1.3. 设置具有 MariaDB SQL 身份验证的 Dovecot 服务器
如果您将用户和密码存储在 MariaDB SQL 服务器中,您可以将 Dovecot 配置为将其用作用户数据库和身份验证后端。使用这个配置,您可以在数据库中集中管理帐户,用户对 Dovecot 服务器上的文件系统没有本地访问权限。
如果您计划设置具有复制的多个 Dovecot 服务器,以使您的邮箱具有高可用性,则集中管理的帐户也是一个好处。
1.3.1. 安装 Dovecot
dovecot 软件包提供:
-
dovecot服务以及维护它的工具 - Dovecot 按需启动的服务,如用于身份验证
- 插件,如服务器端的邮件过滤
-
/etc/dovecot/目录中的配置文件 -
/usr/share/doc/dovecot/目录中的文档
流程
安装
dovecot软件包:# dnf install dovecot注意如果 Dovecot 已安装,并且需要清理配置文件,请重命名或删除
/etc/dovecot/目录。之后,重新安装软件包。在不删除配置文件的情况下,dnf reinstall dovecot命令不会重置/etc/dovecot/中的配置文件。
后续步骤
1.3.2. 在 Dovecot 服务器上配置 TLS 加密
Dovecot 提供一个安全的默认配置。例如,默认启用 TLS 通过网络来传输加密的凭证和数据。要在 Dovecot 服务器上配置 TLS,您只需设置证书和私钥文件的路径。另外,您可以通过生成并使用 Diffie-Hellman 参数来提供 perfect forward secrecy(PFS)来提高 TLS 连接的安全性。
先决条件
- Dovecot 已安装。
以下文件已复制到服务器上列出的位置:
-
服务器证书:
/etc/pki/dovecot/certs/server.example.com.crt -
私钥:
/etc/pki/dovecot/private/server.example.com.key -
证书颁发机构(CA)证书:
/etc/pki/dovecot/certs/ca.crt
-
服务器证书:
-
服务器证书
Subject DN字段中的主机名与服务器的完全限定域名(FQDN)匹配。 - 如果服务器运行 RHEL 9.2 或更高版本,并且启用了 FIPS 模式,则客户端必须支持 Extended Master Secret(EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息,请参阅 强制 TLS 扩展"Extended Master Secret" 知识库文章。
流程
对私钥文件设置安全权限:
# chown root:root /etc/pki/dovecot/private/server.example.com.key # chmod 600 /etc/pki/dovecot/private/server.example.com.key
使用 Diffie-Hellman 参数生成文件:
# openssl dhparam -out /etc/dovecot/dh.pem 4096根据服务器上的硬件和熵,生成 4096 位的 Diffie-Hellman 参数可能需要几分钟。
在
/etc/dovecot/conf.d/10-ssl.conf文件中设置证书和私钥文件的路径:更新
ssl_cert和ssl_key参数,并将其设置为使用服务器的证书和私钥的路径:ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt ssl_key = </etc/pki/dovecot/private/server.example.com.key
取消
ssl_ca参数的注释,并将其设置为使用 CA 证书的路径:ssl_ca = </etc/pki/dovecot/certs/ca.crt取消
ssl_dh参数的注释,并将其设置为使用 Diffie-Hellman 参数文件的路径:ssl_dh = </etc/dovecot/dh.pem
重要为确保 Dovecot 从文件中读取参数的值,该路径必须以
<字符开头。
后续步骤
其他资源
-
/usr/share/doc/dovecot/wiki/SSL.DovecotConfiguration.txt
1.3.3. 准备 Dovecot 以使用虚拟用户
默认情况下,Dovecot 以使用服务的用户的身份对文件系统执行许多操作。但是,将 Dovecot 后端配置为使用一个本地用户来执行这些操作有以下几点好处:
- Dovecot 以特定的本地用户身份执行文件系统操作,而不使用用户的 ID (UID)。
- 用户不需要在服务器上本地提供。
- 您可以将所有邮箱和特定于用户的文件存储在一个根目录中。
- 用户不需要 UID 和组 ID (GID),这可以减少管理工作。
- 有权访问服务器上文件系统的用户无法破坏其邮箱或索引,因为它们无法访问这些文件。
- 设置复制很简单。
先决条件
- Dovecot 已安装。
流程
创建
vmail用户:# useradd --home-dir /var/mail/ --shell /usr/sbin/nologin vmailDovecot 之后将使用此用户来管理邮箱。出于安全考虑,请不要为此使用
dovecot或dovenull系统用户。如果您使用与
/var/mail/不同的路径,请对其设置mail_spool_tSELinux 上下文,例如:# semanage fcontext -a -t mail_spool_t "<path>(/.*)?" # restorecon -Rv <path>
仅将
/var/mail/的写权限授予vmail用户:# chown vmail:vmail /var/mail/ # chmod 700 /var/mail/
取消
/etc/dovecot/conf.d/10-mail.conf文件中mail_location参数的注释,并将其设置为 mailbox 格式和位置:mail_location = sdbox:/var/mail/%n/使用这个设置:
-
Dovecot 在
single模式下使用高性能dbox邮箱格式。在此模式下,服务将每个邮件存储在单独的文件中,类似于maildir格式。 -
Dovecot 将路径中的
%n变量解析为用户名。这需要确保每个用户对其邮箱都有一个单独的目录。
-
Dovecot 在
其他资源
-
/usr/share/doc/dovecot/wiki/VirtualUsers.txt -
/usr/share/doc/dovecot/wiki/MailLocation.txt -
/usr/share/doc/dovecot/wiki/MailboxFormat.dbox.txt -
/usr/share/doc/dovecot/wiki/Variables.txt
1.3.4. 使用 MariaDB SQL 数据库作为 Dovecot 身份验证后端
