Paramétrer son propre serveur mail, version 2

Tirons parti de ce qui a été appris avant, et reprenons en améliorant…

Ici, je pars d'une VM sur un hyperviseur Xen. Dans un premier temps, je ne bidouille pas les DNS et certbot parce que je vais devoir bouger la machine… donc on finalise quand cette dernière est au bon endroit. De même mes tests se font sur le réseau local. J'ouvre quand même le port 80 parce qu'il me faut un certificat valide…

Concernant les domaines :

• poste.example.org sera le relai mail
• example.org sera le nom de domaine du mail, avec des adresses en machin@example.org

La VM est derrière un proxy (ici une box), ce dernier aura besoin de certains ports ouverts. Il y a aussi un proxy web sur une autre machine du réseau afin de répartir ce qui arrive sur le port 80 extérieur vers les diverses machines internes.

Aide-mémoire :

Certains sont non-chiffrés :

• 25 : SMTP
• 143 : IMAP
• 110 : POP (plus vraiment utilisé)

Et d'autres pour les échanges chiffrés :

• 587 (ou 467) : SMTP ; 587 est “TLS”, 465 est “SSL”.
• 993 (ou 220) : IMAP, 993 en SSL
• 995 : POP (SSL)

Et suivant les besoins :

• 4190 : Sieve
• 10025 ? : Antivirus ? Vérifier, je ne suis pas sûre de l'intérêt.

En réalité on ne va ouvrir que ceci : 25, 587, 993, 4190.

Idem sur le nftables de la machine.

On ouvre les ports sur le proxy quand tout le reste est fini…

Vérifier que /etc/hosts a un nom de domaine cohérent (si renseigné) avec notre reversedns. Dans mon cas il avait doublé “poste” ce qui faisait un domaine en “poste.poste.example.org”.

Cela donne un fichier de ce genre comme ceci :

/etc/hosts

127.0.0.1       localhost
127.0.1.1       poste.example.org     poste
 
# The following lines are desirable for IPv6 capable hosts
::1     localhost ip6-localhost ip6-loopback
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

Configuration classique avec postfix, dovecot, mariadb, et postfixadmin pour gérer graphiquement les détails. Ainsi que phpmyadmin le temps des bidouilles (désactivé ensuite pour réduire les surfaces d'attaque).

Il y a plein de possibilité de panachages. J'ai fait un choix, ça m'aura pris des jours à me décider, plus des jours à adapter… Je vais essayer d'expliquer mais ce qui est fait pour un logiciel, peut s'adapter à un autre.

Je fais le choix de Postfix (avec postfix-mysql pour parler à Mariadb) ; aujourd'hui pas mal de gens apprécieront plus Opensmtpd et c'est legit. Pourquoi j'ai finalement pris Postfix ?

• Énormément plus de tutos, à destination des noobs et des experts, sur tous les cas de figures
• J'aime la doc plus organique que des manpages
• En discutant avec des sysadmin connaissant les deux logiciels, leur avis n'est pas absolument tranché en faveur de l'un ou l'autre. Opensmtpd est effectivement considéré comme un challenger pertinent, mais la réputation de difficulté à paramétrer Postfix est un peu usurpée (et je confirme, c'est comme plein de logiciels…).
• Leur avis est aussi que Postfix est extrêmement puissant. Il permet de faire “tout” (y compris des conneries), c'est sa force et son risque. Opensmtpd est encore jeune et certaines options ne sont pas (encore?) possibles ; ceci dit rien qui bloquera la sysadmin hébergeant du mail familial.

Dovecot, tout le monde le plébiscite, et ce n'est pas celui qui m'aura posé de souci.

• dovecot-mysql : pour communiquer avec mysql et donc partager la même base d'utilisateurs
• dovecot-imapd : pour utiliser l'IMAP donc obligé
• dovecot-lmtpd : une fois arrivé sur le serveur, va aiguiller les mails aux bons utilisateurs (MDA)
• dovecot-managesieved : permet aux utilisateurs de définir leurs règles de filtre.

La chasse aux spams se fera avec rspamd, un logiciel tiers qui traite les spams. Il gère aussi la signature automatique des clés de domaine (DKIM).

Mariadb ne sert qu'à stocker les utilisateurs donc très peu de données, sa perfomance ne sera pas un souci. Je vais avoir la surcouche graphique avec Postfixadmin, qui permettra à mes utilisateurs de gérer leurs propres alias et mot de passe.

Quelques outils pratiques à avoir :

• swaks : “couteau suisse du mail”, fournit divers utilitaires
• bsd-mailx : permet de lire/envoyer les mails sur le serveur, en ligne de commande, utile lors des tests.
• mutt : autre logiciel pour voir les mails, plus “graphique” (mais en console), et pratique aussi à d'autres moment. Voir ma doc associée en cas de souci.

Le certificat SSL sera géré avec certbot, classique et fonctionnel.

On va avoir un peu d'apache pour quelques outils visuels de gestion (adminer, rspamd).

Finalement :

sudo apt install mariadb-server redis-server apache2 php postfix postfix-mysql dovecot-mysql dovecot-imapd dovecot-lmtpd dovecot-managesieved rspamd swaks mutt certbot

Quand Postfix demande sa configuration, répondre “Site Internet”. Vérifier le nom de domaine, par exemple “poste.example.org”.

puis (une fois mariadb configuré)

sudo apt install phpmyadmin postfixadmin

Mon apt est configuré pour ne pas installer par défaut les recommandés et suggérés, ce qui demande de voir la liste et de compléter au besoin. Ici, à installer en complément pour se simplifier la vie :

sudo apt install shared-mime-info xdg-user-dirs php-curl php-gd

et enfin (parce qu'il est un chouïa pénible sinon)

sudo apt install rkhunter

Faire de nouveau un petit sudo grep -nri "poste" /etc/ --exclude-dir=lvm pour vérifier qu'il n'y a pas de doublon ou de nom bizarre qui traîne.

