postfix 的 sasl 支持

　　假如您之前有看过小弟写过关于mandrake 8.1支持sasl的文章您大概会发现在Mandrake 8.2中好象不太能够执行了!我想我再一次的把这篇文章做个整理!希望可以帮助大家可以做好防止服务器被利用转寄的困扰!关于sasl 在电子邮件运行的初期,大家并没有想到电子邮件寄送上的安全考量!smtp的认证机也一直没有被建立,大家只可以使用封锁的方式!而 cyrus-sasl 的出现提供了一个更大的 "弹性" 的选择!也就是使用密码认证 , 在这之前我们必须说.sasl并不一定是一个安全的.而是提供更大的弹性!希望大家认清,功能或服务的开启是等于是开启一个危险的可能!你假如看过postfix的说明文件,第一个就会告欣你.你使用的东西并不会加强你的安全性.也希望大家可以有这样的认知.假如您只是在内部使用,而没有需要开启对外的服务,建议还是使用邮件服务器的安全防护功能就好了( 例如关闭relay )系统环境 Mandrake 9.0 相关套件 postfix cryus-sasl您可以使用控制台中的安装功能或者使用urpmi都可以套件安装小弟就不多个说明了.您可以参考下图安装.
　　　 postfix 的 sasl 支持

　　在上列的套件中包含了一些plugin及sasl系统,
　　您可以依自己的需求进行安装!
　　
　　如何设定sasl及postfix,
　　我想在上一节中我们已经介绍过了postfix的设定了,
　　这个部份我们也不再多做讲解.
　　
　　首先我们在/etc/postfix/main.cf中加入几行
　　基本上范例如下
　　# server
　　smtpd_sasl_auth_enable = yes
　　smtpd_sasl_local_domain = $myhostname
　　smtpd_recipient_restrictions = permit_mynetworks,permit_sasl_authenticated,check_relay_domains
　　#smtp_sasl_passWord_maps=hash:/etc/postfix/sasl_passwd
　　smtpd_sasl_security_options = noanonymous
　　# client
　　smtp_sasl_auth_enable = yes
　　
　　我们一个一个来解释一下
　　smtpd_sasl_auth_enable = yes
　　这是激活sasl支持.假如您改成 no sasl功能也会停止运作!
　　smtpd_sasl_local_domain = $myhostname
　　指 sasl 预设 domain ,假如你不使用sasldb方式治理密码的话,
　　请设定 $myhostname ,(主要因为sasldb治理方式,自行可以设定. )
　　
　　smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_relay_domains
　　指使用认证的设定(请保持上列为一行 , 没有断行)
　　
　　a.permit_mynetworks 答应 mynetworks (postfix设定.)
　　b.permit_sasl_authenticated 答应具有 sasl 认证设定( sasldb,....)
　　c.check_relay_domains 确认relay的区域 (postfix设定.)
　　
　　smtpd_sasl_security_options = noanonymous
　　指 sasl 安全选项
　　i. noanonymous 这里是答应任何非匿名认证方法。
　　ii. noplaintext 指不使用 PLAIN 和 LOGIN 方式
　　iii. nodictionary
　　ix. noactive
　　任何一项不通过信件都可能造成信件无法送出.
　　
　　
　　另外二个
　　broken_sasl_auth_clients = yes
　　#client
　　smtp_sasl_auth_enable = yes
　　
　　这二个支持client端的服务
　　主要是针对客户端的连结软件个区隔,例如 Outlook4大概很少人用了吧.
　　所以 broken_sasl_auth_clients 就当没看到吧^ ^
　　
　　接下来我们可以试着执行postfix 确认
　　#
　　
　　# postfix check
　　#postfix reload
　　
　　假如没有错误讯息您的设定就算成功了!
　　接下来我们设定sasl的认证项目
　　
　　修改 /usr/lib/sasl/smtpd.conf
　　# vi /usr/lib/sasl/smtpd.conf
　　
　　看起来像这样:
　　pwcheck_method:sasldb
　　
　　
　　这是指定密码认证方式,
　　(主要分成四种 pam,shadow,sasldb,pwcheck)
　　
　　这一行设定完成后,这样您的发信服务器的
　　基本认证功能大至上就完了了哦.
　　附注:
　　密码认证方式.
　　1. pam :
　　使用系统的pam来做认证,
　　
　　以下为旧的方式:(参考一下就好了)
　　
　　预设的pam 认证方式
　　/usr/lib/sasl/smtp.conf
　　#%PAM-1.0
　　auth required /lib/security/pam_stack.so service=system-auth
　　account required /lib/security/pam_stack.so service=system-auth
　　也即和/etc/pam.d/pop文件的内容是一致的。

