带smtp认证的postfix配置

fablefe

环境：RedHat Linux+Postfix+Cyrus-sasl+Dovecot+Stunnel
在安装Linux时，如果选择全部安装的话，Postfix与Dovecot以及Stunnel将会自动给予安装上去，查看是否已安装，可以执行如下命令：

rpm –qa | grep postfix或dovecot或stunnel

如果没有的话，请直接在光盘里找出来，并给予安装。这里以RPM包安装为列，安装命令如下： rpm –ivh postfix-*.rpm   或

rpm –ivh cyrus-sasl-*.rpm 或

rpm –ivh dovecot-*.rpm 或

rpm-ivh stunnel-*.rpm 这里的*代表的是相关的版本号。

在确认这些安装包已安装到系统里后，现在开始配置Mail服务。

首先，请停止系统内自带的Mail服务-Sendmail，执行如下命令： /etc/init.d/sendmail stop       //先停止sendmail进程

chkconfig sendmail off        //再把自启动服务去掉

一：配置Cyrus-sasl

确定已安装完Cyrus-sasl后，启动该服务： /etc/init.d/saslauthd start //启动Cyrus-sasl服务。

chkconfig saslauthd on //把Cyrus-sasl设置为开机自启动。 测试一下是否成功： testsaslauthd –u 系统用户名 –p ‘对应的密码’或

/usr/sbin/testsaslauthd –u 系统用户名 –p ‘对应的密码’



如果提示：

0: OK "Success."

则说明已安装成功！

注：Cyrus-sasl的功能就是实现密码验证机制。

二：配置SMTP

现在，开始配置Postfix，Postfix的功能就是实现SMTP服务，也即信件发送服务。Postfix的主要配置文档是/etc/postfix/main.cf，如果没看到mail.cf文档则请执行： cp /etc/postfix/main.cf.default /etc/postfix/main.cf 然后修改main.cf的相关内容。具体内容如下： alias_database = hash:/etc/aliases

alias_maps = hash:/etc/aliases

command_directory = /usr/sbin

config_directory = /etc/postfix

daemon_directory = /usr/libexec/postfix

debug_peer_level = 2

header_checks = regexp:/etc/postfix/header_checks

html_directory = no

mailbox_size_limit = 102400000

mailq_path = /usr/bin/mailq.postfix

manpage_directory = /usr/share/man

mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

mydomain = 域名

myhostname = mail.域名

mynetworks = 192.168.1.0/24, 127.0.0.0/8, 192.168.1.100/32

myorigin = $mydomain

newaliases_path = /usr/bin/newaliases.postfix

readme_directory = /usr/share/doc/postfix-1.1.11/README_FILES

relay_domains = nanoconcept.net

sample_directory = /usr/share/doc/postfix-1.1.11/samples

sendmail_path = /usr/sbin/sendmail.postfix

setgid_group = postdrop

smtpd_sasl_auth_enable = yes

smtpd_sasl_local_domain= ''

smtpd_recipient_restrictions =

permit_sasl_authenticated

permit_auth_destination

permit_mynetworks

check_relay_domain

reject_rbl_client yahoo.com.tw

reject_rbl_client cbl.anti-spam.org.cn

reject_rbl_client cdl.anti-spam.org.cn

reject_rbl_client cblplus.anti-spam.org.cn

reject_non_fqdn_sender

reject_non_fqdn_recipient

reject_unknown_sender_domain

reject_unknown_recipient_domain

reject

broken_sasl_auth_clients = yes

smtpd_client_restrictions = permit_sasl_authenticated

smtpd_recipient_restrictions = permit_sasl_authenticated

smtpd_sasl_security_options=noanonymous

unknown_local_recipient_reject_code = 550



Postfix配置文件默认情况下，没有启用SMTP认证机制，所以，需要修改postfix的主配置main.cf文件，也即上面以smtpd开头的，这些就是实现SMTP功能的配置内容！