Refaire un snapshot parce que c'est long d'installer ces logiciels.

sudo lvcreate -L 20g -s -n snap_courrier_$(date --iso)_logicielsOK /dev/VgPoste/courrier

Ouais, Apache, parce que je le connais, mais vu ce qu'il y a à faire, Nginx suffira aussi. Ou Lighttpd. Faites votre vie, adaptez. En vrai faudra que je vois à mettre Lighttpd qui serait parfait pour le job.

C'est plus pour voir si ça marche… et par la suite, si un bot (voir une vraie curieuse) regarde la page principale, y'aura un bout d'info. Actuellement je vais aussi servir Phpmyadmin (mais ce dernier va disparaitre une fois les bidouilles finies) et Postfixadmin, ceui-ci pouvant sans souci être sur un autre serveur (et ce serait peut-être mieux !).

sudo mkdir /var/www/poste

Une page web “propre” quand même…

sudo nano /var/www/poste/index.html

/var/www/poste/index.html

<!DOCTYPE html>
<head>
		<html class="js desktop" lang="fr" dir="ltr">
		<meta http-equiv="Content-Type" content="text/html; charset=utf8" />
 
	<!-- meta -->
                <meta name="description" content="Mail server.">
                <meta name="author" content="Lievre">
 
</head>		
<body>
Ceci est un serveur mail. En cas de problème, merci de contacter l'adresse en abuse@.
<br>This is a mail server. If you have any problems, please contact the abuse@ address.
</body>

Puis les droits

sudo chown -R www-data: /var/www/poste

sudo service apache2 stop
sudo certbot certonly --standalone -d example.org
sudo service apache2 start

certbot certonly --standalone -d poste.example.org

Ensuite, justement, Apache. Sur la machine terminale :

sudo a2dissite 000-default.conf 
sudo nano /etc/apache2/sites-available/poste.conf

Mettre ça :

<VirtualHost *:80>
  ServerName poste.example.org
  DocumentRoot /var/www/poste
  Alias /postfixadmin /usr/share/postfixadmin/public

</VirtualHost>

Puis les commandes suivantes.

sudo a2ensite poste.conf
sudo systemctl reload apache2

Se rendre sur le web local (http://192.168.1.X) et voir que la page “poste” est bien là.

Phpmyadmin et postfixadmin étant installés avec les paquets, avec des mots de passe, ça va marcher direct ? Bon, non…

On reste en console pour créer un user ayant le droit de bidouiller les tables depuis l'interface web de phpmyadmin :

sudo -i
mysql
GRANT ALL PRIVILEGES ON *.* TO admin@localhost IDENTIFIED BY 'motdepasse' WITH GRANT OPTION;

Évidement pas “admin” et “motdepasse”…

À noter que phpmyadmin crée un utilisateur “phpmyadmin” avec le mot de passe entré de la configuration initiale ; utilisateur qui n'a pas le droit de faire grand chose. Un superuser, vu nos besoins, c'est plus simple.

Voilà, avec ça, on peut donc bidouiller nos tables graphiquement.

Et on peut voir que postfixadmin a une base de donnée à son nom, et un utilisateur qui a les privilèges dessus. Et c'est tout, c'est bien vide sinon.

Comme on passe par le paquet Debian (ce qui facilite les mises à jour, mais pas l'installation), il va falloir adapter un peu pour servir postfixadmin. La config est dans /etc/postfixadmin/ et les fichiers de la partie site dans /usr/share/postfixadmin/.

Donc on ajoute dans notre config Apache ceci, et on redémarre le service apache :

Alias /postfixadmin /usr/share/postfixadmin/public

Puis créer le fichier de configuration dans /etc/postfixadmin/config.local.php ; les options par défaut sont dans /etc/postfixadmin/config.inc.php.

/etc/postfixadmin/config.local.php

<?php
$CONF['database_type'] = 'mysqli';
$CONF['database_host'] = '127.0.0.1';
$CONF['database_user'] = 'postfixadmin';
$CONF['database_password'] = 'XXXX';
$CONF['database_name'] = 'postfixadmin';
$CONF['default_language'] = 'fr';
$CONF['encrypt'] = 'system';
$CONF['configured'] = true;
 
?>

Concernant encrypt, choisir “system” permet de passer outre certains messages d'erreur avec dovecot. Mais j'ai un doute si du coup Dovecot gère réellement les comptes…

Et aller ensuite sur http://192.168.1.XX/postfixadmin/setup.php ; on va pouvoir ainsi générer un mot de passe haché afin d'installer la suite.

Ça se passe dans /etc/postfix/, en particulier main.cf et master.cf. Il va y aussi y avoir des petits fichiers de configurations, pour cela je crée le dossier mycfg qui va éviter de s'éparpiller trop.

On commence par la base : /etc/postfix/main.cf :

/etc/postfix/main.cf

À venir, une fois validé...

Puis les divers petits fichiers de config. Là, il y en a un certain nombres qui concernent mysql et à chaque fois, il faut déclarer les mêmes infos.

