Magnus Bäck Patrick Ben Koetter Ralf Hilderbrandt Alistair McDonald David Rusenko Carl Taylor Monter son serveur de mails Linux sous Postfix Pop/IMAP Webmail Antispam/antivirus Sauvegardes Traduit et adapté par Patrick Tonnerre Groupe Eyrolles, 2006, ISBN : 2-212-11931-3.
chapitre1 POP IMAP SMTP DNS Vous avez un message...
Notions de base sur Linux et le courrier électronique SOMMAIRE Si vous êtes l un des très nombreux administrateurs système à gèrer le réseau d une petite ou moyenne entreprise qui souhaite héberger son propre serveur de courrier électronique, alors ce livre est fait pour vous! B Héberger son serveur de messagerie électronique B Besoins matériels B Protocoles réseau de communication B Résolution de noms (DNS) B Solution de secours MOTS-CLÉS B SMTP B POP B IMAP B DNS B Backup
Accès libre Monter son serveur de mails sous Linux Nous commencerons par aborder les composants les plus classiques d un système de gestion du courrier électronique. Ensemble, ils permettent aux utilisateurs d échanger des messages, aussi bien dans l entreprise qu avec des correspondants situés à l extérieur, sur Internet. Cela pourrait suffire, mais de nombreuses entreprises veulent aussi mettre à disposition de leurs utilisateurs un service de consultation de courriels accessible par une interface web (webmail). Ainsi, ils consulteront leur courrier depuis leur domicile ou lors d un déplacement. Autres fonctionnalités dont nous ne pouvons hélas plus nous passer, la protection contre la propagation des virus par courriel devra être assurée, ainsi que le filtrage des courriers non sollicités, plus connus sous la dénomination de spams et, depuis peu, de pourriels. Ce livre ne traite pas de tous les aspects du logiciel mais vous donne de solides bases pour assurer le service, qui vous permettront d approfondir les options de configuration avancées. Comme plate-forme technique de notre projet, nous avons choisi le système d exploitation GNU/Linux et une sélection de logiciels libres éprouvés qui nous aideront à mettre en œuvre un serveur de courrier électronique fiable à destination des petites entreprises. Les outils sélectionnés sont connus, reconnus et éprouvés. Ils sont le fruit de professionnels du logiciel et sont maintenus et recommandés par une grande communauté d utilisateurs. Dans ce tout premier chapitre, nous vous fournissons les informations nécessaires avant de commencer à œuvrer sur le serveur lui-même. Y seront abordées les questions du choix du matériel (le hardware) et du type de connexion dont vous aurez besoin. Par ailleurs, nous présenterons brièvement le courrier électronique sur Internet et son fonctionnement. Pourquoi gérer son propre serveur de courrier électronique? La première question qui vient à l esprit est : pourquoi disposer de et administrer son propre serveur de courrier électronique? N est-ce-pas à cause des fournisseurs d accès à Internet? Après tout, puisque vous êtes en train de lire ce livre, vous devez avoir vos raisons ; malgré cela, réfléchissons à ces interrogations et tentons d y apporter des réponses. La raison la plus importante pour héberger et administrer son propre serveur de courrier électronique est le contrôle. En effet, pour de nombreuses organisations, le courrier électronique est une partie importante 3
du système d information. Avoir le contrôle sur vos courriels présente de nombreux avantages : Choix de l interconnexion de sites distants Si votre entreprise est établie sur plusieurs sites, vous êtes libre de choisir la façon de les interconnecter : utiliser des réseaux privés virtuels (VPN, Virtual Private Network) entres les sites, des connexions TLS (Transport Layer Security) sécurisées, un serveur unique pour tous les sites ou un serveur par site, etc. Plus de transit par votre fournisseur d accès En hébergeant votre messagerie, les messages que vous échangez entre vous n ont pas besoin de transiter par votre fournisseur d accès Internet. Le service est donc assuré en cas de défaillance de votre connexion Internet et sans temps de latence inutiles. Personnel compétent Vous ne dépendez pas des compétences du personnel de votre fournisseur d accès. Administrer votre serveur vous octroie la liberté d engager un consultant pour résoudre un problème complexe ou implémenter une fonctionnalité particulière. Sécurité des données Si votre fournisseur d accès fait faillite, toutes vos données sont au chaud en sécurité dans votre salle des machines et sur vos