[RESOLU] Serveur mail privé

[rebeldu31]

@maxty01 :
Je sais bien tout ça, malheureusement le port 25 est bloqué chez Orange (merci à l'opérateur le + cher de France). Pour l'instant, je suis "coincé" chez lui, mais d'ici quelques mois bye bye !!!

Sinon, selon les quelques tutos trouvés et épluchés "presque" entièrement, lorsqu'on installe un serveur de mail privé on peut utiliser le smtp du FAI qui lui est, forcément, débloqué. C'est ce que je comptais faire, n'ayant pas de solution pour l'instant !!!

Et pour la sécurité... Ben là aussi, ces tutos expliquent quoi installer, du type fail2ban et autres... Pour ma part, j'ai déjà modifier mes ports web, que ce soit pour mon Plex ou mon Cloud, ai mis en place le https forcé et le ssl. Je vais ensuite m'atteler à sécuriser mon ssh, port déjà modifié. Le firewall de ma box Orange bloque tout par défaut et j'ouvre les ports nécessaires au fur et à mesure, style Steam, mon ssh, mon https etc... Je vais aussi tenter d'autoriser l'accès à mon réseau UNIQUEMENT pour les macaddress souhaitées... Je vais sûrement mettre en place iptable sur mon Raspberry... Avec tout ça, je devrais être paré... Du moins, je pense...

Et au pire, si je n'arrive pas à mettre en place un serveur de mail privé, ben... je me créerais mes mails chez un autre fournisseur de mail gratuit AUTRE QUE GOOGLE, YAHOO et comparses !!!

[maxty01]

Bonsoir,

Sinon, selon les quelques tutos trouvés et épluchés "presque" entièrement, lorsqu'on installe un serveur de mail privé on peut utiliser le smtp du FAI qui lui est, forcément, débloqué. C'est ce que je comptais faire, n'ayant pas de solution pour l'instant !!!

Oui, le smtp en sortie ... pas en entrée, quoi qu'il arrive, si le port 25 est bloqué, c'est déjà foutu.

Concernant la sécurité, c'est déjà super de s'en préoccuper et je me dois de le souligner,
mais ce que j'ai lu pour l'instant ne m'inspire pas confiance ... mais je peux me tromper.

Certaines techniques de protection, que tu cites, ne sont pas bien placées, à moins d'être bien configurées.
Pour ma part, j'essaye toujours de mettre un firwall derrière la box d'un fournisseur afin de déléguer toutes les taches pour finalement n'utiliser la box qu'en tant que bridge.

Alors utiliser un mail d'un autre fournisseur de mail gratuit AUTRE QUE GOOGLE, YAHOO et comparses, est équivaut à aller chez un fournisseur tel que GOOGLE, YAHOO et comparses.
Et pour cause, un service gratuit n'est jamais gratuit !

Bonne soirée,

PS : concernant la sécurisation de ton ssh, je te conseil de lire ceci : viewtopic.php?f=3&t=283

[destroyedlolo]

En y réfléchissant, il y a peut être une solution (gros conditionnel) : utiliser un service de VPN.
Dans ce cas, tu passes à travers les blocages de ton FAI ... il te restera donc à choisir un fournisseur qui laisse le SMTP entrant ... mais avec ce genre de VPN, il y a des chances que tu doives gérer entièrement la sécurité (dmz, double firewall et consort ...) : c'est un métier.

Perso, même si je n'ai aucune machine sous m$-windows à la maison, je ne m'y risquerai pas

[maxty01]

Bonsoir,

En y réfléchissant, il y a peut être une solution (gros conditionnel) : utiliser un service de VPN.
Dans ce cas, tu passes à travers les blocages de ton FAI ... il te restera donc à choisir un fournisseur qui laisse le SMTP entrant ... mais avec ce genre de VPN, il y a des chances que tu doives gérer entièrement la sécurité (dmz, double firewall et consort ...) : c'est un métier.

