Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
perdition [Le 29/12/2006, 11:34] ostaquet Déplacée |
perdition [Le 02/03/2023, 00:42] (Version actuelle) sefran Ajout tag |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>dapper courrier serveur reseau communication securite brouillon}} | + | {{tag>serveur internet courrier réseau sécurité proxy mda VÉTUSTE}} |
---- | ---- | ||
Ligne 7: | Ligne 7: | ||
===== Introduction ===== | ===== Introduction ===== | ||
- | Ce tutoriel va vous apprendre comment installer un serveur de relais pour les protocoles POP, IMAP avec perdition. | + | **Perdition** est un serveur proxy pour les protocoles POP3, POP3S, IMAP4 et IMAP4S. Il est capable de gérer des connexions SSL ou non-SSL et rediriger les utilisateurs vers un serveur réel suivant l'utilisateur (qui se trouve dans une base de données ou pas). |
- | Nous parlerons ici de relais de consultation des messages depuis un MUA via les protocoles POP3 et IMAP. Cette configuration peut être utilisé pour un serveur relais en DMZ qui doit permetre au utilisateur extereur au réseau de consulter le serveur de messagereie interne grace a POP3 et IMAP. | + | **Perdition** est essentiellement utilisé pour créer des systèmes e-mail de grande envergure où les boîtes e-mails des utilisateurs se trouvent sur un ou plusieurs hôtes différents. Il peut être également utilisé comme solution transitoire pour passer d'une authentification "texte brut" à SSL. |
===== Pré-requis ===== | ===== Pré-requis ===== | ||
- | Il faut Univers et multivers dans le sources.list | ||
- | sudo vi /etc/apt/sources.list | + | * Posséder un serveur POP3 ou IMAP fonctionnel. |
+ | * Activer les [[:depots#universe_et_multiverse|dépôts Universe]]. | ||
- | modifier la ligne pour obtenir : | + | ===== Installation ===== |
- | deb http://fr.archive.ubuntu.com/ubuntu dapper main restricted universe multiverse | + | L'installation de **perdition** est très simple, il vous suffit d'installer le paquet ''perdition''. |
- | Commentez au passage la ligne | + | <code> |
+ | sudo apt-get install perdition | ||
+ | </code> | ||
- | # deb cdrom:[Ubuntu-Server 6.06 _Dapper Drake_ - Release i386 (20060531)]/ dapper main restricted | ||
- | Rechargez apt-get | + | ===== Configuration ===== |
- | sudo apt-get update | + | La configuration principale de **perdition** se fait dans le fichier ''/etc/perdition/perdition.conf''. Cependant, il est préférable d'utiliser d'autres sous-fichiers afin de faciliter la gestion de la configuration. |
- | ===== Installation ===== | + | Dans tous les fichiers de configuration qui suivent, vous trouverez les mots clés ''$SERVER$'' et ''$PORT$''. Il s'agit de l'adresse IP et du port sur lequel seront //transférés// les communications. |
- | sudo apt-get install perdition-ldap perdition-mysql perdition-dev perdition perdition-postgresql | + | Les configurations présentés ici sont uniquement du proxy sans intelligence. Vous pouvez dévier le traffic vers l'un ou l'autre serveurs e-mail suivant le nom de l'utilisateur ou le domaine. N'ayant pas expérimenté la chose, je vous renvoie à la documentation du projet pour savoir comment faire. |
- | ===== Configuration ===== | + | ==== Proxy pour l'IMAP4 (port 143) ==== |
+ | |||
+ | Ce proxy est un pur proxy; c'est-à-dire qu'il fait transiter des connexions IMAP4 vers un autre serveur IMAP4. C'est intéressant pour avoir un serveur **perdition** dans une zone démilitarisée (DMZ) qui transfère les communications vers un serveur du LAN. | ||
+ | |||
+ | Exemple de fichier ''/etc/perdition/perdition.imap4.conf'' : | ||
+ | |||
+ | <code> | ||
+ | outgoing_server $SERVER$ | ||
+ | log_facility local5 | ||
+ | no_lookup | ||
+ | timeout 40 | ||
+ | imap_capability "IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA ACL ACL2=UNION STARTTLS" | ||
+ | </code> | ||
+ | |||
+ | |||
+ | ==== Proxy pour l'IMAP4S (port 993) ==== | ||
+ | |||
+ | Ici, nous avons un proxy un peu plus intéressant. L'idée est de transférer des communications sécurisées (via SSL) vers des communications non-sécurisées. De cette manière, la partie chiffrage est dévouée à **perdition** pour éviter de charger le serveur d'e-mails réel. C'est un cas typique où le serveur **perdition** se trouve face à //Internet// pour les utilisateurs itinérants qui souhaitent avoir accès à leurs e-mails qui se trouve sur un serveur du LAN qui lui, n'a pas besoin de tout faire passer en SSL. | ||
+ | |||
+ | Exemple de fichier ''/etc/perdition/perdition.imap4s.conf'' : | ||
+ | |||
+ | <code> | ||
+ | outgoing_server $SERVER$ | ||
+ | outgoing_port $PORT$ | ||
+ | log_facility local5 | ||
+ | no_lookup | ||
+ | timeout 40 | ||
+ | imap_capability "IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA ACL ACL2=UNION STARTTLS" | ||
