• Serveurs

  • [Discussion] Installer un serveur de mail avec Postfix et Dovecot

Oui il faut les contacter directement (souvent il y a un formulaire adapté) et prouver que cette adresse IP n'est plus utilisée pour du SPAM.
Hello,

j'ai soucis avec postix depuis quelques jours que je n'arrive pas à solutionner

j'ai un message d'erreur dans les logs indiquant l’accès est refusé au fichier main.cf
open /etc/postfix/main.cf: Permission denied
en faisant un postfix check
j'ai le warning suivant : 
postfix/postfix-script: warning: group or other writable: /etc/postfix/./main.cf
et voici les propriétés du fichier main.cf 
-rwx------ 1 root root 5972 Aug 12 12:57 /etc/postfix/main.cf
les autres fichiers de conf ont les mêmes propriétés.

j'ai rien trouvé sur internet qui solutionne mon problème.

je précise que je tourne dans un container docker a base de debian.

merci d'avance pour votre aide.
chmod 644 sur les fichiers de config de postfix.
Hardware wrote:Oui il faut les contacter directement (souvent il y a un formulaire adapté) et prouver que cette adresse IP n'est plus utilisée pour du SPAM.
En effet, j'ai commencé à me retirer des listes.

Encore merci pour ton aide et franchement sans ce script ni le tuto de mise en place de postfix, j'aurai jamais réussi.
Encore bravo à l'équipe pour votre travail
Hardware wrote:chmod 644 sur les fichiers de config de postfix.
merci pour ta réponse mais cela ne résout que partiellement mon problème
la commande posfix check ne renvoit plus d'erreur par contre

j'ai toujours ces messages d'erreurs dans mes logs lorsque j’essaie d'envoyer un mail
Sep  8 14:35:04 mailserver postfix/sendmail[561]: fatal: open /etc/postfix/main.cf: Permission denied
Sep  8 14:35:05 mailserver postfix/pipe[560]: B4B88457: to=<emailtest@msn.com>, relay=spamassassin, delay=0.32, delays=0.09/0.01/0/0.22, dsn=4.3.0, status=deferred (temporary failure. Command output: sendmail: fatal: open /etc/postfix/main.cf: Permission denied )
voici les droits sur les fichiers de conf de postfix
-rw-r--r-- 1 root    root   329 Sep  7 14:55 dynamicmaps.cf
-rw-r--r-- 1 root    root   176 Jul 13 15:47 header_checks
-rw-r--r-- 1 postfix root  5972 Aug 12 12:57 main.cf
-rw-r--r-- 1 root    root  5847 Jul 29 16:55 master.cf
-rw-r--r-- 1 root    root   241 Aug  2 21:20 mysql-virtual-alias-maps.cf
-rw-r--r-- 1 root    root   260 Aug  2 21:20 mysql-virtual-mailbox-domains.cf
-rw-r--r-- 1 root    root   247 Aug  2 21:21 mysql-virtual-mailbox-maps.cf
-rw-r--r-- 1 root    root 28047 Nov  4  2014 post-install
-rw-r--r-- 1 root    root 20281 Nov  4  2014 postfix-files
-rw-r--r-- 1 root    root  8861 Nov  4  2014 postfix-script
drw-r--r-- 2 root    root     6 Nov  4  2014 sasl
une idée?
Qui est cet utilisateur postfix ?
Effectivement le propriétaire de main.cf n'est pas postfix mais root.
chown root: /etc/postfix/main.cf
bonjour,

bien vu, il s'agit d'un test pour essayer de résoudre le problème en fonction de ce que j'avais trouvé sur internet.

je remis root comme propriétaire.

et je crois avoir trouvé également la solution a mon problème.

il faut que le répertoire postifx possède les droits 755 , ce qui n’était pas le cas.

tout semble a priori rentré dans l'ordre mais je vais continuer à vérifier s'il n'y a rien d'autre de déréglé.

merci
je voulais mettre dans les champs imap et smtp des données érroné.

