应 @Andy1999 要求搭建邮件服务器,为此折腾了一个多月。寻找到的教程或不完整,或已经过老。最后重装了 3 次 VPS 系统,换了 N 次软件后搭建成功,念到也许有人会需要,特此记录并且分享。
系统环境和所用软件
- Debian wheezy
- MySQL
- Postfix
- Cyrus-SASL (saslauthd)
- Courier-Authlib (authdaemond)
- Courier-IMAP
- OpenSSL
系统结构
+ Internet----------------->Receive a mail Failed-------Reject \ / Internet<---Send----If succeeded Posifix----Auth----Succeeded----Drop \ \ \ +----SMTP----Postfix----Auth-----saslauthd------MySQL Maildir/ | / / +----IMAP----Courier----Auth----authdaemond-----+ / | \ / Mail Client If succeeded-----------------------------Manage + 准备
假设邮件服务器 IP 是 123.123.123.123 ,用作邮箱的域名是 qaq.cat
- 把 mta.qaq.cat 解析到 123.123.123.123
- 把 qaq.cat 的 MX 记录指向 mta.qaq.cat
- 切换到 root 用户
sudo su - - 把系统升级到最新总是没错的
apt-get update && apt-get upgrade
一、 MySQL
apt-get install mysql mysql-server mysql-client service mysql start Debian 下安装的时候就会弹框让你设置好 root 密码,一切自动化而不像 RHEL 需要手动执行配置命令
创建数据库、创建用户并授权,这里 mysql 用户是 mail ,数据库名是 maildb ,密码是 mysqlpw 。这里
CREATE DATABASE maildb; GRANT ALL PRIVILEGES ON maildb.* TO "mail"@"localhost" IDENTIFIED BY "mysqlpw"; FLUSH PRIVILEGES; 另外说一下,如果你需要在邮件系统之外额外增加用户系统(比如 MoeMail )而需要从外部访问数据库,那么就应该把第二句中的 "mail"@"localhost" 换成 "mail"@"%" ,表示允许用户从任意来源访问数据库。
创建数据表:
USE maildb;
CREATE TABLE aliases ( pkid smallint(3) NOT NULL auto_increment, mail varchar(120) NOT NULL default '', destination varchar(120) NOT NULL default '', enabled tinyint(1) NOT NULL default '1', PRIMARY KEY (pkid), UNIQUE KEY mail (mail) ); CREATE TABLE domains ( pkid smallint(6) NOT NULL auto_increment, domain varchar(120) NOT NULL default '', transport varchar(120) NOT NULL default 'virtual:', enabled tinyint(1) NOT NULL default '1', PRIMARY KEY (pkid) ); CREATE TABLE users ( id varchar(128) NOT NULL default '', name varchar(128) NOT NULL default '', home varchar(255) NOT NULL default '/var/spool/mail/virtual', enabled tinyint(1) NOT NULL default '1', change_password tinyint(1) NOT NULL default '1', clear varchar(128) NOT NULL default 'changemepls', crypt varchar(128) NOT NULL default 'V2VkIE9jdCAyOSAxMzo1MD', quota varchar(255) NOT NULL default '', PRIMARY KEY (id), UNIQUE KEY id (id) ); aliases 表是转发规则列表,发到 mail 列中的邮箱的邮件会被转发到 destination 列的邮箱
domains 表是域名列表,发到不在这个表内的域名的邮箱的邮件会被丢弃
users 表是虚拟用户列表,存有邮箱、密码和可用状态等信息。
二、 Postfix
apt-get install postfix postfix-mysql 安装时会要求选择邮箱类型,选 Internet Site ,要求输入域名时留空即可(因为域名会在 MySQL 中定义)
配置系统转发规则、创建虚拟邮箱系统用户、创建邮件文件夹及更改权限:
cp /etc/aliases /etc/postfix/aliases postalias /etc/postfix/aliases groupadd --system virtual -g 5000 useradd --system virtual -u 5000 -g 5000 mkdir /var/spool/mail/virtual chown -R virtual:virtual /var/spool/mail/virtual Postfix 配置文件 /etc/postfix/main.cf 关键修改位置:
#对于 VPS 而言, relayhost 必须留空,否则发不出邮件 relayhost = #如果邮件发不出去,每隔 4 小时给用户发邮件提醒 delay_warning_time = 4h # 不要和邮箱域名一样就行 myhostname = moemail.qaq.cat # 修改系统转发规则路径 alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases # 虚拟用户邮箱设置 virtual_mailbox_base = /var/spool/mail/virtual virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailbox.cf virtual_alias_maps = mysql:/etc/postfix/mysql_alias.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql_domains.cf virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 # 这两项都清空,这些会在 MySQL 中定义 local_recipient_maps = mydestination = 虚拟用户 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf
user=mail password=mysqlpw dbname=maildb table=users select_field=CONCAT(SUBSTRING_INDEX(`id`, "@", -1), "/", SUBSTRING_INDEX(`id`, "@", 1), "/") where_field=id hosts=127.0.0.1 additional_cOnditions= and enabled = 1 转发规则 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf
user=mail password=passwd dbname=postfix table=aliases select_field=destination where_field=mail hosts=127.0.0.1 additional_cOnditions= and enabled = 1 域名 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf
user=mail password=passwd dbname=postfix table=domains select_field=domain where_field=domain hosts=127.0.0.1 additional_cOnditions= and enabled = 1 修改配置文件拥有者和权限
chown root:postfix /etc/postfix/mysql_* chmod 0640 /etc/postfix/mysql_* 向 MySQL 添加域名、用户和转发规则
USE maildb; INSERT INTO domains (domain) VALUES ('localhost&39;), ('localhost.localdomain'); INSERT INTO aliases (mail,destination) VALUES ('postmaster@localhost','root@localhost'), ('sysadmin@localhost','root@localhost'), ('webmaster@localhost','root@localhost'), ('abuse@localhost','root@localhost'), ('root@localhost','root@localhost'), ('@localhost','root@localhost'), ('@localhost.localdomain','@localhost'); INSERT INTO users (id,name,maildir,crypt) VALUES ('[email protected]','root','root/',encrypt('adminpasswd', CONCAT('$5$', MD5( RAND()))) ); 这里添加了几个本地域,一堆转发规则和一个本地域邮箱。
另外我们需要添加 qaq.cat 的域名和邮箱 [email protected] ,密码是 adminpassword
INSERT INTO domains (domain) VALUES ('qaq.cat'); INSERT INTO users (id,name,maildir,crypt) VALUES ('[email protected]','Admin','admin/',encrypt('adminpasswd', CONCAT('$5$', MD5(RAND()))) ); 三、 Courier-Authlib
安装
apt-get install courier-authdaemon courier-authlib-mysql gamin authdaemond 配置文件 /etc/courier/authdaemonrc
#只留下 authmysql authmodulelist="authmysql" #打开 DEBUG 除错模式 DEBUG_LOGIN=2 authmysql 配置文件 /etc/courier/authmysqlrc
#修改 mysql 连接信息 MYSQL_SERVER localhost MYSQL_USERNAME mail MYSQL_PASSWORD mysqlpw # 注意 port 就是 0 ,不要改成 3306 ,我也不知道为什么 MYSQL_PORT 0 MYSQL_OPT 0 MYSQL_DATABASE maildb #下面照着改 MYSQL_USER_TABLE users MYSQL_CRYPT_PWFIELD crypt MYSQL_UID_FIELD 5000 MYSQL_GID_FIELD 5000 MYSQL_LOGIN_FIELD id MYSQL_HOME_FIELD home MYSQL_NAME_FIELD name MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(`id`, "@", -1), "/", SUBSTRING_INDEX(`id`, "@", 1), "/") MYSQL_WHERE_CLAUSE enabled=1 重启 authdaemond 服务
service courier-authdaemon restart 测试能否正确认证虚拟用户
authtest [email protected] adminpasswd
如果输出信息如下就表示认证成功:
Authentication succeeded. Authenticated: [email protected] (uid 5000, gid 5000) Home Directory: /var/spool/mail/virtual Maildir: qaq.cat/admin/ Quota: (none) Encrypted Password: [加密的密码] Cleartext Password: [明文密码] Options: (none) 否则就检查日志文件 /var/log/mail.log 进行除错
四、 Courier-IMAP
apt-get install courier-base courier-imap courier-imap-ssl courier-ssl 修改 imapd 配置文件 /etc/courier/imapd 使之监听所有 IP
# 把 ADDRESS=0 改成 ADDRESS=0.0.0.0 如果用了 iptables 防火墙,则配置放行规则
-A INPUT -p tcp -m multiport --dport 25,143 -j ACCEPT 25 是 SMTP 端口, 143 是 IMAP 端口
五、测试 Postfix SMTP 和 Courier IMAP
重启所有服务
service mysql restart service restart service courier-authdaemon restart service courier-imap restart service courier-imap-ssl restart 确定上述服务能监听正确的端口:
