Matt Biscay

Matt Biscay est développeur WordPress et WooCommerce certifié chez Codeable, ainsi que sysadmin qualifié et enseignant-chercheur. Passionné par le code performant et les solutions sécurisées, je m'efforce d'offrir une expérience utilisateur exceptionnelle sur chaque projet. 🔗 En savoir plus sur mes services: 🌐 Mon Portfolio 📧 Me Contacter Vous avez aimé cet article ? Vous avez un projet en tête et vous pensez que je pourrais vous aider ? N'hésitez pas à me contacter, je serais ravi de discuter avec vous de votre projet !

Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim

6 February 202423 septembre 2014 by Matt Biscay · Lecture: 8 minutes

Cela fait quelques années maintenant que mon serveur tourne et je trouvais le serveur de mail (postfix) bien fonctionnel plutôt bien jusqu’à ce que je reçoive des messages de la part de Gmail comme quoi les emails envoyés par le site sont considérés comme spam!

Et c’est à ce moment que l’on réalise qu’être bloqué par son fournisseur email, ce n’est pas cool du tout : à chaque fois qu’un nouveau commentaire est publié et que quelqu’un y est abonné, l’erreur se déclenche et le mail part en mail delivery service.

Voici le message type que l’on reçoit de Gmail dans ce cas:

Final-Recipient: rfc822; ***@gmail.com
Action: failed
Status: 5.7.1
Remote-MTA: dns; gmail-smtp-in.l.google.com
Diagnostic-Code: smtp; 550-5.7.1 Our system has detected an unusual rate of unsolicited mail originating from your IP address. To protect our users from spam, mail sent from your IP address has been blocked. Please visit
    https://support.google.com/mail/answer/81126 to review our Bulk Email Senders Guidelines. Code language: JavaScript (javascript)

Lorsque l’on monte un serveur email, rien n’est sécurisé par défaut. Avec tout le spam en circulation, il y a des entêtes à ajouter lors de l’envoi pour que le courrier ne soit pas considéré comme indésirable :

Il est donc temps de sécuriser un peu notre serveur de mail.

Étape 1 : diagnostics

Sur le serveur dans le terminal, on envoie un mail de test :

mail  check-auth@verifier.port25.comCode language: CSS (css)

Résultat:

==========================================================
Summary of Results
==========================================================
SPF check:          softfail
DomainKeys check:   neutral
DKIM check:         neutral
Sender-ID check:    softfail
SpamAssassin check: ham

Du fail et du neutral, ce n’est pas trop bon! Nous allons commencer par activer SPF et Sender-ID.

Étape 2 : ajouter SPF et Sender-ID à BIND

Nous allons donc ajouter l’authentification SPF (Sender Policy Framework) à notre enregistrement DNS. On édite le fichier de configuration BIND de notre domaine :

nano /etc/bind/skyminds.net.hosts

Et on y ajoute à la fin du fichier :

;SPF
skyminds.net. IN TXT "v=spf1 ip4:IP4SERVEUR mx -all"
skyminds.net. IN SPF "v=spf1 ip4:IP4SERVEUR mx -all"
mail.skyminds.net. IN  TXT  "v=spf1 ip4:IP4SERVEUR a -all"
mail.skyminds.net. IN  SPF  "v=spf1 ip4:IP4SERVEUR a -all"Code language: JavaScript (javascript)

Remplacez IP4SERVEUR par l’IPv4 de votre serveur et skyminds.net par votre nom de domaine. Enregistrez le fichier et relancez BIND :

/etc/init.d/bind9 restart

On renvoie un mail de test :

mail  check-auth@verifier.port25.comCode language: CSS (css)

Nouveau résultat :

==========================================================
Summary of Results
==========================================================
SPF check:          pass
DomainKeys check:   neutral
DKIM check:         neutral
Sender-ID check:    pass
SpamAssassin check: ham

Pas mal, on vient d’activer le SPF et le Sender-ID en 2 minutes !

Étape 3 : installation de l’authentification DKIM

DKIM (DomainKeys Identified Mail) est une norme d’authentification fiable du nom de domaine de l’expéditeur d’un courrier électronique : DKIM fonctionne par signature cryptographique du corps du message et d’une partie de ses en-têtes.

Une signature DKIM vérifie donc l’authenticité du domaine expéditeur et garantit l’intégrité du message. Idéal pour lutter contre le spam.

