Postfix

Postfix è il Mail Transfer Agent (MTA) predefinito di Ubuntu. Cerca di essere facile da amministrare e sicuro ed è compatibile con l'MTA sendmail. Questa sezione espone come installare e configurare postfix e anche come configurare un server SMTP utilizzando un collegamento sicuro (per l'invio di email in sicurezza).

Installazione

Per installare postfix eseguire il seguente comando:

sudo apt-get install postfix

Premere "Invio" quando il processo di installazione pone delle domande, la configurazione verrà effettuata in dettaglio al passo successivo.

Configurazione di base

Per configurare postfix, eseguire il seguente comando:

sudo dpkg-reconfigure postfix

Viene visualizzata l'interfaccia utente. In ogni schermata selezionare i seguenti valori:

  • Ok

  • Internet Site

  • NONE

  • mail.example.com

  • mail.example.com, localhost.localdomain, localhost

  • No

  • 127.0.0.0/8, 192.168.0/24

  • 0

  • +

  • tutti

[Nota]

Sostituire mail.example.com con il nome host del proprio server mail e 192.168.0/24 con la classe e l'intervallo della rete del proprio server mail.

A questo punto è utile decidere quale formato di casella di posta usare. In modo predefinito, Postifx utilizza mbox come formato. Invece di modificare direttamente il file di configurazione, è possibile usare il comando postconf per configurare tutti i parametri di postfix che verranno salvati nel file /etc/postfix/main.cf. In seguito, per riconfigurare un particolare parametro, è possibile eseguire nuovamente il comando o modificare il file a mano.

Per configurare la casella di posta per Maildir:

sudo postconf -e 'home_mailbox = Maildir/'
[Nota]

Questo posizionerà le nuove mail in /home/NOME_UTENTE/Maildir e sarà quindi necessario configurare il proprio MDA (Mail Delivery Agent) affinché utilizzi lo stesso percorso.

Autenticazione SMTP

SMTP-AUTH consente a un client di identificarsi attraverso un meccanismo di autenticazione (SASL). TLS (Transport Layer Security) dovrebbe essere usato per cifrare il processo di autenticazione. Una volta autenticato, il server SMTP consentirà ai client di scaricare le email.

  1. Configurare Postfix per SMTP-AUTH usando SASL (Dovecot SASL):

    sudo postconf -e 'smtpd_sasl_type = dovecot'
    sudo postconf -e 'smtpd_sasl_path = private/auth-client'
    sudo postconf -e 'smtpd_sasl_local_domain ='
    sudo postconf -e 'smtpd_sasl_security_options = noanonymous'
    sudo postconf -e 'broken_sasl_auth_clients = yes'
    sudo postconf -e 'smtpd_sasl_auth_enable = yes'
    sudo postconf -e 'smtpd_recipient_restrictions = permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
    sudo postconf -e 'inet_interfaces = all'
    
    [Nota]

    La configurazione smtpd_sasl_path è un percorso relativo alla directory di Postfix.

  2. Configurare il certificato digitale per TLS. Seguire le istruzioni a schermo e rispondere appropriatamente:

    openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024
    chmod 600 smtpd.key
    openssl req -new -key smtpd.key -out smtpd.csr
    sudo openssl x509 -req -days 365 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
    openssl rsa -in smtpd.key -out smtpd.key.unencrypted
    mv -f smtpd.key.unencrypted smtpd.key
    openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
    sudo mv smtpd.key /etc/ssl/private/
    sudo mv smtpd.crt /etc/ssl/certs/
    sudo mv cakey.pem /etc/ssl/private/
    sudo mv cacert.pem /etc/ssl/certs/
    
    [Nota]

    È possibile ottenere un certificato da un'autorità di certificazione, ma diversamente dai client web, i client SMTP non pongono problemi riguardo i certificati auto-firmati ed è quindi possibile crearne uno. Per maggiori informazioni, consultare la sezione chiamata «Creare un certificato auto-firmato».

  3. Configurare Postfix affinché fornisca cifratura TLS per le email sia in entrata che in uscita:

    sudo postconf -e 'smtpd_tls_auth_only = no'
    sudo postconf -e 'smtp_use_tls = yes'
    sudo postconf -e 'smtpd_use_tls = yes'
    sudo postconf -e 'smtp_tls_note_starttls_offer = yes'
    sudo postconf -e 'smtpd_tls_key_file = /etc/ssl/private/smtpd.key'
    sudo postconf -e 'smtpd_tls_cert_file = /etc/ssl/certs/smtpd.crt'
    sudo postconf -e 'smtpd_tls_CAfile = /etc/ssl/certs/cacert.pem'
    sudo postconf -e 'smtpd_tls_loglevel = 1'
    sudo postconf -e 'smtpd_tls_received_header = yes'
    sudo postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
    sudo postconf -e 'tls_random_source = dev:/dev/urandom'
    sudo postconf -e 'myhostname = mail.example.com'
    
[Nota]

Dopo aver eseguito tutti i comandi, Postfix è configurato per SMTP-AUTH ed è stato creato un certificato auto-firmato per la cifratura TLS.

Ora, il file /etc/postfix/main.cf dovrebbe essere simile a questo.

