#!/bin/sh
# Конфиг dovecot. Начат 2006-05-26 в 16:15
# сразу предупреждаю — перевод дался реально очень тяжело,
# у автора своеобразная манера писать комменты, прям как у меня 🙂
# посему прошу неточности не в комментах к статье выкладывать, а
# на форуме http://forum.lissyara.su/viewforum.php?f=8
# Директория где храняться данные на время выполнения
# (временная чтоль, тогда почему не /tmp?)
base_dir = /var/run/dovecot/
# Протоколы по которым обслужиаем клиентов:
# imap imaps pop3 pop3s
protocols = pop3
# IP или имя хоста на котором будем слушать
# На данный момент не поддерживается задание нескольких адресов,
# единственный вариант — указать звёздочку (*) чтобы слушать все
# адреса ([::] — для IPv6)
# Для задания специфических портов для некоторых сервисов то это
# надо конфигурить в секции протоколов, примерно так:
# protocol imap {
# listen = *:10143
# ssl_listen = *:10943
# ..
# }
# protocol pop3 {
# listen = *:10100
# ..
# }
listen = *
# IP или имя хоста где ждём подключения по SSL.
# По дефолту — не задано.
#ssl_listen =
# Отключить поддержку SSL/TLS (yes/no — соответсвенно включено/отключено).
ssl_disable = yes
# PEM кодированый X.509 SSL/TLS сертификат и секретный ключ. Они открываются
# до понижения рутовых привилегий, поэтому сохраните ключевой файл
# с доступом тока для root. Включенный скрипт doc/mkcert.sh может быть
# использован для генерации самоподписанного сертификата, тока не
# забудте обновить домены в dovecot-openssl.cnf
#ssl_cert_file = /etc/ssl/certs/dovecot.pem
#ssl_key_file = /etc/ssl/private/dovecot.pem
# Если ключевой файл защищён паролем, то его надо написать тут. Как
# альтернатива — запуск dovecot с параметром ‘-p’.
#ssl_key_password =
# Файл содержащий авторити (центры подписывающие сертификаты). обычно не нужен.
#ssl_ca_file =
# Запрос клиента на посыл (?) сертификата.
#ssl_verify_client_cert = no
# Как часто регенерить файл с параметрами SSL. Это весьма нагружающий CPU
# процесс. Значение — в часах, 0 отключает регенерацию файла вообще.
#ssl_parameters_regenerate = 168
# Цифры используемые в SSL
#ssl_cipher_list = ALL:!LOW
# Отключить команду LOGIN и все другие plaintext аутентификации если
# SSL/TLS не используется. (совместимо с LOGINDISABLED). Отметтьте, что
# 127.*.*.* и IPv6 ::1 адреса считаются безопасными, и установки этого пункта
# не влияют на соединение с них.
disable_plaintext_auth = no
# Убивать все IMAP и POP3 процессы при остановке главного процесса dovecot
# Если поставить «no» то можно обновлять (видимо — реконфигурить) dovecot
# без принудительного закрытия открытых клиентских подключений (может быть
# проблемой — если обновление из-за безопасности).
# Надо учесть, что после того как убит мастер-процесс, клиентские процессы
# не могут писать в лог (так что, происходящее, останется неизвестным).
shutdown_clients = yes
# Использовать указанный тут файл вместо syslog(). Может быть заюзан
# /dev/stderr для логгинга. (Только /dev/stderr!)
#log_path =
# Для информационных сообщений юзайте этот файл, вместо дефолтового
#info_log_path =
# Префикс для каждой линии записываемой в syslog. Коды % прредставлены
# в формате strftime(3).
log_timestamp = «%b %d %H:%M:%S »
