메일서버 postfix-sasl Howto 설정법 > 서버관리 Tip

• 앞으로 이 문서를 발전시키는데 도움을 주실 모든 분들께 감사드립니다.
• Mandrake Secure, Postfix-SASL HOWTO 에서 관련 사항을 참고하였습니다.
• Postfix 소스내의 SASL 문서를 참조하였습니다.
• http://www.securitysage.com 의 Postfix Anti-Spam / Anti-UCE 가이드를 참조하였습니다.
  
  

1. PAM(Pluggable Authentication Module)
   PAM은 이미 inet daemon, xinet daemon 에서 사용되고 있는 인증 모듈이다. SASL이 이것을 이용하게 하는 것으로, Postfix에서 SMTP Auth를 가능하게 해준다. 기본적으로 Plaintext(평문) 로그인만이 가능하며, LDAP(경량 디렉토리 억세스 프로토콜: Lightweight Directory Access Protocol)이나 RADIUS 등의 다른 데이터 저장/억세스 시스템을 병용할 수 있는 장점이 있다. (LDAP의 경우 대규모의 사용자를 관리하는 패스워드 DB로 이용가능하기 때문에, 대규모 사용자를 관리시 상당한 이점을 얻게 된다.) 하지만 소수의 로컬 사용자를 인증하기 위해서 PAM을 이용하기에는 부적절한것이, /etc/shadow 파일의 퍼미션(Permission)을 644(즉, rw-rr)로 변경해 줘야 하는데, 이는 보안상의 치명적인 결함으로 직결 되기 때문이다. 그런 이유로, 비교적 소수의 로컬 사용자를 인증하는 데는 pwcheck나 saslauthd, sasldb를 이용하는 쪽이 좋다.
2. shadow
   /etc/shadow를 이용하여 인증하게 해준다. 이것 역시 shadow 파일의 퍼미션을 644로 해줘야 하기 때문에, 권장하지 않는 방법이다.
3. sasldb
   SASL의 독자적인 DB를 이용하여 암호를 저장한다. 이 db 파일은 기본적으로 /etc/sasldb에 위치하며(v2의 경우 /etc/sasldb2), 이것을 이용하면 평문(Plaintext) 암호 전송 뿐만 아니라, Digest-MD5, CRAM-MD5와 같은 해시 암호 전송까지 가능하다는 장점이 있다. 사용자는 saslpasswd 프로그램을 이용하여 추가가 가능하고, DB 파일의 초기화를 위해 최소한 1명의 사용자가 확보되어 있어야 한다. 이 DB 파일은 Postfix 사용자가 볼 수 있지만, 기본적으로 암호화된 파일이고, 실제 내용을 열람하는 sasldblistusers 프로그램은 슈퍼유저만이 실행하게 되어 있다

   • sasldb를 사용하기 위해서는, Berkeley DB가 필요하다. http://www.sleepycat.com 참고.
4. pwcheck
   pwcheck의 경우, shadow를 이용한다는 점에서 2번 항목과 같지만 pwcheck 데몬이 루트의 권한으로 작동하기 때문에, 인증을 요구 할 경우 shadow의 퍼미션을 변경할 필요없이 shadow 파일을 억세스 할 수 있다는 장점이 있다. 시스템 부팅시에 pwcheck 데몬을 띄워주기위해 init 스크립트에 추가해주는 것이 좋다. 리눅스의 경우, /etc/rc.d/rc.local 파일의 맨 마지막 줄에 /usr/sbin/pwcheck 라고 넣어주면 된다. (경로는 SASL의 설치 옵션 및 시스템에 따라서 달라질 수 있다)

