Recette pour serveur mail sécurisé

#1

je cherche une bonne recette pour monter un postfix sécurisé avec un frontal roundcube , merci d’avance.

#2

Yunohost peut être une bonne piste en désactivant les ports XMPP avec le parefeu.

Sinon mailinabox ?

#3

Salut !

C’est mal poli de répondre à côté de la plaque mais si ça peut
aider, je ne devrais pas me faire griffer non ? :wink:

+1 pour Yunohost (même si c’est sur Deb*** :-P)

GRaaou, kofkof, pardon, miaou

#4

Qu’entends tu pas «sécurisé» ?

Y’a pas mal de ressources sur le wiki de dovecot 2.

#5

eh bien monter mes deux serveurs de mail (HA) pour mon futur chaton … en espérant avoir une chance de :

  1. pas me faire ouvrir en 5 sec.,
  2. pas servir de relais ou autre base avancés pour les spammeurs (j’ai gérer du exchange en prod pro. pas du postfix ou sendmail … je suis donc potentiellement mauvais ;-),
  3. monter le filtrage de flux propre (antivirus, antispamm),
  4. un truc pro quoi !

Yunhost ? euh non …j’aime pas les trucs qui font tout (je ne dénigre pas : c’est pas ma conception d’une architecture pour héberger pas mal de monde etc …) : oui j’aime bien savoir ce que je fais de A à Z …
Mais is je suis un tuto : j’aime comprendre tout ce que je fais.

Merci 18informatique, je veux potasser

#6

Je partage une de mes recherches :
http://www.yakati.info/article151/presentation-de-la-traduction-pour-debian-stretch/

#7

Coucou,

monter mes deux serveurs de mail (HA) pour mon futur chaton

Conseil : commence par en monter un seul. Les difficultés du mail ne sont pas liés à la HA. Par contre avoir 2 serveurs mails montés naïvement c’est multiplier par deux la surface d’emmerdes. Tu apprendras par la pratique pour avancer plus loin.

pas servir de relais ou autre base avancés pour les spammeurs (j’ai gérer du exchange en prod pro. pas du postfix ou sendmail … je suis donc potentiellement mauvais ;-),

Tu peux commencer par https://iletaitunefoisinternet.fr/lemail-par-benjamin-sonntag/index.html puis https://debian-handbook.info/browse/fr-FR/stable/network-services.html#sect.smtp-mail-server

monter le filtrage de flux propre (antivirus, antispamm),

Regarde amavis.

Pour le reste, regarde dovecot, nginx, letsencrypt et éventuellement postfixadmin.

#8

Merci Polux, une fois ma plateforme hardware stabilisé … et placée dans les locaux (j’attends la aussi le retour de la mairie …) je vais … faire feu ! (lol)

#9

Salut,

Tu peux regarder du côté de iRedMail ( https://www.iredmail.org/ ).
C’est un gros script qui va t’installer les packages debian (ou de la distro supportée), les configurer en fonction de tes choix (backend, …) et ensuite te laisser les clés du camion avec une infra préconf prête à l’emploi.

Pour la prise en main, tu as accès à tout, ya rien d’obscure. Tu as même une interface d’admin toute simple pour la création de compte mail et l’ajout de nouveaux domaines.

Je l’ai installé depuis 2013 et depuis j’en suis pleinement satisfait :wink:

#10

2 projets que j’aime bien et qui font le travail

#11

ya également

désolé étant nouveau membre je peux posté seulement 2liens par message

#12

Merci , super toutes ces pistes.

#13

Bonjour à tous,

Je remonte le topic pour discuter sécurité sur les serveurs mail en général. Que ce soit sur iredmail, ispmail, modoboa ou mailcow, il existe des mesures minimales à implémenter. Selon vous, quelles sont les fonctions de sécurité qu’il faut implémenter pour protéger les utilisateurs, l’infrastructure et se protéger des spammeurs ?

Sur notre service nous avons mis en place dkim, dmarc, spf sur une infrastructure modoboa. Est-ce que vous voyez d’autres éléments particuliers à rajouter ?

https://lug.email

#14

Pour moi la première chose à faire est de mettre un relais mail (qui va assurer le nettoyage en DMZ)
Ensuite cela ira en zone LAN …
Mais on verra, je n’en suis pas là.
Je blinde mes sauvegardes avec une copie sur site distant via un lien 1Gbit/s

#15

Sur une architecture complexe, une DMZ sera indispensable. Mais pour l’instant nous avons mis en place un antivirus, un antispam, du dns blacklist et UFW comme firewall.

Pour compléter, nous avons ajouté le firewall applicatif postfwd qui utilise le protocol postfix policy delegation.

Lug Email
https://lug.email

#16

Y a-t-il des retours d’experience sur Proxmox Mail Gateway ?