je voulais mettre imap.xxxx.fr et smtp.xxxx.fr alors que juste mettre xxxx.fr etait bon -.-'

Bonjour,
petit nouveau, après avoir suivie le tuto (et non script dans un premier temps pour comprendre certains mécanisme)
Je suis entrain de tenté de configurer rainloop et donc j'ai un petit soucis quand je rentre les données IMAP et SMTP, et que je teste la connection j'ai une erreur (du moins 2 erreur)

stream_socket_client(): unable to connect to ssl://imap.xxxxx.fr:993 (Connection refused)
stream_socket_client(): unable to connect to tcp://smtp.xxxxx.fr:587 (Connection refused)

j'auto-héberge, j'ai donc ouvert les ports correspondant

Merci pour le travail effectué sur les TUTO qui sont Géniaux, Merci Pour l'aide que vous apporté pour les Profanes dans mon genre.

cordialement.
Oui pas de soucis, côté client faudra autoriser le nouveau certificat.
Alors du coup j'ai un encore un petit soucis,

quand je tente un envoie de mail, le mail n'arrive pas au destinataire.
et je ne parle pas de l'envoie
(le problème vient obligatoirement de ma configuration mais je trouve pas le soucis)

une commande que je vous fournirais une aide à la résolution du soucis ? 
tail -f /var/log/mail.log
Sep 10 14:15:39 shiro dovecot: imap-login: Login: user=<test@xxxxxxx.fr>, method=PLAIN, rip=192.168.z.zz, lip=192.168.y.yy, mpid=6143, TLS, session=<MyepjmMfHQDAqAH+>
Sep 10 14:15:39 shiro dovecot: imap(test@xxxxxxx.fr): Disconnected: Logged out in=80 out=1237
Sep 10 14:15:39 shiro dovecot: imap-login: Login: user=<kamel@graphiste-design.fr>, method=PLAIN, rip=192.168.y.yy, lip=192.168.1.15, mpid=6144, TLS, session=<6p+vjmMfHgDAqAH+>
Sep 10 14:15:39 shiro dovecot: imap(test@xxxxxxx.fr): Disconnected: Logged out in=529 out=2659
Sep 10 14:15:41 shiro dovecot: imap-login: Login: user=<kamel@graphiste-design.fr>, method=PLAIN, rip=192.168.y.yy, lip=192.168.1.15, mpid=6145, TLS, session=<SDDMjmMfHwDAqAH+>
Sep 10 14:15:41 shiro dovecot: imap(test@xxxxxxx.fr): Disconnected: Logged out in=334 out=1225
Sep 10 14:15:44 shiro dovecot: imap-login: Login: user=<kamel@graphiste-design.fr>, method=PLAIN, rip=192.168.y.yy, lip=192.168.1.15, mpid=6146, TLS, session=<tbj5jmMfIADAqAH+>
Sep 10 14:15:44 shiro dovecot: imap(test@xxxxxxx.fr): Disconnected: Logged out in=28 out=769
Sep 10 14:17:39 shiro dovecot: imap-login: Login: user=<test@xxxxxxx.fr>, method=PLAIN, rip=192.168..z.zz, lip=192.168.y.yy, mpid=6154, TLS, session=<+13RlWMfIQDAqAH+>
Sep 10 14:17:39 shiro dovecot: imap(test@xxxxxxx): Disconnected: Logged out in=89 out=860
@Moimeme : Peux-tu me donner le rapport du script de debug ? (voir tout au début du tutoriel).
Peux-tu expliquer plus en détail ton problème ?
Alors, déjà merci de prendre le temps de me répondre.

Alors, j'essaie de monter un serveur Mail grâce a ton tutoriel.

J'ai configurer, ma zone sur online.net en espérant que je n'ai pas fait d'erreur.
J'ai installé le tout.

Rainloop est configurer correctement je pense. (petit précision: dans la parti ajout du domaine quand je met imap.xxxx.fr ou bien smtp.xxxx.fr j'ai une erreur de port a priori alors que si je ne met que xxxx.fr dans les champs, il n'y a aucune erreur.

