Optimierung, Postfix und Dovecot.. Spamassassin?

[Angel]

Hallo Leute, ich habe mir auf einem Linux System (aktuell, Ubuntu) ein Postfix als MTA und Dovecot als LDA installiert. Das ganze wollte ich im Büro aufbauen, hab es aber erst mal bei mir zu hause auf einem PC installiert und gespielt.

Ich habe zu Anfang das System für normale Mail-Boxen eingerichtet, mit Maildir. Anschließend habe ich es umgebaut auf virtuelle Postfächer, da ich später auf dem PC auch einen PDC laufen lassen wollte...

So, dann hab ich noch einen relayhost mit angegeben, da der Server ja im Firmen-Netzwerk stehen soll und die Emails an unseren Server im Netz senden soll. Vielleicht stelle ich den MX auch später noch um und sage T-Com das wir eine statische IP wollen

Also Emails empfangen und versenden geht mit Postfix und Dovecot! Jetzt überlege ich, einen Spamassassin einzubinden, und sieve Regeln einzubinden... Allerdings bin ich der Meinung das ich für Spamassassin den amavis zwischen schalten muss, ist das richtig?

Was mich noch interessiert, ob meine config Dateien für postfix und dovecot (so wie sie sind) ausreichen, oder ob man da noch was optimieren muss wegen Sicherheit...

postfix/main.cf

Code:

# Basic Setting
myhostname = ubuntu.fritz.box
myorigin = /etc/mailname
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
mydestination = xxx.local, localhost
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

readme_directory = no
append_dot_mydomain = no
biff = no

# Einstellungen für Virtuelle Adressen
virtual_mailbox_base = /home/vmail/
virtual_mailbox_domains = hash:/etc/postfix/virtual_mailbox_domains
virtual_mailbox_maps = hash:/etc/postfix/virtual_mailbox_maps
virtual_minimum_uid = 100
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
virtual_transport = dovecot
dovecot_destination_recipient_limit = 1

# TLS parameter, werden für Versandt benötigt
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

# SMTP Server Setting
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_helo_required = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions =
  permit_mynetworks,
  permit_sasl_authenticated,
#  reject_non_fqdn_sender,
#  reject_non_fqdn_recipient,
#  reject_unknown_sender_domain,
#  reject_unknown_recipient_domain,
#  reject_unverified_recipient,
  reject_unauth_destination
#  permit

# SMTP-Relay Daten
relayhost = mail.xxx.de
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
smtp_sasl_security_options = noanonymous

dovecot/dovecot.conf

Code:

protocols = imap imaps
disable_plaintext_auth = no
log_timestamp = "%Y-%m-%d %H:%M:%S "
ssl_cert_file = /etc/ssl/certs/dovecot.pem
ssl_key_file = /etc/ssl/private/dovecot.pem

mail_location = maildir:/home/vmail/%d/%n/Maildir
namespace private {
 separator = .
 inbox = yes
}

mail_privileged_group = mail

protocol imap {
}
protocol pop3 {
 pop3_uidl_format = %08Xu%08Xv
}

protocol managesieve {
}

protocol lda {
 postmaster_address = xx@xxx.local
 #mail_plugins = cmusieve
}

auth_verbose = yes

auth default {
 mechanisms = plain login

 passdb passwd-file {
  args = /etc/dovecot/passwd
 }
 userdb static {
  args = uid=vmail gid=vmail home=/home/vmail/%d/%n allow_all_users=yes
 }
 socket listen {
  master {
   path = /var/run/dovecot/auth-master
   mode = 0600
   user = vmail
  }

  client {
   path = /var/spool/postfix/private/auth
   mode = 0660
   user = postfix
   group = postfix
  }
 }
}

dict {
}

plugin {
}

!include_try /etc/dovecot/conf.d/*.conf

So, vielleicht die eine oder andere Erklärung noch... Da der Server den ich da gerade bearbeite, local steht... Habe ich disable_plaintext_auth = no gesetzt. Wenn ich vielleicht den MX auf diesen Server stelle, wird das wieder umgestellt. Das mit dem namespace private hab ich zwar noch nicht so ganz durchschaut da mein Englisch nicht das beste ist. Aber wird schon passen

Das SSL Zertifikat hatte ich sogar neu erstellt, mit einer Laufzeit von 5 Jahren.. Müsste zum testen ausreichen, und für interne Zwecke sowieso. Ich werde wohl noch eine SQL Datenbank erstellen für die Domain + User etc., dann hab ich das sofort griffbereit. Aber erst mal testete ich das alles so wie ich es da habe.

Und jetzt wollte ich mal von dem einen oder anderen fragen was man da optimieren oder verbessern kann. Vor allem, wenn ich Spamassassin dazu haben möchte

Mfg. Angel

[DrFuture]

Ich habe seit einiger Zeit http://assp.sourceforge.net/ installiert. Habe damit bessere Quoten (wenn man eine Weile an der config geschraubt hat - die einen eindeutig erschläg *g*) - und die Wartung / Einbindung finde ich besser.

Assp läuft als proxy - sprich postfix wird auf port xxx geändert und assp bekommt 25 -> filtert die E-Mails und leitet dann erst an postfix weiter.

