Hop, Pour le webmail, j’en ai parl\u00e9 d\u00e9j\u00e0 quelques fois sur mon blog et derni\u00e8rement, la version 0.3 de roundcubemail a fait de gros progr\u00e8s par rapport \u00e0 la 0.1. Ca s’installe en 3 clics. Si j’ai le temps je ferai un article, mais c’est mal barr\u00e9.<\/p>\n Avoir un serveur postfix correctement mont\u00e9, avec (ou pas) amavis, spamassassin, un anti-virus, du greylisting, un nom correct etc. Bref, un serveur qui fonctionne et qui accepte les mails correspondant \u00e0 des Maildir d’utilisateur de l’OS. En gros, ce qui est expliqu\u00e9 l\u00e0 <\/a>. Je n’ai pas trouv\u00e9 de doc officielle sur le sujet. En gros, on a J’ai donc compil\u00e9 tout un tas de diff\u00e9rents articles le sujet, parfois incomplet, parfois des articles d\u00e9crivant des m\u00e9thodes \u00e0 grand coup de compilation-c-est-p\u00e9nible-et-stupide-pour-suivre-les-mises-\u00e0 -jour etc. Parfois sans gestion de quota, parfois avec. Et en g\u00e9n\u00e9ral, en expliquant rien du tout. Donc dans mon cas, je t\u00e2che d’expliquer ce qu’on fait.<\/p>\n Alors, comme \u00e0 mon habitude, je laisserai trainer 2\/3 bugs que j’ai pu rencontrer (de ma faute), \u00e7a peut permettre d’aider si vous faites les m\u00eames erreurs. Et on y apprend l’existence de quelques outils pour tester en ligne de commande.<\/p>\n Remarque pour la partie quota qui ne fonctionne pas nativement dans postfix<\/strong>, je la passe sous silence volontairement au d\u00e9but et y consacre un chapitre \u00e0 la fin. En effet, c’est relativement dissoci\u00e9 de tout le reste et \u00e7a implique de recompiler postfix (ou d’utiliser un .deb fourni par je ne sais qui, mais vous \u00eates d\u00e9pendant de lui pour les mises \u00e0 jour). Comme certains se moqueront des quotas, je le traite \u00e0 la fin. Beaucoup de guides de mise en place m\u00e9langent tout et pr\u00e9voient des fonctions qu’ils n’exploitent pas. J’essaye pour ma part de faire des briques dissociables.<\/p>\n J’ai aussi tout install\u00e9 sur un unique serveur. Ce n’est pas une n\u00e9cessit\u00e9, sur une grosse installation par exemple.<\/p>\n A ce propos, j’ai lu \u00e0 peu pr\u00e8s tout ce qui suit (et plein d’autres) pour monter le serveur, notamment les 2 premiers lien. J’ai m\u00eame en gros simplement repomp\u00e9, traduit et expliqu\u00e9 :<\/p>\n En gros, on va :<\/p>\n Pour une fois, tout ne descend pas par d\u00e9pendance, car les diff\u00e9rents modules d’authentification (identification via une base MySQL) ne sont pas obligatoires, donc pas de d\u00e9pendance. Donc pour une fois il faut absolument tout copier-coller. Pour illustrer, installer On a donc :<\/p>\n Vous pouvez \u00e0 la limite zapper certains, comme le POP, si vous ne comptez pas l’utiliser. Notez que les webmails tapent en IMAP, si vous ne le saviez pas.<\/p>\n J’ai vu des d\u00e9finitions de base hyper compl\u00e8te, pour d\u00e9sactiver le POP (ou je ne sais quoi d’autre) par utilisateur. Sachez qu’il sera toujours temps d’ajouter une colonne \u00e0 une table, de mettre des valeurs par d\u00e9faut et d’ajouter une r\u00e8gle dans postfix pour prendre en compte une nouvelle fonctionnalit\u00e9 (c’est d’ailleurs ce qu’on fera pour les quotas de bo\u00eetes mails). Donc faisons simple au d\u00e9but.<\/p>\n On cr\u00e9e une base et un utilisateur d\u00e9di\u00e9, avec des droits pas trop larges. Une fois connect\u00e9 en root dans votre base (exemple : ATTENTION : dans toute la suite, le nom de la base, le nom des tables, les identifiants etc sont \u00e0 modifier pour refl\u00e9ter votre installation. Attention \u00e0 ne pas copier-coller trop vite.