Comment installer un relais mail sécurisé ?

L'utilisation nomade de l'email (sous entendu IMAP et SMTP) est devenue une pratique courante. Les utilisateurs souhaitent accéder à tout leurs dossiers et veulent envoyer et recevoir des emails où qu'ils soient.

Ce concept de plus en plus désiré (il suffit de voir les système BlackBerry, Palm,…) pose un problème relativement délicat à gérer pour l'administrateur du serveur email.

Dans une utilisation normale (c'est-à-dire les utilisateurs sont dans les murs sur le même réseau que le serveur email), la sécurisation du serveur est simple; on limite les relais SMTP au seuls réseaux connus. C'est la politique employée par les fournisseurs d'accès Internet.

Lorsque les utilisateurs se connectent sur n'importe quel réseau en dehors des murs de la société (WiFi, UMTS, hôtel,…), il faut assurer un minimum de sécurité.

Dans ce document, je vous présenterai comment mettre en place un relais IMAP et SMTP avec authentification et sécurisation SSL. En fin de document, je mentionnerai la configuration client à utiliser dans le cadre d'un usage avec Thunderbird installé sur un portable et la configuration d'un Palm avec SnapperMail.

Remarque : il existe un moyen simple pour un utilisateur distant d'accéder à toutes les ressources d'un réseau d'entreprise, le tunneling. Je suis assez contre cette solution si c'est pour ouvrir uniquement un accès mail car, premièrement, une connexion sous tunnel avec un client Microsoft Windows va envoyer une quantité inconsidérée de paquet pour les accès aux disques réseaux. Et deuxièmement, les accès avec des systèmes GSM, BlackBerry, Palm ou autres sont plus difficiles à mettre en oeuvre avec un tunnel.

En rédigeant cette documentation, je pars des principes suivants :

1. Vous avez une machine fonctionnelle et à jour sous Dapper.
2. Vous avez accès à un serveur IMAP ou POP3.
3. Vous avez accès à un serveur SMTP.

Remarque : ces serveurs peuvent être ceux de votre fournisseurs d'accès Internet.

Pour le relais de courrier au niveau IMAP et du POP3, j'utilise perdition. Perdition sert de relais pour les connexions sécurisées vers un serveur qui, à priori, ne l'est pas.

Pour installer perdition :

sudo apt-get install perdition

Voici les quelques configurations que j'ai utilisé pour effectuer le relais sécurisé IMAP. C'est-à-dire que j'ai un serveur IMAP en interne (simple, non sécurisé, les utilisateurs s'identifient avec login/mot de passe) et de l'extérieur, j'ai un serveur IMAPS (sécurisé en SSL, les utilisateurs s'identifient avec le même login/mot de passe).

Pour la configuration, je crée un fichier /etc/perdition/perdition.imap4s.conf avec les informations suivantes :

outgoing_server 192.168.0.5
outgoing_port 143
log_facility local5
no_lookup
timeout 40
imap_capability "IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE STARTTLS"
listen_port 993
ssl_mode ssl_listen
ssl_cert_file /etc/ssl/server.crt
ssl_key_file /etc/ssl/server.key

Mon serveur IMAP en interne est accédé à l'adresse 192.168.0.5 et sur le port 143.

Voici la configuration utilisée pour effectuer le relais vers un serveur POP3.

Pour la configuration, je crée un fichier /etc/perdition/perdition.imap4s.conf avec les informations suivantes :

outgoing_server 192.168.0.4
outgoing_port 110
log_facility local5
no_lookup
timeout 40
ssl_mode ssl_listen
ssl_cert_file /etc/ssl/server.crt
ssl_key_file /etc/ssl/server.key

Mon serveur POP3 en interne est accédé à l'adresse 192.168.0.4 et sur le port 110.

Contributeur : ostaquet