GNU/Linux >> Tutoriales Linux > >> Cent OS

Parte 3:PostfixAdmin:cree buzones virtuales en el servidor de correo CentOS 8/RHEL 8

En artículos anteriores, discutimos cómo configurar su propio servidor de correo en CentOS 8/RHEL 8 desde cero. En las partes 1 y 2 de esta serie de tutoriales, aprendimos a configurar el servidor SMTP Postfix y servidor IMAP Dovecot , pero hasta ahora solo podemos tener direcciones de correo electrónico para usuarios con cuenta local de Unix. Este tutorial le mostrará cómo crear buzones virtuales en el servidor de correo CentOS 8/RHEL 8 con PostfixAdmin , que es una interfaz web de código abierto para configurar y administrar un servidor de correo electrónico basado en Postfix para muchos dominios y usuarios.

Con buzones virtuales , no necesitamos crear una cuenta Unix local para cada dirección de correo electrónico. Si va a configurar un servidor de correo para una empresa u organización, siempre es mejor tener una forma fácil de crear buzones virtuales en una interfaz basada en web, que también permite a los usuarios cambiar sus contraseñas. Ahí es donde entra PostfixAdmin.

Características de PostfixAdmin

administrar buzones, dominios virtuales y alias
mensajes de vacaciones/fuera de la oficina (Personalmente, creo que esta función se realiza mejor en Roundcube Webmail).
dominios de alias (reenvío de un dominio a otro con validación de destinatario)
los usuarios pueden administrar su propio buzón (cambiar alias, contraseña y mensaje de vacaciones)
soporte de cuota para buzones individuales y cuota total de un dominio
integración de fetchmail:puede obtener correos electrónicos de su dirección de correo electrónico original a su nueva dirección de correo electrónico.
cliente de línea de comandos postfixadmin-cli para aquellos que no quieren hacer clic en una interfaz web 😉

Nota :Una vez que termine la parte 3, ya no podrá usar cuentas locales de Unix como direcciones de correo electrónico. Debe crear direcciones de correo electrónico desde la interfaz web de PostfixAdmin.

Requisitos

Supongo que ha seguido la parte 1 y la parte 2 de esta serie de tutoriales. Si siguió los tutoriales del servidor de correo en otros sitios web, le recomiendo que elimine sus configuraciones y comience de nuevo con mi serie de tutoriales, para que no se confunda con los diferentes procesos de configuración.

Una vez que se cumplan los requisitos anteriores, instalemos y configuremos PostfixAdmin.

Paso 1:Instale el servidor de base de datos MariaDB en CentOS 8/RHEL 8

PostfixAdmin está escrito en PHP y requiere una base de datos (MySQL/MariaDB, PostgreSQL o SQLite). Este artículo utilizará MariaDB, que es un reemplazo directo de MySQL. Está desarrollado por antiguos miembros del equipo de MySQL que están preocupados de que Oracle pueda convertir a MySQL en un producto de código cerrado. Ingrese el siguiente comando para instalar MariaDB en CentOS 8/RHEL 8.

sudo dnf install mariadb-server mariadb -y

Una vez instalado, debemos iniciarlo.

sudo systemctl start mariadb

Habilite el inicio automático en el momento del arranque del sistema.

sudo systemctl enable mariadb

Comprobar estado:

systemctl status mariadb

salida:

● mariadb.service - MariaDB 10.3 database server
   Loaded: loaded (/usr/lib/systemd/system/mariadb.service; enabled; vendor preset: disabled)
   Active: active (running) since Sat 2019-10-12 09:02:53 UTC; 33s ago
     Docs: man:mysqld(8)
           https://mariadb.com/kb/en/library/systemd/
 Main PID: 18608 (mysqld)
   Status: "Taking your SQL requests now..."
    Tasks: 30 (limit: 5092)
   Memory: 77.0M
   CGroup: /system.slice/mariadb.service
           └─18608 /usr/libexec/mysqld --basedir=/usr

“Habilitado ” indica que el inicio automático en el momento del arranque está habilitado y podemos ver que el servidor MariaDB se está ejecutando. Ahora necesitamos ejecutar el script de seguridad.

sudo mysql_secure_installation

Cuando le pida que ingrese la contraseña raíz de MariaDB, presione la tecla Intro ya que la contraseña raíz aún no está configurada. Luego ingrese y para establecer la contraseña raíz para el servidor MariaDB.