# Средства (немогу подобрать адекватный перевод для слова «facility», в
# таких фразах) syslog используемые при ведении логов через syslog.
# Если по каким-то причинам не хочется использовать стандартное «mail»,
# можно использовать local0…local7.
syslog_facility = mail
## Секция «Про лОгины» 🙂
##
# Директория где аутентификационный процесс размещает UNIX сокеты
# которые требуются для процесса логина. Сокеты создаются от суперпользователя,
# поэтому можно не беспокоится насчёт прав. При старте dovecot всё
# содержимое этой директории удаляется.
login_dir = /var/run/dovecot/login
# `chroot`ить процесс аутентификации и авторизации в login_dir.
# Очень неплохая идея — ибо этот процесс работает от рута.
# http://wiki.dovecot.org/Rootless
login_chroot = yes
# Юзер использующийся для процесса логина. При установке из
# портов создаётся новый юзер — dovecot, причём не создав его не
# хочет ставиться. Ненавижу такие инсталляторы и людей их пишуших.
# В конце-концов мне видней нужен ли мне такой юзер и какого я буду
# использовать для этого процесса.
# Этому юзеру не нужен доступ к почте, он занимается тока
# контролем доступа к авторизации пользователя.
# http://wiki.dovecot.org/UserIds
login_user = dovecot
# Максимальный размер процесса, в мегабайтах. Если Вы не используете
# login_process_per_connection, то вероятно необходимо увеличить
# это значение.
login_process_size = 64
# Каждый логин должен быть обработан своим собственным процессом (‘yes’),
# или один процесс может обрабатывать несколько соединений (‘no’). ‘yes’ более
# секьюрно, особенно если включено SSL/TLS. ‘no’ быстрее работает, ибо нет
# необходимости создавать процесс на каждое соединение.
login_process_per_connection = yes
# Число запускаемых процессов логина. Если ‘login_process_per_connection’
# равно ‘yes’, то это число свободных процессов ожидающих подключения
# пользователей.
login_processes_count = 3
# Максимальное число запускаемых процессов авторизации. Точное число процессов
# обычно находится в ‘login_processes_count’, но когда много юзеров одновременно
# запускают процесс авторизации может быть запущено больше процессов. Для
# предотвращения ‘fork-bombing’ проверка производится раз в секунду,
# необходимо ли создать новые процессы — если все используются, то их число
# удваивается, до тех пор, пока не будет достигнут предел указанный тут.
# Эта опция работает только в случае если ‘login_process_per_use’ = ‘yes’.
login_max_processes_count = 64
# Максимальное число соединений разрешённых в сосоянии ‘логина’. Когда
# достигается указанный тут лимит, самые старые связи разрываются. Если
# ‘login_process_per_connection’ = ‘no’, то это число соединений процесса,
# таким образом максимальное число одновременно залогиненых юзеров равно
# ‘login_processes_count’ * ‘max_logging_users’.
#max_logging_users = 128
# Приветственное сообщение для клиентов.
login_greeting = dovecot MUA ready
# Разделённый пробелами лист элементов, которые будут записаны в лог.Непустые
# элементы будут объединены через запятую.
login_log_format_elements = user=<%u> method=%m rip=%r lip=%l %c
# Формат лога аутентификации. %$ содержит цепочку login_log_format_elements,
# %s содержит данные которые будут залогированы.
login_log_format = %$: %s
## Процесс почты
## (настройки раздачи почты клиентам)
# Максимальное число запущенных mail процессов. Когда этот лимит достигнут,
# новые юзеры обламываются 🙂
#max_mail_processes = 1024
# Показывать больше отладочной информации (заголвков процессов?). В настоящее
# время показывается имя пользователя и IP адрес. Это может быть полезно
# для того, чтобы увидеть кто фактически использует процессы IMAP
# (общие майлбоксы, или если один uid используется несколькими аккаунтами).
verbose_proctitle = yes
# Показывать уровень протокола ошибок SSL.
#verbose_ssl = no
# Действительный диапазон UID для пользователей, дефолт от 500 и выше. Это
# необходимо для того, чтобы пользователи не смогли залогиниться как
# демоны или какие-либо системные пользователи. Запрет для логина `root`а
# жёстко забит в код `dovecot`а и не может быть разрешён даже если
# установить ‘first_valid_uid’ = 0.
first_valid_uid = 25
#last_valid_uid = 0
# Диапазон GID для юзеров, по дефолту не root или wheel. Юзерам имеющим
# недействительный GID как ID первичной группы вход запрёщён. Если пользователь
# входит в дополнительную группу с недействительным GID то эти группы
# не заданы (непонимаю эту фразу… Либо разрешено либо запрещено… х.з.)
first_valid_gid = 0
#last_valid_gid = 0
# Разрешить доступ для для дополнительных групп процессов обработкипочты.
# Обычно, разрешается группа «mail» для доступа к /var/mail чтобы
# создавать блокировки
mail_extra_groups = mail
# Список директорий, с разделителями вида ‘:’, в которых разрешается
#`chroot`инг для процессов обpаботки почты (т.е. /var/mail разрешает
# за`chroot`ить, до кучи, и /var/mail/foo/bar).
# Эти установки не затрагивают ‘login_chroot’ или ‘auth_chroot’ переменные.
# АХТУНГ: никогда не добавляйте директории где локальные пользователи
# имеют право что-то менять, иначе могут подсунуть эксплоит и получить рута.
# Обычно так делается если пользователи не имеют шелл-доступа.
#valid_chroot_dirs =
# Дефолтовая `chroot` директория для процесса обработки почты. Это
# может быть перекрыто настройками пользователя (из БД пользователей)
# давая /./ в домашней директории пользователя.
# (т.е. /home/./user chroot`ится в /home). Необходимо отметить что реальной
# необходимости чрутить пользователей нету — т.к. dovecot не разрешит юзерам
# получить доступ к файлам вне их домашней директории.
#mail_chroot =
# Включить отладку для процесса обработки почты. Это может помочь понять,
# почему dovecot не может найти вашу почту (дословно переведено :))
#mail_debug = yes
