INFO les barques

Installation Hylafax [DEBIAN]

Damien J., Georges Charpenay — 2010-02-12T13:01:17Z

PREAMBULE

Avant toute installation, il faut vérifier si le modem RNIS est bien reconnu par debian.

Par exemple, dans le cas d'un modem usb, la commande :
lsusb doit retourner une valeur comme par exemple
Bus 001 Device 002 : ID 07fa:0846 Draytek

Aussi, à la connection d'un modem usb, la commande
tail /var/log/messages

doit retourner des informations comme par exemple :

Jan 13 12:40:26 pc12-23 kernel: [ 726.204409] HFC-S USB: detected "Bewan Modem RNIS USB" Jan 13 12:40:26 pc12-23 kernel: [ 726.564284] HiSax: Card 1 Protocol EDSS1 Id=hfc_usb0 (0) Jan 13 12:40:26 pc12-23 kernel: [ 726.564351] HiSax: DSS1 Rev. 2.32.2.3 Jan 13 12:40:26 pc12-23 kernel: [ 726.564396] HiSax: 2 channels added Jan 13 12:40:26 pc12-23 kernel: [ 726.564405] HiSax: MAX_WAITING_CALLS added Jan 13 12:40:26 pc12-23 kernel: [ 726.565600] usbcore: registered new interface driver hfc_usb

La meilleure carte rnis que nous avons trouvée pour une distribution linux est une Dialogic DivaBri2-pci référence 306-342. De surcroit, le fournisseur vous produit tous les drivers qui vont bien et qui fonctionnent du premier coup !

INSTALLATION

C'est l'étape la plus facile car il y a seulement une commande à lancer, vive debian !

apt-get install hylafax-server

PARAMETRAGE DU MODEM

lancer la commande faxsetup

... qui nous retourne les questions suivantes :

HylaFAX configuration parameters are: [1] Init script starts faxq: yes [2] Init script starts hfaxd yes [3] Start old protocol: no [4] Start paging protocol: no Are these ok [yes]?

Répondre yes

You do not appear to have any modems configured for use. Modems are configured for use with HylaFAX with the faxaddmodem(8) command. Do you want to run faxaddmodem to configure a modem [yes]?

Il s'agit maintenant de configurer le modem. Répondre yes, bien sûr.

Serial port that modem is connected to [ttyS0]?

Dans le cadre de notre carte Dialogic, les 2 canaux B auront chacun un TTY et vous devrez pour un envoi/réception en simultané configurer 2 modems ! (... en fait les deux sorties de la carte).

Par exemple, notre 1er canal est "bindé" sur le ttyds01 et le second sur le ttyds02, il nous faut alors configurer à l'identique les deux interfaces modem.

Toujours pour notre carte dialogic, pour la première interface, saisir ttyds01, puis validez.

Country code [1]?

répondre 33 (et vive la France !)

Area code [415]?

Pour notre région , répondre 0 (pour information, nous sommes installés dans le département de la Loire - France (42), et nos numéros de téléphone commencent par 04 77..)

Phone number of fax modem [+1.999.555.1212]?

répondre 0477550115
soit le numéro de tel de votre ligne rtc ou numéris. (pour des raisons de confidentialité, le 04 77 55 01 15 est un numéro fictif, merci de ne pas essayer de le composer).

Local identification string (for TSI/CIG) ["NothingSetup"]?

Entrer le nom de votre entreprise, exemple "Société des Joyeux Lutins", puis validez (c'est le nom qui apparaitra sur les faxs distants).

Long distance dialing prefix [1]?

Taper 00

International dialing prefix [011]?

Taper 00

Dial string rules file (relative to /var/spool/hylafax) [etc/dialrules]? Tracing during normal server operation [1]? Tracing during send and receive sessions [11]? Protection mode for received facsimile [0600]? Protection mode for session logs [0600]? Protection mode for ttyS0 [0600]? Rings to wait before answering [1]? Modem speaker volume [off]? Command line arguments to getty program ["-h %l dx_%s"]? Pathname of TSI access control list file (relative to /var/spool/hylafax) [""]? Pathname of Caller-ID access control list file (relative to /var/spool/hylafax) [""]? Tag line font file (relative to /var/spool/hylafax) [etc/lutRS18.pcf]? Tag line format string ["From %%l|%c|Page %%P of %%T"]? Time before purging a stale UUCP lock file (secs) [30]? Hold UUCP lockfile during inbound data calls [Yes]? Hold UUCP lockfile during inbound voice calls [Yes]? Percent good lines to accept during copy quality checking [95]? Max consecutive bad lines to accept during copy quality checking [5]? Max number of pages to accept in a received facsimile [25]? Syslog facility name for ServerTracing messages [daemon]? Set UID to 0 to manipulate CLOCAL [""]? Use available priority job scheduling mechanism [""]?

Pour toutes les lignes ci-dessus, la réponse par défaut a été acceptée par la touche Entrée.

Si vous nous avez bien suivi, vous devriez terminer par ...

The non-default server configuration parameters are: CountryCode: 33 AreaCode: 0 FAXNumber: 0477550115 LongDistancePrefix: 00 InternationalPrefix: 00 DialStringRules: etc/dialrules.europe SessionTracing: 0xFFF RingsBeforeAnswer: 1 SpeakerVolume: quiet GettyArgs: "-h %l dx_%s" LocalIdentifier: "NothingSetup" TagLineFont: etc/lutRS18.pcf TagLineFormat: "De %%l|%c|Page %%P sur %%T" MaxRecvPages: 25 NotifyCmd: bin/notify.php Are these ok [yes]?

Valider par yes, puis entrée.

Now we are going to probe the tty port to figure out the type of modem that is attached. This takes a few seconds, so be patient. Note that if you do not have the modem cabled to the port, or the modem is turned off, this may hang (just go and cable up the modem or turn it on, or whatever). Probing for best speed to talk to modem: Unable to deduce DTE-DCE speed; check that you are using the correct device and/or that your modem is setup properly. If all else fails, try the -s option to lock the speed. Do you want to run faxaddmodem to configure another modem [yes]?

Entrer "yes" pour ajouter le 2ème canal tty (TTYDS02) et répéter exactement la même configuration que précédemment.

Done verifying system setup. Updating /etc/hylafax/setup.cache from /var/spool/hylafax/etc/setup.cache. Updating /etc/hylafax/setup.modem from /var/spool/hylafax/etc/setup.modem. /var/spool/hylafax

Vous remarquerez les fichiers créés que vous pourrez éventuellement modifier ultérieurement manuellement pour un paramètre erroné, sans systématiquement refaire toute la configuration en repassant par l'étape ci-dessus.

A partir de ce moment, vous disposez suffisamment de commandes en ligne pour envoyer des fax .

Pour les découvrir, il suffit de saisir fax, et valider par deux fois avec la touche tabulation, pour que le serveur vous affiche la liste des commandes disponibles :

#fax fax2ps faxalter faxcron faxmail faxquit faxstate fax2tiff faxanswer faxdeluser faxmodem faxrm faxwatch faxabort faxconfig faxgetty faxmsg faxsend faxaddmodem faxcover faxinfo faxq faxsetup faxadduser faxcover.old faxlock faxqclean faxstat

L'étape suivante est de donner les moyens à hylafax d'envoyer les faxs entrant par mail aux destinataires...

Installation de postfix

Pour pouvoir utiliser les notifications par e-mail de chaque fax il nous faut un serveur relais Postfix. Nous profitons de cet aptitude install pour installer certains paquets nécessaires pour utiliser avantfax.

aptitude install postfix metamail sharutils mime-support mailx

Une fois l'installation terminée, il suffit alors d'éditer le fichier /etc/postfix/main.cf pour, dans sa partie smtp_relayhost, renseigner le serveur SMTP.

smtp_relayhost = svrmail.macompagnie.com

Installation de paquets pour la gestion des FAX en PDF

Pour pouvoir recevoir par mail les fax en format PDF ou TIFF il faut installer les modules suivants :

aptitude install imagemagick php5-imagick php-fpdf smarty libtiff-tools libtiff4 libtiff4-dev libungif-bin libungif4-dev netpbm libnetpbm10 libnetpbm10-dev libpng3 libpng12-0 libpng12-dev libgd2-xpm libgd2-xpm-dev zlib-bin sudo mgetty

Installation d'AvantFax

AvantFax est une interface web, conviviale, travaillant de concert avec hylafax, elle permet de voir l'état des faxs entrants et sortants, d'envoyer des faxs, de gérer des groupes d'utilisateurs, etc ...

Si vous désirez l'installer, il faut dans un premier temps récupérer l'archive tar d'AvantFax sur le site officiel ou en exécuter les lignes de commandes suivantes :

cd /usr/local/src wget -c http://kent.dl.sourceforge.net/sourceforge/avantfax/avantfax-3.0.9.tgz tar -zxvf avantfax-avantfax-3.0.9.tgz cd avantfax-3.0.9

L'installation se fait simplement en éxecutant le script "debian-install.sh" par la commande :

sh debian-install.sh

Terminons l'installation par le remplacement des binaires :

cd /var/spool/hylafax/bin/ ln -s /var/www/includes/faxrcvd.php /var/spool/hylafax/bin/ ln -s /var/www/includes/notify.php /var/spool/hylafax/bin/ ln -s /var/www/includes/dynconf.php /var/spool/hylafax/bin mv /usr/bin/faxcover /usr/bin/faxcover.old ln -s /var/www/includes/faxcover.php /usr/bin/faxcover

L'étape suivant passe par la configuration de chaque interface tty (2 tty pour 2 canaux, 4 pour 4 canaux ....) en modifiant les lignes suivantes :

Pour /var/spool/hylafax/etc/config.ttyds01 :

## AvantFAX configuration # FaxrcvdCmd: bin/faxrcvd.php DynamicConfig: bin/dynconf.php UseJobTSI: true

Pour /var/spool/hylafax/etc/config.ttyds02 :

## AvantFAX configuration # FaxrcvdCmd: bin/faxrcvd.php DynamicConfig: bin/dynconf.php UseJobTSI: true

Et enfin pour /var/spool/hylafax/etc/config :

## AvantFAX configuration # NotifyCmd: bin/notify.php

A ce stade, AvantFax est configuré par rapport au matériel, il faut ensuite le faire communiquer avec le logiciel Hylafax.

Configuration d'AvantFax pour son utilisation avec HylaFAX

Modification du fichier /var/www/include/local_config

Pour permettre l'arrivée des fax au format PDF il faut passer la variable $NOTIFY_INCLUDE_PDF du fichier local_config à "true" :

$NOTIFY_INCLUDE_PDF = true;

Côté système, il faut prévoir une purge régulière des fichiers temporaires en ajoutant dans les tâches cron la ligne suivante :

crontab -e

On ouvre le cron, pour y insérer la tâche suivante :

# runs once a day to remove old files 0 0 * * * /var/www/includes/avantfaxcron.php -t 2

Dans le cas où vous avez plusieurs numéros sda derrière une T0, il convient de modifier le fichier /var/spool/etc/hylafax/FaxDispatch en lui indiquant les redirections de fax (pour exemple l'extrait suivant) :

case "$CIDNUMBER" in "0477555657") SENDTO=hotline@macompagnie.com; FILETYPE=pdf;; "0477555658") SENDTO=jean@amacompagnie.com,fax-pierre@macompagnie.com; FILETYPE=pdf;; "0477555659") SENDTO=pierre@macompagnie.com; FILETYPE=pdf;; "*") SENDTO=andre@macompagnie.com; FILETYPE=pdf;; ##4435*) SENDTO=lee; FILETYPE=pdf;; # all faxes from area code 435 ##5059627777) SENDTO=amy; FILETYPE=tif;; # Amy wants faxes in TIFF esac

Dans l'exemple précédent, nous voyons les redirections de fax entrant, sachant que tout fax entrant et n'appartenant pas aux numéros susvisés seront redirigés dans la boite aux lettre d'andré.

Une petite pause café s'impose....!

A ce niveau, nous pouvons envoyer et recevoir automatiquement des faxs, et bénéficions d'une interface web pour la gestion. Mais pourquoi ne pas profiter de cette opportunité d'un service automatisé d'envoi de faxs pour envoyer les faxs directement à partir des pc situés sur un réseau ?

Création d'un utilisateur de FAX pour AvantFAX et sa future imprimante virtuelle

Il faut, dans HylaFAX, créer un utilisateur Apache qui ait les droits de création, réception et lecture de FAX pour le bon fonctionnement d'AvantFAX.

Au chapitre suivant, nous utiliserons ce même utilisateur pour l'envoi de FAX à partir de poste client (pc du réseau).

faxadduser -a UN_MOT_DE_PASSE www-data faxdeluser localhost faxdeluser 127.0.0.1 echo 127.0.0.1 >> /var/spool/hylafax/etc/hosts.hfaxd

(UN_MOT_DE_PASSE est un mot de passe quelconque, pas celui de www-data)

Il faut maintenant ajouter au fichier /etc/sudoers l'utilisateur www-data pour lui autoriser l'accès au spool de fax :

visudo

Ajouter la ligne suivante :

www-data ALL = NOPASSWD: /sbin/reboot, /sbin/halt, /usr/sbin/faxdeluser, /usr/sbin/faxadduser -u * -p * *

Création d'un lien pour les binaires "magic" :

ln -s /usr/share/file/magic* /usr/share/misc/

Envoi de FAX par Imprimante Virtuelle

L'envoi de fax peut se faire soit par l'interface Web ou bien par la solution que nous avons retenue, une imprimante virtuelle sur chaque poste client du réseau.

Nous avons retenu le logiciel "Winprint HylaFAX".

Installation des Drivers Winprint HylaFAX

Il faut d'abord télécharger les drivers windows sur le site suivant.

Sur les postes clients (ou sur un serveur windows), il faut lancer l'installation et ajouter une imprimante par le menu démarrer -> panneau de configuration -> Imprimantes et télécopieurs -> Ajouter une nouvelle imprimante.

Dans l'assistant, il faut sélectionner "Installer une imprimante localement" et décocher "Plug & Play".

Dans la fenêtre suivante il suffit de séléctionner "Créer un nouveau port" et choisir "Winprint Hylafax".

Un Pop-up s'ouvre pour vous permettre de choisir le port HFAX, laissez le par défaut pour éviter tout conflit avec d'autres imprimantes.

Maintenant Windows vous demande de séléctionner le driver de l'imprimante, sélectionnez alors "Apple LaserWrite 12/640 PS".

Donnez ensuite un nom à votre imprimante.

Si vous voulez que l'imprimante soit disponible sur tout votre réseau pour que chaque client puisse en profiter alors partagez-là. (dans le cadre d'un serveur windows, la notion de partage est un petit peu différente)

L'imprimante est maintenant installée il nous reste juste à configurer le port HFAX, pour cela faites un clic droit sur l'imprimante puis propriété et allez dans l'onglet "Ports".

Dans cet onglet, le port HFAX1 doit apparaitre, cliquez sur "Configurer le port" pour obtenir cette fenêtre que vous compléterez en fonction de votre serveur de FAX.

L'utilisateur fax cité est bien entendu un de ceux déclarés sous debian avec la commande faxadduser citée plus haut.

