Installation d'une solution mail complète : Postfix, Dovecot, MySQL, Postfixadmin

Cette page propose un pas-à-pas pour mettre en place rapidement un serveur de messagerie en faisant appel à l'ensemble:

• Postfix qui servira de MTA
• Dovecot qui servira de serveur IMAP et/ou POP3
• MySql pour enregistrer les comptes mails virtuels
• Postfixadmin pour gérer les domaines et comptes mails.

• Une solution LAMP fonctionnelle.
  
• Un certificat SSL (auto-signé ou autre) valide.

sudo apt-get install ssl-cert
sudo make-ssl-cert generate-default-snakeoil --force-overwrite

1. Installez la première série de paquets utiles à savoir:
   • bsd-mailx,dovecot-core,dovecot-imapd,dovecot-pop3d,postfix pour la partie MTA, IMAP, POP3
   • amavisd-new,clamav,clamav-daemon,spamassassin pour Antivirus et AntiSpam
   • php5-imap pour la gestion par postfixadmin.
     Par exemple avec l'outil apt-get, saisissez dans un terminal:

     sudo apt-get install bsd-mailx dovecot-core dovecot-imapd dovecot-pop3d postfix
     sudo apt-get install amavisd-new clamav clamav-daemon spamassassin
     sudo apt-get install php5-imap

     La première ligne permet d'utiliser apt-get ou aptitude au choix. Mais vous auriez pût passer par Tasksel et de là installer directement l'ensemble mail-server^.

2. Relancez le service apache
   

   sudo service apache2 restart

3. Installez la seconde série de paquets utiles à savoir :
   • libnet-dns-perl,pyzor,razor pour requêtes DNS et AntiSpam
   • arj,bzip2,cabextract,cpio,file,gzip,nomarch,pax,unzip,zip pour décompresser des archives directement dans roundcube
     

     sudo apt-get install libnet-dns-perl pyzor razor
     sudo apt-get install arj bzip2 cabextract cpio file gzip nomarch pax unzip zip

sudo mysql -u root -p

Créez la base de données (ici postfixadmin) et l'utilisateur (ici postfixadmin)

create database postfixadmin;
grant all on postfixadmin.* to 'mail'@'localhost' identified by 'mot_de_passe_administrateur_mail';

Plus d'informations sur la page MySQL

Postfixadmin permet de gérer graphiquement les domaines et les boites e-mail rattachées. Il permet de créer des administrateurs par domaine qui peuvent eux-mêmes créer des boites ainsi que des alias. Le tout se pilotant au travers d'un navigateur web.

Un paquet tout prêt est disponible et évite plusieurs étapes de configuration/mise en place. Il s'agit donc de

1. le télécharger à cette adresse
2. l'installer.

Ceci se résume dans un terminal par:

wget http://downloads.sourceforge.net/project/postfixadmin/postfixadmin/postfixadmin-2.3.5/postfixadmin_2.3.5-1_all.deb
sudo dpkg -i postfixadmin_2.3.5-1_all.deb

Ouvrez avec les droits d'administration le fichier /etc/postfixadmin/config.inc.php, pour modifier/vérifier les variables comme suit :

$CONF['configured'] = true;
$CONF['postfix_admin_url'] = '/postfixadmin'; # à laisser tel quel pour le multi-domaine
$CONF['admin_email'] = 'me@example.com'; # l'adresse mail de l'administrateur général
$CONF['smtp_server'] = 'localhost';
$CONF['smtp_port'] = '25';
$CONF['encrypt'] = 'md5crypt';
$CONF['domain_path'] = 'YES';
$CONF['domain_in_mailbox'] = 'NO';

Ouvrez avec les droits d'administration le fichier /etc/postfixadmin/dbconfig.inc.php pour insérer les accès MySQL précédemment créés.

$dbuser='postfixadmin';
$dbpass='mot_de_passe_administrateur_mail';
$basepath='';
$dbname='postfixadmin';
$dbserver=''; # utilisera la valeur par défaut : localhost
$dbport=''; # utilisera le port MySQL par défaut
$dbtype='mysql';

Lancez la configuration en saisissant dans votre navigateur l'adresse : http://localhost/postfixadmin/setup.php
Créez un administrateur Postfixadmin. Il est fortement conseillé de bien le différencier de l'administrateur mail quant à son ensemble nom/mot de passe.

Ouvrez avec les droits d'administration le fichier /etc/postfixadmin/config.inc.php et modifier la variable :

$CONF['setup_password'] = '… votre mot de passe hashé …';

Il faut ensuite protéger cette page (vous pourrez créer d'autres administrateurs via l'interface de postfixadmin).
Ouvrez avec les droits d'administration le fichier /etc/apache2/conf.d/postfixadmin, et ajouter :

<Files "setup.php">
deny from all
</Files>

Se rendre sur la page http://localhost/postfixadmin, et créer le premier domaine. Ajouter une boite mail à ce domaine.
À ce stade, Postfixadmin est opérationnel.

