DiouxX's Wiki - Contributions de l’utilisateur [fr]

Entité

2016-05-04T13:35:24Z

Bmichaux : /* Les entités */

= Les entités =
Symfony utilise la notion d'entité afin de faire le lien entre les données persistances stockées en base de données et la requête à exécuter.
L'entité est donc un [[objet]] représentant un/les résultats résultant de l'exécution de la requête.
==Génération à la main==
===Création de l'entité===
===Paramétrage avec [[annotation]]===
===Envoi des entités vers la base de données===
===Mise à jour de la base de données===
==Importation d'une base existante==
php bin/console doctrine:mapping:import --force PortalBundle annotation

Entité

2016-05-04T13:35:04Z

Bmichaux : /* Les entités */

= Les entités =
Symfony utilise la notion d'entité afin de faire le lien entre les données persistances stockées en base de données et la requête à exécuter.
L'entité est donc un [[objet]] représentant un/les résultats résultant de l'exécution de la requête.
===Génération à la main===
====Création de l'entité====
====Paramétrage avec [[annotation]]====
====Envoi des entités vers la base de données====
====Mise à jour de la base de données====
===Importation d'une base existante===
php bin/console doctrine:mapping:import --force PortalBundle annotation

Entité

2016-05-04T13:34:33Z

Bmichaux : Explication sur les entités

== Les entités ==
Symfony utilise la notion d'entité afin de faire le lien entre les données persistances stockées en base de données et la requête à exécuter.
L'entité est donc un [[objet]] représentant un/les résultats résultant de l'exécution de la requête.
===Génération à la main===
====Création de l'entité====
====Paramétrage avec [[annotation]]====
====Envoi des entités vers la base de données====
====Mise à jour de la base de données====
===Importation d'une base existante===
php bin/console doctrine:mapping:import --force PortalBundle annotation

Symfony2-Tips

2016-05-04T13:24:56Z

Bmichaux : /* Création d'un bundle */

{{Introduction | Aide-mémoire sur Symfony2}}

== Bundle ==
=== Création d'un bundle ===
La création d'un bundle est assez simple et se fait de manière interactive via la console:
 
{{ Console | php bin/console generate:bundle }}
 

* Ensuite, il faut répondre aux différentes questions :
* Are you planning on sharing this bundle across multiple applications? : Oui si on désire de partager le bundle dans d'autres applications. 
* Bundle name : le nom du bundle. Attention que celui-ci doit commencer par une majuscule et se terminer par Bundle 
* Target directory : dossier de génération du Bundle. Usuellement dans src/ 
* Configuration format : choisir [[annotation]]. Les prochaines descriptions sur ce wiki seront en format annotation. Les autres formats sont plus lourds.

Dans le cas de l'exemple, l'exécution de generate:bundle est situé dans bin/console (version3). Pour la version 2, utiliser app/console.

== Cache ==
=== Vider le cache ===
 
{{ Console | php app/console cache:clear }}
 

[[Catégorie:Symfony2]]

Symfony2-Tips

2016-05-04T13:22:15Z

Bmichaux : /* Création d'un bundle */

{{Introduction | Aide-mémoire sur Symfony2}}

== Bundle ==
=== Création d'un bundle ===
La création d'un bundle est assez simple et se fait de manière interactive via la console:
 
{{ Console | php bin/console generate:bundle }}
 

Ensuite, il faut répondre aux différentes questions :
Are you planning on sharing this bundle across multiple applications? : Oui si on désire de partager le bundle dans d'autres applications. 
Bundle name : le nom du bundle. Attention que celui-ci doit commencer par une majuscule et se terminer par Bundle 
Target directory : dossier de génération du Bundle. Usuellement dans src/ 
Configuration format : choisir annotation. Les prochaines descriptions sur ce wiki seront en format annotation. Les autres formats sont plus lourds.

== Cache ==
=== Vider le cache ===
 
{{ Console | php app/console cache:clear }}
 

[[Catégorie:Symfony2]]

Wiringpi

2015-04-28T10:20:52Z

Bmichaux : /* Installation de la librairie */

WiringPi est une librairie qui permet d'utiliser aisément les entrées et sorties d'un RaspberryPi. La librairie est livrée sous licence GNU LGPLv3 et est utilisable en C, CPP, et autres langages avec les interfaces adaptées.

== Installation de la librairie ==
Il est possible d'installer la librairie par divers moyens :
=== Git ===

=== Sources ===
Il est possible d'installer la librairie sans utiliser git (déconseillé car les snapshots datent de peut-être quelque temps et ne reflètent pas la dernière version).

Pour ce faire, il faut se rendre sur [https://git.drogon.net/?p=wiringPi;a=summary cette page] et télécharger la version la plus récente en cliquant sur "snapshot" sur le côté droit. Une archive sera alors téléchargée, il suffit de décompresser et de compiler comme pour la version git.

Wiringpi

2015-04-28T09:56:33Z

Bmichaux :

Wiringpi

2015-04-28T09:56:04Z

Bmichaux : Page créée avec « WiringPi est une librairie qui permet d'utiliser aisément les entrées et sorties d'un RaspberryPi. La librairie est livrée sous licence GNU LGPLv3 et est utilisable en... »

Catégorie:Electronique

2014-10-16T08:13:48Z

Bmichaux :

Ensemble des divers circuits et bonnes pratiques pour '''l'électronique de loisir'''. Divers sujets sont abordés : Arduino, RaspberryPi, ...

Postfix

2014-10-14T19:07:32Z

Bmichaux : /* Configuration */

{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}

Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap

== Cyrus Imap ==

Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]

== Postfix ==

=== Installation ===

=== Configuration ===

La configuration de postfix est réalisé via deux fichiers

* main.cf
* master.cf
 
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix
 
<syntaxhighlight lang="bash">
#########################################
# REGLES GENERALES #
#########################################

#La règle smtpd_banner définit le message d’accueil du serveur Postfix
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner = DIOUXX

#Desactivation notification terminal
biff = no

#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.
myhostname = ks354605.kimsufi.com

#La règle mail_name définit le nom du système de messagerie du serveur
mail_name = Postfix

#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.
mydomain = diouxx.be

#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à
#l’un des domaines de la liste de la règle mydestination.
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain

inet_interfaces = all

#proxy_interfaces = 193.190.248.8

#################################
# VIRTUAL DOMAIN #
#################################

#Le paramètre virtual_mailbox_domains indique à Postfix que test.pass.be est un domaine de boîtes-aux-lettres virtuelles.
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).
#virtual_mailbox_domains = test.pass.be

#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.
#virtual_mailbox_base = /var/spool/cyrus/mail

# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox

#virtual_alias_domains = /etc/postfix/virtual_domains

#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.
#virtual_alias_maps = hash:/etc/postfix/virtual

#virtual_minimum_uid = 100
#virtual_uid_maps = static:5000
#virtual_gid_maps = static:5000

##########################################
# MASQUAGE DES NOMS D'HOTES #
##########################################

#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.
myorigin = $mydomain

#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses
#append_at_myorigin = yes

#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses
#append_dot_mydomain = yes

#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur
#(et non du destinataire!!!).
#masquerade_domains = admin.pass.be

#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.
#masquerade_exceptions =

#########################################
# CONTROLE D ACCES RELAYAGE #
#########################################

#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.
mynetworks = 127.0.0.0/8
#mynetworks_style = class

#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.
relay_domains = $mydestination

#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.
#Cette règle ne concerne que les mails SORTANT.
relayhost =

#################################
# CONFIGURATION TLS #
#################################
smtp_use_tls=no
smtpd_use_tls=yes
#smtpd_tls_security = may
smtpd_tls_CApath = /etc/postfix/tls
smtpd_tls_key_file = /etc/postfix/tls/postfix.key
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes

#########################################
# CONFIGURATION SASL #
#########################################

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes

#########################################
# TABLE DE RECHERCHES #
#########################################

#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.
#default_database_type = hash

#########################
# ALIAS #
#########################

#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.
alias_maps = hash:/etc/aliases

#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.
#alias_database = hash:/etc/aliases.db
alias_database = hash:/etc/aliases

#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.
#default_privs = nobody

#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.
#allow_mail_to_commands = alias,forward, include

#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.
#allow_mail_to_files = alias,forward, include

#########################################################
# REECRITURE ET/OU REDIRECTION D ADRESSES #
#########################################################

#########################################
# GESTION FILE D ATTENTE #
#########################################

#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.
queue_directory = /var/spool/postfix

#################################
# DISTRIBUTION LOCALE #
#################################

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

local_recipient_maps = $alias_maps
#local_recipient_maps =

#########################
# GESTION BAL #
#########################

home_mailbox = Maildir/

#Limitation de la taille des BAL
mailbox_size_limit = 0

#Taille maximal des messages
#Taille = 20 Mo
message_size_limit = 20480000

#########################
# AMAVIS #
#########################

content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
# check_policy_service inet:127.0.0.1:60000
check_policy_service inet:127.0.0.1:10023

#########################
# SECURITE #
#########################

#Bloque une partie de SPAM en obligeant la requete HELO
smtpd_helo_required = yes

#Utilisation de postgrey
#check_policy_service = inet:127.0.0.1:10023

</syntaxhighlight>
 
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte
 
<syntaxhighlight lang="bash">
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
# -o content_filter=spamassassin
#smtp inet n - - - 1 postscreen
#smtpd pass - - - - - smtpd
#dnsblog unix - - - - 0 dnsblog
#tlsproxy unix - - - - 0 tlsproxy
submission inet n - - - - smtpd
# -o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
# -o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_sasl_authenticated
-o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

#Amavis
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
# -o smtpd_bind_address=127.0.0.1

#Spamassasin
spamassassin unix - n n - - pipe
user=spamd argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}

</syntaxhighlight>
 

== SMTPD.conf ==

Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres
<syntaxhighlight>

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

</syntaxhighlight>
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.

== [[Postfix-TLS]] ==

== Disclaimer ==

Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants

=== Installation ===
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''
 
{{ Console root | apt-get install altermime }}
 
=== Configuration ===

Une fois installé, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime

<pre>
useradd -r -c "Postfix Filters" -d /var/spool/filter filter
mkdir /var/spool/filter
chown filter:filter /var/spool/filter
chmod 750 /var/spool/filter
</pre>

Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}
 
<syntaxhighlight lang="bash">
#!/bin/sh
# Localize these.
INSPECT_DIR=/var/spool/filter
SENDMAIL=/usr/sbin/sendmail

# Exit codes from <sysexits.h>
EX_TEMPFAIL=75
EX_UNAVAILABLE=69

# Clean up when done or when aborting.
trap "rm -f in.$$" 0 1 2 3 15

# Start processing.
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit
$EX_TEMPFAIL; }

cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }

#Modification pour uniquement mails sortant
# obtain From address
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`

#echo $from_address > /tmp/from.txt
#echo $to_address > /tmp/to.txt

if [ $to_address != "admin.diouxx.be" ]
then
/usr/bin/altermime --input=in.$$ \
--disclaimer=/etc/postfix/disclaimer.txt \
--disclaimer-html=/etc/postfix/disclaimer.html \
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \
{ echo Message content rejected; exit $EX_UNAVAILABLE; }
fi

$SENDMAIL -oi "$@" <in.$$

exit $?
</syntaxhighlight>
 
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}
 
Il faut également modifier le propriétaire du script ainsi que les droits
 
{{ Console root | chgrp filter /etc/postfix/disclaimer [root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}
 
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.

Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier
<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}

</pre>

Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés
 
{{ Console root | /etc/init.d/postfix restart }}
 

== Amavis ==

Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install amavis }}
 

=== Configuration ===

Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :

* /etc/postfix/master.cf
* /etc/postfix/main.cf
 
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :
 
<pre>
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_bind_address=127.0.0.1
</pre>
 
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :
 
<pre>
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:60000

</pre>
 
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}
 
<pre>
use strict;

# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.

#
# Default antivirus checking mode
# Please note, that anti-virus checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

#
# Default SPAM checking mode
# Please note, that anti-spam checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1; # ensure a defined return
</pre>
 
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}
 
<pre>
use strict;

#
# Place your configuration directives here. They will override those in
# earlier files.
#
# See /usr/share/doc/amavisd-new/ for documentation and examples of
# the directives you can use in this file
#

$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator
# $spam_quarantine_to = undef; # Do nothing with Spam
$final_spam_destiny = D_DISCARD;
#$spam_admin = "admin\@$mydomain"; # Where to send Notification

#------------ Do not modify anything below this line -------------
1; # ensure a defined return

</pre>
 

Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam
 
{{ Console root | mkdir /var/spool/virusmails [root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}
 
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}
 
Il reste encore l'installation et la configuration de spamassasin et clamav
 

== Spamassassin ==

Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install spamassassin }}
 
=== Configuration ===

La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin
 
==== /etc/postfix/master.cf ====
Au début du fichier la section consacré à smtp doit ressembler à ceci :

<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================

smtp inet n - - - - smtpd
-o content_filter=spamassassin
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}
</pre>
 
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}
 

==== /etc/default/spamassassin ====
<pre>
# /etc/default/spamassassin
# Duncan Findlay

# WARNING: please read README.spamd before using.
# There may be security risks.

# Change to one to enable spamd
ENABLED=1

# Options
# See man spamd for possible options. The -d option is automatically added.
SAHOME="/var/lib/spamassassin/"

# SpamAssassin uses a preforking model, so be careful! You need to
# make sure --max-children is not set to anything higher than 5,
# unless you know what you're doing.

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"

# Pid file
# Where should spamd write its PID to file? If you use the -u or
# --username option above, this needs to be writable by that user.
# Otherwise, the init script will not be able to shut spamd down.
PIDFILE="${SAHOME}spamd.pid"

# Set nice level of spamd
#NICE="--nicelevel 15"

# Cronjob
# Set to anything but 0 to enable the cron job to automatically update
# spamassassin's rules on a nightly basis
CRON=0
</pre>

==== /etc/spamassassin/local.cf ====
 
<pre>
# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
# Only a small subset of options are listed below
#
###########################################################################

# Add *****SPAM***** to the Subject header of spam e-mails
#
rewrite_header Subject *****SPAM - SPAM_SCORE_*****

# Save spam messages as a message/rfc822 MIME attachment instead of
# modifying the original message (0: off, 2: use text/plain instead)
#
report_safe 0

# Set which networks or hosts are considered 'trusted' by your mail
# server (i.e. not spammers)
#
# trusted_networks 212.17.35.

# Set file-locking method (flock is not safe over NFS, but is faster)
#
# lock_method flock

# Set the threshold at which a message is considered spam (default: 5.0)
#
required_score 2.0

# Use Bayesian classifier (default: 1)
#
use_bayes 1
use_bayes_rules 1

# Bayesian classifier auto-learning (default: 1)
#
bayes_auto_learn 1

# Set headers which may provide inappropriate cues to the Bayesian
# classifier
#
# bayes_ignore_header X-Bogosity
# bayes_ignore_header X-Spam-Flag
# bayes_ignore_header X-Spam-Status

# Some shortcircuiting, if the plugin is enabled
#
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
#
# default: strongly-whitelisted mails are *really* whitelisted now, if the
# shortcircuiting plugin is active, causing early exit to save CPU load.
# Uncomment to turn this on
#
# shortcircuit USER_IN_WHITELIST on
# shortcircuit USER_IN_DEF_WHITELIST on
# shortcircuit USER_IN_ALL_SPAM_TO on
# shortcircuit SUBJECT_IN_WHITELIST on

# the opposite; blacklisted mails can also save CPU
#
# shortcircuit USER_IN_BLACKLIST on
# shortcircuit USER_IN_BLACKLIST_TO on
# shortcircuit SUBJECT_IN_BLACKLIST on

# if you have taken the time to correctly specify your "trusted_networks",
# this is another good way to save CPU
#
# shortcircuit ALL_TRUSTED on

# and a well-trained bayes DB can save running rules, too
#
# shortcircuit BAYES_99 spam
# shortcircuit BAYES_00 ham

# Enable or disable network checks
skip_rbl_checks 0
use_razor2 0
use_dcc 0
use_pyzor 0

endif # Mail::SpamAssassin::Plugin::Shortcircuit
</pre>
 

Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.
Si ce n'est pas le cas, exécutez les commandes suivantes :
 
{{ Console root | groupadd -g 5001 spamd [root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd [root@ordi ~]# mkdir /var/lib/spamassassin [root@ordi ~]# chown spamd:spamd /var/lib/spamassassin [root@ordi ~]# chmod 755 /var/lib/spamassassin }}
 

=== Mise a jour de la base SPAM ===

Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante :
 
{{ Console root | sa-update -D }}
 
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}
 
Le service spamassassin est maintenant configurer.
 

== ClamAV ==

ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install clamav clamav-daemon }}
 

=== Configuration ===

La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis :
 
{{ Console root | adduser clamav amavis Ajout de l'utilisateur « clamav » au groupe « amavis »... Ajout de l'utilisateur clamav au groupe amavis Fait. }}
 
== Test de Spamassassin et Clamav ==

Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :
 
{{ Console root | /etc/init.d/spamassassin restart Starting SpamAssassin Mail Filter Daemon: spamd. }}
 
{{ Console root | /etc/init.d/amavis restart Stopping amavisd: amavisd-new. Starting amavisd: amavisd-new. }}
 
{{ Console root | /etc/init.d/clamav-daemon restart Stopping ClamAV daemon: clamd. Starting ClamAV daemon: clamd.}}
 
{{ Console root | /etc/init.d/postfix restart Stopping Postfix Mail Transport Agent: postfix. Starting Postfix Mail Transport Agent: postfix.}}
 

=== Test de Spamassassin ===

Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt
Il suffit de coller cette ligne dans un mail et de l'envoyer :
 
<pre>
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
</pre>
Il sera détecté comme Spam si tout va bien

=== Test de Clamav ===

Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :
 
<pre>
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
</pre>
Si tout se passe correctement, le mail sera placé en quarantaine.
 
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}
 

== Submission ==

Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...

Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).

Cette technique est décrite dans la RFC 2476.

Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :

# lignes à ajouter dans /etc/postfix/master.cf :
# submission : on ouvre le port 587/tcp sur lequel on impose TLS
# et on n'accepte que les clients authentifiés. Cela impose d'avoir
# déjà configuré TLS et SASL, bien entendu.
# service type private unpriv chroot wakeup maxproc command + args
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

Notes :

sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet

Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant

== Syslog-ng ==

=== Installation ===

Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]

=== Configuration ===

Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :
 
<pre>
@version: 3.0

######
# options

options {
# disable the chained hostname format in logs
# (default is enabled)
chain_hostnames(0);

# the time to wait before a died connection is re-established
# (default is 60)
time_reopen(10);

# the time to wait before an idle destination file is closed
# (default is 60)
time_reap(360);

# the number of lines buffered before written to file
# you might want to increase this if your disk isn't catching with
# all the log messages you get or if you want less disk activity
# (say on a laptop)
# (default is 0)
#sync(0);

# the number of lines fitting in the output queue
log_fifo_size(2048);

# enable or disable directory creation for destination files
create_dirs(yes);

# default owner, group, and permissions for log files
# (defaults are 0, 0, 0600)
owner(root);
#group(adm);
perm(0640);

# default owner, group, and permissions for created directories
# (defaults are 0, 0, 0700)
dir_owner(root);
#dir_group(root);
dir_perm(0755);

# enable or disable DNS usage
# syslog-ng blocks on DNS queries, so enabling DNS may lead to
# a Denial of Service attack
# (default is yes)
use_dns(no);

# maximum length of message in bytes
# this is only limited by the program listening on the /dev/log Unix
# socket, glibc can handle arbitrary length log messages, but -- for
# example -- syslogd accepts only 1024 bytes
# (default is 2048)
#log_msg_size(2048);

#Disable statistic log messages.
stats_freq(0);

# Some program send log messages through a private implementation.
# and sometimes that implementation is bad. If this happen syslog-ng
# may recognise the program name as hostname. Whit this option
# we tell the syslog-ng that if a hostname match this regexp than that
# is not a real hostname.
bad_hostname("^gconfd$");

flush_lines (0);
};

############################
# Sources
############################
# all known message sources
source s_all {
# message generated by Syslog-NG
#internal();
# standard Linux log source (this is the default place for the syslog()
# function to send logs to)
unix-stream("/dev/log");
# messages from the kernel
#file("/proc/kmsg" log_prefix("kernel: "));
# use the following line if you want to receive remote UDP logging messages
# (this is equivalent to the "-r" syslogd flag)
# udp();
};

source postfix {
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));
file("/var/log/mail.log" follow_freq(1) flags(no-parse));
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));
};

###########################
# Destinations
###########################
#Serveur distant
destination srv_dist {
udp ("192.168.100.20" port(514));
};

#Local
destination local_messages {
file("/var/log/syslog-ng/messages");
};

destination postfix {
file("/var/log/syslog-ng/$HOST/postfix.log");
};

################################
# Filters
################################
# all messages from the auth and authpriv facilities
filter f_auth { facility(auth, authpriv); };

# all messages except from the auth and authpriv facilities
filter f_syslog { not facility(auth, authpriv); };

# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,
# and uucp facilities
filter f_cron { facility(cron); };
filter f_daemon { facility(daemon); };
filter f_kern { facility(kern); };
filter f_lpr { facility(lpr); };
filter f_mail { facility(mail); };
filter f_news { facility(news); };
filter f_user { facility(user); };
filter f_uucp { facility(uucp); };

# some filters to select messages of priority greater or equal to info, warn,
# and err
# (equivalents of syslogd's *.info, *.warn, and *.err)
filter f_at_least_info { level(info..emerg); };
filter f_at_least_notice { level(notice..emerg); };
filter f_at_least_warn { level(warn..emerg); };
filter f_at_least_err { level(err..emerg); };
filter f_at_least_crit { level(crit..emerg); };

# all messages of priority debug not coming from the auth, authpriv, news, and
# mail facilities
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };

# all messages of info, notice, or warn priority not coming form the auth,
# authpriv, cron, daemon, mail, and news facilities
filter f_messages {
level(info,notice,warn)
and not facility(auth,authpriv,cron,daemon,mail,news);
};

# messages with priority emerg
filter f_emerg { level(emerg); };

# complex filter for messages usually sent to the xconsole
filter f_xconsole {
facility(daemon,mail)
or level(debug,info,notice,warn)
or (facility(news)
and level(crit,err,notice));
};

###################################################
# Filtre "perso"
##################################################

filter postfix { program("postfix") or program("cyrus"); };

######
# logs
# order matters if you use "flags(final);" to mark the end of processing in a
# "log" statement

# these rules provide the same behavior as the commented original syslogd rules

#log {
# source(s_all);
# destination(srv_dist);
# filter(f_auth);
#};

log {
source(s_all);
filter(postfix);
destination(postfix);
};

log {
source(s_all);
destination(srv_dist);
};

#log {
# source(s_all);
# destination(local_messages);
#};
</pre>
 
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes :
 
<pre>
...
#Partie Destination
destination postfix {
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");
};
...

