Debian 11.5 rauf auf den Asinus<\/h4>\n\n\n\n
Wenn eine Software von einer \u00f6ffentlichen Stelle wie Debian.org<\/a> heruntergeladen wird, muss hinterher immer eine Verifikation stattfinden. Das mache ich in der Regel mit dem Windows-Tool «HashMyFiles». Und die SHA256Sum des Image «debian-11.5.0-i386-netinst.iso» findet man hier<\/a>. H\u00e4ufig gestellte Fragen \u00fcber Debian-Installations-Images siehe Debian CD FAQ<\/a>. Dies ist das Resultat der Verifikation:<\/p>\n\n\n\n Das Flashen des Images «debian-11.5.0-i386-netinst.iso» auf einen 4 GB USB-Stick erfolgte mit dem Tool «Rufus<\/a>» (Ver. 3.20.1929):<\/p>\n\n\n\n Beim Asinus muss man zum Starten des USB-Sticks im BIOS die Ger\u00e4tereihenfolge so \u00e4ndern, dass der Stick beim n\u00e4chsten Booten das Debian 11.5 i386 als Erstes startet. Dann habe ich die Optionen eingegeben:<\/p>\n\n\n\n Dann kommt «leider» die folgende Meldung<\/p>\n\n\n\n Die Datei \u201efirmware-ralink_0.43_all.deb\u201c wurde unter dem Link<\/a> gefunden und auf einen anderen USB-Stick geladen und in einem anderen USB-Steckplatz eingesteckt. Beim Einlegen des USB-Sticks und die Selektion von «Ja» (siehe oben) wurde die Datei gelesen. Das hat geklappt. Danach ging es weiter mit der Installation des Betriebssystems Debian 11.5.<\/p>\nhttps:\/\/packages.debian.org\/search?searchon=contents&keywords=rt2860.bin<\/cite><\/blockquote>\n\n\n\n Es ist nat\u00fcrlich empfehlenswert, die Schnittstelle «eth0» zu w\u00e4hlen, die hier maximal 100 Mbps aufweist. Das gen\u00fcgt f\u00fcr unser Projekt «Ein unm\u00f6glicher P\u00f6stler». Au\u00dferdem stehen die Partitionierungsdaten f\u00fcr die 32 GB microSDHC nicht zur Verf\u00fcgung, statt dessen sind im folgenden Beispiel die Daten f\u00fcr die 160 GB Originalfestplatte f\u00fcr Debian 8 aufgef\u00fchrt.<\/p>\n\n\n\n [ ] Debian desktop environment Nur die letzten beiden Optionen sind aktiviert. Den Rest braucht es f\u00fcr dieses Projekt nicht.<\/p>\n<\/blockquote>\n\n\n\n Der erste Teil der zugrunde liegenden Anleitung f\u00fcr diesen Mailserver stammt vom folgenden Link<\/a>. Der Asinus ist jedoch an einem Modem von UPC Cablecom (neu: Sunrise<\/a>) angeschlossen, welches im Bridge Mode geschaltet ist. Der Bridge Mode vergibt dem Asinus via DHCP die IP-Adresse 84.74.0.14\/22 (1022 Hosts), welche leider in der SORBS-Datenbank<\/a> gelistet ist, obwohl noch gar keine Mails gesendet worden sind. Das ist nat\u00fcrlich ein Problem und es wird auch nicht das einzige sein. Ich komme aber sp\u00e4ter noch darauf zur\u00fcck. Zun\u00e4chst wollen wir Postfix so gut wie m\u00f6glich konfigurieren.<\/p>\n\n\n\n Sobald die IP-Adresse des ISP bekannt ist, kann man via SSH (dieses Protokoll habe ich ja bei der Konfiguration aktiviert) auf den Server zugreifen. Aber die Domain «ifit.at» muss auch noch in der DNS-Zone von Swiss-DNS<\/a> als A Record (und sp\u00e4ter noch als MX sowie verschiedenen TXT Records) eingetragen sein.<\/p>\n\n\n\n Dann kann man im PuTTY oder via Terminal auf einen anderen Linux-Client oder -Server auf den Asinus schon zugreifen. Hinweis: Das Packet \u201esudo\u201c habe ich auf der Console installiert und den Benutzer «louis» nachher in «visudo» eingetragen, damit dieser Benutzer auch \u00fcber SSH sudo-Rechte bekommen kann.<\/p>\n\n\n\n Hinweis: \u201esudo\u201c und \u201elouis\u201c sind bereits installiert! Der MX Record muss in der DNS Zone «ifit.at» auch definiert sein.<\/p>\n<\/blockquote>\n\n\n\n Dies ist der zweite Teil der Originalanleitung und den findet man hier<\/a>. Als erste Ma\u00dfnahme richte ich das automatisch Login ein. Es wird jedoch vorausgesetzt, dass ein Schl\u00fcsselpaar von Private und Public Key vorhanden ist. Wenn nicht, dann g\u00e4be es unter dem Link Security<\/a> von RaspiBolt<\/a> eine ausf\u00fchrliche Anleitung. Unter Linux w\u00e4re der erste Befehl «ssh-copy-id louis@mail.ifit.at» hilfreich, danach ginge es mit dem Befehl «ssh louis@mail.ifit.at» weiter. Aber machen Sie das nicht auf dem Asinus, da Sie beim ersten Befehl das starke Passwort nicht wissen.<\/p>\n\n\n\n Der folgende Befehl installiert den Apache-Webserver, falls er noch nicht auf dem System installiert ist. Ausserdem ist n\u00f6tig, den Port 80 (siehe oben) zumindest tempor\u00e4r offen zu halten. Sie k\u00f6nnen dann sp\u00e4ter (nach der Zertifizierung) den «Tag der Offenen T\u00fcr» wieder beenden!