Alors on va optimiser un peu. (todo !!! à valider avant d'y croire !!!) On commence par créer la base :

bdd.cf

user = postfixadmin
password = XXXXX
hosts = 127.0.0.1
dbname = postfixadmin

cd /etc/postfix/mycfg/
echo mysql-email2email.cf mysql-allow-alias-send.cf mysql-login_maps_dovecot.cf mysql_virtual_domains_maps.cf mysql_virtual_alias_maps.cf mysql_virtual_alias_domain_maps.cf mysql_virtual_alias_domain_catchall_maps.cf mysql_virtual_mailbox_maps.cf mysql_virtual_alias_domain_mailbox_maps.cf | xargs -n 1 cp bdd.cf

Détail :

• echo pour lister les noms de fichiers
• xargs qui va bidouiller
  • -n 1 pour qu'il ne prenne qu'une seule occurence à chaque execution.

Il ne restera plus qu'à remplir avec la bonne “query”, et justement, voilà le détail. (TODO)

Et il y a aussi master.cf

Pour vérifier si tout va bien :

postfix check

À présent, on va aider Dovecot à gérer la suite. Toutes les commandes en sudo/root.

Primo créer un user spécialement pour gérer les mails, et stocker ces derniers sur /var/vmail :

groupadd -g 5000 vmail
useradd -g vmail -u 5000 vmail -d /var/vmail -m
chown -R vmail:vmail /var/vmail

Ensuite on va modifier des fichiers. Veiller à ce que les lignes suivantes existent et soient commentés/décommentées comme indiqué :

/etc/dovecot/conf.d/10-auth.conf

auth_mechanisms = plain
 
#!include auth-system.conf.ext
!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-static.conf.ext

/etc/dovecot/conf.d/10-mail.conf

mail_location = maildir:~/Maildir
mail_plugins = quota

/etc/dovecot/conf.d/10-master.conf

  # Postfix smtp-auth (chercher ce morceau !)
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    user = postfix
    group = postfix
  }

Changer le certificat suivant la poste locale :

/etc/dovecot/conf.d/10-ssl.conf

ssl = required
ssl_cert = </etc/letsencrypt/live/poste.example.org/fullchain.pem
ssl_key = </etc/letsencrypt/live/poste.example.org/privkey.pem

Ajouter ces modifs au fichier suivant :

/etc/dovecot/dovecot-sql.conf.ext

# Modifs Postfixadmin
connect = host=127.0.0.1 dbname=postfixadmin user=postfixadmin password=XXXXX
driver = mysql
# Default password scheme - change to match your Postfixadmin setting.
# depends on your $CONF['encrypt'] setting:
# md5crypt  -> MD5-CRYPT
# md5       -> PLAIN-MD5
# cleartext -> PLAIN
default_pass_scheme = MD5-CRYPT
# Query to retrieve password. user can be used to retrieve username in other
# formats also.
 
password_query = SELECT username AS user,password FROM mailbox WHERE username = '%u' AND active='1'
# Query to retrieve user information, note uid matches dovecot.conf AND Postfix virtual_uid_maps parameter.
user_query = SELECT CONCAT('/var/mail/vmail/', maildir) AS home, 1001 AS uid, 1001 AS gid, CONCAT('*:bytes=', quota) AS quota_rule FROM mailbox WHERE username = '%u' >
# see: https://doc.dovecot.org/configuration_manual/authentication/sql/#id6
iterate_query = SELECT username as user FROM mailbox WHERE active = '1'

Et après ça on peut redémarrer Dovecot. Sauf que comme on n'a pas nos certificats ssl, il râle… Suffit de modifier 10-ssl.conf pour le moment (TODO : évidement remettre ça avant la prod !).

Ici on suit très bêtement https://workaround.org/ispmail/bullseye/making-postfix-get-its-information-from-the-mariadb-database/ sans oublier de changer “example.org” par notre nom de domaine. La partie dite “facultative” n'est pas facultative (on ne crée pas d'alias catch-all mais on crée quand même de quoi gérer les alias et les redirections entre eux…).

Idem sur la suite avec Dovecot et LMTP, rien de nouveau face au tuto.

Je personnalise en français le message aux utilisateurs :

/usr/local/bin/quota-warning.sh

#!/bin/sh
PERCENT=$1
USER=$2
cat << EOF | /usr/lib/dovecot/dovecot-lda -d $USER -o "plugin/quota=maildir:User quota:noenforcing"
From: postmaster@webmail.example.org
Subject: Quota warning - $PERCENT% reached
 
FR :
Votre boîte aux lettres ne peut stocker qu'un nombre limité d'e-mails.
Actuellement, elle est pleine à $PERCENT%. Si vous atteignez 100 %, 
les nouveaux courriels ne pourront plus être stockés. Merci de votre compréhension.
 
EN :
Your mailbox can only store a limited amount of emails.
Currently it is $PERCENT% full. If you reach 100% then
new emails cannot be stored. Thanks for your understanding.
EOF

Et pour qu'imap affiche le quota restant :

sudo nano  /etc/dovecot/conf.d/20-imap.conf

Avoir la ligne suivante :

mail_plugins = $mail_plugins imap_quota imap_sieve

J'ai aussi affiné via Dovecot les valeurs par défaut. Modifier /etc/dovecot/conf.d/90-quota.conf pour avoir ce contenu :

plugin {
  quota = maildir:User quota
  # Mettre 5G de quota par défaut
  quota_rule = *:storage=5G
  # Ajouter 100M pour ce qui est dans la corbeille, ça permet de faire du tri sans "ranger" dans la corbeille.
  quota_rule2 = Trash:storage=+100M
  quota_status_success = DUNNO
  quota_status_nouser = DUNNO
  quota_status_overquota = "452 4.2.2 Mailbox is full and cannot receive any more emails"
}

service quota-status {
  executable = /usr/lib/dovecot/quota-status -p postfix
  unix_listener /var/spool/postfix/private/quota-status {
    user = postfix
  }
}

C'est bien beau tout ça, mais quand un mail interne au système (par exemple à root) est envoyé, il arrive où ? Nul part, et cette fois pas question de jouer avec Msmtp : le relai, ça sera “nous”. Mais, la logique n'est pas très différente.

