19/10/2019 : Ce tutoriel date de 2014 et n'est aujourd'hui plus maintenu faute de temps. Si quelqu'un est intéressé pour le reprendre, faites moi signe par MP. Par contre, je continuerai de faire évoluer et de maintenir l'image Docker https://github.com/hardware/mailserver Pour ce tuto : http://mondedie.fr/d/5750 Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

Nice, tu m'évites de devoir le faire 😀, ça fait des semaines que je repousse ce tuto il est hyper complet et bien fait 😉. Juste la fin ou j'ai mis Roundcube, mais ton webmail semble assez sympa, je pense que je vais tester son installation. Il existe des plugins ou autre, genre calendrier & co ? Car c'était pour cela que j'avais opté pour Roundcube à l'époque.

Un système de plugin est intégré mais à ma connaissance il n'y a pas de de calendrier, à voir... Rainloop est un projet open source qui est encore assez jeune (septembre 2013 sur Github) mais pour l'instant je n'ai pas encore eu de problème, pourtant je l'utilise tous les jours au boulot (chez moi je passe directement par thunderbird), je le trouve vraiment très stable pour un webmail qui a moins d'un an. Les fonctionnalités sont juste énormes : - Chiffrement des mails avec OpenPGP (quasiment aucun webmail a cette fonctionnalité, peut-être gmail d'ici quelques mois) - Pas de base de donnée à installer - Intégration des réseaux sociaux - Intégration de dropbox - Validation en deux étapes (pour en savoir plus : http://www.google.com/landing/2step/) - Drag & drop - Installation et mise à jour ultra simple

Effectivement il a l'air très prometteur. Peut on l'intégrer à Owncloud ?

Est-ce qu'il a une fonctionnalité de mise en place automatique de libellé avec des filtres comme sur Gmail ?

Salut, Hardware franchement je suis coupé a la partit postfixadmin j'ai comme l'impression de plus avoir internet dessus ... Mais dns de chez online : Voilà comment il me donne sur le navigateur : Mon postfixadmin.conf server { listen 80; server_name postfixadmin.postlab.fr; root /var/www/postfixadmin; index index.php; charset utf-8; auth_basic "seedbox"; auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd"; location / { try_files $uri $uri/ index.php; } location ~* \.php$ { include /etc/nginx/fastcgi_params; fastcgi_pass unix:/var/run/php5-fpm.sock; fastcgi_index index.php; } } Mon index mais y a que dalle juste pour le faire tourné ... server { listen 80 default_server; listen 443 default_server ssl; server_name _; charset utf-8; index index.html index.php; client_max_body_size 10M; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; access_log /var/log/nginx/rutorrent-access.log combined; error_log /var/log/nginx/rutorrent-error.log error; error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } auth_basic "seedbox"; auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd"; location = /favicon.ico { access_log off; log_not_found off; } ## début config rutorrent ## } Franchement je suis en panne des le début ... NB: Au début ça marcher, mais j'avais une page blanche donc j'ai trifouiller un truc quoi je c'est plus et depuis plus rien coupé

@Albaret > Regarde ceci : http://apps.owncloud.com/content/show.php/RainLoop+Webmail?content=165254 @Jedediah > Nope, peut-être dans une futur version @takashi > Le virtual host nginx correspondant à PostfixAdmin est bien activé ?

Voila qui me plait Si tu es chaud Yoshi, j'ai quelque domaine à migrer. On peut tester ça par la même occasion

Oui j'étais bon en fête juste le serveur m'avais ban ... par contre j'ai toujours le premier souci j'ai une page blanche quant je vais sur postfixadmin.postlab.fr une idées j'ai tenté d'ajouté en index setup.php mais rien ...

