Почтовая связка vexim в сборе (vexim+exim+dovecot+mysql+sa+clamav+mailman) под Debian

Если вам быстро нужно установить и настроить почтовый сервер под Debian linux, то эта статья для вас. В статье рассказываться, как установить и настроить связку exim+dovecot+mysql+sa+clamav ну и естественно с удобным механизмом администрирования почтовых ящиков и доменов. В довесок ко всему прочему добавим возможность использовать сертификаты.

Примечание.

отправка почты будет осуществляться ИСКЛЮЧИТЕЛЬНО через tls/ssl, несмотря на то, что 25 порт будет доступен. Если вы хотите включить отправку через tls/ssl – только как один из вариантов и оставить возможность пользователям делать отправку почты через 25-ый порт – уберите из конфига exim’a строку

auth_advertise_hosts = ${if eq {$tls_cipher}{}{}{*}}

Тестовый стенд: базовая установка Debian Linux lenny 5. Но статью так же можно применить и к минимальной установке.

Перед установкой рекомендую обновить базу данных пакетов:

#apt-get update

1) Установка MTA Exim’a

В базовой установке уже есть пакет exim4-daemon-light, но нам его недостаточно. Для полноценного функционирования нужен пакет exim4-daemon-heavy. Собственно ставим:

#apt-get install exim4-daemon-heavy

Настройка exim’a будет производится в разделе “Установка панели управления vexim”

2) Установка pop3/imap сервера dovecot

Поскольку мы будем использовать как imap так и pop3 то установим оба сервера. Если вам нужен только один – нет надобности ставить другой. Приступим:

#apt-get install dovecot-imapd dovecot-pop3d dovecot-common

Теперь приведём конфигурационные файлы dovecot’a к такому виду:

Файл dovecot-sql.conf:

driver = mysql
#connect = host=localhost user=mail_user password=mail_pass dbname=vexim
connect = host=/var/run/mysqld/mysqld.sock user=mail_user password=mail_pass dbname=vexim
#default_pass_scheme = MD5
default_pass_scheme = CLEARTEXT
user_query = SELECT pop AS home, uid AS uid, gid AS gid FROM users WHERE username = '%n@%d'
#password_query = SELECT crypt AS password FROM users WHERE username = '%n@%d' AND enabled = '1'
password_query = SELECT clear AS password FROM users WHERE username = '%n@%d' AND enabled = '1'

Файл dovecot.conf:

base_dir = /var/run/dovecot/
protocols = imaps pop3s
protocol imap {
ssl_listen = *:993
}
protocol pop3 {
ssl_listen = *:995
}
disable_plaintext_auth = yes
log_path = /var/log/mail.log
info_log_path = /var/log/mail.log
log_timestamp = "%b %d %H:%M:%S "
syslog_facility = mail
ssl_disable = no
ssl_cert_file = /etc/ssl/smtpd.pem
ssl_key_file = /etc/ssl/smtpd.pem
login_greeting = pop3/imap server ready.
mail_location = maildir:~/Maildir
mail_privileged_group = mail
dotlock_use_excl = yes
verbose_proctitle = yes
first_valid_uid = 26
first_valid_gid = 6
login_dir = /var/run/dovecot/login
login_chroot = yes
login_user = dovecot
login_process_size = 64
login_process_per_connection = yes
login_processes_count = 3
login_max_processes_count = 200
login_log_format_elements = user=<%u> method=%m rip=%r lip=%l %c
login_log_format = %$: %s
maildir_copy_with_hardlinks = yes
protocol imap {
imap_client_workarounds = delay-newmail outlook-idle netscape-eoh tb-extra-mailbox-sep
}
protocol pop3 {
pop3_uidl_format = %08Xu%08Xv
pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}
protocol lda {
postmaster_address = postmaster@domain.com
auth_socket_path = /var/run/dovecot/auth-master
}
auth_default_realm = domain.com
auth_username_format = %Lu
auth_verbose = no
auth_debug = no
auth_debug_passwords = no
auth default {
mechanisms = plain login cram-md5 digest-md5
passdb sql {
args = /etc/dovecot/dovecot-sql.conf
}
userdb passwd {
args = blocking=yes
}
userdb sql {
args = /etc/dovecot/dovecot-sql.conf
}
user = root
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0600
user = Debian-exim
}
client {
path = /var/run/dovecot/auth-client
mode = 0660
user = Debian-exim
}
}
}
dict {
}
plugin {
}

3) Установка базы данных mysql

#apt-get install mysql-server

Во время установки вас попросят указать пароль для MySQL пользователя “root“.

4) Установка вебсервера apache (+php)

Поскольку нам нужна поддержка не только PHP, но и PEAR (нужен для vexim’a) то мы ставим следующие пакеты:

#apt-get install apache2 libapache2-mod-gnutls libapache2-mod-php5 libapache2-mod-perl2 php5 php5-mysql php5-imap php-doc php5-suhosin php5-cli php5-mcrypt php-gettext php-pear php5-dev php-db

Поскольку в debian’e поддержка php в веб-сервере после установки присутствует так сказать “из коробки”, то никаких дополнительных настроек делать не нужно.

5) Установка панели управления vexim.

Поскольку в репозиториях debian’a нет пакета vexim, то установку будем производить из исходников. Точнее как таковыми их назвать нельзя, ибо это просто набор скриптов php. В любом случае скачиваем с сайта производителя последнюю стабильную версию:

#cd /var/www
#wget http://silverwraith.com/vexim/vexim2.2.1.tar.gz
#tar -xzf vexim2.2.1.tar.gz
#mv vexim2/vexim/ ./

Создадим каталог, где будет храниться почта:

#mkdir /var/mail/vmail

Для выполнения команды ниже по тексту, потребуется установить такие пакеты:

# apt-get install libcrypt-eksblowfish-perl libcrypt-openssl-random-perl libdbd-mysql-perl libdbi-perl

Теперь переходим к созданию базы для vexim’a в mysql. Для этого выполняем такую команду (по ходу нам будут задавать вопросы, на которые мы будем отвечать так, как показано ниже):

#/var/www/vexim2/setup/create_db.pl --act=newdb --dbtype=mysql --uid=101 --gid=103 --mailstore=/var/mail/vmail

где 101 – UID пользователя Debian-exim (пользователь, от которого работает exim) и 103 – GID группы Debian-exim (группа, от которой работает exim). Если у вас они другие – измените на те, которые у вас.

Please enter the username of the mysql superuser: root
Please enter the password of the mysql superuser:
Please enter the name of your NEW database: vexim
Please enter a name for the database user who gets access to vexim: vexim
Please enter a password for the 'vexim' database user:
Confirm password:
Please enter a password for the 'siteadmin' user:
Confirm password:
The user 'siteadmin' has been added with the password
Database created successfully!

Пользователь siteadmin предназначен для управления доменами (создание, изменения, удаления). При первом запуске нужно будет зайти под этим пользователем и создать почтовый домен: тип домена указать local. После этого будет создан администратор домена с логином postmaster@domain, который будет использоваться для администрирования пользователей.

Мы создали БД Vexim с полными правами для пользователя Vexim и администратором панели vexim siteadmin.

Теперь нужно создать пользователя mail_user с паролем mail_pass и доступом на чтение в базу vexim. От имени этого пользователя будет выполнятся запрос на поиск почтового аккаунта dovecot’ом и exim’ом. И так:

#mysql -u root -p vexim
mysql>CREATE USER 'mail_user'@'localhost' IDENTIFIED BY 'mail_pass';
mysql>GRANT SELECT ON vexim.* TO 'mail_user'@'localhost';
mysql>flush privileges;

Добавим описание нашей панели Vexim в apache. Для этого создадим файл vexim.conf в каталоге /etc/apache2/conf.d такого содержания:

Alias /vexim /var/www/vexim
<Directory /var/www/vexim>
Options Indexes FollowSymLinks -ExecCGI
AllowOverride None
Order Deny,Allow
Deny from all
Allow from 1.1.1.1/32
</Directory>

Если вы хотите использовать virtualhosts – тогда добавьте это в соответствующее описание в вашем виртуальном хосте. Этими настройками мы запретили всем доступ, кроме адреса 1.1.1.1

Теперь перейдём к настройке. Настройка будет состоять из 2-х этапов: настройка самого vexim’a и настройка exim’a.

-vexim

В корне сайта есть в папке config в файле variables.php. Меняем такие переменные:

$sqlserver = "localhost";
$sqltype = "mysql";
$sqldb = "vexim";
$sqluser = "vexim";
$sqlpass = "vexim_pass";
$uid = "103";
$gid = "103";
$AllowUserLogin = 0;

-exim

Копируем файл configure из поставки Vexim (он находится в папке docs относительно корня архива vexim2.2.1) в папку /etc/exim4 в файл под названием exim4.conf и меняем такие переменные (остальные – по желанию):