<\/p><\/blockquote>\n Ensuite, dans la base \u00ab\u00a0postfix\u00a0\u00bb, on cr\u00e9e quelques tables :<\/p>\n Ces 4 tables permettront, dans l’ordre, de :<\/p>\n Le principe est le suivant : on a cr\u00e9\u00e9 des tables avec des noms de colonnes et de tables libres (on aurait pu tout changer), on doit donc indiquer \u00e0 postfix comment v\u00e9rifier un mot de passe, voir s’il y a un forward etc. Pour chaque action, on a une directive dans Voici les 4 fichiers de conf pour les 4 tables pr\u00e9c\u00e9dement cr\u00e9\u00e9es : Fichier Fichier Fichier Ensuite on s\u00e9curise ces fichiers qui contiennent des infos sensibles sur la base d’authentification de mails :<\/p>\n Le principe est le suivant : on indique un r\u00e9pertoire racine, avec un utilisateur d\u00e9di\u00e9 sous lequel tout est stock\u00e9. Donc, disons que que le r\u00e9pertoire racine de stockage des bo\u00eetes mails sera Attention, vous allez aussi recopier le contenu de \/etc\/skel dans \/vmailboxes, le home de \u00ab\u00a0vmail\u00a0\u00bb. Ce n’est pas forc\u00e9ment utile. Adaptez au besoin.<\/p>\n Dans un premier temps, je n’ajoute pas toute la conf dans Les fichiers de conf MySQL en \u00ab\u00a0mode proxy\u00a0\u00bb (si on peut dire) permettent d’optimiser les acc\u00e8s en conservant en m\u00e9moire le contenu. Pratique pour \u00e9viter une tonne d’acc\u00e8s disque inutile.<\/p>\n N’oubliez pas de g\u00e9n\u00e9rer le fichier virtual.db, la \u00ab\u00a0version base de donn\u00e9es\u00a0\u00bb associ\u00e9e au fichier \u00ab\u00a0virtual\u00a0\u00bb. Il vous sert \u00e0 faire suivre par exemple certains comptes locaux vers d’autres adresses e-mails. Pour centraliser vos remont\u00e9es de serveur autre part.<\/em><\/p>\n Rechargez postfix, \u00e7a devrait bien se passer. Allez voir dans Pour cr\u00e9er une bo\u00eete, il faudra au minimum :<\/p>\n Tout comme en postfix \u00ab\u00a0normal\u00a0\u00bb, on indique dans \u00ab\u00a0mydestination\u00a0\u00bb la liste des noms de domaines g\u00e9r\u00e9s, il faut ici les indiquer dans la base. Et les supprimer de \u00ab\u00a0mydestination\u00a0\u00bb si vous les g\u00e9riez localement jusqu’alors. On cr\u00e9e simplement un enregistrement en base :<\/p>\n (Je suppose que Simplissime, dans la base aussi :<\/p>\n Connect\u00e9 localement, par exemple, sur la machine, envoyez un mail en ligne de commande, avec mailx, mutt. Ce que vous voulez. Dans cette proc\u00e9dure de cr\u00e9ation d’un compte, je sugg\u00e8re d’ajouter, pour le webmail, la cr\u00e9ation des r\u00e9pertoires habituels d’un compte en IMAP. Si vous ne comptez livrer que des bo\u00eetes r\u00e9cup\u00e9rables en POP, ne vous cassez pas la t\u00eate, c’est inutile. Vous devriez voir les sous-r\u00e9pertoires .Sent, .Junk etc avec \u00e0 chaque fois le cur\/tmp\/new et des permissions restreintes \u00e0 l’utilisateur vmail.<\/p>\n Voil\u00e0 , la bo\u00eete sait recevoir et postfix sait g\u00e9rer nos comptes virtuels, pour livrer le courier dans les bo\u00eetes virtuelles.<\/p>\n Si besoin, pensez \u00e0 inclure la cr\u00e9ation du fichier suivant dans votre proc\u00e9dure de cr\u00e9ation de bo\u00eete mail :<\/p>\n Dans la table forwardings, \u00e0 base de :<\/p>\n Actif imm\u00e9diatement. Pas plus compliqu\u00e9 que \u00e7a :).<\/p>\n Ici, on voit cr\u00e9er les services POP, IMAP et leurs versions s\u00e9curis\u00e9es. Le tout sur fond d’authentification des utilisateurs d\u00e9finis en base MySQL.<\/p>\n Simplement, dans Dans Ici, bien \u00e9videmment, les valeurs indiqu\u00e9es refl\u00e8tent les noms choisis en base.