Rechercher
SupportConsoleDéveloppeursCommencer un essaiContact

1.3. Mise en place d'un serveur Dovecot avec authentification SQL MariaDB

download PDF

Si vous stockez les utilisateurs et les mots de passe dans un serveur SQL MariaDB, vous pouvez configurer Dovecot pour qu'il l'utilise comme base de données des utilisateurs et comme backend d'authentification. Avec cette configuration, vous gérez les comptes de manière centralisée dans une base de données, et les utilisateurs n'ont pas d'accès local au système de fichiers sur le serveur Dovecot.

Les comptes gérés de manière centralisée sont également un avantage si vous envisagez de mettre en place plusieurs serveurs Dovecot avec réplication pour rendre vos boîtes aux lettres hautement disponibles.

1.3.1. Installation de Dovecot

Le paquet dovecot fournit :

  • Le service dovecot et les services publics pour le maintenir
  • Les services que Dovecot démarre à la demande, par exemple pour l'authentification
  • Plugins, tels que le filtrage du courrier côté serveur
  • Fichiers de configuration dans le répertoire /etc/dovecot/
  • Documentation dans le répertoire /usr/share/doc/dovecot/

Procédure

  • Installez le paquetage dovecot: 

    # dnf install dovecot
    Note

    Si Dovecot est déjà installé et que vous avez besoin de fichiers de configuration propres, renommez ou supprimez le répertoire /etc/dovecot/. Ensuite, réinstallez le paquetage. Sans supprimer les fichiers de configuration, la commande dnf reinstall dovecot ne réinitialise pas les fichiers de configuration dans /etc/dovecot/.

Prochaine étape

1.3.2. Configuration du cryptage TLS sur un serveur Dovecot

Dovecot fournit une configuration sécurisée par défaut. Par exemple, TLS est activé par défaut pour transmettre des informations d'identification et des données cryptées sur les réseaux. Pour configurer TLS sur un serveur Dovecot, il suffit de définir les chemins d'accès aux fichiers de certificats et de clés privées. De plus, vous pouvez augmenter la sécurité des connexions TLS en générant et en utilisant les paramètres Diffie-Hellman pour fournir un secret parfait (PFS).

Conditions préalables

  • Dovecot est installé.

  • Les fichiers suivants ont été copiés aux emplacements indiqués sur le serveur :

    • Le certificat du serveur : /etc/pki/dovecot/certs/server.example.com.crt
    • La clé privée : /etc/pki/dovecot/private/server.example.com.key
    • Le certificat de l'autorité de certification (CA) : /etc/pki/dovecot/certs/ca.crt
  • Le nom d'hôte figurant dans le champ Subject DN du certificat du serveur correspond au nom de domaine complet (FQDN) du serveur.

Procédure

  1. Définir des autorisations sécurisées pour le fichier de la clé privée : 

    # chown root:root /etc/pki/dovecot/private/server.example.com.key
# chmod 600 /etc/pki/dovecot/private/server.example.com.key

  2. Générer un fichier avec les paramètres Diffie-Hellman : 

    # openssl dhparam -out /etc/dovecot/dh.pem 4096

    En fonction du matériel et de l'entropie du serveur, la génération de paramètres Diffie-Hellman avec 4096 bits peut prendre plusieurs minutes.

  3. Définissez les chemins d'accès aux fichiers de certificats et de clés privées dans le fichier /etc/dovecot/conf.d/10-ssl.conf:

    1. Mettez à jour les paramètres ssl_cert et ssl_key et définissez-les de manière à utiliser les chemins d'accès au certificat et à la clé privée du serveur : 

      ssl_cert = </etc/pki/dovecot/certs/server.example.com.crt
ssl_key = </etc/pki/dovecot/private/server.example.com.key

    2. Décommentez le paramètre ssl_ca et définissez-le de manière à utiliser le chemin d'accès au certificat d'autorité de certification : 

      ssl_ca = </etc/pki/dovecot/certs/ca.crt

    3. Décommentez le paramètre ssl_dh et indiquez-lui le chemin d'accès au fichier des paramètres Diffie-Hellman : 

      ssl_dh = </etc/dovecot/dh.pem
    Important

    Pour s'assurer que Dovecot lit la valeur d'un paramètre à partir d'un fichier, le chemin d'accès doit commencer par le caractère <.

Prochaine étape

Ressources supplémentaires

  • /usr/share/doc/dovecot/wiki/SSL.DovecotConfiguration.txt

1.3.3. Préparer Dovecot à utiliser des utilisateurs virtuels

Par défaut, Dovecot effectue de nombreuses actions sur le système de fichiers en tant qu'utilisateur du service. Cependant, configurer le back-end de Dovecot pour qu'il utilise un utilisateur local pour effectuer ces actions présente plusieurs avantages :

  • Dovecot effectue des actions sur le système de fichiers en tant qu'utilisateur local spécifique au lieu d'utiliser l'ID de l'utilisateur (UID).
  • Les utilisateurs n'ont pas besoin d'être disponibles localement sur le serveur.
  • Vous pouvez stocker toutes les boîtes aux lettres et tous les fichiers spécifiques à l'utilisateur dans un répertoire racine.
  • Les utilisateurs n'ont pas besoin d'un UID et d'un GID, ce qui réduit les efforts d'administration.
  • Les utilisateurs qui ont accès au système de fichiers du serveur ne peuvent pas compromettre leurs boîtes aux lettres ou leurs index, car ils ne peuvent pas accéder à ces fichiers.
  • La mise en place de la réplication est plus facile.

Conditions préalables

  • Dovecot est installé.

Procédure

  1. Créez l'utilisateur vmail: 

    # useradd --home-dir /var/mail/ --shell /usr/sbin/nologin vmail

    Dovecot utilisera par la suite cet utilisateur pour gérer les boîtes aux lettres. Pour des raisons de sécurité, n'utilisez pas les utilisateurs du système dovecot ou dovenull à cette fin.

  2. Si vous utilisez un chemin différent de celui de /var/mail/, définissez le contexte SELinux de mail_spool_t, par exemple : 

    # semanage fcontext -a -t mail_spool_t "<path>(/.*)?"
# restorecon -Rv <path>

  3. Accordez les droits d'écriture sur /var/mail/ uniquement à l'utilisateur vmail: 

    # chown vmail:vmail /var/mail/
# chmod 700 /var/mail/

  4. Décommentez le paramètre mail_location dans le fichier /etc/dovecot/conf.d/10-mail.conf et attribuez-lui le format et l'emplacement de la boîte aux lettres : 

    mail_location = sdbox:/var/mail/%n/

    Avec ce réglage :

    • Dovecot utilise le format de boîte aux lettres dbox en mode single. Dans ce mode, le service stocke chaque courrier dans un fichier séparé, comme dans le format maildir.
    • Dovecot résout la variable %n dans le chemin du nom d'utilisateur. Ceci est nécessaire pour s'assurer que chaque utilisateur dispose d'un répertoire séparé pour sa boîte aux lettres.

Prochaine étape

Ressources supplémentaires

  • /usr/share/doc/dovecot/wiki/VirtualUsers.txt
  • /usr/share/doc/dovecot/wiki/MailLocation.txt
  • /usr/share/doc/dovecot/wiki/MailboxFormat.dbox.txt
  • /usr/share/doc/dovecot/wiki/Variables.txt

1.3.4. Utilisation d'une base de données SQL MariaDB comme backend d'authentification Dovecot

Dovecot peut lire les comptes et les mots de passe d'une base de données MariaDB et les utiliser pour authentifier les utilisateurs lorsqu'ils se connectent au service IMAP ou POP3. Les avantages de cette méthode d'authentification sont les suivants

  • Les administrateurs peuvent gérer les utilisateurs de manière centralisée dans une base de données.
  • Les utilisateurs n'ont pas d'accès local au serveur.

Conditions préalables

  • Dovecot est installé.
  • La fonctionnalité des utilisateurs virtuels est configurée.
  • Les connexions au serveur MariaDB prennent en charge le cryptage TLS.
  • La base de données dovecotDB existe dans MariaDB, et la table users contient au moins une colonne username et password.
  • La colonne password contient des mots de passe cryptés avec un schéma supporté par Dovecot.
  • Les mots de passe utilisent le même schéma ou ont un {pw-storage-scheme} préfixe.
  • L'utilisateur MariaDB dovecot a le droit de lire la table users dans la base de données dovecotDB.
  • Le certificat de l'autorité de certification (CA) qui a émis le certificat TLS du serveur MariaDB est stocké sur le serveur Dovecot dans le fichier /etc/pki/tls/certs/ca.crt.

Procédure

  1. Installez le paquetage dovecot-mysql: 

    # dnf install dovecot-mysql

  2. Configurer les backends d'authentification dans le fichier /etc/dovecot/conf.d/10-auth.conf:

    1. Commentez les déclarations include pour les fichiers de configuration du backend d'authentification auth-*.conf.ext dont vous n'avez pas besoin, par exemple : 

      #!include auth-system.conf.ext

    2. Activez l'authentification SQL en décommentant la ligne suivante : 

      !include auth-sql.conf.ext

  3. Modifiez le fichier /etc/dovecot/conf.d/auth-sql.conf.ext et ajoutez le paramètre override_fields à la section userdb comme suit : 

    userdb {
  driver = sql
  args = /etc/dovecot/dovecot-sql.conf.ext
  override_fields = uid=vmail gid=vmail home=/var/mail/%n/
}

    En raison des valeurs fixes, Dovecot n'interroge pas ces paramètres à partir du serveur SQL.

