Freesco, NND, CDN, EOS
http://forum.freesco.pl./

Nowość - poczta z kontami wirtualnymi w mysql
http://forum.freesco.pl./viewtopic.php?f=24&t=17194		 Strona 1 z 2
Autor:  Maciek [ poniedziałek, 15 września 2008, 11:58 ]
Tytuł:  Nowość - poczta z kontami wirtualnymi w mysql
Pojawiły się nowe pakiety - exim, tpop3d i proftpd przeznaczone do posługiwania się kontami wirtualnymi z bazą użytkowników w mysql.
Pakiety wcześniej dość długo testował czerwo i ja, więc są sprawdzone, obecnie od jakiegoś czasu działają na przynajmniej kilku serwerach bez kłopotu. Zatem nie ma obaw co do wdrożenia ich zamiast działającego systemu z kontami systemowymi.
Ewentualny problem może być związany tylko z kwestią samej konfiguracji, dlatego też szukam testera, żeby sprawdzić, jakie ewentualnie trudności mogą się pojawić.
Pakiety są w testing i mają nazwy exim-sql, tpop3d-sql i proftpd-sql.
Autor:  Maciek [ wtorek, 16 września 2008, 22:14 ]
Tytuł: 
Pakiety exim-sql, tpop3d-sql, proftpd-sql i mailadmin sa w testing. Opis jest na stronie nnd. Nic tylko używać...
Autor:  Maciek [ czwartek, 18 września 2008, 16:44 ]
Tytuł: 
Po okresie dodatkowych testów, powstało parę przeróbek. Dodano w panelu mailadmin zarządzanie białą i czarną listą oraz w eximie dodatkowy skrypt czyszczący greylistę. Dziś dodane do cvs a więc 19 września rano będzie w repozytorium.
Autor:  jamp [ poniedziałek, 22 września 2008, 15:42 ]
Tytuł: 
Maciek pisze:
Po okresie dodatkowych testów, powstało parę przeróbek. Dodano w panelu mailadmin zarządzanie białą i czarną listą oraz w eximie dodatkowy skrypt czyszczący greylistę. Dziś dodane do cvs a więc 19 września rano będzie w repozytorium.
Moje pierwsze uwagi po całonocnej pracy nad tymi cudeńkami ;) o ile (pomijając spaprany plik konfiguracyjny exim'a - scieżki do user'ów) po ich delikatnej poprawie poczta działa znakomicie to proftpd-sql działa tylko jeśli jest konto systemowe o takiej samej nazwie i można zgrać sobie wtedy z zewnątrz calutki server łącznie z certyfikatami ;).

Mam takie pytanie czy w exim-sql i tpop3d-sql da się dynamicznie korzystać z różnych certyfikatów - bo jak ma się wiele domen to po odpaleniu Outlook'a można dostać na łep odpowiadając na pytanie "Czy chcesz nadal używać tego serwera"
Autor:  viater [ poniedziałek, 22 września 2008, 16:09 ]
Tytuł: 
jamp pisze:
[ciach]
Mam takie pytanie czy w exim-sql i tpop3d-sql da się dynamicznie korzystać z różnych certyfikatów - bo jak ma się wiele domen to po odpaleniu Outlook'a można dostać na łeb odpowiadając na pytanie "Czy chcesz nadal używać tego serwera"


