Installer un système de mail complet et sécurisé

Benjamin Pineau, ben@reynerie.yi.org

1. Introduction

• 1.1 Argument
• 1.2 Préparation
• 1.2.1 Récupérer les sources
• 1.2.2 Créer les comptes utilisateurs

2. Installation de la librairie SASL

• 2.1 Installation
• 2.2 Ajout des utilisateurs à la base sasldb

3. Installation de Postfix

• 3.1 Installation
• 3.2 Une configuration minimale
• 3.3 Premier test du service smtp

4. Créer et signer des certificats pour le SSL

• 4.1 Certificat et clef de CA pour le serveur
• 4.2 Certificat et clef pour Postfix
• 4.3 Certificats et clefs pour les clients

5. Configuration de Postfix

• 5.1 Configuration de Postfix pour le TLS
• 5.2 Tester le SMTP sur SSL
• 5.3 Configuration du SMTP AUTH
• 5.4 Tests du SMTP AUTH
• 5.5 Configuration des restrictions, anti-spam
• 5.6 Autres astuces de configuration
• 5.6.1 Limiter les ressources
• 5.6.2 Être MX secondaire (back up) d'un domaine
• 5.6.3 Gérer plusieurs domaines
• 5.6.4 Installer une mailing-list
• 5.6.5 Masquerade
• 5.6.6 Liaison intermittente

6. Créer les tables et les aliases

7. Installer un scanner antivirus

• 7.1 Installation
• 7.2 Configuration
• 7.3 Lancement
• 7.4 Mises à jours

8. Installer WU IMAP Server

• 8.1 Installation
• 8.2 Mots de passe
• 8.3 Tests

9. Installer le webmail

1. Introduction

1.1 Argument

Ne vous fourvoyez pas : je ne donnerai pas d'explications détaillées ; la doc des logiciels et des protocoles y pourvoira bien mieux. J'indique une série de commandes qui fonctionne sur mes systèmes.

L'objectif est d'installer un serveur de mail avec postfix, de permettre un relais sélectif, filtrant les spams, permettant l'authentification par SMTP AUTH et/ou certificats SSL, permettant le chiffrement par TLS (SSL) et filtrant les virus. On installera aussi un serveur imap/pop3 supportant les méthodes d'authentification sécurisées (cram md5, apop) et le SSL, et un webmail en php.

Problématique du relais
Pour résumer, dites vous qu'un des problèmes importants du SMTP est la gestion du relais. Un serveur smtp bien configuré relaye en général les mails :

• À destination du (ou des) domaine(s) qu'il gère
• En provenance d'un certain nombre de machine dont on connaît déjà l'adresse ip
• En provenance d'utilisateurs s'étant authentifiés, d'une manière ou d'une autre.

SSL/TLS et SMTP-AUTH
Le SSL permet donc d'authentifier des utilisateurs de façon sûre. En outre, grâce à lui, les échanges sont chiffrées, donc plus confidentielles.
Le SMTP AUTH permet, grâce à la librairie SASL, d'utiliser un couple login/mot de passe pour authentifier les utilisateurs du servie SMTP. Notez que la librairie SASL est difficile à chrooter, et au moment de configurer le fichier master.cf, il faudra, malheureusement, éviter de chrooter les daemons.
Chacune de ces deux méthodes d'authentification est suffisante, mais proposer les deux est souvent intéressant.
Il existe une autre méthode d'authentification, largement utilisée bien qu'il s'agisse d'un bricolage : le pop-before-smtp. Je décrirai cette technique et son implémentation dans postfix dans une version ultérieure de ce document.

Conventions
Voici les conventions adoptées ici:
lignes commençant par "%" : commandes à exécuter sous une uid non privilégiée
lignes commençant par "#" : commandes à exécuter en root (ou, selon le contexte, commentaire)
Et pour les exemples d'échanges serveur/client:
"<": envoi du client.
">": réponse du serveur.

Et voici un exemple typique de session smtp "à la main":

< ben@ici$ telnet localhost 25
> Trying 192.168.1.3...
> Connected to po.reynerie.yi.org.
> Escape character is '^]'.
> 220 reynerie.yi.org ESMTP Plaisir Des Dames
< EHLO mydomain.com
> 250-reynerie.yi.org
> 250-PIPELINING
> 250-SIZE 20480000
> 250-ETRN
> 250-STARTTLS
> 250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> 250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
> 250 8BITMIME
< MAIL FROM: <ben@truc.org>
> 250 Ok
< RCPT TO: <ben.pineau@machin.com>
> 250 Ok
< DATA
> 354 End data with <CR><LF>.<CR><LF>
< From: ben@reynerie.yi.org
< To: ben.pineau@ifrance.com
< Subject: un exemple
<
< voila le contenu de mon mail d'exemple
< .
> 250 Ok: queued as B01B64045
< quit
> 221 Bye
> Connection closed by foreign host.


1.2.1 Préparation

1.2.1 Récupérer les sources

Voilà une méthode rapide pour tout récupérer :

% wget ftp://ftp.andrew.cmu.edu/pub/cyrus-mail/cyrus-sasl-1.5.27.tar.gz
% wget ftp://ftp.grolier.fr/pub/mirrors/ftp.porcupine.org/postfix-release/official/postfix-20010228-pl08.tar.gz
% wget ftp://ftp.aet.tu-cottbus.de/pub/postfix_tls/pfixtls-0.7.13-20010228-pl08-0.9.6b.tar.gz
% wget ftp://ftp.cac.washington.edu/imap/imap.tar.Z
% wget http://prdownloads.sf.net/squirrelmail/squirrelmail-1.2.2.tar.gz
% wget http://freshmeat.net/redir/amavis/223/url_tgz/amavis-0.2.1.tar.gz


1.2.2 Créer les comptes utilisateurs

Ajouter les groupes postdrop et postfix.
Créer l'utilisateur postfix (groupe postfix).
Créer l'utilisateur maildeliver.