Vous pouvez dès à présent essayer l'envoi d'un fax en imprimant un document sur cette nouvelle imprimante virtuelle.

Dans un document de bureautique, open office, par exemple, il faut choisir l'imprimante virtuelle au moment de la sélection de l'imprimante.

Une nouvelle fenêtre vous demande alors de saisir le numéro de fax du destinataire.

Si tout est bien configuré l'envoi devrait se faire et vous pouvez profiter de votre serveur de FAX tout beau tout neuf.

Lien utile : http://www.howtoforge.com/build-a-hylafax-server-with-avantfax-on-debian-etch

Restrictions d'accès SSH [DEBIAN]

Georges Charpenay — 2010-02-02T08:13:23Z

Interdire l'acces root via SSH

Pour désactiver l'accès root à distance, il faut éditer le fichier sshd_config, comme, par exemple avec la commande suivante :
nano /etc/ssh/sshd_config

Ensuite, il faut modifier le paramètre PermitRootLogin à no.

# Authentication: LoginGraceTime 120 PermitRootLogin no StrictModes yes

Ce réglage n'est destiné qu'à l'accès root distant, par ssh, l'accès root demeure accessible depuis la console.

Restreindre l'accès ssh qu'à certaines adresses ip

Dans le même ordre de notion de sécurité, il faut éditer le fichier /etc/hosts.allow pour éditer les adresses autorisées à utiliser la connection ssh

sshd:192.168.18.32 sshd:192.168.18.35

Dans ce cas, seules les adresses ci-dessus seront autorisées à utiliser le démon ssh.

Synchronisation DEBIAN / Active Directory [DEBIAN]

Georges Charpenay — 2009-05-20T15:25:01Z

Dans une entreprise, il est quelquefois intéressant de ne créer les utilisateurs de tous les systèmes informatiques, quels qu'ils soient, que sur un point d'entrée.

L'idée primaire est que quand on crée un utilisateur sur l'active directory, il soit "répercuté" automatiquement sur les serveurs Debian. A rejoindre l'active directory, nous aurons aussi d'autres avantages en matière de droits divers (partages de fichiers, etc ...).

La procédure décrite dans cet article concerne une configuration Debian qui va rejoindre un contrôleur de domaine windows serveur 2003.

INSTALLATION DES PAQUETS

Vous devez d'abord installer les paquets pour Kerberos, winbind, NTP, et Samba, avec la commande suivante :

sudo apt-get install libkrb53 krb5-config samba winbind ntpdate ntp-server

Vous arriverez automatiquement à l'écran suivant :

A ce niveau, ne précisez rien et validez par entrée. Nous modifierons cela plus tard.

ARRET DES SERVICES

Il faut ensuite arrêter les services suivants, pour les reconfigurer.

sudo /etc/init.d/winbind stop

sudo /etc/init.d/ntp stop

sudo /etc/init.d/samba stop

CONFIGURER KERBEROS

Pour information, cette partie de webmin va modifier le fichier /etc/krb5.conf que vous pourrez aller voir pour juger des résultats.
On suppose dans cet exemple que notre nom de domaine est :
masociete.com.
et que le nom de notre serveur s'appelle : svrwin

Vous remarquerez et ferez attention à respecter les majuscules et minuscules dans cet écran webmin.

CONFIGURER NTP

Il est important, vu qu'on va synchroniser des éléments du serveur Debian à un serveur windows 2003, à ce que les horloges de ces deux serveurs soient strictement identiques. Sinon, ça ne pourra pas fonctionner, configurons donc Debian pour qu'il synchronise son horloge avec le contrôleur de domaine windows.

sudo ntpdate adresse_ip_du_contrôleur_domaine_windows

Le système vous retourne les informations suivantes, comme quoi il est bien calé sur le contrôleur de domaine au niveau horloge.

20 May 14:14:43 ntpdate[9173]: step time server 192.1.168.15 offset -106.361269 sec

(192.168.1.15 étant, toujours pour l'exemple, l'adresse ip de notre contrôleur de domaine).

Pour rendre la connection ntp persistante, il faut ajouter un première ligne aufichier /etc/ntp.conf telle que dans le cadre suivant :

server 192.168.1.15

Quand ce réglage est fait, il faut redémarrer le service ntp avec

sudo /etc/init.d/ntp start

Le système nous retourne un message du genre :

remote refid st t when poll reach delay offset jitter ============================================================================== svr.masociete .LOCL. 1 u 14 64 1 0.125 17.346 0.001 a5.iliad.fr .INIT. 16 u - 64 0 0.000 0.000 0.000 ns2.oredin.net .INIT. 16 u - 64 0 0.000 0.000 0.000 ntp.tuxfamily.n .INIT. 16 u - 64 0 0.000 0.000 0.000 ddbm.europeacon .INIT. 16 u - 64 0 0.000 0.000 0.000

On doit retrouver en premier lieu, le premier serveur de DNS que Debian utilisera et qui doit correspondre à votre contrôleur de domaine.

CONFIGURATION WINBIND

Il s'agit d'un service qu'il faut configurer pour gérer les communications entre les systèmes windows et unix.

Pour celà, plutôt que d'utiliser webmin ou nous devrons certainement triturer plusieurs options pour arriver au résultat escompté, essayons à la main dans le fichier qui va bien, c'est à dire /etc/smb.conf.

nano /etc/samba/smb.conf
et nous allons simplement insérer les lignes suivantes devant la section Global (avant share definitions)

; this setting and smb.conf(5) for all details ; ; winbind enum groups = yes ; winbind enum users = yes # LIGNES A INSERER... realm = masociete.com workgroup = SOCIETE security = ads idmap uid = 10000-20000 idmap gid = 10000-20000 template shell = /bin/bash template homedir = /home/%D/%U winbind use default domain = yes # Fin des lignes à insérer .... #======================= Share Definitions ======================= [homes] comment = Home Directories browseable = no

Commentaires sur les lignes :

realm = ...

Il s'agit du nom de domaine windows 2003

workgroup = ...

Il s'agit du nom de domaine Netbios (en majuscules)

template shell = ...

Il s'agit du shell qu'on donne aux utilisateurs créés automatiquement depuis l'active directory. Pour ces personnes, soit on leur autorise à avoir une invite de commande (compte en mode console ou ssh), auquel cas, il faut indiquer un /bin/bash. Dans le cas contraire, il faut leur affecter /bin/false .

template homedir = ...

Il s'agit ici de savoir si on veut différencier, en observant le répertoire /home du serveur Debian, les utilisateurs créés à partir de l'active directory et ceux crées directement sur le système linux. Ceci est, à mon sens, utile, pour différencier des utilisateurs "système linux" comme pour le stockage d'arrivée d'un service de fax par exemple.

L'idée est alors qu'on puisse voir dans l'arborescence, la structure suivante :

/home/SOCIETE/georges
/home/SOCIETE/damien
/home/SOCIETE/pierre etc......
/home/fax
/home/autre_compte_linux

Dans ce cas :

template homedir = /home/%D/%U

Sinon et si on veut trouver tous les utilisateurs quels qu'ils soient, sous home :

template homedir = /home/%U

Vous l'avez compris : %D est le nom du domaine windows et %U est le nom du compte

Pour faciliter la suite des évènements, je vous recommande vivement de créer un répertoire sous /home/ avec le nom netbios de votre domaine windows (en majuscules) car à la création de l'arborescence de l'utilisateur, linux ne crée que le répertoire final. (celui avec le nom de l'utilisateur).

CONFIGURER NSSWITCH

Linux va d'abord chercher la résolution des comptes dans ses fichiers, et s'il ne trouve pas les comptes, il aura besoin de cet outil pour faire la résolution sur l'active directory.

Ici il faut aller gratter dans le fichier /etc/nsswitch.conf pour modifier les deux instructions suivantes :

passwd : files winbind
group : files winbind

Exemple de résultat :

passwd: files winbind group: files winbind shadow: compat hosts: files dns

Ensuite, il faut appliquer les changements avec la commande suivante :

sudo ldconfig

JOINDRE LE DOMAINE

Avec tout celà, pour êtes parés pour ajouter votre serveur au domaine.

Vérifiez tout de même, avant cette étape, à ce que votre nom de machine linux ne dépasse pas 15 caractères, sinon vous aurez le message d'erreur STATUS_BUFFER_OVERFLOW.

Cependant, avant de rejoindre le domaine, il est très important de vider le cache de winbind et le sauvegarder dans un répertoire de secours.

mkdir /var/lib/samba.bak/
mv /var/lib/samba/* /var/lib/samba.bak/

Nous pouvons maintenant, lancer la commande suivante :

sudo net ads join -U "Administrateur"

Administrateur étant bien évidemment le compte administrateur du domaine windows.

DEMARRER LES SERVICES

sudo /etc/init.d/samba start
sudo /etc/init.d/winbind start

VERIFIER LES RESOLUTIONS DE NOMS

Il y a deux commandes à invoquer pour résoudre les noms et les groupes des utilisateurs de l'active directory :

wbinfo -u

wb info -g

Le système va vous retourner alors les utilisateurs et les groups qu'il détecte sur l'active directory

CONFIGURER PAM

Enfin, il faut un module pour dire à Linux que l'authentification des utilisateurs sont sur un annuaire windows et dans quel ordre et quelles librairies il doit utiliser pour l'authentification, bref, quelques fichiers à modifier :

nano /etc/pam.d/common-account

avec les instructions suivantes :

account	sufficient	pam_winbind.so account	required	pam_unix.so

nano /etc/pam.d/common-auth

avec les instructions suivantes :

auth	sufficient	pam_winbind.so auth	required	pam_unix.so use_first_pass

nano /etc/pam.d/common-session

avec les instructions suivantes :

session	sufficient	pam_winbind.so session required	pam_unix.so

nano /etc/pam.d/common-session

avec les instructions suivantes :

session	required	pam_mkhomedir.so skel=/etc/skel/ umask=0022 session	sufficient	pam_winbind.so session required	pam_unix.so

Ensuite, vous pouvez enfin tester le tout en vous connectant en ssh ou sur la console avec le login/mot de passe d'un utilisateur windows, et le système doit l'accepter et lui créer, la première fois, un répertoire avec son nom d'utilisateur sous /home/MASOCIETE/nom_utilisateur.

Sauvegarde d'un serveur linux entier - Mondo rescue [DEBIAN]

Georges Charpenay — 2009-05-20T09:48:52Z

DESCRIPTION ET USAGE DE MONDO

Mondo Rescue est un logiciel, sous Debian, qui vous crée une image complète de votre système linux, en “.iso”.

Cette image pourra ensuite être gravée sur un CD ou un DVD amorçable pour permettre la réinstallation complète du système dans l'état de la sauvegarde.

Avec Mondo rescue, vous pouvez également faire vos images sur des média divers tels qu'un disque dur externe, un média vierge dans un graveur, un partage de dossier Windows ou un lecteur de Bandes.

C'est pour cette raison que nous allons utiliser ce genre d'outil.

Sur le principe, il suffit de faire redémarrer le serveur sur le cd ou le dvd de sauvegarde mondo pour avoir tout ce qu'il faut pour restaurer le serveur en entier strictement à l'identique de l'image.

Mondo supporte très bien le RAID ainsi que le LVM (gestionnaire de volumes logiques). Il permet, en cas de gros pépin sur le serveur, (panne d'un disque dur par exemple) de restaurer une image du système complète depuis un dossier partagé sur un pc Windows ou encore sur un CD/DVD .

Information : Pour les récalcitrants à l'utilisation de webmin (je pense qu'il ne sont pas très nombreux..), il est toujours possible de lancer mondorescue à partir de la console pour arriver sur l'écran suivant.

MONDO RESCUE Installation

Introduction

Pour cette démonstration, on va partir du principe qu'on va créer, sur un pc windows, un dossier partagé.

Ce volume partagé sera monté dans le serveur linux à sauvegarder sous un répertoire nommé /sauvegarde, à la racine de ce dernier.

Il accueillera les images .iso qu'on va effectuer avec l'aide de mondo rescue. Il est bien évident que nous pourrons ultérieurement restaurer ce serveur linux à partir de ce lien réseau windows (point de montage), ou à partir d'une image iso que nous aurons préalablement gravée sur un cd ou un dvd, depuis le dossier partagé.

Enfin, on peut imaginer que ce dossier partagé sur le réseau (point de montage linux), ne soit pas un dossier windows, mais un petit serveur NAS.

Préparation de l'installation

Nous allons d'abord monter un lecteur partagé à partir d'une machine Windows NT dans le dossier/sauvegarde/.

Créons un dossier sur ce pc windows NT (la procédure est identique avec 2000 ou XP), et partageons le (ne pas oublier d'autoriser tout le monde en lecture écriture, pour tester - cette autorisation pourra bien évidemment être restreinte plus tard, pour des raisons de sécurité,à un unique utilisateur - compte linux ou active directory).

Après montage, ce dossier /sauvegarde, pointera en fait sur un dossier partagé d'un PC windows. (pour l'exemple, un serveur windows nt nommé Svr-2)

Côté linux, allons y :

Pour pouvoir parcourir le dossier partagé windows, linux doit utiliser le système de lecture adéquat, pour cela il faut installer le système de fichier smbfs.

En console, lancer la commande :

apt-get install smbfs

Montons ensuite le dossier windows partagé, par webmin, sur l'arborescence linux :

Notons que le compte administrateur et son mot de passe concerne l'administrateur de la machine windows. Il faut un compte d'administration de la machine windows, linux proposant "administrator" par défaut.

L'étape suivante consiste en l'installation de l'outil de sauvegarde Mondo Rescue.

Pour cela, sur Debian, il existe le paquet qui va bien. Donc, sur la console...

aptitude install mondo

Notre outil de sauvegarde est ainsi opérationnel pour faire une image à l'identique du serveur et peut être lancé automatiquement à des périodicités déterminées (semaine, jour, ...)

MONDO RESCUE - Utilisation

Planification de la sauvegarde du système :

Pour planifier la sauvegarde, utilisons à nouveau Webmin, qui nous facilitera l'ajout d'une tâche planifiée.

Rendez-vous dans Système -> Tâches CRON

Cliquez ensuite sur le lien “Créer une nouvelle tâche cron programmée” qui nous amènera sur cette page à compléter par les infos qui correspondent à votre configuration :

Il faut donc exécuter, par exemple, la commande suivante en tant que root :

mondoarchive -Oi -d /sauvegarde/save-mondo/

Description de la commande :

– O pour une opération de sauvegarde
ce paramètre, complété de "i" demande à Mondo de sauvegarder sur des images au format ISO (cd/dvd), il se présentera donc sous la forme -Oi

– d /sauvegarde/save-mondo/ : Save-mondo est le répertoire choisi pour la destination de l'image iso de la sauvegarde

On peut accompagner cette commande de sauvegarde d'autres paramètres parfois très utiles :

– E /sauvegarde/ : Répertoire(s) exclu de la sauvegarde de l'image (ici j'exclue /sauvegarde/ pour éviter que la sauvegarde du moment ne comprennent la ou les sauvegardes iso précédentes car elles sont situées dans un volume de destination (pc windows) qui correspond à un volume monté au moment de la sauvegarde.

