Tachtler's DokuWiki

Homepage | Kontakt | Rechtliche Informationen | Impressum

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
tachtler:postfix_centos_7_-_srs_einsetzen

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
tachtler:postfix_centos_7_-_srs_einsetzen [2016/11/10 09:53] klaustachtler:postfix_centos_7_-_srs_einsetzen [2017/05/03 09:53] (aktuell) – [/etc/sysconfig/postsrsd] klaus
Zeile 135: Zeile 135:
 </code> </code>
  
-===== Konfiguration =====+===== Konfiguration: SRS ===== 
 + 
 +==== /etc/sysconfig/postsrsd ==== 
 + 
 +Standardmäßig wird nach der Installation von [[https://github.com/roehling/postsrsd|SRS]] - **''postsrsd''** in nachfolgendem Verzeichnis mit nachfolgendem Namen die Konfigurationsdatei für den [[https://github.com/roehling/postsrsd|SRS]] - **''postsrsd''** hinterlegt: 
 +  * **''/etc/sysconfig/postsrsd''** 
 + 
 +Nachfolgende Änderungen sind an der Konfigurationsdatei ''/etc/sysconfig/postsrsd'' durchzuführen: 
 + 
 +(**Komplette Konfigurationsdatei**) 
 + 
 +<code bash> 
 +# Default settings for postsrsd 
 + 
 +# Local domain name. 
 +# Addresses are rewritten to originate from this domain. The default value 
 +# is taken from `postconf -h mydomain` and probably okay. 
 +
 +# Tachtler 
 +# default: #SRS_DOMAIN=example.com 
 +SRS_DOMAIN=tachtler.net 
 + 
 +# Exclude additional domains. 
 +# You may list domains which shall not be subjected to address rewriting. 
 +# If a domain name starts with a dot, it matches all subdomains, but not 
 +# the domain itself. Separate multiple domains by space or comma. 
 +
 +# Tachtler 
 +#SRS_EXCLUDE_DOMAINS=.example.com,example.org 
 +SRS_EXCLUDE_DOMAINS=.edmz.tachtler.net,.idmz.tachtler.net,.intra.tachtler.net,dmarc.tachtler.net,dmarcreports.tachtler.net 
 + 
 +# Secret key to sign rewritten addresses. 
 +# When postsrsd is installed for the first time, a random secret is generated 
 +# and stored in /etc/postsrsd.secret. For most installations, that's just fine. 
 +
 +SRS_SECRET=/etc/postsrsd.secret 
 + 
 +# Local ports for TCP list. 
 +# These ports are used to bind the TCP list for postfix. If you change 
 +# these, you have to modify the postfix settings accordingly. The ports 
 +# are bound to the loopback interface, and should never be exposed on 
 +# the internet. 
 +
 +SRS_FORWARD_PORT=10001 
 +SRS_REVERSE_PORT=10002 
 + 
 +# Drop root privileges and run as another user after initialization. 
 +# This is highly recommended as postsrsd handles untrusted input. 
 +
 +RUN_AS=nobody 
 + 
 +# Jail daemon in chroot environment 
 +CHROOT=/var/lib/postsrsd 
 + 
 +</code> 
 + 
 +**__Nachfolgende Änderungen sollten vorgenommen werden:__** 
 + 
 +  * <code bash>SRS_DOMAIN=tachtler.net</code> 
 + 
 +Definition der **Domain** für die [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] zur Anwendung kommen soll. 
 + 
 +  * <code>SRS_EXCLUDE_DOMAINS=.edmz.tachtler.net,.idmz.tachtler.net,.intra.tachtler.net,dmarc.tachtler.net,dmarcreports.tachtler.net</code> 
 + 
 +Definition der **Domain** und **Sub-Domain** die vom [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] zur Anwendung ausgeschlossen werden sollen. Das können z.B. alle internen und weitere besondere Domains und Sub-Domains sein. 
 + 
 +===== Konfiguration: Postfix ===== 
 + 
 +==== /etc/postfix/main.cf ==== 
 + 
 +Hier die Änderungen an der Konfigurationsdatei **''/etc/postfix/main.cf''** 
 + 
 +(**Nur relevanter Ausschnitt**): 
 + 
 +<code ini> 
 +... 
 +# ADDRESS REWRITING 
 +
 +# The ADDRESS_REWRITING_README document gives information about 
 +# address masquerading or other forms of address rewriting including 
 +# username->Firstname.Lastname mapping. 
 + 
 +# Tachtler - new - Das Postfix Buch - Seite 116-119. 
 +# without SRS: recipient_canonical_maps = btree:/etc/postfix/recipient_canonical_maps 
 +recipient_canonical_maps = btree:/etc/postfix/recipient_canonical_maps, 
