Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveur_courriel [2023/07/27 09:09] – [VadeSecure] admin
+++ serveur_courriel [2024/11/01 11:37] (Version actuelle) – admin
@@ Ligne 2: / Ligne 2: @@
 Présentation d'installation d'un serveur de courriels sur //debian// 11.\\
-Dans la suite de cette présentation, nous allons voir comment configurer le serveur //mail.sleto.fr// comme serveur SMTP, IMAP et outil de gestion de courriels (le DNS identifie déjà correctement ce serveur).
+Dans la suite de cette présentation, nous allons voir comment configurer le serveur //mail.sleto.fr// (ayant l'IP 99.88.77.66) comme serveur SMTP, IMAP et outil de gestion de courriels (le DNS identifie déjà correctement ce serveur).
 ===== Packages =====
@@ Ligne 88: / Ligne 88: @@
 @ IN MX 10 mail.sleto.fr.
-@ IN TXT "v=spf1 mx ~all"
+@ IN TXT "v=spf1 mx ip4:99.88.77.66 ~all"
 modoboa._domainkey.sleto.fr. IN TXT (
@@ Ligne 108: / Ligne 108: @@
 </code>
+Noter que j'ai précisé dans le SPF l'IP du serveur de courriel. Cela permet à des serveurs recevant les messages de vérifier que l'émetteur et bien celui autorisé.
 ==== Création de compte ===
@@ Ligne 143: / Ligne 144: @@
 ==== Firewall ====
-Configurer un firewall afin de n'autorisé que les ports 80, 443, 587 et 993 (et ssh si besoin, bien sûr).\\
+Configurer un firewall afin de n'autorisé que les ports 80, 25, 143, 443, 587 et 993 (et ssh si besoin, bien sûr).\\
 Attention de bien laisser les ports ouverts en interne.
@@ Ligne 188: / Ligne 189: @@
 </code>
-relancer le serveur //postfix// (<code>sudo service postfix restart</code>) et voilà !
+relancer le serveur //postfix//
+<code>sudo service postfix restart</code>
+et voilà !
 Maintenant, en se connectant en SMTP à //postmaster@sleto.fr//, il est possible d'envoyer un message en utilisant l'adresse de son choix comme expéditeur (sans avoir une erreur "Sender address rejected: not owned by user").\\
@@ Ligne 203: / Ligne 206: @@
 Une fois connecté, l'outil demande de référencer une adresse IP qui envoi en extérieur des courriels.
-Saissir donc l'IP de //mail.sleto.fr/ \\
+Saissir donc l'IP de //mail.sleto.fr// \\
-L'outil utilise le rDNS pour demander confirmation d'une l'adresse courriel de validation sur le domaine associé à l'IP: postmaster@sleto.fr \\
+L'outil utilise le rDNS pour demander confirmation d'une l'adresse courriel de validation sur le domaine associé à l'IP: postmaster@sleto.fr
+Il faut donc bien sûr valider le lien dans le courriel pour valider son IP.
+On a alors la possibilité de signaler des faux positifs dans leur interface, si des messages sont rejetés depuis ce serveur.
+==== SMTP Relay ====
+Un grand nombre d'outil hébergé, on besoin d'un serveur SMTP pour envoyer des courriels.\\
+Il est plus simple de ne pas à avoir à spécifier une authentification (serveur en 127.0.0.1:25) voir d'utiliser des outils directe comme //sendmail//.
+Pour cela, sur les autres serveurs d'hérgement (dans mon exemple //ns3.sleto.net//), il est bien d'installer un SMTP Relay.\\
+Installer le paquet exim4 après avoir éventuellement desinstaller postfix:
+<code>
+sudo apt-get remove postfix
+sudo apt-get install exim4
+</code>
+Lancer la configuration
+<code>
+sudo dpkg-reconfigure exim4-config
+</code>
+Dans l'interface, choisir les choix suivant:
+  * General type of mail configuration: **mail send by smarthost; no local mail**
+  * System mail name: **ns3.sleto.net**
+  * IP-addresses to listen on for incoming SMTP connections: **127.0.0.1** (on peux aussi rajouté l'IP local de la machine.)
+  * Other destinations for which mail is accepted: **ns3.sleto.fr;localhost**
+  * Visible domain name for local users: **sleto.net**
+  * IP address or host name of the outgoing smarthost: **mail.sleto.fr::587** (là, on met le serveur SMTP sécurisé)
+  * Keep number of DNS-queries minimal (Dial-on-Demand)? **No**
+  * Split configuration into small files?  **No**
+Pour finaliser la configuration SMTP, modifier le fichier ///etc/exim4/passwd.client//:
+<code>
+*:postmaster@sleto.fr:<???????????>
+</code>
+Là, j'utilise mon compte courriel "envoi tout" pour ne pas me filtrer les adresses d'expédition.
+A cela, il faut créer une signature SSL:
+<code>
+sudo bash /usr/share/doc/exim4-base/examples/exim-gencert
+</code>
+Et indiquer dans le fichier ///etc/exim4/exim4.conf.localmacros//
+<code>
+AUTH_CLIENT_ALLOW_NOTLS_PASSWORDS = 1
+MAIN_TLS_ENABLE = 1
+# désactiver TLS verification si erreur "not in hosts_require_tls" lors de l'envoie
+REMOTE_SMTP_SMARTHOST_TLS_VERIFY_HOSTS = :
+</code>
+Mettre à jour la configuration via
+<code>
+sudo update-exim4.conf
+sudo service exim4 restart
+</code>
+Enfin, il faut éditer 2 fichiers pour assigner des adresses d'expédition et destinataire à nos utilisateurs Linux en cas d'envoie:
+Pour l'expédition ///etc/email-addresses// (pas grave si le compte courriel n'existe pas là)
+<code>
+user: user@ns3.sleto.net
+</code>
+Pour la destination ///etc/aliases//
+<code>
+user: contact@sleto.net
+</code>
+Faire alors un essai d'envoi:
+<code>
+echo "Blablabla" | mail -s 'test' contact@sleto.net
+</code>
+Bien sûr, ne pas oublier de vérifier que le firewall n'ouvre pas les ports 25, 587 et 993