admin:services:mail
Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédenteProchaine révisionLes deux révisions suivantes | ||
admin:services:mail [2015/01/25 14:12] – refonte pour une page plus claire bertrand.bonnefoy-claudet | admin:services:mail [2017/02/26 14:46] – [DKIM] Revert non-typo (chemin relatif au chroot…) david.sinquin | ||
---|---|---|---|
Ligne 3: | Ligne 3: | ||
====== Serveur email ====== | ====== Serveur email ====== | ||
- | Le serveur mail de FedeRez est [[http:// | + | Le serveur mail de FedeRez est [[http:// |
Ce serveur gère aussi les [[admin: | Ce serveur gère aussi les [[admin: | ||
- | ===== Installation | + | ===== Postfix |
- | # aptitude | + | # apt install postfix |
- | # aptitude install amavisd-new clamav clamav-daemon clamav-freshclam | + | |
- | # aptitude install spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl | + | |
- | # aptitude install lha arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip lha zoo | + | |
| | ||
- | ===== Postfix | + | Sur hexagon, configurer |
# dpkg-reconfigure postfix | # dpkg-reconfigure postfix | ||
Ligne 28: | Ligne 25: | ||
===== Postgrey ===== | ===== Postgrey ===== | ||
+ | |||
+ | Postgrey semble peu efficace, il n'est donc pas installé sur dodecagon. Ce qui suit pourra être effacé après migration à l' | ||
+ | |||
+ | apt install postgrey | ||
Dans ''/ | Dans ''/ | ||
Ligne 36: | Ligne 37: | ||
Dans ''/ | Dans ''/ | ||
- | # postgrey | ||
smtpd_recipient_restrictions = permit_mynetworks, | smtpd_recipient_restrictions = permit_mynetworks, | ||
| | ||
Ligne 42: | Ligne 42: | ||
| | ||
+ | Vérifier que '' | ||
+ | ===== amavisd-new, | ||
- | La whitelist est dans ''/ | + | Installer les trois programmes et les extensions leur permettant d'analyser les emails : |
- | Tout relancer : | + | |
- | + | # spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl \ | |
- | | + | # lhasa arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip zoo |
- | # / | + | |
- | # / | + | |
- | + | ||
- | ===== amavisd-new, SpamAssassin et ClamAV ===== | + | |
- | Dans ''/ | + | Dans ''/ |
# amavisd-new | # amavisd-new | ||
Ligne 98: | Ligne 96: | ||
Dans ''/ | Dans ''/ | ||
- | @local_domains_acl = ( " | + | @local_domains_acl = ( " |
Dans ''/ | Dans ''/ | ||
Ligne 117: | Ligne 115: | ||
# / | # / | ||
# / | # / | ||
+ | |||
+ | ===== DKIM ===== | ||
+ | |||
+ | Installer OpenDKIM et ses outils (pour la génération de clé) : | ||
+ | |||
+ | apt install opendkim opendkim-tools | ||
+ | |||
+ | Générer une clé pour hexagon : | ||
+ | |||
+ | opendkim-genkey -a -b 3072 -h sha256 -s hexagon | ||
+ | |||
+ | Le fichier généré '' | ||
+ | |||
+ | < | ||
+ | hexagon._domainkey TXT (" | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | " | ||
+ | </ | ||
+ | |||
+ | Pendant la mise en place, il est recommandé de lui affecter un petit TTL et l' | ||
+ | |||
+ | L' | ||
+ | |||
+ | mv hexagon.private /etc/dkim | ||
+ | chown opendkim: / | ||
+ | chmod a-w / | ||
+ | |||
+ | Configurer OpenDKIM pour cette clé et ce domaine, dans ''/ | ||
+ | |||
+ | Domain federez.net | ||
+ | KeyFile / | ||
+ | Selector hexagon | ||
+ | |||
+ | Pour communiquer avec Postfix, utiliser un socket unix dans son chroot : | ||
+ | |||
