Mise en place d'un serveur de Messager ie d'entrepr ise

Introduction générale

Le courrier électronique est le plus populaire des services d’Internet. Au niveau de l’utilisateur, il
présente toutes les caractéristiques du courrier classique : envoi par dépôt à la poste, centre de tri,
acheminement, distribution, boîtes aux lettres.

En entreprise, la messagerie électronique est de plus en plus utilisée et est devenue une application
Internet indispensable. Parce que la messagerie est un vecteur de communication,de productivité et
de production, sa sécurité et sa disponibilité sont des préoccupations légitimes des entreprises.

Toutefois, le protocole SMTP (Simple Mail Transfer Protocol), lors de sa conception, n’a pas
intégré les préoccupations de sécurité actuelles. C’est ce qui explique la prolifération des menaces
techniques qui pèsent aujourd’hui sur la messagerie : virus, « hoax », spam, attaque en déni de
service, usurpation d’adresse, ...

De plus, parce que c’est un outil simple, rapide et expansif, des dérives comportementales et légales
peuvent en résulter et doivent être contrôlées dans le monde de l’entreprise : fuite d’informations,
confidentialité, contenus illicites et saturation des ressources informatiques.
Principe de Fonctionnement
Internet permet de véhiculer plusieurs formes d'informations telles que l’Email (Données, Média...),
le téléphone, le Web (World Wide Web), la vidéoconférence... Ces services sont plus ou moins
intégrés au système d’information, plus ou moins instantanés.

L'architecture '' Logiciel'' de la messagerie:

MUA (Mail User Agent ou Agent Utilisateur de Messages): Ce logiciel est situé sur le poste de
travail de l’utilisateur qui émet le message et sur les postes de travail des utilisateurs qui reçoivent
ce message (exemples : Outlook, Evolution, Thunderbird, ...) . Il fournit l’interface entre
l’utilisateur et la messagerie. Il permet à l’utilisateur la préparation des messages et leur envoi.

MTA (Mail Transfer Agent ou Agent de Transfert de Message): Ce logiciel est situé sur chaque
serveur de messagerie. Le MUA du poste de l’utilisateur est configuré pour travailler avec un MTA
bien défini. Les messages émis par un utilisateur sont envoyés via le MTA pour lequel son poste est
configuré. Les messages reçus par un utilisateur sont récupérés via le MTA pour lequel son poste
est configuré. Le transfert des messages entre utilisateurs est assuré par une chaîne de MTA selon la
situation des utilisateurs sur le réseau. Cette chaîne peut être constituée d’un MTA ou de
plusieurs MTA. A titre d’exemple, pour une société équipée d’un seul serveur de messagerie pour
des échanges de messages en interne, la chaîne est réduite à un seul MTA. Quand la chaîne
comprend plusieurs MTA, les messages sont « relayés » de MTA en MTA, du MTA d’émission »
au MTA « de réception ». Le MTA est souvent appelé « relais SMTP ».

MDA (Mail Delivery Agent ou Agent de Distribution de Message):Ce logiciel est situé sur les
serveurs de messagerie. Le MTA du serveur de destination transmet au MDA les messages qui sont
destinés à ses utilisateurs. Le MDA les stocke dans les Boîtes à Lettres associées aux destinataires
concernés. Ceux-ci viendront les y chercher en utilisant le MUA de leur poste de travail.

Structure d'un Mail

Le mail:
Le mail a une structure similaire à celle d’un courrier classique.
Il est composé d’une enveloppe que l'on appelle "en-tête" qui contient les données relatives aux
adresses des émetteurs et récepteurs, ainsi que le sujet du message, la date, etc...
A la suite de l’en-tête s’ajoute le contenu du mail que l'on appelle le "corps du message". C'est
également cette partie du mail qui comprend les pièces jointes.

L’en-tête du mail contient donc les informations suivantes:

• L'adresse mail d’auteur du message
• L’adresse mail du (ou des) destinataires
• Une adresse à utiliser en cas de réponse
• Le chemin suivi par le message
• Le type d’encodage du message
• Des informations « subsidiaires » (champs X...) comme par exemple le type de
logiciel qui a généré le message.
Lors de la lecture d’un mail, le Mail User Agent (MUA) indique:
• L'expéditeur
• L'objet
• Le corps du message
NB: Chaque mail contient une partie « cachée » qui permet de connaître le chemin qu'il a suivi
avant d’arriver dans la boîte aux lettres de destination.