Na 100% się da, tylko po co ?
Jeśli Twój serwer obsługuje pocztę dla domen x, y i z, to w konfiguracji outlooka dla kont w każdej z tych domen wpisujesz w polach serwer smtp/pop3 ten sam adres - dla którego masz wystawiony certyfikat i Outlook powinien przestać sięburzyć.
Najlepiej wygenerować sobie certyfikat dla nazwy, którą podajesz w konfigu exima jako primary_hostname i tę samą nazwę wpisujesz w Outlooku dla wszystkich kont we wszystkich obsługiwanych przez serwer domenach.
Żeby było jeszcze porządniej, we wszystkich obsługiwanych domenach powinien być rekord MX wskazujący na "primary_hostname".
Autor:  Maciek [ poniedziałek, 22 września 2008, 16:27 ]
Tytuł: 
Co znaczy "spaprany plik konfiguracyjny exima"? W tej wersji, jeśli chcesz używac exima tradycyjnie, a mozesz, to można normalnie wygenerować sobie konfigurację nndconfem lub przystosować plik exi.conf.orig lub przerobić plik exim.conf.sql w odpowiedni sposób. Jesli zamierzasz używac z wirtualnymi userami, to potrzebujesz jeszcze mailadmin. W konfiguracji exima wpisujesz tylko to. co dotyczy twojego serwera i nic więcej nie ruszasz. Zakładasz konta wirtualne w mailadminie i oczywiście domeny również. Poczta jest w /var/mail/virtual/domena.wirtualna. Obecnie proftpd ma dołożony plik konfiguracyjny do działania z sql. Trzeba mu założyć usera z numerem 5002 o nazwie najlepiej virtual i założyć mu katalog /home/virtual. Następnie odblokować w mailadminie konto ftp i wszystko będzie działać.
Co do uwag jakie napisał viater, to zgadzam się. Sposób jaki podał jest najlepszy. Jeden adres dla smtp i pop3 oraz najlepiej prawidłowo ustawione MX w pozostałych domenach. Próbowałem z certyfikatami i jakoś niestety nie udało mi się zrobić, żeby exim czytał certyfikat w zależności od domeny.
Autor:  jamp [ poniedziałek, 22 września 2008, 16:43 ]
Tytuł: 
Maciek pisze:
Co znaczy "spaprany plik konfiguracyjny exima"? W tej wersji, jeśli chcesz używac exima tradycyjnie, a mozesz, to można normalnie wygenerować sobie konfigurację nndconfem lub przystosować plik exi.conf.orig lub przerobić plik exim.conf.sql w odpowiedni sposób. Jesli zamierzasz używac z wirtualnymi userami, to potrzebujesz jeszcze mailadmin. W konfiguracji exima wpisujesz tylko to. co dotyczy twojego serwera i nic więcej nie ruszasz. Zakładasz konta wirtualne w mailadminie i oczywiście domeny również. Poczta jest w /var/mail/virtual/domena.wirtualna. Obecnie proftpd ma dołożony plik konfiguracyjny do działania z sql. Trzeba mu założyć usera z numerem 5002 o nazwie najlepiej virtual i założyć mu katalog /home/virtual. Następnie odblokować w mailadminie konto ftp i wszystko będzie działać.
Co do uwag jakie napisał viater, to zgadzam się. Sposób jaki podał jest najlepszy. Jeden adres dla smtp i pop3 oraz najlepiej prawidłowo ustawione MX w pozostałych domenach. Próbowałem z certyfikatami i jakoś niestety nie udało mi się zrobić, żeby exim czytał certyfikat w zależności od domeny.
A ja chcę mieć pocztę w /home/virtual/nazwa.domeny/nazwa.użytkownika/Maildir w formacie maildir i mam ale ten proftpd-sql inie chce mnie zalogować. Co do certyfikatów to wasze rozwiązanie nie wchodzi w rachubę bo na tych domenach są servery wirtualne i każdy ma własne adresy jak i certyfikaty dla poczty. Dlatego muszę to jakoś ożywić :)
Autor:  viater [ poniedziałek, 22 września 2008, 16:53 ]
Tytuł: 
Maciek pisze:
Próbowałem z certyfikatami i jakoś niestety nie udało mi się zrobić, żeby exim czytał certyfikat w zależności od domeny.


Jak pisałem, na 100% da się zrobić - gdzieś widziałem rozwiązanie wirtualnych domen w Eximie z uwzględnieniem certyfikatów. Zaraz poszukam.
Autor:  viater [ poniedziałek, 22 września 2008, 17:29 ]
Tytuł: 
No nie mogę teraz znaleźć, ale zrobiłbym to tak:

1. Do tabeli "domeny" dodać pola "certyfikat" i "klucz" w których zapisać nazwy plików z certyfikatami i kluczami (pełne ścieżki).

2. W konfigu exima zmienić linie, w których definiujemy certyfikat i klucz:

tls_certificate = ${lookup mysql {SELECT certyfikat FROM domeny WHERE nazwa="${domain}" OR \ nazwa="${sender_address_domain}"}}
tls_privatekey = ${lookup mysql {SELECT klucz FROM domeny WHERE nazwa="${domain}" OR \ nazwa="${sender_address_domain}"}}

- aczkolwiek pewności nie mam, czy i jak to zadziała...
Autor:  Maciek [ poniedziałek, 22 września 2008, 17:47 ]
Tytuł: 
Robiłem podobnie. Z tym, że w zmiennej brałem samą domenę. I nie działało.
Autor:  Maciek [ poniedziałek, 22 września 2008, 18:01 ]
Tytuł: 
jamp pisze:
A ja chcę mieć pocztę w /home/virtual/nazwa.domeny/nazwa.użytkownika/Maildir w formacie maildir i mam ale ten proftpd-sql inie chce mnie zalogować. Co do certyfikatów to wasze rozwiązanie nie wchodzi w rachubę bo na tych domenach są servery wirtualne i każdy ma własne adresy jak i certyfikaty dla poczty. Dlatego muszę to jakoś ożywić :)