Exemple :

#useradd -g nogroup -s /no/shell maildeliver
#groupadd postdrop
#groupadd postfix
#useradd -g postfix -s /no/shell postfix


2. Installation de la librairie SASL

2.1 Installation

Cette librairie est nécessaire pour le SMTP AUTH.

% tar xvzf cyrus-sasl-1.5.27.tar.gz
% cd cyrus-sasl-1.5.27/
% ./configure --enable-login --disable-krb4 --disable-gssapi --disable-anon --with-pwcheck
% make
# make install
# ln -s /usr/local/lib/sasl/ /usr/lib/sasl
# echo 'pwcheck_method: sasldb' > /usr/local/lib/sasl/smtpd.conf


2.2 Ajout des utilisateurs à la base sasldb

Le fichier /etc/sasldb contient une liste d'utilisateurs et de mots de passe ; il sera utilisé par postfix pour le SMTP AUTH.
Pour ajouter un couple user/passwd au fichier /etc/sasldb.db, utiliser le logiciel saslpasswd (il s'est installé avec la lib SASL). Cf. la page de man. Par exemple :

# saslpasswd -c -u mondomaine.com exampleuser

• mondomain.com sera peut être, selon la façon dont vous configurerez votre Postfix, hote.mondomain.com. En fait ça doit correspondre à la valeur de la variable "smtpd_sasl_local_domain" du main.cf de Postfix, que vous pourrez fixer ultérieurement sur la valeur que vous venez d'indiquer. Je vous conseille d'ailleurs de construire la base utilisateur SASL après avoir configuré le postfix.
• Insister si ça ne marche pas du premier coups car le README dit :
  "On some poorly-supported systems the saslpasswd command needs to be run multiple times before it stops complaining."
• Sur NetBSD 1.52, j'ai aussi du faire un

  % cp /usr/local/lib/libsasl.* /usr/lib
% gcc utils/saslpasswd.c -lsasl -o saslpasswd -I./include -I./ -L/usr/lib -lcrypt
% cp -f saslpasswd /usr/local/sbin/


  à cause de liens bidons (ldd `which saslpasswd` vous en dira plus).
• Ajouter dans cette liste les noms de tout les users qu'on veut pouvoir authentifier avec saslpasswd.
• Utiliser la commande sasldblistusers pour voir les utilisateurs enregistrés dans /etc/sasldb.db.

#!/bin/sh
#chez moi les vrais users sont ceux qui ont bash pour shell et une home dans /home :
for user in `grep "/home/.*/bin/bash" /etc/passwd | cut -d : -f 1`
  do
     echo -en "---\nSMTP\nuser: $user mot de passe : " >> /root/passwd_users/pass.$user.tmp
     passook $user | tee -a /root/passwd_users2/pass.$user.tmp | \
                  saslpasswd -c -p -u reynerie.yi.org $user
done

# chown postfix:nogroup /etc/sasldb*; chmod 600 /etc/sasldb*

3. Installation de Postfix

3.1 Installation

% tar xvzf pfixtls-0.7.13-20010228-pl08-0.9.6b.tar.gz
% tar xvzf postfix-20010228-pl08.tar.gz


% patch -p0 < pfixtls-0.7.13-20010228-pl08-0.9.6b/pfixtls.diff
% cd postfix-20010228-pl08


% make makefiles CCARGS="-DHAS_SSL -I/usr/local/ssl/include -DUSE_SASL_AUTH -I/usr/local/include" AUXLIBS="-L/usr/local/ssl/lib -L/usr/local/lib -lssl -lcrypto -lsasl"

% make makefiles CCARGS="-DHAS_SSL -I/usr/include/ssl/ -DUSE_SASL_AUTH -I/usr/local/include" AUXLIBS="-L/usr/lib/ -L/usr/local/lib -lssl -lcrypto -lsasl"

# make install

# mkdir /var/spool/mail
# chmod 1777 /var/spool/mail/


3.2 Une configuration minimale

Si vous avez déjà un smtpd en production sur la machine, sans doute préférerez vous le laisser tourner pendant vos tests : éditer master.cf et remplacez :

smtp inet n - n - - smtpd

1027 inet n - n - - smtpd

Le postfix n'écoutera que les requêtes arrivant sur le port 1027, laissant l'autre smtpd faire son boulot habituel sur le port 25. Vous pourrez remettre la ligne "smtp inet ..." quand vous jugerez votre configuration au point, et, en attendant, faire vos tests avec des telnets sur le port 1027.

Voici la configuration minimale du fichier /etc/postfix/main.cf (à ajuster à votre réseau) :

myhostname = mamachine.mondomaine.com
mydomain = mondomaine.com
myorigin = $mydomain
mynetworks = 192.168.1.0/24, 127.0.0.0/8
mydestination = $myhostname, $mydomain, localhost.$mydomain


Il est aussi bienvenu d'augmenter le niveau de debug durant les tests: Mettre dans main.cf, par exemple :

debug_peer_level = 2
debug_peer_list = $mydomain, 192.168.1.2, 127.0.0.1, 192.168.1.3


3.3 Premier test du service smtp

smtp 25/tcp mail
smtps 465/tcp # smtp secure, over TLS/SSL


% postfix start

% egrep '(reject|error|warning|fatal|panic):' /var/log/maillog

4. Créer et signer des certificats pour le SSL

Précisons à ce point qu'un certificat auto signé, ça manque de sérieux. Netscape ou outlook, entre autres, vont vraisemblablement afficher un message de mise en garde lors de la première connexion au site (tant que vous n'aurez pas intégré votre certificat de CA parmi les autorités de confiance de votre client). Mais la signature d'un CA reconnu par microsoft coûte si cher ...