Ici les utilisateurs sont virtuels, et donc indépendant de la création/gestion classique Unix. Un seul utilisateur (Unix) aura les droits sur ce dossiers et permettra de gérer les liaisons entre Dovecot et Postfix.
Pour l'exemple, l'utilisateur sera vmail et le groupe mail. Le répertoire dédié sera dans /home/vmail (ces valeurs sont à votre convenance).

• Création du groupe mail puis de l'utilisateur vmail associé à ce groupe

  sudo groupadd mail
  sudo useradd -r -u 150 -g mail -d /home/vmail -s /sbin/nologin -c "Propriétaire des répertoires e-mail virtuel" vmail

• Création du répertoire dédié et les droits associés

  sudo mkdir /home/vmail
  sudo chmod 770 /home/vmail

• Désignation du propriétaire:groupe du dossier

  sudo chown vmail:mail /home/vmail

Dovecot gère les connexions POP3 et IMAP, permet de gérer les mails locaux et récupère les courriers en provenance de Postfix.
Il gère également l'authentification SMTP.

Vous allez attaquer la partie la plus "fatiguante" .

Éditez ou créez avec les droits d'administration le fichier /etc/dovecot/conf.d/auth-sql.conf.ext avec le contenu suivant :

# Look up user passwords from a SQL database as
# defined in /etc/dovecot/dovecot-sql.conf.ext
passdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}
# Look up user information from a SQL database as
# defined in /etc/dovecot/dovecot-sql.conf.ext
userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
}

Vérifiez avant tout l'UID et le GUID :

grep vmail /etc/passwd

devrait répondre quelque chose comme

vmail:x:150:1001:Virtual maildir handler:/home/vmail:/sbin/nologin

Notez bien ces informations avant d' éditer avec les droits d'administration le fichier /etc/dovecot/dovecot-sql.conf.ext que vous modifierez comme suit :

• Type de base de données:

  # Database driver: mysql, pgsql, sqlite
  driver = mysql

• Ici remplacez mot_de_passe_postfixadmin par celui entrée à la section 1.2

  # Examples:
  #   connect = host=192.168.1.1 dbname=users
  #   connect = host=sql.example.com dbname=virtual user=virtual password=blarg
  #   connect = /etc/dovecot/authdb.sqlite
  #
  connect = host=localhost dbname=postfixadmin user=postfixadmin password=mot_de_passe_postfixadmin

• Type d'authentification

  # Default password scheme.
  #
  # List of supported schemes is in
  # http://wiki2.dovecot.org/Authentication/PasswordSchemes
  #
  default_pass_scheme = MD5-CRYPT

• Requète de mot de passe (adaptez avec les informations obtenues en début de ce chapitre)

  # Define the query to obtain a user password.
  password_query = \
    SELECT username as user, password, '/home/vmail/%d/%n' as userdb_home, \
    'maildir:/home/vmail/%d/%n' as userdb_mail, 150 as userdb_uid, 1001 as userdb_gid \
    FROM mailbox WHERE username = '%u' AND active = '1'

• Information utilisateur (adaptez avec les informations obtenues en début de ce chapitre)

  # Define the query to obtain user information.
  user_query = \
    SELECT '/home/vmail/%d/%n' as home, 'maildir:/home/vmail/%d/%n' as mail, \
    150 AS uid, 1001 AS gid, concat('dirsize:storage=', quota) AS quota \
    FROM mailbox WHERE username = '%u' AND active = '1'

Éditez avec les droits d'administration le fichier /etc/dovecot/conf.d/10-auth.conf et modifier comme suit :

# Disable LOGIN command and all other plaintext authentications unless
# SSL/TLS is used (LOGINDISABLED capability). Note that if the remote IP
# matches the local IP (ie. you're connecting from the same computer), the
# connection is considered secure and plaintext authentication is allowed.
disable_plaintext_auth = yes

# Space separated list of wanted authentication mechanisms:
#   plain login digest-md5 cram-md5 ntlm rpa apop anonymous gssapi otp skey
#   gss-spnego
# NOTE: See also disable_plaintext_auth setting.
auth_mechanisms = plain login

##
## Password and user databases
##
 
#
# Password database is used to verify user's password (and nothing more).
# You can have multiple passdbs and userdbs. This is useful if you want to
# allow both system users (/etc/passwd) and virtual users to login without
# duplicating the system users into virtual database.
#
# <doc/wiki/PasswordDatabase.txt>
#
# User database specifies where mails are located and what user/group IDs
# own them. For single-UID configuration use "static" userdb.
#
# <doc/wiki/UserDatabase.txt>
 
#!include auth-deny.conf.ext
#!include auth-master.conf.ext
 
#!include auth-system.conf.ext
# Use the SQL database configuration rather than any of these others.
!include auth-sql.conf.ext
#!include auth-ldap.conf.ext
#!include auth-passwdfile.conf.ext
#!include auth-checkpassword.conf.ext
#!include auth-vpopmail.conf.ext
#!include auth-static.conf.ext

