1.102. Postfix Courier OpenLDAP

Diese HowTo beschriebt die Installation und Einrichtung eines Mailservers unter OpenBSD. Die einzelen Komponenten setzen sich wie folgt zusammen

  • Postfix, smtp

  • Courier, imap

  • SASL, zur Authentifizierung

  • OpenLDAP, als Userdatenbank

  • Postgrey, für das [http://de.wikipedia.org/wiki/Greylisting Greylisting]

  • amavisd-new, zum Weiterleiten der Mails an den Virenscanner

  • ClamAV, als Virenscanner

Bemerkung

Die Grundlagen der einzelnen Komponenten sollten klar sein, insbesondere die Funktionsweise von Postfix und OpenLDAP.

Bemerkung

Dieses Anleitung sollte man nicht, wie eigentlich alle Anleitungen, einfach abtippen. Sondern man ist angehalten, sich selber über die Gefahren eines Mailsystems auf dem eigenen System zu informieren. Es kann immer mal vorkommen, dass sich Fehler einschleichen können, dies ist auch hier nicht auszuschliessen. Diese Anleitung ist nicht getestet und mehr aus dem Kopf entstanden ;). Dieses System ist ähnlich auf mehreren Servern im produktiven Betrieb.

1.102.1. Installation der Software

Courier

# cd /usr/ports/mail/courier-imap
# env FLAVOR=" no_mysql no_pgsql" make install clean
# cp -r /usr/local/share/examples/courier-imap/ /etc/

Cyrus-SASL

# cd /usr/ports/security/cyrus-sasl2
# make install clean

OpenLDAP-Client

# cd /usr/ports/databases/openldap
# env FLAVOR="sasl" make install clean

OpenLDAP-Server

# cd /usr/ports/databases/openldap
# env FLAVOR="sasl" SUBPACKAGE="-server" make install clean

Postfix

# cd /usr/ports/mail/postfix
# env FLAVOR="sasl2 ldap" make install clean
# /usr/local/sbin/postfix-enable

Postgrey

# cd /usr/ports/mail/postgrey
# make install clean

Ports sind manchmal blöde. Daher muss bei Postgrey noch ein bisschen Hand angelegt werden. Dafür legen wir anfangs ein Gruppe und einen User für Postgrey an.

# groupadd -g 534 postgrey
# useradd -s /sbin/nologin -d /var/empty -G 534 -u 534 _postgrey

Danach erstellen wir die Files und Verzeichniss für Postgrey

# touch /etc/postfix/postgrey_whitelist_clients
# touch /etc/postfix/postgrey_whitelist_recipients
# mkdir /var/spool/postfix/postgrey
# chown -R _postgrey:_postgrey /var/spool/postfix/postgrey
# chown _postgrey:_postgrey /etc/postfix/postgrey_whitelist_clients /etc/postfix/postgrey_whitelist_recipients

ClamAV

# cd /usr/ports/security/clamav
# make install clean

amavisd-new

# cd /usr/ports/mail/amavisd-new
# make install clean

Anmerkung

Natürlich kann man auch die entsprechenden Packages installieren.

/etc/rc.conf.local editieren und die flags von sendmail und syslogd hinzufügen

# vi /etc/rc.conf.local
sendmail_flags="-bd -q30m"
syslogd_flags="-a /var/spool/postfix/dev/log"

1.102.2. /etc/rc.local konfigurieren

Jetzt noch /etc/rc.local editieren und die Dienste starten

# vi /etc/rc.local
# openldap
if [ -x /usr/local/libexec/slapd ]; then
       echo -n ' slapd';
       /usr/local/libexec/slapd
fi

# courier
mkdir -p /var/run/courier-imap
/usr/local/libexec/authlib/authdaemond start
/usr/local/libexec/imapd.rc start

# postgrey
if [ -x /usr/local/libexec/postgrey ]; then
       echo -n 'Postgrey';
       /usr/local/libexec/postgrey --inet=10023 -d --delay=50 --greylist-text="Policy restrictions; try later" --user=_postgrey --group=_postgrey
fi

# clamav
if [ -x /usr/local/sbin/clamd ]; then
       echo -n 'clamd';
       /usr/local/sbin/clamd
fi

# amavisd-new
if [ -x /usr/local/sbin/amavisd ]; then
       echo -n 'amavisd';
       /usr/local/sbin/amavisd
fi

1.102.3. OpenLDAP konfigurieren

1.102.3.1. slapd.conf

Konfiguration vom OpenLDAP-Server, die folgenden Schemen werden mindestens benötigt. Das qmail.schema enthält die Attribute mailMessageStore und mailAlternateAdress, welche wir für die einzelnen Userkonten benötigen.