Voir aussi: http://www.dtcc.edu/cs/admin/notes/ssl/ et http://www.aet.tu-cottbus.de/personen/jaenicke/postfix_tls/doc/myownca.html

On prépare le terrain :

% mkdir /tmp/certs && cd /tmp/certs

% cp /path/to/openssl.cnf .

• Dans la section [ CA_default ] :
  

  dir = ./CA
certificate = $dir/CAcert.pem
private_key = $dir/CAkey.pem


• Dans la section [ usr_cert ] : nsCertType = client, email, objsign, server

% mkdir -p CA/newcerts
% touch CA/index.txt
% echo '01' > CA/serial


4.1 Certificats et clef de CA pour le serveur

On génère un certificat (et une clef) de CA (toujours depuis le répertoire /tmp/certs) :

% openssl req -new -x509 -nodes -config ./openssl.cnf -keyout ./CA/CAkey.pem -out ./CA/CAcert.pem -days 3650


Country Name (2 letter code) [AU]:FR
State or Province Name []: Haute-Garonne
Locality Name (eg, city) []:Toulouse
Organization Name []:Reynerie ltd.
Organizational Unit Name (eg, section) []:
Certificate Service []: Certificate Service
Common Name (eg, YOUR name) []:Reynerie Ltd.
Email Address []:ben@reynerie.yi.org


% openssl x509 -purpose -in ./CA/CAcert.pem -noout


4.2 Certificat et clef pour Postfix

On génère la requête de certificat pour le serveur :

% openssl req -new -nodes -config ./openssl.cnf -keyout key.pem -out sign_request.pem -days 3650

Country Name (2 letter code) [AU]:FR
State or Province Name (full name) [Some-State]:Haute-Garonne
Locality Name (eg, city) []:Toulouse
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Test server
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:mydomain.com
Email Address []:ben@mydomain.com
A challenge password []:
An optional company name []:


% openssl ca -config ./openssl.cnf -policy policy_anything -out cert.pem -days 3650 -infiles sign_request.pem

% openssl x509 -purpose -in cert.pem -noout


• le certificat du CA qui a signé le certificat du serveur : CA/CAcert.pem
• le certificat du serveur : cert.pem
• la clef privé du serveur : key.pem

# cp cert.pem key.pem CA/CAcert.pem /etc/postfix/
# chown root /etc/postfix/key.pem; chmod 400 /etc/postfix/key.pem


# chown root:root ./CA/CAkey.pem
# chmod 0400 ./CA/CAkey.pem


4.3 Certificats et clefs pour les clients

a) authentification du client par certificats :

On peut faire des certificats pour authentifier les clients.
Ça donnera un 'verified ok' dans les headers des mails :

% openssl req -new -nodes -config ./openssl.cnf -keyout client_sign_request.pem -out client_sign_request.pem -days 3650
% openssl ca -config ./openssl.cnf -cert /etc/postfix/CAcert.pem -policy policy_anything -out client_cert.pem -infiles client_sign_request.pem

% openssl pkcs12 -export -nodes -in client_cert.pem -inkey client_sign_request.pem -certfile /etc/postfix/CAcert.pem -name "Name" -out client.p12

Envoyer tout ça à son destinataire pour qu'il l'intègre dans son client smtp (les client*.pem, le certificat du serveur et client.p12).
Si nous voulons authentifier de la même manière (et oui, nous le voulons ;) les clients dont les certificats ne sont pas signés de notre main, nous devons faire ce qui est indiqué à la fin de la section 5.1

b) relais sélectif par authentification par certificat :

Si on veut aussi faire du relais sélectif (autoriser les clients à être relayés s'il présentent leur certificat), reste à faire ceci :

Faire une empreinte digitale du certificat du client :

% openssl x509 -fingerprint -in client_cert.pem -noout > client_fingerprint

41:6R:8E:45:BA:B2:A2:1C:F0:70:71:69:8F:3F:33:DB client.domaine.ou.user

# postmap /etc/postfix/certs_clients_a_relayer

relay_clientcerts = hash:/etc/postfix/certs_clients_a_relayer

permit_tls_clientcerts

5. Configuration de Postfix

Vim6 est particulièrement pratique pour éditer les fichiers main.cf et master.cf de postfix : la coloration syntaxique aide beaucoup.
La commande "postfix check" permet de tester la syntaxe de la configuration (et quelques autres choses). Il est donc recommandé de lancer cette commande après chaque modification des fichiers de configuration.
La commande "postconf" affiche toute les variables de configurations, et leur valeur actuelle, et l'option "-n" (postconf -n), n'affiche que les variables dont la valeur a été modifiée (par rapport aux valeurs par défaut) dans vos fichiers de conf.
La commande "postalias /etc/postfix/aliases" reconstruit la base d'alias (/etc/postfix/aliases.db) après qu'on ai modifié la version flat texte (/etc/postfix/aliases).
"postmap /etc/postfix/unfichier" idem que postalias mais pour les autres fichiers externes (access etc.).

5.1 Configuration de Postfix pour le TLS

smtp_use_tls = yes
smtpd_use_tls = yes

# certificats :
# on peut aussi utiliser des certificats différents
# pour le client smtp et le serveur smtpd
smtpd_tls_key_file = /etc/postfix/key.pem
smtp_tls_key_file = /etc/postfix/key.pem
smtpd_tls_cert_file = /etc/postfix/cert.pem
smtp_tls_cert_file = /etc/postfix/cert.pem
smtpd_tls_CAfile = /etc/postfix/CAcert.pem
smtp_tls_CAfile = /etc/postfix/CAcert.pem

#
smtp_tls_note_starttls_offer = yes
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_session_cache_database = sdbm:/etc/postfix/smtpd_scache
smtp_tls_session_cache_database = sdbm:/etc/postfix/smtp_scache
smtpd_tls_session_cache_timeout = 3600
smtp_tls_session_cache_timeout = 3600
smtpd_tls_auth_only = no
smtp_tls_note_starttls_offer = yes