<\/p>\nLet’s Encrypt r\u00e4t jedoch den Port 80 auch nach der Zertifizierung offen zu behalten. Warum, ist mir nach vielen Jahren Verwendung immer noch nicht ganz klar!<\/cite><\/blockquote>\n\n\n\n Nach der Zertifizierung schlie\u00dfe ich normalerweise Port 80 wieder und f\u00fchre den Befehl «https:\/\/www.ssllabs.com\/ssltest\/analyze.html?d=mail.ifit.at<\/strong>» im Browser aus. Wenn man kein gr\u00fcnes A+ bekommt, dann stimmt ‚was nicht. Das geht aber hier jetzt nicht mehr, weil es einen Konflikt mit der Subdomain «postfixadmin.ifit.at» gibt, die im dritten Teil<\/a> der Originalanleitung behandelt wird. <\/p>\nhttps:\/\/www.ssllabs.com\/ssltest\/analyze.html?d=postfixadmin.ifit.at<\/cite><\/blockquote>\n\n\n\n Das Zertifikat wird nicht t\u00e4glich (das finde ich echt etwas zu viel), sondern w\u00f6chentlich erneuert. Ausserdem empfiehlt Let’s Encrypt, den Port 80 offen zu lassen. Falls «crontab» Fehlermeldungen produziert oder das Zertifikat nicht automatisch erneuert werden sollte, dann w\u00e4re das ein Hinweis, dass Let’s Encrypt den Port 80 f\u00fcr diesen Zweck offen haben will. Dann k\u00f6nnte man sich \u00fcberlegen, die Erneuerung manuell alle drei Monate zu vollziehen und dabei den Port 80 kurzfristig zu \u00f6ffnen und nach dem positiven SSLLab-Test wieder zu schlie\u00dfen.<\/p>\n<\/blockquote>\n\n\n\n Nachdem ich die Konfiguration von Part 2 nochmals durchgegangen bin, habe ich die Benutzer «louis» und «lavenetz» in Thunderbird sowie «colin» auf einem Huawei und «alisha» auf einem iPhone7+ gestestet. Obwohl die Kommunikation zwischen den lokalen Benutzern des Asinus hervorragend funktionieren, haben sie keine l\u00e4ngerfristige Bedeutung, da im n\u00e4chsten Teil 3 PostfixAdmin<\/a> virtuelle Accounts eingef\u00fchrt werden und die lokalen nicht mehr funktionieren. Nun kann ich die zweite Datensicherung durchf\u00fchren. Die Datei lautet: 2022-11-26-Asinus-i386-on-Debian-11.5-Server-Linux-Kernel-5.10.0-19-686-pae+Postfix+Dovecot.img<\/strong><\/p>\n\n\n\n Im dritten Teil der Originalanleitung wird das relativ heikle Thema PostfixAdmin<\/a> behandelt. In den vorigen Teilen habe ich gezeigt, wie Postfix-SMTP-Server und Dovecot-IMAP-Server eingerichtet werden, aber bisher waren nur E-Mail-Adressen f\u00fcr Benutzer mit lokalem Unix-Konten m\u00f6glich. Dieser Teil erm\u00f6glicht, virtuelle Postf\u00e4cher auf dem Debian-Mailserver mit PostfixAdmin zu erstellen, einer webbasierten Open-Source-Schnittstelle zum Konfigurieren und Verwalten eines Postfix-basierten E-Mail-Servers f\u00fcr mehrere Domains und Benutzer. Als Erstes installiere ich den Datenbankserver MariaDB.<\/p>\n\n\n\n700a775805262e16858f64eebe1a3317edef568fc44a5d55fa6f8ce48301acb2 debian-11.5.0-i386-netinst.iso\n700a775805262e16858f64eebe1a3317edef568fc44a5d55fa6f8ce48301acb2 HashMyFiles OK<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-5.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-1.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-2.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-3.png\")
<\/figure>\n\n\n\nStart \u201edebian-11.5.0-i386-netinst.iso\u201c<\/a><\/h4>\n\n\n\n
\n
Teile Ihrer Hardware ben\u00f6tigen nicht-freie Firmware-Dateien, um zu funktionieren. Die Firmware kann von einem Wechseldatentr\u00e4ger, wie einem USB-Stick oder einer Diskette, geladen werden. Die fehlenden Firmware-Dateien sind: rt2860.bin. Falls Sie ein solches Medium nun vorliegen haben, legen\/stecken Sie es ein und fahren Sie fort.\nNein\nJa<\/strong><\/code><\/pre>\n\n\n\n\n
Bemerkung zum Ralink-Treiber<\/h5>\n\n\n\n
\n
eth0: Qualcomm Atheros AR8121\/AR8113 Gigabit or Fast-Ethernet<\/strong>\nwlan0: Ralink Corp. RT2790 Wireless 802.11n IT\/2R PCIe<\/code><\/pre>\n\n\n\n\n
Gef\u00fchrte Partitionierung\nSoftware-RAID konfigurieren\nLogical Volume Manager konfigurieren\nVerschl\u00fcsselte Datentr\u00e4ger konfigurieren\niSCSI-Volumes konfigurieren\nSCSI1 (0,0,0) (sda) \u2013 160.0 GB ATA ST9160827AS\n\tNr. 1 prim\u00e4r\t155.8 GB\tf\text4\t\t\/\n\tNr. 5\tlogisch\t 4.3 GB\tf\tSwap\t\tSwap<\/code><\/pre>\n\n\n\n\n
[ ] \u2026 Gnome
[ ] \u2026 Xfce
[ ] \u2026 KDE
[ ] \u2026 Cinnamon
[ ] \u2026 MATE
[ ] \u2026 LXDE
[ ] Webserver
[ ] Druckerserver (gel\u00f6scht, da unn\u00f6tig vom Installer ausgew\u00e4hlt!)
