Postfix ist ein MTA (Mail Transfer Agent) und nimmt E-Mails entgegen und stellt diese entweder an ein lokales Postfach zu oder sendet diese an ein anderes System weiter. Für die Kommunikation untereinander verwenden MTAs häufig SMTP.

Wer die Pakete aus der Einleitung schon installiert hat, kann diesen Schritt überspringen. Die Installation von Postfix erfolgt über:

apt-get install postfix postfix-mysql

Nach der Installation sollte man den Konfigurationsassistenten nochmal aufrufen da er bei manuellem Aufruf mehr Fragen stellt:

dpkg-reconfigure postfix

Für die Konfiguration legen wir als erstes den Namensteil der Adresse fest, die hinter dem Benutzername und dem @ kommt:

sudo nano /etc/mailname

hier steht z.B. meinedomain.de. Siehe auch Debian Wiki.

Die Konfiguration von Postfix ist in zwei Dateien aufgesplittet. Zu einen ist das die main.cf, in der man, wenn ich das richtig verstanden habe, die globalen Einstellungen. In der master.cf werden die Dienste definiert und man kann hier für einzelne Dienste mit dem -o Parameter Einstellungen aus den globalen Einstellungen überschreiben, bzw. zusätzlich setzen.

Beginnen wir mit den globalen Einstellungen

sudo nano /etc/postfix/main.cf

Zunächst definieren wir den Hostnamen des Servers

# Name of the server
myhostname = homeserver.meinedomain.de

Dann legen wir den Domainnamen fest, der E-Mails von diesem Server angefügt werden soll:

# Domain to append to email
myorigin = /etc/mailname

Standardmäßig leitet Postfix alle Mails weiter, die von einem authorisierten Netzwerk Segmet kommen. Authorisierte Netzwerke legt man mit dem mynetworks Parameter fest. Vorsicht mit diesem Parameter, ist dieser falsch gesetzt, bekommt man möglichweise ein offenes Relay.

# Authorized networks
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

Benutzt man kein IPv6 kann man den IPv6 Anteil auch weglassen. Hab ihn nur als Notiz für mich mal drinnen gelassen. Vielleicht finde ich ja mal die Zeit und stelle mein lokales Netz mal auf IPv6 um.

Würden wir eine lokale Zustellung ohne virtuelle Domains verwenden, würden wir hier die Domains festlegen die lokal zugestellt werden sollen:

# Lokale Zustelldomains
mydestination = meinedomain.de, meinedomain.local, srv, localhost.localdomain, localhost

Da wir unsere Domains aber über die MySQL Datenbank pflegen wollen, bleibt dieser Eintrag leer. 

mydestination =

Folgendes definiert den Begrüßungstext wenn sich ein Benutzer mit dem Postfix Server verbindet:

# Welcome message
smtpd_banner = $myhostname ESMTP $mail_name

Wir akzeptieren Mails auf allen Netzwerk Devices

# Accept mail from all devices
inet_interfaces = all

Ich plane aktuell nur ipv4 einzusetzen, daher werde ich die Verwendung auf dieses Protokoll beschränken.

# Allowed protocols
inet_protocols = ipv4

Als nächstes tragen wir ein Maquerading für Domains ein. Lautet der Servername z.B. homeserver.meinedomain.de will man als Absender Adresse lieber benutzer@meinedomain.de anstatt benutzer@homeserver.meinedomain.de. Man kann auch Domains festlegen die nicht masktiert werden sollen, wie z.B. die Adresse von seinem Dyndns Anbieter. Hier muss der Domainname die Subdomain sein.

# Masquerade Domains
masquerade_domains = homeserver.mydomain.de !mydynname.dyndomain.com
masquerade_exceptions = root

Jetzt kommen noch ein paar weitere Konfigurationen, die man in der Postfix Anleitung nachschlagen kann/soll. 

# Send new mail notification with "biff"
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# How long to wait before sending "delayed mail" warnings
delay_warning_time = 4h

# How many addresses cat be used in one message.
# Effective stopper to mass spammers
default_recipient_limit = 16

# Mailbox size (0=no limit)
mailbox_size_limit = 0

# Maximale Nachrichtengröße (1GB)
message_size_limit = 1024000000

# Location of the Postfix Readme files
readme_directory = no

recipient_delimiter = 

Man kann sich die Standardparameter die Postfix verwendet übrigens anzeigen lassen mit

postconf -d

Alle vom Standard abweichenden Einstellungen bekommt man mit:

postconf -n

Damit Passwörter beim Versand von E-Mails nicht im Klartext-Format übertragen werden, und damit von Dritten ausgespäht werden könnten, sollte man die Verbindung per TLS (Transport Layer Security) ehemals SSL verschlüsseln. Ein selbstsigniertes Zertifikat kann man über das Paket ssl-cert bekommen.