sauvegardes. Pas de limites ou de quotas imposés Vous n êtes pas assujetti aux limitations de taille des messages et des quotas d occupation disque que votre fournisseur pourrait vous imposer. Filtrage sur mesure des courriers Vous êtes libre de choisir les stratégies à utiliser pour lutter contre les virus et les courriers non sollicités. Plus de contrôle signifie plus d implication et de connaissances. C est la raison d être de ce livre. À l opposé de ces arguments très positifs et encourageants, il faut avoir conscience qu il y aussi des inconvénients à héberger son propre serveur de messagerie. En effet, cela implique un certain niveau de compétences et d engagement qui ne doit pas être sous-estimé. Vous êtes responsable du service que vous fournissez non seulement face à vos utilisateurs, mais aussi face à la communauté Internet. Un serveur de courrier électronique mal configuré peut contribuer à la propagation des vers informatiques et du spam et, en plus de desservir la communauté, risque de vous faire inscrire sur les listes noires, c est-à-dire vous rendre blacklisté. TECHNIQUE Serveurs de listes noires (blacklists) Un serveur de courrier électronique mal configuré ou servant de relais à la diffusion de virus ou de spams risque de se voir enregistré dans une blacklist, ou liste noire. Vous pouvez configurer votre serveur de courrier électronique pour consulter de tels serveurs de blacklists, librement disponibles sur Internet. En fonction de la réponse obtenue, vous pouvez décider de rejeter tout message provenant de domaines, machines ou utilisateurs enregistrés dans les listes noires. Il ne faut pas perdre de vue que cette consultation risque d être coûteuse en ressources machines si votre serveur gère un fort trafic et consulte les serveurs de blacklists pour chaque message. Une latence non négligeable est aussi à prévoir dans ce cas. Aujourd'hui, l utilisation de ces serveurs donne lieu à de nombreuses discussions sur la validité, l utilité et la fiabilité de ces services. De nombreuses plaintes sont en cours pour des inscriptions invalides et injustifiées dans les listes noires. 1 Notions de base sur Linux et le courrier électronique 4
Accès libre Monter son serveur de mails sous Linux TECHNIQUE Après les listes noires, les listes grises (greylists) Une nouvelle technique de lutte contre le spam a vu le jour, le filtrage milter-greylist. Le principe en est simple. Tout serveur SMTP recevant un message le refuse temporairement à la première tentative. Si le message est légitime, le serveur SMTP expéditeur va essayer de le renvoyer après un certain laps de temps et il sera finalement accepté par le serveur SMTP receveur. Les spammeurs en général ne tentent pas de renvoyer leurs messages après réception d une erreur temporaire et continuent ailleurs leurs nuisibles activités. Si malgré tout, le spammeur tente de renvoyer son message, on peut supposer qu il va le faire immédiatement, ce qui l identifiera clairement en tant que spammeur, dont le courrier sera définitivement refusé. Pour en savoir plus : B http://hcpnet.free.fr/milter-greylist/ DANS LA VRAIE VIE Quels fournisseurs offrent une adresse IP fixe? Certains fournisseurs d accès peuvent vous offrir gracieusement une adresse IP fixe. C est le cas par exemple de Free ou de Nerim, qui le feront sur simple demande de votre part. CULTURE RFC ou Request For Comment Une RFC, ou Request For Comment, est un document en général technique présentant et documentant Internet. Émanant de la communauté de recherche et de développement du réseau des réseaux, une RFC aborde des sujets généraux, les standards, les protocoles, les règles et bons usage, etc. Pour consulter les RFC, vous pourrez utiliser avec profit les liens suivants : B http://www.faqs.org/rfcs/rfc-index.html B http://www.rfc-editor.org/ B http://abcdrfc.free.fr/ Même si un serveur correctement configuré peut fonctionner des années sans aucune intervention, vous devez vous tenir informé et être préparé à réagir si de telles menaces venaient à survenir. Toutefois, notre but n est pas de vous effrayer mais de vous en faire prendre conscience deux fois plutôt qu une. Ce dont vous avez besoin pour héberger un serveur de messagerie Votre serveur doit être connecté à une liaison Internet permanente et disposer d une adresse IP fixe. Le protocole SMTP (Simple Mail Transfer Protocol) fournit une option permettant de délivrer les messages qui vous sont destinés au serveur de votre fournisseur d