c'est a dire un client lourd ? genre thunderbird ? si c'et ca moi oui, mais il faut que le mail partent de ton serveur pas d'un autre smtp
[Discussion] Installer un serveur de mail avec Postfix et Dovecot
J'ai suivi le tuto à la main pour installer un serveur mail sur un VPS OVH, tout roule parfaitement, ça m'a bien aidé.
J'ai vu que PostfixAdmin avait un système de quota mais qui n'était pas appliqué avec Dovecot. J'ai suivi quelques tutos sur le sujet mais ça ne semble pas bien coller, ex: https://wiki.archlinux.org/index.php/Virtual_user_mail_system#Quota
Si vous avez une idée de comment implémenter ça par rapport au tuto, ce serait top !
J'ai vu que PostfixAdmin avait un système de quota mais qui n'était pas appliqué avec Dovecot. J'ai suivi quelques tutos sur le sujet mais ça ne semble pas bien coller, ex: https://wiki.archlinux.org/index.php/Virtual_user_mail_system#Quota
Si vous avez une idée de comment implémenter ça par rapport au tuto, ce serait top !
Bonjour,
Un bon tutoriel, même si il manque un avertissement sur le PGP en webmail (Rainloop n'est pas le seul à savoir faire ça).
Ce n'est pas aussi sécurisé/authentifiant qu'avec un client mail ! Techniquement le destinataire fait pas la différence avec un client lourd et c'est la que ça pêche: PGP par du principe que la signature/le chiffrement se fait le plus proche possible du l'utilisateur (qui est censé être le seul à connaître le mot de passe de la clé privé), hors un webmail et tout sauf proche du l'utilisateur (+ le problème de confidentialité de votre navigateur, n'oublions pas que certain nous traquent avec des cookie et autres, et ce même avec Firefox (attention aux extensions d'ailleurs)).
Je rapelle que les webmail on été créer dans un but de dépannage par rapport à un client lourd (cas où on à pas sa machine sous la main).
Comme dit plus haut openDKIM et SPF correctement configuré obligent a envoyer ses mail depuis son serveur (mais en échange tout serveur mail correctement configuré n’acceptera pas de mail usurpant votre adresse mail).
@flks une autre façon d'implémenter les quotas dans ce cas la est de la faire directement sur le stockage (limiter la taille disponible pour le/les dossier(s) de l’utilisateur), ma méthode préférée est de passer pas LVM avec une partition par boite mail (assez souple pour agrandir une boite mail, beaucoup moins pour la réduire mais efficace à 100 %). Je sais qu'il existe d'autres méthodes (mais je ne les ai pas retenus après mes recherches car en général j'installe un iRedMail ou un BlueMind où les quotas fonctionnent de base).
Un bon tutoriel, même si il manque un avertissement sur le PGP en webmail (Rainloop n'est pas le seul à savoir faire ça).
Ce n'est pas aussi sécurisé/authentifiant qu'avec un client mail ! Techniquement le destinataire fait pas la différence avec un client lourd et c'est la que ça pêche: PGP par du principe que la signature/le chiffrement se fait le plus proche possible du l'utilisateur (qui est censé être le seul à connaître le mot de passe de la clé privé), hors un webmail et tout sauf proche du l'utilisateur (+ le problème de confidentialité de votre navigateur, n'oublions pas que certain nous traquent avec des cookie et autres, et ce même avec Firefox (attention aux extensions d'ailleurs)).
Je rapelle que les webmail on été créer dans un but de dépannage par rapport à un client lourd (cas où on à pas sa machine sous la main).
Comme dit plus haut openDKIM et SPF correctement configuré obligent a envoyer ses mail depuis son serveur (mais en échange tout serveur mail correctement configuré n’acceptera pas de mail usurpant votre adresse mail).