local_scan_path = /usr/lib/exim4/local_scan/sa-exim.so
MAILMAN_HOME=/var/lib/mailman
MAILMAN_USER=101
MAILMAN_GROUP=8
tls_on_connect_ports = 465
tls_certificate = /etc/ssl/smtpd.pem
tls_privatekey = /etc/ssl/smtpd.pem
auth_advertise_hosts = ${if eq {$tls_cipher}{}{}{*}}
primary_hostname = mail.domain.ua
daemon_smtp_ports = 25 : 465
domainlist local_domains = ${lookup mysql{VIRTUAL_DOMAINS}} : ${lookup mysql{ALIAS_DOMAINS}} : mail.domain.ua
hostlist   relay_from_hosts = localhost : 127.0.0.1
trusted_users = 101:8
#hide mysql_servers = localhost/vexim/mail_user/mail_pass
hide mysql_servers = localhost::(/var/run/mysqld/mysqld.sock)/vexim/mail_user/mail_pass
split_spool_directory = true
smtp_accept_max = 500
smtp_accept_max_per_connection = 30
smtp_accept_max_per_host = 40
smtp_enforce_sync = true
acl_smtp_helo = acl_check_helo
av_scanner = clamd:/var/run/clamav/clamd.ctl
exim_user = Debian-exim
sender_unqualified_hosts = +relay_from_hosts : localhost
helo_accept_junk_hosts = +relay_from_hosts : localhost
log_selector = \
+all_parents \
+connection_reject \
+incoming_interface \
+lost_incoming_connection \
+received_sender \
+received_recipients \
+smtp_confirmation \
+smtp_syntax_error \
+smtp_protocol_error \
+queue_run
.include /etc/exim4/vexim/vexim-acl-check-spf.conf
acl_check_virus:
.include /etc/exim4/vexim/vexim-acl-check-content.conf
.include /etc/exim4/vexim/vexim-group-router.conf
user = Debian-exim
* * F,2h,15m; G,16h,1h,1.5; F,4d,6h


Добавляем авторизацию через dovecot (добавляем в раздел begin authenticators):

auth_plain:
driver = dovecot
public_name = PLAIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1



auth_login:
driver = dovecot
public_name = LOGIN
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1


auth_cram_md5:
driver = dovecot
public_name = CRAM-MD5
server_socket = /var/run/dovecot/auth-client
server_set_id = $auth1


Файлы vexim-acl-check-content.conf, vexim-acl-check-helo.conf, vexim-acl-check-rcpt.conf, vexim-acl-check-spf.conf, vexim-group-router.conf – находятся в папке docs относительно корня архива vexim2.2.1. Скопируем их в папку vexim в каталоге /etc/exim.

6) Установка антивируса clamav.

Пришло время поставить антивирус для проверки входящей почты:

#apt-get install clamav-freshclam clamav clamav-daemon

Если во время запуска clamav-daemon возникает ошибка:

/lib/lsb/init-functions: line 30: 11788 Ошибка сегментирования /sbin/start-stop-daemon --start --nicelevel $nice --quiet --exec $exec --oknodo --pidfile "$pidfile" -- "$@" failed!

тогда добавляем в /etc/apt/sources.list

deb http://volatile.debian.net/debian-volatile stable/volatile main

обновляем список пакетов и обновляем clamav:

#apt-get update ; apt-get install clamav-daemon

clamav – очень капризный пакет и всегда любит быть только последней версией (неважно, стабильной или нет). Поэтому, мы и добавили строку в /etc/apt/sources.list адрес сайта, где лежат последние версии пакетов.

7) Установка спамфильтра SpamAssassin.

#apt-get install sa-exim spamassassin

После установки получаем сообщение:

SpamAssassin Mail Filter Daemon: disabled, see /etc/default/spamassassin

Что собственно и собираемся сделать. Открываем /etc/default/spamassasin и изменяем такие параметры:

ENABLED=1
CRON=1
OPTIONS="--create-prefs --max-children 100 --helper-home-dir -u Debian-exim"

где Debian-exim – пользователь, от которого работает exim. Кстати, установкой переменной cron в 1 мы добавили возможность обновлять базу спамфильтра с официального сайта.

8 ) Генерация сертификатов SSL

Генерация выполняется одной командой (мы сгенерировали сертификат на 100000 дней)

#cd /etc/ssl && openssl req -new -x509 -nodes -out smtpd.pem -keyout smtpd.pem -days 100000 -subj '/O=Some Org/CN=mail.domain.com'

где mail.domain.com – реальное имя почтового сервера (если указать другое, могут быть проблемы с сертификатами у outlook’a)

Внимание!

В случае проблем с сертификатам или с тем, что почтовый клиент не хочет цепляться на ssl порт, попробуйте рекомендации из этой статьи

Но и если после этого тоже ничего не сработало, только нужно в клиенте сначала импортировать сертификат, то есть добавить его в Исключение  и только потом настраивать учётную запись.

Если вы используете клиент Outlook, то для нормально работы нужно будет сгенерировать для него свой сертификат на основе smtpd.pem:

#openssl pkcs12 -export -out mail.pfx -in mail.pem -name "mycert" -inkey mail.pem

После этого нужно установить сертификат и смело работать.

