Konfigurace elektronické pošty

################################################
###  Ruleset 96 -- bottom half of ruleset 3  ###
################################################

SCanonify2=96

# handle special cases for local names
R$* < @ localhost > $*          $: $1 < @ $j . > $2             no domain at all
R$* < @ localhost . $m > $*     $: $1 < @ $j . > $2             local domain
R$* < @ localhost . UUCP > $*   $: $1 < @ $j . > $2             .UUCP domain

# check for IPv4/IPv6 domain literal
R$* < @ [ $+ ] > $*             $: $1 < @@ [ $2 ] > $3          mark [addr]
R$* < @@ $=w > $*               $: $1 < @ $j . > $3             self-literal
R$* < @@ $+ > $*                $@ $1 < @ $2 > $3               canon IP addr

# if really UUCP, handle it immediately

# try UUCP traffic as a local address
R$* < @ $+ . UUCP > $*          $: $1 < @ $[ $2 $] . UUCP . > $3
R$* < @ $+ . . UUCP . > $*      $@ $1 < @ $2 . > $3

# hostnames ending in class P are always canonical
R$* < @ $* $=P > $*             $: $1 < @ $2 $3 . > $4
R$* < @ $* $~P > $*             $: $&{daemon_flags} $| $1 < @ $2 $3 > $4
R$* CC $* $| $* < @ $+.$+ > $*  $: $3 < @ $4.$5 . > $6
R$* CC $* $| $*                 $: $3
# pass to name server to make hostname canonical
R$* $| $* < @ $* > $*           $: $2 < @ $[ $3 $] > $4
R$* $| $*                       $: $2

# local host aliases and pseudo-domains are always canonical
R$* < @ $=w > $*                $: $1 < @ $2 . > $3
R$* < @ $=M > $*                $: $1 < @ $2 . > $3
R$* < @ $* . . > $*             $1 < @ $2 . > $3

Co se bude dít?

• kudy chodí maily
• jak vypadá doručování (nejen) pomocí SMTP
• základní nastavení lokálních mailů, používání některých MUA
• architektura nejpoužívanějších MTA
• jednoduchá konfigurace smtpd/Sendmailu/Postfixu pro místní stroj
• (srovnání serverů)

Příště něco z:

• typický mailserver z praxe (bez databáze)
• bezpečnost nejen mailserverů
• milters, ochrana před spamem
• záložní store'n'forward mail server
• příchozí pošta (Dovecot)

Co se stane, když odešlete mail?

1. Odešlete e-mail pomocí svého MUA (např. mutt nebo thunderbird).

   Takovéhle spamboty píšou malé děti a nepouští je z počítačů z [virt]labu, odkud je občas potřeba poslat něco důležitého. A lidi mají nastavený forwarding.

   $ echo "potazmo" | mail -f from@hea.der -s "Subject 1" test@enve.lope
   $ uuencode priloha.bin | mail -f from@head.er -s predmet test@enve.lope
   ### v Linuxu program base64
   

2. Váš MUA předá zprávu svému (typicky přednastavenému) MTA, protokolem SMTP (RFC 5321).

   Někdy s uživatelem komunikuje MSP a provádí část rozhodování/pre-processingu sám, čímž méně zatěžuje MTA a zároveň klade menší nároky na jeho konfiguraci.
   Aneb jak "zmodulárnit" monolitický design Sendmailu...

   Zkuste si pomocí programu telnet poslat mail. Těmhle adresám se říká envelope, nebo "z obálky".

   HELO odesilateluv_stroj
   MAIL FROM:<odesilatel@obalka.domena>
   RCPT TO:<prijemce.obal.ka>
   DATA
   .
   QUIT
   

3. MTA si (typicky) uloží zprávu do nějaké fronty a odtud se ji snaží doručit dále
4. MTA si předávají zprávu mezi sebou (relaying), dokud se nenajde příjemce nebo ji někdo nezahodí.
   • DNS dotaz

     doména.cz IN MX

   • DNS odpovědi

     doména.cz IN MX 10 mail.doména.cz
     doména.cz IN MX 20 motýla.mámalý.tom
     ADDITIONAL:
     mail.doména.cz IN CNAME kobyla.mámalý.bok

   • "Distance (DJB)" vs. "Priority (RFC 5321)" of MX records.
   • Nenajde-li MTA záznam typu MX, fallbackne na A/AAAA (implicit MX). Nespoléhat na to, napr. qmail jednu dobu posilal dotazy na ANY, na ktere kdyz cachujici resolver vrati pouze obsah sve cache, ve ktere MX neni, mate problem.

     Protože na záznam @ IN A 192.0.2.259 občas lidi zapomenou. http://kolej.mff.cuni.cz/ vs. http://www.kolej.mff.cuni.cz/

   • Některé druhy ochrany proti spamu (graylisting) mohou způsobit i několikaminutové čekání ve frontách.
   • A některé (nolisting) taky nemusejí fungovat s některými SMTP klienty.
   • Ono to "si předávají" je trochu složitější. Role MSP (sm-msp), MSA (postdrop), "vzdáleností" MX záznamů, ...
   • Postfix umí vynutit cestu pomocí transport_maps, transport(5) a tím např. obejít MX lookup.
5. Mail může bouncenout, tj. vygenerovat zprávu o nedoručitelnosti a zmizet.
6. Příjemcův MTA předá zprávu MDA, které jej zpracuje a případně uloží na správné místo ve správném formátu.
   • vizte přednášku - mbox vs. Maildir vs. nějaká databáze (priklad prevodu z mbox na Maildir)
   • konfigurace procmailu nebo DB backendu je nad rámec přednášky

Jak začít?

Serverem nebo klientem? Chicken-egg problem.

