abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×

dnes 01:44 | Zajímavý projekt

Kampaň na podporu chytrého telefonu Librem 5, jenž by měl respektovat bezpečnost, svobodu a soukromí uživatelů, úspěšně skončila. Bylo vybráno více než 2,1 milionu dolarů, tj. cíl kampaně byl splněn na více než 141 %. Objednáno bylo cca 3 000 telefonů. Telefon Librem 5 by měl být k dispozici v lednu 2019.

Ladislav Hagara | Komentářů: 4
včera 21:11 | Komunita

Ke zhlédnutí jsou videozáznamy přednášek z konferencí All Systems Go! (media.ccc.de) a GStreamer Conference 2017 (ubicast.tv) konaných o víkendu 21. a 22. října. All Systems Go! v Berlíně a GStreamer Conference 2017 v Praze.

Ladislav Hagara | Komentářů: 0
včera 20:33 | Komunita

MojeFedora.cz informuje (en), že Fedora 27 přináší snadný přístup k Red Hat Enteprise Linuxu. Virtualizační nástroj Boxy nyní umožňuje jednoduše stáhnout a nainstalovat Red Hat Enterprise Linux, který je pro vývojáře zdarma. Vytvořit lze neomezené množství virtuálních mašin s RHEL.

Ladislav Hagara | Komentářů: 3
včera 19:00 | Komunita

Konsorcium Linux Foundation oficiálně představilo licence pro komunitní otevřená data Community Data License Agreement (CDLA). První licence je copyleftová CDLA-Sharing a druhá permisivní CDLA-Permissive. Odpovědi na často kladené otázky ve FAQ.

Ladislav Hagara | Komentářů: 0
včera 13:55 | Pozvánky

Spolek OpenAlt zve příznivce otevřených technologií a otevřeného přístupu na 145. pražský sraz, který proběhne ve čtvrtek 26. října od 18:00 hodin v karlínském Pivovarském klubu. Najdete jej kousek od metra Florenc na adrese Křižíkova 17, Praha 8. Jedná se o poslední sraz před konferencí OpenAlt 2017, jež proběhne o víkendu 4. a 5. listopadu 2017 na FIT VUT v Brně. Běží registrace účastníků.

Ladislav Hagara | Komentářů: 0
včera 06:00 | Zajímavý software

Byla vydána verze 0.56 open source platformy Home Assistant (GitHub) pro monitorování a řízení inteligentní domácnosti naprogramované v programovacím jazyce Python verze 3 a bežící také například na Raspberry Pi. Pro vyzkoušení je k dispozici demo [reddit].

Ladislav Hagara | Komentářů: 0
22.10. 16:55 | Nová verze

Byla vydána verze 1.0 klienta F-Droid určeného pro instalaci aplikací do Androidu ze softwarového repozitáře F-Droid (Wikipedie), alternativy k Google Play, nabízející pouze svobodný a otevřený software. Podrobnosti v přehledu změn [Hacker News].

Ladislav Hagara | Komentářů: 9
22.10. 00:55 | Nová verze

Po téměř 13 měsících vývoje od verze 0.11.0 byla vydána verze 0.12.0 hardwarově nenáročného desktopového prostředí LXQt (Lightweight Qt Desktop Environment, Wikipedie) vzniklého sloučením projektů Razor-qt a LXDE. Přehled novinek v příspěvku na blogu.

Ladislav Hagara | Komentářů: 11
21.10. 12:33 | Zajímavý software

Článek ne Medium představuje nejnovější stabilní verzi 2.0 svobodné decentralizované mikroblogovací platformy a sociální sítě podobné Twitteru Mastodon (Wikipedie). Detailní přehled novinek na GitHubu [Hacker News].

Ladislav Hagara | Komentářů: 0
21.10. 06:00 | Komunita

V Praze na půdě Elektrotechnické fakulty ČVUT dnes probíhá RT-Summit 2017 – setkání vývojářů linuxového jádra a uživatelů jeho real-time verze označované jako preempt-rt. Přednášky lze sledovat online na YouTube.

