Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentes Révision précédente
Prochaine révision
Révision précédente
tutoriel:comment_installer_un_relais_mail_securise [Le 10/04/2007, 11:31]
ostaquet Poursuite de la rédaction
tutoriel:comment_installer_un_relais_mail_securise [Le 11/09/2022, 12:21] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
Ligne 1: Ligne 1:
-{{tag>dapper ​serveur ​securite authentification ​courrier tutoriel ​brouillon}}+{{tag>​serveur ​sécurité ​courrier tutoriel ​VÉTUSTE}}
  
 ---- ----
  
 ====== Comment installer un relais mail sécurisé ? ====== ====== Comment installer un relais mail sécurisé ? ======
 +
 +
  
 ===== Introduction ===== ===== Introduction =====
  
-L'​utilisation nomade ​de l'​email ​(sous entendu IMAP et SMTP) est devenue une pratique courante. Les utilisateurs souhaitent accéder à tout leurs dossiers et veulent envoyer et recevoir des emails ​où qu'ils soient.+L'​utilisation nomade ​du courriel ​(sous entendu IMAP et SMTP) est devenue une pratique courante. Les utilisateurs souhaitent accéder à tous leurs dossiers et veulent envoyer et recevoir des courriels ​où qu'ils soient.
  
-Ce concept de plus en plus désiré (il suffit de voir les système ​BlackBerry, Palm,...) pose un problème relativement délicat à gérer pour l'​administrateur du serveur ​email+Ce concept de plus en plus désiré (il suffit de voir les systèmes ​BlackBerry, Palm, ...) pose un problème relativement délicat à gérer pour l'​administrateur du serveur ​de courriel.
  
-Dans une utilisation normale (c'​est-à-dire les utilisateurs sont dans les murs sur le même réseau que le serveur ​email), la sécurisation du serveur est simple; on limite les relais SMTP au seuls réseaux connus. C'est la politique employée par les fournisseurs d'​accès Internet.+Dans une utilisation normale (c'​est-à-dire les utilisateurs sont dans les murs sur le même réseau que le serveur ​de courriel), la sécurisation du serveur est simple; on limite les relais SMTP aux seuls réseaux connus. C'est la politique employée par les fournisseurs d'​accès Internet.
  
-Lorsque les utilisateurs se connectent sur n'​importe quel réseau en dehors des murs de la société (WiFi, UMTS, hôtel,​...),​ il faut assurer un minimum de sécurité.+Lorsque les utilisateurs se connectent sur n'​importe quel réseau en dehors des murs de la société (WiFi, UMTS, hôtel, ...), il faut assurer un minimum de sécurité.
  
 Dans ce document, je vous présenterai comment mettre en place un relais IMAP et SMTP avec authentification et sécurisation SSL. En fin de document, je mentionnerai la configuration client à utiliser dans le cadre d'un usage avec Thunderbird installé sur un portable et la configuration d'un Palm avec SnapperMail. Dans ce document, je vous présenterai comment mettre en place un relais IMAP et SMTP avec authentification et sécurisation SSL. En fin de document, je mentionnerai la configuration client à utiliser dans le cadre d'un usage avec Thunderbird installé sur un portable et la configuration d'un Palm avec SnapperMail.
  
-// Remarque : il existe un moyen simple pour un utilisateur distant d'​accéder à __toutes__ les ressources d'un réseau d'​entreprise, ​**le tunneling**. Je suis assez contre cette solution si c'est pour ouvrir uniquement un accès ​mail car, premièrement,​ une connexion sous tunnel avec un client Microsoft Windows va envoyer une quantité inconsidérée de paquet pour les accès aux disques réseaux. Et deuxièmement,​ les accès avec des systèmes GSM, BlackBerry, Palm ou autres sont plus difficiles à mettre en oeuvre ​avec un tunnel. //+// Remarque : il existe un moyen simple pour un utilisateur distant d'​accéder à __toutes__ les ressources d'un réseau d'​entreprise, ​la tunnellisation. Je suis assez contre cette solution si c'est pour ouvrir uniquement un accès ​courriel ​car, premièrement,​ une connexion sous tunnel avec un client Microsoft Windows va envoyer une quantité inconsidérée de paquet pour les accès aux disques réseaux. Et deuxièmement,​ les accès avec des systèmes GSM, BlackBerry, Palm ou autres sont plus difficiles à mettre en œuvre ​avec un tunnel. //
  
 ===== Pré-requis ===== ===== Pré-requis =====
Ligne 30: Ligne 32:
  
 ===== Installation et configuration de base ===== ===== Installation et configuration de base =====
 +
  