Je me connecte a l'interface user de rainloop, et j'essai d'envoyé un mail.
Le destinataire ne reçois jamais l'email.
Si j’essaie d'envoyer un mail a partir d'une boite gmail, pareil le mail n'arrive jamais

Je pense que j'ai du faire une erreur dans la configuration de quelques chose mais je ne vois pas où.

Quand je fait un tail -f je n'ai pas l'impression qu'il y est une erreur ...

Edit: j'ai cette erreur, mais c'est bizarre pourquoi il prendre l'ancien MX ? alors que si je teste le mx actuelle il y a pas de soucis?
Mes problèmes viendrais de là ?
tail -f /var/log/mail.log
Sep 10 15:06:43 shiro postfix/smtp[7592]: connect to mx.online.net[62.210.16.36]:25: Connection timed out
Sep 10 15:06:43 shiro postfix/smtp[7593]: connect to mx.online.net[62.210.16.36]:25: Connection timed out
Sep 10 15:07:13 shiro postfix/smtp[7593]: connect to mx-cache.online.net[62.210.16.37]:25: Connection timed out
Sep 10 15:07:13 shiro postfix/smtp[7592]: connect to mx-cache.online.net[62.210.16.37]:25: Connection timed out
Sep 10 15:07:13 shiro postfix/smtp[7592]: 2EE456151A: to=<kamel@engrenage.fr>, relay=none, delay=3346, delays=3286/0.02/60/0, dsn=4.4.1, status=deferred (co                                     nnect to mx-cache.online.net[62.210.16.37]:25: Connection timed out)
Sep 10 15:07:13 shiro postfix/smtp[7593]: 5BA4A60D23: to=<kamel@engrenage.fr>, relay=none, delay=19580, delays=19520/0.02/60/0, dsn=4.4.1, status=deferred (                                     connect to mx-cache.online.net[62.210.16.37]:25: Connection timed out)
Sep 10 15:16:13 shiro postfix/qmgr[5092]: A20D461500: from=<kamel@graphiste-design.fr>, size=2426, nrcpt=1 (queue active)
Sep 10 15:16:43 shiro postfix/smtp[7627]: connect to mx.online.net[62.210.16.36]:25: Connection timed out
Sep 10 15:17:13 shiro postfix/smtp[7627]: connect to mx-cache.online.net[62.210.16.37]:25: Connection timed out
Sep 10 15:17:13 shiro postfix/smtp[7627]: A20D461500: to=<kamel@engrenage.fr>, relay=none, delay=11136, delays=11076/0.02/60/0, dsn=4.4.1, status=deferred (                                     connect to mx-cache.online.net[62.210.16.37]:25: Connection timed out)
Sep 10 15:21:13 shiro postfix/qmgr[5092]: A963C6150C: from=<kamel@graphiste-design.fr>, size=2648, nrcpt=1 (queue active)
Sep 10 15:21:43 shiro postfix/smtp[7640]: connect to mail-tester.com[94.23.206.89]:25: Connection timed out
Sep 10 15:21:43 shiro postfix/smtp[7640]: A963C6150C: to=<web-PK1BFS@mail-tester.com>, relay=none, delay=11155, delays=11125/0.02/30/0, dsn=4.4.1, status=deferred (connect to mail-tester.com[94.23.206.89]:25: Connection timed out)

https://www.whatsmydns.net/#MX/graphiste-design.fr
Hardware wrote:Oui pas de soucis, côté client faudra autoriser le nouveau certificat.
Merci Hard.
@Moimeme : As-tu un pare-feu sur ton serveur ? si oui il faudrait ouvrir les ports associés au serveur de mail (25, 143, 587, 993, 4190).