Der Schemacheck ist aktiviert, so dass es nicht möglich ist Attribute anzulegen, welche nicht durch Schemen definiert sind. Als Datenbankbackend wird ldbm genutzt, es ist aber auch möglich die BerkelyDB zu nutzen.

include         /etc/openldap/schema/core.schema
include         /etc/openldap/schema/cosine.schema
include         /etc/openldap/schema/nis.schema
include         /etc/openldap/schema/inetorgperson.schema
include         /etc/openldap/schema/qmail.schema

pidfile         /var/run/slapd.pid
argsfile        /var/run/slapd.args
loglevel        30
schemacheck     on

# this is for the postfix authentification
allow bind_v2

#######################################################################
# BDB database definitions
#######################################################################

database        ldbm
suffix          "dc=example,dc=de"
rootdn          "cn=Manager,dc=example,dc=de"
# Cleartext passwords, especially for the rootdn, should
# be avoid.  See slappasswd(8) and slapd.conf(5) for details.
# Use of strong authentication encouraged.
rootpw          {MD5}asdfzasdfIMOZnasdof=
# The database directory MUST exist prior to running slapd AND
# should only be accessible by the slapd and slap tools.
Mode 700 recommended.
directory       /var/openldap-data
# Indices to maintain
index   objectClass, eq

1.102.3.2. qmail.schema

Das qmail.schema ist nicht unbedingt schnell zu finden und teilweise werden inkompatible Versionen angezeigt. Aus diesem Grunde wird dieses Schema hier noch einmal aufgeführt

#
# qmail-ldap (20030901) ldapv3 directory schema
#
# The offical qmail-ldap OID assigned by IANA is 7914
#
# Created by: David E. Storey <dave@tamos.net>
# Modified and included into qmail-ldap by Andre Oppermann <opi@nrg4u.com>
# Schema fixes by Mike Jackson <mjj@pp.fi>
# Schema fixes by Christian Zoffoli (XMerlin) <czoffoli@xmerlin.org>
#
#
# This schema depends on:
# - core.schema
# - cosine.schema
# - nis.schema
#

# Attribute Type Definitions

attributetype ( 1.3.6.1.4.1.7914.1.2.1.1 NAME 'qmailUID'
 DESC 'UID of the user on the mailsystem'
 EQUALITY numericStringMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.36 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.2 NAME 'qmailGID'
 DESC 'GID of the user on the mailsystem'
 EQUALITY numericStringMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.36 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.3 NAME 'mailMessageStore'
 DESC 'Path to the maildir/mbox on the mail system'
 EQUALITY caseExactIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.4 NAME 'mailAlternateAddress'
 DESC 'Secondary (alias) mailaddresses for the same user'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

#
# mailQuota format is no longer supported from qmail-ldap 20030901 on,
# user mailQuotaSize and mailQuotaCount instead.
#
#attributetype ( 1.3.6.1.4.1.7914.1.2.1.5 NAME 'mailQuota'
# DESC 'The amount of space the user can use until all further messages get bounced.'
# SYNTAX 1.3.6.1.4.1.1466.115.121.1.44 SINGLE-VALUE )
#

attributetype ( 1.3.6.1.4.1.7914.1.2.1.6 NAME 'mailHost'
 DESC 'On which qmail server the messagestore of this user is located.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} SINGLE-VALUE)

attributetype ( 1.3.6.1.4.1.7914.1.2.1.7 NAME 'mailForwardingAddress'
 DESC 'Address(es) to forward all incoming messages to.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.8 NAME 'deliveryProgramPath'
 DESC 'Program to execute for all incoming mails.'
 EQUALITY caseExactIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.9 NAME 'qmailDotMode'
 DESC 'Interpretation of .qmail files: both, dotonly, ldaponly, ldapwithprog'
 EQUALITY caseIgnoreIA5Match
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{32} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.10 NAME 'deliveryMode'
 DESC 'multi field entries of: nolocal, noforward, noprogram, reply'
 EQUALITY caseIgnoreIA5Match
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{32} )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.11 NAME 'mailReplyText'
 DESC 'A reply text for every incoming message'
 EQUALITY caseIgnoreMatch
 SUBSTR caseIgnoreSubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{4096} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.12 NAME 'accountStatus'
 DESC 'The status of a user account: active, noaccess, disabled, deleted'
 EQUALITY caseIgnoreIA5Match
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.14 NAME 'qmailAccountPurge'
 DESC 'The earliest date when a mailMessageStore will be purged'
 EQUALITY numericStringMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.36 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.15 NAME 'mailQuotaSize'
 DESC 'The size of space the user can have until further messages get bounced.'
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.16 NAME 'mailQuotaCount'
 DESC 'The number of messages the user can have until further messages get bounced.'
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.2.1.17 NAME 'mailSizeMax'
 DESC 'The maximum size of a single messages the user accepts.'
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