<\/p>\n Cette partie est optionnelle, si vous ne voulez pas du POP3S et IMAPS. Dans ce cas vous pouvez aussi d\u00e9sinstaller On modifie les fichiers de conf de g\u00e9n\u00e9ration des certificats des daemon POP et IMAP s\u00e9curis\u00e9s :<\/p>\n Et pour, l’IMAP :<\/p>\n Et on g\u00e9n\u00e8re les certificats \u00e0 partir de ces mod\u00e8les. Ca ne fait que conna\u00eetre \u00e0 l’avance certains param\u00e8tres :<\/p>\n Et :<\/p>\n Ay\u00e9, tout est pr\u00eat, les certificats sont g\u00e9n\u00e9r\u00e9s, on red\u00e9marre tout ce monde :<\/p>\n D\u00e9j\u00e0 , faites un telnet sur chaque port, 143, 993, 110, 995 pour voir si \u00e7a r\u00e9pond bien. Ces erreurs m’ont permis de d\u00e9couvrir la commande authtest pour faire des tests d’aut<\/p>\n J’ai commenc\u00e9 par tester l’authentification IMAP en local (depuis un webmail, roundcube, install\u00e9 sur la m\u00eame machine). Ca ne passait pas. J’ai test\u00e9 depuis Thunderbird, pareil (pas \u00e9tonnant), mais cette fois \u00e7a a g\u00e9n\u00e9r\u00e9 un message dans les logs, genre Oops, il manquait le package Ensuite, j’ai eu le droit \u00e0 une vraie erreur :<\/p>\n C’est l’occasion de mentionner la commande Activez le debug dans En cherchant un peu, j’ai vu qu’il restait le champ MYSQL_NAME_FIELD dans A ce moment l\u00e0, tout marche pour la r\u00e9cup\u00e9ration, webmail aussi (puisque IMAP aussi).<\/p>\n Pour bien comprendre, on va activer 2 modes : SASL et TLS – encore que le mode TLS reste optionnel. Vous pourriez dans ce cas d\u00e9sinstaller les paquets concern\u00e9s. Pour ne pas se perdre, il faut comprendre que postfix va d\u00e9l\u00e9guer l’authentification \u00e0 une couche d’abstraction, SASL. On va dire \u00e0 SASL de se baser sur le m\u00e9canisme PAM (Pluggable Authentication Module) et on va dire \u00e0 PAM de contr\u00f4ler les logins\/passwords dans une base MySQL, en lui d\u00e9crivant cette base. Pig\u00e9 ?<\/p>\n SASL est chroot\u00e9 (je ne me souviens plus bien, mais c’est le boxon, j’ai d\u00fb en parler dans des posts pr\u00e9c\u00e9dents<\/a>) Ensuite, on param\u00e8tre le daemon SASL correctement : Le reste du fichier par d\u00e9faut doit \u00eatre bon (DESC=\u00a0\u00bbSASL Authentication Daemon\u00a0\u00bb, NAME=\u00a0\u00bbsaslauthd\u00a0\u00bb, MECHANISMS=\u00a0\u00bbpam\u00a0\u00bb, MECH_OPTIONS=\u00a0\u00bb\u00a0\u00bb, THREADS=5).<\/p>\n Vous pourrez voir au passage qu’on indique (via le param\u00e8tre MECHANISMS) \u00e0 SASL d’utiliser PAM. Dans Maintenant que SASL sait faire le boulot en base de donn\u00e9es, on configure postfix pour authentifier les utilisateurs via SASL\/PAM\/MYSQL. Ajoutez l’utilisateur postfix au groupe sasl :<\/p>\n Enfin, expliquer \u00e0 postfix de bien vouloir relayer les envois d’utilisateurs authentifi\u00e9s via SASL. Ce qui donne par exemple dans C’est surtout le \u00ab\u00a0permit_sasl_authenticated\u00a0\u00bb qui nous int\u00e9resse l\u00e0. Dans IMPORTANT <\/strong>: le \u00ab\u00a0Common Name\u00a0\u00bb doit correspondonre \u00e0 votre On ajoute pour finir la conf suivante pour activer le TLS et indiquer le certificat \u00e0 utiliser. Dans Red\u00e9marrez postfix et saslauthd via les Apr\u00e8s un rapide telnet sur le port 25 (quand m\u00eame), testez avec un \u00ab\u00a0ehlo mailhost\u00a0\u00bb puor voir si le TLS est activ\u00e9 :<\/p>\n Ensuite, comme pour la r\u00e9ception des mails, testez avec un client mail correct, en mode SMTP normal et avec TLS.<\/p>\n Tous les tests SMTP, avec et sans TLS \u00e9taient KO. Dans les logs, simplement \u00e7a :<\/p>\n Je me souviens avoir utilis\u00e9
\nApr\u00e8s ma doc d’initiation Debian<\/a>, o\u00f9 un rapide chapitre est consacr\u00e9 au montage d’un serveur postfix, spamassassin, greylisting etc, dans une configuration simple,
\nApr\u00e8s cet article sur le montage complet cette fois<\/a>, en incluant amavisd-new, anti-virus etc,
\n=> Voici le compl\u00e9ment id\u00e9al, par exemple en PME (et m\u00eame plus gros) :<\/p>\n\n
Situation de d\u00e9part<\/h2>\n
\nJe ne parlerai pas d’ouverture de ports r\u00e9seaux etc, mais \u00e7a tombe sous le sens. Ni du fait qu’il vous faudra une base MySQL en \u00e9tat de marche.<\/p>\npostfix-mysql<\/code> qui permet de faire le lien entre le serveur de mails et la base, mais rien dans un gros fichier README qu’on a habituellement avec ce genre de paquet. Ou alors je l’ai loup\u00e9.