Для проверки того, что STARTTLS работает, выполняем такую команду:

$openssl s_client -starttls smtp -showcerts -connect mail.domain.ua:25
$openssl s_client -starttls imap -showcerts -connect mail.domain.com:143

А для SSL:

$openssl s_client -connect mail.domain.ua:465
$openssl s_client -connect mail.domain.ua:993

Если в выводе увидели содержимое сертификата и обязательно приглашение сервера (smtp или imap) – поздравляю, настройка SSL/STARTTLS прошла успешно.

9) Установка web-морды roundcube

Для roundcube нам понадобятся дополнительные пакеты:

#apt-get install php-mail-mime libjs-jquery

Если в процессе установки roundcube у вас возникли ошибки, можете скачать его с официального сайта (сейчас уже доступна версия 0.5):

wget "http://downloads.sourceforge.net/project/roundcubemail/roundcubemail/0.4.2/roundcubemail-0.4.2.tar.gz?r=http%3A%2F%2Fwww.roundcube.net%2Fdownload&ts=1291280200&use_mirror=ignum2"

Если у вас возникает ошибка:

ERROR: Wrong 'suhosin.session.encrypt' option value. Read REQUIREMENTS section in INSTALL file or use Roundcube Installer, please!

Нужно отредактировать файл /etc/php5/conf.d/suhosin.ini:

suhosin.session.encrypt = off

и перечитать конфигурационный файл apach’a.

Теперь перейдём к настройкам roundcube. В корне сайта есть папка config, а в ней собственно и находятся 2 конфигурационных файла db.inc.php и main.inc.php. Первый отвечает за подключение к базе данных (roundcube в своей работе использует базу данных), второй собственно отвечает за настройки интерфейса, авторизацию.

db.inc.php:

$rcmail_config['db_dsnw'] = 'mysql://roundcube_user:roundcube_pass@localhost/roundcube_db';

main.inc.php:


$rcmail_config['default_host'] = 'ssl://localhost';
$rcmail_config['default_port'] = 993;
$rcmail_config['imap_auth_type'] = plain;
$rcmail_config['smtp_server'] = 'ssl://localhost';
$rcmail_config['smtp_port'] = 465;
$rcmail_config['smtp_user'] = '%u';
$rcmail_config['smtp_pass'] = '%p';
#используйте этот параметр, если у вас 1 домен
#и вы хотите, что бы пользователи при логине вводили только имя, без домена
$rcmail_config['username_domain'] = 'domain.com.ua';
$rcmail_config['smtp_auth_type'] = 'LOGIN';
$rcmail_config['default_charset'] = 'UTF-8';
$rcmail_config['spellcheck_languages'] = array('en'=>'English', 'ru'=>'Russian');
$rcmail_config['log_dir'] = '/var/log/roundcube/';
$rcmail_config['max_recipients'] = 20;

Остальные настройки – по желанию.

9) Изменения в группах /etc/groups

Для нормального функционирования почтовой системы, нужно внести некоторые изменения в группы пользователей. Приведу часть файла /etc/group, где видно, какие пользователи в каких группах должны состоять:

Debian-exim:x:103:clamav
mail:x:8:dovecot,clamav,Debian-exim,www-data,mail
clamav:x:112:Debian-exim

10) Разное

Если ошибка в процессе первичной настройки вылазит ошибка:

2010-12-02 14:14:45 1PO83g-0006iO-2N malware acl condition: clamd: ClamAV returned /var/spool/exim4/scan/1PO83g-0006iO-2N: lstat() failed: Permission denied. ERROR
2010-12-02 14:14:45 1PO83g-0006iO-2N H=localhost (192.168.115.128) [127.0.0.1] I=[127.0.0.1]:25 F=<user@mail.ru> temporarily rejected after DATA

то делаем так:

#/var/spool/exim4# chmod g+s scan/
#/var/spool/exim4# ls -l |grep sca
drwxrws--- 2 Debian-exim Debian-exim 4096 Окт 27 15:37 scan

Или можно ещё выставить значение переменной AllowSupplementaryGroups=on в конфиге clamav’a

11) Установка mailman

Настройки Vexim предлагают возможность использования модерируемых рассылок mailman. Установка и первичная настройка достаточно проста:

#apt-get install mailman

При установке будет задан вопрос и языке для списка рассылок. Настоятельно рекомендую выбрать английский, иначе в консоли будут квадратики вместо букв. На настройки в web-интерфейсе это никак не отразиться.

После установки нужно создать служебную рассылку mailman:

newlist --urlhost=192.168.115.128 --emailhost=192.168.115.128 -l en mailman postmaster@mail.ru mailman_pass

Ну и задать пароль для создания рассылок

#/usr/lib/mailman/bin/mmsitepass -c