Configuration de l'authentification SASL pour le serveur SMTP Postfix

Configuration de l'authentification SASL pour le serveur SMTP Postfix
Sécuriser les serveurs de messagerie nécessite du temps, des efforts et des ressources financières. Si vous êtes un administrateur de serveur de messagerie, une chose qui vous fait peur le plus devrait être les chances que votre serveur soit compromis. Personne ne veut que leurs serveurs deviennent des relais ouverts.

Les serveurs SMTP ou Postfix, en général, sont utiles pour sécuriser vos serveurs. Ils utilisent le myNetworks Paramètre pour déterminer les expéditeurs de confiance dans le réseau. C'était assez facile il y a quelques décennies depuis que les institutions et les organisations ont exploité LAN pour spécifier les utilisateurs du réseau.

Mais les choses ne sont plus les mêmes, et cet article expliquera la différence. Cet article expliquera comment Postfix SMTP fonctionne avec l'authentification SASL. Mais plus important encore, cet article contient un guide détaillé sur la configuration de l'authentification SASL pour Postfix SMTP et l'authentification d'activation.

Comment fonctionne Postfix SMTP avec l'authentification SASL

Nous sommes dans le 21St siècle, et le personnel de bureau moyen d'aujourd'hui veut une mobilité maximale. Ils veulent pouvoir envoyer et recevoir des e-mails sur les smartphones, les ordinateurs portables, les tablettes ou les ordinateurs domestiques. Les emplois ne sont plus institutionnalisés comme ils étaient auparavant.

Postfix SMTP vise à combler les lacunes de mobilité. Il utilise une couche d'authentification et de sécurité simple (SASL) pour valider les utilisateurs. SASL est un cadre actuellement utilisé par de nombreux programmes et applications Internet axés sur la connexion pour sécuriser les données, les serveurs et valider les utilisateurs.

Ainsi, l'activation de SASL dans vos systèmes garantit que Postfix n'acceptera que les connexions STMP avec des authentifications crédibles. Les serveurs SMTP décideront de manière fiable si le client SMTP a l'autorisation d'envoyer des e-mails à des gadgets distants ou uniquement aux destinations autour du serveur.

Bien sûr, les serveurs SMTP permettent souvent aux e-mails aux destinations distantes tant que le client et le serveur sont dans la même adresse IP. Mais les clients loin de l'adresse IP du serveur auront besoin d'autres moyens d'accéder aux privilèges «même réseau». C'est là que l'authentification SASL entre en jeu.

Postfix SMTP prend en charge les implémentations SASL car ils ont une architecture de plugin nécessaire pour cela. Un utilisateur SMTP distant avec la combinaison s'authentifiera avec votre serveur SMTP Postfix. De même, un client SMTP Postfix pourra s'authentifier avec votre serveur SMTP distant. Et avec une authentification réussie, dans les deux cas, le serveur fournira au client les mêmes privilèges réseau.

Cependant, il convient de noter que Postfix n'implémente pas indépendamment SASL. Au lieu de cela, il utilise des implémentations disponibles dans SASL comme blocs de construction. Cela implique que plusieurs fichiers de configuration SASL appartiennent à Postfix.

Et cela nous amène à la dernière partie de ce projet!

Configuration de l'authentification SASL pour travailler avec Postfix SMTP Server

Un cadre SASL fonctionnel est nécessaire pour s'authentifier avec les serveurs SMTP avec succès. En outre, vous aurez besoin d'une prise en charge TLS / SSL pour le serveur de messagerie.

Les étapes suivantes sont nécessaires;

Étape 1: Configurez les bibliothèques SASL

Tout d'abord, vous devez choisir la version SASL que vous souhaitez utiliser. La commande suivante devrait vous aider à installer les bibliothèques SASL si vous n'avez pas de SASL exécuté dans votre système.

Une fois terminé, utilisez la commande suivante pour confirmer les implémentations SASL que votre installation postfix prendra en charge. Les commandes suivantes vous aideront:

Dans l'illustration précédente, -a est le côté serveur SMTP, tandis que -a est la commande côté client SMTP. Le résultat est que le côté serveur prend en charge le Dovecot et Cyrus SASL, tandis que le côté client ne prend en charge que l'implémentation de Cyrus SASL. Vos résultats avec les commandes pourraient être différents.

Étape 2: Configurer Dovecot SASL et Cyrus SASL

Pour cette illustration, nous montrerons comment configurer Dovecot SASL et Cyrus SASL. Cependant, vous choisirez ce qui fonctionne le mieux pour vos systèmes en fonction de vos intérêts et des options de support disponibles.