• OpenBSD má předinstalovaný OpenSMTPD na doručování lokálních zpráv např. od security(8)
• CentOS 6 má (někdy) předinstalovaný postfix.
• Debian má předinstalovaný exim, ale mail jsem od něj ještě neviděl.
• Gentoo nemá předinstalované nic :-) (dlouhou dobu jsem používal ssmtp)
• nikdo nemá předinstalovaný qmail

# pkg_add -iv mutt postfix

# yum install mutt postfix

# emerge -av mutt postfix

mail(8) - standardní a jednoduchý MUA

The mailx utility is compliant with the IEEE Std 1003.1-2008 (``POSIX.1'') specification.

• asi nejjednodušší MUA (kromě less(1)), který najdete skoro všude, je mail(8)
• příkazem m začnete (napůl interaktivně) psát nový mail, d23-59 smaže zprávy podle očíslování vydané příkazem h (headers) nebo z, resp. z-
• po ukončení přesune přečtené zprávy do ~/mbox, odkud je přečtete např. pomocí mail -f ~/mbox
• dá se nastavit pomocí /etc/mail.rc nebo ~/.mailrc
• (něco jako comsat(8) volaný z inetd(8) Vás upozorní na mail, když jste zrovna v shellu a zmáčknete např. Enter; nějak s tím souvisí proměnná $MAILCHECK)

• You have mail.
  # mail
  Mail version 8.1.2 01/15/2001.  Type ? for help.
  "/var/mail/root": 1 message 1 new
  >N  1 deraadt@do-not-re  Tue Nov  1 07:47   87/4556  Welcome to OpenBSD 5.0!
  & q
  Held 1 message in /var/mail/root
  # #############################################################################
  # mail
  Mail version 8.1.2 01/15/2001.  Type ? for help.
  "/var/mail/root": 1 message 1 unread
  >U  1 deraadt@do-not-re  Tue Nov  1 07:47   87/4556  Welcome to OpenBSD 5.0!
  & p
  (výstup z $PAGER) Message 1:
  From deraadt@do-not-reply.openbsd.org Tue Nov  1 07:47:47 MST 2011
  ...
  & h
  >   1 deraadt@do-not-re  Tue Nov  1 07:47   87/4556  Welcome to OpenBSD 5.0!
  & d
  No applicable messages
  & q
  #
  

Příkaz sendmail(8)

Z historických důvodů každý používá /usr/sbin/sendmail co se chová různě s různými argv[0].

Např. newaliases má v sendmailu ekvivalent sendmail -bi.

• OpenBSD: vybírá ho mailwrapper(8) pomocí mailer.conf(5)
• Linux: pouze symlinky (např. /etc/alternatives/mta) → musíte si vybrat jeden :-(

[blocks B      ] mail-mta/ssmtp[mta] ("mail-mta/ssmtp[mta]" is blocking mail-mta/opensmtpd-5.3.3.201310281424_p1)
[blocks B      ] mail-mta/postfix ("mail-mta/postfix" is blocking mail-mta/netqmail-1.06-r2, mail-mta/exim-4.82, mail-mta/sendmail-8.14.7-r1, mail-mta/opensmtpd-5.3.3.201310281424_p1)
[blocks B      ] mail-mta/exim ("mail-mta/exim" is blocking mail-mta/netqmail-1.06-r2, mail-mta/opensmtpd-5.3.3.201310281424_p1, mail-mta/sendmail-8.14.7-r1, mail-mta/postfix-2.10.2)
[blocks B      ] mail-mta/netqmail ("mail-mta/netqmail" is blocking mail-mta/exim-4.82, mail-mta/sendmail-8.14.7-r1, mail-mta/postfix-2.10.2, mail-mta/opensmtpd-5.3.3.201310281424_p1)
[blocks B      ] >=mail-mta/ssmtp-2.64-r2[mta] (">=mail-mta/ssmtp-2.64-r2[mta]" is blocking mail-mta/netqmail-1.06-r2, mail-mta/exim-4.82, mail-mta/sendmail-8.14.7-r1, mail-mta/postfix-2.10.2)
[blocks B      ] mail-mta/opensmtpd ("mail-mta/opensmtpd" is blocking mail-mta/exim-4.82, mail-mta/sendmail-8.14.7-r1, mail-mta/postfix-2.10.2)
[blocks B      ] mail-mta/exim ("mail-mta/exim" is blocking mail-mta/ssmtp-2.64-r2)
[blocks B      ] mail-mta/netqmail ("mail-mta/netqmail" is blocking mail-mta/ssmtp-2.64-r2)
[blocks B      ] mail-mta/sendmail ("mail-mta/sendmail" is blocking mail-mta/netqmail-1.06-r2, mail-mta/exim-4.82, mail-mta/postfix-2.10.2, mail-mta/opensmtpd-5.3.3.201310281424_p1)
[blocks B      ] mail-mta/postfix ("mail-mta/postfix" is blocking mail-mta/ssmtp-2.64-r2)
[blocks B      ] mail-mta/opensmtpd ("mail-mta/opensmtpd" is blocking mail-mta/ssmtp-2.64-r2)
[blocks B      ] mail-mta/sendmail ("mail-mta/sendmail" is blocking mail-mta/ssmtp-2.64-r2)

mutt

"All mail clients suck. This one just sucks less."

• klávesy jsou nahoře, vše se dá přebindovat
• klávesou h v mailu zobrazíte/skryjete hlavičky
• standardně čte poštu z $MAIL nebo $MAILDIR

  (Filip Matzner napsal tohle, diky!)
  Myslim, ze Muttu staci, aby $MAIL byl adresar a ne soubor a jiz sam
  pochopi, ze ma cist Maildir format. Tato zmena je pro ty, jez pouzivaji PAM
  treba na Debianu mnohem jednodussi, nebot staci zmenit prislusny radek v
  souborech /etc/pam.d/login a /etc/pam.d/sshd na:
  session    optional   pam_mail.so dir=~/Maildir standard
  a nemuseji vsem existujicim uzivatelum menit .profile  
  

• samozřejmě umí i IMAP/POP3, SMTP a kde co:

