====== Poczta w Jailu ======
Założenia:
  * web frontend
  * obsługa wielu domen
  * obsługa anty-spamu
  * obsługa RBL-i
  * grey listing
  * obsługa SPF
  * quota

Oprogramowanie:
  * postfix
  * postfixadmin
  * roundcube

===== Przygotowania =====
Poniższy opis zakłada istnienie własnego repozytorium ze skompliwanym //postfix-em// oraz //dovecote-em// z opcją wsparcia MySQL-a.

Dodatkowo, wymagany będzie użytkownik ''vmail'':
<code>
pw useradd -n vmail -u 1001 -c "VMail User" -d /var/mail/vmail -s /sbin/nologin
</code>

===== Postfix - cz. I =====
==== Instalacja ====
Instalacja pakietów:
<code>
pkg install postfix
</code>

Ustawiamy ''/etc/mail/mailer.conf''
<file>
sendmail	/usr/local/sbin/sendmail
send-mail	/usr/local/sbin/sendmail
mailq		/usr/local/sbin/sendmail
newaliases	/usr/local/sbin/sendmail
</file>

Wyłączamy taski //periodic// dotyczące //sendmaila// w pliku ''/etc/periodic.conf'':
<file>
daily_clean_hoststat_enable="NO"
daily_status_mail_rejects_enable="NO"
daily_status_include_submit_mailq="NO"
daily_submit_queuerun="NO"
</file>

Włączamy //postfixa//:
<code>
echo postfix_enable=\"YES\" > /etc/rc.conf.d/postfix 
service postfix start
</code>

==== Konfiguracja ====
W pliku ''/usr/local/etc/postfix/main.cf'' zmieniamy:
<file>
myhostname = poczta.domain.name       <----- w zależności od rev-dns
mydestination = $myhostname, localhost.$mydomain, localhost
</file>

Oraz dodajemy obsługę TLS:
<file>
# TLS (incoming)
smtpd_use_tls = yes
smtpd_tls_auth_only = yes
smtpd_tls_loglevel = 1
smtpd_tls_key_file = /etc/ssl/klucz.key
smtpd_tls_cert_file = /etc/ssl/certyfikat.crt
smtpd_tls_CAfile = /etc/ssl/cert.pem
smtpd_tls_received_header = yes
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_tls_session_cache_timeout = 3600s
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
smtpd_tls_protocols=!SSLv2,!SSLv3

# TLS (outgoing)
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_note_starttls_offer = yes
smtp_tls_loglevel = 1
smtp_tls_CAfile = /etc/ssl/cert.pem
smtp_tls_mandatory_protocols=!SSLv2,!SSLv3
smtp_tls_protocols=!SSLv2,!SSLv3
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
</file>

Przygotowujemy obsługę SASL-a przez ''dovecot-a'' (będzie wykorzystana przy połączeniach na port 587):
<file>
# Dovecot-SASL
smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth
smtpd_sasl_auth_enable = no
broken_sasl_auth_clients = yes
</file>

Oraz włączamy port 587 w ''/usr/local/etc/postfix/master.cf'':
<file>
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
#  -o smtpd_sender_restrictions=$mua_sender_restrictions
  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
</file>
===== Postfixadmin + nginx + php-fpm ======
==== Instalacja ====
Instalacja z paczek:
<code>
pkg install postfixadmin php56-mysqli php56-imap nginx
</code>

==== Konfiguracja ====
=== nginx ===
Do ''/usr/local/etc/nginx/nginx.conf'' dodajemy na końcu (przed ostatnią klamrą):
<file>
# VHosts
include /usr/local/etc/nginx/conf.d/*.conf;
</file>

Tworzymy brakujące katalogi:
<code>
mkdir -p /usr/local/etc/nginx/conf.d /var/log/nginx
</code>

