Dovecot ist ein Open Source IMAP und POP3 Server, der Dieste bereitstellt um Mails mit einem Client wie Outlook oder Thunderbird abzuholen. Der Server legt die E-Mails im mbox oder Maildir-Format ab.

Eigentlich würde man mit der Konfiguration von Postfix anfangen, da dieser die Mails in die Postfächer zustellt, da mein Plan aber darin besteht die Zustellung per fetchmail zu machen, fange ich mit dovecot an.

Für die Installationdes Grundsystems benötigt man das Core-Paket und mindestens eines der beiden anderen Pakete:

• dovecot-core
• dovecot-imapd
• dovecot-pop3d

Möchte man nur einen IMAP Server muss man das Paket dovecot-pop3d nicht installieren und umgekehrt.

sudo apt-get install dovecot-core dovecot-imapd

Hat man das Metapaket für den Mailserver installiert kann man das Paket wieder deinstallieren mit:

sudo apt-get purge dovecot-pop3d

Zusätzlich benötigen wir das Paket dovecot-lmtpd für die lokale Zustellung der E-Mails über LMTP.

sudo apt-get install dovecot-lmtpd

Die Konfiguration findet zwar grundsätzlich in der Datei /etc/dovecot/dovecot.conf statt, in Ubuntu sind die meißten Optionen allerdings in Dateien in /etc/dovecot/conf.d ausgelagert. Daher ist es eigentlich nicht nötig die Hauptkonfigurationsdatei zu verändern.

Alle Einstellungen die von den Standardeinstellungen abweichen, kann man sich mit

dovecot -n

anzeigen lassen. Nach Änderungen an der Konfiguration muss natürlich Dovecot neu gestartet werden.

Protokolle

Standardmäßig werden die Protokolle aktiviert, deren Paket man installiert hat. Diese Pakete legen Dateien an die unter /usr/share/dovecot/protocols.d/*.protocol zu finden sind.

Die Benutzer sollen über eine MySQL Datenbank verwaltet werden können. Dazu haben wir ja schon wie in der Einleitung beschrieben das Paket dovecot-mysql installiert.

Die Konfiguration erfolgt über /etc/dovecot/conf.d/10-auth.conf. Hier muss die Zeile für die Authentifikation über das System auskommentiert werden und die Zeile für die Authentifikation am SQL Server einkommentiert werden:

#!include auth-system.conf.ext
!include auth-sql.conf.ext

Die Datei /etc/dovecot/auth-sql.conf.ext referenziert wiederum die Datei /etc/dovecot/dovecot-sql.conf.ext in der weitere Parameter für die Verbindung mit der Datenbank festgelegt werden.

Wie in der Datei beschrieben muss man eine neue Datenbank mit ein paar Tabellen anlegen. Die Datenkbank nenne ich vmail, da diese nicht nur für dovecot benutzt werden soll, sondern später auch für Postfix herhalten muss. Als Kollation verwende ich utf8_general-ci.

CREATE DATABASE vmail
  DEFAULT CHARACTER SET utf8
  DEFAULT COLLATE utf8_general_ci;

Als nächstes die Benutzertabelle:

# Tabelle für Benutzer
CREATE TABLE users (
     username VARCHAR(128) NOT NULL,
     domain VARCHAR(128) NOT NULL,
     password VARCHAR(128) NOT NULL,
     PRIMARY KEY (username, domain)
);

Zusätzlich brauchen wir noch einen Benutzer, der Zugriff auf diese Tabellen hat.

GRANT ALL PRIVILEGES
  ON vmail.*
  TO 'vmail'@'localhost'
  IDENTIFIED BY 'mysecret';

Sind die Tabellen angelegt, können wir uns an die Konfiguration machen. Dazu editiert man die Datei /etc/dovecot/dovecot-sql.conf.ext.

Hier wählt man zunächst die Verbindungsart aus. Nicht vergessen die benötigten Einträge auch einzukommentieren.

driver = mysql

Als nächstes legt man die Verbindungsparameter fest. Man kann statt dem Socket auch localhost verwenden.

connect = host=/var/run/mysqld/mysqld.sock dbname=vmail user=vmail password=mysecret

Als Passwort Schema wähle ich den starken SHA512-CRYPT Algorithmus.

default_pass_scheme = SHA512-CRYPT

Den Passwort-Query kann man so einkommentieren wie er im Beispiel steht:

password_query = \
  SELECT username, domain, password \
  FROM users WHERE username = '%n' AND domain = '%d'

In anderen Anleitungen wird behauptet dass die letzte Zeile in der Konfigurationsdatei ebenfalls einkommentiert werden muss.

iterate_query = SELECT username AS user FROM users

Bei mir hat das allerdings zu Fehler im Log geführt.

