fbpx

Postfix – le serveur IMAP Dovecot sur Ubuntu et activer le cryptage TLS – partie 2

Débutant – Dovecote et activer le crytage TLS

lms 15 3

Vue d’ensemble

Curabitur non bibendum ligula. In non pulvinar purus. Curabitur nisi odio, blandit et elit at, suscipit pharetra elit. Fusce ut mauris quam. Quisque lacinia quam eu commodo mollis. Praesent nisl massa, ultrices vitae ornare sit amet, ultricies eget orci. Sed vitae nulla et justo pellentesque congue nec eu risus. Morbi ac feugiat ante.

Ce que vous apprendrez

  • Explication du serveur
  • Installer Dovecot
  • Compréhension des différents fichiers
  • Personnalisation du fichier de configuration générale
  • Personnaliser le fichier pour MySQL

Chapitres

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

Votre titre va ici

Dans la partie 1, nous vous avons montré comment configurer un serveur SMTP Postfix de base.

Voici la deuxième partie de la série de tutoriels sur la création de votre propre serveur de messagerie sécurisé sur Ubuntu .

Dans ce tutoriel, nous allons configurer notre serveur de messagerie de manière à pouvoir envoyer et recevoir des courriels à l’aide d’un client de messagerie de bureau comme Microsoft Outlook.

Votre titre va ici

Pour pouvoir envoyer des courriels à l’aide d’un client de messagerie de bureau, nous devons activer le service de soumission dans Postfix.

Le service de soumission est le protocole 587 pour le serveur SMTP.

Mais nous avons aussi le protocole de soumission pour le protocole 465.

Pour recevoir des courriels à l’aide d’un client de messagerie de bureau, nous pouvons installer un serveur IMAP open-source nommé Dovecot sur le serveur Ubuntu.

Et pour crypter nos communications, nous avons besoin d’un certificat TLS.

Pour installer Dovecot nous avons besoin des paquets de Debian.

Ces paquets sont composé de plusieurs modules.

  1.  dovecot-core
  2. dovecot-imapd
  3. dovecot-lmtpd
  4. dovecot-managesieved
  5. dovecot-mysql
  6. dovecot-pop3d
  7. dovecot-sieve
  8. dovecot-submissiond

Docecot est composé de 3 fichiers d’origines.

  • dovecot.conf
  • dovecot-dict-auth.conf.ext
  • dovecot-sql.conf.ext

Et vous avez 2 dossiers :

  • conf.d
  • private
Dovecot serveur Imap sur Ubuntu
Etiam quis blandit erat. Donec laoreet libero non metus volutpat consequat in vel metus. Sed non augue id felis pellentesque congue et vitae tellus. Donec ullamcorper libero nisl, nec blandit dolor tempus feugiat.
Details

Beginner

12 hrs 43min

Mise à jour : 06/01/2024

Pré-requis
Divi Theme
Graphic Software

Dans ce dossier, vous avez 22 fichiers qui ont une fonction bien spécifique.

Les chiffres sont l’ordre de priorité.

Je vous les énumère  :

  • 10-auth.conf
  • 10-director.conf
  • 10-logging.conf
  • 10-mail.conf
  • 10-master.conf
  • 10-ssl.conf
  • 10-tcpwrapper.conf
  • 15-lda.conf
  • 15-mailboxes.conf
  • 20-imap.conf
  • 20-pop3.conf
  • 90-acl.conf
  • 90-plugin.conf
  • 90-quota.conf
  • auth-checkpassword.conf.ext
  • auth-deny.conf.ext
  • auth-master.conf.ext
  • auth-passwdfile.conf.ext
  • auth-sql.conf.ext
  • auth-static.conf.ext
  • auth-system.conf.ext
  • auth-vpopmail.conf.ext

10-auth.conf

10-auth.conf, vous pouvez voir sans ce fichier que c’est un système d’identification de différentes façons. Je vous donne les principaux :

  • Système
  • sql
  • ldap (annuaire)

10-director.conf

10-director.conf, paramètres spécifiques au directeur.

Director peut être utilisé par le proxy Dovecot pour conserver une correspondance temporaire entre l’utilisateur et le serveur de messagerie.
Temporaire.

 

 

10-logging.conf

Your content goes here. Edit or remove this text inline or in the module Content settings. You can also style every aspect of this content in the module Design settings and even apply custom CSS to this text in the module Advanced settings.

10-mail.conf

10-mail.conf, Emplacement des boîtes aux lettres et espaces de noms. Emplacement des boîtes aux lettres des utilisateurs.

