Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
sysadmin:install_postfix_sasl [2014/10/18 17:22] james [Configuration initiale] ajout exclusion SSLv3 |
sysadmin:install_postfix_sasl [2020/06/25 00:19] (Version actuelle) james [Configuration initiale] ajout permit_sasl_authenticated dans les helo_restrictions |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>smtp mail serveur howto install auth sasl postfix ipv6}} | + | {{tag>smtp mail serveur howto installation auth sasl postfix ipv6}} |
====== Installer un serveur de mail authentifié ====== | ====== Installer un serveur de mail authentifié ====== | ||
Ligne 52: | Ligne 52: | ||
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache | smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache | ||
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache | smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache | ||
+ | smtpd_tls_mandatory_ciphers = medium | ||
+ | tls_medium_cipherlist = AES128+EECDH:AES128+EDH | ||
# auth smtp TLS | # auth smtp TLS | ||
Ligne 86: | Ligne 88: | ||
smtpd_helo_required = yes | smtpd_helo_required = yes | ||
# la table /etc/postfix/helo_access permet d'accepter/rejeter sur des patterns du HELO | # la table /etc/postfix/helo_access permet d'accepter/rejeter sur des patterns du HELO | ||
- | smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname | + | # on autorise les clients authentifiés si le helo n'est pas interdit dans la table helo_access |
+ | smtpd_helo_restrictions = permit_mynetworks, check_helo_access hash:/etc/postfix/helo_access, | ||
+ | permit_sasl_authenticated, | ||
+ | reject_invalid_hostname, reject_non_fqdn_hostname, reject_unknown_hostname | ||
smtpd_sasl_auth_enable = yes | smtpd_sasl_auth_enable = yes | ||
Ligne 109: | Ligne 114: | ||
#content_filter=amavisfeed:[127.0.0.1]:10024 | #content_filter=amavisfeed:[127.0.0.1]:10024 | ||
- | # 20141014 - faille poodle surSSLv3 : on l'exclut (SSLv2 exclus par defaut) | + | # exlusion des protocoles pourris |
- | smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 | + | smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 |
+ | smtpd_tls_protocols=!SSLv2,!SSLv3,!TLSv1,!TLSv1.1 | ||
</code> | </code> | ||
Ligne 186: | Ligne 192: | ||
inet_protocols = ipv4, ipv6 | inet_protocols = ipv4, ipv6 | ||
</code> | </code> | ||
+ | <note>Attention ceci n'est pas une liste par ordre de préférence, mais une liste tout court : le paramètre réel de préférence est [[http://www.postfix.org/postconf.5.html#smtp_address_preference|smtp_address_preference]] ... mais en fait ca n'est pas une préférence non plus : on peut forcer soit ipv4, soit ipv6 mais avec une valeur à //any// postfix utilise au choix ipv4 ou ipv6 en alternance selon son humeur et l'alignement des planètes</note> | ||
* adapter la directive de configuration mynetworks dans ce fichier en y ajoutant les reseaux IPv6 entre crochets, en plus des IPv4, comme par exemple :<code> | * adapter la directive de configuration mynetworks dans ce fichier en y ajoutant les reseaux IPv6 entre crochets, en plus des IPv4, comme par exemple :<code> | ||
mynetworks = 127.0.0.0/8 [::1]/128, 192.168.0.0/24 [2a01:e32:833f:e2a:2::]/112 192.168.1.0/24 [2a01:e32:833f:e2a:3::]/112 192.168.2.0/24 [2a01:e32:833f:e2a:4::]/112 192.168.3.0/24 | mynetworks = 127.0.0.0/8 [::1]/128, 192.168.0.0/24 [2a01:e32:833f:e2a:2::]/112 192.168.1.0/24 [2a01:e32:833f:e2a:3::]/112 192.168.2.0/24 [2a01:e32:833f:e2a:4::]/112 192.168.3.0/24 | ||
Ligne 205: | Ligne 212: | ||
<note>Il faut bien sur adapter ces adresses pour mettre les vôtres</note> | <note>Il faut bien sur adapter ces adresses pour mettre les vôtres</note> | ||
+ | ===== Toujours un peu plus loin : contourner le blocage du port 25 chez tout plein de FAI ===== | ||
+ | |||
+ | Pour lutter contre le spam plein de FAI ont l'extreme bonne idée de bloquer le port 25 en sortie depuis leur réseau vers les autres. | ||
+ | C'est une bonne idée qui ne vous permet plus en revanche d'utiliser votre serveur de mail pour envoyer des mails depuis votre thunderbird fétiche lorsque vous vous déplacez ;). | ||
+ | |||
+ | Du coup on va utiliser le port "submission" (587) sur lequel on va exiger une authentification pour nous permettre d'envoyer nos mails. | ||
+ | |||
+ | Cette configuration s'effectue dans le fichier /etc/postfix/main.cf : décommenter/ajouter les lignes suivantes :<code> | ||
+ | submission inet n - - - - smtpd | ||
+ | -o smtpd_tls_security_level=encrypt | ||
+ | -o smtpd_sasl_auth_enable=yes | ||
+ | -o smtpd_client_restrictions=permit_sasl_authenticated,reject | ||
+ | -o milter_macro_daemon_name=ORIGINATING | ||
+ | -o syslog_name=postfix/submission | ||
+ | </code> | ||
+ | <note>On voit que l'on passe certaines options comme exiger l’authentification mais aussi un syslog_name explicite pour clarifier les logs</note> | ||
+ | |||
+ | Il ne reste plus ensuite qu'à redémarrer postfix : <code># /etc/init.d/postfix restart</code> | ||
+ | On eut ensuite vérifier qu'il écoute bien sur le port 587 avec netstat, ce qui devrait vous donner un résultat similaire à :<code> | ||
+ | # netstat -tulpen | grep master | ||
+ | tcp 0 0 127.0.0.1:10025 0.0.0.0:* LISTEN 0 179608558 28748/master | ||
+ | tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 0 179608461 28748/master | ||
+ | tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 0 179608453 28748/master | ||
+ | tcp6 0 0 :::587 :::* LISTEN 0 179608463 28748/master | ||
+ | tcp6 0 0 :::25 :::* LISTEN 0 179608455 28748/master | ||
+ | </code> | ||
+ | |||
+ | Une fois votre firewall troué sur ce port 587, vous devriez être capable modulo une configuration de votre client mail (changer le port 25 que vous deviez avoir par ce nouveau port 587 concernant le SMTP sortant) d'envoyer des mails depuis n'importe quel FAI | ||
+ | |||
+ | ===== Références ===== | ||
+ | * http://fr.wikipedia.org/wiki/Simple_Mail_Transfer_Protocol | ||
+ | * http://postfix.1071664.n5.nabble.com/smtp-address-preference-td50985.html |