Konfiguration von Postfix, Dovecot und Plesk unter Linux

Hi,

im heutigen Blog geht es um die Umstellung von Courier auf Dovecot bzw. von QMail auf Postfix mit Plesk unter Linux.


Plesk:

Als erstes muss man in die Paketverwaltung von Plesk X um von Courier auf Dovecot um zu stellen.

Plesk-Updates-1

Plesk-Updates-2Plesk-Updates-3

 

 

 

 

 

 

 

Nach der Umstellung und dem klicken auf Fortfahren wird das System geändert: Der Vorteile, finde ich, das die ganze config viel einfacher ist wie bei Courier und es funktioniert auch zumindest hatte ich ohne ende Probleme das System so ein zu stellen das nur noch TLS geht.

QMail wird nicht mehr Supportet und gilt als unsicher.


Dovecot:

Jetzt geht es in die Konsole direkt nach /etc/dovecot

Dort findet man dann folgendes:

conf.d

50-ssl.conf habe ich selbst erstellt um einige Anpassungen zu machen die ich in den ganzen TUTs gefunden haben.

Im Ordner Private liegen die Keys, diese habe ich aber durch eigene Ausgetauscht genauso wie die in Postfix.

Ich habe es mir auch einfach gemacht und benutze die Keys von Dovecot auch für Postfix, wenn diese dann ablaufen muss ich dann nur einmal welche erstellen und austauschen.

Unter dem Link findet Ihr einmal ein Script und eine conf Datei mit der Ihr euch ganz schnell ein neues Zertifikat erstellen könnt.

Ihr könnt auch die Bitrate auf 2048 hoch setzten und wenn Ihr wollt könnt Ihr auch noch die Verschlüsselung auf SHA256 setzen sonst wird ein SHA1 erstellt, wobei ich noch mit SHA1 arbeite, aber da ich die Zertifikate auch schon an Kunden gegeben habe will ich nicht schon wieder nerven und warte bis die jetzigen abgelaufen sind.

Bin ja schon happy das es überhaupt bei allen geht, da besonders MACs und Outlook super nervig sind im Gegensatz zu Thunderbird.

Da ich nicht mehr weiß wo ich genau was angepasst habe gebe ich mal ein paar Teile der einzelnen Config Dateien aus damit man weiß auf was zu achten ist.

Plain hätte ich gerne weggelassen aber ich musste feststellen das MACs und Android mit den standart E-Mail Programmen nur dies können bzw. APOP wird vom MAC genutzt.

wenn man eine neue .pem erstellt hat kann man diese hier angeben, wie bei Postfix gibt man bei beidem die gleiche Datei an.

Ansonsten gibt es hier nicht zu ändern bzw. den rest kann man auch durch eigene Dateien im Ordner conf.d/ machen.

conf.d:

in der Datei 25-logging.conf kann man den Eintrag für das Logging folgend abändern

geändert wird eigentlich nur das %k am ende damit kann man über das Logfile (syslog oder mail.info) prüfen welche Verschlüsselung genutzt wird, was ich ganz interessant finde zumindest am Anfang.

Dann habe ich mir die Datei 50-ssl.conf erstellt um fest zu legen welche Verschlüsselung genutzt werden soll und das hat mich die meiste Zeit gekostet da jedes OS / E-Mailprogramm nicht alles kann und man hier herausfinden muss was bei Windows, MAC und Android geht und was nicht.

Erst lege ich fest das SSL genutzt wird (Standard), danach das mein DH Key mit 2048 erstellt wurde, dieser liegt im Postfix Verzeichnis und ist auch dort so festgelegt.

Die SSL Protokolle werden auf TLS 1, TLS 1.1 und TLS 1.2 festgelegt SSL2 und SSL3 werden nicht unterstützt.

Die Cipherlist ist hier der knack Punkt, ich war auf zig Seiten und habe x listen getestet bin ich eine gefunden haben die überhaupt geht, interessant fand ich auch das Exchange von MS je nach Version nur 2 Verschlüsselungen kann echt traurig und das war kann auch der knackpunkt den meisten kann MS kein DHE kann.

Naja dafür hats ja dann noch ALL drin und alles was schlecht ist wird geblockt… OK nicht alles aber was will man machen, wenn man nicht alle 5min. einen Kunden am Ohr haben will der weint weil sein E-Mail nicht geht 🙂

Und als letztes wird noch festgelegt das Dovecot die cipherlist zu nutzen hat.


Postfix:

Den selben Spass machen wir auch noch mit Postfix.

Danach habe ich nur noch in einer Datei was geändert und zwar die 92-plesk-userip_connections.conf dort habe ich die Verbindungen pro Userip auf 10 begrenzt also kann eine IP maximal nur 10 gleichzeitige Verbindungen aufbauen.

Sollte man Kunden haben die via Exchange oder sonst einem E-Mail Server mehr Verbindungen aufbauen um alle E-Mail Konten auf einfach abzurufen muss man diesen Wert auf Standard lassen oder seinen Gegebenheiten anpassen.

Zum Schluss noch Dovecot mit /etc/init.d/dovecot restart neustarten.

Jetzt geht es an Postfix, ich hab erstmal ein Backup gemacht von der original config mit cp /etc/postfix/main.cf /etc/postfix/main.org , dadurch das ich schon mal an einem anderen System rumspielen durfte weiß ich das die config von Debian 6 nicht ganz so will und einige Befehle nicht mehr gehen bzw. auch Plesk hat hier den ein oder anderen punkt wo anders liegen und geht daher auch nicht mehr.

