1장. Dovecot CloudEvent 및 POP3 서버 구성 및 유지 관리


Dovecot는 보안에 중점을 두고 있는 고성능 메일 전달 에이전트(knativeA)입니다. skopeo 또는 POP3 호환 이메일 클라이언트를 사용하여 Dovecot 서버에 연결하고 이메일을 읽거나 다운로드할 수 있습니다.

Dovecot의 주요 기능:

  • 설계 및 구현은 보안에 중점을 두고 있습니다.
  • 대규모 환경에서 성능을 개선하기 위해 고가용성을 위한 양방향 복제 지원
  • 호환성상의 이유로 mboxmaildir 도 예외적으로 지원합니다.
  • 손상된 인덱스 파일 수정과 같은 자동 복구 기능
  • CloudEvent 표준 준수
  • CloudEvent 및 POP3 클라이언트의 버그를 우회하는 해결 방법 지원

1.1. PAM 인증을 사용하여 Dovecot 서버 설정

Dovecot는 NSS(Name Service Switch) 인터페이스를 사용자 데이터베이스로, PAM(Pluggable Authentication Modules) 프레임워크를 인증 백엔드로 지원합니다. 이 구성을 통해 Dovecot는 NSS를 통해 서버에서 로컬로 사용 가능한 사용자에게 서비스를 제공할 수 있습니다.

계정의 경우 PAM 인증을 사용합니다.

  • /etc/passwd 파일에서 로컬로 정의됩니다.
  • 원격 데이터베이스에 저장되지만 SSSD(System Security Services Daemon) 또는 기타 NSS 플러그인을 통해 로컬로 사용할 수 있습니다.

1.1.1. Dovecot 설치

dovecot 패키지는 다음을 제공합니다.

  • dovecot 서비스와 이를 유지보수할 유틸리티
  • Dovecot가 필요할 때 시작되는 서비스(예: 인증)
  • 서버 측 메일 필터링과 같은 플러그인
  • /etc/dovecot/ 디렉토리에 있는 설정 파일
  • /usr/share/doc/dovecot/ 디렉토리에 있는 설명서

절차

  • dovecot 패키지를 설치합니다.

    # dnf install dovecot
    참고

    Dovecot가 이미 설치되어 있고 정리된 구성 파일이 필요한 경우 /etc/dovecot/ 디렉토리 이름을 변경하거나 제거해야 합니다. 그런 다음 패키지를 다시 설치합니다. 설정 파일을 제거하지 않으면 dnf reinstall dovecot 명령이 /etc/dovecot/ 의 구성 파일을 재설정하지 않습니다.

1.1.2. Dovecot 서버에서 TLS 암호화 구성

dovecot는 보안 기본 구성을 제공합니다. 예를 들어 TLS는 네트워크를 통해 암호화된 자격 증명 및 데이터를 전송하기 위해 기본적으로 활성화됩니다. Dovecot 서버에서 TLS를 구성하려면 인증서 및 개인 키 파일에 대한 경로만 설정하면 됩니다. 또한 Diffie-Hellman 매개변수를 생성 및 사용하여 완벽한PFS(forward secrecy)를 제공하여 TLS 연결의 보안을 높일 수 있습니다.

사전 요구 사항

  • dovecot가 설치되어 있어야 합니다.
  • 다음 파일이 서버의 나열된 위치에 복사되었습니다.

    • 서버 인증서: /etc/pki/dovecot/certs/server.example.com.crt
    • 개인 키: /etc/pki/dovecot/private/server.example.com.key
    • CA(인증 기관) 인증서: /etc/pki/dovecot/certs/ca.crt
  • 서버 인증서의 Subject DN 필드에 있는 호스트 이름은 서버의 FQDN(정규화된 도메인 이름)과 일치합니다.
  • 서버가 RHEL 9.2 이상을 실행하고 FIPS 모드가 활성화된 경우 클라이언트는 확장 마스터 시크릿(Extended Master Secret) 확장을 지원하거나 TLS 1.3을 사용해야 합니다. TLS 1.2 연결이 없는 경우 실패합니다. 자세한 내용은 Red Hat Knowledgebase 솔루션 TLS 확장 "확장 마스터 시크릿" 적용 을 참조하십시오.

절차

  1. 개인 키 파일에 대한 보안 권한을 설정합니다.

    # chown root:root /etc/pki/dovecot/private/server.example.com.key
    # chmod 600 /etc/pki/dovecot/private/server.example.com.key
  2. Diffie-Hellman 매개변수를 사용하여 파일을 생성합니다.

    # openssl dhparam -out /etc/dovecot/dh.pem 4096

    서버의 하드웨어 및 엔트로피에 따라 4096비트의 Diffie-Hellman 매개변수를 생성하는 데 몇 분이 걸릴 수 있습니다.