[*] SSH Server<\/strong>
[*] Standard-Systemwerkzeuge<\/strong><\/p>\n\n\n\n\n
Hinweis zur Paketverwendungserfassung<\/h5>\n\n\n\n
Es scheint, als ob diese Installation von Debian das einzige Betriebssystem auf diesem Computer ist. Wenn dies der Fall ist, sollte es kein Problem sein, den Bootloader in den Master Boot Record Ihrer ersten Festplatte zu installieren.\nWarnung: Wenn der Installer eines anderen Betriebssystems auf Ihrem Computer nicht richtig erkennt, Sie aber den Master Boot Record ver\u00e4ndern, werden Sie dieses andere Betriebssystem vorl\u00e4ufig nicht mehr starten k\u00f6nnen. Allerdings kann GRUB im Nachhinein manuell konfiguriert werden, so dass das andere Betriebssystem wieder startet.\nDen GRUB-Bootloader in den Master Boot Record installieren? Ja<\/strong>\n\nDas neu installierte System muss boot-F\u00e4hig gemacht werden, indem der GRUB-Bootloader auf einem boot-f\u00e4higen Medium installiert wird. Gew\u00f6hnlich wird dazu GRUB im Master Boot Record Ihrer ersten Festplatte installiert. Wenn Sie m\u00f6chten, k\u00f6nnen Sie GRUB auch auf einer anderen Partition, einem anderen Laufwerk oder auf einer Diskette installieren.\n\nGer\u00e4t f\u00fcr die Bootloader-Installation:\n\t\tGer\u00e4t on Hand eingeben\n\t\t\/dev\/sda (ata-ST9160828AS_SRF188D0)<\/strong>\n\nInstallation abgeschlossen<\/strong>\nDie Installation ist abgeschlossen und es ist an der Zeit, Ihr neues System zu starten. Achten Sie darauf, das Installationsmedium zu entfernen (CD, Disketten), so dass Sie das neue System starten statt einer erneuten Installation. <Weiter><\/strong><\/code><\/pre>\n\n\n\nBuild Email Server From Scratch on Debian \u2013 Basic Postfix Setup<\/h3>\n\n\n\n
Internet Service Providers (ISP)<\/h4>\n\n\n\n
![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-15.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-16.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-17.png\")
<\/figure>\n\n\n\nFirewall UFW f\u00fcr SSH aktivieren <\/h4>\n\n\n\n
louis@mail:~$ sudo apt install ufw\nlouis@mail:~$ sudo ufw default deny incoming\nlouis@mail:~$ sudo ufw default allow outgoing\nlouis@mail:~$ sudo ufw allow ssh\nlouis@mail:~$ sudo ufw enable\nlouis@mail:~$ ...\nlouis@mail:~$ sudo ufw status numbered\nStatus: active\n To Action From\n -- ------ ----\n[ 1] 22\/tcp ALLOW IN Anywhere<\/code><\/pre>\n\n\n\nHostname des Mailserver \u00fcberpr\u00fcfen<\/h4>\n\n\n\n
\n
louis@mail:~$ hostname -f\nmail.ifit.at<\/code><\/pre>\n\n\n\nMX Record f\u00fcr den Mailserver<\/h4>\n\n\n\n
![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-10.png\")
louis@mail:~$ dig -x 84.74.0.14 +short<\/strong>\n84-74-0-14.dclient.hispeed.ch.\n\nlouis@mail:~$ host 84.74.0.14<\/strong>\n14.0.74.84.in-addr.arpa domain name pointer 84-74-0-14.dclient.hispeed.ch.<\/code><\/pre>\n\n\n\nPostfix SMTP Server installieren<\/h4>\n\n\n\n
louis@mail:~$ sudo apt-get install postfix -y<\/code><\/pre>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-11-1024x581.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-12-1024x581.png\")
<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-13-1024x581.png\")
<\/figure>\n\n\n\nlouis@mail:~$ sudo postconf mail_version<\/strong>\nmail_version = 3.5.13\n\nlouis@mail:~$ sudo ss -lnpt | grep master<\/strong>\nLISTEN 0 100 0.0.0.0:25 0.0.0.0:* users:((\"master\",pid=1857,fd=13))\nLISTEN 0 100 [::]:25 [::]:* users:((\"master\",pid=1857,fd=14))\n\nlouis@mail:~$ dpkg -L postfix | grep \/usr\/sbin\/<\/strong>\n\/usr\/sbin\/postalias\n\/usr\/sbin\/postcat\n\/usr\/sbin\/postconf\n\/usr\/sbin\/postdrop\n\/usr\/sbin\/postfix\n\/usr\/sbin\/postfix-add-filter\n\/usr\/sbin\/postfix-add-policy\n\/usr\/sbin\/postkick\n\/usr\/sbin\/postlock\n\/usr\/sbin\/postlog\n\/usr\/sbin\/postmap\n\/usr\/sbin\/postmulti\n\/usr\/sbin\/postqueue\n\/usr\/sbin\/postsuper\n\/usr\/sbin\/posttls-finger\n\/usr\/sbin\/qmqp-sink\n\/usr\/sbin\/qmqp-source\n\/usr\/sbin\/qshape\n\/usr\/sbin\/rmail\n\/usr\/sbin\/sendmail\n\/usr\/sbin\/smtp-sink\n\/usr\/sbin\/smtp-source<\/code><\/pre>\n\n\n\nFirewall mit TCP Port 25 erg\u00e4nzen<\/h4>\n\n\n\n