#Dans certs_clients_a_relayer, ajouter l'empreinte digitale du certificat
#des clients qu'on veut relayer. Si le CA ayant signé le certificat
#client n'est pas le même que celui qui a signé le certificat du
#serveur, il faut le rajouter à la suite (le concaténer à) CAcert.pem.
#Cf. plus haut, dans la section 4.3
relay_clientcerts = hash:/etc/postfix/certs_clients_a_relayer


• Pour permettre le mode "wrapped", c'est à dire les connexions SSL chiffrées dès l'initialisation de la connexion, il faut lancer un daemon smtpd spécial qui écoutera le port smtps (465) ;
  ajouter ceci dans master.cf :

  smtps inet n - n - - smtpd -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
tlsmgr fifo - - n 300 1 tlsmgr


• [ Recopié d'après HSC ].
  Si vous mettez la ligne suivante dans /etc/postfix/main.cf :

  smtp_tls_per_site = hash:/etc/postfix/tls_per_site

  avec dans le fichier /etc/postfix/tls_per_site :

  where.ever.tld MUST

  Alors le serveur where.ever.tld doit impérativement présenter un certificat signé, ce qui permet d'éviter qu'une machine puisse récupérer les mails à destination de where.ever.tld en usurpant son adresse IP.
  
  
• Nous voulons que postfix authentifie (sans pour autant les relayer) les certificats des MTA que nous n'avons pas signé avec notre certificat de CA (ce qui permet là encore, le "Verified Ok" dans les headers, ainsi que le nom du CN).
  Il faut ajouter les certificat de CA que nous reconnaissons comme valide (Thawte, Verisign etc.) dans le fichier pointé par "smtpd_tls_CAfile" (en l'occurrence /etc/postfix/CAcert.pem).
  Récupérer une liste des principaux CA (par exemple celle-ci venu d'une superbe doc d'hsc, ou celle-là venu d' ici (pour ce dernier, decompacter l'archive et ne s'intéresser qu'au fichier allroots.pem).
  Il suffit ensuite d'ajouter dans /etc/postfix/CAcert.pem, à la suite de notre certificat de CA, le contenu des fichiers trustees.pem (ou allroots.pem selon la provenance). Vous pourrez par la suite ajouter tout les certificats de CA auxquels vous faites confiance dans ce fichier.
  

5.2 Tester le SMTP sur SSL

Un telnet localhost 25 suivi d'un "ehlo localhost" devrait faire apparaître (entre autres) la ligne : 250-STARTTLS

Tester le wrapped ssl (smtps, port 465) à la main grâce à la commande openssl :

% openssl s_client -connect localhost:465 -state -debug
[...]
220 reynerie.yi.org ESMTP Plaisir Des Dames
EHLO ici
etc... (la connexion se poursuit comme une connexion en clair)


5.3 Configuration du SMTP AUTH

1) Configuration du smtpd pour qu'il authentifie les clients

Ajouter dans main.cf:

smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain = $mydomain


2) Pour que postfix puisse utiliser sasl comme client smtp

Donc d'authentifier auprès d'autres serveurs smtp-auth vers lesquels il relaye (et qui, bien entendu, nous fournissent un couple login/pass pour le smtp-auth), il faut définir une base de mot de passe par domaines et l'indiquer dans la conf: (dans main.cf)

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noplaintext, noanonymous


5.4 Tests du SMTP AUTH

Créez un compte sasl pour les tests (cf. plus haut l'utilisation de saslpasswd).
Produire, à partir des données de ce compte, une chaîne MIME pour les tests :

printf "nom_user\0nom_user\0mot_de_passe" | mmencode

perl -MMIME::Base64 -e 'print encode_base64("username\0username\0password");'

ben@ici$ telnet pi 25
<Connected to pi.reynerie.yi.org.
<Escape character is '^]'.
<220 reynerie.yi.org ESMTP Plaisir Des Dames
>EHLO ici
<250-pi.reynerie.yi.org
<250-PIPELINING
<250-SIZE 10240000
<250-ETRN
<250-STARTTLS
<250-AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5
<250-AUTH=LOGIN PLAIN DIGEST-MD5 CRAM-MD5
<250 8BITMIME
>AUTH PLAIN ZXhhbXBsZXVzZXIAZXhhbXBsZXVzZXIAdG90bw==
<235 Authentication successful
>MAIL FROM: <toto@couac.com>
<250 Ok
>RCPT TO: <ben@hotmail.org>
<250 Ok
>DATA
<354 End data with <CR><LF>.<CR><LF>
[...]


5.5 Configuration des restrictions, anti-spam

En premier lieu, j'ajoute ceci à main.cf :

header_checks = regexp:/etc/postfix/header_check_filters
smtpd_helo_required = yes
allow_untrusted_routing = no
disable_vrfy_command = yes


Ensuite on s'occupe des smtpd_*_restrictions. Ces restrictions concernent les diverses étapes de la session smtp. "smtpd_helo_restrictions" pour contrôler ce qui se passe durant le "EHLO" (ou HELO), "smtpd_client_restrictions" concerne les valeurs de l'adresse ip/nom de domaine réel du client (qui n'est pas forcément l'utilisateur qui envoie le mail, mais peut être un relais quelconque), "smtpd_sender_restrictions" applique des contrôles au moment du "MAIL FROM:" et "smtpd_recipient_restrictions" au moment du "RCPT TO:".