@flks une autre façon d'implémenter les quotas dans ce cas la est de la faire directement sur le stockage (limiter la taille disponible pour le/les dossier(s) de l’utilisateur), ma méthode préférée est de passer pas LVM avec une partition par boite mail (assez souple pour agrandir une boite mail, beaucoup moins pour la réduire mais efficace à 100 %). Je sais qu'il existe d'autres méthodes (mais je ne les ai pas retenus après mes recherches car en général j'installe un iRedMail ou un BlueMind où les quotas fonctionnent de base).
Salut Hardware,
J'ai voulu changer mon nom de domaine pour mes mails. Du coup, j'ai refais la partie du tutoriel sur postfix et dovecot. Mais comme je suis très bon, forcément je me suis planté quelques part. Quand je test de me connecter via Thunderbird :
Du coup, je ne sais pas l'incidence d'avoir une ancienne version au niveau de la configuration.
Dans le fichier de configuration de postfix (/etc/postfix/main.cf) j'ai fais les modifications suivante :
Ajout du champs :
smtp_tls_note_starttls_offer = yes
Modification des lignes suivantes :
###
/etc/postfix/main.cf
/etc/dovecot/conf.d/10-ssl.conf
Voilà, Merci pour votre aide.
J'ai voulu changer mon nom de domaine pour mes mails. Du coup, j'ai refais la partie du tutoriel sur postfix et dovecot. Mais comme je suis très bon, forcément je me suis planté quelques part. Quand je test de me connecter via Thunderbird :
# sudo tail -f /var/log/mail.log
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: connect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: disconnect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<RdAxGn4gvABtvk7+>
Du coup, je ne sais pas l'incidence d'avoir une ancienne version au niveau de la configuration.
Dans le fichier de configuration de postfix (/etc/postfix/main.cf) j'ai fais les modifications suivante :
Ajout du champs :
smtp_tls_note_starttls_offer = yes
Modification des lignes suivantes :
###
smtp_tls_protocols = !SSLv2, !SSLv3, TLSv1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1smtp_tls_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3smtpd_tls_protocols = !SSLv2, !SSLv3, TLSv1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3smtpd_tls_mandatory_ciphers = highsmtpd_tls_mandatory_ciphers = mediumssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AE$ssl_cipher_list = ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC2:!RC4:!DES:!3DES:!MD5:!PSK:!SRP:!DSS:!AECDH:!ADH:@STRENGTH/etc/postfix/main.cf
/etc/dovecot/conf.d/10-ssl.conf
Voilà, Merci pour votre aide.
Je pense que tu utilises thunderbird, donc 2 solutions :
- Soit tu chain le CA file dans autre certificat, genre mailserver.crt.bundle, avec le CA + celui de base
- Soit tu importes le CA file dans thunderbird
La première solution est la mieux puisque tu dois faire ce changement qu'une seule fois sur le serveur.
- Soit tu chain le CA file dans autre certificat, genre mailserver.crt.bundle, avec le CA + celui de base
- Soit tu importes le CA file dans thunderbird
La première solution est la mieux puisque tu dois faire ce changement qu'une seule fois sur le serveur.
Salut,
Je ne comprend pas la première solution. C'est une sorte d'encapsulation des certificats dans un seul? Je dois faire quoi?
Je ne comprend pas la première solution. C'est une sorte d'encapsulation des certificats dans un seul? Je dois faire quoi?
C'est une concaténation de certificat, une chaîne si tu préfère.
Donc, je mets ca.cert.pem dans mailserver.crt. Je suis perdu. Désolé, je suis pas au niveau.
C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration
D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :Chained SSL certificates
Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:
Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA
-----BEGIN CERTIFICATE-----
mailserver.crt...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca.cert.pem...
-----END CERTIFICATE-----
# /etc/dovecot/conf.d/10-ssl.conf
ssl_cert = </etc/ssl/certs/mailserver.bundle.pem
...
