Outils pour utilisateurs

Outils du site


ateliers:serveurmail:pad

Copie du pad au 2017-07-24

https://mensuel.framapad.org/p/reset-mail
Pad copié le 2017-07-24 https://wiki.lereset.org/ateliers:serveurmail:pad
prochaine réunion: En Septembre
 
CR 18-06-2017, 13h-15h
 
- passage sur Debian 9 stretch
 
    * sudo vim /etc/apt/sources.list
 
    * sudo vim /etc/apt/sources.list.d/rspamd.list
 
    * Erreur dans metche GPGME: CMS protocol not available Error sending message, child exited 75 (Deferred.). Could not send the message.
 
    sudo vim /etc/Muttrc/gpg.rc, set crypt_use_gpg=yes -> no
 
    dans smtpd.conf dhparams est remplacé par dhe, son paramètre est maintenant auto (au lieu du nom du fichier)
 
    /var/spool/smtp/offline autoriser opensmtpq
 
- metche ne marchait pas. Probablement cela se terminait avec une ligne vide, ce qui causait l'échec d'envoi de mails
- modification de DKIM pour signer les messages from local to local (éviter le spoof). Dans opensmtp.conf:
 
    on change cette ligne: accept tagged IN from local for local alias <aliases> deliver to lmtp "/var/run/dovecot/lmtp" (le tag IN est appliqué avant DKIM: les opérations sur les mails s'arrêtent ici)
 
    avec cette ligne: accept tagged DKIM_SIGNED from local for local alias <aliases> deliver to lmtp "/var/run/dovecot/lmtp" (on poursuit et on signe avec DKIM)
 
 
CR 04/06/2017
- activer le reverse (depuis l'interface gandi), il faut que pour l'ipv4 et l'ipv6 cela correspondent au contenu du champ MX (mail.anarcha.pink ici)
- installer le protocole DKIM pour prouver qu'on est légitime à envoyer un email. on contrôle la zone DNS et la clé privée associée.  (https://en.wikipedia.org/wiki/DomainKeys_Identified_Mail )
installation de dkimproxy 
https://www.mail-archive.com/misc@opensmtpd.org/msg02840.html (filtre dkim natif d'opensmtp)
https://rodolphe.breard.tf/post/mettre-en-place-un-serveur-mail-perso/
générer clés : privée (mail.private) et publique (mail.txt) dans /etc/dkim : la clé publique est intégrée dans les informations sur le DNS (dans l'interface gandi) et 
swaks 
 
to do : ajouter informations dans le wiki
 
CR 14/05/2017 13h-15h
Bilan du travail déjà accompli
Schéma intégré dans le wiki fait par Dashie: https://raw.githubusercontent.com/rhaamo/draw.io/master/flux%20mail2.png
Pleins d'arrivants c'est cool.
 
CR 07/05/2017 15h-17h
edition du wiki dovecot
ajout regle antispam 
/!\ regle(s)  a creer pour chacun utilisateur (.dovecot.sieve) (cf Changelog)
 
todo : continuer à éditer le wiki d'ici la semaine prochaine ~
 
CR 16/04/2017 13h-15h
 
     un nom de domaine (nécessite de demander à un registrar genre Gandi), la configuration DNS est ici.
 
 
     un hébergement. Pour le moment, une machine virtuelle chez Gandi a été choisie, cela permet de travailler rapidement. Une Debian stable (Jessie) est installée par défaut.
 
 
     un nom de domaine (nécessite de demander à un registrar genre Gandi), la configuration DNS est ici.
 
 
     un hébergement. Pour le moment, une machine virtuelle chez Gandi a été choisie, cela permet de travailler rapidement. Une Debian stable (Jessie) est installée par défaut.
 
 
Antispam: OpenSMTPD reçoit les mails et les fait traiter pour en vérifier la fiabilité avant de poser dans la mailbox pour que Dovecot les récupère.
Dans OpenSMTPD on ajoute "queue encryption" pour chiffrer la queue de traitement (stockée dans /tmp/)
 
 
Dovecot:
    * installer lmtpd (Local Mail Transport Protocol); il est activé par défaut
    * modifier /etc/dovecot/conf.d/10-director.conf (décommenter lmtp) et 10-master.conf (décommenter le mode de lmtp unix_listener)
    * problème rencontré: la configuration de dovecot (/etc/dovecot.conf) utilisée contraignait à utiliser uniquement imap 'protocols = imap': à supprimer
    * configurer lmtp https://wiki2.dovecot.org/LMTP
 