现在可以启动postfix服务： /etc/init.d/postfix start        //启动postfix服务

chkconfig postfix on//设置postfix开机自启动。

可以通过netstat –ntl进行查看SMTP的端口(25)是否起来。

然后就可以进行测试是否能发信，如果不行的话，请查看一下：

/usr/lib/sasl2下是否存在着smtpd.conf与Sendmail.conf两个文件，其内容为：

[iyunv@xtmail sasl2]# cat Sendmail.conf

pwcheck_method:saslauthd

与：

[iyunv@xtmail sasl2]# cat smtpd.conf

pwcheck_method: saslauthd

但有时候，Postfix无法自动找到saslauthd的路径，所以需要在smtpd.conf里添加一条：

saslauthd_path:/var/run/saslauthd/mux

三：配置POP3

Dovecot的功能就是实现收信功能，即POP3功能。在安装Dovecot的RPM包后，Dovecot的配置文件是在/etc/下的dovecot.conf

为了能让Dovecot正常使用，需要修改一下dovecot.conf的些配置。具体如下：

protocols = pop3

pop3_listen = [::]

login = imap

login = pop3

mbox_locks = fcntl

auth = default

auth_mechanisms = plain

auth_userdb = passwd

auth_user = root

完后，请运行以下命令： /etc/init.d/dovecot start //启动Dovecot服务

chkconfig dovecot on //设置开机自启动 四：端口加密

现在就把一台具有SMTP与POP3功能的邮局配置完毕。当然了，这台只具备简单的SMTP与POP3功能的邮局，现在要对其进行端口加密。也就是提到的 Stunnel。Stunnel的配置文件是在/etc/stunnel/stunnel.conf，里面已有SMTP与POP3的进行端口加密。一般只要直接启动起来就可以了。具体形式如下：

/etc/init.d/stunnel //启动stunnel

如果是用tar.gz进行编译的话，有时在启动stunnel时，需要带上stunnel.conf的绝对路径！

五：检查端口是否正常开启

现在一套完整的Postfix邮局已配置完毕，可以投入正常使用。可以通过 netstat –ntl进行查看到25、110、465、995这几个端口的存在。其中25端口加密后就是465，110加密后就是995，110端口只是一个与客户端连接的，可以禁止掉。25端口不可以屏蔽掉，因为Mail服务器之间在互相传输时，还是使用25端口的。


在介绍如何配置Postfix的smtp配置之前有必要首先介绍一下它的背景和特点。
Postfix是一个由IBM资助下由Wietse Venema负责开发的自由软件工程的一个产物，其目的是为用户提供除sendmail之外的邮件服务器选择。Postfix力图做到快速、易于管理、提供尽可能的安全性，同时尽量做到和sendmail邮件服务器保持兼容性以满足用户的使用习惯。起初，Postfix是以VMailer这个名字发布的，后来由于商标上的原因改名为Postfix。

Postfix工程的目标是实现一个邮件服务器，提供给用户除sendmail以外的选择。其设计目标包括：

性能
Postfix要比同类的服务器产品速度快三倍以上，一个安装Postfix的台式机一天可以收发百万封信件。Postfix设计中采用了web服务器的的设计技巧以减少进程创建开销，并且采用了其他的一些文件访问优化技术以提高效率，但同时保证了软件的可靠性。

兼容性
Postfix设计时考虑了保持Sendmail的兼容性问题，以使移植变的更加容易。Postfix支持/var[/spool]/mail, /etc/aliases, NIS, 及 ~/.forward等文件。然而Postfix为保证管理的简单性，所以没有支持配置文件sendmail.cf。

安全和健壮性
Postfix设计上实现了程序在过量负载情况下仍然保证程序的可靠性。当出现本地文件系统没有可用空间或没有可用内存的情况时，Postfix就会自动放弃，而不是重试使情况变的更糟。

灵活性
Postfix结构上由十多个小的子模块组成，每个子模块完成特定的任务，如通过SMTP协议接收一个消息，发送一个消息，本地传递一个消息，重写一个地址等等。当出现特定的需求时，可以用新版本的模块来替代老的模块，而不需要更新整个程序。而且它也很容易实现关闭某个功能。

安全性
Postfix使用多层防护措施防范攻击者来保护本地系统，几乎每一个Postfix守护进程都能运行在固定低权限的chroot之下，在网络和安全敏感的本地投递程序之间没有直接的路径—一个攻击者必须首先突破若干个其他的程序，才有可能访问本地系统。Postfix甚至不绝对信任自己的队列文件或IPC消息中的内容以防止被欺骗。Postfix在输出发送者提供的消息之前会首先过滤消息。而且Postfix程序没有set-uid。

Postfix的一些特点

支持多传输域:sendmai支持在Internet, DECnet, X.400及UUCP之间转发消息。Postfix则灵活的设计为无须虚拟域(vistual domain)或别名来实现这种转发。但是在早期的发布里仅仅支持STMP和有限度地支持UUCP,但对于我国用户来说，多传输域的支持没有什么意义。

虚拟域:在大多数通用情况下，增加对一个虚拟域的支持仅仅需要改变一个Postfix查找信息表。其他的邮件服务器则通常需要多个级别的别名或重定向来获得这样的效果。

UCE控制(UCE,unsolicited commercial email): Postfix能限制哪个主机允许通过自身转发邮件，并且支持限定什么邮件允许接进。Postfix实现通常的控制功能：黑名单列表、RBL查找、HELO/发送者DNS核实。基于内容过滤当前没有实现。

表查看: Postfix没有实现地址重写语言，而是使用了一种扩展的表查看来实现地址重写功能。表可以是本地dbm或 db文件等格式。

好，下面就来看看具体的配置过程：

版本

redhat 6.2
cyrus-sasl-1.5.24 snapshot-20010329

下载：http://ftp.cnuol.com

步骤：

1.安装sasl

#./configure --enable-login --with-pwcheck;make;make install
#echo /usr/local/lib>>/etc/ld.so.conf
#echo /usr/local/lib/sasl >> /etc/ld.so.conf
# ldconfig

2.安装postfix

# make tidy
# make makefiles CCARGS="-DUSE_SASL_AUTH -I/usr/local/include" AUXLIBS="-L/usr/local/lib -lsasl"
# make
# adduser -s /bin/false postfix
# make install

3.修改postfix的cf文件使支持smtp认证

在/etc/postfix/main.cf文件最后加上：
smtpd_sasl_auth_enable = yes
smtpd_delay_reject=yes
smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated permit_auth_destination reject
smtpd_client_restrictions = permit_sasl_authenticated broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous

这样用户的postfix就支持smtp认证了。Postfix其余的配置请参考/etc/postfix/main.cf.default和sample-*文件，这里不多说了。

现在telnet 25口应该有下面的提示

$telnet 127.0.0.1 25

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is ^].

220 mailx.bjcnuol.com ESMTP Postfix
ehlo 127.0.0.1
250-mailx.bjcnuol.com
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
如果有就差不多成功了。

4.配置sasl使支持smtp认证

# touch /usr/local/lib/sasl/smtpd.conf
# echo pwcheck_method:shadow >> /usr/local/lib/sasl/smtpd.conf

5.设置口令文件权限

因为postfix用户无权读取/etc/shadow所以必须把shadow文件的权限改成postfix，这不能不说是一个缺陷，如果你觉得不安全，你可以将认证方式该为sasldb的方式，但是这样需要额外创建用户和口令不能和邮件用户的口令保持一致修改口令也不方便。此外还可以用pwcheck守护进程，但我没试出来感兴趣的朋友可以试试，如果成功了别忘了告诉我。


6.配置OE5

1.)打开你的Outlook Express，修改你的账号属性，在服务器选项，选取我的smtp服务器需要认证选项，
然后进入配置。

2.)不要选取安全口令认证，postfix并不支持这个选项。是选取使用pop3同样的口令还是选择另外输入用户密码，这就看你的爱好和设置了，这不是关键。如果你在服务器上有一个真实账号，不妨选取使用同样的口令，如果没有账号，选用其他的用户口令同样可以。

7.启动和关闭postfix

启动 postfix start
关闭 postfix stop

你可以把postfix start放到/etc/rc.d/rc.local文件的最后用来每次重起后自动启动postfix.