Konfiguracja serwera w pliku ''/usr/local/etc/nginx/conf.d/postfixadmin.conf'':
<file>
server {
	listen 80;
	server_name postfixadmin.domena.com; 

	root	/usr/local/www/postfixadmin;
  	index	index.php;

	access_log	/var/log/nginx/postfixadmin.access.log;
	error_log	/var/log/nginx/postfixadmin.error.log;

	location ~ \.php$ {
		try_files $uri = 404;
		include fastcgi_params;
                fastcgi_pass unix:/var/run/php5-fpm.sock;
		fastcgi_param SCRIPT_FILENAME $document_root$fastcgi_script_name;
	}
}
</file>

Włączenie //nginx-a//:
<code>
echo nginx_enable=\"YES\" > /etc/rc.conf.d/nginx
service nginx start
</code>

=== php-fpm ===
PHP instaluje się jako zależność przy instalacji postfixadmin-a. \\
\\
W pliku ''/usr/local/etc/php-fpm.conf'' zmieniamy:
<file>
listen = 127.0.0.1:9000
</file>

Na:
<file>
listen = /var/run/php5-fpm.sock
listen.owner = www
listen.group = www
listen.mode = 0660
</file>

Kopiujemy domyślną konfigurację ''php.ini'':
<code>
cd /usr/local/etc
cp php.ini-production php.ini
</code>

Włączamy PHP-FPM:
<code>
echo php_fpm_enable=\"YES\" > /etc/rc.conf.d/php_fpm
service php-fpm start
</code>

=== Postfixadmin ===
Tworzenie bazy danych w MySQL:
<code>
CREATE DATABASE postfix;
CREATE USER 'postfix'@'localhost' IDENTIFIED BY 'choose_a_password';
GRANT ALL PRIVILEGES ON `postfix` . * TO 'postfix'@'localhost';
</code>

Tworzymy plik ''config.local.php'':
<file>
<?php
$CONF['database_host'] = '192.168.0.2';
$CONF['database_type'] = 'mysqli';
$CONF['database_user'] = 'postfix';
$CONF['database_password'] = 'ua0eechoeceiQu2U';
$CONF['database_name'] = 'postfix';

$CONF['configured'] = true;

$CONF['default_aliases'] = array (
    'abuse' => 'konto@domena.com',
    'hostmaster' => 'konto@domena.com',
    'postmaster' => 'konto@domena.com',
    'webmaster' => 'konto@domena.com'
);

$CONF['show_footer_text'] = 'YES';
$CONF['footer_text'] = 'Return to poczta.domena.com';
$CONF['footer_link'] = 'https://poczta.domena.com';

// Quota
// When you want to enforce quota for your mailbox users set this to 'YES'.
$CONF['quota'] = 'YES';
// If you want to enforce domain-level quotas set this to 'YES'.
$CONF['domain_quota'] = 'YES';
// You can either use '1024000' or '1048576'
$CONF['quota_multiplier'] = '1048576';

?>
</file>

Uruchamiamy w przeglądarce adres serwera: http://adres.domena.com/setup.php , sprawdzamy czy wszystko jest OK, po czym ustalamy hasło na przyszłość (strona jest wykorzystywana po upgradzie w przyszłości). Strona wygeneruje hash hasła, który należy dopisać do ''config.local.php''.

Po odświeżeniu strony ustalamy użytkownika i hasło super admina. 

===== Dovecot - cz. I =====
Instalujemy paczkę:
<code>
pkg install dovecot2
</code>

Następnie w katalogu ''/usr/local/etc/dovecot'' tworzymy pliki do obsługi MySQL:
  * dovecot-dict-sql-user.conf
<file>
connect = host=localhost dbname=postfix user=postfix password=password
 
map {
  pattern = priv/quota/storage
  table = quota2
  username_field = username
  value_field = bytes
}
map {
  pattern = priv/quota/messages
  table = quota2
  username_field = username
  value_field = messages
}
</file>

  * dovecot-dict-sql-domain.conf
<file>
connect = host=localhost dbname=postfix user=postfix password=password
 
map {
    pattern = priv/quota/storage
    table = domain
    username_field = domain
    value_field = quota
}
 
map {
    pattern = priv/quota/messages
    table = quota2
    username_field = username
    value_field = messages
}
</file>

