Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveur:mail [2021/01/01 13:31] – [Configuration principale] d2air
+++ serveur:mail [2021/05/13 10:48] (Version actuelle) – [Création d’un serveur virtuel Apache2] d2air
@@ Ligne 152: / Ligne 152: @@
         SSLCertificateFile      /etc/letsencrypt/live/pma.hostname.domaine.eu/cert.pem
         SSLCertificateKeyFile   /etc/letsencrypt/live/pma.hostname.domaine.eu/privkey.pem
-        Header always add Strict-Transport-Security "max-age=63072000; preload"
+        <IfModule mod_headers.c>
-        Header always set X-Content-Type-Options "nosniff"
+                Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
-        Header always set X-Frame-Options DENY
+                Header always set X-Content-Type-Options "nosniff"
-        Header always set X-XSS-Protection "1; mode=block"
+                Header always set X-Frame-Options "DENY"
+                Header always set X-XSS-Protection "1; mode=block"
+                Header set Content-Security-Policy-Report-Only "default-src 'self'"
+        </IfModule>
         #   Certificate Authority (CA):
@@ Ligne 313: / Ligne 316: @@
 Configurons Postfix  pour utiliser TLS avec un certificat Let’s Encrypt :
 <code>
+apt install python3-pip python3-dnslib
+pip3 install certbot-dns-standalone
 systemctl stop postfix
-certbot certonly --standalone -d mail.domaine.eu --email webmaster@domaine.eu --rsa-key-size 4096
+certbot --non-interactive --agree-tos --email webmaster@domaine.eu certonly \
+  --preferred-challenges dns --authenticator certbot-dns-standalone:dns-standalone \
+  --certbot-dns-standalone:dns-standalone-address=0.0.0.0 \
+  --certbot-dns-standalone:dns-standalone-ipv6-address=:: \
+  --certbot-dns-standalone:dns-standalone-port=53 \
+  -d mail.domaine.eu --email webmaster@domaine.eu --rsa-key-size 4096
 systemctl start postfix
 </code>
@@ Ligne 478: / Ligne 488: @@
 smtpd_recipient_restrictions =
+	reject_rbl_client xbl.spamhaus.org,
+	reject_rbl_client pbl.spamhaus.org,
+	reject_rbl_client sbl.spamhaus.org,
+	reject_rbl_client multi.uribl.com,
+	reject_rbl_client rbl-plus.mail-abuse.org,
+	reject_rbl_client dialups.mail-abuse.org,
 	reject_invalid_hostname,
 	reject_non_fqdn_hostname,
@@ Ligne 489: / Ligne 505: @@
 	reject_unauth_destination,
 	reject_unverified_recipient,
-	check_policy_service unix:private/policy-spf,
 	permit
@@ Ligne 511: / Ligne 526: @@
 smtpd_hard_error_limit = 20
-myhostname = hostname.domaine.eu
+myhostname = host.domaine.eu
+mydomain = domaine.eu
+#myorigin = /etc/mailname
+myorigin = $mydomain
+mydestination = $myhostname, localhost.$mydomain, mail.$mydomain, lists.$mydomain, host, localhost
+mynetworks = 127.0.0.0/8 [:: ffff:127.0.0.0]/104 [::1]/128
+relayhost =
+relay_domains = lists.domaine.eu
 alias_maps = hash:/etc/aliases
 alias_database = hash:/etc/aliases
-mydestination = hostname, hostname.domaine.eu, mail.domaine.eu, localhost.domaine.eu, localhost.localdomain, localhost
-mydomain = domaine.eu
-myorigin = $mydomain
-mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
-relayhost =
-default_transport = smtp
-relay_transport = smtp
 mailbox_size_limit = 51200000
 message_size_limit = 25600000
@@ Ligne 828: / Ligne 843: @@
 <file sh main.cf>
 smtpd_recipient_restrictions =
-        reject_invalid_hostname,
+	reject_rbl_client xbl.spamhaus.org,
-        reject_non_fqdn_hostname,
+	reject_rbl_client pbl.spamhaus.org,
-        reject_non_fqdn_sender,
+	reject_rbl_client sbl.spamhaus.org,
-        reject_non_fqdn_recipient,
+	reject_rbl_client multi.uribl.com,
-        reject_unknown_sender_domain,
+	reject_rbl_client rbl-plus.mail-abuse.org,
-        reject_unknown_recipient_domain,
+	reject_rbl_client dialups.mail-abuse.org,
-        reject_unauth_destination,
+	reject_invalid_hostname,
-        reject_unverified_recipient,
+	reject_non_fqdn_hostname,
-        permit_mynetworks,
+	reject_non_fqdn_sender,
-        permit_sasl_authenticated,
+	reject_non_fqdn_recipient,
-        permit_auth_destination,
+	reject_unknown_sender_domain,
-        check_policy_service unix:private/policy-spf,
+	reject_unknown_recipient_domain,
-        check_policy_service inet:127.0.0.1:10023,
+	permit_mynetworks,
-        permit
+	permit_sasl_authenticated,
+	permit_auth_destination,
+	reject_unauth_destination,
+	reject_unverified_recipient,
+	check_policy_service inet:127.0.0.1:10023,
+	permit
 </file>
 Puis il faut relancer Postfix en surveillant les logs :
@@ Ligne 852: / Ligne 872: @@
 La configuration par défaut de [[https://www.clamav.net/|ClamAV]] nous conviendra ; son fichier est ''/etc/clamav'', vous y trouverez plus d’options.
-Il faut ajouter l’utilisateur ''clamav'' au groupe ''amavis'' afin qu’Amavisd-new ait des droits sur les fichiers de ClamAV :
+Il faut ajouter l’utilisateur ''clamav'' au groupe ''amavis'' afin qu’Amavisd-new ait des droits sur les fichiers de ClamAV et inversement :
 <code sh>
 adduser clamav amavis
+adduser amavis clamav
 </code>
 ===== Configuration d’Amavis-new =====
-Amavis servira por passer les messages entrants à des filtres comme Clamav et Spamassassin.
+Amavis servira pour le passage des messages entrants à des filtres comme Clamav et Spamassassin.
 Il faut ajouter les sections suivantes dans le fichier de configuration /etc/postfix/master.cf :
 <file sh master.cf>
@@ Ligne 886: / Ligne 907: @@
   -o receive_override_options=no_header_body_checks,no_unknown_recipient_checks
 </file>
-Ces deux paragraphes permettront la création des points d’accrochage entre le module smtpd de Postfix et le daemon Amavisd.
+Ces deux paragraphes permettront la création des points d’accrochage entre le module smtpd de Postfix et le daemon amavisd.
 Les options ''-o'' indiquées surchargeront éventuellement celles qui seraient données dans ''main.cf'' pour les services en question, c'est à dire d'une part smtp-amavis et d'autre part le service smtpd attaché à amavis sur le port 10025.
+Ajoutez aussi les deux lignes suivantes immédiatement en dessous du service de transport "pickup" :
+<file sh master.cf>
+pickup    unix  n       -       y       60      1       pickup
+  -o content_filter=
+  -o receive_override_options=no_header_body_checks
+</file>
+Ceci empêchera la classification en tant que pourriel des messages de rapport de pourriels.
-De plus, il faut modifier le fichier main.cf pour indiquer à Postfix que smtpd doit se connecter à Amavisd, mais il y a juste une ligne à ajouter :
+De plus, il faut modifier le fichier main.cf pour indiquer à Postfix que smtpd doit se connecter à Amavis, mais il y a juste une ligne à ajouter :
 <file sh master.cf>
 content_filter=smtp-amavis:[127.0.0.1]:10024
+</file>
+Les fichiers de configuration d’Amavis sont dans le répertoire ''/etc/amavis/conf.d''.
+Pour activer la détection de spam et de virus; il faut ensuite décommenter les lignes utiles dans le fichier ''/etc/amavis/conf.d/15-content_filter_mode'' :
+<file sh 15-content_filter_mode>
+use strict;
+# You can modify this file to re-enable SPAM checking through spamassassin
+# and to re-enable antivirus checking.
+#
+# Default antivirus checking mode
+# Please note, that anti-virus checking is DISABLED by
+# default.
+# If You wish to enable it, please uncomment the following lines:
+#@bypass_virus_checks_maps = (
+#   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
+#
+# Default SPAM checking mode
+# Please note, that anti-spam checking is DISABLED by
+# default.
+# If You wish to enable it, please uncomment the following lines:
+#@bypass_spam_checks_maps = (
+#   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
+;  # ensure a defined return
+</file>
+Cependant, il est préférable de copier ces lignes dans le fichier ''50-user'' comme pour toutes modifications des variables de la configuration.
+Le fichier ''/etc/amavis/conf.d/20-debian_defaults'' a son importance, car il contient bon nombre de paramètres de configuration d' Amavis. Dans les grandes lignes, mieux vaut garder cette configuration, sauf que :
+  * si vous désirez que les tags posés par spamassassin soient systématiquement ajoutés dans les en-têtes de messages, ça n'ira pas ;
+  * si vous voulez que les spams ne soient jamais éliminés, mais simplement marqués comme tels, ça n'ira pas non plus ;
+  * si par la suite, vous souhaitez, comme nous le ferons dans le chapitre suivant, utiliser des domaines « virtuels » vos tags risquent de ne jamais apparaître.
+En effet, Amavisd-new ne retranscrit les tags de spamassassin que pour les messages à destination des domaines référencés dans la variable (liste) ''@local_domains_acl''.
+De plus, la variable ''$sa_kill_level_deflt'' définit le score à partir duquel nous sommes surs qu'un message est un spam, et la variable ''$final_spam_destiny'' indique quoi faire de ce message dans ce cas.
+Dans la configuration par défaut, vous constaterez que si un message obtient un score >= 100, il est « D_BOUNCE » ce qui veut dire qu'il est mis en quarantaine locale et que le destinataire ne reçoit rien. Certes, un score de 100 est assez significatif, mais tout de même, peut-être souhaiterez-vous vous montrer plus libéral.
+En cas de refus de tags de la part d'Amavis, de vérifier que le problème ne vient pas de la variable ''@local_domains_acl''. Passer celle-ci avec la valeur ''@local_domains_acl = ( "." );'' permet d’effectuer le marquage des tags anti-spam quel que soit le domaine de destination.
+Enfin, les variables ''$sa_tag_level_deflt'' et ''$sa_tag2_level_deflt'' influent sur le marquage du message, de même que la variable ''$sa_spam_subject_tag'' a un effet direct sur l’esthétique du message délivré.
+Voilà à quoi pourrait ressembler le fichier ''/etc/amavis/conf.d/50-user'' :
+<file sh 50-user>
+use strict;
+#
+# Place your configuration directives here.  They will override those in
+# earlier files.
+#
+# See /usr/share/doc/amavisd-new/ for documentation and examples of
+# the directives you can use in this file
+#
+@local_domains_acl = ( "." );
+@bypass_virus_checks_maps = (
+   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
+@bypass_spam_checks_maps = (
+   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
+$sa_tag_level_deflt = -9999;     # note minimale pour ajouter les tags X-Spam... à l'en-tête des emails
+                                 # ici, nous sommes à peu près surs que le tag sera toujours présent
+$sa_tag2_level_deflt = 5.0;      # note minimale pour ajouter le tag X-Spam-Flag: YES
+                                 # et modifier l'objet
+$sa_kill_level_deflt = 100;      # note à partir de laquelle les mails sont traités comme définis
+                                 # par la variable $final_spam_destiny (ici ils sont acceptés)
+$sa_spam_subject_tag = '[SPAM]'; # chaine ajoutée à l'objet de l'email
+$final_spam_destiny       = D_PASS;
+# Pour ne pas en dire trop sur les armes employées
+$X_HEADER_LINE = "spam & virus filtering at $mydomain";
+#------------ Do not modify anything below this line -------------
+;  # ensure a defined return
 </file>
 ==== Vérifier la configuration ====
@@ Ligne 920: / Ligne 1030: @@
   * DSPAM n’est plus maintenu et le paquet est enlevé des dépôts depuis Debian Jessie ;
   * [[https://rspamd.com/|Rspamd]] est un projet intéressant ;
   * [[https://bogofilter.sourceforge.io/|Bogofilter]] est un filtre antispam efficace, comme alternative ou comme complément à [[https://spamassassin.apache.org/|Spamassassin]].
-==== Configuration ====
+==== Paquets facultatifs ====
-Le fichier de configuration est ''/etc/default/spamassassin'' :
+Il existe des paquets facultatifs qui s’intègrent avec Spamassassin pour une meilleure détection des spams :
-<file sh local.cf>
+<code sh>
-ENABLED=1
+apt install pyzor razor
+</code>
+Puis :
+<code sh>
+user@host:~# su - amavis -s /bin/bash
+$ razor-admin -create
+$ razor-admin -register
+</code>
+==== Activation du service ====
+Dans le fichier de configuration est ''/etc/default/spamassassin'' :
+<file sh spamassassin>
 CRON=1
 </file>
-Avant que le cron s’exécute pour la première fois, nous devons mettre à jour manuellement le jeu de règles de SpamAssassin:
+puis :
-<code>
+<code sh>
-sa-learn
+systemctl start spamassassin
 </code>
-Sauvegardons du fichier original de configuration ''local.cf'' avant de modifier les paramètres :
+==== Configuration ====
+Sauvegardons le fichier original de la configuration ''local.cf'' avant de modifier les paramètres :
 <code>
 cp /etc/spamassassin/local.cf /etc/spamassassin/local.cf.original.bak
@@ Ligne 937: / Ligne 1058: @@
 <file sh local.cf>
 rewrite_header Subject [SPAM]
-report_safe 0
+report_safe 1
 required_score 5.0
 use_bayes 1
 bayes_auto_learn 1
-whitelist_from *@domaine.eu
-</file>
-Ensuite, pour que Postfix puisse envoyer des emails entrants ver SpamAssassin, nous devons modifier le fichier ''/etc/postfix/master.cf''. Au tout début, nous devons ajouter une ligne dans la définition de SMTP :
-<file sh master.cf>
-smtp      inet  n       -       -       -       -       smtpd
-  -o content_filter=spamassassin
-</file>
-À la fin du même fichier, nous devons ajouter les lignes suivantes :
-<file sh master.cf>
-spamassassin unix -     n       n       -       -       pipe
-  user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}
 </file>
 Nous pouvons redémarrer les services SpamAssassin et Postfix :
 <code>
 systemctl restart postfix
+systemctl restart amavis
 systemctl restart spamassassin
 </code>
-Pour vérifier si cela fonctionne, envoyez vous un e-mail d'un autre fournisseur et vous devriez voir les en-têtes suivantes :
+==== Vérifier le fonctionnement  ====
+Pour vérifier si cela fonctionne, envoyez-vous un e-mail d’un autre fournisseur et vous devriez voir des en-têtes plus ou moins semblables aux suivantes :
 <code>
-X-Spam-Checker-Version: SpamAssassin 3.4.0 (2014-02-07) on
+X-Virus-Scanned: Debian amavisd-new at host.domaine.eu
-	host.domaine.eu
+X-Spam-Flag: NO
+X-Spam-Score: 0.001
 X-Spam-Level:
+X-Spam-Status: No, score=0.001 tagged_above=-9999 required=5
+	tests=[HTML_MESSAGE=0.001] autolearn=ham autolearn_force=no
 </code>
 ===== Configurer SPF =====
-==== Permettre à votre serveur d'envoyer pour votre domaine ====
+==== Permettre à votre serveur d’envoyer pour votre domaine ====
-SPF (Sender Policy Framework) est un mécanisme qui confirme que l'IP de votre serveur est autorisé à envoyer des e-mails pour votre domaine. Techniquement, il est un enregistrement DNS TXT qui ressemble à ceci:
+SPF (Sender Policy Framework) est un mécanisme qui confirme que l’IP de votre serveur est autorisé à envoyer des e-mails pour votre domaine. Techniquement, il est un enregistrement DNS TXT qui ressemble à ceci :
 <code>
 domaine.eu.     IN      TXT     "v=spf1 mx ip4:0.0.0.1 ~all"
 </code>
-Cet enregistrement DNS permet aux autres serveurs de messagerie de savoir que les serveurs qui possèdent un enregistrement MX pour mon domaine sont également autorisés à envoyer des e-mails. Pour plus d'informations sur la syntaxe SPF, vous pouvez consulter la [[http://www.openspf.org/SPF_Record_Syntax|documentation officielle]].
+Cet enregistrement DNS permet aux autres serveurs de messagerie de savoir que les serveurs qui possèdent un enregistrement MX pour mon domaine sont également autorisés à envoyer des e-mails. Pour plus d’informations sur la syntaxe SPF, vous pouvez consulter la [[http://www.open-spf.org/SPF_Record_Syntax/|documentation officielle]].
 Sans un enregistrement SPF correctement configuré, les autres serveurs de messagerie pourraient considérer vos courriers comme un SPAM ou carrément les laisser tomber.
 ==== SPF Record pour les courriers entrants ====
-Maintenant que nous avons mis en place notre propre enregistrement SPF, nous allons configurer Postfix pour vérifier que d'autres serveurs de messagerie puissent communiquer avec nous comme nous avons fait.
+Maintenant que nous avons mis en place notre propre enregistrement SPF, nous allons configurer Postfix pour vérifier que d’autres serveurs de messagerie puissent communiquer avec nous comme nous avons fait.
-Tout d'abord, nous allons ajouter les deux lignes suivantes à la fin de ''/etc/postfix-policyd-spf-python/policyd-spf.conf'' :
+Avant tout, nous allons ajouter les deux lignes suivantes à la fin de ''/etc/postfix-policyd-spf-python/policyd-spf.conf'' :
 <file sh policyd-spf.conf>
 Header_Type = AR
 Authserv_Id = hostname.domaine.eu
 </file>
+Pour connaître les différentes options, il existe la commande :
+<code sh>
+man policyd-spf.conf
+</code>
 Puis nous éditons le fichier ''master.cf'' :
 <file sh master.cf>
@@ Ligne 985: / Ligne 1103: @@
      user=nobody argv=/usr/bin/policyd-spf
 </file>
-Ensuite nous modifions dans le fichier ''/etc/postfix/main.cf'' la section ''smtpd_recipient_restrictions'' pour ajouter la ligne de ''check_policy_service'' comme nous le voyons ci-dessous ainsi qu'un paramètre ''policy-spf_time_limit'' :
+Ensuite nous modifions dans le fichier ''/etc/postfix/main.cf'' la section ''smtpd_recipient_restrictions'' pour ajouter la ligne de ''check_policy_service'' comme nous le voyons ci-dessous ainsi qu’un paramètre ''policy-spf_time_limit'' :
 <file sh main.cf>
 smtpd_recipient_restrictions =
-[...]
+	reject_rbl_client xbl.spamhaus.org,
-  reject_unauth_destination,
+	reject_rbl_client pbl.spamhaus.org,
-  check_policy_service unix:private/policy-spf,
+	reject_rbl_client sbl.spamhaus.org,
-  permit
+	reject_rbl_client multi.uribl.com,
+	reject_rbl_client rbl-plus.mail-abuse.org,
+	reject_rbl_client dialups.mail-abuse.org,
+	reject_invalid_hostname,
+	reject_non_fqdn_hostname,
+	reject_non_fqdn_sender,
+	reject_non_fqdn_recipient,
+	reject_unknown_sender_domain,
+	reject_unknown_recipient_domain,
+	permit_mynetworks,
+	permit_sasl_authenticated,
+	permit_auth_destination,
+	reject_unauth_destination,
+	reject_unverified_recipient,
+	check_policy_service unix:private/policy-spf,
+	check_policy_service inet:127.0.0.1:10023,
+	permit
 policy-spf_time_limit = 3600s
 </file>
-Put the policy service after reject_unauth_destination to prevent unexpected responses from the policy service from making your system an open relay (this is recommended for all policy services). Moreover, put the policy service after you permit local senders. You only want SPF to check inbound mail from the internet, not outbound mail from your users.
+Placez le service de politique après ''reject_unauth_destination'' afin d’éviter que des réponses inattendues du service de politique ne fassent de votre système un relais ouvert (ceci est recommandé pour tous les services de politique). En outre, placez le service de politique après avoir autorisé les expéditeurs locaux. Vous souhaitez que le SPF ne vérifie que le courrier entrant provenant d’Internet, et non le courrier sortant de vos utilisateurs.
-Nous pouvons relancer le service :
+Nous pouvons maintenant relancer le service :
 <code>
 systemctl restart postfix
 </code>
-Notre serveur peut maintenant vérifier les enregistrements SPF d'un autre serveur de messagerie. Pour vous assurer que cela fonctionne, envoyez vous un e-mail depuis un autre fournisseur et vous devriez voir l'en-tête suivant :
+Notre serveur peut maintenant vérifier les enregistrements SPF d’un autre serveur de messagerie. Pour vous assurer que cela fonctionne, envoyez-vous un e-mail depuis un autre fournisseur et vous devriez voir l’en-tête suivant :
 <code>
 Authentication-Results: myserver.domaine.eu; spf=pass (sender SPF authorized)
@@ Ligne 1245: / Ligne 1379: @@
 Nous avons maintenant un serveur de messagerie correctement configuré. Il pourrait être encore amélioré par la mise en place de détection de [[https://fr.wikipedia.org/wiki/Greylisting|greylisting]] et de virus.
 ===== Réferences  =====
-Les tutoriaux et les pages d'aide qui furent utilisés pour construire cette page :
+Les tutoriaux et les pages d’aide qui furent utilisés pour construire cette page :
   * [[https://www.captainark.net/2015/04/24/setting-up-a-mail-server/|Setting up a mail server]] de [[https://twitter.com/captainark|Captainark]]
   * [[https://wiki.debian-fr.xyz/Installation_sur_une_Squeeze_d%27un_serveur_mail_complet_(Postfix_Postfixadmin_Dovecot_Mysql_Amavisd-new_Spamassassin_Clamav_Postgrey_Squirrelmail_Roundcube)_avec_gestion_des_filtres_Imap_et_des_quotas|Installation d'un serveur mail complet]]
@@ Ligne 1256: / Ligne 1390: @@
   * [[https://placenet.org/2020/05/08/config-ssl-pour-postfix-gnu-linux-debian-buster/|Configuration pour avoir une bonne sécurité du SSL]]
   * [[https://arnowelzel.de/en/greylisting-to-avoid-spam|Greylisting to avoid spam]]
+  * [[http://irp.nain-t.net/doku.php/200messagerie:020postfix2:060_amavis|Filtrer avec Amavis]]
+  * [[https://guide.ubuntu-fr.org/server/mail-filtering.html|Filtrage du courrier éléctronique]]