* Rôle Ansible : <https://forge.evolix.org/projects/ansible-roles/repository/show/postfix>
[Postfix](http://www.postfix.org/) est serveur [SMTP](HowtoSMTP) libre et populaire sous GNU/Linux et BSD. Il a été développé en 1999 par [Wietse Venema](http://www.porcupine.org/wietse/) comme une alternative plus facile à administrer et plus sécurisée que l'historique _Sendmail_.
## Installation
~~~
# apt install postfix
# postconf -d | grep ^mail_version
mail_version = 2.11.3
~~~
## Configuration
Postfix s'appuie principalement sur le fichier `/etc/postfix/master.cf` (configuration des process de Postfix) et le fichier `/etc/postfix/main.cf` (configuration des options).
L'utilitaire **postconf** permet de lister/vérifier les options du `main.cf`.
~~~
## Lister les options par défaut
# postconf -d
## Lister les options actuelles
# postconf
## Lister les options modifiées par rapport au défaut
# postconf -n
## Manpage très détaillée sur toutes les options disponibles
# man 5 postconf
~~~
### Configuration minimale
Pour une configuration minimale, nous conseillons d'avoir le fichier
`main.cf` suivant en ajustant le paramètre _myhostname_ avec un
enregistrement DNS existant pointant vers le serveur concerné :
Un serveur web va souvent envoyer des emails, et notamment vers des fournisseurs d'accès connus (gmail.com, orange.fr, etc.). On conseille donc d'ajouter les options suivantes dans `main.cf` pour gérer le rythme d'envoi :
Il faut également créer le fichier `/etc/postfix/transport` et indiquer des domaines vers lesquels le rythme d'envoi sera plus lent (à cause de restrictions de leur côté) :
~~~
orange.fr slow:
wanadoo.fr slow:
voila.fr slow:
laposte.net slow:
~~~
On fera ensuite :
~~~
# postmap /etc/postfix/transport
# systemctl restart postfix
~~~
### Configuration avancée pour serveur de messagerie
Pour l'envoi d'emails depuis des clients SMTP authentifiés (*smtpd_sasl_auth_enable=yes*), on active en général le port TCP/587 (appelé _SMTP Submission_) qui n'accepte que des connexions chiffrées (*smtpd_tls_security_level=encrypt*) et le port TCP/465 (appelé _SMTPS_) qui n'accepte que des connexions SMTP over TLS (*smtpd_tls_wrappermode=yes*). Ces activations se font en décommentant les lignes appropriées dans `/etc/postfix/master.cf`.
On peut ensuite vérifier l’activation de SSL/TLS au niveau serveur en obtenant le message `STARTTLS` dans une session SMTP :
Postfix envoie une trace de ses actions à _Syslog_ avec la facility *LOG_MAIL*. On retrouve donc les fichiers de journalisation définis dans le fichier `/etc/rsyslog.conf` :
*Note* : ce sont les adresses email d'enveloppe affichées dans les logs Postfix
L'indication **delays=a/b/c/d** dans les logs est utile pour avoir des informations sur le temps d'envoi d'un mail :
~~~
a=time before queue manager, including message transmission;
b=time in queue manager;
c=connection setup time including DNS, HELO and TLS;
d=message transmission time.
~~~
### File d'attente
Postfix utilise différentes files d'attente (ou queues). Les files d'attente principales sont _incoming_, _active_ et _deferred_ :
~~~
incoming : première étape pour tous les nouveaux messages (après un passage par cleanup)
active : messages en cours de livraison (provenant principalement d'incoming ou deferred)
deferred : messages non délivrés lors du premier essai
~~~
Il existe aussi d'autres files d'attente, qui servent beaucoup moins fréquemment : _corrupt_ (messages invalides) et _hold_ (messages mis de côté).
Ces files d'attente sont des répertoires situés dans `/var/spool/postfix`dans lesquels chaque message est stocké dans un fichier (sur une seule ligne), avec une arborescence de 16 répertoires (0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F) pour optimiser lorsqu'un grand nombre de messages est dans une file d'attente. On peut gérer ces files d'attente grâce à des commandes d'administration.
`mailq` (ou `sendmail -bp`) liste toutes les files d'attente. Cela nous donne pour chaque message :
* Queue ID
* Taille du message
* Date d'arrivée dans la file d'attente
* Expéditeur
* Éventuelle raison de non-livraison (entre parenthèses)
* Destinataires(s)
Voici dans quel ordre sont listés les messages :
* Messages de la queue _active_ (une étoile figure à côté du Queue ID)
* Messages de la queue _deferred_
* Messages de la queue _hold_ (un point d'exclamation figure à côté du queue ID)
Exemples pratiques :
~~~
## Afficher le contenu d'un message
# postcat -vq <queue_id>
## Copier un message dans un fichier
# postcat -vq <queue_id> > themessage.txt
## Supprimer un message (ou tous) des files d'attente
# postsuper -d <queue_id>
# postsuper -d ALL
## Supprimer tous les messages de la queue deferred
*Note* : le `BEGIN { RS = "" }` est nécessaire car la sortie de mailq peut être sur plusieurs lignes, et le `tr -d '*!'` permet de ne pas prendre les messages en « hold ».
*À savoir* : la commande `postsuper -r` est pratique dans les cas où l'on a modifié des alias ou des ré-écritures, elle va déposer les messages concerné dans la queue _maildrop_ et lui attribuer un nouveau <queue_id>. Attention, cela ne va pas provoquer un envoi immédiat car le traitement des files d'attente est différé. Si l'on veut un ré-envoi immédiat d'un message :
/!\\ Attention, `mailq -q` (ou `sendmail -q`) réactive immédiatemment l'ensemble des messages en file d'attente, il faut donc l'utiliser avec modération, surtout sur les serveurs avec des files d'attentes chargées.