1. On installe opendkim :

apt-get install opendkim opendkim-toolsCode language: JavaScript (javascript)

Et on édite le fichier de configuration:

nano /etc/opendkim.conf

On supprime tout le contenu de ce fichier et on met :

 # Enable Logging
Syslog yes
SyslogSuccess yes
LogWhy yes

# User mask
UMask 002

# Always oversign From (sign using actual From and a null From to prevent
# malicious signatures header fields (From and/or others) between the signer and the verifier)
OversignHeaders From

# Our KeyTable and SigningTable
KeyTable refile:/etc/opendkim/KeyTable
SigningTable refile:/etc/opendkim/SigningTable

# Trusted Hosts
ExternalIgnoreList /etc/opendkim/TrustedHosts
InternalHosts /etc/opendkim/TrustedHosts

# Hashing Algorithm
SignatureAlgorithm rsa-sha256

# Auto restart when the failure occurs. CAUTION: This may cause a tight fork loops
AutoRestart Yes
DNSTimeout  5

# Set the user and group to opendkim user
UserID opendkim:opendkim

# Specify the working socket
Socket inet:12345@localhost

Canonicalization relaxed/relaxedCode language: PHP (php)

2. On édite la configuration par défaut d’opendkim:

nano /etc/default/opendkimCode language: JavaScript (javascript)

Avec :

# Command-line options specified here will override the contents of
# /etc/opendkim.conf. See opendkim(8) for a complete list of options.
#DAEMON_OPTS=""
#
# Uncomment to specify an alternate socket
# Note that setting this will override any Socket value in opendkim.conf
#SOCKET="local:/var/run/opendkim/opendkim.sock" # default
#SOCKET="inet:54321" # listen on all interfaces on port 54321
SOCKET="inet:12345@localhost" # listen on loopback on port 12345
#SOCKET="inet:12345@192.0.2.1" # listen on 192.0.2.1 on port 12345Code language: PHP (php)

3. On crée un nouveau répertoire pour notre clé et on assigne les droits à l’utilisateur opendkim, du groupe opendkim:

mkdir -pv /etc/opendkim/skyminds.net/
chown -Rv opendkim:opendkim /etc/opendkim
chmod go-rwx /etc/opendkim/*

Ensuite, on crée une paire de clés pour chaque domaine :

cd /etc/opendkim/skyminds.net/
opendkim-genkey -r -h rsa-sha256 -d skyminds.net -s mail -b 4096
mv -v mail.private mail
chown opendkim:opendkim *
chmod u=rw,go-rwx * Code language: PHP (php)

Cela nous crée 2 fichiers : un fichier mail (clé privée) et un fichier mail.txt qui contiendra notre clé publique.

4. On ajoute notre clé publique à l’enregistrement DNS du domaine dans BIND:

nano /etc/bind/skyminds.net.hosts

On y copie notre clé publique (/etc/opendkim/skyminds.net/mail.txt) à la fin du fichier :

;DKIM
_domainkey.skyminds.net. IN TXT "t=y; o=-;"
mail._domainkey.skyminds.net. IN TXT "v=DKIM1; k=rsa; p=MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQC6YG5lJXmZxgz1eFprQfEV8oqUjYceMNPctuhi/Fo+oE+4oeDwMTDyPJcGCuJMp2XZxL2X3a8/Q9g3StekiHWqPehY7cyrnYZg6ttTCdbJYGAc/t0rVCKut/2baiGw9lcMq5sbUG9YywEEI/rN4Fu0PCU1A6BkqtNAepPhDwVRAQIDAQAB; t=s"; ----- DKIM key mail for skyminds.net
_adsp._domainkey.skyminds.net. IN TXT "dkim=unknown"Code language: JavaScript (javascript)

On enregistre le fichier et on relance BIND :

/etc/init.d/bind9 restart

5. On associe les domaines avec les clés :

nano  /etc/opendkim/KeyTable

La syntaxe du fichier est la suivante :
KeyID Domain:Selector:PathToPrivateKey

Nous ajoutons donc :

skyminds.net skyminds.net:mail:/etc/opendkim/skyminds.net/mailCode language: JavaScript (javascript)

6. On édite ensuite la table des signatures :

nano /etc/opendkim/SigningTable

à laquelle on ajoute :

*@skyminds.net skyminds.netCode language: CSS (css)

7. On définit les domaines considérés comme trusted :

nano /etc/opendkim/TrustedHosts

Avec :

127.0.0.1
localhost
ns.kimsufi.com
skyminds.netCode language: CSS (css)

Il ne faut pas oublier d’ajouter le DNS de votre hébergeur (ns.kimsufi.com chez moi).