louis@mail:~$ sudo ufw allow 25\/tcp<\/strong>\nlouis@mail:~$ sudo ufw status<\/strong>\nStatus: active\nTo Action From\n-- ------ ----\n22\/tcp ALLOW Anywhere\n25\/tcp ALLOW Anywhere\n\nhttps:\/\/www.ipvoid.com\/port-scan\/<\/strong>\nPort Scanning Results\nPort\tType\tStatus\tService\n21\tTCP\t Filtered\tftp\n22\tTCP\t Open\t\tssh<\/strong>\n23\tTCP\t Filtered\ttelnet\n25\tTCP\t Open\t\tsmtp<\/strong>\n53\tTCP\t Filtered\tdomain\n80\tTCP\t Filtered\thttp\n110\tTCP\t Filtered\tpop3\n111\tTCP\t Filtered\trpcbind\n135\tTCP\t Filtered\tmsrpc\n139\tTCP\t Filtered\tnetbios-ssn\n...<\/code><\/pre>\n\n\n\nAuf TCP Port 25 von Google zugreifen<\/h4>\n\n\n\n
louis@mail:~$ sudo apt install telnet<\/strong>\nlouis@mail:~$ telnet gmail-smtp-in.l.google.com 25<\/strong>\nTrying 108.177.119.26...\nConnected to gmail-smtp-in.l.google.com.\nEscape character is '^]'.\n220 mx.google.com ESMTP oq19-20020a170906cc9300b007c0d428795dsi6062953ejb.191 - gsmtp\nquit\n221 2.0.0 closing connection oq19-20020a170906cc9300b007c0d428795dsi6062953ejb.191 - gsmtp\nConnection closed by foreign host.<\/code><\/pre>\n\n\n\nPostfix Hostname richtig setzen<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/postfix\/main.cf<\/strong>\n...\nmyhostname = mail.ifit.at<\/strong>\nalias_maps = hash:\/etc\/aliases\nalias_database = hash:\/etc\/aliases\nmyorigin = \/etc\/mailname\nmydestination = $myhostname, ifit.at, mail.ifit.at, localhost.ifit.at, localhost\nrelayhost =\nmynetworks = 127.0.0.0\/8 [::ffff:127.0.0.0]\/104 [::1]\/128\nmailbox_size_limit = 0\nrecipient_delimiter = +\ninet_interfaces = all\ninet_protocols = all\n...\nlouis@mail:~$ sudo systemctl restart postfix<\/strong><\/code><\/pre>\n\n\n\n\n
Hinweis zu «myhostname»<\/h5>\nSobald «myhostname» (siehe oben 3. Zeile) in Postfix gesetzt ist, spielt der Hostname des Betriebssystems keine Rolle mehr. Der Hostname des Betriebssystems kann in einen beliebigen Hostnamen ge\u00e4ndert werden.<\/cite><\/blockquote>\n\n\n\n
Email Alias generieren<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/aliases<\/strong>\n# See man 5 aliases for format\npostmaster: root\nroot: louis\nlouis@mail:~$ sudo newaliases<\/strong><\/code><\/pre>\n\n\n\n\n
Hinweis zur 1. Datensicherung<\/h5>\nEs werden in diesem Blog nicht alle Einzelheiten, die ich zwar von der Originalanleitung \u00fcbernommen habe, aufgezeichnet, da sie nicht unbedingt zwingend sind. Der Leser kann dies aber jederzeit selbst tun. Man kann zwar mit «telnet», «sendmail» und «mailutils» (siehe Step 8: Email <\/strong>in der Originalanleitung<\/a>) schon Mails senden und lesen, aber das verwirrt eher als es zu einer vertieften Einsicht verhilft. Es gibt jedoch schon auch gewisse praktische Punkte, die auch in der Originalanleitung fehlen. Was z.B. zu empfehlen ist, ist nach jedem Part eine Datensicherung durchzuf\u00fchren, d.h. ein Image zu schreiben. Ich verwende hierzu das Tool Win32DiskImager.exe<\/strong> in Windows 10. Die erste Sicherungsdatei (Image) lautet bei mir: «2022-11-25-Asinus-i386-on-Debian-11.5-Server-Linux-Kernel-5.10.0-19-686-pae+Postfix.img<\/strong>«. Selbstverst\u00e4ndlich wurde auch eine Verifikation durchgef\u00fchrt.<\/cite><\/blockquote>\n\n\n\n
![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-18-1024x499.png\")
<\/figure>\n\n\n\nInstall Dovecot IMAP Server on Debian & Enable TLS Encryption<\/h3>\n\n\n\n
Automatisches Login (Keys)<\/a><\/h4>\n\n\n\n
louis@mail:~$ pwd<\/strong>\n\/home\/louis\nlouis@mail:~$ mkdir .ssh<\/strong>\nlouis@mail:~$ nano .ssh\/authorized_keys<\/strong>\n ### Public Key einf\u00fcgen ###\nlouis@mail:~$ chmod -R 700 .ssh\/<\/strong>\nlouis@mail:~$ chown -R louis:louis ~\/.ssh<\/strong>\nlouis@mail:~$ chmod 600 ~\/.ssh\/authorized_keys<\/strong>\nlouis@mail:~$ sudo nano \/etc\/ssh\/sshd_confi<\/strong>g\n ### PasswordAuthentication yes => no ###\nlouis@mail:~$ sudo service ssh restart<\/strong><\/code><\/pre>\n\n\n\n<\/figure>\n\n\n\n![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-19.png\")
<\/figure>\n\n\n\n<\/figure>\n\n\n\nPorts in Firewall \u00f6ffnen (nur IMAP)<\/h4>\n\n\n\n