Ich habe sie daher draußen gelassen.

Den User-Query würde man nur dann benötigen, wenn man für die Mail Benutzer verschiedene Einstellungen bezüglich Benutzer/Gruppe/Speicherort definieren wollten. Da ich das nicht möchte wird noch der userdb Eintrag in der Datei /etc/dovecot/conf.d/auth-sql.conf.ext geändert so dass immer fetgelegte Werte verwendet werden:

#userdb {
#  driver = sql
#  args = /etc/dovecot/dovecot-sql.conf.ext
#}

# If you don't have any user-specific settings, you can avoid
# the user_query by using userdb static instead of userdb sql,
# for example:
# <doc/wiki/UserDatabase.Static.txt>
userdb {
  driver = static
  args = uid=vmail gid=vmail home=/var/vmail/%d/%n
}

In phpmyadmin gibt es leider keine Funktion um einen SHA512 Hash direkt zu erzeugen. Das Passwort kann allerdings auf der Kommandozeile mit Dovecot erzeugt werden:

doveadm pw -s SHA512-CRYPT

Es wird zweimal um die Eingabe des neuen Passworts gefragt und dann der Hash ausgegeben. Das {SHA512-CRYPT} am Anfang muss man weglassen, da es nur den verwendeten Algorithmus zeigt.

INSERT INTO users
 (username, domain, password)
 values
 ('benutzer1', 'meinedomain.de', '$6$A3Z[...]MCQgfsz');

Um zu Testen ob die Verbindung zu Datenbank furnktioniert, kann man sich alle Benutzer anzeigen lassen die in der Datebank angelegt sind.

doveadm user '*'

Hier sollten jetzt alle Benutzer auftauchen die man in der MySQL Datenbank definiert hat.

Nicht vergessen nach Abschluss des Tests die Einstellungen für userdb wieder auf die driver = static Variante zurückzustellen.

Dovecot kann Postfächer im mbox sowie im Maildir Format verwalten. Bei der mbox Variante werden alle Mails in einer Datei gespeichert, beim maildir Format ist jede Mail eine eigene Datei.

Standardmäßig ist das mbox Format voreingestellt und das INBOX Verzeichnis des Postfachs liegt unter /var/mail/%u  und die restlichen Verzeichnisse im Benutzerordner unter ~/mail.

Ich würde allerdings lieber die maildir Variante bevorzugen, da ich bereits auf meiner NAS mein Postfach im maildir Format habe und ich auch sonst das Maildir Format besser zu handlen finde.

Zuerst legen wir das Verzeichnis für die Postfächer an

sudo mkdir /var/vmail

Dann brauchen wir einen Benutzer und eine Gruppe unter dem Dovecot auf die Postfächer zugreifen soll

addgroup vmail
adduser --ingroup vmail --no-create-home --shell /bin/false vmail

Diesen Benutzer tragen wir jetzt in die Datei /etc/dovecot/conf.d/10-mail.conf ein.

mail_uid = vmail
mail_gid = vmail
mail_privileged_group = vmail 

Damit wird Dovecot mitgeteilt, wie und mit welchem Benutzer/Gruppe auf die Mailbox Verzeichnisse zugegriffen werden soll.

Außerdem müssen wir in dieser Datei Dovecot mitteilen, in welchem Ordner und in welcher Form die Mails gespeichert werden sollen. Wie ich schon erwähnt habe, möchte ich das Maildir Format benutzen, da es einfacher zu handhaben ist und auch fehlertoleranter ist.

mail_location = maildir:/var/vmail/%d/%n/Maildir

eine weitere Möglichkeit wäre

mail_location = maildir:/var/vmail/%d/%n/Maildir:LAYOUT=fs

wenn man möchte dass die Ordnerstruktur im Mail-Client dr Ordnerstruktur im Dateisystem entspricht. Ich werde erstere Variante benutzen, da mein Maildir bereits in diesem Format vorliegt und ich die Mischung der Dovecot Verzeichnisse cur, new und tmp mit den richtigen Unterordnern auch nicht so wirklich schön finde.

