Pad copié le 2017-07-24 https://wiki.lereset.org/ateliers:serveurmail:pad prochaine réunion: En Septembre CR 18-06-2017, 13h-15h - passage sur Debian 9 stretch * sudo vim /etc/apt/sources.list * sudo vim /etc/apt/sources.list.d/rspamd.list * Erreur dans metche GPGME: CMS protocol not available Error sending message, child exited 75 (Deferred.). Could not send the message. sudo vim /etc/Muttrc/gpg.rc, set crypt_use_gpg=yes -> no dans smtpd.conf dhparams est remplacé par dhe, son paramètre est maintenant auto (au lieu du nom du fichier) /var/spool/smtp/offline autoriser opensmtpq - metche ne marchait pas. Probablement cela se terminait avec une ligne vide, ce qui causait l'échec d'envoi de mails - modification de DKIM pour signer les messages from local to local (éviter le spoof). Dans opensmtp.conf: on change cette ligne: accept tagged IN from local for local alias deliver to lmtp "/var/run/dovecot/lmtp" (le tag IN est appliqué avant DKIM: les opérations sur les mails s'arrêtent ici) avec cette ligne: accept tagged DKIM_SIGNED from local for local alias deliver to lmtp "/var/run/dovecot/lmtp" (on poursuit et on signe avec DKIM) CR 04/06/2017 - activer le reverse (depuis l'interface gandi), il faut que pour l'ipv4 et l'ipv6 cela correspondent au contenu du champ MX (mail.anarcha.pink ici) - installer le protocole DKIM pour prouver qu'on est légitime à envoyer un email. on contrôle la zone DNS et la clé privée associée. (https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail ) installation de dkimproxy https://www.mail-archive.com/misc@opensmtpd.org/msg02840.html (filtre dkim natif d'opensmtp) https://rodolphe.breard.tf/post/mettre-en-place-un-serveur-mail-perso/ générer clés : privée (mail.private) et publique (mail.txt) dans /etc/dkim : la clé publique est intégrée dans les informations sur le DNS (dans l'interface gandi) et swaks to do : ajouter informations dans le wiki CR 14/05/2017 13h-15h Bilan du travail déjà accompli Schéma intégré dans le wiki fait par Dashie: https://raw.githubusercontent.com/rhaamo/draw.io/master/flux%20mail2.png Pleins d'arrivants c'est cool. CR 07/05/2017 15h-17h edition du wiki dovecot ajout regle antispam /!\ regle(s) a creer pour chacun utilisateur (.dovecot.sieve) (cf Changelog) todo : continuer à éditer le wiki d'ici la semaine prochaine ~ CR 16/04/2017 13h-15h un nom de domaine (nécessite de demander à un registrar genre Gandi), la configuration DNS est ici. un hébergement. Pour le moment, une machine virtuelle chez Gandi a été choisie, cela permet de travailler rapidement. Une Debian stable (Jessie) est installée par défaut. un nom de domaine (nécessite de demander à un registrar genre Gandi), la configuration DNS est ici. un hébergement. Pour le moment, une machine virtuelle chez Gandi a été choisie, cela permet de travailler rapidement. Une Debian stable (Jessie) est installée par défaut. Antispam: OpenSMTPD reçoit les mails et les fait traiter pour en vérifier la fiabilité avant de poser dans la mailbox pour que Dovecot les récupère. Dans OpenSMTPD on ajoute "queue encryption" pour chiffrer la queue de traitement (stockée dans /tmp/) Dovecot: * installer lmtpd (Local Mail Transport Protocol); il est activé par défaut * modifier /etc/dovecot/conf.d/10-director.conf (décommenter lmtp) et 10-master.conf (décommenter le mode de lmtp unix_listener) * problème rencontré: la configuration de dovecot (/etc/dovecot.conf) utilisée contraignait à utiliser uniquement imap 'protocols = imap': à supprimer * configurer lmtp https://wiki2.dovecot.org/LMTP