louis@mail:~$ sudo ufw allow 80,443,587,465,143,993\/tcp<\/strong>\nRule added\nRule added (v6)\nlouis@mail:~$ sudo ufw status numbered<\/strong>\nStatus: active\n To Action From\n -- ------ ----\n[ 1] 22\/tcp ALLOW IN Anywhere\n[ 2] 80,143,443,465,587,993\/tcp ALLOW IN Anywhere\n[ 3] 80,143,443,465,587,993\/tcp (v6) ALLOW IN Anywhere (v6)\nlouis@mail:~$ sudo ufw delete 3<\/strong>\nDeleting:\n allow 80,143,443,465,587,993\/tcp\nProceed with operation (y|n)? y<\/strong>\nRule deleted (v6)\nlouis@mail:~$ sudo ufw status numbered<\/strong>\nStatus: active\n To Action From\n -- ------ ----\n[ 1] 22\/tcp ALLOW IN Anywhere\n[ 2] 80,143,443,465,587,993\/tcp ALLOW IN Anywhere<\/code><\/pre>\n\n\n\nEmail Server sichern mit TLS Zertifikat<\/h4>\n\n\n\n
louis@mail:~$ sudo apt update && sudo apt upgrade<\/strong>\nlouis@mail:~$ sudo apt install certbot<\/strong><\/code><\/pre>\n\n\n\n\n
Hinweis zum Port 80<\/h5>\n\n\n\n
louis@mail:~$ sudo apt install python3-certbot-apache<\/strong>\nlouis@mail:~$ sudo nano \/etc\/apache2\/sites-available\/mail.ifit.at.conf<\/strong>\n<VirtualHost *:80>\n ServerName mail.ifit.at\n\n DocumentRoot \/var\/www\/html\/\n<\/VirtualHost>\nlouis@mail:~$ sudo a2ensite mail.ifit.at.conf<\/strong>\nEnabling site mail.ifit.at.\nTo activate the new configuration, you need to run:\n systemctl reload apache2\nlouis@mail:~$ sudo a2dissite 000-default<\/strong>\nSite 000-default disabled.\nTo activate the new configuration, you need to run:\n systemctl reload apache2\nlouis@mail:~$ sudo systemctl reload apache2<\/strong>\nlouis@mail:~$ sudo certbot certonly -a apache --agree-tos --no-eff-email --staple-ocsp --email web@ifit.ch -d mail.ifit.at<\/strong>\nSaving debug log to \/var\/log\/letsencrypt\/letsencrypt.log\nPlugins selected: Authenticator apache, Installer None\nAccount registered.\nRequesting a certificate for mail.ifit.at\nPerforming the following challenges:\nhttp-01 challenge for mail.ifit.at\nEnabled Apache rewrite module\nWaiting for verification...\nCleaning up challenges\n\t\nIMPORTANT NOTES:\n - Congratulations<\/strong>! Your certificate and chain have been saved at:\n \/etc\/letsencrypt\/live\/mail.ifit.at\/fullchain.pem\n Your key file has been saved at:\n \/etc\/letsencrypt\/live\/mail.ifit.at\/privkey.pem\n Your certificate will expire on 2023-02-23. To obtain a new or\n tweaked version of this certificate in the future, simply run\n certbot again. To non-interactively renew *all* of your\n certificates, run \"certbot renew\"\n - If you like Certbot, please consider supporting our work by:\n Donating to ISRG \/ Let's Encrypt: https:\/\/letsencrypt.org\/donate\n Donating to EFF: https:\/\/eff.org\/donate-le<\/code><\/pre>\n\n\n\n\n
Hinweis zum gr\u00fcnen A+<\/h5>\n\n\n\n
![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-50.png\")
<\/figure>\n\n\n\nSubmission Service in Postfix aktivieren<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/postfix\/master.cf<\/strong>\n...\nsubmission inet n - y - - smtpd\n -o syslog_name=postfix\/submission\n -o smtpd_tls_security_level=encrypt\n -o smtpd_tls_wrappermode=no\n -o smtpd_sasl_auth_enable=yes\n -o smtpd_relay_restrictions=permit_sasl_authenticated,reject\n -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject\n -o smtpd_sasl_type=dovecot\n -o smtpd_sasl_path=private\/auth\n...\nsmtps inet n - y - - smtpd\n -o syslog_name=postfix\/smtps\n -o smtpd_tls_wrappermode=yes\n -o smtpd_sasl_auth_enable=yes\n -o smtpd_relay_restrictions=permit_sasl_authenticated,reject\n -o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject\n -o smtpd_sasl_type=dovecot\n -o smtpd_sasl_path=private\/auth\n...\nlouis@mail:~$ sudo nano \/etc\/postfix\/main.cf<\/strong>\n...