Les notes de Joey : gestion de messagerie sur Red Hat 5© avec Sendmail et Dovecot

Gazette Linux n°158 — Janvier 2009

Adaptation française: Nicolas Provost

Relecture et Adaptation française partielle: Deny

Article paru dans le n°158 de la Gazette Linux de Janvier 2009

Article publié sous Open Publication License. La Linux Gazette n'est ni produite, ni sponsorisée, ni avalisée par notre hébergeur principal, SSC, Inc.


Table des matières

Aperçu
Sendmail
Cyrus SASL
Dovecot
Sendmail
Configuration
Test
Cyrus SASL
Démarrage
Test de Cyrus SASL
Dovecot
Configuration
Test de Dovecot
Ressources

Le sujet de l'article de ce mois est l'installation et la configuration des serveurs de messagerie Sendmail et Dovecot sur Red Hat Entreprise 5.x pour offrir des fonctionnalités de récupération de courrier sécurisée IMAP et de relai SMTP avec authentification à nos utilisateurs. La configuration d'un serveur de messagerie est une tâche aisée, mais qui doit être réalisée avec un soucis de sécurisation : les étourderies ou erreurs de configuration sont très recherchées par les spammeurs désireux de transformer votre serveur en un relai « zombi ». Si le serveur d'une société est corrompu, cela peut avoir de graves conséquences. L'adresse IP de la société peut se retrouver en liste noire ; le courrier légitime peut se voir rejeté ; le fournisseur d'accès à Internet peut même interrompre la connexion. Une telle situation serait très coûteuse pour l'entreprise en termes d'argent et de réputation, et en tant qu'administrateur système, vous pourriez perdre votre travail. Un relai SMTP avec authentification permet aux utilisateurs de se connecter de manière sécurisée de partout tout en rejetant les tentatives d'accès indésirables.

Pour l'installation, j'ai utilisé Red Hat Entreprise 5, Sendmail et Dovecot (les programmes de messagerie par défaut de Red Hat©). Si vous avez sélectionné le groupe de paquets « Serveur de messagerie » (Mail Server) à l'installation, tout ce qui est nécessaire sera installé. Il faut ajouter que le programme Sendmail sera déjà opérationnel par défaut dans les niveaux d'exécution 2-5. La librairie Cyrus SASL (Simple Authentication and Security Layer, couche d'authentification et de sécurisation) nous fournira une méthode générique pour ajouter l'authentification aux protocoles basés sur des connexions. Je ferai référence au démon Cyrus SASL par son nom de programme (saslauthd) à partir de maintenant.

Aperçu

Les tâches à accomplir sont :

Sendmail

  1. Créer un certificat pour Sendmail

  2. Configurer Sendmail pour qu'il accepte le courrier émis par d'autres machines (à authentifier)

  3. Configurer Sendmail pour qu'il impose une authentification

  4. Configurer Sendmail pour qu'il utilise le certificat que nous aurons créé

  5. Reconstruire le fichier de configuration de Sendmail et redémarrer le service

  6. Tester notre configuration de Sendmail

Cyrus SASL

  1. Démarrer le service saslauthd pour que nous puissions utiliser l'authentification

  2. S'assurer que saslauthd est actif en cas de redémarrage de la machine

  3. Tester saslauthd

Dovecot

  1. Renommer les fichiers des certificats par défaut (exemples)

  2. Editer le fichier de base

  3. Générer un nouveau certificat auto-signé pour notre serveur

  4. Configurer Dovecot pour qu'il utilise les protocoles appropriés

  5. Configurer Dovecot pour que SSL et les nouveaux certificats soient utilisés

  6. Démarrer le service Dovecot

  7. S'assurer que Dovecot reste actif en cas de redémarrage de la machine

  8. Tester notre configuration de Dovecot

Sendmail

Configuration

Créons tout d'abord notre fichier sendmail.pem, indispensable au fonctionnement de TLS (Transport Layer Security). Lorsque vous créez un certificat auto-signé, vous devez répondre à des questions concernant votre localisation et votre organisation[1].

