Ubuntu-fr

faldo1

SSL sur postfix avec domaines virtuels et SASL Dovecot

Bonjour,

J'installe mon serveur Ubuntu avec Postfix pour le SMTP et Dovecot pour le pop.

Sur ce serveur, je compte gérer plusieurs domaines virtuels.

Le smtp Postfix fonctionne en entrée: je peux envoyer un email à un de mes comptes sur un des domaines gérés et il arrive dans la bonne boîte.

Le pop3 fonctionne: je peux lire ces emails via le port 995 et une connexion SSL/TLS (client Thunderbird)

Pour le smtp en sortie, je tente une authentification SASL de Postfix via Dovecot et une connexion SSL sur le port 465. Et là, j'ai des soucis.

Dans mon exemple, je tente un simple reply à un des emails reçus avec comme smtp un smtp pointant sur le domaine virtuel correspondant à mon email reçu. Je précise le port 465 et SSL dans les paramètres de ce smtp.

D'après la trace dovecot.debug, j'ai l'impression que l'authentification SASL via Dovecot fonctionne (mais comment en être sûr ?). Par contre, pour le SSL, je reçois une erreur de certificat. Et dans le certificat, je vois que c'est celui que j'ai créé pour le serveur et que j'ai défini dans la configuration TLS de Postfix qui est utilisé. Thunderbird me dit que le nom du domaine sur le certificat ne correspond pas au domaine virtuel sur lequel j'essaie d'envoyer un email. Ce qui est normal. Mais je ne vois pas comment définir un certificat par domaine virtuel.

Bref, c'est mon premier serveur et je suis un peu perdu: peut-on utiliser un certificat par domaine virtuel pour gérer le SSL dans Postfix ? Si pas, que faut-il faire ?

Un tout grand merci d'avance pour votre aide !

Dan

Dernière modification par faldo1 (Le 07/07/2014, à 19:41)

yann_001

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Bonjour.

C'est dans la config d'Apache qu'il faut que tu indiques les différents domaines virtuels et signatures SSL. Pas dans Postfix ou dovecot.

faldo1

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Bonjour,

Merci pour ton aide.

A quoi servent alors les paramètres tels que smtpd_tls_key_file alors ? Pourquoi faut-il gérer cela au niveau de chaque domaine virtuel dans Dovecot - ça fonctionne chez moi - mais pas dans Postfix ?

Je ne sais pas si je me suis bien fait comprendre.

Depuis Thunderbird, je souhaite envoyer les emails du domaine virtuel (virtuel au sens postfix) virtuel01.net - par exemple - via le smtp.virtuel01.net. Ceux du domaine vituel vituel02.net via le smtp.virtuel02.net. Etc. etc.

Or, via les DNS, tous ces virtuel0xxx.net arrivent sur la même machine, que je vais appeler ici monserveurperso.com, plus précisément sur le serveur SMTP Postfix qui tourne sur cette machine.

Je souhaite utiliser ssl sur ces connexion, via le port 465.

Et je souhaite authentifier l'expéditeur de l'email via un SASL sur Dovecot. Je suppose que cela va utiliser le login et le mot de passe utilisés par le pop3 de Dovecot (là, j'aimerais qu'on me le confirme, je ne l'ai pas vu dans la doc)

Le problème, c'est que je ne vois dans la configuration TLS de postfix qu'un seul endroit où renseigner le certificat ssl. Je ne peux donc y mettre que celui que j'ai défini pour monserveurperso.com

Et Thunderbird me le retourne dans la figure car monserveurperso.com n'est pas le même domaine que virtuel01.net.

Merci

Dan

Dernière modification par faldo1 (Le 08/07/2014, à 15:48)

bruno

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Bonjour,

Oublie cette histoire d'Apache, cela n'a rien à voir avec ton problème

Tu ne dois utiliser qu'un seul nom de serveur smtp : toto.net qui correspond au nom de domaine que tu as renseigné au moment de la création du certificat.

faldo1

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Merci Bruno,

Je manque d'expérience mais je crains que si j'utilise comme serveur smtp d'envoi le serveur "smtp.mon_unique_smtp.net" pour toto@virtuel01.net ou titi@virtuel02.net, certains serveurs destinataires risquent de trouver cela louche.

N'est-il vraiment pas possible d'utiliser smtp.virtuel01.net pour les emails de toto@virtuel01.net et smtp.virtuel02.net pour les emails de titi@virtuel02.net si, derrière, c'est le même Postfix ?

Et si je n'utilise pas le TLS ? En fait, je suis plus stressé par l'authentification SASL (je souhaite que seuls les utilisateurs authentifiés puissent envoyer des emails pour éviter de devenir un serveur de spams) que par la confidentialité de ce qui sera envoyé, ce ne sera rien de très important.

Un tout grand merci d'avance !

Dan

Dernière modification par faldo1 (Le 08/07/2014, à 16:07)

bruno

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Pour le premier point je ne pense pas que cela pose de problèmes. Par exemple de nombreuses personnes utilisent le SMTP de leur FAI (smtp.free.fr, smtp.orange.fr, etc.) avec des adresses de courriel qui ne sont pas sur le domaine du FAI (gmail.com, laposte.net, etc.) sans que cela ne pose aucun problème. Personnellement j'utilise mon propre serveur smtp avec un nom de domaine qui m'appartient (bidule.fr) et j'envoie sans souci des courriels avec mon adresse gmail ou autre…

Pour le second point, en smtp authentifié sur le port 465 tu auras toujours un problème de certificat car à ma connaissance postfix ne peut gérer qu’un seul certificat. Ou alors il faudrait avoir un certificat pour plusieurs domaines. C'est possible mais je ne sais pas faire et je ne vois pas l’intérêt…

faldo1

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Merci Bruno,

Je vais essayer et je te tiens au courant

Un tout grand merci

Dan

yann_001

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Bonjour,

Oublie cette histoire d'Apache, cela n'a rien à voir avec ton problème

Tu ne dois utiliser qu'un seul nom de serveur smtp : toto.net qui correspond au nom de domaine que tu as renseigné au moment de la création du certificat.

Oui c’est  vrai que j'ai oublié de préciser. merci Bruno

Dernière modification par yann_001 (Le 08/07/2014, à 18:24)

faldo1

Re : SSL sur postfix avec domaines virtuels et SASL Dovecot

Ca fonctionne !

Un tout grand merci à tous  !

Dan