Ladislav Hagara | Komentářů: 0
Jak se vás potenciálně dotkne trend odstraňování analogového audio konektoru typu 3,5mm jack z „chytrých telefonů“?
 (10%)
 (1%)
 (0%)
 (1%)
 (76%)
 (12%)
Celkem 255 hlasů
 Komentářů: 8, poslední 22.10. 23:02
    Rozcestník

    Stavíme poštovní server – 5 (doručování, vzdálený přístup)

    13. 11. 2009 | Lukáš Jelínek | Sítě | 31837×

    Poštovní server obvykle nejen odesílá zprávy někam jinam, nýbrž je také přijímá k doručení do schránek. Existuje řada způsobů, jak lze schránky a doručování do nich řešit. Schránky musí být také samozřejmě přístupné pro uživatele.

    Obsah

    Jak doručovat, řešení uživatelů

    link

    Přijme-li poštovní server zprávu, rozhoduje se, co s ní udělá. Pokud je zpráva doručitelná, musí být správně doručena. Řešení z minulých dvou dílů předávala veškeré takové zprávy jinam. Ovšem často je potřeba doručovat tzv. místně, tedy uživatelům, kteří mají své schránky přímo na daném serveru.

    Možností, jak to dělat, existuje celá řada. Obecně můžeme rozlišovat tyto roviny:

    • zda doručuje přímo server (Postfix), nebo jiný program
    • zda jde o systémové, nebo virtuální uživatele
    • kde se nachází úložiště
    • jakým způsobem jsou zprávy uloženy

    Jednotlivé roviny spolu samozřejmě souvisejí, nicméně do určité míry jsou nezávislé. V první řadě jde o to, zda se o finální doručení stará přímo Postfix, nebo zda se využije nějaký program pro místní doručování. Pokud doručuje Postfix, je to celé jednodušší, spotřebuje to méně výkonu, nicméně protože Postfix nemá tuto činnost až tolik v popisu práce, nedá se proces doručování příliš ovlivňovat. Naopak využití doručovacího programu (agenta) je náročnější na konfiguraci a spotřebuje výkon navíc, na druhou stranu lze zprávy filtrovat, třídit, jemně definovat kvóty apod.

    Další rozlišení je mezi systémovými (unixovými) a virtuálními uživateli. Systémový uživatel je takový, který má svůj uživatelský účet zjistitelný přes systémovou databázi (podle nastavení NSS). Typicky jde o uživatele, který se může do systému běžně přihlašovat a pracovat v něm. Naopak virtuální uživatel existuje pouze v poštovním serveru. Řešení se systémovými uživateli se využívá v případě, kdy uživatelé využívají i další služby systému a současně poštovní server obsluhuje jen jednu doménu. Virtuální uživatelé se naopak hodí na dedikované poštovní servery obsluhující větší počet domén.

    Úložiště zpráv se může nacházet obecně kdekoliv, jak fyzicky, tak logicky. Fyzicky bývá buď přímo na daném stroji (běžný disk nebo RAID), anebo na jiném stroji (souborový server, NAS apod.). Z hlediska logického záleží na způsobu uložení zpráv (viz dále), ale pokud jde o souborové řešení, pak mohou být zprávy uloženy buď pod domovskými adresáři uživatelů (pokud jde o systémové uživatele), nebo v adresářovém stromě na vyhrazeném místě (např. /var/mail).

    Zprávy lze ukládat různými způsoby. Je samozřejmě vždy potřeba přizpůsobit volbu schopnostem programů, které k nim přistupují (zde PostfixDovecot). Další kritéria jsou robustnost řešení, výkon, případně možnost přebrat bez dalších úprav již existující úložiště. Některé programy používají různá databázová řešení (obvykle nekompatibilní s jinými programy), často se používá také Maildir (každá zpráva je soubor v adresáři) a mbox (všechny zprávy v jednom souboru).

    Přímé doručování systémovým uživatelům

    link

    První řešení bude situace, při které je na serveru určitý počet místních uživatelů, kterým bude Postfix doručovat zprávy do jejich schránek umístěných pod jejich domovskými adresáři. Uživatelé budou ke schránkám přistupovat jen lokálně, čili nebude potřeba zprovozňovat vzdálený přístup přes protokoly POP3 a IMAP. Odesílání zpráv do vnějšího světa bude fungovat tak jako minule.

    Konfigurace doručování

    link

    Doručování místním uživatelům ovlivňuje několik konfiguračních hodnot. Důležité jsou hlavně parametry local_transport (jeho nastavením bylo v minulém díle zakázáno lokální doručování) a local_recipient_maps. První stačí nechat na výchozí hodnotě (což je local:$myhostname, tedy lokální doručovací proces na tomto stroji; je samozřejmě potřeba, aby byl zapnutý v souboru master.cf). I v druhém případě si lze vystačit s výchozí hodnotou, ovšem nebude od věci se na ni podívat trochu podrobněji.