  
 ==== Création des certificats SSL ==== ==== Création des certificats SSL ====
  
-Il existe beaucoup de site expliquant comment créer un certificat SSL personnel. Voici une technique ​qui fonctionne mais dans laquelle je ne donne pas beaucoup de détails. +Il existe beaucoup de site expliquant comment créer un certificat SSL personnel. ​[[tutoriel:​comment_creer_un_certificat_ssl|Voici une technique ​détaillée ​dans le wiki.]]
- +
-Le paquet ''​openssl''​ doit être installé par la commande : +
- +
-<​code>​ +
-sudo apt-get install openssl +
-</​code>​ +
- +
-Commencez par créer un répertoire pour contenir les certificats : +
- +
-<​code>​ +
-sudo mkdir /etc/ssl +
-</​code>​ +
- +
-Placez-vous dans ce répertoire et créez la clé : +
- +
-<​code>​ +
-cd /etc/ssl +
-sudo openssl genrsa -out server.key 1024 +
-</​code>​ +
- +
-Introduisez les informations relatives au certificat. Veillez simplement à mettre ​le nom du serveur tel qu'il est appelé de l'​extérieur dans le champ ''​YOUR NAME''​ (par exemple : ''​relay.ubuntu-fr.org''​) : +
- +
-<​code>​ +
-sudo openssl req -new -key server.key -out server.csr +
-</​code>​ +
- +
-Enfin, générez le certificat final au format x509 pour 365 jours (1 an) : +
- +
-<​code>​ +
-sudo openssl x509 -req -days 365 -in server.crt -signkey server.key -out server.crt +
-</​code>​+
  
 //Remarque : ce certificat n'est authentifié par aucune autorité, vous aurez donc un message d'​avertissement quand vous vous connectez au serveur. Thunderbird prévoit une option : "​Toujours faire confiance à..." qu'il convient d'​utiliser. // //Remarque : ce certificat n'est authentifié par aucune autorité, vous aurez donc un message d'​avertissement quand vous vous connectez au serveur. Thunderbird prévoit une option : "​Toujours faire confiance à..." qu'il convient d'​utiliser. //
Ligne 85: Ligne 57:
 Pour la configuration,​ je crée un fichier ''/​etc/​perdition/​perdition.imap4s.conf''​ avec les informations suivantes : Pour la configuration,​ je crée un fichier ''/​etc/​perdition/​perdition.imap4s.conf''​ avec les informations suivantes :
  
-<code>+<file>
 outgoing_server 192.168.0.5 outgoing_server 192.168.0.5
 outgoing_port 143 outgoing_port 143
Ligne 96: Ligne 68:
 ssl_cert_file /​etc/​ssl/​server.crt ssl_cert_file /​etc/​ssl/​server.crt
 ssl_key_file /​etc/​ssl/​server.key ssl_key_file /​etc/​ssl/​server.key
-</code>+</file>
    
 Mon serveur IMAP en interne est accédé à l'​adresse ''​192.168.0.5''​ et sur le port ''​143''​. Mon serveur IMAP en interne est accédé à l'​adresse ''​192.168.0.5''​ et sur le port ''​143''​.
Ligne 104: Ligne 76:
 Voici la configuration utilisée pour effectuer le relais vers un serveur POP3. Voici la configuration utilisée pour effectuer le relais vers un serveur POP3.
  
-Pour la configuration,​ je crée un fichier ''/​etc/​perdition/​perdition.imap4s.conf''​ avec les informations suivantes :+Pour la configuration,​ je crée un fichier ''/​etc/​perdition/​perdition.pop3s.conf''​ avec les informations suivantes :
  
-<code>+<file>
 outgoing_server 192.168.0.4 outgoing_server 192.168.0.4
 outgoing_port 110 outgoing_port 110
Ligne 115: Ligne 87:
 ssl_cert_file /​etc/​ssl/​server.crt ssl_cert_file /​etc/​ssl/​server.crt
 ssl_key_file /​etc/​ssl/​server.key ssl_key_file /​etc/​ssl/​server.key
-</code>+</file>
  
 Mon serveur POP3 en interne est accédé à l'​adresse ''​192.168.0.4''​ et sur le port ''​110''​. Mon serveur POP3 en interne est accédé à l'​adresse ''​192.168.0.4''​ et sur le port ''​110''​.
- 
  
 ==== Installation et configuration de Postfix avec SASL ==== ==== Installation et configuration de Postfix avec SASL ====
Ligne 134: Ligne 105:
 Ensuite, nous allons configurer Postfix en tant que relais simple (avant de rajouter l'​authentification et le SSL). Pour ce faire, on modifie le fichier de configuration ''/​etc/​postfix/​main.cf''​ de la manière suivante : Ensuite, nous allons configurer Postfix en tant que relais simple (avant de rajouter l'​authentification et le SSL). Pour ce faire, on modifie le fichier de configuration ''/​etc/​postfix/​main.cf''​ de la manière suivante :
  