Sinon, que dit :
nc -vz mx.online.net 25
nc -vz mx-cache.online.net 25
nc -vz mail-tester.com 25
Tes DNS ne sont pas correctement paramétrés :
- SPF      : Pas d'enregistrement SPF
- DKIM     : mail._domainkey.graphiste-design.fr. 14400 IN CNAME pf39-web.online.net. # Pas bon
- RAINLOOP : rainloop.graphiste-design.fr. 14400 IN     CNAME   pf39-web.online.net. # Pas bon
- REVERSE  : lan52-1-88-162-45-187.fbx.proxad.net. # Pas bon
Voila les retours :

# nc -vz mx.online.net 25
mx.online.net [62.210.16.36] 25 (smtp) : Connection timed out
nc -vz mx-cache.online.net 25
mx-cache.online.net [62.210.16.37] 25 (smtp) : Connection timed out
#nc -vz mail-tester.com 25
DNS fwd/rev mismatch: mail-tester.com != ns303428.ip-94-23-206.eu
Concernant :
- RAINLOOP : rainloop.graphiste-design.fr. 14400 IN     CNAME   pf39-web.online.net. # Pas bon
mon sous-domaine est rain.graphiste-design.fr est du coup lui c'est bon.

Pour ceci, qu'est que je dois faire ? je dois faire un reverse a partir de ma ligne free ? (j'auto-héberge du moins j'essaie)
Ah tu fais de l'auto hébergement ! Fallait le dire plutôt..

Pour le reverse regarde ceci : http://www.free.fr/assistance/54.html#step-248

Par défaut le port 25 est bloqué chez Free, il faut que tu configures ta freebox pour débloquer ce port sinon les autres serveurs de mails ne pourront jamais communiquer avec le tient (d'où les timeout que tu as dans les logs).
Régler un port que la freebox ne prenait pas en compte ...

Yo,
Alors c'est bien ce qui me semblait aussi, mais je n'étais pas trop sûr de moi.

Du coup après avoir désactivé le filtrage de free tout fonctionne en dmz nickel
par contre j'ai un soucis au niveau de la réception des mail, du moment que je suis en dmz nickel par contre impossible de recevoir alors que j'ai bien mis le port 993 pour l'imap mais rien n'y fait je ne reçois pas les mails.
il y a quoi comme autre port a ouvrir ?
sinon j'arrive a envoyer parfaitement !

C'est cool :>
Bonjour, c'est encore moi,

Alors, j'ai fait le test de mail-tester.com et il me donne une note de 5.5/10.

il m’enlève 4 points
1 point pour un problème de spf non propagé.

Ce que nous avons retenu comme votre enregistrement SPF actuel est : 
Sender Policy Framework (SPF) est un système de validation d'e-mail conçu pour empêcher le spammage en détectant l'usurpation d'adresse e-mail, une vulnérabilité classique, en vérifiant les adresses IP de l'expéditeur.

Ce que nous avons retenu comme votre enregistrement SPF actuel est :
\"v=spf1 a mx ip4:88.xxx.xxx.xxxx~all\

Nous avons trouvé une entrée SPF sur votre serveur, mais elle n'a pas encore été propagée.
Si vous avez récemment modifié vos DNS, s'il vous plaît attendez quelques heures et réessayez à nouveau.

xxxxxx.fr: No applicable sender policy available
1 point pour :
Sender ID est semblable à SPF, mais il vérifie l'adresse d'expéditeur, pas l'adresse de rebond.

Ce que nous avons retenu comme votre enregistrement SPF actuel est :

\"v=spf1 a mx ip4:88.xxx.xxx.xxxx~all\

Nous avons trouvé une entrée SPF sur votre serveur, mais elle n'a pas encore été propagée.
Si vous avez récemment modifié vos DNS, s'il vous plaît attendez quelques heures et réessayez à nouveau.

xxxxxx.fr: No applicable sender policy available
et 2 point pour cela 
DomainKeys Identified Mail (DKIM) est une méthode permettant d'associer un nom de domaine à un message e-mail, ce qui permet à une personne, une organisation de revendiquer certaines responsabilités pour le message.
Vous avez plus d'une signature DKIM dans votre message.
Veuillez n'activer qu'une seule signature, vous devriez laisser votre serveur de messagerie signer le message et désactiver le DKIM dans votre logiciel de Newsletters.