Je compte remplacer ma vieille VM de filtrage basée sur spamassassin, clamav , mail scanner et tournant avec un antédiluvien centos5 (dans un container openvz lui même sous proxmox3 lui même dans une VM kvm sous proxmox5).

#17

je suis en train de la mettre en place pour mon infra :wink: (l’install c’est un template lxc donc … plus simple tu meurt !)
cluster , relais/passerelle/filtrage …en dmz : pour moi sur le papier c’est ce qu’il faut mettre.
je dois encore paramétrer finement mon postifx, dovecot et fusiondirectory mais cela devrait etre tout bon.

avant d’appuyer sue le bouton de mise en prod. (forward 25 !!sur le fw) bien s’assurer que tout ce qui est spf, dkim et liste blanche etc (baracuda, spamhaus etc) soient bien opérationnelles.

#18

Je ne connais pas Proxmox Mail Gateway, mais actuellement, je suis assez content de
rspamd en milter derrière un postfix (faire une dmz est un jeu d’enfant avec) et dovecot pour la livraison des courriels. De plus, l’apprentissage se fait en configurant des cibles sieves particulières.

#19

bon, ca avance … mais j’ai un bel empilement de briques … : la partie Postfix est obscure, les options sont légions. FusionDirectory : oui, ca tourne … ce fut laborieux.
Le truc ultra chiant ce sont tous ces paramètrage TLS, certificats , CA … c’est vraiment la surenchère.
Ma passerelle de filtrage fonctionne pas trop mal … mais je dois tout verifier pour ouvrir le port 25.
Car j’ai du comprendre 4/5 de ce que j’ai monté.
Je me rends compte que je n’ai pas fait de gestion de serveur mail hormis du Exchange MS … : les tutos sérieux et pro. sont quasi inexistants pour une solution complète.

Je m’en suis sorti avec celui-ci :
https://blog.zeninc.net/index.php?post/2018/04/01/Un-annuaire-pour-les-gouverner-tous…

Je n’en n’ai pas trouvé d’autre, et encore dans celui-là, le gars maîtrise un peu mais n’explique pas tout.
Donc faut piocher partout ailleurs, mais son truc fonctionne.
Sauf le smtps donc 587 et 465 mais … je me suis demerdu . Ca roule, il faut maintenant tout comprendre , ajuster et stabiliser.

Reste à savoir si il faut prendre du let’s encrypt pour le mx interne (il n’est jamais intérrogé par des utilisateurs en directe, seul le relais Mx et dovecot l’interrogent) et juste le relais à placer en let’s encrypt.
Puis placer un roundcube en ssl.

#20

3 mois plus tard, désolé… :]

Je peux te proposer de regarder Mailboy -> https://mailboy.manurevah.com/

C’est un mélange de tutoriel (qui trouve ses racines dans le tuto “Workaround ISP style email” <- très bon tuto) et de script d’automatisation. J’invite à faire un peu tout soi-même, mais quelques scripts sont inclus pour écrire la configuration de Postfix et Dovecot (trop de fichiers partout, beaucoup de répétition et possibilité d’erreurs).

Il y a une petite interface web (Php/MySQL) qui permet à l’admin de créer des comptes, des domaines, des ACLs, domaines relayés, et des profiles Amavis. Aussi, on peut attribuer à un utilisateur les droits d’administration total d’un ou plusieurs domaines (pas forcément celui sur lequel l’utilisateur se trouve) ou les droits d’administration général.

Je suis en train de me lancer dans une sort de API (ça fonctionne déjà, pas encore inclus dans Mailboy) qui permet pour l’instant d’utiliser le plugin “password” dans Roundcube. Sinon, les utilisateurs peuvent changer eux même leur mots de passe dans Mailboy (ainsi que leur politique de filtrage, c’est important pour moi que l’utilisatrice puisse choisir entre des niveaux de filtrage ou même le désactiver si elle le souhaite, pareil, il faudra passer ça en tant que plugin Roundcube).

Je fais ça pour moi surtout, donc de temps en temps je le mets à jour, après avoir testé des trucs sur mes machines. Une prochaine étape sera d’utiliser Prosody à la place de Ejabberd pour le XMPP, ah oui, j’utilise la DB de Mailboy pour aussi servir d’authentification à Ejabberd. Version courte, j’aimerais avoir du temps pour faire plus (surtout niveau Php et authentification NextCloud à partir de Mailboy), mais, la vie.

Dernier truc, il y a aussi l’utilisation de MLMMJ en mode expérimental (ça fait quelques années que ça tourne très bien, il faut cependant faire certaines des choses en CLI), et pas besoin d’avoir un sous-domaine pour faire une liste.

Bref, piochez ce qui vous plaît, c’est ce que j’ai fait pour en arriver la.