accès, et ensuite, de les récupérer à la demande sur votre propre serveur. Cette récupération peut être automatisée et déclenchée chaque fois que votre connexion est active. Le protocole POP (Post Office Protocol), utilisé notamment par les programmes clients de courrier électronique, permet aussi de récupérer les nouveaux messages sur votre serveur. Aucune de ces solutions n est pourtant particulièrement satisfaisante dans l optique où vous avez décidé de gérer votre propre serveur de messagerie. En théorie, il est possible d utiliser un serveur de messagerie même sans disposer d une adresse IP fixe. Il suffit de s appuyer sur une adresse IP dynamique. Cependant, le service ne sera pas fiable quand cette adresse changera et vous risquez de perdre des messages. De plus, avec une adresse IP dynamique, vous encourez un bien plus grand risque : celui de vous voir inscrit dans un des serveurs de blacklists pour les plages d adresses dynamiques. Si votre motivation pour avoir votre serveur de courrier électronique est sérieuse, choisissez une connexion Internet conséquente et adaptée. Les prix baissent de plus en plus de nos jours et investir dans une liaison de bonne qualité vous épargnera bien des soucis. Le trafic pour le courriel ne nécessitant pas une connexion à très forte bande passante, une simple liaison DSL (Digital Subscriber Line) fera l affaire. Même si vous avez besoin d une adresse IP fixe, celle-ci ne doit pas nécessairement être attribuée à votre serveur de messagerie. Si vous disposez seulement de quelques adresses IP publiques et si, pour votre réseau local, vous respectez les adresses privées de la RFC 1918 (192.168.x.x) et utilisez un routeur faisant de la traduction d adresses (NAT, Network Address Translation), vous pourrez configurer ce der- 5
nier pour rediriger les ports requis par vos services de messagerie vers votre serveur de messagerie interne. Le tableau suivant liste les principaux ports utilisés par votre service de messagerie : Tableau 1 1 Ports du service de messagerie Numéro de port Protocole Commentaires 25 SMTP Simple Mail Transfer Protocol, utilisé pour le transfert du courrier. 110 POP Post Office Protocol, utilisé pour la synchronisation des messages entre client et serveur. 143 IMAP Internet Message Access Protocol, successeur à terme du protocole POP, qui permet aussi de gérer ses messages directement sur le serveur. 993 IMAP over TLS IMAP sécurisé utilisant le protocole TLS (Transport Layer Security) de sécurisation de la couche transport (couche 4). On utilise aussi la dénomination IMAP over SSL (Secure Socket Layer), la version 3 de SSL correspondant à la version 1 de TLS. 1 Notions de base sur Linux et le courrier électronique Pour que vos employés puissent consulter leur messagerie depuis leur domicile ou lors de déplacements, il suffit que votre pare-feu (firewall) accepte les connexions sur les ports requis et que votre éventuel routeur NAT les redirige correctement. S ils veulent de plus envoyer des messages en utilisant votre serveur, des options supplémentaires d authentification SMTP devront être mises en place. Configuration matérielle Même si une certaine expertise est nécessaire pour évaluer correctement les besoins matériels d une entreprise, le bon sens a fait long feu. Pour une entreprise de 100 utilisateurs, un nombre journalier maximum de 5 000 messages semble être une valeur réaliste. Il représente une cinquantaine de messages quotidiens reçus ou envoyés par utilisateur. Même si chaque message est envoyé pendant les 7 heures d une journée de travail, le système ne gérera en moyenne pas plus de 10 messages par minute. Donc, un ordinateur récent a-t-il besoin de 6 secondes pour traiter un message dont la taille ne dépasse souvent pas quelques kilo-octets? La réponse est bien évidemment, NON. Cette estimation peut paraître un peu tirée par les cheveux parce qu elle ne prend pas en compte le fait que les messages arrivent de manière aléatoire dans le temps, mais elle constitue malgré tout une bonne manière d évaluer les besoins. Continuons maintenant plus précisément l étude des spécifications techniques de notre serveur. Pour un serveur SMTP n effectuant pas d analyse de contenu (virus, spam, etc.), les performances ne sont pas liées au À RETENIR Ne pas surestimer ses besoins de messagerie De nombreux préjugés entourent la définition et les caractéristiques matérielles nécessaires pour un serveur de courrier électronique. L augmentation constante des performances des ordinateurs crée le besoin et amène les utilisateurs à penser qu il leur faut la machine dernier cri, même s ils ont seulement à gérer quelques centaines de messages par jour. 6
