воскресенье, 26 января 2014 г.

Установка и настройка Dovecot

В прошлой заметке была рассмотрена настройка веб-интерфейса для управления почтовыми ящиками Postfixadmin.

В этой заметке рассмотрена настройка агента доставки почты (MDA) Dovecot для совместного использования с Postfixadmin. Рассмотрена вторая версия сервера, настройка которой несколько отличается от настройки первой версии. Я и раньше не считал документацию на Dovecot хорошей, но для настройки второй версии мне пришлось потратить ещё больше времени, потому что для неё документации ещё меньше. Собственно, всё, что есть из документации - это официальный сайт с wiki-страницами, больше напоминающими обрывки HowTo, нежели систематическую исчерпывающую документацию по каждой доступной опции.

Файл конфигурации Dovecot состоит из нескольких логических элементов: глобальные настройки, раздел настройки словарей, несколько разделов настройки сервисов, раздел настройки плагинов. Файл конфигурации не назовёшь логичным, поскольку плагины включаются в одном разделе файла, а настройки хранятся в другом. Взаимосвязи между плагинами и используемыми ими сервисами тоже не всегда кажутся очевидными.

Однако при всех указанных недостатках, Dovecot всё равно настраивается проще других подобных систем (Courier и Cyrus). Причин у этого, на мой взгляд, две: он лучше поддерживается разработчиками дистрибутива и в нём меньше исторических наслоений. (По непонятным причинам поддержка Courier оставляет желать лучшего: когда я пытался его настроить, мне пришлось пересобрать пакет с библиотекой SASL, чтобы она поддерживала прямую работу с courier-auth. После длительных мучений с его настройкой, я решил больше не биться головой в закрытую дверь, пытаясь исправить очередную кривизну в поставке по умолчанию, и настроил Dovecot. Собственно, я и пытался-то настроить Courier из простого любопытства).

Главное разочарование, постигшее меня при настройке второй версии Dovecot, заключалось в том, что теперь не работает придуманный мной метод аутентификации POP-before-SMTP. В новом Dovecot можно задавать только скрипты, выполняемые при отключении клиента от сервера POP3 или IMAP, а не в момент подключения, как это было раньше. В результате для того, чтобы отправить письмо, нужно не только подключиться к POP3 или IMAP-серверу, но и тут же отключиться от него. Впрочем, большинство современных почтовых клиентов имеет встроенную поддержку аутентификации на SMTP-сервере, поэтому утрата не выглядит сейчас столь уж серьёзной.

1. Установка Dovecot

Установим пакеты Dovecot, содержащие поддержку серверов POP3 и IMAP, а также пакет, позволяющий использовать данные из MySQL:
# apt-get install dovecot-core dovecot-imapd dovecot-pop3d dovecot-mysql
2. Подготовка системы

Создадим группу и пользователя vmail, от имени которого будет работать Dovecot и дадим этому пользователю доступ к каталогу, в котором будет храниться почта пользователей почтовой системы. На серверах для размещения почтовых ящиков, как и другой часто меняющейся информации, обычно используется раздел /var, который заранее делается достаточно большим. На настраиваемой мной системе больше всего свободного места на разделе home, поэтому я размещу почтовые ящики пользователей на нём:
# groupadd -g 120 -r vmail
# useradd -g 120 -r -u 120 vmail
# mkdir /home/vmail
# chown vmail:vmail /home/vmail
# chmod u=rwx,g=rx,o= /home/vmail
Добавляем пользователя dovecot для доступа к базе данных:
USE mysql;

INSERT INTO user(user, password, host) VALUES('dovecot', PASSWORD('dovecot_password'), 'localhost');

FLUSH PRIVILEGES;
Вместо пароля dovecot_password я сгенерировал случайный пароль при помощи программы pwgen из одноимённого пакета. Можно сгенерировать сразу длинный пароль, поскольку вводить вручную его не придётся:
$ pwgen 16
Здесь и ниже я оставил пароль dovecot_password для того, чтобы описание настройки было более наглядным. При реальной настройке Dovecot стоит использовать случайный пароль.

Таблица mailbox в базе данных postfixadmin содержит информацию о почтовых ящиках. Дадим пользователю dovecot доступ к таблице mailbox и её колонкам:
USE mysql;

INSERT INTO tables_priv(host, db, user, table_name, table_priv, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'mailbox', '', 'Select');

INSERT INTO columns_priv(host, db, user, table_name, column_name, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'username', 'Select'),
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'local_part', 'Select'),
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'domain', 'Select'),
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'password', 'Select'),
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'quota', 'Select'),
('localhost', 'postfixadmin', 'dovecot', 'mailbox', 'active', 'Select');

FLUSH PRIVILEGES;
3. Базовая настройка Dovecot

Обратимся к странице Сравнение почтовых программ на Википедии. Судя по сводной таблице механизмов аутентификации, поддерживаемых разными почтовыми клиентами, большинство из них поддерживает механизмы PLAIN, LOGIN и CRAM-MD5.

При использовании PLAIN и LOGIN пароль передаётся в открытом виде, а хранить в базе данных его можно в хэшированном виде. В случае с CRAM-MD5 дело обстоит с точностью до наоборот - пароль передаётся в хэшированном виде, но хранится - в открытом.

