Solution Complète de Serveur Mail avec Domaines et Utilisateurs Virtuels (Debian Etch, Postfix, Mysql, Dovecot, DSpam, ClamAV, Postgrey, RBL)

Solution Complète de Serveur Mail avec Domaines et Utilisateurs Virtuels (Debian Etch, Postfix, MySQL, DoveCot, DSpam, ClamAV, Postgrey, RBL)

Ce tutoriel est Copyright (c) 2007 par Justin Refice. Il est dérivé de divers guides et matériel original, listés à la fin du document. Vous êtes libre d’utiliser ce tutoriel sous la licence Creative Commons 2.5 ou toute version ultérieure.

I. Introduction

Ce guide décrit comment configurer une solution de messagerie complète sous Debian Linux (tout le code provient de Debian Etch). J’ai été demandé de concevoir une solution sécurisée, évolutive et portable pour une petite entreprise. Bien que le guide fasse référence à de nombreux ‘serveurs’, l’entreprise ne disposait que de 4 machines physiques, Xen a été utilisé pour virtualiser l’ensemble de la solution. Cet aspect particulier du système n’est pas discuté dans ce guide, bien que j’essaierai de l’inclure dans la prochaine révision.

Juste une note sur les noms de serveurs utilisés ci-dessous : S’il n’a pas besoin d’être accessible par Internet, ne le laissez pas l’être. Les noms de domaine se terminant par internal.example.com sont des adresses NIC/IP internes… il n’y a aucun moyen d’y accéder directement depuis Internet, ni cela ne devrait être le cas. Tout serveur qui a UNIQUEMENT un nom de domaine internal.example.com est un serveur purement interne, et ne peut pas être accessible directement depuis Internet. Tous les serveurs non internes ont deux NIC (ceux-ci peuvent être deux NIC réels, ou virtuels). Le premier NIC a accès à Internet, et est strictement protégé par un pare-feu. Le deuxième NIC a accès au réseau interne, et a un peu moins de sécurité en conséquence. Les détails sur la façon de configurer ces NIC sont en dehors du champ d’application de ce document, mais je pourrais le mettre à jour pour les inclure à l’avenir.

La disposition générale des serveurs est :

MX Principal :
NIC1 = Insecure/Internet = mx-1.example.com
NIC2 = Secure/Intranet = mx-1.internal.example.com
MTA : Postfix
Filtre Greylist : Postgrey

MX Secondaire :
NIC1 = Insecure/Internet = mx-2.example.com
NIC2 = Secure/Intranet = mx-2.internal.example.com
MTA : Postfix
Filtre Greylist : Postgrey

SMTP+TLS & IMAPS :
NIC1 = Insecure/Internet = secure-mail.example.com
NIC2 = Secure/Intranet = secure-mail.internal.example.com
MTA : Postfix (+TLS/SSL)
IMAP : Dovecot (IMAPS)

Serveur de Livraison de Mail : postman.internal.example.com
MTA (lmtp) : DSPAM
Antivirus : ClamAV
IMAP : Dovecot

Serveur de Base de Données : sql-1.internal.example.com
MySQL

Serveur de Fichiers : files-1.internal.example.com
NFS

Serveur de Construction Temporaire : build.internal.example.com

Le mail fonctionne de la manière suivante : Mail Internet *vers* vos domaines : 1. Le mail arrive au MX Principal ou Secondaire sur le port 25 2. Le MX interroge le serveur MySQL pour voir si le destinataire et la destination du mail sont valides : a. Le destinataire est non autorisé - Le mail est rejeté (Erreur 550) b. Le destinataire est autorisé - Le mail est autorisé à continuer 3. Le MX vérifie la politique de greylist : a. C'est la première fois que l'email est essayé - Le mail est rejeté (Réessayer) b. Ce n'est pas la première fois que l'email est essayé - Le mail est autorisé à continuer 4. Le MX vérifie les violations de quota a. Le quota de l'utilisateur est plein - Le mail est renvoyé b. L'utilisateur a de la place - Le mail est livré 5. Le MX envoie le mail au Serveur de Livraison Interne (via LMTP) 6. Le Serveur de Livraison Interne vérifie les Virus/SPAM a. C'est du SPAM - Le SPAM est marqué et donné à LDA pour livraison. b. C'est un virus - Le mail est rejeté c. Ce n'est PAS du SPAM et PAS de VIRUS - Le mail est donné à LDA 7. LDA livre le mail a. Le mail est marqué comme SPAM - Livré dans le répertoire "SPAM" dans Maildir b. Le mail n'est PAS marqué comme SPAM - Livré dans la boîte de réception. Mail Internet *depuis* vos domaines : 1. L'utilisateur initie une connexion au Relais SMTP sur le port 25 2. Le Relais SMTP propose TLS : a. L'utilisateur n'utilise pas TLS - Le mail est rejeté b. L'utilisateur utilise TLS - La session est autorisée à continuer 3. Le Relais SMTP propose AUTH (PLAIN) : a. L'utilisateur ne s'authentifie pas/Échoue à l'authentification - Le mail est rejeté b. L'utilisateur s'authentifie - La session se termine comme d'habitude Les utilisateurs distants accèdent au mail via IMAPS (IMAP Sécurisé) Les utilisateurs locaux accèdent au mail via IMAP Si l'utilisateur détecte une détection de SPAM fausse positive, il transfère l'email à "ham-@." Si l'utilisateur détecte une détection de SPAM fausse négative, il transfère l'email à "spam-@." ### II. Notes Importantes Tout cela peut être installé sous Debian 4.0 Etch ou Ubuntu Feisty Fawn, puisque les deux systèmes sont assez similaires. Notez cependant qu'il peut y avoir quelques problèmes mineurs si vous utilisez la version par défaut de Dovecot et Postfix, mais j'essaierai de les noter pour vous lorsqu'ils se présenteront. Si vous êtes un utilisateur d'Ubuntu, notez que je n'utiliserai pas "sudo" devant chaque commande. Au lieu de cela, je lancerai un shell root en utilisant la commande "sudo -s". Installer des logiciels sous Ubuntu & Debian est très facile, donc chaque fois que cela est possible, nous utiliserons l'utilitaire apt-get intégré. Moins nous avons à construire nous-mêmes, plus il est facile de maintenir par la suite. Alors, commençons !

Solution Complète de Serveur Mail avec Domaines et Utilisateurs Virtuels (Debian Etch, Postfix, MySQL, DoveCot, DSpam, ClamAV, Postgrey, RBL)

I. Introduction

Recevez de nouveaux articles dans votre boîte de réception.