Inhaltsverzeichnis
Nach dem Aufbau der Netzwerkverbindung (laut Kapitel 5, Netzwerkkonfiguration) können Sie verschiedenste Netzwerkapplikationen nutzen.
![]() |
Tipp |
---|---|
Bezüglich einer aktuellen Anleitung für Debian zum Thema Netzwerk-Infrastruktur lesen Sie das Debian Administratorhandbuch — Netzwerk-Infrastruktur. |
![]() |
Tipp |
---|---|
Falls Sie "2-Schritt-Verifizierung" aktiviert haben, müssen Sie bei manchen Internet-Providern ein Anwendungspasswort beziehen, um aus Ihrem Anwendungsprogramm Zugriff auf POP- und SMTP-Dienste zu erhalten. Auch kann es erforderlich sein, dass Sie im voraus Ihre Host-IP-Adresse bestätigen müssen. |
Es gibt viele Webbrowser-Pakete, um über das Hypertext Transfer Protocol (HTTP-Protokoll) auf ferne Inhalte zuzugreifen:
Tabelle 6.1. Liste der Webbrowser
Paket | Popcon | Größe | Art | Beschreibung des Webbrowsers |
---|---|---|---|---|
chromium
|
V:51, I:141 | 180040 | X | Chromium (quelloffener Browser von Google) |
firefox
|
V:13, I:20 | 205631 | " | Firefox, (quelloffener Browser von Mozilla, nur in Debian Unstable verfügbar) |
firefox-esr
|
V:217, I:437 | 198436 | " | Firefox ESR, (Firefox-Variante mit erweitertem Support-Umfang, ESR) |
epiphany-browser
|
V:4, I:24 | 3730 | " | GNOME, HIG-konform, Epiphany |
konqueror
|
V:18, I:100 | 20763 | " | KDE, Konqueror |
dillo
|
V:1, I:7 | 1536 | " | Dillo (ressourcenschonender Browser, FLTK-basiert) |
w3m
|
V:31, I:284 | 2289 | Text | w3m |
lynx
|
V:13, I:98 | 1948 | " | Lynx |
elinks
|
V:6, I:28 | 1767 | " | ELinks |
links
|
V:6, I:39 | 2249 | " | Links (Nur-Text) |
links2
|
V:1, I:15 | 5417 | grafisch | Links (Konsolen-Grafik ohne X) |
Manche Web-Browser erlauben es, über folgende spezielle URLs die Einstellungen zu kontrollieren:
"about:
"
"about:config
"
"about:plugins
"
Debian bietet viele Pakete mit freien Browser-Plugins im main-Bereich des Archivs. Sie ermöglichen über die Nutzung von Java (Software-Plattform) und Flash hinaus die Wiedergabe von MPEG, MPEG2, MPEG4, DivX, Windows Media Video (.wmv), QuickTime (.mov), MP3 (.mp3) und Ogg/Vorbis. Auch Inhalte von Datenträgern wie DVDs, VCDs usw. werden zugänglich. Debian stellt im contrib- oder non-free-Bereich des Archivs auch Hilfsprogramme zur Installation von nicht-freien Browser-Paketen bereit.
Tabelle 6.2. Liste von Browser-Plugin-Paketen
Paket | Popcon | Größe | Bereich | Beschreibung |
---|---|---|---|---|
pepperflashplugin-nonfree
|
V:1, I:21 | 29 | contrib | Pepper Flash-Player - Browser-Plugin |
browser-plugin-freshplayer-pepperflash
|
I:9 | 1135 | contrib | NPAPI-Plugin-Adapter für pepperflash (auf PPAPI-Host) |
![]() |
Tipp |
---|---|
Obwohl die Verwendung der oben genannten Debian-Pakete viel einfacher ist,
können Browser-Plugins auch manuell aktiviert werden, indem die
entsprechende "*.so"-Datei in das entsprechende Plugin-Verzeichnis
(z.B. " |
Einige Webseiten lehnen Verbindungen aufgrund der user-agent-Angabe des
Browsers ab. Sie können diese Situation umgehen, indem Sie die user-agent-Angabe fälschen, zum
Beispiel über das Hinzufügen der folgenden Zeile zu
Benutzer-Konfigurationsdateien wie
"~/.gnome2/epiphany/mozilla/epiphany/user.js
" oder
"~/.mozilla/firefox/*.default/user.js
":
user_pref{"general.useragent.override","Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)"};
Alternativ können Sie diese Variable hinzufügen und zurücksetzen, indem Sie
"about:config
" in die Adresszeile eingeben und einen
Rechtsklick auf den angezeigten Inhalt ausführen.
![]() |
Achtung |
---|---|
Eine gefälschte user-agent-Angabe kann möglicherweise nachteilige Nebenwirkungen bei der Verwendung von Java haben. |
![]() |
Achtung |
---|---|
Falls Sie vorhaben, den Mail-Server so einzurichten, dass Mails direkt über das Internet ausgetauscht werden, gibt es wahrscheinlich bessere Beschreibungen als dieses grundlegende Dokument. |
Beim Mail-Verkehr arbeiten viele Server- und Client-Programme auf verschiedenen Rechnern zusammen. Von der Funktionalität her gibt es drei Arten von Mail-Agent-Programmen:
Der Mail Transfer Agent (MTA, Näheres in Abschnitt 6.3, „Mail Transfer Agent (MTA)“) ist ein Programm für den Transfer von Mails zwischen verschiedenen Rechnern.
Der Mail Delivery Agent (MDA, Näheres in Abschnitt 6.6, „Mail Delivery Agents (MDA) mit Filterfunktion“) ist ein Programm zur Ablage von Mails innerhalb eines Rechners in die Mailbox der Benutzer.
Der Mail User Agent (MUA, auch bekannt als E-Mail-Client, Näheres in Abschnitt 6.4, „Mail User Agent (MUA)“) ist das Programm, mit dem Sie neue Mails erstellen und empfangene Mails anzeigen.
![]() |
Anmerkung |
---|---|
Die folgenden Konfigurationsbeispiele passen nur für typische Arbeitsplatzrechner an Internetverbindungen, wie sie für normale Privatkunden üblich sind. |
Eine E-Mail besteht aus drei Komponenten: den Absender- und Empfänger-Informationen, wie sie bei einem normalen Brief auf dem Umschlag stehen würden, den Nachrichten-Kopfzeilen (Header) und der eigentlichen Nachricht (dem "Nachrichtenkörper").
Die "An"- und "Von"-Informationen ("To" und "From") auf dem "Umschlag" werden von SMTP genutzt, um die Nachricht zuzustellen. (Die "From"-Information auf dem Umschlag wird auch mit Bounce address/Envelope sender, From_ usw. bezeichnet).
Die "An"- und "Von"-Informationen ("To" und "From") in den Nachrichten-Kopfzeilen werden vom E-Mail-Client (E-Mail-Programm) angezeigt. (Obwohl es sehr gängig ist, dass diese mit den Informationen vom "Umschlag" übereinstimmen, muss dies nicht immer der Fall sein.)
Das E-Mail-Programm (MUA) muss die Nachrichten-Kopfzeilen und den Nachrichtenkörper mittels der Multipurpose Internet Mail Extensions (MIME) auswerten, um den Datentyp und die Kodierung des Nachrichteninhalts korrekt zu bestimmen.
Um Probleme mit Spam (unerwünschte und nicht angeforderte Nachrichten) zu minimieren, implementieren viele Internet-Diensteanbieter für Endbenutzer entsprechende Gegenmaßnahmen:
Der Smarthost-Dienst für das Versenden von Nachrichten durch die Kunden nutzt den Message-Submission-Port 587 (gemäß RFC 4409) mit Passwort-Authentifizierung (SMTP AUTH gemäß RFC 4954).
Verbindungen über den SMTP-Port 25 von deren internen Netzwerk-Rechnern zum Internet werden geblockt (außer die Mail-Ausgangsserver des Providers selbst).
Verbindungen über den SMTP-Port 25 zum Mail-Eingangsserver des Providers von problematischen externen Netzwerk-Rechnern werden geblockt. (Verbindungen von Rechnern im dynamischen IP-Adressbereich, wie sie bei Einwahlverbindungen und anderen von Privatkunden genutzten Verbindungen verwendet werden, sind die ersten, die geblockt werden.)