# Переменные окуружения MAIL для использования в случаях, когда явно они
# не заданы. Если оставить их незаданными то dovecot попробует установить
# их автоматически (описано в doc/mail-storages.txt). Есть несколько
# специальных переменных которыми можно пользоваться:
#
# %u — имя пользователя
# %n — `юзерская` часть в user@domain, тоже самое что и %u
# если имя домена не задано
# %d — `доменная` часть в user@domain, пустая, если домен не задан
# %h — домашняя директория
#
# Полный список этих переменных можно посмотреть в
# /usr/local/share/doc/dovecot/doc/variables.txt
#
# Пара примеров:
# default_mail_env = maildir:/var/mail/%1u/%u/Maildir
# default_mail_env = mbox:~/mail/:INBOX=/var/mail/%u
# default_mail_env = mbox:/var/mail/%d/%n/:INDEX=/var/indexes/%d/%n
# default_mail_env = mbox:/var/mail/%u
# Учтите, что формат этой директории должен совпадать с тем,
# который достанет exim из БД (что касается его формата в БД — это
# регулируется в конфиге postfixadmin), так что либо думаем, как указывать,
# либо юзаем переменную %h — хомяк.
# Мне? больше нравиться такой вариант:
#default_mail_env = maildir:/var/mail/exim/%d/%n
# А в postfixadmin по дефолту такой:
#default_mail_env = maildir:/var/mail/exim/%n@%d
# А можно и так (наверно даже правильней так, если прокатит — но я не
# попробовал — забыл, потому — это чистая теория:
#default_mail_env = maildir:/var/mail/exim/%h
# опция была заменена аналогичной по смыслу но с другим именем
# начиная с версии 1.1.1. теперь это будет так:
mail_location = maildir:/var/mail/exim/%d/%n
# Если хотите установить несколько местоположений почтового ящика
# (тока нах это надо?) или хотите изменить NAMESPACE (это расширение
# описано в RFC 2342, оно позволяет одноимённой командой определить,
# какие пространства имён задействованы на сервере),
# то это можно сделать в следующих секциях:
#
# Можно иметь частные, раздёлённые и публичные пространства имён.
# Единственное различие между ними то, как dovecot объявляет их клиенту.
# Разделённые namespaces предназначены для пользовательских почтовых
# ящиков разделённых с другими пользователями, а публичные пространства
# имён для более глобально доступных почтовых ящиков (мне тяжело даются
# эти определения, поскольку я привык что один ящик — один юзер).
#
# ПОМНИТЕ: Если добавляете какой-либо namespaces, то дефолтовый namespace
# должен быть явно добавлен. т.е. default_mail_env не делает ничего, если
# если не задан namespace без указания местоположения. Дефолтовый
# namespace представляет собой namespace с пустой приставкой.
#namespace private {
# Разделитель (сепаратор) в иерархии директорий. Желательно
# использовать одинаковый во всём пространстве namespaces, иначе
# некоторых клиентов начинает плющщить. ‘/’ — хороший выбор.
#separator = /
# Префикс требуемый для получения доступа к этому пространству имён.
# Должно быть разным во всех namespaces. Например «Public/».
#prefix =
# Физическое расположение почтового ящика. Формат точно такой же как у
# ‘default_mail_env’, являющейся дефолтовой для него.
#location =
# Может быть тока один INBOX, и тут определяется какой.
#inbox = yes
# Если namespace скрыто, это не показывается клиентам через NAMESPACE
# и не показывается в ответах списка (LIST). Это полезно при
# конвертировании с другого сервера с другим namespaces который
# убрать (?) но всё ещё работаете с ним. Например, вы можете создать
# скрытый namespaces с префиксом «~/mail/», «~%u/mail/» и «mail/».
#hidden = yes
#}
# Лист полей, разделённых пробелами для первоначального сохранения
# в файл кэша. На данный момент разрешены следующие поля:
#
# flags, date.sent, date.received, size.virtual, size.physical
# mime.parts, imap.body, imap.bodystructure
#
# Разные IMAP-клиенты работают по разному, и извлекают выгоду из различных
# кэшируемых областей. Некоторые клиенты не умеют ими пользоваться вообще.
# Излишнее кэширование приводит к бесполезным операциям дискового
# ввода-вывода.
#
# Dovecot пытается автоматически выяснить что хочет клиент и сохраняет
# тока это. Однако первые несколько заходов клиента ещё не известно чё
# клиент хочет, и кэширование не оптимально. Если известны потребности
# клиентов, то можно попробовать выставить эти поля вручную. Если
# клиенты, фактически, не будут их использовать, то в итоге Dovecot
# удалит их.
#
# Вообще, лучше тут ничё не трогать. Ибо то, на чём можно выиграть,
# обычно, непримечательно, и думаешь на это в последнюю очередь.
#mail_cache_fields =
# Разделённый пробелами список полей которые Dovecot никогда не должен
# сохранять в кэше. Пригодится в случае если надо съэкономить место
# на диске в ущерб скорости работы.
#mail_never_cache_fields =
# Минимальное число почтовых сообщений в ящике до обновления кэш-файла
# Позволяет оптимизировать поведение Dovecot в работе с диском, засчёт
# уменьшения операций записи, но увеличения числа операций чтения.
#mail_cache_min_mail_count = 0
# Когда выполняется команда IDLE, почтовый ящик проверяется время от
# времени, чтобы обнаружить новые письма, или ещё какие изменения.
# Эта опция отвечает за минимальное время между проверками. Однако
# Dovecot может использовать `dnotify` и `inotify` в линухах чтобы
# ответить немедленно после изменения.
#mailbox_idle_check_interval = 30
# Разрешить клиентам полный доступ к файловой системе. В этом случае,
# не выполняется никаких проверок доступа, тока штатные проверки ОС
# UID/GID пользователя который работает. Это работает и с майлбокс и с
# майлдир, разрешая использовать в названиях почтовых ящиков полные пути,
# типа ‘/path/to/mbox/’ или ‘~user/’. (Нах, такое щассье…)
#mail_full_filesystem_access = no
# Максимальная разрешённая длинна для ‘mail keyword name’ (Директории,чтоль?)
# Проверяется тока при создении нового (нвой директории? надо проверить.)
#mail_max_keyword_length = 50