  4. Créez le fichier /etc/dovecot/dovecot-sql.conf.ext avec les paramètres suivants : 

    driver = mysql
connect = host=mariadb_srv.example.com dbname=dovecotDB user=dovecot password=dovecotPW ssl_ca=/etc/pki/tls/certs/ca.crt
default_pass_scheme = SHA512-CRYPT
user_query = SELECT username FROM users WHERE username='%u';
password_query = SELECT username AS user, password FROM users WHERE username='%u';
iterate_query = SELECT username FROM users;

    Pour utiliser le cryptage TLS vers le serveur de base de données, définissez l'option ssl_ca sur le chemin du certificat de l'autorité de certification qui a émis le certificat du serveur MariaDB. Pour que la validation du certificat fonctionne, le nom d'hôte du serveur MariaDB doit correspondre au nom d'hôte utilisé dans son certificat TLS.

    Si les valeurs du mot de passe dans la base de données contiennent un préfixe {pw-storage-scheme} vous pouvez omettre le paramètre default_pass_scheme.

    Les requêtes dans le fichier doivent être définies comme suit :

    • Pour le paramètre user_query, la requête doit retourner le nom d'utilisateur de l'utilisateur Dovecot. La requête ne doit également renvoyer qu'un seul résultat.
    • Pour le paramètre password_query, la requête doit retourner le nom d'utilisateur et le mot de passe, et Dovecot doit utiliser ces valeurs dans les variables user et password. Par conséquent, si la base de données utilise des noms de colonnes différents, utilisez la commande SQL AS pour renommer une colonne dans le résultat.
    • Pour le paramètre iterate_query, la requête doit renvoyer une liste de tous les utilisateurs.

  5. Définir des autorisations sécurisées sur le fichier /etc/dovecot/dovecot-sql.conf.ext: 

    # chown root:root /etc/dovecot/dovecot-sql.conf.ext
# chmod 600 /etc/dovecot/dovecot-sql.conf.ext

Prochaine étape

Ressources supplémentaires

  • /usr/share/doc/dovecot/example-config/dovecot-sql.conf.ext
  • /usr/share/doc/dovecot/wiki/Authentication.PasswordSchemes.txt

1.3.5. Compléter la configuration de Dovecot

Une fois que vous avez installé et configuré Dovecot, ouvrez les ports requis dans le service firewalld, puis activez et démarrez le service. Vous pouvez ensuite tester le serveur.

Conditions préalables

  • Les éléments suivants ont été configurés dans Dovecot :

    • Cryptage TLS
    • Un backend d'authentification
  • Les clients font confiance au certificat de l'autorité de certification (AC).

Procédure

  1. Si vous souhaitez fournir uniquement un service IMAP ou POP3 aux utilisateurs, décommentez le paramètre protocols dans le fichier /etc/dovecot/dovecot.conf et définissez-le en fonction des protocoles requis. Par exemple, si vous n'avez pas besoin de POP3, définissez : 

    protocols = imap lmtp

    Par défaut, les protocoles imap, pop3 et lmtp sont activés.

  2. Ouvrez les ports dans le pare-feu local. Par exemple, pour ouvrir les ports des protocoles IMAPS, IMAP, POP3S et POP3, entrez : 

    # firewall-cmd --permanent --add-service=imaps --add-service=imap --add-service=pop3s --add-service=pop3
# firewall-cmd --reload

  3. Activez et démarrez le service dovecot: 

    # systemctl enable --now dovecot

Vérification

  1. Utilisez un client de messagerie, tel que Mozilla Thunderbird, pour vous connecter à Dovecot et lire les courriels. Les paramètres du client de messagerie dépendent du protocole que vous souhaitez utiliser :

    Tableau 1.3. Paramètres de connexion au serveur Dovecot
    ProtocolPortSécurité des connexionsMéthode d'authentification

    IMAP

    143

    STARTTLS

    PLAIN[a]

    IMAPS

    993

    SSL/TLS

    PLAIN[a]

    POP3

    110

    STARTTLS

    PLAIN[a]

    POP3S

    995

    SSL/TLS

    PLAIN[a]

    [a] Le client transmet des données cryptées via la connexion TLS. Par conséquent, les informations d'identification ne sont pas divulguées.

    Notez que ce tableau ne liste pas les paramètres pour les connexions non chiffrées car, par défaut, Dovecot n'accepte pas l'authentification en texte clair sur les connexions sans TLS.

  2. Afficher les paramètres de configuration avec des valeurs autres que celles par défaut : 

    # doveconf -n

Ressources supplémentaires

  • firewall-cmd(1) page de manuel
Red Hat logoGithubRedditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez leBlog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

© 2024 Red Hat, Inc.