Scribd Logo
Importer

Bienvenue sur Scribd !

  • Centos Mail Securisé

    Transféré par

    ABBASSI RABAH
    85 vues9 pages

    Titre original

    centos mail securisé

    Copyright

    © © All Rights Reserved

    Formats disponibles

    PDF, TXT ou lisez en ligne sur Scribd

    Avez-vous trouvé ce document utile ?

    Ce contenu est-il inapproprié ?

    Signaler ce document

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    85 vues9 pages

    Centos Mail Securisé

    Transféré par

    ABBASSI RABAH

    Droits d'auteur :

    © All Rights Reserved
    Téléchargez comme PDF, TXT ou lisez en ligne sur Scribd
    Signaler comme contenu inapproprié
    sur 9

    Installer et configurer un serveur mail

    sur CentOS
    Introduction
    Il existe des tas de façons différentes de mettre en place un serveur de mails. Ce tutoriel décrit
    simplement une procédure permettant de faire fonctionner correctement un serveur mail
    correspondant aux critères et besoins suivants :

     Fonctionnel sur un serveur CentOS


     Utilisation des outils Postfix et Dovecot
     Réception d'emails depuis plusieurs domaines
     Envoi d'emails à partir d'un seul serveur SMTP
     Utilisateurs gérés par le système (utilisateurs Linux)
     Utilisation de certificats SSL
     Si un email est envoyé à un utilisateur inexistant, il est transmis à l'administrateur (évite la
    création de nouvelles adresses manuellement, augmente les risques de spams)
     Gestion du spam
    Dans ce tutoriel, les domaines que j'utilise sont mail.domain.tld et mail.domain2.tld. Le
    domaine mail.domain.tld est considéré comme principal et supportera l'accès IMAP et SMTP.

    Mon utilisateur système sera arthur (original !).

    Les logiciels
    Commençons par installer les outils :

    yum install postfix dovecot spamassassin procmail

    Et les ajouter au démarrage du serveur :

    chkconfig postfix on

    chkconfig dovecot on

    chkconfig spamassassin on

    Le certificat SSL
    Si vous n'en avez pas, générez un certificat SSL.

    Le fichier .crt est à placer dans le répertoire /etc/pki/tls/certs/.


    Le fichier .key est placer dans le répertoire /etc/pki/tls/private/.

    On place les droits qui vont bien :

    chmod 0400 /etc/pki/tls/private/server.key

    chmod 0444 /etc/pki/tls/certs/server.crt

    Configuration de Postfix
    Modifier la configuration par défaut avec les options suivantes dans le
    fichier /etc/postfix/main.cf :

    A noter : Je reprends ces paramètres car ils fonctionnent. Certains d'entre eux ne sont peut être
    pas parfaits, ou parfaitement adapté à vos besoins.

    # Vérifiez, décommentez, modifez et ajouter si nécessaire :

    myhostname = mail.$mydomain

    mydomain = domain.tld

    myorigin = $myhostname

    inet_interfaces = all

    inet_protocols = ipv4

    mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain

    mynetworks = 127.0.0.0/8

    alias_maps = hash:/etc/aliases

    alias_database = hash:/etc/aliases

    home_mailbox = mail/

    mailbox_command = /usr/bin/procmail

    smtpd_banner = $myhostname ESMTP

    Puis, à la fin du fichier ajouter :


    # for SMTP-Auth settings

    smtpd_sasl_type = dovecot

    smtpd_sasl_path = private/auth

    smtpd_sasl_auth_enable = yes

    smtpd_sasl_security_options = noanonymous

    smtpd_sasl_local_domain = $myhostname

    smtpd_client_restrictions = permit_mynetworks,permit

    smtpd_recipient_restrictions =
    permit_mynetworks,permit_auth_destination,permit_sasl_authenticated,reject

    virtual_alias_domains = domain2.tld

    virtual_alias_maps = hash:/etc/postfix/virtual

    Maintenant, il faut associer les adresses mail aux utilisateurs. On va déjà envoyer les mails
    systèmes à arthur en modifiant le fichier/etc/aliases :

    # Person who should get root's mail

    root: arthur

    Et maintenant, la redirection à partir des noms de domaine, dans le


    fichier /etc/postfix/virtual.

    # Tout envoyer à l'utilisateur système arthur

    @domain.tld arthur

    @domain2.tld arthur

    D'autres choses sont possible, selon vos besoins :


    # Redirection email

    pierre@domain.tld pierre@caramail.com

    # Plusieurs utilisateurs

    all@domain.tld arthur, pierre, andre, edouard@gmail.com

    # etc

    Suite à toutes ces modifications, on va demander à Postfix et au système de les prendre en


    compte :

    newaliases

    postmap /etc/postfix/virtual

    service postfix restart

    SMTP TLS pour Postfix


    Votre serveur SMTP devrait fonctionner correctement avec la configuration actuelle sur le port
    25. Mais, on préférera utiliser un connexion sécurisée avec le serveur SMTP, d'autant que le port
    25 est bloqué sur la majorité des FAI.