   • Cyrus-SASL 기본 Configure시에는 포함되지 않는다. 대부분의 1.5.x대의 Cyrus-SASL RPM 패키지에서도 포함되지 않음을 확인했다. 소스 컴파일시 옵션을 주거나, pwcheck가 포함된 RPM을 구하는 수 밖에 없다. 자세한 사항은 SASL 설치 부분을 참고.
   • Postfix의 경우, pwcheck 데몬이 들어있는 디렉토리에 읽기+쓰기(Read+Write) 그룹(Group) 퍼미션이 주어져야 한다. 퍼미션이 없을 경우, 인증실패의 요인이 될 수 있음에 주의.
5. saslauthd
   saslauthd 는 pwcheck와 비슷한 역할을 하지만 훨씬 나은 신축성을 제공한다. 여기서 말하는 신축성에는 PAM 과 같은 인증 시스템을 병용할 수 있다는 점이다. (Cyrus-SASL 2.x 에서는 LDAP와 MySQL을 이용할 수 있다. 이는 대규모 사용자 관리에 도움을 줄 수 있다) 이것 역시 기본 소스 Configure 시에는 포함되지 않으며, 포함되어 있는 RPM 패키지는 드물다. 자세한 사항은 SASL 설치 부분을 참고.
   
   

 $ ./configure --prefix=/usr --with-saslauthd=/sbin --with-pwcheck=/sbin --enable-login 

 $ make
 $ make install 

• MS Internet Explorer, IIS에서 사용되는 NTLM 인증이 가능해졌다. configure 에서 --enable-ntlm 을 추가하면 된다.
• saslauthd에서 LDAP와 MySQL을 같이 이용할 수 있게 되었다. --with-ldap=LDAP_Directory, --with-mysql=MySQL_PATH 옵션 추가.
• OpenSSL을 지원한다. --with-openssl=PATH 옵션을 추가하면 된다.
  
  
  

• 몇몇 경우, 이렇게 지정할 경우 컴파일 최적화가 되지 않는 경우가 있다.
  
  

• 처음 설치 과정에서 설치할 위치를 각각 물어보기 때문에 여기서 굳이 설정할 필요는 없다. 다만, 여러 컴퓨터에 Postfix를 한꺼번에 설치하고자 할때, 기본 경로 설정을 따르지 않는 경우에 한해서 사용하면 편리할 것이다.

% make makefiles CCARGS='--DDEF_CONFIG_DIR="/some/where"'
% make

% make makefiles CCARGS=-DFD_SETSIZE=2048

% make makefiles OPT="-O2 -march=i686 -mcpu=i686 -ffast-math"

% make -f Makefile.init makefiles \
        "CCARGS=-DHAS_PCRE -I/usr/include" \
        "AUXLIBS=-L/usr/lib -lpcre"

• SMTP 인증을 사용하고 싶은 경우 make를 하기전에 아래 SMTP 인증을 위한 컴파일 설정을 참고.

% make

• 만약 다른 곳에서 한번 빌드를 거친 Postfix를 다른 아키텍쳐의 머신에서 컴파일하고자 한다면, 시스템 의존성(Dependancy) 등을 제거하기 위해 컴파일한 오브젝트 파일과 바이너리 파일을 소거해줘야 한다. 다음의 make 명령을 사용하면 해결 할 수 있다:

 % make tidy

  $ make makefiles CCARGS="-DUSE_SASL_AUTH -I/usr/local/include" \
    AUXLIBS="-L/usr/local/lib -lsasl"

  $ make makefiles CCARGS="-DUSE_SASL_AUTH -I/usr/local/include/sasl" \
    AUXLIBS="-L/usr/local/lib -lsasl2"

• SASL 라이브러리를 /usr 에 설치했을 경우, /usr/local 부분을 모두 /usr 로 변경해야 한다
• 런타임(Runtime) 라이브러리 설정은(-R/usr/local/lib), Solaris 2.x에서 ld.so가 SASL 공유 라이브러리를 못 찾을 경우 추가 해줘야 한다. 다른 OS에서 컴파일 할 경우, 런타임 라이브러리 설정은 예외로 한다.
  