@takashi > Tu peux me donner le résultat de ces deux commandes stp : ls -alX /var/www/postfixadmin et cat /etc/nginx/fastcgi_params

yep, d# ls -alX /var/www/postfixadmin; total 432 drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 ADDITIONS -rw-rw-r-- 1 www-data www-data 0 May 6 22:52 build-stamp drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 configs drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 css drwxrwxr-x 6 www-data www-data 4096 May 6 22:52 debian drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 DOCUMENTS drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 images drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 languages drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 model drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 scripts drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 smarty drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 templates drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 templates_c drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 tests drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 users drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 VIRTUAL_VACATION drwxrwxr-x 17 www-data www-data 4096 May 6 22:52 . drwxr-xr-x 3 root root 4096 Aug 18 19:15 .. -rw-rw-r-- 1 www-data www-data 12933 Nov 5 2009 calendar.js -rw-rw-r-- 1 www-data www-data 4239 Nov 16 2013 backup.php -rw-rw-r-- 1 www-data www-data 3004 Nov 10 2013 broadcast-message.php -rw-rw-r-- 1 www-data www-data 2948 Jan 14 2014 common.php -rw-rw-r-- 1 www-data www-data 23099 Aug 18 19:20 config.inc.php -rw-rw-r-- 1 www-data www-data 1445 Nov 10 2013 delete.php -rw-rw-r-- 1 www-data www-data 1673 Nov 10 2013 editactive.php -rw-rw-r-- 1 www-data www-data 7517 Jan 21 2014 edit.php -rw-rw-r-- 1 www-data www-data 14408 Nov 16 2013 fetchmail.php -rw-rw-r-- 1 www-data www-data 57574 May 6 21:46 functions.inc.php -rw-rw-r-- 1 www-data www-data 3559 Nov 10 2013 index.php -rw-rw-r-- 1 www-data www-data 847 Nov 10 2013 list-admin.php -rw-rw-r-- 1 www-data www-data 1527 Nov 10 2013 list-domain.php -rw-rw-r-- 1 www-data www-data 16974 Feb 17 14:44 list-virtual.php -rw-rw-r-- 1 www-data www-data 2522 May 2 00:52 login.php -rw-rw-r-- 1 www-data www-data 771 Nov 10 2013 main.php -rw-rw-r-- 1 www-data www-data 1829 Nov 10 2013 sendmail.php -rw-rw-r-- 1 www-data www-data 16267 Dec 28 2013 setup.php -rw-rw-r-- 1 www-data www-data 3707 Jan 14 2014 smarty.inc.php -rw-rw-r-- 1 www-data www-data 59787 Jan 21 2014 upgrade.php -rw-rw-r-- 1 www-data www-data 6006 Dec 22 2013 vacation.php -rw-rw-r-- 1 www-data www-data 1354 Nov 10 2013 variables.inc.php -rw-rw-r-- 1 www-data www-data 2444 Dec 8 2013 viewlog.php -rw-rw-r-- 1 www-data www-data 5835 Feb 19 12:49 xmlrpc.php -rw-rw-r-- 1 www-data www-data 40057 May 6 21:46 CHANGELOG.TXT -rw-rw-r-- 1 www-data www-data 15148 Nov 12 2007 GPL-LICENSE.TXT -rw-rw-r-- 1 www-data www-data 5578 Feb 19 12:52 INSTALL.TXT -rw-rw-r-- 1 www-data www-data 2189 Apr 24 2011 LICENSE.TXT fastcgi_param QUERY_STRING $query_string; fastcgi_param REQUEST_METHOD $request_method; fastcgi_param CONTENT_TYPE $content_type; fastcgi_param CONTENT_LENGTH $content_length; fastcgi_param SCRIPT_NAME $fastcgi_script_name; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param DOCUMENT_ROOT $document_root; fastcgi_param SERVER_PROTOCOL $server_protocol; fastcgi_param HTTPS $https if_not_empty; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx/$nginx_version; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_PORT $remote_port; fastcgi_param SERVER_ADDR $server_addr; fastcgi_param SERVER_PORT $server_port; fastcgi_param SERVER_NAME $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param REDIRECT_STATUS 200;

[Discussion] Installer un serveur de mail avec Postfix et Dovecot : Page 28

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Installer un serveur de mail avec Postfix et Dovecot

Moimeme

Régler un port que la freebox ne prenait pas en compte ...

Yo,
Alors c'est bien ce qui me semblait aussi, mais je n'étais pas trop sûr de moi.