Что безопаснее? Если вы не собираетесь настраивать защищённые версии протоколов IMAP и POP3, то лучше использовать CRAM-MD5. На мой взгляд вероятность перехвата паролей выше, нежели вероятность получения не авторизованного доступа к базе данных. Если же предполагается всегда использовать шифрование, то безопаснее использовать PLAIN и LOGIN, потому что при их использовании можно хранить пароли в базе данных в хэшированном виде. Пароль при этом не получится перехватить, а в случае получения доступа к хэшам паролей воспользоваться ими напрямую не удастся, т.к. нужно будет подобрать пароль, который будет соответствовать хэшу.

Я буду использовать защищённые версии протоколов IMAP и POP3, поэтому настрою в файле /etc/dovecot/conf.d/10-auth.conf механизмы PLAIN и LOGIN, чтобы хранить пароли в базе данных в хэшированном виде:
disable_plaintext_auth = no
auth_default_realm = domain.tld
auth_mechanisms = plain login
!include auth-sql.conf.ext
Настроим использование учётных данных из базы данных SQL, прописав в файле /etc/dovecot/conf.d/auth-sql.conf.ext следующие секции:
passdb {
  driver = sql
  args = /etc/dovecot/dovecot-mysql.conf
}
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-mysql.conf
}
Теперь нужно прописать в файл /etc/dovecot/dovecot-mysql.conf учётные данные для доступа к базе данных и запросы для извлечения из неё необходимой информации о почтовых ящиках:
driver = mysql

connect = host=localhost dbname=postfixadmin user=dovecot password=dovecot_password

default_pass_scheme = MD5-CRYPT

password_query = SELECT local_part AS username, \
                        domain, \
                        password, \
                        120 AS userdb_uid, \
                        120 AS userdb_gid, \
                        CONCAT('*:bytes=', quota) AS userdb_quota_rule \
                 FROM mailbox \
                 WHERE username = '%u' \
                   AND active = 1

user_query =  SELECT CONCAT('*:bytes=', quota) AS quota_rule, \
                     120 AS uid, \
                     120 AS gid \
              FROM mailbox \
              WHERE username = '%u' \
                AND active = 1

iterate_query = SELECT username AS user \
                FROM mailbox \
                WHERE active = 1
Выделенные жирным шрифтом части запросов используются плагином quota. Если вы не собираетесь настраивать этот плагин, то эти части запросов можно пропустить. Настройка этого плагина подробнее рассмотрена ниже.

Стоит сразу же изменить права доступа к этому файлу, чтобы посторонние пользователи системы не смогли увидеть пароль, под которым dovecot будет подключаться к базе данных:
# chown root:dovecot /etc/dovecot/dovecot-mysql.conf 
# chmod u=rw,g=r,o= /etc/dovecot/dovecot-mysql.conf
В противном случае потенциальный злоумышленник, получивший локальный непривилегированный доступ к системе, сможет получить список почтовых ящиков системы и хэши паролей от них (или сами пароли). Понятно, чем может быть опасно получение доступа к паролям или их хэшам - злоумышленник сможет получить полный доступ к ящикам. Не столь очевидной может показаться опасность получения злоумышленником списка почтовых ящиков - на них он может начать отправлять спам, что тоже не обрадует ни пользователей почтовой системы, ни её администратора.

Изменим форматирование отметок времени, вписав в файл /etc/dovecot/conf.d/10-logging.conf следующую настройку:
log_timestamp = "%Y-%m-%d %H:%M:%S "
На время отладки также можно включить другие опции из этого файла:
auth_verbose = yes
auth_verbose_passwords = yes
auth_debug = yes
mail_debug = yes
В файле /etc/dovecot/conf.d/10-mail.conf настроим путь к почтовым ящикам и пользователя, от имени которого dovecot будет работать с ящиками:
mail_home = /home/vmail/%Ld/%Ln
mail_location = maildir:/home/vmail/%Ld/%Ln
mail_uid = vmail
mail_gid = vmail
first_valid_uid = 120
last_valid_uid = 120
first_valid_gid = 120
last_valid_gid = 120
Сейчас придётся немного опять забежать вперёд и настроить SASL. Это сервис, при помощи которого Postfix будет проверять учётные данные почтовых клиентов. Для этого отредактируем файл /etc/dovecot/conf.d/10-master.conf и впишем в него путь к UNIX-сокету и права доступа к нему:
service auth {
  unix_listener /var/spool/postfix/private/auth {
    mode = 0600
    user = postfix
    group = postfix
  }
}
Сокет-файл размещается в chroot-окружении Postfix и доступен для чтения и записи только пользователю postfix.

Зададим в файле /etc/dovecot/conf.d/15-lda.conf адрес, с которого Dovecot будет отправлять сообщения об ошибках:
postmaster_address = postmaster@domain.tld
Осталось отредактировать файл /etc/dovecot/dovecot.conf, указав в нём адрес, на котором сервер будет ожидать подключений:
!include_try /usr/share/dovecot/protocols.d/*.protocol
listen = *
!include conf.d/*.conf
!include_try local.conf
Начальная настройка сервера окончена. Осталось перезапустить Dovecot, чтобы настройки вступили в силу:
# /etc/init.d/dovecot restart

4. Настройка плагина acl

Плагин acl позволяет пользователям предоставлять друг другу доступ к папкам в своих почтовых ящиках. Это может быть полезно для корпоративных пользователей. Например, для директора и его заместителя. Или для директора и его секретаря. Или для сотрудников из одного отдела, которые подменяют друг друга на время обеда или отпуска. Эта возможность, естественно, доступна только при использовании протокола IMAP.