10-master.conf

10-master.conf, vous pouvez ouvrir les différents services et portspop, imap, lmtp, que vous voulez utiliser.

10-tcpwrapper.conf

10-tcpwrapper.conf,

c

10-ssl.conf, vous activez le certificat de votre domaine soit avec Let’s Encrypt ou autohébergé pour votre sécurité. Et les différents protocoles SSL.

15-lda.conf

15-lda.conf, Le MDA permet de distribuer les courriels, par l’Agent de Distribution Locale (LDA) du MDA.

15-mailboxes.conf

15-mailboxes.conf

20-imap.conf

20-imap.conf

20-lmtp

20-lmtp, Protocole Local de Transport des Courriels (LMTP) du MTA qui est une variante locale au serveur de messagerie du SMTP.

20-pop3.conf

20-pop3.conf

90-acl.conf

90-acl.conf

90-plugin.conf

90-plugin.conf

90-quota.conf

90-quota.conf

auth-checkpassword.conf.ext

auth-checkpassword.conf.ext

auth-deny.conf.ext

auth-deny.conf.ext

auth-dict.conf.ext

auth-dict.conf.ext

auth-master.conf.ext

auth-master.conf.ext

Auth-passwdfile.conf.ext

Auth-passwdfile.conf.ext

Auth-sql.conf.ext

Auth-sql.conf.ext

Auth-static.conf.ext

Auth-static.conf.ext

Auth-system.conf.ext

Auth-system.conf.ext

Vérifier les ports ouverts dans le pare-feu

Ubuntu n’active pas le pare-feu par défaut. Si vous avez activé le pare-feu UFW, vous devez exécuter la commande suivante pour ouvrir les ports liés au courrier électronique dans le pare-feu.

Commande

sudo ufw allow

80,443,587,465,143,993/tcp

Si vous utilisez POP3 pour récupérer des courriels (personnellement, je ne le fais pas), ouvrez également les ports 110 et 995.

Commande

sudo ufw allow 110,995/tcp

Sécuriser le trafic du serveur de messagerie avec un certificat TLS

Lorsque nous configurons nos clients de messagerie de bureau, c’est toujours une bonne idée d’activer le cryptage TLS pour empêcher les pirates d’espionner nos courriels.

Nous pouvons facilement obtenir un certificat TLS gratuit auprès de Let’s Encrypt. Exécutez les commandes suivantes pour installer le client Let’s Encrypt (certbot) sur le serveur Ubuntu à partir du dépôt de logiciels par défaut.

Commande :

sudo apt update

sudo apt dist-upgrade

sudo apt install certbot

Si vous n’avez pas encore de serveur web, je vous recommande d’en installer un (Apache), car il est plus facile d’obtenir et d’installer un certificat TLS avec un serveur web qu’en utilisant d’autres méthodes. Dans un prochain tutoriel, je vous montrerai comment configurer le webmail, qui nécessite l’utilisation d’un serveur web.

Si vous utilisez le serveur web Apache, vous devez installer le plugin Apache. (La commande suivante installera le serveur web Apache s’il n’est pas déjà installé sur votre système).

Commande

sudo apt install python3-certbot-apache

Obtentir un certificat TLS avec le serveur Web Apache

Vous devez disposer d’un hôte virtuel Apache pour mail.osnetworking.comavant d’obtenir le certificat TLS de Let’s Encrypt.

Créez le fichier de l’hôte virtuel :

Commande :

sudo nano /etc/apache2/sites-available/mail.osnetworking.com.conf

Collez ensuite le texte suivant dans le fichier.

Commande

ServerName mail.osnetworking.com

DocumentRoot /var/www/html/

Enregistrez et fermez le fichier. Activer cet hôte virtuel.

Commande

cd /etc/apache2/site-available

sudo a2ensite mail.osnetworking.com.conf

Désactivez ensuite l’hôte virtuel par défaut, car il risque d’interférer avec d’autres hôtes virtuels.

Commande

sudo a2dissite 000-default

Rechargez Apache pour que les modifications soient prises en compte.

Commande

sudo systemctl reload apache2

Une fois l’hôte virtuel créé et activé, exécutez la commande suivante pour obtenir le certificat TLS de Let’s Encrypt.

Commande

sudo certbot certonly -a apache --agree-tos --no-eff-email --staple-ocsp --email letsencrypt@osnetwking.com-d mail.osnetwking.com

J’utilise un alias comme adresse mail pour que j’aie créé avant sur le sur de Gandi.

Comprendre les

  • -a apache : Utilise le plugin Apache pour l’authentification
  • –agree-tos : Accepte les conditions d’utilisation.
  • –no-eff-email : Ne pas recevoir d’e-mails de la fondation EFF.
  • –staple-ocsp : Active l’agrafage OCSP. Une réponse OCSP valide est agrafée au certificat que le serveur propose pendant TLS.
  • –email : Saisissez votre adresse électronique, qui est utilisée pour les notifications importantes et la récupération de votre compte.
  • -d : domaine, c’est-à-dire le nom d’hôte de votre serveur de messagerie.

Remplacez le texte en orange par vos données réelles.

Vous devriez voir ce qui suit, ce qui signifie que le certificat a été obtenu avec succès.

Vous pouvez également voir le répertoire dans lequel votre certificat est stocké.

IMPORTANT NOTES:
  • Congratulations ! Your certificate and chain have been saved at:
    /etc/letsencrypt/live/mail.osnetworking.com/fullchain.pem
    Your key file hase been saved at:
    /etc/letsencrypt/live/mail.osnetworking.com/privkey.pem
    Your cert will expire on 2024-01-06. To obtain a new or tweaked
    version of this certificate in the future, simply run cerbot
    To non-interactively renew *all* of your certificates, run
    "cerbot renew"
  • Your account credentials have been saved in your Cerbot
    configuration directory at /etc/letsencrypt/. You should make a
    secure backup of this folder now. This configuration directory will
    also contain certificates and privates keys obtained by Cerbot so
    making regular backup of this folder is ideal.
  • If you like Cerbot, please consider supporting our work by:

Doanting to ISRG / Let’s Encrypt: https://letsencrypt.org/donate

Doanting to EFF: https://eff.org/donate

Activer le service de soumission dans Postfix

Pour envoyer des courriels à partir d’un client de messagerie de bureau, nous devons activer le service de soumission de Postfix afin que le client de messagerie puisse soumettre des courriels au serveur SMTP de Postfix. Modifiez le fichier master.cf.

Commande

sudo nano /etc/postfix/master.cf

Dans la section soumission, décommentez ou ajoutez les lignes suivantes. Veuillez prévoir au moins un espace blanc (tabulation ou barre d’espacement) avant -o.

Dans les configurations postfixes, un caractère d’espacement précédent signifie que cette ligne est la suite de la ligne précédente. (Par défaut, la section de soumission est commentée.

Vous pouvez copier les lignes suivantes et les coller dans le fichier, afin de ne pas avoir à décommenter manuellement ou à ajouter du texte).

Fichier /etc/postfix/master.cf

# Activation du port 587

submission inet n - y - - smtpd

-o syslog_name=postfix/submission
-o smtpd_tls_security_level=encrypt
-o smtpd_tls_wrappermode=no
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/auth

La configuration ci-dessus active le démon de soumission de Postfix et requiert le cryptage TLS. Ainsi, par la suite, notre client de messagerie de bureau pourra se connecter au démon de soumission avec un cryptage TLS. Le démon de soumission écoute sur le port TCP 587. STARTTLS est utilisé pour crypter les communications entre le client de messagerie et le démon de soumission.

Microsoft Outlook ne prend en charge que la soumission sur le port 465. Si vous utilisez Microsoft Outlook, vous devez également activer le service de soumission sur le port 465 en ajoutant les lignes suivantes dans le fichier.

Fichier /etc/postfix/master.cf

# ACitvation du port 465

smtps inet n - y - - smtpd
-o syslog_name=postfix/smtps
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_relay_restrictions=permit_sasl_authenticated,reject
-o smtpd_recipient_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o smtpd_sasl_type=dovecot
-o smtpd_sasl_path=private/authh=private/auth

Enregistrez et fermez le fichier.

Conseil : Le protocole SMTP est utilisé lorsqu’un client de messagerie envoie des courriels à un serveur SMTP.

Ensuite, nous devons spécifier l’emplacement du certificat TLS et de la clé privée dans le fichier de configuration de Postfix. Editez le fichier main.cf.

Commande :

sudo nano /etc/postfix/main.cf

Modifiez le paramètre TLS comme suit. N’oubliez pas de remplacer mail.osnetworking.com par votre véritable nom d’hôte.