 +                           tcp:127.0.0.1:10002 
 +# Tachtler - new -  
 +# default: recipient_canonical_classes = envelope_recipient, header_recipient 
 +recipient_canonical_classes = envelope_recipient 
 + 
 +# without SRS: sender_canonical_maps = btree:/etc/postfix/sender_canonical_maps 
 +sender_canonical_maps = btree:/etc/postfix/sender_canonical_maps, 
 +                        tcp:127.0.0.1:10001 
 +# Tachtler - new -  
 +# default: sender_canonical_classes = envelope_sender, header_sender 
 +sender_canonical_classes = envelope_sender 
 +... 
 +</code> 
 + 
 +**__Nachfolgende Änderungen sollten vorgenommen werden:__** 
 + 
 +  * <code ini>recipient_canonical_maps = btree:/etc/postfix/recipient_canonical_maps, 
 +                           tcp:127.0.0.1:10002</code> 
 + 
 +Angabe der **TCP** ''lookup table'', über die der Empfänger umgeschrieben werden soll. 
 + 
 +  * <code ini>recipient_canonical_classes = envelope_recipient</code> 
 + 
 +Welche Klassen sind der Adresszuordnung von ''recipient_canonical_maps'' unterworfen. Standardmäßig wird die Adresszuordnung von ''recipient_canonical_maps'' auf **Envelop**-Empfängeradressen und auf **Header**-Empfängeradressen angewendet. 
 + 
 +  * <code ini>sender_canonical_maps = btree:/etc/postfix/sender_canonical_maps, 
 +                        tcp:127.0.0.1:10001</code> 
 + 
 +Angabe der **TCP** ''lookup table'', über die der Sender umgeschrieben werden soll. 
 + 
 +  * <code ini>sender_canonical_classes = envelope_sender</code> 
 + 
 +Welche Klassen sind der Adresszuordnung von ''sender_canonical_maps'' unterworfen. Standardmäßig wird die Adresszuordnung von ''sender_canonical_maps'' auf **Envelop**-Absenderadressen und auf **Header**-Absenderadressen angewendet. 
 + 
 +===== Erster Start/Neustart ===== 
 + 
 +==== SRS Dienst/Daemon-Start einrichten ==== 
 + 
 +Um den [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] der als Dienst/Deamon als Hintergrundprozess läuft, auch nach einem Neustart des Servers zur Verfügung zu haben, soll der Dienst/Daemon mit dem Server mit gestartet werden, was mit nachfolgendem Befehl realisiert werden kann: 
 +<code> 
 +# systemctl enable postsrsd 
 +Created symlink from /etc/systemd/system/multi-user.target.wants/postsrsd.service to /usr/lib/systemd/system/postsrsd.service. 
 +</code> 
 + 
 +Eine Überprüfung, ob beim Neustart des Server der ''postsrsd''-Dienst/Deamon wirklich mit gestartet wird, kann mit nachfolgendem Befehl erfolgen und sollte eine Anzeige, wie ebenfalls nachfolgend dargestellt ausgeben: 
 +<code> 
 +# systemctl list-unit-files --type=service | grep -e postsrsd 
 +postsrsd.service                            enabled 
 +</code> 
 +bzw. 
 +<code> 
 +# systemctl is-enabled postsrsd 
 +enabled 
 +</code> 
 + 
 +==== Erster Start SRS ==== 
 + 
 +Um den [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] zu starten kann nachfolgender Befehl angewandt werden: 
 +<code> 
 +# systemctl start postsrsd 
 +</code> 
 + 
 +Eine Überprüfung ob der Start des [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] erfolgreich war kann mit nachfolgendem Befehl durchgeführt werden, welcher eine Ausgabe in etwa wie nachfolgende erzeugen sollte: 
 +<code> 
 +# systemctl status postsrsd 
 +● postsrsd.service - PostSRSd Daemon 
 +   Loaded: loaded (/usr/lib/systemd/system/postsrsd.service; enabled; vendor preset: disabled) 
 +   Active: active (running) since Thu 2016-11-10 10:36:03 CET; 5s ago 
 + Main PID: 2241 (postsrsd) 
 +   CGroup: /system.slice/postsrsd.service 
 +           └─2241 /usr/sbin/postsrsd -f10001 -r10002 -dtachtler.net -s/etc/po... 
 + 
 +Nov 10 10:36:03 server60.idmz.tachtler.net systemd[1]: Started PostSRSd Daemon. 
 +Nov 10 10:36:03 server60.idmz.tachtler.net systemd[1]: Starting PostSRSd Daem... 
 +Hint: Some lines were ellipsized, use -l to show in full 
 +</code> 
 + 