Zur E-Mail-Filterung werden großflächig Anti-Spam-Techniken wie DomainKeys Identified Mail (DKIM), Sender Policy Framework (SPF) und Domain-based Message Authentication, Reporting and Conformance (DMARC) eingesetzt.
Unter Umständen können Sie zum Versand von Mails über einen Smarthost den DomainKeys Identified Mail-Dienst verwenden.
Der Smarthost-Dienst überschreibt unter Umständen die Absenderadresse mit der Ihres Mail-Accounts.
Wenn Sie Ihr Mail-System konfigurieren oder Probleme bei der Auslieferung von E-Mails beheben möchten, sollten Sie diese neuen Einschränkungen mit in Betracht ziehen.
![]() |
Achtung |
---|---|
Sie können nicht davon ausgehen, dass das Betreiben eines SMTP-Servers an einem Endverbraucher-Anschluß (und somit das Senden von Nachrichten direkt an einen fernen Rechner) zuverlässig funktioniert. |
![]() |
Achtung |
---|---|
Sie können nicht davon ausgehen, dass das Versenden von Mails an ferne Rechner mit einer zufälligen Absender-Mail-Adresse über einen eigenen Smarthost zuverlässig funktioniert. |
![]() |
Achtung |
---|---|
Eine E-Mail kann an jeglicher Stelle auf der Route zum Ziel ohne weiteren Hinweis verworfen werden. Der einzige Weg, um eine Mail zuverlässig bis zu ihrem Empfänger zu bringen, ist, sie so authentisch wie möglich zu gestalten. |
Im Licht dieser feindseligen Internet-Situation und dieser Einschränkungen bieten einige unabhängige Internet-Mail-Provider wie Yahoo.com und Gmail.com einen sicheren Mail-Dienst an, der von überall aus dem Internet über Transport Layer Security (TLS) und seinen Vorgänger Secure Sockets Layer (SSL) genutzt werden kann:
Der Einfachheit halber gehe ich hier davon aus, dass sich der Smarthost auf
"smtp.rechnername.dom
" befindet, SMTP-Authentifizierung benötigt und den
Message-Submission-Port 587 via STARTTLS
verwendet.
Die einfachste Variante einer Mail-Konfiguration ist, dass Mails zum Smarthost des Providers geschickt bzw. direkt durch den MUA (das Programm, mit dem Sie Ihre Mails lesen und schreiben, Näheres dazu in Abschnitt 6.4, „Mail User Agent (MUA)“) vom POP3-Server des Providers abgeholt werden. Diese Art der Konfiguration ist üblich für komfortabel ausgestattete grafische Mail-Programme wie icedove(1) oder evolution(1). Wenn Sie Nachrichten basierend auf ihrem Typ filtern möchten, nutzen Sie die Filterfunktionen des Mail-Programms. In diesem Fall muss der lokale MTA (ein Dienst rein für den Transport von E-Mails, siehe Abschnitt 6.3, „Mail Transfer Agent (MTA)“) lediglich den Transport von Nachrichten lokal innerhalb des Rechners (wenn Absender und Empfänger sich auf dem gleichen Rechner befinden) durchführen.
Bitte beachten Sie, dass Debian ein Mehrbenutzersystem ist. Sogar wenn Sie der einzige Nutzer des Rechners sind, gibt es viele Programme, die als root laufen und die Ihnen Mails schicken könnten.
Ein alternativer Ansatz für die Konfiguration des Mail-Systems ist, dass die Nachrichten durch den lokalen MTA zum Smarthost des Providers geschickt bzw. durch den MDA (ein Dienst zum Zustellen von Mails, siehe Abschnitt 6.5, „Programme zum Abrufen und Weiterleiten fern gespeicherter Mails“) vom POP3-Server des Providers abgeholt werden. Wenn Sie die Nachrichten basierend auf ihrem Typ filtern möchten, nutzen Sie einen MDA mit Filterfunktion (lesen Sie dazu Abschnitt 6.6, „Mail Delivery Agents (MDA) mit Filterfunktion“), um Mails in separate Mailboxen einzusortieren. Diese Art der Mail-Konfiguration ist üblich für einfache konsolenbasierte Mailprogramme wie mutt(1) oder mew(1), obwohl sie auch mit jedem anderen MUA (Abschnitt 6.4, „Mail User Agent (MUA)“) möglich ist. Der lokale MTA (Abschnitt 6.3, „Mail Transfer Agent (MTA)“) muss hier sowohl den Transfer zum Smarthost des Providers wie auch den lokalen Transfer für Mails innerhalb des Rechners durchführen. Da Privatkundenrechner meist keinen gültigen FQDN (vollständigen, im Internet gültigen Namen einer Domain) haben, muss der lokale MTA so konfiguriert werden, dass der lokale Mail-Name in ausgehenden Nachrichten versteckt bzw. verändert wird, um Fehler bei der Auslieferung der Nachrichten zu vermeiden (lesen Sie dazu Abschnitt 6.3.3, „Die Mail-Adress-Konfiguration“).
![]() |
Tipp |
---|---|
Erwägen Sie, den MUA/MDA so konfigurieren, dass Maildir genutzt wird; das gibt Ihnen die Möglichkeit, die E-Mails irgendwo frei wählbar in Ihrem Heimatverzeichnis abzulegen. |
Auf normalen Arbeitsplatzrechnern sind die exim4-*
- oder
postfix
-Pakete eine populäre Wahl für den Mail Transfer
Agent (MTA). Es liegt an Ihnen.
Tabelle 6.3. Liste von grundlegenden Paketen für Mail Transfer Agents
Paket | Popcon | Größe | Beschreibung |
---|---|---|---|
exim4-daemon-light
|
V:342, I:367 | 1493 | Exim4 Mail Transfer Agent (MTA: Debian-Standard) |
exim4-base
|
V:349, I:377 | 1704 | Exim4-Dokumentation (Text-Variante) und allgemeine Dateien |
exim4-doc-html
|
I:1 | 3662 | Exim4-Dokumentation (html-Variante) |
exim4-doc-info
|
I:1 | 624 | Exim4-Dokumentation (info-Variante) |
postfix
|
V:145, I:160 | 4182 | Postfix Mail Transfer Agent (MTA: alternativ) |
postfix-doc
|
I:9 | 4444 | Postfix-Dokumentation (html- + Text-Variante) |
sasl2-bin
|
V:5, I:19 | 428 | Cyrus SASL API Implementation (Ergänzung zu Postfix für SMTP AUTH) |
cyrus-sasl2-doc
|
I:1 | 575 | Cyrus SASL - Dokumentation |
Obwohl aufgrund des Popcon-Werts exim4-*
populärer zu
sein scheint als postfix
, heißt das nicht, dass
postfix
unter Debian-Entwicklern nicht beliebt ist. Das
Debian-Server-System nutzt sowohl exim4
wie auch
postfix
. Eine Analyse
der Mail-Header von Mailinglisten-Nachrichten prominenter
Debian-Entwickler zeigt, dass beide MTAs gleich beliebt sind.
Die exim4-*
-Pakete sind bekannt für einen sehr kleinen
Speicherbedarf und eine hohe Flexibilität bei der Konfiguration. Das
postfix
-Paket ist als kompakt, schnell, einfach und
sicher bekannt. Beide enthalten ausführliche Dokumentation und sind
bezüglich Qualität und Lizenz gleich gut.
Es gibt eine große Auswahl von Paketen für Mail Transfer Agents (MTA) mit unterschiedlichen Funktionalitäten und Fokus im Debian-Archiv.
