Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:infrastructure:mail [2017/07/11 16:40] – créée fpoulain
+++ admin:infrastructure:mail [2021/09/17 13:43] (Version actuelle) – cpm
@@ Ligne 4: / Ligne 4: @@
 Les envois de mails vers l'Internet se font par lui, c'est donc le relais.  Il reçoit également tous les domaines hébergés par chapril, dont le principal chapril.org
+<note tip>Pour installer un postfix satellite, c'est ici : [[admin:procedures:installation_postfix_satellite|Installation d'un postfix en satellite]]</note>
 Le serveur de mails est un postfix et le serveur de réception de courrier dovecot. On ne va pas s'étendre sur ce dernier car actuellement il n'y a pas d'email délivré à autre que root.
+Enfin, sympa et l'interconnexion de sympa fait l'objet d'une documentation spécifique : [[admin:infrastructure:sympa|Interconnexion entre sympa et postfix]].
 ===== Architecture de postfix =====
@@ Ligne 20: / Ligne 24: @@
 La configuration TLS est basique: un couple clé/certificat placé dans ''/etc/ssl/'' a été créé et auto-signé.  Les protocoles SSLv2 et SSLv3 ont été désactivés et l'authentification doit utiliser TLS obligatoirement.
+<note warning>Toute la doc qui suit a été écrite à froid, adaptée de celle de l'April, et concerne des sujets touchy. Il est évident que la peinture ne soit pas sèche et que des éléments divergent de ce qui est réellement sur le serveur.</note>
+===== Installation de Amavis =====
 <code bash>
-apt-get install postfix-policyd-spf-python amavisd-new spamassassin clamav-daemon
+apt install amavisd-new spamassassin clamav-daemon pyzor razor arj bzip2 cabextract cpio file gzip nomarch pax unzip zip
-apt-get install libnet-dns-perl libmail-spf-perl pyzor razor
-apt-get install arj bzip2 cabextract cpio file gzip nomarch pax unzip zip
 </code>
@@ Ligne 46: / Ligne 52: @@
 <code bash>
-apt-get install clamav-testfiles
+apt install clamdscan clamav-testfiles
+systemctl start clamav-daemon.service
+systemctl restart clamav-freshclam.service
 clamdscan /usr/share/clamav-testfiles/clam.mail
 </code>
-==== Installation de fail2ban ====
+Enfin décommenter les lignes dans ''/etc/amavis/conf.d/15-content_filter_mode'' :
+<code conf /etc/amavis/conf.d/15-content_filter_mode >
+@bypass_virus_checks_maps = (
+   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
+@bypass_spam_checks_maps = (
+   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
+</code>
+Et redémarrer amavis :
+  systemctl restart amavis
+===== Installation de fail2ban =====
 L'idée est d'éviter les tentatives de brute force pour obtenir nos mots de passe:
@@ Ligne 56: / Ligne 76: @@
 <code bash>
 apt-get install fail2ban
-/etc/fail2ban/jail.conf:
-ignoreip = 172.16.0.0/24 127.0.0.1/8
-bantime  = 86400
-findtime = 600
-maxretry = 5
-destemail = admins-auto@april.org
-sender = admins-auto@april.org
 </code>
-==== Installation de Postgrey ====
+===== Installation de Postgrey =====
 Pour un aperçu sur le greylisting : https://debian-handbook.info/browse/stable/network-services.html#sect.setting-up-greylisting
@@ Ligne 74: / Ligne 87: @@
 Après ça postgrey tourne et écoute sur le 10023. Il faut ajouter une restriction au niveau de posftix :
-<code postfix /etc/postfix/main.cf>
+<code postfix /etc/postfix/conf.d/50-restrictions.conf:>
 smtpd_recipient_restrictions =
                              [...]
                              check_policy_service inet:127.0.0.1:10023,
-                             permit
 </code>
 Et nous allons baisser fortement le délais de greylisting, le temps d'avoir en base une liste convenable de serveurs autorisés :
 <code bash /etc/default/postgrey>
 POSTGREY_OPTS="--inet=10023 --delay=60"
+</code>
+Nous allons aussi ajouter une liste de gros comptes en whitelist car les messages venant d'eux peuvent « rebondir » depuis de nombreux serveurs d'un même pool avant de nous parvenir tel qu'on les attend
+<code conf /etc/postgrey/whitelist_clients>
+yahoo.com
+google.com
+hotmail.com
+live.fr
+outlook.com
+mail-out.ovh.net
+mxb.ovh.net
+gandi.net
 </code>
 Et on redémarre le tout :
 <code>
-/etc/init.d/postgrey restart
+systemctl restart postgrey
 postfix reload
 </code>
-==== Déploiement de DKIM sur postfix ====
+===== Déploiement de DKIM sur postfix =====
 Pour le déploiement, ont été faites les choses suivantes.
