Postfix - Pop- Imap

Institut
Universitaire de
Technologie
Département
Réseaux et
Télécommunications
Année 2008-2009
Licence Pro
IRM
U4
Nice-Côte d'Azur
Travaux Pratiques
Configuration d'un serveur
Postfix - Pop- Imap - Clamav
But du TP
Dans cette manipulation vous allez devoir configurer un serveur de mail (postfix) des
serveurs de distribution de mail (pop et imap) un anti-virus (clamav) et si le temps vous le
permet, filtrer tous les messages au moyen de amavis.
I. Les serveurs de messagerie
1. Configuration de Postfix
La configuration d'un serveur de mail est une opération très délicate. En effet le serveur doit
gérer des flux entrants, sortants et en relais. C'est, comme d'habitude, difficile de savoir quoi
autoriser sans qu'il y ait d'abus.
Faute de temps et de d'espace réseau (des pare-feu empêchent toute communication externe)
nous nous contenterons d'un serveur local et ne pourrons pas tester les configurations de relais.
Si l'installation de postfix-tls et postfix s'est bien déroulée, nous allons
reprendre la configuration.
dpkg-reconfigure postfix
Répondre aux questions en indiquant qu'il s'agit d'un serveur internet (cas plus
réaliste). Choisir aussi que la machine relaye pour tout le réseau de la salle,
cela nous permettra de faire des échanges entre machines. Ne pas choisir
« procmail »
La configuration est alors présente dans le fichier /etc/postfix/main.cf
que l'on peut comparer au fichier général
/usr/share/postfix/main.cf.dist
Il est clair que l'on n'a pas configuré toutes les possibilités.
Cependant les paramètres sont quand-même positionnés:
postconf
montre l'ensemble des paramètres de configuration.
L'autre fichier à configurer dans postfix est master.cf. Il gère les
utilitaires intégrés à postfix. Nous n'y touchons pas pour l'instant.
Vérifier que port 25 est ouvert puis vous y connecter.
Vous inspirer du Listing 1 page 4 en adaptant à votre cas sur votre machine.
2. Configuration du serveur ipop
C'est une chose assez simple. Nous allons configurer ce serveur POP3 avec les utilitaires Debian
et nous mettons en œuvre à la fois les services normaux (non cryptés) et cryptés. Le mode chiffré
peut fonctionner de deux manières : en SSL et en TLS. L'avantage du TLS est qu'il utilise le même
port que le mode en clair (110) alors que pop3s utilise le port 995.
Reconfigurons le paquet:
dpkg-reconfigure ipopd
Il faut choisir les ports pop3 et pops, pop2 est en désuétude.
Le système de reconfiguration construit des certificats et incite à modifier
xinetd. En effet pop, comme imap d'ailleurs, n'est pas lancé en tant que
démon en permanence au démarrage de la machine, mais à la demande par
un fork des super-processus inetd ou xinetd. La reconfiguration modifie
le fichier /etc/inetd.conf mais, manque de chance, le système choisi
dans la salle 408 est xinetd. Il faut alors ajouter des fichiers dans le
répertoire /etc/xinetd.d/ fichiers que vous pouvez trouver à l'adresse
http://kheops.unice.fr/~mathieu/acces/RT-LP/RT-LP-U4/. Il s'agit des
fichiers pop3d et pops. Les installer.
Il faut obliger xinetd à prendre en compte sa nouvelle configuration:
/etc/init.d/xinetd reload
On peut alors vérifier par telnet que le serveur pop écoute sur le port 110.
Il est aussi possible de vérifier que les ports 110 et 995 sont ouverts.
On maintenant tout ce qu'il faut pour lire et envoyer des messages.
Configurer un client mail pour lire les messages sur le site local avec un
utilisateur autre que root. Attention root est traité de manière spéciale. Il
n'est pas possible de s'authentifier par mot de passe sur un serveur POP
actuel avec une connexion non cryptée.
Envoyer un message en local à cisco ou autre compte que vous pouvez créer
pour l'occasion. Puis aller lire ce message.
Vérifier que la connexion est cryptée.
3. Configuration du serveur imap.
Cette configuration est très proche de celle de pop. Il faut surtout savoir que imap permet de
consulter ses messages plus facilement car il intègre une meilleure gestion des fichiers et des
répertoires. C'est le système qu'il faudra choisir si les clients consultent leurs messages à partir de
plusieurs lieux, le serveur conservant les messages à disposition. Par contre il est à éviter si la place
disponible est faible et le serveur peu puissant.
Imap2 et imap4 utilisent le même port 143 et imaps le port 993. imap3 est en désuétude et
ne doit pas être utilisé. Même remarque sur l'authentification pour imap que pour pop.
Page 2 / 4
Postfix - Pop- Imap - Clamav
Reconfigurer le paquet uw-imapd et choisir les bons ports.
Installer les fichiers xinetd. Prendre au besoin ceux que j'ai mis à disposition
sur le site Web.
Réactiver xinetd
Vérifier que les message peuvent être récupérés par IMAP.
II. Anti-virus
1. L'anti-virus clamav
Si tout c'est bien passé il a été installé au début de la manipulation. On peut l'utiliser de deux
manières. Une commande ligne interactive clamscan pour lancer un examen sur un fichier ou un
répertoire, ou un démon auquel on soumet des travaux.
Pour une utilisation manuelle, clamscan est plus intéressant mais pour une surveillance
permanente, le démon est plus efficace. C'est la méthode que nous utiliserons pour la surveillance
des mails.
Scanner une arborescence (pas trop grosse)
Tester dans le répertoire /usr/share/doc/clamav/test
Mettre à jour la base de signatures avec freshclam.
Que constate-t-on ? Quelle est la solution ? Est-elle une bonne idée ? Comment
pourrait-on faire ?
2. Filtrage des mails
Cette partie peut être faite mais ne fait pas partie du TP.
Grâce au logiciel amavisd, il est possible de scanner tous les messages entrants et sortants. Il
peut filtrer les spams les virus et autre problèmes que présentent les messages.
La manière de fonctionner est très simple.
Les flux sont envoyés par le logiciel qui demande le test sur le port 10024 et il les récupère sur le
port 10025.
La configuration de amavis doit être faite dans le fichier amavisd.conf.
Fichier 8-TP_postPopImap_lp_0809.odt imprimé le 19 déc. 2008
Travaux pratiques - U4 - Licence Professionnelle IRM
Page 3 / 4
gtr301c:~ pierre$ telnet localhost 25
Trying ::1...
telnet: connect to address ::1: Connection refused
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 gtr301p3.local ESMTP Postfix
helo localhost
250 gtr301p3.local
mail from: totolebeau
250 Ok
rcpt to:pierre
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
voici le message
.
250 Ok: queued as 129C41D0BE2
quit
221 Bye
Connection closed by foreign host.
gtr301c:~ pierre$ mail
Mail version 8.1 6/6/93. Type ? for help.
"/var/mail/pierre": 1 message 1 new
>N 1 totolebeau@gtr301p3. Mon Dec 4 08:25 14/492
&
Message 1:
From [email protected] Mon Dec 4 08:25:03 2006
X-Original-To: pierre
Delivered-To: [email protected]
Date: Mon, 4 Dec 2006 08:24:10 +0100 (CET)
From: [email protected]
To: undisclosed-recipients:;
voici le message
& q
Saved 1 message in mbox
Listing 1 Exemple de connexion au serveur de mail
Travaux pratiques - U4 - Licence Professionnelle IRM
Page 4 / 4