A continuación, puede presionar Entrar para responder a todas las preguntas restantes, lo que eliminará al usuario anónimo, deshabilitará el inicio de sesión raíz remoto y eliminará la base de datos de prueba. Este paso es un requisito básico para la seguridad de la base de datos MariaDB. (Tenga en cuenta que la letra Y está en mayúscula, lo que significa que es la respuesta predeterminada).

Paso 2:Descargue PostfixAdmin en el servidor CentOS 8/RHEL 8

Inicie sesión en su servidor de correo, luego descargue el archivo de instalación de PostfixAdmin en su servidor. Vaya a la página PostfixAdmin Gitbub para descargar la última versión. Puedes usar el wget herramienta para descargarlo desde la línea de comandos. El enlace de descarga siempre está disponible en el formato a continuación. Si sale una nueva versión, simplemente reemplace 3.3.8 con el nuevo número de versión.

sudo dnf install wget

wget https://github.com/postfixadmin/postfixadmin/archive/postfixadmin-3.3.8.tar.gz

Una vez descargado, extraiga el archivo.

Si está utilizando Apache, extráigalo a /var/www/ directorio y cámbiele el nombre a postfixadmin .

sudo dnf install tar
sudo tar xvf postfixadmin-3.3.8.tar.gz -C /var/www/
sudo mv /var/www/postfixadmin-postfixadmin-3.3.8 /var/www/postfixadmin

Si está utilizando Nginx, extráigalo a /usr/share/nginx/ directorio y cámbiele el nombre a postfixadmin .

sudo dnf install tar
sudo tar xvf postfixadmin-3.3.8.tar.gz -C /usr/share/nginx/
sudo mv /usr/share/nginx/postfixadmin-postfixadmin-3.3.8 /usr/share/nginx/postfixadmin

Paso 3:Configuración de permisos

PostfixAdmin requiere un templates_c directorio, y el servidor web necesita acceso de lectura y escritura a este directorio. También necesitamos cambiar el contexto de SELinux para que se pueda escribir. Así que ejecuta los siguientes comandos.

apache

sudo mkdir /var/www/postfixadmin/templates_c
sudo setfacl -R -m u:apache:rwx /var/www/postfixadmin/templates_c/
sudo chcon -t httpd_sys_rw_content_t /var/www/postfixadmin/templates_c/ -R

Nginx

sudo mkdir /usr/share/nginx/postfixadmin/templates_c
sudo setfacl -R -m u:nginx:rwx /usr/share/nginx/postfixadmin/templates_c/
sudo chcon -t httpd_sys_rw_content_t /usr/share/nginx/postfixadmin/templates_c/ -R

De forma predeterminada, SELinux prohíbe que Apache/Nginx realice solicitudes de red a otros servidores, pero luego Apache/Nginx necesita solicitar el estado del certificado TLS del servidor Let's Encrypt CA para el engrapado OCSP, por lo que debemos decirle a SELinux que permita Apache/Nginx con lo siguiente comando.

sudo setsebool -P httpd_can_network_connect 1

Si usa Nginx, también debe ejecutar el siguiente comando para otorgar al usuario de nginx permisos de lectura y escritura en 3 directorios.

sudo setfacl -R -m u:nginx:rwx /var/lib/php/opcache/ /var/lib/php/session/ /var/lib/php/wsdlcache/

Reinicie Apache/Nginx.