Tabelle 6.4. Liste von Mail-Transport-Agent-Paketen im Debian-Archiv
Paket | Popcon | Größe | Funktionalitäten und Fokus |
---|---|---|---|
exim4-daemon-light
|
V:342, I:367 | 1493 | vollständig |
postfix
|
V:145, I:160 | 4182 | vollständig (Sicherheit) |
exim4-daemon-heavy
|
V:7, I:8 | 1643 | vollständig (flexibel) |
sendmail-bin
|
V:14, I:15 | 1854 | vollständig (nur, wenn Sie sich damit bereits auskennen) |
nullmailer
|
V:7, I:10 | 479 | eingeschränkt, kein lokaler Mail-Transfer |
ssmtp
|
V:8, I:11 | 2 | eingeschränkt, kein lokaler Mail-Transfer |
courier-mta
|
V:0, I:0 | 2416 | absolut vollständig (inklusive Web-Interface usw.) |
masqmail
|
V:0, I:0 | 337 | gering |
esmtp
|
V:0, I:0 | 128 | gering |
esmtp-run
|
V:0, I:0 | 32 |
gering (Sendmail-Kompatibilitätserweiterung für esmtp )
|
msmtp
|
V:5, I:10 | 547 | gering |
msmtp-mta
|
V:3, I:4 | 86 |
gering (Sendmail-Kompatibilitätserweiterung für msmtp )
|
![]() |
Achtung |
---|---|
Die Konfiguration von |
Für das Verschicken von Mails über das Internet via Smarthost
(re-)konfigurieren Sie die exim4-*
-Pakete wie folgt:
$ sudo /etc/init.d/exim4 stop $ sudo dpkg-reconfigure exim4-config
Wählen Sie bei "Generelle E-Mail-Einstellungen" den Eintrag "Versand über Sendezentrale (Smarthost); Empfang mit SMTP oder Fetchmail".
Setzen Sie den "E-Mail-Name des Systems" auf seinen Standardwert, den FQDN (Näheres dazu in Abschnitt 5.1.1, „Die Auflösung des Rechnernamens“).
Bei "IP-Adressen, an denen eingehende SMTP-Verbindungen erwartet werden" wählen Sie den Standardwert "127.0.0.1 ; ::1".
Löschen Sie alle eingetragenen Werte bei der Abfrage von "Weitere Ziele, für die E-Mails angenommen werden sollen".
Löschen Sie alle eingetragenen Werte bei der Abfrage von "Rechner, für die E-Mails weitergeleitet werden (Relay)".
Setzen Sie "IP-Adresse oder Rechnername der Sendezentrale für ausgehende E-Mails" auf "smtp.hostname.dom:587".
Wählen Sie "<Nein>" bei der Frage "Lokalen E-Mail-Namen in ausgehenden
E-Mails verbergen?". (Nutzen Sie stattdessen
"/etc/email-addresses
" wie in Abschnitt 6.3.3, „Die Mail-Adress-Konfiguration“ beschrieben.)
Bei der Abfrage "DNS-Anfragen minimieren (Automatische Einwahl, Dial-on-Demand)?" gehen Sie wie folgt vor:
Wählen Sie "Nein", wenn Ihr System während des Rechnerstarts mit dem Internet verbunden ist.
Wählen Sie "Ja", wenn Ihr System während des Rechnerstarts nicht (oder nicht immer) mit dem Internet verbunden ist.
Setzen Sie den Wert für "Versandart bei lokaler E-Mail-Zustellung:" auf "Mbox-Format in /var/mail/".
Bei der Frage "Einstellungen auf kleine Dateien aufteilen?" wählen Sie "<Ja>".
Erzeugen Sie Passworteinträge für den Smarthost, indem Sie
"/etc/exim4/passwd.client
" editieren:
$ sudo vim /etc/exim4/passwd.client ... $ cat /etc/exim4/passwd.client ^smtp.*\.rechnername\.dom:benutzername@rechnername.dom:passwort
Starten Sie exim4
mit folgendem Befehl:
$ sudo /etc/init.d/exim4 start
Der Rechnername in "/etc/exim4/passwd.client
" sollte
nicht der Alias-Name sein. Sie können den echten Rechnernamen wie folgt
herausfinden:
$ host smtp.rechnername.dom smtp.rechnername.dom is an alias for smtp99.rechnername.dom. smtp99.rechnername.dom has address 123.234.123.89
Ich verwende reguläre Ausdrücke in
"/etc/exim4/passwd.client
", um das Alias-Problem zu
umgehen. SMTP AUTH funktioniert unter Umständen sogar, wenn der
Internet-Diensteanbieter den Host (Rechner), auf den der Alias zeigt,
verändert.
Sie können die exim4
-Konfiguration händisch
aktualisieren, indem Sie wie folgt vorgehen:
Aktualisieren der exim4
-Konfigurationsdateien in
"/etc/exim4/
".
Erzeugen von "/etc/exim4/exim4.conf.localmacros
", um
MACROs zu aktivieren und Editieren von
"/etc/exim4/exim4.conf.template
" (bei Installation ohne
gesplittete Konfigurationsdateien)
Erzeugen neuer oder Editieren vorhandener Dateien in den Unterverzeichnissen
von "/etc/exim4/exim4.conf.d
" (bei Installation mit
gesplitteten Konfigurationsdateien)
Ausführen von "invoke-rc.d exim4 reload
".
Lesen Sie bitte die offizielle Anleitung unter
"/usr/share/doc/exim4-base/README.Debian.gz
" und
update-exim4.conf(8).
![]() |
Achtung |
---|---|
Das Starten von |
![]() |
Warnung |
---|---|
Es ist nicht sicher, Klartext-Passwörter ohne Verschlüsselung zu verwenden, auch wenn Ihr Internet-Diensteanbieter dies erlaubt. |
![]() |
Tipp |
---|---|
Obwohl die Verwendung von SMTP mit STARTTLS auf Port 587 empfohlen wird, nutzen einige Provider immer noch das veraltete SMTPS (SSL auf Port 465). Exim4 ab Version 4.77 unterstützt dieses veraltete SMTPS-Protokoll sowohl als Client wie auch als Server. |
![]() |
Tipp |
---|---|
Falls Sie nach einem ressourcen-schonenden MTA für Ihren Rechner suchen, der
die Einträge von " |
Für das Verschicken von Mails über das Internet via Smarthost sollten Sie zunächst die Postfix-Dokumentation und einschlägige dazugehörige Handbuchseiten lesen.
Tabelle 6.5. Liste von wichtigen Postfix-Handbuchseiten
Befehl | Funktion |
---|---|
postfix(1) | Postfix-Steuerprogramm |
postconf(1) | Postfix-Konfigurationswerkzeug |
postconf(5) | Postfix-Konfigurationsparameter |
postmap(1) | Wartung von Postfix-Lookup-Tabellen |
postalias(1) | Wartung der Postfix-Alias-Datenbank |
Sie (re-)konfigurieren die postfix
- und
sasl2-bin
-Pakete wie folgt:
$ sudo /etc/init.d/postfix stop $ sudo dpkg-reconfigure postfix
Wählen Sie "Internet mit Smarthost".
Setzen Sie "SMTP-Relay-Server (leere Eingabe: keiner)" auf
"[smtp.rechnername.dom]:587
" und konfigurieren Sie ihn
mit folgenden Befehlen:
$ sudo postconf -e 'smtp_sender_dependent_authentication = yes' $ sudo postconf -e 'smtp_sasl_auth_enable = yes' $ sudo postconf -e 'smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd' $ sudo postconf -e 'smtp_sasl_type = cyrus' $ sudo vim /etc/postfix/sasl_passwd
Erzeugen Sie Passworteinträge für den Smarthost:
$ cat /etc/postfix/sasl_passwd [smtp.rechnername.dom]:587 benutzername:passwort $ sudo postmap hush:/etc/postfix/sasl_passwd
Starten Sie postfix
wie folgt:
$ sudo /etc/init.d/postfix start
Hierbei stellt die Verwendung von "[
" und
"]
" im dpkg-reconfigure
-Dialog und in
"/etc/postfix/sasl_passwd
" sicher, dass keine MX-Einträge
abgefragt werden, sondern direkt der angegebene Rechnername genutzt
wird. Lesen Sie dazu "Enabling SASL authentication in the Postfix SMTP
client" in
"/usr/share/doc/postfix/html/SASL_README.html
".
Es gibt mehrere Dateien zur Konfiguration der Mail-Adresse für Mail Transfer Agents, Mail Delivery Agents und Mail User Agents.
