# 22.3 MRA 服務器： dovecot 設定 ## 22.3 MRA 服務器： dovecot 設定 除非你想要架設 webmail 在你的 MTA 上頭，否則，你的 MTA 收下了信件，你總得連上 MTA 去收信吧？那么收信要用的是哪個通訊協議？ 就是 [22.1.4](#whatmail_pop) 里面談到的 pop3 以及 imap 啰！這就是所謂的 MRA 服務器！我們的 CentOS 6.x 使用的是 dovecot 這個軟件來達成 MRA 的相關通訊協議的！但由于 pop3/imap 還有數據加密的版本，底下我們就依據是否加密 (SSL) 來設定 dovecot 吧！ - - - - - - ### 22.3.1 基礎的 POP3/IMAP 設定 啟動單純的 pop3/imap 是很簡單的啦，你得要先確定已經安裝了 dovecot 這個軟件。而這個軟件的配置文件只有一個，就是 /etc/dovecot/dovecot.conf 。我們僅要啟動 pop3/imap 而已，所以可以這樣設定即可： ``` [root@www ~]# yum install dovecot [root@www ~]# vim /etc/dovecot/dovecot.conf # 找到底下這一行，大約是在第 25 行左右的地方，復制新增一行內容如下： #protocols = imap pop3 lmtp protocols = imap pop3 [root@www ~]# vim /etc/dovecot/conf.d/10-ssl.conf ssl = no <==將第 6 行改成這樣！ ``` 改完之后你就可以啟動 dovecot 啰！并且檢查看看 port 110/143 (pop3/imap) 有沒有啟動啊？ ``` [root@www ~]# /etc/init.d/dovecot start [root@www ~]# chkconfig dovecot on [root@www ~]# netstat -tlnp | grep dovecot Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 :::110 :::* LISTEN 14343/dovecot tcp 0 0 :::143 :::* LISTEN 14343/dovecot ``` 耶！搞定！這樣就可以提供使用者來收信件啦！真是不錯啊！不過記得喔，這里只提供基本的明碼 pop3/imap 傳輸而已， 如果想要啟動其他如 pop3s (傳輸加密機制) 協議時，就得要額外的設定啰！ - - - - - - ### 22.3.2 加密的 POP3s/IMAPs 設定 如果擔心數據在傳輸過程會被竊取，或者是你的登入信息 (賬號與密碼) 在使用 pop3/imap 時會被竊聽， 那么這個 pop3s/imaps 就顯的重要啦！與之前的 Apache 相似的，其實我們都是透過 openssl 這個軟件提供的 SSL 加密機制來進行數據的加密傳輸。方式很簡單呢！預設的情況下，CentOS 已經提供了 SSL 憑證范例文件給我們使用了。 如果你一點都不想要使用預設的憑證，那么我們就來自己建一個吧！ ``` # 1\. 建立憑證：到系統提供的 /etc/pki/tls/certs/ 目錄下建立所需要的 pem 憑證檔： [root@www ~]# cd /etc/pki/tls/certs/ [root@www certs]# make vbirddovecot.pem ....(前面省略).... Country Name (2 letter code) [XX]:TW State or Province Name (full name) []:Taiwan Locality Name (eg, city) [Default City]:Tainan Organization Name (eg, company) [Default Company Ltd]:KSU Organizational Unit Name (eg, section) []:DIC Common Name (eg, your name or your server's hostname) []:www.centos.vbird Email Address []:dmtsai@www.centos.vbird # 2\. 因為擔心 SELinux 的問題，所以建議將 pem 檔案放置到系統默認的目錄去較佳！ [root@www certs]# mv vbirddovecot.pem ../../dovecot/ [root@www certs]# restorecon -Rv ../../dovecot # 3\. 開始處理 dovecot.conf，只要 pop3s, imaps 不要明碼傳輸的咯！ [root@www certs]# vim /etc/dovecot/conf.d/10-auth.conf disable_plaintext_auth = yes <==第 9 行改成這樣！取消批注！ [root@www certs]# vim /etc/dovecot/conf.d/10-ssl.conf ssl = required <==第 6 行改成這樣 ssl_cert = </etc/pki/dovecot/vbirddovecot.pem <==12, 13 行變這樣 ssl_key = </etc/pki/dovecot/vbirddovecot.pem [root@www certs]# vim /etc/dovecot/conf.d/10-master.conf inet_listener imap { port = 0 <== 15 行改成這樣 } inet_listener pop3 { port = 0 <== 36 行改成這樣 } # 4\. 處理額外的 mail_location 設定值！很重要！否則網絡收信會失敗： [root@www certs]# vim /etc/dovecot/conf.d/10-mail.conf mail_location = mbox:~/mail:INBOX=/var/mail/%u <==第 30 行改這樣 # 5\. 重新啟動 dovecot 并且觀察 port 的變化： [root@www certs]# /etc/init.d/dovecot restart [root@www certs]# netstat -tlnp | grep dovecot Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 :::993 :::* LISTEN 14527/dovecot tcp 0 0 :::995 :::* LISTEN 14527/dovecot ``` 最終你看到的 993 是 imaps 而 995 則是 pop3s 啰！這樣一來，你收信的時候，輸入的賬號密碼就不怕被竊聽了！ 反正是加密后的資料啰！很簡單吧！ - - - - - - ### 22.3.3 防火墻設置 因為上面的練習中，我們將 pop3/imap 關閉，轉而打開 pop3s/imaps 了，因此防火墻啟動的埠口會不一樣！ 請依據您實際的案例來設定你所需要的防火墻才好。我們這里主要是開放 993, 995 兩個埠口呦！ 處理的方法與 22.2.9 相當類似： ``` [root@www ~]# vim /usr/local/virus/iptables/iptables.rule # 大約在 180 行左右，新增底下兩行去！ iptables -A INPUT -p TCP -i $EXTIF --dport 993 --sport 1024:65534 -j ACCEPT iptables -A INPUT -p TCP -i $EXTIF --dport 995 --sport 1024:65534 -j ACCEPT [root@www ~]# /usr/local/virus/iptables/iptables.rule ``` 如果你的 pop3/imap 還是決定不加密的話，請將上面的 993/995 改成 143/110 即可！ - - - - - -