Postfix - Pop- Imap
Transcription
Postfix - Pop- Imap
Institut Universitaire de Technologie Département Réseaux et Télécommunications Année 2008-2009 Licence Pro IRM U4 Nice-Côte d'Azur Travaux Pratiques Configuration d'un serveur Postfix - Pop- Imap - Clamav But du TP Dans cette manipulation vous allez devoir configurer un serveur de mail (postfix) des serveurs de distribution de mail (pop et imap) un anti-virus (clamav) et si le temps vous le permet, filtrer tous les messages au moyen de amavis. I. Les serveurs de messagerie 1. Configuration de Postfix La configuration d'un serveur de mail est une opération très délicate. En effet le serveur doit gérer des flux entrants, sortants et en relais. C'est, comme d'habitude, difficile de savoir quoi autoriser sans qu'il y ait d'abus. Faute de temps et de d'espace réseau (des pare-feu empêchent toute communication externe) nous nous contenterons d'un serveur local et ne pourrons pas tester les configurations de relais. Si l'installation de postfix-tls et postfix s'est bien déroulée, nous allons reprendre la configuration. dpkg-reconfigure postfix Répondre aux questions en indiquant qu'il s'agit d'un serveur internet (cas plus réaliste). Choisir aussi que la machine relaye pour tout le réseau de la salle, cela nous permettra de faire des échanges entre machines. Ne pas choisir « procmail » La configuration est alors présente dans le fichier /etc/postfix/main.cf que l'on peut comparer au fichier général /usr/share/postfix/main.cf.dist Il est clair que l'on n'a pas configuré toutes les possibilités. Cependant les paramètres sont quand-même positionnés: postconf montre l'ensemble des paramètres de configuration. L'autre fichier à configurer dans postfix est master.cf. Il gère les utilitaires intégrés à postfix. Nous n'y touchons pas pour l'instant. Vérifier que port 25 est ouvert puis vous y connecter. Vous inspirer du Listing 1 page 4 en adaptant à votre cas sur votre machine. 2. Configuration du serveur ipop C'est une chose assez simple. Nous allons configurer ce serveur POP3 avec les utilitaires Debian et nous mettons en œuvre à la fois les services normaux (non cryptés) et cryptés. Le mode chiffré peut fonctionner de deux manières : en SSL et en TLS. L'avantage du TLS est qu'il utilise le même port que le mode en clair (110) alors que pop3s utilise le port 995. Reconfigurons le paquet: dpkg-reconfigure ipopd Il faut choisir les ports pop3 et pops, pop2 est en désuétude. Le système de reconfiguration construit des certificats et incite à modifier xinetd. En effet pop, comme imap d'ailleurs, n'est pas lancé en tant que démon en permanence au démarrage de la machine, mais à la demande par un fork des super-processus inetd ou xinetd. La reconfiguration modifie le fichier /etc/inetd.conf mais, manque de chance, le système choisi dans la salle 408 est xinetd. Il faut alors ajouter des fichiers dans le répertoire /etc/xinetd.d/ fichiers que vous pouvez trouver à l'adresse http://kheops.unice.fr/~mathieu/acces/RT-LP/RT-LP-U4/. Il s'agit des fichiers pop3d et pops. Les installer. Il faut obliger xinetd à prendre en compte sa nouvelle configuration: /etc/init.d/xinetd reload On peut alors vérifier par telnet que le serveur pop écoute sur le port 110. Il est aussi possible de vérifier que les ports 110 et 995 sont ouverts. On maintenant tout ce qu'il faut pour lire et envoyer des messages. Configurer un client mail pour lire les messages sur le site local avec un utilisateur autre que root. Attention root est traité de manière spéciale. Il n'est pas possible de s'authentifier par mot de passe sur un serveur POP actuel avec une connexion non cryptée. Envoyer un message en local à cisco ou autre compte que vous pouvez créer pour l'occasion. Puis aller lire ce message. Vérifier que la connexion est cryptée. 3. Configuration du serveur imap. Cette configuration est très proche de celle de pop. Il faut surtout savoir que imap permet de consulter ses messages plus facilement car il intègre une meilleure gestion des fichiers et des répertoires. C'est le système qu'il faudra choisir si les clients consultent leurs messages à partir de plusieurs lieux, le serveur conservant les messages à disposition. Par contre il est à éviter si la place disponible est faible et le serveur peu puissant. Imap2 et imap4 utilisent le même port 143 et imaps le port 993. imap3 est en désuétude et ne doit pas être utilisé. Même remarque sur l'authentification pour imap que pour pop. Page 2 / 4 Postfix - Pop- Imap - Clamav Reconfigurer le paquet uw-imapd et choisir les bons ports. Installer les fichiers xinetd. Prendre au besoin ceux que j'ai mis à disposition sur le site Web. Réactiver xinetd Vérifier que les message peuvent être récupérés par IMAP. II. Anti-virus 1. L'anti-virus clamav Si tout c'est bien passé il a été installé au début de la manipulation. On peut l'utiliser de deux manières. Une commande ligne interactive clamscan pour lancer un examen sur un fichier ou un répertoire, ou un démon auquel on soumet des travaux. Pour une utilisation manuelle, clamscan est plus intéressant mais pour une surveillance permanente, le démon est plus efficace. C'est la méthode que nous utiliserons pour la surveillance des mails. Scanner une arborescence (pas trop grosse) Tester dans le répertoire /usr/share/doc/clamav/test Mettre à jour la base de signatures avec freshclam. Que constate-t-on ? Quelle est la solution ? Est-elle une bonne idée ? Comment pourrait-on faire ? 2. Filtrage des mails Cette partie peut être faite mais ne fait pas partie du TP. Grâce au logiciel amavisd, il est possible de scanner tous les messages entrants et sortants. Il peut filtrer les spams les virus et autre problèmes que présentent les messages. La manière de fonctionner est très simple. Les flux sont envoyés par le logiciel qui demande le test sur le port 10024 et il les récupère sur le port 10025. La configuration de amavis doit être faite dans le fichier amavisd.conf. Fichier 8-TP_postPopImap_lp_0809.odt imprimé le 19 déc. 2008 Travaux pratiques - U4 - Licence Professionnelle IRM Page 3 / 4 gtr301c:~ pierre$ telnet localhost 25 Trying ::1... telnet: connect to address ::1: Connection refused Trying 127.0.0.1... Connected to localhost. Escape character is '^]'. 220 gtr301p3.local ESMTP Postfix helo localhost 250 gtr301p3.local mail from: totolebeau 250 Ok rcpt to:pierre 250 Ok data 354 End data with <CR><LF>.<CR><LF> voici le message . 250 Ok: queued as 129C41D0BE2 quit 221 Bye Connection closed by foreign host. gtr301c:~ pierre$ mail Mail version 8.1 6/6/93. Type ? for help. "/var/mail/pierre": 1 message 1 new >N 1 totolebeau@gtr301p3. Mon Dec 4 08:25 14/492 & Message 1: From [email protected] Mon Dec 4 08:25:03 2006 X-Original-To: pierre Delivered-To: [email protected] Date: Mon, 4 Dec 2006 08:24:10 +0100 (CET) From: [email protected] To: undisclosed-recipients:; voici le message & q Saved 1 message in mbox Listing 1 Exemple de connexion au serveur de mail Travaux pratiques - U4 - Licence Professionnelle IRM Page 4 / 4