| Next revision | Previous revision Next revisionBoth sides next revision |
| l3:serveri:mail_server_zimbra [2017/03/04 12:34] – created milano | l3:serveri:mail_server_zimbra [2022/05/28 11:47] – milano |
|---|
| ====== Mail server Zimbra ====== | ====== Mail server Zimbra ====== |
| |
| Mejl server za mail.melany.rs domen je instaliran i konfigurisan za rad iza hardverskog rutera melany.rs adrese. Takve konfiguracije zahtevaju tzv. "[[https://wiki.zimbra.com/wiki/Split_DNS|Split DNS]]" (ili **split-horizon** ili **dual-horizon** DNS) pristup koji se u osnovi sastoji od sledećeg: | - [[:kb:uputstva:sistemska:zimbra:reindeksiranje_korumpiranog_naloga|Reindeksiranje korumpiranog naloga]] |
| |
| - Postfix servis na koji se oslanja Zimbra za prijem/slanje mejla **uvek** razrešava DNS MX i DNS A lookup registrovane adrese. | Mejl server za mail.melany.rs domen je instaliran i konfigurisan za rad iza hardverskog rutera melany.rs adrese. Takve konfiguracije zahtevaju tzv. "[[https://wiki.zimbra.com/wiki/Split_DNS|Split DNS]]" (ili **split-horizon** ili **dual-horizon** DNS) pristup koji se u osnovi sastoji od sledećeg: |
| | |
| | - Postfix servis na koji se oslanja Zimbra za prijem/slanje mejla **uvek** razrešava DNS MX i DNS A lookup registrovane adrese. |
| - Kako je server na lokalnoj IP adresi (192.168.0.250) iza firewall-a, ne može uspešno razrešiti javni IP mail.melany.rs pa mu je potreban interni DNS da ga "zavara" da je sve u redu | - Kako je server na lokalnoj IP adresi (192.168.0.250) iza firewall-a, ne može uspešno razrešiti javni IP mail.melany.rs pa mu je potreban interni DNS da ga "zavara" da je sve u redu |
| - Interni DNS se može dobiti upotrebom daemona BIND ili dnsmasq | - Interni DNS se može dobiti upotrebom daemona BIND ili dnsmasq |
| |
| Zbog jednostavnosti konfiguracije, ali i "lakše" prirode dnsmasq daemona (BIND je veliki i potpun DNS server, preglomazan za ovu potrebu) odlučio sam se za njega. Postupak instalacije i podešavanja opisan je [[:kb:linux:dnsmasq_instalacija|ovde]]. | Zbog jednostavnosti konfiguracije, ali i "lakše" prirode dnsmasq daemona (BIND je veliki i potpun DNS server, preglomazan za ovu potrebu) odlučio sam se za njega. Postupak instalacije i podešavanja opisan je [[:kb:linux:dnsmasq_instalacija|ovde]]. |
| | |
| | ===== Let's encrypt sertifikat ===== |
| | |
| | - MOC, u okviru skripte ''/home/milano/lets_encrypt/lets_gf.sh'' perbacuje sertifikate iz ''/etc/letsencrypt/archive/melany.rs-0002/'' na ''/home/ftp/virtual/ftp/temp/web/zimbraCert'' |
| | - CRON na zimbri kupi fajlove i prenosi ih u ''/home/zimbra/cert'' prethodno brišući postojeći sadržaj |
| | - Zatim kombinuje lanac ''chain.pem'' sa X1 root sertifikatom komandom (baš u ovom poretku): ''cat isrgrootx1.pem.txt chain.pem > zmchain.pem'' |
| | - Fajlovi se prenose u ''/letsencript'' folder komandom: ''cp ./* /opt/zimbra/ssl/letsencrypt/'' |
| | - Privatni ključ se kopira u ''/commercial.key'': ''cp -f privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key'' |
| | - I konačno se registruje novi sertifikat: ''zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zmchain.pem'' |
| | - Restart servera: ''zmcontrol restart'' |
| | |
| | Sve je ovo automatizovano, i pokreće se kao ''cron'' zadatak na Zimbra serveru: |
| | <code> |
| | # |
| | # Milano, 28.05.2022. |
| | # Preuzimam fajlove nakon što je MOC izvršio Certbot proveru koju radi svake subote u 5:30. |
| | # |
| | 40 5 * * 6 /home/zimbra/assets/lets_zm.sh |
| | </code> |
| | |
| | ==== Preduslovi za funkcionisanje ''lets_zm.sh'' skripte ==== |
| | |
| | - Na Zimbri je napravljen ''nfs-mount: /home/zimbra/cert/'' koji je povezuje sa ''moc: /etc/letsencrypt'' folderom. |
| | - MOC eksponira ''nfs'' folder ''/etc/letsencrypt'' samo Zimbra serveru i to u ''ro'' režimu. \\ **Folder sadrži privatni ključ i veoma je važno da ostane zaštićen!!!** |
| | - Na Zimbri, u folderu ''/home/zimbra/assets'' nalazi se ''isrgrootx1.pem.txt'' fajl koji sadrži **pem** blok ISRG Root X1 sertifikata koji se kombinuje sa Let's Encryptovim. |
| |
| |