Postfix – le serveur IMAP Dovecot sur Ubuntu et activer le cryptage TLS – partie 2
Débutant – Dovecote et activer le crytage TLS
Vue d’ensemble
Ce que vous apprendrez
- Explication du serveur
- Installer Dovecot
- Compréhension des différents fichiers
- Personnalisation du fichier de configuration générale
- Personnaliser le fichier pour MySQL
Chapitres
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
Votre titre va ici
Dans la partie 1, nous vous avons montré comment configurer un serveur SMTP Postfix de base.
Voici la deuxième partie de la série de tutoriels sur la création de votre propre serveur de messagerie sécurisé sur Ubuntu .
Dans ce tutoriel, nous allons configurer notre serveur de messagerie de manière à pouvoir envoyer et recevoir des courriels à l’aide d’un client de messagerie de bureau comme Microsoft Outlook.
Votre titre va ici
Pour pouvoir envoyer des courriels à l’aide d’un client de messagerie de bureau, nous devons activer le service de soumission dans Postfix.
Le service de soumission est le protocole 587 pour le serveur SMTP.
Mais nous avons aussi le protocole de soumission pour le protocole 465.
Pour recevoir des courriels à l’aide d’un client de messagerie de bureau, nous pouvons installer un serveur IMAP open-source nommé Dovecot sur le serveur Ubuntu.
Et pour crypter nos communications, nous avons besoin d’un certificat TLS.
Pour installer Dovecot nous avons besoin des paquets de Debian.
Ces paquets sont composé de plusieurs modules.
- dovecot-core
- dovecot-imapd
- dovecot-lmtpd
- dovecot-managesieved
- dovecot-mysql
- dovecot-pop3d
- dovecot-sieve
- dovecot-submissiond
Docecot est composé de 3 fichiers d’origines.
- dovecot.conf
- dovecot-dict-auth.conf.ext
- dovecot-sql.conf.ext
Et vous avez 2 dossiers :
- conf.d
- private
Dovecot serveur Imap sur Ubuntu
Details
Beginner
12 hrs 43min
Mise à jour : 06/01/2024
Pré-requis
Divi Theme
Graphic Software
Dans ce dossier, vous avez 22 fichiers qui ont une fonction bien spécifique.
Les chiffres sont l’ordre de priorité.
Je vous les énumère :
- 10-auth.conf
- 10-director.conf
- 10-logging.conf
- 10-mail.conf
- 10-master.conf
- 10-ssl.conf
- 10-tcpwrapper.conf
- 15-lda.conf
- 15-mailboxes.conf
- 20-imap.conf
- 20-pop3.conf
- 90-acl.conf
- 90-plugin.conf
- 90-quota.conf
- auth-checkpassword.conf.ext
- auth-deny.conf.ext
- auth-master.conf.ext
- auth-passwdfile.conf.ext
- auth-sql.conf.ext
- auth-static.conf.ext
- auth-system.conf.ext
- auth-vpopmail.conf.ext
10-auth.conf
10-auth.conf, vous pouvez voir sans ce fichier que c’est un système d’identification de différentes façons. Je vous donne les principaux :
- Système
- sql
- ldap (annuaire)
10-director.conf
10-director.conf, paramètres spécifiques au directeur.
Director peut être utilisé par le proxy Dovecot pour conserver une correspondance temporaire entre l’utilisateur et le serveur de messagerie.
Temporaire.
10-logging.conf
Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.
10-mail.conf
10-mail.conf, Emplacement des boîtes aux lettres et espaces de noms. Emplacement des boîtes aux lettres des utilisateurs.
10-master.conf
10-master.conf, vous pouvez ouvrir les différents services et portspop, imap, lmtp, que vous voulez utiliser.
10-tcpwrapper.conf
10-tcpwrapper.conf,
c
10-ssl.conf, vous activez le certificat de votre domaine soit avec Let’s Encrypt ou autohébergé pour votre sécurité. Et les différents protocoles SSL.
15-lda.conf
15-lda.conf, Le MDA permet de distribuer les courriels, par l’Agent de Distribution Locale (LDA) du MDA.