Możesz mieć pocztę, gdzie chcesz. Ale nie dowodzi to, że spaprany jest plik konfiguracyjny. Trudno, żebyśmy my mieli przewidzieć, gdzie ty chcesz trzymać pocztę. Plik dostosowany jest do standardu. BTW ten twój pomysł nie jest taki fajny, bo jak w końcu dasz userowi to FTP to sobie skasuje Maildir ("bo co to za gówno w moim katalogu"),a za chwilę będzie płakał, że mu poczta przepadła.
Przyczyna, że ci ftp nie działa jest banalnie prosta. Zapewne w logach jest to wyjasnione. Skoro pocztę ustawiłeś w /home/virtual/nazwa.domeny/nzawa.usera to oczywiście wszystko jest własnością usera mail i dlatego niestety ftp tam wejść nie może. Będziesz ręcznie musiał każdy katalog zmieniać tak, żeby należał to usera virtual i grupy ftp (z wyjątkiem samego Maildir), inna opcja to zmiana konfiguracji, tak by ftp chodził na userze mail i podczas zakładania konta, żeby to się działo automatycznie.. ale to strasznie debilny pomysł.
W ogóle nie rozumiem, po co user przez FTP ma zaglądać do swojego katalogu poczty? ja bym optował zdecydowanie za rozdzieleniem tych katalogów bo skończy się to jakoś źle ;)
Rozumiem, że chodzi tu bardziej o usadowienie na partycji.. to może /home/mail/domena/nazwa.
Generalnie: nasze rozwiązanie jest przeznaczone do udostępniania kont niezaufanym użytkownikom bez dostępu do systemu. Poczta jest w sensie katalogowym niedostępna dla usera - bo to rozwiązanie nic nie daje, user ma korzystać z programu pocztowego a nie kombinować przez ftp. Dostęp ftp realizowany jest również wirtualnie i choć wszystko działa na jednym użytkowniku rzeczywistym, to bezpieczeństwo danych jest zachowane, bowiem otwierany katalog zależny jest od pełnego loginu (jak mail) i hasła. W razie potrzeby katalog usera może być katalogiem www wirtualnej domeny, ale to sie już w apaczu robi.
Autor:  viater [ poniedziałek, 22 września 2008, 19:50 ]
Tytuł: 
jamp pisze:
Co do certyfikatów to wasze rozwiązanie nie wchodzi w rachubę bo na tych domenach są servery wirtualne i każdy ma własne adresy jak i certyfikaty dla poczty. Dlatego muszę to jakoś ożywić :)

Co rozumiesz przez certyfikaty dla poczty ?
Certyfikat tls i klucz tls, które definiujesz w konfigu exima, służą do nawiązania z KLIENTEM (czy to MTA czy też MUA) szyfrowanego połączenia TLS oraz ewentualnie do tego, aby klient miał pewność, że połączył się z tym serwerem, z którym powinien. Jest to certyfikat SERWERA, a nie DOMENY i nie ma nic wspólnego z weryfikacją nadawcy czy odbiorcy maila.
W związku z tym moim zdaniem używanie osobnych certyfikatów dla każdej z obsługiwanych przez serwer domen nie ma żadnego sensu ani uzasadnienia, co więcej - przeanalizowawszy sprawę - nie widzę też takiej możliwości, bo kiedy klient łączy się z Eximem najpierw negocjowane i ustanawiane jest połączenie TLS, dopiero potem klient "mówi" serwerowi od kogo i do kogo chce wysłać pocztę, skąd więc Exim miałby "a priori" wiedzieć, którego certyfikatu (dla jakiej domeny) użyć do ustanowienia połączenia TLS ?
Autor:  Maciek [ poniedziałek, 22 września 2008, 22:46 ]
Tytuł: 
Dodam jeszcze uwagę odnośnie katalogów...
Stanąłem przed podobnym zadaniem (na / mam za mało miejsca). W mailadminie w index.php w linii 269 zmieniłem domyślny katalog FTP na /home/virtual/$domena/ftp/$user, zaś w eximie zmieniłem na /home/virtual/$domena/mail/$user/Mailbox i w ten sposób jest problem rozwiązany, a jednocześnie user nie ma bezpośredniej możliwości grzebania w skrzynce.
Co ddo certyfikatów, viater ma rację i nic tego nie zmieni. Można oczywiście kombinować - jeśli się ma dużo IP, żeby exim dla różnych domen nasłuchiwał na różnych IP i wtedy można podawać różne certyfikaty, takie rozwiązanie, gdzieś widziałem.
Autor:  jamp [ poniedziałek, 22 września 2008, 22:49 ]
Tytuł: 
viater pisze:
.....używanie osobnych certyfikatów dla każdej z obsługiwanych przez serwer domen nie ma żadnego sensu ani uzasadnienia...
Sens jest dlatego, że wiele firm ma zakupione własne certyfikaty i chce ich używać. To w takim razie czy istnieje możliwość odpalenia wielu serverów poczty przypisanych do konkretnych domen.
Autor:  viater [ poniedziałek, 22 września 2008, 23:23 ]
Tytuł: 
jamp pisze:
viater pisze:
.....używanie osobnych certyfikatów dla każdej z obsługiwanych przez serwer domen nie ma żadnego sensu ani uzasadnienia...
Sens jest dlatego, że wiele firm ma zakupione własne certyfikaty i chce ich używać.