Dovecot 可以从 MariaDB 数据库读取帐户和密码,并在用户登录到 IMAP 或 POP3 服务时使用它来验证用户。这个验证方法的好处包括:
- 管理员可以在数据库中集中管理用户。
- 用户在服务器上没有本地访问权限。
先决条件
- Dovecot 已安装。
- 虚拟用户功能已配置。
- 到 MariaDB 服务器的连接支持 TLS 加密。
-
MariaDB 中存在
dovecotDB数据库,users表至少包含username和password列。 -
password列包含使用 Dovecot 支持的方案加密的密码。 -
密码可以使用相同的方案,或者有
{pw-storage-scheme}前缀。 -
dovecotMariaDB 用户对dovecotDB数据库中的users表有读权限。 -
发布 MariaDB 服务器的 TLS 证书的证书颁发机构(CA)的证书存储在 Dovecot 服务器上的
/etc/pki/tls/certs/ca.crt文件中。 - 如果 MariaDB 服务器运行 RHEL 9.2 或更高版本,并且启用了 FIPS 模式,则这个 Dovecot 服务器支持 Extended Master Secret (EMS)扩展或使用 TLS 1.3。没有 EMS 的 TLS 1.2 连接会失败。如需更多信息,请参阅 强制 TLS 扩展"Extended Master Secret" 知识库文章。
流程
安装
dovecot-mysql软件包:# dnf install dovecot-mysql在
/etc/dovecot/conf.d/10-auth.conf文件中配置身份验证后端:注释掉您不需要的
auth-*.conf.ext身份验证后端配置文件的include语句,例如:#!include auth-system.conf.ext通过取消以下行的注释来启用 SQL 身份验证:
!include auth-sql.conf.ext
编辑
/etc/dovecot/conf.d/auth-sql.conf.ext文件,并将override_fields参数添加到userdb部分,如下所示:userdb { driver = sql args = /etc/dovecot/dovecot-sql.conf.ext override_fields = uid=vmail gid=vmail home=/var/mail/%n/ }由于值固定,Dovecot 不会从 SQL 服务器查询这些设置。
使用以下设置创建
/etc/dovecot/dovecot-sql.conf.ext文件:driver = mysql connect = host=mariadb_srv.example.com dbname=dovecotDB user=dovecot password=dovecotPW ssl_ca=/etc/pki/tls/certs/ca.crt default_pass_scheme = SHA512-CRYPT user_query = SELECT username FROM users WHERE username='%u'; password_query = SELECT username AS user, password FROM users WHERE username='%u'; iterate_query = SELECT username FROM users;
要对数据库服务器使用 TLS 加密,请将
ssl_ca选项设置为发布 MariaDB 服务器证书的 CA 的证书路径。对于正常工作的证书验证,MariaDB 服务器的主机名必须与其 TLS 证书中使用的主机名匹配。如果数据库中的密码值包含
{pw-storage-scheme}前缀,则您可以省略default_pass_scheme设置。文件中的查询必须设置如下:
-
对于
user_query参数,查询必须返回 Dovecot 用户的用户名。查询还必须只返回一个结果。 -
对于
password_query参数,查询必须返回用户名和密码,并且 Dovecot 必须在user和password变量中使用这些值。因此,如果数据库使用不同的列名称,请使用ASSQL 命令重命名结果中的列。 -
对于
iterate_query参数,查询必须返回所有用户的列表。
-
对于
对
/etc/dovecot/dovecot-sql.conf.ext文件设置安全权限:# chown root:root /etc/dovecot/dovecot-sql.conf.ext # chmod 600 /etc/dovecot/dovecot-sql.conf.ext
后续步骤
其他资源
-
/usr/share/doc/dovecot/example-config/dovecot-sql.conf.ext -
/usr/share/doc/dovecot/wiki/Authentication.PasswordSchemes.txt
1.3.5. 完成 Dovecot 配置
安装和配置 Dovecot 后,在 firewalld 服务中打开所需的端口,然后启用并启动服务。之后,您可以测试服务器。
先决条件
在 Dovecot 中已配置了以下内容:
- TLS 加密
- 身份验证后端
- 客户端信任证书颁发机构(CA)证书。
流程
如果您只想向用户提供 IMAP 或 POP3 服务,请取消
/etc/dovecot/dovecot.conf文件中protocols参数的注释,并将其设置为所需的协议。例如,如果您不需要 POP3,请设置:protocols = imap lmtp默认情况下启用
imap、pop3和lmtp协议。在本地防火墙中打开端口。例如,要为 IMAPS、IMAP、POP3S 和 POP3 协议打开端口,请输入:
# firewall-cmd --permanent --add-service=imaps --add-service=imap --add-service=pop3s --add-service=pop3 # firewall-cmd --reload
启用并启动
dovecot服务:# systemctl enable --now dovecot
验证
使用 Mozilla Thunderbird 等邮件客户端连接到 Dovecot ,并读取电子邮件。邮件客户端的设置取决于您要使用的协议:
表 1.3. 到 Dovecot 服务器的连接设置 协议 端口 连接安全性 身份验证方法 IMAP
143
STARTTLS
PLAIN[a]
IMAPS
993
SSL/TLS
PLAIN[a]
POP3
110
STARTTLS
PLAIN[a]
POP3S
995
SSL/TLS
PLAIN[a]
[a] 客户端通过 TLS 连接传输加密的数据。因此,凭证不会被披露。请注意,这个表不会列出未加密连接的设置,因为默认情况下,Dovecot 在没有 TLS 的连接上不接受纯文本身份验证。
显示具有非默认值的配置设置:
# doveconf -n
其他资源
-
firewall-cmd(1)手册页
