Différences

Ci-dessous, les différences entre deux révisions de la page.

--- serveur:mail [2021/01/02 18:33] – [Paquets facultatifs] d2air
+++ serveur:mail [2021/05/13 10:48] (Version actuelle) – [Création d’un serveur virtuel Apache2] d2air
@@ Ligne 152: / Ligne 152: @@
         SSLCertificateFile      /etc/letsencrypt/live/pma.hostname.domaine.eu/cert.pem
         SSLCertificateKeyFile   /etc/letsencrypt/live/pma.hostname.domaine.eu/privkey.pem
-        Header always add Strict-Transport-Security "max-age=63072000; preload"
+        <IfModule mod_headers.c>
-        Header always set X-Content-Type-Options "nosniff"
+                Header always set Strict-Transport-Security "max-age=15552000; includeSubDomains; preload"
-        Header always set X-Frame-Options DENY
+                Header always set X-Content-Type-Options "nosniff"
-        Header always set X-XSS-Protection "1; mode=block"
+                Header always set X-Frame-Options "DENY"
+                Header always set X-XSS-Protection "1; mode=block"
+                Header set Content-Security-Policy-Report-Only "default-src 'self'"
+        </IfModule>
         #   Certificate Authority (CA):
@@ Ligne 313: / Ligne 316: @@
 Configurons Postfix  pour utiliser TLS avec un certificat Let’s Encrypt :
 <code>
+apt install python3-pip python3-dnslib
+pip3 install certbot-dns-standalone
 systemctl stop postfix
-certbot certonly --standalone -d mail.domaine.eu --email webmaster@domaine.eu --rsa-key-size 4096
+certbot --non-interactive --agree-tos --email webmaster@domaine.eu certonly \
+  --preferred-challenges dns --authenticator certbot-dns-standalone:dns-standalone \
+  --certbot-dns-standalone:dns-standalone-address=0.0.0.0 \
+  --certbot-dns-standalone:dns-standalone-ipv6-address=:: \
+  --certbot-dns-standalone:dns-standalone-port=53 \
+  -d mail.domaine.eu --email webmaster@domaine.eu --rsa-key-size 4096
 systemctl start postfix
 </code>
@@ Ligne 478: / Ligne 488: @@
 smtpd_recipient_restrictions =
+	reject_rbl_client xbl.spamhaus.org,
+	reject_rbl_client pbl.spamhaus.org,
+	reject_rbl_client sbl.spamhaus.org,
+	reject_rbl_client multi.uribl.com,
+	reject_rbl_client rbl-plus.mail-abuse.org,
+	reject_rbl_client dialups.mail-abuse.org,
 	reject_invalid_hostname,
 	reject_non_fqdn_hostname,
@@ Ligne 489: / Ligne 505: @@
 	reject_unauth_destination,
 	reject_unverified_recipient,
-	check_policy_service unix:private/policy-spf,
 	permit
@@ Ligne 511: / Ligne 526: @@
 smtpd_hard_error_limit = 20
-myhostname = hostname.domaine.eu
+myhostname = host.domaine.eu
+mydomain = domaine.eu
+#myorigin = /etc/mailname
+myorigin = $mydomain
+mydestination = $myhostname, localhost.$mydomain, mail.$mydomain, lists.$mydomain, host, localhost
+mynetworks = 127.0.0.0/8 [:: ffff:127.0.0.0]/104 [::1]/128
+relayhost =
+relay_domains = lists.domaine.eu
 alias_maps = hash:/etc/aliases
 alias_database = hash:/etc/aliases
-mydestination = hostname, hostname.domaine.eu, mail.domaine.eu, localhost.domaine.eu, localhost.localdomain, localhost
-mydomain = domaine.eu
-myorigin = $mydomain
-mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
-relayhost =
-default_transport = smtp
-relay_transport = smtp
 mailbox_size_limit = 51200000
 message_size_limit = 25600000
@@ Ligne 828: / Ligne 843: @@
 <file sh main.cf>
 smtpd_recipient_restrictions =
-        reject_invalid_hostname,
+	reject_rbl_client xbl.spamhaus.org,
-        reject_non_fqdn_hostname,
+	reject_rbl_client pbl.spamhaus.org,
-        reject_non_fqdn_sender,
+	reject_rbl_client sbl.spamhaus.org,
-        reject_non_fqdn_recipient,
+	reject_rbl_client multi.uribl.com,
-        reject_unknown_sender_domain,
+	reject_rbl_client rbl-plus.mail-abuse.org,
-        reject_unknown_recipient_domain,
+	reject_rbl_client dialups.mail-abuse.org,
-        reject_unauth_destination,
+	reject_invalid_hostname,
-        reject_unverified_recipient,
+	reject_non_fqdn_hostname,
-        permit_mynetworks,
+	reject_non_fqdn_sender,
-        permit_sasl_authenticated,
+	reject_non_fqdn_recipient,
-        permit_auth_destination,
+	reject_unknown_sender_domain,
-        check_policy_service unix:private/policy-spf,
+	reject_unknown_recipient_domain,
-        check_policy_service inet:127.0.0.1:10023,
+	permit_mynetworks,
-        permit
+	permit_sasl_authenticated,
+	permit_auth_destination,
+	reject_unauth_destination,
+	reject_unverified_recipient,
+	check_policy_service inet:127.0.0.1:10023,
+	permit
 </file>
 Puis il faut relancer Postfix en surveillant les logs :
@@ Ligne 890: / Ligne 910: @@
 Les options ''-o'' indiquées surchargeront éventuellement celles qui seraient données dans ''main.cf'' pour les services en question, c'est à dire d'une part smtp-amavis et d'autre part le service smtpd attaché à amavis sur le port 10025.
+Ajoutez aussi les deux lignes suivantes immédiatement en dessous du service de transport "pickup" :
+<file sh master.cf>
+pickup    unix  n       -       y       60      1       pickup
+  -o content_filter=
+  -o receive_override_options=no_header_body_checks
+</file>
+Ceci empêchera la classification en tant que pourriel des messages de rapport de pourriels.
 De plus, il faut modifier le fichier main.cf pour indiquer à Postfix que smtpd doit se connecter à Amavis, mais il y a juste une ligne à ajouter :
@@ Ligne 1053: / Ligne 1081: @@
 ===== Configurer SPF =====
 ==== Permettre à votre serveur d’envoyer pour votre domaine ====
-SPF (Sender Policy Framework) est un mécanisme qui confirme que l’IP de votre serveur est autorisé à envoyer des e-mails pour votre domaine. Techniquement, il est un enregistrement DNS TXT qui ressemble à ceci:
+SPF (Sender Policy Framework) est un mécanisme qui confirme que l’IP de votre serveur est autorisé à envoyer des e-mails pour votre domaine. Techniquement, il est un enregistrement DNS TXT qui ressemble à ceci :
 <code>
 domaine.eu.     IN      TXT     "v=spf1 mx ip4:0.0.0.1 ~all"
@@ Ligne 1078: / Ligne 1106: @@
 <file sh main.cf>
 smtpd_recipient_restrictions =
-[...]
+	reject_rbl_client xbl.spamhaus.org,
-  reject_unauth_destination,
+	reject_rbl_client pbl.spamhaus.org,
-  check_policy_service unix:private/policy-spf,
+	reject_rbl_client sbl.spamhaus.org,
-  permit
+	reject_rbl_client multi.uribl.com,
+	reject_rbl_client rbl-plus.mail-abuse.org,
+	reject_rbl_client dialups.mail-abuse.org,
+	reject_invalid_hostname,
+	reject_non_fqdn_hostname,
+	reject_non_fqdn_sender,
+	reject_non_fqdn_recipient,
+	reject_unknown_sender_domain,
+	reject_unknown_recipient_domain,
+	permit_mynetworks,
+	permit_sasl_authenticated,
+	permit_auth_destination,
+	reject_unauth_destination,
+	reject_unverified_recipient,
+	check_policy_service unix:private/policy-spf,
+	check_policy_service inet:127.0.0.1:10023,
+	permit
 policy-spf_time_limit = 3600s
@@ Ligne 1091: / Ligne 1135: @@
 systemctl restart postfix
 </code>
-Notre serveur peut maintenant vérifier les enregistrements SPF d'un autre serveur de messagerie. Pour vous assurer que cela fonctionne, envoyez vous un e-mail depuis un autre fournisseur et vous devriez voir l’en-tête suivant :
+Notre serveur peut maintenant vérifier les enregistrements SPF d’un autre serveur de messagerie. Pour vous assurer que cela fonctionne, envoyez-vous un e-mail depuis un autre fournisseur et vous devriez voir l’en-tête suivant :
 <code>
 Authentication-Results: myserver.domaine.eu; spf=pass (sender SPF authorized)