dokumentasi<Sebelum | Contents [show] | Seterusnya>
1.3. Pengesahan SMTP
SMTP-AUTH membolehkan pelanggan mengenal pasti dirinya melalui mekanisme pengesahan (SASL). Keselamatan Lapisan Pengangkutan (TLS) harus digunakan untuk menyulitkan proses pengesahan. Setelah disahkan, pelayan SMTP akan membenarkan klien menyampaikan mel.
1. Konfigurasikan Postfix untuk SMTP-AUTH menggunakan SASL (Dovecot SASL):
sudo postconf -e 'smtpd_sasl_type = dovecot'
sudo postconf -e 'smtpd_sasl_path = private/auth' sudo postconf -e 'smtpd_sasl_local_domain ='
sudo postconf -e 'smtpd_sasl_security_options = noanonymous' sudo postconf -e 'broken_sasl_auth_clients = ya'
sudo postconf -e 'smtpd_sasl_auth_enable = yes' sudo postconf -e 'smtpd_recipient_restrictions = \
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
. smtpd_sasl_path konfigurasi ialah laluan relatif kepada direktori baris gilir Postfix.
2. Seterusnya, jana atau dapatkan sijil digital untuk TLS. Lihat Bahagian 5, “Sijil” [hlm. 198] untuk butiran. Contoh ini juga menggunakan Pihak Berkuasa Sijil (CA). Untuk maklumat mengenai penjanaan sijil CA lihat Bahagian 5.5, “Pihak Berkuasa Pensijilan” [m.s. 200].
MUA yang menyambung ke pelayan mel anda melalui TLS perlu mengenali sijil yang digunakan untuk TLS. Ini boleh dilakukan sama ada menggunakan sijil daripada CA komersial atau dengan sijil yang ditandatangani sendiri yang dipasang/terima pengguna secara manual. Untuk sijil MTA kepada MTA TLS tidak akan disahkan tanpa persetujuan awal daripada organisasi yang terjejas. Untuk MTA kepada MTA TLS, melainkan polisi tempatan memerlukannya, tiada sebab untuk tidak menggunakan sijil yang ditandatangani sendiri. Rujuk Bahagian 5.3, “Mencipta Sijil Ditandatangani Sendiri” [m.s. 200] untuk butiran lanjut.
3. Setelah anda mempunyai sijil, konfigurasikan Postfix untuk menyediakan penyulitan TLS untuk kedua-dua mel masuk dan keluar:
sudo postconf -e 'smtp_tls_security_level = mungkin' sudo postconf -e 'smtpd_tls_security_level = mungkin'
sudo postconf -e 'smtp_tls_note_starttls_offer = yes'
sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/server.key' sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/server.crt' sudo postconf -e 'smtpd_tls_loglevel = 1
sudo postconf -e 'smtpd_tls_received_header = yes' sudo postconf -e 'myhostname = mail.example.com'
4. Jika anda menggunakan sendiri Pihak Berkuasa Sijil untuk menandatangani sijil masukkan:
sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'
Sekali lagi, untuk butiran lanjut tentang sijil lihat Bahagian 5, “Sijil” [hlm. 198].
Selepas menjalankan semua arahan, Postfix dikonfigurasikan untuk SMTP-AUTH dan sijil yang ditandatangani sendiri telah dibuat untuk penyulitan TLS.
Sekarang, fail /etc/postfix/main.cf sepatutnya kelihatan seperti ini:
# Lihat /usr/share/postfix/main.cf.dist untuk ulasan yang lebih lengkap
# versi
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu) biff = tidak
# menambah .domain ialah tugas MUA. append_dot_mydomain = no
# Nyahkomen baris seterusnya untuk menjana amaran "mel tertunda".
#delay_warning_time = 4j
myhostname = server1.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname
mydestination = server1.example.com, localhost.example.com, localhost relayhost =
mynetworks = 127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION" mailbox_limit_size = 0
pembatas_penerima = + antara muka_inet = semua domain_smtpd_sasl_local_domain = smtpd_sasl_auth_enable = ya
smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = ya smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,tolak _unauth_destination smtpd_tls_auth_only = tidak
smtp_tls_security_level = boleh smtpd_tls_security_level = boleh smtp_tls_note_starttls_offer = ya smtpd_tls_key_file = /etc/ssl/private/smtpd.key smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = ya smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
Konfigurasi awal postfix selesai. Jalankan arahan berikut untuk memulakan semula daemon postfix:
sudo systemctl mulakan semula postfix.service
Postfix menyokong SMTP-AUTH seperti yang ditakrifkan dalam RFC25541. Ia berdasarkan SASL2. Walau bagaimanapun, anda masih perlu menyediakan pengesahan SASL sebelum anda boleh menggunakan SMTP-AUTH.