OpenSMTPD:
    * chiffrer la queue de traitement (smtpd.conf): queue encryption key #clef chaîne de caractères HEX générée par openssl
    * tag sur les mails qui rentrent:
        listen on eth0 port 25 tls pki mail.anarcha.pink hostname mail.anarcha.pink auth-optional tag IN
 
      listen on eth0 port 587 tls-require pki mail.anarcha.pink hostname mail.anarcha.pink auth tag IN
 
    * passer le traitement vers lmtpd:
 
            accept tagged IN from any for domain "anarcha.pink" alias <aliases> deliver to lmtp "/var/run/dovecot/lmtp"
 
      accept tagged IN from local for local alias <aliases> deliver to lmtp "/var/run/dovecot/lmtp" 
 
 
installation de rspamd (pas encore actif)
 
https://rspamd.com/downloads.html -> comment installer rspamd dans debian depuis les repository officiels rspamd
https://dev.sigpipe.me/dashie/setup_mail -> config de dashie (OpenSMTPd + dovecot + dkimproxy + rspamd)
 
wget
 
CR : 09/04/2017
 
http://librelist.com/browser/lesplanade/2011/5/25/fwd-tetalab-pourquoi-we-make-porn/
 
* documentation sur le wiki
 
Pour info le wiki reset:
    https://wiki.lereset.org/doku.php
 
Et pour l'atelier serveur communautaire
https://wiki.lereset.org/ateliers:serveurmail:start
 
Pour la doc -> https://mensuel.framapad.org/p/reset-mail-wiki
 
///
question d'ici la prochaine réunion :
en me connectant au serveur, j'ai trouvé à la racine un fichier "dead.letter" qui est vide (donc pas d'indices). est-ce parce que j'ai tenté d'envoyer un email depuis le smtp d'anarcha.pink dans thunderbird et que ça a échoué ou bien pour autre chose ? je vais continuer de chercher.
////
 
un projet de client mail qui peut nous intéresser https://autocrypt.readthedocs.io/en/latest/ ? -> Trop expérimental!
 
CR : 05/03/2017 13-15h
 
* TLS: letsencrypt https://www.linode.com/docs/security/ssl/install-lets-encrypt-to-create-ssl-certificates
 
    * INstall de letsencryp (attention présent dans jessie-backports)
 
    * Création du certificat: sudo letsencrypt certonly --standalone -d mail.anarcha.pink -d anarcha.pink
 
    * Modif d'opensmtpd pour TLS : https://www.opensmtpd.org/faq/example1.html + http://man.openbsd.org/OpenBSD-5.5/smtpd.conf.5
 
    * Modif de dovecot: https://rewopit.net/installer-certificat-lets-encrypt-postfixdovecot/ + http://wiki.dovecot.org/SSL/DovecotConfiguration (dh)
 
 
question : est-ce qu'à un moment donné on va installer le plugin pour dovecot fait par riseup (https://0xacab.org/riseuplabs/trees ) pour chiffrer les emails côté utilisateur⋅rice⋅s ? Oui. Mais plus tard. super !!
 
CR: 19/02/2017 15h-17h
https://tools.ietf.org/html/rfc821
 
* protocole IMAP: installation dovecot (Blog de Guillaume Vincent) (ajout de 
auth_mechanisms = plain login cram-md5; http://wiki.dovecot.org/BasicConfiguration
* Rédemarrage du service (sudo service <nom du service> restart (ou reload): avec reload il teste le nouveau fichier de conf avant de rédemarrer le service
* Faire lancer le service au démarrage de la machine: sudo systemctl enable dovecot (pour dovecot)
* Faire du mapping
 
Tutoriel pour une configuration similaire: http://guillaumevincent.com/2015/01/31/OpenSMTPD-Dovecot-SpamAssassin.html
 
CR 05/02 - 15h-17h
 
- sudo et autorisations unix: ne pas lancer de session avec sudo -i, cela empêche de voir qui a fait quoi. Préferer un 'sudo' avant chaqu commande le nécessitant
- Changelog, metche, etckeeper, apticron, etc, tmux
 
Session de partage de terminal (via tmux):
    - après s'être connecté par ssh:
    - tmux -S /tmp/sessions.tmux attach-session
    - une session partagée par tout le monde (lecture-écriture, attention)
 
