Trying 10.0.2.15...
Connected to debian.prz.edu.pl.
Escape character is '^]'.
220 debian.prz.edu.pl ESMTP Postfix (Debian/GNU)
ehlo localhost
250-debian.prz.edu.pl
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250 AUTH PLAIN
250 AUTH=PLAIN
250 8BITMIME
quit
221 Bye
Connection closed by foreign host.

Instalacja szyfrowanych połączeń SMTP (TLS)

1. Zainstalować brakujące pakiety: openssl:

root@debian# aptitude install openssl

2. Do pliku konfiguracyjnego /etc/postfix/main.cf należy dopisać następujące opcje:

# TLS

smtpd_use_tls = yes
smtpd_tls_key_file = /etc/postfix/ssl/postfix-key.pem
smtpd_tls_cert_file = /etc/postfix/ssl/postfix-cert.pem
smtpd_tls_received_header = yes
tls_random_source = dev:/dev/urandom

3. W pliku konfiguracyjnym /etc/postfix/master.cf należy odkomentować następujące opcje:

# only used by postfix-tls
tlsmgr fifo - - n 300 1 tlsmgr
smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes \
-o smtpd_sasl_auth_enable=yes
587 inet n - n - - smtpd -o smtpd_enforce_tls=yes \
-o smtpd_sasl_auth_enable=yes

4. Należy wgrać do katalogu /etc/postfix/ssl pliki z kluczem prywatnym (postfix-key.pem) i certyfikatem
SSL (postfix-cert.pem)

5. Odświeżenie konfiguracji programu Postfix:

root@debian# /etc/init.d/postfix reload

6. Sprawdzenie, czy serwer obsługuje połączenia szyfrowane TLS:

root@debian# telnet debian.prz.edu.pl 25
Trying 10.0.2.15...
Connected to debian.prz.edu.pl.
Escape character is '^]'.
220 debian.prz.edu.pl ESMTP Postfix (Debian/GNU)
ehlo localhost
250-debian.prz.edu.pl
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250 STARTTLS
250 AUTH PLAIN
250 AUTH=PLAIN
250 8BITMIME
quit
221 Bye
Connection closed by foreign host.

Instalacja skanera antywirusowego sprzężonego z serwerem

pocztowym Postfix

1. Zainstalować brakujące pakiety: clamav-daemon, amavisd-new:

root@debian# aptitude install clamav-daemon amavisd-new

W konfiguracji wybrać:
Virus database update method: daemon
Mirror: dowolny
HTTP Proxy: http://w3cache.prz.edu.pl:8080
Clamd notified about update: Tak

2. Sprawdzić, czy działa demon antywirusowy (clamd) oraz demon pośredniczący w komunikacji serwera
pocztowego z programem antywirusowym (amavisd):

root@debian# ps aux |grep clamd

clamav 19465 0.0 5.4 29656 17668 ? Ss Nov07 3:32 /usr/sbin/clamd
root 19552 0.0 0.2 1932 720 pts/2 S+ 21:40 0:00 grep clamd

root@debian# ps aux |grep amavisd

amavis 2095 0.0 0.3 16376 1172 ? Ss Nov06 0:00 amavisd (master)
amavis 600 0.0 2.7 17056 8904 ? S Dec11 0:04 amavisd (child)

amavis 1263 0.0 2.8 17028 9008 ? S Dec11 0:08 amavisd (child)
root 19586 0.0 0.2 1932 728 pts/2 S+ 21:45 0:00 grep amavisd

3. Aby demon amavisd poprawnie korzystał z usług demona clamd, należy dodać użytkownika, który
uruchamia skaner antywirusowy clamd (użytkownik clamav) do grupy, która jest właścicielem demona
amavisd (grupa amavis). Po tej operacji należy zrestartować oba demony:

root@debian# usermod -G amavis clamav
root@debian# /etc/init.d/clamav-daemon restart
root@debian# /etc/init.d/amavis restart

4. Do pliku konfiguracyjnego /etc/postfix/main.cf należy dopisać następujące opcje:

# Clamav

content_filter = smtp-amavis:[127.0.0.1]:10024

5. Do pliku konfiguracyjnego /etc/postfix/master.cf należy dopisać następujące opcje:

# Amavis
smtp-amavis unix - - n - 2 smtp

-o smtp_data_done_timeout=1200
-o disable_dns_lookups=yes

127.0.0.1:10025 inet n - n - - smtpd

-o content_filter=
-o local_recipient_maps=

-o relay_recipient_maps=
-o smtpd_restriction_classes=

-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=

-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject

-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes

6. Odświeżenie konfiguracji programu Postfix:

root@debian# /etc/init.d/postfix reload

7. Należy sprawdzić, czy demon amavisd nasłuchuje na zdefiniowanym wcześniej porcie 10024:

root@debian# telnet localhost 10024
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 [127.0.0.1] ESMTP amavisd-new service ready
quit
221 2.0.0 [127.0.0.1] (amavisd) closing transmission channel
Connection closed by foreign host.

8. Należy sprawdzić, czy działa sprzężenie zwrotne pomiędzy amavisem a serwerem pocztowym na
porcie 10025:

root@debian# telnet localhost 10025
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 debian.prz.edu.pll ESMTP Postfix (Debian/GNU)
quit
221 Bye
Connection closed by foreign host.

Opracował:
Krzysztof Raczkowski

raczkow@prz.edu.pl