À chaque étape de la connexion smtp, on peut appliquer les contrôles concernant les étapes précédentes mais non l'inverse. Par exemple au moment des "smtpd_recipient_restrictions" on peut tester la valeur du hostname indiquée dans le HELO, mais au moment du HELO on ne peut pas contrôler l'existence du domaine indiqué lors du "RCPT TO:" puisqu'on ne le connaît pas encore.
C'est pourquoi il est judicieux de mettre toutes les restrictions à la dernière étape, c'est à dire dans "smtpd_recipient_restrictions", puisque c'est le moment où l'on dispose de toute la batterie de restrictions.
Les restrictions sont testées dans l'ordre indiqué, de gauche à droite ; dès qu'une condition de restriction est vérifiée, le processus s'arrête, et la requête smtp est rejetée ou acceptée. Voici ma conf :

#smtpd_helo_restrictions =  
#smtpd_client_restrictions = 
#smtpd_sender_restrictions = 

smtpd_recipient_restrictions = 
   reject_unknown_sender_domain, 
   reject_unknown_recipient_domain, 
   permit_mynetworks, 
   permit_sasl_authenticated,
   permit_tls_clientcerts, 
   reject_unauth_destination, 
   check_recipient_access regexp:/etc/postfix/access_by_recipient_regexp, 
   check_recipient_access hash:/etc/postfix/access_by_recipient_hash, 
   check_sender_access    regexp:/etc/postfix/access_by_sender_regexp, 
   check_sender_access    hash:/etc/postfix/access_by_sender_hash, 
   check_client_access    hash:/etc/postfix/access_by_client_hash, 
   reject_unauth_pipelining, 
   reject_invalid_hostname, 
   reject_non_fqdn_hostname, 
   reject_maps_rbl, 
   reject_unknown_client, 
   permit 

• reject_unknown_sender_domain,
  
• reject_unknown_recipient_domain,
  Pour commencer, nous rejetons tout les mails dont le domaine de l'adresse de source (telle qu'indiquée dans le "MAIL FROM:") ou de destination (indiquée dans le "MAIL TO:") est invalide.
  
• permit_mynetworks,
  
• permit_sasl_authenticated,
  
• permit_tls_clientcerts
  Nous acceptons ensuite de relayer les clients provenant de notre réseau, ceux qui sont authentifiés par SMTP-AUTH ou ceux qui ont présenté un certificat SSL répertorié dans notre /etc/postfix/certs_clients_a_relayer.
  À partir de ce stade, nous ne devons plus relayer les mails qui ne nous sont pas destinés: si les précédentes règles n'ont pas été matchées, cela signifie que le client n'est pas quelqu'un que nous voulons relayer vers l'extérieur.
  
• reject_unauth_destination,
  Nous refuseront donc tout les mails qui ne sont pas destinés à $mydestinations (c'est à dire aux domaines locaux gérés par notre postfix).
  À ce point donc, les mails : proviennent de source sûre (de mon réseau, ou de clients authentifiés), ou bien nous sont destinés. Les autres cas de figures sont rejetés. Formellement, à ce point, tout les mails qui passent sont légitimes. Les restrictions qui suivent serviront essentiellement à rejeter les spams.
  
• check_recipient_access regexp:/etc/postfix/access_by_recipient_regexp,
  
• check_recipient_access hash:/etc/postfix/access_by_recipient_hash,
  
• check_sender_access regexp:/etc/postfix/access_by_sender_regexp,
  
• check_sender_access hash:/etc/postfix/access_by_sender_hash,
  
• check_client_access hash:/etc/postfix/access_by_client_hash,
  Ces diverses tables sont des fichiers externes au main.cf. On y indique des listes de domaines/adresses source/adresses destinations/... qu'on veut rejeter ou accepter. Ça nous permettra, par exemple, de filtrer les mails d'emmerdeurs divers.
  Ça nous permettra aussi d'autoriser les clients indûment rejetés par les restrictions suivantes (en particulier les contrôles RBL, qui, par exemple, sont souvent cause du rejet de mails venant de wanadoo).
  Voir Créer les tables et les aliases
  
• reject_unauth_pipelining,
  Une astuce pour empêcher certaines techniques utilisées par les spammers.
  
• reject_invalid_hostname,
  reject HELO hostname with bad syntax.
  
• reject_non_fqdn_hostname,
  reject HELO hostname that is not in FQDN form
  
• reject_maps_rbl,
  Rejette les mails venant d'openrelays notoires. il faudra ensuite préciser les listes de serveurs de rbl (maps_rbl_domains).
  
• reject_unknown_client,
  On rejette les clients dont on ne peut résoudre l'adresse ip en nom de domaine (pas d'entrée PTR).
  
• permit
  Et si, durant ce parcours du combattant, le mail n'est pas rejeté, alors on l'accepte.
  
  

maps_rbl_domains =
  blackholes.mail-abuse.org,
  relays.mail-abuse.org,
  outputs.orbz.org,
  relays.ordb.org,
  relays.osirusoft.com,
  zta.birdsong.org,
  spammers.v6net.org

5.6 Autres astuces de configuration

5.6.1 Limiter les ressources

Un utilisateur mal intentionné dispose de nombreuses techniques pour saturer les ressources de votre machine ou simplement du service SMTP (on parle de "Déni de Service", ou DoS : envoi d'un très grand nombre de mails simultanément, de très gros mails ...
Postfix, gloire à lui, permet de gérer ce problème de façon très fine. Je vous recommande de recopier le contenu du fichier /etc/postfix/sample-resssouces dans main.cf et de positionner les différentes variables à votre convenance.
Il est particulièrement important de limiter la taille des messages et la taille des mailbox (variables "mailbox_size_limit" et "message_size_limit").

5.6.2 Être MX secondaire (back up) d'un domaine

Le service SMTP, plus que tout autre, exige une continuité parfaite. Vous ne pouvez pas vous permettre de perdre du courrier. Une solution existe, cependant, pour pallier aux éventuelles défaillances d'un système SMTP. Elle consiste à indiquer, dans la configuration des zones de votre domaine, plusieurs serveurs SMTP avec un ordre de préférence. Celui ayant la meilleure préférence est le vrai serveur SMTP de ce domaine. Dans le cas où cette machine serait indisponible, les MTA désirant vous envoyer du courrier se rabattront sur le serveur de préférence inférieure (MX secondaire, puis MX tertiaire si le secondaire est indisponible etc.). Ces serveurs "secondaires" sont simplement des machines acceptant de relayer le courrier pour votre domaine vers le SMTP primaire.
Pour être MX (Mail eXchanger) secondaire, il suffit que vous ajoutiez ceci à main.cf :

relay_domains = $mydestinations, mondomaine1.com, mondomaine2.com (etc...)