15-mailboxes.conf
15-mailboxes.conf
20-imap.conf
20-imap.conf
20-lmtp
20-lmtp, Protocole Local de Transport des Courriels (LMTP) du MTA qui est une variante locale au serveur de messagerie du SMTP.
20-pop3.conf
20-pop3.conf
90-acl.conf
90-acl.conf
90-plugin.conf
90-plugin.conf
90-quota.conf
90-quota.conf
auth-checkpassword.conf.ext
auth-checkpassword.conf.ext
auth-deny.conf.ext
auth-deny.conf.ext
auth-dict.conf.ext
auth-dict.conf.ext
auth-master.conf.ext
auth-master.conf.ext
Auth-passwdfile.conf.ext
Auth-passwdfile.conf.ext
Auth-sql.conf.ext
Auth-sql.conf.ext
Auth-static.conf.ext
Auth-static.conf.ext
Auth-system.conf.ext
Auth-system.conf.ext
Vérifier les ports ouverts dans le pare-feu
Ubuntu n’active pas le pare-feu par défaut. Si vous avez activé le pare-feu UFW, vous devez exécuter la commande suivante pour ouvrir les ports liés au courrier électronique dans le pare-feu.
Commande
sudo ufw allow
80,443,587,465,143,993/tcp
Si vous utilisez POP3 pour récupérer des courriels (personnellement, je ne le fais pas), ouvrez également les ports 110 et 995.
Commande
sudo ufw allow 110,995/tcp
Sécuriser le trafic du serveur de messagerie avec un certificat TLS
Lorsque nous configurons nos clients de messagerie de bureau, c’est toujours une bonne idée d’activer le cryptage TLS pour empêcher les pirates d’espionner nos courriels.
Nous pouvons facilement obtenir un certificat TLS gratuit auprès de Let’s Encrypt. Exécutez les commandes suivantes pour installer le client Let’s Encrypt (certbot) sur le serveur Ubuntu à partir du dépôt de logiciels par défaut.
Commande :
sudo apt update
sudo apt dist-upgrade
sudo apt install certbot
Si vous n’avez pas encore de serveur web, je vous recommande d’en installer un (Apache), car il est plus facile d’obtenir et d’installer un certificat TLS avec un serveur web qu’en utilisant d’autres méthodes. Dans un prochain tutoriel, je vous montrerai comment configurer le webmail, qui nécessite l’utilisation d’un serveur web.
Si vous utilisez le serveur web Apache, vous devez installer le plugin Apache. (La commande suivante installera le serveur web Apache s’il n’est pas déjà installé sur votre système).
Commande
sudo apt install python3-certbot-apache
Obtentir un certificat TLS avec le serveur Web Apache
Vous devez disposer d’un hôte virtuel Apache pour mail.osnetworking.comavant d’obtenir le certificat TLS de Let’s Encrypt.
Créez le fichier de l’hôte virtuel :
Commande :
sudo nano /etc/apache2/sites-available/mail.osnetworking.com.conf
Collez ensuite le texte suivant dans le fichier.
Commande
ServerName mail.osnetworking.com
DocumentRoot /var/www/html/
Enregistrez et fermez le fichier. Activer cet hôte virtuel.
Commande
cd /etc/apache2/site-available
sudo a2ensite mail.osnetworking.com.conf
Désactivez ensuite l’hôte virtuel par défaut, car il risque d’interférer avec d’autres hôtes virtuels.
Commande
sudo a2dissite 000-default
Rechargez Apache pour que les modifications soient prises en compte.
Commande
sudo systemctl reload apache2
Une fois l’hôte virtuel créé et activé, exécutez la commande suivante pour obtenir le certificat TLS de Let’s Encrypt.
Commande
sudo certbot certonly -a apache --agree-tos --no-eff-email --staple-ocsp --email letsencrypt@osnetwking.com-d mail.osnetwking.com
J’utilise un alias comme adresse mail pour que j’aie créé avant sur le sur de Gandi.
