设置 Postfix MTA 和 IMAP/POP3

为了从 CentOS 7 服务器发送电子邮件，我们需要进行设置来配置现代邮件传输代理 (MTA)。邮件传输代理是负责通过 SMTP 为系统用户或公司 Internet 域发送出站邮件的守护程序。

值得注意的是，本教程仅教授设置本地使用的守护进程的过程。我们不会详细介绍为业务运营设置 MTA 的高级配置。这是多种技能的组合，包括但不限于：DNS、获取未列入黑名单的静态可路由 IP 地址以及配置高级安全和服务设置。简而言之，本教程旨在让您熟悉基本配置。请勿使用本教程对面向 Internet 的主机进行 MTA 配置。

由于同时注重安全性和易于管理，我们选择Postfix作为本教程的 MTA。旧版本 CentOS 中安装的默认 MTA 是Sendmail。Sendmail是一个很棒的 MTA。然而，根据作者的愚见，Postfix 在处理 MTA 的以下注释时找到了最佳点。在最新版本的 CentOS 中，Postfix 已取代 Sendmail 成为默认的 MTA。

Postfix 是一种广泛使用且有详细记录的 MTA。它得到积极维护和开发。它需要最少的配置（这只是电子邮件）并且对系统资源有效（同样，这只是电子邮件）。

步骤 1 - 从 YUM 包管理器安装 Postfix。

[root@centos]# yum -y install postfix

步骤 2 - 配置 Postfix 配置文件。

Postfix配置文件位于：/etc/postfix/main.cf

在简单的 Postfix 配置中，必须为特定主机配置以下内容：主机名、域、源、inet_interfaces 和目标。

配置主机名- 主机名是 Postfix 主机的完全限定域名。在 OpenLDAP 章节中，我们将 CentOS 盒子命名为：centos，位于域vmnet.local上。本章我们就继续这样讲吧。

# The myhostname parameter specifies the internet hostname of this
# mail system. The default is to use the fully-qualified domain name
# from gethostname(). $myhostname is used as a default value for many
# other configuration parameters.
#
myhostname = centos.vmnet.local

配置域- 如上所述，我们将在本教程中使用的域是vmnet.local

# The mydomain parameter specifies the local internet domain name.
# The default is to use $myhostname minus the first component.
# $mydomain is used as a default value for many other configuration
# parameters.
#
mydomain = vmnet.local

配置源- 对于单个服务器和域设置，我们只需取消注释以下部分并保留默认的 Postfix 变量。

# SENDING MAIL
#
# The myorigin parameter specifies the domain that locally-posted
# mail appears to come from. The default is to append $myhostname,
# which is fine for small sites.  If you run a domain with multiple
# machines, you should (1) change this to $mydomain and (2) set up
# a domain-wide alias database that aliases each user to
# user@that.users.mailhost.
#
# For the sake of consistency between sender and recipient addresses,
# myorigin also specifies the default domain name that is appended
# to recipient addresses that have no @domain part. 
#
myorigin = $myhostname
myorigin = $mydomain

配置网络接口- 我们将让 Postfix 监听我们的单个网络接口以及与该接口关联的所有协议和 IP 地址。只需保留 Postfix 的默认设置即可完成此操作。

# The inet_interfaces parameter specifies the network interface
# addresses that this mail system receives mail on.  By default,
# the software claims all active interfaces on the machine. The
# parameter also controls delivery of mail to user@[ip.address].
#
# See also the proxy_interfaces parameter, for network addresses that
# are forwarded to us via a proxy or network address translator.
#
# Note: you need to stop/start Postfix when this parameter changes. 
#
#inet_interfaces = all
#inet_interfaces = $myhostname
#inet_interfaces = $myhostname, localhost
#inet_interfaces = localhost
# Enable IPv4, and IPv6 if supported
inet_protocols = all

步骤 3 - 配置 Postfix 的 SASL 支持。

如果没有 SASL 身份验证支持，Postfix 将仅允许从本地用户发送电子邮件。或者，当用户从本地域发送电子邮件时，它会给出中继被拒绝错误。

注- SASL或简单应用程序安全层框架是一个为身份验证而设计的框架，支持不同应用程序层协议之间的不同技术。SASL 开发人员（和消费者）没有将身份验证机制留给应用程序层协议，而是利用当前的身份验证协议来实现更高级别的协议，这些协议可能没有内置的便利或更安全的身份验证（当谈到访问安全服务时）。

