Création du certificat

La création du certificat s’effectue avec la commande openssl, comme suit :

# openssl req -new -x509 -days 3650 -nodes -out /etc/postfix/mailserver.pem -keyout /etc/postfix/mailserver.pem

C’est parti pour une série de questions, peu importe les réponses données, seul le Common Name est important et doit refléter le nom d’hôte du serveur, dans notre exemple : mail.example.net. Le certificat sera valide 10 ans (10 x 365 jours).
Il faut veiller à placer les bonnes permissions sur le fichier :

# chmod 600 /etc/postfix/mailserver.pem

Postfix

On ajoute les bonnes directives au main.conf de Postfix, par exemple en fin de fichier :

smtpd_tls_key_file = /etc/postfix/mailserver.pem
smtpd_tls_cert_file = /etc/postfix/mailserver.pem
smtpd_tls_security_level = encrypt
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom
smtp_tls_loglevel = 3

Redémarrage de Postfix :

# postfix reload

Tout est en place, le serveur SMTP devrait pouvoir instantier une connexion TLS maintenant, essayons en telnet, si une nouvelle ligne STARTTLS apparait et que le serveur répond correctement, c’est tout bon :

$ telnet mail.example.net 25
Trying 91.127.162.55...
Connected to mail.example.net.
Escape character is '^]'.
220 mail.example.net ESMTP Postfix
EHLO localhost
250-mail.example.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

STARTTLS est bien présent, on tape la commande STARTTLS :

STARTTLS
220 2.0.0 Ready to start TLS

La serveur dit qu’il est pret, sinon revoir ses certificats, les chemins et les bonne options dans main.cf. Cependant il reste un petit problème de sécurité, il faut que l’authentification SMTP AUTH PLAIN ne soit disponible que lorsque l’utilisateur utilise TLS. Ainsi Postfix va effectuer le SMTP AUTH uniquement après que la couche soit TLS soit établie. Pour ce faire il suffit de rajouter cette ligne au main.cf :

smtpd_tls_auth_only = yes

On redémarre Postfix :

# postfix reload

On re-telnet :

$ telnet mail.example.net 25
Trying 91.127.162.55...
Connected to mail.example.net.
Escape character is '^]'.
220 mail.example.net ESMTP Postfix
EHLO localhost
250-mail.example.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

On voit que maintenant SMTP AUTH ne sera disponible qu’après avoir établit la liaison TLS (les lignes AUTH ne sont plus visibles à ce niveau).

Dovecot SSL

Au tour de Dovecot de passer en SSL. C’est très simple, nous allons utiliser le même certificat que pour Postfix. On ajoute les lignes suivantes au fichier dovecot.conf :

protocols = imap imaps
ssl_disable = no
# ssl = yes pour les versions supérieures à v1.2.beta1
ssl_cert_file = /etc/postfix/ssl/postfix.pem
ssl_key_file = /etc/postfix/ssl/postfix.pem
verbose_ssl = yes

Un petit rappel sur les permissions du certificat qui ne doit etre accessible que par l’utilisateur root : root:root 0444. Autre petit point qui a son importance, on refuse désormais les connexions LOGIN à moins que TLS/SSL soit établi. Pour ce faire, on modifie cette ligne :

disable_plaintext_auth = yes

On re-démarre le serveur IMAP :

# service dovecot restart

On peut le tester :

$ openssl s_client -connect mail.example.net:imaps
CONNECTED(00000003)
depth=0 /C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
verify error:num=18:self signed certificate
verify return:1
depth=0 /C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
verify return:1
---
Certificate chain
 0 s:/C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
   i:/C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
issuer=/C=IT/ST=Lazio/L=Roma/O=example.net/OU=mailserver/CN=mail.example.net/emailAddress=fabien@feub.net
---
No client certificate CA names sent
---
SSL handshake has read 1505 bytes and written 319 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 1024 bit
Secure Renegotiation IS supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: 7A7619EB698CEF9463774C06E6729F0A2CE9D9E551DD96439C00D7BA3001641D1
    Session-ID-ctx: 
    Master-Key: 89E6DA90F03046C65F4C330A9D24209D3260A4DE134EC4287D6516B344AFBE80BCAE0FDCE037177B384E2F166C17CBCE
    Key-Arg   : None
    Krb5 Principal: None
    Start Time: 1312960774
    Timeout   : 300 (sec)
    Verify return code: 18 (self signed certificate)
---
* OK Dovecot ready.