Postfix Konfiguration:

Meine Anpassungen

Mein selbst erstelltes Zertifikat welches ic h auch für Dovecot benutze, das habe ich einfach via cp auch nach /etc/postfix/ kopiert.

Ohne diese Option würde Postfix auch auf SSL3 reagieren das kann man damit abstellen und sollte man auch machen.

Das ist das gleiche was auch web.de, t-online oder 1und1 machen. (Falls man seinen Kunden ein Argument benötigt)

sender_access und check_client_access sind von Plesk und sollten nicht geändert werden, check_client_access ist von mir über die trage ich Kunden meiner Kunden ein um sicherzustellen das falls hier mal einer auf einer RBL steht (z.B. t-online.de) diese ohne Prüfung durch gehen.

Daher muss der Eintrag auch vor der RBL Prüfung stehen.

Die reject Einträge habe ich mir von einigen TUT seiten zusammengesucht um sicherzustellen das keiner meine Kunden voll müllen.

DH Zertifikat und die Stärke. Lasst Euch nicht verwirren vom Dateinamen, das DH Zertifikat ist 2048bit und nicht 1024bit auch wenn die Datei so heißt.

Erstellen der DH Keys:

Festlegen das eine cipherlist genutzt werden muss, ohne den Eintrag bringt diese nichts.

kein Plaintext und keine Anonyme Anmeldung erlaubt

helo_restrictions überprüft nochmal extra den helo und stellt sicher das dieser sauber geprüft wird.

Cipherlist wie bei Dovecot, man hat zwar eine Medium und High Liste aber Outlook nimmt zum Beispiel automatisch die high auch wenn es diese nicht kann, echt Müll.

tls-random _bytes stellt sicher das erstmal mit 128bit versucht wird zu Verschlüsseln, aber alle machen mittlerweile 256bit.

Und zum Schluss verbieten wir SSl2 und SSL3.

Ich habe mittlerweile einiges mehr gemacht, man lernt ja nie aus und kann immer etwas verbesser.

Am ende werde ich einige Dateien zum Download anbieten, das sind alles Templates die ihr für Postfix und Dovecot verwenden dürft.

Zu beachten ist nur das Ihr Eure IP eintrage, Euren Hostname und die DH Keys sowie Postfix/Dovecot keys und dort den richten Pfad angebt und natürlich mit Plesk arbeitet, ansonsten kann ALLES 1zu1 übernommen und Euer E-Mail Server ist sich, kann TLS 1.2 und läuft mit allen Clients und Betriebssystemen.

Das war dann schon die ganze Postfix config.

Die Manpage von Postfix ist auch ganz gut, dort habe ich auch einiges gefunden und umgesetzt.

master.cf habe ich nur einige Anpassungen vorgenommen:

Am besten mit der Eigenen vergleichen.

Ich hab die Prozesse des SMTPD auf 20 begrenzt und den DH key mit angegeben.


Sonstiges:

Clamav nutze ich nicht mehr irgendwie hat das nie was gefunden obwohl jede E-Mail geprüft wurde und einige config Optionen gingen nach einem Update nicht mehr.

Ich nutze seit einige Monaten Dr.Web über Plesk und kann mich nicht beschweren kommt kaum was durch.

Postfix restart mit /etc/init.d/postfix restart um alle Änderungen und sich freuen das absofort nur noch E-Mails via TLS rein und raus gehen.

Für Outlook user muss man aus dem .pem Zertifikat ein .crt machen da Windoof kein .pem kann.

Die .crt kann man seinen Outlook Kunden via E-Mail schicken, nach dem Importieren können dann diese auch ohne Fehlermeldung (hoffentlich) mit Outlook arbeiten.

Bei Outlook 2012 und höher muss man das Cert als PFX erstellen und MUSS ein Passwort haben, sonst lässt sich das Cert nicht mehr installieren ….

POP3/IMAP sollten die Kunden Port 995/993 Nutzen und für SMTP 587, dann läuft auch alles so wie man das will.

Bei Fragen oder fehlen meinerseits bitte einen Kommentar hinterlassen.


Anbei nochmal alle zu editierenden Dateien als Anhang.

11-plesk-security-ssl

25-logging

main

master

Cya
DocSchneidi ak Cheech

Postfix Logo
Dovecot Logo

Tagged , , , , , , , , , , , , , , , , , , , , , , . Bookmark the permalink.

2 Responses to Konfiguration von Postfix, Dovecot und Plesk unter Linux

  1. Lenusch says:

    Hi,

    was ist wenn man keine 25-logging.conf hat in dem Verzeichnis?
    Plesk Onyx + Debian 8.7

    • Cheech says:

      Hi,

      die kannst du dir auch erstellen mit dem Eintrag von mir, schau dir aber auch nochmal die anderen Dateien an nicht das du etwas doppelt hast oder sich ausschließt, eventuell muss man das dann in der anderen config auskommentieren mit einer # am Anfang der Zeile .

      Sollte weder ein Problem mit Onyx noch Debian 8 sein, hab nur auf Deb8 umgestellt arbeite aber noch mit Plesk 12.5

      Sollten noch Fragen sein, einfach melden.

      Gruß
      Cheech

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.