Différences
Ci-dessous, les différences entre deux révisions de la page.
| Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
|
comment_configurer_un_serveur_de_messagerie_mta [Le 04/09/2020, 16:41] sefran Correction expression |
comment_configurer_un_serveur_de_messagerie_mta [Le 02/03/2023, 00:43] (Version actuelle) sefran Erreur tag |
||
|---|---|---|---|
| Ligne 1: | Ligne 1: | ||
| - | {{tag>messagerie courriel MTA SMTP serveur}} | + | {{tag>messagerie courriel SMTP serveur}} |
| ====== Configurer un serveur de messagerie MTA sous Ubuntu ====== | ====== Configurer un serveur de messagerie MTA sous Ubuntu ====== | ||
| - | Paramétrer un serveur de messagerie est un processus complexe mettant en œuvre de nombreux programmes (MTA, MDA, MUA et des filtrages), qui ont chacun besoin d'être correctement configurés. Voir l'explication pédagogique [[:comment_fonctionne_le_courriel_sous_linux|Comment fonctionne le courriel sous Linux ?]] pour vous aider sur la compréhension de ce qu'est la messagerie. | + | Paramétrer un serveur de messagerie est un processus complexe mettant en œuvre de nombreux programmes (MTA, MDA, MUA et des filtrages), qui ont chacun besoin d'être correctement configurés. |
| + | |||
| + | Voir l'explication pédagogique [[:comment_fonctionne_le_courriel_sous_linux|Comment fonctionne le courriel sous Linux ?]] pour vous aider sur la compréhension de ce qu'est la messagerie. | ||
| La meilleure approche est d'installer et configurer chaque composant individuellement, et s'assurer que chacun fonctionne. Ceci va permettre de construire son serveur de messagerie progressivement. | La meilleure approche est d'installer et configurer chaque composant individuellement, et s'assurer que chacun fonctionne. Ceci va permettre de construire son serveur de messagerie progressivement. | ||
| Ligne 8: | Ligne 10: | ||
| ==== Préciser l'utilisateur gestionnaire du serveur de messagerie ===== | ==== Préciser l'utilisateur gestionnaire du serveur de messagerie ===== | ||
| - | Lorsque vous installez un serveur vous avez besoin d'avoir un administrateur. | + | Lorsque vous installez un serveur vous avez besoin d'avoir un administrateur. |
| Comme les volumes de traitements des courriels sont souvent importants, vous devrez définir pour votre serveur de messagerie un utilisateur pour gérer les conflits de distribution des courriels. | Comme les volumes de traitements des courriels sont souvent importants, vous devrez définir pour votre serveur de messagerie un utilisateur pour gérer les conflits de distribution des courriels. | ||
| Ligne 24: | Ligne 26: | ||
| ==== Quelle architecture de serveur de courriels ? ===== | ==== Quelle architecture de serveur de courriels ? ===== | ||
| Ici on va définir le réseau de distribution des courriels et sa structure : | Ici on va définir le réseau de distribution des courriels et sa structure : | ||
| - | * Si on expédie directement sur internet, si on passe par un intermédiaire ou si on ne distribue que localement le courriel. | + | * Si on expédie directement sur internet, si on passe par un intermédiaire ou si on ne distribue que localement le courriel. |
| - | * Si on passe par la route locale, par la route du LAN, par la route internet. | + | * Si on passe par la route locale au serveur, par la route du LAN, par la route internet WAN. |
| * Si on redistribue ou pas les courriers qui ne nous sont pas destinés. | * Si on redistribue ou pas les courriers qui ne nous sont pas destinés. | ||
| * Où distribuer les courriers qui n'ont pas aboutis localement. | * Où distribuer les courriers qui n'ont pas aboutis localement. | ||
| ==== Comment sécuriser le SMTP ==== | ==== Comment sécuriser le SMTP ==== | ||
| - | Le port par défaut du protocole SMTP est le port 25. | + | Pour lutter contre le SPAM engendré par les machines zombies (machines infectées par des virus servant de relais aux spammeurs), la plupart des FAI ont décidé de bloquer le port 25 en sortie (dans le sens "Abonné -> Internet"), utilisé par défaut par le protocole SMTP. Dans ce cas, le port 25 n'est ouvert que pour le serveur SMTP de votre FAI ( du type smtp.monprovider.com). |
| + | Ceci empêche la mise en place d'un serveur SMTP chez soi (en tous cas pour l'envoi vers Internet sans passer par le relais SMTP du provider). | ||
| + | Ceci empêche également l'envoi depuis votre ligne ADSL vers votre serveur hébergé sur Internet (de type Dedibox, OVH, etc.) | ||
| + | |||
| + | Si vous êtes abonné Free avec une Freebox, vous pouvez débloquer l'envoi par le port 25 dans l'interface de gestion : | ||
| + | //Fonctionnalités optionnelles de la Freebox → Autres fonctions → Blocage SMTP sortant//. | ||
| + | |||
| + | Chez Neuf, ce filtrage est aussi actif. Pour changer les paramètres, allez dans l'interface de gestion de votre Neuf Box, Puis dans //Réseau → Filtrage//, décochez la case //Autoriser l'envoi de courriels uniquement par l'intermédiaire des serveurs mail du groupe SFR//. | ||
| + | |||
| + | D'une manière générale, regardez les options de votre Box pour désactiver ce filtrage. Chez certains fournisseurs d'accès à internet, la fonctionnalité n'est pas « débridable ». Une solution autre que de passer par le smtp de votre fournisseur d'accès, est de ne pas passer par le port 25 pour contourner le filtrage mais ceci vous oblige donc a passer par un relais sous votre contrôle… | ||
| <note warning> | <note warning> | ||
| Il est important de ne pas négliger la sécurité du serveur SMTP, sous peine d'être rapidement mis sur la liste noire. | Il est important de ne pas négliger la sécurité du serveur SMTP, sous peine d'être rapidement mis sur la liste noire. | ||
| - | En effet, des sites spécialisés listent les serveurs par lesquels transitent les pourriels. | + | En effet, des sites spécialisés listent les serveurs par lesquels transitent les pourriels. |
| À partir du moment ou votre adresse IP est mise sur la liste noire, certains de vos courriels risquent d'être détruits avant d'arriver à destination. | À partir du moment ou votre adresse IP est mise sur la liste noire, certains de vos courriels risquent d'être détruits avant d'arriver à destination. | ||
| Il ne faut donc pas permettre à votre serveur de relayer n'importe quel courriel provenant de n'importe où. | Il ne faut donc pas permettre à votre serveur de relayer n'importe quel courriel provenant de n'importe où. | ||
| </note> | </note> | ||
| + | |||
| + | Le port par défaut du protocole SMTP est le port 25. Il est ouvert donc : | ||
| + | * Il n'est pas sécurisé pour le transport des messages, ce qui permet à un logiciel de [[https://fr.wikipedia.org/wiki/Analyseur_de_paquets|sniffing]] de lire le contenu de vos courriels. | ||
| + | * Il n’identifie pas les utilisateurs, ce qui permet d'expédier avec un autre nom d'utilisateur. | ||
| + | * Il n'authentifie pas les utilisateurs. C'est cette non authentification qui permet les SPAMs. | ||
| + | |||
| + | Donc avec votre serveur de messagerie il faudra : | ||
| + | * Bloquer le port 25 pour éviter les relais de SPAMs. | ||
| + | * Transporter vos courriels sur un port sécurisé le 587 (ou déconseillés le 465 ou plus anecdotique le 2525) | ||
| + | * Crypter le transport pour avoir de la confidentialité pour vos courriels avec [[https://fr.wikipedia.org/wiki/Transport_Layer_Security|StartTLS]]. | ||
| + | * Mettre en place un système d'authentification pour éviter les usurpations d'identités et les détournements de la messagerie. | ||
| ==== Marquer/filtrer les messages indésirables et les virus ==== | ==== Marquer/filtrer les messages indésirables et les virus ==== | ||
| - | Il est possible d'ajouter un filtre de courriel dans la chaîne de distribution des courriels, notamment pour détecter les spams et les virus. | + | Pour renforcer encore la sécurité du serveur MTA, il n'est pas suffisant de sécuriser le transport et l'authentification. Il faut aussi jeter un œil sur le contenu des courriels distribués. En effet ces messages peuvent avoir des contenus non sollicités ou même des logiciels malveillants. |
| + | |||
| + | Pour sécuriser tout cela, **il faudra installer des systèmes de filtrages, un anti-SPAMs et un anti-Virus**. | ||
| + | |||
| + | Exemple de systèmes de filtrages pour nos serveurs MTA sous Linux : | ||
| + | * **Amavis-new** est un programme enveloppe qui peut appeler différents programmes de filtrage de contenu pour la détection de courrier indésirable (spam), anti-virus, etc. | ||
| + | * opendkim implémente un filtre de courriel MTA (Milter) pour la norme DomainKeys Identified Mail (DKIM). | ||
| + | * python-policyd-spf active la vérification Sender Policy Framework (SPF) avec le MTA. | ||
| + | |||
| + | Exemple de systèmes anti-SPAM pour nos serveurs MTA sous Linux : | ||
| + | * **SpamAssassin** utilise divers mécanismes pour filtrer les courriers en se basant sur leur contenu. | ||
| + | * Pyzor | ||
| + | * Razor | ||
| + | * DCC | ||
| - | * **Amavis-new** | + | Exemple de systèmes anti-virus pour nos serveurs MTA sous Linux : |
| - | * **SpamAssassin** | + | * **[[:clamav|ClamAv]]** est anti-virus libre. |
| - | * **[[:clamav|ClamAv]]** | + | |
| ===== Configurer un serveur MTA pour Ubuntu ===== | ===== Configurer un serveur MTA pour Ubuntu ===== | ||
| * Pour Postfix, le serveur par défaut, allez dans [[:Comment configurer sa distribution de courriels systèmes MTA|Comment configurer sa distribution de courriels systèmes MTA avec Postfix ?]] | * Pour Postfix, le serveur par défaut, allez dans [[:Comment configurer sa distribution de courriels systèmes MTA|Comment configurer sa distribution de courriels systèmes MTA avec Postfix ?]] | ||
| Ligne 53: | Ligne 88: | ||
| //Autres MTA : Qmail, Sendmail, OpenSMTPD, etc.// | //Autres MTA : Qmail, Sendmail, OpenSMTPD, etc.// | ||
| + | |||
| + | {{topic>MTA}} | ||