On commence par éditer /etc/aliases :

/etc/aliases

mailer-daemon: postmaster
postmaster: root
nobody: root
hostmaster: root
usenet: root
news: root
webmaster: root
www: root
ftp: root
abuse: root
noc: root
security: root
default: admin@example.org
root: admin@example.org

Oui, sans le @ à la fin des alias, cette fois. Et vers admin@example.org ou autre, hein, tant que c'est un utilisateur présent sur le système.

Puis on régénère le fichier de postfix à propos des alias :

postalias /etc/aliases

Et on peut tester l'envoi d'un mail. J'ai craqué, installé bsd-mailx (dont la syntaxe pour l'envoi d'un mail test ne me pose pas de souci) et hop :

echo "Test" | mail -s "Test " root

Cela arrive bien dans la boite mail configurée !

Les logiciels de courriel correctement fichus peuvent chercher leur info à https://example.org/.well-known/autoconfig/mail/config-v1.1.xml. Notez la subtilité : pas le relais mais bien le domaine de base.

Donc, on ajoute ce fichier, soit directement “là”, soit dans un autre dossier et on fait un joli alias dans apache

/etc/apache2/sites-enabled/monsite.conf

Alias /.well-known/autoconfig/mail /var/www/example.org/autoconfig-mail

Redémarrer Apache.

Dans ce dossier, on va donc mettre config-v1.1.xml qui va contenir ceci (copié directement de https://workaround.org/ispmail/bullseye/mail-client-auto-configuration-2/ ) :

<?xml version="1.0" encoding="UTF-8"?>

<clientConfig version="1.1">
  <emailProvider id="workaround.org">
    <domain>workaround.org</domain>
    <displayName>Christoph's Mail Service</displayName>
    <displayShortName>ISPmail</displayShortName>
    <incomingServer type="imap">
      <hostname>webmail.workaround.org</hostname>
      <port>143</port>
      <socketType>STARTTLS</socketType>
      <authentication>password-cleartext</authentication>
      <username>%EMAILADDRESS%</username>
    </incomingServer>
    <outgoingServer type="smtp">
      <hostname>webmail.workaround.org</hostname>
      <port>587</port>
      <socketType>STARTTLS</socketType>
      <authentication>password-cleartext</authentication>
      <username>%EMAILADDRESS%</username>
    </outgoingServer>
  </emailProvider>
</clientConfig>

• Changez workaround.org par votre domaine principal
• Changez webmail.workaround.org par votre relais
• Adaptez displayName et displayShortName
• Vérifiez que c'est bien ces ports chez vous… par défaut ça devrait. Et que c'est ouvert sur le pare-feu !

À noter, il y a potentiellement d'autres procédures, avec entre autre des ajouts à faire dans la zone DNS. Voir ceci :

• https://github.com/gronke/email-autodiscover
• https://allella.fr/technique/outils/2020/04/26/email_autoconfig.html

Mais, je m'embêterais avec ça si j'ai des soucis… pour le moment, ça suffit.

Voir la page dédiée : DNS, SPF, DKIM, DMARC et autres choses à configurer sur le mail

On en arrive au point vital. Et on va voir que ce n'est pas si simple.

Mais de quoi je cause ?

Il faut savoir que Gandi a une fonctionnalité épatante : l'alias avec joker.

Extrait de leur doc :

Un peu plus d'exemples. J'ai la boite mail vilain@example.org, qui me sert à recevoir les inscriptions des sites, newsletters, commandes internet… autant dire que c'est bien rempli. vilain@ n'est jamais exposé sur le net¹⁾, au lieu de ça, je donne des alias, dont voici une liste :

• nom.prenom@example.org
• autrealias@example.org
• news.*@example.org
• marchand.*@example.org
• wtf.*@example.org

Les deux premiers (nom.prenom@ et autrealias@) n'ont pas de joker, il faut avoir l'adresse exacte pour leur écrire. Les suivants par contre, je les adapte à la volée ; je donne marchand.site1@example.org à un premier site marchand et marchand.site2@example.org à un second site marchand, sans avoir besoin de créer les alias explicitement. Ensuite je m'en sert pour filtrer ce que je reçois dans ma boite mail et voir qui a revendu mon adresse (elles le sont rarement, en fait).

Je peux non seulement recevoir des mails à ces adresses avec joker, mais aussi répondre avec au besoin, bien que dans ce cas je sois dans l'obligation de déclarer l'alias dans Thunderbird (mais pas chez le fournisseur mail !).

Voilà la killer feature de Gandi, si difficile à trouver ailleurs.

Coup de bol pour moi, tous mes alias fonctionnels sont de la forme chaine.joker ; sans le point, j'allais avoir des soucis.

On va bidouiller quelque chose d'équivalent en deux temps :

• D'abord avec postfix : il y a moyen d'imiter ça. Ce n'est pas exactement pareil mais assez proche pour dépanner.
• Ensuite, on utilisera un service du type anonaddy. Mais c'est pour plus tard, on a pas mal de choses à vérifier avant.

