Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Postfix et ssl

19 réponses
Avatar
David BERCOT
--Sig_/Sd5rEr+4EBWzIwD0M_D926b
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: quoted-printable

Bonjour,

Jusqu'=C3=A0 pr=C3=A9sent, je n'utilisais mon serveur de messagerie qu'en l=
ocal.
Ainsi, les risques d'utilisation frauduleuse me semblaient plut=C3=B4t
r=C3=A9duits.

A pr=C3=A9sent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et =C3=A7a marche.
Par contre, je n'arrive pas =C3=A0 faire la m=C3=AAme chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/cl=C3=A9 au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais apr=C3=A8s, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe o=C3=B9 (et plus seulement en local) ?
Est-ce suffisamment s=C3=A9curis=C3=A9 ? En effet, comme ce sera =C3=A0 par=
tir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.

Merci d'avance.

David.

--Sig_/Sd5rEr+4EBWzIwD0M_D926b
Content-Type: application/pgp-signature; name=signature.asc
Content-Disposition: attachment; filename=signature.asc

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.9 (GNU/Linux)

iEYEARECAAYFAkp0Yh0ACgkQvSnthbGI8ygFJACfYv7wnl1IYQOH0ni/CksSGKYz
YGoAniro2t8bBQWzaPkMpEhfOXoQnPRS
=UPst
-----END PGP SIGNATURE-----

--Sig_/Sd5rEr+4EBWzIwD0M_D926b--

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org

10 réponses

1 2
Avatar
Ebling Andreas
David BERCOT wrote:
Bonjour,

Jusqu'à présent, je n'utilisais mon serveur de messagerie qu'en local.
Ainsi, les risques d'utilisation frauduleuse me semblaient plutôt
réduits.

A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais après, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.

Merci d'avance.

David.



Salut !
J'avais utilisé ce tuto
http://www.luxpopuli.fr/Internet/Postfix-Cyrus-IMAP-SSL-LDAP/Postfix-le-fichier-main.cf
pour configurer mon postfix.

Bon courage, hésite pas si tu as des questions.
--
Ebling Andreas
IT Division Credit Suisse

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Jean-Yves F. Barbier
David BERCOT a écrit :
....
A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais après, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.



Si mes souvenirs sont bons, ça a aussi à voir avec saslauth.

Personnellement, ça m'a gavé au bout d'un certain temps (et d'un temps certain:),
et j'ai fini par setupêter Apache en SSL only + installer Squirrelmail: ça m'a pris
plus de 15 minutes pour trouver les bonnes commandes de génération des clés ssh
(ssh c'est tjrs la galère pour trouver la bonne info...), et moins de 3 minutes
pour le reste.

C'est accessible de n'importe où, ça peut contenir ton carnet d'adresses et ça permet
d'outrepasser facilement l'éventuel filtrage du port 25.

Si ça t'intéresse, j'ai gratté un chtit script pour automatiser la création des
clé & certificat.

A moins, bien sur que tu ne cherches qu'à proposer la facilité d'un STMP direct à
des users distants (auquel cas je suis intéressé par la solution)

JY
--
Working here is like a pregnancy. After nine months you wish you hadn't come.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
David BERCOT
Le Sat, 01 Aug 2009 18:22:21 +0200,
"Jean-Yves F. Barbier" a écrit :
David BERCOT a écrit :
....
A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-)) ).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais après, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2. html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.



Si mes souvenirs sont bons, ça a aussi à voir avec saslauth.



Oui, il semblerait ;-)
Si j'ai bien compris, saslauth permettrait de gérer l'authentification
et, en plus, on utiliserait SSL pour le cryptage.

Toutefois, j'aurais besoin de 2 choses :
- que les messages de mon domaine arrivent normalement sur mon serveur
(port 25)
- que les messages que j'envoie (vers n'importe quel domaine) passent
par un port différent et nécessitent une authentification (la m ême
que celle que j'utilise pour relever le courrier).

Et là, j'ai du mal !!!

Personnellement, ça m'a gavé au bout d'un certain temps (et d'un temps
certain:), et j'ai fini par setupêter Apache en SSL only + installer
Squirrelmail: ça m'a pris plus de 15 minutes pour trouver les bonnes
commandes de génération des clés ssh (ssh c'est tjrs la gal ère pour
trouver la bonne info...), et moins de 3 minutes pour le reste.

C'est accessible de n'importe où, ça peut contenir ton carnet
d'adresses et ça permet d'outrepasser facilement l'éventuel filt rage
du port 25.

Si ça t'intéresse, j'ai gratté un chtit script pour automat iser la
création des clé & certificat.

