Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:services:mail [2017/02/24 00:49] – [Boîtes mail] Ajout section david.sinquin
+++ admin:services:mail [2017/02/26 16:26] (Version actuelle) – [Postfix] helo_access david.sinquin
@@ Ligne 24: / Ligne 24: @@
   Internet protocols to use: all
+Pour limiter le spam, on refuse les messages provenant de serveurs trop mal configurés (ou de pc infectés le plus souvent), et on définie la taille maximale autorisée pour les mails en ajoutant à ''/etc/postfix/main.cf'' :
+  smtpd_helo_required = yes
+  smtpd_helo_restrictions =
+        permit_mynetworks,
+        permit_sasl_authenticated,
+        reject_invalid_helo_hostname,
+        reject_unknown_helo_hostname,
+        check_helo_access hash:/etc/postfix/helo_access
+  message_size_limit = 40960000
+On crée également un fichier pour interdire les mails envoyés au nom de federez en créant ''/etc/postfix/helo_access'' avec :
+<file - /etc/postfix/helo_access>
+federez.net          REJECT          Get lost - you're lying about who you are
+</file>
+puis on le convertit en base pour postfix avec :
+  postmap /etc/postfix/helo_access
 ===== Postgrey =====
@@ Ligne 166: / Ligne 182: @@
   usermod -g mail opendkim
+Ajouter ensuite postfix au groupe mail :
+  adduser postfix mail
 Enfin, configurer Postfix dans ''/etc/postfix/main.cf'' :
   milter_default_action = accept
-  smtpd_milters = unix:/var/run/opendkim/opendkim.sock
+  smtpd_milters = unix:/var/run/opendkim/opendkim.sock # Chemin relatif au chroot
   non_smtpd_milters = unix:/var/run/opendkim/opendkim.sock
@@ Ligne 225: / Ligne 244: @@
   apt install 'dovecot-(core|imapd|ldap)'
-Pour n'écouter que sur le port IMAPS (donc avec une connexion en TLS) :
+Pour n'écouter que sur le port IMAPS (donc avec une connexion en TLS) on crée ''/etc/dovecot/local.conf'' avec :
-  cat > /etc/dovecot/local.conf <<-EOF
+<file bash /etc/dovecot/local.conf>
-  # On force IMAP en TLS dès le début de la connexion
+# On force IMAP en TLS dès le début de la connexion
-  service imap-login {
+service imap-login {
     inet_listener imap {
-      port=0
+        port=0
     }
-  }
+}
-  EOF
+</file>
+Ensuite, on édite des fichiers dans ''/etc/dovecot/conf.d/'' pour avoir :
+<file bash /etc/dovecot/conf.d/10-auth.conf>
+auth_mechanisms = plain login
+</file>
+<file bash /etc/dovecot/conf.d/10-mail.conf>
+mail_location = maildir:~/Maildir
+</file>
+<file bash /etc/dovecot/conf.d/10-master.conf>
+service auth {
+        unix_listener /var/spool/postfix/private/auth {
+                mode = 0660
+                user = postfix
+                group = postfix
+        }
+}
+</file>
-Ensuite, on édite <code>/etc/dovecot/conf.d/10-ssl.conf</code> pour avoir :
+<file bash /etc/dovecot/conf.d/10-ssl.conf>
-<file "/etc/dovecot/conf.d/10-ssl.conf">
 ssl = required
@@ Ligne 246: / Ligne 283: @@
 ssl_protocols = !SSLv2 !SSLv3 !TLSv1 !TLSv1.1
-ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:!ALL
+ssl_cipher_list = ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384
 ssl_prefer_server_ciphers = yes
 </file>
-On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans <code>/etc/postfix/main.cf</code> :
+On configure postfix pour écrire les mail dans le home des utilisateurs en ajoutant dans ''/etc/postfix/main.cf'' :
   home_mailbox = Maildir/
+On configurera pour finir fail2ban pour bannir ceux qui ferraient trop d'échecs de connexions (pour dovecot, et, si ce n'est pas déjà fait, pour postfix et sasl).