\n# TLS parameters\n#smtpd_tls_cert_file=\/etc\/ssl\/certs\/ssl-cert-snakeoil.pem\n#smtpd_tls_key_file=\/etc\/ssl\/private\/ssl-cert-snakeoil.key\nsmtpd_tls_security_level=may\nsmtp_tls_CApath=\/etc\/ssl\/certs\nsmtp_tls_security_level=may\nsmtp_tls_session_cache_database = btree:${data_directory}\/smtp_scache\n\n#Enable TLS Encryption when Postfix receives incoming emails\nsmtpd_tls_cert_file=\/etc\/letsencrypt\/live\/mail.ifit.at\/fullchain.pem\nsmtpd_tls_key_file=\/etc\/letsencrypt\/live\/mail.ifit.at\/privkey.pem\nsmtpd_tls_security_level=may\nsmtpd_tls_loglevel = 1\nsmtpd_tls_session_cache_database = btree:${data_directory}\/smtpd_scache\n\n#Enable TLS Encryption when Postfix sends outgoing emails\nsmtp_tls_security_level = may\nsmtp_tls_loglevel = 1\nsmtp_tls_session_cache_database = btree:${data_directory}\/smtp_scache\n\n#Enforce TLSv1.3 or TLSv1.2\nsmtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\nsmtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1\n...\nlouis@mail:~$ sudo systemctl restart postfix<\/strong>\nlouis@mail:~$ sudo ss -lnpt | grep master<\/strong>\nLISTEN 0 100 0.0.0.0:25 0.0.0.0:* users:((\"master\",pid=3620,fd=13)) \nLISTEN 0 100 0.0.0.0:587 0.0.0.0:* users:((\"master\",pid=3620,fd=17)) \nLISTEN 0 100 0.0.0.0:465 0.0.0.0:* users:((\"master\",pid=3620,fd=20))\n<\/code><\/pre>\n\n\n\nDovecot IMAP Server installieren<\/h4>\n\n\n\n
louis@mail:~$ sudo apt install dovecot-core dovecot-imapd<\/strong><\/code><\/pre>\n\n\n\nIMAP Protokoll einschalten<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/dovecot\/dovecot.conf<\/strong>\n...\n# Enable installed protocols\nprotocols = imap\n!include_try \/usr\/share\/dovecot\/protocols.d\/*.protocol<\/code><\/pre>\n\n\n\nSpeicherort der Mailbox festlegen<\/h4>\n\n\n\n
louis@mail:~$ sudo postconf mail_spool_directory<\/strong>\nmail_spool_directory = \/var\/mail\n...\nlouis@mail:~$ sudo nano \/etc\/dovecot\/conf.d\/10-mail.conf<\/strong>\n...\n#\n# See doc\/wiki\/Variables.txt for full list. Some examples:\n#\n# mail_location = maildir:~\/Maildir\n# mail_location = mbox:~\/mail:INBOX=\/var\/mail\/%u\n# mail_location = mbox:\/var\/mail\/%d\/%1n\/%n:INDEX=\/var\/indexes\/%d\/%1n\/%n\n#\n# <doc\/wiki\/MailLocation.txt>\n#\n#mail_location = mbox:~\/mail:INBOX=\/var\/mail\/%u\nmail_location = maildir:~\/Maildir<\/strong>\n...\nlouis@mail:~$ sudo adduser dovecot mail<\/strong>\nF\u00fcge Benutzer \u00bbdovecot\u00ab der Gruppe \u00bbmail\u00ab hinzu ...\nBenutzer dovecot wird zur Gruppe mail hinzugef\u00fcgt.<\/code><\/pre>\n\n\n\nDovecot sendet Emails an Message Store<\/h4>\n\n\n\n
louis@mail:~$ sudo apt install dovecot-lmtpd<\/strong>\nlouis@mail:~$ sudo nano \/etc\/dovecot\/dovecot.conf<\/strong>\n# Enable installed protocols\n# protocols = imap\nprotocols = imap lmtp\n!include_try \/usr\/share\/dovecot\/protocols.d\/*.protocol\n...\nVorher\n<\/em><\/strong>\nservice lmtp {\n unix_listener lmtp {\n #mode = 0666\n }\n\n # Create inet listener only if you can't use the above UNIX socket\n #inet_listener lmtp {\n # Avoid making LMTP visible for the entire internet\n #address =\n #port =\n #}\n}\nNachher\n<\/em><\/strong>\nservice lmtp {\n unix_listener \/var\/spool\/postfix\/private\/dovecot-lmtp {\n mode = 0600\n user = postfix\n group = postfix\n }\n\n # Create inet listener only if you can't use the above UNIX socket\n #inet_listener lmtp {\n # Avoid making LMTP visible for the entire internet\n #address =\n #port =\n #}\n}\n...\nlouis@mail:~$ sudo nano \/etc\/postfix\/main.cf<\/strong>\n...\t\nsmtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination\nmyhostname = mail.ifit.at\nalias_maps = hash:\/etc\/aliases\nalias_database = hash:\/etc\/aliases\nmyorigin = \/etc\/mailname\nmydestination = $myhostname, ifit.at, mail.ifit.at, localhost.ifit.at, localhost\nrelayhost =\nmynetworks = 127.0.0.0\/8 [::ffff:127.0.0.0]\/104 [::1]\/128\nmailbox_size_limit = 0\nrecipient_delimiter = +\ninet_interfaces = all\ninet_protocols = ipv4\nmailbox_transport = lmtp:unix:private\/dovecot-lmtp\nsmtputf8_enable = no<\/strong><\/code><\/pre>\n\n\n\nUser Authentication Mechanism<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/dovecot\/conf.d\/10-auth.conf<\/strong>\n...\n#disable_plaintext_auth = yes\ndisable_plaintext_auth = yes\n..\n#auth_username_format = %Lu\nauth_username_format = %n\n...\n#auth_mechanisms = plain\nauth_mechanisms = plain login<\/code><\/pre>\n\n\n\nSSL\/TLS Encryption<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/dovecot\/conf.d\/10-ssl.conf<\/strong>\n...