Administration Système et Devops – TP 4

• Responsable : Philippe SWARTVAGHER prenom.nom [at] enseirb-matmeca.fr
• Intervenant : Tom CLAUDEL prenom.nom [at] u-bordeaux.fr

0. Cours

Regardez le tableau, ça va parler de :

• enregistrement DNS MX
• SMTP (+ notion de relais), POP, IMAP
• formats de stockage des mails
• sécurité des échanges (SMTPs, IMAPs, GPG)
• sécurité du mail et lutte contre le spam : reverse DNS, SPF, DKIM, DMARC, anti-virus, grey listing, détection du spam
• telnet
• référence des fichiers de configuration

1. DNS

0. Sur votre machine physique, vérifiez que vous utilisez toujours le serveur DNS 172.18.[13].33.

1. Mettez en place les entrées DNS suivantes dans votre zone DNS (attention : il y a un point à la fin du nom de domaine) :

   login.g[12].t2. IN  MX 10 mail
   mail IN A <ip>

2. Redémarrez le service bind9.

3. Depuis votre machine physique, assurez-vous avec dig que vous pouvez obtenir l’entrée MX de votre nom de domaine.

2. SMTP avec Postfix

1. Installez le paquet postfix. Répondez aux différentes questions :

   • choisissez le mode Internet Site
   • saisissez votre nom de domaine complet

2. Toute la configuration se fait dans le fichier /etc/postfix/main.cf :

   • Ajoutez à la fin du fichier la ligne

     home_mailbox = Maildir/INBOX/

     pour dire qu’on souhaite stocker les mails qu’on reçoit au format maildir dans le dossier Maildir/INBOX/ du home du destinataire. Le / à la fin est important !

3. Redémarrez le service postfix.

4. La commande sudo postconf vous permet de voir toute la configuration actuellement utilisée par Postfix.

5. Depuis votre machine virtuelle, utilisez telnet pour interagir avec le serveur SMTP et déposer un mail pour login :

   % telnet localhost 25
   Trying ::1...
   Connected to localhost.
   Escape character is '^]'.
   220 login ESMTP Postfix (Debian/GNU)
   ehlo toto
   250-login
   250-PIPELINING
   250-SIZE 10240000
   250-VRFY
   250-ETRN
   250-ENHANCEDSTATUSCODES
   250-8BITMIME
   250-DSN
   250-SMTPUTF8
   250 CHUNKING
   mail from:<toto@toto.fr>
   250 2.1.0 Ok
   rcpt to:<login@login.g[12].t2>
   250 2.1.5 Ok
   data
   354 End data with <CR><LF>.<CR><LF>
   Bonjour, ceci est un test
   .
   250 2.0.0 Ok: queued as B4B8E15B0
   quit
   221 2.0.0 Bye
   Connection closed by foreign host.

   Normalement, vous devez bien trouver le mail dans $HOME/Maildir/INBOX/new/

   • La commande tree, fournie par le paquet éponyme, est très pratique.

6. Le mail reçu est stocké comme un simple fichier texte. Affichez le fichier texte. Quelles sont les informations que vous retrouvez ?

7. Envoyez un mail à votre voisin en se connectant directement à son serveur SMTP.

8. Envoyez un mail à votre voisin en utilisant votre serveur SMTP (pour qu’il fasse office de relai).

9. Depuis votre machine physique, utilisez telnet pour vous connecter à votre serveur SMTP et vous envoyer un mail à vous-même.

10. Depuis votre machine physique, utilisez telnet pour vous connecter à votre serveur SMTP et envoyer un mail à votre voisin.

    • Pourquoi ça ne fonctionne pas ?

3. IMAP et POP avec Dovecot

1. Installez dovecot-imapd et dovecot-pop3d.

2. Modifiez dans /etc/dovecot/conf.d/10-mail.conf pour indiquer à Dovecot où sont les mails est dans quel format :

   mail_driver = maildir
   mail_path = ~/Maildir
   mail_inbox_path = ~/Maildir/INBOX
   mailbox_list_layout = fs

3. Redémarrez le service dovecot.

4. Utilisez telnet depuis votre VM pour consulter vos mails avec le protocole POP3 (dans ce qui suit, login est à remplacer par votre login !) :

   % telnet localhost 110
   Trying ::1...
   Connected to localhost.
   Escape character is '^]'.
   +OK Dovecot ready.
   user login
   +OK
   pass login
   +OK Logged in.
   stat
   +OK 2 1074
   list
   +OK 2 messages:
   1 543
   2 531
   .
   retr 1
   +OK 543 octets
   ...
   quit
   +OK Logging out.
   Connection closed by foreign host.

5. Refaites la même chose, mais depuis votre machine physique.

   • Pourquoi ça ne fonctionne pas ?

6. Décommenter dans /etc/dovecot/conf.d/10-auth.conf la ligne auth_allow_cleartext = yes (c’est la première clé de configuration dans le fichier).

   • N’oubliez pas de redémarrer le service.

7. Réassayez de récupérer votre courrier via POP3 et telnet depuis votre machine physique.

4. SMTP authentifié

1. Dans le fichier /etc/dovecot/conf.d/10-master.conf, décommentez les lignes

    unix_listener /var/spool/postfix/private/auth {
      mode = 0666
    }

   pour que Dovecot expose une socket pour l’authentification.

2. Dans le fichier /etc/dovecot/conf.d/10-auth.conf, décommentez la ligne

   auth_mechanisms = plain login

   pour activer l’authentification.

3. Dans le fichier /etc/postfix/main.cf, ajoutez à la fin du fichier les lignes

   smtpd_sasl_type = dovecot
   smtpd_sasl_path = private/auth
   smtpd_sasl_auth_enable = yes

   pour que Postfix utilise Dovecot pour gérer l’authentification.

4. N’oubliez pas de redémarrer les services qu’il faut redémarrer.

5. Depuis votre machine physique, connectez-vous avec telnet à votre serveur SMTP et réessayez d’envoyer un mail à votre voisin :

   • Après avoir saisi ehlo toto, vous remarquerez que le serveur annonce qu’il supporte maintenant 250-AUTH PLAIN LOGIN.
   • Pour lui dire qu’on souhaite s’authentifier, c’est la commande auth login (cette fois-ci, c’est vraiment login).
   • La réponse est bizarre : 334 VXNlcm5hbWU6. Il s’agit d’un encodage en base64 (essayez echo -n "VXNlcm5hbWU6" | base64 -d). L’information à fournir doit également être encodée en base64 (pourquoi le paramètre -n de echo est important ?).
   • Une fois authentifié, ce sont les mêmes commandes SMTP vues précédemment pour envoyer le mail.

4. Depuis un “vrai” MUA

MUA : Mail User Agent

Sur votre machine physique :

1. Installez thunderbird.
2. Lancez Thunderbird et configurez votre compte mail :
   • Passez en configuration manuelle
   • On va utiliser IMAP, qui écoute sur le port 143
   • La connexion n’est pas sécurisée et la méthode d’authentification est normale.
   • Est-ce que les valeurs des autres champs sont cohérentes ? Corrigez au besoin.
   • Cliquez sur le bouton “Re-test” : ça devrait être tout vert
   • Validez la configuration du compte : Thunderbird nous avertit qu’il y a des gros risques de sécurité, on sait, c’est juste pour un TP.
3. Une fois que le compte est configuré, vous retrouvez les mails que vous avez reçu.
4. Envoyez-vous un mail à votre propre adresse et un autre à votre voisin.

5. Bonus : interface web

Mettez en place une interface web pour gérer ses mails avec RainLoop ou Roundcube.