Différences

Ci-dessous, les différences entre deux révisions de la page.

--- linux:postfix [19-09-2013 14:24]
edmc73
+++ linux:postfix [06-05-2023 20:50] (Version actuelle)
edmc73
@@ Ligne 1: / Ligne 1: @@
 ====== Postfix ======
-http://postfix.traduc.org/index.php/BASIC_CONFIGURATION_README.html#relay_to
+===== Fonctionnement de base juste pour envoyer des mails =====
-http://www.system-linux.eu/index.php?post/2009/01/27/Traitement-de-Queue-mail-Postfix#dotpoll8
+La config **/etc/postfix/main.cf**
-Un super site en français => http://x.guimard.free.fr/postfix/
+<code>
+# See /usr/share/postfix/main.cf.dist for a commented, more complete version
+# Debian specific:  Specifying a file name will cause the first
+# line of that file to be used as the name.  The Debian default
+# is /etc/mailname.
+#myorigin = /etc/mailname
+smtpd_banner = $myhostname ESMTP $mail_name (Raspbian)
+biff = no
+# appending .domain is the MUA's job.
+append_dot_mydomain = no
+# Uncomment the next line to generate "delayed mail" warnings
+#delay_warning_time = 4h
+readme_directory = no
+# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
+# fresh installs.
+compatibility_level = 2
+# TLS parameters
+smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
+smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
+smtpd_tls_security_level=may
+smtp_tls_CApath=/etc/ssl/certs
+smtp_tls_security_level=may
+smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
+smtpd_use_tls = yes
+smtpd_enforce_tls = yes
+smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
+myhostname = myserver.edmc73.com
+alias_maps = hash:/etc/aliases
+alias_database = hash:/etc/aliases
+canonical_maps = hash:/etc/postfix/canonical
+myorigin = /etc/mailname
+mydestination = $myhostname, myserver.edmc73.com, myserver, localhost.localdomain, localhost
+relayhost =
+mynetworks = 127.0.0.0/8
+mailbox_size_limit = 0
+recipient_delimiter = +
+inet_interfaces = 127.0.0.1
+inet_protocols = all
+</code>
+J'ai volontairement désactivé tout ce qui est en rapport avec ipv6 car trop compliqué...
+J'ai ajouté les options tls et le **canonical_maps**
+Modifiez vos aliases en ajoutant à la fin du fichier **/etc/aliases**
+  root: mon@mail.com
+Puis lancer la commande
+  newaliases
+Créez ou modifiez le fichier **/etc/postfix/canonical**
+  root@myserver  root@myserver.edmc73.com
+Puis lancer la commande
+  postmap /etc/postfix/canonical
+Relancer Postfix
+  systemctl restart postfix
+Tester l'envoi d'un mail
+  mail -s "test d'un mail" root <<< 'blablabla'
+Vérifiez dans les log
+  vi /var/log/mail.log
+===== Ce qui suit date ! =====
+  * http://www.skyminds.net/serveur-dedie-creation-dun-serveur-mail-postfix-securise-avec-saslauthd-et-certificat-ssl-et-courier-acces-pop-et-imap-utilisant-une-base-mysql-dutilisateurs-domaines-virtuels/
+  * http://postfix.traduc.org/index.php/BASIC_CONFIGURATION_README.html#relay_to
+  * http://www.system-linux.eu/index.php?post/2009/01/27/Traitement-de-Queue-mail-Postfix#dotpoll8
+Un super site en français => http://x.guimard.free.fr/postfix/
 ===== Configuration =====
@@ Ligne 85: / Ligne 167: @@
 On relis la config
   service postfix reload
+==== mailname ====
+Le fichier **/etc/mailname** contient le nom de domaine par défaut qui sera inscrit après l'@. Pour qu'il soit pris en compte, la ligne suivante doit se trouver dans votre **main.cf**
+  myorigin = /etc/mailname
 ===== Commandes =====
@@ Ligne 173: / Ligne 260: @@
 Les mails se stockent tout de même en queue, mais la file se vide ensuite relativement rapidement
+===== Statistiques =====
+https://www.zabbix.com/wiki/howto/monitor/mail/postfix/monitoringpostfix