-<code>+<file>
 # See /​usr/​share/​postfix/​main.cf.dist for a commented, more complete version # See /​usr/​share/​postfix/​main.cf.dist for a commented, more complete version
  
Ligne 156: Ligne 127:
 recipient_delimiter = + recipient_delimiter = +
 inet_interfaces = all inet_interfaces = all
-</code>+</file>
  
 Dans notre exemple, on travailler pour le domaine ''​ubuntu-fr.org''​ et le serveur SMTP réel est ''​192.168.0.3''​. Dans notre exemple, on travailler pour le domaine ''​ubuntu-fr.org''​ et le serveur SMTP réel est ''​192.168.0.3''​.
Ligne 176: Ligne 147:
 On configure SASL en éditant le fichier ''/​etc/​default/​saslauthd''​ afin qu'il ressemble à ceci : On configure SASL en éditant le fichier ''/​etc/​default/​saslauthd''​ afin qu'il ressemble à ceci :
  
-<code>+<file>
 START=yes START=yes
 MECHANISMS="​sasldb"​ MECHANISMS="​sasldb"​
-</code>+</file>
  
-On configure le répertoire de travail de SASL en éditant le fichier ''/​etc/​init.d/​saslauthd''​. Trouvez une ligne commençant par ''​PARAMS="​..."''​ et ajoutez avant les guillemets de fermeture ​+On configure le répertoire de travail de SASL en éditant le fichier ''/​etc/​default/​saslauthd''​. Trouvez une ligne commençant par ''​OPTIONS="​..."''​ et remplacez la par :
  
-<code+<file
--m /​var/​spool/​postfix/​var/​run/​saslauthd +OPTIONS="​-c ​-m /​var/​spool/​postfix/​var/​run/​saslauthd" 
-</code>+</file>
  
 On crée les différents répertoires nécessaires à SASL : On crée les différents répertoires nécessaires à SASL :
  
-<code+<file
-mkdir /​var/​spool/​postfix/​var +dpkg-statoverride --add root sasl 710 /​var/​spool/​postfix/​var/​run/​saslauthd 
-mkdir /​var/​spool/​postfix/​var/​run +</file>
-mkdir /​var/​spool/​postfix/​var/​run/​saslauthd +
-chown -root.sasl /​var/​spool/​postfix/​var/​run/​saslauthd +
-</code>+
  
-Et enfin, on désactives ​une bibliothèque d'​authentification qui pose problème (je n'ai pas trouver d'​autre solution pour le moment) :+Et enfin, on désactive ​une bibliothèque d'​authentification qui pose problème (Edit : 23/01/2022. Cette modification ne semble plus être utile.) :
  
 <​code>​ <​code>​
Ligne 214: Ligne 182:
 Créez le fichier ''/​etc/​postfix/​sasl/​smtpd.conf''​ et indiquez :  Créez le fichier ''/​etc/​postfix/​sasl/​smtpd.conf''​ et indiquez : 
  
-<code>+<file>
 pwcheck_method:​ saslauthd pwcheck_method:​ saslauthd
 mech_list: plain login mech_list: plain login
-</code>+</file>
  
 Modifiez le contenu du fichier ''/​etc/​postfix/​main.cf''​ en ajoutant les lignes suivantes : Modifiez le contenu du fichier ''/​etc/​postfix/​main.cf''​ en ajoutant les lignes suivantes :
  
-<code>+<file>
 smtpd_tls_cert_file=/​etc/​ssl/​server.crt smtpd_tls_cert_file=/​etc/​ssl/​server.crt
 smtpd_tls_key_file=/​etc/​ssl/​server.key smtpd_tls_key_file=/​etc/​ssl/​server.key
Ligne 235: Ligne 203:
  
 smtpd_recipient_restrictions = permit_sasl_authenticated,​ reject smtpd_recipient_restrictions = permit_sasl_authenticated,​ reject
-</code>+</file>
  
 Redémarrez Postfix, vous devriez pouvoir vous connecter sur le port SMTP standard (25) en identification TLS (lisez la section concernant les mots de passe au préalable, car sans login, la connexion ne fonctionnera pas). Redémarrez Postfix, vous devriez pouvoir vous connecter sur le port SMTP standard (25) en identification TLS (lisez la section concernant les mots de passe au préalable, car sans login, la connexion ne fonctionnera pas).
Ligne 247: Ligne 215:
 Si tout fonctionne, il ne reste plus qu'à autoriser les connexions uniquement en SMTPS. Pour ce faire, modifiez le fichier ''/​etc/​postfix/​master.cf''​ en commentant la ligne suivante : Si tout fonctionne, il ne reste plus qu'à autoriser les connexions uniquement en SMTPS. Pour ce faire, modifiez le fichier ''/​etc/​postfix/​master.cf''​ en commentant la ligne suivante :
  