 +bzw. mit nachfolgendem Befehl, ob der Dienst/Daemon in der Prozessliste erscheint:  
 +<code> 
 +# ps aux | grep postsrsd 
 +nobody    2241  0.0  0.0   6452   712 ?        Ss   10:36   0:00 /usr/sbin/postsrsd -f10001 -r10002 
 +-dtachtler.net -s/etc/postsrsd.secret -unobody -c/var/lib/postsrsd -X 
 +root      2264  0.0  0.0 112648   932 pts/0    S+   10:36   0:00 grep --color=auto postsrsd 
 +</code> 
 + 
 +==== Neustart Postfix ==== 
 + 
 +Um den [[http://www.postfix.org/|Postfix]] **neu** zu starten kann nachfolgender Befehl angewandt werden: 
 +<code> 
 +# systemctl restart postfix 
 +</code> 
 + 
 +Eine Überprüfung ob der Neustart des [[http://www.postfix.org/|Postfix]] erfolgreich war kann mit nachfolgendem Befehl durchgeführt werden, welcher eine Ausgabe in etwa wie nachfolgende erzeugen sollte: 
 +<code> 
 +# systemctl status postfix 
 +● postfix.service - Postfix Mail Transport Agent 
 +   Loaded: loaded (/usr/lib/systemd/system/postfix.service; enabled; vendor preset: disabled) 
 +   Active: active (running) since Thu 2016-11-10 10:39:08 CET; 4s ago 
 +  Process: 2648 ExecStop=/usr/sbin/postfix stop (code=exited, status=0/SUCCESS) 
 +  Process: 2666 ExecStart=/usr/sbin/postfix start (code=exited, status=0/SUCCESS) 
 +  Process: 2663 ExecStartPre=/usr/libexec/postfix/chroot-update (code=exited, status=0/SUCCESS) 
 +  Process: 2660 ExecStartPre=/usr/libexec/postfix/aliasesdb (code=exited, status=0/SUCCESS) 
 + Main PID: 2738 (master) 
 +   CGroup: /system.slice/postfix.service 
 +           ├─2738 /usr/libexec/postfix/master -w 
 +           ├─2739 pickup -l -t unix -u -o content_filter=lmtp:[192.168.0.70]:10024 -o lmtp_use_tls=yes 
 +           └─2740 qmgr -l -t unix -u 
 + 
 +Nov 10 10:39:07 server60.idmz.tachtler.net systemd[1]: Starting Postfix Mail Transport Agent... 
 +Nov 10 10:39:08 server60.idmz.tachtler.net postfix/master[2738]: daemon started -- version 2.11.8, 
 +configuration /etc/postfix 
 +Nov 10 10:39:08 server60.idmz.tachtler.net systemd[1]: Started Postfix Mail Transport Agent. 
 +</code> 
 + 
 +===== Überprüfungen ===== 
 + 
 +Nachfolgende soll überprüft werden, ob die Umschreibungen auch tatsächlich durchgeführt werden. 
 + 
 +==== /var/log/maillog ==== 
 + 
 +Nachfolgende Zeile sollte in der LOG-Datei ''/var/log/maillog'' erscheinen, solbald eine Umschreibung durchgeführt wird: 
 + 
 +(**Nur relevanter Ausschnitt**): 
 +<code> 
 +... 
 +Nov 10 10:53:52 server60 postsrsd[4658]: srs_forward: <nick.kerchen@mnet-online.de> rewritten as 
 +<SRS0+yx42=Y1=mnet-online.de=nick.kerchen@tachtler.net> 
 +</code> 
 + 
 +Wird ein **bounce** vom Zielsystem der Nachricht durchgeführt,  kann das **relayende System** den eigentlichen Absender informieren, da vom [[http://www.openspf.org/SRS|SRS (Sender Rewriting Scheme)]] Dienst/Deamon die Zieladresse wieder ermitteln und zurück umgeschrieben werden kann (''srs_reverse'').  
 + 
 +(**Nur relevanter Ausschnitt**): 
 +<code> 
 +... 
 +Nov 10 10:55:35 server60 postsrsd[6883]: srs_reverse: <SRS0+yx42=Y1=mnet-online.de=nick.kerchen@tachtler.net> 
 +rewritten as <nick.kerchen@mnet-online.de> 
 +... 
 +... 
 +Nov 10 10:56:12 server60 postfix/smtp[6883]: 8413383: to=<nick.kerche@mnet-online.de>, orig_to= 
 +<SRS0+yx42=Y1=mnet-online.de=nick.kerchen@tachtler.net>, relay=mail-out.m-online.net[212.18.0.9]:25, 
 +delay=0.75, delays=0.06/0/0.41/0.29, dsn=2.0.0, status=sent (250 Requested mail action okay, completed: 
 +id=0Btr1f-2Y2H7s3AB3-012SFG) 
 +... 
 +</code> 
 + 
 +==== E-Mail-Header ==== 
 + 
 +Auch im **Header** der zugestellten E-Mail wird beim Empfänger die Umschreibung auch im **Return-Path** hinterlegt: 
 + 
 +(**Nur relevanter Ausschnitt**): 
 +<code> 
 +... 
 +Return-Path: <SRS0+yx42=Y1=mnet-online.de=nick.kerchen@tachtler.net> 
 +... 
 +</code>
  
-FIXME 
  
tachtler/postfix_centos_7_-_srs_einsetzen.1478768035.txt.gz · Zuletzt geändert: 2016/11/10 09:53 von klaus