- Modifié
Hello,
Une petite question:
j'ai utilisé le script d'install et tout fonctionne niquel, sauf un petit truc :
j'ai différentes choses qui m'envoies des mails comme fail2ban, l'ouverture d'un shell root, rtorrent, etc... Ces différents envois de mail utilisent l'alias root (qui est déclaré sous /etc/aliases par root: root@mondomain.fr)
lorsqu'un mail est sensé partir, j'ai des lignes comme ça dans mes logs :
Une idée ?
Merci beaucoup !!!
Une petite question:
j'ai utilisé le script d'install et tout fonctionne niquel, sauf un petit truc :
j'ai différentes choses qui m'envoies des mails comme fail2ban, l'ouverture d'un shell root, rtorrent, etc... Ces différents envois de mail utilisent l'alias root (qui est déclaré sous /etc/aliases par root: root@mondomain.fr)
lorsqu'un mail est sensé partir, j'ai des lignes comme ça dans mes logs :
to=<root@hostname.domain.fr>, relay=none, delay=0, delays=0/0/0/0, dsn=5.4.6, status=bounced (mail for hostname.domain.fr loops back to myself)
removedUne idée ?
Merci beaucoup !!!
J'ai créé le fichier /etc/ssl/certs/mailserver.bundle.pem, chmodé en 444, édité le fichier /etc/dovecot/conf.d/10-ssl.conf j'ai redémarré les services postfix et dovecot. Mais j'ai toujours l'erreur suivante quand j'essaie de me connecter via thunderbird :Hardware wrote:C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration
D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :Chained SSL certificates
Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:
Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA
Que tu mets dans un fichier mailserver.bundle.pem par exemple.-----BEGIN CERTIFICATE----- mailserver.crt... -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- ca.cert.pem... -----END CERTIFICATE-----
# /etc/dovecot/conf.d/10-ssl.conf ssl_cert = </etc/ssl/certs/mailserver.bundle.pem ...
# tail -f /var/log/mail.log
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: connect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: disconnect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:17 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<rW4pCc0gWABtvk7+>
@Gravefield : donc faut importer le certificat dans thunderbird.
@lokiii : Voir les canonical_maps ou les aliases :
@lokiii : Voir les canonical_maps ou les aliases :
/etc/postfix/main.cf
----------------------------------------------
canonical_maps = hash:/etc/postfix/canonical
----------------------------------------------
/etc/postfix/canonical
-------------------------------------------
root@hostname.domain.tld root@domain.tld
user@hostname.domain.tld user@domain.tld
-------------------------------------------
postmap /etc/postfix/canonical
postfix reload
Ok, donc j'ai ajouté le ca.cert.pem via le gestionnaire de certificat. Il apparait comme ceci :
Ce que je comprend pas, c'est que normalement Thundebird demande d'ajouter une exception. En tout cas cela c'était passé comme quand j'ai fait le tuto pour mon serveur kimsufi.
Ici sur mon Rpi à la maison, ça ne passe plus. J'ai toujours cette erreur.
Ce que je comprend pas, c'est que normalement Thundebird demande d'ajouter une exception. En tout cas cela c'était passé comme quand j'ai fait le tuto pour mon serveur kimsufi.
Ici sur mon Rpi à la maison, ça ne passe plus. J'ai toujours cette erreur.
Salut salut, Bon j'ai réussi à faire marcher le script install nickel. mail tester a 10/10 impec. Mais il m'a pris l'idée de mettre à jour mon serveur de wheezy à jessie et la drame hormis quelques install qui ne marchais plus ( que j'ai réussi à remettre en place ) mon serveur postifx refusait de fonctionner comme il faut.
Au grand maux les grands remèdes je choppe le script de désinstall et c'est partis mon kiki pour tout remettre à zéro ( pas de problème pour les mails car c'était plus pour assimiler l'install qu'autre chose.
Je me relance dans une install en faisant exactement la même chose que la première fois, et la le drame arrivé aà l'étape ou il faut ce connecter sur http://postifadmin.mondomaine.tld/setup, j'arrive au moment fatitdque ou il faut créer le HASH et Pouf server timed out impossible d'accéder à la suite.