Um die Verschlüsselung per Zertifikat zu aktivieren müssen folgende Zeilen in die /etc/postfix/main.cf

# TLS parameters
smtpd_tls_security_level = may
smtpd_tls_auth_only = yes
smtpd_tls_sasl_security_options = noanonymous

Ausserdem müssen noch die Pfade zu den Zertifikaten gesetzt werden:

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key

Benutzt man z.B. ein Zertifikat von StartSSL muss man noch das Intermediate Zertifikat im Server Zertifikat unterbringen:

sudo cat my-server-cert.pem sub.class1.server.ca.pem > /etc/ssl/certs/startssl/postfix.pem
sudo cp mykey.pem /etc/ssl/startssl/private/key.pem

Die Konfiguration würde dann so aussehen:

smtpd_tls_CAfile=/etc/ssl/certs/StartCom_Certification_Authority.pem
smtpd_tls_cert_file=/etc/ssl/startssl/postfix.pem
smtpd_tls_key_file=/etc/ssl/startssl/private/key.pem 

Unbedingt darauf achten, dass der Key nur für root lesbar ist um diesen vor unbefugtem Zugriff zu schützen.

Mann kann für smtpd_tls_security_level statt may auch encrypt verwenden, dann ist die TLS Verbindung Voraussetzung für die Verbindung und Postfix weist Clients ab die kein TLS unterstützen.

smtpd_tls_security_level = encrypt

Die Option smtpd_tls_auth_only bewirkt dass Clients erst ein STARTSSL senden müssen bevor sie irgendwelche AUTH-Mechanismen von Postfix angeboten bekommen.

Es ist empfehlenswert das TLS Session Caching zu aktivieren, da das Aushandeln einer Session recht ressourcenintensiv ist.

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

Zum Testen der Verbindung und des Zertifikates folgendes ausführen:

echo "quit" | openssl s_client -starttls smtp -connect localhost:587

Die Gültigkeitsdauer des Zertifikates bekommt man mit:

echo "quit" | openssl s_client -starttls smtp -connect localhost:587 | openssl x509 -noout -enddate

Für die SASL Authentifikation benötigen wir noch das folgende Paket:

sudo apt-get install libsasl2-modules

Damit postfix weiß welche Benutzer die Erlaubnis zum Senden von Mails haben, muss Postfix den Socket von Dovecot benutzen den wir bei der Einrichtung von Dovecot angelegt haben. Dazu muss folgende in die main.cf:

# SASL Auth
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

Falls man Microsoft Outlook 2000-2003 erlauben will, sollte noch dieser Parameter gesetzt werden:

broken_sasl_auth_clients = yes

Anscheinend ist es wohl eine "Good Practice" für den Versand von Mails von seinen Nutzern einen eigenen Port, den submission Port  (TCP 587), zu verwenden und den Standard Port 25 für die Kommunikation der MTAs untereinander freizuhalten. Mithilfe des Submission Ports öffnet Postfix einen zusätzlichen Port über den nur dann E-Mails versendet werden können, wenn der Nutzer sich authentifiziert hat.

Dazu muss folgendes in die master.cf:

submission inet n - - - - smtpd
 -o syslog_name=postfix/submission
 -o smtpd_tls_security_level=encrypt
 -o smtpd_sasl_auth_enable=yes
 -o smtpd_sasl_type=dovecot
 -o smtpd_sasl_path=private/auth
 -o smtpd_sasl_security_options=noanonymous
 -o smtpd_client_restrictions=permit_sasl_authenticated,reject

In der master.cf gibt es bereits einen Bereich mit einer Definition des submission Ports. Darauf achten dass dieser auskommentiert ist.

Siehe auch Dovecot Wiki.

Im Dovecot Artikel haben wir einen LMTP Socket für die lokale Zustellung von Mails eingerichtet. Damit dieser verwendet wird müssen wir diesen Postfix über die main.cf noch bekannt geben:

# Use Dovecot LMTP Service to deliver Mails
virtual_transport = lmtp:unix:private/dovecot-lmtp

Auch Postfix wird wie Dovecot an eine MySQL Datenbank angebunden. Das vereinfacht die Administration, da man Benutzer und Domains bequem über Datenbank Tabellen pflegen kann.