La configurazione iniziale di postfix è completa, eseguire il seguente comando per riavviarne il demone:

sudo /etc/init.d/postfix restart

Postfix supporta SMTP-AUTH come descritto in RFC2554 ed è basato su SASL. È comunque ancora necessario impostare l'autenticazione SASL prima di poter usare SMTP-AUTH.

Configurare SASL

Postfix supporta due implementazioni SASL: Cyrus SASL e Dovecot SASL. Per abilitare Dovecot SASL è necessario installare il pacchetto dovecot-common. In un terminale digitare:

sudo apt-get install dovecot-common

Modificare quindi il file /etc/dovecot/dovecot.conf. Nella sezione auth default de-commentare l'opzione socket listen e modificare come di seguito:

  socket listen {
    #master {
      # Master socket provides access to userdb information. It's typically
      # used to give Dovecot's local delivery agent access to userdb so it
      # can find mailbox locations.
      #path = /var/run/dovecot/auth-master
      #mode = 0600
      # Default user/group is the one who started dovecot-auth (root)
      #user = 
      #group = 
    #}
    client {
      # The client socket is generally safe to export to everyone. Typical use
      # is to export it to your SMTP server so it can do SMTP AUTH lookups
      # using it.
      path = /var/spool/postfix/private/auth-client
      mode = 0660
      user = postfix
      group = postfix
    }
  }

Una volta configurato Dovecot, riavviarlo:

sudo /etc/init.d/dovecot restart

Test

La configurazione di SMTP-AUTH è completa ed è ora necessario provarla.

Per verificare se SMTP-AUTH e TLS funzionano correttamente, eseguire il seguente comando:

telnet mail.example.com 25

Una volta stabilita la connessione al server mail Postfix, digitare:

ehlo mail.example.com

Se, tra tutte le righe, viene visualizzato anche questo, allora funziona correttamente. Digitare quit per uscire.

250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME

Risoluzione problemi

Questa sezione descrive alcuni metodi comuni per determinare la cause dei problemi che potrebbero verificarsi.

Evitare l'uso di chroot

Il pacchetto postfix di Ubuntu viene installato, in modo predefinito e per ragioni di sicurezza, all'interno di un ambiente chroot.

Per terminate l'operazione chroot, localizzare la seguente riga nel file /etc/postfix/master.cf:

smtp      inet  n       -       -       -       -       smtpd

e modicarlo come segue:

smtp      inet  n       -       n       -       -       smtpd

È necessario riavviare Postfix affinché utilizzi la nuova configurazione. In un terminale, digitare:

sudo /etc/init.d/postfix restart

File di registro

Postfix invia tutti i messaggi di registrazione in /var/log/mail.log. I messaggi di errore e gli avvisi possono andar persi nell'output della registrazione normale, per questo vengono anche registrati in /var/log/mail.err e /var/log/mail.warn rispettivamente.

Per visualizzare in tempo reale i messaggi che vengono registrati, usare il comando tail -f:

tail -f /var/log/mail.err

Il livello di dettaglio delle registrazioni può essere incrementato. Di seguito vengono riportate alcune opzioni di configurazione per aumentare i dettagli di registrazione in alcune delle aree descritte precedentemente.

  • Per aumentare la registrazione delle attività TLS, impostare l'opzione smtpd_tls_loglevel a un valore compreso tra 1 e 4.

    sudo postconf -e 'smtpd_tls_loglevel = 4'
    
  • Se si riscontrano problemi nell'inviare o nel ricevere email da uno specifico dominio, è possibile aggiungere tale dominio al parametro debug_peer_list.

    sudo postconf -e 'debug_peer_list = problem.domain'
    
  • È possibile incrementare il livello di registrazione di qualsiasi demone Postfix modificando il file /etc/postfix/master.cf e aggiungendo -v subito dopo la voce. Per esempio, modificare la voce smtp:

    smtp unix  - - - - - smtp -v
    
[Nota]

È importante notare che dopo aver apportato una delle modifiche alla registrazione, il processo Postfix deve essere riavviato affinché riconosca la nuova configurazione: sudo /etc/init.d/postfix reload

  • Per incrementare il livello di informazioni registrate durante la risoluzione di problemi con SASL, è possibile impostare le seguenti opzioni nel file /etc/dovecot/dovecot.conf

    auth_debug=yes
    auth_debug_passwords=yes
    
[Nota]

Proprio come Postfix, modificando la configurazione di Dovecot il processo deve essere ricaricato: sudo /etc/init.d/dovecot reload.

[Nota]

Alcune delle opzioni precedenti possono aumentare drasticamente la quantità di informazioni inviata ai file di registrazione. Ricordarsi di ripristinare il livello di registrazione al valore predefinito dopo aver corretto il problema, quindi ricaricare il demone appropriato affinché la configurazione abbia effetto.

Riferimenti

Amministrare un server Postfix può essere un compito molto complicato e potrebbe essere necessario richiedere aiuto alla comunità.

Un ottimo punto per richiedere assistenza riguardo Postfix, e per partecipare nella comunità di Ubuntu Server, è il canale IRC #ubuntu-server su freenode. È anche possibile lasciare un messaggio in uno dei tanti forum.

Per informazioni dettagliate riguardo Postfix, gli sviluppatori Ubuntu consigliano il libro The Book of Postfix.

In fine, il sito web di Postfix dispone di ottima documentazione riguardo le diverse opzioni di configurazione.