Tabelle 6.6. Liste von Konfigurationsdateien für Mail-Adressen
Datei | Funktion | Applikation |
---|---|---|
/etc/mailname
|
Standard-Rechnername für (ausgehende) Mails | Debian-spezifisch, mailname(5) |
/etc/email-addresses
|
Änderung des Rechnernamens für ausgehende Mails | exim(8)-spezifisch, exim4-config_files(5) |
/etc/postfix/generic
|
Änderung des Rechnernamens für ausgehende Mails | postfix(1)-spezifisch, aktiviert nach Ausführung des postmap(1)-Befehls |
/etc/aliases
|
Kontonamen-Alias für eingehende Mails | Grundlegend, aktiviert nach Ausführung des newaliases(1)-Befehls |
Der mailname in der Datei
"/etc/mailname
" ist normalerweise ein voll-qualifizierter
Domain-Name (FQDN), der sich auf eine der IP-Adressen des Rechners auflösen
lässt. Bei Privatkundenrechnern, die keinen solchen FQDN-Namen mit einer
aufzulösenden IP-Adresse haben, setzen Sie diesen mailname auf den Wert von "hostname
-f
". (Dies ist eine sichere Wahl und funktioniert sowohl für
exim4-*
wie auch für postfix
.)
![]() |
Tipp |
---|---|
Der Inhalt von " |
![]() |
Tipp |
---|---|
Das Paket |
Wenn Sie den mailname auf den Wert von
"hostname -f
" setzen, kann die Änderung der
Mail-Ursprungsadresse via MTA wie folgt realisiert werden:
für
exim4(8)
über die Datei "/etc/email-addresses
", wie in
exim4-config_files(5)
beschrieben;
für
postfix(1)
über die Datei "/etc/postfix/generic
", wie in
generic(5)
beschrieben.
Für postfix
sind die folgenden zusätzlichen Schritte
nötig:
# postmap hash:/etc/postfix/generic # postconf -e 'smtp_generic_maps = hash:/etc/postfix/generic' # postfix reload
Sie können die Mailadressen-Konfiguration wie folgt testen:
exim(8)
mit den Optionen -brw, -bf, -bF, -bV, …
;
postmap(1)
mit der Option -q
.
![]() |
Tipp |
---|---|
Exim wird zusammen mit mehreren Hilfsprogrammen wie
exiqgrep(8)
und
exipick(8)
ausgeliefert. Informationen über verfügbare Befehle finden Sie mittels
" |
Es gibt mehrere grundlegende MTA-Operationen. Einige könnten über die sendmail(1)-Kompatibilitätsschnittstelle ausgeführt werden.
Tabelle 6.7. Liste grundlegender MTA-Operationen
exim-Befehl | postfix-Befehl | Beschreibung |
---|---|---|
sendmail
|
sendmail
|
Mails von der Standardeingabe lesen und für die Zustellung vorbereiten
(-bm )
|
mailq
|
mailq
|
Die Mail-Warteschlange auflisten mit Status und Queue-ID
(-bp )
|
newaliases
|
newaliases
|
Initialisieren der Alias-Datenbank (-I )
|
exim4 -q
|
postqueue -f
|
Wartende Mails zustellen (-q )
|
exim4 -qf
|
postsuper -r ALL deferred; postqueue -f
|
Alle Mails zustellen |
exim4 -qff
|
postsuper -r ALL; postqueue -f
|
Zurückgehaltene Mails ebenfalls zustellen |
exim4 -Mg queue_id
|
postsuper -h queue_id
|
Eine durch ihre Queue-ID spezifizierte Nachricht zurückhalten |
exim4 -Mrm queue_id
|
postsuper -d queue_id
|
Eine durch ihre Queue-ID spezifizierte Nachricht löschen |
Nicht verfügbar |
postsuper -d ALL
|
Alle Nachrichten löschen |
![]() |
Tipp |
---|---|
Es könnte eine gute Idee sein, alle Mails durch ein Skript in
" |
Wenn Sie Debian-bezogene Mailinglisten abonnieren, könnte es sinnvoll sein,
einen MUA wie mutt
oder mew
zu
verwenden, welche der De-Facto-Standard für Teilnehmer sind und sich wie
dort erwartet verhalten.
Tabelle 6.8. Liste der Mail User Agents (MUA)
Paket | Popcon | Größe | Art |
---|---|---|---|
evolution
|
V:31, I:229 | 475 | Programm mit grafischer X-GUI-Oberfläche (GNOME3, Groupware-Suite) |
thunderbird
|
V:57, I:138 | 165180 | Programm mit grafischer X-GUI-Oberfläche (GNOME2, abgewandelter Mozilla Thunderbird) |
kmail
|
V:34, I:88 | 18011 | Programm mit grafischer X-GUI-Oberfläche (KDE) |
mutt
|
V:37, I:313 | 7056 |
Programm für textbasiertes Terminal, zu benutzen u.a. mit
vim
|
mew
|
V:0, I:0 | 2325 |
Programm für textbasiertes Terminal, zu benutzen mit
(x)emacs
|
Passen Sie "~/.muttrc
" wie folgt an, um
mutt
als Mail User Agent (MUA) in Kombination mit
vim
zu nutzen.
# # Benutzer-spezifische Konfigurationsdatei mit Vorrang gegenüber /etc/Muttrc # # Quell-Mail-Adresse verändern set use_from set hostname=example.dom set from="Vorname Nachname <benutzername@example.dom>" set signature="~/.signature" # vim: "gq" zum Umformatieren von Zitaten set editor="vim -c 'set tw=72 et ft=mail'" # "mutt" zeigt den Posteingang, während "mutt -y" die Mailboxen auflistet set mbox_type=Maildir # qmail-Maildir-Format zur Erzeugung der mbox verwenden set mbox=~/Mail # alle Mailboxen in $HOME/Mail/ ablegen set spoolfile=+Inbox # Neue Mails in $HOME/Mail/Inbox einliefern set record=+Outbox # Kopien ausgehender Mails in $HOME/Mail/Outbox ablegen set postponed=+Postponed # Zurückgestellte Mails in $HOME/Mail/postponed ablegen set move=no # Inbox-Elemente nicht in mbox verschieben set quit=ask-yes # Nicht mit einem einfachen "q" beenden, sondern vorher nachfragen set delete=yes # Elemente beim Beenden ohne Nachfrage löschen set fcc_clear # Kopien ausgehender Mails unverschlüsselt speichern # Mailboxen in Maildir (automatische Aktualisierung) mailboxes `cd ~/Mail; /bin/ls -1|sed -e 's/^/+/' | tr "\n" " "` unmailboxes Maillog *.ev-summary ## Standardeinstellung: #set index_format="%4C %Z %{%b %d} %-15.15L (%4l) %s" ## Index von Antwortketten mit Sender (ausgeklappt) set index_format="%4C %Z %{%b %d} %-15.15n %?M?(#%03M)&(%4l)? %s" ## Standardeinstellung: #set folder_format="%2C %t %N %F %2l %-8.8u %-8.8g %8s %d %f" ## Nur Ordnernamen set folder_format="%2C %t %N %f"
Fügen Sie folgendes zu "/etc/mailcap
" oder
"~/.mailcap
" hinzu, um HTML-Mails und MS-Word-Anhänge im
Mailprogramm integriert anzuzeigen:
text/html; lynx -force_html %s; needsterminal; application/msword; /usr/bin/antiword '%s'; copiousoutput; description="Microsoft Word Text"; nametemplate=%s.doc
![]() |
Tipp |
---|---|
Mutt kann als IMAP-Client und
Mailbox-Formatkonvertierer verwendet werden. Sie können Nachrichten mit
" |
Mutt kann unter Verwendung von msmtp so konfiguriert werden, dass er mehrere unterschiedliche Absender-Mail-Adressen mit mehreren dazugehörigen Smarthosts nutzen kann.
![]() |
Tipp |
---|---|
|
Wir nehmen als Beispiel an, dass 3 unterschiedliche E-Mail-Adressen unterstützt werden sollen:
"My Name1 <myaccount1@gmail.com>"
"My Name2 <myaccount2@gmail.com>"
"My Name3 <myaccount3@example.org>"
Hier als Beispiel eine entsprechend angepasste ~/.muttrc
,
in der 3 Smarthosts mit 3 verschiedenen Absender-Mail-Adressen unterstützt
werden:
set use_from set from="My Name3 <myaccount3@example.org>" set reverse_name alternates myaccount1@gmail\.com|myaccount1@gmail\.com|myaccount3@example\.org # ... # MACRO macro compose "1" "<edit-from>^UMy Name1 \<myaccount1@gmail.com\>\n" macro compose "2" "<edit-from>^UMy Name2 \<myaccount2@gmail.com\>\n" macro compose "3" "<edit-from>^UMy Name3 \<myaccount3@example.org\>\n" send2-hook '~f myaccount1@gmail.com' "set sendmail = '/usr/bin/msmtp --read-envelope-from'" send2-hook '~f myaccount2@gmail.com' "set sendmail = '/usr/bin/msmtp --read-envelope-from'" send2-hook '~f myaccount3@example.org' "set sendmail = '/usr/bin/msmtp --read-envelope-from'" # ...
