Postfix + Dovecotinformatica.etitudela.com/pub/aula30x/servicios_de_red/... · 2017. 2. 22. ·...

Servicio de correo electrónicoPostfix + Dovecot

Servicio de correo electrónico

Postfix + Dovecot

Índice 1 Notas previas..............................................................................................................................................2 2 Postfix v.2....................................................................................................................................................4

2.1 Instalación...........................................................................................................................................4 2.1.1 Configuración por defecto (resumen).....................................................................................6

2.2 Configuración predeterminada........................................................................................................7 2.3 Diagnóstico.......................................................................................................................................10 2.4 Envío de correo................................................................................................................................10

3 Dovecot v.2...............................................................................................................................................13 3.1 Instalación.........................................................................................................................................13 3.2 Configuración predeterminada......................................................................................................15 3.3 Diagnóstico.......................................................................................................................................17 3.4 Recepción de correo.........................................................................................................................18

4 Postfix + Dovecot: configuración personalizada..................................................................................19 4.1 Diagnóstico.......................................................................................................................................22 4.2 Envío y recepción de correo...........................................................................................................23

5 Fuentes......................................................................................................................................................24

1/24


1 Notas previasFormato de buzón MboxGuarda todos los mensajes en un único archivo, generalmente en ~/mbox

Formato de buzón MaildirEstructura de directorios, generalmente en ~/Mail/ y guardando cada mensaje en un archivo diferente.

tmp Utilizado durante la entrega new Guarda los mensajes nuevos (no leídos)cur Una vez leídos, pasan a esta carpeta

Mecanismos de autenticación login y plainTransmite información en texto prácticamente plano.Normalmente se usan combinados con una conexión cifrada SSL/TLS

SSL, TLS y STARTTLS

• SSL y TLS proporcionan un modo de cifrar el canal de comunicación entre dos máquinas. TLS es el sucesor de SSL.

• STARTTLS es una manera de tomar una conexión insegura (en texto plano) y convertirla en segura utilizando SSL/TLS a través del mismo puertoA pesar del nombre, puede usarse tanto TLS como SSL.

• Para añadir seguridad a los protocolos existentes, se decidió añadir la capa SSL/TLS, pero asociando puertos diferentes para distinguirlos:

◦ IMAP: 143 IMAPS: 993

◦ POP: 110 POPS: 995

◦ SMTP: 25 SMTPS: 465

• SMTP STARTTLS es una excepción. Diseñado para transferir correo entre servidores, muchos sistemas utilizan el puerto 25 también para que un usuario envíe correo al servidor. Así, se definió otro puerto (587) para el envío de correo, pero no para las transferencias.Actualmente, muchos sistemas ofrecen envío de mensajes por el puerto 587 y obligan a utilizar STARTTLS y autenticación. De este modo, pueden bloquear el puerto 25 para las conexiones salientes de los PCs de usuario, que se había convertido en una fuente de spam desde máquinas infectadas.Es decir: MUA MTA por el 587→

MTA MTA por el 25↔

2/24


ESMTP (Extended SMTP)Especifica extensiones al protocolo original. ESMTP proporciona un mecanismo para que un cliente pregunte al servidor qué extensiones soporta para establecer un tipo de comunicación u otra.Para ello, se utiliza el comando ehlo.

3/24


2 Postfix v.2

2.1 InstalaciónSe recomienda comprobar FQDN del equipo antes de instalar.

Versión a instalar.# apt-cache policy postfixpostfix: Instalados: (ninguno) Candidato: 2.11.3-1 Tabla de versión: 2.11.3-1 0 500 http://ftp.es.debian.org/debian/ jessie/main amd64 Packages

Instalación# apt-get install postfixPaquetes sugeridos: postfix-mysql postfix-pgsql postfix-ldap postfix-pcre sasl2-bin dovecot-common resolvconf postfix-cdb ufw postfix-docLos siguientes paquetes se ELIMINARÁN: exim4 exim4-base exim4-config exim4-daemon-lightSe instalarán los siguientes paquetes NUEVOS: postfix

eximMTA que viene por defecto en Debian. Se desinstala automáticamente al instalar postfix.

4/24


5/24

Sin configuración: pues eso.Sitio de Internet: el normal, con acceso a Internet (preferible IP fija)Internet con smarthost: envía mensajes a un smarthost (normalmente si no tienes acceso permanente a Internet o no tienes IP fija)Sistema satélite: éste sería entonces el smarthost.Sólo correo local: sólo funciona entre usuario locales. Sin red.


Durante la instalación se crean:

• archivos de configuración

• usuario postfix en el grupo postfix

• certificados digitales autofirmados

2.1.1 Configuración por defecto (resumen)

• Gestiona cuentas de usuarios locales de asir00.net

• Sólo permite reenvío correo enviado desde el propio equipo

• Permite conexiones SMTP y SMTPS en puerto 25 usando STARTTLS

◦ Usa certificado digital autofirmado, ubicado en /etc/ssl/certs/

◦ No permite autenticación de usuarios en texto plano, pero sí bajo una conexión SMTPS.

• Permite reenvío correo hacia cualquier dominio

◦ Envía correo directamente a destinario

• Buzones en formato mailbox en directorio /var/mail

◦ No hay limitación tamaño

6/24


2.2 Configuración predeterminada

Archivo de configuración /etc/postfix/main.cf (sin modificar)smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)biff = no

append_dot_mydomain = no

#delay_warning_time = 4h

readme_directory = no

smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pemsmtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.keysmtpd_use_tls=yessmtpd_tls_session_cache_database = btree:$

{data_directory}/smtpd_scachesmtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination

myhostname = debian00.asir00.netalias_maps = hash:/etc/aliasesalias_database = hash:/etc/aliasesmyorigin = /etc/mailnamemydestination = asir00.net, debian00.asir00.net,

localhost.asir00.net, localhostrelayhost =mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128mailbox_command = procmail -a "$EXTENSION"mailbox_size_limit = 0recipient_delimiter = +inet_interfaces = all

7/24


PARÁMETROS IMPORTANTES

myhostname default = el FQDN de la máquinaNombre de dominio del servidor.

myorigin default = $myhostnamedefault para Debian = /etc/mailname

# cat /etc/mailnameasir00.net

Nombre de dominio a utilizar en el correo saliente.Especifica el dominio que aparecerá en las cabeceras del correo que es enviado desde esta máquina.Además, este nombre se agregará a toda dirección de destinatario cuyo dominio no se especifique.Ejemplo: correo enviado con comando # mail manolo

Delivered-To: [email protected]: by debian00.asir00.net (Postfix, from userid 0)

mydestination Dominios para los que se recibe correo.Especifica a qué dominios entregará localmente correo esta máquina, en lugar de reenviarlos a otro servidor.Es decir: indica qué dominios gestiona este servidor.

relayhost Método de envío: directo o indirectoPor defecto: intenta enviar el corrreo directamente a través de Internet, en lugar de utilizar otro servidor de correo que actúe como intermediario.El método directo no siempre es posible: sistemas detrás de un cortafuegos, sistemas apagados fuera de horas de oficina, …

mynetworks default = sólo el localhost IPs de máquinas clientes a las que les está permitido utilizar el servidor.Los clientes pertenecientes a alguna de las redes autorizadas por esta directiva pueden enviar correo hacia cualquier destino (ojo: para mensajes provenientes de IPs no autorizadas, ver directiva relay_domains)

home_mailbox default = vacíoPor defecto, los mensajes se almacenan en formato Mbox.

Bandeja de entrada (no leidos): /var/mail/usernameBuzón de correo (leidos, etc.): /home/username/mbox

Para guardarlos en formato Maildir:home_mailbox = Maildir/

8/24


La “/” final especifica que se utilice entrega de correo al estilo qmail: un mensaje = un archivo

OTROS PARÁMETROS

smtpd_banner Mensaje de bienvenida que se muestra a los clientes al conectarse.debian00.asir00.net ESMTP Postfix (Debian/GNU)

smtpd_use_tls default = noPara anunciar a los clientes que soporta STARTTLS.Pero no obliga a utilizarlo.

smtpd_relay_restrictions

la opción = permit_sasl_authenticated permite conexiones de clientes autenticados mediante el método SASL SMTP-AUTH

mailbox_command default = vacíoUtilizado normalmente para la entrega de correo a través de un MDA como Procmail.(Probablemente deseemos comentarlo si modificamos la ubicación de los buzones o si recibimos algún mensaje de error a cuenta de los permisos del usuario para acceder a su buzón)

relay_domains default = $mydestinationDestinos a los que se permite enviar correo.Normalmente funciona así: los mensajes de clientes “extraños” (los provenientes de redes no autorizadas en mynetworks) sólo podrán ser reenviados a dominios autorizados por esta directiva.

mailbox_size_limit default = 51200000 (unos 50 MB)Tamaño máximo, en bytes, para cada buzón de correo.0 = sin límite

message_size_limit default = 10240000 (unos 10 MB)Tamaño máximo, en bytes, para cada mensaje de correo.

inet_interfaces Direcciones IP de las interfaces por las que recibe correo.

9/24


2.3 DiagnósticoComprobar puertos abiertos

# netstat -ltn4Active Internet connections (only servers) Local Address Foreign Address State ... 127.0.0.1:631 0.0.0.0:* LISTEN 0.0.0.0:25 0.0.0.0:* LISTEN 127.0.0.1:953 0.0.0.0:* LISTEN

Mostrar parámetros definidos explícitamente en fichero de configuración.# postconf -n

Mostrar todos los parámetros, incluidos los que conservan su valor por defecto.# postconf -d

Ficheros log en /var/logOrden de prioridades:debug, info, notice, warning, err, crit, alert, emerg

FICHERO QUÉ QUEDA REGISTRADO

mail.log debug, info, notice, warning, err, crit, alert, emerg (TODO)

mail.info info, notice, warning, err, crit, alert, emerg

mail.warn warning, err, crit, alert, emerg

mail.err err, crit, alert, emerg

2.4 Envío de correoCon esta configuración básica y sin necesidad de instalar un servidor POP/IMAP como Dovecot, los usuarios pueden enviar correo:

• mediante comando mail (en local)

• mediante cliente como Thunderbird (desde otro equipo: necesario permitir equipos de otras redes con mynetworks)

10/24


Con Thunderbird, desde equipo remotoEl cliente pude ser configurado:

• con seguridad o sin ella

◦ la seguridad puede ser STARTTLS o SSL/TLS

• con autenticación o sin ella

Por defecto, postfix permite la conexión utilizando seguridad STARTTLS (recomendado). Y también permite la conexión sin autenticar, pero no está configurado para utilizar seguridad basada en SSL/TLS.

Autenticación Seguridad Permitido

No No X

Sí No

No STARTTLS X

Sí STARTTLS X

No SSL/TLS

Sí SSL/TLS

Problemas posibles:

• versiones antiguas del cliente Thunderbird posiblemente no manejen bien los certificados cuando utilizamos STARTTLS

Con una configuración muy primitiva, se permite enviar correo, pero se debe recoger en local, en el propio servidor.

11/24


Sin autenticación, sin seguridad.

Envío de mensaje de manolo a jacinto:

Jacinto debe recogerlo en el propio servidor, ya que no tenemos todavía el servidor POP/IMAP instalado.

12/24


3 Dovecot v.2

3.1 Instalación

Comprobar versiones de Dovecot./# apt-cache policy dovecot-pop3ddovecot-pop3d: Instalados: (ninguno) Candidato: 1:2.2.13-12~deb8u1 Tabla de versión: 1:2.2.13-12~deb8u1 0 500 http://ftp.es.debian.org/debian/ jessie/main amd64 Packages

# apt-cache policy dovecot-imapddovecot-imapd: Instalados: (ninguno) Candidato: 1:2.2.13-12~deb8u1 Tabla de versión: 1:2.2.13-12~deb8u1 0 500 http://ftp.es.debian.org/debian/ jessie/main amd64 Packages

Instalar paquetes POP y IMAP.# apt-get install dovecot-pop3d dovecot-imapdLeyendo lista de paquetes... HechoCreando árbol de dependencias Leyendo la información de estado... HechoSe instalarán los siguientes paquetes extras: dovecot-corePaquetes sugeridos: ntp dovecot-gssapi dovecot-sieve dovecot-pgsql dovecot-mysql dovecot-sqlite dovecot-ldap dovecot-lmtpd dovecot-managesieved dovecot-solr dovecot-luceneSe instalarán los siguientes paquetes NUEVOS: dovecot-core dovecot-imapd dovecot-pop3d

La estructura de ficheros de Dovecot 2 es completamente diferente de Dovecot 1, pero la configuración es similar. Ahora existe un directorio /etc/dovecot/conf.d que contiene varios ficheros de configuración más pequeños.Estos ficheros de configuración son leídos por Dovecot en orden alfabético.

13/24


Archivos en /etc/dovecotconf.ddovecot.confdovecot-dict-auth.conf.extdovecot-dict-sql.conf.extdovecot-sql.conf.extprivateREADME

Contenido de /etc/dovecot/dovecot.conf(prácticamente todas las líneas están comentadas)

...!include_try /usr/share/dovecot/protocols.d/*.protocol…!include conf.d/*.conf…!include_try local.conf...

Archivos en /etc/dovecot/conf.d10-auth.conf 90-plugin.conf10-director.conf 90-quota.conf10-logging.conf auth-checkpassword.conf.ext10-mail.conf auth-deny.conf.ext10-master.conf auth-dict.conf.ext10-ssl.conf auth-master.conf.ext10-tcpwrapper.conf auth-passwdfile.conf.ext15-lda.conf auth-sql.conf.ext15-mailboxes.conf auth-static.conf.ext20-imap.conf auth-system.conf.ext20-pop3.conf auth-vpopmail.conf.ext90-acl.conf

14/24


3.2 Configuración predeterminada

Entre los diferentes ficheros y la propia configuración predeterminada encontramos estos valores:protocols = “ imap pop3”

auth_mechanisms = plaindisable_plaintext_auth = yes

mail_location = mbox:~/mail:INBOX=/var/mail/%u#mail_location = maildir:~/Maildir

ssl = nossl_cert =ssl_key =#ssl_cert = </etc/dovecot/dovecot.pem#ssl_key = </etc/dovecot/private/dovecot.pem

Parámetro Fichero Descripción

protocols default No aparece en ningún fichero.

auth_mechanisms 10-auth.conf Mecanismos de autenticación.Soporta texto plano (plain, login) y no-plano (cram-md5, digest-md5, ntlm, …).Actualmente, se suele utilizar un esquema de texto plano + SSTL/TLS.

#disable_plaintext_auth 10-auth.conf Aunque esté comentado, por defecto es = yes.Permite autenticación con texto plano en conexiones no seguras

mail_location 10-mail.conf Ubicación y formato de los buzones de correo.Los valores más habituales lo ubican en el home del usuario y son:para Mbox:mbox:~/mail:INBOX=/var/mail/%upara Maildir:maildir:~/Maildir

15/24


ssl 10-ssl.conf Soporte de SSL/TLS.Puede ser: yes, no, required

ssl_certssl_key

10-ssl.conf Ficheros donde se almacenarán el certificado y la clave. También pueden ser guardados en un mismo fichero.

CuidadoDesde la versión 2.2.13-7, Dovecot no proporciona certificado SSL por defecto. Este comportamiento afecta a los usuarios de Debian 8, que deberán generar sus propios certificados si quieren utilizar cifrado SSL.

Acerca de mail_locationPor defecto, la bandeja de entrada de los usuarios se guarda en /var/mail/nombre_usuario.Como IMAP soporta múltiples buzones, es necesario mantenerlos en un directorio. Normalmente se suele hacer en ~/mail.Sintaxis:

formato_buzón:ruta[:clave=valor]mbox:~/mail:INBOX=/var/mail/%u

Por ejemplo, para el usuario manolo:bandeja de entrada (inbox) en fichero /var/mail/manolo buzón (mailbox) en carpeta /home/manolo/mail/ Resto de mensajes→

De este modo, la bandeja de entrada queda ubicada en un lugar diferente del resto de los mensajes.

Cuándo se requiere que el cliente utilice SSL/TLS

ssl disable_plain_text SSL/TLS

no indiferente Totalmente deshabilitado.

yes no Ofrecido al cliente, pero no se le obliga a usarlo. El cliente puede utilizar autenticación en texto plano sin SSL/TLS Inseguro.→

yes yes Ofrecido al cliente, pero no se le obliga a usarlo. El cliente puede utilizar autenticación en texto plano sólo si utiliza SSL/TLS.

required indiferente SSL/TLS es obligado.

16/24


3.3 DiagnósticoComprobar puertos abiertos

# netstat -ltn4Active Internet connections (only servers) Local Address Foreign Address State 0.0.0.0:110 0.0.0.0:* LISTEN 0.0.0.0:143 0.0.0.0:* LISTEN 0.0.0.0:111 0.0.0.0:* LISTEN ...127.0.0.1:631 0.0.0.0:* LISTEN 0.0.0.0:25 0.0.0.0:* LISTEN 127.0.0.1:953 0.0.0.0:* LISTEN

Obsérvese que los puertos SSL/TLS no están abiertos.Ahora mismo están abiertos los puertos para, en este orden: POP3, IMAP y SMTP.

Mostrar parámetros definidos explícitamente en fichero de configuración.# dovecot -n

Mostrar todos los parámetros, incluidos los que conservan su valor por defecto.# dovecot -a

En algunos casos, los administradores prefieren tener todos los parámetros no predeterminados en un solo fichero y dejar de utilizar el resto de ficheros.

# dovecot -n > dovecot.conf

Detener el servicio, reiniciarlo, …# dovecot stop# dovecot reload

Fichero de log: por defecto, dovecot utiliza el del sistema /var/log/syslog.

17/24


3.4 Recepción de correoCon la configuración predeterminada (al menos, en Debian 8), no es posible conectarnos para recoger correo: no está todavía preparado para utilizar seguridad y tampoco nos permite autenticarnos utilizando el texto plano. Lo más rápido para realizar las primeras pruebas es permitir la autenticación en texto plano.

disable_plaintext_auth = no

Opciones de seguridad disponibles.

Opciones de autenticación disponibles.

Configuración propuesta por Thunderbird(para POP3, los valores SSL y Authentication propuestos son los mismos)

18/24


4 Postfix + Dovecot: configuración personalizadaUna configuración básica interesante podría ser la siguiente (algunos de los parámetros ya estarán establecidos como se indica aquí, pero nunca está de más comprobarlo):

Postfix#Gestionar correos para el dominio asir00.netmydestination = asir00.net, debian00.asir00.net,localhost.asir00.net, localhost

#Permitir envío desde la red localmynetworks = 10.33.0.0/24 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

#Utilizar formato de buzón Maildirhome_mailbox = Maildir/

#Si recibimos mensaje de error por permisos de usuario, comentar.#mailbox_command = procmail -a "$EXTENSION"

#Limitar tamaño máximo del buzón (en bytes)mailbox_size_limit = 1000000000

#Limitar tamaño máximo de los mensajes (en bytes)message_size_limit = 5000000

#Habilitar TLS/SSL mediante STARTTLSsmtpd_use_tls = yes#Comprobar también resto de directivas “smtpd_tls_loquesea”

Dovecot #Utilizar formato de buzón Maildirmail_location = maildir:~/Maildir

#Permitir autenticación con texto planodisable_plaintext_auth = no

#Habilitar TLS/SSLssl = yesssl_cert = </etc/dovecot/dovecot.pemssl_key = </etc/dovecot/private/dovecot.pem

19/24


CuidadoSi cambiamos la ubicación de los buzones, los usuarios perderán el acceso a los mensajes enviados utilizando la ubicación anterior. Conviene realizar esta configuración al principio y no modificarla.

Puesto que Dovecot ya no proporciona certificados, tenemos diferentes opciones:

• Utilizar un certificado de una Autoridad Certificadora (CA)

• Generar un certificado autofirmado

◦ Comando openssl con o sin fichero de configuración, donde se indican los valores en lugar de te que los pida el comando.

◦ Reutilizar los certificados de Postfix (¿es posible?)

Generar certificado:# openssl req -new -x509 -nodes

-config /etc/dovecot/dovecot-openssl.cnf-out /etc/dovecot/dovecot.pem-keyout /etc/dovecot/private/dovecot.pem-days 365

Generating a 1024 bit RSA private key.................++++++..........................................++++++writing new private key to '/etc/dovecot/private/dovecot.pem'------

Archivo de configuración dovecot-openssl.cnf[ req ]default_bits = 1024encrypt_key = yesdistinguished_name = req_dnx509_extensions = cert_typeprompt = no

[ req_dn ]# country (2 letter code)C=ES

# State or Province Name (full name)ST=Navarra

# Locality Name (eg. city)L=Tudela

20/24


# Organization (eg. company)O=Dovecot

# Organizational Unit Name (eg. section)OU=IMAP server

#Common Name (*.example.com is also possible)CN=mail.asir00.net

#E-mail [email protected]

[ cert_type ]nsCertType = server

Probablemente queramos también:Modificar permisos para la clave privada.El archivo es propiedad de root y los permisos quedan como rw-r—r--Por seguridad, quizá queramos dejarlos como rw-------# chmod 0600 /etc/dovecot/private/dovecot.pem

Mostrar la huella digital de la clave# openssl x509 -subject -fingerprint -noout -in /etc/dovecot/dovecot.pem

subject= /C=ES/ST=Navarra/L=Tudela/O=Aula 30x/OU=IMAP server/CN=mail.asir00.net/[email protected] Fingerprint=9F:6E:E2:D5:8E:10:3A:89:74:73:87:D6:4F:F2:94:38:65:6B:63:FB

21/24


4.1 DiagnósticoPuertos abiertos

# netstat -ltn4Active Internet connections (only servers)Local Address Foreign Address State 0.0.0.0:49467 0.0.0.0:* LISTEN 0.0.0.0:993 0.0.0.0:* LISTEN 0.0.0.0:995 0.0.0.0:* LISTEN 0.0.0.0:110 0.0.0.0:* LISTEN 0.0.0.0:143 0.0.0.0:* LISTEN 0.0.0.0:111 0.0.0.0:* LISTEN 0.0.0.0:10000 0.0.0.0:* LISTEN 10.33.0.2:53 0.0.0.0:* LISTEN 127.0.0.1:53 0.0.0.0:* LISTEN 0.0.0.0:22 0.0.0.0:* LISTEN 127.0.0.1:631 0.0.0.0:* LISTEN 0.0.0.0:25 0.0.0.0:* LISTEN 127.0.0.1:953 0.0.0.0:* LISTEN

SMTP 25POP3 110IMAP 143IMAPS 993POP3S 995

Logs: tanto en el fichero de log de Dovecot como al inspeccionar su estado, tenemos información de las sesiones de usuarios:

mar 09 11:03:30 debian00 dovecot[1683]: imap-login: Login: user=<jacinto>, method=PLAIN, rip=10.33.0.10, lip=10.33.0.2, mpid=1695, TLS, session=<1g5ez5otmgAKIQAK>mar 09 11:03:37 debian00 dovecot[1683]: imap-login: Login: user=<manolo>, method=PLAIN, rip=10.33.0.10, lip=10.33.0.2, mpid=1697, session=<XGrDz5otqAAKIQAK>

22/24


4.2 Envío y recepción de correo.Certificado para IMAPS

Configuración de la cuenta funcionando perfectamente.

23/24


5 FuentesServicios de Red e Internet, editorial Garcetahttps://www.fastmail.com/help/technical/ssltlsstarttls.html http://ubuntuforums.org/showthread.php?t=2051347 http://www.postfix.org/postconf.5.html http://postfixmail.com/blog/index.php/installing-dovecot-2-on-centos/ http://wiki2.dovecot.org/QuickConfiguration http://wiki2.dovecot.org/

v.17.2 @aula30x

24/24

http://wiki2.dovecot.org/

http://wiki2.dovecot.org/QuickConfiguration

http://postfixmail.com/blog/index.php/installing-dovecot-2-on-centos/

http://www.postfix.org/postconf.5.html

http://ubuntuforums.org/showthread.php?t=2051347

https://www.fastmail.com/help/technical/ssltlsstarttls.html

Postfix + Dovecotinformatica.etitudela.com/pub/aula30x/servicios_de_red/... · 2017. 2. 22. ·...

Documents

Transcript of Postfix + Dovecotinformatica.etitudela.com/pub/aula30x/servicios_de_red/... · 2017. 2. 22. ·...