　　
　　修改/etc/shadow文件权限
　　因为PAM最终要去读取/etc/shadow文件的内容来进行用户认证，但是/etc/shadow文件
　　权限是设置为只有root用户可以读写，而我们的postfix是运行在postfix用户权限之下，所以我们要合理的设置/etc/shadow文件权限，以便让pam可以读取其内容。
　　执行以下命令，让root组也可以读取shadow：
　　方式1 : 把postfix加入root群组
　　# chmod 640 /etc/shadow
　　# usermod -G root postfix
　　方式2 : 给他设 644
　　
　　目前pam已经交由saslauthd来处理所以大至上不需要再改成644
　　注重: pam 认证不支持 CRAM-MD5 只支持 LOGIN DIGEST-MD5 PLAIN
　　这大概是pam本身的限制 !
　　
　　
　　2. shadow:
　　使用系统的影子文件来进行认证,
　　因为要读取/etc/shadow档案(影子檔),就必须要可以读取.
　　而档限就必须要修改,建议修改为 644
　　
　　3. pwcheck:
　　pwcheck 其实是和shadow认证是相同的,
　　都是要读取影子档shadow,但是pwcheck的想法,
　　不需要去修改影子檔shadow 的权限.想法是:
　　在开机时就把影子文件中密码读出,所以您就必须在开机的设定中加入一行
　　#vi /etc/rc.local
　　
　　在最后加上这一行
　　/usr/sbin/pwcheck
　　这样您就不需要修改影子档的权限了.
　　
　　4.sasldb:
　　使用sasl资料库存放使用者帐号.
　　
　　一般建议使用 sasldb来设定.
　　接下来我们来讨论如何存取sasldb的数据库.
　　在安装好您的cyrus-sasl之后,程序提供了二个语法
　　
　　1.sasldblistusers (列出sasl使用者及密码设定)
　　2.saslpasswd (设定使用者密码)
　　小弟不针对语法进行说明,只进行实例操作.
　　请自行参照man
　　
　　我们先试着设定一个帐号
　　新增语法
　　#saslpasswd -a smtpd -c [帐号]
　　新增一个帐号为test
　　#saslpasswd -a smtpd -c test
　　Password:[输入密码 test]
　　Again (for verification): [再输入一次密码 test]
　　
　　
　　这样就完成了一个新增使用者的动作了,
　　帐号为 : test
　　密码为 : test
　　
　　再来我们试着用 sasldblistusers 查看使用者是否有新增.
　　
　　#sasldblistusers
　　user: test realm: www.PHP5.idv.tw mech: PLAIN
　　user: test realm: www.php5.idv.tw mech: CRAM-MD5
　　user: test realm: www.php5.idv.tw mech: DIGEST-MD5
　　
　　列出了三个都是 test 帐号 , 这三个是密码格式.
　　为什么有三个呢 ? 这要看您所安装的plugin而定,
　　libsasl7-plug-crammd5-1.5.27-2.1mdk.i586.rpm
　　libsasl7-plug-digestmd5-1.5.27-2.1mdk.i586.rpm
　　libsasl7-plug-plain-1.5.27-2.1mdk.i586.rpm
　　* Mandrake 8.2之后的变革
　　重点来了!!!!!!
　　我想大家一直很不解的是从前8.1玩到这里重启postfix就会运作了为什么8.2之后就不行了呢!
　　不管如何认证都不会通过!
　　
　　在8.2之后的Postfix 做了一个改变在 master.cf 他使用了 software chroot 来增加系统的安全性!
　　刻意的让 mail server在运作时和档案系统分开. 使用saslauthd来中介取得认证!
　　而造成我们所设定的sasldb无法存在正确路径!
　　解决方法:
　　1.关闭software chroot
　　2.把相关档案copy到目录中
　　
　　我想二个方法各有益毙
　　解法一: 修改 /etc/postfix/master.cf 关闭software chroot
　　范例如下:
　　
　　# ==========================================================================
　　# service type private unpriv chroot wakeup maXProc command + args
　　# (yes) (yes) (yes) (never) (50)
　　# ==========================================================================
　　smtp inet n - n - - smtpd
　　#smtps 　inet n - n - - smtpd
　　#　-o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
　　#submission inet n - n - - smtpd
　　#　-o smtpd_enforce_tls=yes -o smtpd_sasl_auth_enable=yes
　　#628 　inet n - y - - qmqpd
　　pickup fifo n - y 60 1 pickup
　　cleanup unix n - y - 0 cleanup
　　#qmgr 　fifo n - y 300 1 qmgr
　　qmgr fifo n - y 300 1 nqmgr
　　#tlsmgr 　fifo - - y 300 1 tlsmgr
　　rewrite unix - - y - - trivial-rewrite
　　bounce unix - - y - 0 bounce
　　defer unix - - y - 0 bounce
　　flush unix n - y 1000?
0 flush
　　smtp unix - - y - - smtp
　　showq unix n - y - - showq
　　error unix - - y - - error
　　local 　unix - n n - - local
　　virtual unix - n y - - virtual
　　lmtp unix - - y - - lmtp
　　#
　　# Interfaces to non-Postfix software. Be sure to examin