Le serveur de messagerie est maintenant plus sécurisé avec cette couche TLS/SSL qui crypte les communications et authentifie l’identité du serveur. L’utilisation d’un cryptage à clé publique permet au client de vérifier que le serveur possède un certificat valide et ainsi ce client sait pour des utilisations ultérieures qu’il peut faire confiance à ce serveur. L’utilisateur qui se connecte est également vérifié dans ce processus.

En complément :

• Première partie : Serveur de messagerie simple avec Postfix et Dovecot
• Deuxième partie : Postfix SASL avec Dovecot
• Troisième partie : Ajouter le support TLS à Postfix
• http://www.postfix.org/
• http://www.dovecot.org/

# postconf -a

Configurer Dovecot SASL

Le server POP/IMAP Dovecot possède bien entendu son propre système d’authentification des clients POP/IMAP. Lorsque Postfix utilise Dovecot SASL, celui-ci ré-utilise cette configuration. La communication se fait par l’intermédiaire d’un socket Unix. Le chemin vers ce socket ainsi que la liste des méthodes d’authentification proposées doivent être spécifiées dans dovecot.conf. Voici ce qu’il faut ajouter au fichier de configuration de Dovecot existant :

auth default {
  mechanisms = plain login  
  socket listen {
    client {
      # Un socket est exporté pour pouvoir etre utilisé par un client.
      # Ici c'est notre serveur SMTP Postfix
      path = /var/run/dovecot/auth-client
      mode = 0660
      user = postfix
      group = postfix
    }
  }
}

On relance Dovecot :

# service dovecot restart

La partie Postfix

Maintenant il faut dire à Postfix comment utiliser SASL. Par défaut celui-ci gère du Cyrus SASL, il faut donc explicitement lui dire que l’on utilise le mécanisme de Dovecot, on renseigne le chemin vers le socket et on lui passe quelques options de sécurité. Voici la partie SASL à ajouter au main.cf :

# On utilise le SASL de Dovecot
smtpd_sasl_type = dovecot
# Chemin vers le socket Unix
smtpd_sasl_path = /var/run/dovecot/auth-client
# On active le SASL
smtpd_sasl_auth_enable = yes
# Quelques options de sécurité assez parlantes
smtpd_recipient_restrictions =  permit_mynetworks,
    permit_sasl_authenticated, reject_unauth_destination
# Ceci assure une compatibilité avec d'anciens clients (Outlook par ex.)
broken_sasl_auth_clients = yes
# Pas de connexions anonymes
smtpd_sasl_security_options = noanonymous

On re-charge Postfix :

# postfix reload

Test de la configuration

La configuration est terminée, il est temps de tester le bon fonctionnement du SMTP Auth en telnet:

$ telnet mail.example.net 25
Trying 90.112.151.15...
Connected to mail.example.net.
Escape character is '^]'.
220 mail.example.net ESMTP Postfix
EHLO localhost
250-mail.example.net
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

On voit les deux lignes AUTH indiquant que le SASL est pris en compte. Pourquoi deux lignes? La deuxième avec le signe égal est pour la compatibilité avec les anciens clients (option : broken_sasl_auth_clients = yes).

MAIL FROM:<lulu>
250 2.1.0 Ok
RCPT TO: fabien@feub.net
554 5.7.1 <fabien@feub.net>: Relay access denied

La connexion est refusée, il faut maintenant penser à s’authentifier avec la commande AUTH. Mais attention, en telnet il est nécessaire d’encoder le couple nom d’utilisateur/mot de passe en base64, par exemple avec :

$ echo -ne '\000username\000password' | openssl base64

Ce qui donne :

AUTH PLAIN AGhvbnTHY3RAZmDiavVuKikI7hbm5uZVBAc3BjKXRuoJWsK
235 2.0.0 Authentication successful
RCPT TO: fabien@feub.net
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Yes!
.
250 2.0.0 Ok: queued as E72163EB1E
quit
221 2.0.0 Bye
Connection closed by foreign host.

Le message devrait être délivré sous peu ^.^

En complément :

• Première partie : Serveur de messagerie simple avec Postfix et Dovecot
• Deuxième partie : Postfix SASL avec Dovecot
• Troisième partie : Ajouter le support TLS à Postfix
• http://www.postfix.org/
• http://www.dovecot.org/

Il gérera des boîtes aux lettres virtuelles – c’est-à-dire indépendantes des comptes systèmes – d’autant d’utilisateurs et de domaines que ce soit.

Pour la suite des opérations, la machine utilisée est sous Fedora, le tutoriel pourra donc convenir aux utilisateurs de CentOS et de Red Hat. On supposera qu’elle s’appelle monhostname.local.mondomaine.net. C’est parti ^.^

Postfix

L’installation se fait naturellement avec yum :

# yum install postfix

Afin de préparer le terrain, il faut créer l’arborescence qui accueillera les boîtes aux lettres virtuelles et l’utilisateur/groupe de celles-ci. Pour ce faire, ajouter un utilisateur vmail et un groupe du même nom ayant tout deux des uid et gid non réservés, par exemple 6000. Le home de cet utilisateur sera /home/vmail, c’est ici que les BAL seront construites :

# groupadd -g 6000 vmail
# useradd -d /home/vmail -m -u 6000 -g 6000 -s /dev/null vmail

On change les droits et le propriétaire des répertoires pour plus de sécurité :

# chmod -R 750 /home/vmail/
# chown -R vmail:vmail /home/vmail/

Les fichiers de configuration Postfix se situent sous /etc/postfix et c’est main.conf qui nous intéresse. Je vais juste copier-coller le mien ci-dessous, pour plus de renseignement sur ses paramètres, voir cet article.

alias_database = $alias_maps
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
debug_peer_level = 2
delay_warning_time = 4h
html_directory = no
inet_interfaces = all
mail_owner = postfix
mailbox_transport = lmtp:unix:/var/lib/imap/socket/lmtp
mailbox_size_limit = 512000000
mailq_path = /usr/bin/mailq.postfix
manpage_directory = /usr/share/man
masquerade_domains = mondomaine.net
message_size_limit = 50000000
mydestination = $myhostname, localhost.$myhostname, localhost
mydomain = mondomaine.net
myhostname = monhostname.local.mondomaine.net
mynetworks = 192.168.1.0/24, 127.0.0.0/8
myorigin = $myhostname
newaliases_path = /usr/bin/newaliases
queue_directory = /var/spool/postfix
readme_directory = no
recipient_delimiter = +
relayhost = [smtp.sfr.fr]
sendmail_path = /usr/sbin/sendmail
setgid_group = postdrop
smtp_generic_maps = hash:/etc/postfix/generic
smtpd_banner = $myhostname ESMTP
smtpd_recipient_limit = 50
unknown_local_recipient_reject_code = 550
virtual_alias_maps = hash:/etc/postfix/virtual
virtual_gid_maps = static:6000
virtual_mailbox_base = /home/vmail
virtual_mailbox_domains = /etc/postfix/domains
virtual_mailbox_limit = 512000000
virtual_mailbox_maps = hash:/etc/postfix/user_mailboxes_path
virtual_minimum_uid = 6000
virtual_uid_maps = static:6000

Astuce : Si comme moi, le serveur est sur un domaine local (monhostname.local.mondomaine.net), quelques difficultés vont être rencontrées lors de l’envoi de message vers l’extérieur, la machine de relai [smtp.sfr.fr] va refuser d’acheminer les emails car le domaine n’est pas enregistré sur la toile : Sender address rejected: Domain not found. Pour remédier à cela, il faut substituer l’adresse de l’émetteur en ajoutant ceci dans /etc/postfix/generic :

@monhostname.local.mondomaine.net       @mondomaine.net

On compile ce fichier avec postmap avant de relancer Postfix :

# postmap /etc/postfix/generic

Pour savoir où délivrer le courrier, le système va lire le nom des domaines virtuels gérés dans le fichier domains et les adresses emails ainsi que leur chemin seront dans user_mailboxes_path, tout deux toujours sous /etc/postfix. Il suffit d’ajouter des domaines séparés par des retours ligne, comme suit :

mondomaine.net
monautredomaine.com

Et pour les boîtes aux lettres virtuelles :

tutu@mondomaine.net mondomaine.net/tutu/
toto@monautredomaine.com monautredomaine.com/toto/

Noter le / (slash) de fin important pour indiquer qu’il s’agit de boîtes au format Maildir.

On ajoute un alias pour par exemple rediriger le courrier de toto@monautredomaine.com vers l’adresse tutu@mondomaine.net dans user_aliases :

toto@monautredomaine.com tutu@mondomaine.net

Et pour fignoler, on redirige le courrier de root – qui arrive sous /var/mail/root – vers une adresse virtuelle pour que la lecture des courriers important du système soit facilité. Ceci ce fait dans le fichier /etc/aliases :

root: tutu@mondomaine.net

Postfix ne lit pas ce genre de fichier tel quel, il faut comme pour le fichier generic le compiler pour créer le fichier de base de données grâce à la commande postmap, comme ceci :

postmap /etc/postfix/user_mailboxes_path
postmap /etc/postfix/user_aliases

Les alias locaux eux se compilent avec la commande :

newaliases

Une fois les changements effectués, on recharge Postfix :

# service postfix reload

On peut désormais faire un petit essai d’envoi d’email :

# "Email test" | mail -s "Test email root" root

Le message doit arriver dans /home/vmail/mondomaine.net/tutu/new/, l’arborescence étant créée automatiquement par Postfix dès réception de l’email.
A noter qu’il est préférable d’avoir un champ MX mondomaine.net dans vos zones DNS pour que le courrier soit bien acheminé.

Dovecot

Comme le dit le site sur lequel je me suis inspiré, recevoir du courrier c’est bien, pouvoir le lire c’est mieux. Pour cela, il faut installer Dovecot que l’on utilisera en serveur IMAP.

# yum install dovecot

Le fichier de configuration se situant sous /etc/dovecot/dovecot.conf, on l’édite comme suit :

# On veut des BAL IMAP
protocols = imap
 
# Chemin des les logs
log_path = /var/log/dovecot.log
info_log_path = /var/log/dovecot-info.log
 
# Je ne veux pas de SSL
ssl_disable = yes
disable_plaintext_auth = no
 
# Les BAL seront au format Maildir
mail_location = maildir:/home/vmail/%d/%n
 
# Optimisations
dotlock_use_excl=yes
maildir_copy_with_hardlinks=yes
 
# Configuration de l'authentification
auth_verbose = yes
auth default {
    mechanisms = plain
    passdb passwd-file {
        # Chemin vers les utilisateurs dovecot (les adresses email gérées)
        args = /etc/dovecot/passwd
    }
    userdb static {
        # Chemin vers les BAL
        args = uid=vmail gid=vmail home=/home/vmail/%d/%n/
    }
}

Maintenant il faut créer les utilisateurs (adresses emails) et les mots de passes associés pour accèder aux BAL dans le fichier /etc/dovecot/passwd :

echo "tutu@mondomaine.net:`dovecotpw -p lemotdepasse`" >> /etc/dovecot/passwd

On démarre Dovecot :

# service dovecot start

Et voilà, c’est fini! Il ne reste plus qu’à le tester. On peut commencer par essayer d’accéder à une BAL en telnet sur le port 143 :

$ telnet monhostname.mondomaine.net 143
Trying 127.0.0.1...
Connected to monhostname.mondomaine.net.
Escape character is '^]'.
* OK Dovecot ready.
1 login tutu@mondomaine.net motdepasse
 
1 OK Logged in.
2 select inbox
* FLAGS (\Answered \Flagged \Deleted \Seen \Draft)
* OK [PERMANENTFLAGS (\Answered \Flagged \Deleted \Seen \Draft \*)] Flags permitted.
 
* 1 EXISTS
* 0 RECENT
* OK [UIDVALIDITY 1217314075] UIDs valid
 
* OK [UIDNEXT 15] Predicted next UID
2 OK [READ-WRITE] Select completed.
 
3 list "" *
* LIST (\HasNoChildren) "." "Drafts"
* LIST (\HasNoChildren) "." "Sent"
* LIST (\HasNoChildren) "." "Trash"
* LIST (\HasNoChildren) "." "INBOX"
 
3 OK List completed.

Si cela fonctionne, vous pouvez essayer avec un vrai client (Thunderbird, Mail.app, Claws Mail, Outlook). Sinon, il faut aller voir d’où vient le problème dans les logs sous /var/log et mieux vaut lire et relire les documentations (voir ci-dessous).

En complément :

• Première partie : Serveur de messagerie simple avec Postfix et Dovecot
• Deuxième partie : Postfix SASL avec Dovecot
• Troisième partie : Ajouter le support TLS à Postfix
• http://www.postfix.org/
• http://www.dovecot.org/
• lairdutemps.org

Les bases de cet article à l’origine pour Arch Linux datent du 29 juillet 2008, c’est une sorte de re-publication un peu mise-à-jour pour Fedora et un transfert de Joomla vers WordPress.

Mac OS X (depuis Panther) possède un serveur de messagerie, le renommé Postfix. Nous allons voir comment le faire tourner grâce au daemon launchd.
Ce document décrit la mise en route de Postfix, mais ne traite pas de sa configuration, voir sa documentation pour aller plus loin.

Les opérations suivantes doivent être réalisées en tant que root. En ce qui me concerne, j’utiliserai l’éditeur VIM.

main.cf

La première chose à faire et d’éditer main.cf, le principal fichier de configuration de Postfix qui se trouve sous /etc/postfix/. Au préalable, il est bon de faire une copie du fichier présent.

# mv /etc/postfix/main.cf /etc/postfix/main.cf.fab
# vim /etc/postfix/main.cf

Les paramètres myhostname, mydomain, myorigin et mynetworks_style doivent être renseignés. Le premier myhostname désigne la machine sur lequel tourne Postfix, il est tout à fait possible de laisser la valeur générique localhost.localdomain, mais je vais renseigner le FQDN de mon iBook sur mon réseau, représenté par le nom de la machine et du nom de domaine :

myhostname = osgiliath.feub.net

Ensuite, mydomain comme son nom l’indique représente le (les) nom de domaine pour lequel Postfix officiera. En général, il s’agit de la partie domaine du myhostname :

mydomain = feub.net

myorigin est le nom de domaine qui apparait dans le courrier envoyé à partir de ma machine. Il est usuel de mettre myhostname voir mydomain :

myorigin = $myhostname

Postfix ne relaie le courrier que des clients autorisés, il est donc bon de lui dire de qui avec le paramètre
mynetworks_style. Dans mon mon cas, j’autorise les machines du sous-réseau :

mynetworks_style = subnet

A noter que mynetworks pourrait être utilisé en spécifiant une adresse de réseau autorisée à la place d’un style. Par exemple :

mynetworks = 192.168.1.0/24

C’est l’un ou l’autre, si les deux paramètres mynetworks_style et mynetworks sont renseignés, mynetworks sera pris en compte.
Voilà pour la configuration du main.cf.

Enfin, pour relayer les courriers sortants, le paramètre relayhost doit être renseigné avec un serveur SMTP valide sur internet, par exemple celui d’Orange :

relayhost = [smtp.orange.fr]

org.isc.named.plist

Nous allons maintenant éditer le fichier plist de lancement de Postfix. Par défaut, celui-ci n’est pas démarré, il est en mode on demand, et nous voulons qu’il tourne toujours. Nous allons donc éditer le fichier org.postfix.master.plist qui se situe sous /System/Library/LaunchDaemons/ (il est bon d’en faire une copie de sauvegarde avant de le modifier) :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Label</key>	
	<string>org.postfix.master</string>
	<key>Program</key>
	<string>/usr/libexec/postfix/master</string>
	<key>ProgramArguments</key>
	<array>
		<string>master</string>
		<string>-e</string>
		<string>60</string>
	</array>
	<key>QueueDirectories</key>
	<array>
	<string>/var/spool/postfix/maildrop</string>
	</array>
	<key>OnDemand</key>
	<true/>
</dict>
</plist>

Il faut supprimer les paramètres -e 60 et dire au daemon qu’on ne veut pas le démarrer OnDemand, mais en RunAtLoad, car on veut qu’il soit toujours en fonctionnement. Voici donc le fichier modifié :

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple Computer//DTD PLIST 1.0//EN"
"http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
	<key>Label</key>
  	<string>org.postfix.master</string>
  	<key>Program</key>
  	<string>/usr/libexec/postfix/master</string>
  	<key>ProgramArguments</key>
  	<array>
  		<string>master</string>
  	</array>
  	<key>QueueDirectories</key>
  	<array>
  		<string>/var/spool/postfix/maildrop</string>
  	</array>
  	<key>RunAtLoad</key>
	<true/>
</dict>
</plist>

Il faut maintenant démarrer ou redémarrer Postfix à l’aide de launchd :

# launchctl stop org.postfix.master
# launchctl start org.postfix.master

Pour voir si Postfix fonctionne, envoyer un email comme ceci :

# date | mail -s test nom @ mon@adresse.net

Si cela ne fonctionne pas, voir les logs sous /var/log/mail.log.

Utiliser le serveur comme SMTP local

Il est maintenant possible d'utiliser Postfix comme serveur SMTP pour le courrier sortant. Pour ce faire, il faut mettre localhost comme serveur SMTP dans Mail.app ou tout autre client de messagerie.

Cette article est la mise-à-jour d'un billet du 22 juillet 2008.

L’article suivant de llaumgui m’a bien aidé dans la mise en place du support MySQL : http://www.llaumgui.com/post/Serveur-mail-postfix-/-postfix-mysql-/-Dovecot-/-RoundCube-/-spamassassin-sous-CentOS-5

Postfix

En premier lieu, la configuration du MTA doit être modifiée pour qu’il lise les domaines et utilisateurs virtuels dans la base MySQL et non plus dans un fichier de configuration. Il est supposé que le serveur MySQL est fonctionnel et qu’il existe une base accessible pour ajouter les tables.
Voici le schéma de la table MX_domains des domaines virtuels à créer sur le serveur MySQL :

CREATE TABLE IF NOT EXISTS `MX_domains` (
`id` tinyint(8) NOT NULL auto_increment,
`domain` varchar(128) NOT NULL,
PRIMARY KEY  (`id`)
) ENGINE=MyISAM  DEFAULT CHARSET=latin1 AUTO_INCREMENT=2 ;

Et la table MX_users qui contiendra les informations des utilisateurs :

CREATE TABLE IF NOT EXISTS `MX_users` (
`id` tinyint(8) NOT NULL auto_increment,
`email` varchar(128) NOT NULL,
`password` varchar(128) NOT NULL,
`name` varchar(128) NOT NULL default '',
`uid` smallint(5) unsigned NOT NULL default '1000',
`gid` smallint(5) unsigned NOT NULL default '1000',
`domain` varchar(128) NOT NULL default '',
`maildir` varchar(255) NOT NULL default '',
`is_imap` tinyint(1) unsigned NOT NULL default '1',
`is_active` tinyint(1) NOT NULL default '1',
PRIMARY KEY  (`id`),
UNIQUE KEY `address` (`email`),
KEY `domain` (`domain`)
) ENGINE=MyISAM  DEFAULT CHARSET=latin1 AUTO_INCREMENT=4 ;

A noter que le champ email désigne la partie de l’adresse email avant l’arobase, par exemple pour toto@exemple.net, il faudra renseigner seulement toto dans le champ email. Le mot de passe quand à lui sera un hash MD5 dans la base.

Maintenant, il faut éditer le fichier main.cf de configuration de Postfix, en changeant ces deux lignes :

virtual_mailbox_domains = /etc/postfix/domains
virtual_mailbox_maps = hash:/etc/postfix/user_mailboxes_path

Par :

virtual_mailbox_domains = mysql:/etc/postfix/mysql_virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql_virtual_mailboxes.cf

Le préfixe mysql indique bien que les données vont être extraites de la base de données relationel. Mais les
deux fichiers mysql_virtual_domains.cf et mysql_virtual_mailboxes.cf correspondant contenant les
requêtes SQL ne sont pas encore crées. Les voici :

mysql_virtual_domains.cf

user = dbuser
password = dbpassword
dbname = mailserver
hosts = localhost
query = SELECT id FROM MX_domains WHERE domain='%s'

mysql_virtual_mailboxes.cf

user = dbuser
password = dbpassword
dbname = mailserver
hosts = localhost
query = SELECT maildir FROM MX_users WHERE email='%s' AND is_active=1

Postfix peut être redémarré :

# /etc/init.d/postfix restart

Dovecot

La première chose à faire est d’ajouter le module MySQL pour Dovecot, sous Fedora :

# yum install dovecot-mysql

En ce qui concerne sa configuration, les manipulations sont un peu similaires, à savoir, créer des fichiers de requêtes SQL pour
que le serveur IMAP ramène les bonnes données de la base et non plus d’un fichier plat. Voici la partie qui va être
modifiée du fichier /etc/dovecot.conf pour passer de :

mechanisms = plain
passdb passwd-file {
args = /etc/postfix/dovecot/users.conf
}

A ceci :

mechanisms = plain login digest-md5 cram-md5
passdb sql {
args = /etc/postfix/dovecot/mysql_users.cf
}

On note l’ajout des mécanismes avec hash : digest-md5 (je n’avais mis que la gestion de mot de passe en texte brut dans l’article précédent). Ainsi que la vérification du mot de passe qui ne se fait plus par un fichier mais par une requête SQL dans le fichier mysql_users.cf sous /etc/postfix/dovecot/ (choix arbitraire), comme suit :

driver = mysql
connect = host=localhost dbname=mailserver user=dbuser password=dbpassword
default_pass_scheme = PLAIN-MD5
password_query = SELECT password FROM MX_users \
WHERE email = '%n' AND is_active = 1
user_query = SELECT concat(email, '@', domain) AS user \
FROM MX_users WHERE email = '%n'

Dovecot veut l’adresse complète comme nom d’utilisateur, donc on utilise la fonction concat() de MySQL pour la construire.
A noter que la partie userdb pourrait être dans une table également, mais elle est laissée comme telle en static, car l’emplacement des messages ne bougera pas dans ce cas-ci, ils seront toujours sous /home/vmail/domaine/utilisateur et seront crées automatiquement lors d’ajout de nouvelles boîtes virtuelles :

userdb static {
# Chemin vers les BAL
args = uid=vmail gid=vmail home=/home/vmail/%d/%n/
}

Redémarrage de Dovecot :

# /etc/init.d/dovecot restart

Tout devrait fonctionner maintenant. Pour ajouter/supprimer/éditer un utilisateur, il suffit de le faire dans la base de données, par exemple par l’intermédiaire de phpMyAdmin ou d’un script bash (ou autre langage) qui fera peut-être l’objet d’un prochain article.

Note : les anti-slash \ ne sont pas à taper, ils indiquent que j’ai coupé les lignes pour que ça ne dépasse pas du cadre. Il s’agit d’une seule et même ligne.