Plus de détails sur les mails

Conférence ALDIL « Jeudi du Libre » du 4 avril 2013

Message 1, par Elzen

§ Posté le 20/04/2013 à 15h 00m 05

Désolé pour ce retard encore plus important que prévu, mais voici enfin l'article concernant la conférence que j'ai donné le 4 avril dernier dans le cadre des jeudis du libre de l'ALDIL, ainsi que les liens vers l'enregistrement audio et le diaporama. Désolé également pour la qualité de l'enregistrement audio, pas toujours optimale.

J'en profite pour signaler que pierrecastor (qui, encore une fois, a vaillamment lutté pour rendre cet enregistrement écoutable) et moi-même suggérons à l'ALDIL d'investir dans du véritable matériel d'enregistrement, ce qui permettrait de mettre ça en ligne plus vite et avec une meilleure qualité.


Un message d'information pour notre public de Lyon et des alentours : comme nous l'avons signalé, la conférence d'il y a deux mois et celle-ci formaient les premières d'un cycle sur l'auto-hébergement qui se poursuivra l'année scolaire prochaine, dans le cadre des jeudis du libre, donc toutes les personnes intéressées par l'auto-hébergement sont invitées à suivre le planning. Je ne suis pas sûr d'animer d'autres conférences du cycle, mes compétences restant modestes, mais j'y serai présent au moins en tant que spectateur.


Notez, encore une fois, que les informations que je vous fournis ici sont destinées à vous présenter comment mettre en place un auto-hébergement personnel, avec des besoins de base. Je fais confiance à ceux qui ont des besoins plus avancés (plusieurs noms de domaines…) pour trouver d'autres informations ailleurs, Internet fourmille de documentations de toutes sortes ; mais si vous êtes un particulier avec des besoins de base, je dois pouvoir vous être utile.

Comme évoqué durant la conférence, YunoHost (lire « why you no host? », soit « Pourquoi n'hébergeriez-vous pas ?), un système basé sur Debian, est conçu pour rendre l'auto-hébergement plus simple ; n'hésitez donc pas à aller vous renseigner si vous êtes intéressés.



Au cours de la conférence a aussi été abordé le fait qu'une authentification SASL correctement mise en place ne protégeait pas de tout. D'abord, je rappelle qu'il faut veiller à ne pas laisser de porte d'entrée béante : n'ouvrez pas de comptes machines faciles à forcer (comme « guest/guest »). Ensuite, ne créez des comptes sur votre machine qu'à des personnes en qui vous avez confiance.


Cependant, au cas où, je relaie ici une information transmise par Nicolas, un des spectateurs de la conférence, que je remercie au passage :

J'avais soulevé un petit problème de sécurité si on a quelques

utilisateurs douteux du serveur de mails. La solution que j'avais trouvé

consiste à ajouter cette ligne dans le main.cf de postfix :


smtpd_sasl_authenticated_header = yes

Il me transmet également un lien vers un bon article sur la configuration du serveur mail, que je vous fournis donc également.



Un complément auquel je n'avais initialement pas pensé : en revenant de cette conférence, et d'une soirée passée avec les camarades d'Illyse qui m'y avaient accompagné, j'ai jeté machinalement un œil à mes logs, et j'ai eu la surprise d'y voir ce genre de lignes défiler :

Apr  5 00:14:25 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.
Apr  5 00:14:25 fadrienn postfix/smtpd[6636]: warning: adsl-99-97-230-58.dsl.lsan03.sbcglobal.net[99.97.230.58]: SASL LOGIN authentication failed: generic failure
Apr  5 00:14:27 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.
Apr  5 00:14:27 fadrienn postfix/smtpd[6636]: warning: adsl-99-97-230-58.dsl.lsan03.sbcglobal.net[99.97.230.58]: SASL LOGIN authentication failed: generic failure
Apr  5 00:14:29 fadrienn postfix/smtpd[6636]: warning: SASL authentication failure: All-whitespace username.

Il s'agit en fait d'un spambot qui tentait de forcer l'accès à mon serveur en essayant les logins et mots de passe les plus courants (c'est ce qu'on appelle une attaque de type bruteforce). Bien sûr, il ne risquait plus d'entrer, puisque j'avais sécurisé ces accès ; néanmoins, ce n'était pas une raison pour laisser ce genre de choses se faire.


J'ai donc sauté sur l'occasion pour faire quelque chose que je devais faire depuis un moment : installer le logiciel fail2ban, et le configurer pour qu'il prenne en compte, en plus du SSh, le SASL.

Ce logiciel surveille les différentes portes d'entrée du système (sa configuration par défaut contient un grand nombre de portes d'entrée possible, il suffit d'activer celles qui nous concernent), repère les tentatives d'intrusion de ce type, et bloque temporairement l'adresse IP du fautif, l'empêchant de réessayer.

C'est un excellent outil de sécurisation, très simple à mettre en place, et qui empêchera un certain nombre d'intrusions potentielles ; je ne peux donc que vous conseiller de le mettre en place.



Il me semble que j'avais d'autres choses à dire à ce sujet, mais je ne les ai plus en tête dans l'immédiat, je compte donc sur vous pour demander, en commentaire, d'autres informations si besoin.


Modifié le 24/04/2013 à 15h 19m 31

Mise à jour :

Ah, ben, en voilà un : j'avais oublié, pendant la conférence, ce que signifiait ce « caractère d'extension des adresses locales », un « + » dans la configuration par défaut. Marie-Lou vient de nous le rappeler 😉

Message 2, par curiosus

§ Posté le 29/04/2013 à 15h 10m 59

Bonjour


J'ai pris connaissance de cet article et du diaporama associé

Mon FAI est Orange donc pas d'auto-hebergement possible ?

Message 3, par Mindiell

§ Posté le 29/04/2013 à 19h 26m 57

Si, tu peux. Mais t'as pas d'IP fixe et l'hébergement de serveur mail est compliqué (port 25 fermé). Mais j'y travaille ;o)

Message 4, par Elzen

§ Posté le 29/04/2013 à 20h 23m 49

Voilà, oui.


Pour les mails, le port 25 bloqué rend les choses assez délicates, il faut passer par des solutions de contournement que, personnellement, je ne connais absolument pas, n'ayant jamais eu à me pencher sur le problème.


Pour tout le reste, l'adresse IP non-fixe pose quelques problèmes (il faudra passer par un système du genre dyndns pour avoir un nom de domaine fonctionnel), mais rien de trop bloquant, donc si tu veux héberger autre chose que du mail, c'est tout à fait possible 😉


(Orange est situé dans les pires pour cette conférence-là puisqu'elle était dédiée au mail, mais dans celle-ci où nous présentions l'auto-hébergement en général, il était « entre deux » (“moche”, mais pas “mauvais” comme numéricable.)

(Suite au décès inopiné de mon précédent serveur, je profite de mettre en place une nouvelle machine pour essayer de refaire un outil de blog digne de ce nom. J'en profiterai d'ailleurs aussi pour repasser un peu sur certains articles, qui commencent à être particulièrement datés. En attendant, le système de commentaires de ce blog n'est plus fonctionnel, et a donc été désactivé. Désolé ! Vous pouvez néanmoins me contacter si besoin par mail (« mon login at ma machine, comme les gens normaux »), ou d'ailleurs par n'importe quel autre moyen. En espérant remettre les choses en place assez vite, tout plein de datalove sur vous !)