  

• 만약 이렇게 Postfix를 빌드하는데, "make: don't know how to ..." 와 같은 에러 메시지가 나올 경우에는, makefiles를 만들어 줘야 한다. Postfix의 최상위(Top-level) 디렉토리에서 다음의 명령을 쳐주자:

 % make -f Makefile.init makefiles

 # mv /usr/sbin/sendmail /usr/sbin/sendmail.OFF
 # mv /usr/bin/newaliases /usr/bin/newaliases.OFF
 # mv /usr/bin/mailq /usr/bin/mailq.OFF
 # chmod 755 /usr/sbin/sendmail.OFF /usr/bin/newaliases.OFF /usr/bin/mailq.OFF

# useradd -M -s /bin/false postfix

# groupadd -g 54321 postdrop

• 이 그룹에 다른 유저들이 포함되어서는 안된다는 것에 주의.
  
  

% strip bin/* libexec/*

 # make install   (최초 설치용. Interactive한 설치)
 or
 # make upgrade   (Postfix 업그레이드용. Non-Interactive)

• Upgrade (Non-Interactive) 설치는 예전의 /etc/postfix/main.cf를 요구한다. 이 파일이 없으면, Interactive한 설치로 대체된다. Interactive 설치에서, 데몬/프로그램 설치 디렉토리를 다르게 지정할 경우에도, 설정 파일들 만은 /etc/postfix/ 에 설치하도록 하여, 차후 업그레이드를 손쉽게 하도록 하는 것이 좋을것이다.
  
  
• LINUX의 syslogd는 기본적으로 synchronous writes 를 사용하는데, 이로 인해 syslogd 데몬이 Postfix보다 시스템 자원을 더 많이 사용하는 경우가 발생할 수 있다. 이를 해결하려면, /etc/syslogd.conf의 mail 로그 파일 설정 부분에 "-" 문자를 추가해 준 후, syslogd를 재시작 하면 된다 :

 mail.*                                -/var/log/maillog

 install_root: [/]

 tempdir: [/foobar/postfix-VERSION] /tmp

 config_directory: [/etc/postfix]

 daemon_directory: [/usr/libexec/postfix]

 command_directory: [/usr/sbin]

 queue_directory: [/var/spool/postfix] /var/spool/mqueue

 sendmail_path: [/usr/sbin/sendmail]

 newaliases_path: [/usr/bin/newaliases]

 mailq_path: [/usr/bin/mailq]

 mail_owner: [postfix]

 setgid_group: [postdrop]

 manpage_directory: [/usr/local/man] /usr/share/man

 sample_directory: [/etc/postfix]

 readme_directory: [no]

 myhostname = linux.org
 mydomain = linux.org

mydestination = $mydomain, $myhostname 

• IMAP, POP3 을 사용하기 위해, 다음의 UW IMAPd / POP3d Software를 참고하길 바란다: http://www.washington.edu/imap/
  
  

# For Virtual Alias domain setting

virtual_alias_maps = hash:/etc/postfix/virtual
virtual_alias_domains = $virtual_alias_maps

# Virtual Domain 설정. 다음과 같이, 도메인 네임을 써주고 뒤에 anything을 써주면 된다.
domainname.org          anything
domain.co.kr            anything
domain.com              anything
domain2.org             anything
domain3.ac.kr           anything

# 계정별 Virtual Aliasing. 외부에서 받을 메일 주소와, 실 계정 수신자의 ID를 대응시켜주면 된다.
# 여기는 메일주소       여기는 계정ID
linux@domain.com        linux
sarang@domain2.org      sarang
user3@domain.co.kr      user3
sample@domain.org       sample

# postmap /etc/postfix/virtual

pwcheck_method: pwcheck

pwcheck_method: saslauthd

$ saslauthd -a shadow 

# 여기서 부터는 SMTP 인증 세팅
smtpd_sasl_auth_enable = yes

# 익명 접속 불가
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $myhostname

# MS Internet Explorer 5 버전의 비 표준 SASL 인증 호환
broken_sasl_auth_clients = yes

# smtpd_recipient_restrictions 에서 check_relay_domains 항목
# 2.0 초기버전 이후 deprecated 되었음. 대신 reject_unauth_destination 사용
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination

# root 쪽에 기록 메일을 보낼 항목
notify_classes = delay, policy, protocol, resource, software 

# For SPAM Control - HELO, Domain 체크
# vrfy 명령어로 사용자 ID를 긁어내는 봇 방지
disable_vrfy_command = yes

# 접속후 HELO, EHLO 명령을 사용하는지 체크하려면 주석을 제거한다.
# smtpd_helo_required = yes

# HELO나 EHLO시에 잘못된 hostname syntax를 쓰는 커넥션은 발송을 금지한다. 좀 더 엄격하게 체크를 한다면,
# reject_unknown_hostname (A 레코드나 MX 레코드가 존재하는 도메인을 가지고 있는지 체크)
# 혹은 reject_non_fqdn_hostname (입력한 도메인이 FQDN을 만족하는지 체크) 옵션을 추가하면 된다. (콤마(,)로 구분)
smtpd_helo_restrictions = reject_invalid_hostname

# A 레코드나 MX 레코드가 없는 도메인에서 발송된 경우 reject 시킴.
# 더 자세한 세팅은 http://www.postfix.org/uce.html#smtpd_sender_restrictions 를 참조.
smtpd_sender_restrictions = reject_unknown_sender_domain

# Reject시 Reject 코드를 지정한다. 450은 Try Again Later 를 뜻하는 것.
access_map_reject_code = 550
unknown_client_reject_code = 450
unknown_hostname_reject_code = 450
unknown_address_reject_code = 450

# For SPAM/Junk Mail Control - Header Check 설정. regexp는 Regular Expression, 즉 정규표현식이다.
# regexp 대신, pcre를 사용할수도 있다.
# pcre를 사용시
# header_checks = pcre:/etc/postfix/header_checks
header_checks = regexp:/etc/postfix/header_checks

# MIME 헤더 체크. 첨부파일등을 체크할 필터로 사용한다.
mime_header_checks = regexp:/etc/postfix/mime_header_checks

# Body Check를 사용할 경우 주석을 풀 것
# body_checks = regexp:/etc/postfix/body_checks 

/정규표현식/   액션 [메시지] 

# 어차피 REJECT 되면 다양한 방법으로 더 많이 보내는 부류가 있으므로 조용히 버림(DISCARD).
# REJECT도 가능하다.
/^Subject:.*\[광고\]/           DISCARD
/^Subject:.*\(광고\)/           DISCARD
/^Subject: \[광고\]/            DISCARD
/^Subject: \(광고\)/            DISCARD
/^Subject: \(성인광고\)/         DISCARD
/^Subject: \[성인광고\]/         DISCARD
/^Subject: \[성인\]/            DISCARD
/^Subject: Make Money Fast/    DISCARD
/^To: friend@public.com/       DISCARD
/^From: .*@test.com/         DISCARD

# 아래는 MIME Encoded 된 제목을 검출. (광고), [광고] 로 시작하는 것들을 버림
/^Subject: =\?euc-kr\?q\?\(=B1=A4=B0=ED\)*/ DISCARD
/^Subject: =\?euc-kr\?q?\[=B1=A4=B0=ED\]*/ DISCARD
/^Subject: =\?ks_c_5601-1987\?B\?KLGksO0p*/ DISCARD
/^Subject: =\?ks_c_5601-1987\?B\?W7GksO1d*/ DISCARD