+ | mkdir -p / | ||
+ | chown opendkim: / | ||
+ | |||
+ | Le chemin du socket est configuré dans ''/ | ||
+ | |||
+ | SOCKET=" | ||
+ | |||
+ | Comme suggéré dans ''/ | ||
+ | |||
+ | usermod -g mail opendkim | ||
+ | |||
+ | Ajouter ensuite postfix au groupe mail : | ||
+ | adduser postfix mail | ||
+ | |||
+ | Enfin, configurer Postfix dans ''/ | ||
+ | |||
+ | milter_default_action = accept | ||
+ | smtpd_milters = unix:/ | ||
+ | non_smtpd_milters = unix:/ | ||
+ | |||
+ | L' | ||
+ | |||
+ | ===== Envoi authentifié d' | ||
+ | |||
+ | Postfix peut authentifier des clients et leur permettre de relayer des emails sortants avec l' | ||
+ | |||
+ | Installer SASL : | ||
+ | |||
+ | apt install sasl2-bin | ||
+ | |||
+ | Dans ''/ | ||
+ | |||
+ | START=yes | ||
+ | MECHANISMS=" | ||
+ | OPTIONS=" | ||
+ | |||
+ | Indiquer à Debian le nouveau répertoire et ajouter **postfix** au groupe **sasl** pour l' | ||
+ | |||
+ | dpkg-statoverride --add root sasl 750 / | ||
+ | gpasswd -a postfix sasl | ||
+ | |||
+ | Configurer la connexion au serveur LDAP, dans ''/ | ||
+ | |||
+ | ldap_servers: | ||
+ | ldap_start_tls: | ||
+ | ldap_tls_check_peer: | ||
+ | ldap_search_base: | ||
+ | ldap_filter: | ||
+ | ldap_bind_dn: | ||
+ | ldap_password: | ||
+ | |||
+ | Un compte de service LDAP a été créé pour permettre à **saslauthd** d' | ||
+ | |||
+ | Configurer Postfix pour l' | ||
+ | |||
+ | pwcheck_method: | ||
+ | mech_list: PLAIN LOGIN | ||
+ | |||
+ | Activer le service **submission** avec authentification SASL, dans ''/ | ||
+ | |||
+ | submission inet n | ||
+ | -o syslog_name=postfix/ | ||
+ | -o smtpd_tls_security_level=encrypt | ||
+ | -o smtpd_sasl_auth_enable=yes | ||
+ | -o smtpd_client_restrictions=permit_sasl_authenticated, | ||
+ | -o milter_macro_daemon_name=ORIGINATING | ||
+ | |||
+ | ===== Boîtes mail ===== | ||
+ | |||
+ | Pour permettre de récupérer ses mails en IMAPS, on installe dovecot : | ||
+ | apt install ' | ||
+ | |||
+ | Pour n' | ||
+ | <file bash / | ||
+ | # On force IMAP en TLS dès le début de la connexion | ||
+ | service imap-login { | ||
+ | inet_listener imap { | ||
+ | port=0 | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Ensuite, on édite des fichiers dans ''/ | ||
+ | <file bash / | ||
+ | auth_mechanisms = plain login | ||
+ | </ | ||
+ | |||
+ | <file bash / | ||
+ | mail_location = maildir: | ||
+ | </ | ||
+ | |||
+ | <file bash / | ||
+ | service auth { | ||
+ | unix_listener / | ||
+ | mode = 0660 | ||
+ | user = postfix | ||
+ | group = postfix | ||
+ | } | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | <file bash / | ||
+ | ssl = required | ||
+ | |||
+ | ssl_cert = </ | ||
+ | ssl_key = </ | ||
+ | |||
+ | ssl_dh_parameters_length = 3072 | ||
+ | |||
+ | ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1 | ||
+ | |||
+ | ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305: | ||
+ | |||
+ | ssl_prefer_server_ciphers = yes | ||
+ | </ | ||
+ | |||
+ | On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans ''/ | ||
+ | home_mailbox = Maildir/ | ||
+ | |||
+ | On configurera pour finir fail2ban pour bannir ceux qui ferraient trop d' |
admin/services/mail.txt · Dernière modification : 2017/02/26 16:26 de david.sinquin