Postfix – Partie 8 Comment héberger plusieurs domaines de messagerie dans PostfixAdmin sur Ubuntu

Connectez-vous au panneau PostfixAdmin avec le compte postmaster. (https://postfixadmin/domain.tld)

Ensuite, allez dans Liste des domaines-> nouveau domaine pour ajouter un nouveau domaine.

Notez que le nouveau domaine doit avoir un enregistrement DNS A, sinon PostfixAdmin générerait le message d’erreur suivant. Vous pouvez vérifier l’état de propagation DNS sur dnsmap.io.

Domaine invalide domain2.tld et/ou non détectable dans DNS

Ensuite, ajoutez un utilisateur sous le nouveau domaine.

Dans votre gestionnaire DNS, ajoutez l’enregistrement MX pour le nouveau domaine comme ci-dessous.

L’enregistrement A pointe vers l’adresse IP de votre serveur de messagerie.

Nom du type d’enregistrement Valeur Une      adresse IP de messagerie du serveur de messagerie

Si votre serveur utilise une adresse IPv6, assurez-vous d’ajouter un enregistrement AAAA.

Créez ensuite un enregistrement SPF pour permettre à l’hôte MX d’envoyer des e-mails pour le nouveau domaine de messagerie.

Nom du type d’enregistrement Valeur

Nous avons installé et configuré OpenDKIM pour un seul domaine dans la partie 4 de cette série de didacticiels.

Nous devons maintenant dire à OpenDKIM de signer chaque e-mail sortant pour le nouveau domaine de messagerie.

Modifiez le fichier de table de signature OpenDKIM.

Ajoutez le deuxième domaine comme ci-dessous.

Modifiez le fichier de table de clés.

Ajoutez le deuxième domaine comme ci-dessous.

Modifiez le fichier d’hôtes de confiance.

Ajoutez le deuxième domaine comme ci-dessous.

Ensuite, nous devons générer une paire de clés privée/publique pour le deuxième domaine. Créez un dossier séparé pour le deuxième domaine.

Générez des clés à l’aide opendkim-genkey de l’outil.

La commande ci-dessus créera des clés de 4096 bits. -d (domain) spécifie le domaine. -D (directory) spécifie le répertoire où les clés seront stockées et que nous utilisons default comme selector (-s).

Une fois la commande exécutée, la clé privée sera écrite dans default.private un fichier et la clé publique sera écrite dans default.txt un fichier.

Définissez-vous opendkim en tant que propriétaire de la clé privée.

Afficher la clé publique

Dans votre gestionnaire DNS, créez un enregistrement TXT pour le deuxième domaine.

Entrez default._domainkey dans le champ Nom.

Copiez tout ce qui se trouve entre parenthèses et collez-le dans le champ de valeur.

Supprimez tous les guillemets doubles.

(Vous pouvez d’abord le coller dans un éditeur de texte, supprimer tous les guillemets doubles, puis le copier dans votre gestionnaire DNS.

Votre gestionnaire DNS peut vous demander de supprimer d’autres caractères non valides, tels que le retour chariot.)

Après avoir enregistré vos modifications. Vérifiez l’enregistrement TXT avec cette commande.

Vous pouvez maintenant exécuter la commande suivante pour tester si votre enregistrement DNS DKIM est correct.

Si tout va bien, vous verrez

Si vous voyez « Clé non sécurisée », ne paniquez pas.

En effet, DNSSEC n’est pas activé sur votre nom de domaine. DNSSEC est une norme de sécurité pour les requêtes DNS sécurisées.

La plupart des noms de domaine n’ont pas activé DNSSEC.

Vous pouvez continuer à suivre ce guide.

Redémarrez OpenDKIM pour qu’il commence à signer les e-mails pour le deuxième domaine.

Pour créer un enregistrement DMARC, accédez à votre gestionnaire DNS et ajoutez un enregistrement TXT .

Dans le champ Nom, saisissez _dmarc.