– s 4200m : Taille maximum d'un fichier iso pour l'image (pour pouvoir le rentrer sur des DVD simple-couche.Mondo coupera automatiquement le fichier sauvegarde pour nous créer un 2e fichier iso, puis un troisième si nécessaire.

N pour exclure tous les lecteurs montés (seulement le disque dur de la machine à sauvegarder avec mondo.)

Pour donner un exemple que j'utilise, la commande

mondoarchive -Oi -d /sauv-mondo/mensuelle/ -N -E "\"/home/ /var/ /mnt/ /media/\"" -s 4200m -p srvlamp

me permet de sauvegarder mon serveur, sur un lecteur monté (/sauv-mondo/mensuelle), avec des images de format dvd, portant le nom de préfixe srvlamp, en ne prenant pas les lecteurs montés, ainsi que les répertoires /var et /home et /media de mon serveur. Le volume monté est un volume partagé sur un serveur NAS distant situé dans un autre bâtiment.

Si vous lancez cette commande en ligne plutôt que depuis webmin, vous verrez probablement le message illustré ci-dessous et disant qu'il n'a pas pu graver le dvd, il faut alors répondre "no", pour ne pas graver, et "no" à nouveau pour continuer la sauvegarde. Cela aura alors pour effet de créer un premier fichier ISO sur votre destination.

Attention, si le répertoire de destination est un lecteur monté (par exemple un dossier partagé d'un nas), il convient, pour accéder aux images depuis windows, d'exécuter par ex un chmod 777 sur les fichiers *.iso du dossier de destination. Sinon, on ne voit pas les fichiers iso... pour les graver depuis windows.

---evalcall---1--- Running mkisofs to make ISO #1 ---evalcall---2--- TASK: [**********..........] 47% done; 6:29 to go ---evalcall---E--- Call to mkisofs to make ISO (ISO #1) ...failed ---promptdialogYN---1--- Failed to burn ISO #1. Retry? ---promptdialogYN---Q--- [yes] [no] --- --> no ---promptdialogYN---1--- Abort the backup? ---promptdialogYN---Q--- [yes] [no] --- --> no

A la fin, vous devriez arriver sur quelque chose comme celà :

---promptdialogYN---1--- Failed to burn ISO #2. Retry? ---promptdialogYN---Q--- [yes] [no] --- --> no ---promptdialogYN---1--- Abort the backup? ---promptdialogYN---Q--- [yes] [no] --- --> no Done. Done. Writing boot+data floppy images to disk No Imgs ---promptpopup---1--- Boot+data floppy creation failed. However, FYI, you may burn /root/images/mindi/mondorescue.iso to a CD and boot from that instead if you wish. ---promptpopup---Q--- [OK] ---

Il vous est possible, bien sûr, avec le cron de webmin, de planifier les sauvegardes à dates régulière. Pour l'exemple, nous avons lancé une sauvegarde unique.

Par contre, je recommande de d'abord tester la commande de sauvegarde en ligne de commande, puis de vérifier les images iso générées dans votre volume de sauvegarde, avant de le mettre en tâche cron. Vous serez ainsi rassurés sur la validité de la commande, et aurez au moins un jeu pour une restauration éventuelle.

MONDO RESCUE - Restauration

Pour restaurer une image antérieure sauvegardée par mondo, il vous suffit de graver le fichier .iso de votre répertoire de sauvegarde, puis l'insérer dans votre serveur à restaurer. Le démarrage sur le CD est automatique et vous arriverez sur une console où il vous suffira de lancer le menu de restauration que vous choisirez.

LAMP : 10ème Etape : Sauvegardes et mises à jour auto [DEBIAN]

Georges Charpenay — 2009-05-20T07:16:03Z

WEBMIN : MISE A JOUR AUTOMATIQUES

Dans un système professionnel, il est indispensable que des mises à jour automatiques du système d'exploitation soient planifiées.

Pour celà, il faut installer un paquet :

apt-get install cron-apt

Puis l'activer dans webmin.
Se connecter à webmin (voir articles précédents).

cron auto

Dans la page tâches cron du menu system, nous apercevons les nouveaux paquets téléchargés.

Il suffit d'activer les deux nouveaux paquets et valider la manip.

C'est tout pour les mises à jour automatiques.. Vive Debian !

WEBMIN : GESTION DES SERVICES AUTOMATIQUE

Dans la dernière version de webmin, il existe un excellent utilitaire qui permet de s'informer automatiquement de certains évènements systèmes qu'on aura choisi, et de programmer, à l'avance, la réaction du système à ces évènements.

Donnons un exemple, et il suffira de le reproduire et l'adapter aux autres services...

Connectons nous à notre cher webmin une nouvelle fois.

?tat du syst ?me

Nous remarquons que tous les services que nous avons installés jusqu'à présent sont suivi d'une "coche" verte.

Il convient d'abord de faire le ménage. Aussi, nous avons coché plusieurs services que nous n'utilisons pas (dhcp, bind dns, postgres, etc...) et nous validons pour les supprimer. - Bouton delete Selected.

En cas de nécessité ultérieure, il y a de toute façons une procédure pour les faire réapparaître...

Les services surveillés sont cochés vert et pour les paramétrer, il faut sélectionner le service.

Par contre, du fait que pas mal de services ne fonctionnent plus si la connexion réseau est coupée, nous avons ajouté le module "Etat de l'interface réseau local" dans le menu approprié en haut de l'écran.

Exercice pour les services apache :

Sélectionnez apache,
Bouton programmation
- Sélectionner "oui et un message électronique quand il est arrêté"
Nombre d'échecs avant un rapport
- laisser 1
Notification Method
- Cocher Email
Also send email for this service to
- (ne rien saisir, laisser vide)
Don't check if monitor is down
- Choisir Etat de l'Interface Réseau Local

Ainsi, l'alerte et la réaction que nous allons programmer ne s'effectuera que si l'interface réseau est active. (il n'est pas nécessaire d'avoir des alertes par mail ou redémarrer les services car la connexion internet et réseau sera arrêtée et le serveur ne pourra forcément pas communiquer).

Pour programmer la réaction en face d'un évènement, compléter la section commands to run :

Si le moniteur s'arrête, exécuter la commande de redémarrage du service
- /etc/init.d/apache2 restart

Exécuter les commandes sur
- Cocher "Ce Serveur".

En effet, webmin est génial car on peut administrer ce genre d'actions sur un serveur distant.

Sélectionner le bouton "Sauvegarder".

Attention, tout n'est pas fini, il faut activer la surveillance programmée.

Bouton "surveillance programmée", paramétrer la page selon vos souhaits, notamment le champ "champ from : du message électronique, par une adresse email valide et valider.

Surveillance programmes

Pour les autres services, nous avons programmé des alertes et redémarrages de même type pour les services suivants, avec les commandes suivantes, pour redémarrer automatiquement les services.

– Mysql : /etc/init.d/mysql restart
– Postfix : /etc/init.d/postfix restart
– Samba : /etc/init.d/samba restart
– Apache2 : /etc/init.d/apache2 restart
– Interface réseau : /etc/init.d/networking restart && ifconfig eth0 up
– Raid : (Commande à rechercher)
– Charge moyenne (surveillance seulement)
– Espace disque (surveillance seulement)
– Proftpd : /etc/init.d/proftpd restart
– ssh : /etc/init.d/ssh restart
– webmin : /etc/init.d/webmin restart
– taille de la file d'attente (surveillance seulement).

WEBMIN : SAUVEGARDES AUTOMATIQUES

Il faut savoir qu'au delà de webmin, on peut lancer manuellement une double commande enchainant la mise à jour des listes de paquets, puis la mise à jour des paquets, à savoir :

apt-get update (pour la mise à jour de la liste)

apt-get upgrade (pour la mise à jour des paquets)

Politique de sauvegarde :

En matière de sauvegarde, nous avons des serveurs windows sur lesquels des sauvegardes régulières sont faites sur bande magnétique.

L'idée est que les sauvegardes des serveurs debian aillent se copier sur un espace disque des serveurs windows. Cet espace disque sera également compris dans les sauvegardes sur bandes. Ainsi, en cas de crash, nous disposerons de la dernière version de la sauvegarde directement sur le réseau, et si nécessaire, nous disposerons d'un historique des sauvegardes au travers des bandes magnétiques.

Par contre, d'un point de vue restauration, nous souhaitons pouvoir restaurer :

– soit l'archive complète (par webmin) en utilisant le fichier de sauvegarde

– soit quelques fichiers précis (par winscp, ou ftp, ou manuellement).

Par contre, nous n'utiliserons pas webmin pour la restauration car il demande de se souvenir de l'arborescence exacte du serveur pour une restauration partielle, des outils comme winscp pallient largement cette insuffisance.

Ceci implique d'imposer tous les soirs, une double sauvegarde, une première créant le fichier de sauvegarde.tgz sur le lecteur de destination, et une décompression de la sauvegarde, sur ce même lecteur (pour utilisation autre que webmin).

Le système que nous allons décrire peut également servir sur des disques réseaux éthernet (disques dur IP - facilement trouvables dans le commerce). Donc, une sauvegarde pas chère. Le principe sera le même s'il s'agit d'un lecteur de bande sur le serveur, c'est ce que nous allons voir...

SAUVEGARDE : 1ère Etape

Pour le cas d'une sauvegarde sur lecteur réseau, il faut commencer par aller partager un dossier sur le serveur de destination. (windows, pour la circonstance).

Il faut installer un paquet pour un montage réseau samba :

apt-get install smbfs

SAUVEGARDE : 2ème Etape

Deux façons simples de lancer les sauvegardes :
– par ligne de commande
– par webmin

**** Partie ligne de commande ****

Créer le répertoire de montage local du lecteur réseau de sauvegarde :
mkdir /home/sauve/sys

Monter le lecteur distant :

mount -t smbfs //Ip_Serveur_Destination/Nom_de_partage /home/sauve/sys/ -o username=Votre_Nom_De_Session_Windows

S'il s'agit d'un lecteur protégé,il faut ajouter dans la ligne de commande "-o username=Votre_Nom_De_Session_Windows" et saisir le mot de passe de la session.

Il faut ensuite aller dans webmin, menu système, montage disques et réseaux.

Webmin affiche tous les montages, et nous devons apercevoir notre partage windows (/home/sauve/sys)

Cliquer sur le montage et cocher, sur la page "éditer un montage", Enregistrer et monter au démarrage, dans l'option enregistrer le montage, puis sauvegarder. (vérifier que le nom d'utilisateur et le mot de passe soit OK, dans les options spécifiques aux systèmes de fichiers SMB.

Pour voir les points de montage actuels en ligne de commande :
nano /etc/fstab

**** Partie webmin ****

Menu webmin, systeme, filesystem backup.

Cliquer d'abord sur le bouton "..." pour sélectionner un répertoire à sauvegarder, cocher ensuite la case "in tar format", puis cliquer sur le bouton "Add au new backup of directory.

Dans la page ci-dessus, bien ajouter le slash (/), après les noms de répertoires à sauvegarder, zone directories to backup (car il s'agit bien de répertoires et nom de fichiers).

Dans cette zone, on peut ajouter d'autres répertoires. Il suffit de faire un retour de chariot, et ajouter les répertoires de sauvegarde.
Par exemple, nous avons prévu la sauvegarde de :
/home/
/etc/
/var/

Ceci pour sauvegarder les fichiers utilisateurs, les fichiers de config, et les sites internet. (Pour la partie sauvegarde mysql, nous utiliserons le modules serveur/mysqldatabase serveur.)

Dans la zone backup to :

/home/sauve/sys/nom_de_sauvegarde.tar.gz

Backup label :

Nom_de_la_sauvegarde

Files and directories to skip :

/home/sauve/sys/*

(en fait, on précise simplement le répertoire sys (le montage réseau), mais la sauvegarde prendra bien les fichiers et autres sous-répertoires de /home/sauve, dont notre cher egroupware.)

Compress archive :

Yes, with gzip

Limit backup to one filesystem :

Cocher OUI.

Attempt test restore after backup to verify

Cocher OUI.

Command to run before backup :

ls -l /home/sauve/sys/

avec case cochée "halt if command fails".

(cette commande permet de ne pas lancer la sauvegarde si le lien réseau est indisponible).

Astuce : On peut lancer en ligne plusieurs commandes, par exemple, pour ce cas, plutôt que ls -l /home/sauve/sys, on peut lancer cd /home/sauve/sys && ls.

Command to run after backup :

cd /home/sauve/sys/ && tar -xvzf Nom_de_la_sauvegarde.tar.gz

Enfin, il reste la partie backup schedule à programmer selon votre choix.

Scheduled backup enabled :

Cocher OUI

Email schedules output to :

email_administrateur

Email message subject :

Nom_de_la_Sauvegarde

Vous avez le choix entre la planification simple, (cocher et choisir les options).

Sauvegarde : réglages pour le Mail ?

Il est fort possible que le mail ne puisse fonctionner car ce serveur n'a pas de service smtp configuré. Il faut donc configurer Debian pour envoyer les mails, et utiliser entre-autres le "mini-serveur de mail exim" qui fait partie de la base du système. (Ceci dans le cas où ce serveur Lamp, ne soit pas bien sûr lui même serveur de mail).

Pour celà, en mode console et compte administrateur :

sudo dpkg-reconfigure exim4-config

Dans les écrans qui suivent, il faut répondre de partout avec la réponse par défaut sauf pour les deux écrans suivants :

Choisir comme type de configuration Envoi via relais (« smarthost ») - réception SMTP ou fetchmail

Puis pour l'écran :

Entrer l'adresse de votre serveur SMTP externe

Cela suffira pour activer l'envoi de mail avec PHP sans configurer un serveur de mail complet.

WEBMIN : RESTAURATION

Webmin, menu system, file backup system.
On arrive sur la page suivante,

Restore from file device :

bien sélectionner sur l'explorateur la sauvegarde sur le lecteur réseau samba.

File to restore

choisir tout préciser les fichiers comme sur l'écran ci-dessous

Restore to directory :

restore

Astuce : Si malencontreusement, vous précisez de mauvais paramètres à webmin pour restaurer, vous amenant à la page d'erreur, il peut arriver que vous ne trouviez plus le contenu du volume à restaurer, c'est à dire la sauvegarde elle-même. Pour corriger cet effet, aller vérifier dans system, montage disque et réseaux, puis sélectionner le montage de la sauvegarde, pour sélectionner monter maintenant, dans la page éditer un montage.

Pour les amoureux(ses) de la ligne de commande, la commande

cd '/home/sauve' && tar -x -f '/home/sauve/sys/sauvegardelinux.tar.gz' -p -z /home/sauve/egroupware/ ..

devrait avoir les mêmes effets

Si la restauration complète n'intéresse pas nos lecteurs, il reste la possibilité d'utiliser winscp pour procéder à la restauration. Pas besoin de tuto pour son utilisation.

Utilisation et configuration SUDO [DEBIAN]

Georges Charpenay — 2009-05-14T12:56:37Z

A l'installation de Debian, il est possible de ne pas autoriser les connexions root. Ainsi, la sécurité est accrue et les manipulations de niveau root sont possibles avec un accès console ou ssh utilisateur lamba, et en précédant la ou les commandes du préfixe sudo .