  3. /etc/dovecot/conf.d/10-ssl.conf 파일에서 인증서 및 개인 키 파일의 경로를 설정합니다.

    1. ssl_certssl_key 매개변수를 업데이트하고 서버 인증서 및 개인 키의 경로를 사용하도록 설정합니다.

      ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt
      ssl_key = </etc/pki/dovecot/private/server.example.com.key
    2. ssl_ca 매개변수의 주석을 해제하고 CA 인증서 경로를 사용하도록 설정합니다.

      ssl_ca = </etc/pki/dovecot/certs/ca.crt
    3. ssl_dh 매개변수의 주석을 해제하고 Diffie-Hellman 매개변수 파일의 경로를 사용하도록 설정합니다.

      ssl_dh = </etc/dovecot/dh.pem
    중요

    Dovecot가 파일에서 매개변수 값을 읽으려면 경로는 선행 < 문자로 시작해야 합니다.

추가 리소스

  • /usr/share/doc/dovecot/wiki/SSL.DovecotConfiguration.txt

1.1.3. 가상 사용자 사용을 위한 Dovecot 준비

기본적으로 Dovecot는 파일 시스템에서 서비스를 사용하는 사용자로 많은 작업을 수행합니다. 그러나 하나의 로컬 사용자를 사용하여 이러한 작업을 수행하도록 Dovecot 백엔드를 구성하면 다음과 같은 몇 가지 이점이 있습니다.

  • dovecot는 사용자 ID(UID)를 사용하는 대신 특정 로컬 사용자로 파일 시스템 작업을 수행합니다.
  • 사용자는 서버에서 로컬로 사용할 수 없습니다.
  • 모든 Webhook 및 사용자별 파일을 하나의 루트 디렉터리에 저장할 수 있습니다.
  • 사용자에게 UID 및 그룹 ID(GID)가 필요하지 않으므로 관리 작업을 줄일 수 있습니다.
  • 서버의 파일 시스템에 액세스할 수 있는 사용자는 이러한 파일에 액세스할 수 없기 때문에 사용자의 속성이나 인덱스를 손상시킬 수 없습니다.
  • 복제를 쉽게 설정할 수 있습니다.

사전 요구 사항

  • dovecot가 설치되어 있어야 합니다.

절차

  1. vmail 사용자를 만듭니다.

    # useradd --home-dir /var/mail/ --shell /usr/sbin/nologin vmail

    dovecot는 나중에 이 사용자를 사용하여boxes를 관리합니다. 보안상의 이유로 dovecot 또는 dovenull 시스템 사용자를 사용하지 마십시오.

  2. /var/mail/ 와 다른 경로를 사용하는 경우 mail_spool_t SELinux 컨텍스트를 설정합니다. 예를 들면 다음과 같습니다.

    # semanage fcontext -a -t mail_spool_t "<path>(/.*)?"
    # restorecon -Rv <path>
  3. vmail 사용자에게 /var/mail/ 에 대한 쓰기 권한을 부여합니다.

    # chown vmail:vmail /var/mail/
    # chmod 700 /var/mail/
  4. /etc/dovecot/conf.d/10-mail.conf 파일에서 mail_location 매개 변수의 주석을 해제하고 이 매개 변수를 copy 형식 및 위치로 설정합니다.

    mail_location = sdbox:/var/mail/%n/

    이 설정으로 다음을 수행합니다.

    • Dovecot는 high-performant dbox box format을 단일 모드에서 사용합니다. 이 모드에서 서비스는 maildir 형식과 유사하게 각 이메일을 별도의 파일에 저장합니다.
    • dovecot는 사용자 이름 경로의 %n 변수를 해결합니다. 이 작업은 각 사용자에게 해당 2.10에 대한 별도의 디렉터리가 있는지 확인하는 데 필요합니다.

추가 리소스

  • /usr/share/doc/dovecot/wiki/VirtualUsers.txt
  • /usr/share/doc/dovecot/wiki/MailLocation.txt
  • /usr/share/doc/dovecot/wiki/MailboxFormat.dbox.txt
  • /usr/share/doc/dovecot/wiki/Variables.txt

1.1.4. PAM을 Dovecot 인증 백엔드로 사용

기본적으로 Dovecot는 NSS(Name Service Switch) 인터페이스를 사용자 데이터베이스로 사용하고 PAM(Pluggable Authentication Modules) 프레임워크를 인증 백엔드로 사용합니다.

설정을 사용자 정의하여 Dovecot를 사용자 환경에 적용하고 가상 사용자 기능을 사용하여 관리를 단순화합니다.

사전 요구 사항

  • dovecot가 설치되어 있어야 합니다.
  • 가상 사용자 기능이 구성됩니다.