Dans le champ de valeur, saisissez ce qui suit. Notez que vous devez créer l’ dmarc-reports@domain2.tld adresse e-mail.

L’enregistrement DMARC ci-dessus est un point de départ sûr.

Pour voir l’explication complète de DMARC, veuillez consulter l’article suivant :

Partie 5 : enregistrement dmarc proteger nom domaine

Je suppose que vous avez installé le webmail Roundcube pour le premier domaine de messagerie.

Il est logique de permettre aux utilisateurs du premier domaine d’utiliser mail.domain.tld et aux utilisateurs du deuxième domaine mail.domain2.tld d’utiliser la messagerie Web RoundCube. Je vais vous montrer comment le faire avec Apache.

Si Roundcube est servi par le serveur Web Apache, créez un hôte virtuel pour le deuxième domaine.

Enregistrez et fermez le fichier. Activez ensuite cet hôte virtuel avec :

Rechargez Apache pour que les modifications prennent effet.

Utilisez maintenant Certbot pour obtenir un certificat TLS pour tous vos domaines de messagerie.
Vous disposerez ainsi d’un seul certificat TLS avec plusieurs noms de domaine et les clients de messagerie ne lanceront pas d’avertissements de sécurité.
Apache

Notez que dans la commande ci-dessus, nous avons spécifié le nom du certificat en utilisant le premier domaine de messagerie, qui sera utilisé dans le chemin du fichier, vous n’avez donc pas besoin de modifier le chemin du fichier dans le fichier de configuration Postfix ou Dovecot.

Lorsqu’il vous demande si vous souhaitez mettre à jour le certificat existant pour inclure le nouveau domaine, répondez U et appuyez sur Entrée.

Vous devriez maintenant voir le message suivant, qui indique que le certificat multi-domaine a été obtenu avec succès.

Exécutez la commande suivante pour accorder l’autorisation de lire les certificats Let’s Encrypt TLS.

Rechargez Apache pour récupérer le nouveau certificat.

Vous devriez maintenant pouvoir utiliser différents domaines pour accéder à la messagerie Web RoundCube.

Vous devez également recharger le serveur SMTP Postfix et le serveur IMAP Dovecot afin de leur permettre de récupérer le nouveau certificat.

C’est tout ce que vous devez faire pour que Postfix et Dovecot servent plusieurs domaines.

Lancez votre client de messagerie de bureau tel que Mozilla Thunderbird et ajoutez un compte de messagerie du deuxième domaine.

• Dans la section du serveur entrant, sélectionnez le protocole IMAP, entrez mail.domain2.tld comme nom de serveur, choisissez le port 143 et STARTTLS. Choisissez normal password comme méthode d’authentification.
• Dans la section sortante, sélectionnez le protocole SMTP, entrez mail.domain2.tld comme nom de serveur, choisissez le port 587 et STARTTLS. Choisissez normal password comme méthode d’authentification.

Vous ne devez pas utiliser le port 25 comme port SMTP pour soumettre les e-mails sortants.

Bien que le serveur SMTP Postfix et le serveur IMAP Dovecot utilisent le nom d’hôte du premier domaine de messagerie (mail.domain1.com) lors de la communication avec d’autres, ils utilisent désormais un certificat multi-domaine, de sorte que le client de messagerie n’affichera pas d’avertissements de certificat.

Vous pouvez désormais utiliser votre client de messagerie de bureau ou votre client de messagerie Web pour envoyer un e-mail test check-auth@verifier.port25.com et obtenir un rapport d’authentification d’e-mail gratuit.

Voici le rapport que j’ai reçu de port25.com

N’oubliez pas de tester votre score de courrier électronique sur https://www.mail-tester.com et de tester également le placement des e-mails avec GlockApps.

Si la vérification DKIM échoue, vous pouvez accéder à https://www.dmarcanalyzer.com/dkim/dkim-check/ pour voir s’il y a des erreurs avec votre enregistrement DKIM.