    Pour cela, on va créer un certificat SSL pour l'occasion. Commencez par le dossier :

    mkdir /etc/postfix/tls

    cd /etc/postfix/tls

    Puis générez le certificat:

    openssl req -new -key smtpd.key -out smtpd.csr

    openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
    openssl rsa -in smtpd.key -out smtpd.key.unencrypted

    mv -f smtpd.key.unencrypted smtpd.key

    openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -
    days 3650

    Maintenant, ajoutez à la fin du fichier /etc/postfix/main.cf :

    smtpd_use_tls=yes

    smtpd_tls_security = may

    smtpd_tls_security_level = may

    smtpd_tls_auth_only = no

    smtpd_tls_key_file = /etc/postfix/tls/smtpd.key

    smtpd_tls_cert_file = /etc/postfix/tls/smtpd.crt

    smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem

    smtpd_tls_loglevel = 1

    smtpd_tls_received_header = yes

    smtpd_tls_session_cache_timeout = 3600s

    tls_random_source = dev:/dev/urandom

    smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

    smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

    smtp_tls_loglevel = 1

    smtp_tls_note_starttls_offer = yes

    Une dernière étape et notre serveur SMTP sera parfait. Ouvrez le


    fichier /etc/postfix/master.cf, et décommentez la ligne suivante :
    submission inet n - n - - smtpd

    Configuration de Dovecot
    On a déjà fait une bonne partie du boulot, reste maintenant à configurer Dovecot, notre serveur
    IMAP.

    Commençons par le fichier /etc/dovecot/dovecot.conf :

    # Décommenter

    protocols = imap

    # Ajouter à la fin du fichier

    service auth {

    unix_listener /var/spool/postfix/private/auth {

    mode = 0660

    user = postfix

    group = postfix

    auth_mechanisms = plain login

    Le fichier /etc/dovecot/conf.d/10-mail.conf maintenant :

    mail_location =
    maildir:~/mail:LAYOUT=maildir++:INDEX=~/mail/index:CONTROL=~/mail/control

    Le fichier /etc/dovecot/conf.d/10-ssl.conf maintenant :


    ssl_cert = </etc/pki/tls/certs/server.crt

    ssl_key = </etc/pki/tls/private/server.key

    On redémarre tout ça, et ça va commencer à rouler :

    service dovecot start

    SpamAssassin et Procmail
    Dans la configuration précédente de Postfix, on a fait le choix de rediriger les nouveaux
    messages vers procmail. Ca signifie que pour tous vous utilisateurs systèmes (ici, on a
    seulement arthur), vous allez devoir créer un fichier .procmailrc qui explique au système ce
    qu'il doit faire des emails.

    De plus, c'est également dans ce fichier de configuration qu'on passer les emails entrants à la
    moulinette anti-spam de SpamAssassin.

    Créons donc notre vim ~/.procmailrc avec l'utilisateur arthur :

    # Prelimiaries

    SHELL=/bin/bash

    MAILDIR=$HOME/mail/

    DEFAULT=$MAILDIR

    ORGMAIL=$MAILDIR

    LOGFILE=/var/log/procmailrc.log

    VERBOSE=yes

    LOGABSTRACT=all

    # Send spam to '~/mail/.Spam' folder

    :0fw
    | /usr/bin/spamc

    :0:

    * ^X-Spam-Status: Yes.*

    ${MAILDIR}.Spam/

    # Accept all the rest to default mailbox

    :0

    Cette configuration est très basique, je vous invite à consulter l'ami Google si vous voulez
    personaliser ça.

    Dans l'état actuel, SpamAssassin va filtrer les emails selon ses filtres internes. Si vous voulez
    que le système prenne en compte les messages que vous marquez comme étant du spam
    (comportement GMail), consultez le tutoriel Marquer comme spam automatiquement avec
    SpamAssassin.

    Autorisations parefeu
    Plutôt que de modifier à la main le fichier /etc/sysconfig/iptables, on va utiliser
    l'outil system-config-firewall-tui (un coup de yum install system-config-firewall-
    tui si nécessaire).

    Après avoir activé le firewall “graphique”, cliquez sur Personnaliser et cochez :

     Courrier (SMTP)
     IMAP à travers SSL
    Vérifiez quand même dans le fichier /etc/sysconfig/iptables, les ports suivants sont bien
    ouverts:

     587 : SMTP avec STARTTLS


     993 : IMAP over SSL
    Configuration DNS
    L'une des dernières étapes est évidemment de faire pointer vos noms de domaine vers votre
    serveur mail tout neuf. La manipulation dépendra de votre registrar et de l'interface
    d'administration.

    Mais globalement ce que vous devez faire, c'est modifier votre Zone DNS :
     Ajouter une entrée de type A (IPv4) pour faire pointer le domaine principal et ses sous
    domaines vers votre serveur (parfois l'interface demande une *, parfois aucun sous
    domaine).
     Ajouter une entrée de type A (IPv4) pour faire pointer le sous domaine mail vers votre
    serveur (facultatif, mais ça sécurise si vous jouez avec par la suite).
     Ajouter une entrée de type MX (mail) vers le sous domaine (Record A) que vous avez
    appelé mail.
    Notez que la diffusion des DNS peut prendre un peu de temps, surtout si vous avez du
    cache DNS sur votre OS.

    Exemples :

    Vous aimerez peut-être aussi