\nLe \u00ab\u00a0postfix mysql howto<\/em>\u00a0\u00bb est juste r\u00e9sum\u00e9 \u00e0 \u00e7a : http:\/\/www.postfix.org\/MYSQL_README.html<\/a> et \u00e7a : http:\/\/www.postfix.org\/mysql_table.5.html<\/a>. Et pour le coup, ce n’est pas tr\u00e8s sexy.<\/p>\nAutres documentations<\/h2>\n
\n
Grandes \u00e9tapes de la proc\u00e9dure<\/h2>\n
\n
Installation des paquets<\/h1>\n
courier-authlib<\/code> n’am\u00e8ne pas forc\u00e9ment courier-authlib-mysql<\/code>.<\/p>\n\r\naptitude install postfix-mysql courier-pop courier-pop-ssl courier-imap courier-imap-ssl postfix-tls libsasl2-2 libsasl2-modules libsasl2-modules-sql sasl2-bin libpam-mysql openssl courier-authdaemon courier-authlib-mysql<\/pre>\n
Connexion postfix <-> MySQL<\/h1>\n
Cr\u00e9ation de la base de donn\u00e9es<\/h2>\n
mysql -u root -p<\/code>), on cr\u00e9e la base et donne des droits \u00e0 cet utilisateur qu’on cr\u00e9e au passage :<\/p>\nmysql> create database postfix;\r\nQuery OK, 1 row affected (0.00 sec)\r\n\r\nmysql> grant select,insert,update,delete on postfix.* TO 'mail_adm'@'localhost' identified by 'monpassadmin';\r\nQuery OK, 0 rows affected (0.00 sec)\r\n\r\nmysql> flush privileges;\r\nQuery OK, 0 rows affected (0.00 sec)<\/pre>\n
use postfix;\r\n\r\nCREATE TABLE domains (\r\n domain varchar(50) NOT NULL,\r\n PRIMARY KEY (domain)\r\n);\r\nCREATE TABLE forwardings (\r\n source varchar(80) NOT NULL,\r\n destination TEXT NOT NULL,\r\n PRIMARY KEY (source)\r\n);\r\nCREATE TABLE users (\r\n email varchar(80) NOT NULL,\r\n password varchar(20) NOT NULL,\r\n PRIMARY KEY (email)\r\n);\r\nCREATE TABLE transport (\r\n domain varchar(128) NOT NULL default '',\r\n transport varchar(128) NOT NULL default '',\r\n UNIQUE KEY domain (domain)\r\n);<\/pre>\n
\n
Cr\u00e9ation des requ\u00eates pour savoir comment interroger ces tables<\/h2>\n
\/etc\/postfix\/main.cf<\/code> et un fichier de conf d\u00e9crivant la base et la requ\u00eate.
\nLe truc \u00e9norme, c’est qu’on pourrait ajouter n’importe quelle colonne (attribut) pour ajouter un test. Exemple stupide : le password est OK entre 8h et 20h, sinon impossible de relever ses mails.
\nOn ajouterait une colonne et une clause suppl\u00e9mentaire dans le WHERE, tenant compte de l’heure et d’horaires autoris\u00e9s pour tel utilisateur.<\/p>\n
\nFichier \/etc\/postfix\/mysql-virtual_domains.cf<\/code> :<\/p>\nuser = mail_adm\r\npassword = monpassadmin\r\ndbname = postfix\r\nquery = SELECT domain AS virtual FROM domains WHERE domain='%s'\r\nhosts = 127.0.0.1<\/pre>\n
\/etc\/postfix\/mysql-virtual_forwardings.cf<\/code> :<\/p>\nuser = mail_adm\r\npassword = monpassadmin\r\ndbname = postfix\r\nquery = SELECT destination FROM forwardings WHERE source='%s'\r\nhosts = 127.0.0.1<\/pre>\n
\/etc\/postfix\/mysql-virtual_mailboxes.cf<\/code> :<\/p>\nuser = mail_adm\r\npassword = monpassadmin\r\ndbname = postfix\r\nquery = SELECT CONCAT(SUBSTRING_INDEX(email,'@',-1),'\/',SUBSTRING_INDEX(email,'@',1),'\/')\r\n FROM users WHERE email='%s'\r\nhosts = 127.0.0.1<\/pre>\n
\/etc\/postfix\/mysql-virtual_transports.cf<\/code> :<\/p>\nuser = mail_adm\r\npassword = monpassadmin\r\ndbname = postfix\r\nquery = SELECT transport FROM transport WHERE domain='%s'\r\nhosts = 127.0.0.1<\/pre>\n
chown root:postfix \/etc\/postfix\/mysql*cf\r\nchmod 640 \/etc\/postfix\/mysql*cf<\/pre>\n
Cr\u00e9ation de la structure de stockage des bo\u00eetes<\/h2>\n
\nOn aura une belle arborescence de ce type :<\/p>\n\/ma\/racine\/des\/maildirs\/\r\n - \/mon.domaine.fr\/\r\n - user1\r\n - cur\r\n - new\r\n - tmp\r\n + .autre.sous.rep.de.maildir.genre.Sent\r\n + user2\r\n - \/autre.domaine.a.moi.fr\/\r\n + userX<\/pre>\n
\/vmailboxes<\/code>. On cr\u00e9e l’utilisateur avec un ID arbitraire :<\/p>\ngroupadd -g 5000 vmail\r\nuseradd -g vmail -u 5000 vmail -d \/vmailboxes -m<\/pre>\n
On indique tout \u00e7a \u00e0 postfix<\/h2>\n
\/etc\/postfix\/main.cf<\/code>. On va y aller progressivement vu ce qu’on vient d’installer. On ajoute donc :<\/p>\nvirtual_alias_domains =\r\nvirtual_alias_maps = hash:\/etc\/postfix\/virtual,proxy:mysql:\/etc\/postfix\/mysql-virtual_forwardings.cf\r\nvirtual_mailbox_domains = proxy:mysql:\/etc\/postfix\/mysql-virtual_domains.cf\r\nvirtual_mailbox_maps = proxy:mysql:\/etc\/postfix\/mysql-virtual_mailboxes.cf\r\nvirtual_mailbox_base = \/vmailboxes\r\nvirtual_uid_maps = static:5000\r\nvirtual_gid_maps = static:5000\r\nvirtual_create_maildirsize = yes\r\nvirtual_maildir_extended = yes\r\ntransport_maps = proxy:mysql:\/etc\/postfix\/mysql-virtual_transports.cf\r\nproxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps \\\r\n $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains \\\r\n $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps \\\r\n $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks\r\n<\/pre>\n
\/var\/log\/mail.info<\/code> ou syslog<\/code> sinon.
