ya également
désolé étant nouveau membre je peux posté seulement 2liens par message
Merci , super toutes ces pistes.
Bonjour à tous,
Je remonte le topic pour discuter sécurité sur les serveurs mail en général. Que ce soit sur iredmail, ispmail, modoboa ou mailcow, il existe des mesures minimales à implémenter. Selon vous, quelles sont les fonctions de sécurité qu’il faut implémenter pour protéger les utilisateurs, l’infrastructure et se protéger des spammeurs ?
Sur notre service nous avons mis en place dkim, dmarc, spf sur une infrastructure modoboa. Est-ce que vous voyez d’autres éléments particuliers à rajouter ?
Pour moi la première chose à faire est de mettre un relais mail (qui va assurer le nettoyage en DMZ)
Ensuite cela ira en zone LAN …
Mais on verra, je n’en suis pas là.
Je blinde mes sauvegardes avec une copie sur site distant via un lien 1Gbit/s
Sur une architecture complexe, une DMZ sera indispensable. Mais pour l’instant nous avons mis en place un antivirus, un antispam, du dns blacklist et UFW comme firewall.
Pour compléter, nous avons ajouté le firewall applicatif postfwd qui utilise le protocol postfix policy delegation.
Lug Email
https://lug.email
Y a-t-il des retours d’experience sur Proxmox Mail Gateway ?
Je compte remplacer ma vieille VM de filtrage basée sur spamassassin, clamav , mail scanner et tournant avec un antédiluvien centos5 (dans un container openvz lui même sous proxmox3 lui même dans une VM kvm sous proxmox5).
je suis en train de la mettre en place pour mon infra 
(l’install c’est un template lxc donc … plus simple tu meurt !)
cluster , relais/passerelle/filtrage …en dmz : pour moi sur le papier c’est ce qu’il faut mettre.
je dois encore paramétrer finement mon postifx, dovecot et fusiondirectory mais cela devrait etre tout bon.
avant d’appuyer sue le bouton de mise en prod. (forward 25 !!sur le fw) bien s’assurer que tout ce qui est spf, dkim et liste blanche etc (baracuda, spamhaus etc) soient bien opérationnelles.
Je ne connais pas Proxmox Mail Gateway, mais actuellement, je suis assez content de
rspamd en milter derrière un postfix (faire une dmz est un jeu d’enfant avec) et dovecot pour la livraison des courriels. De plus, l’apprentissage se fait en configurant des cibles sieves particulières.
bon, ca avance … mais j’ai un bel empilement de briques … : la partie Postfix est obscure, les options sont légions. FusionDirectory : oui, ca tourne … ce fut laborieux.
Le truc ultra chiant ce sont tous ces paramètrage TLS, certificats , CA … c’est vraiment la surenchère.
Ma passerelle de filtrage fonctionne pas trop mal … mais je dois tout verifier pour ouvrir le port 25.
Car j’ai du comprendre 4/5 de ce que j’ai monté.
Je me rends compte que je n’ai pas fait de gestion de serveur mail hormis du Exchange MS … : les tutos sérieux et pro. sont quasi inexistants pour une solution complète.
Je m’en suis sorti avec celui-ci :
https://blog.zeninc.net/index.php?post/2018/04/01/Un-annuaire-pour-les-gouverner-tous…
Je n’en n’ai pas trouvé d’autre, et encore dans celui-là, le gars maîtrise un peu mais n’explique pas tout.
Donc faut piocher partout ailleurs, mais son truc fonctionne.
Sauf le smtps donc 587 et 465 mais … je me suis demerdu . Ca roule, il faut maintenant tout comprendre , ajuster et stabiliser.
Reste à savoir si il faut prendre du let’s encrypt pour le mx interne (il n’est jamais intérrogé par des utilisateurs en directe, seul le relais Mx et dovecot l’interrogent) et juste le relais à placer en let’s encrypt.
Puis placer un roundcube en ssl.
3 mois plus tard, désolé… :]
Je peux te proposer de regarder Mailboy → https://mailboy.manurevah.com/
C’est un mélange de tutoriel (qui trouve ses racines dans le tuto « Workaround ISP style email » ← très bon tuto) et de script d’automatisation. J’invite à faire un peu tout soi-même, mais quelques scripts sont inclus pour écrire la configuration de Postfix et Dovecot (trop de fichiers partout, beaucoup de répétition et possibilité d’erreurs).
Il y a une petite interface web (Php/MySQL) qui permet à l’admin de créer des comptes, des domaines, des ACLs, domaines relayés, et des profiles Amavis. Aussi, on peut attribuer à un utilisateur les droits d’administration total d’un ou plusieurs domaines (pas forcément celui sur lequel l’utilisateur se trouve) ou les droits d’administration général.
Je suis en train de me lancer dans une sort de API (ça fonctionne déjà, pas encore inclus dans Mailboy) qui permet pour l’instant d’utiliser le plugin « password » dans Roundcube. Sinon, les utilisateurs peuvent changer eux même leur mots de passe dans Mailboy (ainsi que leur politique de filtrage, c’est important pour moi que l’utilisatrice puisse choisir entre des niveaux de filtrage ou même le désactiver si elle le souhaite, pareil, il faudra passer ça en tant que plugin Roundcube).