# 특수한 스팸 형태를 위한 필터. 공백이 8자 이상되는 제목이 들어간 경우
/^Subject: .*        /          REJECT
# 스패머는 클라이언트의 리스트 최 상단에 편지를 올리기 위해 날짜를 옛날로 조작하는 경우가 있다.
/^Date: .* 200[0-2]/            REJECT
/^Date: .* 19[0-9][0-9]/        REJECT
# free 라는 글자 사이에 특수한 문자가 있을 경우 제거
/^Subject: .*f[ _\.\*\-]+r[ _\.\*\-]+e[ _\.\*\-]+e/ REJECT 

/name=[^>]*\.(ade|adp|asd|bas|bat|chm|cmd|com|cpl|crt|dbx|dll|exe|hlp|hta|inf|ins|isp
|js|lnk|ocx|msi|pif|reg|scf|scr|swf|uue|vb|vbe|vbs|vbx|vxd|wsh)/ REJECT 본 편지는 위험파일 첨부로 거부됩니다.

• postfix 명령은 Postfix 메일 시스템 운영의 컨트롤을 맡는다: 메일 시스템을 시작/정지하는 기능과 약간의 관리 기능을 가지고 있고, 슈퍼유저만이 이를 사용할 수 있다.
• postalias 명령어는 Postfix의 alias 데이터 베이스를 관리한다: 이 프로그램은 sendmail에서 사용되었던 newaliases 명령의 뒤에서 작동하게 된다.
• postcat 명령어는 Postfix의 Queue 파일의 내용을 보여준다: 제한적이고 기초적인 유틸리티이기 때문에, 이후 Queue 파일을 수정할 수 있는 것들에 의해 대체될 수 있다.
• postconf 명렁어는 Postfix의 설정파일 중 하나인 main.cf 파일의 파라메터를 보여준다: 각 파라미터의 현재 값과, 기본 값, 혹은 기본 값 이외로 설정되어 있는 설정들을 보여줄 수 있다. 이것 역시 제한적이며 기초적인 툴이기 때문에, 이후 main.cf를 직접 수정하는 프로그램 등에 의해서 대체/폐기될 수 있다.
• postdrop 명령어는 mail을 부치는(posting) 역할로, sendmail 명령어에 의해 작동되며 maildrop Queue 디렉토리에 메일을 옮긴다.
• postkick 명령어는 셸 스크립트에서 몇몇 내부 통신 채널(Postfix Anatomy 참조)을 만들어 준다.
• postlock 명령어는, Postfix 호환 메일함을 locking 해준다. 이 명령어는 메일함 관리 스크립트 등에서 사용할 수 있다.
• postlog 명령어는 셸 스크립트를 위한 Postfix 호환 로그를 생성한다.
• postmap 명령어는 canonical, virtual 등과 같은 look-up 테이블을 생성/관리한다. 이 명령어는, UNIX에서 사용되는 makemap 명령어의 사촌 쯤 된다.
• postqueue 명령어는 메일 큐의 리스트를 보여주거나, 혹은 메일 큐를 비워(Flushing)준다.
• postsuper 명령어는 Postfix 큐를 관리한다. 오래된 임시파일을 삭제하고, Queue 디렉토리의 깊이(depth)를 해싱한 후 적절한 디렉토리에 queue 파일을 옮겨 놓는다. 이 명령어는 메일 시스템이 시작할때 작동된다.
  
  

# export CPPFLAGS=-I/usr/kerberos/include

# 인증서의 위치.
cert = /usr/etc/stunnel/stunnel.pem
# chroot를 걸게 되는데, 이때 해당 디렉토리가 존재하지 않으면 아래의 setuid, setgid 에 맞춰 디렉토리를 생성하도록 한다.
chroot = /var/run/stunnel/
# PID is created inside chroot jail : 위의 chroot 설정에서 정해준 경로가 "/"임을 주의. 쉽게 말해 고칠 필요가 없다
pid = /stunnel.pid
setuid = nobody
setgid = nobody 

# Eudora 사용자가 거의 없겠지만, 혹시나 있을 경우 주석을 풀어준다.
# options = DONT_INSERT_EMPTY_FRAGMENTS