Postfix + SASL + Courier + MySQL + TLS 邮件服务器搭建笔记

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

请不要在回答技术问题时复制粘贴 AI 生成的内容

这是一个创建于 3660 天前的主题，其中的信息可能已经有所发展或是发生改变。

应 @Andy1999 要求搭建邮件服务器，为此折腾了一个多月。寻找到的教程或不完整，或已经过老。最后重装了 3 次 VPS 系统，换了 N 次软件后搭建成功，念到也许有人会需要，特此记录并且分享。

系统环境和所用软件

Debian wheezy
MySQL
Postfix
Cyrus-SASL (saslauthd)
Courier-Authlib (authdaemond)
Courier-IMAP
OpenSSL

系统结构

+ Internet----------------->Receive a mail Failed-------Reject \ / Internet<---Send----If succeeded Posifix----Auth----Succeeded----Drop \ \ \ +----SMTP----Postfix----Auth-----saslauthd------MySQL Maildir/ | / / +----IMAP----Courier----Auth----authdaemond-----+ / | \ / Mail Client If succeeded-----------------------------Manage +

准备

假设邮件服务器 IP 是 123.123.123.123 ，用作邮箱的域名是 qaq.cat

把 mta.qaq.cat 解析到 123.123.123.123
把 qaq.cat 的 MX 记录指向 mta.qaq.cat
切换到 root 用户 sudo su -
把系统升级到最新总是没错的 apt-get update && apt-get upgrade

一、 MySQL

apt-get install mysql mysql-server mysql-client service mysql start

Debian 下安装的时候就会弹框让你设置好 root 密码，一切自动化而不像 RHEL 需要手动执行配置命令

创建数据库、创建用户并授权，这里 mysql 用户是 mail ，数据库名是 maildb ，密码是 mysqlpw 。这里

CREATE DATABASE maildb; GRANT ALL PRIVILEGES ON maildb.* TO "mail"@"localhost" IDENTIFIED BY "mysqlpw"; FLUSH PRIVILEGES;

另外说一下，如果你需要在邮件系统之外额外增加用户系统（比如 MoeMail ）而需要从外部访问数据库，那么就应该把第二句中的 "mail"@"localhost" 换成 "mail"@"%" ，表示允许用户从任意来源访问数据库。

创建数据表：
USE maildb;

CREATE TABLE aliases ( pkid smallint(3) NOT NULL auto_increment, mail varchar(120) NOT NULL default '', destination varchar(120) NOT NULL default '', enabled tinyint(1) NOT NULL default '1', PRIMARY KEY (pkid), UNIQUE KEY mail (mail) ); CREATE TABLE domains ( pkid smallint(6) NOT NULL auto_increment, domain varchar(120) NOT NULL default '', transport varchar(120) NOT NULL default 'virtual:', enabled tinyint(1) NOT NULL default '1', PRIMARY KEY (pkid) ); CREATE TABLE users ( id varchar(128) NOT NULL default '', name varchar(128) NOT NULL default '', home varchar(255) NOT NULL default '/var/spool/mail/virtual', enabled tinyint(1) NOT NULL default '1', change_password tinyint(1) NOT NULL default '1', clear varchar(128) NOT NULL default 'changemepls', crypt varchar(128) NOT NULL default 'V2VkIE9jdCAyOSAxMzo1MD', quota varchar(255) NOT NULL default '', PRIMARY KEY (id), UNIQUE KEY id (id) );

aliases 表是转发规则列表，发到 mail 列中的邮箱的邮件会被转发到 destination 列的邮箱

domains 表是域名列表，发到不在这个表内的域名的邮箱的邮件会被丢弃

users 表是虚拟用户列表，存有邮箱、密码和可用状态等信息。

二、 Postfix

apt-get install postfix postfix-mysql

安装时会要求选择邮箱类型，选 Internet Site ，要求输入域名时留空即可（因为域名会在 MySQL 中定义）

配置系统转发规则、创建虚拟邮箱系统用户、创建邮件文件夹及更改权限：

cp /etc/aliases /etc/postfix/aliases postalias /etc/postfix/aliases groupadd --system virtual -g 5000 useradd --system virtual -u 5000 -g 5000 mkdir /var/spool/mail/virtual chown -R virtual:virtual /var/spool/mail/virtual

