• Serveurs

  • [Discussion] Installer un serveur de mail avec Postfix et Dovecot

Salut salut, Bon j'ai réussi à faire marcher le script install nickel. mail tester a 10/10 impec. Mais il m'a pris l'idée de mettre à jour mon serveur de wheezy à jessie et la drame hormis quelques install qui ne marchais plus ( que j'ai réussi à remettre en place ) mon serveur postifx refusait de fonctionner comme il faut.
Au grand maux les grands remèdes je choppe le script de désinstall et c'est partis mon kiki pour tout remettre à zéro ( pas de problème pour les mails car c'était plus pour assimiler l'install qu'autre chose.
Je me relance dans une install en faisant exactement la même chose que la première fois, et la le drame arrivé aà l'étape ou il faut ce connecter sur http://postifadmin.mondomaine.tld/setup, j'arrive au moment fatitdque ou il faut créer le HASH et Pouf server timed out impossible d'accéder à la suite.
Idem pour tout mon serveur timed out sur plex rutorrent seedbox manager etc etc.
Donc obligé de faire fonctionner le script d'uninstall, reboot server afin de pouvoir de nouveau accéder à tout ( même en faisant service nginx restart rien ne se passe.
Une idée de ce qui ce passe ? un problème avec une dépendance installé avec le script ?
Merci de votre aide je suis vraiment un boulet
Nickel, je viens de refaire un test et j'ai 10/10 sur mon nouveau serveur.

Pour mettre à jour sur mon ancien serveur, j'ai ajouté les paquets que je n'avais pas et j'ai un soucis: 
freshclam
ERROR: /var/log/clamav/freshclam.log is locked by another process
ERROR: Problem with internal logger (UpdateLogFile = /var/log/clamav/freshclam.log).
Et après pour 
smtpd_milters = ... unix:/clamav/clamav-milter.ctl
Que je sois sur l'ancien serveur et le nouveau (2 au total), je ne vois pas ce code dans le nouveau.
J'ai juste 
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock
Est ce qu'on doit le rajouter après?
Bonjour,

Je viens aussi de faire le tuto, et j'ai aussi rencontré tes problèmes :

Pour le premier, il faut arrêter freshclam avant de le mettre à jour, puis le redémarrer.
/etc/init.d/clamav-freshclam stop
freshclam
/etc/init.d/clamav-freshclam start
Et oui, il faut mettre à la suite les smtpd_milters
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock, unix:/clamav/clamav-milter.ctl
Je m'aperçois que ma note a baissé au mail-tester :
-1.996 MIME_HEADER_CTYPE_ONLY 'Content-Type' found without required MIME headers
Est-ce lié au fait qu'on est caché les informations sensibles ? Je ne me souviens pas de cette note auparavant, et si je m'en réfère à cette règle, ça semble coïncider.
@cocolabombe0 & @ablond : c'est corrigé, merci.

@Solinvictus : Oui il faut pas enlever le header Mime-Version, j'ai corrigé le tutoriel.
J'ai importé le ca.cert.pem dans thunderbird mais j'ai toujours la même erreur.

J'ai testé via le webmail rainloop, ça fonctionne.

Existe-t-il d'autres solutions pour que cela fonctionne à nouveau dans Thunderbird?
Il ya peut être un conflit avec les anciens certificats lié à l'ancien non de domaine? ou ce n'est pas possible?
J'ai plus trop d'idée, pourtant ce que je t'ai donné comme solution devrait fonctionner. Tu peux toujours essayer de préciser le CA comme ceci :
# /etc/dovecot/conf.d/10-ssl.conf
ssl_ca = </etc/ssl/certs/ca.cert.pem
Ok, et aussi, j'ai un soucis sur mon ancien serveur avec le DKIM.
J'ai pleins de " " dans mail._domainkey.
Est ce que possible de le retrouvé pour vérifier la totalité des lignes? Est ce que je dois copier ceux présent dans futur dns sur mail-tester?
Le Dmarc (copier par le tuto) n'est pas bon chez moi? Est ce lier au DKIM pas bon pour le moment?
Cela ne fonctionne pas non plus. via mon kimsufi ça passe sur thunderbird, je risque rien à essayer de recommencer via le script d’installation auto?
Hardware wrote: @Solinvictus : Oui il faut pas enlever le header Mime-Version, j'ai corrigé le tutoriel.
Effectivement, c'était bien ça.

