Qu’entendez-vous par sécuriser les protocoles SMTP/IMAP/POP3 ? Qu’attendez-vous comme options par exemple ?
Nous déconseillons l’utilisation du protocole POP. Mais par défaut tous ces protocoles supportent le SSL/TLS et l’authentification SMTP est active. Il est possible de s’y authentifier en utilisant un mot de passe d’un des utilisateurs avec messagerie active, déclaré dans BlueMind.
Concernant la documentation, elle est accessible ici. Vous y trouverez notamment la liste des ports utilisés. Libre à vous de rendre inaccessibles certains de ces port via votre pare-feu.
Qui necessite des modif directement dans les fichiers de configuration (pas facile)
Ensuite, 2ieme exemple :
pour le client mail, en plus de n’avoir pas de compte pour utliser le SMTP (voir ci-dessus)
Je n’ai pas d’explication clair pour faire reconnaitre le SSL ou le TLS et cela en acceptant tout cerfit.
Je sais qu’un certificat est généré lors de l’installation, mais à part pour le site de gestion (443), il ne semble pas fonctionnel et je n’ai pas d’autre certificats à
ce qui m’oblige pour à passer tout en clair et j’aime pas cette solution de facilité.
J’espère avoir été clair… Et oui j’avais lu la doc qui propose pour ssl uniquement de changer le certif par un autre
Pour le point 1, le mail est accepté sans authentification, soit parce que le destinataire est une adresse gérée par BlueMind, soit parce que votre client fait partie de la plage d’adresses configurée dans la console d’administration, en tant qu’admin0, Gestion du système → Configuration système, onglet Messagerie, champs Mes réseaux.
Vous indiquez à cet endroit la/les IPs de confiances, celles pour qui vous acceptez de prendre en charge tous les mails sans conditions. Veillez à ne pas enlever 127.0.0.0/8 par contre.
Dans tous les autres cas (vous n’envoyez pas depuis une de ces IPs et le mail n’est pas destiné à une adresse gérée par BlueMind) l’authentification est obligatoire, et vous pouvez fournir votre identifiant et mot de passe BlueMind (login@domain et le mot de passe correspondant).
D’autre part, pour l’envoi de mail depuis un client, nous vous conseillons d’utiliser les ports de soumissions 465 ou 587 qui eux nécessitent l’authentification.
Pour le SSL/TLS, reportez-vous à notre documentation, certains port offrant le SSL, d’autre le TLS, mais c’est actif par défaut et utilise le certificat généré à l’installation ou celui que vous pouvez fournir via la console d’administration. Il suffit d’indiquer à votre client, lors de sa configuration, d’utiliser TLS ou SSL en fonction des ports utilisés.
Pour SMTP,
le serveur BM reçoit sur les ports 25(=smtp), 465(=smtps) et 587(=smtp-auth utilise SASL), ce qui sont les ports traditionnels.
Le client lourd DEVRA utiliser 587 (comme, bien, conseillé par BM).
Pour le port 25, à l’écoute pour les mails entrants d’internet, Postfix a un paramètre ‘mynetwork’, qui correspond à ‘Mes réseaux’ décrit par Toony.
Ce paramètre donne les réseaux d’où sont accepté une connexion sans identifiant !
(lié à smtpd_recipient_restrictions=permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination qui parait très clair !)
Pour POP3/POP3S/IMAP/IMAPS,
La logique est d’utiliser IMAPS :
POP3 (et POP3S) enlève les mails du serveur et les stocke sur le client : cela ne sécurise pas les mails, bien au contraire
IMAPS (993/tcp) laisse les mails sur le serveur et est sécurisé (par certificat) y compris au travers d’internet : c’est ce qu’il faut recommander.
NB : veuillez à vous assurer qu’il y a un “split-dns” : en interne, nom du serveur → @ip interne, et depuis Internet, nom du serveur → @ip publique qui renvoi 993 et 587 vers le serveur interne
Comme BM n’a ni antivirus ni antispam, il est à recommander que le serveur BM ne soit pas en direct d’Internet pour le port 25 : mettre un relais smtp qui fasse antivirus et antispam !