    Parametr local_recipient_maps definuje datové zdroje (tabulky), podle kterých se doručuje místním uživatelům. Výchozí hodnota je proxy:unix:passwd.byname $alias_maps. To znamená, že se nejdřív zkusí databáze unixových uživatelů a potom (při neúspěchu) se prověří ještě aliasy podle aktuálního nastavení (viz dále). Jak si můžete všimnout, využívá se datový zdroj proxy, přes který se teprve přistupuje k databázi uživatelů. Proč tomu tak je? Důvody jsou dva: výkonový (eliminace případných vícenásobných připojení ke stejnému zdroji podle nastavení NSS) a bezpečnostní (není třeba, aby měla služba local přístup k databázi uživatelů). Přístup zajistí služba proxymap.

    Ve výchozím nastavení local_recipient_maps jsou obsaženy i aliasy. Obecně není potřeba je používat, ovšem protože specifikace v RFC vyžaduje existenci některých adres (např. postmaster@doména…; je to dobré i z funkčních důvodů) a bývá zbytečné pro ně vyhrazovat samostatné schránky, aliasy se hodí. Dávají se obvykle do hešové tabulky umístěné v /etc/aliases – obsah může vypadat například takto:

    mailer-daemon: root
    postmaster: root
    hostmaster: root
    nobody: root
    security: root
    abuse: root
    

    Po vytvoření nebo úpravě (po instalaci distribuce mívá obvykle smysluplný obsah podobný výše uvedenému) souboru je potřeba ještě spustit na soubor příkaz postalias /etc/aliases, aby se tabulka vygenerovala. Také se musí nastavit, kde má Postfix aliasy hledat:

    alias_maps = hash:/etc/aliases
    

    Výchozí hodnota obvykle obsahuje tuto tabulku, nicméně obvykle tam bývá ještě přístup k NIS, který se obyčejně nevyužívá, proto je zbytečné ho nechávat zapnutý. Místo příkazu postmap lze využít také newaliases (bez udávání cesty), ale musí se správně nastavit parametr alias_database:

    alias_database = hash:/etc/aliases
    

    Hodnota local_recipient_maps slouží pouze ke zjišťování, zda určitá adresa existuje. Proto nezáleží na pořadí jednotlivých zdrojů dat. S aliasy pracuje služba local při doručování zpráv a vyhodnocuje je vždy dříve než poštovní schránky (proto vytvoření aliasu „zastíní“ příslušnou schránku).

    Nastavení úložiště

    link

    Nyní už je nastaveno, jak se budou zprávy doručovat, ještě ale není jasné kam. Protože se má doručovat do schránek pod domovským adresářem, je potřeba to v konfiguraci nastavit. Tady jsou dva příklady:

    home_mailbox = Mailbox
    
    home_mailbox = Maildir/
    

    Jak je z názvů patrné, v prvním případě se nastaví doručování do souboru formátu mbox s názvem Mailbox, ve druhém případě to bude formát Maildir a adresář nazvaný taktéž Maildir. Kdy použít tu či onu metodu? Záleží hlavně na tom, jaké programy (poštovní klienty) budou ke zprávám přistupovat. Každý způsob má jinak své výhody a nevýhody. mbox (všechny zprávy v jednom souboru) je obvykle rychlejší, ale při odstraňování zpráv zůstává prázdné místo a soubor se musí „zkompaktňovat“, aby nezabíral zbytečně moc prostoru. Maildir (každá zpráva je samostatný soubor) je robustnější, ale na některých souborových systémech je při velkém množství zpráv pomalý.

    V případě formátu Maildir je zatím řeč jen o tomto formátu, ne o jeho rozšířeních (jako používá např. Dovecot), která pomocí indexace umožňují výrazně zrychlit práci i na souborových systémech bez indexů nad adresáři.

    V obou případech, tedy jak pro mbox, tak i Maildir, doručuje Postfix s právy toho uživatele, kterému schránka patří. Je to jednoduché a pohodlné, nicméně z pohledu bezpečnosti to samozřejmě znamená, že musí služba local běžet s právy roota mimo prostředí chroot.

    Nastavení přístupu

    link

    K plné funkčnosti zbývá ještě nastavit přístup pro doručování zvnějšku. Aby server nebyl otevřený pro rozesílání spamu, musí zůstat v platnosti omezení definovaná minule (tedy přístup jen z určených sítí), ovšem současně je potřeba umožnit doručování do místních schránek odkudkoliv (není-li to zakázáno v blacklistu).