Accès libre Monter son serveur de mails sous Linux B.A.-BA Choisir le matériel adéquat, ni trop récent, ni trop vieux Tous ces conseils peuvent vous sembler vagues et génériques mais il est impossible de fournir la solution miracle pour définir le matériel dont vous aurez besoin. Les résultats que vous pourrez obtenir de tel ou tel matériel dépendent de tant de paramètres que seules des préconisations générales sont envisageables. Utilisez le bon sens et de simples calculs pour définir vos besoins. Ne vous jetez pas sur la machine la plus performante tant que cela n est pas nécessaire, mais n utilisez pas non plus un vieil ordinateur au rebut! Même si les caractéristiques d une ancienne machine peuvent convenir, ses composants sont peut-être vieux et fatigués et sans doute plus sous garantie. processeur mais plus aux entrées-sorties, notamment aux temps d accès disques, au type et à la configuration du contrôleur d entrée-sortie. Augmenter la puissance du processeur ne résoudra pas tous les problèmes. Les ordinateurs récents étant mieux équipés au niveau du processeur qu à celui des entrées-sorties, investir dans le dernier modèle bi-processeur haut de gamme constitue probablement une dépense inutile. Un PC moderne doté d un processeur cadencé à 1 Ghz gérera sans problème de nombreux messages par seconde et pourra traiter quasiment 20 000 messages par heure. Mettre en œuvre l analyse de contenu augmentera de manière significative la charge CPU (Central Processing Unit ou microprocesseur) et le système des entrées-sorties aura besoin lui aussi de plus de puissance pour tenir la charge. Malgré cela, traiter un ou deux messages par seconde ne devrait pas être une charge anormale pour le système. Pour l instant, nous avons évoqué uniquement le serveur SMTP. Son rôle consiste à recevoir des messages et à les délivrer à d autres machines ou dans les boîtes aux lettres locales. Lors de la définition matérielle du serveur, ne perdez pas de vue que les utilisateurs doivent aussi lire leurs messages. Cette fonctionnalité est assurée par des serveurs logiciels pour les protocoles POP, IMAP ou les deux. Comme pour les logiciels assurant le service SMTP, il faut privilégier les entrées-sorties au lieu du microprocesseur. Le nombre d utilisateurs n est pas à proprement parler une notion essentielle, contrairement à la manière dont ils vont relever leurs messages. À quelle fréquence vont-ils effectuer cette tâche? Si 100 utilisateurs relèvent leur courrier toutes les 5 minutes, alors en moyenne une connexion au serveur sera effectuée toutes les 3 secondes. Chacune de ces consultations ne prenant qu une fraction de seconde, la charge machine ne devrait pas être significative, ni pénalisante. Les principaux protocoles de courrier : SMTP, POP et IMAP Vous vous demandez pourquoi nous évoquons dans ce livre les protocoles réseau de communication de base? Ne sommes-nous pas en train d utiliser des logiciels de haut niveau? Oui bien sûr, mais vous y retrouver dans la compréhension des protocoles vous aidera à comprendre non seulement pourquoi un système ne fonctionne pas, mais aussi comment il fonctionne! Nous commencerons par un survol rapide et plutôt non technique des protocoles avant de nous attarder sur leurs spécificités et détails. 7
Vue d ensemble Sur les environnements de type Unix, les applications classiques de courrier électronique n utilisaient aucun protocole réseau spécifique. L accès aux boîtes aux lettres se faisait directement par le système de gestion de fichiers. La boîte aux lettres d arrivée de chaque utilisateur est classiquement située dans le répertoire /var/mail ou /var/spool/mail, dans un fichier au nom de son propriétaire (par exemple /var/spool/mail/joe pour l utilisateur joe). L objectif de ce livre est de présenter les solutions de messagerie électronique basées sur les systèmes Linux et à destination des petites entreprises : nous ne parlerons donc pas des systèmes où les utilisateurs se connectent à un serveur central et consultent leur courrier à l aide d une application terminale sur celui-ci. Ainsi donc, nous aborderons les aspects du stockage local des courriers de manière rapide et uniquement informative. Le protocole le plus important dans le courrier électronique est SMTP (Simple Mail Transfer Protocol). Son rôle est simple et consiste à transporter les messages électroniques d une machine à une autre. Ces deux machines peuvent être des serveurs ou alors une des deux est une machine cliente exécutant une application de courrier comme Thunderbird, Outlook Express, Eudora... Pour relever son courrier, l utilisateur se sert du protocole POP (Post Office Protocol) ou de IMAP (Internet Message Access Protocol). Les systèmes propriétaires comme Microsoft Exchange et Lotus Notes utilisent leurs propres protocoles pour accéder aux messages et ne seront pas traités dans cet ouvrage. 