Postfix чаще всего используется в качестве почтового сервера сайтов. Он готов к работе сразу после установки, но по умолчанию в нем нет системы авторизации. Это значит, что любой человек может использовать этот почтовый сервер для отправки и приема писем. Чтобы исключить такую ситуацию, используется связка Postfix – Dovecot. Dovecot — плагин, который позволяет настроить авторизацию.
Вам понадобится:
sudo
.В этом руководстве мы построим Mail Server на основе Ubuntu 20.04. Для хранения данных подключим базу данных MySQL.
Запустите терминал Ubuntu и создайте нового пользователя:
adduser postfix
Выдайте новому пользователю права sudo:
usermod -aG sudo postfix
Создаем учетную запись, от которой будут выполняться задачи чтения и записи почтовых ящиков в каталоге на сервере. Мы создадим пользователя vmail
с одноимённой группой и UID и GID 1024:
groupadd -g 1024 vmailuseradd -d /home/mail -g 1024 -u 1024 vmailmkdir /home/mailchown vmail:vmail /home/mail
Мы будем хранить всю почту пользователей в каталоге /home/mail
.
MySQL нужен для решения двух задач. Первая — хранение данных пользователей, вторая — хранение конфигурации Roundcube.
Установите MySQL, PHP и Apache:
sudo apt install mysql-server mysql-client apache2 libapache2-mod-php php php-imap php-mysql php-mbstring
Запустите и добавьте в автозагрузку базу данных и веб-сервер:
sudo systemctl start apache2 sudo systemctl enable apache2 sudo systemctl start mysql sudo systemctl enable mysql
Задайте пароль для учетной записи root, а также создайте БД для Postfix и Roundcube:
sudo mysql -u root -p alter user root@localhost identified by ‘password’; create database postfix; use postfix; create user postfix@localhost identified by 'password'; grant all privileges on *.* to postfix@localhost; create database roundcube; use roundcube; create user roundcube@localhost identified by 'password'; grant all privileges on *.* to roundcube@localhost; flush privileges; exit;
PostfixAdmin — интерфейс администрирования, который нужен для управления почтовым сервером.
Загрузите PostfixAdmin и перенесите его исполняемые файлы в папку usr
:
wget https://sourceforge.net/projects/postfixadmin/files/latest/download -O postfixadmin.tar.gz tar -zxf postfixadmin.tar.gz sudo mv postfixadmin-* /usr/share/postfixadmin mkdir /usr/share/postfixadmin/templates_c rm postfixadmin.tar.gz
Измените владельца каталога на www-data
, чтобы PostfixAdmin мог с ней работать:
sudo chown -R www-data:www-data /usr/share/postfixadmin/
Добавьте символическую ссылку из каталога веб-сервера:
sudo ln -s /usr/share/postfixadmin/public/ /var/www/html/postfixadmin
Откройте файл конфигурации PostfixAdmin:
sudo nano /usr/share/postfixadmin/config.local.php
Отредактируйте его содержимое:
<?php $CONF['configured'] = true; // Доступно конфигурирование $CONF['setup_password'] = 'хэш пароля'; // хэш отображается при первом запуске http://<адрес сервера>/postfixadmin/setup.php $CONF['default_language'] = 'ru'; // язык интерфейса $CONF['database_type'] = 'mysqli'; // тип базы данных $CONF['database_host'] = 'localhost'; // имя сервера, на котором расположена БД $CONF['database_user'] = 'postfix'; // имя пользователя для подключения к БД $CONF['database_password'] = 'password'; // пароль пользователя для подключения к БД $CONF['database_name'] = 'postfix'; // имя БД $CONF['admin_email'] = 'root@domain.ru'; // почта администратора БД $CONF['encrypt'] = 'md5crypt'; // тип шифрования пароля $CONF['default_aliases'] = array ( 'abuse' => 'root', 'hostmaster' => 'root', 'postmaster' => 'root', 'webmaster' => 'root' ); // алиасы почтовых адресов пользователей $CONF['domain_path'] = 'YES'; // определение директории, в которой будут храниться письма $CONF['domain_in_mailbox'] = 'YES'; // автоматически определяет директорию для хранения писем пользователей, если она не выставлена в предыдущем параметре ?>
Откройте браузер и перейдите по адресу http://<адрес сервера>/postfixadmin/setup.php
. Здесь вы сможете задать пароль. Введите его дважды и нажмите «Generate password hash». После обновления страницы будет отображен хэш пароля. Скопируйте его и пропишите в конфигурационном файле config.local.php
, который мы рассматривали выше, в строке $CONF['setup_password']
.