  * dovecot-sql.conf
<file>
connect = host=localhost dbname=postfix user=postfix password=password
driver = mysql
default_pass_scheme = MD5-CRYPT
 
user_query = SELECT CONCAT('/var/mail/vmail/',maildir) as home, \
                    CONCAT('maildir:/var/mail/vmail/',maildir) as mail, \
                    CONCAT('*:bytes=', \
                     IF(mailbox.quota = 0, domain.maxquota*1024000, mailbox.quota)) \
                    as quota_rule, \
		    1001 AS uid, \
		    1001 AS gid \
             FROM mailbox, domain \
             WHERE username = '%u' AND mailbox.active = '1' AND \
                   domain.domain = '%d' AND domain.active = '1'
 
password_query = SELECT username as user, password, \
                        CONCAT('/var/mail/vmail/',maildir) AS userdb_home, \
                        CONCAT('maildir:/var/mail/vmail/',maildir) AS userdb_mail \
                 FROM mailbox WHERE username = '%u' AND active = '1'
                 
iterate_query = SELECT username FROM mailbox
</file>

Następnie tworzymy główną konfigurację Dovecot-a:
<file>
log_path = syslog
syslog_facility = local0

mail_location = maildir:/var/mail/vmail/%d/%n/
mailbox_list_index = yes

namespace inbox {
  inbox = yes

  mailbox Trash {
    auto = no
    special_use = \Trash
    autoexpunge = 31d
  }
  mailbox Drafts {
    auto = no
    special_use = \Drafts
  }
  mailbox Sent {
    auto = subscribe
    special_use = \Sent
  }
  mailbox "Sent Messages" {
    auto = no
    special_use = \Sent
  }
  mailbox Junk {
    auto = create
    special_use = \Junk
    autoexpunge = 14d
  }
}

protocols = "imap lmtp"
# change to 'no' if you don't have ssl cert/keys, and comment out ssl_cert/ssl_key
ssl = yes
ssl_min_protocol = TLSv1
ssl_dh = </usr/local/etc/dovecot/dh.pem
ssl_cert = </etc/ssl/certyfikat.crt
ssl_key = </etc/ssl/klucz.key

service auth {
        unix_listener /var/spool/postfix/private/auth {
        mode = 0660
        user = postfix
        group = postfix
        }
}

# login is for outlook express smtpd auth
auth_mechanisms = plain login

# Needs to match Postfix virtual_uid_maps
first_valid_uid = 1001 

# allow plaintext auth (change to 'yes' to block plaintext passwords)
disable_plaintext_auth = yes

mail_plugins = $mail_plugins quota
 
userdb {
    args = /usr/local/etc/dovecot/dovecot-sql.conf
    driver = sql
}
 
passdb {
    args = /usr/local/etc/dovecot/dovecot-sql.conf
    driver = sql
}
 
service dict {
    unix_listener dict {
        mode = 0600
        user = vmail
    }
}
 
service quota-status {
	executable = quota-status -p postfix
	unix_listener quota-status {
		mode = 0660
		user = dovecot
		group = mail
	}
	client_limit = 1
}

protocol imap {
    mail_plugins = $mail_plugins imap_quota
}
 
protocol lmtp {
  postmaster_address = root@domena.com
  mail_plugins = $mail_plugins
}

plugin {
    # Using SQL Tables to store current quota size
    quota = dict:Quota:%d:proxy::sqldomainquota
    quota = dict:User Quota::proxy::sqluserquota
 
    # Allow 10% more for Trash Folder
    quota_rule2 = Trash:storage=+10%%
    
    # Przepuszczaj dalej checki, jesli quota OK lub brak usera
    quota_status_success = DUNNO
    quota_status_nouser = DUNNO
}
 
dict {
    sqluserquota = mysql:/usr/local/etc/dovecot/dovecot-dict-sql-user.conf
    sqldomainquota = mysql:/usr/local/etc/dovecot/dovecot-sql-domain.conf
}
</file>

Generujemy DH:
<code>
dd if=/var/db/dovecot/ssl-parameters.dat bs=1 skip=88 | openssl dhparam -inform der > /usr/local/etc/dovecot/dh.pem
</code>

Dodajemy regułę do ''/etc/syslog.conf'':
<file>
local0.*          /var/log/dovecot.log
</file>

