Dies ist eine alte Version des Dokuments!
Webmail mit Roundcube unter CentOS 7.x
Benötigt man statt einer Groupwarelösung wie Horde nur einen Webmailer, bietet sich der Webmailer Roundcube an. Dieser Webmailer ist zum einen einfach und schnell installiert und zeichnet sich durch seine Robustheit aus.
Installation
Voraussetzungen und Abhängigkeiten
Für die Installation des Webmailers benötigen wir noch ein paar PHP-Pakete, die wir Dank der Intergration des epel-Repositories mit Hilfe von yum einfach installieren können. Im Detail sind das folgende Pakete:
- php-pspell
- aspell-de
- php-mcrypt
- GraphicsMagick
# yum install php-pspell aspell-de php-mcrypt GraphicsMagick -y
Für die deutsche Rechtschreibkorrektur gibt es im EPEL-Repository für CentOS 7.x (noch)1) kein RPM. Abhilfe schafft hier das Repository mailserver.guru. Haben wir das mailserver.guru Repository eingebunden wir das Paket aspell-de automatisch bei der Installation mit dem obigen Aufruf installiert.
Alternativ kann man natürlich acu das Paket manuell installieren. Hierzu laden wir das Paket aspell-de-20030222-1.el7.centos.x86_64.rpm auf unseren Rechner.
# cd /usr/local/src/packages/
# wget http://repo.mailserver.guru/7/x86_64/aspell-de-20030222-1.el7.centos.x86_64.rpm
Anschließend installieren wir dieses RPM mit Hilfe von yum.
# yum localinstall --nogpgcheck aspell-de-20030222-1.el7.centos.x86_64.rpm
Wie immer kann man sich mit Hilfe des Aufrufes rpm -qil <Paketname> anzeigen lassen, was jedes einzelne Paket mit in das System gebracht hat.
Installation roundcube
Die Installation von Roundcube selbst ist kein Hexenwerk, braucht man doch nur das entsprechende RPM-Paket mit Hilfe von yum installieren.
# yum install roundcubemail -y
Konfiguration
Apachekonfig aus dem RPM
Da wir einen eigenen vHOST für den WEB-Mailer anbieten wollen und keine Unterverzeichniss-Konfiguration, kommentieren wir den Inhalt der Apache-Konfigurationsdatei /etc/httpd/conf.d/roundcubemail.conf aus.
# vim /etc/httpd/conf.d/roundcubemail.conf
- /etc/httpd/conf.d/roundcubemail.conf
## ## Round Cube Webmail is a browser-based multilingual IMAP client ## # #Alias /roundcubemail /usr/share/roundcubemail # ## Define who can access the Webmail ## You can enlarge permissions once configured # #<Directory /usr/share/roundcubemail/> # <IfModule mod_authz_core.c> # # Apache 2.4 # Require local # </IfModule> # <IfModule !mod_authz_core.c> # # Apache 2.2 # Order Deny,Allow # Deny from all # Allow from 127.0.0.1 # Allow from ::1 # </IfModule> #</Directory> # ## Define who can access the installer ## keep this secured once configured # #<Directory /usr/share/roundcubemail/installer/> # <IfModule mod_authz_core.c> # # Apache 2.4 # Require local # </IfModule> # <IfModule !mod_authz_core.c> # # Apache 2.2 # Order Deny,Allow # Deny from all # Allow from 127.0.0.1 # Allow from ::1 # </IfModule> #</Directory> # ## Those directories should not be viewed by Web clients. #<Directory /usr/share/roundcubemail/bin/> # Order Allow,Deny # Deny from all #</Directory> #<Directory /usr/share/roundcubemail/plugins/enigma/home/> # Order Allow,Deny # Deny from all #</Directory>
Apache vHost
Für unsere Webmailer richten wir uns nun einen geeigneten vHost ein. Im Konfigurationsverzeichnis unseres Apache-Webservers legen wir uns eine neue vHOST-Konfigurationsdatei an.
# vim /etc/httpd/conf.d/vhost_443_roundcubemail.conf
- /etc/httpd/conf.d/vhost_443_roundcubemail.conf
# # roundcubemail.sec-mail.guru # <VirtualHost *:80> ServerAdmin webmaster@nausch.org ServerName roundcubemail.sec-mail.guru ServerPath / <Location /> Options -Indexes +FollowSymLinks Require all granted </Location> RewriteEngine on RewriteCond %{HTTPS} off RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI} DirectoryIndex index.php ErrorLog logs/roundcubemail_error.log CustomLog logs/roundcubemail_access.log combined </VirtualHost> <VirtualHost *:443> ServerAdmin webmaster@nausch.org ServerName roundcubemail.sec-mail.guru ServerPath / DocumentRoot "/usr/share/roundcubemail" # Django # Required, because there is a host with same ServerName and # ServerAlias LISTENING ON PORT 80, - and if these lines are # not present, and .htaccess-Files or LDAP-Access is enabled # for one or more Directory the host on PORT 443 and PORT 80 # will ASK for .htaccess ord LDAP-Access, so please remember # ---------------------------------------------------------- # -- DO NOT DELETE THE FOLLOWING LINES, STARTING WITH SSL -- # -- WHEN USING .htaccess or LDAP-Access! -- # ---------------------------------------------------------- SSLEngine on SSLProtocol -ALL +SSLv3 +TLSv1 SSLCipherSuite EECDH+AES256:DHE+AES256:EECDH+AES:EDH+AES:-SHA1:EECDH+RC4:EDH+RC4:RC4-SHA:AES256-SHA:!aNULL:!eNULL:!EXP:!LOW:!MD5 SSLHonorCipherOrder on SSLCertificateFile /etc/pki/tls/private/CAcert-class3-wildcard.crt SSLCertificateKeyFile /etc/pki/tls/private/ca.key SSLCertificateChainFile /etc/pki/tls/private/CAcert_chain.crt # Define who can access the Webmail # You can enlarge permissions once configured <Directory /usr/share/roundcubemail/> <IfModule mod_authz_core.c> # before configuration Require local # after configuration # Require all granted </IfModule> </Directory> # Define who can access the installer # keep this secured once configured <Directory /usr/share/roundcubemail/installer/> <IfModule mod_authz_core.c> # while configuration Require host 10.0.0 # after configuration # Require local </IfModule> </Directory> # Those directories should not be viewed by Web clients. <Directory /usr/share/roundcubemail/bin/> Require all denied </Directory> <Directory /usr/share/roundcubemail/plugins/enigma/home/> Require all denied </Directory> DirectoryIndex index.php ErrorLog logs/postfixadmin_error.log CustomLog logs/postfixadmin_access.log combined </VirtualHost>
Wichtig:
Solange wir unseren vHost noch nicht in der Produktionsumgebung steht und fertig konfiguriert wurde, beschränken wir den Zugriff auf den vHost noch. In der obigen Apache-vHOST ist dies bereits berücksichtigt!
Erst nach erfolgter Konfiguration geben wir den vHOST für unsere Nutzer frei; hierzu tragen wir in der Directive Directory wie folgt ab:
...
# Define who can access the Webmail
# You can enlarge permissions once configured
<Directory /usr/share/roundcubemail/>
<IfModule mod_authz_core.c>
# before configuration
# Require local
# after configuration
Require all granted
</IfModule>
</Directory>
# Define who can access the installer
# keep this secured once configured
<Directory /usr/share/roundcubemail/installer/>
<IfModule mod_authz_core.c>
# while configuration
# Require host 10.0.0
# after configuration
Require local
</IfModule>
</Directory>
...
Bevor unseren Webserver starten, damit der neue vHost auch bedient werden kann, überprüfen wir die Konfiguration noch auf syntaktische Fehler.
# apachectl -t
Ist alles O.K. dann steht einem Reload des Apache httpd nichts mehr im Wege.
# systemctl reload httpd.service
Wollen wir den Reload kontrollieren, fragen wir den Status des Webservers ab.
# systemctl status httpd.service
httpd.service - The Apache HTTP Server
Loaded: loaded (/usr/lib/systemd/system/httpd.service; disabled)
Active: active (running) since Tue 2014-09-09 18:26:47 CEST; 3h 48min ago
Process: 20019 ExecStop=/bin/kill -WINCH ${MAINPID} (code=exited, status=0/SUCCESS)
Process: 20368 ExecReload=/usr/sbin/httpd $OPTIONS -k graceful (code=exited, status=0/SUCCESS)
Main PID: 20024 (httpd)
Status: "Total requests: 0; Current requests/sec: 0; Current traffic: 0 B/sec"
CGroup: /system.slice/httpd.service
├─20024 /usr/sbin/httpd -DFOREGROUND
├─20372 /usr/sbin/httpd -DFOREGROUND
├─20373 /usr/sbin/httpd -DFOREGROUND
├─20374 /usr/sbin/httpd -DFOREGROUND
├─20375 /usr/sbin/httpd -DFOREGROUND
└─20376 /usr/sbin/httpd -DFOREGROUND
Sep 09 22:15:07 vml000097.dmz.nausch.org systemd[1]: Reloading The Apache HTTP Server.
Sep 09 22:15:07 vml000097.dmz.nausch.org systemd[1]: Reloaded The Apache HTTP Server.
mySQL Datenbank
Ein Großteil der Benutzer-Konfigurationsdaten werden in einer mySQL-Datenbankgespeichert und vorgehalten.
Datenbank anlegen
Diese mySQL-Datenbank und der zugehörige Datenbankuser werden wird nun im ersten Schritt anlegen.
Wir melden uns also als berechtigter Datenbankuser an der mySQL-Datenbank an.
# mysql -h mysql.dmz.nausch.org -u root -p
Enter password: Welcome to the MySQL monitor. Commands end with ; or \g. Your MySQL connection id is 188332 Server version: 5.1.73 Source distribution Copyright (c) 2000, 2013, Oracle and/or its affiliates. All rights reserved. Oracle is a registered trademark of Oracle Corporation and/or its affiliates. Other names may be trademarks of their respective owners. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. mysql>
Dort legen wir als aller erst einmal eine Datenbank mit dem Namen roundcubemail an.
mysql> create database roundcubemail;
Query OK, 1 row affected (0.04 sec)
Datenuserbank anlegen
Anschließend legen wir uns einen Datenbankuser an, denen wir entsprechende Rechte an der, gerade angelegten Datenbank horde einräumen. Als Namen nehme wir einfach hode_admin_user.
mysql> CREATE USER 'roundcube_user'@'10.0.0.97' IDENTIFIED BY 'n491o5rbgsDK67DeM9sCHfzd';
Query OK, 0 rows affected (0.00 sec)
und
mysql> CREATE USER 'roundcube_user'@'vml000097.dmz.nausch.org' IDENTIFIED BY 'n491o5rbgsDKMS67DeM9sCHfzd';
Query OK, 0 rows affected (0.00 sec)
Nutzerberechtigungen setzen
Dem gerade angelegten Datenbankuser für Roundcube gewähren wir nun die nötigen Rechte, damit dieser vom Webserver aus, Tabellen anlegen, befüllen und verändern darf.
mysql> GRANT ALL PRIVILEGES ON roundcubemail.* TO 'roundcube_user'@'10.0.0.97' IDENTIFIED BY 'n491o5rbgsDKMS67DeM9sCHfzd' WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
Query OK, 0 rows affected (0.00 sec)
und
mysql> GRANT ALL PRIVILEGES ON roundcubemail.* TO 'roundcube_user'@'vml000097.dmz.nausch.org' IDENTIFIED BY 'n491o5rbgsDKMS67DeM9sCHfzd' WITH GRANT OPTION MAX_QUERIES_PER_HOUR 0 MAX_CONNECTIONS_PER_HOUR 0 MAX_UPDATES_PER_HOUR 0 MAX_USER_CONNECTIONS 0;
Query OK, 0 rows affected (0.00 sec)
Nutzerberechtigungen zuweisen
Zum Ende unserer mySQL-Userkonfiguration weisen wir unserem Nutzer die Berechtigungen zu.
mysql> FLUSH PRIVILEGES;
Query OK, 0 rows affected (0.00 sec)
Zugriff testen
Als nächstes überprüfen wir, ob der zuvor angelegt User/Zugang auch funktioniert.
# mysql -D roundcubemail -h mysql.dmz.nausch.org -u roundcube_user -p
Enter password: Welcome to the MariaDB monitor. Commands end with ; or \g. Your MySQL connection id is 188556 Server version: 5.1.73 Source distribution Copyright (c) 2000, 2014, Oracle, Monty Program Ab and others. Type 'help;' or '\h' for help. Type '\c' to clear the current input statement. MySQL [roundcubemail]> <code> <code>MySQL [roundcubemail]> show databases; +--------------------+ | Database | +--------------------+ | information_schema | | roundcubemail | +--------------------+ 2 rows in set (0.00 sec) MySQL [roundcubemail]>
Da der Test positiv ausgefallen ist, können wie uns wieder von unserem Datenbankserver abmelden.
MySQL [roundcubemail]> quit
Bye
Datenbanktabellen anlegen
Die von Roundcube benötigten Datebank-Tabellen, erstellen wir mit folgendem Aufruf.
# mysql -D roundcubemail -h mysql.dmz.nausch.org -u roundcube_user -p < /usr/share/roundcubemail/SQL/mysql.initial.sql
Enter password:
Datenbank-Anbindung
Damit roundcube später auf unsere Datenbank auch zugreifen kann, definieren wir nun die Datenbankanbindung von roundcube an unseren MySQL-Datenbank-Server.
Im Verzeichnis /etc/roundcubemail/ finden wir die entsprechende Konfigurationsdatei db.inc.php. Diese bearbeiten wir mit dem Editor unserer Wahl, z.B. vim.
# vim /etc/roundcubemail/db.inc.php