절차

  1. /etc/dovecot/conf.d/10-mail.conf 파일에서 first_valid_uid 매개 변수를 업데이트하여 Dovecot에 인증할 수 있는 최소 사용자 ID(UID)를 정의합니다.

    first_valid_uid = 1000

    기본적으로 UID가 1000 개 이상인 사용자는 인증할 수 있습니다. 필요한 경우, Dovecot에서 로그인할 수 있는 가장 높은 UID를 정의하도록 last_valid_uid 매개변수를 설정할 수도 있습니다.

  2. /etc/dovecot/conf.d/auth-system.conf.ext 파일에서 override_fields 매개변수를 userdb 섹션에 다음과 같이 추가합니다.

    userdb {
      driver = passwd
      override_fields = uid=vmail gid=vmail home=/var/mail/%n/
    }

    수정된 값으로 인해 Dovecot는 /etc/passwd 파일에서 이러한 설정을 쿼리하지 않습니다. 따라서 /etc/passwd 에 정의된 홈 디렉터리가 존재할 필요가 없습니다.

추가 리소스

  • /usr/share/doc/dovecot/wiki/PasswordDatabase.PAM.txt
  • /usr/share/doc/dovecot/wiki/VirtualUsers.Home.txt

1.1.5. Dovecot 구성 완료

Dovecot를 설치 및 구성한 후 firewalld 서비스에서 필요한 포트를 열고 서비스를 활성화 및 시작합니다. 그런 다음 서버를 테스트할 수 있습니다.

사전 요구 사항

  • Dovecot에서 다음 내용이 구성되어 있습니다.

    • TLS 암호화
    • 인증 백엔드
  • 클라이언트는 CA(인증 기관) 인증서를 신뢰합니다.

절차

  1. 사용자에게 CloudEvent 또는 POP3 서비스만 제공하려면 /etc/dovecot/dovecot.conf 파일에서 protocols 매개변수의 주석을 제거하고 필요한 프로토콜로 설정합니다. 예를 들어, POP3이 필요하지 않은 경우 다음을 설정합니다.

    protocols = imap lmtp

    기본적으로 imap,pop3, lmtp 프로토콜이 활성화됩니다.

  2. 로컬 방화벽에서 포트를 엽니다. 예를 들어, CloudEventS,Forwarded, POP3S 및 POP3 프로토콜의 포트를 여는 경우 다음을 입력합니다.

    # firewall-cmd --permanent --add-service=imaps --add-service=imap --add-service=pop3s --add-service=pop3
    # firewall-cmd --reload
  3. dovecot 서비스를 활성화하고 시작합니다.

    # systemctl enable --now dovecot

검증

  1. Mozilla Thunderbird와 같은 메일 클라이언트를 사용하여 Dovecot에 연결하고 이메일을 읽습니다. 메일 클라이언트 설정은 사용하려는 프로토콜에 따라 다릅니다.

    표 1.1. Dovecot 서버에 대한 연결 설정
    프로토콜포트연결 보안인증 방법

    IMAP

    143

    STARTTLS

    PLAIN[a]

    IMAPS

    993

    SSL/TLS

    PLAIN[a]

    POP3

    110

    STARTTLS

    PLAIN[a]

    POP3S

    995

    SSL/TLS

    PLAIN[a]

    [a] 클라이언트는 TLS 연결을 통해 암호화된 데이터를 전송합니다. 따라서 인증 정보가 공개되지 않습니다.

    기본적으로 Dovecot는 TLS가 없는 연결에서 일반 텍스트 인증을 허용하지 않으므로 이 테이블에는 암호화되지 않은 연결의 설정이 나열되지 않습니다.

  2. 기본값이 아닌 값을 사용하여 구성 설정을 표시합니다.

    # doveconf -n

추가 리소스

  • 시스템의 firewall-cmd(1) 도움말 페이지
Red Hat logoGithubRedditYoutubeTwitter

자세한 정보

평가판, 구매 및 판매

커뮤니티

Red Hat 문서 정보

Red Hat을 사용하는 고객은 신뢰할 수 있는 콘텐츠가 포함된 제품과 서비스를 통해 혁신하고 목표를 달성할 수 있습니다.

보다 포괄적 수용을 위한 오픈 소스 용어 교체

Red Hat은 코드, 문서, 웹 속성에서 문제가 있는 언어를 교체하기 위해 최선을 다하고 있습니다. 자세한 내용은 다음을 참조하세요.Red Hat 블로그.

Red Hat 소개

Red Hat은 기업이 핵심 데이터 센터에서 네트워크 에지에 이르기까지 플랫폼과 환경 전반에서 더 쉽게 작업할 수 있도록 강화된 솔루션을 제공합니다.

© 2024 Red Hat, Inc.