\n# ssl = yes\nssl = required\n...\n# ssl_cert = <\/etc\/dovecot\/private\/dovecot.pem\nssl_cert = <\/etc\/letsencrypt\/live\/mail.ifit.at\/fullchain.pem\n# ssl_key = <\/etc\/dovecot\/private\/dovecot.key\nssl_key = <\/etc\/letsencrypt\/live\/mail.ifit.at\/privkey.pem\n\u2026\n# Prefer the server's order of ciphers over client's.\n#ssl_prefer_server_ciphers = no\nssl_prefer_server_ciphers = yes\n\u2026\n# Minimum SSL protocol version to use. Potentially recognized values are SSLv3,\n# TLSv1, TLSv1.1, and TLSv1.2, depending on the OpenSSL version used.\n#ssl_min_protocol = TLSv1\nssl_min_protocol = TLSv1.2<\/code><\/pre>\n\n\n\nSASL Authentication<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/dovecot\/conf.d\/10-master.conf<\/strong>\n\u2026\nVorher<\/em><\/strong>\nservice auth {\n # auth_socket_path points to this userdb socket by default. It's typically\n # used by dovecot-lda, doveadm, possibly imap process, etc. Users that have\n # full permissions to this socket are able to get a list of all usernames and\n # get the results of everyone's userdb lookups.\n #\n # The default 0666 mode allows anyone to connect to the socket, but the\n # userdb lookups will succeed only if the userdb returns an \"uid\" field that\n # matches the caller process's UID. Also if caller's uid or gid matches the\n # socket's uid or gid the lookup succeeds. Anything else causes a failure.\n #\n # To give the caller full permissions to lookup all users, set the mode to\n # something else than 0666 and Dovecot lets the kernel enforce the\n # permissions (e.g. 0777 allows everyone full permissions).\n unix_listener auth-userdb {\n #mode = 0666\n #user =\n #group =\n }\n\n # Postfix smtp-auth\n #unix_listener \/var\/spool\/postfix\/private\/auth {\n # mode = 0666\n #}\n\n # Auth process is run as this user.\n #user = $default_internal_user\n}\nNachher<\/em><\/strong>\nservice auth {\n # auth_socket_path points to this userdb socket by default. It's typically\n # used by dovecot-lda, doveadm, possibly imap process, etc. Users that have\n # full permissions to this socket are able to get a list of all usernames and\n # get the results of everyone's userdb lookups.\n #\n # The default 0666 mode allows anyone to connect to the socket, but the\n # userdb lookups will succeed only if the userdb returns an \"uid\" field that\n # matches the caller process's UID. Also if caller's uid or gid matches the\n # socket's uid or gid the lookup succeeds. Anything else causes a failure.\n #\n # To give the caller full permissions to lookup all users, set the mode to\n # something else than 0666 and Dovecot lets the kernel enforce the\n # permissions (e.g. 0777 allows everyone full permissions).\n #unix_listener auth-userdb {\n #mode = 0666\n #user =\n #group =\n #}\n\n # Postfix smtp-auth\n unix_listener \/var\/spool\/postfix\/private\/auth {\n mode = 0660\n user = postfix\n group = postfix\n }\n # Auth process is run as this user.\n #user = $default_internal_user\n}\nlouis@mail:~$ sudo systemctl restart postfix dovecot<\/strong>\nlouis@mail:~$ sudo ss -lnpt | grep dovecot\t\nLISTEN 0 100 0.0.0.0:993 0.0.0.0:* users:((\"dovecot\",pid=7580,fd=37)) \nLISTEN 0 100 0.0.0.0:143 0.0.0.0:* users:((\"dovecot\",pid=7580,fd=35)) \nLISTEN 0 100 [::]:993 [::]:* users:((\"dovecot\",pid=7580,fd=38)) \nLISTEN 0 100 [::]:143 [::]:* users:((\"dovecot\",pid=7580,fd=36))\nlouis@mail:~$ sudo systemctl status dovecot<\/strong>\n\u25cf dovecot.service - Dovecot IMAP\/POP3 email server\n Loaded: loaded (\/lib\/systemd\/system\/dovecot.service; enabled; vendor preset: enabled)\n Active: active (running) since Fri 2022-11-25 21:48:45 CET; 1min 31s ago\n Docs: man:dovecot(1)\n http://wiki2.dovecot.org\/\n Main PID: 7580 (dovecot)\n Tasks: 4 (limit: 4754)\n Memory: 2.2M\n CPU: 214ms\n CGroup: \/system.slice\/dovecot.service\n \u251c\u25007580 \/usr\/sbin\/dovecot -F\n \u251c\u25007584 dovecot\/anvil\n \u251c\u25007585 dovecot\/log\n \u2514\u25007586 dovecot\/config\n\nNov 25 21:48:45 mail systemd[1]: Starting Dovecot IMAP\/POP3 email server...\nNov 25 21:48:45 mail dovecot[7580]: master: Dovecot v2.3.13 (89f716dc2) starting up for imap, lmtp, imap, lmtp (core dumps disab>\nNov 25 21:48:45 mail systemd[1]: Started Dovecot IMAP\/POP3 email server.<\/code><\/pre>\n\n\n\nTLS Zertifikate automatisch erneuern<\/h4>\n\n\n\n
