Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:mail [2015/01/26 14:02] – réorganisation de quelques directives bertrand.bonnefoy-claudet
+++ admin:services:mail [2017/02/26 16:26] (Version actuelle) – [Postfix] helo_access david.sinquin
@@ Ligne 9: / Ligne 9: @@
 ===== Postfix =====
-  # aptitude install postfix
+  # apt install postfix
 Sur hexagon, configurer Postfix en tant que serveur mail Internet pour le domaine **federez.net** :
@@ Ligne 24: / Ligne 24: @@
   Internet protocols to use: all
+Pour limiter le spam, on refuse les messages provenant de serveurs trop mal configurés (ou de pc infectés le plus souvent), et on définie la taille maximale autorisée pour les mails en ajoutant à ''/etc/postfix/main.cf'' :
+  smtpd_helo_required = yes
+  smtpd_helo_restrictions =
+        permit_mynetworks,
+        permit_sasl_authenticated,
+        reject_invalid_helo_hostname,
+        reject_unknown_helo_hostname,
+        check_helo_access hash:/etc/postfix/helo_access
+  message_size_limit = 40960000
+On crée également un fichier pour interdire les mails envoyés au nom de federez en créant ''/etc/postfix/helo_access'' avec :
+<file - /etc/postfix/helo_access>
+federez.net          REJECT          Get lost - you're lying about who you are
+</file>
+puis on le convertit en base pour postfix avec :
+  postmap /etc/postfix/helo_access
 ===== Postgrey =====
-  aptitude install postgrey
+Postgrey semble peu efficace, il n'est donc pas installé sur dodecagon. Ce qui suit pourra être effacé après migration à l'exception de la configuration de ```smtpd_recipient_restrictions```.
+  apt install postgrey
 Dans ''/etc/default/postgrey'' :
@@ Ligne 35: / Ligne 53: @@
 Dans ''/etc/postfix/main.cf'' :
-  # postgrey
   smtpd_recipient_restrictions = permit_mynetworks,
                                  permit_sasl_authenticated,
@@ Ligne 41: / Ligne 58: @@
                                  check_policy_service inet:127.0.0.1:10023
+Vérifier que ''hostmaster@'' et ''postmaster@'' sont bien listés dans ''/etc/postgrey/whitelist_recipients''.
-La whitelist est dans ''/etc/postgrey/whitelist_clients''.
 ===== amavisd-new, SpamAssassin et ClamAV =====
 Installer les trois programmes et les extensions leur permettant d'analyser les emails :
-  # aptitude install amavisd-new clamav clamav-daemon clamav-freshclam
+  # apt install amavisd-new clamav clamav-daemon clamav-freshclam \
-  # aptitude install spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl
+  #     spamassassin bzip2 libnet-ph-perl libnet-snpp-perl libnet-telnet-perl \
-  # aptitude install lha arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip lha zoo
+  #     lhasa arj rar unrar unrar-free nomarch lzop cabextract razor pyzor p7zip-full pax zip unzip zoo
 Dans ''/etc/postfix/master.cf'', spécifier un service **amavisfeed** pour transmettre des messages à amavis et un service d'écoute sur le port 10025 pour récupérer les emails filtrés :
@@ Ligne 121: / Ligne 136: @@
 Installer OpenDKIM et ses outils (pour la génération de clé) :
-  aptitude install opendkim opendkim-tools
+  apt install opendkim opendkim-tools
 Générer une clé pour hexagon :
-  opendkim-genkey -b 2048 -h sha256 -s hexagon
+  opendkim-genkey -a -b 3072 -h sha256 -s hexagon
 Le fichier généré ''hexagon.txt'' contient l'enregistrement à ajouter à la zone DNS, qu'il faut adapter pour respecter la limite de longueur :
@@ Ligne 149: / Ligne 164: @@
   chmod a-w /etc/dkim/hexagon.private
-Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim/opendkim.conf'' :
+Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim.conf'' :
   Domain federez.net
@@ Ligne 167: / Ligne 182: @@
   usermod -g mail opendkim
+Ajouter ensuite postfix au groupe mail :
+  adduser postfix mail
 Enfin, configurer Postfix dans ''/etc/postfix/main.cf'' :
   milter_default_action = accept
-  smtpd_milters = unix:/var/run/opendkim/opendkim.sock
+  smtpd_milters = unix:/var/run/opendkim/opendkim.sock # Chemin relatif au chroot
   non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
@@ Ligne 182: / Ligne 200: @@
 Installer SASL :
-  aptitude install sasl2-bin
+  apt install sasl2-bin
 Dans ''/etc/default/saslauthd'', permettre le démarrage du démon, choisir le mécanisme **ldap** et choisir un répertoire dans le chroot de Postfix pour que ce dernier puisse accéder au socket unix de **saslauthd** :
@@ Ligne 220: / Ligne 238: @@
     -o smtpd_client_restrictions=permit_sasl_authenticated,reject
     -o milter_macro_daemon_name=ORIGINATING
+===== Boîtes mail =====
+Pour permettre de récupérer ses mails en IMAPS, on installe dovecot :
+  apt install 'dovecot-(core|imapd|ldap)'
+Pour n'écouter que sur le port IMAPS (donc avec une connexion en TLS) on crée ''/etc/dovecot/local.conf'' avec :
+<file bash /etc/dovecot/local.conf>
+# On force IMAP en TLS dès le début de la connexion
+service imap-login {
+    inet_listener imap {
+        port=0
+    }
+}
+</file>
+Ensuite, on édite des fichiers dans ''/etc/dovecot/conf.d/'' pour avoir :
+<file bash /etc/dovecot/conf.d/10-auth.conf>
+auth_mechanisms = plain login
+</file>
+<file bash /etc/dovecot/conf.d/10-mail.conf>
+mail_location = maildir:~/Maildir
+</file>
+<file bash /etc/dovecot/conf.d/10-master.conf>
+service auth {
+        unix_listener /var/spool/postfix/private/auth {
+                mode = 0660
+                user = postfix
+                group = postfix
+        }
+}
+</file>
+<file bash /etc/dovecot/conf.d/10-ssl.conf>
+ssl = required
+ssl_cert = </etc/letsencrypt/live/federez.net/fullchain.pem
+ssl_key = </etc/letsencrypt/live/federez.net/privkey.pem
+ssl_dh_parameters_length = 3072
+ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1
+ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
+ssl_prefer_server_ciphers = yes
+</file>
+On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans ''/etc/postfix/main.cf'' :
+  home_mailbox = Maildir/
+On configurera pour finir fail2ban pour bannir ceux qui ferraient trop d'échecs de connexions (pour dovecot, et, si ce n'est pas déjà fait, pour postfix et sasl).