@@ Ligne 100: / Ligne 124: @@
 </code>
-Édition de ''/etc/opendkim/opendkim.conf'' et ajout en fin :
+Édition de ''/etc/opendkim.conf'' et ajout en fin :
 <code>
-KeyTable           /etc/opendkim/KeyTable
+KeyTable 	        /etc/postfix/dkim/keytable
-SigningTable       /etc/opendkim/SigningTable
+SigningTable            /etc/postfix/dkim/signingtable
-ExternalIgnoreList /etc/opendkim/TrustedHosts
+ExternalIgnoreList      /etc/postfix/dkim/TrustedHosts
-InternalHosts      /etc/opendkim/TrustedHosts
 </code>
@@ Ligne 112: / Ligne 135: @@
 <code>
-SOCKET="inet:12345@localhost" # listen on loopback on port 12345
+SOCKET="inet:12301@localhost" # listen on loopback on port 12301
 </code>
-Puis, pour setuper toutes les clefs:
+<note important>Malheureusement opendkim est pour le moment mal intégré à systemd. La conf de /etc/defaults/opendkim est silentieusement ignorée par ce dernier. Il faut éditer /lib/systemd/system/opendkim.service pour changer les préférences et ne surtout pas utiliser /etc/init.d pour manipuler le démon.</note>
+Puis, pour générer les clefs:
 <code bash>
-for domain in april.org listes.april.org localhost localhost.april.org mail.april.org agendadulibre.org candidats.fr flosspact.eu flosspact.org freesoftwarepact.eu freesoftwarepact.org informatiquedeloyale.info libreassociation.info libre-en-fete.net libre-en-fete.org libre-en-fete.org libre-et-accessible.org logiciel-libre.info logiciels-libres.info pactelogiciellibre.fr pactelogiciellibre.org agendadulibre.org agendadulibre.be agendadulibre.ch formatsouverts.education eucd.info ;
+opendkim-genkey -D /etc/postfix/dkim/ -d chapril.org -s mail
-do
-    mkdir -p /etc/opendkim/keys/$domain
-    cd /etc/opendkim/keys/$domain
-    opendkim-genkey -r -d $domain
-    chown opendkim:opendkim default.private
-    echo "default._domainkey.$domain $domain:default:/etc/opendkim/keys/$domain/default.private" >>  /etc/opendkim/KeyTab\
-le
-    echo "$domain default._domainkey.$domain" >> /etc/opendkim/SigningTable
-done
 </code>
-Ensuite, copie sur la machine dns de ''/etc/opendkim/keys/*/default.txt'', ajout dans les zones master qui vont bien et incrément du serial.
+On va alors obtenir de fichiers dans ''/etc/postfix/dkim/'' : ''mail.private'' et ''mail.txt''. On copie ce dernier dans la zone concernée.
-Dans Postfix on ajoute dans ''/etc/postfix/conf.d/60-anti-spam.conf'':
+Par ailleurs on définie les tables
+<code conf /etc/postfix/dkim/keytable>
+mail._domainkey.chapril.org chapril.org:mail:/etc/postfix/dkim/mail.private
+</code>
+<code conf /etc/postfix/dkim/signingtable>
+chapril.org mail._domainkey.chapril.org
+</code>
+et
+<code conf /etc/postfix/dkim/TrustedHosts>
+.0.0.1
+localhost
+.168.0.0/24
+[::ffff:127.0.0.0]/104
+[::1]/128
+[2a01:4f8:10b:c41::]/64
+[2a01:4f8:10b:c42::]/64
+.191.250.11
+# 88.191.250.11 est galanga
+</code>
+On pense à changer les permissions :
+  chgrp opendkim /etc/postfix/dkim/*
+  chmod g+r /etc/postfix/dkim/*
+Enfin, dans Postfix on ajoute dans ''/etc/postfix/conf.d/60-anti-spam.conf'':
 <code>
 milter_default_action = accept
-milter_protocol = 6
+milter_protocol = 2
-smtpd_milters = inet:localhost:12345
+smtpd_milters = inet:localhost:12301
-non_smtpd_milters = inet:localhost:12345
+non_smtpd_milters = inet:localhost:12301
 </code>
 Puis ''make'' dans ''/etc/postfix'' et:
 <code>
 service postfix reload
 </code>
+===== Adresse no-reply =====
+Une adresse devnull@chapril.org existe pour les besoins d'un no-reply.