Idem pour tout mon serveur timed out sur plex rutorrent seedbox manager etc etc.
Donc obligé de faire fonctionner le script d'uninstall, reboot server afin de pouvoir de nouveau accéder à tout ( même en faisant service nginx restart rien ne se passe.
Une idée de ce qui ce passe ? un problème avec une dépendance installé avec le script ?
Merci de votre aide je suis vraiment un boulet
Au grand maux les grands remèdes je choppe le script de désinstall et c'est partis mon kiki pour tout remettre à zéro ( pas de problème pour les mails car c'était plus pour assimiler l'install qu'autre chose.
Je me relance dans une install en faisant exactement la même chose que la première fois, et la le drame arrivé aà l'étape ou il faut ce connecter sur http://postifadmin.mondomaine.tld/setup, j'arrive au moment fatitdque ou il faut créer le HASH et Pouf server timed out impossible d'accéder à la suite.
Idem pour tout mon serveur timed out sur plex rutorrent seedbox manager etc etc.
Donc obligé de faire fonctionner le script d'uninstall, reboot server afin de pouvoir de nouveau accéder à tout ( même en faisant service nginx restart rien ne se passe.
Une idée de ce qui ce passe ? un problème avec une dépendance installé avec le script ?
Merci de votre aide je suis vraiment un boulet
- Modifié
Nickel, je viens de refaire un test et j'ai 10/10 sur mon nouveau serveur.
Pour mettre à jour sur mon ancien serveur, j'ai ajouté les paquets que je n'avais pas et j'ai un soucis:
J'ai juste
Pour mettre à jour sur mon ancien serveur, j'ai ajouté les paquets que je n'avais pas et j'ai un soucis:
freshclam
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
smtpd_milters = ... unix:/clamav/clamav-milter.ctlJ'ai juste
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock
- Modifié
Bonjour,
Je viens aussi de faire le tuto, et j'ai aussi rencontré tes problèmes :
Pour le premier, il faut arrêter freshclam avant de le mettre à jour, puis le redémarrer.
Je viens aussi de faire le tuto, et j'ai aussi rencontré tes problèmes :
Pour le premier, il faut arrêter freshclam avant de le mettre à jour, puis le redémarrer.
/etc/init.d/clamav-freshclam stop
freshclam
/etc/init.d/clamav-freshclam start
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock, unix:/clamav/clamav-milter.ctl
Je m'aperçois que ma note a baissé au mail-tester :
Est-ce lié au fait qu'on est caché les informations sensibles ? Je ne me souviens pas de cette note auparavant, et si je m'en réfère à cette règle, ça semble coïncider.-1.996 MIME_HEADER_CTYPE_ONLY 'Content-Type' found without required MIME headers
@cocolabombe0 & @ablond : c'est corrigé, merci.
@Solinvictus : Oui il faut pas enlever le header Mime-Version, j'ai corrigé le tutoriel.
@Solinvictus : Oui il faut pas enlever le header Mime-Version, j'ai corrigé le tutoriel.
J'ai importé le ca.cert.pem dans thunderbird mais j'ai toujours la même erreur.
J'ai testé via le webmail rainloop, ça fonctionne.
Existe-t-il d'autres solutions pour que cela fonctionne à nouveau dans Thunderbird?
Il ya peut être un conflit avec les anciens certificats lié à l'ancien non de domaine? ou ce n'est pas possible?
J'ai testé via le webmail rainloop, ça fonctionne.
Existe-t-il d'autres solutions pour que cela fonctionne à nouveau dans Thunderbird?
Il ya peut être un conflit avec les anciens certificats lié à l'ancien non de domaine? ou ce n'est pas possible?
J'ai plus trop d'idée, pourtant ce que je t'ai donné comme solution devrait fonctionner. Tu peux toujours essayer de préciser le CA comme ceci :
# /etc/dovecot/conf.d/10-ssl.conf
ssl_ca = </etc/ssl/certs/ca.cert.pem