Exemple de commande pour l'utilisateur avec le login "georges" (car root n'est pas autorisé à accéder à la console.)

sudo apt-get update

Par contre, il est naturel que tous les utilisateurs n'aient pas accès aux commandes de root (par l'intermédiaire de la commande "sudo").

Le fichier suivant contient les utilisateurs pouvant utiliser la commande sudo : /etc/sudoers

Examinons ce que contient au minimum ce fichier

# /etc/sudoers # # This file MUST be edited with the 'visudo' command as root. # # See the man page for details on how to write a sudoers file. # Defaults env_reset # Host alias specification # User alias specification # Cmnd alias specification # User privilege specification root ALL=(ALL) ALL georges ALL=(ALL) ALL

Explication de la syntaxe :

utilisateur SERVEUR=(UTILISATEURS) COMMANDES
georges ALL=(ALL) ALL

... georges a tous les droits :
– sur le serveur,
– sur les utilisateurs, (ex ajouter, modifier ...)
– sur les commandes, (ex toutes les commandes linux)

!ATTENTION ! Il faut toujours laisser au moins un utilisateur en plus de root, dans ce fichier, sinon c'est la catastrophe et vous ne pourrez plus faire grand chose sur le serveur. (plus de droits root).

Journal de l'utilisation de sudo

Il est possible de voir les commandes exécutés par tous les utilisateurs de sudo, pour cela, et pour chaque utilisateur autorisé à utiliser la commande sudo, le système journalise les traces dans /var/run/sudo/nom_utilisateur/

Le dossier contient les traces de l'utilisateur avec sudo.

Adresse ip statique & route par défaut [DEBIAN]

Georges Charpenay — 2008-12-18T21:03:55Z

Changer l'adresse ip par défaut

Pour que le serveur prenne une adresse ip statique par défaut, il faut éditer et compléter le fichier /etc/network/interfaces qui contient tous les paramètres usuels (y compris l'IP de la passerelle)

Par exemple :

iface eth0 inet static address 192.168.1.12 netmask 255.255.255.0 network 192.168.1.0 gateway 192.168.1.1

Changer la route par défaut

Routage des paquets IP

La commande route affiche la table de routage qui contient l'information sur la façon d'envoyer les paquets IP vers leur destination

route Table de routage IP du noyau Destination Gateway Genmask Flags Metric Ref Use Iface localnet * 255.255.255.0 U 0 0 0 lo default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

1ère ligne : le trafic destiné aux machines du réseau local sera routé par eth0.
2ème ligne : le trafic destiné à l'Internet routé par la passerelle 192.168.1.1

Pour supprimer la route par défaut actuelle

route del default

Pour fixer une (nouvelle) passerelle :

route add default gateway 192.168.1.1

accès de nouveau à internet

Rendre une route persistante

Pour rendre une route persistante

Il faut modifier à nouveau le fichier /etc/network/interfaces

nano /etc/network/interfaces

Et entrer une route de ce genre :

# Nouvelle route statique up route add -net 192.168.1.0/24 gw 192.168.15.1 dev eth0

Grossièrement parlant, tout ce qui vient du réseau 192.168.1.0 doit repartir par la passerelle 192.168.15.1, sur la carte réseau eth0...

(on crée une route pour l'accès internet du réseau local)

Pour que le routage entre les interfaces eth0 et eth1 deviennent effectif, il faut modifier le fichier /etc/sysctl.conf en y ajoutant le paramètre :

net/ipv4/ip_forward=1

MAIL : 6ème Etape - Installation AMAVISD

Georges Charpenay — 2008-07-25T09:11:50Z

Alors, là attention ! Préparez la cafetière !...

Article quasi-littéralement tiré du très célèbre et excellent site starbridge, aussi sous licence creative commons.

Pour cette partie et pour éviter de se "prendre la tête" (très long), il faut faire le maximum de commandes décrites ci-dessous, pour réfléchir
après.

Aussi, l'article est tellement long qu'il vaut mieux le parcourir, page après page, et ne pas se servir de l'index...

AMAVISD - Installation

AMAVISD, que vous pouvez consulter, pour les amoureux de la langue de Shakespeare, est un moteur antispam.

Nous allons installer Amavisd :

aptitude install libdb4.4-dev file libcompress-bzip2-perl nomarch arc p7zip-full arj zoo lzop tnef pax cabextract libarchive-tar-perl libarchive-zip-perl libberkeleydb-perl libcompress-zlib-perl libconvert-tnef-perl libconvert-uulib-perl libdigest-md5-perl libio-stringy-perl libmailtools-perl libmime-base64-perl libmime-perl libnet-perl perl-modules libnet-server-perl libtime-hires-perl libunix-syslog-perl libmail-dkim-perl

Puis on télécharge les sources chez amavisd :

cd
wget http://www.ijs.si/software/amavisd/amavisd-new-2.6.1.tar.gz
tar xvzf amavisd-new-2.6.1.tar.gz
cd amavisd-new-2.6.1

Nous créons l'utilisateur et le groupe amavis :

groupadd -g 1009 amavis
useradd -g amavis -u 1009 amavis -d /var/amavis -m

Si le système répond "groupadd : l'identifiant de groupe (GID) 1009 n'est pas unique", il faut aller voir dans /etc/passwd un numéro de groupe qui n'est pas utilisé, pour l'insérer dans la commande.

Créer les sous-répertoires dans le home d'amavis :

mkdir /var/amavis/tmp /var/amavis/var /var/amavis/db /var/amavis/home
chown -R amavis : /var/amavis

On crée 2 lecteur tmpfs pour héberger les répertoires db et tmp d'amavis. Cela accroît notablement les performances de traitement :

Modifier /etc/fstab :

nano /etc/fstab

et ajouter, à la fin du fichier :

tmpfs /var/amavis/db tmpfs rw,size=10m,mode=700,uid=amavis,gid=amavis 0 0 tmpfs /var/amavis/tmp tmpfs rw,size=150m,mode=700,uid=amavis,gid=amavis 0 0

Note : La taille de ces lecteurs tmpfs est à modifier selon la charge du serveur, la configuration et bien sur la quantité de RAM disponible.

Pour simplifier /var/amavis/tmp est dépendant du nombre d'instances d'amavisd et de la taille maximale d'un message. Les paramètres mis ici sont ok pour 5 instances et un message_size_limit de 10 Mo, ce qui est largement suffisant dans la config par défaut d'amavisd (2 instances)

Puis :

mount /var/amavis/tmp
mount /var/amavis/db

on vérifie par un mount -l

Copier l'exécutable :

cp amavisd /usr/sbin/
chown root /usr/sbin/amavisd
chmod 755 /usr/sbin/amavisd

Copier le fichier de conf :

cd /etc/
touch /etc/amavisd.conf
chown root:amavis /etc/amavisd.conf
chmod 640 /etc/amavisd.conf

Créer la quarantaine :

mkdir /var/virusmails
chown amavis:amavis /var/virusmails
chmod 750 /var/virusmails

Le fichier de configuration /etc/amavisd.conf fourni ici est modifié pour coller à nos besoins :

nano /etc/amavisd.conf

Évidemment, il faut éditer tout de même ce fichier pour préciser :

Insérer le contenu du fichier détaillé ci-dessous, et adapter les variables suivantes :

Notre réseau local dans @mynetworks,
Notre domaine avec $mydomain = 'Mondomaine.com'
et notre hostname avec $myhostname = 'MonServeur.Mondomaine.com'