C'est Dovecot qui débloque la solution.

sudo nano /etc/dovecot/conf.d/15-lda.conf

Il y a là la ligne recipient_delimiter = . (à décommenter et à mettre avec un point, donc).

Recharger dovecot et postfix.

En plus de la manipulation précédente, si on veut utiliser le + en plus du ..

Dans /etc/postfix/main.cf, modifier virtual_alias_maps pour ajouter regexp:/etc/postfix/point_addressing. Ça devrait ressembler à ça :

virtual_alias_maps = regexp:/etc/postfix/point_addressing, mysql:/etc/postfix/mysql-virtual-alias-maps.cf,mysql:/etc/postfix/mysql-email2email.cf

Modifier /etc/postfix/point_addressing en mettant les regexp suivantes (à adapter aux noms de domaines servis) :

/^(.*)\.(.*)@(example\.org|other_example\.fr)$/ $1+$2@$3
/^(.*)\+(.*)@(example\.org|other_example\.fr)$/ $1@$3

Le fait de déclarer des noms de domaine évitera qu'on permette n'importe quel alias à tous les domaines, cela offre un peu plus de contrôle.

Recharger postfix.

• Source (entre autre) : https://wiki.fiat-tux.fr/books/administration-syst%C3%A8mes/page/postfix

À la fin de https://workaround.org/ispmail/bullseye/relay-outoing-email-through-postfix/, il y a une note assez sibylline sur le sujet :

Dans un premier temps, j'ai laissé ça de côté.

Mais, il faut que nos alias puissent répondre. Si John reçoit un mail via son alias Jack, il faut qu'il puisse répondre avec Jack ; et je confirme qu'à ce stade, le serveur refuse que Jack envoie un mail.

Voici la méthode plus détaillée.

J'ai créé /etc/postfix/mysql-allow-alias-send.cf :

user = mailserver
password = 
hosts = 127.0.0.1
dbname = mailserver
query = SELECT email FROM virtual_users WHERE email='%s' UNION SELECT destination FROM virtual_aliases WHERE source='%s'

Pour le faire prendre en compte, modifions smtpd_sender_login_maps dans /etc/postfix/main.cf pour que ça ressemble à ça :

smtpd_sender_login_maps=mysql:/etc/postfix/mysql-email2email.cf,mysql:/etc/postfix/mysql-allow-alias-send.cf

Et ça marche. Mieux, si je déclare un alias forgé dans Thunderbird, par exemple si je lui dis que “joe” est un alias de John et que je tente d'envoyer un mail avec joe, le serveur éjecte Joe avec le message suivant dans les logs :

<joe@example.org>: Sender address rejected: not owned by user john@example.org; from=<joe@example.org> to=<admin@example.org> proto=ESMTP helo=<[192.168.1.89]>

Ouf ! Ça, ça marche !

Ce sera avec Anonaddy, mais c'est pour une autre fois. Voir la page dédiée.

Anonaddy va permettre d'anonymiser complètement l'adresse mail réelle, d'avoir uniquement les adresses jokers sur certains alias, et même de bloquer l'envoi vers certains alias avec joker. C'est encore mieux que Gandi.

L'outil https://nstools.fr/ liste divers points qui peuvent être améliorés.

(à vérifier, là je teste)

Cela sert à avoir la liste des mails valides sur un serveur. Utilisé par les spammeurs pour contacter les gens… Donc, le désactiver n'est pas vu comme une mauvaise pratique.

Dans /etc/postfix/main.cf, ajoutez la ligne

disable_vrfy_command = yes

Il faut camoufler les infos sur les versions des logiciels, pas besoin qu'on sache sur quelles failles compter. Rien de compliqué, il suffit de revoir le paramètre smtpd_banner dans /etc/postfix/main.cf.

On passe de ceci :

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)

à cela :

smtpd_banner = $myhostname ESMTP

Ça devrait suffire.

Créer le fichier /etc/postfix/check/header_checks_out et mettre ces regexp dedans (source) :

/^\s*Received: from \S+ \(\S+ \[\S+\]\)(.*)/ REPLACE Received: from [127.0.0.1] (localhost [127.0.0.1])$1
/^X-Originating-IP:/ IGNORE
/^X-Mailer:/ IGNORE
/^Mime-Version:/ IGNORE
/^User-Agent:/ IGNORE

Dans l'absolu, ipv6, c'est mieux.

J'ai cependant rencontré un souci de taille : mon routeur n'est pas tout jeune, et ne me permet pas de déclarer l'ipv6 de ma machine. Pour le dire autrement, le réseau local n'est qu'en ipv4 (si j'ai bien compris), et je ne peux rien y faire. En attendant d'acheter un routeur plus optimum et de me former un peu plus à la partie réseau… il va falloir désactiver ipv6 sur mon service, au risque de rencontrer de vrais gros soucis.

La première chose à faire est d'éviter d'avoir une entrée AAAA vers le serveur dans son DNS ; ça, c'est facile.

Mais par défaut, postfix va quand même tenter d'envoyer certains mails en ipv6 (puisque notre serveur, lui, ne sais pas qu'on est fâché avec la technologie moderne). Cela va créer des erreurs de distributions… Car le reverse dns ne peux pas fonctionner sur l'adresse ipv6 à cause de ce fichu routeur !

