Installer et sécuriser un serveur mails complet (Mails, SMTP, Auth via SASL, IMAP, POP3, webmail, TLS et SSL) sous Debian
- Linux
- 25 février 2015 à 16:52
-
- 5/5
14. Génération ou achat des certificats SSL
Pour sécuriser les différents protocoles de messagerie, vous avez 2 possibilités :
- Installer une autorité de certification sur votre serveur pour ne pas payer de certificats SSL.
Pour cela, suivez ceci : Debian / Ubuntu - Créer une autorité de certification racine (Root CA) - Demander des certificats valides gratuitement auprès de l'autorité de certification "StartSSL" : Sécuriser gratuitement votre site web grâce à StartSSL.
- Acheter des certificats valides auprès d'une autorité très connue comme : Symantec SSL, GeoTrust, ...
Quelle que soit la solution utilisée, nous considèrerons que les certificats que vous utiliserez ne poseront pas de problèmes de validité. Si vous choisissez une des solutions proposées, vous n'aurez pas de problèmes.
Néanmoins, si vous choisissez d'utiliser votre propre autorité de certification, n'oubliez pas d'importer le certificat de votre autorité de certification dans les autorités de confiance des appareils clients (ordinateur, smartphone, tablette, ...) pour que vos certificats soient considérés comme valides.
Maintenant que vous savez comment obtenir des certificats SSL valides, nous pouvons passer à l'étape suivante.
15. Sécuriser le webmail via HTTPS
Modifiez le VirtualHost "/etc/apache2/sites-available/webmail" créé au point 7 du tutoriel pour activer le protocole https de ce VirtualHost.
Pour cela, suivez notre tutoriel "Debian / Ubuntu - Sécuriser son serveur web Apache (en HTTPS) grâce à SSL".
Au point 5 du tutoriel cité ci-dessus, nous vous recommandons d'ajouter la redirection : port 80 => port 443. Ainsi, les utilisateurs qui arrivent via le protocole "http" seront redirigés automatiquement sur la version utilisant le protocole "https".
16. Sécurisation du SMTP via TLS
Pour sécuriser le protocole SMTP grâce à TLS, il suffit de modifier le fichier "/etc/postfix/main.cf" en ajoutant et/ou en modifiant les lignes suivantes :
Plain Text
smtp_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_auth_only = no smtpd_use_tls = yes smtpd_tls_cert_file=/etc/ssl/certs/subdomains-cert.pem smtpd_tls_key_file=/etc/ssl/private/subdomains-key.pem #smtpd_tls_CAfile = /usr/lib/ssl/misc/demoCA/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom
Note : Etant donné que notre serveur SMTP est accessible via l'adresse "smtp.informatiweb-tuto.net" dans notre cas, nous avons utilisé notre certificat SSL valable pour les sous-domaines (Nom commun : *.informatiweb-tuto.net).
Ensuite, redémarrez Postfix.
Bash
service postfix restart
Pour finir, modifiez les paramètres SMTP de votre client de messagerie pour utiliser le port 587 (port de soumission) avec le chiffrement TLS.
17. Sécurisation des protocoles IMAP et POP3 avec SSL
Pour sécuriser les protocoles IMAP et POP3 de courier, installez les 2 paquets suivants :
Bash
apt-get install courier-imap-ssl courier-pop-ssl
Lors de l'installation, un message s'affichera pour vous prévenir que les certificats SSL seront requis.
Plutôt que de modifier les certificats par défaut, nous allons modifier les fichiers de configuration de "courier-imap-ssl" et de "courier-pop-ssl" pour utiliser notre certificat SSL "subdomains-cert.pem".
Conformément à la documentation de l'autorité de certification "DigiCert", le certificat SSL que nous utiliserons devra ressembler à ceci :
Plain Text
-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE----- -----BEGIN PRIVATE KEY----- ... -----END PRIVATE KEY-----
Pour cela, récupérez la partie "CERTIFICATE" du fichier "/etc/ssl/certs/subdomains-cert.pem" et la partie "PRIVATE KEY" du fichier "/etc/ssl/private/subdomains-key.pem" et collez le tout dans un fichier "subdomains-cert-pack.pem".
