[Wiki] Howto: Почтовый сервер со всем фаршем на базе Ubuntu 10.04 LTS

[ERiC WagneR]

Есть ли возможность вносить изменения в адрес отправителя до проверок?

Суть в чем, у клиентов стоит какая устаревшая фича, которая добавляет в начало адреса отправителя строки вида "prvs=9460F39565=".

Т.е. адрес выглядит как "prvs=9460F39565=user@anotherdomain.ua"

Можно ли как то до проверок в блоке "smtpd_sender_restrictions" вырезать лишнее. Причем по шаблону, т.к. строка изменяема?

Погуглил немного, в основном 2 варианта решения проблемы: белый список и "это не ваши проблемы" =)

[Karl500]

В outlook есть свое место, куда добавляются центры сертификации. Посмотреть сейчас негде (нету у меня его), но точно есть.

НАйти бы,гугль тоже не помогает!

1. Сертификат Центра Сертификации (ca.crt) нужно установить, открыв его, и в Мастере импорта сертификатов указать "Поместить все сертификаты в следующее хранилище" - "Доверенные корневые центры сертификации". После этого outlook начнет принимать все подписанные этим CA сертификаты серверов.

2. Сертификаты пользователя (client.p12) установить в Outlook (на примере 2010): Файл - Параметры - Центр управления безопасностью - Параметры центра управления безопасностью - Защита электронной почты - Импорт/Экспорт. После этого в outlook можно использовать подписывание/шифрование по S/MIME.

[djrust]

1. Сертификат Центра Сертификации (ca.crt) нужно установить, открыв его, и в Мастере импорта сертификатов указать "Поместить все сертификаты в следующее хранилище" - "Доверенные корневые центры сертификации". После этого outlook начнет принимать все подписанные этим CA сертификаты серверов.

Так и делал,нормально работает после этого https://mail.site.ru
 
outlook все равно ругается....
 
Может сами ради интереса проверите на виртуалке?

[Karl500]

Так я только что и проверил...

[djrust]

RiddickRB,
Прочтите раз 5 инструкцию,потом еще раза два...и потом уже начните делать....
Я тоже инструкции с ldap пропустил,и все работает!

Так я только что и проверил...

А у вас он перестал спрашивать после 1го пункта(добавление в корневые центры сертификации?
Просто я точно также добавлял.....может не правильно сделал сертификат?но на сайто то он распространяется и не запрашивает!
 

[Karl500]

Если совсем-совсем честно, то я сделал так: убил свой сертификат из Корневых центров сертификации; убедился, что outlook начал ругаться; убил outlook; установил сертификат CA еще раз; запустил outlook и убедился, что он не ругается.

UPD: Вы точно выбирали именно "Корневые центры сертификации"? Просто по умолчанию он не туда, кажется, попадает...

[djrust]

UPD: Вы точно выбирали именно "Корневые центры сертификации"? Просто по умолчанию он не туда, кажется, попадает...

Точно)Домой приду еще раз проверю,чего я там накрутил!Спасибо!
А на счет размера письма по пользователям(группам) есть чего предложить?

[Karl500]

Не-а... Нету такой возможности у postfix (во всяком случае, мне о ней неизвестно). Возможно, можно построить какие-нибудь костыли, но в голову ничего не приходит.

[djrust]

Karl500,
С сертификатом я разобрался!
Делал вот так,не получалось....

Код: [Выделить]

Сначала я копирую сертификат CA.crt из CA_clear и его устанавливаю,потом шел в ~/SERVERS/mail.site.ru и брал от туда server.crt(устанавливал его)
В итоге сайт работал,а outlook ругался

Потом я прошел в "Доверенные Корневые центры сертификации" и увидел,что сертификата mail.site.ru нету

Код: [Выделить]

Запустил заново outlook - показать сертификат - установить сертификат
После этого он появляется в "Доверенные Корневые центры сертификации" от туда я его экспортирую(для других клиентов) и Все работает))))
Отсюда вопрос?почему не работает server.crt в начальном варианте?
server.crt

(Нажмите, чтобы показать/скрыть)

Код: [Выделить]

