Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:mail [2015/01/26 14:05] – [Postgrey] bertrand.bonnefoy-claudet
+++ admin:services:mail [2017/02/26 14:46] – [DKIM] Revert non-typo (chemin relatif au chroot…) david.sinquin
@@ Ligne 9: / Ligne 9: @@
 ===== Postfix =====
-  # aptitude install postfix
+  # apt install postfix
 Sur hexagon, configurer Postfix en tant que serveur mail Internet pour le domaine **federez.net** :
@@ Ligne 26: / Ligne 26: @@
 ===== Postgrey =====
-  aptitude install postgrey
+Postgrey semble peu efficace, il n'est donc pas installé sur dodecagon. Ce qui suit pourra être effacé après migration à l'exception de la configuration de ```smtpd_recipient_restrictions```.
+  apt install postgrey
 Dans ''/etc/default/postgrey'' :
@@ Ligne 45: / Ligne 47: @@
 Installer les trois programmes et les extensions leur permettant d'analyser les emails :
-  # aptitude install amavisd-new clamav clamav-daemon clamav-freshclam
+  # apt install amavisd-new clamav clamav-daemon clamav-freshclam \
-  # aptitude install spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl
+  #     spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl \
-  # aptitude install lha arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip lha zoo
+  #     lhasa arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip zoo
 Dans ''/etc/postfix/master.cf'', spécifier un service **amavisfeed** pour transmettre des messages à amavis et un service d'écoute sur le port 10025 pour récupérer les emails filtrés :
@@ Ligne 118: / Ligne 120: @@
 Installer OpenDKIM et ses outils (pour la génération de clé) :
-  aptitude install opendkim opendkim-tools
+  apt install opendkim opendkim-tools
 Générer une clé pour hexagon :
-  opendkim-genkey -b 2048 -h sha256 -s hexagon
+  opendkim-genkey -a -b 3072 -h sha256 -s hexagon
 Le fichier généré ''hexagon.txt'' contient l'enregistrement à ajouter à la zone DNS, qu'il faut adapter pour respecter la limite de longueur :
@@ Ligne 146: / Ligne 148: @@
   chmod a-w /etc/dkim/hexagon.private
-Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim/opendkim.conf'' :
+Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim.conf'' :
   Domain federez.net
@@ Ligne 164: / Ligne 166: @@
   usermod -g mail opendkim
+Ajouter ensuite postfix au groupe mail :
+  adduser postfix mail
 Enfin, configurer Postfix dans ''/etc/postfix/main.cf'' :
   milter_default_action = accept
-  smtpd_milters = unix:/var/run/opendkim/opendkim.sock
+  smtpd_milters = unix:/var/run/opendkim/opendkim.sock # Chemin relatif au chroot
   non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
@@ Ligne 179: / Ligne 184: @@
 Installer SASL :
-  aptitude install sasl2-bin
+  apt install sasl2-bin
 Dans ''/etc/default/saslauthd'', permettre le démarrage du démon, choisir le mécanisme **ldap** et choisir un répertoire dans le chroot de Postfix pour que ce dernier puisse accéder au socket unix de **saslauthd** :
@@ Ligne 217: / Ligne 222: @@
     -o smtpd_client_restrictions=permit_sasl_authenticated,reject
     -o milter_macro_daemon_name=ORIGINATING
+===== Boîtes mail =====
+Pour permettre de récupérer ses mails en IMAPS, on installe dovecot :
+  apt install 'dovecot-(core|imapd|ldap)'
+Pour n'écouter que sur le port IMAPS (donc avec une connexion en TLS) on crée ''/etc/dovecot/local.conf'' avec :
+<file bash /etc/dovecot/local.conf>
+# On force IMAP en TLS dès le début de la connexion
+service imap-login {
+    inet_listener imap {
+        port=0
+    }
+}
+</file>
+Ensuite, on édite des fichiers dans ''/etc/dovecot/conf.d/'' pour avoir :
+<file bash /etc/dovecot/conf.d/10-auth.conf>
+auth_mechanisms = plain login
+</file>
+<file bash /etc/dovecot/conf.d/10-mail.conf>
+mail_location = maildir:~/Maildir
+</file>
+<file bash /etc/dovecot/conf.d/10-master.conf>
+service auth {
+        unix_listener /var/spool/postfix/private/auth {
+                mode = 0660
+                user = postfix
+                group = postfix
+        }
+}
+</file>
+<file bash /etc/dovecot/conf.d/10-ssl.conf>
+ssl = required
+ssl_cert = </etc/letsencrypt/live/federez.net/fullchain.pem
+ssl_key = </etc/letsencrypt/live/federez.net/privkey.pem
+ssl_dh_parameters_length = 3072
+ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1
+ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
+ssl_prefer_server_ciphers = yes
+</file>
+On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans ''/etc/postfix/main.cf'' :
+  home_mailbox = Maildir/
+On configurera pour finir fail2ban pour bannir ceux qui ferraient trop d'échecs de connexions (pour dovecot, et, si ce n'est pas déjà fait, pour postfix et sasl).