Dans notre cas, notre fichier se trouve à cet endroit : /etc/ssl/certs/subdomains-cert-pack.pem
Une fois créé, modifiez les fichiers "/etc/courier/imapd-ssl" et "/etc/courier/pop3d-ssl" comme ceci :
Plain Text
TLS_CERTFILE=/etc/ssl/certs/subdomains-cert-pack.pem
Et décommentez la ligne :
Plain Text
TLS_PROTOCOL="TLS1_1:TLS1:SSL3"
Par sécurité, ce fichier qui contient le certificat et la clé privée, ne doit être accessible que par root.
Pour cela, changer le propriétaire de ce fichier en "root" et donnez tous les droits au propriétaire uniquement.
Bash
chown root:root /etc/ssl/certs/subdomains-cert-pack.pem chmod 700 /etc/ssl/certs/subdomains-cert-pack.pem
Pour finir, redémarrer les services "courier-imap-ssl" et "courier-pop-ssl" :
Bash
service courier-imap-ssl restart service courier-pop-ssl restart
Maintenant, vous pouvez récupérer vos mails via IMAPS (IMAP sécurisé avec SSL).
ou POP3S (POP3 sécurisé avec SSL)
18. Rappel des paramètres de configuration
Voici les numéros de ports et options à utiliser :
- SMTP : port 25
- SMTP avec authentification : port 587 / Cochez la case "Mon serveur sortant (SMTP) requiert une authentification"
- SMTPS (SMTP sécurisé avec TLS) : port 587 / Connexion chiffrée avec TLS
- IMAP : port 143
- IMAPS : port 993
- POP3 : port 110 / De préférence, cochez la case "Laisser un exemplaire des messages sur le serveur".
- POP3S : port 995 / Cochez les cases "Ce serveur nécessite une connexion chiffrée (SSL)" et "Laisser un exemplaire ...".
Les identifiants sont identiques pour les 3 protocoles (POP3, IMAP et SMTP) avec et sans sécurité.
Evidemment, il est recommandé d'utiliser les protocoles SMTPS, POP3S et IMAPS si c'est possible. Si ce n'est pas possible, connectez-vous au webmail via le protocole https. Ainsi, votre connexion au serveur est sécurisée en SSL.
19. Facultatif : Utiliser IMAPS et SMTPS avec RoundCube
Cette partie est facultative si le webmail se trouve sur le même serveur que le serveur IMAP et le serveur SMTP. Néanmoins, elle est indispensable si le webmail est sur un autre serveur.
Pour utiliser le IMAPS et le SMTPS avec RoundCube, relancez l'installation de RoundCube en tapant l'adresse : http://webmail.votre-domaine.net/installer/
Dans la partie "IMAP Settings", indiquez les valeurs suivantes :
- default_host : ssl://imap.votre-domaine.net
- default_port : 993
- username_domain : votre-domaine.net
Ne pas utiliser "localhost" comme nom de domaine. Sinon, le certificat SSL ne sera pas valide. Dans notre cas, notre certificat SSL est valide pour : *.informatiweb-tuto.net
Dans la partie "SMTP Settings", indiquez les valeurs suivantes :
- smtp_server : tls://smtp.votre-domaine.net
- smtp_port : 587 (ou 465 mais la norme souhaite que l'on utilise toujours le 587)
- smtp_user/smtp_pass : Cochez la case "Use the current IMAP username and password for SMTP authentication".
Voici un aperçu des tests SSL et TLS de RoundCube :
Partager ce tutoriel
A voir également
-
Linux 5/3/2015
Debian - Définir une adresse IP privée statique
-
Linux 31/12/2016
Debian - Transformer son serveur en routeur et en serveur DHCP
-
Linux 31/1/2014
Ubuntu - Mettre à jour son serveur
-
Linux 14/2/2014
Ubuntu - Sécuriser son serveur LDAP grâce à SSL
Pas de commentaire