# Сохранять почту с CR+LF вместо LF (добавляется перевод каретки). Это
# уменьшает загрузку CPU при отдаче почты клиентам, но немного увеличиват
# размер размеры файлов, и соответственно дисковый ввод-вывод (Прибольшом
# объёме почты цифра может оказаться достаточно существенной). Также,
# если другие программы шаряться по почтовым ящикам, то могут быть
# проблемы c неверной обработкой дополнительного CRs.
#mail_save_crlf = no
# Использовать mmap() вместо read() для чтения почтовых файлов. read()
# вродебы немного быстрей работает под Linux/x86 и лучше для NFS, поэтому
# так и стоит по дефолту. Необходимо заметить, что OpenBSD 3.3 и более
# старые не работают напрямую с mail_read_mmaped = yes.
#mail_read_mmaped = no
# Не использовать mmap() вообще. Такое требуется в случае, если индексы
# хранятся на расшаренной файловой системе (NFS или ещё какая).
#mmap_disable = no
# Не write() в mmaped файлы. Бывает необходимо для операционных систем
# которые используют для них свой кэш, например OpenBSD.
#mmap_no_write = no
# Метод блокировки индексных файлов. Альтернативы fcntl, flock и dotlock.
# Dotlocking юзает трюки, которые могут привети к большему дисковому
# вводу/выводу чем другие методы блокировки. Заметтьте, если юзаете NFS
# не забудте также изменить и значение mmap_disable setting!
#lock_method = fcntl
# По дефолту команда LIST возвращает все записи в maildir начинающиеся
# с точки. Включение этой опции заставляет dovecot возвращять тока
# директории. Это делает stat() для каждого вхождения, и вызывает больше
# дискового ввода-вывода.
# (Для систем устанавливающих dirent->d_type, эта опция свободна и так
# всегда, независимо от того, что тут установлено.)
#maildir_stat_dirs = no
# Копировать почту в другие директории используя «жёсткие ссылки». Это
# намного быстрее чем реальное копирование файла. Это проблематично
# лишь в случае, если что-то (программа, например, какая-то) изменяет
# файлы в одной директории, но необходимо чтобы во всех других они
# они остались неизменными. На данный момент неизвестен MUA, который
# изменял бы файлы непосредственно. Протокол IMAP также требует чтобы
# файлы не изменялись.
# Если нужен прирост производительности — включите эту опцию.
#maildir_copy_with_hardlinks = no
# Какой метод блокировки почтового ящика использовать. Доступны четыре вида
# блокировок:
# dotlock: создаётся <mailbox>.lock файл. Это самый старый и самый
# безопасный метод для NFS. Если хотите использовать
# директорию /var/mail/ то надо дать юзерам доступ
# к этой директории.
# fcntl : Используйте это, по возможности. Работает и с NFS если
# используется демон lockd.
# flock : Возможно существует не во всех системах. не работает с NFS.
# lockf : Возможно существует не во всех системах. не работает с NFS.
#
# Вы можете использовать неодин метод блокировки; если так и делаете,
# то надо их тут объявить, и избежать тупиковой ситуации (deadlocks),
# если несколько методов блокировки использует и другой MTAs/MUAs.
# Некоторые ОС не позволяют одновременное использование некоторых блокировок.
#mbox_read_locks = fcntl
#mbox_write_locks = dotlock fcntl
# Максимальное время ожидания блокировки перед прерыванием (отменой).
#mbox_lock_timeout = 300
# Если существует `dotlock` (блокировчный файл) но майлбокс никогда
# не модифицировлся, удалять блокировку через указанное время
#mbox_dotlock_change_timeout = 120
# Когда майлбокс неожиданно изменяется, то его необходимо полностью
# прочитать, чтобы найти все изменения. Если майлбокс большой, то на это
# может уйти много времени. Ввиду того, что чаще всего изменения — это
# новая почта, то быстрей всего было бы прочитать тока новые мессаги.
# Если разрешена эта опция (‘yes’) то dovecot так и делает, если что
# перечитывая весь mbox-файл, если происходит что-то неожиданное.
# Единственная причина поставить ‘no’ — если другой MUA меняет флаги
# сообщений и dovecot не заметит этого сразу.
# Отметтьте, что полная синхронизация сделана на команды:
# SELECT, EXAMINE, EXPUNGE и CHECK
#mbox_dirty_syncs = yes
# Похоже на предыдущую опцию — mbox_dirty_syncs, но при установке полная
# синхронизация не делается даже по командам SELECT, EXAMINE,
# EXPUNGE или CHECK. Если эта опция установлена, то значение
# предыдущей — mbox_dirty_syncs — игнорируется.
#mbox_very_dirty_syncs = no
# Задержка записи хеадеров майлбокса до полной синхронизации записей
# (команды EXPUNGE and CHECK когда закрывается майлбокс). Особенно
# полезно для POP3, — там клиенты часто удаляют всю почту. Обратная
# сторона медали — это то, что изменения не сразу видны другому MUA.
#mbox_lazy_writes = yes
# Если размер майлбокса меньше, чем указанное тут значение (kB), не
# создавать индексные файлы. Если файл индекса существует, то он
# продолжает читаться но не обновляется (тока какой тогда смысл?)
#mbox_min_index_size = 0
# Максимальный размер файла dbox (в kB) с которым работает ротации.
#dbox_rotate_size = 2048
# Минимальный размер файла dbox (в kB) до ротации
# (перекрывается dbox_rotate_days)
#dbox_rotate_min_size = 16
# Максимальный возраст dbox файла в днях до ротации. День всегда начинается
# с полуночи, т.о. 1 = сегодня, 2 = вчера, и т.д. 0 = нет проверок.
#dbox_rotate_days = 0
# umask (маска считается из этого числа — вычитается оно из максимума777,
# результат — и есть маска для файла) для файлов почты и директорий.
umask = 0077
# Удалить все привилегии перед выполнением процесса обработки почты.
# Это, в основном, предназначено для отладки, в противном случае вы не
# получите core dumps. Есть небольшой риск безопасности при использовании
# единственного UID для нескольких пользователей, поскольку они могли бы
# ptrace() процессы других пользователей.
#mail_drop_priv_before_exec = no
# Установить максимальный размер процесса (в Mb). Большинство памяти
# уходит на mmap()ing файлов, таким образом не должно быть проблем, даже
# если установить это число достаточно большим.
#mail_process_size = 256
# Префикс логов для майл-процессов. Смотрите полный лист переменных
# в файле doc/variables.txt
#mail_log_prefix = «%Us(%u): »
