INFO les barques

MAIL : 6ème Etape - Installation AMAVISD

Georges Charpenay — 2008-07-25T09:11:50Z

Alors, là attention ! Préparez la cafetière !...

Article quasi-littéralement tiré du très célèbre et excellent site starbridge, aussi sous licence creative commons.

Pour cette partie et pour éviter de se "prendre la tête" (très long), il faut faire le maximum de commandes décrites ci-dessous, pour réfléchir
après.

Aussi, l'article est tellement long qu'il vaut mieux le parcourir, page après page, et ne pas se servir de l'index...

AMAVISD - Installation

AMAVISD, que vous pouvez consulter, pour les amoureux de la langue de Shakespeare, est un moteur antispam.

Nous allons installer Amavisd :

aptitude install libdb4.4-dev file libcompress-bzip2-perl nomarch arc p7zip-full arj zoo lzop tnef pax cabextract libarchive-tar-perl libarchive-zip-perl libberkeleydb-perl libcompress-zlib-perl libconvert-tnef-perl libconvert-uulib-perl libdigest-md5-perl libio-stringy-perl libmailtools-perl libmime-base64-perl libmime-perl libnet-perl perl-modules libnet-server-perl libtime-hires-perl libunix-syslog-perl libmail-dkim-perl

Puis on télécharge les sources chez amavisd :

cd
wget http://www.ijs.si/software/amavisd/amavisd-new-2.6.1.tar.gz
tar xvzf amavisd-new-2.6.1.tar.gz
cd amavisd-new-2.6.1

Nous créons l'utilisateur et le groupe amavis :

groupadd -g 1009 amavis
useradd -g amavis -u 1009 amavis -d /var/amavis -m

Si le système répond "groupadd : l'identifiant de groupe (GID) 1009 n'est pas unique", il faut aller voir dans /etc/passwd un numéro de groupe qui n'est pas utilisé, pour l'insérer dans la commande.

Créer les sous-répertoires dans le home d'amavis :

mkdir /var/amavis/tmp /var/amavis/var /var/amavis/db /var/amavis/home
chown -R amavis : /var/amavis

On crée 2 lecteur tmpfs pour héberger les répertoires db et tmp d'amavis. Cela accroît notablement les performances de traitement :

Modifier /etc/fstab :

nano /etc/fstab

et ajouter, à la fin du fichier :

tmpfs /var/amavis/db tmpfs rw,size=10m,mode=700,uid=amavis,gid=amavis 0 0 tmpfs /var/amavis/tmp tmpfs rw,size=150m,mode=700,uid=amavis,gid=amavis 0 0

Note : La taille de ces lecteurs tmpfs est à modifier selon la charge du serveur, la configuration et bien sur la quantité de RAM disponible.

Pour simplifier /var/amavis/tmp est dépendant du nombre d'instances d'amavisd et de la taille maximale d'un message. Les paramètres mis ici sont ok pour 5 instances et un message_size_limit de 10 Mo, ce qui est largement suffisant dans la config par défaut d'amavisd (2 instances)

Puis :

mount /var/amavis/tmp
mount /var/amavis/db

on vérifie par un mount -l

Copier l'exécutable :

cp amavisd /usr/sbin/
chown root /usr/sbin/amavisd
chmod 755 /usr/sbin/amavisd

Copier le fichier de conf :

cd /etc/
touch /etc/amavisd.conf
chown root:amavis /etc/amavisd.conf
chmod 640 /etc/amavisd.conf

Créer la quarantaine :

mkdir /var/virusmails
chown amavis:amavis /var/virusmails
chmod 750 /var/virusmails

Le fichier de configuration /etc/amavisd.conf fourni ici est modifié pour coller à nos besoins :

nano /etc/amavisd.conf

Évidemment, il faut éditer tout de même ce fichier pour préciser :

Insérer le contenu du fichier détaillé ci-dessous, et adapter les variables suivantes :

Notre réseau local dans @mynetworks,
Notre domaine avec $mydomain = 'Mondomaine.com'
et notre hostname avec $myhostname = 'MonServeur.Mondomaine.com'

