Serveur de courriels
Article en cours de rédaction.
Postfix est un serveur de messagerie électronique. Il se charge de la livraison de courriers électroniques (courriels) et a été conçu comme une alternative plus rapide, plus facile à administrer et plus sécurisée que l'historique Sendmail.
Dans ce tuto, nous mettrons en place :
- Postfix : serveur SMTP
- Dovecot : serveur IMAP
- À COMPLÉTER (sieve, spam...)
Pré-requis :
- Debian 8
- Un nom de domaine avec un enregistrement MX
- Une IP publique fixe
Test du DNS
Installation des outils
# apt update && apt install openssl dnsutils telnet
Test du fonctionnement du champ MX
$ dig exemple.fr MX
La réponse doit contenir une "ANSWER SECTION" avec ceci
exemple.fr 10800 IN MX 10 mail.exemple.fr
Installation de Postfix
Génération du certificat et de la clé pour Postfix et Dovecot
# openssl req -x509 -nodes -days 3650 -newkey rsa:4096 -out /etc/ssl/certs/mailcert.pem -keyout /etc/ssl/private/mail.key
Installation du serveur SMTP
# apt install postfix
Accepter les choix proposés, choisir la configuration "Site internet" et mettre le FQDN au nom du serveur demandé.
Génération de la clé Diffie Hellman (si on ne le fait pas, Postfix utilise la sienne)
# openssl dhparam -out /etc/postfix/dh2048.pem 2048
Configuration de Postfix
Édition du fichier de configuration principal
# vim /etc/postfix/main.cf
La configuration suivante sera utilisée :
# smtpd : entrant/inbound # smtp : sortant/outbound #------------------------------------Connexion protocol SMTP------------------------------------# # Bannière affiché lorsqu'on se connecte en SMTP sur le port 25 smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) # Desactive la commande SMTP VRFY. Arrête certaine technique pour avoir des adresses email disable_vrfy_command = yes # Impose au client SMTP de démarrer la session SMTP par une commande Helo (ou ehlo) smtpd_helo_required = yes #------------------------------------Gestion des messages locaux (innutile)------------------------------------# # Service qui envoie des notifications "nouveau message" biff = no # Avec le courrier local ça ajoute .NDD aux adresses incomplètes (seulement le nom d'hote) append_dot_mydomain = no #------------------------------------Nom de machine et réseaux autorisés------------------------------------# # Le nom de la machine du système de messagerie # Par défaut c'est host.domain.tld mais on peut mettre un reverse dns myhostname = mail.exemple.fr # Le domaine utilisé par defaut pour poster les messages locaux myorigin = mail.exemple.fr # Liste des domaines pour lequel le serveur doit accepter le courrier mydestination = mail.exemple.fr, exemple.fr, localhost.exemple.fr, localhost # Pour effectuer des livraisons de courrier avec un relay (ici non) relayhost = # Liste des réseaux locaux autorisés (leur permet d'outrepasser le SASL) mynetworks = 192.168.1.0/24, 192.168.160.0/24, 127.0.0.0/8 # Activation d'IPv6 (seul v4 est activé par défaut) inet_protocols = all # Séparateur entre le nom d'utilisateur et les extensions d'adresses recipient_delimiter = + # Les utilisateurs locaux ne pourront pas envoyer de messages à "utilisateur@nom-de-domaine-partiel" mais devront spécifier le nom de domaine complet append_dot_mydomain = no # Interfaces réseaux à écouter (ici toutes) inet_interfaces = all #------------------------------------Règles SMTP------------------------------------# #Restrictions d'accès appliqués dans le contexte d'une commande RCPT TO # permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks # permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifié # reject_non_fqdn_recipient : Rejette la requête lorsque l'adresse RCPT TO n'est pas de forme pleinement qualifiée (FQDN) # reject_unauth_destination : Rejette la requête sauf si l'une des propositions listés dans la doc est vrai # reject_unknown_recipient_domain : Rejette la requête lorsque le RCPT TO ne correspond à aucun A ou MX smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_recipient, reject_unauth_destination, reject_unknown_recipient_domain, # Règles sur l'échange HELO qui survient avant la connexion # permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks # reject_invalid_helo_hostname : Refuser les échanges HELO invalides # reject_non_fqdn_helo_hostname : Refuser les noms d'hôte invalides (non FQDN) # reject_unknown_helo_hostname : Refuser les noms d'hôte qui n'ont pas de champ DNS A ou MX dans leurs DNS smtpd_helo_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_invalid_helo_hostname, reject_non_fqdn_helo_hostname, # Règles de connexion des clients # permit_mynetworks : Autorise les requêtes si l'IP du client correspond à l'un des réseaux spécifiés dans $mynetworks # permit_inet_interfaces : Accepte les resuêtes des client entrant par les interfaces listés dans $inet_interfaces # permit_sasl_authenticated : Accepter la connexion lorsque le client est authentifié # reject_rbl_client : Refuse les connexion des clients (IP) listés dans une liste RBL suite à des envois massifs de spam # reject_plaintext_session : Refuser les connexions non sécurisées # reject_unauth_pipelining : Refuser les défauts lors de la connexion (difficile de synthétiser. Ce référer à la doc) smtpd_client_restrictions = permit_mynetworks, permit_inet_interfaces, permit_sasl_authenticated, reject_rbl_client zen.spamhaus.org # reject_plaintext_session, # reject_unauth_pipelining # L'utilisation de reject_unauth_pipelining dans les autres contextes que smtpd_data_restrictions n'est pas recommandé # Règles sur les expéditeurs # reject_non_fqdn_sender : Refuser les expéditeurs invalides (non FQDN) # reject_unknown_sender_domain : Refuser les expéditeurs qui n'ont pas de champ DNS A ou MX dans leurs DNS # check_sender_access : Vérifie si l'adresse email (reçue ou envoyée) est dans notre fichier liste noire et applique la directive de celle-ci smtpd_sender_restrictions = reject_non_fqdn_sender, reject_unknown_sender_domain, check_sender_access hash:/etc/postfix/adresses-rejet #Restrictions d'accès optionelles appliqués dans le contexte d'une commande SMTP DATA # reject_unauth_pipelining : Refuser les défauts lors de la connexion (difficile de synthétiser. Ce référer à la doc) # permit : Tout est autorisé par défaut smtpd_data_restrictions = reject_unauth_pipelining, permit #------------------------------------Gestion des boites et des messages------------------------------------# # Taille des boîtes auix lettres (0 = illimité) mailbox_size_limit = 0 #Fixer la taille limite des messages (ici 30Mo) message_size_limit = 31457280 # Répertoire de destination des courriers home_mailbox = Maildir/ mailbox_command = /usr/lib/dovecot/deliver #---------------------------------------------- # Gestion des alias de comptes et de domaines | #---------------------------------------------- #Emplacement du fichier des alias #Alias de comptes principal alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases #Alias de domaines secondaires virtual_alias_maps = hash:/etc/postfix/aliases_domaines virtual_alias_domains = toto.fr, titi.org #-------------------- # SASL serveur SMTP | #-------------------- # Authentification SMTP (utilise les identifiants IMAP via SASL en passant par Dovecot) smtpd_sasl_auth_enable = yes smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth # Interdit les méthodes qui autorisent l'authentification anonyme smtpd_sasl_security_options = noanonymous smtpd_sasl_tls_security_options = $smtpd_sasl_security_options smtpd_sasl_local_domain = $mydomain # Reporte le nom d'utilisateur SASL authentifié dans l'en-tête de message Received du serveur smtpd_sasl_authenticated_header = yes # N'accepte pas le support de l'ancienne commande AUTH (Outlook 4 par exemple) broken_sasl_auth_clients = no #------------------------------------Chiffrement------------------------------------# # SSL/TLS clés et certificats smtpd_tls_cert_file = /etc/ssl/certs/mailcert.pem smtpd_tls_key_file = /etc/ssl/private/mail.key smtpd_tls_dh1024_param_file = $config_directory/dh2048.pem #------------------ # TLS client SMTP | #------------------ # Verbositer des logs smtp_tls_loglevel = 1 # Accepte de ce connecter à des serveurs SMTP en clair mais préfaire le TLS smtp_tls_security_level = may # Interdire le SSLv2 et v3 smtp_tls_protocols = !SSLv2, !SSLv3 #Interdire le SSLv2 et v3 obligatoirement (ça n'a aucun sens mais que voulez-vous ? Documentation de Postfix quand tu nous tiens...) smtp_tls_mandatory_protocols = !SSLv2, !SSLv3 #Postfix retient apparemment qui propose du STARTTLS (je vois pas à quoi ça peut bien servir...) smtp_tls_note_starttls_offer = yes #N'autoriser que les chiffrements costauds smtp_tls_mandatory_ciphers = high #Exclure les algorithmes obsolètes ou insufisants listés ci-dessous smtp_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH #Pas d'explications claires sur la fonction de ce paramètre tls_preempt_cipherlist = yes #Cache TLS. Permet de mémoriser les anciennes sessions TLS afin d'effectuer une poignée de mains raccourcie. Ce qui améliore concidérablement les performances smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache #------------------- # TLS serveur SMTP | #------------------- #Verbositer des logs smtpd_tls_loglevel = 1 #Accepte les connexions des clents SMTP en claire mais préfaire le TLS smtpd_tls_security_level = may #Refuse les authentifications SASL en clair si le serveur gère le TLS smtpd_tls_auth_only = yes #Indique le chiffrement utilisé dans l'en-tête du message (ça ne sert pas à grand chose si on passe par plusieurs serveurs car les intermédiaires peuvent y mettre leurs sauce donc ce n'est qu'indicatif) smtpd_tls_received_header = yes # Source du générateur de nombre aléatoire pour les algorithmes de chiffrement tls_random_source = dev:/dev/urandom # Versions de TLS autorisés (SSL refusé) smtpd_tls_protocols = TLSv1.2, TLSv1.1, TLSv1, !SSLv3, !SSLv2 # Toujours aucune idée de l'utilité mais c'est activé par défaut de toute façon d'après la documentation smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3 #Cache TLS. Permet de mémoriser les ancienne sessions TLS afin d'effectuer une poignée de mains raccourcie. Ce qui améliore concidérablement les performances smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache #------------------------------------Entêtes des courriers------------------------------------# # Emplacement des fichiers de suppression de certaines en-têtes à caractère privé contenues dans les messages envoyés # Concrètement, cela supprime toute la section "Received: from" propre au client (contenant son IP par exemple) -> son SMTP. Seul le "Received: from" son SMTP -> SMTP distant reste mime_header_checks = regexp:/etc/postfix/header_checks header_checks = regexp:/etc/postfix/header_checks #------------------------------------Source documentation------------------------------------# # http://postfix.traduc.org/index.php/postconf.5.html # http://www.postfix.org/postconf.5.html
Création de la liste noire d'adresse (envoi et réception)
# vim /etc/postfix/adresses-rejet
Avec ce contenu :
emailàbloquer 554 Parle à ma main, ma tête est malade.
Le message provenant de cette adresse sera rejeté avec un message SMTP (qui apparaîtra dans les log du serveur distant) précisé après le code 554.