Commande :

#Enable TLS Encryption when Postfix receives incoming emails

smtpd_tls_cert_file=/etc/letsencrypt/live/mail.osnetworking.com/fullchain.pem

smtpd_tls_key_file=/etc/letsencrypt/live/mail.osnetworking.com/privkey.pem

smtpd_tls_security_level=may

smtpd_tls_loglevel = 1

smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache

#Enable TLS Encryption when Postfix sends outgoing emails

smtp_tls_security_level = may

smtp_tls_loglevel = 1

smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

#Enforce TLSv1.3 or TLSv1.2

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

smtpd_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

smtp_tls_mandatory_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

smtp_tls_protocols = !SSLv2, !SSLv3, !TLSv1, !TLSv1.1

Votre certificat Let’s Encrypt et votre clé privée sont stockés dans le répertoire /etc/letsencrypt/live/mail.osnetworking.com

Enregistrez et fermez le fichier. Redémarrez ensuite Postfix.

sudo systemctl restart postfix

Si vous exécutez la commande suivante, vous verrez que Postfix écoute maintenant sur les ports 587 et 465.

Commande :

sudo ss -lnpt | grep master

Installer le serveur IMAP Dovecot

Entrez la commande suivante pour installer le paquetage de base de Dovecot et le paquetage du démon IMAP sur le serveur Ubuntu.

Commande :

sudo apt install dovecot-core dovecot-imapd

Si vous utilisez POP3 pour récupérer les courriels, installez également le paquet dovecot-pop3d.

Commande :

sudo apt install dovecot-pop3d

Vérifier la version de Dovecot :

Commande :

dovecot --version

Support

FAQ

FAQ

FAQ

Toutes les questions que vous posez en cas d’une erreur qui apparaît dans votre article, je vous ai mis la solution ci-dessous en forme de FAQ.

Accès à tous les cours actuels et futurs à vie

Lorem ipsum dolor sit amet

Curabitur non bibendum ligula. In non pulvinar purus. Curabitur nisi odio, blandit et elit at, suscipit pharetra elit. Fusce ut mauris quam. Quisque lacinia quam eu commodo mollis. Praesent nisl massa, ultrices vitae ornare sit amet, ultricies eget orci. Sed vitae nulla et justo pellentesque congue nec eu risus. Morbi ac feugiat ante.

Donec sed finibus nisi

Lorem ipsum dolor sit amet, consectetur adipiscing elit. Donec sed finibus nisi, sed dictum eros. Quisque aliquet velit sit amet sem interdum faucibus. In feugiat aliquet mollis. Etiam tincidunt ligula ut hendrerit semper. Quisque luctus lectus non turpis bibendum posuere. Morbi tortor nibh, fringilla sed pretium sit amet, pharetra non ex. Fusce vel egestas nisl.

In non pulvinar purus curabitur nisi odio vel

Suspendisse sagittis lorem accumsan convallis pharetra. Praesent ex ante, placerat quis purus a, tempor consectetur lorem. Integer accumsan pharetra orci nec tempor. Quisque mollis vel enim a facilisis. Aliquam ornare nunc nibh, sit amet porta diam pretium in. Cras et velit faucibus, dignissim tellus at.

Sed vitae nulla et justo pellentesque congue nec

Aliquet nisl. Nulla tempor mauris sed pretium egestas. Ut mi lacus, tincidunt ac quam quis, ultricies laoreet purus. Donec tincidunt scelerisque lacus, vel convallis augue interdum ac. Etiam eget tortor ac odio aliquam lobortis quis at augue. Duis ut hendrerit tellus, elementum lacinia elit. Maecenas at consectetur ex, vitae consequat augue. Vivamus eget dolor vel quam condimentum sodales.

Quisque aliquet velit sit amet

Etiam quis blandit erat. Donec laoreet libero non metus volutpat consequat in vel metus. Sed non augue id felis pellentesque congue et vitae tellus. Donec ullamcorper libero nisl, nec blandit dolor tempus feugiat. Aenean neque felis, fringilla nec placerat eget, sollicitudin a sapien. Cras ut auctor elit.

Morbi tortor nibh fringilla

Vivamus id gravida mi, nec ullamcorper purus. Suspendisse ut nibh sagittis lacus viverra aliquam. Praesent ac lobortis mauris, non imperdiet quam. Praesent laoreet elit nisi, id feugiat ante accumsan sed. Vestibulum ante ipsum primis in faucibus orci luctus et ultrices posuere cubilia curae.

Apprendre la veille technologique

Prêt à commencer ?

Ici, vous avez toutes les tutoriels que j’ai créés et testés

bf 20 tb 11 3
Team          Case Studies          Publications