use strict; # a minimalistic configuration file for amavisd-new with all necessary settings # # see amavisd.conf-default for a list of all variables with their defaults; # see amavisd.conf-sample for a traditional-style commented file; # for more details see documentation in INSTALL, README_FILES/* # and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html # COMMONLY ADJUSTED SETTINGS: @bypass_virus_checks_maps = (1); # controls running of anti-virus code @bypass_spam_checks_maps = (1); # controls running of anti-spam code # $bypass_decode_parts = 1; # controls running of decoders&dearchivers $max_servers = 2; # num of pre-forked children (2..30 is common), -m $daemon_user = 'amavis'; # (no default; customary: vscan or amavis), -u $daemon_group = 'amavis'; # (no default; customary: vscan or amavis), -g $mydomain = 'mondomaine.com'; # a convenient default for other settings $myhostname = 'monserveur.mondomaine.com'; $MYHOME = '/var/amavis'; # a convenient default for other settings, -H $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR, used by SA, etc. $QUARANTINEDIR = '/var/virusmails'; # -Q # $quarantine_subdir_levels = 1; # add level of subdirs to disperse quarantine # $release_format = 'resend'; # 'attach', 'plain', 'resend' # $report_format = 'arf'; # 'attach', 'plain', 'resend', 'arf' # $daemon_chroot_dir = $MYHOME; # chroot directory or undef, -R # $db_home = "$MYHOME/db"; # dir for bdb nanny/cache/snmp databases, -D # $helpers_home = "$MYHOME/var"; # working directory for SpamAssassin, -S # $lock_file = "$MYHOME/var/amavisd.lock"; # -L # $pid_file = "$MYHOME/var/amavisd.pid"; # -P #NOTE: create directories $MYHOME/tmp, $MYHOME/var, $MYHOME/db manually $log_level = 2; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string # e.g.: mail, daemon, user, local0, ... local7 $syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, # choose from: emerg, alert, crit, err, warning, notice, info, debug $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $nanny_details_level = 2; # nanny verbosity: 1: traditional, 2: detailed # $enable_dkim_verification = 1; # enable DKIM signatures verification # $enable_dkim_signing = 1; # load DKIM signing code, needs keys in dkim_key() @local_domains_maps = ( [".$mydomain"] ); # list of all local domains @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 172.20.1.0/24 ); $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter # option(s) -p overrides $inet_socket_port and $unix_socketname #$inet_socket_port = 10024; # listen on this local TCP port(s) #$inet_socket_port = [10024,10026]; # listen on multiple TCP ports $inet_socket_port = [10024, 10026, 9998]; #Mailzu: modifier la 2eme ip en specifiant celle de votre serveur #$interface_policy{'9998'} = 'MAILZU'; #$policy_bank{'MAILZU'} = { # protocol => 'AM.PDP', # inet_acl => [qw( 127.0.0.1 [::1] 10.0.0.254 )], #}; $policy_bank{'MYNETS'} = { # mail originating from @mynetworks originating => 1, # is true in MYNETS by default, but let's make it explicit # bypass_spam_checks_maps => [1], # don't spam-check internal mail # bypass_banned_checks_maps => [1], # don't banned-check internal mail # bypass_header_checks_maps => [1], # don't header-check internal mail os_fingerprint_method => undef, # don't query p0f for internal clients }; # it is up to MTA to re-route mail from authenticated roaming users or # from internal hosts to a dedicated TCP port (such as 10026) for filtering $interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = { # mail supposedly originating from our users originating => 1, # declare that mail was submitted by our smtp client allow_disclaimers => 1, # enables disclaimer insertion if available # notify administrator of locally originating malware virus_admin_maps => ["admin\@$mydomain"], spam_admin_maps => ["admin\@$mydomain"], warnbadhsender => 1, # forward to a smtpd service providing DKIM signing service #forward_method => 'smtp:[127.0.0.1]:10027', # force MTA conversion to 7-bit (e.g. before DKIM signing) smtpd_discard_ehlo_keywords => ['8BITMIME'], bypass_banned_checks_maps => [1], # allow sending any file names and types terminate_dsn_on_notify_success => 0, # don't remove NOTIFY=SUCCESS option }; $interface_policy{'SOCK'} = 'AM.PDP-SOCK'; # only applies with $unix_socketname # Use with amavis-release over a socket or with Petr Rehor's amavis-milter.c # (with amavis-milter.c from this package or old amavis.c client use 'AM.CL'): $policy_bank{'AM.PDP-SOCK'} = { protocol => 'AM.PDP', auth_required_release => 0, # do not require secret_id for amavisd-release }; $sa_tag_level_deflt = -9999.9; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.3; # add 'spam detected' headers at that level $sa_kill_level_deflt = 9999.99; # triggers spam evasive actions (e.g. blocks mail) $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent # $sa_crediblefrom_dsn_cutoff_level = 18; # likewise, but for a likely valid From # $sa_quarantine_cutoff_level = 25; # spam level beyond which quarantine is off $penpals_bonus_score = 8; # (no effect without a @storage_sql_dsn database) $penpals_threshold_high = $sa_kill_level_deflt; # don't waste time on hi spam $penpals_threshold_low = 1; #$bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? # @lookup_sql_dsn = # ( ['DBI:mysql:database=mail;host=127.0.0.1;port=3306', 'user1', 'passwd1'], # ['DBI:mysql:database=mail;host=host2', 'username2', 'password2'], # ["DBI:SQLite:dbname=$MYHOME/sql/mail_prefs.sqlite", '', ''] ); # @storage_sql_dsn = @lookup_sql_dsn; # none, same, or separate database $timestamp_fmt_mysql = 1; # if using MySQL *and* msgs.time_iso is TIMESTAMP; # defaults to 0, which is good for non-MySQL or if msgs.time_iso is CHAR(16) # $sql_allow_8bit_address = 1; # maddr.email: VARCHAR (0), VARBINARY/BYTEA (1) $virus_admin = "admin\@$mydomain"; # notifications recip. $banned_admin = "admin\@$mydomain"; $spam_admin = "admin\@$mydomain"; $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_banned_maps = ('banned'); @addr_extension_spam_maps = ('spam'); @addr_extension_bad_header_maps = ('badh'); $recipient_delimiter = '+'; # undef disables address extensions altogether # when enabling addr extensions do also Postfix/main.cf: recipient_delimiter=+ $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; # $dspam = 'dspam'; #pour MAILZU #$banned_files_quarantine_method = 'sql:'; #$spam_quarantine_method = 'sql:'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM(_SCORE_)*** '; $sa_spam_report_header = 1; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $defang_undecipherable = 1; # for defanging bad headers only turn on certain minor contents categories: $defang_by_ccat{+CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{+CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{+CC_BADH.",6"} = 1; # header field syntax error # OTHER MORE COMMON SETTINGS (defaults may suffice): # $myhostname = 'host.example.com'; # must be a fully-qualified domain name! # $notify_method = 'smtp:[127.0.0.1]:10025'; # $forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter! # $final_virus_destiny = D_DISCARD; # $final_banned_destiny = D_BOUNCE; # $final_spam_destiny = D_BOUNCE; # $final_bad_header_destiny = D_PASS; # $bad_header_quarantine_method = undef; $final_spam_destiny = D_PASS; $warnvirusrecip = 1; $warnbannedrecip = 1; # $os_fingerprint_method = 'p0f:*:2345'; # to query p0f-analyzer.pl ## hierarchy by which a final setting is chosen: ## policy bank (based on port or IP address) -> *_by_ccat ## *_by_ccat (based on mail contents) -> *_maps ## *_maps (based on recipient address) -> final configuration value # SOME OTHER VARIABLES WORTH CONSIDERING (see amavisd.conf-default for all) # $warnbadhsender, # $warnvirusrecip, $warnbannedrecip, $warnbadhrecip, (or @warn*recip_maps) # @bypass_virus_checks_maps, @bypass_spam_checks_maps, @bypass_banned_checks_maps, @bypass_header_checks_maps, # # @virus_lovers_maps, @spam_lovers_maps, # @banned_files_lovers_maps, @bad_header_lovers_maps, # # @blacklist_sender_maps, @score_sender_maps, # # $clean_quarantine_method, $virus_quarantine_to, $banned_quarantine_to, # $bad_header_quarantine_to, $spam_quarantine_to, # # $defang_bad_header, $defang_undecipherable, $defang_spam # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS @keep_decoded_original_maps = (new_RE( # qr'^MAIL$', # retain full original message for virus checking (can be slow) qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, # qr'^Zip archive data', # don't trust Archive::Zip )); # for $banned_namepath_re (a new-style of banned table) see amavisd.conf-sample $banned_filename_re = new_RE( ### BLOCKED ANYWHERE # qr'^UNDECIPHERABLE$', # is or contains any undecipherable components qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary qr'^\.(exe|lha|cab|dll)$', # banned file(1) types ### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARCHIVES: # [ qr'^\.(gz|bz2)$' => 0 ], # allow any in gzip or bzip2 [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary # qr'^\.zip$', # block zip type ### BLOCK THE FOLLOWING, EXCEPT WITHIN ARCHIVES: # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within these archives qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, qr'^video/mpeg$'i, qr'^video/avi$'i, qr'^video/quicktime$'i, qr'^video/vnd.vivo$'i, qr'^video/x-msvideo$'i, qr'^video/msvideo$'i, qr'^video/x-ms-asf$'i, qr'^video/x-sgi-movie$'i, qr'^video/x-tango$'i, qr'^video/x-vif$'i, qr'^video/x-mpeg$'i, qr'^video/x-mpeq2a$'i, qr'^video/x-dv$'i, qr'^video/x-motion-jpeg$'i, qr'^audio/x-wav$'i, qr'^audio/wav$'i, qr'^audio/mpeg$'i, qr'^audio/x-mpeg$'i, qr'^audio/vnd.rn-realaudio$'i, qr'^audio/x-pn-realaudio-plugin$'i, qr'^audio/x-realaudio$'i, qr'^audio/x-pn-realaudio$'i, qr'^audio/mpeg3$'i, qr'^audio/x-mpeg-3$'i, qr'^audio/x-aiff$'i, qr'^audio/x-au$'i, qr'^audio/midi$'i, qr'^audio/mid$'i, qr'^audio/x-mid$'i, qr'^audio/x-midi$'i, qr'^music/crescendo$'i, qr'^application/ringing-tones$'i, qr'^application/vnd.nokia.ringing-tone$'i, qr'^application/smil$'i, qr'^x-music/x-midi$'i, #qr'^application/octet-stream$'i, qr'^application/x-javascript$'i, qr'^application/x-shockwave-flash$'i, qr'^text/javascript$'i, qr'^application/x-vbs$'i, qr'^text/vbs$'i, qr'^text/vbscript$'i, # qr'^message/partial$'i, # rfc2046 MIME type # qr'^message/external-body$'i, # rfc2046 MIME type # qr'^(application/x-msmetafile|image/x-wmf)$'i, # Windows Metafile MIME type # qr'^\.wmf$', # Windows Metafile file(1) type # block certain double extensions in filenames qr'\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, # qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?'i, # Class ID CLSID, strict # qr'\{[0-9a-z]{4,}(-[0-9a-z]{4,}){0,7}\}?'i, # Class ID extension CLSID, loose # qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta| inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst| ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs| wmf|wsc|wsf|wsh)$'ix, # banned ext - long qr'.\.(ani|cur|ico)$'i, # banned cursors and icons filename qr'^\.ani$', # banned animated cursor file(1) type qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i, # banned extension - WinZip vulnerab. ); # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631 # and http://www.cknow.com/vtutor/vtextensions.htm %banned_rules = ( 'NO-MS-EXEC'=> new_RE( qr'^\.(exe-ms)$' ), 'PASSALL' => new_RE( [qr'^' => 0] ), 'ALLOW_EXE' => # pass executables except if name ends in .vbs .pif .scr .bat new_RE( qr'.\.(vbs|pif|scr|bat)$'i, [qr'^\.exe$' => 0] ), 'ALLOW_VBS' => # allow names ending in .vbs new_RE( [qr'.\.vbs$' => 0] ), 'NO-VIDEO' => new_RE( qr'^\.movie$', qr'.\.(asf|asx|mpg|mpe|mpeg|avi|mp3|wav|wma|wmf|wmv|mov|vob)$'i, ), 'NO-MOVIES' => new_RE( qr'^\.movie$', qr'.\.(mpg|avi|mov)$'i, ), 'MYNETS-DEFAULT' => new_RE( [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(vbs|pif|scr)$'i, # banned extension - rudimentary qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types ), 'DEFAULT' => $banned_filename_re, ); # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING @score_sender_maps = ({ # a by-recipient hash lookup table, # results from all matching recipient tables are summed # ## per-recipient personal tables (NOTE: positive: black, negative: white) # 'user1@example.com' => [{'bla-mobile.press@example.com' => 10.0}], # 'user3@example.com' => [{'.ebay.com' => -3.0}], # 'user4@example.com' => [{'cleargreen@cleargreen.com' => -7.0, # '.cleargreen.com' => -5.0}], ## site-wide opinions about senders (the '.' matches any recipient) '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), # read_hash("/var/amavis/sender_scores_sitewide"), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'amavis-user-bounces@lists.sourceforge.net' => -3.0, 'spamassassin.apache.org' => -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, '.pap.fr' => -5.0, '.orange-ft.com' => -5.0, '.ebay.fr' => -50.0, '.ebay.com' => -50.0, '.lists.sourceforge.net' => -15.0, '.socgen.com' => -15.0, '.edfgdf.fr' => -15.0, '.hardware.fr' => -15.0, '.avast.com' => -15.0, '.agf.fr' => -15.0, 'webmaster@celignes.com' => -15.0, '.mail-abuse.org' => -15.0, 'service@youtube.com' => -15.0, '.bouyguestelecom.fr' => -15.0, 'reply@voyages-sncf.com' => -50.0, '.spplus.net' => -15.0, 'suivicde-cdiscount@bp06.net' => -15.0, 'superfourmi@bp06.net' => -15.0, 'amv@amv-voyages.fr' => -15.0, 'amv@routage.fr' => -15.0, '.mercer.com' => -15.0, '.mmd.lu' => -15.0, 'contact@interflora.fr' => -15.0, '.email.paypal.fr' => -15.0, 'serviceclient@ugc.fr' => -15.0, '.skiffy.com' => -4.0, 'clientele@photoways.com' => -15.0, '.email.airfrance.fr' => -15,0, 'support@ovh.com' => -4.0, '.chronopost.fr' => -15,0, 'debug@photoways.com' => -15,0, # soft-blacklisting (positive score) 'sender@example.net' => 3.0, '.example.net' => 1.0, '.achat-force.com' => 300.0, '.gros-lots.fr' => 300.0, '.publimail.fr' => 300.0, 'cool-help@imdb.com' => 300.0, 'cool@mlists.imdb.com' => 300.0, 'owner-portal-daily-html@daily.gamespy.com' => 300.0, 'owner-portal-weekly-html@weekly.gamespy.com' => 300.0, 'Fr-Direct@yahoo-inc.com' => 300.0, 'sender@pubstv.fagms.net' => 300.0, 'offres@corp.ifrance.com' => 300.0, 'newsletter@lesechos.fr ' => 300.0, 'webmaster@buffy.nu' => 300.0, 'lettres@lycos.fr' => 300.0, '.specialreserve.co.uk' => 300.0, '.realtimepublishers.com' => 300.0, '.copernicserver.com' => 300.0, '.juptoday.com' => 300.0, 'actu@b.emploicenter.com' => 300.0, '.mailingstats.com' => 300.0, '.ibase.fr' => 300.0, 'bons-plans@voyages-sncf.com' => 300.0, '.passado.ecircle-ag.com' => 300.0, '.radar.axi.fr' => 300.0, '.guyanavibes.com' => 300.0, '.techspot.com' => 300.0, 'news@oo-software.com' => 300.0, 'ebay@tiscali.fr' => 300.0, '.nwruk.com' => 300.0, '.mobiquid.com' => 300.0, '.programme-elisa.com' => 300.0, '.emv4.com' => 300.0, '.corpnews.netiq.com' => 300.0, '.directgestion.fr' => 300.0, '.newsletter-anyway.com' => 300.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], ['asc', \&do_ascii], ['uue', \&do_ascii], ['hqx', \&do_ascii], ['ync', \&do_ascii], ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ], ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ], ['gz', \&do_uncompress, 'gzip -d'], ['gz', \&do_gunzip], ['bz2', \&do_uncompress, 'bzip2 -d'], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ], ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['deb', \&do_ar, 'ar'], # ['a', \&do_ar, 'ar'], # unpacking .a seems an overkill ['zip', \&do_unzip], ['7z', \&do_7zip, ['7zr','7za','7z'] ], ['rar', \&do_unrar, ['rar','unrar'] ], ['arj', \&do_unarj, ['arj','unarj'] ], ['arc', \&do_arc, ['nomarch','arc'] ], ['zoo', \&do_zoo, ['zoo','unzoo'] ], ['lha', \&do_lha, 'lha'], # ['doc', \&do_ole, 'ripole'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], # ['sit', \&do_unstuff, 'unstuff'], # broken/unsafe decoder ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ], ); @av_scanners = ( # ### http://www.clamav.net/ ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); @av_scanners_backup = ( ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); 1; # insure a defined return

On désactive temporairement l'antispam et l'antivirus pour tester :

Nous avons décommenté pour cela les lignes (au début du fichier de conf) :

@bypass_virus_checks_maps = (1); @bypass_spam_checks_maps = (1);

Démarrer amavisd en console pour voir si il manque des prérequis :

/usr/sbin/amavisd debug

La commande de lancement amavisd est amavisd debug, 'debug' n'est pas un lancement particulier d'amavisd. Amavisd doit TOUJOURS être lancé en mode debug.

