Next revision | Previous revision Next revisionBoth sides next revision |
l3:serveri:mail_server_zimbra [2017/03/04 12:34] – created milano | l3:serveri:mail_server_zimbra [2022/05/28 11:47] – milano |
---|
====== Mail server Zimbra ====== | ====== Mail server Zimbra ====== |
| |
Mejl server za mail.melany.rs domen je instaliran i konfigurisan za rad iza hardverskog rutera melany.rs adrese. Takve konfiguracije zahtevaju tzv. "[[https://wiki.zimbra.com/wiki/Split_DNS|Split DNS]]" (ili **split-horizon** ili **dual-horizon** DNS) pristup koji se u osnovi sastoji od sledećeg: | - [[:kb:uputstva:sistemska:zimbra:reindeksiranje_korumpiranog_naloga|Reindeksiranje korumpiranog naloga]] |
| |
- Postfix servis na koji se oslanja Zimbra za prijem/slanje mejla **uvek** razrešava DNS MX i DNS A lookup registrovane adrese. | Mejl server za mail.melany.rs domen je instaliran i konfigurisan za rad iza hardverskog rutera melany.rs adrese. Takve konfiguracije zahtevaju tzv. "[[https://wiki.zimbra.com/wiki/Split_DNS|Split DNS]]" (ili **split-horizon** ili **dual-horizon** DNS) pristup koji se u osnovi sastoji od sledećeg: |
| |
| - Postfix servis na koji se oslanja Zimbra za prijem/slanje mejla **uvek** razrešava DNS MX i DNS A lookup registrovane adrese. |
- Kako je server na lokalnoj IP adresi (192.168.0.250) iza firewall-a, ne može uspešno razrešiti javni IP mail.melany.rs pa mu je potreban interni DNS da ga "zavara" da je sve u redu | - Kako je server na lokalnoj IP adresi (192.168.0.250) iza firewall-a, ne može uspešno razrešiti javni IP mail.melany.rs pa mu je potreban interni DNS da ga "zavara" da je sve u redu |
- Interni DNS se može dobiti upotrebom daemona BIND ili dnsmasq | - Interni DNS se može dobiti upotrebom daemona BIND ili dnsmasq |
| |
Zbog jednostavnosti konfiguracije, ali i "lakše" prirode dnsmasq daemona (BIND je veliki i potpun DNS server, preglomazan za ovu potrebu) odlučio sam se za njega. Postupak instalacije i podešavanja opisan je [[:kb:linux:dnsmasq_instalacija|ovde]]. | Zbog jednostavnosti konfiguracije, ali i "lakše" prirode dnsmasq daemona (BIND je veliki i potpun DNS server, preglomazan za ovu potrebu) odlučio sam se za njega. Postupak instalacije i podešavanja opisan je [[:kb:linux:dnsmasq_instalacija|ovde]]. |
| |
| ===== Let's encrypt sertifikat ===== |
| |
| - MOC, u okviru skripte ''/home/milano/lets_encrypt/lets_gf.sh'' perbacuje sertifikate iz ''/etc/letsencrypt/archive/melany.rs-0002/'' na ''/home/ftp/virtual/ftp/temp/web/zimbraCert'' |
| - CRON na zimbri kupi fajlove i prenosi ih u ''/home/zimbra/cert'' prethodno brišući postojeći sadržaj |
| - Zatim kombinuje lanac ''chain.pem'' sa X1 root sertifikatom komandom (baš u ovom poretku): ''cat isrgrootx1.pem.txt chain.pem > zmchain.pem'' |
| - Fajlovi se prenose u ''/letsencript'' folder komandom: ''cp ./* /opt/zimbra/ssl/letsencrypt/'' |
| - Privatni ključ se kopira u ''/commercial.key'': ''cp -f privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key'' |
| - I konačno se registruje novi sertifikat: ''zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zmchain.pem'' |
| - Restart servera: ''zmcontrol restart'' |
| |
| Sve je ovo automatizovano, i pokreće se kao ''cron'' zadatak na Zimbra serveru: |
| <code> |
| # |
| # Milano, 28.05.2022. |
| # Preuzimam fajlove nakon što je MOC izvršio Certbot proveru koju radi svake subote u 5:30. |
| # |
| 40 5 * * 6 /home/zimbra/assets/lets_zm.sh |
| </code> |
| |
| ==== Preduslovi za funkcionisanje ''lets_zm.sh'' skripte ==== |
| |
| - Na Zimbri je napravljen ''nfs-mount: /home/zimbra/cert/'' koji je povezuje sa ''moc: /etc/letsencrypt'' folderom. |
| - MOC eksponira ''nfs'' folder ''/etc/letsencrypt'' samo Zimbra serveru i to u ''ro'' režimu. \\ **Folder sadrži privatni ključ i veoma je važno da ostane zaštićen!!!** |
| - Na Zimbri, u folderu ''/home/zimbra/assets'' nalazi se ''isrgrootx1.pem.txt'' fajl koji sadrži **pem** blok ISRG Root X1 sertifikata koji se kombinuje sa Let's Encryptovim. |
| |
| |