В файле /etc/dovecot/conf.d/10-mail.conf включаем использование плагина:
mail_plugins = acl
В файле /etc/dovecot/conf.d/20-imap.conf включаем использование плагина в IMAP-сервере:
protocol imap {
  mail_plugins = $mail_plugins imap_acl
}
В файле /etc/dovecot/conf.d/10-mail.conf прописываем следующие настройки:
namespace inbox {
  type = private
  separator = /
  prefix =
  inbox = yes
}

namespace {
  type = shared
  separator = /
  prefix = shared/%%u/
  location = maildir:%%h:INDEX=%h/shared/%%u
  subscriptions = yes
  list = children
}
Эти настройки описывают два пространства имён: в первом хранится личная почта пользователя, а во втором будут отображаться каталоги других пользователей, к которым этот пользователь имеет доступ.

Поясню смысл настроек location для пространства имён общих каталогов:
  • maildir:%%h - означает место расположения чужого почтового ящика в формате Maildir,
  • %%h - полный путь к Maildir-каталогу чужого ящика,
  • INDEX=%h/shared/%%u - задаёт каталог, в который как бы монтируются каталоги чужой почты, к которым её владелец дал нам доступ,
  • %h - путь к Maildir-каталогу нашего ящика,
  • %%u - имя другого пользователя в виде box@domain.tld.

В файл /etc/dovecot/conf.d/90-acl.conf прописываем настройки плагина:
plugin {
  acl = vfile
  acl_shared_dict = file:/home/vmail/%Ld/shared-mailboxes.db
}
Значение vfile предписывает создавать внутри почтового ящика файл dovecot-acl, в котором и будут прописываться права доступа к нему со стороны других пользователей.

Значение acl_shared_dict указывает путь к файлу словаря, который позволит пользователям узнавать, к каким каталогам в чужих почтовых ящиках у них имеется доступ. В данном случае для каждого домена будет создан отдельный файл словаря, расположенный в каталоге домена, на одном уровне с ящиками.

Заодно опишем в файле /etc/dovecot/conf.d/15-mailboxes.conf назначение различных каталогов внутри пространства имён, в котором хранится личная почта пользователя:
namespace inbox {
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Trash {
    special_use = \Trash
  }
  mailbox Sent {
    special_use = \Sent
  }
}
  • Drafts - каталог черновиков,
  • Junk - каталог для спама,
  • Trash - каталог для удалённых писем,
  • Sent - каталог для отправленных писем.
Современные почтовые программы смогут прямо по протоколу IMAP узнать назначение каждого из специальных каталогов, вне зависимости от их названия. Это бывает полезно, если каталог имеет нестандартное название или название на языке пользователя ящика, например "Входящие" или "Спам".

Чтобы настройки плагина acl вступили в силу, нужно перезапустить Dovecot:
# /etc/init.d/dovecot restart
5. Настройка плагина quota

Плагин quota позволяет назначить для почтового ящика ограничения на объём хранящихся в нём писем или даже на их общее количество. На мой взгляд, ограничение на общее количество писем имеет довольно мало смысла. Единственная польза, которая мне приходит на ум - это возможность защититься от исчерпания inode'ов в файловой системе, если кто-то намеренно решит отправить огромное количество мелких писем в ящики пользователей, с целью нарушить работу почтовой системы.

Мы настроим плагин так, чтобы он использовал значения квот, указанные в интерфейсе Postfixadmin. Эти квоты ограничивают только максимальный объём писем в ящике.

Включим использование плагина в файле /etc/dovecot/conf.d/10-mail.conf:
mail_plugins = acl quota
Жирным шрифтом показан добавленный текст, а курсивом - текст, добавленный нами при включении плагина acl. Если вы не включали плагин acl, то вписывать этот текст не нужно.
В файл /etc/dovecot/conf.d/15-lda.conf впишем, что в случае превышения квоты Dovecot должен сообщать о временной ошибке, но не отклонять письмо окончательно. Почтовый сервер отправителя (или наш MTA) будет периодически предпринимать повторные попытки в надежде на то, что адресат почистит свой ящик от ненужных писем.
quota_full_tempfail = yes
В файл /etc/dovecot/conf.d/20-imap.conf добавим поддержку квот в IMAP-сервере:
protocol imap {
  mail_plugins = $mail_plugins imap_acl imap_quota
}
Этот плагин позволит почтовым клиентам, работающим по протоколу IMAP, узнавать квоту почтового ящика и её текущее использование.

Укажем в файле /etc/dovecot/conf.d/90-quota.conf, что значения квот берутся из словаря и зададим пустое правило по умолчанию:
plugin {
  quota = dict:User quota::proxy::quota
  quota_rule = *:
}
Текст proxy задаёт использование прокси-сервера, который выполняет мультиплексирование подключений к базе данных. Прокси устанавливает постоянные подключения к базе данных и выполняет необходимые запросы через эти подключения. Таким образом снижаются накладные расходы на повторные переподключения и уменьшается количество одновременно установленных подключений, поскольку без использования прокси каждый процесс, обслуживающий одного клиента, устанавливал бы своё собственное подключение к базе данных.