netstat -nltp | egrep '25|143|3306' # 以下是输出内容 tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 10970/mysqld tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 13872/couriertcpd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 13116/master telnet 测试 Postfix SMTP 收发信
telnet mta.qaq.cat 25 Trying 123.123.123.123.. Connected to qaq.cat 220 ************************* EHLO qaq.cat 250-qaq.cat 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-XXXXXXXA 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN MAIL FROM: [email protected] 250 2.1.0 Ok RCPT TO: [email protected] 250 2.1.5 Ok data 354 End data with . this is a tets email to check postfix installation from telnet . 250 2.0.0 Ok: queued as 85E663061 quit 221 2.0.0 Bye Connection closed by foreign host. RCPT TO: 后面跟目标邮箱,分别测试内部互发(发到 [email protected] )和外发(比如发到 [email protected] )
检查邮件队列
mailq # 输出邮件队列为空即表示发信正常 Mail queue is empty 检查 [email protected] 收信
ls /var/spool/mail/virtual/qaq.cat/admin/new/ 如果输出有文件表示收信正常
telnet 测试 IMAP 认证
telnet mta.qaq.cat 143 Trying mta.qaq.cat... Connected to xxxxxx Escape character is '^]'. - OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THRE AD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyr ight 1998-2011 Double Precision, Inc. See COPYING for distribution information. A01 LOGIN [email protected] adminpasswd A01 OK LOGIN Ok. A20 LOGOUT - BYE Courier-IMAP server shutting down A20 OK LOGOUT completed Connection closed by foreign host. 六、 SMTP SASL 安全认证
安装 Courier-SASL
apt-get install libsasl2-2 libsasl2-modules libsasl2-modules-sql libgsasl7 libauthen-sasl-cyrus-perl sasl2-bin libpam-mysql 允许 postfix 访问 SASL 认证
adduser postfix sasl mkdir -p /var/spool/postfix/var/run/saslauthd 强制 Postfix 进行 SASL 认证后再发信,把以下内容添加到 /etc/postfix/main.cf 末尾
smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = no smtpd_sasl_security_optiOns= noanonymous smtpd_sasl_local_domain = 并且修改以下两项
smtpd_sender_restrictiOns= permit_mynetworks, permit_sasl_authenticated, warn_if_reject, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit smtpd_recipient_restrictiOns= reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit 照着修改 /etc/default/saslauthd
START=yes DESC="SASL Authentication Daemon" NAME="saslauthd" MECHANISMS="pam" MECH_OPTIOnS="" THREADS=5 OPTIOnS="-r -c -m /var/spool/postfix/var/run/saslauthd" 让 Postfix 从 MySQL 进行 SASL 认证,创建 /etc/postfix/sasl/smtpd.conf
pwcheck_method: saslauthd mech_list: plain login cram-md5 digest-md5 log_level: 7 allow_plaintext: true auxprop_plugin: sql sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: mail sql_passwd: mysqlpw sql_database: maildb sql_select: select crypt from users where id='%u@%r' and enabled = 1 创建或修改 pam SMTP 配置文件 /etc/pam.d/smtp 使之连接 MySQL
auth required pam_mysql.so user=mail passwd=mysqlpw host=127.0.0.1 db=maildb table=users usercolumn=id passwdcolumn=crypt crypt=1 account sufficient pam_mysql.so user=mail passwd=mysqlpw host=127.0.0.1 db=maildb table=users usercolumn=id passwdcolumn=crypt crypt=1 重启服务
service saslauthd restart service postfix restart 配置到这里,一个邮件服务器已经可以使用了。如果需要让他变得更安全,你还需要配置 TLS 加密