\nOn va pouvoir tester.<\/p>\nQuelques tests de livraison de mails<\/h2>\n
\n
\n<\/il><\/ul>\nAjout d’un domaine<\/h3>\n
INSERT INTO domains (domain) VALUES ('mxtest.mondomaine.fr');<\/pre>\nmxtest.mondomaine.fr<\/code> existe et que l’enregistrement MX existe aussi et pointe vers notre serveur.<\/p>\nCr\u00e9ation d’un utilisateur<\/h3>\n
INSERT INTO users (email, password) VALUES ('jacques@mxtest.mondomaine.fr', ENCRYPT('mon_pass_en_clair'));<\/pre>\nInitialisation de sa bo\u00eete mail<\/h3>\n
\nL\u00e0 , \u00f4 magie, vous devriez voir l’arborescence \/vmailboxes se peupler, par exemple avec \/vmailboxes\/mxtest.mondomaine.fr\/jacques\/
\nC’est une arborescence \u00ab\u00a0Maildir\u00a0\u00bb classique, avec cur<\/code>, new<\/code>, tmp<\/code>.
\nSi le mail est arriv\u00e9, on peut pour l’instant le lire en ligne de commande en allant dans le r\u00e9pertoire, tout b\u00eatement.<\/p>\nCr\u00e9ation des autres sous-r\u00e9pertoires<\/h3>\n
\nSinon :<\/p>\nsu - vmail\r\ncd \/vmailboxes\/mxtest.mondomaine.fr\/jacques\r\nfor i in Sent Trash Drafts Junk\r\ndo\r\n maildirmake .$i #le . est important\r\ndone<\/pre>\n
Abonnement aux r\u00e9pertoires IMAP ; pour le webmail ou la consultation IMAP<\/h3>\n
mxtest:\/vmailboxes\/mxtest.mondomaine.fr\/jacques# cat courierimapsubscribed\r\nINBOX\r\nINBOX.Sent\r\nINBOX.Drafts\r\nINBOX.Trash\r\nINBOX.Junk<\/pre>\n
Annexe : cr\u00e9ation d’un alias<\/h3>\n
INSERT INTO forwardings VALUES ('mon_alias@bla.fr', 'dest1@toto.fr', 'dest2@tata.fr');<\/pre>\nPartie lecture des mails, via \u00ab\u00a0courier-*\u00a0\u00bb utilisant MySQL pour l’authentification<\/h1>\n
Indiquer au \u00ab\u00a0daemon\u00a0\u00bb courier d’utiliser MySQL<\/h2>\n
\/etc\/courier\/authdaemonrc<\/code>, changer la liste des modules utilis\u00e9s pour l’authentification :<\/p>\n#authmodulelist=\"authpam\"\r\nauthmodulelist=\"authmysql\"<\/pre>\n
\/etc\/courier\/authmysqlrc<\/code>, il faut positionner les variables suivantes :
\nMYSQL_SERVER localhost
\nMYSQL_USERNAME mail_adm
\nMYSQL_PASSWORD monpassadmin
\nMYSQL_PORT 0
\nMYSQL_DATABASE postfix
\nMYSQL_USER_TABLE users
\nMYSQL_CRYPT_PWFIELD password
\nMYSQL_UID_FIELD 5000
\nMYSQL_GID_FIELD 5000
\nMYSQL_LOGIN_FIELD email
\nMYSQL_HOME_FIELD \u00ab\u00a0\/vmailboxes\u00a0\u00bb
\nMYSQL_MAILDIR_FIELD CONCAT(SUBSTRING_INDEX(email,'@',-1),’\/’,SUBSTRING_INDEX(email,'@',1),’\/’)
\n#MYSQL_NAME_FIELD name # NE PAS LAISSER CETTE VARIABLE, voir plus bas, cas d’erreur pour moi<\/p>\nG\u00e9n\u00e9rer les certificats pour le POP3S et IMAPS<\/h2>\n
courier-*-ssl<\/code>.<\/p>\nmxtest:\/etc\/courier# cat pop3d.cnf\r\n\r\nRANDFILE = \/usr\/lib\/courier\/pop3d.rand\r\n\r\n[ req ]\r\ndefault_bits = 1024\r\nencrypt_key = yes\r\ndistinguished_name = req_dn\r\nx509_extensions = cert_type\r\nprompt = no\r\n\r\n[ req_dn ]\r\nC=FR\r\nST=France\r\nL=PARIS\r\nO=Courier Mail Server\r\nOU=Automatically-generated POP3 SSL key\r\nCN=mondomaine.fr\r\nemailAddress=certif@mondomaine.fr\r\n\r\n\r\n[ cert_type ]\r\nnsCertType = server<\/pre>\n
\r\n\r\nmxtest:\/etc\/courier# cat imapd.cnf\r\n\r\nRANDFILE = \/usr\/lib\/courier\/imapd.rand\r\n\r\n[ req ]\r\ndefault_bits = 1024\r\nencrypt_key = yes\r\ndistinguished_name = req_dn\r\nx509_extensions = cert_type\r\nprompt = no\r\n\r\n[ req_dn ]\r\nC=FR\r\nST=France\r\nL=PARIS\r\nO=Courier Mail Server\r\nOU=Automatically-generated IMAP SSL key\r\nCN=mondomaine.fr\r\nemailAddress=certif@mondomaine.fr\r\n\r\n\r\n[ cert_type ]\r\nnsCertType = server<\/pre>\n