Signature 1 :

	v=1;
	a=rsa-sha256;
	c=relaxed/simple;
	d=xxxxx.fr;
	s=mail;
	t=1441982975;
	bh=PIlI9+T1zWQU6d0dDOC9BJDJ6OwdLg5l2CSdEtOPfvM=;
	h=Date:From:Subject:To:From;
	b=g+iOG2RAO/qdogtyqKLNq2hRsiZ2wmcQ4llY1knLs7Yp6MPz+1X0bT+QCz1yhL0zA2n614TOx8eADv5T8oTQOs9O03+hpkXdYeWnrs46u4cmUhWVEQjzlKiX3m67maxqCJfUpY65/t7yOFpMS8+MSKATBE8xmyXVJ14BvjrzBP8=

Signature 2 :

	v=1;
	a=rsa-sha256;
	c=relaxed/simple;
	d=xxxxx.fr;
	s=mail;
	t=1441982973;
	bh=PIlI9+T1zWQU6d0dDOC9BJDJ6OwdLg5l2CSdEtOPfvM=;
	h=Date:From:Subject:To:From;
	b=Yo77oVddbDaxmuJkOjpMeZs0oB8UJA3Q26WmxZIpBD0RZqC7rBA/Qf8q4hasbeqU/9pFZIFLqCol9rIOClWvoUHzgy4KJE3kfsCA3aV5267ryNe4WRgDQKWWU1q7ljAv9ewerxyGTj0DYDXkrt0M7wFIZyJ5P4M8InxYJhBZ9b8=
Une idée ou je me suis trompé ?
Message à tous ceux qui ont effectué l'installation d'un serveur de mail avec le tuto ou le script automatisé
Je viens de me rendre compte que la suite de chiffrement que j'ai mis en place le 25 août dernier était un peu trop restrictive, donc certains serveurs de mail ne pouvaient pas initialiser un tunnel chiffré via TLS avec le votre car ils ne partageait pas au moins un cipher en commun. Vous avez peut-être des erreurs de ce genre dans /var/log/mail.log :
warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
...
Il faut donc éviter de toucher aux directives smtpd_tls_exclude_ciphers et smtpd_tls_cipherlist pour des raisons de compatibilité avec les autres serveurs de mail afin d'éviter une erreur du type "no shared cipher" ou "no cipher overlap" puis un fallback en plain/text... Même si la négociation se fait avec DES, RC4, c'est toujours mieux qu'une transmission en clair sur le réseau.

Donc vérifiez votre configuration au cas où, les derniers paramètres TLS en date sont :
# Smtp ( OUTGOING / Client )
smtp_tls_loglevel            = 1
smtp_tls_security_level      = may
smtp_tls_CAfile              = /etc/ssl/certs/ca.cert.pem
smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers   = high
smtp_tls_exclude_ciphers     = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
smtp_tls_note_starttls_offer = yes

# Smtpd ( INCOMING / Server )
smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium
# smtpd_tls_exclude_ciphers   = NE PAS MODIFIER
# smtpd_tls_cipherlist        = NE PAS MODIFIER

smtpd_tls_CAfile              = $smtp_tls_CAfile
smtpd_tls_cert_file           = /etc/ssl/certs/mailserver.crt
smtpd_tls_key_file            = /etc/ssl/private/mailserver.key
smtpd_tls_dh1024_param_file   = $config_directory/dh2048.pem
smtpd_tls_dh512_param_file    = $config_directory/dh512.pem

tls_preempt_cipherlist = yes
tls_random_source      = dev:/dev/urandom

smtp_tls_session_cache_database  = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
lmtp_tls_session_cache_database  = btree:${data_directory}/lmtp_scache
7 jours plus tard
Plop,