Du coup après avoir désactivé le filtrage de free tout fonctionne en dmz nickel
par contre j'ai un soucis au niveau de la réception des mail, du moment que je suis en dmz nickel par contre impossible de recevoir alors que j'ai bien mis le port 993 pour l'imap mais rien n'y fait je ne reçois pas les mails.
il y a quoi comme autre port a ouvrir ?
sinon j'arrive a envoyer parfaitement !

~~C'est cool :>~~

Moimeme

Bonjour, c'est encore moi,

Alors, j'ai fait le test de mail-tester.com et il me donne une note de 5.5/10.

il m’enlève 4 points
1 point pour un problème de spf non propagé.

Ce que nous avons retenu comme votre enregistrement SPF actuel est :

Sender Policy Framework (SPF) est un système de validation d'e-mail conçu pour empêcher le spammage en détectant l'usurpation d'adresse e-mail, une vulnérabilité classique, en vérifiant les adresses IP de l'expéditeur.

Ce que nous avons retenu comme votre enregistrement SPF actuel est :
\"v=spf1 a mx ip4:88.xxx.xxx.xxxx~all\

Nous avons trouvé une entrée SPF sur votre serveur, mais elle n'a pas encore été propagée.
Si vous avez récemment modifié vos DNS, s'il vous plaît attendez quelques heures et réessayez à nouveau.

xxxxxx.fr: No applicable sender policy available

1 point pour :

Sender ID est semblable à SPF, mais il vérifie l'adresse d'expéditeur, pas l'adresse de rebond.

Ce que nous avons retenu comme votre enregistrement SPF actuel est :

\"v=spf1 a mx ip4:88.xxx.xxx.xxxx~all\

Nous avons trouvé une entrée SPF sur votre serveur, mais elle n'a pas encore été propagée.
Si vous avez récemment modifié vos DNS, s'il vous plaît attendez quelques heures et réessayez à nouveau.

xxxxxx.fr: No applicable sender policy available

et 2 point pour cela

DomainKeys Identified Mail (DKIM) est une méthode permettant d'associer un nom de domaine à un message e-mail, ce qui permet à une personne, une organisation de revendiquer certaines responsabilités pour le message.
Vous avez plus d'une signature DKIM dans votre message.
Veuillez n'activer qu'une seule signature, vous devriez laisser votre serveur de messagerie signer le message et désactiver le DKIM dans votre logiciel de Newsletters.

Signature 1 :

	v=1;
	a=rsa-sha256;
	c=relaxed/simple;
	d=xxxxx.fr;
	s=mail;
	t=1441982975;
	bh=PIlI9+T1zWQU6d0dDOC9BJDJ6OwdLg5l2CSdEtOPfvM=;
	h=Date:From:Subject:To:From;
	b=g+iOG2RAO/qdogtyqKLNq2hRsiZ2wmcQ4llY1knLs7Yp6MPz+1X0bT+QCz1yhL0zA2n614TOx8eADv5T8oTQOs9O03+hpkXdYeWnrs46u4cmUhWVEQjzlKiX3m67maxqCJfUpY65/t7yOFpMS8+MSKATBE8xmyXVJ14BvjrzBP8=

Signature 2 :

	v=1;
	a=rsa-sha256;
	c=relaxed/simple;
	d=xxxxx.fr;
	s=mail;
	t=1441982973;
	bh=PIlI9+T1zWQU6d0dDOC9BJDJ6OwdLg5l2CSdEtOPfvM=;
	h=Date:From:Subject:To:From;
	b=Yo77oVddbDaxmuJkOjpMeZs0oB8UJA3Q26WmxZIpBD0RZqC7rBA/Qf8q4hasbeqU/9pFZIFLqCol9rIOClWvoUHzgy4KJE3kfsCA3aV5267ryNe4WRgDQKWWU1q7ljAv9ewerxyGTj0DYDXkrt0M7wFIZyJ5P4M8InxYJhBZ9b8=

Une idée ou je me suis trompé ?