IN MX 10 leursmtp1.com
IN MX 20 monsmtp.com


5.6.3 Gérer plusieurs domaines

Il vous faudra lire la page de man "virtual".

• Domaines "équivalents"
  Votre machine gère plusieurs domaine de façon équivalente, que chaque email pour l'un ou l'autre des domaines est réparti parmi les utilisateurs locaux de façon indifférente (par exemple, un mail pour foo@dm1.com et un mail pour foo@dm2.com seront distribués dans la mailbox de foo dans tout les cas).
  Dans ce cas il suffit d'ajouter dm1.com et dm2.com à "mydestinations" dans main.conf:

  mydestinations = dm1.com, dm2.com, smtp.dm1.com, mail.dm2.com, $mydomain

• Virtual Domains
  Il s'agit cette fois de domaines gérés par le postfix, mais dont le courrier subit un traitement spécial.
  La configuration passe par la création du fichier /etc/postfix/virtual et l'ajout de la directive : virtual_maps = hash:/etc/postfix/virtual dans main.cf.
  Lancer postmap /etc/postfix/virtual après chaque modification du fichier virtual.
  Voici quelques possibilités :
  • Le courrier pour truc@domaine2.com et chose@domaine2.com atterri dans la mailbox de foo, même si les comptes "truc" et "chose" existent sur la machine :
    Le fichier virtual doit contenir :
    domaine2.com texte_sans_importance
truc@domaine2.com foo
chose@domaine2.com foo

  • Rediriger tout le courrier pour un domaine vers un compte utilisateurs.
    Dans ce cas, tout le courrier pour le domaine domaine2.com atterri dans les mailboxes de foo et de bar.
    Le fichier virtual doit contenir :
domaine2.com texte_sans_importance
@domaine2.com foo, bar@ailleur.com
Cette règle à une précédence inférieure à la précédente. On peut donc :
    
  • ... rediriger tout le courrier dans une mailbox, sauf certaines adresses.
    Le fichier virtual doit contenir :
    domaine2.com texte_sans_importance
truc@domaine2.com foo
@domaine2.com bar


5.6.4 Installer une mailing-list

Il y a une méthode simple mais basique : créer un alias dans /etc/postfix/aliases et y ajouter les adresses intéressées.
La seconde méthode, plus sophistiquée consiste à installer majordomo. Lisez la faq de postfix et la doc de Majordomo.

5.6.5 Masquerade

Nous voulons que le courrier envoyé hors du réseau local aient la forme user@mondomaine.com plutôt que user@host, user@autredomaine.net ou autres.
Il suffit de préciser dans /etc/postfix/main.cf :

append_dot_mydomain = yes
append_at_myorigin = yes
masquerade_domains = $mydomain


• Pour que le masquerading ne s'applique pas pour un user particulier (exception) mettre dans main.cf :
  

  masquerade_exceptions = root, machinchouette


• Pour que le masquerading ne s'applique pas pour un hôte particulier, l'ajouter aux masquerade_domains :
  

  masquerade_domains = somehost.my.domain otherhost.my.domain $mydomain


  Où l'ordre est important (les exceptions avant le domaine de masquerade).
  

5.6.6 Liaison intermittente

Si vous n'êtes pas connectés en permanence à internet, il faut ajuster votre conf.
D'après la FAQ postfix.
Nous voulons que tout les emails sortant semblent provenir de user@my-isp.com, mais que certains mails pour le réseau local gardent leur forme (et soient délivrés localement) :
Dans main.cf :

myorigin = my-isp.com
virtual_maps = hash:/etc/postfix/virtual


root root@localhost
postmaster postmaster@localhost
user3 user3@localhost


relayhost = smtp.my-isp.com # en fait, indiquer ceci sous forme d'ip numérique car disable_dns... ci-dessous
defer_transports = smtp
disable_dns_lookups = yes


6. Créer les tables et les aliases

Créer les tables d'access suivantes, même si vous n'en avez pas l'usage dans l'immédiat.
Ne pas oublier, après chaque modification d'un de ces fichiers, de faire un "postmap /le/fichier" (sauf pour le fichier d'alias qui prends plutôt un "postalias /etc/postfix/aliases").

1) /etc/postfix/access_by_recipient_hash :

#un exemple de fichier de filtres d'acces par recipient
#recipient = adresse de destination du mail
# (telle qu'indique dans le "RCPT TO:")
#peut être utilise dans les 'smtpd_*restrictions' de main.cf
#par la directive :
#check_recipient_access hash:/etc/postfix/access_by_recipient_hash
#
#lancer postmap /etc/postfix/access_by_recipient_hash après changement

#rejeter selon l'adresse mail :
winmoney@spammer.com REJECT

#rejeter selon le domaine :
freesexpictures.com REJECT

#accepter selon le domaine :
#reynerie.yi.org OK

#rejeter selon l'utilisateur :
winmorefreesexpictures@ REJECT

2) /etc/postfix/access_by_recipient_regexp :

#un exemple de filtre de recipients par regexps
#recipient = adresse de destination du mail
# (telle qu'indiqué dans le "RCPT TO:")
#peut être utilise dans les smtpd_*restrictions de main.cf
#par la directive :
#check_recipient_access regexp:/etc/postfix/access_by_recipient_regexp
#
#lancer postmap /etc/postfix/access_by_recipient_regexp apres changement.
#
#si votre règle contient des ':', ne pas s'inquiéter des messages :
#'record is in "key: value" format; is this an alias file?'