Comprendre les
- -a apache : Utilise le plugin Apache pour l’authentification
- –agree-tos : Accepte les conditions d’utilisation.
- –no-eff-email : Ne pas recevoir d’e-mails de la fondation EFF.
- –staple-ocsp : Active l’agrafage OCSP. Une réponse OCSP valide est agrafée au certificat que le serveur propose pendant TLS.
- –email : Saisissez votre adresse électronique, qui est utilisée pour les notifications importantes et la récupération de votre compte.
- -d : domaine, c’est-à-dire le nom d’hôte de votre serveur de messagerie.
Remplacez le texte en orange par vos données réelles.
Vous devriez voir ce qui suit, ce qui signifie que le certificat a été obtenu avec succès.
Vous pouvez également voir le répertoire dans lequel votre certificat est stocké.
IMPORTANT NOTES:
- Congratulations ! Your certificate and chain have been saved at:
/etc/letsencrypt/live/mail.osnetworking.com/fullchain.pem
Your key file hase been saved at:
/etc/letsencrypt/live/mail.osnetworking.com/privkey.pem
Your cert will expire on 2024-01-06. To obtain a new or tweaked
version of this certificate in the future, simply run cerbot
To non-interactively renew *all* of your certificates, run
"cerbot renew" - Your account credentials have been saved in your Cerbot
configuration directory at /etc/letsencrypt/. You should make a
secure backup of this folder now. This configuration directory will
also contain certificates and privates keys obtained by Cerbot so
making regular backup of this folder is ideal. - If you like Cerbot, please consider supporting our work by:
Doanting to ISRG / Let’s Encrypt: https://letsencrypt.org/donate
Doanting to EFF: https://eff.org/donate
Activer le service de soumission dans Postfix
Pour envoyer des courriels à partir d’un client de messagerie de bureau, nous devons activer le service de soumission de Postfix afin que le client de messagerie puisse soumettre des courriels au serveur SMTP de Postfix. Modifiez le fichier master.cf.
Commande
sudo nano /etc/postfix/master.cf
Dans la section soumission, décommentez ou ajoutez les lignes suivantes. Veuillez prévoir au moins un espace blanc (tabulation ou barre d’espacement) avant -o.
Dans les configurations postfixes, un caractère d’espacement précédent signifie que cette ligne est la suite de la ligne précédente. (Par défaut, la section de soumission est commentée.
Vous pouvez copier les lignes suivantes et les coller dans le fichier, afin de ne pas avoir à décommenter manuellement ou à ajouter du texte).
Fichier /etc/postfix/master.cf
# Activation du port 587
submission inet n - y - - smtpd
-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_tls_wrappermode=no
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth
La configuration ci-dessus active le démon de soumission de Postfix et requiert le cryptage TLS. Ainsi, par la suite, notre client de messagerie de bureau pourra se connecter au démon de soumission avec un cryptage TLS. Le démon de soumission écoute sur le port TCP 587. STARTTLS est utilisé pour crypter les communications entre le client de messagerie et le démon de soumission.
Microsoft Outlook ne prend en charge que la soumission sur le port 465. Si vous utilisez Microsoft Outlook, vous devez également activer le service de soumission sur le port 465 en ajoutant les lignes suivantes dans le fichier.
Fichier /etc/postfix/master.cf
# ACitvation du port 465
smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/authh=private/auth
Enregistrez et fermez le fichier.
Conseil : Le protocole SMTP est utilisé lorsqu’un client de messagerie envoie des courriels à un serveur SMTP.
Ensuite, nous devons spécifier l’emplacement du certificat TLS et de la clé privée dans le fichier de configuration de Postfix. Editez le fichier main.cf.
Commande :
sudo nano /etc/postfix/main.cf
Modifiez le paramètre TLS comme suit. N’oubliez pas de remplacer mail.osnetworking.com par votre véritable nom d’hôte.
Commande :
#Enable TLS Encryption when Postfix receives incoming emails
smtpd_tls_cert_file=/etc/letsencrypt/live/mail.osnetworking.com/fullchain.pem
smtpd_tls_key_file=/etc/letsencrypt/live/mail.osnetworking.com/privkey.pem
smtpd_tls_security_level=may
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
#Enable TLS Encryption when Postfix sends outgoing emails
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
#Enforce TLSv1.3 or TLSv1.2
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1
Votre certificat Let’s Encrypt et votre clé privée sont stockés dans le répertoire /etc/letsencrypt/live/mail.osnetworking.com
Enregistrez et fermez le fichier. Redémarrez ensuite Postfix.
sudo systemctl restart postfix
Si vous exécutez la commande suivante, vous verrez que Postfix écoute maintenant sur les ports 587 et 465.
Commande :
sudo ss -lnpt | grep master
Installer le serveur IMAP Dovecot
Entrez la commande suivante pour installer le paquetage de base de Dovecot et le paquetage du démon IMAP sur le serveur Ubuntu.
Commande :
sudo apt install dovecot-core dovecot-imapd
Si vous utilisez POP3 pour récupérer les courriels, installez également le paquet dovecot-pop3d.
Commande :
sudo apt install dovecot-pop3d
Vérifier la version de Dovecot :
Commande :
dovecot --version
Support
FAQ
FAQ
FAQ
Toutes les questions que vous posez en cas d’une erreur qui apparaît dans votre article, je vous ai mis la solution ci-dessous en forme de FAQ.
Accès à tous les cours actuels et futurs à vie
Lorem ipsum dolor sit amet
Curabitur non bibendum ligula. In non pulvinar purus. Curabitur nisi odio, blandit et elit at, suscipit pharetra elit. Fusce ut mauris quam. Quisque lacinia quam eu commodo mollis. Praesent nisl massa, ultrices vitae ornare sit amet, ultricies eget orci. Sed vitae nulla et justo pellentesque congue nec eu risus. Morbi ac feugiat ante.
Donec sed finibus nisi
Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec sed finibus nisi, sed dictum eros. Quisque aliquet velit sit amet sem interdum faucibus. In feugiat aliquet mollis. Etiam tincidunt ligula ut hendrerit semper. Quisque luctus lectus non turpis bibendum posuere. Morbi tortor nibh, fringilla sed pretium sit amet, pharetra non ex. Fusce vel egestas nisl.
In non pulvinar purus curabitur nisi odio vel
Suspendisse sagittis lorem accumsan convallis pharetra. Praesent ex ante, placerat quis purus a, tempor consectetur lorem. Integer accumsan pharetra orci nec tempor. Quisque mollis vel enim a facilisis. Aliquam ornare nunc nibh, sit amet porta diam pretium in. Cras et velit faucibus, dignissim tellus at.
Sed vitae nulla et justo pellentesque congue nec
Aliquet nisl. Nulla tempor mauris sed pretium egestas. Ut mi lacus, tincidunt ac quam quis, ultricies laoreet purus. Donec tincidunt scelerisque lacus, vel convallis augue interdum ac. Etiam eget tortor ac odio aliquam lobortis quis at augue. Duis ut hendrerit tellus, elementum lacinia elit. Maecenas at consectetur ex, vitae consequat augue. Vivamus eget dolor vel quam condimentum sodales.
Quisque aliquet velit sit amet
Etiam quis blandit erat. Donec laoreet libero non metus volutpat consequat in vel metus. Sed non augue id felis pellentesque congue et vitae tellus. Donec ullamcorper libero nisl, nec blandit dolor tempus feugiat. Aenean neque felis, fringilla nec placerat eget, sollicitudin a sapien. Cras ut auctor elit.
Morbi tortor nibh fringilla
Vivamus id gravida mi, nec ullamcorper purus. Suspendisse ut nibh sagittis lacus viverra aliquam. Praesent ac lobortis mauris, non imperdiet quam. Praesent laoreet elit nisi, id feugiat ante accumsan sed. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia curae.
Apprendre la veille technologique
Prêt à commencer ?
Ici, vous avez toutes les tutoriels que j’ai créés et testés