Wir installieren msmtp-gnome
und erstellen
~/.msmtprc
wie folgt:
defaults logfile ~/.msmtp.log domain myhostname.example.org tls on tls_starttls on tls_certcheck on tls_trust_file /etc/ssl/certs/ca-certificates.crt auth on port 587 auto_from account myaccount1@gmail.com host smtp.gmail.com from myaccount1@gmail.com user myaccount1@gmail.com account myaccount2@gmail.com host smtp.gmail.com from myaccount2@gmail.com user myaccount2@gmail.com account myaccount3@example.org host mail.example.org from myaccount3@example.org user myaccount3@example.org account default : myaccount3@example.org
Fügen Sie dann die Passwortdaten dem Gnome-Schlüsselbund hinzu. Zum Beispiel:
$ secret-tool store --label=msmtp \ host smtp.gmail.com \ service smtp \ user myaccount1@gmail.com ...
![]() |
Tipp |
---|---|
Falls Sie den Gnome-Schlüsselbund nicht verwenden möchten, können Sie
stattdessen das Paket |
Statt einen MUA laufen zu lassen, der auf Mails auf einem fernen Server zugreift, und diese manuell zu verarbeiten, möchten Sie diesen Prozess vielleicht automatisieren, um alle Mails auf Ihren lokalen Rechner vor Ort geliefert zu bekommen. Die hier genannten Programme sind die richtigen für diesen Fall.
Obwohl
fetchmail(1)
der De-Facto-Standard für das Abrufen von fern gespeicherten Mails unter
GNU/Linux war, bevorzugt der Autor jetzt
getmail(1).
Wenn Sie Mails bereits vor dem Herunterladen verwerfen möchten, um
Bandbreite zu sparen, könnte auch mailfilter
oder
mpop
für Sie nützlich sein. Welches Mail-Abrufwerkzeug
Sie auch immer verwenden, es ist eine gute Idee, das System so zu
konfigurieren, dass abgerufene Mails über eine Weiterleitung einem MDA wie
maildrop
übergeben werden.
Tabelle 6.9. Liste von Programmen zum Abrufen und Weiterleiten von fern gespeicherten Mails
Paket | Popcon | Größe | Beschreibung |
---|---|---|---|
fetchmail
|
V:5, I:17 | 814 | Mail-Abrufprogramm (POP3, APOP, IMAP) (alt) |
getmail
|
V:1, I:6 | 30 | Mail-Abrufprogramm (POP3, IMAP4 und SDPS) (einfach, sicher und zuverlässig) |
mailfilter
|
V:0, I:0 | 291 | Mail-Abrufprogramm (POP3) mit Filterfunktion über reguläre Ausdrücke |
mpop
|
V:0, I:0 | 400 | Mail-Abrufprogramm (POP3) und MDA mit Filterfunktion |
Die Konfiguration von getmail(1) ist beschrieben in der getmail-Dokumentation (englisch). Hier ist mein Setup, um mehrere POP3-Konten als Benutzer abrufen zu können.
Erzeugen Sie "/usr/local/bin/getmails
" wie hier:
#!/bin/sh set -e if [ -f $HOME/.getmail/running ]; then echo "getmail is already running ... (if not, remove $HOME/.getmail/running)" >&2 pgrep -l "getmai[l]" exit 1 else echo "getmail has not been running ... " >&2 fi if [ -f $HOME/.getmail/stop ]; then echo "do not run getmail ... (if not, remove $HOME/.getmail/stop)" >&2 exit fi if [ "x$1" = "x-l" ]; then exit fi rcfiles="/usr/bin/getmail" for file in $HOME/.getmail/config/* ; do rcfiles="$rcfiles --rcfile $file" done date -u > $HOME/.getmail/running eval "$rcfiles $@" rm $HOME/.getmail/running
Führen Sie folgende Konfiguration aus:
$ sudo chmod 755 /usr/local/bin/getmails $ mkdir -m 0700 $HOME/.getmail $ mkdir -m 0700 $HOME/.getmail/config $ mkdir -m 0700 $HOME/.getmail/log
Erzeugen Sie für jedes POP3-Konto eine Konfigurationsdatei
"$HOME/.getmail/config/pop3_name
" wie hier:
[retriever] type = SimplePOP3SSLRetriever server = pop.example.com username = pop3_name@example.com password = <ihr_Passwort> [destination] type = MDA_external path = /usr/bin/maildrop unixfrom = True [options] verbose = 0 delete = True delivered_to = False message_log = ~/.getmail/log/pop3_name.log
Führen Sie folgende Konfiguration aus:
$ chmod 0600 $HOME/.getmail/config/*
Legen Sie fest, dass "/usr/local/bin/getmails
" mittels
cron(8)
alle 15 Minuten ausgeführt wird; Sie erreichen dies, indem Sie
"sudo crontab -e -u <benutzername>
" ausführen und
folgendes zum cron-Eintrag des Benutzers hinzufügen:
5,20,35,50 * * * * /usr/local/bin/getmails --quiet
![]() |
Tipp |
---|---|
Probleme mit dem POP3-Zugriff müssen nicht zwingend von
|
Die meisten MTA-Programme wie postfix
und
exim4
fungieren als MDA (Mail Delivery Agent). Es gibt
auch spezialisierte MDAs mit Filterfunktion.
Obwohl procmail(1) der De-Facto-Standard für MDAs mit Filterfunktion unter GNU/Linux war, bevorzugt der Autor jetzt maildrop(1). Welches Filterwerkzeug Sie auch immer verwenden, es ist eine gute Idee, das System so zu konfigurieren, dass abgerufene, gefilterte Mails an eine qmail-artige Maildir-Struktur zur Speicherung übergeben werden.