Éditez avec les droits d'administration le fichier /etc/dovecot/conf.d/10-mail.conf et modifier comme suit :

# Location for users' mailboxes. The default is empty, which means that Dovecot
# tries to find the mailboxes automatically. This won't work if the user
# doesn't yet have any mail, so you should explicitly tell Dovecot the full
# location.
#
# If you're using mbox, giving a path to the INBOX file (eg. /var/mail/%u)
# isn't enough. You'll also need to tell Dovecot where the other mailboxes are
# kept. This is called the "root mail directory", and it must be the first
# path given in the mail_location setting.
#
# There are a few special variables you can use, eg.:
#
#   %u - username
#   %n - user part in user@domain, same as %u if there's no domain
#   %d - domain part in user@domain, empty if there's no domain
#   %h - home directory
#
# See doc/wiki/Variables.txt for full list. Some examples:
#
#   mail_location = maildir:~/Maildir
#   mail_location = mbox:~/mail:INBOX=/var/mail/%u
#   mail_location = mbox:/var/mail/%d/%1n/%n:INDEX=/var/indexes/%d/%1n/%n
#
# <doc/wiki/MailLocation.txt>
#
mail_location = maildir:/home/vmail/%d/%n

# System user and group used to access mails. If you use multiple, userdb
# can override these by returning uid or gid fields. You can use either numbers
# or names. <doc/wiki/UserIds.txt>
mail_uid = vmail
mail_gid = mail

# Valid UID range for users, defaults to 500 and above. This is mostly
# to make sure that users can't log in as daemons or other system users.
# Note that denying root logins is hardcoded to dovecot binary and can't
# be done even if first_valid_uid is set to 0.
#
# Use the vmail user uid here.
first_valid_uid = 150
last_valid_uid = 150

Éditez avec les droits d'administration le fichier /etc/dovecot/conf.d/10-ssl.conf et modifier comme suit :
Si vous voulez utiliser le support SSL/TLS et/ou utiliser votre propre certificat. Dans le cas de votre propre certificat, il vous faudra renseigner les parties ssl_key_password = et ssl_ca =

# SSL/TLS support: yes, no, required. <doc/wiki/SSL.txt>
ssl = yes
 
# PEM encoded X.509 SSL/TLS certificate and private key. They're opened before
# dropping root privileges, so keep the key file unreadable by anyone but
# root. Included doc/mkcert.sh can be used to easily generate self-signed
# certificate, just make sure to update the domains in dovecot-openssl.cnf
ssl_cert = </etc/ssl/certs/dovecot.pem
ssl_key = </etc/ssl/private/dovecot.pem

Éditez avec les droits d'administration le fichier /etc/dovecot/conf.d/10-master.conf et modifier comme suit :
Ajout des options de Postfix à Dovecot.

service auth {
  # auth_socket_path points to this userdb socket by default. It's typically
  # used by dovecot-lda, doveadm, possibly imap process, etc. Its default
  # permissions make it readable only by root, but you may need to relax these
  # permissions. Users that have access to this socket are able to get a list
  # of all usernames and get results of everyone's userdb lookups.
  unix_listener auth-userdb {
   mode = 0600
    user = vmail
    group = mail
  }
 
  # Postfix smtp-auth
  unix_listener /var/spool/postfix/private/auth {
    mode = 0666
    # Assuming the default Postfix user and group
    user = postfix
    group = postfix       
  }

Rendre accessible la configuration à Dovecot et aux utilisateurs vmail.

sudo chown -R vmail:dovecot /etc/dovecot
sudo chmod -R o-rwx /etc/dovecot

Ajout des utilisateurs clamav et amavis et partage de leurs droits :

sudo adduser clamav amavis
sudo adduser amavis clamav

Éditez avec les droits d'administration le fichier /etc/amavis/conf.d/15-content_filter_mode et modifier comme suit :

use strict;
 
# You can modify this file to re-enable SPAM checking through spamassassin
# and to re-enable antivirus checking.
 
#
# Default antivirus checking mode
# Please note, that anti-virus checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:
 
@bypass_virus_checks_maps = (
   \%bypass_virus_checks, \@bypass_virus_checks_acl, \$bypass_virus_checks_re);
 
#
# Default SPAM checking mode
# Please note, that anti-spam checking is DISABLED by
# default.
# If You wish to enable it, please uncomment the following lines:
 
@bypass_spam_checks_maps = (
   \%bypass_spam_checks, \@bypass_spam_checks_acl, \$bypass_spam_checks_re);
 
1;  # ensure a defined return

Éditez avec les droits d'administration le fichier /etc/default/spamassassin et modifier comme suit :

# Change to one to enable spamd
ENABLED=1

# Cronjob
# Set to anything but 0 to enable the cron job to automatically update
# spamassassin's rules on a nightly basis
CRON=1

On relance les services :

sudo service amavis restart
sudo service spamassassin restart

* Projet de PostfixAdmin (en)

Contributeurs:McPeter