sudo systemctl restart httpd

sudo systemctl restart nginx

A partir de Dovecot 2.3.11, el usuario del servidor web necesita permiso para leer el certificado TLS de Let's Encrypt para realizar el hash de contraseñas. Ejecute los siguientes dos comandos para otorgar permisos.

apache

sudo setfacl -R -m u:apache:rx /etc/letsencrypt/live/ /etc/letsencrypt/archive/

Nginx

sudo setfacl -R -m u:nginx:rx /etc/letsencrypt/live/ /etc/letsencrypt/archive/

Paso 4:Cree una base de datos y un usuario para PostfixAdmin

Inicie sesión en MySQL/MariaDB shell como root con el siguiente comando. Deberá ingresar la contraseña raíz de MySQL/MariaDB.

mysql -u root -p

Una vez que haya iniciado sesión, cree una base de datos para PostfixAdmin usando el siguiente comando. Lo nombré postfixadmin , pero puedes usar el nombre que quieras. (No omita el punto y coma).

create database postfixadmin;

Luego ingrese el siguiente comando para crear un usuario de base de datos para PostfixAdmin. Este comando también otorga todos los privilegios de la base de datos postfixadmin al usuario. Reemplace postfixadmin_password con tu contraseña preferida. Tenga en cuenta que la contraseña no debe contener el # carácter, o es posible que no pueda iniciar sesión más tarde.

grant all privileges on postfixadmin.* to 'postfixadmin'@'localhost' identified by 'postfixadmin_password';

Vacíe la tabla de privilegios para que los cambios surtan efecto y luego salga del shell de MariaDB.

flush privileges;

exit;

Paso 5:Configurar PostfixAdmin

El archivo de configuración predeterminado de PostfixAdmin es config.inc.php . Necesitamos crear un config.local.php archivo y agregue configuraciones personalizadas.

apache

sudo nano /var/www/postfixadmin/config.local.php

Nginx

sudo nano /usr/share/nginx/postfixadmin/config.local.php

Agregue las siguientes líneas en el archivo, para que PostfixAdmin pueda conectarse a la base de datos MySQL/MariaDB. Reemplace postfixadmin_password con la contraseña real de PostfixAdmin creada en el paso 4.

<?php
$CONF['configured'] = true;
$CONF['database_type'] = 'mysqli';
$CONF['database_host'] = 'localhost';
$CONF['database_port'] = '3306';
$CONF['database_user'] = 'postfixadmin';
$CONF['database_password'] = 'postfixadmin_password';
$CONF['database_name'] = 'postfixadmin';
$CONF['encrypt'] = 'dovecot:BLF-CRYPT';
$CONF['dovecotpw'] = "/usr/bin/doveadm pw -r 12";

Guarde y cierre el archivo. Tenga en cuenta que utilizaremos el esquema de contraseña BLF-CRYPT.

Paso 6:Cree un host virtual de Apache o un archivo de configuración de Nginx para PostfixAdmin

Apache

Si usa el servidor web Apache, cree un host virtual para PostfixAdmin.

sudo nano /etc/httpd/conf.d/postfixadmin.conf

Coloque el siguiente texto en el archivo. Reemplace postfixadmin.example.com con su nombre de dominio real y no olvide establecer un registro DNS A para él.

<VirtualHost *:80>
  ServerName postfixadmin.example.com
  DocumentRoot /var/www/postfixadmin/public/

  ErrorLog /var/log/httpd/postfixadmin_error.log
  CustomLog /var/log/httpd/postfixadmin_access.log combined

  <Directory />
    Options FollowSymLinks
    AllowOverride All
  </Directory>

  <Directory /var/www/postfixadmin/public/>
    Options FollowSymLinks MultiViews
    AllowOverride All
    Order allow,deny
    allow from all
  </Directory>

</VirtualHost>

Guarde y cierre el archivo. Vuelva a cargar Apache para que los cambios surtan efecto.

sudo systemctl reload httpd

Ahora debería poder ver el asistente de instalación basado en web de PostfixAdmin en http://postfixadmin.example.com/setup.php .