8. On applique maintenant les bons droits à nos fichiers :

chown opendkim:opendkim /etc/opendkim/KeyTable
chown opendkim:opendkim /etc/opendkim/SigningTable
chown opendkim:opendkim /etc/opendkim/TrustedHosts

9. On édite maintenant la configuration Postfix :

nano /etc/postfix/main.cf

Et on rajoute :

# DKIM
milter_default_action = accept
milter_protocol = 6
smtpd_milters = inet:localhost:12345
non_smtpd_milters = $smtpd_miltersCode language: PHP (php)

On redémarre bind, opendkim et postfix pour vérifier que tout va bien :

/etc/init.d/bind9 restart
/etc/init.d/opendkim restart
/etc/init.d/postfix restart

10. On vérifie qu’opendkim est bien lancé sur le serveur :

ps aux | grep dkim
netstat -tanp | grep dkim

Étape 4 : tests et vérifications

Il faut maintenant attendre que la propagation DNS prenne effet, cela peut prendre quelques heures.

Vous pouvez lancer un test DKIM ici : http://www.brandonchecketts.com/emailtest.php

Vérifiez les erreurs mail dans les logs :

tail -f /var/log/mail.logCode language: JavaScript (javascript)

Envoyez-vous un email via le terminal. Voici ce que vous devriez obtenir :

Étape 5 : optimiser la vitesse d’envoi

Quelques jours après la réalisation et la mise en place du tutoriel, je me suis aperçu que Gmail grognait toujours à cause de la vitesse à laquelle étaient envoyés les emails, notamment lorsque beaucoup de gens sont abonnés aux commentaires : en cas de nouveau commentaire, une flopée de notifications partent au même moment – ce qui déclenche le message d’erreur chez Gmail.

Pour améliorer cela, on édite à nouveau le fichier de configuration postfix :

nano /etc/postfix/main.cf

Et on y rajoute :

# Matt : NOT TOO FAST COWBOY!
# This means that postfix will up to two concurrent
# connections per receiving domains. The default value is 20.
default_destination_concurrency_limit = 2
# Postfix will add a delay between each message to the same receiving domain.
default_destination_rate_delay = 5s
# Limit the number of recipients of each message.
# If a message had 20 recipients on the same domain, postfix will break it out
default_extra_recipient_limit = 3Code language: PHP (php)

Cela se connecte au maximum avec 2 connexions par domaine, avec un délai de 5 secondes entre chaque message s’ils sont envoyés au même domaine et on envoie par tranche de 3 messages. Un peu alambiqué mais cela semble satisfaire Google.

Voilà, c’est fini. Les messages de votre serveur de mail devraient maintenant être un peu plus acceptés dans les boîtes de réception !

Steve Hackett and Ray Wilson – The Carpet Crawlers

30 March 202217 septembre 2014 by Matt Biscay · Lecture: 1 minute

Voici Steve Hackett qui invite Ray Wilson à chanter sur la chanson The Carpet Crawlers – issue de l’excellent album The Lamb Lies Down on Broadway (1974) – au The Glasgow Royal Concert Hall (15 mai 2013) :

Magnifique version non ?

Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403

30 March 202215 septembre 2014 by Matt Biscay · Lecture: 1 minute

Le problème : l’adresse du site sans WWW renvoie une erreur

Après avoir ajouté un sous-domaine pour mes images, j’ai remarqué qu’en lançant skyminds.net sans le www, je tombais sur une erreur 403 alors que le domaine avait toujours été redirigé vers l’adresse en www jusqu’à présent.

En analysant les logs Apache, je me suis rendu compte que le domaine seul tentait d’afficher le contenu de mon sous-domaine. Or ce contenu est caché étant donné qu’il ne contient que des images.

La solution : indiquer le nom de domaine seul dans ServerAlias

La solution est d’ajouter le nom de domaine seul dans la directive ServerAlias du VirtualHost principal :

ServerName www.skyminds.net
ServerAlias skyminds.netCode language: CSS (css)

Et voilà, tout revient à la normale.

Documentaire: “Hellfest, le metal expliqué à ma mère”

23 November 202214 septembre 2014 by Matt Biscay · Lecture: 2 minutes

Le reportage « Hellfest : le metal expliqué à ma mère » a été diffusé sur France 4. Thomas VDB est allé à la rencontre des festivaliers et des artistes pour tenter de comprendre l’esprit du festival et de l’expliquer au plus grand nombre.

Le documentaire démarre avec des images de festivaliers qui courent vers l’enceinte du Hellfest avant de mettre en avant le fameux discours sur le metal du député Patrick Roy à l’Assemblée nationale.

Très vite, on se retrouve également devant des images du concert de Judas Priest donné à Clisson tout en naviguant dans l’Histoire de notre mouvement musical avec l’exemple Black Sabbath, les explications de Stephan Forté (Adagio) et les réponses de Rob Zombie, Phil Anselmo (Down), Attila (Mayhem).