Postfix 配置文件 /etc/postfix/main.cf 关键修改位置：

#对于 VPS 而言， relayhost 必须留空，否则发不出邮件 relayhost = #如果邮件发不出去，每隔 4 小时给用户发邮件提醒 delay_warning_time = 4h # 不要和邮箱域名一样就行 myhostname = moemail.qaq.cat # 修改系统转发规则路径 alias_maps = hash:/etc/postfix/aliases alias_database = hash:/etc/postfix/aliases # 虚拟用户邮箱设置 virtual_mailbox_base = /var/spool/mail/virtual virtual_mailbox_maps = mysql:/etc/postfix/mysql_mailbox.cf virtual_alias_maps = mysql:/etc/postfix/mysql_alias.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql_domains.cf virtual_uid_maps = static:5000 virtual_gid_maps = static:5000 # 这两项都清空，这些会在 MySQL 中定义 local_recipient_maps = mydestination =

虚拟用户 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf

user=mail password=mysqlpw dbname=maildb table=users select_field=CONCAT(SUBSTRING_INDEX(`id`, "@", -1), "/", SUBSTRING_INDEX(`id`, "@", 1), "/") where_field=id hosts=127.0.0.1 additional_cOnditions= and enabled = 1

转发规则 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf

user=mail password=passwd dbname=postfix table=aliases select_field=destination where_field=mail hosts=127.0.0.1 additional_cOnditions= and enabled = 1

域名 MySQL 配置文件 /etc/postfix/mysql_mailbox.cf

user=mail password=passwd dbname=postfix table=domains select_field=domain where_field=domain hosts=127.0.0.1 additional_cOnditions= and enabled = 1

修改配置文件拥有者和权限

chown root:postfix /etc/postfix/mysql_* chmod 0640 /etc/postfix/mysql_*

向 MySQL 添加域名、用户和转发规则

USE maildb; INSERT INTO domains (domain) VALUES ('localhost'), ('localhost.localdomain'); INSERT INTO aliases (mail,destination) VALUES ('postmaster@localhost','root@localhost'), ('sysadmin@localhost','root@localhost'), ('webmaster@localhost','root@localhost'), ('abuse@localhost','root@localhost'), ('root@localhost','root@localhost'), ('@localhost','root@localhost'), ('@localhost.localdomain','@localhost'); INSERT INTO users (id,name,maildir,crypt) VALUES ('[email protected]','root','root/',encrypt('adminpasswd', CONCAT('$5$', MD5( RAND()))) );

这里添加了几个本地域，一堆转发规则和一个本地域邮箱。

另外我们需要添加 qaq.cat 的域名和邮箱 [email protected] ，密码是 adminpassword

INSERT INTO domains (domain) VALUES ('qaq.cat'); INSERT INTO users (id,name,maildir,crypt) VALUES ('[email protected]','Admin','admin/',encrypt('adminpasswd', CONCAT('$5$', MD5(RAND()))) );