Плагин quota использует сервис доступа к словарям данных. Включим и настроим этот сервис в файле /etc/dovecot/conf.d/10-master.conf:
service dict {
  unix_listener dict {
    mode = 0600
    user = vmail
    group = vmail
  }
}
Теперь укажем в файле /etc/dovecot/dovecot.conf, где хранятся настройки словаря с данными квот:
dict {
  quota = mysql:/etc/dovecot/dovecot-dict-mysql.conf
}
И укажем в файле с настройками /etc/dovecot/dovecot-dict-mysql.conf, в какой таблице хранятся данные о текущем использовании квот и как подключиться к базе данных с этой таблицей:
connect = host=localhost dbname=postfixadmin user=dovecot password=dovecot_password

map {
  pattern = priv/quota/storage
  table = quota2
  username_field = username
  value_field = bytes
}
Сразу же изменим права доступа к этому файлу, чтобы посторонние пользователи системы не смогли увидеть пароль, под которым dovecot будет подключаться к словарям в базе данных:
# chown root:dovecot /etc/dovecot/dovecot-dict-mysql.conf 
# chmod u=rw,g=r,o= /etc/dovecot/dovecot-dict-mysql.conf
Выдадим пользователю dovecot права на доступ к таблице quota2 и её колонкам:
USE mysql;

INSERT INTO tables_priv(host, db, user, table_name, table_priv, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'quota2', 'Delete', 'Select,Insert,Update');

INSERT INTO columns_priv(host, db, user, table_name, column_name, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'quota2', 'username', 'Select,Insert,Update'),
('localhost', 'postfixadmin', 'dovecot', 'quota2', 'bytes', 'Select,Insert,Update');

FLUSH PRIVILEGES;
Не забудьте вписать в файл /etc/dovecot/dovecot-mysql.conf текст, выделенный жирным шрифтом в разделе 3. Этот текст извлекает из базы данных настройки квот ящиков.

Настройка плагина закончена. Осталось перезапустить Dovecot:
# /etc/init.d/dovecot restart
6. Настройка плагина expire

Плагин expire позволяет автоматически удалять устаревшие письма из каталогов почтовых ящиков. Обычно это каталоги с удалённой почтой и спамом. Поскольку алгоритмы обнаружения спама не совершенны, не стоит удалять такие письма - нужно дать пользователю возможность прочитать письмо, ошибочно определённое как спам. С другой стороны, хочется избавить пользователя от утомительной привычки периодически чистить почтовый ящик, особенно для каталогов со спамом и удалёнными письмами - письма в этих каталогах обладают заведомо низкой ценностью.

Включим плагин в файле /etc/dovecot/conf.d/10-mail.conf:
mail_plugins = acl quota expire
Курсивом отмечены плагины, настройка которых была рассмотрена выше. Если вы пропустили их настройку, не нужно их вписывать - достаточно добавить текст, отмеченный жирным шрифтом.
Теперь настроим плагин в файле /etc/dovecot/conf.d/90-expire.conf:
plugin {
  expire = Trash 7            # Хранение писем в папке Trash - 7 дней
  expire2 = Trash/* 7         # Хранение писем в подпапках папки Trash - 7 дней
  expire3 = Junk 30           # Хранение писем в папке Junk - 30 дней
  expire_dict = proxy::expire # Использовать словарь для хранения отметок времени писем
}
Текст proxy задаёт использование прокси-сервера, который выполняет мультиплексирование подключений к базе данных (см. выше описание плагина quota). На самом деле для каждого каталога будет храниться лишь одна отметка времени для самого старого письма в каталоге, которая будет обновляться при очередной чистке каталога.

В файле /etc/dovecot/dovecot.conf укажем путь к файлу с настройками словаря, в котором будут храниться данные об отметках времени писем:
dict {
  quota = mysql:/etc/dovecot/dovecot-dict-mysql.conf
  expire = mysql:/etc/dovecot/dovecot-dict-mysql.conf
}
Курсивом отмечена строчка, которая была добавлена в процессе настройки плагина quota. Сейчас же нужно добавить строчку, отмеченную жирным шрифтом.

Настроим учётные данные для подключения к базе данных в файле /etc/dovecot/dovecot-dict-mysql.conf. Там же укажем, в какой таблице и в каких её полях хранить отметки времени.
connect = host=localhost dbname=postfixadmin user=dovecot password=dovecot_password

map {
  pattern = priv/quota/storage
  table = quota2
  username_field = username
  value_field = bytes
}

map {
  pattern = shared/expire/$user/$mailbox
  table = expire
  value_field = expire_stamp

  fields {
    username = $user
    mailbox = $mailbox
  }
}
Тут так же нужно добавить лишь текст, выделенный жирным шрифтом. Курсивом отмечен текст, добавленный при настройке плагина quota.

Если вы ещё не поменяли права доступа к этому файлу, стоит сделать это сейчас, чтобы посторонние пользователи системы не могли прочитать пароль, под которым dovecot будет подключаться к словарям в базе данных:
# chown root:dovecot /etc/dovecot/dovecot-dict-mysql.conf 
# chmod u=rw,g=r,o= /etc/dovecot/dovecot-dict-mysql.conf
Включим в файле /etc/dovecot/conf.d/10-master.conf сервис для доступа к словарям, если вы его ещё не включили при настройке плагина quota:
service dict {
  unix_listener dict {
    mode = 0600
    user = vmail
    group = vmail
  }
}
Поскольку по умолчанию в Postfixadmin нет таблицы, предназначенной для хранения информации плагина expire из Dovecot, создадим эту таблицу и дадим пользователю Dovecot права доступа к ней:
USE postfixadmin;

CREATE TABLE expire (
  username varchar(255) not null,
  mailbox varchar(255) not null,
  expire_stamp integer not null,
  primary key (username, mailbox)
);

USE mysql;
 
INSERT INTO tables_priv(host, db, user, table_name, table_priv, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'expire', 'Delete', 'Select,Insert,Update');

INSERT INTO columns_priv(host, db, user, table_name, column_name, column_priv) VALUES
('localhost', 'postfixadmin', 'dovecot', 'expire', 'username', 'Select,Insert,Update'),
('localhost', 'postfixadmin', 'dovecot', 'expire', 'mailbox', 'Select,Insert,Update'),
('localhost', 'postfixadmin', 'dovecot', 'expire', 'expire_stamp', 'Select,Insert,Update');

FLUSH PRIVILEGES;
На этом настройку плагина можно считать оконченной. Осталось лишь перезапустить Dovecot, чтобы изменения вступили в силу:
# /etc/init.d/dovecot restart
7. Настройка SSL

Настройка SSL будет подробнее рассмотрена в одной из следующих заметок. Там будет описана настройка отдельных сертификатов SSL для разных доменов, а также будет освещён вопрос подготовки самих сертификатов - самоподписанных или подписанных центром сертификации.

Если у вас имеются готовый подписанный сертификат, можно включить поддержку SSL в файле /etc/dovecot/conf.d/10-ssl.conf и указать в нём пути к файлам сертификата:
ssl = yes
ssl_cert = </etc/ssl/mail_public.pem
ssl_key = </etc/ssl/mail_private.pem
После настройки сертификатов нужно перезапустить Dovecot, чтобы изменения вступили в силу:
# /etc/init.d/dovecot restart
8. Настройка плагина sieve

Sieve - это скрипты фильтрации почты, которые выполняются агентом локальной доставки (LDA) в момент получения письма от почтового сервера (MTA). Скрипты позволяют раскладывать письма в разные папки, ориентируясь на их содержимое - тему письма, получателей, отправителей и т.п. Можно удалить письмо, переслать его на другой ящик или отправить уведомление отправителю, причём использовать можно любое поле заголовка или содержимое тела письма.

Главное преимущество Sieve заключается в том, что пользователю не нужно настраивать правила фильтрации в каждом из используемых им почтовых клиентов - правила едины для всех почтовых клиентов сразу. Кроме того, фильтрация происходит вообще без участия клиента. Клиент, подключившись к почтовому ящику, имеет возможность работать уже с отсортированной почтой. Кроме того, отправка уведомлений о получении или пересылка писем на другой ящик вообще может происходить без участия почтового клиента.

Конечно, в наши времена больших почтовых сервисов типа Gmail или Яндекс-почты, этим никого не удивишь. Но тут плюс заключается в том, что перед нами не стоит дилемма "удобство" - "безопасность". Мы можем хранить почту у себя, не делясь ею с посторонними компаниями, имея над ней полный контроль, и в то же время можем пользоваться удобствами, характерными для больших почтовых сервисов.

Установим пакет с плагином Sieve:
# apt-get install dovecot-sieve
Включим использование плагина в файле /etc/dovecot/conf.d/15-lda.conf:
protocol lda {
  mail_plugins = $mail_plugins sieve
}
Укажем настройки плагина в файле /etc/dovecot/conf.d/90-sieve.conf:
plugin {
  sieve = /home/vmail/%Ld/%n/active.sieve # Расположение активного скрипта
  sieve_dir = /home/vmail/%Ld/%n/sieve    # Каталог для скриптов
  sieve_max_script_size = 1M              # Максимальный размер одного скрипта
  sieve_quota_max_scripts = 50            # Максимальное количество скриптов
  sieve_quota_max_storage = 1M            # Максимальный общий объём скриптов
}
Каждый пользователь может обладать собственным набором Sieve-скриптов, из которых в любой момент времени активным может быть только один. Каталог для скриптов указывается в настройке sieve_dir, а в настройке sieve указывается имя символической ссылки, которая будет указывать на активный скрипт.

После настройки плагина нужно перезапустить Dovecot, чтобы изменения вступили в силу:
# /etc/init.d/dovecot restart
Подробнее о скриптах Sieve можно почитать на Википедии, в статье Sieve.

9. Настройка сервиса managesieve

Плагин sieve не был бы столь полезным, если бы Sieve-скриптами нельзя было бы управлять прямо из почтового клиента. Именно эту функцию и реализует сервис ManageSieve. Он ожидает подключений клиентов на отдельном TCP-порту 4190. Для управления скриптами клиент использует учётные данные своего почтового ящика.

Для включения сервиса достаточно лишь установить дополнительный пакет:
# apt-get install dovecot-managesieve
В следующих заметках фильтрация писем при помощи Sieve будет рассмотрена подробнее - я покажу, как им пользоваться в почтовых клиентах.