Configurer Dovecot et établir la communication entre SMTP Postfix et Dovecot SASL

Dovecot est un serveur IMAP. Il dispose d'un tableau de configurations qui lui permettent d'authentifier les clients IMAP. Dans les cas où vous configurez les serveurs SMTP Postfix pour utiliser DOVECOT SASL, les serveurs utiliseront une partie de la configuration SASL.

Assurez-vous donc que vous configurez correctement DoveCot SASL dans vos systèmes à l'aide de la commande suivante:

Procéder à établir une connexion entre SMTP Postfix et Dovecot SASL. Nous le ferons sur un domaine Unix pour une confidentialité améliorée. Dans la figure suivante, nous supposerons que nous avons notre file d'attente postfix / var / spool / postfix /, Comme indiqué à la ligne 4:

Des lignes 5-8, vous remarquerez que l'illustration ne limite que des autorisations de lecture et d'écriture aux utilisateurs et groupes postfix. D'un autre côté, la ligne 14 indique que le SASL n'utilisera que des mécanismes de texte en clair de simple et de connexion.

Configurer Cyrus SASL et établir un post-fixe à Cyrus SASL Communication

Le cadre Cyrus SASL est polyvalent et prend en charge de nombreux programmes et applications, y compris IMAP, POP et SMTP. La configuration de Cyrus SASL commence par déterminer le nom et l'emplacement du fichier de configuration. Ceci décrit comment le SMTP utilisera le framework Cyrus SASL. Il est toujours par défaut à SMTP et devrait configurer avec succès à l'aide de ces variables.

Étape 3: Configurer le postfix

Les deux fichiers de configuration que vous pouvez utiliser pour piloter le serveur Postfix sont le principal.CF et le maître.cf. Le maître.Le fichier CF configurera avec succès tous les sous-systèmes postfix dont vous pourriez avoir besoin, y compris le relais, la file d'attente, le nettoyage et le SMTP, entre autres. En outre, c'est également là que vous allez clarifier si les sous-systèmes postfix fonctionneront dans un environnement emprisonné ou si vous souhaitez choisir la journalisation verbale. Cette étape choisira également les ports que vous voudriez être restreints.

La capture d'écran suivante affiche Postfix STMP sur l'exploitation forestière verbeux et l'exécution dans une prison de chroot. Cela indique également que Postfix écoute sur les ports 2525 et 25.

L'image précédente illustre ce que le maître.Le fichier CF s'affichera. Cependant, le principal.Le fichier CF sera plus élaboré. Il affichera tous les petits sous-ensembles des options de configuration, et tout ce qui n'est pas indiqué restera à ses paramètres par défaut.

Étape 4: Générez un fichier SASL_PASSWD

Le fichier en texte clair doit ressembler à ceci:

La première ligne indique la destination à laquelle PostFix relayera les e-mails, tandis que les lignes restantes sont des informations d'identification de l'utilisateur dans la liste.

Vous pouvez également générer une version hachée du même fichier que ci-dessous:

Étape 5: Configurer Cyrus SASL côté serveur

Nous avons déjà traité de la configuration de SASL sur le côté client. Laissez-nous maintenant le configurer sur le côté du serveur. Nous utiliserons le Cyrus SASL aux côtés de l'auxiliaire SASLDB et un plugin de propriété (Auxprop).

La figure suivante montre à quoi devrait ressembler la configuration du plugin:

Étape 6: Créez les informations d'identification du client

Créer des informations d'identification du client à côté du serveur. Seuls les clients dont les informations d'identification apparaissent correctement sur le serveur auront une connexion au serveur Postfix.

Les lignes 5 et 6 vous permettent de copier la base de données de mot de passe car le post-fixe emballé sur Ubuntu existe dans un environnement de chroot. Une fois copié, Postfix lira la base de données et ajustera les autorisations. Vous pouvez ensuite redémarrer Postfix, et vous êtes prêt à partir.

Conclusion

Postfix SMTP est sans aucun doute l'un des agents de transfert de courrier open source les plus établis. Il achemine et fournit des e-mails de manière fiable. Son avantage le plus significatif sur les autres MTA comme Sendmail est qu'il est assez facile à configurer et à utiliser. La configuration précédente acheminera uniquement les e-mails de clients déjà authentifiés avec SASL. Nous avons donc configuré Postfix pour agir comme une file d'attente et un relais SMTP.