# cd /etc/pki/tls/certs
# make sendmail.pem
umask 77 ; \
        PEM1=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        PEM2=`/bin/mktemp /tmp/openssl.XXXXXX` ; \
        /usr/bin/openssl req -utf8 -newkey rsa:1024 -keyout $PEM1 -nodes -x509 -days 365 -out $PEM2 -set_serial 0 ; \
        cat $PEM1 >  sendmail.pem ; \
        echo ""   >> sendmail.pem ; \
        cat $PEM2 >> sendmail.pem ; \
        rm -f $PEM1 $PEM2
Generating a 1024 bit RSA private key
............++++++
............................++++++
writing new private key to '/tmp/openssl.EU9964'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [GB]:US
State or Province Name (full name) [Berkshire]:Arizona
Locality Name (eg, city) [Newbury]:Phoenix
Organization Name (eg, company) [My Company Ltd]:Example Corp.
Organizational Unit Name (eg, section) []:IT
Common Name (eg, your name or your server's hostname)[]:rhce-prep.example.com
E-mail Address []:root@rhce-prep.example.com

A ce stade, il nous faut sauvegarder les fichiers de configuration originaux situés dans /etc/mail/. Puis nous allons ajouter plusieurs lignes au fichier sendmail.mc et régénérer le fichier sendmail.cf.

# cd /etc/mail
# cp sendmail.mc sendmail.mc.orig
# cp sendmail.cf sendmail.cf.orig
# vi sendmail.mc

Cherchez et décommentez la ligne ci-dessous en ajoutant « dnl » au début, comme je l'ai fait :

dnl DAEMON_OPTIONS(`Port=smtp,Addr=127.0.0.1, Name=MTA')dnl

Cette ligne restreint Sendmail à accepter des courriers uniquement sur l'interface locale (la machine). La décommenter autorise les courriers émis depuis les autres machines.

Ensuite, trouvez cette ligne :

define(`confAUTH_OPTIONS', `A')dnl

et changez-la en

define(`confAUTH_OPTIONS', `A p y')dnl

L'option « p » désactive les authentifications texte en clair, susceptibles d'être interceptées par simple capture de paquets, tant qu'une couche de sécurisation n'est pas active. L'option « y » interdit les connexions anonymes.

Ensuite, nous devons définir les méthodes d'authentification. Retirez « dnl » au début des lignes suivantes :

TRUST_AUTH_MECH(`EXTERNAL DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl
define(`confAUTH_MECHANISMS', `EXTERNAL GSSAPI DIGEST-MD5 CRAM-MD5 LOGIN PLAIN')dnl

Et finalement, ajoutez ces lignes spécifiant le chemin des certificats :

define(`CERT_DIR', `/etc/pki/tls/certs')dnl
define(`confCACERT_PATH', `CERT_DIR')dnl
define(`confCACERT', `CERT_DIR/sendmail.pem')dnl
define(`confSERVER_CERT', `CERT_DIR/sendmail.pem')dnl
define(`confSERVER_KEY', `CERT_DIR/sendmail.pem')dnl
define(`confCLIENT_CERT', `CERT_DIR/sendmail.pem')dnl
define(`confCLIENT_KEY', `CERT_DIR/sendmail.pem')dnl

Une fois ces changements effectués, il faut reconstruire sendmail.cf en soumettant sendmail.mc à la macro-commande m4. Après cela, démarrez le service saslauthd pour l'authentification et assurez-vous qu'il reste actif. Terminez tout cela par le redémarrage du service Sendmail pour mettre en oeuvre les changements.

# m4 sendmail.mc > sendmail.cf
# service sendmail restart
Shutting down sm-client:                                   [  OK  ]
Shutting down sendmail:                                    [  OK  ]
Starting sendmail:                                         [  OK  ]
Starting sm-client:                                        [  OK  ]

Test

Testez le bon déroulement du processus TLS :

# openssl s_client -starttls smtp -crlf -connect 127.0.0.1:25
CONNECTED(00000003)
depth=0 /C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
   i:/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
issuer=/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
---
Acceptable client certificate CA names
/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IT/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
---
SSL handshake has read 1692 bytes and written 289 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 71A2164B37A24EBA80860BA2FEC356BC0104C5D759C94E0ABD1390C7E520B994
    Session-ID-ctx: 
    Master-Key: CBBDD5EB892E597C0479FC9B53CB86DAB7E93A513E49E23B39C4896DF46DD48390A9651C8A842821BAAEF5E09BCF01FD
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1220586756
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
220 rhce-prep.example.com ESMTP Sendmail 8.13.8/8.13.8; Thu, 4 Sep 2008 20:52:36 -0700

Test réussi ! Il est maintenant possible de se connecter via un tunnel crypté TLS.