A moins, bien sur que tu ne cherches qu'à proposer la facilité d 'un
STMP direct à des users distants (auquel cas je suis intéress é par la
solution)



Ben oui, c'est exactement ça que je voudrais... Pas de bol :-(

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
serge
Le Saturday 01 August 2009 17:41:17 David BERCOT, vous avez écrit  :
Bonjour,

Jusqu'à présent, je n'utilisais mon serveur de messagerie qu'en local.
Ainsi, les risques d'utilisation frauduleuse me semblaient plutôt
réduits.

A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais après, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.h tm
l et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à p artir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.

Merci d'avance.

David.



Je ne suis pas un adepte de Postfix ( plutôt Exim http://www.exim.org ). La
doc de Gazette Linux (n°142) est par contre parfaite pour ce que tu de mandes.

* Authentification SMTP avec Postfix

<http://ftp.traduc.org/doc-vf/gazette-linux/html/2007/142/lg142-C.html#logi ciels>

@+
--
(o_
(/)_
S e r g e

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Jean-Yves F. Barbier
David BERCOT a écrit :
...
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".







wai, c'était aussi mon PB ('gade si postfix a bien été compilé avec les supports
de TLS et de SASL)

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.


Si mes souvenirs sont bons, ça a aussi à voir avec saslauth.



Oui, il semblerait ;-)
Si j'ai bien compris, saslauth permettrait de gérer l'authentification
et, en plus, on utiliserait SSL pour le cryptage.



sèpuçètroloin

Toutefois, j'aurais besoin de 2 choses :
- que les messages de mon domaine arrivent normalement sur mon serveur
(port 25)



tu veux parler des arrivées d'e-mails externes je suppose, genre je t'écris
à , ça transite par gmail.com et ça finit chez toi par ton SMTP?

- que les messages que j'envoie (vers n'importe quel domaine) passent
par un port différent et nécessitent une authentification (la même
que celle que j'utilise pour relever le courrier).


...
A moins, bien sur que tu ne cherches qu'à proposer la facilité d'un
STMP direct à des users distants (auquel cas je suis intéressé par la
solution)



Ben oui, c'est exactement ça que je voudrais... Pas de bol :-(



Ben ça tombe bien: comme ça je récupérerais aussi la réponse.
(presque même PB, mais encryptions différentes: sortie vers gmail.com
et... PB pour avoir une authentification différente en interne; en fait une
encryption tout court)

--
The whole world is a scab. The point is to pick it constructively.
-- Peter Beard

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
David BERCOT
Le Sat, 01 Aug 2009 19:22:55 +0200,
"Jean-Yves F. Barbier" a écrit :
David BERCOT a écrit :
...
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO- 2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".







wai, c'était aussi mon PB ('gade si postfix a bien été comp ilé avec
les supports de TLS et de SASL)

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à   partir
d'un appareil nomade, je peux avoir n'importe quelle adresse IP.


Si mes souvenirs sont bons, ça a aussi à voir avec saslauth.



Oui, il semblerait ;-)
Si j'ai bien compris, saslauth permettrait de gérer
l'authentification et, en plus, on utiliserait SSL pour le cryptage.



sèpuçètroloin



Ca a l'air de bien être ça ;-)

Toutefois, j'aurais besoin de 2 choses :
- que les messages de mon domaine arrivent normalement sur mon
serveur (port 25)



tu veux parler des arrivées d'e-mails externes je suppose, genre je
t'écris à , ça transite par gmail.com et ça finit
chez toi par ton SMTP?



Exactement...

- que les messages que j'envoie (vers n'importe quel domaine) passent
par un port différent et nécessitent une authentification (l a même
que celle que j'utilise pour relever le courrier).


...
A moins, bien sur que tu ne cherches qu'à proposer la facilità © d'un
STMP direct à des users distants (auquel cas je suis intéres sé par
la solution)



Ben oui, c'est exactement ça que je voudrais... Pas de bol :-(



Ben ça tombe bien: comme ça je récupérerais aussi la r éponse.



Euh, non en fait, sauf si quelqu'un répond quand même ;-)

(presque même PB, mais encryptions différentes: sortie vers gmai l.com
et... PB pour avoir une authentification différente en interne; en
fait une
encryption tout court)



Finalement, ça m'a l'air un peu compliqué, mais surtout, je me di s que
ça va introduire des failles dans mon système qui est bien sà ©curisé.
Comme cela ne concerne que mon nouveau jouet (un HTC Hero sous Androïd
pour ne pas le nommer ;-))), je vais utiliser une adresse gmail...

Merci néanmoins à chacun pour vos contributions...

David.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Jean Baptiste
Bonsoir,
Juste pour être sûr...
Une fois que tu es connecté, as-tu tapé la commande STARTTLS ?

