owned this note
owned this note
Published
Linked with GitHub
---
title: 'TD - Messagerie sécurié'
disqus: hackmd
author: ALLENET Brice, MIONET Pierre
---
Messageries sécurisé - TD1
===
ALLENET Brice
MIONET Pierre
TD3
## Table of Contents
[TOC]
## Introduction
L’objectif de ce premier TD est de mettre en place un serveur de messagerie électronique. Ce serveur sera composé d’un serveur SMTP (Postfix) et d’un serveur IMAP (Dovecot).
Installation et configuration de Postfix
---
Dans un premier temps, nous procédons à l'installation de postfix. L'ensemble de ce TP sera réalisé sur un environnement Linux.
La commande que nous utilisons pour l'installation est la suivante :
```gherkin=
apt-get install postfix
```
Ci-après, nous trouvons les étapes de l'installation qui suivent la commande précédente.
Dans un premier temps, nous choisissons le type d'installations que nous souhaitons. Dans notre cas nous choisissons "Internet Site", option nous permettant d'obtenir une configuration de base.
Dans un second temps, il nous est demandé un "nom de courier"
Dans un second temps il est nécessaire de modifier les paramètres de notre serveur nouvellement installé.
```bash=
sudo vi /etc/postfix/main.cf
```
```gherkin=
# See /usr/share/postfix/main.cf.dist for a commented, more complete version
# Debian specific: Specifying a file name will cause the first
# line of that file to be used as the name. The Debian default
# is /etc/mailname.
#myorigin = /etc/mailname
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
# appending .domain is the MUA's job.
append_dot_mydomain = no
# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h
readme_directory = no
# See http://www.postfix.org/COMPATIBILITY_README.html -- default to 2 on
# fresh installs.
compatibility_level = 2
# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_tls_security_level=may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_CApath=/etc/ssl/certs
smtp_tls_security_level=may
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination
myhostname = mail.ensibs.home
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = $myhostname, localhost.home, localhost
relayhost =
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all
```
Les paramètres suivants ont été changés par rapport à la configuration de base :
`myhostname` : mail.ensibs.home - Le FQDN de notre serveur mail.
`mydestination` : reject_unauth_destination - Rejette les mails issus d'utilisateurs non identifiés.
`smtpd_tls_session_cache_database` : btree:${data_directory}/smtp_scache - Base de données locale servant de cache pour le chiffrement TLS
Il existe plusieurs fichiers impliqués dans la configuration d’un serveur approprié pour le courrier électronique sous Linux. Nous verifions donc leurs contenu. Afin d'être certains d'avoir les bonnes configurations nous effectuons les commandes suivantes :
On ajoute comme nom de domaine reconnus les domaines mail.ensibs.home et ensibs.home redirigeant vers notre adresse locale.
```bash
sudo echo "127.0.0.1 mail.ensibs.home ensibs.home" >> /etc/hosts
```
Modification du hostname en "mail" pour correspondre au nom du FQDN mail.ensibs.home, puis on recharge le paramètre dans la configuration.
```bash
sudo echo "mail" > /etc/hostname
```
```bash
sudo hostname -F /etc/hostname
```
Une fois fois cela fait nous pouvons démarer le service afin de test l'envoi d'e-mails.
```bash
sudo systemctl restart postfix.service
```
Maintenant que le serveur mails est installé et installé et configuré, il est temps d'en vérifier le bon fonctionement. Pour cela nous alons installer un ooo
```bash=
apt-get install bsd-mailx
```
L'outil mail faisant partie du package mailx permet l'envoi de message en utilisant le serveur mail postfix déjà réalisé.
Dans un premier temps, nous créons un nouvel utilisateur, John :
```bash=
adduser john
```
Ensuite, depuis de compte root, nous envoyons un mail vers l'utilisateur nouvellement créé. Pour cela nous utilisons la commande suivante :
```bash=
mail john
```
```
Subject: Mail de test
Bonjour ceci est un mail de test
Cc:
```
Nous pouvons remarquer que nous n'avons pas indiqué de domaine de destination, en temps normal un mail ressemblerait à john@xxxx, dans notre cas cela n'est pas nécessaire car par défaut, le nom de domaine précisé lors de la création du serveur est appliqué. Il s'agit de mails "locaux". Nous pouvons le constater dans le fichier */var/log/mail.info*
```bash
sudo cat /var/log/mail.info
```
```
...
Mar 15 10:58:31 mail postfix/pickup[15071]: 07914BE1743: uid=1000 from=<pi>
Mar 15 10:58:31 mail postfix/cleanup[19449]: 07914BE1743: message-id=<20230315095831.07914BE1743@mail.ensibs.home>
Mar 15 10:58:31 mail postfix/qmgr[15072]: 07914BE1743: from=<pi@mail.ensibs.home>, size=425, nrcpt=1 (queue active)
Mar 15 10:58:31 mail postfix/local[19451]: 07914BE1743: to=<john@mail.ensibs.home>, orig_to=<john>, relay=local, delay=0.03, delays=0.02/0/0/0, dsn=2.0.0, status=sent (delivered to mailbox)
Mar 15 10:58:31 mail postfix/qmgr[15072]: 07914BE1743: removed
```
Le mail est donc reçu directement en interne, on peut le lire dans le fichier `/var/mail/john`
```bash
cat /var/mail/john
```
```
From pi@mail.ensibs.home Wed Mar 15 10:58:31 2023
Return-Path: <pi@mail.ensibs.home>
X-Original-To: john
Delivered-To: john@mail.ensibs.home
Received: by LANK02.home (Postfix, from userid 1000)
id 07914BE1743; Wed, 15 Mar 2023 10:58:31 +0100 (CET)
To: john@mail.ensibs.home
Subject: Mail de test
MIME-Version: 1.0
Content-Type: text/plain; charset="UTF-8"
Content-Transfer-Encoding: 8bit
Message-Id: <20230315095831.07914BE1743@mail.ensibs.home>
Date: Wed, 15 Mar 2023 10:58:31 +0100 (CET)
From: pi <pi@mail.ensibs.home>
Bonjour ceci est un mail de test
```
Le champs `X-Original-To` indique le nom entré par l'expéditeur pour envoyer le mail. En temps normal nous aurions une adresse de type `john@example.com`. Ce même nom est dans les logs dans le champ `orig_to`.
Nous souhaitons que le compte root ne puisse pas recevoir de mail, nous allons donc rediriger les message à destination de root vers l'utilisateur john.
Pour cela, nous allons utiliser le fichier **/etc/aliases**
Les alias de messagerie permettent de rediriger les e-mails d'une adresse à une autre, ou d'envoyer des e-mails à un groupe de personnes en utilisant un seul alias. Par exemple, un administrateur système pourrait configurer un alias appelé "support" qui redirige tous les e-mails envoyés à cette adresse vers les comptes de messagerie des membres de l'équipe de support technique.
Éditez le fichier /etc/aliases comme suit :
**root : john**
En réalité, Postfix n’utilisera pas ce fichier, il lui faut un fichier formaté comme indiqué dans
**main.cf : alias_maps = hash:/etc/aliases.**
Pour cela il faut créer un fichier avec l'utilitaire postalias :
**postalias hash:/etc/aliases**
Afin de vérifier le bon fonctionnement de cette nouvelle configuraiton nous envoyons un nouveau mail en suivant la même procédure.
Le résultat est la création d'un nouveau dossier dans le répertoir /home de l'utilisateur.
Ici on retrouve donc notre mail qui à vien été reçu au format .mail, le contenu est bien lisible.
Nous allons maintenant passer à l’installation de Dovecot pour pouvoir exploiter à distance le
contenu de ~/Maildir par l’intermédiaire d’IMAP.
## Installation et configuration de Dovecot
Dovecot est un serveur de messagerie IMAP et POP3 open source pour les systèmes de type Linux/Unix, aussi appelé agent de distribution de courriel (MDA – Mail Delivery Agent), et conçu avec comme premier but la sécurité.
Dans un premier temps, nous commençons par installer Dovecot avec la commande suivant :
```bash=
apt-get install dovecot-imapd dovecot-pop3d
```
A la suite de l'installation on remarque une multitude de fichiers crées dnas le répertoire */etc/dovecot/conf.d*.
Celui qui nous intéresse dans un premier temps est le fichier 10-auth.conf afin d'y autoriser la plaintext authentification. Pour cela nous décommantons et modifions la ligne suivante :
Une fois cela fait nous pouvons redémarer le service ou simplement le recharger avec ***service dovecot restart*** ou ***service dovecot reload***.
Puis afin de vérifier son bon fonctionnement nous pouvons nous connecter via la commande :-1:
```bash=
telnet mail.ensibs.org 143
```
Le résultat obtenu est le suivant :
On remarque qu'afin d'avoir accès au service il est nécessaire de s'identifier avec le compte que nous avions créé précédement (ici John) et qu'il nous est demandé un mot de passe en plus de l'identifiant.
Intéressons nous maintenant à la configuration de dovecot. En particulier au fichier de configuration 'mail.conf'. Il s'agit du fichier qui gère les paramètres de stockage des mails. A l'ouverture du fichier nous constatons que la ligne décommentée est la suivante :
```bash=
mail_location = mbox:~/mail:INBOX=var/mail/%u
```
Cela signifie clairement que Dovecot cherche le lieu de stockage des messages sous la forme mbox dans le répertoire /var/mail.
Cepandant, comme vu précédement avec postfix nous souhaitons utiliser le format Maildir. Il nous faut donc modifier la ligne précédente dans le fichier /etc/dovecot/conf.d/10-mail.conf comme suit :
```bash=
mail_location = maildir:~/Maildir
```
Afin d'appliquer la modification nous relençons Dovecot.
L'une des fonctionnalitée utile de Dovecot est le filtrage de mails. En effet il gère notamment l'identification de courriels marqués comme spam ou virus par Postfix dans notre cas.
Afin de mettre cette fonctionnalité en place la première étape est d'installer les packages de filtrage :
```bash=
apt-get install dovecot-sieve dovecot-managesieved
```
Dovecot distribue les courriels de deux façons, soit par son agent de distribution locale (LDA – Local Delivery Agent), soit par le protocole LMTP de Postfix (variante locale de SMTP).
Dans notre cas nous souhaitons utiliser l'agent de distribution locale afin de pouvoir appliquer le filtrage. Pour ce faire nous modifions les lignes suivantes dans le ficher ***/etc/dovecot/conf.d/15-lda.conf***.
Ensuite nous modifions le fichier ***/etc/dovecot/conf.d/90-sieve.conf***. Cela nous permet de configurer la localisation des fichiers de script qui permettent le filtrage de smails.
```bash=
plugin {
sieve = file:~/sieve;active=~/.dovecot.sieve
sieve_default = /var/lib/dovecot/sieve/default.sieve
}```
Enfin, nous modifier les ficier main.cf et master.cf afin de mettre en place le LDA.
**main.cf**
master.cf
Une fois ces modifications effectuées, nous redémarons postfix et dovecot puis, afin de tester le bon fonctionnement de managesieve, nous pouvons nous y connecter via le port 4190 en telenet.
Maintenant que le service fonctionne il faut mettre en place le filtrage, et pour ce faire, il faut créer les règles.
Dans un premier temps, nous créons un fichier de règles globales par défaut.
```bash=
mkdir /var/lib/dovecot/sieve/
```
Afin de créer le dossier nécessaire.
```bash=
touch /var/lib/dovecot/sieve/default.sieve
```
Afin de créer le fichier dans lequel nous allons paramétrer nos règles de filtrage. Au sein de ce fichier, nous y ajoutons le contenu suivant :
A noter ici que nous redirigeons le mail en le copiant ce qui permet de garder une trace du message original. Nous déplaçons également le mail dans la corbeille afin qu'il ne soit plus dans la boite mail nous légitime.
Une fois le fichier de sauvegardé, nous le compillons avec la commande suivante:
```bash=
sievec /var/lib/dovecot/sieve/default.sieve
```
Afin de vérifier le bon fonctionnement de la redirection, nous envoyons un mail à John avec comme contenue "achat". Nous constatons alors dans les logs que le mail est bien redirigé vers le compte "serviceachat@mail.ensisbs.org" comme cela est visible dans les logs suivantes.
```
Mar 15 16:10:29 mail postfix/cleanup[43602]: A2062BE18D4: message-id=<20230315151029.96B82BE18D3@mail.ensibs.home>
Mar 15 16:10:29 mail dovecot: lda(alice)<43606><wCd1JuXfEWRWqgAA8otntA>: sieve: msgid=<20230315151029.96B82BE18D3@mail.ensibs.home>: redirect action: forwarded to <serviceachats@mail.ensibs.org>
```
###### tags: `Documentation` `ENSIBS` `TD3` `TP5` `Messagerie sécurisé-TD1`
Google Drive
Gist
Clipboard
Sign in with Wallet