/!\\ Attention, pour un serveur recevant pas mal de messages, cela peut générer pas de notifications. Si nécessaire, ajuster ainsi pour avoir un minimum d'alertes :
Postfix est découpé en plusieurs processus (qmgr, pickup, smtp, smtpd, bounce, cleanup, error, etc.) contrôlé par un processus nommé `master`. Chaque processus est défini dans le fichier de configuration `master.cf`.
Sur un serveur inactif, vous verrez au minimum les processus suivants :
~~~
|-master,432636 -l -t unix -u
| |-qmgr,5036 -l -t unix -u-u -c
| `-pickup,9162 -l -t unix -u -c
~~~
Sur un serveur actif, vous verrez de nombreux processus, par exemple :
* Le processus **bounce** gère les messages de non-livraison qui sont stockés dans les répertoires `/var/spool/postfix/bounce/*`, `/var/spool/postfix/defer/*` ou encore `/var/spool/postfix/trace/*` selon les types de message.
Par exemple pour mettre un message personnalisé (et en Français) des DSN du type « successful delivery ».
Installer le paquet `postfix-doc`, copier le fichier `bounce.cf.default` dans `/etc/postfix/bounce.cf`, éditer le fichier comme voulu et ajouter la directive `bounce_template_file = /etc/postfix/bounce.cf` à postfix.
La surveillance régulière des fichiers de journalisation ainsi que des files d'attente s'avère nécessaire, éventuellement à l'aide d'outils permettant de générer des statistiques, des courbes, etc. On peut ainsi citer l'outil **mailgraph** qui trace des courbes _rrdtool_ à partir du fichier de journalisation, ou encore **Munin** qui trace des courbes selon l'état des files d'attente.
### mailgraph
~~~
# apt install mailgraph
~~~
[mailgraph](http://mailgraph.schweikert.ch/) fait tourner un démon Perl qui analyse `/var/log/mail.log`, on peut ensuite visualiser des courbes RRDtool via un script CGI `/usr/lib/cgi-bin/mailgraph.cgi`.
Pour diverses raisons, si l'on ne veut pas avoir de module CGI on pourra utiliser un script Shell à placer en crontab :
* Utiliser une adresse de retour valide (expéditeur d'enveloppe ou **Return-Path**) et traiter les retours régulièrement voire dynamiquement en cas de gros volume
[SPF](https://fr.wikipedia.org/wiki/Sender_Policy_Framework) est une norme pour vérifier l'adresse IP expéditrice d'un email.
La vérification se fait en utilisant le nom de domaine de l'expéditeur d'enveloppe et en récupérant un enregistrement DNS qui va lister les adresses IP autorisées.
Voici un exemple d'enregistrement DNS autorisant des adresses IP pour une adresse en `@example.com`
~~~
@ IN TXT "v=spf1 a mx ptr ip4:192.0.2.142 ip4:192.0.2.0/24 ip6:2001:db8::/32 ~all"
~~~
Voici un exemple d'enregistrement DNS autorisant l'envoi de n'importe où :
~~~
@ IN TXT "v=spf1 a mx ptr +all"
~~~
> *Note* : on peut utiliser un `include:` vers un autre enregistrement TXT, pratique pour la gestion ou éviter d'avoir des enregistrements TXT [dépassant 255 caractères](https://kb.isc.org/docs/aa-00356).
### DKIM
[DKIM](HowtoMail/DKIM) est une norme pour ajouter une signature cryptographique dans les entêtes d'un email envoyé.
La signature se fait à partir à de l'expéditeur d'entête (`From:` d'un email), des entêtes au choix (sujet, date, etc.) et le corps du message.
Cela utilise aussi une clé publique stockée dans un enregistrement DNS TXT.
Voir <https://wiki.evolix.org/HowtoMail/DKIM>
### DMARC
[DMARC](https://fr.wikipedia.org/wiki/DMARC) est spécification qui vient en complément de DKIM et SPF.
Cela permet de spécifier aux serveurs de messagerie comment traiter les emails reçus non conformes aux vérifications SPF et/ou DKIM.
Cela permet également de récupérer des informations voire des emails complets si ils ne sont pas conformes.
Encore une fois, cela se fait avec un enregistrement DNS TXT.
Voici un exemple d'enregistrement DNS basique :
~~~
_dmarc IN TXT "v=DMARC1; p=none; rua=mailto:facteur@example.com"
~~~
Voici un exemple plus avancé :
~~~
_dmarc IN TXT "v=DMARC1;p=none;rua=mailto:facteur+aggr@example.com;ruf=mailto:facteur+forensic@example.com;fo=1;adkim=r;aspf=r;sp=none;pct=100"
C'est un process qui vérifie si le blocage par IP doit s'appliquer sur le mail concerné ou non. La liste des autorisations sont actualisées grâce aux RBL. si l'on obtient ce type de message "if blocked using rbl.foor.bar" alors on peut whitelister l'adresse IP dans `/etc/postfix/postscreen_access.cidr`
Pas besoin de postmap, juste un reload de postfix suffira pour prendre en compte cette nouveauté.
Par défaut, la taille d'un message est limitée à 10 Mo, cela se modifie avec le paramètre `message_size_limit`.
Attention, lorsqu'une pièce jointe est dans un format binaire (exemples : JPG, PDF, etc.), les emails sont traduits en caractères texte (conversion [uuencode](https://fr.wikipedia.org/wiki/Uuencode)) ce qui provoque une augmentation de la taille jusqu'à 40%.
Voici par exemple le paramètre que l'on conseille de mettre si l'on veut autoriser les messages jusqu'à 20 Mo :