1 Notions de base sur Linux et le courrier électronique Le protocole POP Des deux protocoles de gestion de relevé du courrier (POP et IMAP), POP est le plus ancien et le plus utilisé. Grâce à lui, les utilisateurs peuvent se connecter à leurs boîtes aux lettres, télécharger leurs messages sur leur machine locale et les supprimer du serveur. Les serveurs POP ne sont pas prévus pour le stockage permanent des messages et certains fournisseurs d accès Internet obligent les utilisateurs à les supprimer ou les transférer vers leur disque dur local après le premier téléchargement. Ce stockage temporaire des messages est le principal grief que l on puisse faire au protocole POP. En effet, cela pose problème pour les utilisateurs qui souhaitent consulter leur courrier depuis plusieurs emplacements, mais aussi pour les administrateurs système qui doivent mettre en œuvre une solution de sauvegarde des mes- 8
Accès libre Monter son serveur de mails sous Linux sages. Un autre inconvénient de taille est que POP ne puisse pas fournir plusieurs dossiers à chaque utilisateur, lequel ne peut accéder qu à sa boîte d arrivée des messages, inbox. Le protocole IMAP IMAP est une méthode d accès à une boîte aux lettres de «première classe». En effet, cette dernière admet le stockage permanent des messages sur le serveur, ce qui résout les problèmes de sauvegarde de l administrateur système et autorise à consulter ses messages de n importe où dans le monde (si les règles de pare-feu le permettent). IMAP implémente aussi de manière plus poussée les connexions TLS sécurisées, rendant le protocole plus sûr en milieu hostile. Un système de cache sur le disque local du client pour les messages et dossiers téléchargés est intégré dans la plupart des applications compatibles IMAP. Il améliore les performances et permet de travailler en mode offline, c est-à-dire en mode déconnecté. Le protocole SMTP SMTP est un protocole orienté ligne de texte qui utilise le protocole TCP (Transmission Control Protocol), ce qui le rend trivial à décoder. Initier une session SMTP à l aide du classique programme Telnet présent sur presque toutes les machines n est pas plus compliqué. Voyons les différentes étapes d une session SMTP : 1 Connexion sur le port 25 du serveur. 2 Après avoir reçu le message d accueil du serveur, le client doit répondre par hello, ou de nos jours par EHLO ou HELO, suivi du nom de la machine cliente. 3 Si le serveur accepte la réponse, le client peut démarrer la première transaction de courrier. Une transaction de courrier SMTP est constituée de 3 parties : un expéditeur ; un ou plusieurs destinataire(s) ; le contenu ou corps du message. L expéditeur est renseigné par la commande MAIL FROM, chaque destinataire avec une commande RCPT TO, et le corps du message commence après la commande DATA. Une fois le message accepté par le serveur, le client peut continuer avec d autres transactions ou terminer la session SMTP par la commande QUIT. 9
Un exemple valant mieux que de longs discours, le code suivant vous présente une session SMTP classique. Les lignes en caractères gras sont celles que le client envoie au serveur : 220 mail.example.com ESMTP Postfix (2.2.3) EHLO gw.example.net 250-mail.example.com 250-PIPELINING 250-SIZE 250-VRFY 250-ETRN 250 8BITMIME MAIL FROM:<jack@example.net> SIZE=112 250 Ok RCPT TO:<jill@example.com> 250 Ok RCPT TO:<jack@example.com> 250 Ok RCPT TO:<joe@example.com> 550 <joe@example.com>: Recipient address rejected: User unknown in local recipient table DATA 354 End data with <CR><LF>.<CR><LF> Subject: Test mail To: <root@example.com> Date: Sun, 15 May 2005 20:23:22 +0200 (CEST) This is a test message.. 