Můj ~/.muttrc, abyste neřekli

Neznamená to "musím to copypastnout"

set from = "username@gmail.com"
set realname = "Vaše Jméno"

set imap_user = "username@gmail.com"
set imap_pass = "hesloheslo"

set folder = "imaps://imap.gmail.com:993"
set spoolfile = "+INBOX"
set postponed = "+[Gmail]/Drafts"

set header_cache =~/.mutt/cache/headers                                         
set message_cachedir =~/.mutt/cache/bodies                                      
set certificate_file =~/.mutt/certificates

set smtp_url = "smtp://username@smtp.gmail.com:587/"
set smtp_pass = "hesloheslo"

macro index gi "<change-folder>=INBOX<enter>" "Go to inbox"                     
macro index ga "<change-folder>=[Gmail]/All Mail<enter>" "Go to all mail"       
macro index gs "<change-folder>=[Gmail]/Sent Mail<enter>" "Go to Sent Mail"     
macro index gd "<change-folder>=[Gmail]/Drafts<enter>" "Go to drafts"

# My Editor                                                                     
set editor='vim + -c "set textwidth=72" -c "set wrap" -c "set nocp"

set move = no  #Stop asking to "move read messages to mbox"!                    
set imap_keepalive = 900

set sort=threads

bind index \Cr imap-fetch-mail

Jaký MTA?

Sendmail (Eric Allman)

• I když ho nemáte rádi, používá se a může se Vám stát, že ho budete muset někde přenastavit. Je ozkoušený.
• Konfigurace se typicky kompiluje ze souboru s makry .mc do výsledného souboru .cf.
• Monolitický. I když, dnes už tak ne. V podstatě je to interpret jazyka. A jakého!

Postfix (Wietse Venema)

• Mladý, nadějný, bla bla bla.
• Konfigurace taky není žádná sláva :-) a části musíte umět ke zkoušce. Hlavní je main.cf
• Modulární. Proces master(8) se ovládá pomocí master.cf, master(5)

Exim

• Neznám, je v debianu :-)
• Jak je to vlastně s podporou takových věcí jako mapy z LDAPu?

qmail (Daniel J. Bernstein)

• Úchylná a vtíravá instalace (daemontools, ucspie-tcp, ...).
• Dřív byla problém nesvobodná licence, nyní in public domain.
• Modulární a prý rychlý. Odměna $1000 za nalezení bezpečnostní chyby.

Jaký MTA?

OpenSMTPD (Gilles Chehade a další)

• Ultra-jednoduchá konfigurace: smtpd.conf(5)

  listen on lo0
  listen on pppoe0 tls auth
  table aliases db:/etc/mail/aliases.db
  table secrets { smtp.gmail.com => uzivatel:heslo }
  accept for local deliver to mbox
  accept from any for domain example.org deliver to mda "procmail -f -"
  accept from any for any relay via tls+auth://smtp.gmail.com auth "secrets"
  

• Hotový je v OpenBSD 5.3. Některé featury. Prezentace.
• Ovládá se pomocí smtpctl(8)

...a co když mám webserver v chroot(2)u?

• chroot(2) pomáhá chránit systém držením nebezpečných věcí dál od sebe
• sendmail(8) je velký a nebezpečný
• webové programy potřebují posílat maily
• do chrootu patří elegantní věci, and that's when you need femail(8)
• ...pořád to nefunguje!
• protože PHP ve funkci mail() dělá execle("/bin/sh", "-c", "/usr/bin/sendmail" ...)
• napíšete jednoduchý shell-replacement v C:

  int
  main(int argc, char *argv[])
  {
  	setuid(getuid());
  	if (chdir("/") != 0)
  		err(1, "chdir");
  
  	if (strcmp(argv[1], "-c") == 0 &&
  	    strcmp(argv[2], "/usr/bin/sendmail") == 0) {
  		execle("/usr/bin/sendmail", "sendmail", "-t", (char *)NULL, env);
  		err(1, "execle: sendmail");
  	}
  
  	errx(1, "invalid usage\n");
  }
  

Postfix - architektura

• spustí se proces master(8) a ten podle master(5) zplodí další procesy
• Nemá smysl tady cokoli psát, když už je to napsané oficiálně
• instalujte jej pokud možno z balíků, normálně se při instalaci ptá na cesty ke všem možným věcem

Postfix v OpenBSD - jak nahradit sendmail?

• slide je z doby, kdy mělo OpenBSD sendmail jako výchozí
• všechno se to dočtete v instalačních instrukcích

• # pkg_add -iv postfix
  # /usr/local/sbin/postfix-enable
  # vi /etc/rc.conf.local
  sendmail_flags=NO
  syslogd_flags="${syslogd_flags} -a /var/spool/postfix/dev/log"
  pkg_scripts="postfix"
  # crontab -e
  zakomentovat
  #*/30 ... clientmqueuerunner
  

• potom jen oeditujte main.cf a spusťte:

  # pkill sendmail
  # postfix start

Sendmail jako forwarder

Na klientských počítačích nebo routerech často stačí využít už existující server jen s drobnou modifikací: všechnu poštu předávej na jedno místo, odkud půjde do internetu.

# cd /usr/share/sendmail/cf
# vi openbsd-localhost.mc
define(`LOCALHOST_ONLY')dnl
define(`SMART_HOST', `centrální.smtp.server.swi')dnl
include(_CF_DIR_`cf/openbsd-proto.mc')dnl
# make openbsd-localhost.cf
# mv openbsd-localhost.cf /etc/mail/localhost.cf
# pkill -HUP sendmail

Postfix - main.cf, postconf(1)

Seznamy můžou být řetězce, absolutní cesta k souboru, nebo backend_type:table. Můžete používat např. Berkeley DB jako v Sendmailu, nebo třeba MySQL.