## Специфисеские настройки IMAP
##
#protocol imap {
# Местоположение исполняемого файла авторизации.
#login_executable = /usr/local/libexec/dovecot/imap-login
# Местоположение исполняемого файла IMAP. Изменение этого позволит
# выполнить другие программы до запуска процесса imap.
#
# Это записало бы сырые логи (rawlogs) в ~/dovecot.rawlog/ директорию:
# mail_executable = /usr/local/libexec/dovecot/rawlog \
# /usr/local/libexec/dovecot/imap
#
# Это добавило бы gdb в процесс imap и писало бы обратную трассировку
# в файлы /tmp/gdbhelper.*
# mail_executable = /usr/local/libexec/dovecot/gdbhelper \
# /usr/local/libexec/dovecot/imap
#
#mail_executable = /usr/local/libexec/dovecot/imap
# Максимальная длинна команды (командной линии) IMAP, в байтах.Некоторые
# клиенты генерят очень длинные команды при работе с большими
# почтовыми ящиками. Если в ответе сервера Вы получите
# «Too long argument» или «IMAP command line too large» то это
# это значение необходимо будет увеличить.
#imap_max_line_length = 65536
# Поддержка динамически загружаемых плагинов. mail_plugins — список
# плугинов разделённый пробелами
# mail_plugins = quota trash
# mail_plugin_dir = /usr/local/lib/dovecot
# Посылать возможности IMAP в приветственном сообщении. Это избавляет
# клиентов от необходимости запрашивать это в команде CAPABILITY, таким
# образом экономится один запрос. Однако многие клиенты не понимают этого,
# и всё равно делают запрос CAPABILITY всегда.
#login_greeting_capability = no
# Обработка клиентских ошибок:
# delay-newmail:
# Посылать EXISTS/RECENT уведомления о новой почте только в качестве
# ответа на NOOP и CHECK команды. Некоторые почтовые клиенты
# игнорирубт их, например OSX Mail. Outlook Express вообще плющит,
# и он может показать сообщение об ошибке «Message no longer in server».
# Заметтьте, что шестой оутглюк (OE6) всё ещё выдаёт ошибку если
# синхронизация стоит «Headers Only» (тока заголовки).
# outlook-idle:
# Outlook и Outlook Express никогда не прерывают команду IDLE, и если
# почты небыло полчаса Dovecot закрывает соединение. В общем, это
# правильно, но оутглюк не восстанавливает соединение самостоятельно,
# и в итоге не видно — пришла ли новая почта.
# netscape-eoh:
# Netscape 4.x вылетает если заколовки сообщения не заканчиваются
# пустой линией «end of headers». Обычно, она есть во всех сообщениях,
# но тем не менее производится проверка, и линия добавляется, если
# её нету. Это сделано только для команды FETCH BODY[HEADER.FIELDS..]
# Кстати, согласно RFC этого делать не надо 🙂
# tb-extra-mailbox-sep:
# При типе хранилища ‘mbox’ (майлбокс), почтовый ящик может содержать
# либо почту, либо субмайлбоксы (подпапки, короче) — но не то и
# другое одновременно. Thunderbird разделяет их, вынуждая сервер
# принять ‘/’ в имени майлбокса за название почтового ящика.
# Лист, разделённый пробелами. (не забудте убрать перевод строки,
# экранированный ‘/’ — dovecot его не поймёт… а жаль…)
# imap_client_workarounds = delay-newmail outlook-idle \
# netscape-eoh tb-extra-mailbox-sep
#}
## Специфические настройки POP3
##
protocol pop3 {
# Местоположение исполняемого файла pop3-авторизации.
#login_executable = /usr/local/libexec/dovecot/pop3-login
# Местоположение исполняемого файла POP3.
#mail_executable = /usr/local/libexec/dovecot/pop3
# Не пробовать выявить сообщения, старые или просмотренные при
# помощи POP3 сессий. Это нужно чтобы уменьшить дисковый ввод/вывод.
# При работе с ‘maildir’ это не перемещает файлы из ‘new/’ в ‘cur/’
# c ‘mbox’ не пишутся статусные заголовки.
#pop3_no_flag_updates = no
# Поддержка команды LAST с существующими старыми POP3 спеками, но
# удалёной в новых сборках. Некоторые клиенты всё ещё используют это.
# Включение этой опции заставляет команду RSET очистить все ‘\Seen’
# флаги сообщений.
#pop3_enable_last = no
# Если почтовое сообщение имеет хеадер ‘X-UIDL’, то использовать
# его в качестве почтового ‘UIDL’.
#pop3_reuse_xuidl = no
# Оставлять почтовый ящик залоченым во время POP3 сессии.
#pop3_lock_session = no
# Используемый формат POP3 UIDL. Можно использовать следующие переменные:
#
# %v — Mailbox UIDVALIDITY
# %u — Mail UID
# %m — Сумма MD5 для всех заголовков почтового ящика в hex (тока для mbox)
# %f — filename (maildir only)
#
# Для совместимости UIDL с другими POP3 серверами, используйте:
# UW’s ipop3d : %08Xv%08Xu
# Courier version 0 : %f
# Courier version 1 : %u
# Courier version 2 : %v-%u
# Cyrus (<= 2.1.3) : %u
# Cyrus (>= 2.1.4) : %v.%u
# Older Dovecots : %v.%u
#
# Отметьте, что у Outlook 2003 проблемы с форматом %v.%u который
# являлся дефолтовым форматом Dovecot, так что при пересборке лучше это
# учесть. %08Xu%08Xv — надо предварительно сохранить.
#
# Отметтьте, в настоящее время это должно быть установлено явно, т.к.
# прежния установки по-умолчанию были не самыми лучшими, но и изменить
# их было нельзя, не переустанавливая приложение.
# Во всех новых инсталляциях будет %08Xu%08Xv
#
pop3_uidl_format = %08Xu%08Xv
# POP3 формат строки логоута:
# %t — число TOP команд
# %p — число байт посланных клиенту в результате команды TOP
# %r — число команд RETR
# %b — число байт посланных клиенту в результате команды RETR
# %d — число удалённых сообщений
# %m — число сообщений (до удаления)
# %s — размер майлбокса в мегабайтах (до удаления (сообщений, видимо :)))
#pop3_logout_format = top=%t/%p, retr=%r/%b, del=%d/%m, size=%s
# Поддержка динамически загружаемых плагинов. mail_plugins — список
# плагинов для загрузки, разделённый пробелами
#mail_plugins =
#mail_plugin_dir = /usr/local/lib/dovecot/pop3
# Обработка некоторых клиентских ошибок:
# outlook-no-nuls:
# Outlook и Outlook Express зависают, если сообщение содержит NUL
# символы. Эта установка заменяет их на символы 0x80.
# oe-ns-eoh:
# Outlook Express и Netscape Mail прерываются, если потеряна линия
# конца заголоков. эта опция шлёт её, если она потеряна.
# Список, разделённый пробелами.
pop3_client_workarounds = outlook-no-nuls oe-ns-eoh