Als nächstes müssen die Rechte für das Verzeichnis /var/vmail gesetzt werden:

sudo chown vmail:vmail -R /var/vmail/
sudo chmod 0770 /var/vmail

Normalerweise benutzt Dovecot den Benutzer und die Gruppe des Systembenutzers des Mailaccounts. Da wird aber virtuelle Benutzer verwenden gibt es diese Benutzer ja nicht und wir verwenden für den Zugriff auf das Dateisystem stattdessen den Benutzer vmail.

Die SSL/TLS Konfiguration kann angepasst werden indem man die Datei /etc/dovecot/conf.d/10-ssl.conf editiert. Man kann z.B. das selbst signierte Zertifikat verwenden, das bei der Ubuntu Installation meisst schon vorhanden ist. Keine Ahnung bei welcher Installation von welchem Paket das erzeugt wird.

# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
ssl = yes
 
# PEM encoded X.509 SSL/TLS certificate and private key.
ssl_cert = </etc/ssl/certs/ssl-cert-snakeoil.pem
ssl_key = </etc/ssl/private/ssl-cert-snakeoil.key

Man kann die Verschlüsselung erzwingen wenn man die folgende Einstellung setzt:

ssl = required

Bei gechainten SSL Zertifikaten kommen alle Zertifikate in die Datei, die in ssl_cert angegeben wurde und zwar in dieser Reihenfolge: 

1. Zertifikat des Dovecot Servers
2. Chained Zertifikat
3. CA Zertifikat

Das Zertifikat und den Key könnte man z.B. dann so anlegen:

ssl_cert = </etc/ssl/startssl/dovecot/dovecot.pem
ssl_key = </etc/ssl/startssl/private/key.pem

Nicht vergessen das Zertifikat, bzw. den Key vor ungewolltem Zugriff zu schützen:

chown root:root /etc/ssl/startssl/dovecot/dovecot.pem
chmod 0600 /etc/ssl/startssl/dovecot/dovecot.pem
chown root:root /etc/ssl/startssl/private/key.pem
chmod 0600 /etc/ssl/startssl/private/key.pem 

Um die Verbindungssicherheit weiter zu erhöhen kann man die vorgeschlagene Cipherliste von https://bettercrypto.org/ verwenden.

# SSL protocols to use
ssl_protocols = !SSLv2 !SSLv3

# SSL ciphers to use
ssl_cipher_list = EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRSA+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA128-SHA:AES128-SHA

# Prefer the server's order of ciphers over client's.
ssl_prefer_server_ciphers = yes

Um eine Anmeldung mit einem Klartextpasswort ohne die Verwendung einer verschlüsselten Verbindung mit TLS/SSL zu verhindern kann man eine Einstellung in der Datei /etc/dovecot/conf.d/10-auth.conf aktivieren:

disable_plaintext_auth = yes

Um die Änderungen anzuwenden, den Dovecot Server neu starten:

sudo service dovecot restart

Zum Testen der SSL Verbindung kann man sich mit dem dovecot Server verbinden und das Zertifikat auslesen. Für den IMAPS (993) Port geht das mit folgendem Befehl:

echo "quit" | openssl s_client -connect localhost:imaps

Um den Standardport von IMAP (143) mit STARTTLS zu testen benutzt man

echo "quit" | openssl s_client -starttls imap -connect localhost:imap

Es sollte etwas wie das folgende herauskommen

CONNECTED(00000003)
depth=0 CN = test-nas
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = test-nas
verify return:1
---
Certificate chain
 0 s:/CN=test-nas
   i:/CN=test-nas
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
[...]

Weitere Infos gibt's z.B. im Dovecot Wiki.