250 Ok: queued as B059D3C2B QUIT 221 Bye 1 Notions de base sur Linux et le courrier électronique Dans cet exemple, une machine se présentant comme gw.example.com se connecte à un serveur SMTP mail.example.com. Comme la première réponse du serveur contient le mot ESMTP (Enhanced SMTP), le client tente de répondre par EHLO au lieu de HELO. Le serveur accepte la réponse du client et renvoie en retour la liste des extensions ESMTP reconnues. En même temps que l adresse d expéditeur, le client précise l attribut SIZE pour annoncer la taille du message au serveur, puisque ce dernier a annoncé qu il acceptait cette extension. Ainsi, si la taille précisée par le client dépasse la limite acceptée par le serveur, ce dernier le signalera immédiatement, évitant de la sorte au client de taper la totalité du courrier et d attendre le refus du serveur (et de saisir une version raccourcie du message)! Un message peut évidemment être destiné à plusieurs personnes. C est un point qu il ne faut pas oublier si vous décidez de mettre en place des stratégies de gestion. Dans l exemple précédent, comme le serveur accepte les deux premiers destinataires, le client va tenter d envoyer le RÉSEAU Le protocole ESMTP Le protocole ESMTP (Enhanced Simple Mail Transfer Protocol), extension du protocole SMTP, complète ce dernier en y intégrant la prise en charge des types MIME et le DSN. MIME (Multipurpose Internet Mail Extensions) permet d intégrer des données comme du son, des images, etc., dans les messages. DSN (Delivery Status Notification) implémente la fonctionnalité d accusé de réception pour savoir si un message a bien été livré et sinon, pourquoi. 10
Accès libre Monter son serveur de mails sous Linux corps du message, même si la troisième adresse est refusée. Le message est bien accepté par le serveur et placé en file d attente pour la livraison aux deux destinataires validés (250 Ok: queued as B059D3C2B). Le serveur renvoie à l expéditeur un non-delivery message (message de non livraison), plus connu sous l appellation de bounce, concernant l adresse invalide. Le serveur aurait aussi bien pu rejeter l ensemble du message : dans ce cas, il ne l aurait délivré à aucun des destinataires. En d autres termes, le serveur doit soit rejeter, soit accepter le message, mais pour l ensemble des destinataires. Il est aussi essentiel de bien comprendre la différence entre l enveloppe et les en-têtes. L enveloppe d un message contient les informations fournies par les commandes MAIL FROM et RCPT TO, c est-à-dire les données nécessaires à l acheminement du courrier : l expéditeur et le ou les destinataire(s). Un serveur SMTP n accorde aucune importance aux champs From, To et Cc des en-têtes du message. Dans notre exemple, l en-tête To contient une seule adresse avec le domaine (example.com) comme seul point commun avec celles des destinataires de l enveloppe ; c est juste une coïncidence, sans signification particulière. Les bounces sont toujours renvoyés à l adresse d expéditeur de l enveloppe, dans notre cas jack@example.net. L adresse d expéditeur des bounces est l adresse d expéditeur vide, souvent nommée Null Sender. Bien que ce soit tentant pour certains, il ne faut pas bloquer sur votre serveur les messages arrivant avec l adresse d expéditeur vide. Nous n avons pas encore parlé des codes numériques retournés par le serveur en début de chaque ligne. Chaque nombre a une signification particulière et il est important de savoir interpréter correctement le premier chiffre de chaque code renvoyé. Tableau 1 2 Signification du premier chiffre des codes retour SMTP Premier chiffre Signification 2 Le serveur a accepté la commande précédente et attend la suivante. 3 Utilisé en réponse à la commande DATA pour signifier que le serveur est prêt à recevoir le corps du message. 4 Erreur temporaire : la commande en cours ne peut pas être exécutée pour le moment mais le sera avec succès ultérieurement. 5 Erreur permanente : la commande ne sera jamais acceptée. Dans le protocole SMTP, les conditions d erreur sont soit temporaires, soit permanentes. Les codes de retour commençant respectivement par 4 ou 5 signalent ces erreurs. Un client qui reçoit un code d erreur commençant par 4 devrait se déconnecter, conserver le message en file 11