OpenSMTPD: * chiffrer la queue de traitement (smtpd.conf): queue encryption key #clef chaîne de caractères HEX générée par openssl * tag sur les mails qui rentrent: listen on eth0 port 25 tls pki mail.anarcha.pink hostname mail.anarcha.pink auth-optional tag IN listen on eth0 port 587 tls-require pki mail.anarcha.pink hostname mail.anarcha.pink auth tag IN * passer le traitement vers lmtpd: accept tagged IN from any for domain "anarcha.pink" alias deliver to lmtp "/var/run/dovecot/lmtp" accept tagged IN from local for local alias deliver to lmtp "/var/run/dovecot/lmtp" installation de rspamd (pas encore actif) https://rspamd.com/downloads.html -> comment installer rspamd dans debian depuis les repository officiels rspamd https://dev.sigpipe.me/dashie/setup_mail -> config de dashie (OpenSMTPd + dovecot + dkimproxy + rspamd) wget CR : 09/04/2017 http://librelist.com/browser/lesplanade/2011/5/25/fwd-tetalab-pourquoi-we-make-porn/ * documentation sur le wiki Pour info le wiki reset: https://wiki.lereset.org/doku.php Et pour l'atelier serveur communautaire https://wiki.lereset.org/ateliers:serveurmail:start Pour la doc -> https://mensuel.framapad.org/p/reset-mail-wiki /// question d'ici la prochaine réunion : en me connectant au serveur, j'ai trouvé à la racine un fichier "dead.letter" qui est vide (donc pas d'indices). est-ce parce que j'ai tenté d'envoyer un email depuis le smtp d'anarcha.pink dans thunderbird et que ça a échoué ou bien pour autre chose ? je vais continuer de chercher. //// un projet de client mail qui peut nous intéresser https://autocrypt.readthedocs.io/en/latest/ ? -> Trop expérimental! CR : 05/03/2017 13-15h * TLS: letsencrypt https://www.linode.com/docs/security/ssl/install-lets-encrypt-to-create-ssl-certificates * INstall de letsencryp (attention présent dans jessie-backports) * Création du certificat: sudo letsencrypt certonly --standalone -d mail.anarcha.pink -d anarcha.pink * Modif d'opensmtpd pour TLS : https://www.opensmtpd.org/faq/example1.html + http://man.openbsd.org/OpenBSD-5.5/smtpd.conf.5 * Modif de dovecot: https://rewopit.net/installer-certificat-lets-encrypt-postfixdovecot/ + http://wiki.dovecot.org/SSL/DovecotConfiguration (dh) question : est-ce qu'à un moment donné on va installer le plugin pour dovecot fait par riseup (https://0xacab.org/riseuplabs/trees ) pour chiffrer les emails côté utilisateur⋅rice⋅s ? Oui. Mais plus tard. super !! CR: 19/02/2017 15h-17h https://tools.ietf.org/html/rfc821 * protocole IMAP: installation dovecot (Blog de Guillaume Vincent) (ajout de auth_mechanisms = plain login cram-md5; http://wiki.dovecot.org/BasicConfiguration * Rédemarrage du service (sudo service restart (ou reload): avec reload il teste le nouveau fichier de conf avant de rédemarrer le service * Faire lancer le service au démarrage de la machine: sudo systemctl enable dovecot (pour dovecot) * Faire du mapping Tutoriel pour une configuration similaire: http://guillaumevincent.com/2015/01/31/OpenSMTPD-Dovecot-SpamAssassin.html CR 05/02 - 15h-17h - sudo et autorisations unix: ne pas lancer de session avec sudo -i, cela empêche de voir qui a fait quoi. Préferer un 'sudo' avant chaqu commande le nécessitant - Changelog, metche, etckeeper, apticron, etc, tmux Session de partage de terminal (via tmux): - après s'être connecté par ssh: - tmux -S /tmp/sessions.tmux attach-session - une session partagée par tout le monde (lecture-écriture, attention) -> Changelog : https://en.wikipedia.org/wiki/Changelog : les entrées les plus récentes en