10. Результирующий файл конфигурации

Поскольку настроек очень много, проверить их можно при помощи следующей команды:
$ doveconf -n
Опция n предписывает показывать только те настройки, которые отличаются от настроек по умолчанию. У меня со всеми плагинами, настройка которых была тут описана, команда выдаёт следующий результат:
# 2.1.7: /etc/dovecot/dovecot.conf
# OS: Linux 3.2.0-4-amd64 x86_64 Debian 7.3 ext4
auth_default_realm = domain.tld
auth_mechanisms = plain login
dict {
  expire = mysql:/etc/dovecot/dovecot-dict-mysql.conf
  quota = mysql:/etc/dovecot/dovecot-dict-mysql.conf
}
disable_plaintext_auth = no
first_valid_gid = 120
first_valid_uid = 120
last_valid_gid = 120
last_valid_uid = 120
listen = *
log_timestamp = "%Y-%m-%d %H:%M:%S "
mail_gid = vmail
mail_home = /home/vmail/%Ld/%Ln
mail_location = maildir:/home/vmail/%Ld/%Ln
mail_plugins = quota acl expire
mail_uid = vmail
managesieve_notify_capability = mailto
managesieve_sieve_capability = fileinto reject envelope encoded-character vacation subaddress comparator-i;ascii-numeric relational regex imap4flags copy include variables body enotify environment mailbox date ihave
namespace {
  list = children
  location = maildir:%%h:INDEX=%h/shared/%%u
  prefix = shared/%%u/
  separator = /
  subscriptions = yes
  type = shared
}
namespace inbox {
  inbox = yes
  location = 
  mailbox Drafts {
    special_use = \Drafts
  }
  mailbox Junk {
    special_use = \Junk
  }
  mailbox Sent {
    special_use = \Sent
  }
  mailbox Trash {
    special_use = \Trash
  }
  prefix = 
  separator = /
  type = private
}
passdb {
  args = /etc/dovecot/dovecot-mysql.conf
  driver = sql
}
plugin {
  acl = vfile
  acl_shared_dict = file:/home/vmail/%Ld/shared-mailboxes.db
  expire = Trash 7
  expire2 = Trash/* 7
  expire3 = Spam 30
  expire_dict = proxy::expire
  quota = dict:User quota::proxy::quota
  quota_rule = *:
  sieve = /home/vmail/%Ld/%n/active.sieve
  sieve_dir = /home/vmail/%Ld/%n/sieve
  sieve_max_script_size = 1M
  sieve_quota_max_scripts = 50
  sieve_quota_max_storage = 1M
}
postmaster_address = postmaster@stupin.su
protocols = " imap sieve pop3"
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0600
    user = postfix
  }
}
service dict {
  unix_listener dict {
    group = vmail
    mode = 0600
    user = vmail
  }
}
ssl_cert = </etc/ssl/mail.stupin.su.public.pem
ssl_key = </etc/ssl/mail.stupin.su.private.pem
userdb {
  args = /etc/dovecot/dovecot-mysql.conf
  driver = sql
}
protocol lda {
  mail_plugins = quota acl expire sieve
}
protocol imap {
  mail_plugins = quota acl expire imap_quota imap_acl
}
Примечание от 27 марта 2013 года: Дополнил описание плагина acl.

На этом заметку, посвящённую настройке Dovecot, можно считать оконченой. Продолжение: Установка и настройка Postfix, OpenDKIM, ClamAV-Milter, Milter-Greylist. Или можете продолжить настройку на основе Exim: Настройка Exim

воскресенье, 19 января 2014 г.

Установка и настройка Postfixadmin

Ранее я уже описывал настройку почтовой системы, использующей Postfixadmin в качестве веб-интерфейса для её администрирования: Настройка почтовой системы на основе Postfix, Dovecot, PostfixAdmin.

Тогда я просто скомпилировал свою заметку из различных рецептов, которые мне больше всего понравились. Сейчас я вижу в той заметке достаточное количество недостатков. Например, в той заметке настраивается SASL через плагин auxprop из Cyrrus, хотя Postfix может использовать SASL, встроенный в Dovecot. Для фильтрации спама по серым спискам был выбран Postgrey, просто потому что он был тогда на слуху. Фильтрация вирусов осуществляется с использованием SMTP-прокси, хотя есть более подходящий для этого способ - milter.

Начнём, как и в прошлый раз, с настройки Postfixadmin. Кроме Postfixadmin имеется множество других различных веб-интерфейсов для управления почтовой системой (одну я даже написал для себя сам), однако Postfixadmin наиболее популярен. Настройка начнётся с него, потому что остальные системы зависят от него, а он сам от них относительно независим.

1. Немного о терминологии

Имеется несколько устоявшихся аббревиатур для различных компонентов почтовой системы:

MTA - Mail Transfer Server - сервер передачи почты, занимается лишь отправкой и приёмом почты по протоколу SMTP. Примеры таких программ: Exim, Postfix, Sendmail, Qmail, Microsoft Exchange, MDaemon.

MUA - Mail User Agent - агент пользователя почты. Это программа для чтения писем, их сбора с почтовых ящиков, для отправки писем. Эта программа взаимодействует непосредственно с пользователем. Примеры программ: графические Mozilla Thunderbird, ClawsMail, Evolution, Outlook, Outlook Express, веб-приложения SquirrelMail, RoundCube, консольные приложения mutt, gnus.

MDA - Mail Delivery Agent - агент доставки почты. Занимается управлением почтовыми ящиками - кладёт в них новые письма, удаляет, перемещает, отдаёт их содержимое по запросу MUA. В общем и целом - это сервер, работающий по протоколу POP3 или IMAP. Примеры серверов: Cyrrus IMAP, Courier IMAP, Dovecot.

LDA - Local Delivery Agent - агент локальной доставки. Небольшой компонент MTA или MDA, задача которого сводится к тому, чтобы положить в ящик пользователя почту, принятую MTA. Может работать по протоколу LMTP, являющимся упрощённым вариантом SMTP. Во время приёма письма от MTA может производить подсчёт использования квоты почтового ящика, может осуществлять фильтрацию почты, оценивая степень её похожести на спам или просто раскладывая письма в нужные каталоги почтового ящика, руководствуясь правилами, заданными пользователем.

2. Установка сервера MySQL

Установим сервер MySQL:
# apt-get install mysql-server
Подробнее останавливаться на настройке сервера MySQL не стану.

3. Установка Postfixadmin

Ставим пакет:
# apt-get install postfixadmin
В процессе установки запустится мастер настройки базы данных:


Настройки подключения Postfixadmin к базе данных находятся в файле /etc/postfixadmin/dbconfig.inc.php, где их можно впоследствии изменить.

4. Настройка веб-сервера

Традиционно, я воспользуюсь Lighttpd. Установим веб-сервер, Postfixadmin и PHP для его работы:
# apt-get install lighttpd php5-cgi
Скопируем имеющийся в пакете файл /etc/postfixadmin/lighttpd.conf в каталог /etc/lighttpd/conf-available/ под именем 30-postfixadmin.conf:
# cp /etc/postfixadmin/lighttpd.conf /etc/lighttpd/conf-available/30-postfixadmin.conf
Я вписал в файл /etc/lighttpd/conf-available/30-postfixadmin.conf следующие настройки:
$HTTP["host"] == "mail.domain.tld" {
  alias.url += (
    "/admin" => "/usr/share/postfixadmin",
  )
}
Теперь включим модули Lighttpd, необходимые для работы Postfixadmin:
# lighty-enable-mod fastcgi fastcgi-php postfixadmin
# /etc/init.d/lighttpd force-reload
5. Веб-настройка Postfixadmin

Когда веб-сервер настроен для обслуживания веб-интерфейса Postfixadmin, можно зайти на страницу setup.php и сгенерировать хэш пароля для дальнейшей настройки:

Копируем хэш:

Вставляем хэш в файл /etc/postfixadmin/config.inc.php. Затем вводим пароль и данные учётной записи суперадминистратора, которая будет создана:

После того, как появится сообщение о добавлении администратора, можно войти под этой учётной записью в интерфейс администрирования:


6. Тонкая настройка Postfixadmin

Настройки Postfixadmin находятся в файле /etc/postfixadmin/config.inc.php. Ниже показаны полезные опции из этого файла с моими комментариями. Жирным шрифтом показаны опции, на которые следует обратить особое внимание. fetchmail и отсылку уведомлений при отсутствии адресата (vactions) я не настраивал, поэтому эти опции подробно не рассмотрены.
$CONF['configured'] = true;                    // Разрешает работу Postfixadmin
$CONF['setup_password'] = 'changeme';          // Хэш пароля, используемого при настройке Postfixadmin через веб
                                               // После настройки можно очистить
$CONF['postfix_admin_url'] = '/admin';         // База для URL интерфейса
$CONF['default_language'] = 'ru';              // Язык интерфейса
$CONF['database_prefix'] = '';                 // Префикс таблиц в базе данных
$CONF['database_tables'] = array (             // Здесь можно выполнить тонкую настройку имён таблиц
    'admin' => 'admin',
    'alias' => 'alias',
    'alias_domain' => 'alias_domain',
    'config' => 'config',
    'domain' => 'domain',
    'domain_admins' => 'domain_admins',
    'fetchmail' => 'fetchmail',
    'log' => 'log',
    'mailbox' => 'mailbox',
    'vacation' => 'vacation',
    'vacation_notification' => 'vacation_notification',
    'quota' => 'quota',
    'quota2' => 'quota2',
);

$CONF['admin_email'] = 'postmaster@domain.tld';   // Почтовый ящик,
$CONF['smtp_server'] = 'mail.domain.tld';         // Полностью определённое доменное имя SMTP-сервера и
$CONF['smtp_port'] = '25';                        // порт SMTP-сервера для отправки уведомлений о вновь созданных ящиках

$CONF['encrypt'] = 'md5crypt';                    // Алгоритм хэширования, который будет использоваться для сохранения паролей
                                                  // в базе данных
                                                  // При указании cleartext пароль будет храниться в открытом виде
$CONF['authlib_default_flavor'] = 'md5raw';       // При указании authlib здесь указывается алгоритм хэширования из authlib
$CONF['dovecotpw'] = "/usr/sbin/dovecotpw"        // При указании dovecot:* здесь указывается путь к утилите dovecotpw