/^to: .*@enculedespammeur\.com$/ REJECT
/[@!%].*[@!%]/ 550 Please use user@domain address forms only.

# always allow mail to postmaster and abuse (said Ralf Hildebrandt)
/postmaster@/ OK
/abuse@/ OK

3) /etc/postfix/access_by_sender_hash :

#un exemple de fichier de filtres d'acces par sender
#sender = adresse mail de l'envoyeur (telle qu'indiquee dans
# le "MAIL FROM:")
#peut être utilise dans les 'smtpd_*restrictions' de main.cf
#par la directive :
#check_sender_access hash:/etc/postfix/access_by_sender_hash
#
#lancer postmap /etc/postfix/access_by_sender_hash après changement

#rejeter selon l'adresse mail :
winmoney@spammer.com REJECT

#rejeter selon le domaine :
freesexpictures.com REJECT

#accepter selon le domaine :
#reynerie.yi.org OK

#rejeter selon l'utilisateur :
winmorefreesexpictures@ REJECT

4) /etc/postfix/access_by_sender_regexp :

#un exemple de filtre de sender par regexps
#sender = adresse de provenance du mail
# (telle qu'indique dans le "MAIL FROM:")
#peut être utilise dans les smtpd_*restrictions de main.cf
#par la directive :
#check_sender_access regexp:/etc/postfix/access_by_sender_regexp
#
#lancer postmap /etc/postfix/access_by_sender_regexp après changement.
#
#si votre règle contient des ':', ne pas s'inquiéter des messages :
#'record is in "key: value" format; is this an alias file?'

/mechant@enculedespammeur\.com/ REJECT

# par domaine : préfère utiliser la table
# access_by_sender_hash qui est plus rapide
#/@enculedespammeur\.com/ REJECT

5) /etc/postfix/access_by_client_hash :

#un exemple de fichier de filtres d'accès par clients.
#client = domaine/ip du client smtp connecte a postfix.
# par conséquent, ne peut pas servir a filtrer par adresse email
# mais seulement par domaine.
#peut être utilise dans les 'smtpd_*restrictions' de main.cf
#par la directive :
# check_client_access hash:/etc/postfix/access_by_client_hash
#
#lancer postmap /etc/postfix/access_by_client_hash après chaque changement.

#rejeter selon le domaine :
freesexpictures.com REJECT

#accepter selon le domaine :
#reynerie.yi.org OK

6) /etc/postfix/header_check_filters :

#un exemple de filtre de headers par regexps
#utilise dans main.cf par la directive :
#header_checks = regexp:/etc/postfix/header_check_filters
#
#lancer postmap /etc/postfix/header_check_filters après changement.
#
#si votre règle contient des ':', ne pas s'inquiéter des messages :
#'record is in "key: value" format; is this an alias file?'

/^from: .*@enculedespammeur\.com$/ REJECT
/^to: .*@enculedespammeur\.com$/ REJECT

7) /etc/postfix/aliases :

#lancer postalias /etc/postfix/aliases après modif
# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root

# General redirections for pseudo accounts.
bin: root
nobody: root
postfix: root

# Well-known aliases -- these should be filled in!
# root:
# operator:


# Standard aliases defined by rfc2142
# address to report network abuse (like spam)
abuse: postmaster

# uncomment this for msgs:
# msgs: "|/usr/bin/msgs -s"
zoub: ben, ben@somedomain.com, machin@chose.com

7. Installer un scanner antivirus

7.1 Installation

Il existe plusieurs interfaces pour piloter les antivirus via postfix : avcheck et amavis en particulier. Je n'ai essayé qu'amavis ; il a l'avantage de supporter un plus grand nombre d'antivirus, car il s'occupe lui même de décoder les MIME (ce que tout les antivirus ne font pas d'eux mêmes).
Il vous faudra aussi installer des antivirus. Débrouillez vous. Je n'ai eu aucun problème avec H+BEDV AntiVirX, Sophos sweep et Trend InnoculateIT 4.
Entre autres, amavis à besoin de l'utilitaire (préhistorique) arc. Dans le Makefile de celui-ci, j'ai dû préciser SYSTEM = -DBSD=1 alors même que j'utilisai un linux
Bref, après avoir installé la térachiée de softs et modules perl pré-requis par amavis (cf. le README), voici ce que j'ai fait :

% cd amavisd-snapshot-20010714/
# useradd -g nogroup -s /no/shell vscan
% ./configure --prefix=/usr/local/antivirus/amavis --enable-postfix --enable-smtp --with-sophos-ide=/usr/local/antivirus/sophos_sweep/sav/ --with-smtp-port=10025 --with-amavisuser=vscan --enable-syslog


# mkdir -p /var/amavis/virusmails


# chown -R vscan /var/amavis/
# chmod -R 700 /var/amavis


7.2 Configuration

Éditez le fichier /etc/amavisd.conf, remplacez $QUARANTINE = "/var/virusmails"; par $QUARANTINE = "/var/amavis/virusmails"; et modifiez le reste à votre convenance ...
Éditez le fichier /etc/postfix/master.cf et ajoutez :

vscan unix - n n - 10 pipe user=vscan argv=/usr/local/antivirus/amavis/sbin/amavis ${sender} ${recipient}
localhost:10025 inet n - n - - smtpd -o content_filter=


Éditez le fichier main.cf et ajoutez :

content_filter = vscan:

7.3 Lancement

Lancez amavisd :

# amavisd
# chown vscan /var/amavis/amavisd.sock
# postfix start


chown 1056, 0, $socketname; # 1056 est l'uid de l'user vscan sur ma machine

listen (Server, SOMAXCONN) || die "listen failed: $!"

amavisd && postfix start


postfix stop && killall amavisd


7.4 Mises à jours

À titre d'exemple : pour la mise à jour des fichiers de signature d'antivirus de Sweep et de Inoculate IT, je m'y prend ainsi :

