====== Postfix avec SASL ======
===== Profitons des acquis =====
Nous allons faire une synthèse de ce qui a été vu avec Postfix + Dovecot pour aboutir à un ''main.cf'' de cette forme :
<code>
smtpd_banner = $myhostname ESMTP Experimental

disable_vrfy_command = yes
smtpd_helo_required = yes
smtpd_sender_restrictions =
    permit_mynetworks,
    reject_non_fqdn_sender
    reject_unknown_sender_domain,
    permit

smtpd_client_restrictions =
    permit_mynetworks,
    reject_rbl_client blackholes.easynet.nl,
    reject_rbl_client cbl.abuseat.org,
    reject_rbl_client proxies.blackholes.wirehub.net,
    reject_rbl_client bl.spamcop.net,
    reject_rbl_client sbl.spamhaus.org,
    reject_rbl_client dnsbl.njabl.org,
    permit

biff = no

append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

# TLS parameters
smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

myhostname = cyrus.nain-t.net
myorigin = $myhostname
mydestination = $myhostname, localhost.nain-t.net, localhost,  mysql:/etc/postfix/db/mydestination.cf
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

virtual_alias_maps = mysql:/etc/postfix/db/virtual-alias.cf

mailbox_transport = lmtp:unix:/cyrussock/lmtp
</code>

Modifions ''master.cf'' comme déjà vu, pour utiliser le port ''submission'' :
<code>
#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# Do not forget to execute "postfix reload" after editing this file.
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
submission inet n       -       -       -       -       smtpd
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
  -o smtpd_recipient_restrictions=permit_sasl_authenticated,reject
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#  -o milter_macro_daemon_name=ORIGINATING
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
	-o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}
</code>

Mais pour utiliser SASL ici, il va nous falloir créer un fichier ''/etc/postfix/sasl/smtpd.conf'' de la forme :
<code>
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
minimum_layer: 0
saslauthd_path: /var/run/saslauthd/mux
</code>

Pour être tout à fait explicite, il faudrait aussi ajouter dans le fichier ''main.cf'' les deux lignes suivantes :
  smtpd_sasl_type = cyrus
  smtpd_sasl_path = smtpd

Il se trouve que ce sont les valeurs par défaut, mais mieux vaut le dire de façon explicite.

Ce n'est pas tout... saslauthd, lorsqu'il démarre peut attribuer des droits assez particuliers au répertoire dans lequel se trouve le mux (observé à l'heure où ces lignes sont écrites, sur une Debian Lenny) :
<html><pre class="code">
# ls -l /var/spool/postfix/var/run
total 0
drwxrwxr-x 2 cyrus postfix 19 jun 12 16:47 cyrus
<span class="bhlo">drwx--x--- 2 root  sasl</span><span class="hly">    88 jun 17 16:47 saslauthd</span>
</pre></html>

Si bien que l'utilisateur ''postfix'' ne peut accéder au mux de saslauthd et donc, l'authentification échoue systématiquement. Pas question de modifier quoi que ce soit à ces droits, ils sont restaurés à chaque redémarrage de saslauthd.

Dans ce cas, une solution est donc d'intégrer l'utilisateur ''postfix'' au groupe ''sasl'' :
  # usermod -a -G sasl postfix

Vérification :
  # groups postfix
  postfix sasl

===== Et PAM ? =====
Parce que SASL, c'est bien, mais il fait appel à PAM. Nous avons un fichier ''imap'' dans ''/etc/pam.d/'', mais nous n'en avons pas pour smtp ou si nous en avons un, il n'est sans doute pas bon. Nous devons utiliser le même processus que pour imap, donc dans un premier temps, un :
  # cp /etc/pam.d/imap /etc/pam.d/smtp

Devrait faire l'affaire pour l'instant.

Redémarrage de Postfix, et la connexion sur le port ''submission'' avec authentification doit fonctionner