Outils pour utilisateurs

Outils du site


serveur_postfix2

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision
Révision précédente
serveur_postfix2 [2011/06/07 10:39] thierryserveur_postfix2 [2012/05/24 09:44] (Version actuelle) thierry
Ligne 338: Ligne 338:
  
 Faire comme pour le "pop" (en adaptant les noms de fichiers bien sur!) Faire comme pour le "pop" (en adaptant les noms de fichiers bien sur!)
 +
 +==== problemes ====
 +
 +=== filesystem ... ===
 +
 +Lien: http://www.tutorialnut.com/index.php/2010/05/18/quick-fix-filesystem-notification-initialization-error-contact-your-mail-administrator-check-for-configuration-errors-with-the-famgamin-library/
 +
 +Thunderbird dit:
 +  Filesystem notification initialization error -- contact your mail administrator (check for configuration errors with the FAM/Gamin library) 
 +  
 +Voir le lien ci-dessus.
  
 ===== SMTP authentifié ===== ===== SMTP authentifié =====
Ligne 430: Ligne 441:
   0: NO "authentication failed"   0: NO "authentication failed"
  
 +
 +| :!: Eviter de créer un compte **''test''** avec le mot de passe **''test''** (ou autres evidences) .\\ En moins de 24h, ce compte sera exploité par des intrus !!! (Expérience vécu! lol) |
  
 ==== Postfix ==== ==== Postfix ====
Ligne 570: Ligne 583:
   # -------------   # -------------
 ... sans oublier de mettre en commentaire la ligne ci-dessus. ... sans oublier de mettre en commentaire la ligne ci-dessus.
- + 
 + 
 +| :!: Ne pas oublier \\ Source: http://wiki.apache.org/spamassassin/IntegratedSpamdInPostfix | 
 + 
 +Dans **''main.cf''** ajouter une ligne comme cela: 
 +  spamassassin_destination_recipient_limit = 1 
 + 
 +Sinon, lorsque **''spamc''** doit traiter beaucoup de destinataire, il va caler avec ce message: 
 +  ... local configuration error. Command output: Exceeded max number of arguments (24) in /etc/spamassassin/spamc.conf 
 + 
 +La limite de "24" est en dur dans le source... et doit être vraissemblablement respecté. 
 + 
 +   
   # postfix reload   # postfix reload
  
Ligne 582: Ligne 607:
   X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=ham   X-Spam-Status: No, score=0.0 required=5.0 tests=none autolearn=ham
  version=3.3.1  version=3.3.1
- 
  
 | :!: A ce stade: il reste encore des trucs a personnaliser ! | | :!: A ce stade: il reste encore des trucs a personnaliser ! |
 +
 +
 +
  
 ==== spamassassin configuration ==== ==== spamassassin configuration ====
Ligne 665: Ligne 692:
 Et enfin: Et enfin:
   # /etc/init.d/spamassassin reload   # /etc/init.d/spamassassin reload
 +
 +== LOG ==
 +
 +Ajouter le traitement de la rotation des log de **''/home/spamc-nobody/.razor/razor-agent.log''** ... par exemple dans **''/etc/logrotate.d/razor''** :
 +  /var/log/razor-agent.log /home/spamc-nobody/.razor/razor-agent.log {
 +        weekly
 +        rotate 3
 +        compress
 +        nomail
 +        notifempty
 +        missingok
 +  }
  
 === dcc === === dcc ===
Ligne 709: Ligne 748:
 Ca marche ! Ca marche !
  
-==== clamav ====+== LOG ==
  
 +Si vous avez un serveur mail fortement sollicité, vous aurez sans doute le repertoire **''/var/dcc/log''** remplit de log (et autres?).
  