Noter les erreurs éventuelles. Si amavisd ne démarre pas, arrêtez vous et résolvez les problèmes.

Si c'est ok, arrêter amavisd debug par CTRL + C.

Il faut ensuite configurer Postfix :

On ajoute à la fin du master.cf :

nano /etc/postfix/master.cf

smtp-amavis unix - - y - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n - y - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_address_mappings,no_header_body_checks,no_unknown_recipient_checks

et on modifie toujours dans le master.cf la section sur le port 587 comme ceci :

587 inet n - - - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject -o content_filter=smtp-amavis:[127.0.0.1]:10026 -o smtpd_client_restrictions=permit_sasl_authenticated,reject

(on ajoute en fait la ligne sur le content_filter) Cette dernière modification permettra d'utiliser une configuration distincte dans

Relancer postfix :

postfix reload

Surveiller les logs :

tail -f /var/log/mail.log

Si tout est ok, lancer à nouveau amavisd debug

/usr/sbin/amavisd debug

et taper en console :

telnet 127.0.0.1 10024

Il doit répondre :

Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready

quit pour sortir

Pareil pour tester le retour de Postfix :

telnet 127.0.0.1 10025

Il doit répondre un truc du style :

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 MonServeur.MonDomaine.com ESMTP Postfix (Debian/GNU)

QUIT pour sortir (en majuscules)

Ensuite, si les connections sont ok :

Tester le fonctionnement de base (ce qu'il faut taper est précédé de ---> , le reste c'est le retour du serveur) :

---> telnet localhost 10024 220 [127.0.0.1] ESMTP amavisd-new service ready ---> HELO localhost 250 [127.0.0.1] ---> MAIL FROM: <> 250 2.1.0 Sender <> OK ---> RCPT TO: <admin@MonDomaine.com> 250 2.1.5 Recipient <admin@MonDomaine.com> OK ---> DATA 354 End data with <CR><LF>.<CR><LF> ---> From: virus-tester ---> To: undisclosed-recipients:; ---> Subject: amavisd test - simple - no spam test pattern ---> This is a simple test message from the amavisd-new test-messages. ---> . 250 2.6.0 Ok, id=30897-02, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 079474CE44 ---> QUIT 221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel

L'aller-retour postfix/amavisd fonctionne bien !

(on peut arrêter le debug d'amavisd par un CTRL + C)

CLAMAV - Installation

Clamav est l'antivirus serveur complémentaire de notre solution.

Prérequis :

aptitude install zlib1g zlib1g-dev libgmpxx4ldbl libgmp3-dev

Note : Sous Etch, si aptitude signale qu'aucun paquet ne correspond à « libgmpxx4ldbl ». C'est normal, il s'agit d'un paquet Lenny. Ne pas en tenir compte

On compile depuis les sources :

cd ~ wget http://mesh.dl.sourceforge.net/sourceforge/clamav/clamav-0.93.3.tar.gz tar xvzf clamav-0.93.3.tar.gz cd clamav-0.93.3 ./configure --prefix=/usr --sysconfdir=/etc --with-user=amavis --with-group=amavis --with-dbdir=/var/lib/clamav make make install ldconfig mkdir /var/run/clamav chown -R amavis: /var/run/clamav chmod -R 750 /var/run/clamav mkdir /var/lib/clamav chown -R amavis: /var/lib/clamav chmod -R 770 /var/lib/clamav

On met a jour les fichiers de configuration :

cd /etc

mv clamd.conf clamd.conf.orig

mv freshclam.conf freshclam.conf.orig

wget http://www.starbridge.org/spip/doc/Procmail/clamd.conf

wget http://www.starbridge.org/spip/doc/Procmail/freshclam.conf

On modifie la crontab de l'utilisateur amavis pour planifier la mise à jour de la base antivirale :

crontab -e -u amavis

et on ajoute :

0 0,6,12,18 * * * /usr/bin/freshclam --log-verbose

Créer :

mkdir /var/log/clamav

chown -R amavis:amavis /var/log/clamav

Créer un fichier /etc/init.d/clamd

cd /etc/init.d/

wget http://www.starbridge.org/spip/doc/Procmail/clamd

chmod 755 /etc/init.d/clamd

update-rc.d clamd defaults

On fait la mise à jour de la base virale :

freshclam

On vérifie que les fichiers soient bien présents dans le répertoire :

ls -la /var/lib/clamav

On lance clamd :

/etc/init.d/clamd start

Et on vérifie les logs :

tail -f /var/log/clamav/clamd.log

Et on vérifie bien que Clam tourne :

ps aux | grep clam

On teste le fonctionnement (le dossier "test" est dans le répertoire clamav-0.93.3) :

cd /root/clamav-0.93.3/test/

clamdscan -l scan.txt clam-x.yz

clamav-x.yz est un des fichiers de test présents dans le répertoire test

Installation des signatures additionnelles pour Clam (détection du spam, phising...)

Il s'agit de fichiers supplémentaires que l'on place dans le dossier /var/lib/clamav

aptitude install curl rsync mkdir /var/tmp/clamdb chown amavis: /var/tmp/clamdb chmod 770 /var/tmp/clamdb cd /usr/sbin wget http://www.starbridge.org/spip/doc/Procmail/usr/sbin/UpdateSaneSecurity.sh chmod 755 UpdateSaneSecurity.sh

On lance le script :

su -c '/usr/sbin/UpdateSaneSecurity.sh' amavis

Attention le script peut mettre 5 minutes pour se lancer

On vérifie que les fichiers sont bien présents dans le répertoire de Clam :

ls -l /var/lib/clamav

On doit trouver les fichiers suivants en plus des fichiers classiques :

MSRBL-Images.hdb MSRBL-SPAM.ndb phish.ndb phish.ndb.gz scam.ndb scam.ndb.gz

On crée une tache cron pour mettre à jour ces fichiers :

crontab -e -u amavis

5 */4 * * * /usr/sbin/UpdateSaneSecurity.sh

Installation de ClamdMon pour la surveillance du demon clam :

installer le script de surveillance clamdmon :

cd ~ wget http://www.starbridge.org/spip/doc/Procmail/clamdmon-1.0.tar.gz tar xvzf clamdmon-1.0.tar.gz cd clamdmon-1.0 make make install

Editer la crontab de root

crontab -e

puis on colle :

*/5 * * * * /usr/sbin/clamdmon.sh

SPAMASSASSIN - Installation

On installe les dépendances

aptitude install libhtml-parser-perl libnet-dns-resolver-programmable-perl liberror-perl libmail-spf-perl libmail-sendmail-perl libnetaddr-ip-perl libdbi-perl libdbd-mysql-perl liblocale-subcountry-perl libwww-perl libimage-base-bundle-perl libimage-base-perl libimage-info-perl libnet-cidr-lite-perl

On installe SpamAssassin depuis aptitude de Debian :

aptitude install spamassassin

SA est installé. Sa config de base se fait dans le fichier /etc/mail/spamassassin/local.cf mais pour la plupart des paramètres, c'est le fichier amavisd.conf qui sera prioritaire.

Lorsqu'on utilise Amavisd pour appeler SA il est inutile de lancer spamd.

On remplace le /etc/mail/spamassassin/local.cf par celui ci :

mkdir /etc/mail/

mkdir /etc/mail/spamassassin/

cd /etc/mail/spamassassin/

mv local.cf local.cf-orig

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/local.cf

nano /etc/mail/spamassassin/local.cf

On édite le fichier pour adapter les parametres internal_networks et trusted_networks.

internal_networks et trusted_networks sont des paramètres très importants pour la pertinence de la détection. Il faut absolument les configurer correctement. (ils doivent contenir les même réseaux et être identiques.)

On sécurise :

chown amavis : /etc/mail/spamassassin/local.cf

chmod 640 /etc/mail/spamassassin/local.cf

SA fonctionne sur 2 types de tests :

* Heuristiques (ensemble de règles)
* Bayesiens (apprentissage et statistiques)

Pour le filtre bayesien, on va installer directement la base dans une base Mysql. Les performances sont supérieures et on s'affranchit de diverses limitations :

On crée la base :

mysql -u root -p

create database spam ;

GRANT SELECT, INSERT, UPDATE, DELETE ON spam.* TO 'spam'@'localhost' IDENTIFIED BY 'Mot_De_Passe' ;

FLUSH PRIVILEGES ;

quit

On modifie le password dans le local.cf à l'identique (ici votre password serait toto) :

sed -i 's/******/toto/g' /etc/mail/spamassassin/local.cf

(ne pas oublier de remplacer toto par votre mot de passe avant de valider la ligne)

on importe la base sql :

wget http://starbridge.org/spip/doc/Procmail/spamassassin/bayes_awl.sql

wget http://spamassassin.apache.org/gtube/gtube.txt

mysql -u root -p spam < bayes_awl.sql

On initialise la base :

su amavis -c 'sa-learn -D —spam gtube.txt'

On peut vérifier avec phpmyadmin que la base s'est bien remplie.

Il faut donc créer une tache cron quotidienne pour effectuer l'expiration :

Un crontab de l'user amavis fera l'affaire :

crontab -e -u amavis

et on ajoute :

16 3 * * * /usr/bin/sa-learn --sync --force-expire

On a activé l'Auto-Whitelist dans SA. Contrairement a Bayes, l'AWL n'a pas de mécanisme d'expiration qui évite à la base de grossir indéfiniment.

Pour cela on crée un script qui nettoira les tables régulierement :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/SA-awl-purgesql

puis on crée une tache cron

crontab -e -u amavis

et on ajoute :

25 4 * * * /usr/bin/mysql -u spam -p'******' spam < /etc/SA-awl-purgesql

Mise à jour des Rules de SA et ajout des Rules SARE :

On va mettre tout de suite à jour les règles de SA et en installer de nouvelles depuis le site de SARE :

On lance l'update des règles de SA :

sa-update -D

Cela aura pour effet de télécharger les règles à jour. Elles seront installés dans un dossier différent des règles d'origine : /var/lib/spamassassin/3.002005. (ce qui correspond à la version 3.2.5 de SA)

SA considèrera désormais ce dossier comme celui par défaut.

On vérifie que tout soit OK :

su -c "spamassassin -D —lint" amavis

Il ne doit pas il y a voir de message d'erreur à la fin de l'exécution.

