exim: Add the SNT MX servers to the trusted list.

Inter-Actief recently switched to the SNT mailservers for their e-mail
handling.

exim: Remove katherina from the trusted MX list.

This host is not online anymore.

exim: Add the chimara-if.org domain.

exim: Keep exim logs for a year instead of 10 days.

exim: Add default logrotate config.

exim: Add alias for fetchmail-daemon@.

exim: Add mkit.nl domain.

exim: Correct any real_domains in envelope addresses.

The real_domains (e.g., vserver hostnames) are mostly not listed in the
DNS, so we replace that with our public DNS name.

exim: Use the external DNS name in HELO commands.

The hostname of the mail vserver is not in public DNS, so some smtp
servers reject a HELO command that uses it. This change makes sure that
the hostname of the vserver host is used in HELO command, which is the
external hostname to use for reaching the mail vserver.

exim: Add transport configuration.

For some reason, these configuration files never got committed.

Merge branch 'template' of ssh://matthijs@git.stderr.nl/matthijs/servers/drsnuggles into mail

* 'template' of ssh://matthijs@git.stderr.nl/matthijs/servers/drsnuggles:
  oidentd: Allow the vserver host to forward connections.
  oidentd: Add default configuration.

oidentd: Allow the vserver host to forward connections.

oidentd: Add default configuration.

exim: Add an alias for munin@.

dovecot: Make ~/Mail/Folders the IMAP root.

This ensures that the virtual mailboxes don't show up twice and stuff like
the sieve directory isn't accidentally listed.

dovecot: Use a real certificate.

Previously, a auto-generated self-signed certificate was used.

pam: Make dovecot check the mailHost attribute.

Previously (in an uncommited pam.d/dovecot file), dovecot just used the
common-{auth,account}, which checked the "host" attribute. Now the
mailHost attribute is checked, so only people that have their email
delivered here can use IMAP.

dovecot: Enable plain authentication and non-TLS connections.

This saves encryption and issues with certificate verifcation when
connection from locally running webmail apps.

apt: Add lenny-backports (for dovecot).

Don't reject spam messages from a few trusted hosts.

Rejecting this messages would only cause those hosts to generate useless
delivery failures to innocent people. Instead, we just deliver these
messages...

exim: Don't log headers on rejection.

exim4: Add hekjelarp.nl domain.

nullmailer: remove configuration.

Nullmailer is not needed on this vserver, since exim handles email
directly.

exim4: Don't send delay warnings.

By default, Exim sends a warning to the sender of a message every 24h as
long is it couldn't be delivered. This isn't really useful to most
people, so we disable it.

exim: Keep mail for relay domains for 30 days.

This ensures we won't start throwing away mail after 4 days for the
domains we're a backup MX for.

exim: Put "Message too big" in X-Spam-Score.

Previously, the "Message too big, not scanned." message was put in the
X-Spam-Report header. Putting it in X-Spam-Score allows clients to see
the what and why of a spam score withouth downloading the (probably
larger) X-Spam-Report header.

exim: Accept mails without a valid sender in the headers.

A mail should still have a valid envelope from address, but we'll not
force mail to have a valid address in the headers. This is specifically
so mail from the inter-actief.lokaal domain can still be delivered.

Merge commit 'origin/template' into mail

* commit 'origin/template':
  rsyslog: Use another format for forwarding messages.
  ssh: Disable changing of the oom_adj value.
  ssh: Add default initscript configuration.

rsyslog: Use another format for forwarding messages.

The syslog protocol 23 format seems to be broken in rsyslog for messages
that were originally generated by legacy applications (i.e., do not have
a structured-data field).

See http://bugzilla.adiscon.com/show_bug.cgi?id=125

ssh: Disable changing of the oom_adj value.

This value is meant for making sure ssh is never killed by the oom
killer, but that is not allowed inside vservers.

ssh: Add default initscript configuration.

exim: Forward mail for logcheck to root.

exim: Add default /etc/aliases file.

Debconf has already filled in my username, so it's not completely
default. Also, the comments on top of the file were updated to reflect
the current exim configuration.

Merge commit 'origin/template' into mail

* commit 'origin/template':
  rsyslog: Make the main queue disk-assisted as well.
  rsyslog: Enable queuing of log messages.
  nss: Add some comments.
  rsyslog: Send all logs to the log vserver.
  rsyslog: Move all rsyslog log files into a subdir.
  rsyslog: Update logrotate config to new rsyslog config.
  rsyslog: Add default logrotate config.
  rsyslog: Disable logging of kernel messages.
  rsyslog: Enable loggin of mark lines.
  rsyslog: Clean up rsyslog configuration.
  rsyslog: Add default configuration.
  pam: Add pam_permit to the auth section of chfn.
  nss: Update to use our custom LDAP schema.
  apt: Set the Default-Release to "stable".

Conflicts:

etc/rsyslog.conf

rsyslog: Make the main queue disk-assisted as well.

rsyslog: Enable queuing of log messages.

This prevents messages from getting lost when the log vserver is
temporarily unavailable.

nss: Add some comments.

rsyslog: Send all logs to the log vserver.

This happens in addition to local logging.

rsyslog: Move all rsyslog log files into a subdir.

This allows us to use *.log in the logrotate configuration, without
conflicting with logfiles not created by rsyslog.

rsyslog: Update logrotate config to new rsyslog config.

rsyslog: Add default logrotate config.

rsyslog: Disable logging of kernel messages.

The vservers won't have access to the kernel messages anyway.

rsyslog: Enable loggin of mark lines.

rsyslog: Clean up rsyslog configuration.

This removes some commented out lines, and reorganizes the existing
logfiles to be more consistent.

rsyslog: Add default configuration.

exim: Don't do sender verification by callout.

Doing callouts puts extra resource pressure on the called server. Since
the sender address will be forged in a lot of cases anyway, this won't
really help us and can be used in a DDOS attack on some server. See
http://www.backscatterer.org/index.php?target=sendercallouts

exim: Relay mail for fizzgig.{eu,nl}.

exim4: Let exim know its external hostname.

This allows relaying to other domains (e.g., work as a backup MX) to
work, since exim knows defer mails instead of sending them to itself
again.

rsyslog: Add default configuration.

exim: Restructure the spam handling acls.

Previously, exim would have its own spam score threshold and expect
spamassassin to mark any messages as spam (even with negative score), so
spam headers could be added on non-rejected messages. Now, we use three
acl clauses instead of just one, allowing us to accept the judgment of
spamassassin again and add spam headers in a separate clause.

spamassassin: Mark messages as spam with score > 20.

Previously all messages would be marked and exim would set the
threshold, but this is about to change.

exim: Set the spamassassin profile to "spamd".

This should really matter, but setting it to "default" made spamd
complain about the user "default" not being found.

exim: Correct spam rejection threshold.

The score used to be compared with 20, but that really means spamscore
2.0. So we set it to 200 instead, for rejecting when the score is >20.

spamassassin: Run as user "spamd" instead of root.

When running as root, spamd will run as whatever user the client claims
to be, to read preferences. Since this is not-so-secure, we'll just run
as an unprivileged user to begin with (since we don't do per-user
privileges anyway).

exim: Add more email domains.

The list now includes all domains I process email for.

spamassassin: Set a custom spam report template.

The default template is long and wordy, and says the message is marked
as spam. In our configuration, all messages get the report, so that is
not very accurate.

exim: Add spamcheck ACL.

This ACL always adds spam headers to messages, and denies messages that
have a very high (>20) spamscore.

spamassassin: Set the threshold really low (-100.0).

Exim will has its own spamscore threshold, but only adds spam headers on
messages that are spam according to spamassasin. So we set the threshold
really low here.

spamassassin: Mark a bunch of hosts as internal.

spamassassin: Remove default (commented) configuration.

spamassassin: Enable nightly updates through cron.

spamassassin: Enable.

spamassassin: Add default configuration.

exim: Add vim modelines to all config files.

system: Set hostname and mailname

exim4: Use dovecot for delivery only.

This removes all previous delivery methods (.forward files, procmail and
direct Maildir delivery) in favour of using dovecot's deliver program.
Dovecot supports forwarding and filtering use sieve scripts and knows
exactly where a user's mailbox should be, so this does not remove
functionality but prevents duplicate configuration.

dovecot: Customize the configuration.

This enables dovecot for imaps and email delivery, using sieve for
filtering, pam and nss for authnz and enabling virtual mailboxes.

exim: Fix domainlist references by prepending a +.

All mail delivery was broken, since the local_domains domainlist was not
properly set.

dovecot: Add default configuration.

pam: Add pam_permit to the auth section of chfn.

The chfn command did not work before, since it checks account as well as
auth.

nss: Update to use our custom LDAP schema.

This uses the uniqueMember attribute containing dns instead of the
memberUid attribute containing usernames for forming groups.
Additionally, it tells nss-ldap about our replacement for the posixGroup
objectClass.

apt: Set the Default-Release to "stable".

exim: Completely review the exim configuration.

This commit mostly removes the fancy Debian debconf automatic stuff,
since that creates a lot of overhead with macros being defined in one
place and the actual configuration in another place. Other unused parts
of the configuration are also unused.

Configuration is added for the main delivery lookups to happen from
ldap data. Both persons and groups in the LDAP directory can have email
addresses defined, which will then get forwarded or delivered
appropriately (for emailaddresses in the virtual_domains setting, of
course). Email will also be delivered for any username@host addresses,
where host is one of the drsnuggles vservers.

exim: Add initial configuration.

This configuration is generated by debconf by question answering.

pam: Let pam.d/cron include common-account.

The changes to common-account make the custom account section of
pam.d/cron unneeded.

pam: Let pam.d/su include common{account,session}.

Since pam.d/other was removed, su was missing the account and session
entries and failed.

pam: Make common-account also support unix users.

This makes sure that common-account supports both unix users (from
passwd) and ldap users. A lot of services don't do real (password)
authentication, but do need to work for both ldap and unix users (cron,
su).

common-auth still only works for ldap users, since those are the only
ones with actual passwords.

pam: Add .so to module names in pam.d/other.

pam: Deny everything in pam.d/other.

pam: Add default pam.d/other file.

pam: Fix pam configuration for cron.

This allows non-ldap users (say, root) to use cron.

pam: Don't allow console logins.

We don't have a console on a vserver anyway...

pam: Allow only root to change shells and user info.

Since changing user info and shells for ldap users is not supported by
chfn and chsh anyway, and we have no real users that are not in ldap,
limiting this to just root makes sense.

pam: Add default pamd.d/{chfn,chsh,cron,login} files.

pam: Remove all but one line from pam.d/su.

The session modules seem useless, and the common files only include ldap
and don't know about root, so that only gives warnings when root is
trying to su.

This makes it impossible for non-root users to use su, but that's a
feature.

pam: Add default pam.d/su file.

system: Set the timezone to Europe/Amsterdam.

apt: Move local repository from ~matthijs to /data.

bash: Include bash.bashrc from /etc/profile.

system: Add resolv.conf, pointing to the DNS vserver.

bash: Add default global profile script.

bash: Enable extended completion.

bash: Add initial bashrc.

nss: Don't use mdns for name resolution.

This change was automatically made by removing avahi-daemon.

nullmailer: Add configuration.

pam: Enable LDAP host attribute checking.

pam: Only use LDAP for auth and account, remove unix authentication.

pam: Simplify configuration.

pam: Use LDAP for authentication.

nss: Use LDAP for passwd and group.