#!/bin/sh

# Sophos Sweep
cd /usr/local/antivirus/sophos_sweep/sav/
wget -N http://www.sophos.com/downloads/ide/356_ides.zip
unzip -q -o 356_ides.zip

# Inoculate IT
cd /usr/local/antivirus/Trend_inoculate_it_4.0
wget -N ftp://ftp.ca.com/pub/getbbs/linux.eng/inoctar.LINUX.Z
wget -N ftp://ftp.ca.com/pub/getbbs/linux.eng/linux.txt
tar xvzf inoctar.LINUX.Z
chmod 755 *

#pas de mise à jour pour H+BEDV AntiVir quand on a pas de licence

8. Installer UW IMAP Server

J'ai choisi la version imapd de washington (UW IMAP Server, imap-2001a) parcequ'elle est la seule (à ma connaissance) à implémenter simultanément imap, pop3, le chiffrement par SSL ou connexion + STARTTLS, l'autentification apop ou cram, qu'elle est supportée par les principaux systèmes de webmail (installée par défaut sur la debian dit Linuxmag), et qu'elle contient des headers nécessaires à php.

8.1 Installation

Assurez vous d'avoir installé OpenSSL dans /usr/local/ssl, puis

% tar xvzf imap.tar.Z && cd imap-2001a/
% make slx SSLTYPE=unix #pour linux sans pam


# cp ipopd/ipop3d /usr/local/sbin/
# cp imapd/imapd /usr/local/sbin/
# cp c-client/c-client.a /usr/local/lib
# cp c-client/rfc822.h c-client/mail.h c-client/linkage.h /usr/local/include/


On peut réutiliser les certificats générés/signés pour postfix :
Creez un fichier /usr/local/ssl/cert.pem vide.
Copiez y la partie de /etc/postfix/key.pem comprise entre -----BEGIN RSA PRIVATE KEY----- et -----END RSA PRIVATE KEY-----.
À la suite, copiez y le certificat de postfix (partie de /etc/postfix/cert.pem comprise entre -----BEGIN CERTIFICATE----- et -----END CERTIFICATE-----)

# chmod 600 /usr/local/ssl/certs/cert.pem
# ln -s /usr/local/ssl/certs/cert.pem /usr/local/ssl/certs/ipop3d.pem
# ln -s /usr/local/ssl/certs/cert.pem /usr/local/ssl/certs/imapd.pem


8.2 Mots de passe

On crée un fichier /etc/cram-md5.pwd de mots de passe en clair pour l'authentification par APOP ou CRAM-MD5 contenant, par ex:

# CRAM-MD5 authentication database
# Entries are in form
# Lines starting with "#" are comments

bill hubba-hubba
hillary nysenator
monica beret


Un petit script pour automatiser tout ça. (utilise lui aussi passook, le générateur de mots de passe tordus) :

#!/bin/sh
for user in `grep "/home/.*/bin/bash" /etc/passwd | cut -d : -f 1`
  do
  echo -en "---\nPOP et APOP\nuser: $user mot de passe :" >> /root/passwd_users/pass.$user.tmp
  echo -en "$user\t" >> /etc/cram-md5.pwd
  passook | tee -a /root/passwd_users/pass.$user.tmp >> /etc/cram-md5.pwd
done

Ne pas oublier de faire :

# chown postfix:root /etc/cram-md5.pwd
# chmod 600 /etc/cram-md5.pwd

8.3 Tests

Avoir ceci dans /etc/inetd.conf (les 'imapd' et 'ipop3d' en fin de ligne sont importants) :

pop3 stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/ipop3d ipop3d
imap stream tcp nowait root /usr/sbin/tcpd /usr/local/sbin/imapd imapd
pop3s stream tcp nowait root /usr/local/sbin/ipop3d ipop3d
imaps stream tcp nowait root /usr/local/sbin/imapd imapd


pop3 110/tcp
pop3s 995/tcp
imap 143/tcp
imaps 993/tcp


# killall -1 inetd

% openssl s_client -connect localhost:pop3s -state
<+OK POP3 v2001.78 server ready <5838.3c35bff4@localhost>
>user ben
<+OK User name accepted, password please
>pass monpassword
<+OK Mailbox open, 144 messages
>list


#!/usr/bin/perl -wT
use strict;
my $server = "localhost";
my $user = "username";
my $pass = "mon mot de passe tel qu'indiqué dans /etc/cram-md5.pwd";

use Net::POP3;
use Digest::MD5 qw(md5_hex);
my $apop = Net::POP3->new("$server") or print "Serveur injoignable\n";
defined($apop->apop("$user","$pass")) or print "user ou pass invalide.\n";
my $messages = $apop->list or die "Can't get list of undeleted messages $!\n";
foreach (keys %$messages) { print @{$apop->top($_,0)} };

9. Installer le webmail

Avoir php compilé avec le support imap.

% tar squirrelmail-1.2.2.tar.gz mv squirrelmail /some/where/webmail
% cd /some/where/webmail


# mkdir data attachments && chown -R nobody:nobody data attachments
% chmod 730 attachments


rm `find /some/where/webmail/attachments -atime +2 | grep -v "\." | grep -v _`

Alias /webmail "/some/where/webmail"
 <Directory "/some/where/webmail">
   php_value session.use_cookies 1
   php_value session.save_path /tmp/php_sessions
   AllowOverride None
   Order allow,deny
   Allow from all
</Directory>

% cd /some/where/webmail
% ./configure


 		IMAP Server          : localhost
		IMAP Port            : 143
		Use Sendmail/SMTP    : SMTP
		SMTP Server        : localhost
		SMTP Port          : 25
		Authenticated SMTP : false
		Server               : uw
		Invert Time          : false
		Delimiter            : /

	Default Charset        : iso-8859-1
	Data Directory         : ../data/
	Attachment Directory   : ../attachment/