Теперь перезагрузите страницу, на которой получили хэш, и появится возможность создать администратора.
После вы сможете войти в интерфейс Postfixadmin по ссылке http://<адрес сервера>/postfixadmin
с заданным логином и паролем.
После авторизации откроется интерфейс, через который можно управлять пользователями и почтовыми ящиками, отправлять и получать письма. Можно даже попробовать послать сообщение. Правда, велика вероятность, что оно не дойдет или окажется в спаме, так как почтовые сервисы доверяют не всем доменам. Следить за репутацией почтового домена помогает Постмастер Майл и другие подобные инструменты, но их изучение выходит за рамки этого руководства.
Установите Postfix Ubuntu и postfix-mysql
для соединения с базой данных:
sudo apt install postfix postfix-mysql -y
После завершения установки в терминале отобразится графический интерфейс. Настройка:
Если впоследствии появится необходимость изменить эти параметры, сделать это можно с помощью утилиты dpkg-reconfigure
:
sudo dpkg-reconfigure postfix
Переходите к настройке Postfix. Откройте главный файл конфигурации:
sudo nano /etc/postfix/main.cf
Закомментируйте несколько строк:
#smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem #smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key #smtpd_tls_security_level=may #smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
Добавьте следующие строки:
virtual_transport=lmtp:unix:private/dovecot-lmtp relay_domains = mysql:/etc/postfix/mysql/relay_domains.cf virtual_alias_maps = mysql:/etc/postfix/mysql/virtual_alias_maps.cf,mysql:/etc/postfix/mysql/virtual_alias_domain_maps.cf virtual_mailbox_domains = mysql:/etc/postfix/mysql/virtual_mailbox_domains.cf virtual_mailbox_maps = mysql:/etc/postfix/mysql/virtual_mailbox_maps.cf virtual_mailbox_base=/var/mail/vmail/ local_recipient_maps=$virtual_mailbox_maps smtpd_sasl_auth_enable=yes smtpd_sasl_type=dovecot smtpd_sasl_path=private/auth broken_sasl_auth_clients=yes smtpd_sasl_security_options=noanonymous smtpd_use_tls=yes smtpd_tls_cert_file=/etc/postfix/certs/cert.pem smtpd_tls_key_file=/etc/postfix/certs/key.pem smtpd_sasl_tls_security_options=noanonymous smtpd_tls_auth_only=yes smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject_non_fqdn_helo_hostname,reject_non_fqdn_sender,reject_unknown_sender_domain,reject_non_fqdn_recipient,reject_unknown_recipient_domain smtpd_banner=$myhostname ESMTP strict_rfc821_envelopes=yes disable_vrfy_command=yes smtpd_helo_required=yes
Затем откройте для редактирования файл master.cf
:
sudo nano /etc/postfix/master.cf
Добавьте в него строки:
submission inet n - n - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth -o syslog_name=postfix/submission -o smtpd_tls_wrappermode=no -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination -o milter_macro_daemon_name=ORIGINATING smtps inet n - n - - smtpd -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject -o smtpd_relay_restrictions=permit_mynetworks,permit_sasl_authenticated,defer_unauth_destination -o milter_macro_daemon_name=ORIGINATING dovecot unix - n n - - pipe flags=DRhu user=vmail:vmail argv=/usr/lib/dovecot/deliver -f ${sender} -d ${recipient}
Создайте конфигурационные файлы, которые определят порядок обращений Postfix к БД MySQL.
Создайте папку MySQL:
sudo mkdir /etc/postfix/mysql
Откройте файл relay_domains.cf
:
sudo nano /etc/postfix/mysql/relay_domains.cf
Пропишите в нем:
hosts = localhost user = postfix password = password dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' and backupmx = '1'
Откройте файл virtual_alias_domain_maps.cf
:
sudo nano /etc/postfix/mysql/virtual_alias_domain_maps.cf
Пропишите в нем:
hosts = localhost user = postfix password = password dbname = postfix query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1
Откройте файл virtual_alias_maps.cf
:
sudo nano /etc/postfix/mysql/virtual_alias_maps.cf
Пропишите в нем:
hosts = localhost user = postfix password = password dbname = postfix query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
Откройте файл virtual_mailbox_domains.cf
:
sudo nano /etc/postfix/mysql/virtual_mailbox_domains.cf
Пропишите в нем:
hosts = localhost user = postfix password = password dbname = postfix query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
Откройте файл virtual_mailbox_maps.cf
:
sudo nano /etc/postfix/mysql/virtual_mailbox_maps.cf
Пропишите в нем:
hosts = localhost user = postfix password = password dbname = postfix query = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
Напоследок сгенерируйте самоподписной сертификат.