On prépare l'installation des rules SARE :

cd /etc/mail/spamassassin/

wget http://daryl.dostech.ca/sa-update/sare/GPG.KEY

sa-update —import GPG.KEY

on installe le fichier contenant la liste des Rules :

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sare-sa-update-channels.txt

On pourra modifier ce fichier pour ne sélectionner que les RULES que l'on désire.

On met à jour :

sa-update —channelfile /etc/mail/spamassassin/sare-sa-update-channels.txt —gpgkey 856AA88A

Les fichiers seront placés dans /var/lib/spamassassin :

ls -la /var/lib/spamassassin/3.002005/

On vérifie à nouveau que tout soit OK :

su -c "spamassassin -D —lint" amavis

Pour une mise à jour régulière (1 fois par jour maximum) on pourra créer une tache cron en n'oubliant pas de relancer amavisd à la fin du script.

Pour cela, on crée un fichier sa-update.sh :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sa-update.sh

chmod 755 /etc/sa-update.sh

On édite la crontab :

crontab -e

et on ajoute la ligne :

15 2 * * * /etc/sa-update.sh

Activation du plugin DKIM

– Il faut maintenant activer SA dans amavisd :

On édite /etc/amavisd.conf et on commente la ligne :

nano /etc/amavisd.conf

# @bypass_spam_checks_maps = (1);

On démarre en debug-sa :

/usr/sbin/amavisd debug-sa

On envoie un mail et on doit voir dans le debug le bon fonctionnement (on peut utiliser un client comme thunderbird ou outlook en paramétrant le compte en IMAP.)

On arrête amavisd par un CTRL + C.

Par défaut Amavisd mets les spams en quarantaine, mais ce n'est pas le comportement que nous désirons.

Le amavisd.conf fourni dans ce tuto intègre les modifications nécessaires.

Pour infos voici les paramètres modifiés :

$sa_tag_level_deflt = -9999.9; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.3; # add 'spam detected' headers at that level $sa_kill_level_deflt = 9999.9; # triggers spam evasive actions $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_spam_subject_tag = '***SPAM_SCORE_*** '; $sa_spam_report_header = 1; $final_spam_destiny = D_PASS;

Avec cette modification, on dit à amavisd de laisser passer le spam mais de le tagguer dans le header du mail. La limite Spam est fixée à un score de 4.3

On traitera le mail plus loin par Maildrop.

On crée un fichier /etc/init.d/amavis :

cd /etc/init.d/

wget http://www.starbridge.org/spip/doc/Procmail/init.d/amavis

chmod 755 /etc/init.d/amavis

update-rc.d amavis defaults

on lance amavisd :

/etc/init.d/amavis start

On regarde les logs.

On envoie un mail et on regarde l'entête de celui ci. on doit voir les X-Spam- headers.

On paramètre Maildrop pour déposer le courier détecté comme spam dans le dossier spam de chaque utilisateur :

On édite /home/virtual/.mailfilter et on le modifie comme ceci :

logfile "/home/virtual/.maildrop.log" <code class='spip_code spip_code_inline' dir='ltr'>[ -d $DEFAULT ] || (maildirmake $DEFAULT && maildirmake -f Spam $DEFAULT && maildirmake -f Sent $DEFAULT && maildirmake -f SpamToLearn $DEFAULT && maildirmake -f SpamFalse $DEFAULT)</code> EXTENSION="$1" if ( /^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*/ ) { log "--> X-Spam-toohigh." exception { to /home/virtual/spamtrap@starbridge.org/ } } if ( /^X-Spam-Flag: YES/ ) { log "--> X-Spam-Flag-ed." to $HOME/$DEFAULT.Spam } if ( $EXTENSION eq "spam" ) { log "--> spam-extension." to $HOME/$DEFAULT.Spam } <code class='spip_code spip_code_inline' dir='ltr'>test -r $HOME/$DEFAULT.mailfilter</code> if( $RETURNCODE == 0 ) { log "(==) Including $HOME/$DEFAULT.mailfilter" exception { include $HOME/$DEFAULT.mailfilter } }

– Explications :

Le premier If permet d'envoyer le spam dont le score est au dessus de 10 dans une boite spécifique spamtrap@mondomaine.com qu'il faut créer (on peut utiliser postfixadmin pour ca).

Le deuxième If permet d'envoyer le spam en dessous de 10 dans le dossier Spam de l'utilisateur.

Le 3eme permet d'intercepter les mails avec l'extension +spam, qui peuvent être utilisés par amavisd (pour Mailzu par exemple)

* Pour améliorer l'apprentissage, on crée une tache qui scanne la boîte spamtrap et les 2 dossiers d'apprentissage SpamToLearn et SpamFalse des boîtes des utilisateurs (Dossiers crées automatiquement par maildrop à la première livraison) puis envoit leur contenu vers le filtre bayesien :

On crée d'abord deux répertoires spéciaux de transit :

mkdir /home/spamtrap chown amavis: /home/spamtrap chmod 777 /home/spamtrap mkdir /home/hamtrap chown amavis: /home/hamtrap chmod 777 /home/hamtrap

on crée un fichier /etc/sa-learn :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sa-learn

chmod 755 /etc/sa-learn

On crée une tache cron qu'on lance par root : (une fois par jour ou plus suivant la puissance de la machine, cette tache étant très gourmande en ressources)

crontab -e

et on ajoute (on change la fréquence si nécessaire) :

30 3,10,15,22 * * * /etc/sa-learn

Tout sera automatique. Il suffira d'indiquer aux utilisateurs de déplacer les emails non détectés comme Spam dans le dossier SpamToLearn et de copier les email légitimes détectés à tort comme Spam dans le Dossier SpamFalse. Le script déplacera lors de son exécution tous ces emails et en fera l'apprentissage soit comme spam soit comme ham (non spam).

Attention : TOUS les mails déposés dans les dossiers SpamTolearn et SpamFalse sont déplacés c'est à dire qu'il seront EFFACES de ces dossiers.

Par sécurité on peut conserver les mails de la boite spamtrap (non consultables par les utilisateurs) un certain temps. Pour cela il suffira de changer les 2 premières lignes en copie au lieu d'un déplacement (cp). On verra plus loin pour un script de nettoyage basé sur l'âge des fichiers.

On peut également enlever le -D des 2 lignes sa-learn pour limiter la sortie du script (debug). Cron envoie un mail à l'exécution de la commande, contenant la sortie.

Activation de Clam dans Amavisd

Le fichier amavisd.conf fourni dans ce tuto est modifié pour ne prendre en charge que l'antivirus Clamav.

Pour info voici les paramètres modifiés (à la fin du fichier) :

@av_scanners = ( # ### http://www.clamav.net/ ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); @av_scanners_backup = ( ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); 1; # insure a defined return

Pour activer Clam on commente au début du fichier :

@bypass_virus_checks_maps = (1);

On relance amavisd :

/etc/init.d/amavis stop && /etc/init.d/amavis start

L'antivirus est chargé.

On crée l'alias email : virusalert@mondomaine.com vers admin@mondomaine.com. (passer par postfixadmin)

On teste le fonctionnement :

--> telnet 127.0.0.1 10024 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready --> MAIL FROM:<test@example.com> 250 2.1.0 Sender test@example.com OK --> RCPT TO:<postmaster> 250 2.1.5 Recipient postmaster OK --> DATA 354 End data with <CR><LF>.<CR><LF> --> Subject: test2 - virus test pattern --> (......taper Entrée....) --> X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* --> . 250 2.7.0 Ok, discarded, id=03811-01 - VIRUS: Eicar-Test-Signature --> QUIT 221 2.0.0 [127.0.0.1] (amavisd) closing transmission channel Connection closed by foreign host.

On doit voir dans les logs :

Blocked INFECTED (Eicar-Test-Signature)

On peut aussi tester l'envoi d'un mail infecté dans une archive (pour tester le travail de décompression) en récupérant des fichiers de test sur eicar.com et en les envoyant par email.

Maintenance de Clam et de Spamassassin :

Il faut penser à purger régulièrement le contenu de la boite spamtrap et la quarantaine de clam, c'est à dire le dossier /home/virtual/spamtrap@mondomaine.com/new/. et le /var/virusmails.

Pour cela on peut utiliser un outil du genre tmpreaper.

Il se configure très simplement dans /etc/tmpreaper.conf

On modifie la ligne suivante comme ceci :

nano /etc/tmpreaper.conf

TMPREAPER_DIRS='/tmp/. /var/virusmails/. /home/virtual/spamtrap@mondomaine.com/new/.'

DSPAM - Installation

Beaucoup considère Dspam comme une alternative plus performante de SA.

Je trouve qu'ils sont plutôt complémentaires.

Amavisd permet de gérer les 2 en parallèle.

cd ~ wget http://dspam.nuclearelephant.com/sources/dspam-3.8.0.tar.gz tar xvzf dspam-3.8.0.tar.gz cd dspam-3.8.0 ./configure --prefix=/usr --sysconfdir=/etc --with-dspam-home=/var/amavis/dspam --enable-signature-headers --without-delivery-agent --without-quarantine-agent --with-storage-driver=mysql_drv --with-mysql-includes=/usr/include/mysql make make install

Créer la base sql :

mysql -u root -p create database dspam; GRANT SELECT, INSERT, UPDATE, DELETE ON dspam.* TO 'dspam'@'localhost' IDENTIFIED BY '******'; FLUSH PRIVILEGES; quit

On importe la base sql :

mysql -u root -p dspam < /root/dspam-3.8.0/src/tools.mysql_drv/mysql_objects-4.1.sql

On modifie le fichier de conf dspam.conf original (toto étant votre password d'acces a la base sql dspam que vous venez de paramétrer) :

cd /etc/

mv dspam.conf dspam.conf-orig

wget http://www.starbridge.org/spip/doc/Procmail/dspam.conf

sed -i 's/******/toto/g' dspam.conf

Modifier les droits sur les exécutables (même user qu'amavisd) et le dspam.conf :

chown amavis : /usr/bin/dspam*

chown amavis : /etc/dspam.conf

chmod 750 /usr/bin/dspam*

chmod 640 /etc/dspam.conf

Créer le répertoire de dspam dans le home d'amavisd :

mkdir /var/amavis/dspam

chown -R amavis : /var/amavis/dspam

Pour activer dspam, il faut décommenter la ligne suivante dans amavisd.conf :

nano /etc/amavisd.conf

# $dspam = 'dspam';

On relance amavisd :

/etc/init.d/amavis stop && /etc/init.d/amavis start

On vérifie les logs. On doit voir :

Found $dspam at /usr/bin/dspam

On envoie un email :

On vérifie les logs, les headers des email pour les tags X-DSPAM et le remplissage de la base de données.

Principe de fonctionnement :

Dans cette configuration, Dspam marque simplement les mails (il ajoute un tag dans le header). Pour que le filtrage devienne effectif, il faut donc indiquer à Spamassasssin le score à attribuer en fonction de la valeur du tag X-DSPAM dans le header.