Le MIME (Multi-purpose Internet Mail Extensions):

A l’origine, les mails étaient prévus pour ne transporter que des caractères du jeu Us-ascii, sans
aucun accent, caractères spéciaux....
MIME est une spécification décrivant les formats de messages sur l’Internet et permet en particulier
pour la messagerie :
• L’échange de textes écrits dans des jeux de caractères étendus ou différents
• L’échange de messages multimédia comme des images, des sons, des séquences vidéos, des
données en tout genres.

Les Protocoles SMTP POP IMAP

Chaque internaute possède une « boîte aux lettres » identifiée par une adresse électronique du type
adresse_perso@[sous_domaine].domaine (steve@[Link])
L’acheminement du mail se fait comme nous l'avons vu en plusieurs étapes. Tout d’abord, le
courrier est envoyé à un serveur de mail qui va se charger de l’acheminer à bon port. Il va donc
transmettre le message au serveur destinataire qui le stocke en attendant que l’internaute
destinataire le récupère à partir de sa boîte aux lettres personnelle.
Contrairement au courrier postal, l’acheminement d’un message électronique est beaucoup plus
rapide, et il peut être distribué automatiquement à plusieurs destinataires à la fois.

Différents protocoles sont utilisés:

• Le protocole SMTP permet de transmettre les messages envoyés par les postes clients.

• Les protocoles POP3 ou IMAP permettent de dialoguer à partir de postes clients afin
d’assurer l’interrogation des boîtes aux lettres et le rapatriement des messages du serveur sur
le poste de travail.

LE PROTOCOLE SMTP (Simple Mail Transfer Protocol):

SMTP est le protocole standard permettant de transférer le courrier soit d’un client à un serveur, soit
d’un serveur à un autre en connexion point à point.
Par exemple, dans le cadre d'un "dialogue" entre un client et un serveur de messagerie, chaque
commande envoyée du client est suivie d’une réponse du serveur SMTP. Une réponse est composée
d’un numéro et d’un message afin de signaler si la commande est prise ou non en compte par le
serveur.
LE PROTCOCOLE POP3 (Post Office Protocol):
Ce protocole permet de récupérer son courrier sur un serveur de mail, et ne fonctionne qu’en mode
connecté.
Tout comme dans le cas du protocole SMTP, le protocole POP3 fonctionne grâce à des commandes
textuelles envoyées au serveur POP3. Chacune des commandes envoyées par le client est composée
d’un mot-clé, éventuellement accompagné d’un ou plusieurs arguments.
A chaque commande, le serveur POP3 envoie une réponse (soit +OK ou –ERR).

LE PROTOCOLE IMAP (Internet Message Access Protocol):

Ce protocole présente des avantages par rapport à POP3 :

• Possibilité de stocker des messages sur le serveur de manière structurée
• Gestion de plusieurs boîtes aux lettres
• Permet l’accès direct à des parties de messages
• Supporte des accès concurrents et des boîtes aux lettres partagées
• Les utilisateurs peuvent accéder à leur courrier à partir de plusieurs machines distantes.

Un service IMAP est un système de fichiers, dont les répertoires sont des classeurs. Chaque classeur
contient des messages et éventuellement d’autres classeurs.
A chaque message sont associées des informations (en plus du corps et de l’en-tête desmessages)
telles que :
• Un numéro unique
• Un numéro de séquence dans son classeur
• Une série de drapeaux (message lu, réponse envoyée, message à effacer, brouillon,...)
• Une date de réception du message.

Mise en place d'un nom de domaine (NDS)

• Qu'est ce qu'un DNS?

Le système de noms de domaine ou (Domain Name System) est un service permettant d'établir une
correspondance entre une adresse IP et un nom de domaine et, plus généralement, de trouver une
information à partir d'un nom de domaine.