#
# qmailGroup attributes
#

attributetype ( 1.3.6.1.4.1.7914.1.3.1.1 NAME 'dnmember'
 DESC 'Group member specified as distinguished name.'
 EQUALITY distinguishedNameMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.2 NAME 'rfc822member'
 DESC 'Group member specified as normal rf822 email address.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.3 NAME 'filtermember'
 DESC 'Group member specified as ldap search filter.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{512} )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.4 NAME 'senderconfirm'
 DESC 'Sender to Group has to answer confirmation email.'
 EQUALITY booleanMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.5 NAME 'membersonly'
 DESC 'Sender to Group must be group member itself.'
 EQUALITY booleanMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.7 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.6 NAME 'confirmtext'
 DESC 'Text that will be sent with sender confirmation email.'
 EQUALITY caseIgnoreMatch
 SUBSTR caseIgnoreSubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{4096} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.7 NAME 'dnmoderator'
 DESC 'Group moderator specified as Distinguished name.'
 EQUALITY distinguishedNameMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.8 NAME 'rfc822moderator'
 DESC 'Group moderator specified as normal rfc822 email address.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.9 NAME 'moderatortext'
 DESC 'Text that will be sent with request for moderation email.'
 EQUALITY caseIgnoreMatch
 SUBSTR caseIgnoreSubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.15{4096} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.10 NAME 'dnsender'
 DESC 'Allowed sender specified as distinguished name.'
 EQUALITY distinguishedNameMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.11 NAME 'rfc822sender'
 DESC 'Allowed sender specified as normal rf822 email address.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.3.1.12 NAME 'filtersender'
 DESC 'Allowed sender specified as ldap search filter.'
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{512} )


#
# qldapAdmin Attributes
#

attributetype ( 1.3.6.1.4.1.7914.1.4.1.1 NAME 'qladnmanager'
 DESC ''
 EQUALITY distinguishedNameMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.12 )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.2 NAME 'qlaDomainList'
 DESC ''
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.3 NAME 'qlaUidPrefix'
 DESC ''
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.4 NAME 'qlaQmailUid'
 DESC ''
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.5 NAME 'qlaQmailGid'
 DESC ''
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.6 NAME 'qlaMailMStorePrefix'
 DESC ''
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.7 NAME 'qlaMailQuotaSize'
 DESC ''
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.8 NAME 'qlaMailQuotaCount'
 DESC ''
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.9 NAME 'qlaMailSizeMax'
 DESC ''
 EQUALITY integerMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.27 SINGLE-VALUE )

attributetype ( 1.3.6.1.4.1.7914.1.4.1.10 NAME 'qlaMailHostList'
 DESC ''
 EQUALITY caseIgnoreIA5Match
 SUBSTR caseIgnoreIA5SubstringsMatch
 SYNTAX 1.3.6.1.4.1.1466.115.121.1.26{256} )


# Object Class Definitions

objectclass ( 1.3.6.1.4.1.7914.1.2.2.1 NAME 'qmailUser'
 DESC 'QMail-LDAP User'
 SUP top
 AUXILIARY
 MUST ( mail )
 MAY ( uid $ mailMessageStore $ homeDirectory $ userPassword $
       mailAlternateAddress $ qmailUID $ qmailGID $
       mailHost $ mailForwardingAddress $ deliveryProgramPath $
       qmailDotMode $ deliveryMode $ mailReplyText $
       accountStatus $ qmailAccountPurge $
       mailQuotaSize $ mailQuotaCount $ mailSizeMax ) )

objectclass ( 1.3.6.1.4.1.7914.1.3.2.1 NAME 'qmailGroup'
 DESC 'QMail-LDAP Group'
 SUP top
 AUXILIARY
 MUST ( mail $ mailAlternateAddress $ mailMessageStore )
 MAY ( dnmember $ rfc822member $ filtermember $ senderconfirm $
       membersonly $ confirmtext $ dnmoderator $ rfc822moderator $
       moderatortext $ dnsender $ rfc822sender $ filtersender) )

objectclass ( 1.3.6.1.4.1.7914.1.4.2.1 NAME 'qldapAdmin'
 DESC 'QMail-LDAP Subtree Admin'
 SUP top
 AUXILIARY
 MUST ( qlaDnManager $ qlaDomainList $ qlaMailMStorePrefix $
        qlaMailHostList )
 MAY ( qlaUidPrefix $ qlaQmailUid $ qlaQmailGid $ qlaMailQuotaSize $
       qlaMailQuotaCount $ qlaMailSizeMax ) )