J'ai basculer hier mon serveur sur scaleway, j'ai tout reinstallé, à la main comme mon premier serveur, j'ai import toutes les configs + ssl etc,
mais depuis pas moyen d'envoyer de mail,
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: 1D89EA156D: client=250.ip-92-222-28.eu[92.222.28.250], sasl_method=PLAIN, sasl_username=user@domain.tld
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: 1D89EA156D: client=250.ip-92-222-28.eu[92.222.28.250], sasl_method=PLAIN, sasl_username=user@domain.tld
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: 1D89EA156D: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: 1D89EA156D: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna opendkim[3061]: 1D89EA156D: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendkim[3061]: 1D89EA156D: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendmarc[2547]: 1D89EA156D: domain.tld fail
Sep 18 13:26:27 ohmna opendmarc[2547]: 1D89EA156D: domain.tld fail
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: from=<user@domain.tld>, size=329, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: from=<user@domain.tld>, size=329, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna spamd[3306]: spamd: connection from localhost [::1]:37565 to port 783, fd 6
Sep 18 13:26:27 ohmna spamd[3306]: spamd: connection from localhost [::1]:37565 to port 783, fd 6
Sep 18 13:26:27 ohmna spamd[3306]: spamd: setuid to debian-spamd succeeded
Sep 18 13:26:27 ohmna spamd[3306]: spamd: setuid to debian-spamd succeeded
Sep 18 13:26:27 ohmna spamd[3306]: spamd: processing message <55FC10BE.9060906@domain.tld> for debian-spamd:115
Sep 18 13:26:27 ohmna spamd[3306]: spamd: processing message <55FC10BE.9060906@domain.tld> for debian-spamd:115
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: disconnect from 250.ip-92-222-28.eu[92.222.28.250]
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: disconnect from 250.ip-92-222-28.eu[92.222.28.250]
Sep 18 13:26:27 ohmna spamd[3306]: spamd: clean message (0.0/5.0) for debian-spamd:115 in 0.4 seconds, 781 bytes.
Sep 18 13:26:27 ohmna spamd[3306]: spamd: clean message (0.0/5.0) for debian-spamd:115 in 0.4 seconds, 781 bytes.
Sep 18 13:26:27 ohmna spamd[3306]: spamd: result: . 0 - NO_RECEIVED,NO_RELAYS,T_DKIM_INVALID scantime=0.4,size=781,user=debian-spamd,uid=115,required_score=5.0,rhost=localhost,raddr=::1,rport=37565,mid=<55FC10BE.9060906@domain.tld>,autolearn=ham autolearn_force=no
Sep 18 13:26:27 ohmna spamd[3306]: spamd: result: . 0 - NO_RECEIVED,NO_RELAYS,T_DKIM_INVALID scantime=0.4,size=781,user=debian-spamd,uid=115,required_score=5.0,rhost=localhost,raddr=::1,rport=37565,mid=<55FC10BE.9060906@domain.tld>,autolearn=ham autolearn_force=no
Sep 18 13:26:27 ohmna postfix/pipe[3644]: 1D89EA156D: to=<user@domain2.tld>, relay=spamassassin, delay=1, delays=0.41/0.02/0/0.58, dsn=2.0.0, status=sent (delivered via spamassassin service)
Sep 18 13:26:27 ohmna postfix/pickup[3422]: EA5E7A156F: uid=115 from=<user@domain.tld>
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: removed
Sep 18 13:26:27 ohmna postfix/pipe[3644]: 1D89EA156D: to=<user@domain2.tld>, relay=spamassassin, delay=1, delays=0.41/0.02/0/0.58, dsn=2.0.0, status=sent (delivered via spamassassin service)
Sep 18 13:26:27 ohmna postfix/pickup[3422]: EA5E7A156F: uid=115 from=<user@domain.tld>
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: removed
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: EA5E7A156F: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: EA5E7A156F: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna opendkim[3061]: EA5E7A156F: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendkim[3061]: EA5E7A156F: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: EA5E7A156F: from=<user@domain.tld>, size=1403, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: EA5E7A156F: from=<user@domain.tld>, size=1403, nrcpt=1 (queue active)
Sep 18 13:26:28 ohmna spamd[2952]: prefork: child states: II
Sep 18 13:26:28 ohmna spamd[2952]: prefork: child states: II
et sur rainloop j'ai 3 domaines ( le mien, gmail et boulot, et aucun ne fonctionne en smtp) il me dit ca :
stream_socket_client(): unable to connect to ssl://smtp.gmail.com:465 (Connection timed out)
Sur scaleway, il faut que tu ouvres les ports correspondants depuis l'interface manuellement.
omg merci 3h de galere juste pour de la config de firewall xD
c'est a dire un client lourd ? genre thunderbird ? si c'et ca moi oui, mais il faut que le mail partent de ton serveur pas d'un autre smtp
J'ai suivi le tuto à la main pour installer un serveur mail sur un VPS OVH, tout roule parfaitement, ça m'a bien aidé.