-<code>+<file>
 #smtp      inet  n       ​- ​      ​- ​      ​- ​      ​- ​      smtpd #smtp      inet  n       ​- ​      ​- ​      ​- ​      ​- ​      smtpd
-</code>+</file>
  
 et en décommentant les lignes suivantes : et en décommentant les lignes suivantes :
  
-<code>+<file>
 submission inet n      -       ​- ​      ​- ​      ​- ​      smtpd submission inet n      -       ​- ​      ​- ​      ​- ​      smtpd
         -o smtpd_etrn_restrictions=reject         -o smtpd_etrn_restrictions=reject
Ligne 259: Ligne 227:
 smtps    inet  n       ​- ​      ​- ​      ​- ​      ​- ​      smtpd smtps    inet  n       ​- ​      ​- ​      ​- ​      ​- ​      smtpd
         -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes         -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes
-</code>+</file>
  
 Rechargez la configuration de Postfix : Rechargez la configuration de Postfix :
Ligne 266: Ligne 234:
 sudo /​etc/​init.d/​postfix restart sudo /​etc/​init.d/​postfix restart
 </​code>​ </​code>​
 +
  
 ===== Gestion des utilisateurs ===== ===== Gestion des utilisateurs =====
 +
 +Pour ce qui est de l'IMAP ou du POP3, l'​authentification est déléguée au serveur sous-jacent.
 +
 +Pour ce qui est du SMTP, l'​authentification est gérée à partir de SASL (démon ''​saslauthd''​). Le fichier des mots de passe se trouve en ''/​etc/​sasldb2''​.
 +
 +Pour ajouter un utilisateur,​ modifier un mot de passe ou supprimer un utilisateur; ​ vous pouvez utiliser la commande ''​saslpasswd2''​ (voir la manpage pour plus de détail). Par exemple : 
 +
 +<​code>​
 +sudo saslpasswd2 -c ostaquet -u ubuntu-fr.org
 +</​code>​
 +
 +Une seule restriction,​ le mot de passe d'un utilisateur ne peut pas être ''​userPassword''​.
 +
 +Pour lister les utilisateurs :
 +
 +<​code>​
 +sudo sasldblistusers2
 +</​code>​
  
 ===== Configuration des clients ===== ===== Configuration des clients =====
 +
  
 ==== Thunderbird sur Windows/​Linux ==== ==== Thunderbird sur Windows/​Linux ====
 +
 +Sous Thunderbird,​ vous devez créer un nouveau compte.
 +
 +Dans les paramètres des comptes, onglet "​Paramètres serveur"​. Indiquez serveur IMAP et sélectionnez "​SSL"​ pour les paramètres de sécurité. La procédure est semblable pour le POP3.
 +
 +Pour les envois de courrier, allez dans "​Serveur sortant (SMTP)"​. Dans la partie "​Sécurité et authentification",​ sélectionnez "​SSL"​ et "​Utiliser un nom d'​utilisateur et un mot de passe"​.
 +
  
 ==== SnapperMail sur Palm ==== ==== SnapperMail sur Palm ====
  
-===== Liens =====+Après avoir longtemps chercher un bon client de messagerie pour Palm (avec l'​IMAPS),​ je me suis arrêté sur [[http://​www.snappermail.com|SnapperMail]] qui fonctionne à merveille pour un usage en entreprise. Il est vrai qu'il est payant mais il fonctionne très bien. Pour ceux qui n'ont besoin que du POP3, le client VersaMail fournit par Palm fonctionne très bien. 
 + 
 +Pour configurer [[http://​www.snappermail.com|SnapperMail]],​ allez dans la configuration des comptes. Lorsque vous avez les adresses des serveurs sous les yeux, cliquez sur "​Advanced option"​ et sélectionnez "​Always secure (wrapped port)"​. Les ports utilisés sont : 465 pour le SMTPS, 995 pour le POP3S et 993 pour l'​IMAP4S.
  
 ---- ----
  
 // Contributeur : [[utilisateurs:​ostaquet]] // // Contributeur : [[utilisateurs:​ostaquet]] //
  • tutoriel/comment_installer_un_relais_mail_securise.1176197488.txt.gz
  • Dernière modification: Le 18/04/2011, 14:50
  • (modification externe)