三、 Courier-Authlib

安装

apt-get install courier-authdaemon courier-authlib-mysql gamin

authdaemond 配置文件 /etc/courier/authdaemonrc

#只留下 authmysql authmodulelist="authmysql" #打开 DEBUG 除错模式 DEBUG_LOGIN=2

authmysql 配置文件 /etc/courier/authmysqlrc

#修改 mysql 连接信息 MYSQL_SERVER localhost MYSQL_USERNAME mail MYSQL_PASSWORD mysqlpw # 注意 port 就是 0 ，不要改成 3306 ，我也不知道为什么 MYSQL_PORT 0 MYSQL_OPT 0 MYSQL_DATABASE maildb #下面照着改 MYSQL_USER_TABLE users MYSQL_CRYPT_PWFIELD crypt MYSQL_UID_FIELD 5000 MYSQL_GID_FIELD 5000 MYSQL_LOGIN_FIELD id MYSQL_HOME_FIELD home MYSQL_NAME_FIELD name MYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(`id`, "@", -1), "/", SUBSTRING_INDEX(`id`, "@", 1), "/") MYSQL_WHERE_CLAUSE enabled=1

重启 authdaemond 服务

service courier-authdaemon restart

测试能否正确认证虚拟用户

authtest [email protected] adminpasswd

如果输出信息如下就表示认证成功：

Authentication succeeded. Authenticated: [email protected] (uid 5000, gid 5000) Home Directory: /var/spool/mail/virtual Maildir: qaq.cat/admin/ Quota: (none) Encrypted Password: [加密的密码] Cleartext Password: [明文密码] Options: (none)

否则就检查日志文件 /var/log/mail.log 进行除错

四、 Courier-IMAP

apt-get install courier-base courier-imap courier-imap-ssl courier-ssl

修改 imapd 配置文件 /etc/courier/imapd 使之监听所有 IP

# 把 ADDRESS=0 改成 ADDRESS=0.0.0.0

如果用了 iptables 防火墙，则配置放行规则

-A INPUT -p tcp -m multiport --dport 25,143 -j ACCEPT

25 是 SMTP 端口， 143 是 IMAP 端口

五、测试 Postfix SMTP 和 Courier IMAP

重启所有服务

service mysql restart service restart service courier-authdaemon restart service courier-imap restart service courier-imap-ssl restart

确定上述服务能监听正确的端口：

netstat -nltp | egrep '25|143|3306' # 以下是输出内容 tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 10970/mysqld tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 13872/couriertcpd tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 13116/master

telnet 测试 Postfix SMTP 收发信

telnet mta.qaq.cat 25 Trying 123.123.123.123.. Connected to qaq.cat 220 ************************* EHLO qaq.cat 250-qaq.cat 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-XXXXXXXA 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN MAIL FROM: [email protected] 250 2.1.0 Ok RCPT TO: [email protected] 250 2.1.5 Ok data 354 End data with . this is a tets email to check postfix installation from telnet . 250 2.0.0 Ok: queued as 85E663061 quit 221 2.0.0 Bye Connection closed by foreign host.

RCPT TO: 后面跟目标邮箱，分别测试内部互发（发到 [email protected] ）和外发（比如发到 [email protected] ）

检查邮件队列

mailq # 输出邮件队列为空即表示发信正常 Mail queue is empty

检查 [email protected] 收信

ls /var/spool/mail/virtual/qaq.cat/admin/new/

如果输出有文件表示收信正常

telnet 测试 IMAP 认证

telnet mta.qaq.cat 143 Trying mta.qaq.cat... Connected to xxxxxx Escape character is '^]'. - OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THRE AD=REFERENCES SORT QUOTA IDLE ACL ACL2=UNION STARTTLS] Courier-IMAP ready. Copyr ight 1998-2011 Double Precision, Inc. See COPYING for distribution information. A01 LOGIN [email protected] adminpasswd A01 OK LOGIN Ok. A20 LOGOUT - BYE Courier-IMAP server shutting down A20 OK LOGOUT completed Connection closed by foreign host.

六、 SMTP SASL 安全认证

安装 Courier-SASL

apt-get install libsasl2-2 libsasl2-modules libsasl2-modules-sql libgsasl7 libauthen-sasl-cyrus-perl sasl2-bin libpam-mysql

允许 postfix 访问 SASL 认证

adduser postfix sasl mkdir -p /var/spool/postfix/var/run/saslauthd

强制 Postfix 进行 SASL 认证后再发信，把以下内容添加到 /etc/postfix/main.cf 末尾

smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = no smtpd_sasl_security_optiOns= noanonymous smtpd_sasl_local_domain =

并且修改以下两项

smtpd_sender_restrictiOns= permit_mynetworks, permit_sasl_authenticated, warn_if_reject, reject_non_fqdn_sender, reject_unknown_sender_domain, reject_unauth_pipelining, permit smtpd_recipient_restrictiOns= reject_unauth_pipelining, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unknown_recipient_domain, reject_unauth_destination, permit

照着修改 /etc/default/saslauthd

START=yes DESC="SASL Authentication Daemon" NAME="saslauthd" MECHANISMS="pam" MECH_OPTIOnS="" THREADS=5 OPTIOnS="-r -c -m /var/spool/postfix/var/run/saslauthd"

让 Postfix 从 MySQL 进行 SASL 认证，创建 /etc/postfix/sasl/smtpd.conf

pwcheck_method: saslauthd mech_list: plain login cram-md5 digest-md5 log_level: 7 allow_plaintext: true auxprop_plugin: sql sql_engine: mysql sql_hostnames: 127.0.0.1 sql_user: mail sql_passwd: mysqlpw sql_database: maildb sql_select: select crypt from users where id='%u@%r' and enabled = 1

创建或修改 pam SMTP 配置文件 /etc/pam.d/smtp 使之连接 MySQL

auth required pam_mysql.so user=mail passwd=mysqlpw host=127.0.0.1 db=maildb table=users usercolumn=id passwdcolumn=crypt crypt=1 account sufficient pam_mysql.so user=mail passwd=mysqlpw host=127.0.0.1 db=maildb table=users usercolumn=id passwdcolumn=crypt crypt=1

重启服务

service saslauthd restart service postfix restart

配置到这里，一个邮件服务器已经可以使用了。如果需要让他变得更安全，你还需要配置 TLS 加密

七、 Postfix TLS SMTP

生成密钥对

cd /etc/postfix openssl req -new -outform PEM -out postfix.cert -newkey rsa:2048 -nodes -keyout postfix.key -keyform PEM -days 1825 -x509

输入国家名代码（中国是 CN 大写）和城市、组织 /公司名、管理员邮箱等信息

为确保安全，密钥的有效期是 1825 天，即 5 年， 5 年后需要重新生成密钥。 1825 也可以改成其他数字。

在 /etc/postfix/main.cf 中修改或新建以下设置项

smtp_tls_security_level = may smtpd_tls_security_level = may smtp_tls_note_starttls_offer = yes smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom smtpd_tls_cert_file=/etc/postfix/postfix.cert smtpd_tls_key_file=/etc/postfix/postfix.key

注释掉原有的这两项：

# smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache # smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

在 /etc/postfix/master.cf 中，取消 smtps 段的注释并作如下修改

smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictiOns=permit_sasl_authenticated,reject -o smtpd_tls_auth_Only=yes -o smtpd_sasl_tls_security_optiOns=noanonymous

注意 -o 行的缩进是两个空格

八、 Courier TLS IMAP

生成密钥，有效期同样是 1825 天

cd /etc/courier openssl req -x509 -newkey rsa:2048 -keyout imapd.pem -out imapd.pem -nodes -days 1825

修改 /etc/courier/imapd-ssl 中以下的几项

SSLPORT=993 SSLADDRESS=0.0.0.0 IMAP_TLS_REQUIRED=1 TLS_CERTFILE=/etc/courier/imapd.pem TLS_TRUSTCERTS=/etc/ssl/certs