Dazu legt man in der Datenbank vmail ein paar neue Tabellen an:

# Tabelle für Domains
CREATE TABLE domains (
    domain VARCHAR(128) NOT NULL,
    UNIQUE (domain)
);
# Tabelle für Aliase
CREATE TABLE aliases (
    id INT UNSIGNED AUTO_INCREMENT NOT NULL,
    source VARCHAR(128) NOT NULL,
    destination VARCHAR(128) NOT NULL,
    UNIQUE (id),
    PRIMARY KEY (source, destination)
);

In die main.cf kommen folgende Einträge:

# MySQL
virtual_alias_maps = mysql:/etc/postfix/virtual/mysql-aliases.cf
virtual_mailbox_maps = mysql:/etc/postfix/virtual/mysql-maps.cf
virtual_mailbox_domains = mysql:/etc/postfix/virtual/mysql-domains.cf
local_recipient_maps = $virtual_mailbox_maps

Die hier referenzierten Dateien müssen noch angelegt werden:

sudo mkdir /etc/postfix/virtual
cd /etc/postfix/virtual

In den folgenden Dateien werden die Verbindungsparameter für den Zugriff auf die Datenbank sowie der Query für die entsprechende Aktion festgelegt. Der Wert für password entspricht also dem Passwort des Datenbankbenutzers vmail für die Datenbank vmail.

In die Datei mysql-aliases.cf kommt folgender Inhalt:

user = vmail
password = mysecret
hosts = 127.0.0.1
dbname = vmail
query = SELECT destination FROM aliases WHERE source='%s'

In die Datei mysql-maps.cf kommt dieser Inhalt:

user = vmail
password = mysecret
hosts = 127.0.0.1
dbname = vmail
query = SELECT * FROM users WHERE username='%u' AND domain='%d'

Und in die Datei mysql-domains.cf muss folgendes:

user = vmail
password = mysecret
hosts = 127.0.0.1
dbname = vmail
query = SELECT * FROM domains WHERE domain='%s'

Zum Schluss die Dateien nur für root lesbar machen:

sudo chmod 660 -R /etc/postfix/virtual/

Jetzt müssen die Tabellen noch mit gültigen Werten gefüllt werden. Dazu verbinden wir uns zur MySQL Datenbank:

mysql -u root -p
use vmail;

und fügen zunächst einen Domain Datensatz ein:

INSERT INTO domains (domain) VALUES ('meinedomain.de');

Einen Benutzer haben wir ja bereits im letzten Artikel, bei der Installation des Dovecot Servers, angelegt.

Und Aliase sollten mindestens für root und postmaster angelegt werden.

INSERT INTO aliases (source, destination) VALUES ('root@meinedomain.de', 'me@meinedomain.de');
INSERT INTO aliases (source, destination) VALUES ('postmaster@meinedomain.de', 'me@meinedomain.de');

Mit der Einstellung smtpd_relay_restrictions (bzw. smtpd_recipient_restrictions vor Postfix 2.10) kann man Postfix sagen, wann eine Mail die am SMTP Server ankommt angenommen oder direkt abgewiesen werden soll.

Standardmäßig akzeptiert Postfix Mails die eine der folgende Kritieren erfüllt:

• Mails von Clients deren IP Adresse auf $mynetworks passt
• Mails die an entfernte Empfänger gerichtet sind, die auf $relay_domains zutreffen, ausser Adressen die ein senderspezifiisches routing (user@elsewhere@domain) enthalten
• Mails an lokale Empfänger die auf $inet_interfaces oder $proxy_interfaces, $mydestination, $virtual_alias_domains, oder $virtual_mailbox_domains zutreffen

Siehe Postfix.org.

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

Diesem Thema werde ich in nächster Zeit einen eigenen Blogbeitrag widmen.

Im E-Mail Client, wie z.B. Thunderbird müssen folgende Werte für den Versand von Mails über SMTP eingestellt werden:

Es folgen noch ein paar weitere Konfigurationsmöglichkeiten für Postfix, die ich gefunden habe aber nicht einsetzen werde aber dennoch so interessant sind, dass ich sie mir hier notieren möchte. Zu beachten ist, dass ich diese nicht getestet habe, also nicht wundern wenn es nach dem Copy-Pasten nicht funktioniert.

Um Mails mit bestimmten Dateien im Anhang gleich von vornherein abzufangen, legt man eine Datei /etc/postfix/attachment_check mit einem RegExp an:

/^((Content-(Disposition: attachment;|Type:).*|\ +)| *) (file)?name\ *=\ *"?.*\. (lnk|asd|hlp|ocx|reg|bat|c[ho]m|cmd|exe |dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh]|wmf)"?\ *$/ REJECT attachment type not allowed

Darauf achten, dass das hier eine einzige Zeile ist, ggf. Zeilenumbrüche entfernen.

Dann trägt man diese Datei als mime_header_checks in die main.cf ein:

mime_header_checks = pcre:/etc/postfix/attachment_check 

Postfix Documentation

How to set up a mail server on a GNU / Linux system von Ivar Abrahamsen

Postfix - Erweiterte Konfiguration

Wiki Ubuntuusers - Serverdienste für Mailserver