Oraz rotowanie logów do ''/usr/local/etc/newsyslog.conf.d/dovecot'':
<file>
# logfilename          [owner:group]    mode count size when  flags [/pid_file] [sig_num]
/var/log/dovecot                        640  30    *    @T00  JC
</file>

Uruchamiamy //dovecot-a// i restartujemy //syslog-a//:
<code>
echo dovecot_enable=\"YES\" > /etc/rc.conf.d/dovecot
service syslogd restart
service dovecot start
</code>
===== Postfix - cz. II - MySQL =====
Podłączamy //postfix-a// do MySQL-a. Tworzymy katalog:
<code>
mkdir -p /usr/local/etc/postfix/sql
</code>

Oraz tworzymy w nim pliki:
  * mysql_virtual_alias_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query = SELECT goto FROM alias WHERE address='%s' AND active = '1'
#expansion_limit = 100
</file>

  * mysql_virtual_alias_domain_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('%u', '@', alias_domain.target_domain) AND alias.active = 1 AND alias_domain.active='1'
</file>

  * mysql_virtual_alias_domain_catchall_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query  = SELECT goto FROM alias,alias_domain WHERE alias_domain.alias_domain = '%d' and alias.address = CONCAT('@', alias_domain.target_domain) AND alias.active = 1 AND alias_domain.active= '1'
</file>

  * mysql_virtual_domains_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query          = SELECT domain FROM domain WHERE domain='%s' AND active = '1'
#query          = SELECT domain FROM domain WHERE domain='%s'
#optional query to use when relaying for backup MX
#query           = SELECT domain FROM domain WHERE domain='%s' AND backupmx = '0' AND active = '1'
#expansion_limit = 100
</file>

  * mysql_virtual_mailbox_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query           = SELECT maildir FROM mailbox WHERE username='%s' AND active = '1'
#expansion_limit = 100
</file>

  * mysql_virtual_alias_domain_mailbox_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query = SELECT maildir FROM mailbox,alias_domain WHERE alias_domain.alias_domain = '%d' and mailbox.username = CONCAT('%u', '@', alias_domain.target_domain) AND mailbox.active = 1 AND alias_domain.active='1'
</file>

  * mysql_virtual_mailbox_limit_maps.cf
<file>
user = postfix
password = password
hosts = localhost
dbname = postfix
query = SELECT quota FROM mailbox WHERE username='%s' AND active = '1'
</file>

Następnie dodajemy do ''/usr/local/etc/postfix/main.cf'' obsługę MySQL-a oraz zmieniamy transport LMTP na Dovecot-a:
<file>
# Postfixadmin
virtual_mailbox_domains = proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_domains_maps.cf
virtual_uid_maps = static:1001
virtual_gid_maps = static:1001
virtual_alias_maps =
   proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_alias_maps.cf,
   proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_alias_domain_maps.cf,
   proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_alias_domain_catchall_maps.cf
virtual_mailbox_maps =
   proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_mailbox_maps.cf,
   proxy:mysql:/usr/local/etc/postfix/sql/mysql_virtual_alias_domain_mailbox_maps.cf
virtual_mailbox_base = /var/mail/vmail

# Dovecot
virtual_transport = lmtp:unix:/var/run/dovecot/lmtp 

# Restrykcje
smtpd_recipient_restrictions = check_policy_service unix:/var/run/dovecot/quota-status
</file>

===== Postfix - cz. III - SPF =====

SPF-a obecnie sprawdza Spamassasin (patrz niżej) oraz dodatkowo OpenDMARC.

