This is an old revision of the document!
Mail server Zimbra
Mejl server za mail.melany.rs domen je instaliran i konfigurisan za rad iza hardverskog rutera melany.rs adrese. Takve konfiguracije zahtevaju tzv. “Split DNS” (ili split-horizon ili dual-horizon DNS) pristup koji se u osnovi sastoji od sledećeg:
- Postfix servis na koji se oslanja Zimbra za prijem/slanje mejla uvek razrešava DNS MX i DNS A lookup registrovane adrese.
- Kako je server na lokalnoj IP adresi (192.168.0.250) iza firewall-a, ne može uspešno razrešiti javni IP mail.melany.rs pa mu je potreban interni DNS da ga “zavara” da je sve u redu
- Interni DNS se može dobiti upotrebom daemona BIND ili dnsmasq
DNSMASQ
Zbog jednostavnosti konfiguracije, ali i “lakše” prirode dnsmasq daemona (BIND je veliki i potpun DNS server, preglomazan za ovu potrebu) odlučio sam se za njega. Postupak instalacije i podešavanja opisan je ovde.
Let's encrypt sertifikat
- MOC, u okviru skripte
/home/milano/lets_encrypt/lets_gf.sh
perbacuje sertifikate iz/etc/letsencrypt/archive/melany.rs-0002/
na/home/ftp/virtual/ftp/temp/web/zimbraCert
- CRON na zimbri kupi fajlove i prenosi ih u
/home/zimbra/cert
prethodno brišući postojeći sadržaj - Zatim kombinuje lanac
chain.pem
sa X1 root sertifikatom komandom (baš u ovom poretku):cat isrgrootx1.pem.txt chain.pem > zmchain.pem
- Fajlovi se prenose u
/letsencript
folder komandom:cp ./* /opt/zimbra/ssl/letsencrypt/
- Privatni ključ se kopira u
/commercial.key
:cp -f privkey.pem /opt/zimbra/ssl/zimbra/commercial/commercial.key
- I konačno se registruje novi sertifikat:
zmcertmgr deploycrt comm /opt/zimbra/ssl/letsencrypt/cert.pem /opt/zimbra/ssl/letsencrypt/zmchain.pem
- Restart servera:
zmcontrol restart
Sve je ovo automatizovano, i pokreće se kao cron
zadatak na Zimbra serveru:
# # Milano, 28.05.2022. # Preuzimam fajlove nakon što je MOC izvršio Certbot proveru koju radi svake subote u 5:30. # 40 5 * * 6 /home/zimbra/assets/lets_zm.sh
Preduslovi za funkcionisanje ''lets_zm.sh'' skripte
- Na Zimbri je napravljen
nfs-mount: /home/zimbra/cert/
koji je povezuje samoc: /etc/letsencrypt
folderom. - MOC eksponira
nfs
folder/etc/letsencrypt
samo Zimbra serveru i to uro
režimu.
Folder sadrži privatni ključ i veoma je važno da ostane zaštićen!!! - Na Zimbri, u folderu
/home/zimbra/assets
nalazi seisrgrootx1.pem.txt
fajl koji sadrži pem blok ISRG Root X1 sertifikata koji se kombinuje sa Let's Encryptovim.