Die Konfiguration von
maildrop(1)
ist in der maildropfilter-Dokumentation
beschrieben (englisch). Hier ein Konfigurationsbeispiel für
"$HOME/.mailfilter
":
# Lokale Konfiguration MAILROOT="$HOME/Mail" # Setzen Sie dies auf den Inhalt von /etc/mailname MAILHOST="example.dom" logfile $HOME/.maildroplog # Mit den Regeln wird der frühere Wert durch den späteren ersetzt. # Mailinglisten-Nachrichten? if ( /^Precedence:.*list/:h || /^Precedence:.*bulk/:h ) { # Regeln für Mailinglisten-Nachrichten # Standard-Mailbox für Nachrichten von Mailinglisten MAILBOX="Inbox-list" # Standard-Mailbox für Nachrichten von debian.org if ( /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h ) { MAILBOX="service.debian.org" } # Standard-Mailbox für Nachrichten von bugs.debian.org (BTS) if ( /^(Sender|Resent-From|Resent-sender): .*@bugs.debian.org/:h ) { MAILBOX="bugs.debian.org" } # Mailbox für jede korrekt betreute Mailingliste mit "List-Id: foo" # oder "List-Id: ...<foo.bar>" if ( /^List-Id: ([^<]*<)?([^<>]*)>?/:h ) { MAILBOX="$MATCH2" } } else { # Regeln für Nachrichten, die nicht von Mailinglisten kommen # Standard-Posteingangs-Mailbox MAILBOX="Inbox-unusual" # lokale Nachrichten if ( /Envelope-to: .*@$MAILHOST/:h ) { MAILBOX="Inbox-local" } # html-Nachrichten (zu 99% Spam) if ( /DOCTYPE html/:b ||\ /^Content-Type: text\/html/ ) { MAILBOX="Inbox-html" } # Blacklist-Regel für Spam-Nachrichten if ( /^X-Advertisement/:h ||\ /^Subject:.*BUSINESS PROPOSAL/:h ||\ /^Subject:.*URGENT.*ASISSTANCE/:h ||\ /^Subject: *I NEED YOUR ASSISTANCE/:h ) { MAILBOX="Inbox-trash" } # Whitelist-Regel für normale Nachrichten if ( /^From: .*@debian.org/:h ||\ /^(Sender|Resent-From|Resent-Sender): .*debian.org/:h ||\ /^Subject: .*(debian|bug|PATCH)/:h ) { MAILBOX="Inbox" } # Whitelist-Regel für Nachrichten vom BTS if ( /^Subject: .*Bug#.*/:h ||\ /^(To|Cc): .*@bugs.debian.org/:h ) { MAILBOX="bugs.debian.org" } # Whitelist-Regel für getmails cron-Nachrichten if ( /^Subject: Cron .*getmails/:h ) { MAILBOX="Inbox-getmails" } } # Auf Existenz von $MAILBOX prüfen `test -d $MAILROOT/$MAILBOX` if ( $RETURNCODE == 1 ) { # maildir-Mailbox für $MAILBOX erzeugen `maildirmake $MAILROOT/$MAILBOX` } # An maildir-$MAILBOX zustellen to "$MAILROOT/$MAILBOX/" exit
![]() |
Warnung |
---|---|
Anders als |
Hier eine ähnliche Konfiguration mit "$HOME/.procmailrc
"
für
procmail(1):
MAILDIR=$HOME/Maildir DEFAULT=$MAILDIR/Inbox/ LOGFILE=$MAILDIR/Maillog # Eindeutig unerwünschte Mails: in X-trash entsorgen und beenden :0 * 1^0 ^X-Advertisement * 1^0 ^Subject:.*BUSINESS PROPOSAL * 1^0 ^Subject:.*URGENT.*ASISSTANCE * 1^0 ^Subject: *I NEED YOUR ASSISTANCE X-trash/ # Zustellen von Mailinglisten-Nachrichten :0 * 1^0 ^Precedence:.*list * 1^0 ^Precedence:.*bulk * 1^0 ^List- * 1^0 ^X-Distribution:.*bulk { :0 * 1^0 ^Return-path:.*debian-devel-admin@debian.or.jp jp-debian-devel/ :0 * ^Resent-Sender.*debian-user-request@lists.debian.org debian-user/ :0 * ^Resent-Sender.*debian-devel-request@lists.debian.org debian-devel/ :0 * ^Resent-Sender.*debian-announce-request@lists.debian.org debian-announce :0 mailing-list/ } :0 Inbox/
Wenn Ihr Heimatverzeichnis voll war und die Zustellung durch
procmail(1)
fehlgeschlagen ist, müssen Sie die Mails aus
"/var/mail/<benutzername>
" manuell in die einzelnen
Mailboxen in Ihrem Heimatverzeichnis zustellen. Führen Sie folgendes aus,
nachdem Sie in Ihrem Heimatverzeichnis Platz geschaffen haben:
# /etc/init.d/${MAILDAEMON} stop # formail -s procmail </var/mail/<benutzername> # /etc/init.d/${MAILDAEMON} start
Wenn Sie einen privaten Server im Netzwerk betreiben, sollten Sie erwägen, einen POP3-/IMAP4-Server laufen zu lassen, um Mails an Clients im Netzwerk zuzustellen.
Tabelle 6.11. Liste von POP3-/IMAP4-Servern
Paket | Popcon | Größe | Art | Beschreibung |
---|---|---|---|---|
courier-pop
|
V:2, I:2 | 308 | POP3 | Courier Mail-Server - POP3-Server (nur Maildir-Format) |
cyrus-pop3d
|
V:0, I:0 | 160 | POP3 | Cyrus Mail-System (POP3-Unterstützung) |
courier-imap
|
V:3, I:4 | 589 | IMAP | Courier Mail-Server - IMAP-Server (nur Maildir-Format) |
cyrus-imapd
|
V:1, I:1 | 484 | IMAP | Cyrus Mail-System (IMAP-Unterstützung) |
Im alten Unix-ähnlichen System war der BSD Line Printer Daemon Standard. Da das Standard-Druckausgabe-Format von freier Software auf Unix-artigen Systemen PostScript ist, wurde ein Filtersystem zusammen mit Ghostscript verwendet, um das Drucken auf nicht-PostScript-Druckern zu ermöglichen.
Mittlerweile ist Common UNIX Printing System (CUPS) der neue De-Facto-Standard. CUPS nutzt das Internet Printing Protocol (IPP). IPP wird jetzt auch von anderen Betriebssystemen wie Windows XP und Mac OS X unterstützt und ist der plattform-übergreifende De-Facto-Standard für das Drucken von fern; es unterstützt bi-direktionale Kommunikation.
Das Standard-Format für druckbare Daten in Anwendungen auf dem Debian-System ist PostScript (PS), was eine Seitenbeschreibungssprache (Page Description Language) ist. Die Daten im PS-Format werden in den Ghostscript-PostScript-Interpreter eingespeist, um druckbare Daten spezifisch für den jeweiligen Drucker zu erzeugen. Lesen Sie dazu Abschnitt 11.4.1, „Ghostscript“.
Dank der Dateiformat-abhängigen automatischen Konvertierungsfunktion des
CUPS-Systems sollte die einfache Übergabe jeglicher Daten an den
lpr
-Befehl zur gewünschten Druckausgabe führen. (In CUPS
kann lpr
aktiviert werden, indem das
cups-bsd
-Paket installiert wird.)
Das Debian-System enthält einige erwähnenswerte Pakete für Print-Server und deren Hilfsprogramme:
Tabelle 6.12. Liste von Print-Servern und Hilfsprogrammen
Paket | Popcon | Größe | Port | Beschreibung |
---|---|---|---|---|
lpr
|
V:3, I:4 | 362 | printer (515) | BSD lpr/lpd (Line Printer Daemon) |
lprng
|
V:1, I:1 | 3064 | " | " (Erweitert) |
cups
|
V:140, I:395 | 1141 | IPP (631) | Internet-Printing CUPS-Server |
cups-client
|
V:56, I:454 | 493 | " | System-V-Druckerbefehle für CUPS: lp(1), lpstat(1), lpoptions(1), cancel(1), lpmove(8), lpinfo(8), lpadmin(8), … |
cups-bsd
|
V:36, I:385 | 122 | " | BSD-Druckbefehle für CUPS: lpr(1), lpq(1), lprm(1), lpc(8) |
printer-driver-gutenprint
|
V:100, I:372 | 937 | Nicht anwendbar | Druckertreiber für CUPS |
![]() |
Tipp |
---|---|
Sie können das CUPS-System konfigurieren, indem Sie in Ihrem Browser "http://localhost:631/" eingeben. |
Die Secure SHell (SSH) ist der sichere Weg für Verbindungen über das
Internet. Eine freie Version von SSH namens OpenSSH ist in Debian über die
openssh-client
- und
openssh-server
-Pakete verfügbar.