+Ce lien explique comment superviser postfix avec zabbix mais on peut découvrir aussi le script **pflogsumm.pl** qui permet de ressortir des stats.
+===== DKIM =====
+Ajouter une signature DKIM à vos emails sortant => http://blog.tjitjing.com/index.php/2012/03/guide-to-install-opendkim-for-multiple-domains-with-postfix-and-debian.html
+Un autre tuto très bien détaillé => http://lea-linux.org/documentations/DKIM_SPF_Postfix
+===== SSL / TLS =====
+Ajouter un certificat SSL valide et configurer le TLS.
+Utilisons [[linux:ssl|letsencrypt]] pour récupérer un certificat.
+Créez en 1er une config apache qui permet d'accéder à http://mail.domain.tld pour permettre de valider que le nom de domaine vous appartient.
+  ./cert-auto certonly --rsa-key-size 4096 -d mail.domain.tld --email admin@domain.tld
+Bon, je l'avais déjà lancé donc il me demande si je veux le recréer mais vous devrez avoir quelque chose de similaire.
+<code>
+Saving debug log to /var/log/letsencrypt/letsencrypt.log
+Cert not yet due for renewal
+You have an existing certificate that has exactly the same domains or certificate name you requested and isn't close to expiry.
+(ref: /etc/letsencrypt/renewal/mail.domain.tld.conf)
+What would you like to do?
+-------------------------------------------------------------------------------
+: Attempt to reinstall this existing certificate
+: Renew & replace the cert (limit ~5 per 7 days)
+-------------------------------------------------------------------------------
+Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 1
+Keeping the existing certificate
+Created an SSL vhost at /etc/apache2/sites-available/mail.domain.tld-le-ssl.conf
+Deploying Certificate to VirtualHost /etc/apache2/sites-available/mail.domain.tld-le-ssl.conf
+Enabling available site: /etc/apache2/sites-available/mail.domain.tld-le-ssl.conf
+Please choose whether HTTPS access is required or optional.
+-------------------------------------------------------------------------------
+: Easy - Allow both HTTP and HTTPS access to these sites
+: Secure - Make all requests redirect to secure HTTPS access
+-------------------------------------------------------------------------------
+Select the appropriate number [1-2] then [enter] (press 'c' to cancel): 2
+Redirecting vhost in /etc/apache2/sites-available/mail.domain.tld.conf to ssl vhost in /etc/apache2/sites-available/mail.domain.tld-le-ssl.conf
+-------------------------------------------------------------------------------
+Congratulations! You have successfully enabled https://mail.domain.tld
+You should test your configuration at:
+https://www.ssllabs.com/ssltest/analyze.html?d=mail.domain.tld
+-------------------------------------------------------------------------------
+</code>
+On peut voir ici que certbot modifie votre fichier de conf apache et crée une nouvelle config apache pour **-le-ssl.conf**, il reload apache tout seul.
+Maintenant ajoutez le code suivant dans votre **main.cf**
+<code>
+# logging
+smtpd_tls_loglevel = 1
+# Allow use of TLS but make it optional
+smtp_use_tls=yes
+# Disable SSLv2/3 as they are vulnerable
+smtpd_tls_protocols = !SSLv2, !SSLv3
+smtp_tls_protocols = !SSLv2, !SSLv3
+# Insist on stronger ciphers
+smtpd_tls_ciphers = high
+smtp_tls_ciphers = high
+# keys
+smtp_tls_cert_file = /etc/letsencrypt/live/mail.domain.tld/fullchain.pem
+smtp_tls_key_file = /etc/letsencrypt/live/mail.domain.tld/privkey.pem
+</code>
+Restartez votre postfix
+  service postfix restart
+et voila :)
+  * doc plus poussé => http://donnlee.com/2016/11/27/postfix-smtp-configuration-sending-relay-email-to-gmail-and-other-internet-mail-servers/

Outils pour utilisateurs

Outils du site

Différences

Outils de la page