De préférence, il vaut mieux attendre quelques jours après l'installation de dspam afin de le laisser apprendre sur un volume de mail conséquent, avant d'activer ces rules SA.

Dès que l'on estime que les tags sont pertinents dans les headers (c'est à dire que Dspam détecte bien du spam et du non-spam (ham) correctement), on peut ajouter ceci au /etc/mail/spamassassin/local.cf :

nano /etc/mail/spamassassin/local.cf

header DSPAM_SPAM X-DSPAM-Result =~ /^Spam$/ describe DSPAM_SPAM DSPAM claims it is spam score DSPAM_SPAM 2.8 header DSPAM_HAM X-DSPAM-Result =~ /^Innocent$/ describe DSPAM_HAM DSPAM claims it is ham score DSPAM_HAM -0.2

On peut améliorer les performances de la base en changeant le moteur en InnoDB

mysql -u root -p USE dspam; ALTER TABLE dspam_preferences TYPE=InnoDB; ALTER TABLE dspam_signature_data TYPE=InnoDB; ALTER TABLE dspam_stats TYPE=InnoDB; ALTER TABLE dspam_token_data TYPE=InnoDB; ANALYZE TABLE dspam_preferences; ANALYZE TABLE dspam_signature_data; ANALYZE TABLE dspam_stats; ANALYZE TABLE dspam_token_data;

On crée les taches de maintenance de dspam :

On crée un fichier /etc/dspam-purge-4.1.sql

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/dspam-purge-4.1.sql

Puis on crée une tache cron avec le user amavis :

crontab -e -u amavis

et on ajoute :

14 2 * * * /usr/bin/mysql -u dspam -p'******' dspam < /etc/dspam-purge-4.1.sql

On crée une tache cron de purge des log avec le user amavis :

crontab -e -u amavis

on ajoute :

3 3 1 * * /usr/bin/dspam_logrotate -a 30 -v -d /var/amavis/dspam

Filtrage par extensions et type mime dans amavisd

On peut également renforcer le blocage des fichiers par extension et type mime dans amavisd, indépendamment de l'antivirus.

Ce blocage est très efficace et peut être complémentaire du premier blocage par Postfix sur ces fichiers (headers, body, type mime), car il utilise cette fois les capacités de décodage et de décompression d'Amavisd.

Par exemple, on pourra facilement bloquer un fichier exe à l'intérieur d'un fichier zip.

Voir mon fichier amavisd.conf pour des exemples de type mime et d'extensions de fichiers.

@@@@@ JOINDRE FICHIER

Voila le serveur de mail et le filtrage sont configurés !

AMAVISD - Maintenance Bases MySQL

Les tables vont grossir au fur et à mesure des réceptions, il faut donc regulièrement les purger.

On crée un fichier amavis-purgesql :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/amavisd/amavis-purgesql

puis on crée une tache cron

crontab -e -u amavis

et on ajoute :

14 4 * * * /usr/bin/mysql -u amavis -p'******' amavis < /etc/amavis-purgesql

ATTENTION : Bien vérifier, dans le CRON, que toutes les étoiles (****), passées en paramètre -p '******', soient bien remplacées par MonMotdePasse.

Vérification et signatures des messages par DKIM

Cette technique a tendance a se développer, et depuis la version 2.6, amavisd propose désormais d'exécuter l'intégralité des tâches DKIM : Vérification des messages reçus et signatures des messages sortants.

Depuis la version 2.6 d'amavisd, celui ci est capable de générer une signature DKIM

La vérification DKIM des mails recus et faites par defaut dans amavisd.

On génére la clé :

mkdir /var/amavis/dkim

cd /var/amavis/dkim

amavisd genrsa /var/amavis/dkim/domaine.key.pem

les droits du fichier sont mis correctement par amavisd.

Si l'on a plusieurs domaines on répète la procédure pour chaque.

On ajoute ceci au /etc/amavisd.conf :

dkim_key('mondomaine.com', 'domaine', '/var/amavis/dkim/domaine.key.pem');}

A partir d'ici Amavisd est capable de signer les messages sortants. Mais le serveur destinataire ne sera pas capable de les vérifier, car il faut publier la clé publique dans les DNS :

Pour cela, on lance la commande suivante pour afficher la clé publique du ou des domaines que l'on a parametré plus haut.

amavisd showkeys

on fait un copier/coller du résultat pour le domaine et on le colle tel quel dans la zone DNS.

Le serveur DNS Bind gère bien sûr cet enregistrement (TXT) et il suffira de l'enregistrer dans le fichier de zone et de recharger bind.

Si les DNS sont gérés par l'hébergeur, la plupart propose de modifier les champs TXT, mais ce n'est pas le cas de tous. Il faudra donc vérifier ce point.

On teste l'enregistrement avec une commande d'amavisd :

amavisd testkeys

On relance amavisd.

Pour pouvoir signer les messages il faut que ceux ci proviennent pour amavisd d'une source de confiance, c'est à dire en provenance du réseau spécifié dans amavisd comme étant local (policy bank MYNETS), ou bien depuis le port 587 dans postfix en TLS + SASL (policy bank ORIGINATING).

On teste en envoyant un mail et on vérifie dans les logs que la signature s'applique bien.

On retrouvera cette signature dans les headers du message envoyé.

Notes :

– On peut aller plus loin dans la configuration d'Amavisd mais pour ne pas surcharger le tuto nous n'aborderons pas ces points ici.

– La configuration d'amavisd doit également être modifiée en fonction de la charge du serveur. Par défaut 2 instances sont actives ($max_servers = 2 ;). Le calcul du nombre d'instances nécessaires demande certains ajustements à l'usage et doit être considéré comme un prérequis sur la mise en production d'un serveur susceptible de traiter des volumes conséquents. On peut consulter la doc d'amavisd sur ce point.

– Dans notre configuration on filtre (antispam, antivirus) sur les mails entrants ET sortants. On peut économiser des ressources systèmes en désactivant l'antispam sur les mails sortants en provenance d'utilisateurs authentifiés. Voir la configuration dans cet article

Pour info, les mails soumis localement (pickup) bypassent tous les tests : spams, AV, header/body. C'est le cas pour les mails système comme ceux de cron, logwatch ou autres. Cette configuration a été faite dans la partie pickup en début de tuto.

MAIL : 5ème Etape - Quotas, Sécurisation

Georges Charpenay — 2008-07-24T14:07:32Z

OPTIMISATION ET SECURISATION DU SERVEUR DE MAIL

MAILDROP - Gestion des Quotas

Nous les avons paramétrés à l'installation de maildrop (Create tables SQL avec colonnes).

Nous allons maintenant utiliser ces tables et créer un message d'alerte générique pour un dépassement de quotas.

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/usr/local/courier/etc/quotawarnmsg

chown -R vmail : /etc/quotawarnmsg

chmod 644 /etc/quotawarnmsg

Il faut personnaliser les messages de quotawarnmsg en éditant le fichier.

C'est tout ce que nous avons à faire en plus, d'une manière générale, pour Maildrop, Postfix et Courrier-IMAP.

Pour les petits réglages de quota par utilisateur et autres, pensez à Postfix admin.

Mais, le serveur ne filtre pas encore les virus ou les spams...

Installation d'un Antispam / Antivirus

Un morceau de choix, accrochons-nous !

La technicité de la majorité des spams de nos jours ne respectent pas les règles d'envoi de mail conventionnels et utilisent un HELO incorrect, et souvent un MAILFROM d'un domaine inconnu.

Pour plus d'informations veuillez lire les RFC.

SECURITE ANTISPAM : Blacklist Postfix

Renforçons d'abord Postfix avec des règles pour qu'il soit beaucoup plus restrictif.

Pour cela utilisons les smtpd_recipient_restrictions (Nous ne détaillerons pas les actions précises de chaque règle car la documentation de Postfix est déja très précise sur ce sujet) mais éditons le fichier /etc/postfix/main.cf et remplaçons tout le smtpd_recipient_restrictions par celui ci :

nano /etc/posfix/main.cf
ou winscp v4 ou ultérieure (c'est mieux !)

smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unlisted_sender, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_unauth_destination, check_client_access hash:/etc/postfix/internal_networks, check_sender_access hash:/etc/postfix/not_our_domain_as_sender, check_helo_access proxy:mysql:/etc/postfix/mysql-hello.cf, check_sender_access proxy:mysql:/etc/postfix/mysql-sender.cf, check_client_access proxy:mysql:/etc/postfix/mysql-client.cf, reject_rbl_client list.dsbl.org, reject_rbl_client zen.spamhaus.org, permit

Dans ce fichier, nous avons paramétré des RBL (Blacklists) qui vont filtrer efficacement les mails.

Il existe énormément de RBL qui peuvent rendre le filtrage encore plus restrictif, mais nous nous limiterons qu'aux (RBL) officielles et professionnelles. L'ajout sauvage de blacklist non-officielles peut amener à supprimer des mails sains.

Il vaut mieux gérer les RBL supplémentaires au travers d'une Policy Service de Postfix qui permettra plus de souplesse. (voir doc Postfix).

Spam ASSASSIN, dont nous allons décrire l'installation ultérieurement, gère lui aussi des RBL propres.

Ne fermez pas main.cf, il y a encore des modifications...!

SECURITE ANTISPAM : Vérification des mails

Il nous faut limiter les possibilités de forging des expéditeurs en vérifiant les MAIL FROM (adresses expéditrices).

Nous sommes toujours dans le fichier main.cf et nous nous plaçons au dessus du bloc smtpd_recipient_restrictions = , pour insérer :

smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch smtpd_reject_unlisted_sender = yes smtpd_restriction_classes = has_our_domain_as_sender has_our_domain_as_sender = check_sender_access hash:/etc/postfix/our_domain_as_sender, reject

Cela nous permettra d'empêcher les utilisateurs de mettre une autre adresse dans le MAIL FROM et seront ainsi obliger de passer par le domaine @mondomaine.com.(toutes les adresses d'expéditeurs devront appartenir au(x) domaine(s)).

Quittez et sauvegardez le main.cf. Mais nous y reviendrons plus tard..

Il s'agit ensuite de dire au serveur de vérifier que les mails envoyés appartiennent bien au réseau :

Il faut maintenant créer les fichiers suivants :

- /etc/postfix/internal_networks

en faisant ainsi :

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/internal_networks

Editons le fichier et spécifions y notre réseau local et son adresse publique :

nano /etc/postfix/internal_networks

Le contenu du fichier doit ressembler à celà, au final :

192.22.1 has_our_domain_as_sender 88.120.55.485 has_our_domain_as_sender

Ces lignes permettent de spécifier les plages IP de votre réseau, ainsi que l'ip publique (exemple) qui seront autorisées à envoyer un mail avec votre (vos) domaines dans le MAIL FROM.