• Rôle d'un DNS

Les ordinateurs connectés à un réseau IP, comme Internet, possèdent une adresse IP. Ces adresses
sont numériques afin d'être plus facilement traitées par une machine. En IPv4, elles sont
représentées sous la forme [Link], où xxx est un nombre variant entre 0 et 255 (en système
décimal). En IPv6, les IP sont de la forme xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx, où x
représente un caractère au format hexadécimal.

• Hiérarchie du DNS

Le système des noms de domaines consiste en une hiérarchie dont le sommet est appelé la racine.
On représente cette dernière par un point. Dans un domaine, on peut créer un ou plusieurs sous-
domaines ainsi qu'une délégation pour ceux-ci, c'est-à-dire une indication que les informations
relatives à ce sous-domaine sont enregistrées sur un autre serveur. Ces sous-domaines peuvent à
leur tour déléguer des sous-domaines vers d'autres serveurs.
Tous les sous-domaines ne sont pas nécessairement délégués. Les délégations créent des zones,
c'est-à-dire des ensembles de domaines et leurs sous-domaines non délégués qui sont configurés sur
un serveur déterminé. Les zones sont souvent confondues avec les domaines.
• Résolution du nom par hôte

Les hôtes n'ont qu'une connaissance limitée du système des noms de domaine. Quand ils doivent
résoudre un nom, ils s'adressent à un ou plusieurs serveurs de noms dits récursifs, c'est-à-dire qui
vont parcourir la hiérarchie DNS et faire suivre la requête à un ou plusieurs autres serveurs de noms
pour fournir une réponse. Les adresses IP de ces serveurs récursifs sont souvent obtenues via DHCP
ou encore configurés en dur sur la machine hôte. Les fournisseurs d'accès à Internet mettent à
disposition de leurs clients ces serveurs récursifs. Il existe également des serveurs récursifs ouverts
comme ceux de Google Public DNS ou OpenDNS.

Installation de paquet bind

Configuration du serveur DNS

On se positionne dans le fichier /var/named

On édite le fichier

On copie [Link] dans [Link]

On configure Bind

Création de la zone inverse

Changeons l'appartenance du fichier

Création de fichier zone

Dans le fichier édité, on crée le fichier zone primaire

Dans le fichier édité, on crée la zone inverse

Fixation d'adresse IP du serveur dans /etc/[Link]

Dans le fichier de configuration on fixe l'adresse IP du serveur DNS

On redémarre le serveur DNS

On test la résolution directe

On test la résolution inverse

Configuration du serveur DNS secondaire

Sur le serveur secondaire, on se positionne dans named (cd named)

On édite le fichier de configuration /etc/[Link]

On donne l'adresse IP du maitre dans masters et le nom du domaine dans zone

Sur le master, on autorise le transfert et les requettes venant du serveur secondaire
allow-transfer { [Link]; };
allow-query { any; };

On redémarre les serveurs DNS et on constate la création du fichier « [Link] » dans

/var/named de la machine ayant le serveur secondaire.

Pour que le secondaire prenne en compte les modifications qui ont été effectuées sur le primaire, il
faudrait changer le numéro de série au niveau de l'enregistrement de type SOA sur le serveur
primaire à chaque fois qu'il y aura une modification.

Utilisé principalement pour faire cette correspondance nom de machine–>adresse IP et

réciproquement, le DNS est également indispensable pour le bon fonctionnement du système de
messagerie électronique. En effet, il permet de déterminer quelle est la machine gérant le courrier
électronique pour un domaine donné.

Mise en place d'un annuaire LDAP

Objectifs:

• Connaissance du schéma de l'information

• Maitrise de l'annuaire LDAP
• Mise en place de l'annuaire LDAP
• Intégration du domaine par les clients linux

Définition d'un annuaire LDAP

LDAP (Lightweight Directory Access Protocol) est un protocole standard d'accès aux
annuaires léger permettant d'accéder à des bases d'informations sur les utilisateurs d'un réseau par
l'intermédiaire de protocoles TCP/IP
Rôle d'un annuaire ldap

• Permettre aux clients d'accéder à un service d'annuaire

• Les répertoires contiennent des informations structurées hiérarchique
• Les clients peuvent être contrôlés directement par les individus, embarqués dans des
applications, ou "agents"