$CONF['min_password_length'] = 9;                 // Минимальное количество символов в пароле - 9
$CONF['generate_password'] = 'YES';               // При заведении ящика сгенерировать пароль и показать его
$CONF['show_password'] = 'NO';                    // Не показывать пароль после создания ящика

$CONF['page_size'] = '30';                        // Количество строк в таблице, отображаемой в веб-интерфейсе
$CONF['default_aliases'] = array (                // Создавать для каждого нового домена указанные псевдонимы для пересылки писем
    'abuse' => 'admin@domain.tld',
    'hostmaster' => 'admin@domain.tld',
    'postmaster' => 'admin@domain.tld',
    'webmaster' => 'admin@domain.tld',
    'info' => 'admin@domain.tld'
);
$CONF['domain_path'] = 'YES';                     // Указывает, что каталог ящика хранится в каталоге домена
                                                  // YES - /var/mail/virtual/domain/user@domain, NO - /var/main/virtual/user@domain
$CONF['domain_in_mailbox'] = 'NO';                // Указывает, что в каталоге с именем ящика не должно быть домена
                                                  // YES - /var/mail/virtual/domain/user@domain, NO - /var/mail/virtual/domain/user
$CONF['maildir_name_hook'] = 'NO';                // Здесь можно задать собственную функцию для генерирования пути к ящику

$CONF['aliases'] = '100';                         // Максимальное количество псевдонимов по умолчанию в одном домене
$CONF['mailboxes'] = '100';                       // максимальное количество почтовых ящиков по умолчанию в одном домене
$CONF['maxquota'] = '100';                        // Максимальный объём ящика по умолчанию (см. ниже множитель квоты)
$CONF['quota'] = 'YES';                           // Использовать квоты почтовых ящиков
$CONF['quota_multiplier'] = '1048576';            // Множитель для размера квоты почтовых ящиков,
                                                  // реальный объём квоты по умолчанию составит maxquota * quota_multiplier = 100 Мегабайт

$CONF['transport'] = 'YES';                       // Использовать таблицу транспортов
$CONF['transport_options'] = array (
    'dovecot',                                    // Для виртуальных почтовых ящиков
    'relay'                                       // Транспорт для доменов, для которых почтовый сервер является резервным
);
$CONF['transport_default'] = 'dovecot';           // Транспорт по умолчанию

$CONF['vacation'] = 'NO';                         // Не использовать механизм уведомлений (для использования нужно установить плагин)
$CONF['vacation_domain'] = 'autoreply.domain.tld';// Домен для отсылки уведомлений, прописывать в DNS не обязательно
$CONF['vacation_control'] ='YES';                 // Разрешить пользователям настраивать уведомления для собственных почтовых ящиков
$CONF['vacation_control_admin'] = 'YES';          // Разрешить администраторам доменов настраивать уведомления почтовых ящиков

$CONF['alias_control'] = 'YES';                   // Разрешить суперадминам редактировать пересылки
$CONF['alias_control_admin'] = 'YES';             // Разрешить администраторам доменов редактировать пересылки
$CONF['special_alias_control'] = 'NO';            // Разрешить администраторам доменов редактировать специальные пересылки
                                                  // (см. выше default_aliases)
$CONF['alias_goto_limit'] = '0';                  // Максимальное количество пересылок, отображаемых в одной строке (0 - без лимита)
$CONF['alias_domain'] = 'NO';                     // Не "зеркалировать" пересылки и ящики в другой домен
$CONF['backup'] = 'YES';                          // Показывать вкладку резервного копирования
$CONF['sendmail'] = 'YES';                        // Показывать вкладку отправки почты
$CONF['logging'] = 'YES';                         // Вести журнал редактирований
$CONF['fetchmail'] = 'NO';                        // Не показывать вкладку получения почты с других серверов
$CONF['fetchmail_extra_options'] = 'NO';          // Не разрешить пользователям задавать дополнительные опции fetchmail
                                                  // (Разрешать опасно, т.к. пользователь сможет выполнить произвольную команду!)
$CONF['show_header_text'] = 'NO';                 // Не показывать текст заголовка
$CONF['header_text'] = ':: Postfix Admin ::';     // Текст заголовка
$CONF['user_footer_link'] = "http://domain.tld";  // Ссылка, отображаемая в главном меню при входе под обычным пользователем
$CONF['show_footer_text'] = 'YES';                // Показывать "подвал" на каждой странице
$CONF['footer_text'] = 'Вернуться на domain.tld'; // Текст "подвала"
$CONF['footer_link'] = 'http://domain.tld';       // Ссылка "подвала"
$CONF['welcome_text'] = <<<EOM                    // Текст письма, отправляемого новым пользователям
  Добрый день!

  Поздравляем вас с получением новой учётной записи!
EOM;
$CONF['emailcheck_resolve_domain'] = 'YES';       // При создании ящика или пересылки проверять наличие домена 
$CONF['used_quotas'] = 'YES';                     // Показывать использование квот из словаря Dovecot в базе данных
$CONF['new_quota_table'] = 'YES';                 // Использовать таблицу quota2 для отображения информации об использовании квот
$CONF['theme_logo'] = 'images/logo-default.png';  // Путь к своему логотипу
$CONF['theme_css'] = 'css/default.css';           // Путь к собственному файлу стилей
На этом настройку Postfixadmin можно считать оконченой. Продолжение: Установка и настройка Dovecot