Nginx

Si usa el servidor web Nginx, cree un host virtual para PostfixAdmin.

sudo nano /etc/nginx/conf.d/postfixadmin.conf

Coloque el siguiente texto en el archivo. Reemplace postfixadmin.example.com con su nombre de dominio real y no olvide establecer un registro DNS A para él.

server {
   listen 80;
   listen [::]:80;
   server_name postfixadmin.example.com;

   root /usr/share/nginx/postfixadmin/public/;
   index index.php index.html;

   access_log /var/log/nginx/postfixadmin_access.log;
   error_log /var/log/nginx/postfixadmin_error.log;

   location / {
       try_files $uri $uri/ /index.php;
   }

   location ~ ^/(.+\.php)$ {
        try_files $uri =404;
        fastcgi_pass unix:/run/php-fpm/www.sock;
        fastcgi_index index.php;
        fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
        include /etc/nginx/fastcgi_params;
   }
}

Guarde y cierre el archivo. Luego pruebe la configuración de Nginx.

sudo nginx -t

Si la prueba es exitosa, vuelva a cargar Nginx para que los cambios surtan efecto.

sudo systemctl reload nginx

Ahora debería poder ver el asistente de instalación basado en web de PostfixAdmin en http://postfixadmin.example.com/setup.php .

Paso 7:Instale los módulos PHP requeridos y recomendados

PostfixAdmin requiere el php-imap módulo para crear subcarpetas en buzones, pero php-imap no está incluido en el repositorio predeterminado de CentOS 8/RHEL 8, por lo que debemos usar el repositorio Remi para instalar este módulo PHP.

Instale Remi Repo.

sudo dnf install -y https://rpms.remirepo.net/enterprise/remi-release-8.rpm

Luego reinicie las secuencias del módulo PHP.

sudo dnf module reset php

Habilite php:remi-7.4 flujo de módulo.

sudo dnf module enable php:remi-7.4 -y

Luego puede ejecutar el siguiente comando para instalar los módulos PHP requeridos o recomendados por PostfixAdmin.

sudo dnf install -y php-fpm php-imap php-mbstring php-mysqlnd php-gd php-opcache php-json php-curl php-zip php-xml php-bz2 php-intl php-gmp

Necesitamos ejecutar el siguiente comando para decirle a SELinux que permita Apache para ejecutar código PHP a través de PHP-FPM.

sudo setsebool -P httpd_execmem 1

Si usa Nginx , edite el archivo de configuración de PHP-FPM:

nano /etc/php-fpm.d/www.conf

De forma predeterminada, PHP-FPM se ejecuta como apache usuario. Como está utilizando el servidor web Nginx, debemos cambiarlo. Encuentra las siguientes dos líneas.

user = apache
group = apache

Cámbialos a

user = nginx
group = nginx

Guarde y cierre el archivo. Luego inicie PHP-FPM.

sudo systemctl start php-fpm

Habilite el inicio automático en el momento del arranque del sistema.

sudo systemctl enable php-fpm

Reinicie Apache o Nginx.

sudo systemctl restart httpd

sudo systemctl restart nginx

Paso 8:habilitar HTTPS

Para cifrar el tráfico HTTP, podemos habilitar HTTPS instalando un certificado TLS gratuito emitido por Let's Encrypt.

Si usa Apache, ejecute este comando para obtener e instalar el certificado TLS.

sudo certbot --apache --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d postfixadmin.example.com

Si usa Nginx, ejecute el siguiente comando para obtener e instalar el certificado TLS.

sudo certbot --nginx --agree-tos --redirect --hsts --staple-ocsp --email [email protected] -d postfixadmin.example.com

donde:

--apache :Utilice el complemento de Apache.
--nginx :use el complemento nginx.
--agree-tos :Acepto los términos del servicio.
--redirect :Forzar HTTPS por redirección 301.
--hsts : Agregue el encabezado Strict-Transport-Security a cada respuesta HTTP. Obligar al navegador a usar siempre TLS para el dominio. Protege contra la eliminación de SSL/TLS.
--staple-ocsp : Habilita el grapado OCSP. Se grapa una respuesta OCSP válida al certificado que ofrece el servidor durante TLS.
--email :Correo electrónico utilizado para el registro y el contacto de recuperación.
-d va seguido de una lista de nombres de dominio, separados por comas. Puede agregar hasta 100 nombres de dominio.