Je fais ça pour moi surtout, donc de temps en temps je le mets à jour, après avoir testé des trucs sur mes machines. Une prochaine étape sera d’utiliser Prosody à la place de Ejabberd pour le XMPP, ah oui, j’utilise la DB de Mailboy pour aussi servir d’authentification à Ejabberd. Version courte, j’aimerais avoir du temps pour faire plus (surtout niveau Php et authentification NextCloud à partir de Mailboy), mais, la vie.
Dernier truc, il y a aussi l’utilisation de MLMMJ en mode expérimental (ça fait quelques années que ça tourne très bien, il faut cependant faire certaines des choses en CLI), et pas besoin d’avoir un sous-domaine pour faire une liste.
Bref, piochez ce qui vous plaît, c’est ce que j’ai fait pour en arriver la.
Bon ben champagne ca tourne et c’est un peu secure …
dkim=pass header.i=@issoire-linux.org header.s=default header.b=s8luAbys;
spf=pass (google.com: domain of xxxxx.xxxxxxx@issoire-linux.org designates 89.234.140.242 as permitted sender) smtp.mailfrom=xxxxxxx.xxxxxx@issoire-linux.org
… et c’est google qui le dit !
Note : on passe 80% du temps à sécuriser les trucs , pire … à pouvoir faire en sorte d’envoyer un mail sans être mis au banc des clodos du web. (spam, blacklist etc etc)
Le web est devenu une poubelle.
… le mail ? le truc chiant à cause de toute la pile de sécurité …
Quelqu’un a-t-il déjà monté un proxy IMAP(ssl/993) et SMTP(submission/587) ?
Le MX est au chaud dans le LAN. Par contre le proxy mail de Nginx … pas simple.
Il me semble que j’en ai fait un il y a longtemps avec haproxy en mode proxy tcp.
je suis en train de capter que Nginx requiert obligatoirement un auth_http, donc un script d’authentification hors je ne veux pas que ce soit lui qui fasse le job mais soit mon posftix soit mon dovecot du LAN (qui sont sur le meme MX)
Peux-t-on avoir nginx en mail reverse proxy (donc à priori avec une conf ssl/starttls) et en backend (mail) un postfix avec le dovecot eux aussi en ssl / starttls ?
Ou alors il y a un ssl /starttls de trop ?
En gros virer la partie crypto (ssl/starttls) du backend mail qui est sur (et sure ;-)) le LAN ?
Sachant que pour les envois en smtp (25) tout passe par deux passerelles de filtrage av/spam proxmox mail gateway.
j’ai ca dans les logs du MX (lan) :
Jul 17 15:31:49 mx1 dovecot: imap-login: Disconnected (no auth attempts in 60 secs): user=<>, rip=10.10.10.52, lip=10.20.20.31, TLS handshaking: SSL_accept() syscall failed: Success, session=<KNztg+CNeJwKCgo0>
(Edit : pour le SSL … j’ai par inadvertence placé le cert CA de la CA intermédiaire 
, errreur sur tout mes serveurs : ben voila pourquoi les verif « Issuers » openssl déconnaient !!! … lourds tout ces certficats 
)
Ce qui me gene à présent c’est le usr=<> , nginx mail proxy ne balance pas les headers …
Edit : … cela vient de me peter mon ldap , fusion directory … donc TOUTES les authentifications COOL !
Kiss qui disaient … (Fd va bientot virer de mon infra., aucun support, install officielle ne suivant pas les normes Debian …schema de base en NIS donc rfc2703 …, avec l’install officielle de FD pour Debian stretch)
… and the END : tout OK, mais il va falloir trouver un truc plus simple , plus documenté et plus utilisé pour avoir un gramme de support , pour gérer le LDAP devoir serrer les miches à chaques modif. pas glop.
Toujours bloqué ici avec le Nginx reverse proxy (pour imap, smtp en ssl tls) :
Jul 17 15:31:49 mx1 dovecot: imap-login: Disconnected (no auth attempts in 60 secs): user=<>, rip=10.10.10.52, lip=10.20.20.31, TLS handshaking: SSL_accept() syscall failed: Success, session=<KNztg+CNeJwKCgo0>
… si quelqu’un a une idée ?
Salut,
J’ai vu dbmail en plus de ceux cité précédemment.
Perso je suis sur iRedMail depuis un bail (5/6 ans de mémoire mais je saurais pas être exact).
J’ai testé d’installer à la mano. ça fonctionne mais si on sais pas ce qu’on fait on joue à l’apprentis sorcier, puis j’ai trouvé iRedMail : un énorme gain de temps + une webUI pour les utilisateurs types associations/entreprises qui veulent gérer les boites mail de leur domaine.
En un mot KISS ! C’est une stack standard des dépôts Debian bien configuré et une WebUI et c’est tout !
J’aurais du faire çà … carrément meme.
Mais je suis tétu (trop) , et j’ai monté tout à la mano : et ca tourne vraiment fort !
(j’ai juste la partie LDAP avec FusionDirectory qui reste trop floue et les certficats qui sont toujours chiant : mais c’est passé , car j’ai monté ma PKI !)
Donc je vais ouvrir l’herbergement ainsi.
C’est secure.
Je vais poster un schema de l’archi.
Note : julienth37, j’ai vu ton site etc … zieuté tes spec. : çà à l’air de marche fort votre infra 
!