Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy

Aujourd’hui, on va s’atteler à sécuriser le serveur de mail, géré par Postfix et Courier, pour utiliser notre certificat SSL et en ajoutant le Perfect Forward Secrecy.

Ce tutoriel part du principe que votre serveur tourne sous Debian et que vous avez suivi le tutoriel précédent sur Postfix avec gestion d’utilisateurs virtuels, c’est-à-dire que le serveur de mail doit déjà être opérationnel.

Vérification du fonctionnement du serveur de mail

On commence par vérifier que le serveur est capable d’envoyer des mails avec :

echo "test" | mail -s testsubject user@example.com

Si le mail est reçu, passez à l’étape suivante.

Configuration du certificat SSL

Nous allons concaténer la clé et le certificat pour Courier :

cd /etc/ssl
cat skyminds.net.key  skyminds_net.crt >> courier-key-crt-dh.pem

et on va y inclure un échange de clés Diffie-Hellman :

openssl dhparam 2048 >> courier-key-crt-dh.pem

On ajoute une autre clé DH en 2048 bits:

openssl gendh -out /etc/postfix/dh_2048.pem -2 2048

L’échange de clés Diffie-Hellman – du nom de ses auteurs Whitfield Diffie et Martin Hellman – est une méthode par laquelle deux personnes nommées conventionnellement Alice et Bob peuvent se mettre d’accord sur un nombre (qu’ils peuvent utiliser comme clé pour chiffrer la conversation suivante) sans qu’une troisième personne appelée Ève puisse découvrir le nombre, même en ayant écouté tous leurs échanges. Cela sécurise un peu plus l’échange.

Configuration Postfix pour le certificat SSL

On concatène notre certificat avec le certificat root de notre CA dans un nouveau fichier de certificat au format PEM pour Postfix :

cd /etc/ssl
cat skyminds_net.crt skyminds_net.ca-bundle > skyminds-crt-ca-postfix.pem

On édite le fichier de configuration Postfix :

nano /etc/postfix/main.cf

On y ajoute :

# skyminds.net real certificate
smtpd_tls_cert_file = /etc/ssl/skyminds-crt-ca-postfix.pem
smtpd_tls_key_file = $smtpd_tls_cert_file

smtp_tls_CAfile = /etc/ssl/certs/ca-certificates.crt

# TLS Auth
smtpd_tls_security_level = may
smtp_tls_security_level = $smtpd_tls_security_level
smtpd_tls_auth_only = yes

# TLS Ciphers - PFS
#tls_ssl_options = NO_COMPRESSION
tls_preempt_cipherlist = yes
smtpd_tls_ciphers = high
smtp_tls_ciphers = $smtpd_tls_ciphers
smtpd_tls_mandatory_ciphers = high
smtp_tls_mandatory_ciphers = $smtpd_tls_mandatory_ciphers
smtpd_tls_exclude_ciphers = aNULL, MD5, DES, 3DES, DES-CBC3-SHA, RC4-SHA, AES256-SHA, AES128-SHA
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = TLSv1, TLSv1.1, TLSv1.2
tls_high_cipherlist = ECDH+aRSA+AES256:ECDH+aRSA+AES128:AES256-SHA:DES-CBC3-SHA
smtp_tls_protocols = $smtpd_tls_protocols
smtp_tls_mandatory_protocols = $smtpd_tls_mandatory_protocols
smtp_tls_note_starttls_offer = yes
smtpd_tls_received_header = yes
# DH
smtpd_tls_dh1024_param_file = /etc/postfix/dh_2048.pem
# ECDH
smtpd_tls_eecdh_grade = ultra

# cache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_tls_session_cache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_tls_session_cache
tls_random_source = dev:/dev/urandom

# logs
smtpd_tls_loglevel = 1
smtp_tls_loglevel = 1

Sauvegardez le fichier et relancez Postfix:

postfix reload

Configuration de Courier pour le certificat SSL

Pour Courier, il y a deux fichiers à éditer : /etc/courier/pop3d-ssl et /etc/courier/imapd-ssl.

1. On commence par /etc/courier/pop3d-ssl :

nano /etc/courier/pop3d-ssl

Changez la configuration pour adopter ces valeurs :

POP3DSSLSTART=NO

POP3_STARTTLS=YES

POP3_TLS_REQUIRED:1

TLS_PROTOCOL=TLS1

TLS_STARTTLS_PROTOCOL=TLS1

TLS_CIPHER_LIST="TLSv1:HIGH:!SSLv3:!SSLv2:!LOW:!MEDIUM:!EXP:!NULL:!aNULL@STRENGTH"

TLS_CERTFILE=/etc/ssl/courier-key-crt-dh.pem

Important : on édite maitenant le fichier de service courier-pop-ssl:

nano /etc/init.d/courier-pop-ssl

On recherche :

case "$POP3DSSLSTART" in
        [yY]*)START=yes;;
esac

et juste en dessous de ce bloc, on ajoute :