七、 Postfix TLS SMTP
生成密钥对
cd /etc/postfix openssl req -new -outform PEM -out postfix.cert -newkey rsa:2048 -nodes -keyout postfix.key -keyform PEM -days 1825 -x509 输入国家名代码(中国是 CN 大写)和城市、组织 /公司名、管理员邮箱等信息
为确保安全,密钥的有效期是 1825 天,即 5 年, 5 年后需要重新生成密钥。 1825 也可以改成其他数字。
在 /etc/postfix/main.cf 中修改或新建以下设置项
smtp_tls_security_level = may smtpd_tls_security_level = may smtp_tls_note_starttls_offer = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom smtpd_tls_cert_file=/etc/postfix/postfix.cert smtpd_tls_key_file=/etc/postfix/postfix.key 注释掉原有的这两项:
# smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache # smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache 在 /etc/postfix/master.cf 中,取消 smtps 段的注释并作如下修改
smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictiOns=permit_sasl_authenticated,reject -o smtpd_tls_auth_Only=yes -o smtpd_sasl_tls_security_optiOns=noanonymous 注意 -o 行的缩进是两个空格
八、 Courier TLS IMAP
生成密钥,有效期同样是 1825 天
cd /etc/courier openssl req -x509 -newkey rsa:2048 -keyout imapd.pem -out imapd.pem -nodes -days 1825 修改 /etc/courier/imapd-ssl 中以下的几项
SSLPORT=993 SSLADDRESS=0.0.0.0 IMAP_TLS_REQUIRED=1 TLS_CERTFILE=/etc/courier/imapd.pem TLS_TRUSTCERTS=/etc/ssl/certs SSLADDRESS=0.0.0.0 表示绑定所有 IP ,接受所有来源的连接
如果 IMAP_TLS_REQUIRED 是 1 ,那么客户端只能通过 993 端口连接加密的 IMAP ,明文传输的 143 端口将拒绝接受连接
如果用了 iptables 防火墙,则配置放行规则:
-A INPUT -p tcp -m multiport --dport 587,465,993 -j ACCEPT 587, 465 是 SMTP TLS 端口, 993 是 IMAP TLS 端口
九、测试 SMTP 和 IMAP 安全连接
重启所有服务
service mysql restart service postfix restart service courier-authdaemon restart service courier-imap restart service courier-imap-ssl restart service saslauthd restart 查看端口是否被正确监听
netstat -nltp | egrep '25|587|465|143|993|3306' #以下是输出内容 tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18177/mysqld tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 17434/couriertcpd tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 20710/couriertcpd 这里我在测试的时候,不知道为什么, Postfix 只监听 465 而不监听 587 。这两个端口的区别在于: 465 是 SSL/TLS 协议,整个连接周期内数据都是加密的;而 587 是 STARTTLS ,在客户端请求 STARTTLS 命令后才开始加密传输。
SSL/TLS SMTP 连接测试
openssl s_client -connect mta.qaq.cat:465 CONNECTED(00000003) depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify error:num=18:self signed certificate verify return:1 depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify return:1 --- 证书信息略去 --- 220 moemail.qaq.cat ESMTP Postfix (Debian/GNU) HELO qq.com 250 moemail.qaq.cat AUTH LOGIN 334 VXNlcm5hbWU6 (这里输入 base64 编码的邮箱) 334 UGFzc3dvcmQ6 (base64 编码的密码) 235 2.7.0 Authentication successful QUIT 221 2.0.0 Bye closed SSL/TLS IMAP 链接测试
openssl s_client -connect mta.qaq.cat:993 CONNECTED(00000003) depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify error:num=18:self signed certificate verify return:1 depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify return:1 --- 证书信息略去 --- - OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc. See COPYING for distribution information. A01 LOGIN [email protected] adminpasswd A01 OK LOGIN Ok. A20 LOGOUT - BYE Courier-IMAP server shutting down A20 OK LOGOUT completed closed 十、最后的清理工作
编辑 /etc/courier/authdaemonrc 关闭 DEBUG ,以免 log 泄露重要信息
DEBUG_LOGIN=0 Enjoy it!
1
Select Language