    V čem tedy tkví podstata změny konfigurace? Pokud si vzpomínáte na parametr reject_unauth_destination, tak to je přesně on. Ten totiž odmítne doručení kamkoliv mimo cíle, které obsluhuje tento server. Konfigurace kontroly pro SMTP příkaz RCPT TO se tedy změní takto (zjednodušená verze – plná přijde vzápětí):

    smtpd_recipient_restrictions =
      permit_mynetworks,
      check_recipient_access hash:/etc/postfix/access,
      reject_unauth_destination,
      permit
    

    Takto napsané pravidlo nejprve povolí doručení odkudkoli z vlastních sítí, pak provede kontrolu oproti blacklistu (protože může být někdy dobré některé místní schránky udělat opravdu jen „místní“, tedy bez doručování ze světa), potom odmítne veškeré „neautorizované“ cíle (tj. všechny adresy, které neobsluhuje tento server) a propustí všechno ostatní.

    Podobně je potřeba oproti minulému dílu upravit i další pravidla řízení přístupu, aby vše fungovalo tak, jak je třeba. Tady je celý výsledný konfigurační soubor se všemi pravidly:

    myhostname = postak.moje.domena
    myorigin = $mydomain
    mydestination = $mydomain, localhost
    
    alias_maps = hash:/etc/aliases
    alias_database = hash:/etc/aliases
    
    home_mailbox = Maildir/
    
    biff = yes
    delay_warning_time = 4h
    
    mynetworks = 127.0.0.0/8
    
    smtpd_client_restrictions =
      permit_mynetworks,
      check_sender_access hash:/etc/postfix/access,
      permit
    
    smtpd_sender_restrictions =
      permit_mynetworks,
      reject_non_fqdn_sender,
      reject_unknown_sender_domain,
      check_sender_access hash:/etc/postfix/access,
      permit
    
    smtpd_recipient_restrictions =
      permit_mynetworks,
      reject_non_fqdn_recipient,
      reject_unknown_recipient_domain,
      check_recipient_access hash:/etc/postfix/access,
      reject_unauth_destination,
      permit
    
    smtpd_error_sleep_time = 30
    smtpd_soft_error_limit = 10
    smtpd_hard_error_limit = 20
    
    smtpd_helo_required = yes
    disable_vrfy_command = yes
    

    Co je jinak oproti minulému dílu? Všimněte si například parametru mydestination. Ten říká, pro jaké všechny adresy bude server cílový. V tomto případě to budou adresy v definované doméně (mydomain) a adresy v „doméně“ localhost. Dále přibyly parametry pro aliasy (alias_*) a pro schránky (home_mailbox). V pravidlech pro kontrolu klientů se využívá blacklist, pravidla pro kontrolu odesílatele se proměnila tak, že propustí vše kromě formálně nevyhovujících adres a adres z blacklistu. Pravidla pro cílové adresy jsou upravena pro odmítání zpráv z vnějšku, kdy příjemce není „místní“. Všimněte si také parametru disable_vrfy_command, který zakazuje SMTP příkaz VRFY (tím si může spammer zjišťovat existenci schránek, aniž by se do nich pokusil doručit – tak by se mohl vyhnout odmítnutí za překročení limitu chyb).

    Ještě je důležité dodat, že při přístupu z vlastních sítí (zde pouze lokální adresy) je přístup vždy ihned povolen, bez dalších kontrol. Tyto kontroly jsou totiž obvykle zbytečné, navíc nevadí (a leckdy se to naopak hodí), že jsou propuštěny i adresy bez uvedení domény.

           

    Hodnocení: 100 %

            špatnédobré        

    Nástroje: Tisk bez diskuse

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    13.11.2009 08:59 ET
    Rozbalit Rozbalit vše Re: Stavíme poštovní server – 5 (doručování, vzdálený přístup)
    v dalsich clancich by mohlo byt jeste rozvinuto boj se spamem (spamassassin,...), automaticke odpovedi (yaa,..)
    13.11.2009 10:01 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše home_mailbox
    home_mailbox = Mailbox
    
    home_mailbox = Maildir/
    

    Jak je z názvů patrné, v prvním případě se nastaví doručování do souboru formátu mbox s názvem Mailbox, ve druhém případě to bude formát Maildir a adresář nazvaný taktéž Maildir.