Postfix wird später anfragen an Dovecot stellen, ob ein Benutzer berechtigt ist Mails zu versenden. Dazu muss Dovecot einen Socket bereitstellen über den Postfix seine Anfragen stellen kann. Der Socket wird in der Datei /etc/dovecot/conf.d/10-master.conf konfiguriert.

service auth {
  unix_listener auth-userdb {
    mode = 0666
    user = vmail
    group = vmail
  }

  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }
}

Für die lokale Zustellung in die Postfächer wird LMTP (Local Mail Transport Protocol) verwendet, das ähnlich wie SMTP ist. Dazu richten wir postfix nochmal einen Socket in der Datei /etc/dovecot/conf.d/10-master.conf ein:

service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    mode = 0660
    user = postfix
    group = postfix
  }
}

Damit wir mitbekommen, wenn eine Zustellung fehlschlägt, muss in der Datei /etc/dovecot/conf.d/15-lda.conf die Adresse für den Postmaster auf eine gültige Adresse gesetzt werden und der Eintrag dafür einkommentiert werden.

postmaster_address = postmaster@mydomain.de

Siehe auch Dovecot Wiki.

Verwendet man Thunderbird als Mail Client und :LAYOUT=fs sollte man noch folgende Option in /etc/dovecot/conf.d/20-imap.conf setzen:

imap_client_workarounds = tb-extra-mailbox-sep

Siehe auch Dovecot Wiki.

Nach dem Ändern der Konfiguration muss Dovecot neu gestartet werden oder mitgeteilt werden, dass er die Konfiguraiton neu laden soll. Den Serverdienst startet man mit

sudo service dovecot start

und stoppt ihn mit

sudo service dovecot stop

und startet ihn neu mit

sudo service dovecot restart

Mein erster Versuch einfach die Ordner des Maildir Verzeichnisses auf den neuen Server zu kopieren und dann in Thunderbird die Ordner per "Abonnieren..." hinzuzufügen hat direkt mal geklappt.

Alle Mails waren da, allerdings alle als "Ungelesen". Mal sehen ob ich da noch eine bessere Methode finde.

Im E-Mail Client, wie z.B. Thunderbird müssen folgende Werte für den Abruf von Mails vom IMAP Konto eingestellt werden:

Falls es doch mal nicht so klappt wie man will, sollte man die beiden folgenden Dateien im Auge behalten:

/var/log/mail.err
/var/log/mail.log

Der kleine Helfer multitail bietet sich da an. Damit lassen sich mehrere Logs auf einmal ansehen.

multitail /var/log/mail.err /var/log/mail.log

Sollten die Logs nicht genügend Informationen zur Lösung eines Problems liefern, so sollte man einen Blick in die Datei /etc/dovecot/conf.d/10-logging.conf werfen. Hier kann man auf vielfältige Weise den Informationsgehalt der Log-Dateien anpassen.

Auf meiner alten NAS hatte ich bislang bereits einen Mailserver, der mit von diversen Konten Mails abgeholt hat und lokal gespeichert hat. Mails über die NAS zu versenden hatte ich damals nicht geplant da ich nur einen Datenspeicher für meine Mails benötigt hatte. Auf der neuen NAS werde ich mal versuchen einen richtigen Mailserver aufzusetzen, der die Mails auch über einen Smarthost versenden kann und auch gleich nach Viren und Spam sucht.

Um einen Mailserver zu installieren werden ein paar Pakete benötigt. Unter Ubuntu 14.04 waren die Basispakete unter dem Meta-Paket mail-server zusammengefasst. Inzwischen heißt das Paket mail-stack-delivery. Um dieses zu installieren folgenden Befehl ausführen.

sudo apt install mail-stack-delivery

Unter Ubuntu 14.04 ist das ^ am Ende des Paketnamens wichtig.

sudo apt-get install mail-server^

Das installiert zusätzlich die Pakete 

• postfix (MTA)
• dovecot-core (Email Server)
• dovecot-imapd
• dovecot-pop3d
• (procmail (MDA))

und noch ein paar weitere Pakete wie libassuan0, libgpgme11, libtokyocabinet9, mutt, bsd-mailx.

Da ich keinen POP3 Dienst benutzen werde, werde ich das entsprechende Paket wieder entfernen:

sudo apt-get purge dovecot-pop3d

Ein Postfach ist in der Standardinstallation je mit einem Benutzer auf dem Server gekoppelt. Wenn man möchte kann man auch virtuelle Benutzer einrichten. Dazu muss man weitere Pakete installieren die dovecot und postfix die Fähigkeit verleihen Benutzer z.B. anhand einer MySQL Datenbank zu authentifizieren. Diese Pakete müssen noch nachinstalliert werden:

• postfix-mysql
• dovecot-mysql

Um die Pakete zu installieren führen wir folgendes aus:

sudo apt-get install postfix-mysql dovecot-mysql

Die Konfiguration der einzelnen Serverdienste werde ich in separaten Blogbeiträgen behandeln, da diese doch recht umfangreich werden dürften.