Cyrus SASL

Démarrage

Le service saslauthd est utilisé comme programme d'authentification. Nous devons nous assurer qu'il est actif au démarrage de la machine ; pour cela nous utilisons le programme chkconfig (pour cette fois nous devrons également démarrer le démon manuellement).

# service saslauthd start
Starting saslauthd:                                        [  OK  ]
# chkconfig saslauthd on

Test de Cyrus SASL

Vérifier que le démon Cyrus SASL est opérationnel est très simple :

# testsaslauthd -u utilisateur -p mot_de_passe -s smtp
0: OK "Success."

Dovecot

Configuration

Il est temps maintenant de configurer Dovecot afin de permettre la récupération du courrier via IMAP et SSL (IMAPS). Un certificat SSL par défaut existe déjà pour Dovecot ; nous devons le renommer et générer le notre. De plus, il sera nécessaire d'éditer le fichier /etc/pki/dovecot-openssl.cnf et de l'adapter à nos besoins. Comme les certificats sont dans différents répertoires, nous pouvons utiliser la commande find pour les modifier en une fois.

# find /etc -name dovecot.pem -execdir mv {} dovecot.pem.orig \;

Editons le fichier de configuration :

# vi /etc/pki/dovecot/dovecot-openssl.cnf
 [ req ]
default_bits = 1024
encrypt_key = yes
distinguished_name = req_dn
x509_extensions = cert_type
prompt = no

[ req_dn ]
# country (2 letter code)
#C=FI
C=US

# State or Province Name (full name)
#ST=
ST=Arizona

# Locality Name (eg. city)
#L=Helsinki
L=Phoenix

# Organization (eg. company)
#O=Dovecot
O=Example Corp.

# Organizational Unit Name (eg. section)
OU=IMAP server

# Common Name (*.example.com is also possible)
#CN=imap.example.com
CN=rhce-prep.example.com

# E-mail contact
#emailAddress=postmaster@example.com
emailAddress=root@rhce-prep.example.com

[ cert_type ]
nsCertType = server

Comme vous pouvez le constater, le fichier contient les mêmes questions que précedemment, lors de la création du fichier sendmail.pem. Lorsque vous avez fini de personnaliser le fichier, assurez-vous de sauvegarder les changements. Puis générez le nouveau certificat dovecot.pem à l'aide du script mkcert.sh situé à l'emplacement : /usr/share/doc/dovecot-1.0.7/examples/mkcert.sh. La sortie de la commande doit ressembler à :

# /usr/share/doc/dovecot-1.0.7/examples/mkcert.sh
Generating a 1024 bit RSA private key
.++++++
..................++++++
writing new private key to '/etc/pki/dovecot/private/dovecot.pem'
-----

subject= /C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
SHA1 Fingerprint=31:E9:65:45:86:97:A8:E4:F4:76:DC:35:28:5F:25:05:0B:FD:9E:61

Maintenant que nous avons les certificats appropriés pour notre serveur, occupons-nous du fichier dovecot.conf. Nous devons préciser le protocole à utiliser, et décommenter certaines lignes pour la prise en charge de SSL, désactivée par défaut. Avant tout, comme toujours, sauvegardez le fichier original.

# cp /etc/dovecot.conf /etc/dovecot.conf.orig 
# vi /etc/dovecot.conf

Dovecot peut utiliser n'importe lequel des protocoles listés ; sélectionnez celui (ceux) que vous souhaitez. Mon but est d'utiliser IMAPS. Notez que j'ai l'habitude de conserver les anciennes valeurs dans les fichiers de configuration.

#protocols = imap imaps pop3 pop3s
protocols = imaps

Nous devons désactiver l'option ssl_disable et décommenter les lignes spécifiant les chemins de nos certificats SSL.

ssl_disable = no

ssl_cert_file = /etc/pki/dovecot/certs/dovecot.pem
ssl_key_file = /etc/pki/dovecot/private/dovecot.pem

Ceci effectué, nous démarrons le service et nous nous assurons qu'il est actif au démarrage de la machine.

# service dovecot start
Starting Dovecot Imap:                                     [  OK  ]
# chkconfig dovecot on

Test de Dovecot

Nous utiliserons la commande openssl pour contrôler que Dovecot utilise nos certificats et est à l'écoute sur le port 993. La sortie devrait ressembler à :

# openssl s_client -connect 127.0.0.1:993  
CONNECTED(00000003)
depth=0 /C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
verify return:1
---
Certificate chain
 0 s:/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
   i:/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
issuer=/C=US/ST=Arizona/L=Phoenix/O=Example Corp./OU=IMAP server/CN=rhce-prep.example.com/emailAddress=root@rhce-prep.example.com
---
No client certificate CA names sent
---
SSL handshake has read 1311 bytes and written 331 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: ECC39D63565DC7CB37879C9BFBA39B9A020DFC770044638BFF960767E7D814B1
    Session-ID-ctx: 
    Master-Key: D9A47CC99CC6D023DC07EE743B88C42D609D3719F82BDA24630AEEBB9C1727746CDD016BDD42CD0663CCB47278B974D2
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1220630411
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
* OK Dovecot ready.

A ce stade, c'est fini ; tout ce qui reste à faire, c'est la configuration par les utilisateurs de leur client de messagerie pour qu'ils puissent expédier et recevoir le courrier en utilisant les protocoles sélectionnés ci-dessus. Du côté de l'administrateur, je suggérerais de mettre en place MailScanner, pour se protéger des inévitables vagues de pourriels et virus.

C'est aussi une bonne idée de tester un peu pour s'assurer que tout est correctement configuré. Il existe de nombreux outils pour tester la vulnérabilité d'un serveur de messagerie par rapport au relai de courrier. J'utilise RelayScanner ; vous pouvez l'obtenir à l'adresse http://www.cirt.dk/tools/relayscanner/relayscanner.zip. Assurez-vous de tester votre serveur de messagerie depuis un réseau différent de celui sur lequel la machine fonctionne lorsque vous contrôlez qu'il ne constitue pas un relai de courrier non authentifié.

Ressources

Joey est né à Phoenix et a commencé à programmer à l'âge de quatorze ans sur un Timex Sinclair 1000©. Il espérait pouvoir tirer quelque chose de ce modèle d'ordinateur ancien. Maîtrisant rapidement le BASIC et l'Assembleur, Joey est devenu programmeur en 1990 et a ajouté le COBOL, le Fortran et le Pascal à son répertoire de langages de programmation. Depuis lors, il se passionne pour presque tous les aspects de l'informatique. Il s'est perfectionné et a découvert RedHat Linux© en 2002, quand on lui a donné une version six de RedHat©. Ce fut le début d'une nouvelle passion centrée sur Linux. Actuellement, Joey termine sa formation en gestion de réseau sous Linux et travaille sur le campus pour la RedHat Academy de l'université, en Arizona. Il fait aussi partie de l'équipe de la Linux Gazette comme coordinateur de miroir.

Adaptation française de la Gazette Linux

L'adaptation française de ce document a été réalisée dans le cadre du Projet de traduction de la Gazette Linux.

Vous pourrez lire d'autres articles traduits et en apprendre plus sur ce projet en visitant notre site : http://wiki.traduc.org/Gazette_Linux.

Si vous souhaitez apporter votre contribution, n'hésitez pas à nous rejoindre, nous serons heureux de vous accueillir.



[1] [NdT] Le contenu des champs du certificat n'ont pas été traduits pour ne pas modifier le contenu numérique du certificat (voir plus loin) et les écrans ultérieurs. Ces champs sont : nom du pays (2 lettres) [FR] / état ou province (département ou région) / ville / nom de l'organisation (entreprise ou autre) / unité de l'organisation (filiale ou département) / nom commun (ici nom DNS du serveur) / adresse mail (de l'administrateur ici)