}
# своя доставка dovecot — delivery
protocol lda {
# Куда слать письма про превышение квоты
postmaster_address = support@lissyara.su
# путь к сокету
auth_socket_path = /var/run/dovecot/auth-master
}
##
## Процессы аутентификации
##
# Расположение исполняемого файла
#auth_executable = /usr/local/libexec/dovecot/dovecot-auth
# Установить максимальный размер процесса, в мегабайтах.
#auth_process_size = 256
# Кэш аутентификации, в килобайтах. 0 — отключено.
# Заметтьте, что bsdauth, PAM и vpopmail требуют чтобы cache_key был
# задан для использования кэширования. Также надо заметить, что сейчас
# кэш авторизации не очень хорошо пашет, если используется много
# passdbs (баз данных паролей?) с теми же самыми (одинаковыми?) именами в них.
#auth_cache_size = 0
# Время жизни, в секундах, для кэшированных данных. По истечании этого
# времени записи из кэша не используются, как исключение — если тока
# БД вернёт внутреннюю ошибку.
#auth_cache_ttl = 3600
# Разделённый пробелами лист элементов идентификаторов аутентификационных
# механизмов SASL, которые необходимы (я сам эту фразу нифига не понял :))).
# Можно оставить пустым, если нет необходимости в поддержке нескольких
# идентификаторов. Многие клиенты используют лишь первый, из перечисленных
# тут, поэтому ставьте дефолтовый первым.
#auth_realms =
# Дефолтовый realm/domain для использования если домен явно не задан. Это
# используется и для SASL и для добавления @domain к имени пользователя
# в плайнтекст логинах.
#auth_default_realm =
# Список разрешённых символов в имени пользователя. Если в username содержатся
# неперечисленные тут символы, то авторизация автоматически будет неудачной.
# Это — просто дополнительная проверка того, что пользователь не сможет заюзать
# потенциальную брешь в защите, при работе с базами SQL/LDAP. Если хотите
# разрешить все символы, то оставьте это поле пустым.
#auth_username_chars = \
#abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ01234567890.-_@
# Автозамена символов в имени пользователя, прежде чем по нему будет
# выполнен поиск в базе данных. Значение содержит ряд — что -> во что
# будет преобразовано. Например «#@/@» означает, что ‘#’ и ‘/’ будут
# преобразованы в ‘@’.
#auth_username_translation =
# Форматирование имени пользователя, до поиска по нему в БД. Тут можно
# использовать стандартные переменные, типа %Lu сделает все буквы маленькими,
# %n удалит домен, если он задан, или «%n-AT-%d» заменит ‘@’ на «-AT-«.
# Это делается после того, как auth_username_translation произвело изменения.
#auth_username_format =
# Если нужно разрешить вход главным пользователям (master users) по
# специфическому имени пользователя (master username) (т.е. не юзая
# поддержку SASL для этого) то вы можете определить символ радлелителя в
# этом пункте. Формат, в таком случае:<username><separator><master username>.
# UW-IMAP использует «*» в качестве разделителя, и это хороший выбор.
#auth_master_user_separator =
# Имя пользователя для логина при помощи механизма ANONYMOUS SASL
#auth_anonymous_username = anonymous
# Много отладочных логов. Полезго для определения, почему
# авторизация не пашет.
#auth_verbose = no
# Более подробный лог для отладки.
# Показываются квери к SQL.
#auth_debug = yes
# В случае несовпадения пароля записать пароль в лог, и используемую схему,
# таким образом проблема может быть отлажена. Регулируется auth_debug = yes.
#auth_debug_passwords = no
# Максимальное число работающих процессов авторизации. Они используются для
# выполнения блокирования passdb и userdb запростов (т.е. MySQL и PAM).
# Они автоматически создаются и убиваются по мере надобности.
#auth_worker_max_count = 30
# Kerberos keytab для использования механизма GSSAPI. Будет использовать
# системное значение по умолчанию (обычно, /etc/krb5.keytab) если не задано.
#auth_krb5_keytab =
auth default {
# Список требуемых механизмов аутентификации, разделённый пробелами
# plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi
mechanisms = plain
# Добавлено для работы deliver от dovecot
socket listen {
master {
path = /var/run/dovecot/auth-master
mode = 0600
user = mailnull
#group = mail
}
}
#
# База данных паролей используемая для проверки пароля пользователя.
# (и только для этого). Можно использовать несколько баз данных паролей
# и пользователей. Это нужно, например, если используются одновременно и
# системные пользователи (/etc/passwd) и виртуальные, чтобы не дублировать
# системных в виртуальную БД.
#
# http://wiki.dovecot.org/Authentication
#
# Добавляя master=yes в passdb вы делаете passdb списком «master users»,
# кто может войти под чьим-либо ещё именем. Если не используется PAM,
# вы, вероятно, хотите, чтобы юзер искался в passdb если она реально
# существует. Это можно сделать, добавив pass=yes в главную passdb
#
# http://wiki.dovecot.org/MasterPassword
# Юзеры могут быть временно заблокированы, если добавить БД паролей с
# deny=yes. Если юзер будет найден в этой ДБ то аутентификация будетнеудачной.
# Эта БД должна определяться до других, чтобы она была проверена первой.
# Например:
#passdb passwd-file {
# Файл содержащий имена пользователей, по одному на строку:
#args = /etc/dovecot.deny
#deny = yes
#}
# PAM аутентификация. Предпочтена, сейчас, на большинстве систем.
# Отметтьте, что PAM может лишь проверить, верен ли пароль, но не может
# использоваться в качестве userdb. Если вы не хотите использовать отдельную
# пользовательскую БД (обычно passwd), вы можете использовать статическую
# userdb.
# ПОМНИТЕ: Вам нужен файл ‘/etc/pam.d/dovecot’ созданном для PAM
# аутентификации, чтобы это работало.
#passdb pam {