SSLADDRESS=0.0.0.0 表示绑定所有 IP ，接受所有来源的连接

如果 IMAP_TLS_REQUIRED 是 1 ，那么客户端只能通过 993 端口连接加密的 IMAP ，明文传输的 143 端口将拒绝接受连接

如果用了 iptables 防火墙，则配置放行规则：

-A INPUT -p tcp -m multiport --dport 587,465,993 -j ACCEPT

587, 465 是 SMTP TLS 端口， 993 是 IMAP TLS 端口

九、测试 SMTP 和 IMAP 安全连接

重启所有服务

service mysql restart service postfix restart service courier-authdaemon restart service courier-imap restart service courier-imap-ssl restart service saslauthd restart

查看端口是否被正确监听

netstat -nltp | egrep '25|587|465|143|993|3306' #以下是输出内容 tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18177/mysqld tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 17434/couriertcpd tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 20534/master tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 20710/couriertcpd

这里我在测试的时候，不知道为什么， Postfix 只监听 465 而不监听 587 。这两个端口的区别在于： 465 是 SSL/TLS 协议，整个连接周期内数据都是加密的；而 587 是 STARTTLS ，在客户端请求 STARTTLS 命令后才开始加密传输。

SSL/TLS SMTP 连接测试

openssl s_client -connect mta.qaq.cat:465 CONNECTED(00000003) depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify error:num=18:self signed certificate verify return:1 depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify return:1 --- 证书信息略去 --- 220 moemail.qaq.cat ESMTP Postfix (Debian/GNU) HELO qq.com 250 moemail.qaq.cat AUTH LOGIN 334 VXNlcm5hbWU6 (这里输入 base64 编码的邮箱) 334 UGFzc3dvcmQ6 (base64 编码的密码) 235 2.7.0 Authentication successful QUIT 221 2.0.0 Bye closed

SSL/TLS IMAP 链接测试

openssl s_client -connect mta.qaq.cat:993 CONNECTED(00000003) depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify error:num=18:self signed certificate verify return:1 depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected] verify return:1 --- 证书信息略去 --- - OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc. See COPYING for distribution information. A01 LOGIN [email protected] adminpasswd A01 OK LOGIN Ok. A20 LOGOUT - BYE Courier-IMAP server shutting down A20 OK LOGOUT completed closed

十、最后的清理工作

编辑 /etc/courier/authdaemonrc 关闭 DEBUG ，以免 log 泄露重要信息

DEBUG_LOGIN=0

Enjoy it!

第 1 条附言 2015-10-09 13:42:33 +08:00

感谢 @ pmpio 提醒，原文中配置 Postfix SMTP 没有禁止未 SASL 认证登陆的用户发信，这样的邮件服务器严重不安全。禁止方法是修改 /etc/postfix/main.cf 中关于客户端的限制：

smtpd_client_restrictiOns= permit_mynetworks, permit_sasl_authenticated, reject

另外注意我回复 pipio 时考虑错了，那个配置会使 postfix 拒收所有邮件……

测试：

telnet mta.qaq.cat 25 220 moemail.qaq.cat ESMTP Postfix (Debian/GNU) ehlo qaq.cat 250-moemail.qaq.cat 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN mail from: *********@qq.com 250 2.1.0 Ok rcpt to: [email protected] 554 5.7.1 <tk2-*********.**.sakura.ne.jp[160.***.***.42]>: Client host rejected: Access denied quit 221 2.0.0 Bye telnet mta.qaq.cat 25 220 moemail.qaq.cat ESMTP Postfix (Debian/GNU) ehlo qaq.cat 250-moemail.qaq.cat 250-PIPELINING 250-SIZE 10240000 250-ETRN 250-STARTTLS 250-AUTH PLAIN LOGIN CRAM-MD5 DIGEST-MD5 250-ENHANCEDSTATUSCODES 250-8BITMIME 250 DSN auth login 334 VXNlcm5hbWU6 ********username 334 UGFzc3dvcmQ6 ********password 235 2.7.0 Authentication successful mail from: *********@qq.com 250 2.1.0 Ok rcpt to: [email protected] 250 2.1.5 Ok data 354 End data with <CR><LF>.<CR><LF> test mail blabla . 250 2.0.0 Ok: queued as 5FDC6AE21D quit 221 2.0.0 Bye