Cela permet également de préciser les IP autorisées à envoyer un mail en se présentant avec notre HELO.

Nous bloquerons ainsi les clients SMTP extérieurs qui pourraient se présenter avec un HELO qui est le notre (HAM) (spoofing).

Il faut, dans cette même étape, créer les fichiers qui vont appeler les tables SQL :

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-hello.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-
sender.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-client.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/our_domain_as_sender

wget http://www.starbridge.org/spip/doc/Procmail/postfix/not_our_domain_as_sender

Pour les deux commandes suivantes, attention à remplacer le mot de passe avant de valider..

sed -i 's/toto/Mot_De_Passe_Postfix/g' mysql-hello.cf mysql-sender.cf mysql-client.cf

sed -i 's/starbridge.org/MonDomaine.com/g' our_domain_as_sender not_our_domain_as_sender

Pour info voici les fonctions de ces derniers téléchargements :

/etc/postfix/mysql-hello.cf : Cette table SQL listera les HELO de nos domaines email.

/etc/postfix/mysql-sender.cf : Il sert à blacklister ou whitelister les MAILFROM, c'est à dire les expéditeurs, selon leur adresse email externe ou limitées au domaine précisé.

/etc/postfix/mysql-client.cf : Il sert à blacklister ou whitelister les clients par leur connection (ip/domaine).

/etc/postfix/our_domain_as_sender : Il sert à spécifier les domaines autorisés comme MAIL FROM pour les users internes authentifiés par leur IP (les clients en local peuvent envoyer un email local sans s'authentifier dans notre configuration)

/etc/postfix/not_our_domain_as_sender : Il sert à spécifier les domaines refusés comme MAIL FROM pour les users externes non authentifiés (c'est à dire une personne extérieure qui nous envoit un mail). Si cette personne spécifie un de nos domaines en MAIL FROM, le message sera refusé (antispoofing)

Nous" postmappons" (déclarons à Postfix d'utiliser..) les fichiers suivants que nous venons de créer :

postmap /etc/postfix/internal_networks

postmap /etc/postfix/our_domain_as_sender

postmap /etc/postfix/not_our_domain_as_sender

Nous sécurisons les fichiers de lookup :

chown -R root:postfix /etc/postfix/mysql-*

chmod 640 /etc/postfix/mysql-*

Créons les tables (pour importer les fichiers ci-dessus) :

wget http://www.starbridge.org/spip/doc/Procmail/postfix/postfix_access.sql

Puis la commande sed (avec changement de domaine manuel)

sed -i 's/starbridge.org/MonDomaine.com/g' postfix_access.sql

mysql -u root -p < postfix_access.sql

... avec le mot de passe de root de mysql....

Et enfin, relançons postfix :

postfix reload

Vérification de la validité des mails

Postfix peut vérifier les mails entrants très simplement en analysant le header, le body et le type mime des pièces jointes.

Ce type de blocage est très efficace, plus rapide que de laisser faire Amavisd ou SA, mais manque de souplesse.

Il s'avère cependant très efficace pour bloquer par types de fichiers sans que le mail ne soit envoyé au serveur, puis traité (économie de bande passante et de CPU).

Cependant une trop grande quantité de règles et un fort trafic aurait l'effet inverse sur les performances.

Nous allons créer les fichiers nécessaires pour activer cette fonction.

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/body_checks.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/header_checks.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mime_headers_checks.cf

Editons ensuite le fichier /etc/postfix/main.cf et ajoutons ces lignes :

header_checks = regexp:/etc/postfix/header_checks.cf body_checks = regexp:/etc/postfix/body_checks.cf mime_header_checks = regexp:/etc/postfix/mime_headers_checks.cf

Il suffit maintenant de relancer postfix :

postfix reload

Voila maintenant notre serveur mail est prêt à accueillir un Antispam et un Antivirus efficace.

Cool, vous pouvez bien prendre un café, car vous l'avez bien mérité !

MAIL : 4ème Etape - Installation Courrier-IMAP, Postfixadmin

Georges Charpenay — 2008-07-24T11:58:03Z

A ce point de construction (article précédent), nous avons besoin de préciser comment les clients viennent récupérer leur mail.

Nous avons déjà configuré la partie la plus importante de courier-imap, c'est à dire l'authentification mysql, dans la partie sur Maildrop.

COURRIER-IMAP - Installation

Nous installons le serveur IMAP proprement dit :

aptitude install courier-imap courier-imap-ssl fam

Note : pour les questions de l'installeur Debian :

courier-base : Faut-il créer les répertoires nécessaires à l'administration web = NON.

POSTFIXADMIN - Installation

Postfix admin est une interface web du service Postfix.

NOTE : Plusieurs cas se présentent :

– Soit votre serveur mail et votre serveur lamp sont sur un seul et même serveur, auquel cas il faudra exécuter les commandes suivantes sur votre seul serveur.

– Si vous utilisez un serveur LAMP séparé du serveur MAIL il vous faut donc exécuter ces commandes sur le serveur LAMP où se trouve apache2 (car postfix web).

Pour faciliter la création des users et la gestion des boîtes et des comptes, nous utilisons Postfixadmin.

Nous utilisons la version SVN.

Note : SVN veut dire subversion. Nous savons que les paquets Debian peuvent automatiquement être mis à jour, mais Debian ne peut mettre à jour des paquets qu'il ne connaît pas ou qu'il n'a pas produit (par ex, webmin, postfix...). Pour s'abonner (en quelque sorte), aux mises à jour de ces produits "satellites", il existe SVN qui livre automatiquement les mises à jour des sources directement dans les serveurs (notre serveur), combiné avec une liste de diffusion par mail (qui vous avertit de la livraison d'une nouvelle version). C'est prêt à être utilisé. Ainsi, les corrections de bugs vont plus vite que le vent.

Exécutons les commandes ci-dessous (la commande SVN peut être longue en retour, soyez patients.)

aptitude install subversion cd /var/www svn -r 358 co https://postfixadmin.svn.sourceforge.net/svnroot/postfixadmin/trunk postfixadmin chown -R www-data: /var/www/postfixadmin cd postfixadmin chmod 640 *.php cd /var/www/postfixadmin/admin/ chmod 640 *.php cd /var/www/postfixadmin/images/ chmod 640 *.png cd /var/www/postfixadmin/languages/ chmod 640 *.lang cd /var/www/postfixadmin/templates/ chmod 640 *.php cd /var/www/postfixadmin/users/ chmod 640 *.php cd /var/www/postfixadmin/

POSTFIXADMIN - Configuration

Nous remplaçons le /var/www/postfixadmin/config.inc.php par défaut par celui ci.

Note : Il faut modifier toutes les entrées starbridge.org dans ce fichier par celles correspondantes à votre domaine. (toto est le mot de passe pour la base SQL postfix et Votre_Domaine.com ) :

Pour celà, lancer les commandes suivantes, et les modifier pour les adapter (toto par mot passe - Votre_domaine par MonDomaine) :

mv config.inc.php config.inc.php-orig wget http://www.starbridge.org/spip/doc/Procmail/config.inc.txt mv config.inc.txt config.inc.php sed -i "s/password'] = '\*\*\*\*\*'/password'] = 'toto'/" config.inc.php sed -i 's/www.starbridge.org/www.Votre_Domaine.com/g' config.inc.php sed -i 's/starbridge.org/Votre_Domaine.com/g' config.inc.php

Nous sécurisons le fichier :

chown www-data : /var/www/postfixadmin/config.inc.php

chmod 640 config.inc.php

Nous allons ensuite effacer le fichier setup.php qui n'est pas nécessaire dans notre cas car nous avons configuré le fichier à la main :

rm /var/www/postfixadmin/setup.php

Nous nous connectons ensuite à l'interface de postfixadmin :

https://192.22.1.1/postfixadmin

Si toutefois, cette page n'aboutit pas et que l'arrêt des services d'apache en ligne de commande nous renvoie une erreur de domaine du genre "Could not reliably determine the server's fully qualified domain name", il est fort possible d'avoir à corriger le fichier /etc/apache2/apache2.conf et compléter ou ajouter la directive :

ServerName NomServeur.Mondomaine.com

Ceci peut arriver si le serveur LAMP et le serveur MAIL tournent sur la même machine.

Identifions nous avec admin@mondomaine.com que l'on à créé à l'installation de Postfix (service de base). Le mot de passe par défaut étant "secret".

Tester la création d'un nouvel utilisateur pour valider le bon fonctionnement de postfix.

A ce niveau, le serveur de mail fonctionne normalement. Reste à le sécuriser avec un antispam, un antivirus, la gestion des quotas de mail, et pour ne pas servir de relais de mail (mail relaying), c'est ce que nous allons voir dans l'article suivant.

MAIL : 3ème Etape - Installation de Maildrop

Georges Charpenay — 2008-07-24T08:28:05Z

Nous avons besoin d'un MDA (mail delivery agent) pour livrer les mails dans les boîtes.

Le service de livraison Virtual de Postfix ne convient pas totalement pour notre usage.

En effet nous allons avoir besoin de capacité de filtrage sur le MDA ainsi que la possibilité de gérer les quotas, ce qu'il ne sait pas faire en Virtual.

Procmail est très bien pour le filtrage, mais ne supporte pas les users/domaines virtuels car il ne sait pas communiquer avec une base de données.

Une méthode répandue pour les quotas est l'application du patch VDA sur Postfix, option que nous ne choisirons pas pour des raisons de fiabilité.

La solution Maildrop réponds, elle, à nos besoins.

Maildrop s'occupera donc de la livraison des mails dans les /home/virtual.

MAILDROP - Installation

Nous installons maildrop :

apt-get install maildrop

Nous appliquons les permissions correctement en mettant comme utilisateur VMAIL sur les exécutables et sur /var/run/courier/authdaemaon :

chown vmail : /usr/bin/maildrop

chown vmail:daemon /var/run/courier/authdaemon/

chmod 750 /var/run/courier/authdaemon/

On vérifie si maildrop est correctement installé (modules activés) :

/usr/bin/maildrop -v

qui doit nous renvoyer :

maildrop 2.0.4 Copyright 1998-2005 Double Precision, Inc. Courier Authentication Library extension enabled. Maildir quota extension enabled. This program is distributed under the terms of the GNU General Public License. See COPYING for additional information.

On voit que l'authentification est activée, ainsi que la gestion des quotas que nous configurerons plus tard.