1.102.3.3. LDAP-Struktur

        base
         |
   -------------
   |           |
 system       user
   |
postfix
   |
 -----
 |   |
eu  de

Unter base liegen system und user. In system liegt postfix und darin die jeweiligen Domains geordnet nach TLDs (Top Level Domains). Denn ist auszugegehen, dass der Mailserver für einige Domains genutzt werden soll. In user liegen die ganzen Daten der einzelnen Userkonten.

Diese Abbildung muss eventuell an die eigenen Bedürfnisse angepasst werden und sollte nicht einfach übernommen werden. Ein wichtiger Schritt bei der Benutzung von LDAP ist die passende Baumstruktur für seinen individuellen Anwendungsfall zu entwickeln.

Anlegen der LDAP Hierarchie

Initialisieren

dn: dc=example, dc=de
objectClass: top
objectClass: organization
objectClass: dcObject
dc: example
o: example.de

Die oberste Struktur im Verzeichnisbaum wird angelegt

Systemabschnitt

dn: ou=system, dc=example, dc=de
ou: system
objectClass: organizationalUnit

Es wird eine Systemabschnitt angelegt, der bei Bedarf noch weitere Unterbäume enthalten kann. Dieser kann auch wegfallen.

Struktur für die Domains

dn: ou=postfix, ou=system, dc=example, dc=de
ou: postfix
objectClass: organizationalUnit

Ablage der Domains

dn: dc=eu, ou=postfix, ou=system, dc=example, dc=de
associatedDomain: example.eu
dc: eu
objectClass: dNSDomain
objectClass: domainRelatedObject

dn: dc=de, ou=postfix, ou=system, dc=example, dc=de
associatedDomain: example.de
associatedDomain: example2.de
dc: de
objectClass: dNSDomain
objectClass: domainRelatedObject

Wie man hier sieht, sind die einzelnen TLDs in getrennten Strukturen. Dies dient zur besseren Übersicht. Man kann natürlich alle Domains auch in einer Struktur verwalten.

Struktur für die Userverwaltung

dn: ou=user, dc=bossk, dc=de
ou: user
objectClass: organizationalUnit

Anlegen der einzelnen User

dn: cn=foo, ou=user, dc=example, dc=de
userPassword:{MD5}CY9rzasdfsaP56ZDJi04d==
givenName: foo
sn: bar
mailMessageStore: /var/mail/foo/
mail: admin@example.de
mailAlternateAddress: foo@example2.de
mailAlternateAddress: bar@example.eu
uid: foo@example2.de
accountStatus: active
cn: foo
objectClass: top
objectClass: person
objectClass: inetOrgPerson
objectClass: qmailUser
objectClass: organizationalPerson

Das userPassword wird mit dem Tool /usr/local/sbin/slappasswd erstellt. Es kann pro Account nur einmal mail existieren, weitere eMail-Adressen des Accounts können unter mailAlternateAddress eingestellt werden. Über den accountStatus können Accounts deaktiviert werden. Die uid wird für die Anmeldungen an Postfix und Courier genutzt. Der Rest dürfte eindeutig sein.

1.102.4. Courier-IMAP konfigurieren

/etc/courier-imap/imapd

# vi /etc/courier-imap/imapd
ADDRESS=<IP auf der, der Server laufen soll>

Sollte man einstellen, wenn der Server mehrer IP’s hat

/etc/courier-imap/authdaemonrc

# vi /etc/courier-imap/authdaemonrc
authmodulelist="authldap"

Diese Einstellung kann man machen. Die default Einstellung funktioniert auch.

/etc/courier-imap/authldaprc

vi /etc/courier-imap/authldaprc
LDAP_SERVER             localhost
LDAP_PORT               389
LDAP_PROTOCOL_VERSION   3
LDAP_BASEDN             ou=user,dc=example,dc=de
LDAP_TIMEOUT            15
LDAP_MAIL               uid
LDAP_FILTER             (accountStatus=active)
LDAP_GLOB_UID           _postfix
LDAP_GLOB_GID           _postfix
LDAP_HOMEDIR            mailMessageStore
LDAP_MAILDIR            mailMessageStore
LDAP_DEFAULTDELIVERY    defaultDelivery
LDAP_FULLNAME           cn
LDAP_CRYPTPW            userPassword
LDAP_DEREF              never

Anmerkung Natürlich kann und sollte man sich auch den Rest der Einstellungen anschauen und ggf. seinen Anforderungen anpassen.

1.102.5. ClamAV konfigurieren

Die Dateien /etc/freshclam.conf und /etc/clamd.conf entsprechend seinen Präferenzen anpassen. In diesem Beispiel wird der Daemon von ClamAV gestartet und amavisd-new übergibt diesem die Mails zum scannen. Dafür müssen in der /etc/clamd.conf ein paar Änderungen durchgeführt werden.

Die nachfolgenden Zeilen müssen angepasst bzw. auskommentiert werden.

PidFile /var/run/clamav/clamd.pid
LocalSocket /var/run/clamav/clamd

Da das Verzeichnis /var/run/clamav noch nicht existiert wird es angelegt und die Berechtigungen werden gesetzt

# mkdir /var/run/clamav && chown -R _clamav:_clamav /var/run/clamav

Damit die Virendatenbanken von ClamAV laufend aktualisiert werden empfiehlt es sich einen Cronjob für freshclam anzulegen.

# crontab -l
# clamav aktualisierung
0       */4     *       *       *       /usr/local/bin/freshclam >/dev/null 2>&1

1.102.6. Postfix konfigurieren

Bemerkung

Es wird nur auf die Einstellung, die für die Verbindung zum LDAP-Server benötigt eingegangen. Postfix ist ein komplexes Programm, daher sollte man sich damit auseinander setzen. Mehr Informationen zur Konfiguration findet man auch in dem Artikel Postfix Dspam oder im Netz und in der gängigen Fachliteratur.

/etc/postfix/main.cf

# vi /etc/postfix/main.cf
mydestination = localhost, ldap:acceptdomains
acceptdomains_server_host = localhost
acceptdomains_server_port = 389
acceptdomains_bind = no
acceptdomains_search_base = ou=postfix,ou=system,dc=example,dc=de
acceptdomains_query_filter = (associatedDomain=%s)
acceptdomains_result_attribute = associatedDomain

Mit diesen Einträgen, werden die Domains gesucht.

local_transport = virtual
virtual_mailbox_base = /
virtual_mailbox_maps = ldap:ldapvirtual
virtual_uid_maps = static:507
virtual_gid_maps = static:507
virtual_mailbox_limit = 0
ldapvirtual_server_host = localhost
ldapvirtual_server_port = 389
ldapvirtual_bind = no
ldapvirtual_search_base = ou=user,dc=example,dc=de
ldapvirtual_query_filter= (&(|(mail=%s)(mailAlternateAddress=%s))(|(accountStatus=active)(accountStatus=shared)))
ldapvirtual_result_attribute = mailMessageStore

Hier wird der Speicherplatz für den passenden Account gesucht. Wichtig ist, dass die virtual_uid_maps und virtual_gid_maps an den _postfix-Account des Systems angepasst wird. Standard unter OpenBSD ist 507.

virtual_alias_maps = ldap:ldapalias
ldapalias_server_host = localhost
ldapalias_server_port = 389
ldapalias_bind = no
ldapalias_search_base = ou=user,dc=example,dc=de
ldapalias_query_filter = (&(|(mail=%s)(mailAlternateAddress=%s))(|(accountStatus=active)(accountStatus=shared)))
ldapalias_result_attribute = mail

Jetzt fügen wir die Restrictions hinzu

smtpd_recipient_restrictions = permit_mynetworks,
                              permit_sasl_authenticated,
                              reject_unauth_pipelining,
                              reject_unauth_destination,
                              reject_invalid_hostname,
                              reject_non_fqdn_hostname,
                              reject_non_fqdn_sender,
                              reject_non_fqdn_recipient,
                              reject_rbl_client relays.ordb.org,
                              reject_rbl_client list.dsbl.org,
                              reject_rbl_client opm.blitzed.org,
                              reject_rbl_client sbl-xbl.spamhaus.org,
                              reject_rhsbl_sender dsn.rfc-ignorant.org,
                              check_policy_service inet:127.0.0.1:10023
                              permit

Es sinnig (fast) alle restrictions in die smtpd_recipient_restrictions zu setzen, da die Restrictions bei der Standardkonfiguration nach dem RCPT TO: ausgeführt werden und nicht wie allgemein angenommen bei dem entsprechenden Vorgang. Im Klartext: Die smtpd_helo_restrictions werden nicht beim HELO geprüpft sondern auch erst nach dem RCPT TO:

to be continued…

Zuletzt geändert: 2023-07-22