-----------------------------------------------

Autre point :

Je procède à quelques modifications en rapport avec le changelog, et le mail-tester m'indique ceci (dernier point qui cloche) :
Votre message a échoué au test DMARC.
Une politique DMARC permet à un expéditeur de signaler que ces messages sont protégés par SPF et/ou DKIM et de donner les instructions à exécuter si aucune de ces deux méthodes d'authentifications est correcte. Veuillez vérifier que votre SPF et DKIM soient correctement configurés avant d'installer DMARC.
Vous n'êtes pas autorisé à envoyer un message avec cette addresse.
Pourtant, mes enregistrements DNS sont corrects. C'est embêtant puisque si je m'en réfère à la définition :
Votre serveur répond qu'il doit vérifier la validité de DKIM et SPF, si tout est valide le mail est envoyé au destinataire sinon il est soit mis en quarantaine (dossier spam), soit il n'est pas du tout envoyé (blocké au niveau de la couche smtp).
Ça peut être du côté de mail-tester que ça foire, essaie avec d'autres vérifications si tu veux être sûr.
(J'avais plus ou moins le même problème, Hardware m'avait donné quelques liens mais j'ai égaré tout ça...)
@Gravefield : Non du tout.

@Solinvictus : http://mondedie.fr/d/5751/498

@cocolabombe0 : Le format de l'enregistrement DKIM est comme ceci :
mail._domainkey IN TXT "v=DKIM1; k=rsa; p=VOTRE CLE PUBLIQUE"
On va prendre exemple avec une clé de 4096 bits :
mail._domainkey	IN	TXT	( "v=DKIM1; k=rsa; "
	  "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5tSGc+j5pLEuWeR4NIhDRPhwHUZll1/N3ajHF1wSttUVp/igdcpZTKTD7ccFmsY0l+72Q+rlnoCGGdhdw0ImRoPVZwBfSxvC3alw/YLLCEwpy+J/tXx2WOPdHM95TVbt0S/wVWpPxmr3mAIPO24R4NEf0yQdvktnB26UTcLBEMtqAEtEDLqrea/XM5HQMngWXAARy379H6mo1Y"
	  "ee3wUqYZPX+g8ljZZMpIlvaE0pjtVIZ0kV8/kXz0fa1XHanc6rTsF7/XxCLYJRAK6fcfO8u/Ro65uWNM3x8+WN1nkf/ojh8VN/0A5oUrlQVWba4OEXxCkbZTU7V+4okyyhAHV2+/c0qRsKRNj2YuPl3DmJ8/me/UBHbIEeji7kcBuVkgv0cakHolMbKWESBuuw1F5MPThQ3qbUcCI9mY4OtTnElk40DVXMenKwQ1EnqJZlHtj6XOo0/na4"
	  "epqH+rtUOXhan6ewd8XQvJk630Qi1FHzWmO7i4pb8Uo0EDrAQmPvCNsR+AttrIdK7Ry3xgKAUdSyfT2GXmtP3hpr4l2w0Qv0sXAkVzz9xF0OsUjb3pztdAKz9t9pHiIj3C5p0HQZTAr7oVAzjiDu6gntfoMzTB6mY6PKF2TYOBagu0AZAwgwuWb24zrGPXRPS8U01TlY6UVzFJbB+97i0Nim5jQmyf/r38cCAwEAAQ==" )  ; ----- DKIM key mail for domaine.tld
Si tu as ton propre serveur DNS avec Bind9 par exemple, tu peux laisser ce format là, ça passe.
Si tu est chez un registrar, tu peux essayer :

1 - Soit de rassembler tous les morceaux de la clé en une seule chaîne de caractères, donc la clé au dessus deviendrait :
mail._domainkey IN TXT ( "v=DKIM1; k=rsa; p=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" )  ; ----- DKIM key mail for domaine.tld
2 - Soit de supprimer les espaces entre les "" mais tout en gardant les "" (pas comme dans le premier exemple) :
mail._domainkey IN TXT ( "v=DKIM1; k=rsa; "p=MIICIjANBgkqhkiG9w0BAQEFAAOCAg8AMIICCgKCAgEA5tSGc+j5pLEuWeR4NIhDRPhwHUZll1/N3ajHF1wSttUVp/igdcpZTKTD7ccFmsY0l+72Q+rlnoCGGdhdw0ImRoPVZwBfSxvC3alw/YLLCEwpy+J/tXx2WOPdHM95TVbt0S/wVWpPxmr3mAIPO24R4NEf0yQdvktnB26UTcLBEMtqAEtEDLqrea/XM5HQMngWXAARy379H6mo1Y""ee3wUqYZPX+g8ljZZMpIlvaE0pjtVIZ0kV8/kXz0fa1XHanc6rTsF7/XxCLYJRAK6fcfO8u/Ro65uWNM3x8+WN1nkf/ojh8VN/0A5oUrlQVWba4OEXxCkbZTU7V+4okyyhAHV2+/c0qRsKRNj2YuPl3DmJ8/me/UBHbIEeji7kcBuVkgv0cakHolMbKWESBuuw1F5MPThQ3qbUcCI9mY4OtTnElk40DVXMenKwQ1EnqJZlHtj6XOo0/na4""epqH+rtUOXhan6ewd8XQvJk630Qi1FHzWmO7i4pb8Uo0EDrAQmPvCNsR+AttrIdK7Ry3xgKAUdSyfT2GXmtP3hpr4l2w0Qv0sXAkVzz9xF0OsUjb3pztdAKz9t9pHiIj3C5p0HQZTAr7oVAzjiDu6gntfoMzTB6mY6PKF2TYOBagu0AZAwgwuWb24zrGPXRPS8U01TlY6UVzFJbB+97i0Nim5jQmyf/r38cCAwEAAQ==" )  ; ----- DKIM key mail for domaine.tld
Je sais que cette solution fonctionne chez Gandi en tout cas