MAILDROP - Configuration

Nous éditons le fichier /etc/courier/authdaemonrc pour remplacer authmodulelist="authpam" par authmodulelist="authpam authmysql", comme décrit dans le cadre suivant (un petit copier-coller d'un coup fonctionne) :

cd /etc/courier mv authdaemonrc authdaemonrc-orig wget http://www.starbridge.org/spip/doc/Procmail/courier/authdaemonrc chown daemon: authdaemonrc chmod 660 authdaemonrc

Nous exécutons ensuite les commandes suivantes pour créer le fichier authmysqlrc (toto étant votre mot de passe) :

cd /etc/courier mv authmysqlrc authmysqlrc-orig wget http://www.starbridge.org/spip/doc/Procmail/courier/authmysqlrc chown daemon: authmysqlrc chmod 640 authmysqlrc

Puis lancer la commande suivante en ayant préalablement remplacé "toto" par votre mot de passe postfix que vous avez déjà défini.

sed -i 's/*****/toto/g' authmysqlrc

(Toujours la commande sed pour modifier les fichiers par lots).

Note : Il faut faire très attention à la syntaxe de ce fichier (/etc/courrier/authmysqlrc) et bien mettre un tab (tabulation) entre le paramètre et sa valeur. Il ne doit y avoir aucun espace à la fin d'un paramètre. La moindre erreur entraînera le non-fonctionnement de l'authentification. C'est pour cela que le fichier est directement fourni ici et ne nécessite donc aucune modification autre que celle du mot de passe de notre base.

Maildrop est appelé par Postfix au moment de la livraison du mail. Pour que Postfix utilise Maildrop, nous ajoutons au fichier/etc/postfix/main.cf en fin de fichier :

nano /etc/postfix/main.cf

virtual_transport = maildrop maildrop_destination_recipient_limit = 1

et au fichier /etc/postfix/master.cf

nano /etc/postfix/master.cf

(on efface les lignes maildrop existantes (qu'une instruction) et on les remplace par celles ci) :

maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -w 90 -d ${user}@${nexthop} ${extension} ${recipient} ${user} ${nexthop} ${sender}

Ensuite, il faut créer le fichier /home/virtual/.mailfilter pour activer les logs et la création automatique des maildir à la livraison (postfix ne sait pas le faire comme avec le transport par défaut "virtual", car ce n'est pas lui qui livre directement dans les répertoires et il faut dire à maildrop, de venir livrer les mails dans /home/virtual) :

nano /home/virtual/.mailfilter (fichier vide au départ)

Et nous le remplissons avec :

logfile "/home/virtual/.maildrop.log" <code class='spip_code spip_code_inline' dir='ltr'>[ -d $DEFAULT ] || (maildirmake $DEFAULT && maildirmake -f Spam $DEFAULT && maildirmake -f Sent $DEFAULT && maildirmake -f SpamToLearn $DEFAULT && maildirmake -f SpamFalse $DEFAULT)</code> <code class='spip_code spip_code_inline' dir='ltr'>test -r $HOME/$DEFAULT.mailfilter</code> if( $RETURNCODE == 0 ) { log "(==) Including $HOME/$DEFAULT.mailfilter" exception { include $HOME/$DEFAULT.mailfilter } }

Enfin, il faut sécuriser le fichier.mailfilter :

chown vmail : /home/virtual/.mailfilter

chmod 600 /home/virtual/.mailfilter

Nous redémarrons le processus d'authentification et Postfix :

/etc/init.d/courier-authdaemon restart

/etc/init.d/postfix restart

MAILDROP - Test de la configuration

Nous testons cette configuration de base avec la commande :

authtest user@mondomaine.com

Qui nous donne :

Authentication succeeded. Authenticated: user@MonDomaine.com (uid 20001, gid 20001) Home Directory: /home/virtual Maildir: user@MonDomaine.com/ Quota: 0S Encrypted Password: $1$caea3837$gPafod/Do/8Jj5M9HehhM. Cleartext Password: (none) Options: (none)

Note : En cas d'erreur, il est fort probable que le fichier authmysqlrc soit en cause.

Regarder les logs :

tail -f /var/log/mail.log

Ensuite nous tapons la commande :

/usr/bin/maildrop -V 7 -d user@mondomaine.com

qui devrait nous répondre les termes suivants, montrant que le mail est bien livré à /home/virtual :

maildrop: authlib: groupid=20001 maildrop: authlib: userid=20001 maildrop: authlib: logname=user@mondomaine.com, home=/home/virtual, mail=user@MonDomaine.com/ maildrop: Changing to /home/virtual

CTRL+C pour sortir du fichier.

Nous allons ensuite tester l'envoi de mail à user@mondomaine.com :

mail user@mondomaine.com

Remplir tous les champs avec des informations vraies ou fausses cela est votre choix et terminer votre mail en tapant un point (.) sur une seul ligne.

On regarde les logs pour les erreurs :

tail -f /var/log/mail.log

Si tout a fonctionné on devrait trouver dans une ligne, vers la fin :

...status=sent (delivered ...) ...

Nous allons ensuite tester le port 25 (SMTP) du serveur mail avec telnet :

apt-get install telnet

Puis nous testons avec la commande suivante :

---> telnet localhost 25 220 [127.0.0.1] ESMTP Postfix ---> HELO localhost 250 [127.0.0.1] ---> MAIL FROM: <> 250 2.1.0 Sender OK ---> RCPT TO: <user@MonDomaine.com> 250 2.1.5 OK ---> DATA 354 End data with <CR><LF>.<CR><LF> ---> . 250 2.0.0 Ok: queued as 079474CE44 ---> QUIT 221 2.0.0 Bye Connection closed by foreign host

On regarde les logs pour vérifier.

MAILDROP - Filtre Message

Le fichier /home/virtual/.mailfilter que nous avons créé plus haut est commun à tous les comptes et sera appliqué à chaque mail. Si nous voulions appliquer des règles spécifiques à un utilisateur, il nous suffirait de créer un autre fichier .mailfilter dans le répertoire de l'utilisateur.
Nous pourrions par exemple rediriger des emails dans des répertoires spécifiques de cette façon.

Par exemple, pour que temporairement, les mails de Pierre arrivent à Paul, pendant que Pierre est en vacances.
Par exemple, je ne veux plus voir les mails provenant de Jacques.

Exemple de fichier .mailfilter personnel :

#elimine les messages en provenance de l'adresse ci-dessous if( \ /^From: .*actu@b\.linternaute\.com/:h \ ) exception { to "/dev/null" } ##### annonces ##### if( \ /^From: .*alerte@avendrealouer\.fr/:h \ || /^From: .*mailing_pap@pap\.fr/:h \ || /^Sender: .*alertemail@pap\.fr/:h \ ) exception { to "${DEFAULT}/.annonces/" }

Note : Pour éviter que l'administrateur postfix ait à créer manuellement toutes ces règles de gestion de mail, nous utiliserons eGroupware qui permettra à chaque utilisateur de gérer ses propres filtres.

Bien sûr nous devons appliquer les mêmes droits que pour le fichier .mailfilter général à ces fichiers personnels si nous les créons manuellement :

chown vmail: /home/virtual/user@MonDomaine.com/.mailfilter chmod 600 /home/virtual/user@MonDomaine.com/.mailfilter

Vous êtes excellent ! Votre MDA est installé.

A ce stade, votre SMTP et votre MDA sur actifs sur le serveur Mail.

Votre serveur sait livrer correctement les mails qu'il reçoit (les ranger dans le bon dossier quand il les reçoit), il sait les envoyer (smtp), la partie serveur (host) est faite.

Cependant, le client ne peut pas encore communiquer avec le serveur pour visualiser ses mails (à part d'aller sur la console).

Nous allons dans l'article suivant installer Courrier-IMAP.

MAIL : 1ère ETAPE [DEBIAN]

Georges Charpenay — 2008-07-23T14:30:10Z

Nous allons construire un serveur de Mail sous Debian.
La première étape consiste à télécharger les paquets et à construire un serveur de base, pour ajouter, petit à petit, tous les modules pour faire un serveur de production, sécurisé.
Cette première étape est strictement la même que pour la première étape d'installation du serveur LAMP décrite dans ce site.
Suivez-moi !

- Installation serveur de mail / DEBIAN, LINUX, MAIL

MAIL : 2ème Etape - Postfix, MySQL [DEBIAN]

Georges Charpenay — 2008-07-23T14:23:58Z

Nous allons installer un serveur mail complet utilisant le Virtual Mail (mysql), cette méthode de gestion des mails est plus simple à gérer et moins lourde que la méthode par "maildir"(gestion de fichiers).

Elle nous contraint à installer une base MySQL sur le serveur mail.

Dans un souci de compatibilité avec eGroupWare sur notre serveur LAMP (notre choix), nous allons utiliser le protocole IMAP pour la distribution du courrier, assuré par le service courrier-imap.

Pour le service SMTP, nous utiliserons "Postfix"

Pour la protection anti-spam, nous utiliserons "SpamAssassin, Dspam, et Amavisd".

Pour la protection anti-virus, nous utiliserons "clamav"

Nous prendrons constamment dans les articles de cette rubrique, le nom de notre domaine que nous appelerons mondomaine.com et le nom du hostname du serveur de mail que nous appellerons srv-mail.

Préparation

Dans un premier temps il faut maintenir le système à jour :

apt-get update

apt-get dist-upgrade*

Il faut ensuite modifier les fichiers suivant s'ils ne sont pas en accord avec votre domaine (mondomaine.com) et le nom de votre serveur(srv-mail) :

/etc/hostname de la façon suivante :

srv-mail.mondomaine.com

/etc/hosts :

127.0.0.1 srv-mail.mondomaine.com localhost.localdomain localhost srv-mail

127.0.0.1 peut-être remplacé par l'adresse IP du serveur, ça marche aussi.
Dans un fichier hosts, l'adresse ip peut-être suivie de plusieurs noms, par ex : 192.168.45.14 svr-lamp.mondomaine.com svr-lamp

Installation d'un cache DNS local

Le serveur mail envoyant de façon intensive des requêtes DNS, par souci de performances, nous avons préféré installer un cache DNS local.

apt-get install bind9

La configuration de base du paquet Bind9 fournit un serveur cache. (bind peut servir comme serveur dns local ainsi que pour gérer son nom de domaine (ex : Mx). Cependant, nous ne l'utiliserons qu'en matière de cache DNS (optimisation bande passante) car nous avons un serveur DNS.

Relancer ensuite le serveur DNS :

/etc/init.d/bind9 restart

Il faut ensuite tester la résolution DNS locale avec la commande nslookup :

nslookup >srv-mail

La commande doit ainsi retourner :

Default server: 127.0.0.1 Address: 127.0.0.1#53

Default server: adresse_ip_serveur Address: adresse_ip_serveur#53

Si vous avez dans votre réseau un serveur DNS, l'adresse DNS retournera l'adresse ip de votre serveur DNS Local.

Puis il faut tester un site extérieur pour voir si tout se passe bien :

> google.fr

La résolution doit se faire correctement et afficher l'adresse ip d'un serveur Google.