use strict; # a minimalistic configuration file for amavisd-new with all necessary settings # # see amavisd.conf-default for a list of all variables with their defaults; # see amavisd.conf-sample for a traditional-style commented file; # for more details see documentation in INSTALL, README_FILES/* # and at http://www.ijs.si/software/amavisd/amavisd-new-docs.html # COMMONLY ADJUSTED SETTINGS: @bypass_virus_checks_maps = (1); # controls running of anti-virus code @bypass_spam_checks_maps = (1); # controls running of anti-spam code # $bypass_decode_parts = 1; # controls running of decoders&dearchivers $max_servers = 2; # num of pre-forked children (2..30 is common), -m $daemon_user = 'amavis'; # (no default; customary: vscan or amavis), -u $daemon_group = 'amavis'; # (no default; customary: vscan or amavis), -g $mydomain = 'mondomaine.com'; # a convenient default for other settings $myhostname = 'monserveur.mondomaine.com'; $MYHOME = '/var/amavis'; # a convenient default for other settings, -H $TEMPBASE = "$MYHOME/tmp"; # working directory, needs to exist, -T $ENV{TMPDIR} = $TEMPBASE; # environment variable TMPDIR, used by SA, etc. $QUARANTINEDIR = '/var/virusmails'; # -Q # $quarantine_subdir_levels = 1; # add level of subdirs to disperse quarantine # $release_format = 'resend'; # 'attach', 'plain', 'resend' # $report_format = 'arf'; # 'attach', 'plain', 'resend', 'arf' # $daemon_chroot_dir = $MYHOME; # chroot directory or undef, -R # $db_home = "$MYHOME/db"; # dir for bdb nanny/cache/snmp databases, -D # $helpers_home = "$MYHOME/var"; # working directory for SpamAssassin, -S # $lock_file = "$MYHOME/var/amavisd.lock"; # -L # $pid_file = "$MYHOME/var/amavisd.pid"; # -P #NOTE: create directories $MYHOME/tmp, $MYHOME/var, $MYHOME/db manually $log_level = 2; # verbosity 0..5, -d $log_recip_templ = undef; # disable by-recipient level-0 log entries $DO_SYSLOG = 1; # log via syslogd (preferred) $syslog_facility = 'mail'; # Syslog facility as a string # e.g.: mail, daemon, user, local0, ... local7 $syslog_priority = 'debug'; # Syslog base (minimal) priority as a string, # choose from: emerg, alert, crit, err, warning, notice, info, debug $enable_db = 1; # enable use of BerkeleyDB/libdb (SNMP and nanny) $enable_global_cache = 1; # enable use of libdb-based cache if $enable_db=1 $nanny_details_level = 2; # nanny verbosity: 1: traditional, 2: detailed # $enable_dkim_verification = 1; # enable DKIM signatures verification # $enable_dkim_signing = 1; # load DKIM signing code, needs keys in dkim_key() @local_domains_maps = ( [".$mydomain"] ); # list of all local domains @mynetworks = qw( 127.0.0.0/8 [::1] [FE80::]/10 [FEC0::]/10 172.20.1.0/24 ); $unix_socketname = "$MYHOME/amavisd.sock"; # amavisd-release or amavis-milter # option(s) -p overrides $inet_socket_port and $unix_socketname #$inet_socket_port = 10024; # listen on this local TCP port(s) #$inet_socket_port = [10024,10026]; # listen on multiple TCP ports $inet_socket_port = [10024, 10026, 9998]; #Mailzu: modifier la 2eme ip en specifiant celle de votre serveur #$interface_policy{'9998'} = 'MAILZU'; #$policy_bank{'MAILZU'} = { # protocol => 'AM.PDP', # inet_acl => [qw( 127.0.0.1 [::1] 10.0.0.254 )], #}; $policy_bank{'MYNETS'} = { # mail originating from @mynetworks originating => 1, # is true in MYNETS by default, but let's make it explicit # bypass_spam_checks_maps => [1], # don't spam-check internal mail # bypass_banned_checks_maps => [1], # don't banned-check internal mail # bypass_header_checks_maps => [1], # don't header-check internal mail os_fingerprint_method => undef, # don't query p0f for internal clients }; # it is up to MTA to re-route mail from authenticated roaming users or # from internal hosts to a dedicated TCP port (such as 10026) for filtering $interface_policy{'10026'} = 'ORIGINATING'; $policy_bank{'ORIGINATING'} = { # mail supposedly originating from our users originating => 1, # declare that mail was submitted by our smtp client allow_disclaimers => 1, # enables disclaimer insertion if available # notify administrator of locally originating malware virus_admin_maps => ["admin\@$mydomain"], spam_admin_maps => ["admin\@$mydomain"], warnbadhsender => 1, # forward to a smtpd service providing DKIM signing service #forward_method => 'smtp:[127.0.0.1]:10027', # force MTA conversion to 7-bit (e.g. before DKIM signing) smtpd_discard_ehlo_keywords => ['8BITMIME'], bypass_banned_checks_maps => [1], # allow sending any file names and types terminate_dsn_on_notify_success => 0, # don't remove NOTIFY=SUCCESS option }; $interface_policy{'SOCK'} = 'AM.PDP-SOCK'; # only applies with $unix_socketname # Use with amavis-release over a socket or with Petr Rehor's amavis-milter.c # (with amavis-milter.c from this package or old amavis.c client use 'AM.CL'): $policy_bank{'AM.PDP-SOCK'} = { protocol => 'AM.PDP', auth_required_release => 0, # do not require secret_id for amavisd-release }; $sa_tag_level_deflt = -9999.9; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.3; # add 'spam detected' headers at that level $sa_kill_level_deflt = 9999.99; # triggers spam evasive actions (e.g. blocks mail) $sa_dsn_cutoff_level = 10; # spam level beyond which a DSN is not sent # $sa_crediblefrom_dsn_cutoff_level = 18; # likewise, but for a likely valid From # $sa_quarantine_cutoff_level = 25; # spam level beyond which quarantine is off $penpals_bonus_score = 8; # (no effect without a @storage_sql_dsn database) $penpals_threshold_high = $sa_kill_level_deflt; # don't waste time on hi spam $penpals_threshold_low = 1; #$bounce_killer_score = 100; # spam score points to add for joe-jobbed bounces $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_local_tests_only = 0; # only tests which do not require internet access? # @lookup_sql_dsn = # ( ['DBI:mysql:database=mail;host=127.0.0.1;port=3306', 'user1', 'passwd1'], # ['DBI:mysql:database=mail;host=host2', 'username2', 'password2'], # ["DBI:SQLite:dbname=$MYHOME/sql/mail_prefs.sqlite", '', ''] ); # @storage_sql_dsn = @lookup_sql_dsn; # none, same, or separate database $timestamp_fmt_mysql = 1; # if using MySQL *and* msgs.time_iso is TIMESTAMP; # defaults to 0, which is good for non-MySQL or if msgs.time_iso is CHAR(16) # $sql_allow_8bit_address = 1; # maddr.email: VARCHAR (0), VARBINARY/BYTEA (1) $virus_admin = "admin\@$mydomain"; # notifications recip. $banned_admin = "admin\@$mydomain"; $spam_admin = "admin\@$mydomain"; $mailfrom_notify_admin = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_recip = "virusalert\@$mydomain"; # notifications sender $mailfrom_notify_spamadmin = "spam.police\@$mydomain"; # notifications sender $mailfrom_to_quarantine = ''; # null return path; uses original sender if undef @addr_extension_virus_maps = ('virus'); @addr_extension_banned_maps = ('banned'); @addr_extension_spam_maps = ('spam'); @addr_extension_bad_header_maps = ('badh'); $recipient_delimiter = '+'; # undef disables address extensions altogether # when enabling addr extensions do also Postfix/main.cf: recipient_delimiter=+ $path = '/usr/local/sbin:/usr/local/bin:/usr/sbin:/sbin:/usr/bin:/bin'; # $dspam = 'dspam'; #pour MAILZU #$banned_files_quarantine_method = 'sql:'; #$spam_quarantine_method = 'sql:'; $MAXLEVELS = 14; $MAXFILES = 1500; $MIN_EXPANSION_QUOTA = 100*1024; # bytes (default undef, not enforced) $MAX_EXPANSION_QUOTA = 300*1024*1024; # bytes (default undef, not enforced) $sa_spam_subject_tag = '***SPAM(_SCORE_)*** '; $sa_spam_report_header = 1; $defang_virus = 1; # MIME-wrap passed infected mail $defang_banned = 1; # MIME-wrap passed mail containing banned name $defang_undecipherable = 1; # for defanging bad headers only turn on certain minor contents categories: $defang_by_ccat{+CC_BADH.",3"} = 1; # NUL or CR character in header $defang_by_ccat{+CC_BADH.",5"} = 1; # header line longer than 998 characters $defang_by_ccat{+CC_BADH.",6"} = 1; # header field syntax error # OTHER MORE COMMON SETTINGS (defaults may suffice): # $myhostname = 'host.example.com'; # must be a fully-qualified domain name! # $notify_method = 'smtp:[127.0.0.1]:10025'; # $forward_method = 'smtp:[127.0.0.1]:10025'; # set to undef with milter! # $final_virus_destiny = D_DISCARD; # $final_banned_destiny = D_BOUNCE; # $final_spam_destiny = D_BOUNCE; # $final_bad_header_destiny = D_PASS; # $bad_header_quarantine_method = undef; $final_spam_destiny = D_PASS; $warnvirusrecip = 1; $warnbannedrecip = 1; # $os_fingerprint_method = 'p0f:*:2345'; # to query p0f-analyzer.pl ## hierarchy by which a final setting is chosen: ## policy bank (based on port or IP address) -> *_by_ccat ## *_by_ccat (based on mail contents) -> *_maps ## *_maps (based on recipient address) -> final configuration value # SOME OTHER VARIABLES WORTH CONSIDERING (see amavisd.conf-default for all) # $warnbadhsender, # $warnvirusrecip, $warnbannedrecip, $warnbadhrecip, (or @warn*recip_maps) # @bypass_virus_checks_maps, @bypass_spam_checks_maps, @bypass_banned_checks_maps, @bypass_header_checks_maps, # # @virus_lovers_maps, @spam_lovers_maps, # @banned_files_lovers_maps, @bad_header_lovers_maps, # # @blacklist_sender_maps, @score_sender_maps, # # $clean_quarantine_method, $virus_quarantine_to, $banned_quarantine_to, # $bad_header_quarantine_to, $spam_quarantine_to, # # $defang_bad_header, $defang_undecipherable, $defang_spam # REMAINING IMPORTANT VARIABLES ARE LISTED HERE BECAUSE OF LONGER ASSIGNMENTS @keep_decoded_original_maps = (new_RE( # qr'^MAIL$', # retain full original message for virus checking (can be slow) qr'^MAIL-UNDECIPHERABLE$', # recheck full mail if it contains undecipherables qr'^(ASCII(?! cpio)|text|uuencoded|xxencoded|binhex)'i, # qr'^Zip archive data', # don't trust Archive::Zip )); # for $banned_namepath_re (a new-style of banned table) see amavisd.conf-sample $banned_filename_re = new_RE( ### BLOCKED ANYWHERE # qr'^UNDECIPHERABLE$', # is or contains any undecipherable components qr'^\.(exe-ms|dll)$', # banned file(1) types, rudimentary qr'^\.(exe|lha|cab|dll)$', # banned file(1) types ### BLOCK THE FOLLOWING, EXCEPT WITHIN UNIX ARCHIVES: # [ qr'^\.(gz|bz2)$' => 0 ], # allow any in gzip or bzip2 [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(pif|scr)$'i, # banned extensions - rudimentary # qr'^\.zip$', # block zip type ### BLOCK THE FOLLOWING, EXCEPT WITHIN ARCHIVES: # [ qr'^\.(zip|rar|arc|arj|zoo)$'=> 0 ], # allow any within these archives qr'^application/x-msdownload$'i, # block these MIME types qr'^application/x-msdos-program$'i, qr'^application/hta$'i, qr'^video/mpeg$'i, qr'^video/avi$'i, qr'^video/quicktime$'i, qr'^video/vnd.vivo$'i, qr'^video/x-msvideo$'i, qr'^video/msvideo$'i, qr'^video/x-ms-asf$'i, qr'^video/x-sgi-movie$'i, qr'^video/x-tango$'i, qr'^video/x-vif$'i, qr'^video/x-mpeg$'i, qr'^video/x-mpeq2a$'i, qr'^video/x-dv$'i, qr'^video/x-motion-jpeg$'i, qr'^audio/x-wav$'i, qr'^audio/wav$'i, qr'^audio/mpeg$'i, qr'^audio/x-mpeg$'i, qr'^audio/vnd.rn-realaudio$'i, qr'^audio/x-pn-realaudio-plugin$'i, qr'^audio/x-realaudio$'i, qr'^audio/x-pn-realaudio$'i, qr'^audio/mpeg3$'i, qr'^audio/x-mpeg-3$'i, qr'^audio/x-aiff$'i, qr'^audio/x-au$'i, qr'^audio/midi$'i, qr'^audio/mid$'i, qr'^audio/x-mid$'i, qr'^audio/x-midi$'i, qr'^music/crescendo$'i, qr'^application/ringing-tones$'i, qr'^application/vnd.nokia.ringing-tone$'i, qr'^application/smil$'i, qr'^x-music/x-midi$'i, #qr'^application/octet-stream$'i, qr'^application/x-javascript$'i, qr'^application/x-shockwave-flash$'i, qr'^text/javascript$'i, qr'^application/x-vbs$'i, qr'^text/vbs$'i, qr'^text/vbscript$'i, # qr'^message/partial$'i, # rfc2046 MIME type # qr'^message/external-body$'i, # rfc2046 MIME type # qr'^(application/x-msmetafile|image/x-wmf)$'i, # Windows Metafile MIME type # qr'^\.wmf$', # Windows Metafile file(1) type # block certain double extensions in filenames qr'\.[^./]*[A-Za-z][^./]*\.\s*(exe|vbs|pif|scr|bat|cmd|com|cpl|dll)[.\s]*$'i, # qr'\{[0-9a-f]{8}(-[0-9a-f]{4}){3}-[0-9a-f]{12}\}?'i, # Class ID CLSID, strict # qr'\{[0-9a-z]{4,}(-[0-9a-z]{4,}){0,7}\}?'i, # Class ID extension CLSID, loose # qr'.\.(exe|vbs|pif|scr|cpl)$'i, # banned extension - basic qr'.\.(exe|vbs|pif|scr|cpl|bat|cmd|com)$'i, # banned extension - basic+cmd qr'.\.(ade|adp|app|bas|bat|chm|cmd|com|cpl|crt|emf|exe|fxp|grp|hlp|hta| inf|ins|isp|js|jse|lnk|mda|mdb|mde|mdw|mdt|mdz|msc|msi|msp|mst| ops|pcd|pif|prg|reg|scr|sct|shb|shs|vb|vbe|vbs| wmf|wsc|wsf|wsh)$'ix, # banned ext - long qr'.\.(ani|cur|ico)$'i, # banned cursors and icons filename qr'^\.ani$', # banned animated cursor file(1) type qr'.\.(mim|b64|bhx|hqx|xxe|uu|uue)$'i, # banned extension - WinZip vulnerab. ); # See http://support.microsoft.com/default.aspx?scid=kb;EN-US;q262631 # and http://www.cknow.com/vtutor/vtextensions.htm %banned_rules = ( 'NO-MS-EXEC'=> new_RE( qr'^\.(exe-ms)$' ), 'PASSALL' => new_RE( [qr'^' => 0] ), 'ALLOW_EXE' => # pass executables except if name ends in .vbs .pif .scr .bat new_RE( qr'.\.(vbs|pif|scr|bat)$'i, [qr'^\.exe$' => 0] ), 'ALLOW_VBS' => # allow names ending in .vbs new_RE( [qr'.\.vbs$' => 0] ), 'NO-VIDEO' => new_RE( qr'^\.movie$', qr'.\.(asf|asx|mpg|mpe|mpeg|avi|mp3|wav|wma|wmf|wmv|mov|vob)$'i, ), 'NO-MOVIES' => new_RE( qr'^\.movie$', qr'.\.(mpg|avi|mov)$'i, ), 'MYNETS-DEFAULT' => new_RE( [ qr'^\.(rpm|cpio|tar)$' => 0 ], # allow any in Unix-type archives qr'.\.(vbs|pif|scr)$'i, # banned extension - rudimentary qr'.\.(exe|vbs|pif|scr|bat|cmd|com|cpl)$'i, # banned extension - basic qr'^\.(exe-ms)$', # banned file(1) types ), 'DEFAULT' => $banned_filename_re, ); # ENVELOPE SENDER SOFT-WHITELISTING / SOFT-BLACKLISTING @score_sender_maps = ({ # a by-recipient hash lookup table, # results from all matching recipient tables are summed # ## per-recipient personal tables (NOTE: positive: black, negative: white) # 'user1@example.com' => [{'bla-mobile.press@example.com' => 10.0}], # 'user3@example.com' => [{'.ebay.com' => -3.0}], # 'user4@example.com' => [{'cleargreen@cleargreen.com' => -7.0, # '.cleargreen.com' => -5.0}], ## site-wide opinions about senders (the '.' matches any recipient) '.' => [ # the _first_ matching sender determines the score boost new_RE( # regexp-type lookup table, just happens to be all soft-blacklist [qr'^(bulkmail|offers|cheapbenefits|earnmoney|foryou)@'i => 5.0], [qr'^(greatcasino|investments|lose_weight_today|market\.alert)@'i=> 5.0], [qr'^(money2you|MyGreenCard|new\.tld\.registry|opt-out|opt-in)@'i=> 5.0], [qr'^(optin|saveonlsmoking2002k|specialoffer|specialoffers)@'i => 5.0], [qr'^(stockalert|stopsnoring|wantsome|workathome|yesitsfree)@'i => 5.0], [qr'^(your_friend|greatoffers)@'i => 5.0], [qr'^(inkjetplanet|marketopt|MakeMoney)\d*@'i => 5.0], ), # read_hash("/var/amavis/sender_scores_sitewide"), { # a hash-type lookup table (associative array) 'nobody@cert.org' => -3.0, 'cert-advisory@us-cert.gov' => -3.0, 'owner-alert@iss.net' => -3.0, 'slashdot@slashdot.org' => -3.0, 'securityfocus.com' => -3.0, 'ntbugtraq@listserv.ntbugtraq.com' => -3.0, 'security-alerts@linuxsecurity.com' => -3.0, 'mailman-announce-admin@python.org' => -3.0, 'amavis-user-admin@lists.sourceforge.net'=> -3.0, 'amavis-user-bounces@lists.sourceforge.net' => -3.0, 'spamassassin.apache.org' => -3.0, 'notification-return@lists.sophos.com' => -3.0, 'owner-postfix-users@postfix.org' => -3.0, 'owner-postfix-announce@postfix.org' => -3.0, 'owner-sendmail-announce@lists.sendmail.org' => -3.0, 'sendmail-announce-request@lists.sendmail.org' => -3.0, 'donotreply@sendmail.org' => -3.0, 'ca+envelope@sendmail.org' => -3.0, 'noreply@freshmeat.net' => -3.0, 'owner-technews@postel.acm.org' => -3.0, 'ietf-123-owner@loki.ietf.org' => -3.0, 'cvs-commits-list-admin@gnome.org' => -3.0, 'rt-users-admin@lists.fsck.com' => -3.0, 'clp-request@comp.nus.edu.sg' => -3.0, 'surveys-errors@lists.nua.ie' => -3.0, 'emailnews@genomeweb.com' => -5.0, 'yahoo-dev-null@yahoo-inc.com' => -3.0, 'returns.groups.yahoo.com' => -3.0, 'clusternews@linuxnetworx.com' => -3.0, lc('lvs-users-admin@LinuxVirtualServer.org') => -3.0, lc('owner-textbreakingnews@CNNIMAIL12.CNN.COM') => -5.0, '.pap.fr' => -5.0, '.orange-ft.com' => -5.0, '.ebay.fr' => -50.0, '.ebay.com' => -50.0, '.lists.sourceforge.net' => -15.0, '.socgen.com' => -15.0, '.edfgdf.fr' => -15.0, '.hardware.fr' => -15.0, '.avast.com' => -15.0, '.agf.fr' => -15.0, 'webmaster@celignes.com' => -15.0, '.mail-abuse.org' => -15.0, 'service@youtube.com' => -15.0, '.bouyguestelecom.fr' => -15.0, 'reply@voyages-sncf.com' => -50.0, '.spplus.net' => -15.0, 'suivicde-cdiscount@bp06.net' => -15.0, 'superfourmi@bp06.net' => -15.0, 'amv@amv-voyages.fr' => -15.0, 'amv@routage.fr' => -15.0, '.mercer.com' => -15.0, '.mmd.lu' => -15.0, 'contact@interflora.fr' => -15.0, '.email.paypal.fr' => -15.0, 'serviceclient@ugc.fr' => -15.0, '.skiffy.com' => -4.0, 'clientele@photoways.com' => -15.0, '.email.airfrance.fr' => -15,0, 'support@ovh.com' => -4.0, '.chronopost.fr' => -15,0, 'debug@photoways.com' => -15,0, # soft-blacklisting (positive score) 'sender@example.net' => 3.0, '.example.net' => 1.0, '.achat-force.com' => 300.0, '.gros-lots.fr' => 300.0, '.publimail.fr' => 300.0, 'cool-help@imdb.com' => 300.0, 'cool@mlists.imdb.com' => 300.0, 'owner-portal-daily-html@daily.gamespy.com' => 300.0, 'owner-portal-weekly-html@weekly.gamespy.com' => 300.0, 'Fr-Direct@yahoo-inc.com' => 300.0, 'sender@pubstv.fagms.net' => 300.0, 'offres@corp.ifrance.com' => 300.0, 'newsletter@lesechos.fr ' => 300.0, 'webmaster@buffy.nu' => 300.0, 'lettres@lycos.fr' => 300.0, '.specialreserve.co.uk' => 300.0, '.realtimepublishers.com' => 300.0, '.copernicserver.com' => 300.0, '.juptoday.com' => 300.0, 'actu@b.emploicenter.com' => 300.0, '.mailingstats.com' => 300.0, '.ibase.fr' => 300.0, 'bons-plans@voyages-sncf.com' => 300.0, '.passado.ecircle-ag.com' => 300.0, '.radar.axi.fr' => 300.0, '.guyanavibes.com' => 300.0, '.techspot.com' => 300.0, 'news@oo-software.com' => 300.0, 'ebay@tiscali.fr' => 300.0, '.nwruk.com' => 300.0, '.mobiquid.com' => 300.0, '.programme-elisa.com' => 300.0, '.emv4.com' => 300.0, '.corpnews.netiq.com' => 300.0, '.directgestion.fr' => 300.0, '.newsletter-anyway.com' => 300.0, }, ], # end of site-wide tables }); @decoders = ( ['mail', \&do_mime_decode], ['asc', \&do_ascii], ['uue', \&do_ascii], ['hqx', \&do_ascii], ['ync', \&do_ascii], ['F', \&do_uncompress, ['unfreeze','freeze -d','melt','fcat'] ], ['Z', \&do_uncompress, ['uncompress','gzip -d','zcat'] ], ['gz', \&do_uncompress, 'gzip -d'], ['gz', \&do_gunzip], ['bz2', \&do_uncompress, 'bzip2 -d'], ['lzo', \&do_uncompress, 'lzop -d'], ['rpm', \&do_uncompress, ['rpm2cpio.pl','rpm2cpio'] ], ['cpio', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['tar', \&do_pax_cpio, ['pax','gcpio','cpio'] ], ['deb', \&do_ar, 'ar'], # ['a', \&do_ar, 'ar'], # unpacking .a seems an overkill ['zip', \&do_unzip], ['7z', \&do_7zip, ['7zr','7za','7z'] ], ['rar', \&do_unrar, ['rar','unrar'] ], ['arj', \&do_unarj, ['arj','unarj'] ], ['arc', \&do_arc, ['nomarch','arc'] ], ['zoo', \&do_zoo, ['zoo','unzoo'] ], ['lha', \&do_lha, 'lha'], # ['doc', \&do_ole, 'ripole'], ['cab', \&do_cabextract, 'cabextract'], ['tnef', \&do_tnef_ext, 'tnef'], ['tnef', \&do_tnef], # ['sit', \&do_unstuff, 'unstuff'], # broken/unsafe decoder ['exe', \&do_executable, ['rar','unrar'], 'lha', ['arj','unarj'] ], ); @av_scanners = ( # ### http://www.clamav.net/ ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); @av_scanners_backup = ( ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); 1; # insure a defined return