Il faut donc ajouter ces lignes dans /etc/postfix/main.cf :

# Forcer ipv4 tant que je n'ai pas un routeur me permettant d'indiquer mon ipv6
smtp_address_preference = ipv4
inet_protocols = ipv4

Et déclarer uniquement le réseau en ipv4 (mais commentez la partie en ipv6, on espère un jour l'activer…) :

#mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mynetworks = 127.0.0.0/8

On peut indiquer des règles spécifiques suivant la destionation. Par exemple pour forcer les communications avec Google à passer par ipv4, créer le fichier /etc/postfix/transport avec la ligne suivante :

gmail.com  smtp4:

Ajouter la ligne suivante dans /etc/postfix/main.cf :

transport_maps = hash:/etc/postfix/transport

Il faut aussi générer un fichier /etc/postfix/transport.db, avec cette commande :

postmap /etc/postfix/transport

Redémarrer Postfix.

Là on est dans un truc entre sécurité et mesures antispam. Il est toujours possible qu'un compte mail se fasse pirater, et que le compte serve alors à flooder du spam à fond. Et ça, ce sera très, trèèès mauvais pour nous, parce qu'on va se faire bannir de partout et inscrire en block-list.

Bref, il est temps de paramétrer la chose.

La limite du nombre de mail envoyé à la minute est vraiment facile. Dans /etc/postfix/main.cf, ajouter quelque chose comme :

smtpd_client_message_rate_limit = 10
anvil_rate_time_unit = 60s
smtpd_recipient_limit = 40

Ce qui ici, veut dire qu'on a le droit d'envoyer 10 mails à la minute, chacun à 40 destinataires au maximum. Faut arriver à les écrire, quand même.

• anvil_rate_time_unit : par défaut c'est de toute façon 60 secondes donc on pourrait aussi bien ne pas le déclarer. Cela sert à diverses choses, pas juste à la limite d'envoi de mail.
• smtpd_client_message_rate_limit : le nombre de messages autorisé dans cette limite. 2 est évidement mauvais pour la prod, mais cela permet de tester que tout marche : envoyez 3 mails différents depuis la même adresse, en moins d'une minute, et admirez le résultat. Postfix ne met pas vraiment de limite par défaut…
• smtpd_recipient_limit : Nombre maximum de destinataires qu'un serveur SMTP de Postfix accepte par requête de livraison de message (défaut : 1000). Il me semble que 40 est déjà énorme, mais ça arrive qu'on envoie un mail collectif à une grosse partie de notre carnet d'adresse.

Il y a d'autres options similaires (cf http://www.postfix.org/TUNING_README.html#conn_limit ) mais cela me semble inutile.

En regardant les logs on peut voir que tout le net tente de se connecter à notre pauvre serveur.

Fail2ban éjecte les plus nuisibles (et stupides) mais on peut ajouter aussi ceci dans /etc/postfix/main.cf :

smtpd_error_sleep_time = 5s
smtpd_soft_error_limit = 3
smtpd_hard_error_limit = 10

• smtpd_error_sleep_time : la réponse du serveur SMTP n'est envoyée qu'après un délai lorsque le client a fait plus de $smtpd_soft_error_limit et moins de $smtpd_hard_error_limit erreurs, sans livrer de courrier (1s par défaut).
• smtpd_soft_error_limit : Nombre d'erreurs qu'un client SMTP distant est autorisé à faire sans livrer de messages avant d'être ralenti par le serveur SMTP de Postfix (10 par défaut).
• smtpd_hard_error_limit : Nombre maximum d'erreurs qu'un client SMTP distant est autorisé à commettre sans livrer de message. Le serveur SMTP de Postfix coupe la connexion au delà de cette limite (20 par défaut).

Là je me fais plaisir à bien baisser la limite… parce que les serveurs sérieux ne font pas d'erreurs. On verra si cela complexifie ma réception de mails.

Attention cependant car cela peut aussi ralentir tout postfix et donc appliquer des délais à des clients légitimes.

Dans /etc/postfix/main.cf :

error_notice_recipient = postmaster@example.org
notify_classes = resource, software,policy,bounce,delay

• error_notice_recipient : par défaut les notifications sont délivrées à “postmaster” (en local), donc ça devrait arriver, mais on peut aussi indiquer une autre adresse mail, vu que de toute façon… ben on a un serveur d'envoi de mail…
• notify_classes : qu'est-ce qui va être notifié. Par défaut, resource (problème de ressources) et software (problème de logiciel). On peut ajouter ce qui suit :
  • bounce : détails des en-têtes pour les messages rejetés à la livraison. Inclut le paramètre 2bounce donc pas besoin de le mettre aussi.
  • 2bounce : avis de rejets non-livrables
  • delay : à propos des messages retardés
  • policy : à propos des messages rejetés pour cause de restriction. Genre trop d'envoi à la minute.
  • protocol : erreur de protocole du client ou du serveur. Et là je crains que ça floode à mort sur les gens qui tentent de se connecter de façon non autorisée, alors je ne l'ai pas mis dans ma configuration.

Cela peut faire pas mal de flood sur postmaster, mais permet aussi de voir rapidement si le serveur a un souci.

Cf https://postfix.traduc.org/index.php/postconf.5.html#notify_classes pour la doc officielle traduite.

Doc de référence : https://www.postfix.org/postconf.5.html.

