Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- linux-all:postfix [2013/05/02 10:08] – [Zertifikate installieren] Dirk Krause
+++ linux-all:postfix [2024/08/07 13:39] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 15: / Zeile 15: @@
 Für die verschlüsselte Verbindung zur FHS werden Zertifikate benötigt, diese müssen zunächst installiert werden.
-Auf der Seite
+Laden Sie jeweils die Zertifikate im PEM-Format herunter:
-http://rz.fh-schmalkalden.de
-finden Sie einen Link "Zertifikate". Auf dieser Seite finden Sie Zertifikate
+  * https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/rootcert.crt
-der Deutschen Telekom, des DFN-Vereines und der FHS. Laden Sie jeweils die
+  * https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/intermediatecacert.crt
-Zertifikate im PEM-Format herunter.
+  * https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/cacert.crt
 Legen Sie das Verzeichnis /etc/postfix/certs an, falls es noch nicht existiert!
@@ Zeile 27: / Zeile 27: @@
 Mit dem nachfolgenden Script Legen Sie symbolische Links an, die den Hash des jeweiligen Zertifikates im Namen tragen. Bitte beachten Sie: Vor dem .0 im Namen muss der jeweils ausgegebene Hash-Wert stehen. Dieser hängt einerseits von der bei Ihnen installierten openssl-Version ab, andererseits ändert er sich, wenn Zertifikate erneuert werden.
-<file bash certcyg.sh>
+<file bash create-links.sh>
 cd /etc/postfix/certs
 openssl x509 -subject_hash -noout -in telekom.crt
@@ Zeile 37: / Zeile 37: @@
 chmod 644 812e17de.0 6107e209.0 74f0e817.0
 </file>
+FIXME bitte prüfen ob die Zertifikatskette ausreicht:
+https://pki.pca.dfn.de/fh-schmalkalden-ca/pub/cacert/chain.txt
 ====Services-Eintrag konfigurieren (Portnummer)====
+Vergewissern Sie sich, dass in der Datei /etc/services die Einträge
+  submission    587/tcp    msa
+  submission    587/udp    msa
+vorhanden sind. Erstellen Sie die Einträge, falls noch nicht vorhanden!
+====main.cf (Konfigurationsdatei des postfix)====
+In /etc/postfix/main.cf nehmen Sie folgende Einstellungen vor:
+<file text main.cf>
+relayhost=[smtp.fh-schmalkalden.de]:submission
+smtp_tls_security_level = encrypt
+smtp_tls_CApath = /etc/postfix/certs
+smtp_sasl_auth_enable = yes
+smtp_sasl_security_options = noanonymous
+smtp_sasl_password_maps = hash:/etc/postfix/sasl_password
+sender_canonical_maps = hash:/etc/postfix/sender_canonical
+</file>
+Der erste Block mit dem Eintrag "relayhost=[smtp.fh-schmalkalden.de]:submission"
+legt fest, dass alle ausgehenden E-Mails über Port 587 auf Host smtp.fh-schmalkalden.de versendet werden.
+Der zweite Block mit den "smtp_tls..."-Einträgen sorgt dafür, dass TLS-Verschlüsselung verwendet wird und gibt an, wo die für den Vertrauenspfad benötigten CA-Zertifikate zu finden sind.
+Der dritte Block mit den "smtp_sasl..."-Einträgen konfiguriert die Authentifizierung. Die erste Zeile erlaubt die Authentifizierung für ausgehendes SMTP, die zweite Zeile verbietet SMTP ohne Authentifizierung. Die dritte Zeile legt fest, dass die Angaben zu Benutzernamen und Passwort in der Datenbank-Datei /etc/postfix/sasl_password.db stehen, die aus der Textdatei /etc/postfix/sasl_password erzeugt wird. Diese Dateien müssen wir später noch anlegen.
+Der vierte Block mit dem "sender_canonical_maps"-Eintrag konfiguriert die benutzten Absender-Adressen.
+====sasl_password (Authentifizierung konfigurieren)====
+In der Datei /etc/postfix/sasl_password wird der Benutzername und das Passwort für die Verbindung mit smtp.fh-schmalkalden.de festgelegt:
+<file text sasl_password>
+[smtp.fh-schmalkalden.de]:submission    user:password
+</file>
+Sie müssen hier Nutzernamen und Passwort Ihrer FHS-ID einsetzen.
+Mit
+  chown root:root /etc/postfix/sasl_password
+  chmod 600 /etc/postfix/sasl_password
+  postmap /etc/postfix/sasl_password
+setzen Sie die erforderlichen Zugriffsrechte auf die Datei und legen die Datenbank an. Nach jeder Änderung an /etc/postfix/sasl_password muss der postmap-Befehl erneut verwendet werden.
+====/etc/aliases (Empfänger-Adressen)====
+Einige Dienste und Programme senden E-Mails an lokale Benutzer. In der Datei /etc/aliases wird festgelegt, welche E-Mail-Adresse lokalen Benutzern zugeordnet ist. Wichtig ist, dass für Postmaster, root und alle "normalen" Nutzeraccounts eine E-Mail-Adresse festgelegt ist.
+Nach Änderungen an /etc/aliases benutzen Sie
+  newaliases
+um die Änderungen wirksam zu machen.
+====/etc/postfix/sender_canonical (Absender-Adressen)====
+Werden ausgehende E-Mails über einen Relay-Host verschickt, muss auch als Absender eine "richtige" E-Mail-Adresse verwendet werden. Die Datei /etc/postfix/sender_canonical nimmt die Zuordnung von lokalen Benutzeraccounts zu E-Mail-Adressen vor. Für root und für jeden "normalen" Nutzeraccount sollte hier ein Eintrag stehen.
+Nach Änderungen an der Datei muss
+  postmap /etc/postfix/sender_canonical
+ausgeführt werden, um die Datenbank neu zu erzeugen.
+====Postfix neu starten====
+Mit
+  /etc/init.d/postfix stop
+  /etc/init.d/postfix start
+wird postfix neu gestartet, um die geänderte Konfiguration zu übernehmen.