// Matt : start TLS
case "$POP3DSTARTTLS" in
        [yY]*)START=yes;;
esac
//

2. On passe ensuite à /etc/courier/imapd-ssl :

nano /etc/courier/imapd-ssl

Changez les directives suivantes pour y mettre ces valeurs :

IMAPDSSLSTART=NO

IMAPDSTARTTLS=YES

IMAP_TLS_REQUIRED=1

TLS_PROTOCOL=TLS1

TLS_STARTTLS_PROTOCOL=TLS1

TLS_CIPHER_LIST="TLSv1:HIGH:!SSLv3:!SSLv2:!LOW:!MEDIUM:!EXP:!NULL:!aNULL@STRENGTH"

TLS_CERTFILE=/etc/ssl/courier-key-crt-dh.pem

Cela désactive SSL et active TLS. La dernière directive permet d’assigner à Courier le fichier de certificat créé à l’étape 2.

Important : on édite maintenant le fichier de service courier-imap-ssl:

nano /etc/init.d/courier-imap-ssl

on recherche :

case "$IMAPDSSLSTART" in
        [yY]*)START=yes;;
esac

et juste en-dessous on ajoute :

// Matt : start TLS
case "$IMAPDSTARTTLS" in
        [yY]*)START=yes;;
esac
//

Cela évite l’erreur de démarrage du service imap-ssl (référence).

3. On relance tous les services associés à Courier :

find /etc/init.d/ | grep courier | while read line; do $line restart; done

et postfix :

service postfix restart

Vérification de la connexion TLS

On peut utiliser OpenSSL pour vérifier que la connexion est bien chiffrée avec TLS. Il suffit de lancer :

openssl s_client -starttls smtp -connect localhost:25 -CAfile /etc/ssl/skyminds_net.ca-bundle 

Important : modifiez la valeur de l’argument -CAfile pour pointer vers le fichier root de votre CA.

Vous devriez obtenir tout un laius dont voici quelques extraits :

SSL handshake has read 5213 bytes and written 478 bytes
---
New, TLSv1/SSLv3, Cipher is ECDHE-RSA-AES256-GCM-SHA384
Server public key is 2048 bit
Secure Renegotiation IS supported
Compression: zlib compression
Expansion: zlib compression
SSL-Session:
    Protocol  : TLSv1.2
    Cipher    : ECDHE-RSA-AES256-GCM-SHA384
    Key-Arg   : None
    PSK identity: None
    PSK identity hint: None
    SRP username: None
    TLS session ticket lifetime hint: 3600 (seconds)
    Compression: 1 (zlib compression)
    Start Time: 1416145621
    Timeout   : 300 (sec)
    Verify return code: 0 (ok)

Si le code retour verify est égal à 0, c’est qu’il n’y a aucune erreur. Votre serveur Postfix devrait donc maintenant utiliser un chiffrement TLS par défaut.

Vous pouvez aussi vérifier les dernières tentatives de connexions TLS en analysant le fichier mail.log :

zegrep "TLS connection established from.*with cipher" /var/log/mail.log | awk '{printf("%s %s %s %s\n", $12, $13, $14, $15)}' | sort | uniq -c | sort -n

Résultat :

      2 TLSv1.1 with cipher ECDHE-RSA-AES256-SHA
      2 TLSv1.2 with cipher ECDHE-RSA-AES256-SHA
      9 TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384
      9 TLSv1 with cipher ECDHE-RSA-AES256-SHA

Ressources

M’ont servi pour la rédaction de ce tutoriel les ressources suivantes :

  • http://www.postfix.org/FORWARD_SECRECY_README.html
  • https://github.com/ioerror/duraconf/blob/master/configs/postfix/main.cf
  • https://blog.yrden.de/2013/08/02/my-mail-setup.html
  • http://beufa.net/blog/perfect-forward-secrecy-pour-postfix-dovecot/
  • http://www.mad-hacking.net/documentation/linux/applications/mail/using-ssl-tls-postfix-courier.xml
  • https://blog.tinned-software.net/harden-the-ssl-configuration-of-your-mailserver/
  • https://www.sidorenko.io/blog/2014/02/13/secure-ssl-configuration-for-apache-postfix-dovecot/
  • https://bettercrypto.org/static/applied-crypto-hardening.pdf
  • https://www.internetstaff.com/best-practical-ssl-configuration/
  • http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
  • https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=765739