J'ai vu que PostfixAdmin avait un système de quota mais qui n'était pas appliqué avec Dovecot. J'ai suivi quelques tutos sur le sujet mais ça ne semble pas bien coller, ex: https://wiki.archlinux.org/index.php/Virtual_user_mail_system#Quota

Si vous avez une idée de comment implémenter ça par rapport au tuto, ce serait top !
Bonjour,

Un bon tutoriel, même si il manque un avertissement sur le PGP en webmail (Rainloop n'est pas le seul à savoir faire ça).
Ce n'est pas aussi sécurisé/authentifiant qu'avec un client mail ! Techniquement le destinataire fait pas la différence avec un client lourd et c'est la que ça pêche: PGP par du principe que la signature/le chiffrement se fait le plus proche possible du l'utilisateur (qui est censé être le seul à connaître le mot de passe de la clé privé), hors un webmail et tout sauf proche du l'utilisateur (+ le problème de confidentialité de votre navigateur, n'oublions pas que certain nous traquent avec des cookie et autres, et ce même avec Firefox (attention aux extensions d'ailleurs)).

Je rapelle que les webmail on été créer dans un but de dépannage par rapport à un client lourd (cas où on à pas sa machine sous la main).

Comme dit plus haut openDKIM et SPF correctement configuré obligent a envoyer ses mail depuis son serveur (mais en échange tout serveur mail correctement configuré n’acceptera pas de mail usurpant votre adresse mail).

@flks une autre façon d'implémenter les quotas dans ce cas la est de la faire directement sur le stockage (limiter la taille disponible pour le/les dossier(s) de l’utilisateur), ma méthode préférée est de passer pas LVM avec une partition par boite mail (assez souple pour agrandir une boite mail, beaucoup moins pour la réduire mais efficace à 100 %). Je sais qu'il existe d'autres méthodes (mais je ne les ai pas retenus après mes recherches car en général j'installe un iRedMail ou un BlueMind où les quotas fonctionnent de base).
Salut Hardware,

J'ai voulu changer mon nom de domaine pour mes mails. Du coup, j'ai refais la partie du tutoriel sur postfix et dovecot. Mais comme je suis très bon, forcément je me suis planté quelques part. Quand je test de me connecter via Thunderbird :
# sudo tail -f /var/log/mail.log
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: connect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: disconnect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<RdAxGn4gvABtvk7+>
Sur le RPI, la version de dovecot est la suivante : 2.1.7
Du coup, je ne sais pas l'incidence d'avoir une ancienne version au niveau de la configuration.
Dans le fichier de configuration de postfix (/etc/postfix/main.cf) j'ai fais les modifications suivante :
Ajout du champs :
smtp_tls_note_starttls_offer = yes

Modification des lignes suivantes :
### 
smtp_tls_protocols           = !SSLv2, !SSLv3, TLSv1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1
par 
smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
### 
smtpd_tls_protocols           = !SSLv2, !SSLv3, TLSv1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1
par 
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
### 
smtpd_tls_mandatory_ciphers   = high
par 
smtpd_tls_mandatory_ciphers   = medium
J'ai refais la partie sur les certificats et modifié cette ligne dans /etc/dovecot/conf.d/10-ssl.conf : 
ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AE$
par : 
ssl_cipher_list = ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC2:!RC4:!DES:!3DES:!MD5:!PSK:!SRP:!DSS:!AECDH:!ADH:@STRENGTH
Voici les fichier complet :
/etc/postfix/main.cf
/etc/dovecot/conf.d/10-ssl.conf