# [session=yes] [cache_key=<key>] [<service name>]
#
# session=yes делает Dovecot открытым(?) и немедленно закрывает сессию PAM.
# Некоторые PAM плугины требуют этого для работы, например pam_mkhomedir.
#
# cache_key может использоваться для кэширования аутентификационных данных
# PAM (auth_cache_size должен быть задан). По дефолту это не допускается,
# потому как модули PAM могут сделать все проверки, кроме проверки пароля,
# типа проверки IP адреса. Dovecot не может узнать об этих проверках без
# посторонней помощи. cache_key — просто список переменных который
# соответствует данным кэшируемым для использования.
# Примеры:
# %u — Имя пользователя должно совпадать. Обычно достаточно только этого.
# %u%r — Имя пользователя и удалённый IP адрес должны совпадать.
# %u%s — Имя пользователя и сервис (т.е. IMAP, POP3) должны совпадать.
#
# Если имя сервиса «*», используется имя сервиса для обслуживания, например
# pop3 или imap (/etc/pam.d/pop3, /etc/pam.d/imap).
#
# Примеры:
# args = session=yes *
# args = cache_key=%u dovecot
#args = dovecot
#}
# /etc/passwd или similar, используется getpwnam()
# В настоящее время, во многих системах, используется Name Service Switch,
# сконфигуренное в /etc/nsswitch.conf.
#passdb passwd {
#}
# /etc/passwd или similar, используется getpwnam(). Сейчас PAM.
#passdb shadow {
#}
# BSD аутентификация. Используется, по крайней мере, в OpenBSD.
#passdb bsdauth {
# [cache_key=<key>] — Смотрите cache_key в PAM для понимания.
#args =
#}
# passwd-подобный файл с указанным местоположением
#passdb passwd-file {
# путь к passwd-файлу
#args =
#}
# checkpassword исполняемая аутентификация
# ОТМЕТЬТЕ: Вероятно, вы захотите использовать вместе с «userdb prefetch».
#passdb checkpassword {
# Путь к бинарнику checkpassword
#args =
#}
# SQL database
passdb sql {
# Путь к конфигурационному файлу SQL, велено смотреть дополнительную
# инфу в файле doc/dovecot-sql.conf, тока такого файла нету :))) — не
# инсталлится. В исходниках он есть. Там и смотрим.
args = /usr/local/etc/dovecot-sql.conf
}
# LDAP database
#passdb ldap {
# путь для конфигурационного файла LDAP, примеры в doc/dovecot-ldap.conf
#args =
#}
# vpopmail аутентификация
#passdb vpopmail {
# [cache_key=<key>] — Смотреть cache_key в PAM, для понимания.
#args =
#}
#
# БД пользователей, определяющая где расположена почта, и какие IDs
# групп и пользователей имеют к ней доступ. Для single-UID
# конфигурации используйте «static».
#
# http://wiki.dovecot.org/Authentication
# http://wiki.dovecot.org/VirtualUsers
#
# /etc/passwd или similar, используется getpwnam().
# В настоящее время, во многих системах, используется Name Service Switch,
# сконфигуренное в /etc/nsswitch.conf.
#userdb passwd {
#}
# passwd-подобный файл с указанием местоположения
#userdb passwd-file {
# путь к passwd-файлу
#args =
#}
# Статические настройки, сгенерённые из шаблона
#userdb static {
# Шаблон для параметров настройки. CМожет вернуть что-то, что userdb
# обычно возвращает, т.е.: uid, gid, home, mail, nice
#
# Пара примеров:
#
# args = uid=500 gid=500 home=/var/mail/%u
# args = uid=500 gid=500 home=/home/%u mail=mbox:/home/%u/mail nice=10
#
#args =
#}
# SQL database
userdb sql {
# Путь к конфигурационному файлу SQL, велено смотреть дополнительную
# инфу в файле doc/dovecot-sql.conf, тока такого файла нету :))) — не
# инсталлится. В исходниках он есть. Там и смотрим.
args = /usr/local/etc/dovecot-sql.conf
}
# LDAP database
#userdb ldap {
# путь для конфигурационного файла LDAP, примеры в doc/dovecot-ldap.conf
#args =
#}
# vpopmail
#userdb vpopmail {
#}
# «prefetch» (типа упреждающего чтения, чтоли :)) пользовательской БД,
# что passdb уже достал всю необходимую информацию, и нет необходимости
# делать ещё один поиск (запрос) в БД. Это работает и с SQL и с LDAP БД,
# смотрите примеры их (для этих БД) конфигурационных файлов как это сделать.
# http://wiki.dovecot.org/AuthSpecials
#userdb prefetch {
#}
# Юзер от которого будет работать процесс. Этому юзеру нужен лишь доступ
# к БД паролей. Только shadow и pam аутентификации реально нужны права рута,
# работать, остальным можно подсунуть любого пользователя.
# Заметтьте, что этому пользователю не нужен доступ к почте.
# Этот юзер был задан выше (который по почте должен шариться :)).
user = root
# Директория где chroot`ится процесс. Многие аутентификации не работают,
# если установить эту опцию, и вообще не имеет смысла это делать если для
# аутентификации используется пользователь root.
# Отметтьте, что valid_chroot_dirs не нужен для этой опции.
#chroot =
# Число создаваемых аутентификационных процессов
#count = 1
# Требовать действительный клиентский SSL сертификат, или
# аутентификация будет неудачной.
#ssl_require_client_cert = no
# Извлечь (взять) юзернэйм из клиентского SSL сертификата, ипользуя
# X509_NAME_oneline() который использует тему Distinguished Name.
#ssl_username_from_cert = no
}
# Возможно экспортировать интерфейс аутентификации в другие программы,
# например, сервер SMTP который поддерживает Dovecot. Клиентский сокет
# обрабатывает фактическую аутентификацию, — вы можете передать ему имя
# пользователя и пароль и он вернёт OK или отказ. Таким образом можно
# довольно безопасно кому угодно обращаться к нему. Мастер сокет используется:
# a) для запроса, если клиент был успешно аутентифицирован
# b) для поиска в userdb.
# Слушающие сокеты будут созданы мастер-процессом Dovecot с использованием
# настроек из этого авторизационнго раздела
#auth default_with_listener {
# mechanisms = plain
# passdb pam {
# }
# userdb passwd {
# }
# socket listen {
# master {
# path = /var/run/dovecot/auth-master
# # АХТУНГ: Предоставление недоверенным юзерам доступа к мастер-сокету
# # влечёт риск в безопасности, поэтому не давайте им слишком широкие
# # (большие) полномочия!
# #mode = 0600
# # Деволтовые user/group от кого запускается dovecot-auth (root)
# #user =
# #group =
# }
# client {
# path = /var/run/dovecot/auth-client
# mode = 0660
# }
# }
#}
# Предполагается, что сокеты уже запущены, мастер-процесс Dovecot
# тока обрабатывает попытки соединится с ними. Им не нужны никакие
# настройки, кроме как путь до мастер-сокета, поскольку конфигурация сделана
# в другом месте.
# Отметьте, клиентские сокеты должны существовать в login_dir.
#auth external {
