Schlagwort-Archive: Kopano Open-Source-Groupware

Kopano ist eine Open-Source-Groupware-Anwendungssuite, die ursprünglich auf Zarafa basiert.

Kopano Installation auf Debian 10 mit Apache2

Kopano und Z-Push Installation aus Debian Repo mit Apache und Postfix

Kopano ist eine quelloffene Lösung für Mailserver und Groupware, die eine größtmögliche Kontrolle der Daten erlaubt. Die ursprünglich aus Zarafa hervorgegangene Open Source Software steht unter der AGPLv3. Das modulare Design erfüllt die Anforderungen einer modernen Groupware für die Unternehmenskommunikation, als Alternative zu Anbieter externer Dienste, welche die eigene Kontrolle nicht ermöglichen.

Dieses Tutorial zeigt die Bereitstellung der Community Version von Kopano auf Debian 10 (buster), mit Einbindung von Z-Push (AGPLv3), eine Implementierung des Microsoft Exchange ActiveSync-Protokolls, hierdurch E-Mails, persönliche Kontakte, Termine und andere Elemente über das Back-End mobiler Geräte synchronisiert werden. Für die von Kopano unterstützen Front-End Anwendungen wie Microsoft Outlook, Windows Mail und Apple Mail über IMAP, ActiceSync für Android und iOS, sowie die WebApp für die aktuellen Browser.

Kopano WebApp Browser Front-End. Kopano und Z-Push Installation aus Debian.

INSTALLATION

Die Voraussetzung ist ein betriebsbereiter Server auf Debian 10. Des weiteren eine im DNS registrierte Domain, um E-Mails versenden zu können, hierzu im Rahmen dieses Tutorials nicht weiter eingegangen wird. Es sollte noch keine PHP-Version installiert sein, alle Pakete die in Abhängigkeit mit Kopano stehen, werden automatisch bereitgestellt.

Nachdem wir über SSH mit dem Server verbunden sind, kann die Installation nach („su –„) als root erfolgen.

$ apt-get update & apt-get dist-upgrade
$ apt install -y kopano-core kopano-webapp-apache2

Ein Kopano Account („kadmin„) erstellen der mit Parameter „-a1“ zu Admin berechtigt wird, dazu ein Store eröffnen mit anschlissender aktivierung durch neustart der Apache und Kopano-Dienste.

$ kopano-admin -c kadmin -p passw0rd! -e support@example.org -f "Kopano Admin" -a1
$ kopano-cli --create-store
$ kopano-cli --create-store -u kadmin
$ systemctl restart "kopano-*"
$ systemctl restart apache2

Durch die Installation wird man aufgefordert ein Passwort für den MySQL Server einzugeben, dieses in /etc/kopano/debian-db.cfg geschrieben wird.

Gratulation! Kopano ist jetzt installiert und bereit, die WebApp kann nun in einem Webbrowser geöffnet werden.

https://kopano.example.org/webapp

  Kopano Dokumentierung unter /usr/share/doc/kopano-server

Postfix MTA Installation für Kopano

Kopano ist nicht in der Lage E-Mails als SMTP Agent versenden zu können, mit seinem modularen Aufbau kann es jedoch mit Postfix interagieren, hierzu wird Postfix mit MySQL Anbindung eingesetzt, dieses für den MTA wie folgt installiert wird.

$ apt install -y postfix postfix-mysql

Durch die Installation wird man aufgefortert ein Hostname für die Postfix Konfiguration einzugeben, zB. kopano.example.org.

Die Postfix Hauptkonfiguration ergänzen in /etc/postfix/main.cf.

virtual_alias_maps = hash:/etc/postfix/virtual
virtual_mailbox_maps = mysql:/etc/postfix/mysql-users.cf
virtual_transport = lmtp:127.0.0.1:2003
virtual_mailbox_domains = example.org

smtpd_recipient_restrictions = permit_mynetworks,
        reject_non_fqdn_recipient,
        reject_non_fqdn_hostname,
        reject_non_fqdn_sender,
        reject_unknown_client,
        reject_unknown_hostname,
        reject_invalid_hostname,
        reject_unauth_pipelining,
        reject_unauth_destination,
        reject_unverified_recipient

Für den lookup der E-Mail-Adressen wird ein MySQL User („kopano“) angelegt, das Passwort wird auch im nächsten Schritt gebraucht.

$ mysql -u root
GRANT ALL PRIVILEGES ON kopanoserver.* TO 'kopano'@'localhost' IDENTIFIED BY 'passw123' WITH GRANT OPTION;
flush privileges;
quit

Dazu eine Datei erstellen /etc/postfix/mysql-users.cf.

$ echo "user = kopano
password = passw123
hosts = 127.0.0.1
dbname = kopanoserver
query = SELECT value FROM objectproperty where propname = 'emailaddress' and value = '%s';" > /etc/postfix/mysql-users.cf

Die Zugriffsrechte reduzieren und die Berkeley-DBs erzeugen.

$ chmod 600 /etc/postfix/mysql-users.cf
$ postmap /etc/postfix/mysql-users.cf
$ postmap /etc/postfix/virtual
$ systemctl restart postfix

Falls gewünscht, können weitere optionale Plugins hinzugefügt werden.

$ apt install -y kopano-webapp-contactfax kopano-webapp-gmaps kopano-webapp-pimfolder kopano-webapp-quickitems

Z-Push ActiveSync Installation

Z-Push Installation für die Kompatibilität zum ActiveSync Protokoll.

$ apt install -y z-push-backend-kopano z-push-common

Die Datei /etc/z-push/autodiscover.conf.php editieren um den hostname und die Zeitzone einzutragen, mehr zu Zeitzone einstellen hier.

define('ZPUSH_HOST', 'kopano.example.org');
define('TIMEZONE', 'Europe/Zurich');

Bei der Nutzung von email@domain.com zur Authentifizierung (loginname_format = %u@%c), das in /etc/kopano/server.cfg definiert ist.

define('USE_FULLEMAIL_FOR_LOGIN', true);

Die Datei /etc/z-push/z-push.conf.php editieren ( email@domain.com).

define('USE_FULLEMAIL_FOR_LOGIN', true);

Die ActiveSync bereitschaft kann im Webbrowser überprüft werden.

https://kopano.example.org/Microsoft-Server-ActiveSync

Ein aus dem Internet erreichbarer Server sollte durch eine Firewall geschützt sein. Dazu die ufw (Uncomplicated Firewall) installieren und die erforderlichen Ports eingehend für Kopano und SMTP erlauben.

$ apt install -y ufw
$ ufw allow ssh
$ ufw allow http
$ ufw allow https
$ ufw allow smtp
$ ufw allow smtps
$ ufw allow submission
$ ufw enable
$ ufw status

  Wird Outlook als Mail Client verwendet, zeigt die Anleitung hier das Setup für eine Outlook-Kopano Kontoeinrichtung.

Kopano Konfiguration und Optimierung

Mit Kopano ist es möglich (und empfehlenswert), alle Anhänge außerhalb der MySQL-Datenbank zu speichern. Die geteilte Architektur der Anhänge dient einem effizienteren MySQL-Caching-System, und um kleinere Datenbanken besser verwaltenden zu können, die aktivierung in /etc/kopano/server.cfg.

attachment_storage = files
attachment_path = /var/lib/kopano/attachments
attachment_files_fsync = yes

Für anpassung des Apache VirtualHost die Konfiguration editieren.

$ nano /etc/apache2/conf-available/kopano-webapp-apache2.conf

Um die Kopano Dienste zu diagnostizieren kann netstat helfen.

$ netstat -tulpn | grep kopano
tcp      0      0 0.0.0.0:236      0.0.0.0:*      LISTEN      10289/kopano-server
tcp6     0      0 :::110           :::*           LISTEN      18562/kopano-gatewa
tcp6     0      0 :::143           :::*           LISTEN      18562/kopano-gatewa
tcp6     0      0 :::8080          :::*           LISTEN      18565/kopano-ical
tcp6     0      0 :::2003          :::*           LISTEN      10473/kopano-dagent

Die Kopano-Dienste auf deren Status überprüfen.

$ systemctl status "kopano-*"

Das logging wird in den .cfg-Dateien definiert, wie für den Kopano Spooler in /etc/kopano/spooler.cfg, die Logs findet man unter /var/log/kopano und für Z-Push in /var/log/z-push.

log_method = file
log_level = 6
log_file = /var/log/kopano/spooler.log

Das logging des betreffenden Dienstes in beispielsweise der Datei server.cfg oder dagent.cfg aktivieren.

Kommt ein externer MTA als Smarthost zur Anwemdung, wird ein relayhost in /etc/postfix/main.cf editiert.

relayhost = 12.34.56.78

Nach dem Eintrag mit postfix reload die änderung übernehmen.

UPDATE: Fehler in kopano-spooler entdeckt in /var/log/mail.log

kopano-spooler HrLogon server „default:“ user „SYSTEM“: network error

Lösung:

$ cat <<EOF >> /etc/kopano/spooler.cfg
server_socket = file:///var/run/kopano/server.sock
EOF
$ systemctl restart kopano-spooler

Unknown MAPI Error: MAPI_E_NOT_FOUND

Erscheint bei der Anmeldung mit einem neu erstellten Kopano Konto der Fehler: Unknown MAPI Error: MAPI_E_NOT_FOUND, liegt dies hauptsächlich daran, dass der Benutzer noch kein Store hat.

$ kopano-cli --create-store -u john@example.org

  Die erstellung eines Kopano Benutzer Store kann auch durch das Command kopano-admin --create-store erfolgen.

Kopano Schutz mit Fail2ban

Kopano schützen gegen Attacken mit Fail2ban

Dieses Howto beschreibt die Installation und Konfiguration von Fail2ban für die Kopano Groupware auf Ubuntu 16.04.4 LTS. Fail2ban bietet effektiven schutz gegen Brute-Force Attacken, in dem aus Syslog und Apache Protokoll fehlgeschlagene versuche von Authentifizierungen herausgefiltert werden, um anschliessend den Host für eine bestimmte Zeit mittels Kernel Firewall zu blockieren.

Installation Fail2ban auf Kopano Server

Das Paket Fail2ban wird auf dem Ubuntu Host als root wie folgt installiert. Fail2ban ist auf Python entwickelt, weshalb die erforderlichen Bibliotheken nachgeladen werden.

apt-get update
apt-get install fail2ban -y

Nach der Installation wird Fail2ban ausgeführt und in systemd für den autostart aktiviert.

systemctl start fail2ban
systemctl enable fail2ban

Ein Fail2ban Filter für Kopano bereitstellen, wir erstellen die Datei kopano-webapp-auth.conf

vi /etc/fail2ban/filter.d/kopano-webapp-auth.conf

Den Inhalt mit folgenden Zeilen in die Filter Datei einfügen:

# Fail2Ban kopano-webbapp-auth filter
# /etc/fail2ban/filter.d/kopano-webapp-auth.conf

[INCLUDES]
before = apache-common.conf

[Definition]
failregex = ^%(_apache_error_client)s Kopano WebApp user:.* authentication failure at MAPI

ignoreregex =

Den Fail2ban Filter für Kopano aktivieren, dazu die Konfigurationsdatei jail.local erstellen.

vi /etc/fail2ban/jail.local

Und den folgenden Inhalt einfügen:

[sshd]
port    = ssh
logpath = %(sshd_log)s

[kopano-webapp]
enabled = true
port    = https
filter  = kopano-webapp-auth
logpath = %(apache_error_log)s

[apache-auth]
enabled = true
port    = http,https
logpath = %(apache_error_log)s

Hier wird error.log ausgelesen mit der Variable %(apache_error_log), /var/log/apache2/error.log

Fail2ban erneut starten um die änderungen zu aktivieren.

systemctl restart fail2ban

Den Status von Fail2ban kann wie folgt überprüft werden.

root@kopano:~# fail2ban-client status
Status
|- Number of jail:      3
`- Jail list:   apache-auth, kopano-webapp, sshd
 
root@kopano:~# fail2ban-client status kopano-webapp
Status for the jail: kopano-webapp
|- Filter
|  |- Currently failed: 0
|  |- Total failed:     7
|  `- File list:        /var/log/apache2/mattermost-error.log /var/log/apache2/error.log
`- Actions
   |- Currently banned: 4
   |- Total banned:     52
   `- Banned IP list: 10.10.10.101 172.17.88.91 172.31.16.3 10.32.57.98

Die Firewall gibt Aufschluss über den Status der aktuell durch Fail2ban geblockten Hosts, mit einer iptables abfrage:

iptables -vnL | egrep "f2b-kopano-webapp|apache-auth|sshd"