Postscreen va appliquer des vérifications sur les domaines (entre autre) et faciliter le tri. On pourra ainsi déclarer certains domaines comme bloqués, et d'autres comme de confiance, et en mettre certains en liste grise. Pour chaque contrôle, on peut au choix :

• ignore : on ne fait rien
• enforcer : on bloque et on enverra un retour RCPT TO: 550 5.3.2 Service currently unavailable
• drop : on répondra 521 5.3.2 Service currently unavailable

Dans le fichier /etc/postfix/master.cf, commentez la ligne :

smtp  inet   n   -   y   -   -   smtpd

et décommenter

smtp  inet   n   -   y   -   1   postscreen
smtpd pass   -   -   y   -   -   smtpd
 -o cleanup_service_name=subcleanin
dnsblog  unix   -   -   y   -   0   dnsblog
tlsproxy unix   -   -   y   -   0   tlsproxy

On ajoute les lignes suivantes dans /etc/postfix/main.cf :

postscreen_access_list = permit_mynetworks, cidr:/etc/postfix/mycfg/postscreen_access.cidr
postscreen_blacklist_action = drop

/etc/postfix/mycfg/postscreen_access.cidr permet de bloquer des ip, selon cette forme :

xxx.xxx.xxx.xxx reject

Mais bon, ce travail est surtout réalisé par fail2ban en principe. Ne pas oublier de créer le fichier quand même !

On ajoute ensuite une grande subtilité de postscreen : un petit temps de délai avant de répondre. Un serveur mail bien configuré attend poliment qu'on lui donne la parole… cela éjecte donc un certain nombre de “zombies”. La “greet_banner” est le message envoyé lors de l'attente. Le temps d'attente (ici 3 secondes) permet aussi d'interroger si l'ip est blacklistée.

postscreen_greet_wait = 3s
postscreen_greet_banner = Cool, we have time...
postscreen_greet_action = drop

Ensuite, on va ajouter des listes à interroger pour savoir si l'ip ne serait pas bloquée. Si oui, alors… on vire

postscreen_dnsbl_sites =
 zen.spamhaus.org*2,
 bl.spamcop.net,
 b.barracudacentral.org*2
postscreen_dnsbl_threshold = 3
postscreen_dnsbl_action = drop

Ici, quelques subtilités (si j'ai compris, ce qui n'est pas certain !) :

• Si on rejette le mail, l'expéditeur aura l'information du nom de domaine ayant servi à la blocklist. Cela peut se cacher (via postscreen_dnsbl_sites) , mais personnellement je juge plutôt correct de dire “je ne te veux pas car tu est bloqué ici” ; si l'expéditeur est légitime et que c'est une erreur, il peut se faire débloquer.
• Interroger les listes demande du temps, pas la peine d'en ajouter trop, mais, on va le voir ensuite, pas la peine d'en mettre trop peu non plus.
• Forcément, on fait appel à un prestataire externe, avec ce que ça peut questionner sur la confiance. Les listes en question peuvent parfaitement faire une liste des ip qui contactent notre serveur. Personnellement je me dis que l'intérêt de l'information reste limité, surtout si peu à peu j'ai plus d'utilisateurs.
• postscreen_dnsbl_threshold indique la limite inférieure inclusive du score du domaine testé qu'on peut accepter. Et là ça demande un peu de détails.

Si une ip est trouvée dans une des listes, ça va compter pour “1”. Sauf si on ajoute un chiffre après le nom du domaine et l'astérisque ; dans ce cas ça sera pondéré d'autant. Dans l'exemple ici, si une ip est trouvée sur zen.spamhaus.org, ça va compter pour “2”. Là, avec nos trois listes dont 2 pondérées à “2”, si l'ip est listée partout, elle obtiendra un score de 5. C'est plus haut que 3 ⇒ c'est probablement une adresse louche.

Interroger plusieurs listes augmente donc les chances que l'ip bloquée le soit pour des raisons légitimes.

Mais, attention. Ces listes ne sont pas toutes gratuites, elles ont des conditions d'utilisation, bref pour ne pas se faire ban soi-même… il faut aller voir tout ça.

Enfin, quelques manip qui passent les ip en “greylisting” en attente d'en savoir plus. Attention, cela peut éjecter des serveurs légitimes mais configurés de façon un peu légère (d'ailleurs, moi-même, je donnerais quoi ?). Enfin, bon, comme cela risque surtout de concerner des copains et qu'ils savent comment me contacter autrement… perso ça ne me stresse pas.

postscreen_pipelining_enable = yes
postscreen_pipelining_action = enforce
postscreen_non_smtp_command_enable = yes
postscreen_non_smtp_command_action = enforce
postscreen_bare_newline_enable = yes
postscreen_bare_newline_action = enforce

Toutes ces actions demandent que le client en face agisse proprement : il passe le test, se déconnecte, et cause ensuite au vrai postfix. Cela ralentit les échanges et peut être coûteux en ressources (et en temps). Cependant une fois le test passé, l'ip est enregistrée comme “bonne” pendant un certain temps (paramètre postscreen_*_ttl, 30 jours par défaut donc je ne change rien).

• pipelining : pour les clients qui envoient plusieurs commandes en même temps, au lieu d'attendre la réponse à chacune avant d'envoyer la suivante. Le mail n'est pas fait pour se presser ; ceux qui sont pressés sont souvent mal intentionnés.
• non_smtp_command : si le client envoie une commande qui n'est pas SMTP (voir https://www.postfix.org/postconf.5.html#postscreen_forbidden_commands). Et ça, quand on regarde les logs, on sait qu'ils testent et que ce n'est jamais légitime.
• bare_newline : quand le client envoie un caractère de retour à la ligne, sans retour chariot avant. Ça doit filtrer ce qui est scripté avec les pieds ? Si on suit la norme, chaque ligne doit se terminer par <CR><LF> ; s'il n'y a que <LF> c'est sale !