Dabei kann man einstellen wie Transparent das ganze passiert.

[Angel]

Hallöchen... ich wollte mal mein altes Thema vom Anfang des Jahres wieder ansprechen. Ich habe mir jetzt auf einem Debian vServer ein Postfix + Dovecot eingerichtet, es funktioniert auch soweit und laut den "Open Relay" Tests ist der Server auch dicht

Ich habe nun via Thunderbird geschaut ob ich Emails abrufen kann (IMAP) und auch das funktioniert. Ich habe jetzt zusätzlich auch "STARTSSL" zum abrufen aktiviert und keine Probleme bekommen. Er fragte zwar ob das Zertifikat akzeptiert und gespeichert werden soll, aber da es mein Server ist, hab ich das mit "Ja" bestätigt und war anschließend in meinem MailDir

Ich kann auch mit verschlüsseltem Password zum IMAP verbinden, aber was nicht funktioniert ist STARTSSL für Port 25 zum versenden, oder verschlüsselte Kennwörter Meine Zertifikate müssen noch angepasst werden, dass sind die Standard Debian Zertifikate, aber das dürfte ja jetzt die Arbeit nicht beeinträchtigen.. oder?

Dazu kommt dann noch eine Optimierung (oder Feinschliff) meiner Config Dateien für Postfix und Dovecot. Was könnte man denn noch zusätzlich zu meinen Fragen an den Diensten optimieren / verbessern?

main.cf

Code:

myhostname = xxxx.de
myorigin = $myhostname
mydestination = $myhostname
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

inet_protocols = ipv4
biff = no
append_dot_mydomain = no

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases

smtpd_banner = $myhostname ESMTP Mailserver
smtpd_helo_required = yes
smtpd_recipient_restrictions =
  reject_non_fqdn_sender,
  reject_non_fqdn_recipient,
  reject_unknown_sender_domain,
  reject_unknown_recipient_domain,
  permit_sasl_authenticated,
  permit_mynetworks,
  reject_rbl_client zen.spamhaus.org,
  reject_rbl_client ix.dnsbl.manitu.net,
  reject_rbl_client bl.spamcop.net,
  reject_unverified_recipient,
  reject_unauth_destination,
  permit

strict_rfc821_envelopes = yes

# TLS parameters
smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls = yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# SASL parameters
smtpd_sasl_auth_enable = yes
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =

smtp_sasl_auth_enable = no
broken_sasl_auth_clients = yes

# Virtual parameters
virtual_mailbox_base = /srv/vmail/
virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_maps.cf
virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql-virtual_mailbox_domains.cf
virtual_alias_domains =
virtual_alias_maps    = proxy:mysql:/etc/postfix/mysql-virtual_alias_maps.cf
virtual_uid_maps  = static:2000
virtual_gid_maps  = static:2000
virtual_transport = dovecot

dovecot_destination_recipient_limit = 1
receive_override_options = no_address_mappings
#content_filter = smtp-amavis:[127.0.0.1]:10024

proxy_read_maps = $canonical_maps
  $local_recipient_maps
  $mydestination
  $mynetworks
  $sender_canonical_maps
  $smtpd_sender_login_maps
  $recipient_canonical_maps
  $relay_recipient_maps
  $relay_domains
  $relocated_maps
  $transport_maps
  $virtual_alias_maps
  $virtual_alias_domains
  $virtual_mailbox_maps
  $virtual_mailbox_domains
  $virtual_mailbox_limit_maps

In dieser Config war es auch etwas komisch, da viele Anleitungen ohne "proxy:mysql:" gearbeitet haben und ich dieses mit angeben musste. Genauso wie "proxy_read_maps", den Parameter brauchte ich auch und irgendwie konnte ich das trotz Manuals lesen, nicht nachvollziehen

dovecot.conf

Code:

base_dir = /var/run/dovecot
#log_path = /var/log/dovecot.log
protocols = imap pop3
listen = *
mail_access_groups = vmail
mail_debug = no
disable_plaintext_auth = no

protocol imap {
  mail_plugins = quota imap_quota
}

protocol pop3 {
  pop3_uidl_format = UID%u-%v
  mail_plugins = quota
}
protocol lda {
  postmaster_address = postmaster@xxxx
  auth_socket_path = /var/run/dovecot/auth-master
  mail_plugins = quota
  sendmail_path = /usr/sbin/sendmail
}

auth default {
  mechanisms = plain login digest-md5 cram-md5 ntlm rpa
  user = vmail

  passdb sql {
    args = /etc/dovecot/dovecot-sql.conf
  }
  userdb sql {
    args = /etc/dovecot/dovecot-sql.conf
  }
  socket listen {
    client {
      path = /var/spool/postfix/private/auth
      mode = 0660
      user = postfix
      group = postfix
    }
  }
  socket listen {
    master {
      path = /var/run/dovecot/auth-master
      mode = 0600
      user = vmail
      group = vmail
    }
  }
}
plugin {
  quota = maildir:
}

Ich hoffe man kann mir hier ein wenig helfen
Mfg. Angel