===== Postfix - cz. III - RBL =====
Modyfikujemy plik ''main.cf'' w sekcji z restrykcjami:
<file>
# Restrykcje
smtpd_recipient_restrictions =
        reject_invalid_hostname,
        reject_non_fqdn_sender,
        reject_non_fqdn_recipient,
        reject_unknown_sender_domain,
        reject_unknown_recipient_domain,
        reject_unauth_pipelining,
        check_policy_service unix:private/policyd-spf,
        check_policy_service unix:/var/run/dovecot/quota-status,
        check_client_access hash:/usr/local/etc/postfix/rbl_override,
        reject_rbl_client zen.spamhaus.org,
        reject_rbl_client bl.spamcop.net,
        reject_rbl_client cbl.abuseat.org
</file>

Tworzymy plik z whitelistą ''/usr/local/etc/postfix/rbl_override'', w którym wpisujemy domeny wpuszczane zawsze, np.:
<file>
gmail.com        OK
</file>

Po każdorazowej modyfikacji pliku, należy odświeżyć bazę:
<code>
postmap /usr/local/etc/postfix/rbl_override
</code>

===== Spamassassin =====
Instalujemy paczkę:
<code>
pkg install spamassassin p5-DBD-mysql
</code>

Następnie zakładamy nową bazę w MySQL:
<code>
CREATE DATABASE spamassassin;
CREATE USER 'spamassassin'@'localhost' IDENTIFIED BY 'password';
GRANT ALL PRIVILEGES ON `spamassassin` . * TO 'spamassassin'@'localhost';
</code>

Importujemy strutury:
<code>
cd /usr/local/share/doc/spamassassin/sql
mysql -u spamassassin -ppassword spamassassin < awl_mysql.sql
mysql -u spamassassin -ppassword spamassassin < bayes_mysql.sql
mysql -u spamassassin -ppassword spamassassin < userprefs_mysql.sql
</code>

Włączamy pluginy (dopisujemy) w ''/usr/local/etc/mail/spamassassin/init.pre'':
<file>
loadplugin Mail::SpamAssassin::Plugin::AWL
loadplugin Mail::SpamAssassin::Plugin::Pyzor
loadplugin Mail::SpamAssassin::Plugin::Razor2
loadplugin Mail::SpamAssassin::Plugin::SPF
</file>

Tworzymy konfigurację w pliku ''/usr/local/etc/mail/spamassassin/local.cf''
<file>
report_safe		0
lock_method		flock
required_score		5.0
use_bayes		1
bayes_auto_learn	1
skip_rbl_checks		1
use_razor2		1
use_pyzor		1
normalize_charset 	1

# Userprefs
user_scores_dsn                 DBI:mysql:spamassassin:localhost
user_scores_sql_username        spamassassin
user_scores_sql_password        password

# AWL
auto_whitelist_factory          Mail::SpamAssassin::SQLBasedAddrList
user_awl_dsn                    DBI:mysql:spamassassin:localhost
user_awl_sql_table              awl
user_awl_sql_username           spamassassin
user_awl_sql_password           password

# Bayes
bayes_store_module              Mail::SpamAssassin::BayesStore::MySQL
bayes_sql_dsn                   DBI:mysql:spamassassin:localhost
bayes_sql_username              spamassassin
bayes_sql_password              password
</file>

Wypełniamy tabelę w MySQL wartościami:
<file>
mysql -u spamassassin -ppassword spamassassin
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'report_safe', '0', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'lock_method', 'flock', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'required_score', '5.0', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'use_bayes', '1', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'bayes_auto_learn', '1', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'skip_rbl_checks', '1', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'use_razor2', '1', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'use_pyzor', '1', NULL);
INSERT INTO userpref (username, preference, value, prefid) VALUES ('@GLOBAL',  'normalize_charset', '1', NULL);
</file>

Aktualizujemy i kompilujemy reguły dla //Spamassassina//:
<code>
sa-update
sa-compile
</code>

:!: __Należałoby rozważyć wrzucenie do cron-a powyższych poleceń__

Włączenie //Spamassassina//:
<code>
echo spamd_enable=\"YES\" > /etc/rc.conf.d/spamd
spamd_flags=\"-q -x -u spamd --listen /var/run/spamd.sock\" >> /etc/rc.conf.d/spamd
service sa-spamd start
</code>

===== Postfix - cz. IV - Integracja ze Spamassissem =====

Do pliku ''master.cf'' dopisujemy filtr do konfiguracji smtp, oraz podłączamy //spamassassina//:
<file>
smtp      inet  n       -       n       -       -       smtpd
  -o content_filter=spamd
spamd   unix    -       n       n       -       -       pipe
  user=spamd argv=/usr/local/bin/spamc -u ${user}@${domain} --socket=/var/run/spamd.sock -e
  /usr/local/sbin/sendmail -oi -f ${sender} ${recipient}
</file>

Po czym restarujemy ''postfixa'':
<code>
service postfix restart
</code>

Sprawdzenie działania:
  * pobieramy testowy mail, na który //spamassassin// reaguje jako SPAM:
<code>
wget http://spamassassin.apache.org/gtube/gtube.txt
</code>
  * wysyłamy testowego maila na nasz serwer:
<code>
swaks -4 -f sender@domena.com -t user@nasz_serwer.pl --server nasz_serwer.pl --body ./gtube.txt
</code>

W mailu powinniśmy zobaczyć, że //spamassassin// wykrył SPAM. Nagłówki:
<code>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on nasz_serwer.pl
X-Spam-Flag: YES
X-Spam-Level: **************************************************
X-Spam-Status: Yes, score=1000.0 required=5.0 tests=AWL,GTUBE autolearn=no
	autolearn_force=no version=3.4.1
X-Spam-Report: 
	* 1000 GTUBE BODY: Generic Test for Unsolicited Bulk Email
	*  0.0 AWL AWL: Adjusted score from AWL reputation of From: address
Received-SPF: Pass (sender SPF authorized) identity=helo; client-ip=1.2.3.4; helo=domena.com; envelope-from=sender@domena.com; receiver=user@nasz_serwer.pl 
</code>

==== Aktualizacje baz Spamassassina ====
Tworzymy skrypt ''/root/bin/sa_update_cron.sh'':
<file>
#!/bin/sh
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/games:/usr/local/sbin:/usr/local/bin

if sa-update -v
then
	sa-compile
	service sa-spamd restart
fi
</file>

Oraz dodajemy uruchamianie go w ''/etc/crontab'':
<file>
# SA update
15	2	*	*	*	root	/root/bin/sa_update_cron.sh
</file>
===== Dovecot - cz. II - filtrowanie =====
Instalujemy dodatkowy pakiet:
<code>
pkg install dovecot-pigeonhole
</code>

W konfiguracji ''dovecot.conf'' włączamy plugin //sieve// w protokole LMTP oraz dodajemy opcje pluginu:
<file>
protocol lmtp {
  postmaster_address = root@domena.com
  mail_plugins = $mail_plugins sieve
}
...
...
plugin {
    ...
    ...
    
    # Sieve
    sieve = /var/mail/vmail/%d/%n/.dovecot.sieve
    sieve_global_path = /var/lib/dovecot/sieve/default.sieve
    sieve_dir = /var/mail/vmail/%d/%n/sieve/
    sieve_global_dir = /var/lib/dovecot/sieve/
    sieve_before = /var/lib/dovecot/sieve/detect-spam.sieve
}
</file>

Zakładamy brakujący katalog:
<code>
mkdir -p /var/lib/dovecot/sieve
chown vmail:vmail /var/lib/dovecot/sieve
</code>

Oraz tworzymy w tym katalogu domyślne filtry w pliku ''default.sieve'', oraz filtr przenoszący SPAM w pliku ''detect-spam.sieve'':
<file>
require "fileinto";
if header :contains "X-Spam-Flag" "YES" {
  fileinto "Spam";
}
</file>

Na końcu restartujemy //dovecota//:
<code>
service dovecot restart
</code>
===== Postfix - cz. V - Postgrey =====
Instalujemy paczkę:
<code>
pkg install postgrey
</code>

Do ''main.cf'' w restrykcjach dopisujemy ostatnią linię:
<code>
smtpd_recipient_restrictions = 
	reject_invalid_hostname,
	reject_non_fqdn_sender,
	reject_non_fqdn_recipient,
	reject_unknown_sender_domain,
	reject_unknown_recipient_domain,
	reject_unauth_pipelining, 
	check_policy_service unix:private/policyd-spf,
	check_policy_service unix:/var/run/dovecot/quota-status,
	check_client_access hash:/usr/local/etc/postfix/rbl_override,
	reject_rbl_client zen.spamhaus.org,
	reject_rbl_client bl.spamcop.net,
	reject_rbl_client cbl.abuseat.org
	check_policy_service unix:/var/run/postgrey.sock
</code>

