Tytuł: "Postfix - bezpieczny i wydajny serwer MTA"
http://www.bsdguru.org/indeX.php?f=1040046

Autor: Tomasz "tomuś" Stala
http://www.bsdguru.org/index.php?f=1070023

Data publikacji: maj 2004

Proponował bym w tym jakże przewspaniałym manualu (bardzo fajnie, że takie rzeczy zaczynają powstawać), w miejscu :


wstawić:

Skoro mamy innym zaoszczędzić szukania gdzie jeszcze kryje się coś, co nie pozwoli postawić servera w 1.5h

Dla mnie revelacja - ten art.

# pw group add vscan -g 130
# pw user add vscan -c "AntiVirus" -d "/nonexistent" -s "/sbin/nologin" -u 130 -g 130

Te i inne opcje clamav dodaje sam sam instalacji.
Przy TLS wspomnialbym ze selfsigned certificates sa dobre do cwiczen domowych tylko. Poniewaz za ceretyfikaty sie placi to luz lepiej skoncentrowac sie na SSLv3 ktory jest odpowiednikiem TLS

smtpd_sasl_security_options = noanonymous


konfiguracja dla OE jest niepelna. Dodaj do master.cf:
smtps inet n - y - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
aby aktywowac port tcp 465(smtps) TLSwrapper

No i lmtp lokalnie jest lepszy niz smtp.
Najbardziej wkurza mnie relay. Radzilbym na ten temat cos wiecej napisac.
To tylko pare uwag, moze sie przydadza.

broch

Witam,

Dzięki za uwagi .

Jak będę miał chwilę wolnego czasu, dopiszę co potrzeba, poprawię (literówki i nie tylko) oraz postaram się rozbudować artykuł. Ostatnio coś u mnie krucho z czasem, dlatego na efekty będzie trzeba trochę poczekać. Za co z góry przepraszam.

Pozdrawiam, Tomek.

hm....z tym saslem o chyba troche przewal, bo skoro ja sobie do ciebie maila wysle z poczta.wp.pl to taki mail nie zostanie przyjety przez postfixa...bo sasl nie wpusci (smtpd_sender_restrictions pierwsze ma autoryzowanie saslem, a skad moj biedny mailik ma znac hasla na twoje konto?)
w zasadzie saslowanie to jest jedynie sluszne w smtpd_recipient_restrictions i to jeszcze nie na pierwszym miejscu, ale po np permit_auth_destination tak, zeby wszyscy do nas mogli wyslac maila..tzn na nasz server a tylko nieliczni po zautoryzowaniu sie relayowac je gdzies w swiat. tak mi sie przynajmniej wydaje....

Jesteś w wielkim błędzie. Używasz Postfixa??

heh, tak, bez sasla...zreszta rzeczywiscie juz widze
zle troche zinterpretowalem restrykcje......
nawiasem mowiac...hm, nie moge relayowac poczty gdyz w logach mam takie cos: warning: SASL authentication failure: cannoct connect to saslauthd server: No such file or directory -> pomimo ze sasl2 i sasl2-saslauthd sa zainstalowane (zreszta wlasnie upgradeowalem postfixa i tam tez zaznaczylem obsluge sasl2)

A jak sie ma to do tego co jest napisane w artykule o wpisach rc.conf? Cytowany tekst pochodzi z instalacji Postfixa.

If you have postfix configured in your /etc/mail/mailer.conf (answered yes to
the previous question) and would like to enable postfix to start at boot time,
please set these variables in your /etc/rc.conf file:

sendmail_enable="YES"

m.

Mówiąc lamerskim językiem:
Postfix "wstawia" swoje demony za demony sendmaila (/etc/mail/mailer.conf) dlatego ta opcja powoduje uruchamianie postfixa. To jest dokładnie to samo jakby ustawić tutaj NONE a postfixa uruchamiać ze skryptu w katalogu rc.d

Witam,

Wykonalem wszystkie czynnosci opisane w tutorialu bez zadnego problemu od poczatku do konca. Jednak po ty wszystkim dostaje nastepujace bledy w logach postfixa:

May 22 00:16:59 tempestnet postfix/smtpd[1748]: starting TLS engine
May 22 00:16:59 tempestnet postfix/smtpd[1748]: unable to get certificate from '/etc/ssl/mail/smtp.crt'
May 22 00:16:59 tempestnet postfix/smtpd[1748]: 1748:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/crypto/op
enssl/crypto/pem/pem_lib.c:632:Expecting: CERTIFICATE:
May 22 00:16:59 tempestnet postfix/smtpd[1748]: 1748:error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib:/u
sr/src/crypto/openssl/ssl/ssl_rsa.c:767:
May 22 00:16:59 tempestnet postfix/smtpd[1748]: TLS engine: cannot load RSA cert/key data

Certyfikat wygenerowalem prawidlowo, postfix ma do niego prawa dostepu... Co wiec jest nie tak?

Pozdrawiam, m.

Witam,

Rewelacja ten artykulik, naprawde dobra robota, szacuneczek

Pytanko mam takie, czy ktos probowal to rozszerzyc to o wirtualnych userow (np. +mysql)?

Pozdrawiam,

Pawel

Ja próbowałem z małą pomocą promyka i dokumentacji, ale najważniejsze, że mi się udało. Teraz chyba jest już nawet artykuł na www.freebsd.hello.pl. Tutaj masz linka do niego.

http://www.freebsd.hello.pl/files/modul ... cle&sid=76

Piekne dzieki

Witam

Mama podobny blad jak kolega wyzej:

Feb 4 15:11:05 disgust postfix/smtpd[95465]: starting TLS engine
Feb 4 15:11:05 disgust postfix/smtpd[95465]: unable to get certificate from '/etc/ssl/mail/smtp.crt'
Feb 4 15:11:05 disgust postfix/smtpd[95465]: 95465:error:0906D06C:PEM routines:PEM_read_bio:no start line:/usr/src/secure/lib/libcrypto/../../../crypto/openssl/crypto/pem/pem_lib.c:637:Expecting: CERTIFICATE:
Feb 4 15:11:05 disgust postfix/smtpd[95465]: 95465:error:140DC009:SSL routines:SSL_CTX_use_certificate_chain_file:PEM lib:/usr/src/secure/lib/libssl/../../../crypto/openssl/ssl/ssl_rsa.c:767:
Feb 4 15:11:05 disgust postfix/smtpd[95465]: TLS engine: cannot load RSA cert/key data
Feb 4 15:11:05 disgust postfix/smtpd[95465]: connect from harrier.wariaci.net[192.168.1.2]
Feb 4 15:11:10 disgust postfix/smtpd[95465]: lost connection after STARTTLS from harrier.wariaci.net[192.168.1.2]
Feb 4 15:11:10 disgust postfix/smtpd[95465]: disconnect from harrier.wariaci.net[192.168.1.2]

I niestety kompletnie nie wiem co mam zle.
Pozdrawiam,
Konrad Lapsz / harrier

Niestety w artykule, który znajduje się na stronie www.BSDGuru.org jest błąd dotyczący generowania certyfikatów. Tutaj znajdziesz aktualną wersję artykułu, zrób według niego i powinno działać:
* http://zso.tbg.net.pl/~tomek/postfix_howto.html