Il faut maintenant installer les outils de compilation nécessaire au bon fonctionnement de la suite des articles pour installer le serveur mail :

apt-get install bzip2 gcc libpcre3-dev libpcre3 courier-authlib-dev g++ libtool libmysqlclient15-dev make libssl-dev

Si toutefois, un paquet n'est pas reconnu (parce qu'il n'est plus le même - nom différent ), on peut toujours lancer la commande aptitude search avec le début du nom du paquet, puis corriger la commande).

La préparation du serveur est terminée, nous pouvons maintenant passer à l'installation de Postfix et MySQL.

Installation de Postfix et MySQL

apt-get install postfix postfix-mysql mysql-client-5.0 mysql-server-5.0 courier-authdaemon courier-authlib-mysql libsasl2-2 libsasl2-modules sasl2-bin libpam-mysql openssl ntp tmpreaper

Tout le nécessaire pour l'installation de Postfix et MySQL sont dans cette commande ci-dessus.

Le système va poser des questions après l'installation de certains paquets, il faut laisser les choix par défaut partout sauf pour le point suivant :

postfix configuration :

Réponse : SITE INTERNET

SECURISATION :

Nous devons ensuite sécuriser la base MySQL grâce au script présent sur les système Debian :

mysql_secure_installation

(cette commande a déjà été exécutée dans l'installation du serveur LAMP de ce site. Il n'est nécessaire de l'exécuter que si vous installez seulement un serveur mail). Elle demande, en retour de répondre à toutes les questions :

Enter current password for root (enter for none) :

Réponse : (Touche Entrée - car nous n'avons pas de mot de passe par défaut)

Set root password : (voulez-vous mettre un mot de passe MYSQL)

Réponse : Yes

New password :

Réponse : NotreNouveauMotdePasseMysql

Ensuite Confirmer le mot de passe.

Remove anonymous users ?

Réponse : Yes

Disallow root login remotely ? (désactiver connection hors localhost)

Réponse : No

Remove test database ... ?

Réponse : Yes

Reload privilege tables now ?

Réponse : Yes

MySQL est installé maintenant il faut créer la base MySQL postfix.

Nous n'utilisons pas le serveur Web apache2 sur ce serveur mail, ainsi l'outil PHPMyAdmin qui fonctionne sous un serveur web (en l'occurence : apache2), n'est pas accessible pour faciliter la création des utilisateurs et des bases MySQL.

Nous sommes donc contraints à lancer les commandes à la main.

Cette première commande crée la base postfix :

mysqladmin -u root --password='Notre_Mot_de_Passe_Mysql' create postfix

Il faut créer maintenant l'utilisateur postfix qui sera associé à cette base de donnée :

$ mysql -u root -p Enter password: GRANT ALL PRIVILEGES ON postfix.* TO "postfix"@"localhost" IDENTIFIED BY 'Mot_de_passe_pour_postfix'; GRANT ALL PRIVILEGES ON postfix.* TO "postfix"@"adresse_ip_serveur" IDENTIFIED BY 'Mot_de_passe_pour_postfix';

Le 2ème utilisateur Postfix que nous avons créé (sur l'adresse IP du serveur) permet au serveur LAMP (autre adresse ip car serveurs séparés) d'avoir l'autorisation de venir stocker/lire les informations dans la base de donnée postfix (que nous utilisons notamment pour que le serveur lamp puisse venir récupérer ses mails pour qu'egroupware, installé sur le serveur Lamp, puisse en disposer).

Il faut maintenant créer plusieurs tables dans la base Postfix, ces tables seront créées en important le fichier "postfix.sql"ci-dessous et en modifiant tous les champs pour inclure son domaine avec la commande : "sed".

postfix

Une fois postfix.sql sur votre serveur de mail, taper les commandes suivantes :

sed -i 's/starbridge.org/mondomaine.com/g' postfix.sql mysql -u root -p < postfix.sql

Commentons le contenu du fichier importé :

Seules les 3 premières tables sont nécessaires pour le fonctionnement de postfix, les autres ne servent que pour l'interface Postfixadmin que nous installerons dans les articles suivants.

Le password (MD5) est "secret" ($1$caea3837$gPafod/Do/8Jj5M9HehhM.)

Il faudra le changer plus tard, mais nous aborderons la chose dans les articles suivants.

Le premier INSERT permet à Postfix de savoir que ce domaine est virtuel et qu'il doit donc le gérer. (base mysql et non maildir)

Le 3ème INSERT est un alias virtuel pointant vers un user de la table mailbox. Cet alias vers lui même sera utilisé par Postfixadmin.

le 4ème INSERT est un simple alias virtuel.

Le 7ème INSERT est un compte (boite email) virtuel, qui utilise un mot de passe encrypté en MD5.

Les deux derniers INSERT permettent de créer le superadministrateur que l'on utilisera plus tard dans Postfixadmin.

Configuration de Postfix

Notre fichier /etc/postfix/main.cf est celui ci dessous, généré par l'installation des paquets postfix :

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no myhostname = srv-mail.mondomaine.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = $mydomain mydestination = $myhostname, localhost.$mydomain, localhost mynetworks = 127.0.0.0/8 recipient_delimiter = + home_mailbox = Maildir/ notify_classes = 2bounce, bounce, delay, policy, protocol, resource, software smtpd_helo_required = yes strict_rfc821_envelopes = yes relay_domains = proxy:mysql:/etc/postfix/mysql_relay_domains_maps.cf virtual_alias_maps = proxy:mysql:/etc/postfix/mysql_virtual_alias_maps.cf virtual_gid_maps = static:20001 virtual_mailbox_base = /home/virtual virtual_mailbox_domains = proxy:mysql:/etc/postfix/mysql_virtual_domains_maps.cf virtual_mailbox_maps = proxy:mysql:/etc/postfix/mysql_virtual_mailbox_maps.cf virtual_minimum_uid = 20001 virtual_uid_maps = static:20001 proxy_read_maps = $local_recipient_maps $mydestination $virtual_alias_maps $virtual_alias_domains $virtual_mailbox_maps $virtual_mailbox_domains $relay_recipient_maps $relay_domains $canonical_maps $sender_canonical_maps $recipient_canonical_maps $relocated_maps $transport_maps $mynetworks $smtpd_recipient_restrictions $smtpd_sender_login_maps message_size_limit = 50240000 smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, permit smtpd_data_restrictions = reject_unauth_pipelining, permit

NOTE : N'oubliez pas de remplacer la ligne
myhostname = srv-mail.mondomaine.com
par votre nom_de_serveur.votre_domaine.com

Postfix utilise un 2ème fichier de configuration, toujours généré par les paquets, qui est le suivant /etc/postfix/master.cf :

# # Postfix master process configuration file. For details on the format # of the file, see the master(5) manual page (command: "man 5 master"). # # ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (yes) (never) (100) # ========================================================================== smtp inet n - - - - smtpd 587 inet	n	-	-	-	-	smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject -o smtpd_client_restrictions=permit_sasl_authenticated,reject #smtps inet n - - - - smtpd # -o smtpd_tls_wrappermode=yes # -o smtpd_sasl_auth_enable=yes # -o smtpd_client_restrictions=permit_sasl_authenticated,reject #628 inet n - - - - qmqpd pickup fifo n - - 60 1 pickup -o receive_override_options=no_header_body_checks -o content_filter= cleanup unix n - - - 0 cleanup qmgr fifo n - n 300 1 qmgr #qmgr fifo n - - 300 1 oqmgr tlsmgr unix - - - 1000? 1 tlsmgr rewrite unix - - - - - trivial-rewrite bounce unix - - - - 0 bounce defer unix - - - - 0 bounce trace unix - - - - 0 bounce verify unix - - - - 1 verify flush unix n - - 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap smtp unix - - - - - smtp # When relaying mail as backup MX, disable fallback_relay to avoid MX loops relay unix - - - - - smtp -o fallback_relay= # -o smtp_helo_timeout=5 -o smtp_connect_timeout=5 showq unix n - - - - showq error unix - - - - - error retry unix - - - - - error discard unix - - - - - discard local unix - n n - - local virtual unix - n n - - virtual lmtp unix - - - - - lmtp anvil unix - - - - 1 anvil scache unix - - - - 1 scache # # ==================================================================== # Interfaces to non-Postfix software. Be sure to examine the manual # pages of the non-Postfix software to find out what options it wants. # # Many of the following services use the Postfix pipe(8) delivery # agent. See the pipe(8) man page for information about ${recipient} # and other message envelope options. # ==================================================================== # # maildrop. See the Postfix MAILDROP_README file for details. # Also specify in main.cf: maildrop_destination_recipient_limit=1 # maildrop unix - n n - - pipe flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient} # # See the Postfix UUCP_README file for configuration details. # uucp unix - n n - - pipe flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient) # # Other external delivery methods. # ifmail unix - n n - - pipe flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient) bsmtp unix - n n - - pipe flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient scalemail-backend unix - n n - 2 pipe flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension} mailman unix - n n - - pipe flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py ${nexthop} ${user}

Voila, maintenant que Postfix est configuré, paramétrons le système pour le lancement du processus de Postfix, avant de redémarrer le service :

Créons le groupe et l'utilisateur VMAIL avec un uid et guid de 20001, ainsi que le répertoire des mails virtuels.

groupadd -g 20001 vmail

useradd -g vmail -u 20001 vmail -d /home/virtual -m

On sécurise ensuite le répertoire créé pour seulement autoriser l'utilisateur VMAIL à écrire dedans :

chown -R vmail : /home/virtual

chmod 770 /home/virtual

Les mails vont donc se retrouver dans /home/virtual.

Ensuite, il faut créer les fichiers d'appel des tables par Postfix.

Il faut donc rapatrier sur votre serveur mail les fichiers ".cf" que vous pouvez télécharger sur cet article.
Nous les copierons dans /etc/postfix
Nous modifierons, pour changer les phrases faisant allusion au mot_de_passe, par le vrai mot de passe.
Cette modification peut-être faite en une seule fois grâce à la commande sed comme ci-dessous :

cd /etc/postfix

sed -i 's/toto/mon_mot_de_passe/g' mysql_virtual_alias_maps.cf mysql_virtual_domains_maps.cf mysql_virtual_mailbox_maps.cf

(attention ! : c'est une même commande )

La commande sed permet de specifier votre password d'accès à la base de données et le modifie dans les fichiers concernés.

Dans l'exemple, c'est toto, qu'il fallait remplacer.

On sécurise maintenant tous les fichiers :

chmod 640 /etc/postfix/mysql_*

chgrp postfix /etc/postfix/mysql_*

Bravo ! Postfix est configuré et le SMTP est actif sur notre serveur.

Les étapes suivantes seront les ajouts de Maildrop, d'un MDA (Mail Deliver Agent) pour livrer les mails dans les boites, de Courrier-IMAP et des anti-spams.