d attente et faire une nouvelle tentative ultérieurement. Parmi les erreurs temporaires, nous pouvons citer les suivantes : disque contenant la file d attente plein ; erreur de configuration serveur à résoudre avant d accepter de nouveaux messages ; erreur temporaire de résolution DNS (Domain Name Server) ;... Les erreurs permanentes ont le premier chiffre du code retour à 5 et signifient que la requête courante ne sera jamais acceptée par le serveur. Dans ce cas, le client devra supprimer le message de la file d attente et signaler par un bounce à l expéditeur que le courrier ne pourra pas être acheminé. Courrier électronique et DNS Le DNS (Domain Name System ou Domain Name Server) joue un rôle important dans le courrier électronique. Il est utilisé à la fois par les programmes clients de courrier et par les serveurs de messagerie. Même si vous n envisagez pas de gérer votre propre serveur DNS, une compréhension précise de sa fonction est nécessaire pour tout administrateur d un serveur de messagerie. La section suivante suppose que vous connaissiez déjà les notions de bases du fonctionnement d un serveur DNS. EN SAVOIR PLUS Le protocole SMTP SMTP couvre bien plus d aspects que ceux abordés dans cette brève description servant juste d introduction. Plusieurs RFC traitent de SMTP mais les plus importantes sont la RFC 821 (Simple Mail Transfer Protocol) et la RFC 822 (Standard for the format of ARPA Internet text messages). Pour en savoir plus : B http://www.faqs.org/rfcs/rfc821.html B http://abcdrfc.free.fr/rfc-vf/rfc821.html B http://www.faqs.org/rfcs/rfc822.html B http://jlr31130.free.fr/rfc822.html 1 Notions de base sur Linux et le courrier électronique Les enregistrements DNS utilisés par les applications de courrier électronique Dans de nombreux contextes réseau, seuls deux types d enregistrements DNS sont utilisés : l enregistrement A qui associe les noms de machines aux adresses IP ; l enregistrement PTR qui associe les adresses IP aux noms de machines. Le courrier électronique utilise aussi ces deux types, plus un troisième qui lui est uniquement dédié, l enregistrement MX (Mail exchanger) du domaine. Comment un serveur SMTP sait-il à quelle machine livrer un message destiné à un domaine particulier? Comme vous pouvez vous en douter, le domaine du destinataire est utilisé comme critère de recherche par une ou plusieurs requêtes DNS. La première recherche effectuée consiste à récupérer cet enregistrement MX. RÉSEAU L enregistrement L enregistrement DNS MX (Mail exchanger) indique aux logiciels de transfert de courrier électronique les machines vers lesquelles ils peuvent acheminer leurs messages. Chaque domaine possède un ou plusieurs enregistrement(s) MX précisant les adresses des serveurs de courrier auxquelles il faudra livrer les messages lui étant destinés. 12
Accès libre Monter son serveur de mails sous Linux TECHNIQUE La répartition de charge La répartition de charge, ou load-balancing, est une technique qui consiste à partager et équilibrer une charge, un travail, sur plusieurs serveurs. Cette technique aide à répondre efficacement à de grosses demandes ou à des pics d activité. Le moteur de recherche Google utilise cette technique pour réguler l activité de ses serveurs web. Il est en effet difficilement concevable qu une seule machine réponde à l ensemble des requêtes. Lorsque vous interrogez le moteur, votre requête arrive sur un des répartiteurs de charge qui va l orienter pour traitement vers la machine la plus appropriée, la moins chargée. Par exemple, les enregistrements MX sont utilisés pour préciser que les messages destinés à une personne du domaine example.com doivent être livrés à la machine nommée mail.example.com. Si le domaine d un destinataire ne dispose pas d un enregistrement de type MX, on essaie de récupérer un enregistrement de type A. Si ces deux tentatives sont vaines, le message est marqué comme non délivrable et est retourné à l expéditeur. Deux raisons principales justifient d utiliser ces enregistrements MX. Premièrement, ce n est pas du tout une bonne idée d attribuer au serveur de courrier d un domaine l adresse retournée par son enregistrement A. Que va-t-il se passer si la société Example, dont le site Internet est accessible par http://www.example.com/, autorise l utilisation de l URL de visite courte http://example.com, mais ne souhaite pas que le serveur web soit sur la même machine que le serveur de courrier? Toutefois, la raison la plus importante est qu une requête DNS MX ne renvoie pas uniquement une liste de machines, mais plutôt une liste de tuples (machine, priorité). Le champ priorité de chaque tuple est un nombre entier précisant la priorité de la machine au sein de la liste. La valeur de ce nombre importe peu mais est utilisée en conjonction avec les autres entrées pour créer une liste ordonnée de machines auxquelles tenter de délivrer un message. La liste est triée