#Partie Filtre
filter postfix { program("postfix"); };
...

#Partie Log paths
log {
source(local);
filter(postfix);
destination(postfix);

};
...
</pre>
 
== Migration ==

Pour la migration voir [[Imapsync|ICI]]

== Troubleshooting ==

=== setaclmailbox: cyrus: lrswipcda: System I/O error ===

Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
<pre>
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur
</pre>

=== testsaslauthd : "connect() : No such file or directory 0" ===

Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''

Il faut refaire un lien symbolique :
<pre>
rm -rf /var/run/saslauthd
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
</pre>

Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}
<pre>
#Commande pour Postfix
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
exit 0
</pre>

== Procédures ==

=== Manipulation Queue ===
*Vider la queue : postsuper -d ALL
*Lister les messages : postqueue -p
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)
*Mettre un messages en attente (hold) : postsuper -h ID
*Remettre un messages en mode normale (actif) : postsuper -H ID
*Remettre en Queue un message : postsuper -r ID
*Pour tous les messages : postsuper -r ID
*Afficher le contenu d'un message : postcat -q ID
*Forcer l'envoie des messages en Queue (flush) : postqueue -f
 

=== Créer nouvelle boite mail ===
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}
 
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus :
 
{{ Console | cyradm --user cyrus localhost Password: }}
 
* --user: cyrus est l'administrateur du service cyrus
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus

Une fois connecter, on peux créer la nouvelle boite mail :
<pre>
cm user.nomUtilisateur
</pre>
 
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}
 
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)

Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...
 
<pre>
setacl user.nomutilisateur cyrus all
</pre>
 
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails

Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd
 
{{ Console | testsaslauthd -u user -p password 0: OK "Success." }}
 
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :
<pre>
nomUtilisateur: nomUtilisateur@domaine
...
denis: denis@diouxx.be
devleeschauwer: ddevleeschauwer@diouxx.be
</pre>

Il faut recharger la base d'alias :
 
{{ Console | postalias /etc/aliases }}
 

=== Supprimer boite mail ===

Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :
 
{{ Console | cyradm --user cyrus localhsot Password: }}
 
Pour supprimer la boite mail, entrez la commande dm :
 
<pre>
dm user.nomUtilisateur
</pre>

Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :
<pre>
localhost> setacl user.test cyrus all
localhost> dm user.test
</pre>

Vérifier la suppression de la boite mail via la commande ''lm''

Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.
Pour supprimer l'utilisateur, on utilise la commande saslpasswd
 
{{ Console | saslpasswd -d nomUtilisateur }}
 
On peux vérifier la suppression effective via :
 
{{ Console | sasldblistusers2 }}
 
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.

* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''

=== Assigner/Modifier quotas ===

Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm
 
{{ Console | cyradm --user cyrus loclahost Password: }}
 
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}
 
<pre>
localhost> setquota user.nomUtilisateur 1024
</pre>

Pour vérifier le quota d'un utilisateur :
<pre>
localhost> listquota user.nomUtilisateur
</pre>
 
=== Whitelist/Blacklist ===
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}
<pre>
#
#WhiteList
#
whitelist_from utilisateur@domaine
whitelist_from *@domaine

#
#Blacklist
#
blacklist_from utilisateur@domaine
blacklist_from *@domaine
</pre>
=== Restaurer Boit mail ===
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
 
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}
 

[[Catégorie:Système]]

Postfix

2014-10-14T19:06:15Z

Bmichaux : /* Créer nouvelle boite mail */

{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}

Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap

== Cyrus Imap ==

Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]

== Postfix ==

=== Installation ===

=== Configuration ===

La configuration de postfix est réalisé via deux fichiers

* main.cf
* master.cf
 
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix
 
<syntaxhighlight lang="bash">
#########################################
# REGLES GENERALES #
#########################################

#La règle smtpd_banner définit le message d’accueil du serveur Postfix
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner = DIOUXX

#Desactivation notification terminal
biff = no

#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.
myhostname = ks354605.kimsufi.com

#La règle mail_name définit le nom du système de messagerie du serveur
mail_name = Postfix

#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.
mydomain = diouxx.be

#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à
#l’un des domaines de la liste de la règle mydestination.
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain

inet_interfaces = all

#proxy_interfaces = 193.190.248.8

#################################
# VIRTUAL DOMAIN #
#################################

#Le paramètre virtual_mailbox_domains indique à Postfix que test.pass.be est un domaine de boîtes-aux-lettres virtuelles.
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).
#virtual_mailbox_domains = test.pass.be

#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.
#virtual_mailbox_base = /var/spool/cyrus/mail

# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox

#virtual_alias_domains = /etc/postfix/virtual_domains

#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.
#virtual_alias_maps = hash:/etc/postfix/virtual

#virtual_minimum_uid = 100
#virtual_uid_maps = static:5000
#virtual_gid_maps = static:5000

##########################################
# MASQUAGE DES NOMS D'HOTES #
##########################################

#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.
myorigin = $mydomain

#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses
#append_at_myorigin = yes

#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses
#append_dot_mydomain = yes

#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur
#(et non du destinataire!!!).
#masquerade_domains = admin.pass.be

#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.
#masquerade_exceptions =

#########################################
# CONTROLE D ACCES RELAYAGE #
#########################################

#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.
mynetworks = 127.0.0.0/8
#mynetworks_style = class

#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.
relay_domains = $mydestination

#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.
#Cette règle ne concerne que les mails SORTANT.
relayhost =

#################################
# CONFIGURATION TLS #
#################################
smtp_use_tls=no
smtpd_use_tls=yes
#smtpd_tls_security = may
smtpd_tls_CApath = /etc/postfix/tls
smtpd_tls_key_file = /etc/postfix/tls/postfix.key
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes

#########################################
# CONFIGURATION SASL #
#########################################

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes

#########################################
# TABLE DE RECHERCHES #
#########################################

#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.
#default_database_type = hash

#########################
# ALIAS #
#########################

#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.
alias_maps = hash:/etc/aliases

#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.
#alias_database = hash:/etc/aliases.db
alias_database = hash:/etc/aliases

#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.
#default_privs = nobody

#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.
#allow_mail_to_commands = alias,forward, include

#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.
#allow_mail_to_files = alias,forward, include

#########################################################
# REECRITURE ET/OU REDIRECTION D ADRESSES #
#########################################################

#########################################
# GESTION FILE D ATTENTE #
#########################################

#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.
queue_directory = /var/spool/postfix

#################################
# DISTRIBUTION LOCALE #
#################################

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

local_recipient_maps = $alias_maps
#local_recipient_maps =

#########################
# GESTION BAL #
#########################

home_mailbox = Maildir/

#Limitation de la taille des BAL
mailbox_size_limit = 0

#Taille maximal des messages
#Taille = 20 Mo
message_size_limit = 20480000

#########################
# AMAVIS #
#########################

content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
# check_policy_service inet:127.0.0.1:60000
check_policy_service inet:127.0.0.1:10023

#########################
# SECURITE #
#########################

#Bloque une partie de SPAM en obligeant la requete HELO
smtpd_helo_required = yes

#Utilisation de postgrey
#check_policy_service = inet:127.0.0.1:10023

</syntaxhighlight>
 
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte
 
<syntaxhighlight lang="bash">
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
# -o content_filter=spamassassin
#smtp inet n - - - 1 postscreen
#smtpd pass - - - - - smtpd
#dnsblog unix - - - - 0 dnsblog
#tlsproxy unix - - - - 0 tlsproxy
submission inet n - - - - smtpd
# -o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
# -o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_sasl_authenticated
-o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

#Amavis
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
# -o smtpd_bind_address=127.0.0.1

#Spamassasin
spamassassin unix - n n - - pipe
user=spamd argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}

</syntaxhighlight>
 

== SMTPD.conf ==

Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres
<syntaxhighlight>

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

</syntaxhighlight>
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.

== [[Postfix-TLS]] ==

== Disclaimer ==

Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants

=== Installation ===
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''
 
{{ Console root | apt-get install altermime }}
 
=== Configuration ===

Une fois installer, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime

<pre>
useradd -r -c "Postfix Filters" -d /var/spool/filter filter
mkdir /var/spool/filter
chown filter:filter /var/spool/filter
chmod 750 /var/spool/filter
</pre>

Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}
 
<syntaxhighlight lang="bash">
#!/bin/sh
# Localize these.
INSPECT_DIR=/var/spool/filter
SENDMAIL=/usr/sbin/sendmail

# Exit codes from <sysexits.h>
EX_TEMPFAIL=75
EX_UNAVAILABLE=69

# Clean up when done or when aborting.
trap "rm -f in.$$" 0 1 2 3 15

# Start processing.
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit
$EX_TEMPFAIL; }

cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }

#Modification pour uniquement mails sortant
# obtain From address
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`

#echo $from_address > /tmp/from.txt
#echo $to_address > /tmp/to.txt

if [ $to_address != "admin.pass.be" ]
then
/usr/bin/altermime --input=in.$$ \
--disclaimer=/etc/postfix/disclaimer.txt \
--disclaimer-html=/etc/postfix/disclaimer.html \
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \
{ echo Message content rejected; exit $EX_UNAVAILABLE; }
fi

$SENDMAIL -oi "$@" <in.$$

exit $?
</syntaxhighlight>
 
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}
 
Il faut également modifier le propriétaire du script ainsi que les droits
 
{{ Console root | chgrp filter /etc/postfix/disclaimer [root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}
 
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.

Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier
<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}

</pre>

Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés
 
{{ Console root | /etc/init.d/postfix restart }}
 

== Amavis ==

Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install amavis }}
 

=== Configuration ===

Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :

* /etc/postfix/master.cf
* /etc/postfix/main.cf
 
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :
 
<pre>
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_bind_address=127.0.0.1
</pre>
 
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :
 
<pre>
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:60000

</pre>
 
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}
 
<pre>
use strict;

# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.

#
# Default antivirus checking mode
# Please note, that anti-virus checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

#
# Default SPAM checking mode
# Please note, that anti-spam checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1; # ensure a defined return
</pre>
 
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}
 
<pre>
use strict;

#
# Place your configuration directives here. They will override those in
# earlier files.
#
# See /usr/share/doc/amavisd-new/ for documentation and examples of
# the directives you can use in this file
#

$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator
# $spam_quarantine_to = undef; # Do nothing with Spam
$final_spam_destiny = D_DISCARD;
#$spam_admin = "admin\@$mydomain"; # Where to send Notification

#------------ Do not modify anything below this line -------------
1; # ensure a defined return

</pre>
 

Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam
 
{{ Console root | mkdir /var/spool/virusmails [root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}
 
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}
 
Il reste encore l'installation et la configuration de spamassasin et clamav
 

== Spamassassin ==

Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install spamassassin }}
 
=== Configuration ===

La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin
 
==== /etc/postfix/master.cf ====
Au début du fichier la section consacré à smtp doit ressembler à ceci :

<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================

smtp inet n - - - - smtpd
-o content_filter=spamassassin
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}
</pre>
 
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}
 

==== /etc/default/spamassassin ====
<pre>
# /etc/default/spamassassin
# Duncan Findlay

# WARNING: please read README.spamd before using.
# There may be security risks.

# Change to one to enable spamd
ENABLED=1

# Options
# See man spamd for possible options. The -d option is automatically added.
SAHOME="/var/lib/spamassassin/"

# SpamAssassin uses a preforking model, so be careful! You need to
# make sure --max-children is not set to anything higher than 5,
# unless you know what you're doing.

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"

# Pid file
# Where should spamd write its PID to file? If you use the -u or
# --username option above, this needs to be writable by that user.
# Otherwise, the init script will not be able to shut spamd down.
PIDFILE="${SAHOME}spamd.pid"

# Set nice level of spamd
#NICE="--nicelevel 15"

# Cronjob
# Set to anything but 0 to enable the cron job to automatically update
# spamassassin's rules on a nightly basis
CRON=0
</pre>

==== /etc/spamassassin/local.cf ====
 
<pre>
# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
# Only a small subset of options are listed below
#
###########################################################################

# Add *****SPAM***** to the Subject header of spam e-mails
#
rewrite_header Subject *****SPAM - SPAM_SCORE_*****

# Save spam messages as a message/rfc822 MIME attachment instead of
# modifying the original message (0: off, 2: use text/plain instead)
#
report_safe 0

# Set which networks or hosts are considered 'trusted' by your mail
# server (i.e. not spammers)
#
# trusted_networks 212.17.35.

# Set file-locking method (flock is not safe over NFS, but is faster)
#
# lock_method flock

# Set the threshold at which a message is considered spam (default: 5.0)
#
required_score 2.0

# Use Bayesian classifier (default: 1)
#
use_bayes 1
use_bayes_rules 1

# Bayesian classifier auto-learning (default: 1)
#
bayes_auto_learn 1

# Set headers which may provide inappropriate cues to the Bayesian
# classifier
#
# bayes_ignore_header X-Bogosity
# bayes_ignore_header X-Spam-Flag
# bayes_ignore_header X-Spam-Status

# Some shortcircuiting, if the plugin is enabled
#
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
#
# default: strongly-whitelisted mails are *really* whitelisted now, if the
# shortcircuiting plugin is active, causing early exit to save CPU load.
# Uncomment to turn this on
#
# shortcircuit USER_IN_WHITELIST on
# shortcircuit USER_IN_DEF_WHITELIST on
# shortcircuit USER_IN_ALL_SPAM_TO on
# shortcircuit SUBJECT_IN_WHITELIST on

# the opposite; blacklisted mails can also save CPU
#
# shortcircuit USER_IN_BLACKLIST on
# shortcircuit USER_IN_BLACKLIST_TO on
# shortcircuit SUBJECT_IN_BLACKLIST on

# if you have taken the time to correctly specify your "trusted_networks",
# this is another good way to save CPU
#
# shortcircuit ALL_TRUSTED on

# and a well-trained bayes DB can save running rules, too
#
# shortcircuit BAYES_99 spam
# shortcircuit BAYES_00 ham

# Enable or disable network checks
skip_rbl_checks 0
use_razor2 0
use_dcc 0
use_pyzor 0

endif # Mail::SpamAssassin::Plugin::Shortcircuit
</pre>
 

Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.
Si ce n'est pas le cas, exécutez les commandes suivantes :
 
{{ Console root | groupadd -g 5001 spamd [root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd [root@ordi ~]# mkdir /var/lib/spamassassin [root@ordi ~]# chown spamd:spamd /var/lib/spamassassin [root@ordi ~]# chmod 755 /var/lib/spamassassin }}
 

=== Mise a jour de la base SPAM ===

Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante :
 
{{ Console root | sa-update -D }}
 
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}
 
Le service spamassassin est maintenant configurer.
 

== ClamAV ==

ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install clamav clamav-daemon }}
 

=== Configuration ===

La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis :
 
{{ Console root | adduser clamav amavis Ajout de l'utilisateur « clamav » au groupe « amavis »... Ajout de l'utilisateur clamav au groupe amavis Fait. }}
 
== Test de Spamassassin et Clamav ==

Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :
 
{{ Console root | /etc/init.d/spamassassin restart Starting SpamAssassin Mail Filter Daemon: spamd. }}
 
{{ Console root | /etc/init.d/amavis restart Stopping amavisd: amavisd-new. Starting amavisd: amavisd-new. }}
 
{{ Console root | /etc/init.d/clamav-daemon restart Stopping ClamAV daemon: clamd. Starting ClamAV daemon: clamd.}}
 
{{ Console root | /etc/init.d/postfix restart Stopping Postfix Mail Transport Agent: postfix. Starting Postfix Mail Transport Agent: postfix.}}
 

=== Test de Spamassassin ===

Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt
Il suffit de coller cette ligne dans un mail et de l'envoyer :
 
<pre>
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
</pre>
Il sera détecté comme Spam si tout va bien

=== Test de Clamav ===

Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :
 
<pre>
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
</pre>
Si tout se passe correctement, le mail sera placé en quarantaine.
 
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}
 

== Submission ==

Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...

Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).

Cette technique est décrite dans la RFC 2476.

Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :

# lignes à ajouter dans /etc/postfix/master.cf :
# submission : on ouvre le port 587/tcp sur lequel on impose TLS
# et on n'accepte que les clients authentifiés. Cela impose d'avoir
# déjà configuré TLS et SASL, bien entendu.
# service type private unpriv chroot wakeup maxproc command + args
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

Notes :

sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet

Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant

== Syslog-ng ==

=== Installation ===

Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]

=== Configuration ===

Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :
 
<pre>
@version: 3.0

######
# options

options {
# disable the chained hostname format in logs
# (default is enabled)
chain_hostnames(0);

# the time to wait before a died connection is re-established
# (default is 60)
time_reopen(10);

# the time to wait before an idle destination file is closed
# (default is 60)
time_reap(360);

# the number of lines buffered before written to file
# you might want to increase this if your disk isn't catching with
# all the log messages you get or if you want less disk activity
# (say on a laptop)
# (default is 0)
#sync(0);

# the number of lines fitting in the output queue
log_fifo_size(2048);

# enable or disable directory creation for destination files
create_dirs(yes);

# default owner, group, and permissions for log files
# (defaults are 0, 0, 0600)
owner(root);
#group(adm);
perm(0640);

# default owner, group, and permissions for created directories
# (defaults are 0, 0, 0700)
dir_owner(root);
#dir_group(root);
dir_perm(0755);

# enable or disable DNS usage
# syslog-ng blocks on DNS queries, so enabling DNS may lead to
# a Denial of Service attack
# (default is yes)
use_dns(no);

# maximum length of message in bytes
# this is only limited by the program listening on the /dev/log Unix
# socket, glibc can handle arbitrary length log messages, but -- for
# example -- syslogd accepts only 1024 bytes
# (default is 2048)
#log_msg_size(2048);

#Disable statistic log messages.
stats_freq(0);

# Some program send log messages through a private implementation.
# and sometimes that implementation is bad. If this happen syslog-ng
# may recognise the program name as hostname. Whit this option
# we tell the syslog-ng that if a hostname match this regexp than that
# is not a real hostname.
bad_hostname("^gconfd$");

flush_lines (0);
};

############################
# Sources
############################
# all known message sources
source s_all {
# message generated by Syslog-NG
#internal();
# standard Linux log source (this is the default place for the syslog()
# function to send logs to)
unix-stream("/dev/log");
# messages from the kernel
#file("/proc/kmsg" log_prefix("kernel: "));
# use the following line if you want to receive remote UDP logging messages
# (this is equivalent to the "-r" syslogd flag)
# udp();
};

source postfix {
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));
file("/var/log/mail.log" follow_freq(1) flags(no-parse));
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));
};

###########################
# Destinations
###########################
#Serveur distant
destination srv_dist {
udp ("192.168.100.20" port(514));
};

#Local
destination local_messages {
file("/var/log/syslog-ng/messages");
};

destination postfix {
file("/var/log/syslog-ng/$HOST/postfix.log");
};

################################
# Filters
################################
# all messages from the auth and authpriv facilities
filter f_auth { facility(auth, authpriv); };

# all messages except from the auth and authpriv facilities
filter f_syslog { not facility(auth, authpriv); };

# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,
# and uucp facilities
filter f_cron { facility(cron); };
filter f_daemon { facility(daemon); };
filter f_kern { facility(kern); };
filter f_lpr { facility(lpr); };
filter f_mail { facility(mail); };
filter f_news { facility(news); };
filter f_user { facility(user); };
filter f_uucp { facility(uucp); };

# some filters to select messages of priority greater or equal to info, warn,
# and err
# (equivalents of syslogd's *.info, *.warn, and *.err)
filter f_at_least_info { level(info..emerg); };
filter f_at_least_notice { level(notice..emerg); };
filter f_at_least_warn { level(warn..emerg); };
filter f_at_least_err { level(err..emerg); };
filter f_at_least_crit { level(crit..emerg); };

# all messages of priority debug not coming from the auth, authpriv, news, and
# mail facilities
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };

# all messages of info, notice, or warn priority not coming form the auth,
# authpriv, cron, daemon, mail, and news facilities
filter f_messages {
level(info,notice,warn)
and not facility(auth,authpriv,cron,daemon,mail,news);
};

# messages with priority emerg
filter f_emerg { level(emerg); };

# complex filter for messages usually sent to the xconsole
filter f_xconsole {
facility(daemon,mail)
or level(debug,info,notice,warn)
or (facility(news)
and level(crit,err,notice));
};

###################################################
# Filtre "perso"
##################################################

filter postfix { program("postfix") or program("cyrus"); };

######
# logs
# order matters if you use "flags(final);" to mark the end of processing in a
# "log" statement

# these rules provide the same behavior as the commented original syslogd rules

#log {
# source(s_all);
# destination(srv_dist);
# filter(f_auth);
#};

log {
source(s_all);
filter(postfix);
destination(postfix);
};

log {
source(s_all);
destination(srv_dist);
};

#log {
# source(s_all);
# destination(local_messages);
#};
</pre>
 
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes :
 
<pre>
...
#Partie Destination
destination postfix {
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");
};
...

#Partie Filtre
filter postfix { program("postfix"); };
...

#Partie Log paths
log {
source(local);
filter(postfix);
destination(postfix);

};
...
</pre>
 
== Migration ==

Pour la migration voir [[Imapsync|ICI]]

== Troubleshooting ==

=== setaclmailbox: cyrus: lrswipcda: System I/O error ===

Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
<pre>
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur
</pre>

=== testsaslauthd : "connect() : No such file or directory 0" ===

Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''

Il faut refaire un lien symbolique :
<pre>
rm -rf /var/run/saslauthd
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
</pre>

Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}
<pre>
#Commande pour Postfix
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
exit 0
</pre>

== Procédures ==

=== Manipulation Queue ===
*Vider la queue : postsuper -d ALL
*Lister les messages : postqueue -p
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)
*Mettre un messages en attente (hold) : postsuper -h ID
*Remettre un messages en mode normale (actif) : postsuper -H ID
*Remettre en Queue un message : postsuper -r ID
*Pour tous les messages : postsuper -r ID
*Afficher le contenu d'un message : postcat -q ID
*Forcer l'envoie des messages en Queue (flush) : postqueue -f
 

=== Créer nouvelle boite mail ===
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}
 
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus :
 
{{ Console | cyradm --user cyrus localhost Password: }}
 
* --user: cyrus est l'administrateur du service cyrus
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus

Une fois connecter, on peux créer la nouvelle boite mail :
<pre>
cm user.nomUtilisateur
</pre>
 
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}
 
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)

Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...
 
<pre>
setacl user.nomutilisateur cyrus all
</pre>
 
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails

Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd
 
{{ Console | testsaslauthd -u user -p password 0: OK "Success." }}
 
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :
<pre>
nomUtilisateur: nomUtilisateur@domaine
...
denis: denis@diouxx.be
devleeschauwer: ddevleeschauwer@diouxx.be
</pre>

Il faut recharger la base d'alias :
 
{{ Console | postalias /etc/aliases }}
 

=== Supprimer boite mail ===

Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :
 
{{ Console | cyradm --user cyrus localhsot Password: }}
 
Pour supprimer la boite mail, entrez la commande dm :
 
<pre>
dm user.nomUtilisateur
</pre>

Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :
<pre>
localhost> setacl user.test cyrus all
localhost> dm user.test
</pre>

Vérifier la suppression de la boite mail via la commande ''lm''

Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.
Pour supprimer l'utilisateur, on utilise la commande saslpasswd
 
{{ Console | saslpasswd -d nomUtilisateur }}
 
On peux vérifier la suppression effective via :
 
{{ Console | sasldblistusers2 }}
 
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.

* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''

=== Assigner/Modifier quotas ===

Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm
 
{{ Console | cyradm --user cyrus loclahost Password: }}
 
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}
 
<pre>
localhost> setquota user.nomUtilisateur 1024
</pre>

Pour vérifier le quota d'un utilisateur :
<pre>
localhost> listquota user.nomUtilisateur
</pre>
 
=== Whitelist/Blacklist ===
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}
<pre>
#
#WhiteList
#
whitelist_from utilisateur@domaine
whitelist_from *@domaine

#
#Blacklist
#
blacklist_from utilisateur@domaine
blacklist_from *@domaine
</pre>
=== Restaurer Boit mail ===
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
 
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}
 

[[Catégorie:Système]]

Catégorie:Electronique

2014-10-07T09:04:09Z

Bmichaux : Page créée avec « Ensemble des divers circuits et bonnes pratiques pour '''l'électronique de loisir'''. »

Ensemble des divers circuits et bonnes pratiques pour '''l'électronique de loisir'''.

Accueil

2014-10-07T09:02:37Z

Bmichaux :

<big>'''Bienvenue sur DiouxX's Wiki''' </big>

<categorytree mode=pages>informatique</categorytree>

<categorytree mode=pages>Electronique</categorytree>

Postfix

2014-10-06T21:14:39Z

Bmichaux :

{{ Introduction | Cette page permet de réaliser la mis en place ainsi que la configuration de Postfix }}

Avant toute chose, il est nécessaire d'installer et configurer Cyrus-Imap

== Cyrus Imap ==

Pour l'installation et la configuration de Cyrus Imap, veuillez vous référencer à la [[Cyrus|page suivante]]

== Postfix ==

=== Installation ===

=== Configuration ===

La configuration de postfix est réalisé via deux fichiers

* main.cf
* master.cf
 
Le fichier {{ File | main.cf }} qui permet de paramétrer postfix
 
<syntaxhighlight lang="bash">
#########################################
# REGLES GENERALES #
#########################################

#La règle smtpd_banner définit le message d’accueil du serveur Postfix
#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner = DIOUXX

#Desactivation notification terminal
biff = no

#La règle myhostname renseigne le nom de la machine sur laquelle s’exécute (est installé) Postfix.
myhostname = ks354605.kimsufi.com

#La règle mail_name définit le nom du système de messagerie du serveur
mail_name = Postfix

#La règle mydomain renseigne le nom de domaine auquel appartient la machine sur laquelle s’exécute Postfix.
mydomain = diouxx.be

#La règle mydestination énumère tous les domaines pour lesquels le serveur Postfix acceptera les mails afin de les distribuer en local.
#"distribuer en local" signifie: livrer les mails à tous les utilisateurs ayant un compte UNIX ou un compte virtuel (c’est à dire simplement une BàL) sur une machine qui appartient à
#l’un des domaines de la liste de la règle mydestination.
#A la place de $mydomain on peut bien sûr mettre le nom de domaine en toute lettre !
mydestination = $myhostname, www.$mydomain, $mydomain, localhost, localhost.$mydomain

inet_interfaces = all

#proxy_interfaces = 193.190.248.8

#################################
# VIRTUAL DOMAIN #
#################################

#Le paramètre virtual_mailbox_domains indique à Postfix que test.pass.be est un domaine de boîtes-aux-lettres virtuelles.
#Si vous l'oubliez, Postfix rejetera le courrier (relais interdit) ou ne sera pas en mesure de le livrer (le courrier de exmple.com bouclera).
#virtual_mailbox_domains = test.pass.be

#Le paramètre virtual_mailbox_base indique le répertoire de base pour toutes les boîtes aux lettres virtuelles.
#C'est un mécanisme évitant les erreurs : le courrier ne peut être livré n'importe où.
#virtual_mailbox_base = /var/spool/cyrus/mail

# Le paramètre virtual_mailbox_maps indique la table des correspondances entre les adresses virtuelles et les boîtes-aux-lettres (ou les répertoires).
#virtual_mailbox_maps = hash:/etc/postfix/vmailbox

#virtual_alias_domains = /etc/postfix/virtual_domains

#Il est possible de mixer les alias virtuels avec des boîtes-aux-lettres virtuelles.
#virtual_alias_maps = hash:/etc/postfix/virtual

#virtual_minimum_uid = 100
#virtual_uid_maps = static:5000
#virtual_gid_maps = static:5000

##########################################
# MASQUAGE DES NOMS D'HOTES #
##########################################

#La règle myorigin renseigne la partie réseau de l’adresse d’enveloppe ou d’en-tête des mails qui seront envoyés par Postfix.
myorigin = $mydomain

#La règle append_at_myorigin initialise ou non (yes/no) la réécriture des adresses en ajoutant à ces adresses
#append_at_myorigin = yes

#La règle append_dot_mydomain initialise ou non la réécriture des adresses en ajoutant à ces adresses
#append_dot_mydomain = yes

#La règle masquerade_domains définit les règles de supression des noms d’hôtes et/ou de sous-domaines dans les adresses d’enveloppe et les en-têtes de message de l’expéditeur
#(et non du destinataire!!!).
#masquerade_domains = admin.pass.be

#La règle masquerade_exceptions définit les comptes pour lesquels ne s’appliqueront pas les règles de la directive masquerad_domains.
#masquerade_exceptions =

#########################################
# CONTROLE D ACCES RELAYAGE #
#########################################

#La règle mynetworks énumère les réseaux ou adresses des machines qui peuvent utiliser le serveur postfix pour envoyer/relayer du courrier vers l’extérieur.
mynetworks = 127.0.0.0/8
#mynetworks_style = class

#La règle relay_domains indique les domaines et sous-domaines vers lesquels Postfix va relayer (faire suivre) le courrier.
relay_domains = $mydestination

#La règle relayhost définit la passerelle SMTP qui est rellement connectée à Internet.
#Cette règle ne concerne que les mails SORTANT.
relayhost =

#################################
# CONFIGURATION TLS #
#################################
smtp_use_tls=no
smtpd_use_tls=yes
#smtpd_tls_security = may
smtpd_tls_CApath = /etc/postfix/tls
smtpd_tls_key_file = /etc/postfix/tls/postfix.key
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_note_starttls_offer = yes

#########################################
# CONFIGURATION SASL #
#########################################

smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_type = cyrus
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_sasl_authenticated_header = yes
broken_sasl_auth_clients = yes

#########################################
# TABLE DE RECHERCHES #
#########################################

#La règle default_database_type définit le type de base de données que l’on souhaite utiliser.
#default_database_type = hash

#########################
# ALIAS #
#########################

#La règle alias_maps définit le type (hash, NIS, LDAP, etc...) et l’emplacement du fichier texte dont se servira la commande postalias ou newalises
#pour re/construire le(s) fichier(s) de base de données (.db) d’alias utilisés par l’agent de distribution local.
alias_maps = hash:/etc/aliases

#La règle alias_database définit l’emplacement des fichiers texte dont se servira la commande newaliases pour construire les fichiers base de données d’alias,
#c’est à dire uniquement les fichiers qui doivent être indexés par la commande newaliases.
#alias_database = hash:/etc/aliases.db
alias_database = hash:/etc/aliases

#La règle default_privs définit les privilèges de Postfix lors de la distribution en local à un alias.
#default_privs = nobody

#La règle allow_mail_to_commands définit dans quel cadre Postfix doit délivrer le courrier à une commande.
#allow_mail_to_commands = alias,forward, include

#La règle allow_mail_to_files définit dans quel cadre Postfix doit délivrer le courrier à un fichier.
#allow_mail_to_files = alias,forward, include

#########################################################
# REECRITURE ET/OU REDIRECTION D ADRESSES #
#########################################################

#########################################
# GESTION FILE D ATTENTE #
#########################################

#La règle queue_directory définit l’emplacement du répertoire racine de la file d’attente de Postfix.
queue_directory = /var/spool/postfix

#################################
# DISTRIBUTION LOCALE #
#################################

mailbox_transport = lmtp:unix:/var/run/cyrus/socket/lmtp

local_recipient_maps = $alias_maps
#local_recipient_maps =

#########################
# GESTION BAL #
#########################

home_mailbox = Maildir/

#Limitation de la taille des BAL
mailbox_size_limit = 0

#Taille maximal des messages
#Taille = 20 Mo
message_size_limit = 20480000

#########################
# AMAVIS #
#########################

content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
# check_policy_service inet:127.0.0.1:60000
check_policy_service inet:127.0.0.1:10023

#########################
# SECURITE #
#########################

#Bloque une partie de SPAM en obligeant la requete HELO
smtpd_helo_required = yes

#Utilisation de postgrey
#check_policy_service = inet:127.0.0.1:10023

</syntaxhighlight>
 
Le fichier {{ File | master.cf }} permet de définir la manière dont postfix va communiquer via les différents protocoles qu'il accepte
 
<syntaxhighlight lang="bash">
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
# -o content_filter=spamassassin
#smtp inet n - - - 1 postscreen
#smtpd pass - - - - - smtpd
#dnsblog unix - - - - 0 dnsblog
#tlsproxy unix - - - - 0 tlsproxy
submission inet n - - - - smtpd
# -o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
# -o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_sasl_authenticated,reject
# -o milter_macro_daemon_name=ORIGINATING
smtps inet n - - - - smtpd
# -o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
# -o smtpd_client_restrictions=permit_sasl_authenticated,reject
-o smtpd_client_restrictions=permit_sasl_authenticated
-o milter_macro_daemon_name=ORIGINATING
#628 inet n - - - - qmqpd
pickup fifo n - - 60 1 pickup
cleanup unix n - - - 0 cleanup
qmgr fifo n - n 300 1 qmgr
#qmgr fifo n - n 300 1 oqmgr
tlsmgr unix - - - 1000? 1 tlsmgr
rewrite unix - - - - - trivial-rewrite
bounce unix - - - - 0 bounce
defer unix - - - - 0 bounce
trace unix - - - - 0 bounce
verify unix - - - - 1 verify
flush unix n - - 1000? 0 flush
proxymap unix - - n - - proxymap
proxywrite unix - - n - 1 proxymap
smtp unix - - - - - smtp
relay unix - - - - - smtp
-o smtp_fallback_relay=
# -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq unix n - - - - showq
error unix - - - - - error
retry unix - - - - - error
discard unix - - - - - discard
local unix - n n - - local
virtual unix - n n - - virtual
lmtp unix - - n - - lmtp
anvil unix - - - - 1 anvil
scache unix - - - - 1 scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent. See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop unix - n n - - pipe
flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# ====================================================================
#
# Recent Cyrus versions can use the existing "lmtp" master.cf entry.
#
# Specify in cyrus.conf:
# lmtp cmd="lmtpd -a" listen="localhost:lmtp" proto=tcp4
#
# Specify in main.cf one or more of the following:
# mailbox_transport = lmtp:inet:localhost
# virtual_transport = lmtp:inet:localhost
#
# ====================================================================
#
# Cyrus 2.1.5 (Amos Gouaux)
# Also specify in main.cf: cyrus_destination_recipient_limit=1
#
cyrus unix - n n - - pipe
# user=cyrus argv=/cyrus/bin/deliver -e -r ${sender} -m ${extension} ${user}
#
# ====================================================================
# Old example of delivery via Cyrus.
#
#old-cyrus unix - n n - - pipe
# flags=R user=cyrus argv=/cyrus/bin/deliver -e -m ${extension} ${user}
#
# ====================================================================
#
# See the Postfix UUCP_README file for configuration details.
#
uucp unix - n n - - pipe
flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail unix - n n - - pipe
flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp unix - n n - - pipe
flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix - n n - 2 pipe
flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman unix - n n - - pipe
flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
${nexthop} ${user}

#Amavis
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
# -o smtpd_bind_address=127.0.0.1

#Spamassasin
spamassassin unix - n n - - pipe
user=spamd argv=/usr/bin/spamc -f -e
/usr/sbin/sendmail -oi -f ${sender} ${recipient}

</syntaxhighlight>
 

== SMTPD.conf ==

Avant d'aller plus loin, il est important de veiller à ce que le fichier smtpd.conf soit créé dans /etc/postfix/sasl/ avec les paramètres
<syntaxhighlight>

pwcheck_method: saslauthd
mech_list: PLAIN LOGIN

</syntaxhighlight>
En effet : l'utilisation de la balise "smtpd_sasl_path = variable" implique d'un fichier /etc/postfix/sasl/[variable].conf soit créé et instancié.
Ce fichier est utilisé directement par postfix pour configurer l'accès SASL. Sinon, des messages RCPT TO style Relay Acces Denied ou Acces Denied peuvent se produire.

== [[Postfix-TLS]] ==

== Disclaimer ==

Le disclaimer est un service qui permet de rajouter un message (typiquement une clause de confidentialité) à la fin des mails. Dans la suite, nous verrons comment modifier le disclaimer afin qu'il n'ajoute un message que pour les mails sortants

=== Installation ===
Pour l'instant, l'installation est réalisé grâce à la commande ''apt''
 
{{ Console root | apt-get install altermime }}
 
=== Configuration ===

Une fois installer, nous allons pouvoir configurer altermime mais avant cela, nous allons créer un utilisateur spécifique ainsi que les différents dossier dont doit disposer altermime

<pre>
useradd -r -c "Postfix Filters" -d /var/spool/filter filter
mkdir /var/spool/filter
chown filter:filter /var/spool/filter
chmod 750 /var/spool/filter
</pre>

Une fois cela réalisé, il nous faut créer le script disclaimer dans {{ File | /etc/postfix/disclaimer }}
 
<syntaxhighlight lang="bash">
#!/bin/sh
# Localize these.
INSPECT_DIR=/var/spool/filter
SENDMAIL=/usr/sbin/sendmail

# Exit codes from <sysexits.h>
EX_TEMPFAIL=75
EX_UNAVAILABLE=69

# Clean up when done or when aborting.
trap "rm -f in.$$" 0 1 2 3 15

# Start processing.
cd $INSPECT_DIR || { echo $INSPECT_DIR does not exist; exit
$EX_TEMPFAIL; }

cat >in.$$ || { echo Cannot save mail to file; exit $EX_TEMPFAIL; }

#Modification pour uniquement mails sortant
# obtain From address
#from_address=`grep -m 1 "From:" in.$$ | cut -d "<" -f 2 | cut -d ">" -f 1`
to_address=`grep -m 1 "To:" in.$$ | cut -d : -f 2 | cut -d @ -f 2`

#echo $from_address > /tmp/from.txt
#echo $to_address > /tmp/to.txt

if [ $to_address != "admin.pass.be" ]
then
/usr/bin/altermime --input=in.$$ \
--disclaimer=/etc/postfix/disclaimer.txt \
--disclaimer-html=/etc/postfix/disclaimer.html \
--xheader="X-Copyrighted-Material: Please visit http://www.company.com/privacy.htm" || \
{ echo Message content rejected; exit $EX_UNAVAILABLE; }
fi

$SENDMAIL -oi "$@" <in.$$

exit $?
</syntaxhighlight>
 
{{ Note | La modification par rapport au script d'origine se situe au niveau du '''IF'''. En effet, le script va récupérer le champ du destinataire et vérifier si son adresse mail correspond au domaine du serveur postfix ou non. Si ce n'est pas le cas, il s'agit d'un mail sortant }}
 
Il faut également modifier le propriétaire du script ainsi que les droits
 
{{ Console root | chgrp filter /etc/postfix/disclaimer [root@ordi ~]# chmod 750 /etc/postfix/disclaimer }}
 
Il est nécessaire maintenant de créer le fichier {{ File | /etc/postfix/disclaimer.txt }} qui va contenir le message à rajouter aux mails sortant.

Il ne reste plus qu'a modifier le fichier {{ File | /etc/postfix/master.cf }} afin de lui indiquer qu'il doit utiliser le service disclaimer pour envoyer les mails. Pour cela, il faut rajouter ces deux lignes si au début du fichier
<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================
smtp inet n - - - - smtpd
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}

</pre>

Redemmarez postfix pour qu'il prenne en compte les modifications que l'on a apportés
 
{{ Console root | /etc/init.d/postfix restart }}
 

== Amavis ==

Amavis est le logiciel qui va permettre de réaliser le transport des mails de postfix jusqu'aux filtres anti-spam et antivirus. Il repassera le mail à postfix pour sa destination final seulement si ce mail est considéré comme "propre"

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install amavis }}
 

=== Configuration ===

Nous allons devoir en premier lieux, configurer postfix pour qu'il accepte de travailler avec amavis. Pour ce faire nous éditions les deux fichier suivants :

* /etc/postfix/master.cf
* /etc/postfix/main.cf
 
Pour le fichier {{ File | /etc/postfix/master.cf }}, nous allons rajouter les lignes suivantes :
 
<pre>
amavis unix - - - - 2 smtp
-o smtp_data_done_timeout=1200
-o smtp_send_xforward_command=yes

127.0.0.1:10025 inet n - - - - smtpd
-o content_filter=
-o local_recipient_maps=
-o relay_recipient_maps=
-o smtpd_restriction_classes=
-o smtpd_client_restrictions=
-o smtpd_helo_restrictions=
-o smtpd_sender_restrictions=
-o smtpd_recipient_restrictions=permit_mynetworks,reject
-o mynetworks=127.0.0.0/8
-o strict_rfc821_envelopes=yes
-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
-o smtpd_bind_address=127.0.0.1
</pre>
 
Pour le fichier {{ File | /etc/postfix/main.cf }}, ajoutons également les lignes suivantes à la fin du fichier :
 
<pre>
content_filter = amavis:[127.0.0.1]:10024
receive_override_options = no_address_mappings

smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks,
reject_unauth_destination,
check_policy_service inet:127.0.0.1:60000

</pre>
 
Nous devons activer les filtres, normalement il suffit de décommenter les lignes suivantes du fichier {{ File | /etc/amavis/conf.d/15-cintent_filter_mode }}
 
<pre>
use strict;

# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.

#
# Default antivirus checking mode
# Please note, that anti-virus checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_virus_checks_maps = (
\%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);

#
# Default SPAM checking mode
# Please note, that anti-spam checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:

@bypass_spam_checks_maps = (
\%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);

1; # ensure a defined return
</pre>
 
Il ne nous reste qu'a configurer la mise en quarantaine en éditant le fichier {{ File | /etc/amavis/conf.d/50-user }}
 
<pre>
use strict;

#
# Place your configuration directives here. They will override those in
# earlier files.
#
# See /usr/share/doc/amavisd-new/ for documentation and examples of
# the directives you can use in this file
#

$QUARANTINEDIR = '/var/spool/virusmails'; # Quarantine Directory
$spam_quarantine_method = 'local:spam-%b-%i-%n'; # Filename in $QUARANTINEDIR
$spam_quarantine_to = 'spam-quarantine'; # Put Spam in Quarantine Directory
# $spam_quarantine_to = "admin\@$mydomain"; # Send Spam to Adminstrator
# $spam_quarantine_to = undef; # Do nothing with Spam
$final_spam_destiny = D_DISCARD;
#$spam_admin = "admin\@$mydomain"; # Where to send Notification

#------------ Do not modify anything below this line -------------
1; # ensure a defined return

</pre>
 

Il nous faut pas '''oublier''' de créer le répertoire qui va accueillir les mails infectés ou considéré comme spam
 
{{ Console root | mkdir /var/spool/virusmails [root@ordi ~]# chown amavis:amavis /var/spool/virusmails }}
 
{{ Note | L'emplacement du dossier qui contiendra les mails infectés ou considéré comme spam est renseigné via la variable '''$QUARANTINEDIR''' }}
 
Il reste encore l'installation et la configuration de spamassasin et clamav
 

== Spamassassin ==

Spamassassin est le logiciel qui comme son nom l'indique va permettre de détecter si les mails que l'ont reçoit sont des spams ou non

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install spamassassin }}
 
=== Configuration ===

La configuration de spamassassin se réalise avec le fichier {{ File | /etc/default/spamassassin}} et {{ File | /etc/spamassassin/local.cf}}. Normalement, le fichier devrait ressembler à ceci. Tandis que le fichier {{ File | /etc/postfix/master.cf }} doit être modififié afin d'indiquer à postfix qu'il doit utiliser spamassasin
 
==== /etc/postfix/master.cf ====
Au début du fichier la section consacré à smtp doit ressembler à ceci :

<pre>
#
# Postfix master process configuration file. For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type private unpriv chroot wakeup maxproc command + args
# (yes) (yes) (yes) (never) (100)
# ==========================================================================

smtp inet n - - - - smtpd
-o content_filter=spamassassin
-o content_filter=dfilt:
dfilt unix - n n - - pipe
flags=Rq user=filter argv=/etc/postfix/disclaimer -f ${sender} -- ${recipient}
</pre>
 
{{ Avertissement | il est impératif que la ligne spamassassin soit avant la ligne dfit. Sans cela, le disclaimer ne sera pas mis pour les mails sortant }}
 

==== /etc/default/spamassassin ====
<pre>
# /etc/default/spamassassin
# Duncan Findlay

# WARNING: please read README.spamd before using.
# There may be security risks.

# Change to one to enable spamd
ENABLED=1

# Options
# See man spamd for possible options. The -d option is automatically added.
SAHOME="/var/lib/spamassassin/"

# SpamAssassin uses a preforking model, so be careful! You need to
# make sure --max-children is not set to anything higher than 5,
# unless you know what you're doing.

OPTIONS="--create-prefs --max-children 5 --username spamd --helper-home-dir ${SAHOME} -s ${SAHOME}spamd.log"

# Pid file
# Where should spamd write its PID to file? If you use the -u or
# --username option above, this needs to be writable by that user.
# Otherwise, the init script will not be able to shut spamd down.
PIDFILE="${SAHOME}spamd.pid"

# Set nice level of spamd
#NICE="--nicelevel 15"

# Cronjob
# Set to anything but 0 to enable the cron job to automatically update
# spamassassin's rules on a nightly basis
CRON=0
</pre>

==== /etc/spamassassin/local.cf ====
 
<pre>
# This is the right place to customize your installation of SpamAssassin.
#
# See 'perldoc Mail::SpamAssassin::Conf' for details of what can be
# tweaked.
#
# Only a small subset of options are listed below
#
###########################################################################

# Add *****SPAM***** to the Subject header of spam e-mails
#
rewrite_header Subject *****SPAM - SPAM_SCORE_*****

# Save spam messages as a message/rfc822 MIME attachment instead of
# modifying the original message (0: off, 2: use text/plain instead)
#
report_safe 0

# Set which networks or hosts are considered 'trusted' by your mail
# server (i.e. not spammers)
#
# trusted_networks 212.17.35.

# Set file-locking method (flock is not safe over NFS, but is faster)
#
# lock_method flock

# Set the threshold at which a message is considered spam (default: 5.0)
#
required_score 2.0

# Use Bayesian classifier (default: 1)
#
use_bayes 1
use_bayes_rules 1

# Bayesian classifier auto-learning (default: 1)
#
bayes_auto_learn 1

# Set headers which may provide inappropriate cues to the Bayesian
# classifier
#
# bayes_ignore_header X-Bogosity
# bayes_ignore_header X-Spam-Flag
# bayes_ignore_header X-Spam-Status

# Some shortcircuiting, if the plugin is enabled
#
ifplugin Mail::SpamAssassin::Plugin::Shortcircuit
#
# default: strongly-whitelisted mails are *really* whitelisted now, if the
# shortcircuiting plugin is active, causing early exit to save CPU load.
# Uncomment to turn this on
#
# shortcircuit USER_IN_WHITELIST on
# shortcircuit USER_IN_DEF_WHITELIST on
# shortcircuit USER_IN_ALL_SPAM_TO on
# shortcircuit SUBJECT_IN_WHITELIST on

# the opposite; blacklisted mails can also save CPU
#
# shortcircuit USER_IN_BLACKLIST on
# shortcircuit USER_IN_BLACKLIST_TO on
# shortcircuit SUBJECT_IN_BLACKLIST on

# if you have taken the time to correctly specify your "trusted_networks",
# this is another good way to save CPU
#
# shortcircuit ALL_TRUSTED on

# and a well-trained bayes DB can save running rules, too
#
# shortcircuit BAYES_99 spam
# shortcircuit BAYES_00 ham

# Enable or disable network checks
skip_rbl_checks 0
use_razor2 0
use_dcc 0
use_pyzor 0

endif # Mail::SpamAssassin::Plugin::Shortcircuit
</pre>
 

Par acquis de conscience, vérifier que le dossier renseigner par la variable SAHOME existe bien et qu'il appartienne bien à l'utilisateur spamd.
Si ce n'est pas le cas, exécutez les commandes suivantes :
 
{{ Console root | groupadd -g 5001 spamd [root@ordi ~]# useradd -u 5001 -g spamd -s /sbin/nologin -d /var/lib/spamassassin spamd [root@ordi ~]# mkdir /var/lib/spamassassin [root@ordi ~]# chown spamd:spamd /var/lib/spamassassin [root@ordi ~]# chmod 755 /var/lib/spamassassin }}
 

=== Mise a jour de la base SPAM ===

Pour mettre a jour la base anti-spam, il suffit d’exécuter la commande suivante :
 
{{ Console root | sa-update -D }}
 
{{ Note | On peux exécuter cette commande dans une tache cron afin de mettre à jour la bas tous les soirs }}
 
Le service spamassassin est maintenant configurer.
 

== ClamAV ==

ClamAV est le logiciel anti-virus qui va scanner tous les mails que l'on reçoit

=== Installation ===

Pour l'instant, l'installation se réalise avec la commande '''apt'''
 
{{ Console root | apt-get install clamav clamav-daemon }}
 

=== Configuration ===

La seule configuration à réalisé est de rajouter l'utilisateur clamav, qui a été crée lors de l'installation du paquet, au groupe amavis :
 
{{ Console root | adduser clamav amavis Ajout de l'utilisateur « clamav » au groupe « amavis »... Ajout de l'utilisateur clamav au groupe amavis Fait. }}
 
== Test de Spamassassin et Clamav ==

Avant de pouvoir tester le bon fonctionnement de Spamassassin et Clamv, il est nécessaire de démarrer/redémarrer les services dans l'ordre suivant :
 
{{ Console root | /etc/init.d/spamassassin restart Starting SpamAssassin Mail Filter Daemon: spamd. }}
 
{{ Console root | /etc/init.d/amavis restart Stopping amavisd: amavisd-new. Starting amavisd: amavisd-new. }}
 
{{ Console root | /etc/init.d/clamav-daemon restart Stopping ClamAV daemon: clamd. Starting ClamAV daemon: clamd.}}
 
{{ Console root | /etc/init.d/postfix restart Stopping Postfix Mail Transport Agent: postfix. Starting Postfix Mail Transport Agent: postfix.}}
 

=== Test de Spamassassin ===

Vous trouverez dans la doc un exemple de Spam: /usr/share/doc/spamassassin/examples/sample-spam.txt
Il suffit de coller cette ligne dans un mail et de l'envoyer :
 
<pre>
XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
</pre>
Il sera détecté comme Spam si tout va bien

=== Test de Clamav ===

Vous procèderez de la même manière, avec le code suivant, récupéré sur [http://www.eicar.org/anti_virus_test_file.htm www.eicar.org] :
 
<pre>
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
</pre>
Si tout se passe correctement, le mail sera placé en quarantaine.
 
{{ Note | Pour vérifier le bon fonctionnement de l'anti-spam et l'anti-virus, consulter le fichier log {{ File | /var/log/mail.log }}. On peux utiliser la commande ''tail -f /var/log/mail.log'' pour plus de faciliter }}
 

== Submission ==

Les manipulations décrites ci-dessus permettent d'activer une authentification sécurisée sur le port 25/tcp. Or, dans le cadre de la lutte ant-virus et anti-spam, ce port est de plus en plus souvent filtré dans les réseaux, surtout les réseaux publics. Si nous proposons un service sur le port 25/tcp, il risque donc de ne pas être accessible depuis n'importe où...

Pour ce faire, on va configurer Postfix pour qu'il sache recevoir des connexions sur le port 587/tcp (submission). On imposera que ces connexions soient chiffrées en TLS et on imposera également une authentification SASL. Nous proposerons ainsi à nos utilisateurs un service leur permettant d'envoyer des mails depuis n'importe quel client de messagerie connecté à Internet (le port 587/tcp n'est pas filtré puisqu'il est censé toujours proposer des services avec authentification, donc pas (trop) de spam ni virus).

Cette technique est décrite dans la RFC 2476.

Pour activer le service, il suffit de le rajouter/décommenter dans le fichier /etc/postfix/master.cf :

# lignes à ajouter dans /etc/postfix/master.cf :
# submission : on ouvre le port 587/tcp sur lequel on impose TLS
# et on n'accepte que les clients authentifiés. Cela impose d'avoir
# déjà configuré TLS et SASL, bien entendu.
# service type private unpriv chroot wakeup maxproc command + args
submission inet n - - - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_client_restrictions=permit_sasl_authenticated,reject

Notes :

sur les anciennes versions de Postfix (< 2.3), on indique smtpd_enforce_tls=yes au lieu de smtpd_tls_security_level=encrypt)
ne pas oublier d'ouvrir le port 587/tcp vers le serveur au niveau du parefeu : c'est un service à ouvrir à tout Internet

Ce service est notamment activé sur la messagerie de Montréal, vous trouverez le mode d'emploi côté client ici : MessagerieAufOrg/EnvoiSmtpSortant

== Syslog-ng ==

=== Installation ===

Pour installer Syslog, référencez vous à la page consacré à [[Syslog-ng]]

=== Configuration ===

Le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} sur le '''serveur Postfix''' doit ressembler à ceci :
 
<pre>
@version: 3.0

######
# options

options {
# disable the chained hostname format in logs
# (default is enabled)
chain_hostnames(0);

# the time to wait before a died connection is re-established
# (default is 60)
time_reopen(10);

# the time to wait before an idle destination file is closed
# (default is 60)
time_reap(360);

# the number of lines buffered before written to file
# you might want to increase this if your disk isn't catching with
# all the log messages you get or if you want less disk activity
# (say on a laptop)
# (default is 0)
#sync(0);

# the number of lines fitting in the output queue
log_fifo_size(2048);

# enable or disable directory creation for destination files
create_dirs(yes);

# default owner, group, and permissions for log files
# (defaults are 0, 0, 0600)
owner(root);
#group(adm);
perm(0640);

# default owner, group, and permissions for created directories
# (defaults are 0, 0, 0700)
dir_owner(root);
#dir_group(root);
dir_perm(0755);

# enable or disable DNS usage
# syslog-ng blocks on DNS queries, so enabling DNS may lead to
# a Denial of Service attack
# (default is yes)
use_dns(no);

# maximum length of message in bytes
# this is only limited by the program listening on the /dev/log Unix
# socket, glibc can handle arbitrary length log messages, but -- for
# example -- syslogd accepts only 1024 bytes
# (default is 2048)
#log_msg_size(2048);

#Disable statistic log messages.
stats_freq(0);

# Some program send log messages through a private implementation.
# and sometimes that implementation is bad. If this happen syslog-ng
# may recognise the program name as hostname. Whit this option
# we tell the syslog-ng that if a hostname match this regexp than that
# is not a real hostname.
bad_hostname("^gconfd$");

flush_lines (0);
};

############################
# Sources
############################
# all known message sources
source s_all {
# message generated by Syslog-NG
#internal();
# standard Linux log source (this is the default place for the syslog()
# function to send logs to)
unix-stream("/dev/log");
# messages from the kernel
#file("/proc/kmsg" log_prefix("kernel: "));
# use the following line if you want to receive remote UDP logging messages
# (this is equivalent to the "-r" syslogd flag)
# udp();
};

source postfix {
#file("/var/log/mail.err" follow_freq(1) flags(no-parse));
#file("/var/log/mail.info" follow_freq(1) flags(no-parse));
file("/var/log/mail.log" follow_freq(1) flags(no-parse));
#file("/var/log/mail.warn" follow_freq(1) flags(no-parse));
};

###########################
# Destinations
###########################
#Serveur distant
destination srv_dist {
udp ("192.168.100.20" port(514));
};

#Local
destination local_messages {
file("/var/log/syslog-ng/messages");
};

destination postfix {
file("/var/log/syslog-ng/$HOST/postfix.log");
};

################################
# Filters
################################
# all messages from the auth and authpriv facilities
filter f_auth { facility(auth, authpriv); };

# all messages except from the auth and authpriv facilities
filter f_syslog { not facility(auth, authpriv); };

# respectively: messages from the cron, daemon, kern, lpr, mail, news, user,
# and uucp facilities
filter f_cron { facility(cron); };
filter f_daemon { facility(daemon); };
filter f_kern { facility(kern); };
filter f_lpr { facility(lpr); };
filter f_mail { facility(mail); };
filter f_news { facility(news); };
filter f_user { facility(user); };
filter f_uucp { facility(uucp); };

# some filters to select messages of priority greater or equal to info, warn,
# and err
# (equivalents of syslogd's *.info, *.warn, and *.err)
filter f_at_least_info { level(info..emerg); };
filter f_at_least_notice { level(notice..emerg); };
filter f_at_least_warn { level(warn..emerg); };
filter f_at_least_err { level(err..emerg); };
filter f_at_least_crit { level(crit..emerg); };

# all messages of priority debug not coming from the auth, authpriv, news, and
# mail facilities
filter f_debug { level(debug) and not facility(auth, authpriv, news, mail); };

# all messages of info, notice, or warn priority not coming form the auth,
# authpriv, cron, daemon, mail, and news facilities
filter f_messages {
level(info,notice,warn)
and not facility(auth,authpriv,cron,daemon,mail,news);
};

# messages with priority emerg
filter f_emerg { level(emerg); };

# complex filter for messages usually sent to the xconsole
filter f_xconsole {
facility(daemon,mail)
or level(debug,info,notice,warn)
or (facility(news)
and level(crit,err,notice));
};

###################################################
# Filtre "perso"
##################################################

filter postfix { program("postfix") or program("cyrus"); };

######
# logs
# order matters if you use "flags(final);" to mark the end of processing in a
# "log" statement

# these rules provide the same behavior as the commented original syslogd rules

#log {
# source(s_all);
# destination(srv_dist);
# filter(f_auth);
#};

log {
source(s_all);
filter(postfix);
destination(postfix);
};

log {
source(s_all);
destination(srv_dist);
};

#log {
# source(s_all);
# destination(local_messages);
#};
</pre>
 
Concernant la machine ayant le rôle de serveur log, Il faut modifier le fichier {{ File | /etc/syslog-ng/syslog-ng.conf }} en rajoutant les parties suivantes :
 
<pre>
...
#Partie Destination
destination postfix {
file("/var/log/syslog-ng/$HOST/$DAY.$MONTH.$YEAR-postfix.log");
};
...

#Partie Filtre
filter postfix { program("postfix"); };
...

#Partie Log paths
log {
source(local);
filter(postfix);
destination(postfix);

};
...
</pre>
 
== Migration ==

Pour la migration voir [[Imapsync|ICI]]

== Troubleshooting ==

=== setaclmailbox: cyrus: lrswipcda: System I/O error ===

Si on rencontre l'erreur suivante sur un utilisateur mail, il faut reconstruire sa boite mail.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
<pre>
/usr/sbin/cyrreconstruct -rxf user.nomUtilisateur
</pre>

=== testsaslauthd : "connect() : No such file or directory 0" ===

Si lors d'un redémarrage du serveur mail ou d'un autre service et que vous tentez de réaliser un '''testsaslauthd''', il se peut que l'erreur '''connect() : No such file or directory 0'''

Il faut refaire un lien symbolique :
<pre>
rm -rf /var/run/saslauthd
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
</pre>

Pour automatiser le tout, on peux rajouter cette commande au fichier {{ File | /etc/rc.local }}
<pre>
#Commande pour Postfix
ln -s /var/spool/postfix/var/run/saslauthd /var/run/saslauthd
exit 0
</pre>

== Procédures ==

=== Manipulation Queue ===
*Vider la queue : postsuper -d ALL
*Lister les messages : postqueue -p
*Supprimer message : postsuper -d ID ( L'ID est donné via la commande du dessus)
*Mettre un messages en attente (hold) : postsuper -h ID
*Remettre un messages en mode normale (actif) : postsuper -H ID
*Remettre en Queue un message : postsuper -r ID
*Pour tous les messages : postsuper -r ID
*Afficher le contenu d'un message : postcat -q ID
*Forcer l'envoie des messages en Queue (flush) : postqueue -f
 

=== Créer nouvelle boite mail ===
{{ Avertissement | L'utilisateur doit d'abord être créée dans le LDAP }}
 
Pour créer une nouvelle boite mail, il faut se connecter sur l'interface administration de cyrus :
 
{{ Console | cyradm --user cyrus localhost Password: }}
 
* --user: cyrus est l'administrateur du service cyrus
* localhost: Parce qu’on est connecté sur la machine où est installé cyrus

Une fois connecter, on peux créer la nouvelle boite mail :
<pre>
cm user.nomUtilisateur
</pre>
 
{{ Avertissement | Toujours mettre user. avant le nom d'utilisateur sinon cela crée une boite mail partagée }}
 
On peux vérifier qu'elle a bien été créée en rentrant la commande ''lm'' (listmailbox)

Il faut maintenant donner tous les droits à l'utilisateur cyrus sur la boite mail crée. Sans cela, cyrus ne pourra pas la supprimer, lui assigner des quotas ...
 
<pre>
setacl user.nomutilisateur cyrus all
</pre>
 
Dans ce cas-ci, on assigne tous les droits à l'utilisateur cyrus sur la boite. C'est une question de faciliter pour la manipulation dans le futur des boites mails

Pour maintenant vérifier l'authentification, on utilise la commande testsaslauthd
 
{{ Console | testsaslauthd -u user -p password 0: OK "Success." }}
 
La partie authentification est réalisé. La dernière étape est de créer l'alias. On édite le fichier {{ File | /etc/aliases }} et on rajoute une ligne au format suivant :
<pre>
nomUtilisateur: nomUtilisateur@domaine
...
denis: denis@pass.be
devleeschauwer: ddevleeschauwer@pass.be
</pre>

Il faut recharger la base d'alias :
 
{{ Console | postalias /etc/aliases }}
 

=== Supprimer boite mail ===

Pour supprimer une boite mail, on doit, premièrement, se connecter à l'outil cyradm :
 
{{ Console | cyradm --user cyrus localhsot Password: }}
 
Pour supprimer la boite mail, entrez la commande dm :
 
<pre>
dm user.nomUtilisateur
</pre>

Si une erreur ''"deletemailbox: Permission denied"'' apparait, c'est un problème de droits sur la boite. Pour régler cela, rentrez les commandes suivantes :
<pre>
localhost> setacl user.test cyrus all
localhost> dm user.test
</pre>

Vérifier la suppression de la boite mail via la commande ''lm''

Les démarches ci-dessus, expliquent comment supprimer une boite mail mais on peut aussi supprimer l’utilisateur. Quittez l'outil cyradm.
Pour supprimer l'utilisateur, on utilise la commande saslpasswd
 
{{ Console | saslpasswd -d nomUtilisateur }}
 
On peux vérifier la suppression effective via :
 
{{ Console | sasldblistusers2 }}
 
Il reste plus qu'a supprimer l'alias de l’utilisateur et recréer la base d'alias.

* Éditez le fichier {{ File | /etc/aliases }} et supprimer la ligne correspondant au nom d'utilisateur
* Pour reconstruire la base d'alias, entrez la commande ''postalias /etc/aliases''

=== Assigner/Modifier quotas ===

Pour assigner ou modifier les quotas d'un utilisateur, tout se passe dans l'outil cyradm
 
{{ Console | cyradm --user cyrus loclahost Password: }}
 
{{ Note | La taille des quotas s'exprime en Ko. Donc si on spécifie 1024, cela veux dire qu'on assigne 1Mo de quotas à l'utilisateur. }}
 
<pre>
localhost> setquota user.nomUtilisateur 1024
</pre>

Pour vérifier le quota d'un utilisateur :
<pre>
localhost> listquota user.nomUtilisateur
</pre>
 
=== Whitelist/Blacklist ===
Pour ajouter une adresse mail à la whitelist, il suffit de la rajouter dans le fichier {{ File | /etc/spamassassin/local.cf }}
<pre>
#
#WhiteList
#
whitelist_from utilisateur@domaine
whitelist_from *@domaine

#
#Blacklist
#
blacklist_from utilisateur@domaine
blacklist_from *@domaine
</pre>
=== Restaurer Boit mail ===
Après avoir restauré la boite mail ( ou une partie de celle-ci ), il faut reconstituer l'indexation.
Pour ce faire, il faut se connecter en tant qu'utilisateur cyrus :
 
{{ Console root | su cyrus }}
 
Reconstruire la boite mail :
 
{{ Console | /usr/sbin/cyrreconstruct -rxf user.nomUtilisateur }}
 

[[Catégorie:Système]]

Postfix-TLS

2014-10-06T13:21:15Z

Bmichaux : /* Création des certificats */

{{ Introduction | Cette article permet de configurer postfix pour qu'il utilise TLS }}
== Création des certificats ==

La clé et le certificats seront installés dans {{ File | /etc/postfix/tls }}
 
{{ Console root | mkdir /etc/postfix/tls && cd /etc/postfix/tls }}
 
Commençons par générer notre clé :
 
{{ Console root | openssl genrsa -rand /etc/hosts -out postfix.key 2048 }}
 
Puis le certificat :
<pre>
openssl req -new -key postfix.key -out postfix.csr
openssl x509 -req -days 3650 -in postfix.csr -signkey postfix.key -out postfix.crt
openssl rsa -in postfix.key -out postfix.key.unencrypted
mv -f postfix.key.unencrypted postfix.key
openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650
</pre>
 
Attention, lorsque vous générez les certificat, openssl va vous demander des informations comme votre pays, ville, nom d'organisation... vous pouvez mettre ce que vous voulez (mais c'est mieux d'être honnête et d'indiquer des vraies informations).
Par contre, lorsqu'il vous demande le "common name", il faut absolument renseigner le nom de votre serveur mail (par exemple mail.domaine.com).
C'est grâce à ce nom que le certificat est valide. On le retrouve normalement dans /etc/postfix/main.cf à la ligne "myhostname = diouxx.be"

== SMTP ==
On édite le fichier {{ File | /etc/postfix/main.cf }}pour y mettre ceci :
<pre>
smtpd_use_tls=yes
smtpd_tls_security = may
smtpd_tls_key_file = /etc/postfix/tls/postfix.key
smtpd_tls_cert_file = /etc/postfix/tls/postfix.crt
smtpd_tls_CAfile = /etc/postfix/tls/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtp_use_tls = yes
smtp_tls_security_level = may
smtp_tls_loglevel = 1
</pre>
Les lignes "log_level" servent surtout à afficher plus d'information sur les communications chiffrées... Donc pas obligatoire. A laisser activé au début pour vérifier que tout marche bien et à commenter ensuite.
la ligne "smtpd_tls_received_header = yes" sert à rajouter un header dans le mail afin d'indiquer que la session smtp s'est faite en TLS. donc pas obligatoire non plus.

Enfin on valide en relancant postfix :
 
{{ Console root | /etc/init.d/postfix restart }}
 
== IMAP ==
Afin d’activer le support TLS pour Cyrus-Imap, il suffit d’éditer le fichier {{ File | /etc/imapd.conf }}et de décommenter les deux lignes suivantes (le certificat utilisé est le même que pour SMTP).
L’utilisateur cyrus doit appartenir au groupe ssl-cert pour pouvoir lire la clef privée.
 
{{ Console | adduser cyrus ssl-cert }}
 
On édite le fichier {{ File | /etc/imapd.conf }} pour décommenter les lignes :
<pre>
#tls_cert_file: /etc/ssl/certs/ssl-cert-snakeoil.pem
#tls_key_file: /etc/ssl/private/ssl-cert-snakeoil.key
</pre>
et les modifier pour utiliser le même certificat que pour le smtp :
<pre>
tls_cert_file: /etc/postfix/tls/postfix.crt
tls_key_file: /etc/postfix/tls/postfix.key
</pre>

[[ Catégorie:Système]]