Perso, même si je n'ai aucune machine sous m$-windows à la maison, je ne m'y risquerai pas

Je rebondis sur ce qui est dis ci-dessus.

Effectivement, cela débloquerai la situation, mais il faudra compter quelques € en plus ...
Surtout dans le cas de l'offre "OverTheBox" d'OVH (je ne sais pas si le port 25 est ouvert), qui peut-être une alternative.

Aussi, je confirme, le réseau, le système et la sécurité sont des gros métier de l'informatique ...

Bonne soirée,

[rebeldu31]

Mon métier : ingénieur système Unix, Linux...
Côté système, ça devrait le faire...
Côté sécurité, quelques bonnes bases...
Côté réseau, quelques bases aussi...

J'ai encore lu aujourd'hui, sur un forum, l'histoire des ports bloqués par les FAI... A priori, seul Free permet de les débloquer via sa freebox... ET, paraitrait-il, les FAI n'auraient pas le droit "légal" de bloquer ces ports et donc D'OBLIGER à passer par leur serveur smtp et/ou pop... Mais bon, c'est politique, même si compréhensible côté sécurité...
Sur le post de ce forum, datant de l'époque où les FAI ont mis en place ce blocage de ports pour éviter le spamming, la personne explique qu'elle ne pouvait plus envoyer de mails avec son mail@domaine. Et elle donne la résolution à ce problème qu'elle a mis en place : utiliser le serveur smtp d'orange, smtp.orange.fr. Elle explique que depuis, ces mails sont bel et bien envoyés.
Donc... Why not !!! A voir.. A tester... A valider !!!

MAIS... mon problème de départ n'est pas tant ça... C'est que malgré tous les tutos trouvés et suivis, je n'arrivais pas à me connecter via le webmail RoundCube. Par dépit j'ai tout désinstallé, pour la 3ème fois, mais je ne m'avoue pas (encore) vaincu...
Je vais donc reprendre l'installation de mon serveur mail privé de ZERO !!! Avec tous les tutos récupérés à gauche et à droite, pour Raspberry et/ou pour Linux en général (Débian, Ubuntu, etc...)...
ET si cela ne marche toujours pas, bah... retour à un fournisseur de mail gratos MAIS pas les "gros"... J'en ai trouvé 1 sympa, type association, avec qui je suis d'ailleurs en relation pour mon problème, la personne ayant accepter de me fournir aides et infos !!!

[maxty01]

Bonsoir rebeldu31,

Je ne sais pas si tu as eu l'occasion d'aller sur mon profile linkedin (présent dans ma signature), mais nous sommes confrère.

Bref, si tu le souhaites, on peut élever le niveau pour aller encore plus vite.

Bon, je commence :

Le meilleur test à effectuer c'est d'ouvrir le port 25 sur la box (mets un FW derrière, bridge ta box, ça sera plus efficace), de nater le trafic vers un périphérique qui répond sur le port 25 (limite un honeypot),
dès que c'est fait, il faut tester depuis l'extérieur, assez rapidement pour ne pas laisser le port 25 ouvert trop longtemps, le meilleur conseil que je peux te donner dans ce cas c'est de tester avec un ordi portable via une connexion 3 ou 4G et un telnet sur le port 25. Si tu n'a rien que peut répondre sur le port 25, tu pourrais reconfig ton SSH pour que celui-ci réponde sur le port 25 et tu tente d'effectuer une session SSH depuis la connexion 3/4G.

Pour construire ton serveur de mail, il faut savoir qu'il doit se construire brique par brique.
Par exemple, le serveur smtp (postfix), le serveur imap (cyrus, Dovecot), avec ces deux là, on peut déjà faire un petit serveur de mail.
On peux pousser avec un antivirus (clamav) et un antispam (SpamAssasin, dspam), de plus que l'on peux "externaliser" cette partie là ce qui ferai une réception de mail en 2 steps.

