L'internet rapide et permanent

Outils pour utilisateurs

Outils du site

Vous êtes ici : L'internet rapide et permanent » SMTP/IMAP en pratique » SASL

Ceci est une ancienne révision du document !

Table des matières

SASL

(Simple Authentication and Security Layer)

Dovecot est en mesure d'authentifier les utilisateurs titulaires d'une boîte aux lettres. SASL permet à Postfix d'interroger Dovecot pour authentifier un client désireux d'utiliser le MTA pour poster ses messages.

Postfix sait parler SASL avec deux serveurs concurrents. Pour le vérifier, utilisons la commande postconf -a1) : 

postconf -a

cyrus
dovecot
(«Cyrus» est l'autre système de gestion de courrier électronique. Plus ancien et offrant plus d'outils annexes comme CalDAV et CardDAV. Probablement plus adapté à de grosses structures que celle qui nous intéresse ici.)

Nous allons activer et configurer correctement le service SASL sur Dovecot et sur Postfix.

Sur Dovecot

Nous devons avoir dans 10-master.conf le service auth et le compléter comme suit: 

service auth {
  unix_listener auth-userdb {
  }
  unix_listener /var/spool/postfix/private/auth {
    mode = 0660
    user = postfix
    group = postfix
  }
}

Ce qui veut dire que le serveur SASL implémenté dans Dovecot va écouter sur un socket unix placé dans la cage de Postfix (/var/spool/postfix), et que ce socket sera accessible en lecture comme en écriture par l'utilisateur « postfix ».

Ne pas oublier de relancer Dovecot.

Sur postfix

Dans ''main.cf''

Nous devons préciser le type sasl employé (dovecot), ainsi que l'emplacement du socket du daemon d'authentification de Dovecot (que nous avons placé dans /var/spool/postfix/private/auth). Ceci se traduit par l'ajout de ces deux lignes : 

smtpd_sasl_type = dovecot
smtpd_sasl_path = private/auth

(Le chemin vers le socket est donné de façon relative de manière à ce qu'il soit indépendant du chemin de mise en cage de Postfix).

Ces paramètres peuvent être mis sous forme d'options dans master.cf au paragraphe «submission».

Dans ''master.cf''

Nous devons activer la « submission » qui ne l'est pas par défaut, en décommentant les lignes suivantes : 


# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
...
submission inet n       -       -       -       -       smtpd
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
...

Ceci va ouvrir le port «submission» (par défaut 587) que les clients pourront utiliser pour poster leurs e-mails après authentification.

Côté client

Le client (MUA2)) devra configurer son serveur sortant de manière à utiliser STARTTLS sur le port 587, indiquer son nom d'utilisateur e-mail (partie gauche de sa vraie adresse dans le cas où il disposerait d'aliases) et le mot de passe sera le même que pour l'accès à sa BAL IMAP.

1)
List the available SASL plug-in types for the Postfix SMTP server. The plug-in type is selected with the smtpd_sasl_type configuration parameter by specifying one of the names listed below.
2)
Mail User Agent; Thunderbird, Claws-mail, Evolution…
SASL: Dernière modification le: 30/05/2025 à 09:14 par prof