200-postfix-dovecot-etc:040-sasl

SASL

(Simple Authentication and Security Layer)

Dovecot est en mesure d'authentifier les utilisateurs titulaires d'une boîte aux lettres. SASL permet à Postfix d'interroger Dovecot pour authentifier un client désireux d'utiliser le MTA pour poster ses messages.

Postfix sait parler SASL avec deux serveurs concurrents. Pour le vérifier, utilisons la commande postconf -a¹⁾ :

postconf -a

cyrus
dovecot

(«Cyrus» est l'autre système de gestion de courrier électronique. Plus ancien et offrant plus d'outils annexes comme CalDAV et CardDAV. Probablement plus adapté à de grosses structures que celle qui nous intéresse ici.)

Nous allons activer et configurer correctement le service SASL sur Dovecot et sur Postfix.

Sur Dovecot

Nous l'avions prévu dans 10-master.conf en configurant le service auth comme suit:

service auth {
  unix_listener auth-userdb {
  }
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

Ce qui a fait apparaître le socket UNIX nécessaire.

Sur postfix

Dans ''main.cf''

Nous devons préciser le type sasl employé (dovecot), ainsi que l'emplacement du socket du daemon d'authentification de Dovecot (que nous avons placé dans /var/spool/postfix/private/auth). Ceci se traduit par l'ajout de ces deux lignes :

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

(Le chemin vers le socket est donné de façon relative de manière à ce qu'il soit indépendant du chemin de mise en cage de Postfix).

Ces paramètres peuvent être mis sous forme d'options dans master.cf au paragraphe «submission».

Dans ''master.cf''

Nous devons activer la « submission » qui ne l'est pas par défaut, en décommentant les lignes suivantes :


# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
...
submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
...

Ceci va ouvrir le port «submission» (par défaut 587) que les clients pourront utiliser pour poster leurs e-mails après authentification.

Côté client

Le client (MUA²⁾) devra configurer son serveur sortant de manière à utiliser STARTTLS sur le port 587, indiquer son nom d'utilisateur e-mail (partie gauche de sa vraie adresse dans le cas où il disposerait d'aliases) et le mot de passe sera le même que pour l'accès à sa BAL IMAP.

¹⁾

List the available SASL plug-in types for the Postfix SMTP server. The plug-in type is selected with the smtpd_sasl_type configuration parameter by specifying one of the names listed below.

²⁾

Mail User Agent; Thunderbird, Claws-mail, Evolution…