Un petit postfix reload et… On espère que tout va bien !

C'est quand même plus pratique que de bidouiller la base de donnée, bien que la solution mérite d'être un peu améliorée. Mais, c'est du php : je peux y faire des choses. Et en attendant “ça marche”.

En profiter (si ce n'est déjà fait) pour sécuriser Apache d'après https://khaganat.net/wikhan/fr:apache.

En principe on a déjà un admin pour la base de donnée Mailuser si on a suivi le tuto plus haut.

Télécharger ISPMail Admin. Le dézipper et le mettre “où il faut” sur la partie web.

Dans cfg/config.inc.php :

1. Modifier db_user et db_pass pour mettre l'admin de la database “mailserver”.
2. Décommenter define('IMA_CFG_LOGIN', IMA_LOGINTYPE_ACCOUNT); (ou pas, cf la doc)
3. Modifier admin_user et admin_Pass en créant un truc rien que pour ça.

Dans la config apache de /etc/apache2/sites-enabled/monsite-https.conf, modifier/ajouter les détails suivants (à adapter au chemin) :

        <Directory /var/www/monsite/ >
                Options FollowSymLinks MultiViews
                AllowOverride All
                Order allow,deny
                allow from all
        </Directory>
        <Directory /var/www/monsite/isp/cfg/ >
                Require all denied
        </Directory>

Se rendre sur index.php (chemin vers isp) et admirer une interface plus commode pour ajouter users, domaines, etc.

Une fois ISPMail installé, adminer ne sert à rien et présente une faille potentielle, donc on l'enlève :

sudo apt remove adminer

À présent, la gestion des spams.

Vu que j'étais un peu fâchée avec rspamd, s'assurer qu'il a tout ce qu'il lui faut :

apt --install-recommends install rspamd 

Et… je vais avoir un souci parce que opendkim a besoin de ceci dans postfix :

smtpd_milters = inet:localhost:8891
non_smtpd_milters = $smtpd_milters

Et rspamd de cela…

smtpd_milters=inet:127.0.0.1:11332
non_smtpd_milters=inet:127.0.0.1:11332

la grande question… peut-on déclarer plusieurs milters ? ça sent les ennuis ça.

Tant qu'on a opendkim, y'a ça à faire

nano /etc/rspamd/local.d/dkim_signing.conf

enabled = false;

Je pense que rspamd donne les infos : https://www.rspamd.com/doc/modules/dkim_signing.html

Et donc on envoie à rspamd qui délègue à opendkim… bon… pas certain que ça soit au top tout ça. Pause, hélas.

https://workaround.org/bullseye/filtering-out-spam-with-rspamd/

Cela va permettre de créer des règles de filtre sur le serveur et donc de trier automatiquement les emails sans lien avec le client courriel. Pratique quand on switche entre webmail et divers thunderbird.

En principe ce qu'on a déjà fait suffit en bonne partie, mais il vient le moment de le tester, et surtout de permettre de gérer ces filtres via un client mail (et ce sera plutôt via notre webmail snappymail que via thunderbird dont l'extension ne marche plus).

Il faut modifier /etc/dovecot/conf.d/20-managesieve.conf et décommenter les lignes suivantes :

protocols = $protocols sieve

service managesieve-login {
  inet_listener sieve {
    port = 4190
  }

  service_count = 1
}

Décommenter aussi cette ligne dans /etc/dovecot/conf.d/10-auth.conf :

disable_plaintext_auth = yes

Relancer Dovecot, puis vérifier que les ports sont bien ouverts :

service dovecot restart
lsof -i :4190 -P

Cela devrait donner ce genre de retour

COMMAND    PID USER   FD   TYPE DEVICE SIZE/OFF NODE NAME
dovecot 371602 root   15u  IPv4 487495      0t0  TCP *:4190 (LISTEN)
dovecot 371602 root   16u  IPv6 487496      0t0  TCP *:4190 (LISTEN)

Il faut qu'iptable laisse passer ça aussi :

iptables -A INPUT -p tcp --dport 4190 -j ACCEPT
netfilter-persistent save

Il faut aussi permettre à ce port d'être accessible à travers le firewall/proxy/box (mais là, ça dépend de la box etc, donc pas de tuto ici…).

Et voilà, plus qu'à configurer le port et la possibilité d'utiliser SIEVE sur notre client mail favori, ça marche !

• Paramétrage de rspamd, juste pour gérer les spams.
  • S'il gonfle on fera sans, il y a d'autres méthodes pour gérer (cf Evolix)
• Commenter postfix et nettoyer afin que ce soit plus facile à maintenir. Déplacer les fichiers personnalisés dans un dossier ? (fait mais à documenter)
• Voir les infos récupérés dans le pdf pour améliorer les choses, ainsi que les autres blogs. pas urgent, quand on aura le temps.
• Mettre en place le backup
• Transférer mes vrais noms de domaines ?

Documenter :

• S'assurer que l'adresse mail pour les infos systèmes est bien configurée…
• Mettre en place anonaddy et voir si ça permet de gérer les users
  • Sinon ajouter de quoi gérer les users aussi…
  • Vérifier que ça fait ce qu'on veut sur les alias
  • Notes sur cette page, ça commence à faire long ici et c'est un truc particulier.
• test imapsync ou autre.
• reprendre ici et harmoniser les noms de domaine entre autre
• Mise en place du webmail, à la fois plus pratique en déplacement
• J'ai mis imapS (993) en place mais pas noté les détails. En même temps ça va avec la reprise de la config de dovecot et postfix en version plus détaillée ici.