 +Il faut executer chaque jour le script: /var/dcc/libexec/cron-dccd
 +
 +Ainsi, dans le cron, ajouter par exemple:
 +  15 2  *  *  *  /var/dcc/libexec/cron-dccd
 +
 +=== language ===
 +
 +Un peu trop sévere pour les langues etrangeres...
 +
 +Donc editer le fichier "local.cf" et mettre:
 +
 +  # TextCat
 +  score UNWANTED_LANGUAGE_BODY 0.500
 +
 +==== ClamAV ou ClamSMTP ====
 +
 +=== Installer ===
 +
 +Lien: http://www.moroblog.info/Securiser-Postfix-avec-Amavis-et.html
 +
 +Clamav et postfix: http://www.debian-administration.org/articles/259
 +
 +  # aptitude install clamsmtp clamav-freshclam
 +
 +Oups ?\\
 +Attention : le répertoire personnel « /var/spool/clamsmtp » que vous avez indiqué n'est pas accessible : Aucun fichier ou répertoire de ce type
 +
 +Lien: http://www.ubuntuupdates.org/packages/show/172206
 +
 +Ca n'a pas d'incidence par la suite.
 +
 +Oups 2 ?
 +  LibClamAV Warning: **************************************************
 +  LibClamAV Warning: ***  The virus database is older than 7 days!  ***
 +  LibClamAV Warning: ***   Please update it as soon as possible.    ***
 +  LibClamAV Warning: **************************************************
 +lol?
 +
 +=== Postfix ===
 +
 +A savoir: la conf par defaut de "ClamSMTP" dit:\\
 +**''clamsmtp''** ecoute sur le port 10026 et renvoi le mail traité par le port 10025.
 +
 +Ce qu'on peut bien croire en voyant ça:
 +  # netstat -anp | grep clam
 +  tcp        0      0 127.0.0.1:10026         0.0.0.0:              LISTEN      2140/clamsmtpd
 +
 +Dans **''/etc/postfix/main.cf''** ajouter:
 +  # TJ ------------
 +  # clamav via clamsmtp
 +  # source: /usr/share/doc/clamsmtp/postfix.html
 +  
 +  content_filter = antivirus:127.0.0.1:10026
 +  receive_override_options = no_address_mappings
 +
 +Dans **''/etc/postfix/master.cf''** faire les modifs:
 +  # TJ ------------
 +  # ANTIVIRUS clamav
 +  # AV scan filter (used by content_filter)
 +  # (renommer "antivirus")
 +  
 +  antivirus    unix  -                         32      smtp
 +        -o smtp_send_xforward_command=yes
 +  
 +  # For injecting mail back into postfix from the filter
 +  127.0.0.1:10025 inet  n                               smtpd
 +        -o content_filter=
 +        -o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
 +        -o smtpd_helo_restrictions=
 +        -o smtpd_client_restrictions=
 +        -o smtpd_sender_restrictions=
 +        -o smtpd_recipient_restrictions=permit_mynetworks,reject
 +        -o mynetworks_style=host
 +        -o smtpd_authorized_xforward_hosts=127.0.0.0/8
 +
 +  # postfix reload
 +  
 +On n'a bien "master" (de Postfix) qui ecoute le port 10025:
 +  # netstat -anp | egrep "^tcp.*master"
 +  tcp        0      0 0.0.0.0:25              0.0.0.0:              LISTEN      23620/master    
 +  tcp        0      0 127.0.0.1:10025         0.0.0.0:              LISTEN      23620/master
 +
 +=== Test ===
 +
 +Test avec ce [[http://www.eicar.org/download/eicar_com.zip|fichier]] en piece jointe…
 +
 +(Ce n'est pas un virus, mais le fichier va faire réagir l'antivirus comme si il en était un.)
 +
 +Test entre 2 comptes locaux.
 +
 +Dans les logs:
 +  Jun  7 13:00:47 mail postfix/cleanup[2177]: B253E6C0F4: message-id=<4DEE04C6.8010405@tjaouen.fr>
 +  Jun  7 13:00:47 mail postfix/qmgr[2164]: B253E6C0F4: from=<xxxxNOSPAM@tjaouen.fr>, size=1654, nrcpt=1 (queue active)
 +  Jun  7 13:00:47 mail clamsmtpd: 100000: accepted connection from: 127.0.0.1
 +  Jun  7 13:00:47 mail postfix/smtpd[2186]: connect from localhost[127.0.0.1]
 +  Jun  7 13:00:47 mail postfix/smtpd[2186]: DCA7F6C0F5: client=localhost[127.0.0.1]
 +  Jun  7 13:00:47 mail spamd[32545]: prefork: child states: II
 +  Jun  7 13:00:48 mail postfix/smtp[2184]: B253E6C0F4: to=<yyyyNOSPAM@tjaouen.fr>, relay=127.0.0.1[127.0.0.1]:10026, delay=0.3, delays=0.03/0.06/0.11/0.11, dsn=2.0.0, status=sent (250 Virus Detected; Discarded Email)
 +  Jun  7 13:00:48 mail postfix/qmgr[2164]: B253E6C0F4: removed
 +  Jun  7 13:00:48 mail clamsmtpd: 100000: from=xxxxNOSPAM@tjaouen.fr, to=yyyyNOSPAM@tjaouen.fr, status=VIRUS:Eicar-Test-Signature
 +  Jun  7 13:00:48 mail postfix/smtpd[2186]: disconnect from localhost[127.0.0.1]
 +
 +ca marche aussi si le virus est envoyé de l'exterieur de notre reseau.
  
