View previous topic :: View next topic |
Author |
Message |
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Mon Jun 14, 2004 2:53 pm Post subject: [HOWTO] serveur mail securise (basé sur uw-imap) |
|
|
Bonjour à tous.
Suite et fin de mes aventures avec uw-imap et exim. Ce dernier étant beaucoup top compliqué pour que je résume sur un forum comment je m'y suis pris, je me limiterais donc à la partie imap / pop3, et leurs pendants sécurisés : imaps / pop3s suivez le guide .
0. Pourquoi uw-imap et pas courier-imap ?
Parceque ! Non, plus sérieusement, courier-imap présente, à mon sens, un gros handicap : il ne gère pas le formar mbox, standard UNIX des boîtes aux lettres. Hors, de nombreux outils s'attendent par défaut à trouver leur courrier dans ce format (pine, pour ne citer que celui qui m'aurait le plus gêné).
De plus, il faut aussi savoir que uw-imap est un programme très ancien, compatible avec un éventail d'applications très important (par exemple, le webmail squirrelmail dispose d'un mode dédié à uw-imap pour la gestion de ses boîtes aux lettres). Il permet à peu près tout ce qu'on peut demander à un outil de ce type, et tout simplement : il correspondait parfaitement à ce que j'attends de lui !
1. Installation.
Tout d'abord, installer les outils nécessaires. Ceux-ci sont au nombre de 2 : le super-serveur xinetd, qui contrôlera l'activité des démons imap et pop : uw-imap.
Code: | emerge xinetd uw-imap |
Ceci vous crée des fichiers de config dans /etc/xinetd.d. Ceux qui nous intéressent sont les suivants : /etc/xinetd.d/ipop3, /etc/xinetd.d/imap, /etc/xinetd.d/ipop3s et enfin /etc/xinetd.d/imaps.
2. Configuration des services.
Pour chacun de ces services, vous pouvez ou non les autoriser en suivant les étapes suivantes :
remplacez la ligne disable = yes par disable = no.
pour les versions non sécurisées des services (ipop3 et imap donc), veillez à limiter l'accès à votre réseau local en ajoutant cette ligne à la config du service : only_from = 127.0.0.1 192.168.0.0 (si votre réseau local est configuré en 192.168.0.x bien entendu).
pour les versions sécurisées des services (ipops et imaps), vous pouvez autoriser un accès illimité avec la ligne suivante : only_from = 0.0.0.0
3. Génération des certificats.
Reste ensuite l'étape de génération des certificats openssl pour les accès chiffrés.
Code: | openssl req -new -x509 -nodes -out ipop3d.pem -keyout ipop3d.pem -days 3650
openssl req -new -x509 -nodes -out imapd.pem -keyout imapd.pem -days 3650 |
Ces commandes vont vous poser quelques questions sans grande incidence sur votre système, si ce n'est pour la cohérence des choses.
Veillez simplement à ce que Common Name (eg, YOUR name) []: pointe bien sur votre système (ie : le nom dns de votre machine), sinon vous aurez un avertissement à chaque connexion sur votre serveur. Cela marchera, mais c'est pénible !!!
Enfin, copiez ces 2 fichiers dans /etc/ssl/certs.
4. C'est le moment de prier !
Voilà, a priori votre serveur doit être opérationnel, avec les services que vous aurez choisi d'activer. Il ne reste plus qu'à tester...
Bon courage à tous !
PS : Comme d'hab, tout commentaire / correction / avis est bienvenu.
EDIT : rajouté paragraphe 0, suite à une question de scout, merci à lui ! _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres.
Last edited by anigel on Tue Jun 15, 2004 8:57 am; edited 1 time in total |
|
Back to top |
|
|
yuk159 Veteran
Joined: 18 Apr 2003 Posts: 1802 Location: noumea ,nouvelle-caledonie
|
Posted: Mon Jun 14, 2004 7:36 pm Post subject: |
|
|
Merci Anigel, et hop index _________________ The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram |
|
Back to top |
|
|
moon69 Guru
Joined: 30 Aug 2003 Posts: 444
|
Posted: Sun Jun 27, 2004 10:49 am Post subject: |
|
|
Quote: | Veillez simplement à ce que Common Name (eg, YOUR name) []: pointe bien sur votre système (ie : le nom dns de votre machine), sinon vous aurez un avertissement à chaque connexion sur votre serveur. Cela marchera, mais c'est pénible !!! |
j'ai mit le nom dns, mais il me demande d'accepter en me disant que le certificats ne peut etre verifier!
c'est le FQDN ou juste le hostname ou le nom MX qui pointe ? |
|
Back to top |
|
|
anigel Bodhisattva
Joined: 14 Apr 2003 Posts: 1894 Location: Un petit bled pas loin de Limoges ;-)
|
Posted: Sun Jun 27, 2004 11:13 am Post subject: |
|
|
Il s'agit du FQDN, sachant que : lorsque le mail agent (ex : outlook ou mozilla par exemple) établissent la connexion avec le serveur, ils examinent le certificat et vérifient qu'il est bien celui qu'il prétend être par un requête DNS inverse.
Il faut donc veiller simplement à ce qu'un requête nslookup IP_DU_SERVEUR renvoie bien le nom DNS contenu dans le certificat. _________________ Il y a 10 sortes d'individus en ce bas-monde : ceux qui causent binaire, et les autres. |
|
Back to top |
|
|
ttgeub Guru
Joined: 20 Jan 2003 Posts: 494 Location: Eindhoven
|
Posted: Sun Jun 27, 2004 5:01 pm Post subject: |
|
|
Pour ceux que le sujet interesse, y a un guide plus complet mais beaucoup plus complexe sur le sujet dans la doc officielle :
http://www.gentoo.org/doc/fr/virt-mail-howto.xml
Attention ce guide est plus large et propose une gestion complete d'un serveur de mail avec des "virtuals users" et des "virtuals domains" |
|
Back to top |
|
|
|
|
You cannot post new topics in this forum You cannot reply to topics in this forum You cannot edit your posts in this forum You cannot delete your posts in this forum You cannot vote in polls in this forum
|
|