# socket connect {
# master {
# path = /var/run/dovecot/auth-master
# }
# }
#}
plugin {
# Тут можно задать некторые дополнительные переменные окружения для
# майл-процессов. В основном это предназначено для параметров плагинов.
# Расширение %variable сделано для всех значений.
# Quota плагин. Много чё поддерживается:
# dirsize: Находит и сумирует все файлы в майл-директории
# dict: Сохранение квоты в словаре (т.е. SQL)
# maildir: Maildir++ квота
# fs: Поддержка квоты в ФС только-для-чтения (а как это?)
#quota = maildir
# ACL плагин. Конец vfile читает ACLs из «dovecot-acl» файла, в почтовой
# директории. Также можно задать произвольный путь к глобальному каталогу ACL
# где лежат ACL для применения на почтовые ящики всех пользователей.
# Глобальный каталог ACL содержит один файл для каждого почтового ящика,
# т.е. INBOX или sub.mailbox.
#acl = vfile:/etc/dovecot-acls
# Convert плугин. Если установлено, задаёт исходный путь, преобразованный
# к месту нахождения (default_mail_env).
#convert_mail = mbox:%h/mail
}
# P.S. 2006-05-29, 17:05 Заколебался… 963 строки…После чего в этой же #директории создаём файл dovecot-sql.conf с таким содержанием:
#!/bin/sh
# Для модуля sql passdb, вам необходима БД с таблицей, где содержатся поля,
# как минимум с userid и password. Если необходимо юзать синтаксис типа
# user@domain, вы должны иметь и поле domain (нелогично как-то…)
#
# Если все пользователи имеют одинаковый uig/gid, и меют предсказуемый
# домашний каталог, то можно использовать статический userdb модуль для
# создания домашних директорий, основанных на userid и domain. В этом случае
# поля home, uid, или gid не нужны в БД.
#
# Если вы предпочтёте использовать модуль sql userdb, то надо добавить
# поля home, uid, и gid. Пример таблицы:
#
# CREATE TABLE users (
# userid VARCHAR(128) NOT NULL,
# password VARCHAR(64) NOT NULL,
# home VARCHAR(255) NOT NULL,
# uid INTEGER NOT NULL,
# gid INTEGER NOT NULL,
# active CHAR(1) DEFAULT ‘Y’ NOT NULL
# );
# Драйвер БД: mysql, pgsql, sqlite
#driver = mysql
# Строка соединения с БД. Специфична для каждого драйвера.
#
# pgsql:
# Для доступных соединений смотрите документацию PostgreSQL,
# PQconnectdb функцию libpq.
#
# mysql:
# Основные операции эмулируют названия опций PostgreSQL:
# host, port, user, password, dbname
#
# Но также добавлены новые параметры настрйки:
# client_flags — Смотрите мануал по MySQL
# ssl_ca, ssl_ca_path — Один, или оба пункта, чтобы разрешить SSL
# ssl_cert, ssl_key — Для отсыла клиентской части сертификата на сервер
# ssl_cipher — Минимально разрешённая безопасность
# шифра(default: HIGH)
#
# Вы можете соединитсья с UNIX сокетом с использованием его в переменной
# host: host=/var/run/mysql.sock
# Отметтьте, что в настоящее время вы не можете использовать
# пробелы в параметрах.
#
# sqlite:
# Путь к файлу базы данных.
#
# Примеры:
# connect = host=192.168.1.1 dbname=users
# connect = host=sql.example.com dbname=virtual user=virtual
#password=blarg
# connect = /etc/dovecot/authdb.sqlite
#
#connect = host=localhost dbname=exim user=exim password=exim
# Дефолтовая схема для пароля.
#
# Список поддерживаемых тем: http://wiki.dovecot.org/Authentication
#
#default_pass_scheme = PLAIN
# Запрос на получение пароля.
#
# Этот запрос должен вернуть только одну строку с колонками «user» и
# «password». Колонка «user» нужна для того чтобы удостовериться, что
# достали то что надо 🙂
# Запрос может вернуть и другие поля, имеющие специальное значение.
# Подробности смотрите тут: http://wiki.dovecot.org/AuthSpecials
#
# Обычно используемые подстановки (переменные), полный список:
# http://wiki.dovecot.org/Variables
# %u = имя пользователя (userid)
# %n = Юзерская часть из user@domain
# %d = Доменная часть из user@domain
#
# Заметтьте, что они могут использоваться как входные данные к запросу
# SQL. Если вывод запроса — любая из этих замен, они не трогаются. Иначе
# былобы трудно иметь эквивалентные имена, содержащие символ ‘%’.
#
# Примеры:
# password_query = SELECT `password` FROM `users` WHERE \
# `userid` = ‘%n’ AND `domain` = ‘%d’
# password_query = SELECT `pw` AS `password` FROM `users` \
# WHERE `userid` = ‘%u’ AND `active` = ‘Y’
# (не забудте убрать перевод строки, экранированный ‘/’)
#password_query = SELECT `username` as `user`, `password` FROM \
#`mailbox` WHERE `username` = ‘%n@%d’ AND `active`=’1′
# Запрос на извлечение инфы пользователя.
#
# Запрос может вернуть лишь одну строку. Колонки, что вернёт запрос:
# home — Домашняя директория
# mail — переменная(-нные) окуружения MAIL
# system_user — Имя системного пользователя (чтобы получать
# группы пользователя из /etc/group)
# uid — системный UID
# gid — системный GID
#
# Обязательно поле ‘home’ или ‘mail’. ‘uid’ и ‘gid’ обязательны. Если
# запрос вернёт более одного ряда, или будут отсутствовать поля, то
# логин автоматически будет неудачным.
#
# Примеры
# user_query = SELECT `home`, `uid`, `gid` FROM `users` WHERE \
# `userid` = ‘%n’ AND `domain` = ‘%d’
# user_query = SELECT `dir` AS `home`, `user` AS `uid`, `group` \
# AS `gid` FROM `users` where `userid` = ‘%u’
# user_query = SELECT `home`, 26 AS `uid`, 26 AS `gid` \
# FROM `users` WHERE `userid` = ‘%u’
#
# (не забудте убрать перевод строки, экранированный ‘/’)
#user_query = SELECT `maildir` AS `home`, 26 AS `uid`, 26 AS `gid` \
#FROM `mailbox` WHERE `username` = ‘%n@%d’ AND `active`=’1′
# Если вы хотите обойтись одним запросом к БД, вместо двух
# (passdb + userdb), то можете использовать «userdb prefetch»
# в конфиге dovecot.conf. В этом случае надо будет выбрать всё
# одним запросом, и к полям второго запроса (про хомяк и прочее)
# надо будет добавить приставку «userdb_».
# Например:
# password_query = SELECT `userid` as `user`, `password`, `home` \
# as `userdb_home`, `uid` as `userdb_uid`, `gid` as `userdb_gid` \
# FROM `users` WHERE `userid` = ‘%u’