Tabelle 6.13. Liste von Servern für Fernzugriff und Hilfsprogrammen
Paket | Popcon | Größe | Werkzeug | Beschreibung |
---|---|---|---|---|
openssh-client
|
V:803, I:996 | 4298 | ssh(1) | Secure-Shell-Client |
openssh-server
|
V:690, I:834 | 1567 | sshd(8) | Secure-Shell-Server |
ssh-askpass-fullscreen
|
V:0, I:0 | 42 | ssh-askpass-fullscreen(1) | Fragt den Benutzer nach einer Passphrase für ssh-add (GNOME2) |
ssh-askpass
|
V:3, I:34 | 106 | ssh-askpass(1) | Fragt den Benutzer nach einer Passphrase für ssh-add (reines X) |
![]() |
Achtung |
---|---|
Lesen Sie Abschnitt 4.7.3, „Zusätzliche Sicherheitsmaßnahmen für das Internet“, falls Ihr SSH über das Internet erreichbar ist. |
![]() |
Tipp |
---|---|
Bitte nutzen Sie das Programm screen(1), um dem Remote-Shell-Prozess die Chance zu geben, Verbindungsunterbrechungen zu überstehen (Weiteres dazu finden Sie in Abschnitt 9.1, „Das Programm screen“). |
![]() |
Warnung |
---|---|
Wenn Sie den OpenSSH-Server laufen lassen möchten, darf
" |
SSH hat zwei Authentifizierungsprotokolle:
Tabelle 6.14. Liste von SSH-Authentifizierungsprotokollen und -methoden
SSH-Protokoll | SSH-Methode | Beschreibung |
---|---|---|
SSH-1 |
"RSAAuthentication "
|
Benutzerauthentifizierung basierend auf RSA-Identity-Keys |
" |
"RhostsAuthentication "
|
Rechnerauthentifizierung basierend auf ".rhosts "
(unsicher, deaktiviert)
|
" |
"RhostsRSAAuthentication "
|
Rechnerauthentifizierung basierend auf ".rhosts ",
kombiniert mit RSA-Host-Keys (deaktiviert)
|
" |
"ChallengeResponseAuthentication "
|
RSA-Challenge-Response-Authentifizierung |
" |
"PasswordAuthentication "
|
Passwort-basierte Authentifizierung |
SSH-2 |
"PubkeyAuthentication "
|
Benutzerauthentifizierung basierend auf Public Keys |
" |
"HostbasedAuthentication "
|
Rechnerauthentifizierung basierend auf "~/.rhosts " oder
"/etc/hosts.equiv ", kombiniert mit Public-Key-basierter
Client-Host-Authentifizierung (deaktiviert)
|
" |
"ChallengeResponseAuthentication "
|
Challenge-Response-Authentifizierung |
" |
"PasswordAuthentication "
|
Passwort-basierte Authentifizierung |
![]() |
Achtung |
---|---|
Seien Sie vorsichtig bezüglich dieser Unterschiede, wenn Sie kein Debian-System verwenden. |
Lesen Sie "/usr/share/doc/ssh/README.Debian.gz
",
ssh(1),
sshd(8),
ssh-agent(1)
und
ssh-keygen(1)
für weitere Details.
Hier einige wichtige Konfigurationsdateien:
Tabelle 6.15. Liste von SSH-Konfigurationsdateien
Konfigurationsdatei | Beschreibung |
---|---|
/etc/ssh/ssh_config
|
SSH-Client-Standardeinstellungen, lesen Sie ssh_config(5) |
/etc/ssh/sshd_config
|
SSH-Server-Standardeinstellungen, lesen Sie sshd_config(5) |
~/.ssh/authorized_keys
|
öffentliche Standard-SSH-Schlüssel, die Clients verwenden, um sich mit diesem Konto auf diesem SSH-Server zu verbinden |
~/.ssh/identity
|
geheimer SSH-1 RSA-Schlüssel des Benutzers |
~/.ssh/id_rsa
|
geheimer SSH-2 RSA-Schlüssel des Benutzers |
~/.ssh/id_dsa
|
geheimer SSH-2 DSA-Schlüssel des Benutzers |
![]() |
Tipp |
---|---|
Informationen, wie Sie öffentliche und geheime SSH-Schlüssel verwenden, finden Sie in ssh-keygen(1), ssh-add(1) und ssh-agent(1). |
![]() |
Tipp |
---|---|
Stellen Sie sicher, dass Sie die Einstellungen über einen Verbindungstest
verifizieren. Bei jeglichen Problemen verwenden Sie " |
![]() |
Tipp |
---|---|
Sie können die Passphrase später mit " |
![]() |
Tipp |
---|---|
Sie können weitere Optionen zu den Einträgen in
" |
Mit folgenden Befehlen starten Sie eine ssh(1)-Verbindung von einem Client:
Tabelle 6.16. Liste von Beispielen zum Start einer SSH-Verbindung auf einem Client
Befehl | Beschreibung |
---|---|
ssh benutzername@rechnername.domaene.ext
|
im Standardmodus verbinden |
ssh -v benutzername@rechnername.domaene.ext
|
im Standardmodus verbinden mit aktivierten Debugging-Meldungen (zur Fehlersuche) |
ssh -1 benutzername@rechnername.domaene.ext
|
erzwingen einer Verbindung mit SSH Version 1 |
ssh -1 -o RSAAuthentication=no -l benutzername
rechnername.domaene.ext
|
Verwendung des Passworts erzwingen mit SSH Version 1 |
ssh -o PreferredAuthentications=password -l benutzername
rechnername.domaene.ext
|
Verwendung des Passworts erzwingen mit SSH Version 2 |
Wenn Sie den gleichen Benutzernamen auf dem lokalen und dem fernen Rechner
nutzen, können Sie die Angabe von "benutzername@
"
weglassen. Sogar wenn Sie unterschiedliche Benutzernamen nutzen, können Sie
sie weglassen, sofern Sie "~/.ssh/config
" verwenden. Für
den Debian Salsa-Service mit dem
Kontoname "foo-guest
" muss
"~/.ssh/config
" z.B. folgendes enthalten:
Host salsa.debian.org people.debian.org User foo-guest
Für den Benutzer fungiert
ssh(1)
als clevere und sichere Alternative zu
telnet(1).
Anders als der telnet
-Befehl scheitert
ssh
nicht am telnet
-Maskierungszeichen
(escape character; Standardeinstellung STRG-]).
Um für eine Verbindung von Port 4025 auf localhost
zu
Port 25 auf remote-server
(einem fernen Server) oder für
eine Verbindung von Port 4110 auf localhost
zu Port 110
auf remote-server
via ssh
eine
Weiterleitung aufzubauen, führen Sie auf dem lokalen Rechner (localhost)
folgendes aus:
# ssh -q -L 4025:remote-server:25 4110:remote-server:110 benutzername@remote-server
Dies ist ein sicherer Weg für Verbindungen zu SMTP-/POP3-Servern über das
Internet. Setzen Sie in "/etc/ssh/sshd_config
" auf dem
fernen Server den Wert für "AllowTcpForwarding
" auf
"yes
".
Man kann es vermeiden, sich Passwörter für ferne Systeme merken zu müssen,
indem man "RSAAuthentication
" (SSH-1-Protokoll) oder
"PubkeyAuthentication
" (SSH-2-Protokoll) nutzt.
Setzen Sie dazu auf dem fernen System die entsprechenden Einträge
"RSAAuthentication yes
"
bzw. "PubkeyAuthentication yes
" in
"/etc/ssh/sshd_config
".
Erzeugen Sie die Authentifizierungs-Schlüssel lokal und installieren Sie sie wie folgt auf dem fernen System:
"RSAAuthentication
": RSA-Schlüssel für SSH-1 (nicht mehr
empfohlen, da veraltet)
$ ssh-keygen $ cat .ssh/identity.pub | ssh benutzer1@ferner-server "cat - >>.ssh/authorized_keys"
"PubkeyAuthentication
": RSA-Schlüssel für SSH-2
$ ssh-keygen -t rsa $ cat .ssh/id_rsa.pub | ssh benutzer1@ferner-server "cat - >>.ssh/authorized_keys"
"PubkeyAuthentication
": DSA-Schlüssel für SSH-2 (nicht
mehr empfohlen, da zu langsam)
$ ssh-keygen -t dsa $ cat .ssh/id_dsa.pub | ssh benutzer1@ferner-server "cat - >>.ssh/authorized_keys"
![]() |
Tipp |
---|---|
Die Verwendung von DSA-Schlüsseln für SSH-2 wird nicht mehr empfohlen, da der Schlüssel kürzer ist und langsame Rechenoperationen beschert. Es gibt keine Gründe mehr, auf eine Verschlüsselung nach dem RSA-Verfahren zu verzichten und DSA zu nutzen, da das RSA-Patent abgelaufen ist. DSA steht für Digital Signature Algorithm und ist langsam. Lesen Sie auch DSA-1571-1. |
![]() |
Anmerkung |
---|---|
Damit " |
Es sind einige freie SSH-Clients für andere Plattformen verfügbar:
Tabelle 6.17. Liste freier SSH-Clients für andere Plattformen
Umgebung | freies SSH-Programm |
---|---|
Windows | puTTY (http://www.chiark.greenend.org.uk/~sgtatham/putty/) (GPL) |
Windows (Cygwin) | SSH in Cygwin (http://www.cygwin.com/) (GPL) |
Macintosh Classic | macSSH (http://www.macssh.com/) (GPL) |
Mac OS X |
OpenSSH; verwenden Sie ssh in der Terminal-Applikation
(GPL)
|
Es ist sicherer, Ihren geheimen SSH-Authentifizierungs-Schlüssel mit einer
Passphrase zu schützen. Falls Sie noch keine Passphrase vergeben haben,
verwenden Sie dazu "ssh-keygen -p
".