Aktuální konfiguraci vypíše postconf, včetně výchozích hodnot.

mydestination = $myhostname, localhost

Seznam domén, pro které je daný stroj koncový. Tedy, volá se MDA nastavený v local_transport. Na serveru, kde hostujete poštu ostatním (doména.swi), nastavte mydomain = doména.swi a přidejte na tenhle seznam $mydomain.

mynetworks = 127.0.0.0/8, 192.168.NN.0/24, 192.168.(NN+128).0/24

Seznam důvěryhodných SMTP klientů, kteří můžou relayovat maily do světa.

relay_domains = $mydestination, naše.stará.doména

Seznam domén, kam Postfix umožní relayovat nedůvěryhodným klientům.

relayhost = [mail.provajdr.cz]

Sendmailí SMART_HOST; všechno, pro co není záznam v transport(5), se forwardne tam. Ten už si poradí. Typicky je to mailserver Vašeho ISP (máte-li malou firmu a např. dynamické adresy po ADSL).

myorigin = $mydomain

Sendmailí masquerading; aby pošta vypadala, že jde z doména.swi a ne z pošťák.doména.swi. Server s názvem pošťák totiž nemusí být zítra naživu a MX může být přesměrované někam jinam. Toto je samozřejmě potřeba použít jen na mail serverech, které poštu i ukládají (mají MDA pro více lidí). Většinou nevhodné.

home_mailbox = Maildir/

Nastaví local(8) MDA v Postfixu, aby místo /var/spool/mail používal qmailí formát Maildir v home každého uživatele. mutt(1)u musíte odstranit proměnnou MAIL a nastavit MAILDIR:

echo "unset MAIL" >> ~/.profile
echo "export MAILDIR=~/Maildir/" >> ~/.profile
logout

aliases(5), forward(5)

• poštu občas chcete přesměrovávat (třeba abyste neměli moc schránek)
• některé schránky jsou vyžadovány RFC (postmaster@), některé jsou vyžadované Postfixem (postfix@), některé jsou obecně používané (abuse@, MAILER-DAEMON@)
• /etc/mail/aliases, /etc/aliases je textový soubor s mapou "co se mapuje kam"
• z něj se programem newaliases(8) vygeneruje /etc/mail/aliases.db

  I když se jedná o podobnou databázi jako BDB, nemůžete použít makemap(8), kvůli :include:, pipe a dalším možnostem.

• další možností je udělat uživateli (existuje-li) soubor ~/.forward se seznamem adres, na které se přesměrovává
• jste-li na dovolené, můžete použít vacation(8)

• nechcete-li daný účet používat k práci s poštou, můžete si všechno nechat přesměrovat jinam

  $ echo "moje.emailová@adre.sa" >> ~/.forward
  

• chcete-li tam kopie těch mailů nechat, přidejte tam řádek "\username"
• nezapomeňte, někam musí chodit mail pro roota!
• vyplníte-li při instalaci uživatele, dá se automaticky rootovi do ~/.forward, a to bez "\root", tj. pod rootem neuvidíte žádný mail
• zkuste si nastavit nějaký předávací cyklus :-)

Ladění

• zkoušejte
• u každé možnosti posílejte testovací maily, ať už telnet(1)em nebo nějakým rozumným MUA
• nevypínejte (ani v produkčních systémech) bouncing messages a kontrolujte /var/log/maillog
• ujistěte se, že rozumíte všemu z /var/log/maillog
• dávejte pozor na "skryté" odchylky od standardního postupu (transport(5), forward(5), ...)
• Do vlaku nebo tramvaje: /usr/share/doc/postfix*/
• běží-li Postfix v chrootu, možná máte špatně /var/spool/postfix/etc/resolv.conf

Backup MX

• když Váš hlavní server není dostupný, po nějaké době se MTA budou snažit kontaktovat ty záložní
• nemáte-li sdílený storage, budete asi chtít zprávy zdržet ve frontě a potom doručit
• k cíli vede několik cest, v praxi je nejjednodušší nastavit na něm relay_domains = moje_doména a v transport(5) pro ni natvrdo zadat primární MX:

  moje.doména	relay:[primární.mx]
  

  (ujistěte se, že máte transport_maps = hash:/etc/postfix/transport)
• chcete-li filtrovat na úrovni jednotlivých uživatelů, můžete použít relay_recipient_maps
• nedávejte tu doménu nikam jinam (mydestination, virtual_mailbox_domains)
• maximal_queue_lifetime = 30d

Kontrola přístupu

• mynetworks zjednodušeně říkají "odkud relayovat"
• smtpd_recipient_restrictions blíže specifikuje "komu" (RCPT TO:)
  Bez manuálu (postconf(5)) se neobejdete. Změna konvencí v Postfixu 2.10.
• např. permit_mx_backup je sendmailí FEATURE(`relay_based_on_MX')
  Najdu-li pro tu doménu sebe jako záložní MX, tak to teda dám do fronty taky.
• smtpd_*_restrictions umožňují filtrovat podle všech částí obálky
• před vložením mailu do fronty incoming se provádějí header_checks(5) a další *_checks
  Mapa "regexp → akce", která je typicky typu pcre resp. regexp popsaném v pcre_table(5) resp. regexp_table(5).

  Pokud jste zapomněli regulární výrazy, zopakujte si je z re_format(7)
• pozor: ze souboru s mapou uděláte databázi pomocí postmap(8), ale nesmíte prohodit regexp a pcre
• zkusme si odmítnout všechny maily s názvy příloh končícími na .exe a .vbs

Jsem paranoik a nevěřím automatice. Chci do hloubky!

• podezřelé maily můžeme nechat odložit stranou:

  # vi /etc/postfix/main.cf
  body_checks = regexp:/etc/postfix/body_checks
  # vi /etc/postfix/body_checks
  /naše-firemní-tajemství/	HOLD
  

• tohle můžete ovládat ručně pomocí postsuper(1). Ale přečtěte si tohle, nebo je ztratíte!

Filtrování mailů pomocí software třetích stran

• existuje několik systémů, které se na filtrování mailů specializují
• z MTA jim ten mail půjčíme a ony nám ho (možná nějak) vrátí
• takový systém má několik komponent (antivirus, antispam, ...)
• můžete je volat před i po vložení do fronty (-o content_filter u daného záznamu v master(5) podle toho, kdy se spouští)
• zbytek na přednášce (zde jen pro zájemce)

Jak Postfixu říct "půjč mi ten mail na chvíli"?

• jedna možnost: nechat ho ten mail "odložit" do hold queue,

  # vi /etc/postfix/main.cf
  header_checks = regexp:/etc/postfix/header_checks
  # vi /etc/postfix/header_checks
  /^Received: /	HOLD
  

• a pod rukama mu ho sebrat z /var/spool/postfix/hold,
• projít si ho a potom ho (možná, v nějaké podobě) vrátit do incoming
• tento přístup byl v Sendmailu a používá ho např. MailScanner

amavis: A Mail Virus Scanner

• nebo můžeme definovat další proces (amavisd-new) poslouchající někde na socketu a dávat maily přímo jemu
  Sockety jsou ve /var/spool/postfix/private.

  # vi /etc/postfix/master.cf
  # service	type	private	unpriv	chroot	wakeup	maxproc	command+args
  amavisfeed	unix	-	-	n	-	2	smtp
  	-o smtp_data_done_timeout=1200
  	-o smtp_send_xforward_command=yes
  	-o disable_dns_lookups=yes
  	-o max_use=20
  
  # lidsky: když někdo zavolá "amavisfeed", spusť mu SMTP klienta (ale ne víc než dva)
  

• filtr taky obsahuje SMTP klienta, kterým (opět zase nějakým lokálním socketem, default 127.0.0.1:10025) vrací zprávy zpět Postfixu k odeslání

  # vi /etc/postfix/master.cf
  # service	type	private	unpriv	chroot	wakeup	maxproc	command+args
  127.0.0.1:10025	inet	n	-	n	-	2	smtpd
  	-o mynetworks=127.0.0.0/8
  	-o content_filter=
  	-o receive_override_options=no_header_body_checks,no_unknown_recipient_checks,no_milters
  	-o ... opšny odsud, aby to jako v pohodě odešlo ...
  
  # lidsky: poslouchej na lokálním portu 10025 a dávej ty věci SMTP serveru;
  #  a hlavně už na to znovu neaplikuj žádné checky ani filtry
  

• a samozřejmě řekneme Postfixu, co je to zač:

  # vi /etc/postfix/main.cf
  # na tomhle portu musí čekat služba amavisd
  # ta spouští SpamAssassin, antiviry atd.
  # její nastavení je v amavisd.conf
  content_filter = amavisfeed:[127.0.0.1]:10024
  
  # lidsky: tím "amavisfeed"em nahoře se připoj na port 10024 a nech to tam
  

  ---

  (nebo jemněji rozdělené)

  ---

  # vi /etc/postfix/main.cf
  header_checks = regexp:/etc/postfix/header_checks
  # vi /etc/postfix/header_checks
  /^Subject: \[?NSWI106/		FILTER amavisfeed:[127.0.0.1]:10024
  

• zajímá-li Vás amavis, stáhněte si do vlaku na cestu domů tohle video (ftp://lk.storkhole.cz/)

SMTP AUTH

• k autentizaci se v SMTP používá Simple Authentication Security Layer (RFC 4422)
• SASL odděluje náš protokol od zvoleného autentizačního mechanismu (GSSAPI/Kerberos, NTLM, Digest-MD5, nebo jen plain-textové heslo čtené ze souboru, SQL databáze, LDAPu, ověřované přes PAM apod.)
• nejpoužívanější implementací je Cyrus SASL library, s Postfixem lze použít i Dovecot (proti kterému ale zase nefunguje jiný SW, protože SASL knihovny nemají jednotné API)

  The plug-in API is described in cyrus_server.c and cyrus_client.c.
  It was unavoidably contaminated^h^h^h^h^h^h^h^h^h^h^h^hinfluenced
  by Cyrus SASL and may need revision as other implementations are
  added.

• saslauthd umí různě ověřovat plaintextovou kombinaci uživatel+heslo a odpovědět ano/ne → zkusme si otestovat a spustit démona pro SASL autentizaci

  # saslauthd -d -a getpwent

  # saslauthd -d -a [pam|shadow]

  V případě použití PAM je nutné uvést správnou servicename, protože se vyhodnocuje /etc/pam.d/servicename.

  $ testsaslauthd -s smtp -u <uživatel> -p <heslo>

  Nakonec spusťte službu saslauthd s parametry, které fungují.
• auxprop umí navíc získat o uživateli spoustu dalších informací
  Pro jednoduchost nebudeme vůbec používat a napojíme SASL přímo na systém. auxprop totiž vyžaduje ukládat hesla v plaintextu!

SASL: kde se to nastavuje?

• každá služba má svůj název a podle něj svoji konfiguraci
  Ta se standardně hledá tady: /usr/local/lib/sasl2/<servicename>.conf
  a potom v /etc/sasl2/<servicename>.conf
• v OpenBSD použijte /usr/local/lib/, v Centosu /etc/...

  # vi /etc/sasl2/smtpd.conf
  pwcheck_method: saslauthd
  mech_list: PLAIN LOGIN
  

• řádek pwcheck_method: saslauthd říká, že se máme ověřovat proti daemonovi
  Ten poslouchá na UNIX socketu /var/sasl2/mux, příp. /var/run/saslauthd/mux.
  Defaultně je pwcheck_method: auxprop a auxprop_plugin: sasldb2, která se spravuje pomocí saslpasswd2(8) a hodí se na instalace do 20 uživatelů
• řádek mech_list: PLAIN LOGIN je seznam povolených přihlašovacích metod (definovány v RFC 2222)
  LOGIN je dávno deprecated, používá se kvůli Outlook Expressu;
  DIGEST-MD5 můžete použít pro menší instalace, protože je třeba mít heslo v plaintextu (malinká sasldb2 místo pam/getpwent); ale někteří klienti ho neumí;
  GSSAPI je tak na Administraci UNIXu 2 (Kerberos V);
  EXTERNAL a klientské TLS certifikáty taky.
• Pohlídejte si práva, aby všichni daemoni k souborům mohli!

SASL: jak to funguje?