Synopsis » Monter un serveur dédié de A à Z

  1. Serveur dédié : installation d’Apache, PHP, MySQL et Webmin
  2. Serveur dédié : créer la base de données MySQL et importer WordPress
  3. Serveur dédié : créer et activer un Virtual Host sous Apache
  4. Serveur dédié : changer les DNS du nom de domaine et le faire pointer vers le serveur
  5. Serveur dédié : sécurisation des services avec iptables et fail2ban
  6. Serveur dédié : sécurisation de la couche TCP/IP
  7. Serveur dédié : création d’un serveur mail Postfix (sécurisé avec Saslauthd et certificat SSL) et Courier (accès POP et IMAP) utilisant une base MySQL d’utilisateurs/domaines virtuels
  8. Serveur dédié : sécuriser Apache 2 avec ModSecurity
  9. Serveur dédié : CHMOD récursif sur des fichiers ou répertoires en ligne de commande
  10. Serveur dédié : installer APC comme système de cache et configurer Varnish comme reverse-proxy pour Apache pour améliorer les performances
  11. Serveur dédié : afficher la véritable IP derrière un reverse-proxy comme Varnish
  12. Serveur dédié : intégrer SSH à WordPress pour mettre à jour le core, les plugins et les thèmes
  13. Serveur dédié : installer la dernière version d’APC par SVN
  14. Serveur dédié : analyse des performances du serveur
  15. Serveur dédié : mettre à jour le noyau Debian de la Kimsufi
  16. Serveur dédié : sauvegarde automatique des fichiers avec Backup Manager sur le serveur de sauvegarde OVH
  17. Serveur dédié : configurer la limite mémoire pour PHP et Suhosin
  18. Bash : supprimer tous les fichiers et sous-répertoires d’un répertoire
  19. Serveur dédié : impossible de se connecter à un port distant
  20. Rsync: rapatrier les fichiers du serveur à la maison
  21. Bash : réparer les tables MySQL en cas de crash
  22. Serveur dédié : création d’une seedbox avec Transmission
  23. Serveur dédié : des paquets LAMP à jour sous Debian
  24. Serveur dédié : mise à jour vers Debian 7 Wheezy
  25. Serveur dédié : activer X11 forwarding pour SSH
  26. Serveur dédié : optimiser toutes les images JPG et PNG avec OptiPNG et JpegOptim
  27. Postfix : résoudre l’erreur “fatal: www-data(33): message file too big”
  28. Serveur dédié : mise en place de l’IPv6
  29. WordPress : accorder les bonnes permissions aux fichiers et dossiers avec chown et chmod
  30. WordPress : héberger les images sur un sous-domaine
  31. Serveur dédié : ajouter l’authentification SPF, Sender-ID et DKIM à Postfix et Bind9 avec opendkim
  32. Apache : lorsque le domaine seul (sans WWW) renvoie une erreur 403
  33. Serveur dédié : sécuriser Apache avec HTTPS (HTTP avec la couche TLS/SSL) en Perfect Forward Secrecy
  34. Serveur dédié : passer WordPress en HTTPS (TLS/SSL)
  35. Serveur dédié : configurer Webmin en TLS avec un certificat SSL
  36. Serveur dédié : configurer Transmission pour accéder au WebUI via TLS-SSL
  37. Serveur dédié : installer et configurer Varnish 4
  38. Serveur dédié : passage au mod FastCGI et PHP-FPM avec Apache MPM Worker
  39. Récupérer un serveur Kimsufi après un plantage de kernel avec le mode rescue OVH
  40. Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy
  41. Serveur dédié : retirer Varnish, devenu inutile avec HTTPS
  42. Serveur dédié : installer la dernière version d’OpenSSL sous Debian
  43. Serveur dédié : activer l’IP canonique du serveur sous Apache
  44. Serveur dédié : mise à jour vers PHP 5.6
  45. MySQL : convertir les tables MyISAM au format InnoDB
  46. Serveur dédié : optimiser toutes les images GIF avec GIFsicle
  47. Serveur dédié : migration de MySQL vers MariaDB
  48. BASH : lister, bloquer et débloquer des adresses IP avec iptables
  49. Serveur dédié : produire une meilleure réserve d’entropie avec haveged
  50. Serveur dédié : mettre en place DNSSEC pour sécuriser les DNS du domaine
  51. Serveur dédié : mise en place du protocole DANE
  52. 8 règles d’or pour bien déployer DNSSEC et DANE
  53. Serveur dédié : installer PHP7 FPM avec FastCGI sous Debian
  54. Serveur dédié : optimiser la couche TCP
  55. Fail2Ban: protéger Postfix contre les attaques DoS de types AUTH, UNKNOWN et EHLO
  56. Serveur dédié : mettre à jour Apache pour HTTP/2
  57. Serveur dédié : ajouter le domaine à la liste HSTS preload
  58. Serveur dédié : ajouter l’authentification DMARC à Postfix et BIND
  59. Serveur dédié : à la recherche de l’inode perdue ou comment résoudre le problème “no space left on device”
  60. Serveur dédié : installer NginX avec support HTTP2 et certificat SSL, PHP, MariaDB sous Debian

Vous voulez un site WordPress ou WooCommerce qui soit à la fois rapide et performant? Vous êtes au bon endroit.

Découvrez comment je peux booster votre site »

Articles conseillés :

3 pensées sur “Serveur dédié : configurer Postfix et Courier pour utiliser TLS-SSL en Perfect Forward Secrecy”

Opinions