Im nächsten Beitrag werde ich mich mit der Einrichtung eines IMAP Servers mit Dovecot beschäftigen. Dieser soll per SSL/TLS abgesichert sein und virtuelle Benutzer verwalten können.

Mailserver-Einführung auf ubuntuusers.de

Mailserver einrichten von thomas-leister

Mailserver für einen Homeserver

Samba stellt das SMB Protokoll für die Freigabe von Laufwerken und Verzeichnissen insbesondere für Windows Umgebungen zur Verfügung. Aber auch Linux kann auf diese Freigaben zugreifen. Für meine Standard-Freigaben werde ich Samba nutzen.

Einrichtet ist samba schnell. Um die Pakete zu installieren folgenden Befehl ausführen:

sudo apt-get install samba

Jetzt folgt noch die Konfiguration, welche in der Datei /etc/samba/smb.conf vorgenommen wird. Für eine ausführliche Beschreibung einfach mal den folgenden Befehl ausführen:

man smb.conf

Die Konfiguration erfolgt über das Editieren einer Text-Datei. Wer lieber eine grafische Oberfläche zur Konfiguration mag, der kann  z.B. system-config-samba benutzen.

 sudo system-config-samba 

Grundsätzlich sind einige wenige Einstellungen zu tätigen, damit die Freigabe von Verzeichnissen funktioniert.

Wichtig ist z.B. die Arbeitsgruppe festzulegen innerhalb der der Server zu sehen sein soll. Diese muss bei allen Rechnern in der Arbeitsgruppe die Selbe sein.

workgroup = MYHOME

Um ein Verzeichnis freizugeben reicht folgender Eintrag:

[public]
   comment = Daten
   path = /media/public
   browseable = yes
   read only = no
   guest ok = no

Für die Berechtigungen eines Samba Shares stehen folgende Optionen zur Verfügung:

create mask = 0660
force create mode = 0660
security mask = 000
force security mode = 660
directory mask = 0770
force directory mode = 0770
directory security mask = 000
force directory security mode = 0770
force group = private
force user = maxmuster

Das Zusammenspiel der einzelnen Optionen ist nicht ganz trivial. Verstanden habe ich das noch nicht so ganz. Werde den Beitrag aktualisieren, wenn ich es geschnallt habe.

Zum prüfen der Konfiguration führt man folgenden Befehl aus:

testparm

Falls testparm den folgenden Fehler meldet:

rlimit_max: increasing rlimit_max (1024) to minimum Windows limit (16384)

Kann man das Limit gleichzeitig geöffneter Dateien mit

ulimit -n 16384

erhöhen. Um sich das aktuelle Limit anzeigen zu lassen führt man folgenden Befehl aus:

ulimit -n

Um dieses Limit dauerhaft einzurichten muss die Datei /etc/security/limits.conf um eine weitere Zeile erweitert werden.

nano /etc/security/limits.conf

Folgende zusätzliche Zeile einfügen:

* - nofile 16384

Wie sich die Zeile zusammensetzt erfährt man mit

man limits.conf

Solange wir für die Authentifikation kein LDAP verwenden, haben wir bisher noch keinen Zugriff auf die freigegebenen Verzeichnisse. Da Samba seine Benutzer separat verwaltet, müssen wir noch die entsprechenden Benutzer anlegen. Das geht mit

sudo smbpasswd -a <username>

Oder

sudo pdbedit -a -u myusername

Das muss für jeden Benutzer gemacht werden.