-> Changelog : https://en.wikipedia.org/wiki/Changelog : les entrées les plus récentes en haut.
Exemple d'entrée:
 
2017-02-05  Okhin  <mail@mail.mail>
        * Changelog <nom du logiciel modifié>: Présentation du changelog (nom du fichier modifié)
        * apt: install tmux
 
* metche, pour garder trace des modifications (automatique, détaillé)
* apticron, pour télécharger les mises à jour (apt-get update).
* opensmtpd pour gérer l'envoi de mails du système.
 
    root et postmaster sont des comptes standard pour gérer l'intéraction avec les autres.
 
* pour permettre aux autres d'écrire sur anarcha.pink, il faut qu'ils sachent où est notre adresse. Pour cela, comme toujours, le DNS
 
CR 22/01 15h-17h
- OJ: Valider un nom : anarcha.pink
- Réserver un nom : 
- Démarrage du serveur : @IP: 46.226.111.145
- SSH for everyone
 
    copier sa clef sur le server: ssh-copy-id username@46.226.111.145
 
 
Ressources:
    - Serveur : okhin
    - Nom de domaine : elise
 
commande dig: sert pour connaître des détails sur l'adresse du nom de domaine; ça s'utilise dans le terminal en donnant un nom de domaine
dig monsite.fr NS: donne la liste des Serveurs de Nom qui sont responsables de donner la bonne adresse pour monsite.fr
dig monsite SOA
dig MX pour connaître le serveur mail
 
tld - top level domain 
.pink : tld aux USA (le même qu'info, sex, lgbt...). inconvénient surtout pour les infractions à la propriété intellectuelle (sous la loi US)
 
ssh
TOFU : Trust On First Use
commande sudo : pour être un utilisateur privilégié, par exemple "sudo ls"
 
Pour la liste: https://framalistes.org/
Édition - mise en route après avoir choisi un nom
 
Pour la gestion collective des serveurs:
    - LeLoop a écrit quelques aides techniques: http://wiki.leloop.org/index.php/Howto:Administration_systeme
    - Initgeri du pRINT avait écrit ce guide : https://print.squat.net/docs/kollectiv-admin/kollectiv-admin.pdf (imprimer pour mettre dans la biblio du RESET?) /!\ VIEUX (2003) les principes sont bons, les outils proposés sont datés.
    - riseup.net fournit quelques outils pour aider (mais pas vraiment de politique générale) https://labs.riseup.net/code/ et https://riseup.net/en/about-us explique un peu le pourquoid e riseup.
    - quelques textes rassemblés sur le sujet (plutôt théorique sur faire ensemble, serveurs féministes, codes de conduite, etc) : https://pad.amipo.fr/p/administration_collective
 
Ligne de commande Linux : https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux (à partir de la partie 2)
(j'ai débuté avec ce cours quand il est sorti en décembre 2006, je l'avais bien apprécié, je ne l'ai pas relu depuis, il a probablement été édité et remanié depuis)
Pour se familiariser avec la ligne de commande: https://www.learnenough.com/command-line-tutorial
Section SSH : https://openclassrooms.com/courses/reprenez-le-controle-a-l-aide-de-linux/la-connexion-securisee-a-distance-avec-ssh
La version "moderne" du sdz ne laisse voir que 5 pages par jour sans être inscrit⋅e. Solution : effacer ses cookies et/ou regarder le lien en navigation privée (et fermer la fenêtre de navigation privée toutes de les 5 pages. Oui, c'est pénible...)
sur ce site : https://openclassrooms.com/old-courses-pdf on trouve un pdf du cours ci dessus a ce lien : http://user.oc-static.com/pdf/12827-reprenez-le-controle-a-l-aide-de-linux.pdf
Une guide pour commencer (en) https://files.zoidberg.io/hacking/thelinuxcommandline.pdf
le floss manual francophone https://fr.flossmanuals.net/introduction-a-la-ligne-de-commande/_draft/_v/1.0/introduction/
 
HS : le DC de Gandi qui ferme est celui de Baltimore, pas celui du Luxembourg : https://www.gandi.net/news/fr/2016-07-28/8929-fermeture_du_centre_de_donnees_de_baltimore_au_1er_decembre_2016/
ateliers/serveurmail/pad.txt · Dernière modification: 2017/07/24 23:46 par tralala