 ===== submission ===== ===== submission =====
 +
 +Lien: http://wiki.auf.org/wikiteki/Postfix/Authentification
  
 L'avenir du port 25, c'est le port "submission". L'avenir du port 25, c'est le port "submission".
Ligne 721: Ligne 866:
 Le port 25 reste en usage, mais seulement pour les clients non authentifiés, comme les clients/serveurs qui livrent les mails. Le port 25 reste en usage, mais seulement pour les clients non authentifiés, comme les clients/serveurs qui livrent les mails.
  
-FIXME+Port 587 pour le smtp, mais qui est forcement crypté. 
 + 
 +Il ne faut pas oublier de faire passer les mails via spamassassin (et autres modules, si existant)... 
 + 
 +==== Pour le serveur final ==== 
 + 
 +Dans **''master.cf''** , par exemple: 
 +  # source: http://wiki.auf.org/wikiteki/Postfix/Authentification 
 +  # TJ --------- 
 +  # port 587 
 +  # source: http://wiki.auf.org/wikiteki/Postfix/Authentification 
 +  submission inet n                               smtpd 
 +        -o smtpd_tls_security_level=encrypt 
 +        -o smtpd_sasl_auth_enable=yes 
 +   
 +On force l'encrytage et l'authentification "sasl"
 + 
 +  # postfix reload 
 +   
 + 
 +==== Pour un "frontal" (en relay) ==== 
 + 
 +Dans **''master.cf''** , par exemple: 
 +  # TJ --------- 
 +  # port 587 
 +  # source: http://wiki.auf.org/wikiteki/Postfix/Authentification 
 +  submission inet n                               smtpd 
 +        -o smtpd_tls_security_level=encrypt 
 +        -o content_filter=spamassassin 
 +        -o smtpd_client_connection_count_limit=60 
 +        -o smtpd_authorized_xforward_hosts=127.0.0.0/
 +  # ------------ 
 + 
 +Remarqué le "smtpd_tls_security_level=encrypt" qui force le chiffrement. 
 + 
 +  # postfix reload 
 + 
 +===== Anti-Spam en sortie ===== 
 + 
 +Liens: 
 +  *http://michauko.org/blog/2011/11/29/ralentir-le-debit-de-postfix-pour-wanadooorange/ 
 + 
 +===== PostScreen ===== 
 + 
 +Seulement dispo a partir de postfix 2.8 (pour le wheezy ou backports?) , permet de filtrer les spammeurs dés le debut de la communication.
  
 +Voir Linux Magazine de MARS 2012 , page 64 et suivante.
serveur_postfix2.1307443194.txt.gz · Dernière modification : 2011/06/07 10:39 de thierry