Apportez votre aide…
Ceci est une ancienne révision du document !
Comment installer un relais mail sécurisé ?
Introduction
L'utilisation nomade de l'email (sous entendu IMAP et SMTP) est devenue une pratique courante. Les utilisateurs souhaitent accéder à tout leurs dossiers et veulent envoyer et recevoir des emails où qu'ils soient.
Ce concept de plus en plus désiré (il suffit de voir les système BlackBerry, Palm,…) pose un problème relativement délicat à gérer pour l'administrateur du serveur email.
Dans une utilisation normale (c'est-à-dire les utilisateurs sont dans les murs sur le même réseau que le serveur email), la sécurisation du serveur est simple; on limite les relais SMTP au seuls réseaux connus. C'est la politique employée par les fournisseurs d'accès Internet.
Lorsque les utilisateurs se connectent sur n'importe quel réseau en dehors des murs de la société (WiFi, UMTS, hôtel,…), il faut assurer un minimum de sécurité.
Dans ce document, je vous présenterai comment mettre en place un relais IMAP et SMTP avec authentification et sécurisation SSL. En fin de document, je mentionnerai la configuration client à utiliser dans le cadre d'un usage avec Thunderbird installé sur un portable et la configuration d'un Palm avec SnapperMail.
Remarque : il existe un moyen simple pour un utilisateur distant d'accéder à toutes les ressources d'un réseau d'entreprise, le tunneling. Je suis assez contre cette solution si c'est pour ouvrir uniquement un accès mail car, premièrement, une connexion sous tunnel avec un client Microsoft Windows va envoyer une quantité inconsidérée de paquet pour les accès aux disques réseaux. Et deuxièmement, les accès avec des systèmes GSM, BlackBerry, Palm ou autres sont plus difficiles à mettre en oeuvre avec un tunnel.
Pré-requis
En rédigeant cette documentation, je pars des principes suivants :
- Vous avez une machine fonctionnelle et à jour sous Dapper.
- Vous avez accès à un serveur IMAP ou POP3.
- Vous avez accès à un serveur SMTP.
Remarque : ces serveurs peuvent être ceux de votre fournisseurs d'accès Internet.
Installation et configuration de base
Création des certificats SSL
Installation et configuration de Perdition
Pour le relais de courrier au niveau IMAP et du POP3, j'utilise perdition. Perdition sert de relais pour les connexions sécurisées vers un serveur qui, à priori, ne l'est pas.
Pour installer perdition :
sudo apt-get install perdition
IMAPS
Voici les quelques configurations que j'ai utilisé pour effectuer le relais sécurisé IMAP. C'est-à-dire que j'ai un serveur IMAP en interne (simple, non sécurisé, les utilisateurs s'identifient avec login/mot de passe) et de l'extérieur, j'ai un serveur IMAPS (sécurisé en SSL, les utilisateurs s'identifient avec le même login/mot de passe).
Pour la configuration, je crée un fichier /etc/perdition/perdition.imap4s.conf
avec les informations suivantes :
outgoing_server 192.168.0.5 outgoing_port 143 log_facility local5 no_lookup timeout 40 imap_capability "IMAP4rev1 UIDPLUS CHILDREN NAMESPACE THREAD=ORDEREDSUBJECT THREAD=REFERENCES SORT QUOTA IDLE STARTTLS" listen_port 993 ssl_mode ssl_listen ssl_cert_file /etc/ssl/server.crt ssl_key_file /etc/ssl/server.key
Mon serveur IMAP en interne est accédé à l'adresse 192.168.0.5
et sur le port 143
.
POP3S
Voici la configuration utilisée pour effectuer le relais vers un serveur POP3.
Pour la configuration, je crée un fichier /etc/perdition/perdition.imap4s.conf
avec les informations suivantes :
outgoing_server 192.168.0.4 outgoing_port 110 log_facility local5 no_lookup timeout 40 ssl_mode ssl_listen ssl_cert_file /etc/ssl/server.crt ssl_key_file /etc/ssl/server.key
Mon serveur POP3 en interne est accédé à l'adresse 192.168.0.4
et sur le port 110
.
Installation et configuration de Postfix avec SASL
Gestion des utilisateurs
Configuration des clients
Thunderbird sur Windows/Linux
SnapperMail sur Palm
Liens
Contributeur : ostaquet