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 1 (0x1)
        Signature Algorithm: sha1WithRSAEncryption
        Issuer: C=RU, ST=NN Region, L=Nizhniy Novgorod, O=XXX NN LTD, OU=ROOTCA, CN=site.ru/emailAddress=admin@site.ru
        Validity
            Not Before: Apr 19 13:45:53 2012 GMT
            Not After : Apr 18 13:45:53 2017 GMT
        Subject: C=RU, ST=NN Region, L=Nizhniy Novgorod, O=XXX NN LTD, CN=mail.site.ru/emailAddress=admin@site.ru
        Subject Public Key Info:
            Public Key Algorithm: rsaEncryption
            RSA Public Key: (2048 bit)
                Modulus (2048 bit):
                    00:c7:af:70:e9:fd:0d:81:77:c8:0b:1e:52:17:8b:
                    53:88:5f:24:5a:6a:d2:ca:5f:a4:f3:92:92:32:c8:
    5 строк удалено
                    b7:aa:e1:10:07:06:ce:14:f9:f3:58:e6:50:60:6c:
                    e1:1f:4e:39:81:84:50:d8:8c:90:51:45:15:f1:4b:
                    ab:44:2a:27:6b:95:8f:06:dd:64:f5:6b:8e:46:c3:
 6 строк удалено
                    d5:03:2c:8d:73:f9:e9:d2:60:32:cb:1c:87:dd:61:
                    2e:23
                Exponent: 65537 (0x10001)
        X509v3 extensions:
            X509v3 Basic Constraints:
                CA:FALSE
            X509v3 Subject Key Identifier:
                D7:35:F6:72:35:FC:D3:15:C7:D2:65:AA:4F:40:B9:21:7B:69:43:AE
            X509v3 Authority Key Identifier:
                keyid:E2:AB:E5:E0:01:47:08:BB:8D:0B:75:BD:25:3B:20:4B:4E:D4:36:B7
                DirName:/C=RU/ST=NN Region/L=Nizhniy Novgorod/O=XXX NN LTD/OU=ROOTCA/CN=site.ru/emailAddress=admin@site.ru
                serial:F8:BD:C0:B9:E0:25:28:6E

    Signature Algorithm: sha1WithRSAEncryption
        4f:48:03:a9:7a:f9:a4:2a:b6:ac:ba:7d:1b:bf:0d:67:d0:3f:
n строк удалено
        66:c3:89:25:79:89:b7:8e:56:17:49:c4:14:6e:0f:66:c8:08:
        46:c7:cb:20:97:c6:87:7f
-----BEGIN CERTIFICATE-----
MIIFmTCCA4GgAwIBAgIBATANBgkqhkiG9w0BAQUFADCBljELMAkGA1UEBhMCUlUx
n строк удалено
hzX57wwrX3el4nL8NhyVaTrCwMCq4eTGy3/bo4HQiKVXN7LVpS2BIY+kbSHOE8Yb
XbVHts+uCh5hx5vk+LFUEsRYtGbDiSV5ibeOVhdJxBRuD2bICEbHyyCXxod/
-----END CERTIFICATE-----



+ еще вопрос по скрипту
Там есть поле добавления ТРАНСПОРТА,скажите для чего нужен транспорт....Сообразить не могу(

+ Никто не проверял howto на 64 битной ubuntu server?А то планирую закупить  хорошее железо под почтовик с 4-8 гб памяти

+ мне предстоит перевести существующий сервер(который тоже на postfix + dovecot) Только пользователи локальные
Какие права давать на /home/vmail/users?
Я когда почту копировал давал 700?хватит?параноится не надо?

[AnrDaemon]

В outlook есть свое место, куда добавляются центры сертификации. Посмотреть сейчас негде (нету у меня его), но точно есть.

НАйти бы,гугль тоже не помогает!

Outlook использует общесистемный центр сертификации.
Если сертификат пользователя выдан на емейл, отличный от того, что указан в учётной записи Outlook, S/MIME не взлетит.

P.P.S.
Сертификаты устанавливаются раздельно для всех пользователей.
Если вы добавляете сертификаты под админом, а проверяете под регулярным юзером - вообще никогда не взлетит.

[khiluck]

Во первых, спасибо автору за статью!
Раньше приходилось искать в разных просторах и-нета, кусочки. Теперь все в одной статье есть! =)

Но все же, вопрос к автору, почему 10.04, а не 12.04 ?

[Karl500]

Причина тривиальна. Писалось это (как видно из первого поста темы) в начале декабря 2010г. Поэтому делалось на актуальной тогда версии LTS. Кстати, актуальна она (версия) будет еще долго. Лично я не собираюсь в ближайшее время переходить на 12.04, т.к. мне (в рабочих станциях) необходим Gnome 2, а переводить только серверы просто не вижу смысла.

[Дмитрий Бо]

В связи с переездом треда в "Обсуждение статей" по возможности почистил его от решений частных проблем. Ценное старался не трогать, удалил ветки (если можно так сказать про SMF) с обсуждениями ошибок синтаксиса, неправильных переносов строк, попыток подключения к несуществующему каталогу... Удалять сообщения у нас не принято, но рассортировать такое количество сообщений возможности не было.

Впредь в этом треде хочется видеть именно обсуждение статьи — предложения изменений, замеченные опечатки и т. п.

Вопросы по настройке почтового сервера, не предполагающие изменения этой статьи, задаём в отдельных топиках в специальном разделе.

[susnake]

Добрый день.
Делаю почтовый сервер по вики
Дошел до

Создаем сертификат для подписывания:

И хотел бы узнать какая все-таки строчка верна,
эта

Код: [Выделить]

openssl pkcs12 -export -in ca.cer -inkey ca.key -out ca.pfxэта

Код: [Выделить]

openssl x509 -trustout -inform PEM -in ca.crt -outform DER -out ca.pfxили как мне ответили тут:

Никакая.

А если никакая, то что там должно быть?
Заранее спасибо.

[Дмитрий Бо]

У нас там действительно некоторая неоднозначность. Надо уж определиться.

Эту строчку, кстати, поправил Красноглазый, вот та правка.