Uruchamiamy //postgreya//:
<code>
echo postgrey_enable=\"YES\" > /etc/rc.conf.d/postgrey
postgrey_flags=\"--unix=/var/run/postgrey.sock --delay=900\" >> /etc/rc.conf.d/postgrey
service postgrey start
</code>

===== Postfix - cz. VI - Antispoof =====
Do ''master.cf'' na porcie //submission// (587) dodajemy warunek sprawdzający sendera (''reject_sender_login_mismatch''):
<file>
submission inet n       -       n       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_reject_unlisted_recipient=no
#  -o smtpd_client_restrictions=$mua_client_restrictions
#  -o smtpd_helo_restrictions=$mua_helo_restrictions
  -o smtpd_sender_restrictions=reject_sender_login_mismatch
  -o smtpd_recipient_restrictions=
  -o smtpd_relay_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
</file>

W ''main.cf'' definiujemy mapę loginów w postarci wyrażeń Perla:
<file>
# Mail antispoof
smtpd_sender_login_maps = pcre:/usr/local/etc/postfix/login_maps.pcre
</file>

Tworzymy plik ''/usr/local/etc/postfix/login_maps.pcre'':
<file>
/^(.*)$/		$1
</file>

:!: Po każdym modyfikacji tego pliku, należy przeładować postfix-a. \\
Tutaj tester PCRE do poćwiczenia: https://regex101.com/
===== Roundcube =====

Instalujemy paczki:
<code>
pkg install roundcube
</code>

Tworzymy nową bazę w MySQL oraz użytkownika:
<code>
CREATE DATABASE roundcubemail /*!40101 CHARACTER SET utf8 COLLATE utf8_general_ci */;
GRANT ALL PRIVILEGES ON `roundcubemail` . * TO 'roundcube'@'localhost' identified by 'password';
</code>

Oraz robimy import struktury:
<code>
cd /usr/local/www/roundcube/SQL
mysql -u roundcube -ppassword roundcubemail < mysql.initial.sql
</code>

W pliku ''/usr/local/etc/php.ini'' zmieniamy zmienną:
<file>
date.timezone = Europe/Warsaw
error_reporting = E_ALL & ~E_NOTICE
post_max_size = 50M
upload_max_filesize = 50M
</file>

Wgrywamy ''mime.types'' z apache:
<code>
cd /usr/local/www/roundcube/config
wget http://svn.apache.org/repos/asf/httpd/httpd/trunk/docs/conf/mime.types
</code>

Odpalamy instalator na stronie: http://serwer.domena.com/installer i przechodzimy kolejne kroki. Wygenerowany konfig zapisujemy w ''/usr/local/www/roundcube/config/config.inc.php'', dodając na końcu linię:
<file>
$config['mime_types'] = '/usr/local/www/roundcube/config/mime.types';
</file>

==== Pluginy ====
Kilka ciekawych pluginów do Roundcube (dopisz do ''config.inc.php''):
<file>
$config['plugins'] = array('contextmenu', 'managesieve', 'markasjunk2', 'newmail_notifier', 'password', 'sauserprefs', 'userinfo', 'zipdownload');
</file>

Część z powyższych dostęna jest z Roundcube, część trzeba doinstalować:
<code>
pkg install roundcube-contextmenu roundcube-html5_notifier roundcube-sauserprefs
</code>

Wszystkie pluginy znajdują się w ''/usr/local/www/roundcube/plugins/nazwa_pluginu''.

=== contextmenu ===
Plugin pokazujący menu kontekstowe pod prawym przycikiem myszy.

Konfiguracja: brak

=== managesieve ===
Plugin do zarządzania filtrowanie poczty.

Konfiguracja do ''/usr/local/www/roundcube/plugins/managesieve/config.inc.php'':
<file>
$config['managesieve_host'] = 'poczta.mky.waw.pl';
</file>
=== markasjunk2 ===
Plugin, który dodaje przycisk "Spam/Not Spam" w interfejsie Web. Dodatkowo istnieje możliwość uczenia Spamassassina z zaznaczonych maili.

