Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:mail [2017/02/23 22:11] – [amavisd-new, SpamAssassin et ClamAV] david.sinquin
+++ admin:services:mail [2017/02/26 16:26] (Version actuelle) – [Postfix] helo_access david.sinquin
@@ Ligne 24: / Ligne 24: @@
   Internet protocols to use: all
+Pour limiter le spam, on refuse les messages provenant de serveurs trop mal configurés (ou de pc infectés le plus souvent), et on définie la taille maximale autorisée pour les mails en ajoutant à ''/etc/postfix/main.cf'' :
+  smtpd_helo_required = yes
+  smtpd_helo_restrictions =
+        permit_mynetworks,
+        permit_sasl_authenticated,
+        reject_invalid_helo_hostname,
+        reject_unknown_helo_hostname,
+        check_helo_access hash:/etc/postfix/helo_access
+  message_size_limit = 40960000
+On crée également un fichier pour interdire les mails envoyés au nom de federez en créant ''/etc/postfix/helo_access'' avec :
+<file - /etc/postfix/helo_access>
+federez.net          REJECT          Get lost - you're lying about who you are
+</file>
+puis on le convertit en base pour postfix avec :
+  postmap /etc/postfix/helo_access
 ===== Postgrey =====
@@ Ligne 124: / Ligne 140: @@
 Générer une clé pour hexagon :
-  opendkim-genkey -b 2048 -h sha256 -s hexagon
+  opendkim-genkey -a -b 3072 -h sha256 -s hexagon
 Le fichier généré ''hexagon.txt'' contient l'enregistrement à ajouter à la zone DNS, qu'il faut adapter pour respecter la limite de longueur :
@@ Ligne 148: / Ligne 164: @@
   chmod a-w /etc/dkim/hexagon.private
-Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim/opendkim.conf'' :
+Configurer OpenDKIM pour cette clé et ce domaine, dans ''/etc/opendkim.conf'' :
   Domain federez.net
@@ Ligne 166: / Ligne 182: @@
   usermod -g mail opendkim
+Ajouter ensuite postfix au groupe mail :
+  adduser postfix mail
 Enfin, configurer Postfix dans ''/etc/postfix/main.cf'' :
   milter_default_action = accept
-  smtpd_milters = unix:/var/run/opendkim/opendkim.sock
+  smtpd_milters = unix:/var/run/opendkim/opendkim.sock # Chemin relatif au chroot
   non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
@@ Ligne 219: / Ligne 238: @@
     -o smtpd_client_restrictions=permit_sasl_authenticated,reject
     -o milter_macro_daemon_name=ORIGINATING
+===== Boîtes mail =====
+Pour permettre de récupérer ses mails en IMAPS, on installe dovecot :
+  apt install 'dovecot-(core|imapd|ldap)'
+Pour n'écouter que sur le port IMAPS (donc avec une connexion en TLS) on crée ''/etc/dovecot/local.conf'' avec :
+<file bash /etc/dovecot/local.conf>
+# On force IMAP en TLS dès le début de la connexion
+service imap-login {
+    inet_listener imap {
+        port=0
+    }
+}
+</file>
+Ensuite, on édite des fichiers dans ''/etc/dovecot/conf.d/'' pour avoir :
+<file bash /etc/dovecot/conf.d/10-auth.conf>
+auth_mechanisms = plain login
+</file>
+<file bash /etc/dovecot/conf.d/10-mail.conf>
+mail_location = maildir:~/Maildir
+</file>
+<file bash /etc/dovecot/conf.d/10-master.conf>
+service auth {
+        unix_listener /var/spool/postfix/private/auth {
+                mode = 0660
+                user = postfix
+                group = postfix
+        }
+}
+</file>
+<file bash /etc/dovecot/conf.d/10-ssl.conf>
+ssl = required
+ssl_cert = </etc/letsencrypt/live/federez.net/fullchain.pem
+ssl_key = </etc/letsencrypt/live/federez.net/privkey.pem
+ssl_dh_parameters_length = 3072
+ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1
+ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
+ssl_prefer_server_ciphers = yes
+</file>
+On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans ''/etc/postfix/main.cf'' :
+  home_mailbox = Maildir/
+On configurera pour finir fail2ban pour bannir ceux qui ferraient trop d'échecs de connexions (pour dovecot, et, si ce n'est pas déjà fait, pour postfix et sasl).