1. Поддерживать любое количество доменов и пользователей.
2. Обслуживать пользователей, не привязанных к локальным учетным записям.
3. Обеспечивать доступ к почтовым ящикам по протоколам POP3, IMAP с поддержкой TLS.
4. Обеспечивать отправку и прием писем по протоколу SMTP с поддержкой TLS.

Структура почтовой системы

Классическая почтовая система Postfix, Dovecot имеют доступ к списку пользователей и работают параллельно, разделяя доступ к почтовым ящикам пользователей.	Упрощенная почтовая система Dovecot является «бэкендом» для доступа к почтовым ящикам пользователей. При этом подходе, расположение почтовых ящиков, список пользователей, известен только Dovecot. Именно этот подход мы будет использовать для достижения нашей цели.

1. Производительность. Postfix имеет доступ к почтовым ящикам и может быстрее и проще, нежели во втором случае, доставить почту непосредственно пользователю.
2. Независимость частей системы друг от друга. В случае отключения Dovecot, Postfix продолжит свою основную функцию — принимать письма.

1. Формат почтовых ящиков должен быть понятен обеим программам.
2. Необходимо синхронизировать доступ к почтовым ящикам.
3. Безопасность. Необходимы дополнительные полномочия для Postfix. Postfix должен иметь прямой доступ к почтовым ящикам и списку пользователей.
4. Настройка и сопровождение немного сложнее.

Dovecot

1. Создадим пользователя «vmail» для хранения почты, без «шелл» доступа, но с домашней папкой «/home/vmail».
   
   
2. Настроим аутентификацию.
   

   auth_mechanisms = plain login 

   (login это тот же plain, но для Outlook)
   

   mail_gid = vmail
   mail_uid = vmail

   Ограничение передачи пароля только после установки TLS соединения, выполняется в Dovecot по умолчанию и не требует дополнительных настроек. Так как мы будем использовать TLS, никаких других механизмов аутентификации нам не нужно, только PLAIN. Самоподписанный сертификат, в CentOS, создается при установке Dovecot в папке, /etc/pki/dovecot/certs/, воспользуемся пока им, для настройки TLS.
   Хочу обратить ваше внимание на один важный момент. Нужно различать, механизм аутентификации от метода хранения аутентификационных данных. Хотя эти два понятия могут называться одинаково, это две разные вещи. Подробности здесь и здесь.
   
   
3. Настроим, где будем хранить почтовые ящики пользователей.
   Для каждого виртуального пользователя задаем домашнюю папку в формате — /home/vmail/domain/username,
   

   mail_home = /home/vmail/%d/%n

   и местоположение почты в домашней папке — /home/vmail/domain/username/Maildir,

   mail_location = maildir:~/Maildir

   Формат почтовых ящиков Maildir выбран для упрощения перехода к классической системе, в случае необходимости, т.к. Postfix поддерживает Maildir. Но если вы не планируете возврат к классической системе, можно выбрать любой формат почтовых ящиков поддерживаемый Dovecot.
   
   
4. Следующие две директивы задают, где и как Dovecot будет искать имена и пароли пользователей.
   

   userdb {
       args = username_format=%u /etc/dovecot/users
       driver = passwd-file
     }
   passdb {
       args = scheme=ssha512 username_format=%u /etc/dovecot/users
       driver = passwd-file
   }

   Мы использовали для этого файл, /etc/dovecot/users, имеющий формат стандартного файла паролей /etc/passwd.
   Пример файла паролей (пароль обрезан):
   

   user1@example1.com:{SSHA512}2YT51xuhilbvb4vYRIb1oj1EvrKFszhf2MNw=::::::
   user3@example3.com:{SSHA512}GdBv9GEE1rfFpd4+fzXS+UKh4x6gTpTaH4=::::::

   Для безопасности, мы не храним пароли пользователей в открытом виде, а храним их подсоленные SHA512. Для заполнения файла «/etc/dovecot/users», будем использовать этот скрипт с двумя параметрами, именем пользователя и паролем пользователя.

   #!/bin/sh
   echo $1:$(doveadm pw -s ssha512 -p $2):::::: >> /etc/dovecot/users

   
   
5. Настроим сервисы для связи с Postfix.
   Для поиска имен пользователей и SASL аутентификации.
   

   service auth {
     unix_listener /var/spool/postfix/private/auth {
       group = postfix
       mode = 0660
       user = postfix
     }
     unix_listener auth-userdb {
       mode = 0600
       user = vmail
     }
   }

   Для доступа к почтовым ящикам пользователей.
   

   service lmtp {
     unix_listener /var/spool/postfix/private/dovecot-lmtp {
       group = postfix
       mode = 0600
       user = postfix
     }
     user = vmail
   }
   protocol lmtp {
     postmaster_address = postmaster@example1.ru
   }

   Более подробно можно почитать: здесь про LMTP, здесь про LMTP и Postfix, а здесь про SASL.
   

# 2.0.9: /etc/dovecot/dovecot.conf
# OS: Linux 2.6.32-504.16.2.el6.x86_64 x86_64 CentOS release 6.6 (Final)
auth_mechanisms = plain login
mail_gid = vmail
mail_home = /home/vmail/%d/%n
mail_location = maildir:~/Maildir
mail_uid = vmail
mbox_write_locks = fcntl
passdb {
  args = scheme=ssha512 username_format=%u /etc/dovecot/users
  driver = passwd-file
}
service auth {
  unix_listener /var/spool/postfix/private/auth {
    group = postfix
    mode = 0660
    user = postfix
  }
  unix_listener auth-userdb {
    mode = 0600
    user = vmail
  }
}
service lmtp {
  unix_listener /var/spool/postfix/private/dovecot-lmtp {
    group = postfix
    mode = 0600
    user = postfix
  }
  user = vmail
}
ssl_cert = </etc/pki/dovecot/certs/dovecot.pem
ssl_key = </etc/pki/dovecot/private/dovecot.pem
userdb {
  args = username_format=%u /etc/dovecot/users
  driver = passwd-file
}
protocol lmtp {
  postmaster_address = postmaster@example.com
}