sudo mkdir /etc/postfix/certs sudo openssl req -new -x509 -days 3650 -nodes -out /etc/postfix/certs/cert.pem -keyout /etc/postfix/certs/key.pem
При генерировании сертификата появится несколько вопросов, ответы на них могут быть любыми.
После завершения настройки перезапустите Postfix:
sudo postfix check sudo systemctl restart postfix
Dovecot — сервер, который мы будем использовать для авторизации пользователей по протоколу SMTP.
Установите Dovecot вместе с плагином для работы с MySQL:
apt-get install dovecot-imapd dovecot-pop3d dovecot-mysql
Затем настройте способ хранения писем. Для этого откройте файл конфигурации с помощью встроенного редактора nano
:
sudo nano /etc/dovecot/conf.d/10-mail.conf
Добавьте в него строку:
mail_location = maildir:/home/mail/%d/%u/
Это строка указывает, что сообщения необходимо хранить в папке MailDir
.
Затем настройте слушателя для аутентификации. Откройте другой файл конфигурации:
sudo nano /etc/dovecot/conf.d/10-master.conf
Добавьте в него следующие строки:
service auth { unix_listener /var/spool/postfix/private/auth { mode = 0666 user = postfix group = postfix } unix_listener auth-userdb { mode = 0600 user = vmail group = vmail } }
Здесь идут два слушателя: /var/spool/postfix/private/auth
нужен, чтобы Постфикс мог проводить авторизацию через Dovecot, а auth-userdb
— это сокет авторизации через dovecot-lda
.
Затем добавьте в этот же файл конфигурации:
service stats { unix_listener stats-reader { user = vmail group = vmail mode = 0660 } unix_listener stats-writer { user = vmail group = vmail mode = 0660 } }
Теперь переходите к настройке самой аутентификации. Откройте файл 10-auth.conf
:
sudo nano /etc/dovecot/conf.d/10-auth.conf
Пропишите в нем:
#!include auth-system.conf.ext !include auth-sql.conf.ext
Затем откройте файл 10-ssl.conf
:
sudo nano /etc/dovecot/conf.d/10-ssl.conf
Настройте в нем шифрование:
ssl = required // требование шифрования ssl_cert = </etc/ssl/mail/public.pem // путь к открытой части сертификата ssl_key = </etc/ssl/mail/private.key // путь к приватному ключу
Настройте автоматическое создание каталогов в файле 15-lda.conf
. Откройте его:
sudo nano /etc/dovecot/conf.d/15-lda.conf:
И укажите:
lda_mailbox_autocreate = yes
Настройте подключение к БД. Откройте файл конфигурации:
sudo nano /etc/dovecot/conf.d/auth-sql.conf.ext
Добавьте в него:
passdb { … args = /etc/dovecot/dovecot-sql.conf.ext } userdb { … args = /etc/dovecot/dovecot-sql.conf.ext }
Здесь нужно указать файлы, в которых описываются правила получения пользователей и паролей из базы данных. Их тоже нужно добавить самостоятельно. Откройте файл:
sudo nano /etc/dovecot/dovecot-sql.conf.ext
В конце добавьте:
driver = mysql connect = host=localhost dbname=postfix user=postfix password=postfix123 default_pass_scheme = MD5-CRYPT password_query = SELECT password FROM mailbox WHERE username = '%u' user_query = SELECT maildir, 1024 AS uid, 1024 AS gid FROM mailbox WHERE username = '%u' user_query = SELECT CONCAT('/home/mail/',LCASE(`domain`),'/',LCASE(`maildir`)), 1024 AS uid, 1024 AS gid FROM mailbox WHERE username = '%u'
Это полностью сконфигурированный запрос, который позволит получать данные из БД. Осталось задать интерфейс, который будет слушать Dovecot. Откройте файл:
sudo nano /etc/dovecot/dovecot.conf
Пропишите в нем:
listen = *
Чтобы все заработало, разрешите запуск Dovecot:
systemctl enable dovecot
И перезагрузите процесс:
systemctl restart dovecot
Настройка почтового сервера практически завершена.