Hardware

Message à tous ceux qui ont effectué l'installation d'un serveur de mail avec le tuto ou le script automatisé

Je viens de me rendre compte que la suite de chiffrement que j'ai mis en place le 25 août dernier était un peu trop restrictive, donc certains serveurs de mail ne pouvaient pas initialiser un tunnel chiffré via TLS avec le votre car ils ne partageait pas au moins un cipher en commun. Vous avez peut-être des erreurs de ce genre dans /var/log/mail.log :

warning: TLS library problem: error:1408A0C1:SSL routines:SSL3_GET_CLIENT_HELLO:no shared cipher
...

Il faut donc éviter de toucher aux directives smtpd_tls_exclude_ciphers et smtpd_tls_cipherlist pour des raisons de compatibilité avec les autres serveurs de mail afin d'éviter une erreur du type "no shared cipher" ou "no cipher overlap" puis un fallback en plain/text... Même si la négociation se fait avec DES, RC4, c'est toujours mieux qu'une transmission en clair sur le réseau.

Donc vérifiez votre configuration au cas où, les derniers paramètres TLS en date sont :

# Smtp ( OUTGOING / Client )
smtp_tls_loglevel            = 1
smtp_tls_security_level      = may
smtp_tls_CAfile              = /etc/ssl/certs/ca.cert.pem
smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers   = high
smtp_tls_exclude_ciphers     = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
smtp_tls_note_starttls_offer = yes

# Smtpd ( INCOMING / Server )
smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium
# smtpd_tls_exclude_ciphers   = NE PAS MODIFIER
# smtpd_tls_cipherlist        = NE PAS MODIFIER

smtpd_tls_CAfile              = $smtp_tls_CAfile
smtpd_tls_cert_file           = /etc/ssl/certs/mailserver.crt
smtpd_tls_key_file            = /etc/ssl/private/mailserver.key
smtpd_tls_dh1024_param_file   = $config_directory/dh2048.pem
smtpd_tls_dh512_param_file    = $config_directory/dh512.pem

tls_preempt_cipherlist = yes
tls_random_source      = dev:/dev/urandom

smtp_tls_session_cache_database  = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
lmtp_tls_session_cache_database  = btree:${data_directory}/lmtp_scache

arckosfr

Plop,

J'ai basculer hier mon serveur sur scaleway, j'ai tout reinstallé, à la main comme mon premier serveur, j'ai import toutes les configs + ssl etc,
mais depuis pas moyen d'envoyer de mail,

Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: 1D89EA156D: client=250.ip-92-222-28.eu[92.222.28.250], sasl_method=PLAIN, sasl_username=user@domain.tld
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: 1D89EA156D: client=250.ip-92-222-28.eu[92.222.28.250], sasl_method=PLAIN, sasl_username=user@domain.tld
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: 1D89EA156D: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: 1D89EA156D: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna opendkim[3061]: 1D89EA156D: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendkim[3061]: 1D89EA156D: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendmarc[2547]: 1D89EA156D: domain.tld fail
Sep 18 13:26:27 ohmna opendmarc[2547]: 1D89EA156D: domain.tld fail
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: from=<user@domain.tld>, size=329, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: from=<user@domain.tld>, size=329, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna spamd[3306]: spamd: connection from localhost [::1]:37565 to port 783, fd 6
Sep 18 13:26:27 ohmna spamd[3306]: spamd: connection from localhost [::1]:37565 to port 783, fd 6
Sep 18 13:26:27 ohmna spamd[3306]: spamd: setuid to debian-spamd succeeded
Sep 18 13:26:27 ohmna spamd[3306]: spamd: setuid to debian-spamd succeeded
Sep 18 13:26:27 ohmna spamd[3306]: spamd: processing message <55FC10BE.9060906@domain.tld> for debian-spamd:115
Sep 18 13:26:27 ohmna spamd[3306]: spamd: processing message <55FC10BE.9060906@domain.tld> for debian-spamd:115
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: disconnect from 250.ip-92-222-28.eu[92.222.28.250]
Sep 18 13:26:27 ohmna postfix/submission/smtpd[3630]: disconnect from 250.ip-92-222-28.eu[92.222.28.250]
Sep 18 13:26:27 ohmna spamd[3306]: spamd: clean message (0.0/5.0) for debian-spamd:115 in 0.4 seconds, 781 bytes.
Sep 18 13:26:27 ohmna spamd[3306]: spamd: clean message (0.0/5.0) for debian-spamd:115 in 0.4 seconds, 781 bytes.
Sep 18 13:26:27 ohmna spamd[3306]: spamd: result: . 0 - NO_RECEIVED,NO_RELAYS,T_DKIM_INVALID scantime=0.4,size=781,user=debian-spamd,uid=115,required_score=5.0,rhost=localhost,raddr=::1,rport=37565,mid=<55FC10BE.9060906@domain.tld>,autolearn=ham autolearn_force=no
Sep 18 13:26:27 ohmna spamd[3306]: spamd: result: . 0 - NO_RECEIVED,NO_RELAYS,T_DKIM_INVALID scantime=0.4,size=781,user=debian-spamd,uid=115,required_score=5.0,rhost=localhost,raddr=::1,rport=37565,mid=<55FC10BE.9060906@domain.tld>,autolearn=ham autolearn_force=no
Sep 18 13:26:27 ohmna postfix/pipe[3644]: 1D89EA156D: to=<user@domain2.tld>, relay=spamassassin, delay=1, delays=0.41/0.02/0/0.58, dsn=2.0.0, status=sent (delivered via spamassassin service)
Sep 18 13:26:27 ohmna postfix/pickup[3422]: EA5E7A156F: uid=115 from=<user@domain.tld>
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: removed
Sep 18 13:26:27 ohmna postfix/pipe[3644]: 1D89EA156D: to=<user@domain2.tld>, relay=spamassassin, delay=1, delays=0.41/0.02/0/0.58, dsn=2.0.0, status=sent (delivered via spamassassin service)
Sep 18 13:26:27 ohmna postfix/pickup[3422]: EA5E7A156F: uid=115 from=<user@domain.tld>
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: 1D89EA156D: removed
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: EA5E7A156F: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna postfix/cleanup[3640]: EA5E7A156F: message-id=<55FC10BE.9060906@domain.tld>
Sep 18 13:26:27 ohmna opendkim[3061]: EA5E7A156F: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna opendkim[3061]: EA5E7A156F: DKIM-Signature field added (s=mail, d=domain.tld)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: EA5E7A156F: from=<user@domain.tld>, size=1403, nrcpt=1 (queue active)
Sep 18 13:26:27 ohmna postfix/qmgr[3423]: EA5E7A156F: from=<user@domain.tld>, size=1403, nrcpt=1 (queue active)
Sep 18 13:26:28 ohmna spamd[2952]: prefork: child states: II
Sep 18 13:26:28 ohmna spamd[2952]: prefork: child states: II

et sur rainloop j'ai 3 domaines ( le mien, gmail et boulot, et aucun ne fonctionne en smtp) il me dit ca :

stream_socket_client(): unable to connect to ssl://smtp.gmail.com:465 (Connection timed out)

Hardware

Sur scaleway, il faut que tu ouvres les ports correspondants depuis l'interface manuellement.

arckosfr

omg merci 3h de galere juste pour de la config de firewall xD

mirtouf

Certains parmi vous ont-ils réussi à faire signer les message par opendkim lors de l'utilisation d'un client lourd avec une IP différente de celle du serveur ?
Par exemple: https://tech.cbjck.de/2014/02/08/dkim-with-amavis/

arckosfr

c'est a dire un client lourd ? genre thunderbird ? si c'et ca moi oui, mais il faut que le mail partent de ton serveur pas d'un autre smtp

flks

J'ai suivi le tuto à la main pour installer un serveur mail sur un VPS OVH, tout roule parfaitement, ça m'a bien aidé.