Voilà, Merci pour votre aide.
Je pense que tu utilises thunderbird, donc 2 solutions :

- Soit tu chain le CA file dans autre certificat, genre mailserver.crt.bundle, avec le CA + celui de base
- Soit tu importes le CA file dans thunderbird

La première solution est la mieux puisque tu dois faire ce changement qu'une seule fois sur le serveur.
Salut,

Je ne comprend pas la première solution. C'est une sorte d'encapsulation des certificats dans un seul? Je dois faire quoi?
C'est une concaténation de certificat, une chaîne si tu préfère.
Donc, je mets ca.cert.pem dans mailserver.crt. Je suis perdu. Désolé, je suis pas au niveau.
C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration
Chained SSL certificates

Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:

Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA
D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :
-----BEGIN CERTIFICATE-----
mailserver.crt...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca.cert.pem...
-----END CERTIFICATE-----
Que tu mets dans un fichier mailserver.bundle.pem par exemple.
# /etc/dovecot/conf.d/10-ssl.conf

ssl_cert = </etc/ssl/certs/mailserver.bundle.pem
...
Hello,

Une petite question:
j'ai utilisé le script d'install et tout fonctionne niquel, sauf un petit truc :

j'ai différentes choses qui m'envoies des mails comme fail2ban, l'ouverture d'un shell root, rtorrent, etc... Ces différents envois de mail utilisent l'alias root (qui est déclaré sous /etc/aliases par root: root@mondomain.fr)

lorsqu'un mail est sensé partir, j'ai des lignes comme ça dans mes logs :
to=<root@hostname.domain.fr>, relay=none, delay=0, delays=0/0/0/0, dsn=5.4.6, status=bounced (mail for hostname.domain.fr loops back to myself)
removed
Si je remplace l'alias root par l'adresse mail directement (root@mondomain.fr), là ça fonctionne...

Une idée ?

Merci beaucoup !!!
Hardware wrote:C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration
Chained SSL certificates

Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:

Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA
D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :
-----BEGIN CERTIFICATE-----
mailserver.crt...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca.cert.pem...
-----END CERTIFICATE-----
Que tu mets dans un fichier mailserver.bundle.pem par exemple.
# /etc/dovecot/conf.d/10-ssl.conf

ssl_cert = </etc/ssl/certs/mailserver.bundle.pem
...
J'ai créé le fichier /etc/ssl/certs/mailserver.bundle.pem, chmodé en 444, édité le fichier /etc/dovecot/conf.d/10-ssl.conf j'ai redémarré les services postfix et dovecot. Mais j'ai toujours l'erreur suivante quand j'essaie de me connecter via thunderbird :
#  tail -f /var/log/mail.log
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: connect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: disconnect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:17 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<rW4pCc0gWABtvk7+>
@Gravefield : donc faut importer le certificat dans thunderbird.

@lokiii : Voir les canonical_maps ou les aliases :
/etc/postfix/main.cf
----------------------------------------------
canonical_maps = hash:/etc/postfix/canonical
----------------------------------------------

/etc/postfix/canonical
-------------------------------------------
root@hostname.domain.tld root@domain.tld
user@hostname.domain.tld user@domain.tld
-------------------------------------------

postmap /etc/postfix/canonical
postfix reload
Ok, donc j'ai ajouté le ca.cert.pem via le gestionnaire de certificat. Il apparait comme ceci :



Ce que je comprend pas, c'est que normalement Thundebird demande d'ajouter une exception. En tout cas cela c'était passé comme quand j'ai fait le tuto pour mon serveur kimsufi.

Ici sur mon Rpi à la maison, ça ne passe plus. J'ai toujours cette erreur.