Ceci est une ancienne révision du document !
Table des matières
Installer un serveur de mail authentifié
Installation de postfix en mode TLS permettant :
- la réception de mail pour un domaine donné
- l'envoi de mail pour les utilisateurs authentifiés du domaine
- et tout ca avec une authentification sécurisée SSL (TLS)
- les utilisateurs sont les utilisateurs système de la machine
Prérequis
L'installation se fait sur une debian lenny a jour. Tous les logiciels installés sont disponbles en paquet debian dans les depôts officiels. Ce tutorial est cependant adaptable à d'autres distributions.
Installation des paquets
apt-get install postfix libsasl2-2 libsasl2-modules sasl2-bin
Choisir le mode “Site internet” à l'installation de postfix, même si nous allons changer le fichier de configuration de postfix généré lors de cette installation.
Configuration initiale
On va supposer ici que votre domaine est mondomaine.com.
La machine enverra mail.mondomaine.com comme nom de serveur mail (et qui doit donc etre resolvable en DNS depuis le monde extérieur sous peine de voir vos mails refusés par les autres serveurs)
Les certificats SSL seront générés pour smtp.mondomaine.com
- fichier /etc/postfix/main.cf :
# Debian specific: Specifying a file name will cause the first # line of that file to be used as the name. The Debian default # is /etc/mailname. myorigin = /etc/mailname smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no # appending .domain is the MUA's job. append_dot_mydomain = no # Uncomment the next line to generate "delayed mail" warnings delay_warning_time = 4h readme_directory = no # TLS parameters smtpd_tls_cert_file=/etc/ssl/certs/smtp.mondomaine.com.crt smtpd_tls_key_file=/etc/ssl/private/smtp.mondomaine.com.key smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # auth smtp TLS smtpd_tls_security_level = may smtpd_tls_auth_only = yes smtpd_tls_received_header = yes # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = mail.mondomaine.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = mail.mondomaine.com, mondomaine.com, localhost relayhost = mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all # filtre les pieces jointes executables pour windows body_checks=regexp:/etc/postfix/windows_virus_checks mailbox_command = procmail -a "$EXTENSION" local_destination_concurrency_limit = 4 # ne pas mettre une bannière avec des indications sur le nom de votre serveur de courrier évite beaucoup de spam smtpd_banner = bienvenue sur mon serveur de courrier #evite les messages trop volumineux message_size_limit=16384000 #filtrage des MAIL FROM: sans < > autour de l'adresse email strict_rfc821_envelopes = yes # on rejete les mails des serveurs mal configurés en face en rendant le helo obligatoire (et etant un FQDN valide) smtpd_helo_required = yes # la table /etc/postfix/helo_access permet d'accepter/rejeter sur des patterns du HELO smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname smtpd_sasl_auth_enable = yes smtpd_sasl_authenticated_header = no smtpd_sasl_local_domain = smtpd_sasl_security_options = noanonymous broken_sasl_auth_clients = yes smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, permit_tls_clientcerts,reject_unauth_destination, reject_unauth_pipelining smtpd_sender_restrictions = permit_mynetworks, permit smtpd_client_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unauth_pipelining # voir http://www.postfix.org/postconf.5.html#reject_unauth_pipelining pour plus d'info smtpd_data_restrictions = reject_unauth_pipelining, permit # filtrage du contenu avec amavis (conteneur antivirus/antispam) : ne pas mettre cette ligne si vous n'avez pas installé/configuré ces logiciels content_filter=smtp-amavis:[127.0.0.1]:10024
- fichier “/etc/postfix/windows_virus_checks” :
#/^(Content-(Disposition: attachment;|Type:).*|\s+)(file)?name\s*=\s*"?.*\.(lnk|bat|c[ho]m|cmd|com|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh])"?\s*$/ REJECT /^begin [0-9]{1,4} .*\.(lnk|bat|c[ho]m|cmd|com|exe|dll|vxd|pif|scr|hta|jse?|sh[mbs]|vb[esx]|ws[fh])$/ REJECT
postmap /etc/postfix/windows_virus_checks
- fichier “/etc/postfix/helo_access” :
vous pouvez accepter/refuser des HELO spécifiques via ce fichierserveur.domaine-mal-configure-mais-ami.com OK localhost REJECT Get lost - you're lying about who you are localhost.localdomain REJECT Get lost - you're lying about who you are mail.mondomaine.com REJECT Get lost - you're lying about who you are smtp.mondomaine.com REJECT Get lost - you're lying about who you are
postmap /etc/postfix/helo_access
Configuration de l'authentification SASL
- Le demon d'authentification SASL (saslauthd) utilise des sockets UNIX pour communiquer avec les autres programmes. Comme Postfix tourne dans un environnement chrooté (dans “/var/spool/postfix/” en l'occurence), nous devons nous assurer que saslauthd et postfix peuvent communiquer. En d'autres mots : il faut demander a saslauthd de créer un socket quelque part dans l'environnement chrooté de postfix. Pour faire cela, éditer le fichier “/etc/default/saslauthd” et modifier comme suit :
- enlever le # devant
START=Yes
MECHANISMS="pam"
- changer la derniere ligne en
OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"
- pour dire a postfix d'utiliser saslauthd pour l'authentification
- créer le repertoire /etc/postfix/sasl avec les droits corrects :
mkdir /etc/postfix/sasl chown root:postfix /etc/postfix/sasl
- créer un fichier “smtpd.conf” dans ce répertoire /etc/postfix/sasl contenant :
pwcheck_method: saslauthd mech_list: PLAIN log_level: 5 saslauthd_path: /var/run/saslauthd/mux
- ajouter l'utilisateur postfix au groupe sasl :
adduser postfix sasl
Fin de l'installation
Il ne reste plus qu'a (re)démarrer tous ces services pour finir l'installation :
/etc/init.d/saslauthd restart /etc/init.d/postfix restart
Vous n'avez ensuite plus qu'a configurer votre client mail pour utiliser ce serveur SMTP en TLS.
Un peu plus loin
Eviter encore un peu les SPAMS
Dans la configuration choise, par défaut le nom de votre domaine apparait dans la banière de connexionn SMTP. Le spammeurs peuvent (en ne se gènent pas pour le faire :p ) donc vous envoyer des mails a n'importe-quoi@cedomaine, qui surchargeront inutilement votre serveur.
Une parade simple est donc de remplacer dans le fichier /etc/postfix/main.cf
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
par une valeur ne comportant pas $myhostname, comme par exemple :
smtpd_banner = bienvenue sur mon serveur de courrier