J'ai vu que PostfixAdmin avait un système de quota mais qui n'était pas appliqué avec Dovecot. J'ai suivi quelques tutos sur le sujet mais ça ne semble pas bien coller, ex: https://wiki.archlinux.org/index.php/Virtual_user_mail_system#Quota

Si vous avez une idée de comment implémenter ça par rapport au tuto, ce serait top !

julienth37

Bonjour,

Un bon tutoriel, même si il manque un avertissement sur le PGP en webmail (Rainloop n'est pas le seul à savoir faire ça).
Ce n'est pas aussi sécurisé/authentifiant qu'avec un client mail ! Techniquement le destinataire fait pas la différence avec un client lourd et c'est la que ça pêche: PGP par du principe que la signature/le chiffrement se fait le plus proche possible du l'utilisateur (qui est censé être le seul à connaître le mot de passe de la clé privé), hors un webmail et tout sauf proche du l'utilisateur (+ le problème de confidentialité de votre navigateur, n'oublions pas que certain nous traquent avec des cookie et autres, et ce même avec Firefox (attention aux extensions d'ailleurs)).

Je rapelle que les webmail on été créer dans un but de dépannage par rapport à un client lourd (cas où on à pas sa machine sous la main).

Comme dit plus haut openDKIM et SPF correctement configuré obligent a envoyer ses mail depuis son serveur (mais en échange tout serveur mail correctement configuré n’acceptera pas de mail usurpant votre adresse mail).

@flks une autre façon d'implémenter les quotas dans ce cas la est de la faire directement sur le stockage (limiter la taille disponible pour le/les dossier(s) de l’utilisateur), ma méthode préférée est de passer pas LVM avec une partition par boite mail (assez souple pour agrandir une boite mail, beaucoup moins pour la réduire mais efficace à 100 %). Je sais qu'il existe d'autres méthodes (mais je ne les ai pas retenus après mes recherches car en général j'installe un iRedMail ou un BlueMind où les quotas fonctionnent de base).

Gravefield

Salut Hardware,

J'ai voulu changer mon nom de domaine pour mes mails. Du coup, j'ai refais la partie du tutoriel sur postfix et dovecot. Mais comme je suis très bon, forcément je me suis planté quelques part. Quand je test de me connecter via Thunderbird :

# sudo tail -f /var/log/mail.log
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: connect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 24 15:21:00 irisa postfix/submission/smtpd[7093]: disconnect from IP.dsl.ovh.fr[IP]
Sep 24 15:21:00 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<RdAxGn4gvABtvk7+>

Sur le RPI, la version de dovecot est la suivante : 2.1.7
Du coup, je ne sais pas l'incidence d'avoir une ancienne version au niveau de la configuration.
Dans le fichier de configuration de postfix (/etc/postfix/main.cf) j'ai fais les modifications suivante :
Ajout du champs :
smtp_tls_note_starttls_offer = yes

Modification des lignes suivantes :
###

smtp_tls_protocols           = !SSLv2, !SSLv3, TLSv1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1

par

smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3

###

smtpd_tls_protocols           = !SSLv2, !SSLv3, TLSv1
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, TLSv1

par

smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3

###

smtpd_tls_mandatory_ciphers   = high

par

smtpd_tls_mandatory_ciphers   = medium

J'ai refais la partie sur les certificats et modifié cette ligne dans /etc/dovecot/conf.d/10-ssl.conf :

ssl_cipher_list = ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AE$

par :

ssl_cipher_list = ALL:!aNULL:!eNULL:!LOW:!MEDIUM:!EXP:!RC2:!RC4:!DES:!3DES:!MD5:!PSK:!SRP:!DSS:!AECDH:!ADH:@STRENGTH

Voici les fichier complet :
/etc/postfix/main.cf
/etc/dovecot/conf.d/10-ssl.conf

Voilà, Merci pour votre aide.

Hardware

Je pense que tu utilises thunderbird, donc 2 solutions :

- Soit tu chain le CA file dans autre certificat, genre mailserver.crt.bundle, avec le CA + celui de base
- Soit tu importes le CA file dans thunderbird

La première solution est la mieux puisque tu dois faire ce changement qu'une seule fois sur le serveur.

Gravefield

Salut,

Je ne comprend pas la première solution. C'est une sorte d'encapsulation des certificats dans un seul? Je dois faire quoi?

Hardware

C'est une concaténation de certificat, une chaîne si tu préfère.

Gravefield

Donc, je mets ca.cert.pem dans mailserver.crt. Je suis perdu. Désolé, je suis pas au niveau.

Hardware

C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration

Chained SSL certificates

Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:

Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA

D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :

-----BEGIN CERTIFICATE-----
mailserver.crt...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca.cert.pem...
-----END CERTIFICATE-----

Que tu mets dans un fichier mailserver.bundle.pem par exemple.

# /etc/dovecot/conf.d/10-ssl.conf

ssl_cert = </etc/ssl/certs/mailserver.bundle.pem
...

lokiii

Hello,

Une petite question:
j'ai utilisé le script d'install et tout fonctionne niquel, sauf un petit truc :

j'ai différentes choses qui m'envoies des mails comme fail2ban, l'ouverture d'un shell root, rtorrent, etc... Ces différents envois de mail utilisent l'alias root (qui est déclaré sous /etc/aliases par root: root@mondomain.fr)

lorsqu'un mail est sensé partir, j'ai des lignes comme ça dans mes logs :

to=<root@hostname.domain.fr>, relay=none, delay=0, delays=0/0/0/0, dsn=5.4.6, status=bounced (mail for hostname.domain.fr loops back to myself)
removed

Si je remplace l'alias root par l'adresse mail directement (root@mondomain.fr), là ça fonctionne...

Une idée ?

Merci beaucoup !!!

Gravefield

Hardware wrote:C'est indiqué dans la doc : http://wiki2.dovecot.org/SSL/DovecotConfiguration

Chained SSL certificates

Put all the certificates in the ssl_cert file. For example when using a certificate signed by TDC the correct order is:

Dovecot's public certificate
TDC SSL Server CA
TDC Internet Root CA
Globalsign Partners CA
D'abord le certificat public du serveur mailserver.crt puis juste à la suite le certificat public de l'autorité de certification (AC) ca.cert.pem. Ce qui donne :
-----BEGIN CERTIFICATE-----
mailserver.crt...
-----END CERTIFICATE-----
-----BEGIN CERTIFICATE-----
ca.cert.pem...
-----END CERTIFICATE-----
Que tu mets dans un fichier mailserver.bundle.pem par exemple.
# /etc/dovecot/conf.d/10-ssl.conf

ssl_cert = </etc/ssl/certs/mailserver.bundle.pem
...

J'ai créé le fichier /etc/ssl/certs/mailserver.bundle.pem, chmodé en 444, édité le fichier /etc/dovecot/conf.d/10-ssl.conf j'ai redémarré les services postfix et dovecot. Mais j'ai toujours l'erreur suivante quand j'essaie de me connecter via thunderbird :

#  tail -f /var/log/mail.log
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: connect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: improper command pipelining after EHLO from IP.dsl.ovh.fr[IP]: QUIT\r\n
Sep 28 13:31:16 irisa postfix/submission/smtpd[25214]: disconnect from IP.dsl.ovh.fr[IP]
Sep 28 13:31:17 irisa dovecot: imap-login: Disconnected (no auth attempts in 1 secs): user=<>, rip=IP, lip=IP, TLS: SSL_read() failed: error:14094418:SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca: SSL alert number 48, session=<rW4pCc0gWABtvk7+>

Hardware

@Gravefield : donc faut importer le certificat dans thunderbird.

@lokiii : Voir les canonical_maps ou les aliases :

/etc/postfix/main.cf
----------------------------------------------
canonical_maps = hash:/etc/postfix/canonical
----------------------------------------------

/etc/postfix/canonical
-------------------------------------------
root@hostname.domain.tld root@domain.tld
user@hostname.domain.tld user@domain.tld
-------------------------------------------

postmap /etc/postfix/canonical
postfix reload

Gravefield

Ok, donc j'ai ajouté le ca.cert.pem via le gestionnaire de certificat. Il apparait comme ceci :

Ce que je comprend pas, c'est que normalement Thundebird demande d'ajouter une exception. En tout cas cela c'était passé comme quand j'ai fait le tuto pour mon serveur kimsufi.

Ici sur mon Rpi à la maison, ça ne passe plus. J'ai toujours cette erreur.

« Page précédente Page suivante »