Chicche su postfix
Da Fabwiki.
Indice |
Premessa
Da un po' di tempo a questa parte, mi chiedevo sempre piu' spesso: "è necessario utilizzare il controllo antivirus / antispam sulle e-mail che vengono spedite ?" La risposta, ovviamente, dipende da caso a caso. Nel mio caso, dato che non ho moltissimi account di posta e dato che ho a disposizione limitate risorse, mi sono detto "E' inutile controllare le e-mail spedite: disabilitiamo il check"
Utilizzo di postfix
Non mi addentro molto nella configurazione di postfix, in quanto è dotato di ottima documentazione e si trovano tantissimi howto in rete. La cosa importante è che il vostro smtp supporti TLS, che le porte TCP 25 e 587 accettino connessioni da tutti e, sopratutto, utilizzi "submission": un modo alternativo per deliverare la posta.
NOTA: per chi usa dovecot come MDA, non è necessario installare sasl2 per l' autentificazione via TLS, in quanto nelle versioni di postfix superiori alla 2.3, è possibile usare direttamente il supporto TLS via dovecot. Per tutti gli altri invece, è necessario installare sasl (fa parte del pacchetto Cyrus), reperibile all' indirizzo http://asg.web.cmu.edu/sasl/
Come fare per
A questo punto, non ci resta che disabilitare i vari controlli del caso. Come procediamo: per prima cosa dobbiamo editare il file /etc/postfix/main.cf ed aggiungere le righe:
# TLS parameters
#aggiunti oggi
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_cert_file = /etc/ssl/certs/postfix.pem
smtpd_tls_key_file = /etc/ssl/private/postfix.key
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
Queste righe, riportate qui sopra dovrebbero già essere presenti nel vostro : dategli un' occhiata ed eventulamente confrontatele/cambiatele con queste. Per quanto riguarda la generazione del certificato /etc/ssl/certs/postfix.pem , brevemente:
openssl req -new -outform PEM -out /etc/ssl/cetrs/postfix.pem -newkey rsa:2048 \ -nodes -keyout /etc/ssl/private/postfix.key -keyform PEM -days 3650 -x509
Abilitiamo successivamente, il TLS via dovecot:
smtpd_sasl_type=dovecot
smtpd_sasl_path=private/auth
smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions = permit_mynetworks,
permit_sasl_authenticated,
A questo punto chiudiamo pure il file /etc/postfix/main.cf e dedichiamoci al /etc/postfix/master.cf e al suo interno aggiungiamo/modifichiamo quanto segue:
submission inet n - n - - smtpd -o smtpd_etrn_restrictions=reject -o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes -o content_filter= -o smtpd_client_restrictions=permit_sasl_authenticated,reject
Riavviate postfix e dovreste essere a posto.
Utilzzo e concetti
Questo è uno dei tanti modi per raggiungere l' obbiettivo, sicuramente ci sono altri metodi ma questo è efficacie. Il concetto è semplice: il nostro server avrà due smtp uno in ascolto normalmente sulla porta 25 e l' altro sulla porta 587 Perchè questo ? Per dare la possibilità all' utente finale, di scegliere quale sistema utilizzare. Se sceglierà la configurazione "standard" (smtp su porta 25 con tls abilitato) le mail in uscita, verranno controllate sempre, se invece deciderà di usare "l' altro smtp" le mail in uscita, non verranno mai controllate. L' unico accorgimento per poter utilizzare questo secondo metodo, è quello di ricordarsi di cambiare la porta standard del smtp da 25 a 587 sul client e-mail prescelto.
Spero vi possa tornare utile!!
Stay tuned!