\n
Hinweis zur Zertifikatserneuerung<\/h5>\n\n\n\n
louis@mail:~$ sudo crontab -e<\/strong>\nno crontab for root - using an empty one\nSelect an editor. To change later, run 'select-editor'.\n 1. \/bin\/nano <---- easiest\n 2. \/usr\/bin\/vim.basic\n 3. \/usr\/bin\/vim.tiny\nChoose 1-3 [1]: ENTER<\/strong>\n# Edit this file to introduce tasks to be run by cron.\n#\n# Each task to run has to be defined through a single line\n# indicating with different fields when the task will be run\n# and what command to run for the task\n#\n# To define the time you can provide concrete values for\n# minute (m), hour (h), day of month (dom), month (mon),\n# and day of week (dow) or use '*' in these fields (for 'any').\n#\n# Notice that tasks will be started based on the cron's system\n# daemon's notion of time and timezones.\n#\n# Output of the crontab jobs (including errors) is sent through\n# email to the user the crontab file belongs to (unless redirected).\n#\n# For example, you can run a backup of all your user accounts\n# at 5 a.m every week with:\n# 0 5 * * 1 tar -zcf \/var\/backups\/home.tgz \/home\/\n#\n# For more information see the manual pages of crontab(5) and cron(8)\n#\n# m h dom mon dow command\n@weekly certbot renew --quiet && systemctl reload postfix dovecot apache2<\/strong>\ncrontab: installing new crontab<\/code><\/pre>\n\n\n\nDovecot automatisch neu starten<\/h4>\n\n\n\n
louis@mail:~$ sudo systemctl restart dovecot<\/strong>\nlouis@mail:~$ sudo mkdir -p \/etc\/systemd\/system\/dovecot.service.d\/<\/strong>\nlouis@mail:~$ sudo nano \/etc\/systemd\/system\/dovecot.service.d\/restart.conf<\/strong>\n[Service]\nRestart=always\nRestartSec=5s<\/strong>\nlouis@mail:~$ sudo systemctl daemon-reload<\/strong>\nlouis@mail:~$ sudo pkill dovecot<\/strong>\nlouis@mail:~$ systemctl status dovecot<\/strong>\n\u25cf dovecot.service - Dovecot IMAP\/POP3 email server\n Loaded: loaded (\/lib\/systemd\/system\/dovecot.service; enabled; vendor preset: enabled)\n Drop-In: \/etc\/systemd\/system\/dovecot.service.d\n \u2514\u2500restart.conf\n Active: active (running) <\/em><\/strong>since Sat 2022-11-26 18:29:45 CET; 49s ago\n Docs: man:dovecot(1)\n http://wiki2.dovecot.org\/\n Main PID: 1385 (dovecot)\n Tasks: 4 (limit: 4753)\n Memory: 2.2M\n CPU: 161ms\n CGroup: \/system.slice\/dovecot.service\n \u251c\u25001385 \/usr\/sbin\/dovecot -F\n \u251c\u25001386 dovecot\/anvil\n \u251c\u25001387 dovecot\/log\n \u2514\u25001388 dovecot\/config<\/code><\/pre>\n\n\n\nLaptop beim Zuklappen laufen lassen<\/h4>\n\n\n\n
louis@mail:~$ sudo nano \/etc\/systemd\/logind.conf<\/strong>\n# This file is part of systemd.\n#\n# systemd is free software; you can redistribute it and\/or modify it\n# under the terms of the GNU Lesser General Public License as published by\n# the Free Software Foundation; either version 2.1 of the License, or\n# (at your option) any later version.\n#\n# Entries in this file show the compile time defaults.\n# You can change settings by editing this file.\n# Defaults can be restored by simply deleting this file.\n#\n# See logind.conf(5) for details.\n...\n[Login]\n#NAutoVTs=6\n#ReserveVT=6\n#KillUserProcesses=no\n#KillOnlyUsers=\n#KillExcludeUsers=root\n#InhibitDelayMaxSec=5\n#UserStopDelaySec=10\n#HandlePowerKey=poweroff\n#HandleSuspendKey=suspend\n#HandleHibernateKey=hibernate\n#HandleLidSwitch=suspend\nHandleLidSwitch=ignore<\/em><\/strong>\n#HandleLidSwitchExternalPower=suspend\n#HandleLidSwitchDocked=ignore\n#HandleRebootKey=reboot\nlouis@mail:~$ sudo service systemd-logind restart<\/strong><\/code><\/pre>\n\n\n\n\n
Abschliessende Bemerkung<\/a> zur 2. Datensicherung<\/h5>\n\n\n\n
![\"\"](\"https:\/\/ifit.click\/wp-content\/uploads\/2022\/12\/image-22-1024x519.png\")
<\/figure>\n<\/blockquote>\n\n\n\nPostfixAdmin \u2013 Create Virtual Mailboxes on Debian Mail Server<\/h3>\n\n\n\n