Différences

Ci-dessous, les différences entre deux révisions de la page.

--- admin:infrastructure:mail [2017/07/11 17:06] – fpoulain
+++ admin:infrastructure:mail [2021/09/17 13:43] (Version actuelle) – cpm
@@ Ligne 4: / Ligne 4: @@
 Les envois de mails vers l'Internet se font par lui, c'est donc le relais.  Il reçoit également tous les domaines hébergés par chapril, dont le principal chapril.org
+<note tip>Pour installer un postfix satellite, c'est ici : [[admin:procedures:installation_postfix_satellite|Installation d'un postfix en satellite]]</note>
 Le serveur de mails est un postfix et le serveur de réception de courrier dovecot. On ne va pas s'étendre sur ce dernier car actuellement il n'y a pas d'email délivré à autre que root.
+Enfin, sympa et l'interconnexion de sympa fait l'objet d'une documentation spécifique : [[admin:infrastructure:sympa|Interconnexion entre sympa et postfix]].
 ===== Architecture de postfix =====
@@ Ligne 21: / Ligne 25: @@
 La configuration TLS est basique: un couple clé/certificat placé dans ''/etc/ssl/'' a été créé et auto-signé.  Les protocoles SSLv2 et SSLv3 ont été désactivés et l'authentification doit utiliser TLS obligatoirement.
-<note important>Toute la doc qui suit a été écrite à froid, adaptée de celle de l'April, et concerne des sujets touchy. Il est possible que la peinture ne soit pas sèche et que des éléments divergent de ce qui est réellement sur le serveur.</note>
+<note warning>Toute la doc qui suit a été écrite à froid, adaptée de celle de l'April, et concerne des sujets touchy. Il est évident que la peinture ne soit pas sèche et que des éléments divergent de ce qui est réellement sur le serveur.</note>
 ===== Installation de Amavis =====
@@ Ligne 48: / Ligne 52: @@
 <code bash>
-apt-get install clamav-testfiles
+apt install clamdscan clamav-testfiles
+systemctl start clamav-daemon.service
+systemctl restart clamav-freshclam.service
 clamdscan /usr/share/clamav-testfiles/clam.mail
 </code>
+Enfin décommenter les lignes dans ''/etc/amavis/conf.d/15-content_filter_mode'' :
+<code conf /etc/amavis/conf.d/15-content_filter_mode >
+@bypass_virus_checks_maps = (
+   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
+@bypass_spam_checks_maps = (
+   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
+</code>
+Et redémarrer amavis :
+  systemctl restart amavis
 ===== Installation de fail2ban =====
@@ Ligne 69: / Ligne 87: @@
 Après ça postgrey tourne et écoute sur le 10023. Il faut ajouter une restriction au niveau de posftix :
-<code postfix /etc/postfix/main.cf>
+<code postfix /etc/postfix/conf.d/50-restrictions.conf:>
 smtpd_recipient_restrictions =
                              [...]
                              check_policy_service inet:127.0.0.1:10023,
-                             permit
 </code>
 Et nous allons baisser fortement le délais de greylisting, le temps d'avoir en base une liste convenable de serveurs autorisés :
 <code bash /etc/default/postgrey>
 POSTGREY_OPTS="--inet=10023 --delay=60"
+</code>
+Nous allons aussi ajouter une liste de gros comptes en whitelist car les messages venant d'eux peuvent « rebondir » depuis de nombreux serveurs d'un même pool avant de nous parvenir tel qu'on les attend
+<code conf /etc/postgrey/whitelist_clients>
+yahoo.com
+google.com
+hotmail.com
+live.fr
+outlook.com
+mail-out.ovh.net
+mxb.ovh.net
+gandi.net
 </code>
 Et on redémarre le tout :
 <code>
-/etc/init.d/postgrey restart
+systemctl restart postgrey
 postfix reload
 </code>
@@ Ligne 154: / Ligne 183: @@
 service postfix reload
 </code>
+===== Adresse no-reply =====
+Une adresse devnull@chapril.org existe pour les besoins d'un no-reply.