安装“cyrus-sasl* 包

[root@centos]# yum -y install  cyrus-sasl 
Loaded plugins: fastestmirror, langpacks 
Loading mirror speeds from cached hostfile 
 * base: repos.forethought.net 
 * extras: repos.dfw.quadranet.com 
 * updates: mirrors.tummy.com 
Package cyrus-sasl-2.1.26-20.el7_2.x86_64 already installed and latest version
Nothing to do

为 SASL 身份验证配置/etc/postfix/main.cf

smtpd_sasl_auth_enable = yes
smtpd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

main.conf中我的 SASL 选项

##Configure SASL Options Entries:
smtpd_sasl_auth_enable = yes
smptd_recipient_restrictions =
permit_mynetworks,permit_sasl_authenticated,reject_unauth_destination
smtp_sasl_type = dovecot
smtp_sasl_path = private/auth/etc

步骤 4 - 配置 FirewallD 以允许传入 SMTP 服务。

[root@centos]# firewall-cmd --permanent --add-service=smtp 
success

[root@centos]# firewall-cmd --reload 
success

[root@centos]#

现在让我们检查以确保 CentOS 主机允许并响应端口 25 (SMTP) 上的请求。

Nmap scan report for 172.16.223.132 
Host is up (0.00035s latency). 
Not shown: 993 filtered ports 
PORT    STATE  SERVICE 
   20/tcp  closed ftp-data 
   21/tcp  open   ftp 
   22/tcp  open   ssh 
   25/tcp  open   smtp 
   80/tcp  open   http 
   389/tcp open   ldap 
   443/tcp open   https 
MAC Address: 00:0C:29:BE:DF:5F (VMware)

正如您所看到的，SMTP 正在侦听，并且守护进程正在响应来自我们内部 LAN 的请求。

安装 Dovecot IMAP 和 POP3 服务器

Dovecot 是一个安全的 IMAP 和 POP3 服务器，旨在处理小型到大型组织的传入邮件需求。由于它在 CentOS 中的广泛使用，我们将使用 Dovecot 作为为 CentOS 和 MTA SASL Provider 安装和配置传入邮件服务器的示例。

如前所述，我们不会为 DNS 配置 MX 记录，也不会创建允许我们的服务处理域邮件的安全规则。因此，仅在面向 Internet 的主机上设置这些服务可能会为没有 SPF 记录的安全漏洞留下利用空间。

步骤 1 - 安装 Dovecot。

[root@centos]# yum -y install dovecot

步骤 2 - 配置鸽舍。

dovecot 的主要配置文件位于：/etc/dovecot.conf。我们首先备份主配置文件。在进行编辑之前始终备份配置文件是一个好习惯。这样，文本编辑器就会破坏 id（例如）换行符，并且多年的更改都会丢失。恢复非常简单，只需将当前备份复制到生产中即可。

为dovecot启用协议和守护进程服务

# Protocols we want to be serving. 
protocols = imap imaps pop3 pop3s

现在，我们需要启用 dovecot 守护进程在启动时监听 -

[root@localhost]# systemctl start  dovecot 
[root@localhost]# systemctl enable dovecot

让我们确保 Dovecot 在指定端口上本地侦听：imap、pop3、imap secure 和 pop3 secure。

[root@localhost]# netstat -antup | grep dovecot 
 tcp        0        0 0.0.0.0:110        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:143        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:993        0.0.0.0:*        LISTEN        4368/dovecot
 tcp        0        0 0.0.0.0:995        0.0.0.0:*        LISTEN        4368/dovecot
 tcp6       0        0 :::110                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::143                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::993                :::*          LISTEN        4368/dovecot
 tcp6       0        0 :::995                :::*          LISTEN        4368/dovecot

[root@localhost]#

如图所示，dovecot正在侦听 IPv4 和 IPv4 的指定端口。

POP3	110
POP3	995
IMAP	143
IMAP	993

现在，我们需要制定一些防火墙规则。

[root@localhost]# firewall-cmd --permanent --add-port=110/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=143/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=995/tcp 
success
 
[root@localhost]# firewall-cmd --permanent --add-port=993/tcp 
success
 
[root@localhost]# firewall-cmd --reload 
success
 
[root@localhost]#

我们的传入邮件服务器正在接受对LAN 上的主机的POP3、POP3s、IMAP和IMAP请求。

Port Scanning host: 192.168.1.143

   Open TCP Port:   21          ftp 
   Open TCP Port:   22          ssh 
   Open TCP Port:   25          smtp 
   Open TCP Port:   80          http 
   Open TCP Port:   110         pop3 
   Open TCP Port:   143         imap 
   Open TCP Port:   443         https 
   Open TCP Port:   993         imaps 
   Open TCP Port:   995         pop3s