Ahora se debe obtener el certificado e instalarlo automáticamente, lo cual se indica en los mensajes a continuación.

Paso 9:Genere una política de SELinux personalizada para el servidor web

Durante la instalación, PostfixAdmin necesita leer los archivos de configuración de Dovecot para crear una contraseña. De forma predeterminada, SELinux no permite que el servidor web lea los archivos de configuración de Dovecot. Necesitamos crear una política de SELinux personalizada para permitir esta acción.

Instale los paquetes necesarios.

sudo dnf install binutils rpm-build setools-console policycoreutils-python3 policycoreutils-devel

Genere una política personalizada para httpd. (Si usa Nginx, reemplace httpd con nginx .)

sudo sepolicy generate --init /usr/sbin/httpd

Edite el archivo de aplicación de tipos.

sudo nano httpd.te

Agregue la siguiente línea al final de este archivo, para que Apache/Nginx pueda leer los archivos de configuración de Dovecot.

dovecot_read_config(httpd_t)

Guarde y cierre el archivo. Luego instale la nueva política de SELinux.

sudo ./httpd.sh

Ahora Apache/Nginx debería poder leer los archivos de configuración de Dovecot.

Si no sabe qué agregar al httpd.te archivo, ejecute el siguiente comando después de que ocurra una denegación de SELinux.

sudo ausearch -m AVC -ts recent | audit2allow -R

audit2allow sugerirá cambios.

Paso 10:habilite las estadísticas en Dovecot

PostfixAdmin necesita leer las estadísticas de Dovecot. Edite el archivo de configuración de Dovecot.

sudo nano /etc/dovecot/conf.d/10-master.conf

Agregue las siguientes líneas al final de este archivo. Si usa Nginx, cambie apache a nginx .

service stats {
    unix_listener stats-reader {
    user = apache
    group = apache
    mode = 0660
}

unix_listener stats-writer {
    user = apache
    group = apache
    mode = 0660
  }
}

Guarde y cierre el archivo. Luego agregue el servidor web al dovecot grupo.

apache

sudo gpasswd -a apache dovecot

NGinx

sudo gpasswd -a nginx dovecot

Reinicie Dovecot.

sudo systemctl restart dovecot

Paso 11:finalice la instalación en el navegador web

Vaya a postfixadmin.example.com/setup.php para ejecutar el asistente de configuración basado en web. Primero, debe crear una contraseña de configuración para PostfixAdmin.

Después de crear el hash de la contraseña, PostfixAdmin mostrará una línea como la siguiente.

$CONF['setup_password'] = 'db1b019982a6ba878bdc6bd923bef03e:4e29fdd341b570364064a5ad69652f3d8bee0bb4';

Debes abrir el config.local.php archivo.

apache

sudo nano /var/www/postfixadmin/config.local.php

Nginx

sudo nano /usr/share/nginx/postfixadmin/config.local.php

Agregue la visualización de líneas en la página de configuración de PostfixAdmin al final del archivo como se muestra a continuación.

Después de guardar el archivo, debe actualizar la página de configuración de PostfixAdmin e ingresar la contraseña de configuración nuevamente, luego crear la cuenta de administrador. No utilice una dirección de correo electrónico de Gmail, Yahoo Mail o Microsoft para la cuenta de administrador, o es posible que no pueda iniciar sesión más tarde. Utilice una dirección de correo electrónico en su propio dominio. Puede crear la dirección de correo electrónico más tarde en PostfixAdmin.

