Устанавливаем Dovecot

До последнего врeмени в качестве pop-сервера я использовал старый добрый Qpopper. Пока не возникла новая задача: web-интерфейс для почтового сервера (вот любит начальство кататься по стране). И опять благодаря Ginger мои взоры были направлены на интересный secure IMAP server - Dovecot. IMAP-сервер, рассчитанный на максимальную безопасность и надежность, способный обслуживать клиентов по протоколам imap, imaps, pop3, pop3s.

Ты заинтригован? Тогда вперед. Забираем последнюю версию с сайта http://dovecot.org (на момент написания - версия 0.99.14).

$ cd $HOME/install $ links http://dovecot.org $ tar xzfv dovecot-0.99.14.tar.gz $ cd dovecot-0.99.14

Для конфигурации создадим файл config.sh $ ee config.sh

следующего содержания:


./configure \ --with-ssl=openssl \ --with-mysql \ --with-pop3d \ --without-passwd \ --without-passwd-file \ --without-shadow \ --without-pam \ --without-ldap \ --without-vpopmail \ --without-static-userdb

Теперь скомпилируем и установим наш Dovecot.

$ sh config.sh $ make $ su # make install

Теперь для работы Dovecot создадим два конфигурационных файла: /usr/local/etc/dovecot.conf и /etc/dovecot-mysql.conf.

# ee /usr/local/etc/dovecot.conf
base_dir = /var/run/dovecot/ protocols = imaps pop3s imap pop3 ssl_cert_file = /etc/ssl/certs/mail.pem ssl_key_file = /etc/ssl/certs/mail.pem login = imap login_executable = /usr/local/libexec/dovecot/imap-login login_user = exim login = pop3 login_executable = /usr/local/libexec/dovecot/pop3-login mail_extra_groups = mail default_mail_env = maildir:/var/mail/%d/%n imap_executable = /usr/local/libexec/dovecot/imap pop3_executable = /usr/local/libexec/dovecot/pop3 auth = default auth_mechanisms = plain auth_userdb = mysql /etc/dovecot-mysql.conf auth_passdb = mysql /etc/dovecot-mysql.conf first_valid_uid = 1 auth_user = exim auth_verbose = yes

# ee /etc/dovecot-mysql.conf
db_unix_socket = /tmp/mysql.sock db = exim db_user = sqlmail db_passwd = my_password db_client_flags = 0 default_pass_scheme = CRYPT password_query = SELECT password FROM users WHERE login = '%n' AND domain = '%d' AND status = '1' user_query = SELECT uid, gid FROM users WHERE login = '%n' AND domain = '%d'

Изменим права на наши конфигурационные файлы:

# chown root:mail /etc/dovecot-mysql.conf /usr/local/etc/dovecot.conf # chmod 640 /etc/dovecot-mysql.conf /usr/local/etc/dovecot.conf

И создадим скрипт для запуска нашего IMAP-POP-сервера:

# ee /usr/local/etc/rc.d/dovecot.sh
#!/bin/sh prog=/usr/local/sbin/dovecot conf=/usr/local/etc/dovecot.conf case "$1" in start) [ -x ${prog} ] && ${prog} -c ${conf} echo -n " dovecot" ;; stop) kill -TERM `cat /var/run/dovecot/master.pid` echo -n " " ;; restart) $0 stop $0 start ;; reload) kill -HUP `cat /var/run/dovecot/master.pid` ;; *) echo "Usage: `basename $0` {start|stop|restart|reload}" >&2 exit 1 esac exit 0

# chmod +x /usr/local/etc/rc.d/dovecot.sh

Осталось его запустить.

# /usr/local/etc/rc.d/dovecot.sh start # exit

Будем проверять, как он работает?

Проверяем работу POP3.

$ telnet localhost 110
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.ru.
Escape character is '^]'.
+OK dovecot ready.


user admin@mydomain.ru
+OK


pass my_password
+OK Logged in.


list
+OK 0 messages:
.


quit
+OK Logging out.
Connection closed by foreign host.


Если ошибок нет (откуда им взяться), идем дальше. Проверяем работу IMAP.

$ telnet localhost 143
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.ru.
Escape character is '^]'.
* OK dovecot ready.


* LOGIN admin@mydomain.ru my_password
* OK Logged in.


* STATUS Inbox (MESSAGES)
* STATUS "Inbox" (MESSAGES 0)
* OK Status completed.


* LOGOUT
* BYE Logging out
* OK Logout completed.
Connection closed by foreign host.


Если проблем не возникло, проверяем защищенное сединение POP3S.

$ openssl OpenSSL> s_client -host localhost -port 995
CONNECTED(00000003)
depth=0 /C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
verify return:1
---
Certificate chain
 0 s:/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@my
domain.ru
   i:/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@my
domain.ru
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
issuer=/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@
mydomain.ru
---
No client certificate CA names sent
---
SSL handshake has read 1190 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: FF415922B742484BA13B84FAD575C528B3549B742484BA13AB1393C4AB3D8010

    Session-ID-ctx:
    Master-Key: 8A39B36BFDB180ED55F829DBC420D675F0ECAF1B07FBBED3A1632A3AA8ECCE96
4CAACF8CDAE5F829DBC420D3F5AE9BA8
    Key-Arg   : None
    Start Time: 1114190806
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
+OK dovecot ready.


Соединение получили. Если у тебя есть желание, то можешь проделать операции, описанные при проверке POP3, а мне лень. Но не спеши выходить из openssl. Сразу проверим IMAPS - защищенный IMAP

quit OpenSSL> s_client -host localhost -port 993
CONNECTED(00000003)
depth=0 /C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
verify return:1
---
Certificate chain
 0 s:/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@my
domain.ru
   i:/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@my
domain.ru
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster
@mydomain.ru
issuer=/C=RU/ST=RU/L=Stavropol/O=Example/CN=mydomain.ru/emailAddress=postmaster@
mydomain.ru
---
No client certificate CA names sent
---
SSL handshake has read 1190 bytes and written 340 bytes
---
New, TLSv1/SSLv3, Cipher is AES256-SHA
Server public key is 1024 bit
SSL-Session:
    Protocol  : TLSv1
    Cipher    : AES256-SHA
    Session-ID: FF415922B742484BA13B84FAD575C528B3549B742484BA13AB1393C4AB3D8010

    Session-ID-ctx:
    Master-Key: 8A39B36BFDB180ED55F829DBC420D675F0ECAF1B07FBBED3A1632A3AA8ECCE96
4CAACF8CDAE5F829DBC420D3F5AE9BA8
    Key-Arg   : None
    Start Time: 1114190806
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
* OK dovecot ready.


И здесь получили соединение.

* LOGOUT OpenSSL> quit

Все у нас прекрасно работает. Но это не все наши героические поступки. Далее мы приступим к построению оборонительных сооружений для нашего почтового сервера. Начнем с антивируса.