    Není tu něco špatně? Slovo za rovnítkem definuje co? Formát nebo název souboru? Co umístění souboru? /var/spool/mail nebo domovský adresář?

    Heron avatar 13.11.2009 11:24 Heron | skóre: 51 | blog: root_at_heron | Olomouc
    Rozbalit Rozbalit vše Re: home_mailbox
    Pokud je tam lomítko, tak se to bere jako adresář pro maildir.

    Díky Lukovi za skvělý seriál. Kdy se dostaneš ke "vzdálenému" smtp? Zatím je odesílající klient puštěn díky adrese v $mynetworks (a příslušným permit pravidlem), jak zařídit, aby mohl odesílat odkudkoliv (po nějaké formě přihlášení)?
    13.11.2009 12:21 Vantomas | skóre: 25 | Praha
    Rozbalit Rozbalit vše Re: home_mailbox

    Priste. Jak je napsano na konci clanku

    Cílem bude ověřování virtuálních uživatelů, a to jak pro účely doručování (tedy jestli uživatel vůbec existuje), tak pro ověření pro odesílání zpráv (často je žádoucí mít možnost právo uživatele odesílat poštu ověřit i jinak než pouze podle síťových adres).

    Luk avatar 13.11.2009 12:58 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: home_mailbox
    Pokud je tam lomítko, tak se to bere jako adresář pro maildir.
    Přesně tak. Asi jsem měl použít lepší formulaci, takhle to nemusí být dostatečně zřejmé.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    13.11.2009 18:44 petr_p | skóre: 59 | blog: pb
    Rozbalit Rozbalit vše Re: home_mailbox
    A cesta jak? Když je absolutní, tak to je adresář, kde se budou vytvářet mailboxy/maildiry pojmenované podle uživatelského jména, a když je relativní, tak se bere vzhledem k domovskému adresáři?
    Luk avatar 13.11.2009 19:00 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: home_mailbox
    Jsou povoleny pouze relativní cesty (což má logiku, protože se zde vychází vždy z domovského adresáře). Co to udělá, pokud by tam někdo narval absolutní cestu, jsem nezkoušel, ale asi to bude řvát. Další možnost je, že se parametr vůbec nenadefinuje, pak to vytváří mailboxy/maildiry pojmenované podle uživatelského jména, a to v adresáři definovaném pomocí mail_spool_directory.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    21.11.2009 19:35 gagod | skóre: 2
    Rozbalit Rozbalit vše Re: Stavíme poštovní server – 5 (doručování, vzdálený přístup)
    Rozumím tomu správně, že nic nepokazím když použiji zkrácený zápis (s smtp_delay_reject=yes):
    smtpd_recipient_restrictions =
      permit_mynetworks,
      reject_non_fqdn_sender,
      reject_unknown_sender_domain,
      reject_non_fqdn_recipient,
      reject_unknown_recipient_domain,
      check_recipient_access hash:/etc/postfix/access,
      check_sender_access hash:/etc/postfix/access,
      reject_unauth_destination
    
    Nebo má v článku prezentované řešení jiné výhody? Btw ten permit na konci je přidán jen z psychologického hlediska, je tak? Díky
    Luk avatar 21.11.2009 20:27 Luk | skóre: 47 | blog: Kacířské myšlenky | Kutná Hora
    Rozbalit Rozbalit vše Re: Stavíme poštovní server – 5 (doručování, vzdálený přístup)
    Rozumím tomu správně, že nic nepokazím když použiji zkrácený zápis (s smtp_delay_reject=yes)
    Ano, za předpokladu smtp_delay_reject=yes by se to mělo chovat stejně.
    Nebo má v článku prezentované řešení jiné výhody?
    Upřednostňuji rozdělení na jednotlivé části, je to podle mého názoru přehlednější a názornější.
    Btw ten permit na konci je přidán jen z psychologického hlediska, je tak?
    Ano, je tam proto, aby bylo na první pohled patrné, co nastane, pokud žádné pravidlo nevyhoví.
    LinuxMarket - linuxový e-shop | LinuxEXPRES - linuxový magazín | OpenOffice.cz - portál uživatelů OpenOffice/LibreOffice
    16.2.2010 16:51 Marek
    Rozbalit Rozbalit vše Re: Stavíme poštovní server – 5 (doručování, vzdálený přístup)
    Proč není u článku odkaz na další díl seriálu (a na předchozí, první a poslední, tak jako u ostatních)?

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.