⇒EHLO klient

⇐250-AUTH PLAIN LOGIN

⇒AUTH PLAIN (base64-encoded-data)

⇐334 (more-base64-encoded-crap)

⇒(even-more-base64-encoded-data)

MAIL FROM:
RCPT TO:

QUIT

SASL: jak do Postfixu?

• nebojte se, je k tomu dokumentace
• je to opravdu děsně složité:

  # vi /etc/postfix/main.cf
  smtpd_sasl_auth_enable = yes
  
  # chcete-li psát do hlavičky, kdo se přihlásil:
  smtpd_sasl_authenticated_header = yes
  

• nesplést s nastavením SASL pro SMTP klienta! např. když relayuji k někomu, kdo má vynucené AUTH
• na stroji v Backbone v .muttrc:

  $ chmod 600 ~/.muttrc
  $ vi ~/.muttrc
  set smtp_url = "smtp://uživatel@smtp.server.swi/"
  set smtp_pass = "heslonekleslo"
  # set smtp_authenticators = "plain" # není většinou potřeba
  

• my ale chceme zevnitř open relay! a zvenku přihlašovat lidi z cest!

  # vi /etc/postfix/main.cf
  smtpd_relay_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
  

TLS: Transport Level Security

• stávající mechanismus má drobnou bezpečnostní vadu: přenáší hesla v plaintextu (přesněji: v base64)
• princip PKI v SSL/TLS by měl každý znát, ssl(8), starttls(8)
• (nejen) v případě SMTP jsou k dispozici dvě varianty, lišící se čistě technicky:

  SMTP + STARTTLS

  Naváže se obyčejná SMTP session na tcp/25, v jedné části klient zvolá STARTTLS a začne se šifrovat. starttls(8)
  

  $ openssl s_client -starttls smtp -host <server> -port 25

  SMTPS

  Podobně jako u https (tcp/443) je i zde šifrovaná celá komunikace. Používá se tcp/465.

  It is strictly discouraged to use this mode from main.cf. If you want to
  support this service, enable a special port in master.cf and specify
  "-o smtpd_tls_wrappermode=yes"

  
  

  $ openssl s_client -host <server> -port 465

• Potřebujeme všude ověřené X.509 certifikáty!
  • Jsme ISP → jdeme nakupovat.
  • Jsme firma → vytvoříme vlastní CA a bezpečně je zaměstnancům nainstalujeme.
  • Jsme malé děti → vystavíme self-signed certifikát a řekneme lidem "odklikni to". Nebo jim jej pošleme mailem/nešifrovaným HTTP.

TLS: do práce!

• vybereme si, jakou šifru chceme používat:

  # openssl genpkey -genparam -algorithm EC -pkeyopt ec_paramgen_curve:secp521r1 -out /etc/ssl/ecparam.pem

• já jsem certifikační autorita :-) To proto, abyste si zvykli na nejistotu, která Vás čeká...

  (u-mě)# openssl req -x509 -days 142 -newkey ec:/etc/ssl/ecparam.pem -keyout private/virtlab-ca.key -out virtlab-ca.crt

• vy si vygenerujte klíč a opravdu dobře si u něj hlídejte práva! (aktualni postfix neumi EC bez RSA)

  # cd /etc/ssl/
  # openssl genpkey -algorithm RSA -pkeyopt rsa_keygen_bits:4096 -out private/postfix.key

• k němu vytvořte signing request a ten mi pošlete
  Dobře si zkontrolujte Common Name (CN), podle něj programy ověřují!

  # openssl req -new -key /etc/ssl/private/postfix.key -out /etc/ssl/private/postfix-<vaše-doména>.csr
  # sftp certifikaty@172.16.77.7 ## heslo c
  put /etc/ssl/private/postfix-<vaše-doména>.csr

• já Vám ho podepíšu a nebudu po Vás chtít ani korunu ;-)
  V praxi to znamená nejednu kontrolu identity, od mailu na adresu ve WHOIS registru k Vaší doméně, až po snímání otisků prstů, oka a zubů...

  (u-mě)# openssl x509 -req -days 142 -in postfix-<vaše-doména>.csr -CA virtlab-ca.crt -CAkey private/virtlab-ca.key -CAcreateserial -out postfix-<vaše-doména>.crt

• vy si stáhnete svůj certifikát i moji CA
  po virtlabu nešifrovaně, přes půl světa šifrovaně
• nainstalujte si CA do svého systému

  # mkdir -p /etc/ssl/certs

  # cd /etc/pki/tls/certs; mv virtlab-ca.crt /etc/pki/tls/certs

  # mv virtlab-ca.crt /etc/ssl/certs; cd /etc/ssl/certs
  # ln -s virtlab-ca.crt `openssl x509 -noout -hash -in virtlab-ca.crt`.0

• tím certifikátem budete nabízet šifrované SMTP mimo svoje dvě sítě 1 a 2

  # openssl verify postfix-<vaše-doména>.crt

TLS: jak do Postfixu?

• nebojte se, je k tomu dokumentace
• je to opravdu děsně složité:

  # cat postfix.crt ca.crt > chain.crt
  # vi /etc/postfix/main.cf
  smtpd_tls_cert_file = /etc/postfix/chain.crt
  smtpd_tls_key_file = /etc/ssl/private/postfix.key	# /etc/pki/tls/?
  smtpd_tls_security_level = may
  smtpd_tls_auth_only = yes
  

• v muttu: nejdřív hláška (r)eject, accept (o)nce, accept (a)lways
• potom nainstalujte CA na klientský stroj → tadá!

TLS: jak do OpenSMTPD?

# vi /etc/mail/smtpd.conf
pki mail.firma.cz certificate "/etc/ssl/mail.firma.cz.crt"
pki mail.firma.cz key "/etc/ssl/private/mail.firma.cz.key"
pki mail.firma.cz ca "/etc/ssl/superbezpecna-ca.crt"

listen on vic0 tls pki mail.firma.cz auth
# /etc/rc.d/smtpd restart

Více v smtpd.conf(5) u direktivy listen on.

