Postfix+Dovecot+Sasl工作原理

1.A用戶使用MUA客戶端借助smtp協議登陸smtpd服務器，需要先進行用戶和密碼認證，而SMTPD服務器端支持sasl認證，例如有一個sasl客戶端，就會去連接SASL。當SASL接受到驗證請求時就會根據驗證方式去進行驗證，常用的有PAM，passwd等。驗證成功后就會返回給Smtpd服務器。而smtpd就會允許A用戶登陸發送郵件。

2.Smtpd服務器接受到郵件轉發請求后，查看郵件是本域的還是外部域的，如果是本域內的用戶，就會開啟MDA進程并進行郵件投遞到用戶的郵箱。

3.B用戶使用MUA客戶端借助pop3協議登陸dovecot服務器，需要先進行用戶和密碼認證，而Dovecot服務器端本身就有sasl認證的功能，而根據設置的認證方式進行用戶和密碼的認證。認證成功之后用戶登錄，Dovecot就會用MDR工具去用戶郵箱中取回郵件并下載到用戶的客戶端本地進行查看。

Postfix+SASL進行用戶發郵件認證

通過驗證配置可以發現，如果想發送郵件給外部(中繼郵件)基本配置只能在mynetwork規定的ip范圍內使用。這個方式在現實中也是不可行的?；ヂ摼W上常用的方式是通過賬號的認證方式允許中繼郵件。但Postfix本身沒有認證功能所以只能借助于第三方認證組件SASL來實現。與Postfix配合較好的SASL有：dovecot-SASL和cyrus-SASL，以及courier-authlib這幾款組件。各有千秋，使用哪個根據實際選擇即可。

①確定cyrus-sasl已安裝

[root@localhost ~]# rpm -qa | grep ?cyrus-sasl cyrus-sasl-gssapi-2.1.23-13.el6_3.1.x86_64 cyrus-sasl-plain-2.1.23-13.el6_3.1.x86_64 cyrus-sasl-lib-2.1.23-13.el6_3.1.x86_64 cyrus-sasl-2.1.23-13.el6_3.1.x86_64 cyrus-sasl-md5-2.1.23-13.el6_3.1.x86_64 cyrus-sasl-devel-2.1.23-13.el6_3.1.x86_64

②確定Postfix支持sasl認證

[root@localhost ~]# postconf -a cyrus dovecot ?#默認支持cyrus和dovecot這兩種認證方式

③Postfix主配置添加以下內容

[root@localhost ~]# vim /etc/postfix/main.cf ###################CYRUS-SASL################ broken_sasl_auth_clients = yes ?#定義是否支持像outlook、foxmail等非標準協議認證 smtpd_sasl_auth_enable = yes ?#開啟sasl驗證用戶功能 smtpd_sasl_local_domain = $myhostname ?#用于識別本地主機 smtpd_sasl_security_options = noanonymous ?#不支持匿名用戶 smtpd_sasl_path = smtpd ?#指定使用sasl的程序名 smtpd_banner = welcome to smtp.ywnds.com ?#定義telnet連接時顯示信息 smtpd_client_restrictions = permit_sasl_authenticated ?#用于限制客戶端連接服務器 smtpd_sasl_authenticated_header = yes ?#從頭信息查找用戶名 smtpd_sender_restrictions = permit_mynetworks,reject_sender_login_mismatch ?#定義發件人規則 smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated, reject_invalid_hostname,reject_unauth_destination ?#定義收件人規則 ?#permit_mynetworks：允許本地網絡 ?#permit_sasl_authenticated：允許sasl認證過的用戶發送郵件 ?#reject_unauth_destination：拒絕沒有經過認證的目標地址(這個一定要放在最后) ?#reject_invalid_hostname：HELO命令中的主機名稱無效時返回501 ?#reject_non_fqdn_hostname：HELO命令中的主機名稱不是FQDN形式則返回504 ?#reject_non_fqdn_recipient：收件地址不是FQDN則返回504 ?#reject_non_fqdn_sender：發件地址不是FQDN則返回504 ?#reject_unauth_pipelining：拒絕不守規定的流水線操作 ?#reject_unknown_client：DNS查不出客戶端IP的PTR記錄時拒絕 ?#reject_unknown_hostname：HELO命令中的主機名稱沒有A和MX記錄時拒絕 ?#reject_unknown_recipient_domain：收件人地址的網域部分查不出有效的A或MX記錄時拒絕 ?#reject_unknown_sender_domain：發件人地址的網域部分查不出有效的A或MX記錄時拒絕

④查看SASL支持哪些認證機制

[root@localhost ~]# saslauthd -v saslauthd 2.1.23 authentication mechanisms: getpwent kerberos5 pam rimap shadow ldap

⑤Postfix開啟基于SASL用戶認證

這里介紹2種認證方式，saslauthd和auxprop，一個是使用系統的賬號來做認證，一個使用外部的賬戶來做認證，對于安全性來說，當然是使用外部的賬號更安全了，這里介紹的使用sasldb2數據庫，mysql的方式暫不介紹。2種方式人選其一即可。 Saslauthd [root@localhost ~]# vim /usr/lib64/sasl2/smtpd.conf pwcheck_method: saslauthd mech_list: PLAIN LOGIN #登錄方式 Auxprop [root@localhost ~]# vim /usr/lib64/sasl2/smtpd.conf pwcheck_method: auxprop auxprop_plugin: sasldb mech_list: PLAIN LOGIN CRAM-MD5 DIGEST-MD5 NTLM #登錄方式