par ordre croissant et ainsi, la machine avec le champ priorité le plus faible sera contactée en premier. Si deux machines ont la même priorité, elle seront utilisées de manière aléatoire. Les enregistrements MX de priorité égale mettent ainsi en œuvre une forme simpliste de répartition de charge entre deux serveurs ou plus. Cette technique est aussi possible avec les enregistrements de type A. Signalons tout de même que la hiérarchie mise en place à l aide des enregistrements MX pour les serveurs de courrier secondaires d un domaine ne peut pas être utilisée pour les enregistrements A. Pour expliciter cette hiérarchie, supposons qu une structure dispose de plusieurs serveurs de messagerie, organisés selon le tableau 1-3. Tableau 1 3 Exemple d enregistrements MX Priorité Machine 10 mx1.example.com 10 mx2.example.com 20 mx3.example.com 30 mx4.example.com 13
Si cette configuration est mise en place pour le domaine example.com, les serveurs SMTP devant lui livrer des messages contacteront d abord mx1.example.com ou mx2.example.com. Si cela échoue, le serveur mx3.example.com sera alors contacté et mx4.example.com en cas de nouvel échec. Si malgré tout, le message n a pu être acheminé, il sera conservé en file d attente en vue d une tentative ultérieure. Serveurs de courrier de secours Il semble très judicieux de disposer d un serveur de secours pour recevoir vos messages quand votre serveur primaire est indisponible. Pourtant, les connexions Internet actuelles fiables et la propagation des spams, vers et autres nuisances tendent à rendre cette solution inutile, voire parfois nuisible, dangereuse. Le rôle d un serveur de secours est de recevoir vos messages quand votre serveur primaire est indisponible et de les lui délivrer dès que ce dernier redevient actif. Malgré tout, cela présente peu d intérêt du fait que les serveurs SMTP doivent conserver au moins 5 jours les messages en attente avant de les retourner à leur expéditeur. Un serveur de secours vous permettrait de les conserver plus de 5 jours, mais si votre serveur primaire reste indisponible plus longtemps, alors vous avez certainement des problèmes plus importants que la perte de quelques messages. Cela nous amène à reconsidérer le problème de la propagation des courriers électroniques non sollicités, les spams. En général, les solutions de lutte contre le spam ne sont pas implémentées sur les serveurs de secours, mais seulement sur le serveur primaire. Cela incite donc les spammeurs à prendre pour cibles lesdits serveurs de secours. Une autre raison très importante de vous passer d un serveur de secours est qu il ne fait pas de contrôle des destinataires. Ne sachant pas quels destinataires sont valides pour les domaines dont ils sont serveurs de secours, ils acceptent tous leurs messages et essaient de les délivrer au serveur primaire. Celui-ci va ensuite refuser les destinataires invalides, obligeant le serveur de secours à renvoyer ces messages à leurs expéditeurs. C est ce qu on appelle les notifications indésirables (backscatter mail en anglais). Cela pose deux problèmes importants : Les adresses d expéditeur sont souvent valides, mais empruntées à des utilisateurs réels, étrangers à toute cette manipulation. On parle alors d adresses spoofées. Ceux-ci recevront donc, à leur grande surprise, ces notifications indésirables. 1 Notions de base sur Linux et le courrier électronique 14
Accès libre Monter son serveur de mails sous Linux À RETENIR Validation de destinataire Ayez donc bien à l esprit qu un serveur très sollicité, ne faisant pas de validation de destinataire et étant fortement spammé, pourra avoir des milliers, voire des dizaines de milliers de messages non délivrables en file d attente. Votre file d attente pourra être saturée par des messages de notifications ne pouvant être délivrés, le serveur de destination étant indisponible. En résumé Dans ce chapitre, nous avons d abord évoqué les raisons qui peuvent vous inciter à héberger votre propre serveur de messagerie. Les aspects techniques comme le type de connexion et la configuration matérielle ont ensuite été abordés. La connaissance, la compréhension des protocoles de communication réseau est évidemment importante pour gérer de manière efficace votre serveur. Parmi ceux-ci, retenons POP, IMAP et, le plus important, SMTP, que nous avons étudié de façon plus poussée. Nous avons terminé par le DNS et la place importante qu il occupe dans le domaine de la messagerie électronique. 15