+ | ssl_mode ssl_listen | ||
+ | ssl_cert_file /etc/perdition/server.cert | ||
+ | ssl_key_file /etc/perdition/server.key | ||
+ | </code> | ||
+ | |||
+ | //Remarque : // Dans le cas décrit, la valeur de ''$PORT$'' est le port du serveur IMAP non-sécurisé qui se trouve dans le LAN. Par défaut, les liaisons IMAP normale se passent sur le port 143. | ||
+ | |||
+ | ==== Proxy pour le POP3 (port 110) ==== | ||
+ | |||
+ | Ce proxy est, de nouveau, un pur proxy; c'est-à-dire qu'il fait transiter des connexions POP3 vers un autre serveur POP3. C'est intéressant pour avoir un serveur **perdition** dans une zone démilitarisée (DMZ) qui transfère les communications vers un serveur du LAN ou pour passer par un de vos serveurs avant de se connecter sur celui d'un fournisseur d'accès. | ||
+ | |||
+ | Exemple de fichier ''/etc/perdition/perdition.pop3.conf'' : | ||
+ | |||
+ | <code> | ||
+ | outgoing_server $SERVER$ | ||
+ | log_facility local5 | ||
+ | no_lookup | ||
+ | timeout 40 | ||
+ | </code> | ||
+ | |||
+ | ==== Proxy pour le POP3S (port 995) ==== | ||
+ | |||
+ | L'idée est, à nouveau, de transférer des communications sécurisées (via SSL) vers des communications non-sécurisées. | ||
+ | |||
+ | Exemple de fichier ''/etc/perdition/perdition.pop3s.conf'' : | ||
+ | |||
+ | <code> | ||
+ | outgoing_server $SERVER$ | ||
+ | outgoing_port $PORT$ | ||
+ | log_facility local5 | ||
+ | no_lookup | ||
+ | timeout 40 | ||
+ | ssl_mode ssl_listen | ||
+ | ssl_cert_file /etc/perdition/server.cert | ||
+ | ssl_key_file /etc/perdition/server.key | ||
+ | </code> | ||
+ | |||
+ | //Remarque : // Dans le cas décrit, la valeur de ''$PORT$'' est le port du serveur POP3 non-sécurisé qui se trouve dans le LAN. Par défaut, les liaisons POP3 normale se passent sur le port 110. | ||
+ | |||
+ | ===== Remarques ===== | ||
+ | |||
+ | ==== Proxy par défaut dans perdition ==== | ||
+ | |||
+ | Si vous n'utilisez pas les proxy POP3, pensez à les désactiver. Pour se faire, indiquez un des protocoles qui passent par **perdition** à l'option ''PROTOCOL'' du fichier ''/etc/perdition/perdition.conf''. | ||
+ | |||
+ | Dans le cas contraire, le port POP3 sera ouvert alors qu'il n'est pas utilisé. | ||
+ | |||
+ | ==== Générer un certificat SSL personnel ==== | ||
- | Dans le fichier /etc/perdition/perdition.conf tout est commenté. | + | Pour générer un certificat SSL personnel (c'est-à-dire non authentifié par une autorité), vous pouvez utiliser ''openssl''. Une fois ''openssl'' installé : |
- | Editez le : | + | <code> |
+ | sudo apt-get install openssl | ||
+ | </code> | ||
- | sudo vi /etc/perdition/perdition.conf | + | Allez dans ''/etc/perdition'' : |
- | Recherchez outgoing_server et ajouter une ligne du type | + | <code> |
+ | cd /etc/perdition | ||
+ | </code> | ||
- | outgoing_server 192.168.1.10 | + | Lancez la génération des clés SSL : |
- | en remplacant 192.168.1.10 par l'adresse qui permet d'attendre le serveur de messagerie depuis la DMZ. (paramétrage du firewall a faire...) | + | <code> |
+ | sudo openssl genrsa -out server.key 1024 | ||
+ | sudo openssl req -new -key server.key -out server.csr | ||
+ | </code> | ||
- | ===== Test ===== | + | Répondez aux différentes questions et terminez la configuration : |
- | Pour tester la connexion au serveur instern depuis le serveur que l'on viens de paraméter. | + | |
- | jfgatineau@mail:~$ telnet 127.0.0.1 110 | + | <code> |
- | Trying 127.0.0.1... | + | sudo openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt |
- | Connected to 127.0.0.1. | + | sudo /etc/init.d/perdition restart |
- | Escape character is '^]'. | + | </code> |
- | +OK POP3 Ready mail 0001bf57 | + | |
- | user monuser | + | |
- | +OK USER monuser set, mate | + | |
- | pass xxxxxxxx | + | |
- | +OK You are so in | + | |
- | list | + | |
- | +OK 7 323415 | + | |
- | 1 3476 | + | |
- | 2 5972 | + | |
- | 3 93434 | + | |
- | 4 196943 | + | |
- | 5 15774 | + | |
- | 6 3531 | + | |
- | 7 4285 | + | |
- | . | + | |
- | quit | + | |
- | +OK Microsoft Exchange 2000 POP3 server version 6.0.6487.0 signing off. | + | |
- | Connection closed by foreign host. | + | |
- | Ce qui est entrée ci dessus : | + | ===== Liens ===== |
- | telnet 127.0.0.1 110 | + | |
- | user monuser | + | |
- | pass xxxxxxxx | + | |
- | list | + | |
- | quit | + | |
- | Voila tout est parfait. | + | * [[http://www.vergenet.net/linux/perdition/|Site officiel (EN)]] |
+ | * [[http://www.vergenet.net/linux/perdition/docs.shtml|Documentation officielle (EN)]] | ||
+ | * [[http://www.vergenet.net/linux/mail_farm/|Document sur la mise en place d'une "ferme de serveur e-mails" avec Perdition (EN)]] | ||
---- | ---- | ||
- | // Contributeur : ??? // | + | // Contributeur : [[utilisateurs:ostaquet]] // |