C’est valorisant pour le Hellfest tout en restant drôle : qui a dit que se faire réveiller au camping par une dizaine de metalleux hurlant à plein poumons n’était pas le réveil idéal ? J’émets quelques petites réserves là quand même : y’a des matins où je préfére récupérer de la nuit !

Le documentaire est bien construit et satisfera autant les fans du genre que les néophytes auquel il s’adresse en envisageant le metal comme un mouvement musical à part entière sans mettre de côté les principales thématiques qui lui sont liées et qui font son folklore.

Linux : résoudre l’erreur cron “line too long in state file /var/lib/logrotate/status”

8 April 202212 septembre 2014 by Matt Biscay · Lecture: 2 minutes

Ce matin, j’ai reçu ce message d’erreur de mon serveur par email :

/etc/cron.daily/logrotate:
error: line 672139 too long in state file /var/lib/logrotate/status
error: could not read state file, will not attempt to write into it
run-parts: /etc/cron.daily/logrotate exited with return code 1Code language: JavaScript (javascript)

Sous les systèmes GNU/linux, logrotate est le service qui archive les fichiers log de manière à ne pas travailler sur des fichiers trop lourds.

Les fichiers sont donc archivés plus ou moins régulièrement, selon leur taille et leur utilisation : certains sont archivés tous les jours, d’autres toutes les semaines.

Or, si logrotate ne fonctionne pas correctement, la taille des fichiers explose, ce qui posera tôt ou tard un souci sur le serveur.

Lorsque logrotate n’arrive pas à lire ou à écrire dans le fichier /var/lib/logrotate/status, il faut :

1. supprimer le fichier /var/lib/logrotate/status :

rm -rf /var/lib/logrotate/statusCode language: JavaScript (javascript)

2. et relancer logrotate :

logrotate -f /etc/logrotate.conf

Le fichier /var/lib/logrotate/status ne sert finalement qu’à garder une trace de la dernière rotation des fichiers logs. Ce fichier ne devrait pas contenir énormément de lignes.

Ps : si vous utilisez Varnish, commentez les lignes le concernant dans /etc/logrotate.conf, il est peu utile d’encombrer le serveur avec les logs de ressources statiques.

Chet Faker – Love and Feeling (Live Sessions)

30 March 202209 septembre 2014 by Matt Biscay · Lecture: 1 minute

Chet Faker, de son vrai nom Nicholas James Murphy, est un musicien australien né en 1988. Son pseudo est un hommage au jazzman Chet Baker:

“I listened to a lot of jazz and I was a big fan of … the way he sang, when he moved into mainstream singing. He had this really fragile vocal style—this really, broken, close-up and intimate style. The name is kind of just an ode to Chet Baker and the mood of music he used to play—something I would like to at least pay homage to in my own music.”
— Chet Faker
— Chet Faker

Voici le morceau Love and Feeling, issu des Live Sessions :

Mélancolique !

Hell on Wheels saison 4

30 March 202208 septembre 2014 by Matt Biscay · Lecture: 1 minute

Voici la quatrième saison de la série Hell on Wheels sur AMC.

Cette saison se centre encore et toujours sur l’expansion vers l’Ouest de l’Union Pacific Railroad.

Des conflits entre le gouvernement et des entreprises, des ranchers, des colons et la ligne de chemin de fer éclatent.

Tous ces intérêts différents entrent en compétition les uns avec les autres pour le contrôle de la ville de Cheyenne, dans le Wyoming, l’un des noeuds les plus importants de la ligne de chemin de fer en 1867.

Sun tan lines : les lignes de bronzage

9 March 202407 septembre 2014 by Matt Biscay · Lecture: 1 minute

La rentrée passée, il est toujours rigolo de constater les marques ou l’absence de marques de bronzage chez les collègues, selon les sports qu’ils ont pratiqués durant l’été.

Il y a celles et ceux qui sont encore sous Biafine, ceux qui se sont dorés la pilule pendant deux mois et les autres, ceux qui se sont cachés du soleil et qui restent blancs comme des cachets d’aspirine, été comme hiver.

Dans mon cas, un peu de crème solaire au début des vacances et hop, tranquille pour le reste de l’année.

Hell On Wheels : Mumford & Sons – As Brothers We Will Stand

30 March 202206 septembre 2014 by Matt Biscay · Lecture: 1 minute

Lorsque je fais ma séquence sur les Natives avec mes 3èmes, je leur montre quelques extraits de la série Hell on Wheels.

Cela leur montre les conditions de vie de l’époque, les tenues vestimentaires, le racisme et l’intolérance… bref, c’est très instructif et cela les fait parler.