3 - Soit de réduire la taille de la clé à 1024 bits, certains registrars n'acceptent tout simplement pas des clés supérieures à cette taille.

Voila je peux pas être plus clair sur ce point.
cocolabombe0 wrote: Le Dmarc (copier par le tuto) n'est pas bon chez moi? Est ce lier au DKIM pas bon pour le moment?
As-tu au moins lu cette partie là du tuto ou tu as juste "copier" l'enregistrement sans savoir ce qu'il faisait ?
NE PAS METTRE L'ENREGISTREMENT DMARC SI VOUS N'ÊTES PAS CERTAIN DU FONCTIONNEMENT DE SPF ET DKIM. SINON LES FOURNISSEURS DE MAILS QUI RESPECTENT LES IDENTIFICATEURS D'ALIGNEMENT DMARC (GMAIL, MICROSOFT ENTRE AUTRE) VONT BLOQUER VOTRE DOMAINE PAR PRÉCAUTION. SI VOUS NE COMPRENEZ PAS À QUOI ÇA SERT, NE LE METTEZ PAS !
Je vais ajouter ça au tuto
Si j'ai bien lu.
Sur mon permier serveur (j'ai rajouté manuellement le dmarc) et sur mon nouveau serveur (deuxième), j'ai bien de dmarc qui fonctionne avec le script.

J'avais mis le code donné directement par le script avec les " ".
Mais là quand j'ai rajouté le code du dmarc, j'avais le problème du DKIM. Donc je vais essayé de tout réunir sans guillemet.
Sur le nouveau, je suis en 1024 et ca fonctionne bien.
Je ne sais pas si online prend plus que 1024. Si ca ne marche pas, je verrais pour le mettre en 1024.

edit: pareil, j'ai une difference entre mon 1er et mon 2ème sur les alias.

Dans ce fichier /etc/aliases, avec le rajout manuel (installation du paquet), il rajoute ça. 
clamav: root
Mais ce code, je l'ai pas dans le fichier avec le script d'installation. Je ne pense pas que c'est grave mais c'est une différence que j'ai vu.

edit: je viens de protéger mes informations sur le deuxième. Et j'ai mon dmarc sur mon deuxième serveur plus bon (sniff). Alors qu'il été bon la dernière fois.
@Hardware / Wonderfall : Je pense que je suis dans le même cas de figure que toi, c'est mail-tester qui ne semble pas prendre en compte correctement DKIM/SPF.

Les autres résultat sont bons à l'exception de ces derniers :
PRT and A record match / PTR and EHLO match : no
Strange, non ?
bah ca ca veux dire que le FQDN sur ton machine est pas bon
arckosfr wrote:bah ca ca veux dire que le FQDN sur ton machine est pas bon
root@one:~➜ hostname --fqdn
one.domain.tld
Le FQDN est correctement déclaré. C'est autre chose à l'évidence.
et un : 
dig +short -x IP_SERVEUR
donne bien le FQDN ?
Hardware wrote:et un : 
dig +short -x IP_SERVEUR
donne bien le FQDN ?

Affirmatif.
et EHLO = FQDN ?
mirtouf wrote:et EHLO = FQDN ?
➜ ~ telnet one.domain.tld 25
Trying 11.22.33.44...
Connected to one.domain.tld.
Escape character is '^]'.
220 one.domain.tld ESMTP Postfix (Debian/GNU)
EHLO one
250-one.domain.tld
250-PIPELINING
250-SIZE 502400000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN