/dev/null

discard to the void

Outils pour utilisateurs

Outils du site

tech:self-hosted_mail-server

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
tech:self-hosted_mail-server [2023/09/29] – [Combattre le spam : Postscreen, Amavis, Spamassassin et Clamav] 2027a.nettech:self-hosted_mail-server [2023/12/22] (Version actuelle) – [Postscreen] Mathieu
Ligne 1: Ligne 1:
 ====== Installer et configurer un serveur de mail ====== ====== Installer et configurer un serveur de mail ======
 +~~DISCUSSION~~
  
 La configuration présentée ici permet d'héberger: La configuration présentée ici permet d'héberger:
Ligne 1003: Ligne 1003:
 Pour lutter contre le spam, nous allons déployer une stratégie en plusieurs étapes, à chaque étape de la récupération et de la distribution du courrier. Nous utiliserons, dans l'ordre : Pour lutter contre le spam, nous allons déployer une stratégie en plusieurs étapes, à chaque étape de la récupération et de la distribution du courrier. Nous utiliserons, dans l'ordre :
  
-  * [[http://www.postfix.org/POSTSCREEN_README.html|Postscreen]] : Un mécanisme intégré dans Postfix, qui filtre l'essentiel du spam, les plus grossiers, si l'on peut dire, avant même que le courrier ne soit accepté par le serveur, en testant le respect par le serveur émetteur des protocoles standardisés d'envoi d'emails. En effet, la plupart des spammeurs misent sur la quantité plutôt que la qualité, et préféres utilisés des serveurs extrémemnet rapides et performant plutôt que de consommer des ressources à respecter les standards. Cette technique, outre qu'elle filtre une part immense du spam, à l'avantage d'économiser nos propres ressources, en coupant la communication très tôt, avant même d'avoir reçu le courrier.+  * [[http://www.postfix.org/POSTSCREEN_README.html|Postscreen]] : Un mécanisme intégré dans Postfix, qui filtre l'essentiel du spam, les plus grossiers, si l'on peut dire, avant même que le courrier ne soit accepté par le serveur, en testant le respect par le serveur émetteur des protocoles standardisés d'envoi d'emails. En effet, la plupart des spammeurs misent sur la quantité plutôt que la qualité, et préfèrent utiliser des serveurs extrêmement rapides et performant plutôt que de consommer des ressources à respecter les standards. Cette technique, outre qu'elle filtre une part immense du spam, à l'avantage d'économiser nos propres ressources, en coupant la communication très tôt, avant même d'avoir reçu le courrier.
  
   * Postfix lui-même, qui fera également des vérifications sur le respect des protocoles, un peu plus tard dans la queue,   * Postfix lui-même, qui fera également des vérifications sur le respect des protocoles, un peu plus tard dans la queue,
Ligne 1013: Ligne 1013:
  
 ==== Postscreen ==== ==== Postscreen ====
 +<WRAP center round info 80%>
  
-<note important>Vous trouverez des pages détaillant l'usage de ''postscreen'' [[http://wiki.linuxwall.info/doku.php/fr:ressources:dossiers:postfix:postscreen|ici]] et [[http://rob0.nodns4.us/postscreen.html|là]]. Je ne peux que vous conseiller de lire la documentation [[http://www.postfix.org/POSTSCREEN_README.html|ici]], parceque si le mécanisme est très puissant, il est aussi suceptible d'avoir des effets de bord non-désirables, notamment l'introduction d'un délai dans la réception des emails.+Vous trouverez des pages détaillant l'usage de ''postscreen'' [[http://wiki.linuxwall.info/doku.php/fr:ressources:dossiers:postfix:postscreen|ici]] et [[http://rob0.nodns4.us/postscreen.html|là]]. Je ne peux que vous conseiller de lire la documentation [[http://www.postfix.org/POSTSCREEN_README.html|ici]], parce que si le mécanisme est très puissant, il est aussi susceptible d'avoir des effets de bord non-désirables, notamment l'introduction d'un délai dans la réception des emails. 
 + 
 +Nous avons fait le choix d'utiliser une configuration assez //soft// de postscreen pour éviter ce délai. 
 +</WRAP>
  
-Nous avons fait le choix d'utiliser une configuration assez //soft// de postscreen pour éviter ce délai.</note> 
  