mxtest:\/etc\/courier# mkimapdcert\r\ncp: not writing through dangling symlink `\/usr\/lib\/courier\/imapd.pem'\r\nchmod: cannot operate on dangling symlink `\/usr\/lib\/courier\/imapd.pem'\r\nchown: ne peut effectuer une d\u00e9f\u00e9rence sur `\/usr\/lib\/courier\/imapd.pem': Aucun fichier ou r\u00e9pertoire de ce type\r\nGenerating a 1024 bit RSA private key\r\n................++++++\r\n....++++++\r\nwriting new private key to '\/usr\/lib\/courier\/imapd.pem'\r\n-----\r\n1024 semi-random bytes loaded\r\nGenerating DH parameters, 512 bit long safe prime, generator 2\r\nThis is going to take a long time\r\n..............+.....................................................................................+..+.....................\r\n.........+.............................+....+...+........+...................................................................\r\n.............+..........+...........+..+...+..............................+....................+......................+......\r\n........................+.....+.+......+..........................................................+..........................\r\n.........................................................+...........+.........+.......................+.....................\r\n..+..........++*++*++*++*++*++*\r\nsubject= \/C=FR\/ST=France\/L=PARIS\/O=Courier Mail Server\/OU=Automatically-generated IMAP SSL \r\n\r\nkey\/CN=mondomaine.fr\/emailAddress=certif@mondomaine.fr\r\nnotBefore=Oct 7 15:17:54 2009 GMT\r\nnotAfter=Oct 7 15:17:54 2010 GMT\r\nSHA1 Fingerprint=9D:62:E6:CF:B7:39:80:C8:4E:F9:09:9C:61:36:14:8F:0B:EF:3C:6E\r\n<\/pre>\n
\r\nmxtest:\/etc\/courier# mkpop3dcert\r\ncp: not writing through dangling symlink `\/usr\/lib\/courier\/pop3d.pem'\r\nchmod: cannot operate on dangling symlink `\/usr\/lib\/courier\/pop3d.pem'\r\nchown: ne peut effectuer une d\u00e9f\u00e9rence sur `\/usr\/lib\/courier\/pop3d.pem': Aucun fichier ou r\u00e9pertoire de ce type\r\nGenerating a 1024 bit RSA private key\r\n..++++++\r\n..................++++++\r\nwriting new private key to '\/usr\/lib\/courier\/pop3d.pem'\r\n-----\r\n1024 semi-random bytes loaded\r\nGenerating DH parameters, 512 bit long safe prime, generator 2\r\nThis is going to take a long time\r\n...............+..........................++*++*++*++*++*++*\r\nsubject= \/C=FR\/ST=France\/L=PARIS\/O=Courier Mail Server\/OU=Automatically-generated POP3 SSL \r\n\r\nkey\/CN=mondomaine.fr\/emailAddress=certif@mondomaine.fr\r\nnotBefore=Oct 7 15:18:10 2009 GMT\r\nnotAfter=Oct 7 15:18:10 2010 GMT\r\nSHA1 Fingerprint=DD:8D:7C:0D:87:9D:19:9D:62:BE:5B:9A:B2:D8:43:80:CF:47:E2:14<\/pre>\n
Red\u00e9marrer tout ce bazar<\/h2>\n
\/etc\/init.d\/courier-authdaemon restart\r\n\/etc\/init.d\/courier-imap restart\r\n\/etc\/init.d\/courier-imap-ssl restart\r\n\/etc\/init.d\/courier-pop restart\r\n\/etc\/init.d\/courier-pop-ssl restart<\/pre>\n
Tests pour l’envoi, quelques erreurs analys\u00e9es<\/h2>\n
\nEnsuite, testez chaque protocole. Par exemple avec Thunderbird. Sur un poste Windows, pensez \u00e0 la version \u00ab\u00a0portable\u00a0\u00bb qui n’interf\u00e8rera pas avec votre actuel Thunderbird. Sous Linux, vous pouvez jouer avec vos ~\/.mozilla-thunderbird (j’ai plus le nom pr\u00e9cis en t\u00eate) pour ne pas ab\u00eemer votre conf actuelle.<\/p>\nErreurs rencontr\u00e9es<\/h2>\n
Oubli de package<\/h3>\n
syslog<\/code> ou mail.info<\/code> je ne sais plus :<\/p>\nOct 8 16:10:32 ns305192 authdaemond: libauthmysql.so: cannot open shared object file: No such file or directory<\/pre>\n
courier-authlib-mysql<\/code>.
\nHeureusement, ce ne sera pas votre cas, c’est bien \u00e9crit dans le aptitude install<\/code> du d\u00e9but.<\/p>\nErreur sur MYSQL_NAME_FIELD<\/h3>\n
Oct 8 16:53:56 serveur imapd: authentication error: Input\/output error<\/pre>\n
authtest<\/code> (faites man authtest<\/code>. Ca peut aider :<\/p>\nauthtest ducon@lajoie.fr monpasswd\r\nAuthentication FAILED: Input\/output error<\/pre>\n
\/etc\/courier\/authdaemonrc<\/code> avec DEBUG_LOGIN=1, red\u00e9marrez le service et allez voir les logs. Ca m’a permis de voir les erreurs SQL :<\/p>\nOct 8 18:39:21 ns305192 authdaemond: mysql_query failed, reconnecting: Unknown column 'name' in 'field list'<\/pre>\n
\/etc\/courier\/authdaemonrc<\/code>. Une fois modifi\u00e9, \u00e7a passe :<\/p>\nmxtest:\/etc\/courier# !auth\r\nauthtest bla@bla.fr monpassword\r\nAuthentication succeeded.\r\n\r\n Authenticated: bla@bla.fr (uid 5000, gid 5000)\r\n Home Directory: \/vmailboxes\r\n Maildir: mondomaine.fr\/jacques\/\r\n Quota: (none)\r\nEncrypted Password: OXXXXgfT0lXjI\r\nCleartext Password: monpassword\r\n Options: (none)<\/pre>\n
Partie authentification des utilisateurs, pour l’envoi<\/h1>\n
\nLe premier (SASL) pour avoir un m\u00e9canisme d’authentification pour le SMTP \u00ab\u00a0normal\u00a0\u00bb, port 25.
\nLe deuxi\u00e8me (TLS) pour avoir un m\u00e9canisme plus s\u00e9curis\u00e9, avec certificat etc, en TLS (anciennement SMTPS, ou SMTP avec SSL). C’est aussi sur le port 25 (pas 465), et, de ce que j’en ai compris, \u00e7a tend \u00e0 remplacer le SMTPS, sur port 465. C’est expliqu\u00e9 l\u00e0 <\/a> et j’ai peut-\u00eatre un peu abr\u00e9g\u00e9 l’explication violemment.<\/p>\nParam\u00e9trage de toute la cha\u00eene postfix\/sasl\/pam\/mysql<\/h2>\n
Dire \u00e0 SASL d’utiliser PAM pour l’authentification<\/h3>\n
\nOn cr\u00e9e son environnement de \u00ab\u00a0chroot\u00a0\u00bb :<\/p>\nmkdir --parents \/var\/spool\/postfix\/var\/run\/saslauthd<\/pre>\n
\nPositionner START=yes<\/code> dans \/etc\/default\/saslauthd<\/code>
\net modifier la fin du fichier comme suite :<\/p>\n#OPTIONS=\"-c -m \/var\/run\/saslauthd\"\r\nOPTIONS=\"-c -m \/var\/spool\/postfix\/var\/run\/saslauthd -r\"<\/pre>\n
\nMaintenant, on va dire \u00e0 PAM d’utiliser MySQL.<\/p>\nDemander \u00e0 PAM d’utiliser MySQL en d\u00e9crivant notre structure<\/h3>\n
\/etc\/pam.d\/smtp<\/code> (\u00e0 cr\u00e9er je crois), on indique qu’on va utiliser le module MySQL pour PAM :<\/p>\n\r\nmxtest:\/etc\/pam.d# cat smtp\r\nauth required pam_mysql.so user=mail_adm passwd=monpassadmin host=127.0.0.1 db=postfix table=users usercolumn=email passwdcolumn=password crypt=1\r\naccount sufficient pam_mysql.so user=mail_adm passwd=monpassadmin host=127.0.0.1 db=postfix table=users usercolumn=email passwdcolumn=password crypt=1\r\n<\/pre>\n
Ensuite, dire \u00e0 postfix de faire confiance \u00e0 SASL pour l’authentification<\/h3>\n
\nDans \/etc\/postfix\/sasl\/<\/code>, s’assurer du contenu de smtpd.conf<\/code> :<\/p>\npwcheck_method: saslauthd\r\nmech_list: plain login\r\nallow_plaintext: true\r\nauxprop_plugin: mysql\r\nsql_hostnames: 127.0.0.1\r\nsql_user: mail_adm\r\nsql_passwd: monpassadmin\r\nsql_database: postfix\r\nsql_select: select password from users where email = '%u'<\/pre>\n
adduser postfix sasl<\/pre>\n
\/etc\/postfix\/main.cf<\/code> :<\/p>\nsmtpd_sender_restrictions = permit_sasl_authenticated\r\n reject_unauth_pipelining\r\n permit_mynetworks\r\n reject_unauth_destination\r\n reject_unknown_sender_domain\r\n reject_non_fqdn_sender\r\n check_policy_service inet:127.0.0.1:60000<\/pre>\n
\nVoil\u00e0, postfix sait maintenant contr\u00f4ler les exp\u00e9diteurs avec l’aide de SASL. Ils doivent se signer et exister dans la base.