Aha, wykupili i chcą na siłę używać ? A wiedzą chociaż do czego ? Podejrzewam, że do podpisywania, ewentualnie szyfrowania poczty, ale to jest zupełnie inna bajka i nie ma nic wspólnego z certyfikatem serwera...

jamp pisze:
To w takim razie czy istnieje możliwość odpalenia wielu serverów poczty przypisanych do konkretnych domen.

A jak to sobie wyobrażasz ? Kilka daemonów exima słuchających na tym samym porcie ? Odpalić można, ale działać toto na pewno nie będzie...
Autor:  jamp [ poniedziałek, 22 września 2008, 23:45 ]
Tytuł: 
viater pisze:
A jak to sobie wyobrażasz ? Kilka daemonów exima słuchających na tym samym porcie ? Odpalić można, ale działać toto na pewno nie będzie...
No właśnie czy koniecznie na tym samym porcie :?: może w tę stronę coś da się wymyślić :)
Autor:  Maciek [ wtorek, 23 września 2008, 00:04 ]
Tytuł: 
Hm.. viater wyraźnie napisał. Certyfikat nie jest certyfikatem poczty, tylko serwera, po to by można było nawiązać połączenie szyfrowane. Tak dogadują się między sobą także serwery i nie pytają o jakość certyfikatu - czy jest za darmo, czy za słoną kasę. Kupowanie własnego certyfikatu serwera poczty - a kosztuje to niemało, ma sens, jak się ma własny serwer. Jak się korzysta z wirtualnego hostingu to nie ma to sensu - ktoś zatem firmę w kanał wpuścił. O ile mi wiadomo, to firmy oferujące hosting wirtualny podają dla smtp i pop3 własny MX i certyfikat mają jeden. Jeśli korzysta się z outsourcingu serwerowego, wtedy ma się swój IP oraz można mieć własny certyfikat. Tak robią duzi providerzy stawiające wydajne maszyny na których klienci mają wirtualne osobne maszyny, a każda z nich na osobnym IP. Serwera na jednym IP nie odpalisz wiele razy. Możesz mając 256 IP np. z polpaka odpalić 256 procesów dla każdego IP. Tego, co chcesz, nie umie żaden serwer wg. mnie.
Autor:  viater [ wtorek, 23 września 2008, 00:24 ]
Tytuł: 
jamp pisze:
viater pisze:
A jak to sobie wyobrażasz ? Kilka daemonów exima słuchających na tym samym porcie ? Odpalić można, ale działać toto na pewno nie będzie...
No właśnie czy koniecznie na tym samym porcie :?: może w tę stronę coś da się wymyślić :)

No niestety serwer SMTP, w przeciwieństwie np. do serwera WWW, musi słuchać na porcie 25.
Autor:  jamp [ wtorek, 23 września 2008, 00:58 ]
Tytuł: 
viater pisze:
No niestety serwer SMTP, w przeciwieństwie np. do serwera WWW, musi słuchać na porcie 25.
To z tematu certyfikatów nici :( ale pozostaje sprawa praw do katalogów bo poczta działa a ftp nie tworzy nic i nie daje się zalogować :( Maćku a czy nie prościej było by bez tego katalogu ftp a zamiast Mailbox dać .Mailbox ftp też tego nie powinien ruszyć :) Natomiast sprawdziłem to, że jeżeli brak jest katalogu virtualnego a jest konto systemowe o takiej samej nazwie i można czytać i zgrać prawie cały dysk z zewnątrz łącznie z certyfikatem i kluczem exim'a :(
Autor:  Maciek [ wtorek, 23 września 2008, 11:54 ]
Tytuł: 
Hm.. wczoraj wieczorem późnym wydawało mi się, ze napisałem na forum, ale albo miałem omamy, albo jakieś brzydkie krasnale wywaliły moją pisaninę :)
Problem jest w uprawnieniach. Tworzysz skrzynkę w /home/virtual/$domena/$user/Mailbox i wszystko należy do usera mail. Ustawienie katalogu ftp w tym samym miejscu powoduje, że ftp nie otworzy takiego katalogu, bo powinien on należeć do usera virtual (UID 5002). Tego się nie da zmienić inaczej jak ręcznie. Lepiej zatem zrobić np. dla poczty /home/mail/virtual/$domena/$user (w konfiguracji exima) i /home/ftp/virtual/$domena/$user (linia 269 w index.php panelu mailadmin).
.
Strona 1 z 2 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/