Service LDAP utilisé lors de l'intégration des services d'annuaires multiples

• Les répertoires contiennent des informations structurées hiérarchiquement

• constituer un carnet d'adresse
• authentifier des utilisateurs (grâce à un mot de passe)
• définir les droits de chaque utilisateur
• recenser des informations sur un parc matériel (ordinateurs, serveurs, leurs adresses IP et
adresses MAC, ...)
• décrire les applications disponibles

Environnement
Relevez l'emplacement des fichiers des configurations et des schémas sur notre machine.
Les options de la mise en place du contrôleur LDAP

• Création du serveur ldap

• Création des clients
• Création de fichier ldif
• Alimentation de l'annuaire

Création du serveur ldap

Pour créer un serveur LDAP, il faut nécessairement installer les paquets suivants:
• openldap
• openldap-devel
• openldap-servers
• openldap-clients
• autofs

Installation des paquets

On installe les paquets en une seule ligne de commande

Création du serveur ldap

On se positionne dans le répertoire /etc/openldap/

On édite le fichier /etc/[Link]

Dans le fichier édité on dé-commente et on renseigne le host par l'adresse du serveur DNS

Dans le même fichier édité, on renseigne la base et les autres options

Création des clients

On crée le fichier racine en éditant le fichier [Link]

Dans le fichier édité, on crée la racine

On ajoute la racine

Création d'unité organisationnelle (OU):

On crée le fichier racine en éditant le fichier [Link]

On ajoute l'unité organisationnelle

Création des utilisateurs dans l'annuaire

On crée le fichier [Link]

On ajoute la racine
Ici, l'ajout des tous les utilisateurs n'est pas effectifs, d'où nécessite d'édité le fichier /etc/[Link]
On édite le fichier de configuration /etc/[Link]

Dans le fichier édité on aura qu'à dé commenté le host [Link] en précisant l'adresse du
serveur DNS

On ajoute enfin les users

 LDAP-AUTOFS-NFS

On édite le fichier de configuration [Link]

On renseigne la base par le nom du domaine

On renseigne le URI (Universal Resource Identifier) qui sert à identifier de façon unique un
document. Ici l'uri permet d'identifier l'adresse IP permettant l'établissement de la connexion du
serveur LDAP

On donne le mot de passe à l'annuaire (mot de passe = passer)

On fait la correspondance avec le domaine

On fixe le port d'écoute. Ici le port d'écoute par défaut est 389

On décommente ssl

On édite le fichier de configuration du serveur LDAP pour inclure le schéma.

On copie une ligne include et on cole en bas de cette même interface puis on modifie la fin de
la ligne par [Link] permettant d'indiquer le chemin qui mêne du répertoire du fichier
de configuration de schéma de l'annuaire.
Dans le même fichier de configuration du serveur LDAP on précise le mot de passe de
l'administrateur de l'annuaire

On édite le fichier /etc/sysconfig/autofs qui définit les options personnalisées pour le

montage automatique des périphériques. Il contrôle le fonctionnement des démons automount qui
montent automatiquement des systèmes de fichiers lorsqu'ils sont utilisés et les démontent après une
certaine période d'inactivité.

L'URI permet d'identifier l'adresse IP permettant l'établissement de la connexion du serveur LDAP

SEARCH_BASE permet de renseigner la base avec le domaine

On édite le fichier de configuration /etc/[Link]

Dans le fichier de configuration /etc/[Link], on modifie le files nisplus en ldap files

On redémarre le service autofs

On édite le fichier de configuration /etc/[Link]

Dans le fichier de configuration /etc/[Link], on commente la dernière ligne

(+[Link])

On édite au niveau du serveur pour partager les informations

On donne le droit à tous de partager les informations

On redémarre les services (named, autofs, ldap, nfs)

 WEBMAIL

On installe le paquet phpldapadmin

On installe le paquet dovecot-ldap

On installe le paquet httpd

On installe en une seule ligne de commande les paquets suivant openldap, openldap-server,
openladap-clients, openldap-servers-sql)

Installation de squirelmail

On installe le paquet squirrelmail qui est un webmail (c'est-à-dire une interface web permettant de
consulter son courrier électronique), inventé par Nathan et Luke Ehresman, écrit en PHP4. Il
supporte les protocoles IMAP et SMTP, et toutes les pages créées le sont en pur HTML (sans aucun
Javascript), ceci afin d'être compatible avec le maximum de navigateurs. Il est adaptable à toutes
sortes d'architectures.