Una vez que se crea la cuenta de superadministrador, puede iniciar sesión en PostfixAdmin en postfixadmin.example.com/login.php .

Si ve el siguiente error al intentar crear una cuenta de superadministrador,

can’t encrypt password with dovecotpw, see error log for details

Es porque el usuario del servidor web no tiene permiso para leer el certificado TLS de Let's Encrypt. Para solucionarlo, ejecute los siguientes dos comandos para otorgar permisos.

apache

sudo setfacl -R -m u:apache:rx /etc/letsencrypt/live/
sudo setfacl -R -m u:apache:rx /etc/letsencrypt/archive/

Nginx

sudo setfacl -R -m u:nginx:rx /etc/letsencrypt/live/
sudo setfacl -R -m u:nginx:rx /etc/letsencrypt/archive/

Si ve el siguiente error,

Invalid query: Specified key was too long; max key length is 1000 bytes

Luego, debe iniciar sesión en el servidor de la base de datos MySQL/MariaDB como root desde la línea de comandos,

mysql -u root -p

y cambie la intercalación predeterminada de utf8mb4_general_ci a utf8_general_ci .

MariaDB [(none)]> alter database postfixadmin collate ='utf8_general_ci';

Salga de la consola MySQL/MariaDB y vuelva a cargar la página setup.php.

Paso 12:Configure Postfix para usar la base de datos MySQL/MariaDB

De manera predeterminada, Postfix entrega correos electrónicos solo a usuarios con una cuenta local de Unix. Para que entregue correos electrónicos a usuarios virtuales cuya información se almacena en la base de datos, debemos configurar Postfix para usar dominios de buzones virtuales.

Primero, necesitamos agregar soporte de mapa MySQL para Postfix instalando el postfix-mysql paquete.

sudo dnf install postfix-mysql

Luego edite el archivo de configuración principal de Postfix.

sudo nano /etc/postfix/main.cf

Agregue las siguientes líneas al final de este archivo. (En el editor de texto Nano, puede presionar Ctrl+W , luego Ctrl+V para saltar al final de un archivo).

virtual_mailbox_domains = proxy:mysql:/etc/postfix/sql/mysql_virtual_domains_maps.cf
virtual_mailbox_maps =
   proxy:mysql:/etc/postfix/sql/mysql_virtual_mailbox_maps.cf,
   proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf
virtual_alias_maps =
   proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_maps.cf,
   proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf,
   proxy:mysql:/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf

donde:

virtual_mailbox_domains apunta a un archivo que le indicará a Postfix cómo buscar información de dominio en la base de datos.
virtual_mailbox_maps apunta a archivos que le indicarán a Postfix cómo buscar direcciones de correo electrónico en la base de datos.
virtual_alias_maps apunta a archivos que le indicarán a Postfix cómo buscar alias en la base de datos.

Queremos usar dovecot para enviar correos electrónicos entrantes al almacén de mensajes de los usuarios virtuales, así que también agregue la siguiente línea al final de este archivo.

virtual_transport = lmtp:unix:private/dovecot-lmtp

Guarde y cierre el archivo. A continuación, debemos crear el .cf archivos uno por uno. Cree el directorio sql.

sudo mkdir /etc/postfix/sql/

Cree el mysql_virtual_domains_maps.cf archivo.

sudo nano /etc/postfix/sql/mysql_virtual_domains_maps.cf

Agrega el siguiente contenido. Reemplace postfixadmin_password con la contraseña de postfixadmin que estableció en el Paso 4.

user = postfixadmin
password = postfixadmin_password
hosts = localhost
dbname = postfixadmin
query = SELECT domain FROM domain WHERE domain='%s' AND active = '1'
#query = SELECT domain FROM domain WHERE domain='%s'
#optional query to use when relaying for backup MX
#query = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
#expansion_limit = 100

Cree el mysql_virtual_mailbox_maps.cf archivo.

sudo nano /etc/postfix/sql/mysql_virtual_mailbox_maps.cf