Srovnání programů

Tučné příkazy jsou standardní a fungují všude. Ostatní jen někde.

Srovnání konfigurace

Konfigurace Sendmailu

• dodávanými m4 skripty zkompilujete svoji konfiguraci (typicky cf/*.cf)
  zdroj: starttls(8)

  cd /usr/share/sendmail/cf
  vi <vas-konfig>.mc
  make <vas-konfig>.cf
  cp <vas-konfig>.cf /etc/mail/sendmail.cf
  

• OpenBSD má v /etc/rc.conf (editujte rc.conf.local!):

  # For normal use: "-L sm-mta -bd -q30m", and note there is a cron job
  sendmail_flags="-L sm-mta -C/etc/mail/localhost.cf -bd -q30m"
  

m4 - velmi rychle

• m4 ma úchylku na úvozovky: ``blemc'' zabraňují expanzi makra s názvem "blemc"

  autoři se asi inspirovali Nocí v Roxbury ;-)

• define(`ALIAS_FILE', ``/etc/mail/aliases, /var/listmanager/aliases'')
• define(`CERT_DIR', `MAIL_SETTINGS_DIR`'certs')

  Ty uvnitř oddělují dvě makra od sebe

• FEATURE(`virtusertable`, ...) vs. FEATURE(genericstable, ...)
• vyzkoušejte si něco takovéhohle:

  root:/root:50# m4 -
  define(mojemakro, `blemc') define(druhe, mojemakro `blemc') druhe
    blemc blemc
  druhe
  blemc blemc
  define(treti, mojemakro`potazmo') treti
   blemcpotazmo
  define(ctvrte, ``mojemakro'mojemakro'mojemakro)ctvrte
  mojemakromojemakroblemc
  define(pate, `mojemakro`'mojemakro')pate
  blemcblemc
  define(seste, ``mojemakro''`mojemakro')seste
  mojemakroblemc
  define(sedme, `seste')sedme
  mojemakroblemc
  define(sedme, ``seste'')sedme
  seste
  
  

• Která je ta mezera na začátku výstupu?

  První je ta mezi dvěma define(), druhá je mezi druhým define() a jeho voláním. Nádherný jazyk, že? Obzvlášť vhodný pro generování souborů, kde na každé mezeře záleží...

• Proč, když je m4 stream-oriented, po zmáčknutí Enter hnedka vidím výstup?

  scanf() line bufferring

Konfigurace Sendmailu - soubory *.cf

• sendmail.cf - na první pohled nečitelný formát
• první znak na řádku je příkaz, který má pevně danou formu:
• řádek začínající mezerou/tabulátorem je pokračování předchozího, vše od # je komentář
• D definuje makro, které použijete pomocí $
  

  Djobsah makra			# makro $j je "obsah makra"
  D{sendmailMTACluster}$m		# makro ${sendmailMTACluster} je aktuální $m

• C definuje class, což je seznam (množina řetězců), který použijete pomocí $=
  Název se v literatuře píše ve složených závorkách (class {w}).
  

  Cwlocalhost mail.firma.edu	# class {w} (neboli $=w) obsahuje řetězce "localhost" a "mail.firma.edu"
  C{TrustAuthMech}PLAIN LOGIN	# definice $={TrustAuthMech} 

• F přidá do classy záznamy ze souboru nebo z roury, oddělené konci řádku
  Kromě -o má příkaz F má ještě jeden nepovinný parametr, pro scanf(3).
  

  Fw/etc/mail/local-host-names	# do class {w} se načtou data ze souboru
  Fw-o /etc/mail/local-host-names	# soubor nemusí existovat
  F{myClass}|/bin/myProgram	# z roury 

• K definuje mapu, což je asociativní pole (množina dvojic řetězců (klíč; hodnota)), které v pravidlech použíjete pomocí $( jméno klíč $)
  makemap(8) je vytváří se z textových souborů (řádky "klic<tab>hodnota").
  Standardně je klíč unikátní (nebo makemap -r).
  Soubor s aliasy není obyčejná mapa! newaliases(8)
  

  Knázev typ argumenty 		# POZOR! "typ" se anglicky řekne "class"
  # mapa "generics" může být (-o) v Berkeley db(4) hash-table v souboru
  Kgenerics hash -o /etc/mail/genericstable
  # tohle mapuje uzivatelska jmena → maily, jak je najde v LDAP base DN -b na stroji -h
  KmapaLidi ldapx -k"uid=%s" -v"mail" -hldap.firma.edu -b"ou=Uzivatele,o=firma"
  # mapa uidNumber → loginName z /etc/passwd
  KmapaUidu text -z: -k2 -v0 /etc/passwd

Konfigurace Sendmailu - soubory *.cf

• Sendmail Installation and Operation Guide (/usr/src/gnu/usr.sbin/sendmail/doc/op/op.me), sekce 5
• Sendmail Desktop Reference od B. Costalese a E. Allmana (O'Reilly) je jediný použitelný zdroj informací
• sendmail -Ckonfig.cf použije daný soubor (standardně /etc/mail/sendmail.cf, ale někdy taky /etc/mail/submit.cf; v OpenBSD po instalaci localhost.cf)
• další příkazy:
  • S: nastaví aktuální ruleset (produkční systém tvořený následujícími řádky R; identifikovaný číslem nebo názvem, např. canonify=3)
  • Rlhs<tab>rhs<tab>comment: matchne-li lhs, přepíše se na rhs
  • M: definice maileru (MDA, proces nebo část sendmailu doručující maily)
  • H: hlavička, kterou Sendmail do mailu vloží (nechcete měnit)
  • O: nastavení opšny (např. AliasFile, QueueDirectory, ...)
  • Q: deklarace skupiny front
  • T: trusted users
  • X: definice mailového filtru

WIP: Interní proměnné Sendmailu

WIP: Proměnné Sendmailu používané m4 šablonami

WIP: Sendmail - přepisovací systémy (rulesets)

WIP: Mail Submission Program (MSP)

• sendmail má opšnu -b, která znamená "be" nebo "become" a standardně je "m"
• takhle běží pouze jako Mail Submission Program (MSP), tj. ukládá maily do /var/spool/clientmqueue a maximálně je forwardne na smart host
• abyste ho daemonizovali, použijte např. -q30m, což znamená "každých 30 minut projdi fronty a snaž se všechno doručit"
• s-bd nebo -bD běží také MTA, např. na doručování lokálních mailů

WIP: Sendmail - SMTP AUTH

• /usr/local/lib/sasl2/Sendmail.conf (pwcheck_method) vs. saslauthd -a getpwent
• /usr/local/lib/sasl2/Sendmail.conf (mech_list) vs. TRUST_AUTH_MECH() vs. define(`confAUTH_MECHANISMS')
• define(`confAUTH_OPTIONS', `y,p') -- rozumne vysvetlit? jde to?