⑥SASL配置文件/etc/sysconfig/saslauthd

SASL只是個認證框架，實現認證的是認證模塊，而pam是sasl默認使用的認證模塊。如果使用shadow做認證的話直接修改就可以不需要做其他任何配置了。 Saslauthd [root@localhost ~]# vim /etc/sysconfig/saslauthd SOCKETDIR=/var/run/saslauthd #MECK= pam MECK = shadow Auxprop [root@localhost ~]# vi /etc/sysconfig/saslauthd #MECH= FLAGS=sasldb [root@localhost ~]# saslpasswd2 -c -u 'ywnds.com' redis ?#執行之后輸入2次密碼就可以了 [root@localhost ~]# sasldblistusers2 ?#查看添加的用戶 [root@localhost ~]# saslpasswd2 -d redis@ywnds.com ?#刪除用戶 [root@localhost ~]# chown postfix:postfix /etc/sasldb2 [root@localhost ~]# chmod 640 /etc/sasldb2 ?#數據庫權限修改

⑦重啟服務

[root@localhost ~]# /usr/sbin/postfix reload [root@localhost ~]# service saslauthd restart [root@localhost ~]# chkconfig saslauthd on 測試賬號 [root@localhost ~]# testsaslauthd -u hadoop -p hadoop 0: OK “Success”

SMTP認證指令

Postfix內部郵件過濾

除了在上面配置文件中使用的一些過濾指令外，管理員也可以使用訪問表(access map)來自定義限制條件，自定義訪問表的條件通常使用check_client_access, check_helo_access, check_sender_access, check_recipient_access進行，它們后面通常跟上type:mapname格式的訪問表類型和名稱。其中，check_sender_access和check_recipient_access用來檢查客戶端提供的郵件地址，因此，其訪問表中可以使用完整的郵件地址，如admin@magedu.com；也可以只使用域名，如magedu.com；還可以只有用戶名的部分，如marion@

案例

1.這里以禁止172.16.100.66這臺主機通過工作在172.16.100.1上的postfix服務發送郵件為例演示說明其實現過程。訪問表使用hash的格式

(1)首先編輯/etc/postfix/access文件，以之做為客戶端檢查的控制文件，在里面定義如下一行： 172.16.100.66 ? ? ? ? ?REJECT (2)將此文件轉換為hash格式產生一個access.db文件 postmap /etc/postfix/access (3)配置postfix使用此文件對客戶端進行檢查編輯/etc/postfix/main.cf文件添加如下參數： smtpd_client_restrictions = check_client_access hash:/etc/postfix/access (4)讓postfix重新載入配置文件即可進行發信控制的效果測試了

2.這里以禁止通過本服務器向microsoft.com域發送郵件為例演示其實現過程訪問表使用hash的格式

(1)首先建立/etc/postfix/denydstdomains文件(文件名任取)在里面定義如下一行： microsoft.com ? ? ? ? ?REJECT (2)將此文件轉換為hash格式 postmap /etc/postfix/denydstdomains (3)配置postfix使用此文件對客戶端進行檢查編輯/etc/postfix/main.cf文件添加如下參數： smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/denydstdomains, permit_mynetworks, reject_unauth_destination (4)讓postfix重新載入配置文件即可進行發信控制的效果測試了

讓您學習到的每一節課都有所收獲

《Linux就該這么學》是一本由資深運維專家劉遄老師及國內多名紅帽架構師(RHCA)基于最新RHEL7系統共同編寫的高質量Linux技術自學教程，極其適合用于Linux技術入門教程或講課輔助教材。榮獲雙11、雙12購物狂歡節IT品類書籍銷量冠軍，2017年、2018年國內讀者增速最快的技術書籍，您可以在京東、當當、亞馬遜及天貓搜索書名后購買，亦可加劉遄老師微信交流學習(手指按住下圖3秒鐘即可自動掃描)~

劉遄老師QQ：5604215

??Linux技術交流群：560843(新群，火熱加群中……)

??官方站點：www.linuxprobe.com

? 書籍在線學習(電腦在線閱讀效果更佳)：

http://www.linuxprobe.com/chapter-00.html

《Linux就該這么學》是一本基于最新Linux系統編寫，面向零基礎讀者的技術書籍。從Linux基礎知識講起，然后漸進式地提高內容難度，詳細講解Linux系統中各種服務的工作原理和配置方式，以匹配真實生產環境對運維人員的要求，突顯內容的實用性。想要學習Linux系統的讀者可以點擊按鈕了解這本書，同時這本書也適合專業的運維人員閱讀，作為一本非常有參考價值的工具書！

總結

以上是生活随笔為你收集整理的sybase的sysprocesses中的hostname显示不全_Linux中Postfix邮件认证配置（五）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。