Je me permets de mettre ici, un lien vers une recette de cuisine pour un serveur mail plus complet (attention, niveau top chef requis) :
http://linuxfr.org/news/recette-de-cuis ... extensions

Autre point au quel il faudra penser, c'est l'adresse IP, il fout voir si elle est dynamique ou pas, si elle l'est, il faudra penser à un DynDNS ou autre.

D'autre solutions sont également envisageable, notament les kimsufi d'ovh.
Je développerai si on part dans cette direction.

Bonne soirée,

PS : Tu as peut-être observé mon changement de direction, au départ, je t'ai déconseillé de le faire pour diverses raisons techniques et sécuritaires.
Maintenant que tu nous dis être un Ingé Sys, je te donne des conseils pour y arriver.
Il y a une raison simple de ce changement : je ne vais pas conseiller à un utilisateur lambda d'ouvrir son réseau pour y faire ce que des grands noms font très bien.
Par contre, pour un Ingé Sys, c'est une très bonne occasion de s’exercer au réseau et à la sécurité en toute connaissance de cause et à pousser ses connaissances systèmes.
Ce qui veux dire que si tu as un problème qui ne peut attendre l'aide du forum, tu devrais être capable de retomber rapidement sur tes pattes,
à condition de respecter les bases de notre métier, en ce compris les backups.

[rebeldu31]

Bonjour maxty01, confrère...

Merci pour cette aide. Je vais me (re)lancer sur ce sujet en suivant tes conseils et la recette que tu m'as fourni.
Concernant la "tranquillité" des manip, voici l'intitulé exact de ma fonction professionnelle : ingénieur système, sauvegarde et stockage.
J'ai en place des backups depuis que j'ai installé mon cloud avec mon NAS.
Je sauvegarde les répertoires importants, les sites, mon cloud complet même s'il est en RAID1 (double sécurité).
Je fais un dump de mes bases de données, même si ces dernières ont été déplacées sur mon NAS (double sécurité aussi).
Je fais même une sauvegarde de ma carte SD avec un "dd", ce qui me permettra de restaurer sur une nouvelle carte SD si celle utilisée lâche.

J'ai un compte no-ip qui redirige vers mon @ip qui est malheureusement dynamique. J'y ai paramétré le MX mais je ne suis pas sûr d'avoir mis la bonne information. J'aimerais avoir MON_DOMAINE pour accéder à mon cloud et autre, ainsi que mail.MON_DOMAINE pour le serveur mail, mais je ne vois pas cette possibilité chez no-ip. J'ai prévu d'acheter mon nom de domaine en .fr mais pas dans l'immédiat.

Sinon, côté archi, j'ai prévu de placer le répertoire des mails sur mon NAS, avec une sauvegarde. Postfix, Dovecot, ClamAV et SpamAssassin seront installés. Et Roundcube comme webmail, qui existe en tant qu'application pour mon cloud (Owncloud) ou en git directement.

Alors, hop, je vais retrousser mes manches et m'y atteler !!!

[Manfraid]

Salut.


Si tu prend ton domaine je te conseille Gandi.net il on une API qui permette de modifier ses parametres DNS, ce qui est très utile quand on a une IP dynamique.

[rebeldu31]

Salut.


Si tu prend ton domaine je te conseille Gandi.net il on une API qui permette de modifier ses parametres DNS, ce qui est très utile quand on a une IP dynamique.

OK, merci.
Mais OVH propose la même chose si je me souviens bien... 1&1 aussi je crois... A voir.

[rebeldu31]

maxty01 :

test port 25 : OK
Comme je n'ai pas de honeypot, j'ai configuré mon ssh sur le port 25, natté ce port sur mon raspberry et ouvert ce port (déjà ouvert sur le FW de ma box).
J'ai fais un ssh de l'extérieur (via mon smartphone) et je suis bien arrivé sur mon raspberry.
J'ai tout reconfiguré, enlevé le nat.