24 条回复 2019-03-26 10:23:36 +08:00

Balthild

2015-10-07 15:39:20 +08:00

## 七、 Postfix TLS SMTP

生成密钥对

cd /etc/postfix
openssl req -new -outform PEM -out postfix.cert -newkey rsa:2048 -nodes -keyout postfix.key -keyform PEM -days 1825 -x509

输入国家名代码（中国是 CN 大写）和城市、组织 /公司名、管理员邮箱等信息

为确保安全，密钥的有效期是 1825 天，即 5 年， 5 年后需要重新生成密钥。 1825 也可以改成其他数字。

在 /etc/postfix/main.cf 中修改或新建以下设置项

smtp_tls_security_level = may
smtpd_tls_securit_level = may
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_cert_file=/etc/postfix/postfix.cert
smtpd_tls_key_file=/etc/postfix/postfix.key

注释掉原有的这两项：

# smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
# smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

在 /etc/postfix/master.cf 中，取消 smtps 段的注释并作如下修改

smtps inet n - - - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictiOns=permit_sasl_authenticated,reject
-o smtpd_tls_auth_Only=yes
-o smtpd_sasl_tls_security_optiOns=noanonymous

注意 -o 行的缩进是两个空格

## 八、 Courier TLS IMAP

生成密钥，有效期同样是 1825 天

cd /etc/courier
openssl req -x509 -newkey rsa:2048 -keyout imapd.pem -out imapd.pem -nodes -days 1825

修改 /etc/courier/imapd-ssl 中以下的几项

SSLPORT=993
SSLADDRESS=0.0.0.0
IMAP_TLS_REQUIRED=1
TLS_CERTFILE=/etc/courier/imapd.pem
TLS_TRUSTCERTS=/etc/ssl/certs

SSLADDRESS=0.0.0.0 表示绑定所有 IP ，接受所有来源的连接

如果 IMAP_TLS_REQUIRED 是 1 ，那么客户端只能通过 993 端口连接加密的 IMAP ，明文传输的 143 端口将拒绝接受连接

如果用了 iptables 防火墙，则配置放行规则：

-A INPUT -p tcp -m multiport --dport 587,465,993 -j ACCEPT

587, 465 是 SMTP TLS 端口， 993 是 IMAP TLS 端口

## 九、测试 SMTP 和 IMAP 安全连接

重启所有服务

service mysql restart
service postfix restart
service courier-authdaemon restart
service courier-imap restart
service courier-imap-ssl restart
service saslauthd restart

查看端口是否被正确监听

netstat -nltp | egrep '25|587|465|143|993|3306'
#以下是输出内容
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN 18177/mysqld
tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 20534/master
tcp 0 0 0.0.0.0:143 0.0.0.0:* LISTEN 17434/couriertcpd
tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 20534/master
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 20534/master
tcp 0 0 0.0.0.0:993 0.0.0.0:* LISTEN 20710/couriertcpd

这里我在测试的时候，不知道为什么， Postfix 只监听 465 而不监听 587 。这两个端口的区别在于： 465 是 SSL/TLS 协议，整个连接周期内数据都是加密的；而 587 是 STARTTLS ，在客户端请求 STARTTLS 命令后才开始加密传输。

SSL/TLS SMTP 连接测试

openssl s_client -connect mta.qaq.cat:465

CONNECTED(00000003)
depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected]
verify return:1
---
证书信息略去
---
220 moemail.qaq.cat ESMTP Postfix (Debian/GNU)
HELO qq.com
250 moemail.qaq.cat
AUTH LOGIN
334 VXNlcm5hbWU6
(这里输入 base64 编码的邮箱)
334 UGFzc3dvcmQ6
(base64 编码的密码)
235 2.7.0 Authentication successful
QUIT
221 2.0.0 Bye
closed