\nMaintenant on met en place le TLS, si vous voulez utiliser du vrai cryptage SSL pour l’authentification.<\/p>\nTLS : certificat et configuration<\/h3>\n
\/etc\/postfix\/<\/code>,on cr\u00e9e les clefs de cryptage :<\/p>\nmxtest:\/etc\/postfix# openssl req -new -outform PEM -out smtpd.cert -newkey rsa:2048 -nodes -keyout smtpd.key -keyform PEM -days 3650 -x509\r\nGenerating a 2048 bit RSA private key\r\n................................................+++\r\n................................................+++\r\nwriting new private key to 'smtpd.key'\r\n-----\r\nYou are about to be asked to enter information that will be incorporated\r\ninto your certificate request.\r\nWhat you are about to enter is what is called a Distinguished Name or a DN.\r\nThere are quite a few fields but you can leave some blank\r\nFor some fields there will be a default value,\r\nIf you enter '.', the field will be left blank.\r\n-----\r\nCountry Name (2 letter code) [AU]:FR\r\nState or Province Name (full name) [Some-State]:France\r\nLocality Name (eg, city) []:PARIS\r\nOrganization Name (eg, company) [Internet Widgits Pty Ltd]:MASOCIETE\r\nOrganizational Unit Name (eg, section) []:\r\nCommon Name (eg, YOUR name) []:mondomaine.fr\r\nEmail Address []:certif@mondomaine.fr<\/pre>\n
\/etc\/mailname<\/code>
\nProt\u00e9gez la clef priv\u00e9e : chmod 640 smtpd.key<\/code>
\nJ’ai mis 10 ans, on aurait pu mettre plus ou moins, c’est le param\u00e8tre 3650 dans la ligne de commande.<\/p>\n\/etc\/postfix\/main.cf<\/code> toujours :<\/p>\nsmtpd_tls_cert_file=\/etc\/postfix\/smtpd.cert\r\nsmtpd_tls_key_file=\/etc\/postfix\/smtpd.key\r\nsmtpd_use_tls=yes\r\nsmtpd_tls_session_cache_database = btree:${data_directory}\/smtpd_scache\r\nsmtp_tls_session_cache_database = btree:${data_directory}\/smtp_scache\r\nsmtpd_sasl_auth_enable = yes\r\nbroken_sasl_auth_clients = yes # \u00e0 voir, \u00e7a peut interdire certains outlook bugg\u00e9s, je crois, de t\u00eate.\r\nsmtpd_sasl_authenticated_header = yes\r\n<\/pre>\nC’est fini, on relance tout \u00e7a<\/h2>\n
\/etc\/init.d\/saslauthd restart<\/code> et \/etc\/init.d\/postfix restart<\/code> qui vont bien.<\/p>\nTests pour l’envoi, quelques erreurs analys\u00e9es<\/h2>\n
250-STARTTLS<\/pre>\n
Erreurs rencontr\u00e9es<\/h2>\n
Fausse manip dans \/etc\/pam.d\/smtp<\/h3>\n
Oct 14 13:52:39 ns305192 postfix\/smtpd[6759]: connect from bla.fr[81.Y.67.X]\r\nOct 14 13:52:41 ns305192 postfix\/smtpd[6759]: warning: SASL authentication failure: Password verification failed\r\nOct 14 13:52:41 ns305192 postfix\/smtpd[6759]: warning: bla.fr[81.Y.67.X]: SASL PLAIN authentication failed: authentication failure\r\nOct 14 13:52:41 ns305192 postfix\/smtpd[6759]: warning: bla.fr[81.Y.67.X]: SASL LOGIN authentication failed: authentication failure\r\nOct 14 13:52:43 ns305192 postfix\/smtpd[6759]: disconnect from bla.fr[81.Y.67.X]<\/pre>\n
saslfinger<\/code> pour tester et debugger. Essayez-le.
\nAu final, je m’\u00e9tais simplement tromp\u00e9 dans le mot de passe MySQL du fichier \/etc\/pam.d\/smtp<\/code><\/p>\nQuotas<\/h1>\n