On désactive temporairement l'antispam et l'antivirus pour tester :

Nous avons décommenté pour cela les lignes (au début du fichier de conf) :

@bypass_virus_checks_maps = (1); @bypass_spam_checks_maps = (1);

Démarrer amavisd en console pour voir si il manque des prérequis :

/usr/sbin/amavisd debug

La commande de lancement amavisd est amavisd debug, 'debug' n'est pas un lancement particulier d'amavisd. Amavisd doit TOUJOURS être lancé en mode debug.

Noter les erreurs éventuelles. Si amavisd ne démarre pas, arrêtez vous et résolvez les problèmes.

Si c'est ok, arrêter amavisd debug par CTRL + C.

Il faut ensuite configurer Postfix :

On ajoute à la fin du master.cf :

nano /etc/postfix/master.cf

smtp-amavis unix - - y - 2 smtp -o smtp_data_done_timeout=1200 -o smtp_send_xforward_command=yes -o disable_dns_lookups=yes -o max_use=20 127.0.0.1:10025 inet n - y - - smtpd -o content_filter= -o local_recipient_maps= -o relay_recipient_maps= -o smtpd_restriction_classes= -o smtpd_client_restrictions= -o smtpd_helo_restrictions= -o smtpd_sender_restrictions= -o smtpd_recipient_restrictions=permit_mynetworks,reject -o smtpd_data_restrictions=reject_unauth_pipelining -o smtpd_end_of_data_restrictions= -o mynetworks=127.0.0.0/8 -o strict_rfc821_envelopes=yes -o smtpd_error_sleep_time=0 -o smtpd_soft_error_limit=1001 -o smtpd_hard_error_limit=1000 -o smtpd_client_connection_count_limit=0 -o smtpd_client_connection_rate_limit=0 -o receive_override_options=no_address_mappings,no_header_body_checks,no_unknown_recipient_checks

et on modifie toujours dans le master.cf la section sur le port 587 comme ceci :

587 inet n - - - - smtpd -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_etrn_restrictions=reject -o content_filter=smtp-amavis:[127.0.0.1]:10026 -o smtpd_client_restrictions=permit_sasl_authenticated,reject

(on ajoute en fait la ligne sur le content_filter) Cette dernière modification permettra d'utiliser une configuration distincte dans

Relancer postfix :

postfix reload

Surveiller les logs :

tail -f /var/log/mail.log

Si tout est ok, lancer à nouveau amavisd debug

/usr/sbin/amavisd debug

et taper en console :

telnet 127.0.0.1 10024

Il doit répondre :

Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready

quit pour sortir

Pareil pour tester le retour de Postfix :

telnet 127.0.0.1 10025

Il doit répondre un truc du style :

Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
220 MonServeur.MonDomaine.com ESMTP Postfix (Debian/GNU)

QUIT pour sortir (en majuscules)

Ensuite, si les connections sont ok :

Tester le fonctionnement de base (ce qu'il faut taper est précédé de ---> , le reste c'est le retour du serveur) :

---> telnet localhost 10024 220 [127.0.0.1] ESMTP amavisd-new service ready ---> HELO localhost 250 [127.0.0.1] ---> MAIL FROM: <> 250 2.1.0 Sender <> OK ---> RCPT TO: <admin@MonDomaine.com> 250 2.1.5 Recipient <admin@MonDomaine.com> OK ---> DATA 354 End data with <CR><LF>.<CR><LF> ---> From: virus-tester ---> To: undisclosed-recipients:; ---> Subject: amavisd test - simple - no spam test pattern ---> This is a simple test message from the amavisd-new test-messages. ---> . 250 2.6.0 Ok, id=30897-02, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 079474CE44 ---> QUIT 221 2.0.0 [127.0.0.1] amavisd-new closing transmission channel

L'aller-retour postfix/amavisd fonctionne bien !

(on peut arrêter le debug d'amavisd par un CTRL + C)

CLAMAV - Installation

Clamav est l'antivirus serveur complémentaire de notre solution.

Prérequis :

aptitude install zlib1g zlib1g-dev libgmpxx4ldbl libgmp3-dev

Note : Sous Etch, si aptitude signale qu'aucun paquet ne correspond à « libgmpxx4ldbl ». C'est normal, il s'agit d'un paquet Lenny. Ne pas en tenir compte

On compile depuis les sources :

cd ~ wget http://mesh.dl.sourceforge.net/sourceforge/clamav/clamav-0.93.3.tar.gz tar xvzf clamav-0.93.3.tar.gz cd clamav-0.93.3 ./configure --prefix=/usr --sysconfdir=/etc --with-user=amavis --with-group=amavis --with-dbdir=/var/lib/clamav make make install ldconfig mkdir /var/run/clamav chown -R amavis: /var/run/clamav chmod -R 750 /var/run/clamav mkdir /var/lib/clamav chown -R amavis: /var/lib/clamav chmod -R 770 /var/lib/clamav

On met a jour les fichiers de configuration :

cd /etc

mv clamd.conf clamd.conf.orig

mv freshclam.conf freshclam.conf.orig

wget http://www.starbridge.org/spip/doc/Procmail/clamd.conf

wget http://www.starbridge.org/spip/doc/Procmail/freshclam.conf

On modifie la crontab de l'utilisateur amavis pour planifier la mise à jour de la base antivirale :

crontab -e -u amavis

et on ajoute :

0 0,6,12,18 * * * /usr/bin/freshclam --log-verbose

Créer :

mkdir /var/log/clamav

chown -R amavis:amavis /var/log/clamav

Créer un fichier /etc/init.d/clamd

cd /etc/init.d/

wget http://www.starbridge.org/spip/doc/Procmail/clamd

chmod 755 /etc/init.d/clamd

update-rc.d clamd defaults

On fait la mise à jour de la base virale :

freshclam

On vérifie que les fichiers soient bien présents dans le répertoire :

ls -la /var/lib/clamav

On lance clamd :

/etc/init.d/clamd start

Et on vérifie les logs :

tail -f /var/log/clamav/clamd.log

Et on vérifie bien que Clam tourne :

ps aux | grep clam

On teste le fonctionnement (le dossier "test" est dans le répertoire clamav-0.93.3) :

cd /root/clamav-0.93.3/test/

clamdscan -l scan.txt clam-x.yz

clamav-x.yz est un des fichiers de test présents dans le répertoire test

Installation des signatures additionnelles pour Clam (détection du spam, phising...)

Il s'agit de fichiers supplémentaires que l'on place dans le dossier /var/lib/clamav

aptitude install curl rsync mkdir /var/tmp/clamdb chown amavis: /var/tmp/clamdb chmod 770 /var/tmp/clamdb cd /usr/sbin wget http://www.starbridge.org/spip/doc/Procmail/usr/sbin/UpdateSaneSecurity.sh chmod 755 UpdateSaneSecurity.sh

On lance le script :

su -c '/usr/sbin/UpdateSaneSecurity.sh' amavis

Attention le script peut mettre 5 minutes pour se lancer

On vérifie que les fichiers sont bien présents dans le répertoire de Clam :

ls -l /var/lib/clamav

On doit trouver les fichiers suivants en plus des fichiers classiques :

MSRBL-Images.hdb MSRBL-SPAM.ndb phish.ndb phish.ndb.gz scam.ndb scam.ndb.gz

On crée une tache cron pour mettre à jour ces fichiers :

crontab -e -u amavis

5 */4 * * * /usr/sbin/UpdateSaneSecurity.sh

Installation de ClamdMon pour la surveillance du demon clam :

installer le script de surveillance clamdmon :

cd ~ wget http://www.starbridge.org/spip/doc/Procmail/clamdmon-1.0.tar.gz tar xvzf clamdmon-1.0.tar.gz cd clamdmon-1.0 make make install

Editer la crontab de root

crontab -e

puis on colle :

*/5 * * * * /usr/sbin/clamdmon.sh

SPAMASSASSIN - Installation

On installe les dépendances

aptitude install libhtml-parser-perl libnet-dns-resolver-programmable-perl liberror-perl libmail-spf-perl libmail-sendmail-perl libnetaddr-ip-perl libdbi-perl libdbd-mysql-perl liblocale-subcountry-perl libwww-perl libimage-base-bundle-perl libimage-base-perl libimage-info-perl libnet-cidr-lite-perl

On installe SpamAssassin depuis aptitude de Debian :

aptitude install spamassassin

SA est installé. Sa config de base se fait dans le fichier /etc/mail/spamassassin/local.cf mais pour la plupart des paramètres, c'est le fichier amavisd.conf qui sera prioritaire.

Lorsqu'on utilise Amavisd pour appeler SA il est inutile de lancer spamd.

On remplace le /etc/mail/spamassassin/local.cf par celui ci :

mkdir /etc/mail/

mkdir /etc/mail/spamassassin/

cd /etc/mail/spamassassin/

mv local.cf local.cf-orig

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/local.cf

nano /etc/mail/spamassassin/local.cf

On édite le fichier pour adapter les parametres internal_networks et trusted_networks.

internal_networks et trusted_networks sont des paramètres très importants pour la pertinence de la détection. Il faut absolument les configurer correctement. (ils doivent contenir les même réseaux et être identiques.)

On sécurise :

chown amavis : /etc/mail/spamassassin/local.cf

chmod 640 /etc/mail/spamassassin/local.cf

SA fonctionne sur 2 types de tests :

* Heuristiques (ensemble de règles)
* Bayesiens (apprentissage et statistiques)

Pour le filtre bayesien, on va installer directement la base dans une base Mysql. Les performances sont supérieures et on s'affranchit de diverses limitations :

On crée la base :

mysql -u root -p

create database spam ;

GRANT SELECT, INSERT, UPDATE, DELETE ON spam.* TO 'spam'@'localhost' IDENTIFIED BY 'Mot_De_Passe' ;

FLUSH PRIVILEGES ;

quit

On modifie le password dans le local.cf à l'identique (ici votre password serait toto) :

sed -i 's/******/toto/g' /etc/mail/spamassassin/local.cf

(ne pas oublier de remplacer toto par votre mot de passe avant de valider la ligne)

on importe la base sql :

wget http://starbridge.org/spip/doc/Procmail/spamassassin/bayes_awl.sql

wget http://spamassassin.apache.org/gtube/gtube.txt

mysql -u root -p spam < bayes_awl.sql

On initialise la base :

su amavis -c 'sa-learn -D —spam gtube.txt'

On peut vérifier avec phpmyadmin que la base s'est bien remplie.

Il faut donc créer une tache cron quotidienne pour effectuer l'expiration :

Un crontab de l'user amavis fera l'affaire :

crontab -e -u amavis

et on ajoute :

16 3 * * * /usr/bin/sa-learn --sync --force-expire

On a activé l'Auto-Whitelist dans SA. Contrairement a Bayes, l'AWL n'a pas de mécanisme d'expiration qui évite à la base de grossir indéfiniment.

Pour cela on crée un script qui nettoira les tables régulierement :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/SA-awl-purgesql

puis on crée une tache cron

crontab -e -u amavis

et on ajoute :

25 4 * * * /usr/bin/mysql -u spam -p'******' spam < /etc/SA-awl-purgesql

Mise à jour des Rules de SA et ajout des Rules SARE :

On va mettre tout de suite à jour les règles de SA et en installer de nouvelles depuis le site de SARE :

On lance l'update des règles de SA :

sa-update -D

Cela aura pour effet de télécharger les règles à jour. Elles seront installés dans un dossier différent des règles d'origine : /var/lib/spamassassin/3.002005. (ce qui correspond à la version 3.2.5 de SA)

SA considèrera désormais ce dossier comme celui par défaut.

On vérifie que tout soit OK :

su -c "spamassassin -D —lint" amavis

Il ne doit pas il y a voir de message d'erreur à la fin de l'exécution.

On prépare l'installation des rules SARE :

cd /etc/mail/spamassassin/

wget http://daryl.dostech.ca/sa-update/sare/GPG.KEY

sa-update —import GPG.KEY

on installe le fichier contenant la liste des Rules :

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sare-sa-update-channels.txt

On pourra modifier ce fichier pour ne sélectionner que les RULES que l'on désire.

On met à jour :

sa-update —channelfile /etc/mail/spamassassin/sare-sa-update-channels.txt —gpgkey 856AA88A

Les fichiers seront placés dans /var/lib/spamassassin :

ls -la /var/lib/spamassassin/3.002005/

On vérifie à nouveau que tout soit OK :

su -c "spamassassin -D —lint" amavis

Pour une mise à jour régulière (1 fois par jour maximum) on pourra créer une tache cron en n'oubliant pas de relancer amavisd à la fin du script.

Pour cela, on crée un fichier sa-update.sh :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sa-update.sh

chmod 755 /etc/sa-update.sh

On édite la crontab :

crontab -e

et on ajoute la ligne :

15 2 * * * /etc/sa-update.sh

Activation du plugin DKIM

– Il faut maintenant activer SA dans amavisd :

On édite /etc/amavisd.conf et on commente la ligne :

nano /etc/amavisd.conf

# @bypass_spam_checks_maps = (1);

On démarre en debug-sa :

/usr/sbin/amavisd debug-sa

On envoie un mail et on doit voir dans le debug le bon fonctionnement (on peut utiliser un client comme thunderbird ou outlook en paramétrant le compte en IMAP.)