Cette scène en particulier les touche beaucoup : il s’agit de la scène de l’épisode 1×09 où les Natives se font massacrer par les hommes du régiment :

La musique de Mumford & Sons est superbe et contraste avec la violence des images.

Karl Golden and Lui Matthews – All Along The Watchtower

8 April 202202 septembre 2014 by Matt Biscay · Lecture: 1 minute

All Along The Watchtower est un morceau légendaire écrit par Bob Dylan et repris par une foule d’artistes dont Jimi Hendrix ou Eric Clapton.

Voici le morceau repris par Karl Golden à la guitare et Lui Matthews au chant :

J’adore cette version, c’est plutôt moderne comme angle.

Linux : résoudre l’erreur de montage/démontage de disque dur “Error unmounting: umount exited with exit code 1: helper failed with: umount: only root can unmount”

30 March 202230 août 2014 by Matt Biscay · Lecture: 2 minutes

Sur mon ordinateur, surnommé The Reaper, j’ai plusieurs disques dur : mon disque principal est un disque formaté en EXT4, entièrement dédié à Linux.

Les deux autres disques durs sont formatés en NTFS car ils datent du temps où j’avais Windows dessus.

Le problème : un disque en lecture seule

L’autre jour, Cécile cherche à sauvegarder ses fichiers sur son disque externe, qui ne semble pas être détecté.

Je lui propose alors le mien et le branche sur ma machine pour voir s’il reste de la place dessus.

Je le monte et là je m’aperçois qu’il est en mode lecture seule (aka read-only ou r-o) : impossible de copier le moindre fichier dessus alors qu’avant c’était bien possible.

Après de multiples recherches, essais, installations de paquets divers et variés, la situation a un peu changé : mes 2 disques internes se montent maintenant automatiquement au démarrage du système (ce que je ne veux absolument pas).

Lorsque je veux les démonter, j’obtiens le fameux message d’erreur “Error unmounting: umount exited with exit code 1: helper failed with: umount: only root can unmount” qui me dit en substance que seul l’utilisateur root peut monter ou démonter le disque.

Bref, je tombe de Charybde en Scylla. Voici comment régler la situation une bonne fois pour toute, disques internes et externes à la fois.

1. On liste les disques du système avec :

df

2. On démonte les disques en question (sda chez moi) :

sudo umount /dev/sda1

3. On installe le paquet ntfs-config :

sudo apt-get install ntfs-configCode language: JavaScript (javascript)

4. On lance ntfs-config depuis Applications > Outils Système > Outil de configuration NTFS ou depuis le terminal avec :

gksudo ntfs-config

5. On active l’écriture des disques internes et externes :

6. On édite le fichier de configuration /etc/fstab :

sudo nano /etc/fstab

et on retire les lignes qui correspondent aux disques durs dont on ne veut pas le montage automatique. Vous pouvez commenter les lignes pour plus de sécurité.

7. Voilà, vous devriez être en mesure d’accéder à vos disques durs normalement.

Conclusion

J’ai beaucoup joué avec les options avancées de ntfs-config mais je ne suis pas sûr d’en maîtriser toutes les subtilités.

J’ai retrouvé un accès complet à mes disques en montage/démontage/lecture/écriture en éditant le fichier /etc/fstab et en supprimant les lignes relatives aux disques incriminés. Et depuis tout va bien.

Led Zeppelin – Whole Lotta Love (Rough Mix With Vocal)

30 March 202229 août 2014 by Matt Biscay · Lecture: 2 minutes

Led Zeppelin est – une nouvelle fois – en train de remasteriser ses albums.

Voici Whole Lotta Love, sur l’album Led Zeppelin II, avec une version sans les arrangements habituels et la voix de Robert :

Le clip est une compilation de performances live rares et la chanson fera partie du CD bonus de la version “Limited Edition Super Deluxe” de Led Zeppelin II.

Voici ce qu’a dit Jimmy Page à propos du morceau :

“This version of Whole Lotta Love is the mix down from the night that we recorded it so it doesn’t have any of the overdubs that everyone will be familiar with, because when they hear this they’ll think, ‘Oh yeah, that’s the original’ and all of a sudden they’ll go ‘No, it’s not.’
People who love Led Zeppelin, who listen intently, are going to get so much out of this.”
Jimmy Page

et Robert Plant :

“You can see how songs grow. There must have been five or six other takes of that, which are not present. So the shaping of these things is very interesting and you can hear with this particular version that we haven’t quite reached the point yet, and that it’s very, very close.”
Robert Plant

← Précédent Suivant →