10.3. Configuration de Postfix pour l'utilisation de SASL
Postfix prend en charge l'authentification SMTP (AUTH) basée sur la couche d'authentification et de sécurité simple (SASL). SMTP AUTH est une extension du protocole de transfert de courrier simple. Actuellement, le serveur SMTP Postfix prend en charge les implémentations SASL de la manière suivante :
- Dovecot SASL
- Le serveur SMTP Postfix peut communiquer avec l'implémentation SASL de Dovecot en utilisant soit une socket UNIX-domain, soit une socket TCP. Utilisez cette méthode si les applications Postfix et Dovecot tournent sur des machines séparées.
- Cyrus SASL
- Lorsque cette option est activée, les clients SMTP doivent s'authentifier auprès du serveur SMTP à l'aide d'une méthode d'authentification prise en charge et acceptée à la fois par le serveur et le client.
Conditions préalables
-
Le paquet
dovecot
est installé sur le système
Procédure
Configurer Dovecot :
Inclure les lignes suivantes dans le fichier
/etc/dovecot/conf.d/10-master.conf
:service auth { unix_listener /var/spool/postfix/private/auth { mode = 0660 user = postfix group = postfix } }
L'exemple précédent utilise des sockets de domaine UNIX pour la communication entre Postfix et Dovecot. L'exemple suppose également des paramètres de serveur SMTP Postfix par défaut, qui incluent la file d'attente de courrier située dans le répertoire
/var/spool/postfix/
, et l'application fonctionnant sous l'utilisateur et le groupepostfix
.Optionnel : Configurer Dovecot pour qu'il écoute les demandes d'authentification de Postfix via TCP :
service auth { inet_listener { port = port-number } }
Spécifiez la méthode que le client de messagerie utilise pour s'authentifier avec Dovecot en éditant le paramètre
auth_mechanisms
dans le fichier/etc/dovecot/conf.d/10-auth.conf
:auth_mechanisms = plain login
Le paramètre
auth_mechanisms
prend en charge différentes méthodes d'authentification en texte clair et en texte non clair.
Configurez Postfix en modifiant le fichier
/etc/postfix/main.cf
:Activer l'authentification SMTP sur le serveur SMTP Postfix :
smtpd_sasl_auth_enable = yes
Activer l'utilisation de l'implémentation SASL de Dovecot pour l'authentification SMTP :
smtpd_sasl_type = dovecot
Indiquez le chemin d'authentification relatif au répertoire de la file d'attente Postfix. Notez que l'utilisation d'un chemin relatif garantit que la configuration fonctionne indépendamment du fait que le serveur Postfix tourne sur
chroot
ou non :smtpd_sasl_path = private/auth
Cette étape utilise des sockets de domaine UNIX pour la communication entre Postfix et Dovecot.
Pour configurer Postfix afin qu'il recherche Dovecot sur une autre machine dans le cas où vous utilisez des sockets TCP pour la communication, utilisez des valeurs de configuration similaires à ce qui suit :
smtpd_sasl_path = inet : ip-address: port-number
Dans l'exemple précédent, remplacez ip-address par l'adresse IP de la machine Dovecot et port-number par le numéro de port spécifié dans le fichier
/etc/dovecot/conf.d/10-master.conf
de Dovecot.Spécifiez les mécanismes SASL que le serveur SMTP Postfix met à la disposition des clients. Notez que vous pouvez spécifier des mécanismes différents pour les sessions cryptées et non cryptées.
smtpd_sasl_security_options = noanonymous, noplaintext smtpd_sasl_tls_security_options = noanonymous
Les directives précédentes précisent que lors des sessions non chiffrées, aucune authentification anonyme n'est autorisée et qu'aucun mécanisme transmettant des noms d'utilisateur ou des mots de passe non chiffrés n'est autorisé. Pour les sessions cryptées utilisant TLS, seuls les mécanismes d'authentification non anonymes sont autorisés.