On arrête amavisd par un CTRL + C.

Par défaut Amavisd mets les spams en quarantaine, mais ce n'est pas le comportement que nous désirons.

Le amavisd.conf fourni dans ce tuto intègre les modifications nécessaires.

Pour infos voici les paramètres modifiés :

$sa_tag_level_deflt = -9999.9; # add spam info headers if at, or above that level $sa_tag2_level_deflt = 4.3; # add 'spam detected' headers at that level $sa_kill_level_deflt = 9999.9; # triggers spam evasive actions $sa_mail_body_size_limit = 400*1024; # don't waste time on SA if mail is larger $sa_spam_subject_tag = '***SPAM_SCORE_*** '; $sa_spam_report_header = 1; $final_spam_destiny = D_PASS;

Avec cette modification, on dit à amavisd de laisser passer le spam mais de le tagguer dans le header du mail. La limite Spam est fixée à un score de 4.3

On traitera le mail plus loin par Maildrop.

On crée un fichier /etc/init.d/amavis :

cd /etc/init.d/

wget http://www.starbridge.org/spip/doc/Procmail/init.d/amavis

chmod 755 /etc/init.d/amavis

update-rc.d amavis defaults

on lance amavisd :

/etc/init.d/amavis start

On regarde les logs.

On envoie un mail et on regarde l'entête de celui ci. on doit voir les X-Spam- headers.

On paramètre Maildrop pour déposer le courier détecté comme spam dans le dossier spam de chaque utilisateur :

On édite /home/virtual/.mailfilter et on le modifie comme ceci :

logfile "/home/virtual/.maildrop.log" <code class='spip_code spip_code_inline' dir='ltr'>[ -d $DEFAULT ] || (maildirmake $DEFAULT && maildirmake -f Spam $DEFAULT && maildirmake -f Sent $DEFAULT && maildirmake -f SpamToLearn $DEFAULT && maildirmake -f SpamFalse $DEFAULT)</code> EXTENSION="$1" if ( /^X-Spam-Level: \*\*\*\*\*\*\*\*\*\*/ ) { log "--> X-Spam-toohigh." exception { to /home/virtual/spamtrap@starbridge.org/ } } if ( /^X-Spam-Flag: YES/ ) { log "--> X-Spam-Flag-ed." to $HOME/$DEFAULT.Spam } if ( $EXTENSION eq "spam" ) { log "--> spam-extension." to $HOME/$DEFAULT.Spam } <code class='spip_code spip_code_inline' dir='ltr'>test -r $HOME/$DEFAULT.mailfilter</code> if( $RETURNCODE == 0 ) { log "(==) Including $HOME/$DEFAULT.mailfilter" exception { include $HOME/$DEFAULT.mailfilter } }

– Explications :

Le premier If permet d'envoyer le spam dont le score est au dessus de 10 dans une boite spécifique spamtrap@mondomaine.com qu'il faut créer (on peut utiliser postfixadmin pour ca).

Le deuxième If permet d'envoyer le spam en dessous de 10 dans le dossier Spam de l'utilisateur.

Le 3eme permet d'intercepter les mails avec l'extension +spam, qui peuvent être utilisés par amavisd (pour Mailzu par exemple)

* Pour améliorer l'apprentissage, on crée une tache qui scanne la boîte spamtrap et les 2 dossiers d'apprentissage SpamToLearn et SpamFalse des boîtes des utilisateurs (Dossiers crées automatiquement par maildrop à la première livraison) puis envoit leur contenu vers le filtre bayesien :

On crée d'abord deux répertoires spéciaux de transit :

mkdir /home/spamtrap chown amavis: /home/spamtrap chmod 777 /home/spamtrap mkdir /home/hamtrap chown amavis: /home/hamtrap chmod 777 /home/hamtrap

on crée un fichier /etc/sa-learn :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/spamassassin/sa-learn

chmod 755 /etc/sa-learn

On crée une tache cron qu'on lance par root : (une fois par jour ou plus suivant la puissance de la machine, cette tache étant très gourmande en ressources)

crontab -e

et on ajoute (on change la fréquence si nécessaire) :

30 3,10,15,22 * * * /etc/sa-learn

Tout sera automatique. Il suffira d'indiquer aux utilisateurs de déplacer les emails non détectés comme Spam dans le dossier SpamToLearn et de copier les email légitimes détectés à tort comme Spam dans le Dossier SpamFalse. Le script déplacera lors de son exécution tous ces emails et en fera l'apprentissage soit comme spam soit comme ham (non spam).

Attention : TOUS les mails déposés dans les dossiers SpamTolearn et SpamFalse sont déplacés c'est à dire qu'il seront EFFACES de ces dossiers.

Par sécurité on peut conserver les mails de la boite spamtrap (non consultables par les utilisateurs) un certain temps. Pour cela il suffira de changer les 2 premières lignes en copie au lieu d'un déplacement (cp). On verra plus loin pour un script de nettoyage basé sur l'âge des fichiers.

On peut également enlever le -D des 2 lignes sa-learn pour limiter la sortie du script (debug). Cron envoie un mail à l'exécution de la commande, contenant la sortie.

Activation de Clam dans Amavisd

Le fichier amavisd.conf fourni dans ce tuto est modifié pour ne prendre en charge que l'antivirus Clamav.

Pour info voici les paramètres modifiés (à la fin du fichier) :

@av_scanners = ( # ### http://www.clamav.net/ ['ClamAV-clamd', \&ask_daemon, ["CONTSCAN {}\n", "/var/run/clamav/clamd.ctl"], qr/\bOK$/, qr/\bFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); @av_scanners_backup = ( ### http://www.clamav.net/ - backs up clamd or Mail::ClamAV ['ClamAV-clamscan', 'clamscan', "--stdout --no-summary -r --tempdir=$TEMPBASE {}", [0], qr/:.*\sFOUND$/, qr/^.*?: (?!Infected Archive)(.*) FOUND$/ ], ); 1; # insure a defined return

Pour activer Clam on commente au début du fichier :

@bypass_virus_checks_maps = (1);

On relance amavisd :

/etc/init.d/amavis stop && /etc/init.d/amavis start

L'antivirus est chargé.

On crée l'alias email : virusalert@mondomaine.com vers admin@mondomaine.com. (passer par postfixadmin)

On teste le fonctionnement :

--> telnet 127.0.0.1 10024 Trying 127.0.0.1... Connected to 127.0.0.1. Escape character is '^]'. 220 [127.0.0.1] ESMTP amavisd-new service ready --> MAIL FROM:<test@example.com> 250 2.1.0 Sender test@example.com OK --> RCPT TO:<postmaster> 250 2.1.5 Recipient postmaster OK --> DATA 354 End data with <CR><LF>.<CR><LF> --> Subject: test2 - virus test pattern --> (......taper Entrée....) --> X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* --> . 250 2.7.0 Ok, discarded, id=03811-01 - VIRUS: Eicar-Test-Signature --> QUIT 221 2.0.0 [127.0.0.1] (amavisd) closing transmission channel Connection closed by foreign host.

On doit voir dans les logs :

Blocked INFECTED (Eicar-Test-Signature)

On peut aussi tester l'envoi d'un mail infecté dans une archive (pour tester le travail de décompression) en récupérant des fichiers de test sur eicar.com et en les envoyant par email.

Maintenance de Clam et de Spamassassin :

Il faut penser à purger régulièrement le contenu de la boite spamtrap et la quarantaine de clam, c'est à dire le dossier /home/virtual/spamtrap@mondomaine.com/new/. et le /var/virusmails.

Pour cela on peut utiliser un outil du genre tmpreaper.

Il se configure très simplement dans /etc/tmpreaper.conf

On modifie la ligne suivante comme ceci :

nano /etc/tmpreaper.conf

TMPREAPER_DIRS='/tmp/. /var/virusmails/. /home/virtual/spamtrap@mondomaine.com/new/.'

DSPAM - Installation

Beaucoup considère Dspam comme une alternative plus performante de SA.

Je trouve qu'ils sont plutôt complémentaires.

Amavisd permet de gérer les 2 en parallèle.

cd ~ wget http://dspam.nuclearelephant.com/sources/dspam-3.8.0.tar.gz tar xvzf dspam-3.8.0.tar.gz cd dspam-3.8.0 ./configure --prefix=/usr --sysconfdir=/etc --with-dspam-home=/var/amavis/dspam --enable-signature-headers --without-delivery-agent --without-quarantine-agent --with-storage-driver=mysql_drv --with-mysql-includes=/usr/include/mysql make make install

Créer la base sql :

mysql -u root -p create database dspam; GRANT SELECT, INSERT, UPDATE, DELETE ON dspam.* TO 'dspam'@'localhost' IDENTIFIED BY '******'; FLUSH PRIVILEGES; quit

On importe la base sql :

mysql -u root -p dspam < /root/dspam-3.8.0/src/tools.mysql_drv/mysql_objects-4.1.sql

On modifie le fichier de conf dspam.conf original (toto étant votre password d'acces a la base sql dspam que vous venez de paramétrer) :

cd /etc/

mv dspam.conf dspam.conf-orig

wget http://www.starbridge.org/spip/doc/Procmail/dspam.conf

sed -i 's/******/toto/g' dspam.conf

Modifier les droits sur les exécutables (même user qu'amavisd) et le dspam.conf :

chown amavis : /usr/bin/dspam*

chown amavis : /etc/dspam.conf

chmod 750 /usr/bin/dspam*

chmod 640 /etc/dspam.conf

Créer le répertoire de dspam dans le home d'amavisd :

mkdir /var/amavis/dspam

chown -R amavis : /var/amavis/dspam

Pour activer dspam, il faut décommenter la ligne suivante dans amavisd.conf :

nano /etc/amavisd.conf

# $dspam = 'dspam';

On relance amavisd :

/etc/init.d/amavis stop && /etc/init.d/amavis start

On vérifie les logs. On doit voir :

Found $dspam at /usr/bin/dspam

On envoie un email :

On vérifie les logs, les headers des email pour les tags X-DSPAM et le remplissage de la base de données.

Principe de fonctionnement :

Dans cette configuration, Dspam marque simplement les mails (il ajoute un tag dans le header). Pour que le filtrage devienne effectif, il faut donc indiquer à Spamassasssin le score à attribuer en fonction de la valeur du tag X-DSPAM dans le header.

De préférence, il vaut mieux attendre quelques jours après l'installation de dspam afin de le laisser apprendre sur un volume de mail conséquent, avant d'activer ces rules SA.

Dès que l'on estime que les tags sont pertinents dans les headers (c'est à dire que Dspam détecte bien du spam et du non-spam (ham) correctement), on peut ajouter ceci au /etc/mail/spamassassin/local.cf :

nano /etc/mail/spamassassin/local.cf

header DSPAM_SPAM X-DSPAM-Result =~ /^Spam$/ describe DSPAM_SPAM DSPAM claims it is spam score DSPAM_SPAM 2.8 header DSPAM_HAM X-DSPAM-Result =~ /^Innocent$/ describe DSPAM_HAM DSPAM claims it is ham score DSPAM_HAM -0.2

On peut améliorer les performances de la base en changeant le moteur en InnoDB

mysql -u root -p USE dspam; ALTER TABLE dspam_preferences TYPE=InnoDB; ALTER TABLE dspam_signature_data TYPE=InnoDB; ALTER TABLE dspam_stats TYPE=InnoDB; ALTER TABLE dspam_token_data TYPE=InnoDB; ANALYZE TABLE dspam_preferences; ANALYZE TABLE dspam_signature_data; ANALYZE TABLE dspam_stats; ANALYZE TABLE dspam_token_data;

On crée les taches de maintenance de dspam :

On crée un fichier /etc/dspam-purge-4.1.sql

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/dspam-purge-4.1.sql

Puis on crée une tache cron avec le user amavis :

crontab -e -u amavis

et on ajoute :

14 2 * * * /usr/bin/mysql -u dspam -p'******' dspam < /etc/dspam-purge-4.1.sql

On crée une tache cron de purge des log avec le user amavis :

crontab -e -u amavis

on ajoute :

3 3 1 * * /usr/bin/dspam_logrotate -a 30 -v -d /var/amavis/dspam

Filtrage par extensions et type mime dans amavisd

On peut également renforcer le blocage des fichiers par extension et type mime dans amavisd, indépendamment de l'antivirus.

Ce blocage est très efficace et peut être complémentaire du premier blocage par Postfix sur ces fichiers (headers, body, type mime), car il utilise cette fois les capacités de décodage et de décompression d'Amavisd.

Par exemple, on pourra facilement bloquer un fichier exe à l'intérieur d'un fichier zip.

Voir mon fichier amavisd.conf pour des exemples de type mime et d'extensions de fichiers.

@@@@@ JOINDRE FICHIER

Voila le serveur de mail et le filtrage sont configurés !

AMAVISD - Maintenance Bases MySQL

Les tables vont grossir au fur et à mesure des réceptions, il faut donc regulièrement les purger.

On crée un fichier amavis-purgesql :

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/amavisd/amavis-purgesql

puis on crée une tache cron

crontab -e -u amavis

et on ajoute :

14 4 * * * /usr/bin/mysql -u amavis -p'******' amavis < /etc/amavis-purgesql

ATTENTION : Bien vérifier, dans le CRON, que toutes les étoiles (****), passées en paramètre -p '******', soient bien remplacées par MonMotdePasse.

Vérification et signatures des messages par DKIM

Cette technique a tendance a se développer, et depuis la version 2.6, amavisd propose désormais d'exécuter l'intégralité des tâches DKIM : Vérification des messages reçus et signatures des messages sortants.

Depuis la version 2.6 d'amavisd, celui ci est capable de générer une signature DKIM

La vérification DKIM des mails recus et faites par defaut dans amavisd.

On génére la clé :

mkdir /var/amavis/dkim

cd /var/amavis/dkim

amavisd genrsa /var/amavis/dkim/domaine.key.pem

les droits du fichier sont mis correctement par amavisd.

Si l'on a plusieurs domaines on répète la procédure pour chaque.

On ajoute ceci au /etc/amavisd.conf :

dkim_key('mondomaine.com', 'domaine', '/var/amavis/dkim/domaine.key.pem');}

A partir d'ici Amavisd est capable de signer les messages sortants. Mais le serveur destinataire ne sera pas capable de les vérifier, car il faut publier la clé publique dans les DNS :

Pour cela, on lance la commande suivante pour afficher la clé publique du ou des domaines que l'on a parametré plus haut.

amavisd showkeys

on fait un copier/coller du résultat pour le domaine et on le colle tel quel dans la zone DNS.

Le serveur DNS Bind gère bien sûr cet enregistrement (TXT) et il suffira de l'enregistrer dans le fichier de zone et de recharger bind.

Si les DNS sont gérés par l'hébergeur, la plupart propose de modifier les champs TXT, mais ce n'est pas le cas de tous. Il faudra donc vérifier ce point.

On teste l'enregistrement avec une commande d'amavisd :

amavisd testkeys

On relance amavisd.