SSL/TLS IMAP 链接测试

openssl s_client -connect mta.qaq.cat:993

CONNECTED(00000003)
depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected]
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CN, ST = Shanghai, L = Shanghai, O = MoeNet, OU = MoeMail, CN = MoeMail, emailAddress = [email protected]
verify return:1
---
证书信息略去
---
- OK [CAPABILITY IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE AUTH=PLAIN ACL ACL2=UNION] Courier-IMAP ready. Copyright 1998-2011 Double Precision, Inc. See COPYING for distribution information.
A01 LOGIN [email protected] adminpasswd
A01 OK LOGIN Ok.
A20 LOGOUT
- BYE Courier-IMAP server shutting down
A20 OK LOGOUT completed
closed

## 十、最后的清理工作

编辑 /etc/courier/authdaemonrc 关闭 DEBUG ，以免 log 泄露重要信息

DEBUG_LOGIN=0

Enjoy it!

Balthild

2015-10-07 15:48:50 +08:00

有没有管理员能帮忙删除上面的那条回复，我手抽了……

xunyu

2015-10-07 15:52:27 +08:00 via Android

好人

pmpio

2015-10-07 15:52:31 +08:00

220 moemail.qaq.cat ESMTP Postfix (Debian/GNU)
help
502 5.5.2 Error: command not recognized
helo girl.com
250 moemail.qaq.cat
mail from: [email protected]
250 2.1.0 Ok
rcpt to: [email protected]
250 2.1.5 Ok
data
354 End data with <CR><LF>.<CR><LF>
sdjkgslfgdf
fkgjnsfhlbn
sdfjkgslfhns
fdjgstlh
.
250 2.0.0 Ok: queued as 670E4AE20E
rset
250 2.0.0 Ok
quit
221 2.0.0 Bye

遗失对主机的连接。

本地分发貌似不用验证哦，想给你发垃圾邮件，只要编个小程序，连 25 端口直接轰炸。。。。

Awoer

2015-10-07 16:01:13 +08:00

QwQ 粑粑

Balthild

2015-10-07 16:13:13 +08:00

@pmpio 感谢发现漏洞。

smtpd_sender_restrictiOns= permit_sasl_authenticated, permit_mynetworks, reject
smtpd_recipient_restrictiOns= permit_sasl_authenticated, permit_mynetworks, reject

这两项应该这样设置

yu19930123

2015-10-07 19:12:49 +08:00

能不能说下主机配置

Balthild

2015-10-07 19:17:30 +08:00 via Android

@yu19930123 普通的 512 vps

satifanie

2015-10-07 20:38:32 +08:00

谢谢分享！我可以转载么？另外，如果是我的话就用 Exim4

lhbc

2015-10-07 20:46:50 +08:00 via Android

Zimbrabr />VMware 把一切都搞定了，只需要安装并及时打补丁

icedream728

2015-10-07 22:12:17 +08:00

当初就是设置 MySQL 检查用户名，然后别人扫描的次数一多， MySQL 就受不了死掉，然后还产生大量 bin 日志。导致现在还不敢搭建邮件服务器。。。

DaCong

2015-10-07 22:31:53 +08:00

@Balthild 首先，先肯定一下楼主的分享；其次，我能否出于好心提醒一句：这样的内容放到 blog 里，再发个链接，我们的体验会更好？毕竟在论坛看长贴还是有点麻烦。

icloudnet

2015-10-07 22:33:24 +08:00

说实话，你这个加了 mysql 就特别耗内存，估摸至少要 600M 以上，如果稍微邮件多一点就玩完
最简单的就是 postfix+dovecot ，这个只耗几十 M 的内存(在 debian 32M 内存环境中亲测运行无碍)，而且加 SASL 也容易，安利个教程 https://icloud.net/blog/126/postfix-dovecot-build-your-own-mail-server