Um sich alle Benutzer anzeigen zu lassen, kann man folgenden Befehl verwenden:

sudo pdbedit -L -v

Alternativ kann man auch das Paket  libpam-smbpass installieren, welches die Benutzer aus pam und samba synchronisiert.

no talloc stackframe at ../source3/param/loadparm.c:4864, leaking memory

Für die Synchronisation muss in der Datei /etc/pam.d/samba folgende Zeile angefügt werden:

@include common-password

In der Datei /etc/samba/smb.conf muss noch folgendes stehen:

# If you are using encrypted passwords, Samba will need to know what
# password database type you are using.
 passdb backend = tdbsam
 
 obey pam restrictions = yes
 
# This boolean parameter controls whether Samba attempts to sync
# the Unix password with the SMB password when the encrypted SMB
# password in the passdb is changed.
 unix password sync = yes
 
# For Unix password sync to work on a Debian GNU/Linux system,
# the following parameters must be set (thanks to Ian Kahan 
# <kahan@informatik.tu-muenchen.de> for sending the correct chat
# script for the passwd program # in Debian Sarge).
 passwd program = /usr/bin/passwd %u
 passwd chat = *Enter\snew\s*\spassword:* %n\n *Retype\snew\s*\spassword:* %n\n *password\supdated\ssuccessfully* .
 
# This boolean controls whether PAM will be used for password changes
# when requested by an SMB client instead of the program listed in
# 'passwd program'. The default is 'no'.
 pam password change = yes

Ein Feature, das mich schon oft vor Datenverlust bewahrt hat ist der Netzwerk-Papierkorb, der in Samba ab Version 3 zur Verfügung steht. Dabei werden beim Löschen von Dateien diese nicht direkt endgültig gelöscht, sondern in einen konfigurierbaren Ordner verschoben.

Um den Netzwerk-Papierkorb zu aktivieren muss man die [global] Sektion um folgende Einträge erweitern:

# Papierkorb einrichten
vfs object = recycle

# Verzeichnisrechte
recycle:directory_mode = 0770

# Pfad zum Papierkorb
recycle:repository = /media/data/Papierkorb

# Pfadangaben beibehalten
recycle:keeptree = yes

# Zeitstempel beim Verschieben setzen
recycle:touch = yes

# Gleichnamige Dateien nicht überschreiben
recycle:versions = yes

# Keine Größenbeschränkung
recycle:maxsize = 0'

# Sofort zu löschende Dateien
recycle:exclude = *.tmp,*.temp,~$*,*.$$$,Thumbs.db

# Auszuschließende Verzeichnisse
#recycle:exclude_dir = /

Löscht man jetzt eine Datei, wird diese nach /media/data/Papierkorb verschoben. Gibt man diesen noch als Share frei, hat man einen wunderbaren Mülleiner auf dem Samba Server.

Damit die Dateien im Papierkorb auch für die entsprechenden Papierkorb Benutzer verwaltbar sind legt man eine Gruppe recycler an und weist dieser die Benutzer zu die den Mülleimer pflegen dürfen.

Jetzt setzt man die Verzeichnisrechte so, dass neue Dateien und Verzeichnisse im Papierkorbverzeichnis automatisch die recycler Gruppe bekommen und somit alle Benutzer der Gruppe recycler Zugriff auf die Dateien im Papierkorb bekommen.

sudo chmod g+s /media/data/Papierkorb

Das geht natürlich nur für Umgebungen, mit wenigen Benutzer. Bei komplexen Umgebungen würde man eine Konfiguration bevorzugen die allen Benutzern gerecht wir und deren Rechte schützt. Aber für zu Hause ist das gut so.

Wenn man den Papierkorb als Share freigibt, muss man auf dem Share den Papierkorb deaktivieren. Dazu einfach folgende Option an die Konfiguration des Shares "Papierkorb" anfügen:

[Papierkorb]
 ...
 # Papierkorb deaktivieren
 vfs objects =

Damit kann ich auf dem Share "Papierkorb" Dateien und Verzeichnisse ganz normal löschen.

Alternativ kann man auch einen relativen Pfad als Papierkorb angeben. Dann hat man für jedes Share einen separaten Papierkorb:

recycle:repository = .recycler

Man könnte auch einen Papierkorb pro Benutzer einrichten:

recycle:repository = /media/data/Papierkorb/%U

Egal welche Variante  man bevorzugt, der Papierkorb lohnt sich auf jeden Fall, da eine Datei schnell mal aus Versehen gelöscht ist. Und die Datei von einem Backupmedium wiederherzustellen dauert oft länger als diese schnell aus dem Papierkorb zu fischen.

Um die Einstellungen anzuwenden, müssen die Dienste von samba neu gestartet werden.

sudo service smbd restart
sudo service nbmd restart