 Voila la configuration de postscreen que nous utilisons : Voila la configuration de postscreen que nous utilisons :
Ligne 1046: Ligne 1049:
   * ''postscreen_access_list'' : Vérifier si le mail est issu de ''mynetwork'', auquel cas le mail sera accepté sans autre forme de procès,   * ''postscreen_access_list'' : Vérifier si le mail est issu de ''mynetwork'', auquel cas le mail sera accepté sans autre forme de procès,
   * ''postscreen_dnsbl_*'' : donner un score de "réputation" à l'expéditeur de l'email,   * ''postscreen_dnsbl_*'' : donner un score de "réputation" à l'expéditeur de l'email,
-  * ''postscreen_greet|*'' : Vérifier le bon respect de la norme SMTP, +  * ''postscreen_greet_*'' : Vérifier le bon respect de la norme SMTP, 
-  * ''_action = enforce'' : En cas d'échec au test, rejeter le mail avec un code erreur //550 spam detected// (on pourrait utiliser ''drop'' pour couper brutalement la conexion et économiser un peu plus de ressources)+  * ''_action = enforce'' : En cas d'échec au test, rejeter le mail avec un code erreur //550 spam detected// (on pourrait utiliser ''drop'' pour couper brutalement la connexion et économiser un peu plus de ressources)
  
 Pour que cette configuration fonctionne, il faut en informer le processus master. (Voir le fichier master.cf, plus haut) Pour que cette configuration fonctionne, il faut en informer le processus master. (Voir le fichier master.cf, plus haut)
Ligne 1116: Ligne 1119:
 ==== Amavis, Spamassassin et Clamav ==== ==== Amavis, Spamassassin et Clamav ====
  
-<note>**Les courriers qui ont passé ces premières barrières seront tous livrés aux utilisateurs.**. En effet, nous allons désormais effectuer d'autres vérifications, avec notamment des techniques d'évaluation statistique, qui, si elles sont très efficaces, sont moins précises que les vérifications précédentes. Les spams que nous avons rejetés jusque là étaient grossiers, ceux qui restent sont bien mieux forgés.+**Les courriers qui ont passé ces premières barrières seront tous livrés aux utilisateurs.**. En effet, nous allons désormais effectuer d'autres vérifications, avec notamment des techniques d'évaluation statistique, qui, si elles sont très efficaces, sont moins précises que les vérifications précédentes. Les spams que nous avons rejetés jusque là étaient grossiers, ceux qui restent sont bien mieux forgés.
  
-Nous pourrions supprimer les emails que nous allons désormais identifier comme spams, mais nous risquerions d'avoir des //faux-positifs//, c'est à dire des emails marqué comme spams, mais qui en réalité n'en sont pas((On à le droit de parler de viagra, même quand on est pas un spammeur)). Au contraire, nous allons ajouter des en-têtes aux email, indiquant si nous pensons qu'il s'agit de spam ou non, puis trier automatiquement le spam dans un dossier spécifique de la boîte mail de l'utilisateur.</note>+Nous pourrions supprimer les emails que nous allons désormais identifier comme spams, mais nous risquerions d'avoir des //faux-positifs//, c'est à dire des emails marqué comme spams, mais qui en réalité n'en sont pas((On à le droit de parler de viagra, même quand on est pas un spammeur)). Au contraire, nous allons ajouter des en-têtes aux email, indiquant si nous pensons qu'il s'agit de spam ou non, puis trier automatiquement le spam dans un dossier spécifique de la boîte mail de l'utilisateur.
  
  
Ligne 1245: Ligne 1248:
   * ''$max_servers'': On peut réduire l'empreinte mémoire d'Amavis en ne lançant qu'une instance. Le processus sera alors un peu plus lent. Si vous utilisez cette option, il faudra reporter cette valeur dans ''master.cf''   * ''$max_servers'': On peut réduire l'empreinte mémoire d'Amavis en ne lançant qu'une instance. Le processus sera alors un peu plus lent. Si vous utilisez cette option, il faudra reporter cette valeur dans ''master.cf''
  
-<note tip>Amavis est un gros consommateur de mémoire vive. Si vous cherchez à en économiser un peu, vous pouvez désactiver la vérification antivirus et utiliser la directive ''$max-servers'' ci-dessus.</note>+<WRAP center round tip 60%> 
 +Amavis est un gros consommateur de mémoire vive. Si vous cherchez à en économiser un peu, vous pouvez désactiver la vérification antivirus et utiliser la directive ''$max-servers'' ci-dessus. 
 +</WRAP> 
  
 == Configurer Spamassassin == == Configurer Spamassassin ==
Ligne 1482: Ligne 1488:
 Maintenant que notre serveur de mail est opérationnel, nous pouvons installer GNU Mailman pour faire fonctionner des mailing-lists. Maintenant que notre serveur de mail est opérationnel, nous pouvons installer GNU Mailman pour faire fonctionner des mailing-lists.
  
-<note important>**Attention!** Cette installation de mailman est adaptée à notre contexte, c'est à dire avec Postfix configuré pour utilsé des ''virtual_domain'' et des ''virtual_mailbox'' stockés dans une base Mysql. Elle ne fonctionnera pas dans un autre contexte.</note>+<WRAP center round important 60%> 
 +**Attention!** Cette installation de mailman est adaptée à notre contexte, c'est à dire avec Postfix configuré pour utilisé des ''virtual_domain'' et des ''virtual_mailbox'' stockés dans une base Mysql. Elle ne fonctionnera pas dans un autre contexte. 
 +</WRAP> 
  
 ==== Installation ==== ==== Installation ====
Ligne 1688: Ligne 1697:
 ===== Roundcube, un webmail moderne ===== ===== Roundcube, un webmail moderne =====
  
-<note>Notre serveur de courrier est désormais pleinement fonctionnel, les utilisateurs peuvent s'y connecter en IMAP et SMTP, disposent d'un bon antispam, et ont accés à des mailing-listes. Nous reste à leur fournir un bon webmail, pour qu'ils accédent à leurs emails quand ils n'ont pas accés à leur propre ordinateur.</note>+Notre serveur de courrier est désormais pleinement fonctionnel, les utilisateurs peuvent s'y connecter en IMAP et SMTP, disposent d'un bon antispam, et ont accès à des mailing-listes. Nous reste à leur fournir un bon webmail, pour qu'ils accèdent à leurs emails quand ils n'ont pas accès à leur propre ordinateur.
  
 Roundcube est un webmail moderne, à l'interface simple et pratique, et il disposent de plugins qui vont nous permettre de tirer le maximum de notre serveur de courrier. Roundcube est un webmail moderne, à l'interface simple et pratique, et il disposent de plugins qui vont nous permettre de tirer le maximum de notre serveur de courrier.
Ligne 1873: Ligne 1882:
 [[http://www.fail2ban.org|Fail2ban]] permet de bloquer automatiquement, grâce à [[https://fr.wikipedia.org/wiki/Iptables|Iptables]], les tentative de conections par force brute. Malheureusement, sans ce plugin, c'est l'IP de votre propre serveur qui est bloquée, et aucun de vos utilisateur ne peux plus se connecter. [[http://www.fail2ban.org|Fail2ban]] permet de bloquer automatiquement, grâce à [[https://fr.wikipedia.org/wiki/Iptables|Iptables]], les tentative de conections par force brute. Malheureusement, sans ce plugin, c'est l'IP de votre propre serveur qui est bloquée, et aucun de vos utilisateur ne peux plus se connecter.
  
-<note important>La configuration générale d'IPtables et de Fail2ban n'est pas couverte ici, uniquement celle du plugin</note>+<WRAP center round important 60%> 
 +La configuration générale d'IPtables et de Fail2ban n'est pas couverte ici, uniquement celle du plugin 
 +</WRAP> 
  
  
Ligne 2003: Ligne 2015:
   * [[http://wiki2.dovecot.org/VirtualUsers|Utilisateurs virtuels]]   * [[http://wiki2.dovecot.org/VirtualUsers|Utilisateurs virtuels]]
   * [[http://wiki2.dovecot.org/Plugins| Tout les plugins]]   * [[http://wiki2.dovecot.org/Plugins| Tout les plugins]]
-  * [[http://wiki2.dovecot.org/Pigeonhole/Sieve|Sieve] et [[http://wiki2.dovecot.org/Pigeonhole/ManageSieve|ManageSieve]]+  * [[http://wiki2.dovecot.org/Pigeonhole/Sieve|Sieve]] et [[http://wiki2.dovecot.org/Pigeonhole/ManageSieve|ManageSieve]]
  
 === Spamassassin === === Spamassassin ===
Ligne 2113: Ligne 2125:
 Je tiens à remercier ici [[http://blog.uggy.org/|Yannick]], qui m'a véritablement pris par la main pour monter ce premier serveur de courrier, [[http://www.porcupine.org/wietse/|Wietse Venema]], l'auteur de Postfix, et qui parmi les dévelopeurs de logiciel de cette importance, est certainement l'un des plus accessible, gentil, et actif sur la mailing-liste de support. Un petit mot pour [[http://pierre.qsdf.org/blog|Pierre]] aussi, qui m'a donné quelques tips utiles. Je tiens à remercier ici [[http://blog.uggy.org/|Yannick]], qui m'a véritablement pris par la main pour monter ce premier serveur de courrier, [[http://www.porcupine.org/wietse/|Wietse Venema]], l'auteur de Postfix, et qui parmi les dévelopeurs de logiciel de cette importance, est certainement l'un des plus accessible, gentil, et actif sur la mailing-liste de support. Un petit mot pour [[http://pierre.qsdf.org/blog|Pierre]] aussi, qui m'a donné quelques tips utiles.
  
- --- //[[mathieu@400iso.net|Mathieu R]] 2013/10/03 00:29//  +{{tag>Linux Serveur Mail Sécurité}}
- +
- +
-{{tag>Postfix Dovecot Mysql Roundcube Sieve Spamassassin Clamav IMAP SSL TLS SASL Virtual }} +
tech/self-hosted_mail-server.1695991824.txt.gz · Dernière modification : 2023/09/29 de 2027a.net
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki