Sécuriser Postfix

---

Index de la page

• Pré-requis
• Configuration
• Télécharger le server en machine virtuelle VMWare^©
• Adapter la VM à vos besoin (configuration)
  
  
  Postfix est un server smtp communicant sur le port 25 en TCP par défaut, si vous ne sécurisez pas votre server il va vite devenir un relai de spam, pour y remédier voici une méthode: spamassassin, amavis, pop-before-smtp, authentification sasl
  Vous devez maitriser un minimum l'éditeur de texte vi / vim

Pré-requis :

• Avoir un pc, mac, sun sous linux Debian Etch / Sarge / Lenny / SID avec postfix, spamassassin, courier-imap, courier-imap-ssl, amavis, clamav
  

HAUT

Configurations :

• Postfix :
  • main.cf
    • Télécharger le fichier de configuration : main.cf (en faisant un clic droit sinon le fichier s'affiche à l'écran), puis placez le dans le répertoire /etc/postfix
    • Modifier le fichier de la façon suivante :
      • Ligne N°12 mettez le nom DNS de vôtre server mail (ex : mail.worm-fr.com).
      • Ligne N°16 mettez les noms DNS de vos machines (ex: worm-fr.com, test.dydns.org, mail.worm-fr.com, toto.worm-fr.com, titi.test.dyndns.org,).
      • Ligne N°17 mettez le nom DNS du server smtp de votre provider (préférer le nom plutôt qu'une IP car le nom renvoie plusieurs ip contrairement à une IP) (ex : smtp.free.fr).
      • Ligne N°18 mettez le nom dns de votre provider (ex: smtp.orange.fr:25) le nom doit être différent du premier [celui de la ligne N°17 (si le premier ne marche pas alors il essaie sur ce dernier).
  • master.cf
    • Vous devez avoir :
      • smtp inet n - - - - smtpd
    • Ajouter à la fin du fichier :
      • smtp-amavis unix - - y - 2 smtp
      • -o smtp_data_done_timeout=1200 # attention mettre un espace avant -o
      • -o smtp_send_xforward_command=yes # attention mettre un espace avant -o
      • -o disable_dns_lookups=yes # attention mettre un espace avant -o
      • localhost:10025 inet n - y - - smtpd
      • -o content_filter= # attention mettre un espace avant -o
      • -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks,no_milters # attention mettre un espace avant -o
    • Télécharger le fichier master.cf (en faisant un clic droit sinon le fichier s'affiche à l'écran), puis placez le dans le répertoire /etc/postfix, il n'y a aucune modification à effectuer.
• Spamassassin :
  • local.cf
    • Télécharger le fichier local.cf (en faisant un clic droit sinon le fichier s'affiche à l'écran), puis placez le dans le répertoire /etc/spamassassin.
    • Vous pouvez modifier la ligne N° 29 en remplaçant fr par votre langue
    • Vous pouvez modifier la ligne N° 33 en la remplaçant par vos différentes langues utilisées (elle ne seront pas considérées comme étant potentiellement du spam et donc le score sera moindre pour le score final du mail)
    • Site d'auto configuration de local.cf : cliquer ici
• amavis - clamv
  La configuration se fait dans le fichier de postfix :
  • main.cf (voir ci dessus la partie postfix)
  • master.cf (voir ci dessus la partie postfix)
• Pop-before-smtp
  Faire un lien logique de hosts.db et hosts.db.db
  • ln -s /var/lib/pop-before-smtp/hosts.db /var/lib/pop-before-smtp/hosts.db.db
• Saslauth
  • Créer les répertoiressi ils n'existent pas :
    • /var/spool/postfix/var/run/saslauthd (avec la commande mkdir -p)
    • /etc/postfix/sasl/ (avec la commande mkdir -p)
  • Télécharger les fichiers :
    • smtpd.conf (en faisant un clic droit sinon le fichier s'affiche à l'écran), et placer le dans le répertoire /etc/postfix/sasl
    • saslauthd (en faisant un clic droit sinon le fichier s'affiche à l'écran), et placer le dans le répertoire /etc/default.
    • Gestion des mot de passe saslauth
      • la création et ajout d'un mot de passe se fait avec la commande saslpasswd2 -c -f /chemin/du/fichier login, dans nôtre cas ce sera par ex : saslpasswd2 -c -f /etc/sasldb2 generic , si vous changer le chemin du fichier saslb2 ou son nom il vous faut modifier la ligne N°48 du fichier /etc/postfix/main.cf : smtp_sasl_password_maps = hash:/etc/sasldb2 par vôtre nouveau chemin
      • la suppression se fait par la commande saslpasswd2 -d -f /chemin/du/fichier login
      • la visualisation (liste des comptes) se fait par la commande sasldblistusers2.

HAUT

Télécharger le server en machine virtuelle VMWare^© :
Vous pouvez télécharger ici le server la taille du fichier est inférieur à 450Mo.
Cette machine virtuelle est constitué :

• 3 disques virtuels :
  • un disque de inférieur à 1 Mo extensible à 2 Go pour le swap.
  • un disque de 900 Mo extensible à 4 Go pour /.
  • un disque de 30 Mo extensible à 10 Go pour /home.
• 256 Mo de RAM (spamassassin est gourmand en ressource, si vous pouvez augmenter la valeur)
• une carte réseau l'ip est d'origine fixée : 192.168.1.110 (voir plus bas pour modifier)
• un processeur
• une souris qui sert à rien lol
• trois comptes utilisateurs : root, yiannis, katerina de créé. Pour les mot de passes envoyez moi un mail à : webmaster@worm-fr.com
• un compte de sécurité d'envoi de mail : generic de créé. Pour le mot de passe envoyez moi un mail à : webmaster@worm-fr.com

HAUT

Adapter la VM à vos besoin (configuration)

• Le réseau :
  • IP fixe :
    Le fichier de configuration réseau se trouve dans le répertoire : /etc/network/, vous devez modifier le fichier interfaces, si vous vous trompez vous pouvez pouvez passer la commande : cp interfaces.ip-fixe interfaces
    • modifier l'ip à la ligne N°12 par vôtre ip
    • modifier le netmask à la ligne N°13 si besoin (dans 99% des cas il n'est pas utile de modifier)
    • modifier le réseau (la plage ip) à la ligne N°14 donc c'est au moins abc.def.ghi.0
    • modifier le brodcast à la ligne N°15 (attention à vos calculs de bits pour vous aider: http://www.worm-fr.com/wiki/master/Info/IPNetmask)
    • modifier la gateway par défaut à la ligne 16 correspondand dans 99% des cas a l'ip interne / locale de vôtre box (freebox, livebox, dartybox , sfr, ....) ou modem / router
    • modifier à la ligne N°17 les ip des servers DNS de vôtre provider, ou plus rarement celui de votre DNS interne
    • décommenter la ligne N°18 si vous avez vôtre DNS interne pour permettre une recherche DNS simplifié et optimisée
  • IP via DHCP :
    Je vous conseille de fixe l'ip sur vôtre server DHCP pour que vôtre server DHCP délivre toujours la même ip à vôtre server mail.
    • remplacer interfaces par interfaces.dhcp avec la commande : cp interfaces.dhcp interfaces
• Configuration postfix :
  il faut modifier deux fichiers : /etc/postfix/main.cf et /etc/aliases
  • main.cf :
    • Ligne N° 12 : remplacer nom-dns-de-votre-machine par le nom de vôtre nouveau server de mail (ex : mail.worm-fr.com)
    • Ligne N° 16 : remplacer machine1.domaine.1 machine2.domaine.1 par les nom de machines que vôtre server de mail gère (ex : worm-fr.com, mail.worm-fr.com, wormcs.dyndns.org) comme vous pouvez le voir dans l'exemple le server peut recevoir le mail de plusieurs domaines.
    • Ligne N° 17 remplacer nom-dns-du-smtp-de-votre-provider par le nom DNS du server SMTP de vôtre fournisseur d'accès (ex : smtp.wanadoo.fr)
    • Ligne N° 18 remplacer nom-secondaire-dns-du-smtp-de-votre-provider par le nom secondaire DNS du server SMTP de vôtre fournisseur d'accès (ex : smtp.orange.fr), si vous avez qu'un seul nom de server SMTP commenter la ligne.
    • Ligne N° 19 remplacer 192.168.1.0/24 par le range de vôtre réseau interne (ex : 10.0.0.0/24) si vous avez du mal à établir vôtre range ma page http://www.worm-fr.com/wiki/master/Info/IPNetmask peut vous aider.

HAUT

---

navigation : Home Page >> Debian >> Vous êtes ici
La page a été visitée 578 fois
Auteur : wormcs