Pour pouvoir signer les messages il faut que ceux ci proviennent pour amavisd d'une source de confiance, c'est à dire en provenance du réseau spécifié dans amavisd comme étant local (policy bank MYNETS), ou bien depuis le port 587 dans postfix en TLS + SASL (policy bank ORIGINATING).

On teste en envoyant un mail et on vérifie dans les logs que la signature s'applique bien.

On retrouvera cette signature dans les headers du message envoyé.

Notes :

– On peut aller plus loin dans la configuration d'Amavisd mais pour ne pas surcharger le tuto nous n'aborderons pas ces points ici.

– La configuration d'amavisd doit également être modifiée en fonction de la charge du serveur. Par défaut 2 instances sont actives ($max_servers = 2 ;). Le calcul du nombre d'instances nécessaires demande certains ajustements à l'usage et doit être considéré comme un prérequis sur la mise en production d'un serveur susceptible de traiter des volumes conséquents. On peut consulter la doc d'amavisd sur ce point.

– Dans notre configuration on filtre (antispam, antivirus) sur les mails entrants ET sortants. On peut économiser des ressources systèmes en désactivant l'antispam sur les mails sortants en provenance d'utilisateurs authentifiés. Voir la configuration dans cet article

Pour info, les mails soumis localement (pickup) bypassent tous les tests : spams, AV, header/body. C'est le cas pour les mails système comme ceux de cron, logwatch ou autres. Cette configuration a été faite dans la partie pickup en début de tuto.

MAIL : 5ème Etape - Quotas, Sécurisation

Georges Charpenay — 2008-07-24T14:07:32Z

OPTIMISATION ET SECURISATION DU SERVEUR DE MAIL

MAILDROP - Gestion des Quotas

Nous les avons paramétrés à l'installation de maildrop (Create tables SQL avec colonnes).

Nous allons maintenant utiliser ces tables et créer un message d'alerte générique pour un dépassement de quotas.

cd /etc/

wget http://www.starbridge.org/spip/doc/Procmail/usr/local/courier/etc/quotawarnmsg

chown -R vmail : /etc/quotawarnmsg

chmod 644 /etc/quotawarnmsg

Il faut personnaliser les messages de quotawarnmsg en éditant le fichier.

C'est tout ce que nous avons à faire en plus, d'une manière générale, pour Maildrop, Postfix et Courrier-IMAP.

Pour les petits réglages de quota par utilisateur et autres, pensez à Postfix admin.

Mais, le serveur ne filtre pas encore les virus ou les spams...

Installation d'un Antispam / Antivirus

Un morceau de choix, accrochons-nous !

La technicité de la majorité des spams de nos jours ne respectent pas les règles d'envoi de mail conventionnels et utilisent un HELO incorrect, et souvent un MAILFROM d'un domaine inconnu.

Pour plus d'informations veuillez lire les RFC.

SECURITE ANTISPAM : Blacklist Postfix

Renforçons d'abord Postfix avec des règles pour qu'il soit beaucoup plus restrictif.

Pour cela utilisons les smtpd_recipient_restrictions (Nous ne détaillerons pas les actions précises de chaque règle car la documentation de Postfix est déja très précise sur ce sujet) mais éditons le fichier /etc/postfix/main.cf et remplaçons tout le smtpd_recipient_restrictions par celui ci :

nano /etc/posfix/main.cf
ou winscp v4 ou ultérieure (c'est mieux !)

smtpd_recipient_restrictions = reject_non_fqdn_recipient, reject_unknown_sender_domain, reject_non_fqdn_sender, reject_unknown_recipient_domain, reject_invalid_helo_hostname, reject_unlisted_recipient, reject_unlisted_sender, permit_mynetworks, permit_sasl_authenticated, reject_non_fqdn_helo_hostname, reject_unauth_destination, check_client_access hash:/etc/postfix/internal_networks, check_sender_access hash:/etc/postfix/not_our_domain_as_sender, check_helo_access proxy:mysql:/etc/postfix/mysql-hello.cf, check_sender_access proxy:mysql:/etc/postfix/mysql-sender.cf, check_client_access proxy:mysql:/etc/postfix/mysql-client.cf, reject_rbl_client list.dsbl.org, reject_rbl_client zen.spamhaus.org, permit

Dans ce fichier, nous avons paramétré des RBL (Blacklists) qui vont filtrer efficacement les mails.

Il existe énormément de RBL qui peuvent rendre le filtrage encore plus restrictif, mais nous nous limiterons qu'aux (RBL) officielles et professionnelles. L'ajout sauvage de blacklist non-officielles peut amener à supprimer des mails sains.

Il vaut mieux gérer les RBL supplémentaires au travers d'une Policy Service de Postfix qui permettra plus de souplesse. (voir doc Postfix).

Spam ASSASSIN, dont nous allons décrire l'installation ultérieurement, gère lui aussi des RBL propres.

Ne fermez pas main.cf, il y a encore des modifications...!

SECURITE ANTISPAM : Vérification des mails

Il nous faut limiter les possibilités de forging des expéditeurs en vérifiant les MAIL FROM (adresses expéditrices).

Nous sommes toujours dans le fichier main.cf et nous nous plaçons au dessus du bloc smtpd_recipient_restrictions = , pour insérer :

smtpd_sender_restrictions = reject_authenticated_sender_login_mismatch smtpd_reject_unlisted_sender = yes smtpd_restriction_classes = has_our_domain_as_sender has_our_domain_as_sender = check_sender_access hash:/etc/postfix/our_domain_as_sender, reject

Cela nous permettra d'empêcher les utilisateurs de mettre une autre adresse dans le MAIL FROM et seront ainsi obliger de passer par le domaine @mondomaine.com.(toutes les adresses d'expéditeurs devront appartenir au(x) domaine(s)).

Quittez et sauvegardez le main.cf. Mais nous y reviendrons plus tard..

Il s'agit ensuite de dire au serveur de vérifier que les mails envoyés appartiennent bien au réseau :

Il faut maintenant créer les fichiers suivants :

- /etc/postfix/internal_networks

en faisant ainsi :

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/internal_networks

Editons le fichier et spécifions y notre réseau local et son adresse publique :

nano /etc/postfix/internal_networks

Le contenu du fichier doit ressembler à celà, au final :

192.22.1 has_our_domain_as_sender 88.120.55.485 has_our_domain_as_sender

Ces lignes permettent de spécifier les plages IP de votre réseau, ainsi que l'ip publique (exemple) qui seront autorisées à envoyer un mail avec votre (vos) domaines dans le MAIL FROM.

Cela permet également de préciser les IP autorisées à envoyer un mail en se présentant avec notre HELO.

Nous bloquerons ainsi les clients SMTP extérieurs qui pourraient se présenter avec un HELO qui est le notre (HAM) (spoofing).

Il faut, dans cette même étape, créer les fichiers qui vont appeler les tables SQL :

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-hello.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-
sender.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mysql-client.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/our_domain_as_sender

wget http://www.starbridge.org/spip/doc/Procmail/postfix/not_our_domain_as_sender

Pour les deux commandes suivantes, attention à remplacer le mot de passe avant de valider..

sed -i 's/toto/Mot_De_Passe_Postfix/g' mysql-hello.cf mysql-sender.cf mysql-client.cf

sed -i 's/starbridge.org/MonDomaine.com/g' our_domain_as_sender not_our_domain_as_sender

Pour info voici les fonctions de ces derniers téléchargements :

/etc/postfix/mysql-hello.cf : Cette table SQL listera les HELO de nos domaines email.

/etc/postfix/mysql-sender.cf : Il sert à blacklister ou whitelister les MAILFROM, c'est à dire les expéditeurs, selon leur adresse email externe ou limitées au domaine précisé.

/etc/postfix/mysql-client.cf : Il sert à blacklister ou whitelister les clients par leur connection (ip/domaine).

/etc/postfix/our_domain_as_sender : Il sert à spécifier les domaines autorisés comme MAIL FROM pour les users internes authentifiés par leur IP (les clients en local peuvent envoyer un email local sans s'authentifier dans notre configuration)

/etc/postfix/not_our_domain_as_sender : Il sert à spécifier les domaines refusés comme MAIL FROM pour les users externes non authentifiés (c'est à dire une personne extérieure qui nous envoit un mail). Si cette personne spécifie un de nos domaines en MAIL FROM, le message sera refusé (antispoofing)

Nous" postmappons" (déclarons à Postfix d'utiliser..) les fichiers suivants que nous venons de créer :

postmap /etc/postfix/internal_networks

postmap /etc/postfix/our_domain_as_sender

postmap /etc/postfix/not_our_domain_as_sender

Nous sécurisons les fichiers de lookup :

chown -R root:postfix /etc/postfix/mysql-*

chmod 640 /etc/postfix/mysql-*

Créons les tables (pour importer les fichiers ci-dessus) :

wget http://www.starbridge.org/spip/doc/Procmail/postfix/postfix_access.sql

Puis la commande sed (avec changement de domaine manuel)

sed -i 's/starbridge.org/MonDomaine.com/g' postfix_access.sql

mysql -u root -p < postfix_access.sql

... avec le mot de passe de root de mysql....

Et enfin, relançons postfix :

postfix reload

Vérification de la validité des mails

Postfix peut vérifier les mails entrants très simplement en analysant le header, le body et le type mime des pièces jointes.

Ce type de blocage est très efficace, plus rapide que de laisser faire Amavisd ou SA, mais manque de souplesse.

Il s'avère cependant très efficace pour bloquer par types de fichiers sans que le mail ne soit envoyé au serveur, puis traité (économie de bande passante et de CPU).

Cependant une trop grande quantité de règles et un fort trafic aurait l'effet inverse sur les performances.

Nous allons créer les fichiers nécessaires pour activer cette fonction.

cd /etc/postfix/

wget http://www.starbridge.org/spip/doc/Procmail/postfix/body_checks.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/header_checks.cf

wget http://www.starbridge.org/spip/doc/Procmail/postfix/mime_headers_checks.cf

Editons ensuite le fichier /etc/postfix/main.cf et ajoutons ces lignes :

header_checks = regexp:/etc/postfix/header_checks.cf body_checks = regexp:/etc/postfix/body_checks.cf mime_header_checks = regexp:/etc/postfix/mime_headers_checks.cf

Il suffit maintenant de relancer postfix :

postfix reload

Voila maintenant notre serveur mail est prêt à accueillir un Antispam et un Antivirus efficace.

Cool, vous pouvez bien prendre un café, car vous l'avez bien mérité !

MAIL : 4ème Etape - Installation Courrier-IMAP, Postfixadmin

Georges Charpenay — 2008-07-24T11:58:03Z

A ce point de construction (article précédent), nous avons besoin de préciser comment les clients viennent récupérer leur mail.

Nous avons déjà configuré la partie la plus importante de courier-imap, c'est à dire l'authentification mysql, dans la partie sur Maildrop.

COURRIER-IMAP - Installation

Nous installons le serveur IMAP proprement dit :

aptitude install courier-imap courier-imap-ssl fam

Note : pour les questions de l'installeur Debian :

courier-base : Faut-il créer les répertoires nécessaires à l'administration web = NON.

POSTFIXADMIN - Installation

Postfix admin est une interface web du service Postfix.

NOTE : Plusieurs cas se présentent :

– Soit votre serveur mail et votre serveur lamp sont sur un seul et même serveur, auquel cas il faudra exécuter les commandes suivantes sur votre seul serveur.

– Si vous utilisez un serveur LAMP séparé du serveur MAIL il vous faut donc exécuter ces commandes sur le serveur LAMP où se trouve apache2 (car postfix web).

Pour faciliter la création des users et la gestion des boîtes et des comptes, nous utilisons Postfixadmin.

Nous utilisons la version SVN.

Note : SVN veut dire subversion. Nous savons que les paquets Debian peuvent automatiquement être mis à jour, mais Debian ne peut mettre à jour des paquets qu'il ne connaît pas ou qu'il n'a pas produit (par ex, webmin, postfix...). Pour s'abonner (en quelque sorte), aux mises à jour de ces produits "satellites", il existe SVN qui livre automatiquement les mises à jour des sources directement dans les serveurs (notre serveur), combiné avec une liste de diffusion par mail (qui vous avertit de la livraison d'une nouvelle version). C'est prêt à être utilisé. Ainsi, les corrections de bugs vont plus vite que le vent.

Exécutons les commandes ci-dessous (la commande SVN peut être longue en retour, soyez patients.)

aptitude install subversion cd /var/www svn -r 358 co https://postfixadmin.svn.sourceforge.net/svnroot/postfixadmin/trunk postfixadmin chown -R www-data: /var/www/postfixadmin cd postfixadmin chmod 640 *.php cd /var/www/postfixadmin/admin/ chmod 640 *.php cd /var/www/postfixadmin/images/ chmod 640 *.png cd /var/www/postfixadmin/languages/ chmod 640 *.lang cd /var/www/postfixadmin/templates/ chmod 640 *.php cd /var/www/postfixadmin/users/ chmod 640 *.php cd /var/www/postfixadmin/

POSTFIXADMIN - Configuration

Nous remplaçons le /var/www/postfixadmin/config.inc.php par défaut par celui ci.

Note : Il faut modifier toutes les entrées starbridge.org dans ce fichier par celles correspondantes à votre domaine. (toto est le mot de passe pour la base SQL postfix et Votre_Domaine.com ) :

Pour celà, lancer les commandes suivantes, et les modifier pour les adapter (toto par mot passe - Votre_domaine par MonDomaine) :

mv config.inc.php config.inc.php-orig wget http://www.starbridge.org/spip/doc/Procmail/config.inc.txt mv config.inc.txt config.inc.php sed -i "s/password'] = '\*\*\*\*\*'/password'] = 'toto'/" config.inc.php sed -i 's/www.starbridge.org/www.Votre_Domaine.com/g' config.inc.php sed -i 's/starbridge.org/Votre_Domaine.com/g' config.inc.php

Nous sécurisons le fichier :

chown www-data : /var/www/postfixadmin/config.inc.php

chmod 640 config.inc.php

Nous allons ensuite effacer le fichier setup.php qui n'est pas nécessaire dans notre cas car nous avons configuré le fichier à la main :

rm /var/www/postfixadmin/setup.php

Nous nous connectons ensuite à l'interface de postfixadmin :

https://192.22.1.1/postfixadmin

Si toutefois, cette page n'aboutit pas et que l'arrêt des services d'apache en ligne de commande nous renvoie une erreur de domaine du genre "Could not reliably determine the server's fully qualified domain name", il est fort possible d'avoir à corriger le fichier /etc/apache2/apache2.conf et compléter ou ajouter la directive :

ServerName NomServeur.Mondomaine.com

Ceci peut arriver si le serveur LAMP et le serveur MAIL tournent sur la même machine.

Identifions nous avec admin@mondomaine.com que l'on à créé à l'installation de Postfix (service de base). Le mot de passe par défaut étant "secret".

Tester la création d'un nouvel utilisateur pour valider le bon fonctionnement de postfix.

A ce niveau, le serveur de mail fonctionne normalement. Reste à le sécuriser avec un antispam, un antivirus, la gestion des quotas de mail, et pour ne pas servir de relais de mail (mail relaying), c'est ce que nous allons voir dans l'article suivant.