Legen Sie Ihren öffentlichen SSH-Schlüssel
(z.B. "~/.ssh/id_rsa.pub
") wie folgt in
"~/.ssh/authorized_keys
" auf dem fernen Server ab, und
zwar über eine passwort-basierte Verbindung zum Server, wie oben
beschrieben.
$ ssh-agent bash $ ssh-add ~/.ssh/id_rsa Enter passphrase for /home/<benutzername>/.ssh/id_rsa: Identity added: /home/<benutzername>/.ssh/id_rsa (/home/<benutzername>/.ssh/id_rsa)
Es ist kein Passwort für das ferne System zur Ausführung des nächsten Befehls mehr nötig:
$ scp foo <benutzername>@ferner-server.host:foo
Drücken Sie Strg-D, um die ssh-agent-Sitzung zu beenden.
Für den X-Server führt das normale Debian-Start-Skript
ssh-agent
als Eltern-Prozess aus. Sie müssen
ssh-add
daher nur einmal ausführen. Für weitere Details
lesen Sie
ssh-agent(1)
und
ssh-add(1).
Sie müssen den Prozess, der das "shutdown -h now
"
ausführt (lesen Sie Abschnitt 1.1.8, „Wie Sie das System herunterfahren“), davor
schützen, durch SSH beendet zu werden. Verwenden Sie dazu wie folgt den
at(1)-Befehl
(weiteres zu at in Abschnitt 9.3.13, „Einmalige Aufgaben planen“):
# echo "shutdown -h now" | at now
"shutdown -h now
" in einer
screen(1)-Sitzung
auszuführen (weitere Infos in Abschnitt 9.1, „Das Programm screen“) ist ein
anderer möglicher Weg.
Falls Sie Probleme haben, kontrollieren Sie die Zugriffsrechte der
Konfigurationsdateien und starten Sie ssh
mit der Option
"-v
".
Nutzen Sie die Option "-p
", wenn Sie root sind und
Probleme mit einer Firewall haben; dadurch wird die Verwendung der Ports 1 -
1023 auf dem Server vermieden.
Wenn ssh
-Verbindungen zu einem fernen Rechner plötzlich
nicht mehr funktionieren, könnte dies auf Spielereien des
Systemadministrators zurückzuführen sein, höchstwahrscheinlich Änderungen am
"host_key
" im Rahmen von Systemwartungsarbeiten. Nachdem
Sie sich versichert haben, dass dies der Fall ist und niemand versucht, den
fernen Rechner über einen cleveren Hack zu imitieren, können Sie die
Verbindung wiedererlangen, indem Sie den
"host_key
"-Eintrag in der
"~/.ssh/known_hosts
"-Datei auf dem lokalen Rechner
entfernen.
Hier einige weitere Netzwerkanwendungs-Server:
Tabelle 6.18. Liste von weiteren Netzwerkanwendungs-Servern
Paket | Popcon | Größe | Protokoll | Beschreibung |
---|---|---|---|---|
telnetd
|
V:1, I:3 | 115 | TELNET | TELNET-Server |
telnetd-ssl
|
V:0, I:0 | 170 | " | " (mit SSL-Unterstützung) |
nfs-kernel-server
|
V:38, I:79 | 342 | NFS | Datei-Netzwerkfreigabe unter Unix |
samba
|
V:102, I:159 | 16629 | SMB | Datei- und Drucker-Netzwerkfreigabe unter Windows |
netatalk
|
V:2, I:3 | 2077 | ATP | Datei- und Drucker-Netzwerkfreigabe unter Apple/Mac (AppleTalk) |
proftpd-basic
|
V:24, I:32 | 488 | FTP | Grundlegender Datei-Download |
apache2
|
V:246, I:315 | 610 | HTTP | Grundlegender Web-Server |
squid
|
V:13, I:15 | 8385 | " | Grundlegender Web-Proxy-Server |
squid3
|
V:4, I:10 | 240 | " | " |
bind9
|
V:52, I:65 | 1063 | DNS | IP-Adresse für andere Rechner |
isc-dhcp-server
|
V:18, I:54 | 1471 | DHCP | IP-Adresse des Clients selbst |
Das Common Internet File System - Protokoll (CIFS) ist das gleiche Protokoll wie Server Message Block (SMB) und wird von Microsoft Windows ausgiebig genutzt.
![]() |
Tipp |
---|---|
In Abschnitt 4.5.2, „Modernes zentralisiertes Systemmanagement“ finden Sie Informationen zur Integration von Server-Systemen. |
![]() |
Tipp |
---|---|
Die Rechnernamenauflösung wird normalerweise über den DNS-Server realisiert. Für IP-Adressen, die dynamisch
über einen DHCP-Server zugewiesen werden, kann
Dynamic DNS eingerichtet werden; dazu
können |
![]() |
Tipp |
---|---|
Die Verwendung eines Proxy-Servers wie |
Hier einige weitere Netzwerkanwendungs-Clients:
Tabelle 6.19. Liste von Netzwerkanwendungs-Clients
Paket | Popcon | Größe | Protokoll | Beschreibung |
---|---|---|---|---|
netcat
|
I:41 | 16 | TCP/IP | TCP/IP-Alleskönner |
openssl
|
V:794, I:993 | 1465 | SSL | Secure-Socket-Layer-(SSL-)Binärdatei und dazugehörige Kryptografie-Werkzeuge |
stunnel4
|
V:5, I:17 | 507 | " | universeller SSL-Wrapper |
telnet
|
V:65, I:904 | 163 | TELNET | TELNET-Client |
telnet-ssl
|
V:0, I:3 | 210 | " | " (mit SSL-Unterstützung) |
nfs-common
|
V:181, I:343 | 768 | NFS | Datei-Netzwerkfreigabe unter Unix |
smbclient
|
V:16, I:174 | 2016 | SMB | Datei- und Druckerfreigabe-Client für MS Windows |
cifs-utils
|
V:32, I:123 | 299 | " | Befehle zum Einbinden und Trennen von fern abgelegten MS-Windows-Dateien |
ftp
|
V:18, I:282 | 137 | FTP | FTP-Client |
lftp
|
V:6, I:39 | 2255 | " | " |
ncftp
|
V:3, I:22 | 1339 | " | FTP-Client mit Vollbildschirmdarstellung |
wget
|
V:288, I:988 | 3477 | HTTP und FTP | Programm zum Herunterladen von Dateien aus dem Web |
curl
|
V:151, I:548 | 426 | " | " |
axel
|
V:0, I:4 | 216 | " | Download-Beschleuniger |
aria2
|
V:2, I:19 | 1854 | " | Download-Beschleuniger mit Unterstützung für BitTorrent und Metalink |
bind9-host
|
V:382, I:948 | 365 | DNS | host(1)
von bind9, "Priorität: standard "
|
dnsutils
|
V:64, I:517 | 256 | " | dig(1)
von bind, "Priorität: standard "
|
isc-dhcp-client
|
V:231, I:979 | 686 | DHCP | IP-Adresse beziehen |
ldap-utils
|
V:14, I:75 | 718 | LDAP | Daten von einem LDAP-Server beziehen |
Das telnet
-Programm ermöglicht die manuelle Verbindung zu
den System-Daemons und ihren Diagnosefunktionen.
Um einen reinen POP3-Dienst zu testen, probieren Sie folgendes:
$ telnet mail.ispname.net pop3
Um einen POP3-Dienst mit aktiviertem TLS/SSL (wie sie bei manchen Providern vorkommen) zu
testen, benötigen Sie einen telnet
-Client mit aktiviertem
TLS/SSL, z.B. aus dem telnet-ssl
- oder
openssl
-Paket:
$ telnet -z ssl pop.gmail.com 995
$ openssl s_client -connect pop.gmail.com:995
Die folgenden RFCs enthalten das zur Diagnose erforderliche Wissen für jeden System-Daemon.
Die Verwendung der Ports ist in "/etc/services
"
beschrieben.