5) AUTHENTIFICATION SECURISEE
5.1) INSTALLATION ET CONFIGURATION DE SMTP-AUTH ET TLS

SMTP-AUTH et TLS avec Postfix va permettre de chiffrer les mots de passe des utilisateurs lors de la connexion au serveur mail. Sans ce chiffrement des personnes malveillantes pourraient utiliser une boîte aux lettres à l’insu de son utilisateur.

1) On exécute les commandes suivantes :

>postconf -e 'smtpd_sasl_local_domain ='
>postconf -e 'smtpd_sasl_auth_enable = yes'
>postconf -e 'smtpd_sasl_security_options = noanonymous'
>postconf -e 'broken_sasl_auth_clients = yes'
>postconf -e 'smtpd_recipient_restrictions = >permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination'
>postconf -e 'inet_interfaces = all'
>echo 'pwcheck_method: saslauthd' >> /etc/postfix/sasl/smtpd.conf
>echo 'mech_list: plain login' >> /etc/postfix/sasl/smtpd.conf

>mkdir /etc/postfix/ssl
>cd /etc/postfix/ssl/
>openssl genrsa -des3 -rand /etc/hosts -out smtpd.key 1024 //le système demande de rentrer un mot de passe : mettre « progio » : mettre le même à chaque fois

>chmod 600 smtpd.key
>openssl req -new -key smtpd.key -out smtpd.csr
>openssl x509 -req -days 3650 -in smtpd.csr -signkey smtpd.key -out smtpd.crt
>openssl rsa -in smtpd.key -out smtpd.key.unencrypted
>mv -f smtpd.key.unencrypted smtpd.key
>openssl req -new -x509 -extensions v3_ca -keyout cakey.pem -out cacert.pem -days 3650

>postconf -e 'smtpd_tls_auth_only = no'
>postconf -e 'smtp_use_tls = yes'
>postconf -e 'smtpd_use_tls = yes'
>postconf -e 'smtp_tls_note_starttls_offer = yes'
>postconf -e 'smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key'
>postconf -e 'smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt'
>postconf -e 'smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem'
>postconf -e 'smtpd_tls_loglevel = 1'
>postconf -e 'smtpd_tls_received_header = yes'
>postconf -e 'smtpd_tls_session_cache_timeout = 3600s'
>postconf -e 'tls_random_source = dev:/dev/urandom'
>postconf -e 'myhostname = server1.example.com'

Toutes les commandes qui commencent par “postconf” permettent de configurer le fichier « /etc/postfix/main.cf » (voir la fin du fichier main.cf : ligne 15) afin de spécifier notamment que maintenant l’authentification sera sécurisé pour les connexions en SMTP.

2)On redémarre le service de Postfix :
>/etc/init.d/postfix restart



3) >mkdir -p /var/spool/postfix/var/run/saslauthd
>rm -fr /var/run/saslauthd

4) On édite le fichier /etc/default/saslauthd en exécutant la commande :

>vi /etc/default/saslauthd

Il faut enlever le : « # » devant la ligne qui contient : « START=yes ».
Ajouter juste après cette ligne :

PARAMS=”-m /var/spool/postfix/var/run/saslauthd”

5) On change la variable “MECHANISMS”, on remplace ce qu’il y avait par « shadow » : cette directive va permettre d’utiliser les mots de passe du système Unix pour l’authentification sue le serveur Postfix.

6) On édite le fichier « /etc/init.d/saslauthd » par la commande : « vi /etc/init.d/saslauthd ».

- Il faut ajouter le « # » (ligne 48) devant « dir=’… »
- Il faut modifier la ligne commencent par « PWDIR… » en mettant :
PWDIR="/var/spool/postfix/var/run/${NAME}
- Il faut modifier la ligne commencent par « PIDFILE… » en mettant :
PIDFILE="${PWDIR}/saslauthd.pid"
- Après cette ligne il faut rajouter :
dir="root sasl 755 ${PWDIR}"

7) On lance le service saslauthd en exécutant la commande :
« /etc/init.d/saslauthd start »

8) On test pour voir si le service fonctionne avec telnet
>telnet localhost 25

La connexion s’exécutant on tape : >ehlo localhost

Si ces lignes apparaissent c’est bon : « 250-STARTTLS »
« 250-AUTH »


5.2) Installation et configuration de COURIER-IMAP-SSL

1) Exécuter la commande « apt-get install courier-imap-ssl » afin d’installer le service de sécurisation pour le protocole IMAP.

2) Il n’y a rien à faire, le certificat est déjà généré. C’est bon pour imap-ssl.

Il faut configurer Thunderbird afin qu’il utilise le protocole ssl pour le SMTP et l’IMAP. Ouvrez Thunderbird, aller dans le menu « Outils » puis « Paramètres des comptes ».

Une fenêtre s’ouvre. Allez dans « Pramètres serveur » et cocher ssl sous « Paramètres de sécurité ». Ne pas cocher « Utiliser une authentification sécurisée.

Il faut maintenant aller dans « Serveur sortant (SMTP) ». Cliquez sur « Modifier » : une fenêtre s’affiche et laissée cocher NON pour « utiliser une connexion sécurisée ».

La sécurisation est maintenant en fonctionnement, le test est effectué à partir d’Ethereal : l’analyseur de trames.