Parce que, par défaut et c'est conseillé de le garder, le SSL ou TLS ne
sont pas obligatoire sur le port 25.
Ce port est "réservé" à l'envoi de mail entre serveur. Par exemple,
gmail ne supporte pas le TLS sur le port 25. Je me suis fais avoir
lorsque j'ai voulu l'imposer: mes mails de Gmail n'arrivaient plus sur
mon serveur.

En revanche, pour l'envoi authentifié, il vaut mieux utiliser le port
TCP/587. Et là, tu peux forcer le SSL ou le TLS: la plupart des clients
le supporte.

Si cela répond à ta question, je peux poster la conf de mon serveur. Ça
pourra peut-être servir (accessoirement, ça m'obligera à documenter le
truc) ;-)

Cordialement,
JB

On 01/08/2009 17:41, David BERCOT wrote:
Bonjour,

Jusqu'à présent, je n'utilisais mon serveur de messagerie qu'en local.
Ainsi, les risques d'utilisation frauduleuse me semblaient plutôt
réduits.

A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file& smtpd_tls_key_file.
Mais après, comment faire ???
J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html
et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".

D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?
Est-ce suffisamment sécurisé ? En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.

Merci d'avance.

David.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
mouss
David BERCOT a écrit :
Bonjour,

Jusqu'à présent, je n'utilisais mon serveur de messagerie qu'en local.
Ainsi, les risques d'utilisation frauduleuse me semblaient plutôt
réduits.

A présent, j'aurais besoin de l'ouvrir un peu (la vie est dure ;-))).
J'ai donc modifier dovecot pour utiliser SSL et ça marche.
Par contre, je n'arrive pas à faire la même chose pour postfix !

A priori, j'ai besoin de mettre mes certificat/clé au niveau des
variables smtpd_tls_cert_file & smtpd_tls_key_file.
Mais après, comment faire ???



Tu as activé TLS dans main.cf? et rechargé la config (postfix reload).

que donnent:
$ postconf mail_version
et
$ postconf -n |grep tls

Attention à la coquille commune: smtp != smtpd


J'ai suivi ce tuto :
http://www.palmcoder.net/files/howtos/Postfix%20SSL/Postfix_SSL-HOWTO-2.html



Elle est pas bien la doc officielle?

http://www.postfix.org/TLS_README.html

Si on utilise une doc qui date, on risque de vivre dans un monde où le
temps se fige ;-p


et, en local, si je fais un telnet monserveur 25, j'ai bien la
connexion, mais je n'ai pas la partie : "220 Ready to start TLS".




et avant ça, quand tu tapes la commande EHLO, est-ce que tu vois
STARTTLS parmi les extensions supportées?



D'autre part, comment faire en sorte d'autoriser les connexions de
n'importe où (et plus seulement en local) ?



si tu veux utiliser le port 587 ("submission"), il suffit de l'activer
master.cf. avec les options suivantes:

submission inet n - n - - smtpd
-o smtpd_tls_security_level=encrypt
-o smtpd_recipient_restrictions=permit_sasl_authenticated,reject

l'authentification sera necessaire et TLS est forcé.


Est-ce suffisamment sécurisé ?



- il faut appliquer les mises à jour de sécurité. par exemple, s'il y a
un gros bug dans openssl, faut pas laisser trainer.
- il faut protéger le mot de passe. En particulier, "mdp toujours
sortira couvert", y compris si tu utilises un webmail (donc forcer https).

si tu te connectes d'une machine qui n'est pas la tienne (genre
cybercafé), les choses deviennent plus corsées.


En effet, comme ce sera à partir d'un
appareil nomade, je peux avoir n'importe quelle adresse IP.

Merci d'avance.

David.



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Ludovic GOMEZ
David BERCOT a écrit :


Finalement, ça m'a l'air un peu compliqué, mais surtout, je me dis que
ça va introduire des failles dans mon système qui est bien sécurisé.
Comme cela ne concerne que mon nouveau jouet (un HTC Hero sous Androïd
pour ne pas le nommer ;-))), je vais utiliser une adresse gmail...

Merci néanmoins à chacun pour vos contributions...

David.






Bonjour,

tu peux utiliser le smtp de gmail pour envoyer tes mails ou celui de ton
opérateur.

@+

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Avatar
Daniel Huhardeaux
David BERCOT a écrit :
[...]

tu peux utiliser le smtp de gmail pour envoyer tes mails ou celui de
ton opérateur.




Mais pas avec mon adresse, si ?



Si
Pour GMail, je m'identifie pour l'envoi, mais avec un compte GMail...
Ce serait donc celui-ci qui sera l'envoyeur, non ?



Non. gmail peut aussi s'occuper d'autres domaines de manière transparente

--
Daniel

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
1 2