====== Postfix : Configuration Avancée (SASL, Réécriture Root & Transport Orange) ======

Ce tutoriel détaille la configuration complète de Postfix pour :
  * Sécuriser le port **Submission (587)** avec authentification SASL isolée (base ''sasldb2'').
  * Réécrire dynamiquement l'expéditeur des mails système sous la forme ''HOSTNAME-root@mon-domaine.fr''.
  * Brider le débit d'envoi spécifiquement pour Orange et Wanadoo afin d'éviter les blocages (Erreur 421 / OFR005_104).

===== 1. Prérequis système =====

Installer Postfix, les outils de test et le module requis pour la gestion des expressions régulières (PCRE) :
<code>
sudo apt update
sudo apt install postfix bsd-mailx postfix-pcre -y
</code>

===== 2. Configuration du service Submission et SASL =====

==== A. Configuration du moteur SASL (auxprop) ====
On configure SASL pour utiliser une base de données indépendante des utilisateurs Linux du système.

Créer le dossier et le fichier de configuration :
<code>
sudo mkdir -p /etc/postfix/sasl
sudo vi /etc/postfix/sasl/smtpd.conf
</code>

Coller le contenu suivant :
<code>
pwcheck_method: auxprop
auxprop_plugin: sasldb
mech_list: PLAIN LOGIN
</code>

==== B. Création des utilisateurs et gestion du Chroot ====
Créer l'utilisateur de messagerie (remplacer ''mon-domaine.fr'' par la valeur exacte de votre ''myhostname'') :
<code>
sudo saslpasswd2 -c -u mon-domaine.fr toto
</code>
//(Saisissez et confirmez le mot de passe lorsque demandé).//

Par sécurité, Postfix s'exécute souvent de manière isolée (Chroot). Il faut copier la base de données des utilisateurs SASL dans sa prison :
<code>
# Droits sur le fichier maître
sudo chown root:postfix /etc/sasldb2
sudo chmod 640 /etc/sasldb2

# Duplication dans le Chroot Postfix
sudo mkdir -p /var/spool/postfix/etc/
sudo cp /etc/sasldb2 /var/spool/postfix/etc/sasldb2
sudo chown root:postfix /var/spool/postfix/etc/sasldb2
sudo chmod 640 /var/spool/postfix/etc/sasldb2
</code>
> **NOTE :** En cas de modification future du mot de passe via ''saslpasswd2'', il faudra impérativement refaire la copie vers le dossier ''/var/spool/postfix/etc/''.

===== 3. Bridage du trafic pour Orange / Wanadoo =====

==== A. Table de transport ====
Créer le fichier spécifiant quels domaines doivent être ralentis :
<code>
sudo nano /etc/postfix/transport
</code>

Ajouter les lignes suivantes :
<code>
orange.fr      slow:
wanadoo.fr     slow:
orange.com     slow:
wanadoo.com    slow:
</code>

Compiler la table de transport pour Postfix :
<code>
sudo postmap /etc/postfix/transport
</code>

Si votre instance trivial-rewrite s'exécute en Chroot, copier également les fichiers générés dans la prison :
<code>
sudo mkdir -p /var/spool/postfix/etc/postfix/
sudo cp /etc/postfix/transport* /var/spool/postfix/etc/postfix/
</code>

===== 4. Fichiers de configuration Postfix =====

==== A. Configuration principale (/etc/postfix/main.cf) ====
Ouvrir le fichier :
<code>
sudo nano /etc/postfix/main.cf
</code>

Adapter ou ajouter les blocs suivants à la fin du fichier :
<code>
# Réécriture d'envoi dynamique (Generic)
smtp_generic_maps = pcre:/etc/postfix/generic

# Routage et transport
transport_maps = hash:/etc/postfix/transport

# Bridage du service "slow" (Orange / Wanadoo)
slow_destination_recipient_limit = 20
slow_destination_concurrency_limit = 2
slow_destination_rate_delay = 10s
</code>

==== B. Configuration des processus (/etc/postfix/master.cf) ====
Ouvrir le fichier :
<code>
sudo nano /etc/postfix/master.cf
</code>

1. Décommenter et adapter le bloc **submission** pour activer le chiffrement obligatoire et le SASL :
<code>
submission inet n       -       y       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_tls_auth_only=yes
  -o smtpd_reject_unlisted_recipient=no
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
  -o milter_macro_daemon_name=ORIGINATING
</code>

2. Ajouter tout à la fin du fichier le service de transport **slow** pour Orange :
<code>
slow      unix  -       -       n       -       5       smtp
    -o syslog_name=postfix-slow
</code>

===== 5. Réécriture des mails de Root et Alias =====

==== A. Table générique ====
Créer le fichier ''/etc/postfix/generic'' pour intercepter les envois locaux de root :
<code>
sudo nano /etc/postfix/generic
</code>

Ajouter la règle RegEx (le ''${HOSTNAME}'' sera interprété dynamiquement par le système) :
<code>
/^root(@.*)?$/    ${HOSTNAME}-root@mon-domaine.fr
</code>

==== B. Redirection finale (Alias) ====
Définir vers quelle boîte de réception externe les mails système doivent arriver :
<code>
sudo nano /etc/aliases
</code>

Modifier ou ajouter la ligne :
<code>
root:       votre-email-externe@mon-mail.com
</code>

Appliquer les alias :
<code>
sudo newaliases
</code>

===== 6. Activation et Tests =====

Redémarrer Postfix pour appliquer l'ensemble de la configuration :
<code>
sudo systemctl restart postfix
</code>

==== Tester l'authentification SASL (Port 587) ====
Depuis une autre machine ou via un client comme Thunderbird, configurez un compte SMTP sortant sur le port 587 (Sécurité: STARTTLS), avec l'utilisateur ''toto'' et le mot de passe défini à l'étape 2.

==== Tester l'envoi système Root ====
Exécuter la commande suivante sur le serveur :
<code>
echo "Test d'alerte système Postfix" | mail -s "Alerte Test [${HOSTNAME}]" root
</code>

==== Surveillance des Logs ====
Vérifier le bon déroulement des opérations dans les journaux :
<code>
sudo journalctl -u postfix -f
</code>
* Pour un mail Orange, vous devez voir passer la mention ''postfix-slow/smtp''.
* Pour la réécriture root, vous devez constater la traduction automatique de l'expéditeur en ''from=<HOSTNAME-root@mon-domaine.fr>''.