Le DNS inversé (rDNS), également appelé enregistrement PTR, est utilisé pour vérifier si l’adresse IP de l’expéditeur correspond au nom d’hôte HELO.

Vous n’avez pas besoin d’ajouter un autre enregistrement PTR lors de l’ajout d’un nouveau domaine de messagerie.

Votre rDNS doit être défini sur un seul nom d’hôte, c’est-à-dire le nom d’hôte défini dans Postfix, qui peut être affiché avec la commande suivante.

rDNS est un enregistrement pour les adresses IP.

Ce n’est pas un enregistrement pour un nom de domaine.

Si vous n’avez qu’une seule adresse IP, vous n’avez besoin que d’un seul enregistrement rDNS pointant vers un seul nom d’hôte.

La vérification DNS inversée ne vérifie pas quel From: domaine se trouve dans votre courrier électronique, tant que votre adresse IP a un enregistrement rDNS et que le nom d’hôte peut revenir à la même adresse IP, vous pouvez réussir la vérification DNS inversée.

De plus, vous n’avez pas besoin de modifier les paramètres suivants dans Postfix lorsque vous hébergez plusieurs domaines sur un seul serveur.

• myhostname
• myorigin
• mydestination

Les services de messagerie hébergés comme G Suite et Microsoft Exchange Online utilisent tous un seul nom d’hôte pour un serveur afin d’envoyer un e-mail à leurs clients.

Les e-mails envoyés par les utilisateurs de G Suite sont tous utilisés google.com dans le nom d’hôte et les e-mails envoyés par les utilisateurs de Microsoft Exchange Online sont tous utilisés outlook.com dans le nom d’hôte.

Cela est également vrai pour d’autres fournisseurs de services de messagerie comme Mailchimp, etc.

Ils utilisent tous un nom d’hôte pour un seul serveur et une adresse IP n’a qu’un seul enregistrement rDNS.

Si vous gérez des serveurs de messagerie pour de nombreux clients, vous ne souhaiterez peut-être pas regrouper tous les certificats TLS dans un seul fichier, car il contient les informations de vos clients.

Au lieu d’utiliser la commande suivante pour obtenir un certificat multi-domaine,

Vous pouvez simplement utiliser la commande suivante pour obtenir un certificat TLS distinct pour le deuxième domaine de messagerie.

Ensuite, vous devez configurer Postfix et Dovecot.

Si vous utilisez Postfix version 3.4 ou supérieure, vous pouvez utiliser plusieurs certificats TLS. Modifiez le main.cf fichier.

Ajoutez la ligne suivante à la fin de ce fichier pour activer plusieurs certificats TLS.

Enregistrez et fermez le fichier. Créez ensuite le fichier sni_maps.

Dans ce fichier, ajoutez chaque nom d’hôte de messagerie et son fichier de certificat.

Enregistrez et fermez le fichier.
Ensuite, créez la table de recherche.

Redémarrez Postfix.

Vous devez utiliser l’ option -F dans postmap pour décoder en base64 chaque valeur dans la carte SNI, sinon Postfix générera l’erreur de valeur BASE64 mal formée dans le /var/log/mail.log fichier.

La commande suivante est fausse.

Si vous utilisez plusieurs certificats TLS dans Postfix, vous devez également l’activer dans Dovecot.
Modifiez le fichier Dovecot 10-ssl.conf.

Vous pouvez retrouver les lignes suivantes.

Ajoutez ensuite les lignes suivantes.

Enregistrez et fermez le fichier.
Redémarrez ensuite Dovecot.

Exécutez la commande suivante pour accorder l’autorisation de lire les certificats Let’s Encrypt TLS.

Si vous utilisez la carte SNI dans Postfix, vous devez exécuter la sudo postmap -F /etc/postfix/sni_maps commande après le renouvellement du certificat TLS.

Si vous ne le faites pas, les clients de messagerie pourraient se plaindre de l’expiration de votre certificat TLS.

Vous pouvez ajouter cette commande au fichier Crontab, elle sera donc automatisée.

Utilisateur du serveur Web Apache :