[postfix] Fill missing header fields.

Gmail requires a `MessageId` header field. However, not all clients
set this field and gmail reject emails. This commit instructs
`postfix` to add missing headers fields (eg. `MessageId`).

[opendkim] Lookup KeyTable and SigningTable with SQL.

See `man opendkim.conf` for more information on KeyTable and
SigningTable. `opendkim` connects to postgres via ::1/128.

[opendkim] Generate default configuration.

[dovecot] Structure the mailbox.

[dovecot] Enable virtual mailboxes.

Virtual mailboxes are mailboxes created for new users automatically
based on their credentials. Userdb lookups aren't necessary.
Directories for virtual mailboxes are owned by a single system
user (`vmail`). This commit enables virtual mailboxes in `dovecot`:
- Static userdb instead of SQL query.
- Username column as the primary key of the address book. It has to be
unique to prevent virtual mailboxes overlapping.

[dovecot] Ignore domain during authentication.

MacOS Mail App only sends username during login. It fails to
authenticate if `dovecot` checks the domain.

[dovecot] Authenticate users found in the address book.

Table `users` is an address book. User `dovecot` queries it to
authenticate clients and redirect email to mailboxes.

[databases] Define email address book.

`dovecot` and `postfix` can lookup user addresses in a SQL
table. Adding a new address means adding a new record.

[dovecot] Secure connections with TLS.

TLS connections need to be secured with SSL certificates. `dovecot`
generates self-signed SSL certificates. This commit switches `dovecot`
and `postfix` to SSL certificates signed by Let's Encrypt CA.

[dovecot] Restrict number of connections from the same IP.

[postgres] Generate default configuration.

[dovecot] Generate default configuration.

[postfix] Rewrite sender for outgoing email.

`myorigin` specifies the address of outgoing email (user@domain). It
defaults to `$myhostname = gethostname()`. This allows rewriting the
sender of outgoing email without changing configuration.

[postfix] Generate default configuration.

[fail2ban] Extend bans to 1 day.

[fail2ban] Log to `syslog`.

[fail2ban] Enable `sshd` jail.

[fail2ban] Generate default configuration.

[sshd] Document public-key and certificate-based authentication.

[sshd] Disable reverse DNS checks.

By default `sshd` compares the IP address of the client with the
result of a reverse DNS query for that address. However, many clients
do not have reverse DNS records. This commit disables the check.

[sshd] Omit additional configuration files.

[sshd] Limit the number of alive messages.

`sshd` keeps idle connection alive for `ClientAliveInterval` seconds
and then sends `ClientAliveCountMax` alive messages. If client does
not respond, `sshd` terminates the connection. This commit limits the
number of alive messages to 1.

Note: `ClientAliveCountMax` applies only to SSH protocol 2.

[sshd] Require SSH protocol 2.

SSH protocol 1 is an older version with known vulnerabilities. This
commit requires `sshd` to use only the newer SSH protocol 2.

[sshd] Disable root login.

`PermitRootLogin` is set by default to `yes`.

[sshd] Listen on a non-standard port.

By default `sshd` listens on port 22. Most attack scripts are written
for this configuration. This commit changes the port to 72, which is
not used by any other popular service.

[sshd] Disable password authentication.

Client can authenticate with `sshd` through one of following
authentication methods (corresponding sshd_config option in brackets):
- host-based (`HostbasedAuthentication`),
- public key (`PubkeyAuthentication`),
- challenge-response (`ChallengeResponseAuthentication`),
- password (`PasswordAuthentication`).

By default, only `PubkeyAuthentication` and `PasswordAuthentication`
are enabled. This commit disables `PasswordAuthentication`. Users
can now login only using public key authentication.

[sshd] Generate default configuration.

Describe the repository in a README.