WIP: Vybrané FEATUREs Sendmailu

FEATURE(`genericstable')

mění adresy odesilatelů, $=G

FEATURE(`domaintable')

překládá mezi doménami (při přechodu ze staré na novou) a adresa je lokální, mapa {domaintable}

FEATURE(`mailertable')

databáze vybírající nové MDA ??, mapa {mailertable}

FEATURE(`virtusertable')

podpora virtuálních domén; přesměrovává doručování na virtuální domény do skutečných míst, mapa {virtusertable}, virtuser_entire_domain + class {VirtHost}

WIP: Sendmail: potřebuji relay server. Hned.

FEATURE(`promiscuous_relay')

kdokoli může posílat cokoli kamkoli → nebrat

FEATURE(`relay_local_from')

kdo použije v obálce adresu z vaší domény (class {w}) (MAIL FROM:<nekdo@vase.domena>), může posílat cokoli kamkoli → nebrat, spamy se budou šířit pod Vaším jménem a adresou

FEATURE(`relay_mail_from')

je-li sender dané zprávy uvedený jako RELAY v access map, může posílat cokoli kamkoli → zbytečné a podvrhnutelné; použijte radši SMTP AUTH nebo starttls(8)

FEATURE(`relay_based_on_MX')

má-li doména příjemce (z obálky??) jako MX uvedený Váš server, povolí se relay; při timeoutu DNS požadavku se dočasně odmítne → spammeři neuspějí, ale cizí domény Vás mohou využívat jako svůj relay server (nastaví-li si na něj MX (funguje nějaký trik s prioritama 0/mooc?))

FEATURE(`relay_entire_domain')

kdokoli z jakékoli Vaší lokální domény (class {m}) má povolen relay (omezující featura tu taky je) -- dopsat význam slovního spojení _entire_domain v m4 konfiguraci

FEATURE(`access_db')

nejlepší řešení je vyjmenovat v téhle mapě (/etc/mail/access) seznam sítí/strojů s hodnotou RELAY. Nepodporuje CIDR!

WIP: Sendmail: soubory

Fronty: makro QUEUE_DIR, což je standardně /var/spool/mqueue/.

Konfigurace je v adresáři MAIL_SETTINGS_DIR, což je standardně /etc/mail/.

• access

  # nutne napr. pri pouziti dnsbl (fakt?)
  Connect:127.0.0.1 RELAY
  From:misc@ REJECT
  To:chocholousek@med.cuni.cz ERROR:"550 Tvarnice nebrat"
  

  • klíče musejí začínat tagem "Connect:", "From:" nebo "To:" (týká se obálky?); netagované jsou obsolete
  • hodnoty jsou:

    RELAY

    zahrnuje OK

    OK

    nanejvýš lokálně

    REJECT

    chyba

    DISCARD

    není doporučováno

    SKIP

    přeřuší hledání a udělá výchozí akci

    ERROR:"### hláška"

    ### je číslo chyby podle RFC 821

    ERROR:D.S.N"### hláška"

    D.S.N je číslo chyby podle RFC 1893, ### ~ RFC 821

    QUARANTINE:hláška

    who knows :-)

• aliases

  TODO nezapomenout: přegenerují se pomocí newaliases(8), které na rozdíl od makemap(8) dělá ještě něco (co?)

• bitdomain
• uudomain
• domaintable
• generictable
• virtusertable
• userdb
• local-host-names (use-cw-file)
• trusted-users (use-ct-file)
• error-header, helpfile (info, ktere vypisuje SMTP prikaz HELP)
• statistics
• service.switch (linux nsswitch.conf, TODO pouziva to v openbsd resolv.conf nebo ne?)

WIP: Co se zatím nevešlo

- uzitecna makra: SMTP_MAILER_MAX, SMTP_MAILER_MAXMSGS, SMTP_MAILER_MAXRCPTS
[LOCAL_*], [PROCMAIL_*], [CYRUS_*], [QPAGE_*],
- MODIFY_MAILER_FLAGS(`LOCAL'. `+e') craziness
- uzitecne FEATUREs: always_add_domain pro spolecna uloziste, *_entire_domain, use_client_ptr
[stickyhost]
mailertable - routovani domen,  ktere nejsou local (class {w})
rozdil mezi mailertable a domaintable? (ruleset 5 vs ruleset 3)

http://plug-and-pray.blogspot.com/2008/02/sendmail-maildir-format.html


- class {R}, RELAY_DOMAIN() nebo RELAY_DOMAIN_FILE() nebo access db

cela sekce "ochrana proti spamu" - aspon SPF (dkim se bral v seminari)
Spam Permitted From?
- FEATURE(`dnsbl') - vizte http://mail-abuse.org/ nebo RBL

LOCAL_RELAY nam umoznuje relayovat vsechnu postu na 1 misto (centralni server) bez individualniho nastavovani .forward nebo procmailu
LOCAL_USER a.k.a. $=L jsou uzivatele, ktere z toho chci vynechat

upravit a vymyslet vtipnou bounce msg (misto vychoziho otrepaneho mailure failure)


SRV zaznamy pro autokonfiguraci veci jako Thunderbird...
http://tools.ietf.org/html/rfc6186