sdeon@cloud-morning.fr Mars 2016 Cloud-Morning.fr - Mars 2016 1
Présenter un schéma général de fonctionnement d un système de messagerie Paramétrer Squirrelmail et accéder au serveur SMTP/IMAP Présenter les paramètres importants du fichier main.cf Présenter quelques paramètres de sécurisation et optimisation de main.cf Cloud-Morning.fr - Mars 2016 2
MTA : Message Transfer Agent / MDA = Message Delivery Agent Cloud-Morning.fr - Mars 2016 3
# cd /usr/share/squirrelmail/config #./conf.pl SquirrelMail Configuration : Read: config.php (1.4.0) --------------------------------------------------------- Main Menu -- 1. Organization Preferences 2. Server Settings 3. Folder Defaults 4. General Options 5. Themes 6. Address Books 7. Message of the Day (MOTD) 8. Plugins 9. Database 10. Languages D. Set pre-defined settings for specific IMAP servers C Turn color off S Save data Q Quit Command >> Cloud-Morning.fr - Mars 2016 4
Choix 2 SquirrelMail Configuration : Read: config.php (1.4.0) --------------------------------------------------------- Server Settings General ------- 1. Domain : localhost 2. Invert Time : false 3. Sendmail or SMTP : SMTP A. Update IMAP Settings : localhost:143 (dovecot) B. Update SMTP Settings : localhost:25 R Return to Main Menu C Turn color off S Save data Q Quit Command >> Puis S Cloud-Morning.fr - Mars 2016 5
# # cd /etc/httpd/conf.d # cat squirrelmail.conf # SquirrelMail is a webmail package written in PHP. # Alias /webmail /usr/share/squirrelmail <Directory "/usr/share/squirrelmail/plugins/squirrelspell/modules"> <IfModule mod_authz_core.c> # Apache 2.4 RewriteEngine On AllowOverride All DirectoryIndex index.php Order allow,deny Allow from all # Require all denied </IfModule> <IfModule!mod_authz_core.c> # Apache 2.2 Order deny,allow Deny from all </IfModule> </Directory> # this section makes squirrelmail use https connections only, for this you # need to have mod_ssl installed. If you want to use unsecure http # connections, just remove this section: <Directory /usr/share/squirrelmail> RewriteEngine on RewriteCond %{HTTPS}!=on RewriteRule (.*) https://%{http_host}%{request_uri} <IfModule mod_authz_core.c> # Apache 2.4 Require all granted </IfModule> <IfModule!mod_authz_core.c> # Apache 2.2 Order allow,deny Allow from all </IfModule> </Directory> L accès à Squirrelmail se fait via HTTPS, il faut installer le paquet mod_ssl (# yum install mod_ssl) Cloud-Morning.fr - Mars 2016 6
/etc/postifx/main.cf Penser à copier le fichier en main.cf.original avant toute modification A chaque modification, il faut relancer le service postfix (/etc/init.d/postfix restart ou service postfix restart) Cloud-Morning.fr - Mars 2016 7
myhostname = mail.mon_domaine.fr mydomain = mon_domaine.fr myorigin = $mydomain mydestination = $myhostname, localhost.$mydomain, localhost, $mydomain mynetworks = 127.0.0.0/8, 192.168.1.0/24 Autotisation du subnet 192.168.1.0 relay_domains = $mydestination relayhost = smtp.mon_domain.fr Mon relais SMTP (interne ou fourni par un provider) Cloud-Morning.fr - Mars 2016 8
Limitation et quotas message_limit_size = 5120000 : un message ne doit pas dépasser plus de 5 Mo mailbox_size_limit = 102400000 : une BAL ne doit pas dépasser 100 Mo header_size_limit = 102400 : limite de 100 Ko pour les entêtes de chaque mail; un mail standard, c est moins de 5 ko d entête bounce_size_limit = 512000 : taille maximum d un message de rebond (bounce) à 500 Ko En cas de mail envoyé à un destinataire inconnu ou à une BAL saturée, le message revient tel quel à l émetteur; cela sert donc à limiter la bande passante consommée par le rejet (en cas de grosse pièce jointe, la partie du mail sera tronquée) Cloud-Morning.fr - Mars 2016 9
Limitation du bavardage Ne pas afficher le nom et la version du serveur Postfix Supprimer $mail_name et $mail_version du paramètre smtp_banner $smtp_banner = $myhostname ESMTP Effectuer le test d affichage du banner avant et après (telnet localhost 25) Commande VRFY du protocole SMTP Elle permet de vérifier qu un utilisateur de messagerie existe. En envoyant une suite de commande VRFY, on peut ainsi en déduire une liste de comptes existants; ensuite, il est possible de spammer ou récupérer la liste des comptes Linux et trouver les mots de passe Disable_vrfy_command = yes Cloud-Morning.fr - Mars 2016 10