После настройки Dovecot измените конфигурацию Postfix. Откройте файл main.cf
:
sudo nano /etc/postfix/main.cf
Внесите изменения:
smtp_use_tls = yes smtp_tls_security_level = may smtpd_tls_security_level = may smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth
Закомментируйте несколько параметров, которые теперь не нужны:
#virtual_mailbox_base = /home/vmail #virtual_mailbox_maps = hash:/etc/postfix/vmaps #virtual_minimum_uid = 1000 #virtual_uid_maps = static:5000 #virtual_gid_maps = static:5000
Вместо закомментированных параметров добавьте:
virtual_transport = lmtp:unix:private/dovecot-lmtp
Измените файл master.cf
. Откройте его:
sudo nano /etc/postfix/master.cf
Раскомментируйте строку:
submission inet n - y - - smtpd
После изменения конфигурации перезагрузите Postfix и Dovecot:
sudo systemctl restart postfix sudo systemctl restart dovecot
Теперь у вас есть свой почтовый сервер.
Сначала необходимо убедиться в том, что почта доходит до нового ящика. Сделать это можно с помощью тестового письма:
echo "Test mail" | mail -s "Test mail" admin@site.ru
Сообщение должно появиться в папке /home/vmail/site.ru/admin/new/
. Если письма нет, проверьте лог Postfix:
tail -f /var/log/mail.log
Чтобы почтовый сервер был доступен из интернета, необходимо открыть несколько портов.
Начните с POP3 и POP3S:
sudo ufw allow 110 sudo ufw allow 995
Затем откройте IMAP и IMAPS:
sudo ufw allow 143 sudo ufw allow 993
И напоследок — доступ к Ubuntu SMTP Server:
sudo ufw allow 25 sudo ufw allow 465 sudo ufw allow 587
Для управления почтовыми ящиками можно использовать другой графический интерфейс. Например, Roundcube-почта — клиент для получения и отправки электронных писем. Работает на связке Apache и MySQL, что отлично вписывается в нашу конфигурацию.
Конфигурацию почтового сервера тоже можно менять. Например, добавить Postfix DKIM — инструмент, который добавляет в заголовки писем электронную подпись. Кроме DKIM Postfix, есть SPF и DMARC. Первый инструмент помогает внешним сервисам однозначно определять серверы, которые могут отправлять почту от домена, а второй инструмент позволяет указать другим серверам, что делать с письмами, не получившими одобрение от DKIM и SPF.
Чтобы конфигурацию было удобно переносить на другой сервер, можно также создать со всеми установленными зависимостями.
Спасибо, что забыли написать, что нужно создать юзера vmail 1024:1024. Вы должны мне часа 3 моей жизни....
Здравствуйте, Антон! Вы правы, приносим извинения. Статью доработаем. Время вернуть не сможем, но можем начислить бонус, если вы наш клиент :) Сообщите свой логин, пожалуйста, или напишите в поддержку из панели.
<< Откройте браузер и перейдите по адресу http://<адрес сервера>/postfixadmin. Введите логин и пароль.
Какой логин и пароль от чего?
Спасибо, разобрался. Об этом надо было поподробнее...
Здравствуйте! Спасибо, что обратили внимание. Мы расписали немного подробнее момент с получением хэша пароля и созданием администратора.
Здравствуйте! Вопрос "В этом руководстве мы построим Mail Server на основе Ubuntu 20.04. Для хранения данных подключим базу данных MySQL. Создание отдельного пользователя
Запустите терминал Ubuntu и создайте нового пользователя:"
с первой же строки проблема - в Убунту нет рута по дефолту, что делать?
https://www.cyberciti.biz/faq/ubuntu-linux-root-password-default-password/
Здравствуйте, Михаил!
root в Ubuntu присутствует, но у него может быть не задан пароль (пустой пароль). Вы можете задать его командой
passwd
.Если вы создавали сервер в Timeweb, то пароль root был указан в письме, которое приходит на почту после установки сервера. Также пароль можно сбросить по нашей инструкции.
Если вы работаете из-под обычного пользователя (не root), то нужно выдать пользователю права на выполнение команд с sudo. Для этого нужно залогиниться под root и добавить пользователю группу admin или root: