[postfix] Authenticate with dovecot SASL.

`postfix` authenticates MAIL FROM and RCPT TO addresses. This commit
routes this authentication through `dovecot` SASL. It queries the
address book for credentials.

[postfix] Deliver to addresses found in the address book.

`postfix` relays to local mailbox only if the RCPT TO domain can be
found in `$mydestination` and RCPT TO address can be found in
`$alias_maps`. This commit sets these variables to query the address
book.

[postfix] Relay incoming email to `dovecot` through LMTP.

Local Mail Transfer Protocol (LMTP) is a protocol for transfering
local email.

[dovecot] Document SPF and DMARC DNS records.

SPF DNS records specify which IP addresses may send email on behalf of
the domain. DMARC DNS records specify what happens when mail cannot be
delivered.

[postfix] Filter messages with OpenDKIM.

[opendkim] Listen on localhost:8891.

[opendkim] Require header fields.

[postfix] Fill missing header fields.

Gmail requires a `MessageId` header field. However, not all clients
set this field and gmail reject emails. This commit instructs
`postfix` to add missing headers fields (eg. `MessageId`).

[opendkim] Lookup KeyTable and SigningTable with SQL.

See `man opendkim.conf` for more information on KeyTable and
SigningTable. `opendkim` connects to postgres via ::1/128.

[opendkim] Generate default configuration.

[dovecot] Structure the mailbox.

[dovecot] Enable virtual mailboxes.

Virtual mailboxes are mailboxes created for new users automatically
based on their credentials. Userdb lookups aren't necessary.
Directories for virtual mailboxes are owned by a single system
user (`vmail`). This commit enables virtual mailboxes in `dovecot`:
- Static userdb instead of SQL query.
- Username column as the primary key of the address book. It has to be
unique to prevent virtual mailboxes overlapping.

[dovecot] Ignore domain during authentication.

MacOS Mail App only sends username during login. It fails to
authenticate if `dovecot` checks the domain.

[dovecot] Authenticate users found in the address book.

Table `users` is an address book. User `dovecot` queries it to
authenticate clients and redirect email to mailboxes.

[databases] Define email address book.

`dovecot` and `postfix` can lookup user addresses in a SQL
table. Adding a new address means adding a new record.

[dovecot] Secure connections with TLS.

TLS connections need to be secured with SSL certificates. `dovecot`
generates self-signed SSL certificates. This commit switches `dovecot`
and `postfix` to SSL certificates signed by Let's Encrypt CA.

[dovecot] Restrict number of connections from the same IP.

[postgres] Generate default configuration.

[dovecot] Generate default configuration.

[postfix] Rewrite sender for outgoing email.

`myorigin` specifies the address of outgoing email (user@domain). It
defaults to `$myhostname = gethostname()`. This allows rewriting the
sender of outgoing email without changing configuration.

[postfix] Generate default configuration.

[fail2ban] Extend bans to 1 day.

[fail2ban] Log to `syslog`.

[fail2ban] Enable `sshd` jail.

[fail2ban] Generate default configuration.

[sshd] Document public-key and certificate-based authentication.

[sshd] Disable reverse DNS checks.

By default `sshd` compares the IP address of the client with the
result of a reverse DNS query for that address. However, many clients
do not have reverse DNS records. This commit disables the check.

[sshd] Omit additional configuration files.

[sshd] Limit the number of alive messages.

`sshd` keeps idle connection alive for `ClientAliveInterval` seconds
and then sends `ClientAliveCountMax` alive messages. If client does
not respond, `sshd` terminates the connection. This commit limits the
number of alive messages to 1.

Note: `ClientAliveCountMax` applies only to SSH protocol 2.

[sshd] Require SSH protocol 2.

SSH protocol 1 is an older version with known vulnerabilities. This
commit requires `sshd` to use only the newer SSH protocol 2.

[sshd] Disable root login.

`PermitRootLogin` is set by default to `yes`.

[sshd] Listen on a non-standard port.

By default `sshd` listens on port 22. Most attack scripts are written
for this configuration. This commit changes the port to 72, which is
not used by any other popular service.

[sshd] Disable password authentication.

Client can authenticate with `sshd` through one of following
authentication methods (corresponding sshd_config option in brackets):
- host-based (`HostbasedAuthentication`),
- public key (`PubkeyAuthentication`),
- challenge-response (`ChallengeResponseAuthentication`),
- password (`PasswordAuthentication`).

By default, only `PubkeyAuthentication` and `PasswordAuthentication`
are enabled. This commit disables `PasswordAuthentication`. Users
can now login only using public key authentication.

[sshd] Generate default configuration.

Describe the repository in a README.