On se positionne dans le répertoire openldap

On édite le fichier de configuration openldap/[Link]

Dans le fichier de configuration édité, on renseigne URI ldap et la BASE

On édite le fichier de configuration /etc/phpldapadmin/[Link]

Dans le fichier édité, on décommente les deux $servers-> dans /* Example:

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
 Dans ce meme fichier édité, on décommente $servers-> puis précise le nom de domaine et on
donne le mot de passe à l'administrateur

Ensuite, on redémarre le service httpd

On prend un navigateur puis on met dans l'url: [Link] et on valide la

touche Entrer

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
On a cette interface

Après avoir cliqué sur connexion portant l'icône dela tete d'un homme rabougri , on met le passe
pour avoir accès à la page

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
On clic sur connexion pour voir le nombre des entités créer

On clic sur chaque connexion pour voir le nombre des utilisateurs existant dans chaque
option de l'annuaire

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
On se connecte avec l'interface physique de ldap pour choisir les options

On coche la case case comme sur la figure

On fait exactement ce suit sur cette interface

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Pour l'authentification, on coche ce qui suit sur cette interface

Dans l'authentification on a cette interface

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Dans l'option, on coche les options suivantes

Connexion d'un utilisateur

On prend un navigateur et on met l'url suivant pour se connecté à l'interface physique de webmail:

[Link]

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Après avoir appuyer sur la touche entrer pour valider, on a cette interface qui montre que le web
marche sans problème.

L'utilisateur Hardi se connecte pour écrire un message à sa sœur Elkrina

Après la connexion de Hardi, on a cette interface

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Hardi écrit à sa grande sœur Elkrina

Elkrina s'identifie dans l'annuaire pour lire et écrire des messages

Elkrina se connecte par l'interface graphique pour lire le mail envoyer par son petit frère Hardi

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Dans la boite de réception des mails de Elkrina on a ce qui suit:

On clic sur le message et on lit le message écrit

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Elkrina répond au message de son petit frère Hardi

Hardi se connecte pour lire le message de retour de sa grande sœur Elkrina

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Dans la boite de réception de Hardi

Lecture de message par Hardi

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Changement des paramètres en Français
On va dans options et on choisie ce qu'on veut. Après le changement de langue en français, on a ce
qui suis:

Installation du spamassassin

Le SpamAssassin est un outil anti-spam le plus utilisé, il est largement répandu dans les entreprises
et chez certains FAI/webmail. Ce logiciel est ainsi adaptable sur de nombreux serveurs de courriels
dont procmail, sendmail, Postfix, Exim, qmail ; il peut être installé sur la plupart des systèmes basés
sur Linux, Windows et Mac OS X.

Techniquement, SpamAssassin se greffe sur le serveur de messagerie et son rôle est de filtrer tous
les emails en faisant passer un certain nombre de tests au message. En fonction du résultat de ces
tests, il calcule un score pour un message donné, chaque test rajoutant des points au score. Si ce
dernier dépasse un seuil prédéterminé (5 par défaut), le mail est alors considéré comme du spam.

SpamAssassin est disponible gratuitement sur [Link]

On redémarre spamassassin

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Installation de amavisd

Amavisd-new est une plate-forme de filtrage de contenu qui, avec l'aide d'autres applications,
permet de filtrer le courrier contre les virus et le spam. Dans notre configuration, nous utiliserons
deux applications. ClamAV s'occupera de filtrer les virus et Spamassassin le spam. Spamassassin
peut à son tour fonctionner comme une plate-forme de filtrage de contenu et utilisera les
applications DCC et Razor2 de Vipul.

On redémarre amavisd

L'erreur provient du nom de domaine pour cela, suivons cette étape pour bien redémarré l'amavisd

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Recherche du port

Conclusion

La messagerie dans une Entreprise est très importante pour la communication entre employé et
même sortir en dehors de celle-ci.

Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT
Master2 - Administration Système Réseaux et Ingénierie des Logiciels Libres (ASRILL) - EC2LT