Installer et sécuriser un serveur mails complet (Mails, SMTP, Auth via SASL, IMAP, POP3, webmail, TLS et SSL) sous Debian

14. Génération ou achat des certificats SSL

Pour sécuriser les différents protocoles de messagerie, vous avez 2 possibilités :

• Installer une autorité de certification sur votre serveur pour ne pas payer de certificats SSL.
  Pour cela, suivez ceci : Debian / Ubuntu - Créer une autorité de certification racine (Root CA)
• Demander des certificats valides gratuitement auprès de l'autorité de certification "StartSSL" : Sécuriser gratuitement votre site web grâce à StartSSL.
• Acheter des certificats valides auprès d'une autorité très connue comme : Symantec SSL, GeoTrust, ...

Quelle que soit la solution utilisée, nous considèrerons que les certificats que vous utiliserez ne poseront pas de problèmes de validité. Si vous choisissez une des solutions proposées, vous n'aurez pas de problèmes.
Néanmoins, si vous choisissez d'utiliser votre propre autorité de certification, n'oubliez pas d'importer le certificat de votre autorité de certification dans les autorités de confiance des appareils clients (ordinateur, smartphone, tablette, ...) pour que vos certificats soient considérés comme valides.

Maintenant que vous savez comment obtenir des certificats SSL valides, nous pouvons passer à l'étape suivante.

15. Sécuriser le webmail via HTTPS

Modifiez le VirtualHost "/etc/apache2/sites-available/webmail" créé au point 7 du tutoriel pour activer le protocole https de ce VirtualHost.
Pour cela, suivez notre tutoriel "Debian / Ubuntu - Sécuriser son serveur web Apache (en HTTPS) grâce à SSL".
Au point 5 du tutoriel cité ci-dessus, nous vous recommandons d'ajouter la redirection : port 80 => port 443. Ainsi, les utilisateurs qui arrivent via le protocole "http" seront redirigés automatiquement sur la version utilisant le protocole "https".

16. Sécurisation du SMTP via TLS

Pour sécuriser le protocole SMTP grâce à TLS, il suffit de modifier le fichier "/etc/postfix/main.cf" en ajoutant et/ou en modifiant les lignes suivantes :

Plain Text

smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_auth_only = no
smtpd_use_tls = yes
smtpd_tls_cert_file=/etc/ssl/certs/subdomains-cert.pem
smtpd_tls_key_file=/etc/ssl/private/subdomains-key.pem
#smtpd_tls_CAfile = /usr/lib/ssl/misc/demoCA/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom

Note : Etant donné que notre serveur SMTP est accessible via l'adresse "smtp.informatiweb-tuto.net" dans notre cas, nous avons utilisé notre certificat SSL valable pour les sous-domaines (Nom commun : *.informatiweb-tuto.net).

Ensuite, redémarrez Postfix.

Bash

service postfix restart

Pour finir, modifiez les paramètres SMTP de votre client de messagerie pour utiliser le port 587 (port de soumission) avec le chiffrement TLS.

17. Sécurisation des protocoles IMAP et POP3 avec SSL

Pour sécuriser les protocoles IMAP et POP3 de courier, installez les 2 paquets suivants :

Bash

apt-get install courier-imap-ssl courier-pop-ssl

Lors de l'installation, un message s'affichera pour vous prévenir que les certificats SSL seront requis.

Plutôt que de modifier les certificats par défaut, nous allons modifier les fichiers de configuration de "courier-imap-ssl" et de "courier-pop-ssl" pour utiliser notre certificat SSL "subdomains-cert.pem".

Conformément à la documentation de l'autorité de certification "DigiCert", le certificat SSL que nous utiliserons devra ressembler à ceci :

Plain Text

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----
-----BEGIN PRIVATE KEY-----
...
-----END PRIVATE KEY-----

Pour cela, récupérez la partie "CERTIFICATE" du fichier "/etc/ssl/certs/subdomains-cert.pem" et la partie "PRIVATE KEY" du fichier "/etc/ssl/private/subdomains-key.pem" et collez le tout dans un fichier "subdomains-cert-pack.pem".
Dans notre cas, notre fichier se trouve à cet endroit : /etc/ssl/certs/subdomains-cert-pack.pem

Une fois créé, modifiez les fichiers "/etc/courier/imapd-ssl" et "/etc/courier/pop3d-ssl" comme ceci :

Plain Text

TLS_CERTFILE=/etc/ssl/certs/subdomains-cert-pack.pem

Et décommentez la ligne :

Plain Text

TLS_PROTOCOL="TLS1_1:TLS1:SSL3"

Par sécurité, ce fichier qui contient le certificat et la clé privée, ne doit être accessible que par root.
Pour cela, changer le propriétaire de ce fichier en "root" et donnez tous les droits au propriétaire uniquement.

Bash

chown root:root /etc/ssl/certs/subdomains-cert-pack.pem
chmod 700 /etc/ssl/certs/subdomains-cert-pack.pem

Pour finir, redémarrer les services "courier-imap-ssl" et "courier-pop-ssl" :

Bash

service courier-imap-ssl restart
service courier-pop-ssl restart

Maintenant, vous pouvez récupérer vos mails via IMAPS (IMAP sécurisé avec SSL).

ou POP3S (POP3 sécurisé avec SSL)

18. Rappel des paramètres de configuration

Voici les numéros de ports et options à utiliser :

• SMTP : port 25
• SMTP avec authentification : port 587 / Cochez la case "Mon serveur sortant (SMTP) requiert une authentification"
• SMTPS (SMTP sécurisé avec TLS) : port 587 / Connexion chiffrée avec TLS
• IMAP : port 143
• IMAPS : port 993
• POP3 : port 110 / De préférence, cochez la case "Laisser un exemplaire des messages sur le serveur".
• POP3S : port 995 / Cochez les cases "Ce serveur nécessite une connexion chiffrée (SSL)" et "Laisser un exemplaire ...".

Les identifiants sont identiques pour les 3 protocoles (POP3, IMAP et SMTP) avec et sans sécurité.
Evidemment, il est recommandé d'utiliser les protocoles SMTPS, POP3S et IMAPS si c'est possible. Si ce n'est pas possible, connectez-vous au webmail via le protocole https. Ainsi, votre connexion au serveur est sécurisée en SSL.

19. Facultatif : Utiliser IMAPS et SMTPS avec RoundCube

Cette partie est facultative si le webmail se trouve sur le même serveur que le serveur IMAP et le serveur SMTP. Néanmoins, elle est indispensable si le webmail est sur un autre serveur.

Pour utiliser le IMAPS et le SMTPS avec RoundCube, relancez l'installation de RoundCube en tapant l'adresse : http://webmail.votre-domaine.net/installer/

Dans la partie "IMAP Settings", indiquez les valeurs suivantes :

• default_host : ssl://imap.votre-domaine.net
• default_port : 993
• username_domain : votre-domaine.net

Ne pas utiliser "localhost" comme nom de domaine. Sinon, le certificat SSL ne sera pas valide. Dans notre cas, notre certificat SSL est valide pour : *.informatiweb-tuto.net

Dans la partie "SMTP Settings", indiquez les valeurs suivantes :

• smtp_server : tls://smtp.votre-domaine.net
• smtp_port : 587 (ou 465 mais la norme souhaite que l'on utilise toujours le 587)
• smtp_user/smtp_pass : Cochez la case "Use the current IMAP username and password for SMTP authentication".

Voici un aperçu des tests SSL et TLS de RoundCube :