Plugin do pobrania stąd: https://github.com/JohnDoh/Roundcube-Plugin-Mark-as-Junk-2/releases

Konfiguracja:
<file>
$config['markasjunk2_learning_driver'] = 'cmd_learn';
$config['markasjunk2_spam_cmd'] = '/usr/local/bin/sa-learn --spam --username=%u %f';
$config['markasjunk2_ham_cmd'] = '/usr/local/bin/sa-learn --ham --username=%u %f';
</file>

=== newmail_notifier ===
Plugin pokazujący notyfikacje przy nadejściu nowej wiadomości.

Konfiguracja: brak (opcje użytkownika dostępne są w Ustawieniach w panelu Web)

=== password ===
Plugin do zmiany hasła z poziomu Roundcube'a.

Konfiguracja:
<file>
$config['password_db_dsn'] = 'mysql://postfix:password@localhost/postfix_db';
$config['password_query'] = "UPDATE `mailbox` SET `password` = %c, modified=now() WHERE `username` = %u LIMIT 1";
</file>

:!: **UWAGA** - bazę i dane logowania podajemy do bazy Postfix'a a nie Roundcube'a.

=== sauserprefs ===
Plugin do zarządzania ustawieniami Spamassassina dla użytkowników.

Konfiguracja:
<file>
$rcmail_config['sauserprefs_db_dsnw'] = 'mysql://spamassassin:password@localhost/spamassassin_db';
$rcmail_config['sauserprefs_default_prefs'] = array(
                                                                        "required_score" => "5",
                                                                        "rewrite_header Subject" => "",
                                                                        "ok_languages" => "all",
                                                                        "ok_locales" => "all",
                                                                        "fold_headers" => "1",
                                                                        "add_header all Level" => "_STARS(*)_",
                                                                        "use_razor1" => "0",
                                                                        "use_razor2" => "1",
                                                                        "use_pyzor" => "1",
                                                                        "use_dcc" => "1",
                                                                        "use_bayes" => "1",
                                                                        "skip_rbl_checks" => "1",
                                                                        "report_safe" => "0",
                                                                        "bayes_auto_learn" => "1",
                                                                        "bayes_auto_learn_threshold_nonspam" => "0.1",
                                                                        "bayes_auto_learn_threshold_spam" => "12.0",
                                                                        "use_bayes_rules" => "1"
</file>

=== userinfo ===
Plugin pokazujący informacje o użytkowniku w ustawieniach.

Konfiguracja: brak
=== zipdownload ===
Plugin pozwalający pobieranie wielu załączników w postaci archiwum ZIP.

Konfiguracja: brak

==== Optymalizacja działania ====
Domyślnie Roundcube nie jest zbyt szybkim frontendem Web. Można wykonać kilka zabiegów, by mu pomóc w jego pracy.

=== imapproxy ===
Instalujemy paczkę:
<code>
pkg install up-imapproxy
</code>

Ustawiamy w ''/usr/local/etc/imappproxyd.conf'':
<file>
server_hostname serwer.domena.com
listen_port 8143
listen_address 127.0.0.1
syslog_prioritymask LOG_WARNING
</file>

Po czym uruchamiamy:
<code>
echo imapproxyd_enable=\"YES\" > /etc/rc.conf.d/imapproxyd
service imapproxyd start
</code>

W Roundcube edytujemy w głównym konfigu w '/usr/local/www/roundcube/config/config.inc.php':
<file>
$config['imap_force_caps'] = true;
$config['default_host'] = '127.0.0.1';
$config['default_port'] = 8143;
</file>

=== PHP APCu ===
Instalujemy pakiet:
<code>
pkg install pecl-APCu
</code>

Oraz restartujemy PHP:
<code>
service php-fpm restart
</code>

Do konfiguracji Roundcube w '/usr/local/www/roundcube/config/config.inc.php' dopisujemy:
<file>
$config['imap_cache'] = 'apc';
</file>