haut. Exemple d'entrée: 2017-02-05 Okhin * Changelog : Présentation du changelog (nom du fichier modifié) * apt: install tmux * metche, pour garder trace des modifications (automatique, détaillé) * apticron, pour télécharger les mises à jour (apt-get update). * opensmtpd pour gérer l'envoi de mails du système. root et postmaster sont des comptes standard pour gérer l'intéraction avec les autres. * pour permettre aux autres d'écrire sur anarcha.pink, il faut qu'ils sachent où est notre adresse. Pour cela, comme toujours, le DNS CR 22/01 15h-17h - OJ: Valider un nom : anarcha.pink - Réserver un nom : - Démarrage du serveur : @IP: 46.226.111.145 - SSH for everyone copier sa clef sur le server: ssh-copy-id username@46.226.111.145 Ressources: - Serveur : okhin - Nom de domaine : elise commande dig: sert pour connaître des détails sur l'adresse du nom de domaine; ça s'utilise dans le terminal en donnant un nom de domaine dig monsite.fr NS: donne la liste des Serveurs de Nom qui sont responsables de donner la bonne adresse pour monsite.fr dig monsite SOA dig MX pour connaître le serveur mail tld - top level domain .pink : tld aux USA (le même qu'info, sex, lgbt...). inconvénient surtout pour les infractions à la propriété intellectuelle (sous la loi US) ssh TOFU : Trust On First Use commande sudo : pour être un utilisateur privilégié, par exemple "sudo ls" Pour la liste: https://framalistes.org/ Édition - mise en route après avoir choisi un nom Pour la gestion collective des serveurs: - LeLoop a écrit quelques aides techniques: http://wiki.leloop.org/index.php/Howto:Administration_systeme - Initgeri du pRINT avait écrit ce guide : https://print.squat.net/docs/kollectiv-admin/kollectiv-admin.pdf (imprimer pour mettre dans la biblio du RESET?) /!\ VIEUX (2003) les principes sont bons, les outils proposés sont datés. - riseup.net fournit quelques outils pour aider (mais pas vraiment de politique générale) https://labs.riseup.net/code/ et https://riseup.net/en/about-us explique un peu le pourquoid e riseup. - quelques textes rassemblés sur le sujet (plutôt théorique sur faire ensemble, serveurs féministes, codes de conduite, etc) : https://pad.amipo.fr/p/administration_collective Ligne de commande Linux : https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux (à partir de la partie 2) (j'ai débuté avec ce cours quand il est sorti en décembre 2006, je l'avais bien apprécié, je ne l'ai pas relu depuis, il a probablement été édité et remanié depuis) Pour se familiariser avec la ligne de commande: https://www.learnenough.com/command-line-tutorial Section SSH : https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux/la-connexion-securisee-a-distance-avec-ssh La version "moderne" du sdz ne laisse voir que 5 pages par jour sans être inscrit⋅e. Solution : effacer ses cookies et/ou regarder le lien en navigation privée (et fermer la fenêtre de navigation privée toutes de les 5 pages. Oui, c'est pénible...) sur ce site : https://openclassrooms.com/old-courses-pdf on trouve un pdf du cours ci dessus a ce lien : http://user.oc-static.com/pdf/12827-reprenez-le-controle-a-l-aide-de-linux.pdf Une guide pour commencer (en) https://files.zoidberg.io/hacking/thelinuxcommandline.pdf le floss manual francophone https://fr.flossmanuals.net/introduction-a-la-ligne-de-commande/_draft/_v/1.0/introduction/ HS : le DC de Gandi qui ferme est celui de Baltimore, pas celui du Luxembourg : https://www.gandi.net/news/fr/2016-07-28/8929-fermeture_du_centre_de_donnees_de_baltimore_au_1er_decembre_2016/