Postfix sous debian en multidomaines
Rédigé par gorki Aucun commentaireLe problème :
Comme d'autres, installer un serveur de mail sous une Debian.
En multidomaines.
Avec plusieurs serveurs de mails.
Solution :
Il y a d'excellent tutos sur Internet qui m'ont ammené quasiment la solution sur un plateau :
-
Un serveur de mails Debian : Postfix + Dovecot + MySQL = SMTPS / IMAPS / SASL
-
Et celui ci : [Tuto] Installer un serveur de mail avec Postfix, Dovecot et Rainloop
-
Avec explication : Mettre en place un serveur mail
Solution générale :
- postfix (SMTP + STARTTLS only)
- délégation d'authentification à dovecot via SASL
- dovecot pour IMAP + POP (en STARTTLS only aussi)
- base de données pour les domaines multiples via postfixadmin
Quelques notes sur les difficultés que j'ai rencontré :
- une architecture de postfix : http://loic.marrot.free.fr/travaux/rapportProjetMessagerie.html
-
Un peu de vocabulaire sur les protocoles :
- SMTP : pour envoyer des mails à un serveur de mail (depuis un client mail ou entre les serveurs de mails)
- POP : du client mail au serveur mail pour aller récupérer ses mails
- IMAP : idem que POP, mais il y a un échange pour synchroniser l'état du client et du serveur. Ainsi on peut avoir la même vision de ses mails depuis plusieurs endroits
- SASL : protocole pour déléguer l'authentificaiton à un tiers. Exemple ici, postfix se base sur Dovecot pour savoir si un utilisateur est connu ou non. Entre Postfix et Dovecot, on fait du SASL
- STARTTLS : afin de sécuriser les échanges par défaut non chiffré des différents protocoles (POP, IMAP, SMTP), on peut démarrer une session sécurisé à partir d'une connexion non sécurisée à la base. On démarre le TLS (sucesseur de SSL) : STARTTLS.
- IMAPS, POPS : variante de POP et IMAP directement en TLS, mais peu usité, au profit du STARTTLS
- Pour chacun de ces protocoles, il y a des ports par défaut que l'on retrouve dans /etc/services
- Il est possible d'ajouter des logs en ajoutant "-v" aux différents démons postfix (cf la documentation officielle)
- Le hostname de la machine et le DNS doivent être cohérent ! (cf hostame & postfix)
- Posftixadmin & Thunderbird portable sont bien pratique pour tester des clients mails
-
Multiple domaines :
- mydestination ne doit pas contenir les hosts virtuels stockés en BDD Mysql (voir virtual_mailbox_domains)
-
Pour le lien avec Dovecot
- J'ai ajouté une ligne dans /etc/postfix/master.cf, comme indiqué dans certains tutoriaux plus haut
- Je n'ai pas activé l'option # -o smtpd_sasl_type=dovecot sur submission dans master.cf mais ajouté ces options dans main.cf
# SASL SMTPS smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_type = dovecot smtpd_sasl_path = private/auth
-
Bien valider l'authentification
- pour Dovecot, utiliser le paramètre "ssl=required"
- le paramètre smtpd_tls_auth_only peut-être mis à "no" le temps des tests, le mettre à "yes" ensuite
- pour tester l'authentification (extrait d'ici) :
perl -MMIME::Base64 -e 'print encode_base64("username\0username\0password");'
- swaks est outil super ! mais il ne faut oublier de préciser le serveur smtp (sinon il s'adresse directement au MX du domaine ciblé et ne passe pas par votre serveur !)
echo "This is the message body" | swaks --to web-4pDEEq@mail-tester.com --from "www-data@test.fr" --server localhost 25
Ca a suffit pour envoyer / recevoir des mails en TLS sur des noms de domaines que je maitrisais.
Pour ne pas être considéré comme spammeur, ce fut une autre histoire !