# [HOWTO] serveur mail securise (basé sur uw-imap)

## anigel

Bonjour à tous.

Suite et fin de mes aventures avec uw-imap et exim. Ce dernier étant beaucoup top compliqué pour que je résume sur un forum comment je m'y suis pris, je me limiterais donc à la partie imap / pop3, et leurs pendants sécurisés : imaps / pop3s  :Arrow:  suivez le guide  :Smile: .

0. Pourquoi uw-imap et pas courier-imap ?

Parceque  :Laughing:  ! Non, plus sérieusement, courier-imap présente, à mon sens, un gros handicap : il ne gère pas le formar mbox, standard UNIX des boîtes aux lettres. Hors, de nombreux outils s'attendent par défaut à trouver leur courrier dans ce format (pine, pour ne citer que celui qui m'aurait le plus gêné).

De plus, il faut aussi savoir que uw-imap est un programme très ancien, compatible avec un éventail d'applications très important (par exemple, le webmail squirrelmail dispose d'un mode dédié à uw-imap pour la gestion de ses boîtes aux lettres). Il permet à peu près tout ce qu'on peut demander à un outil de ce type, et tout simplement : il correspondait parfaitement à ce que j'attends de lui  :Smile:  !

1. Installation.

Tout d'abord, installer les outils nécessaires. Ceux-ci sont au nombre de 2 : le super-serveur xinetd, qui contrôlera l'activité des démons imap et pop : uw-imap.

```
emerge xinetd uw-imap
```

Ceci vous crée des fichiers de config dans /etc/xinetd.d. Ceux qui nous intéressent sont les suivants : /etc/xinetd.d/ipop3, /etc/xinetd.d/imap, /etc/xinetd.d/ipop3s et enfin /etc/xinetd.d/imaps.

2. Configuration des services.

Pour chacun de ces services, vous pouvez ou non les autoriser en suivant les étapes suivantes :

 :Arrow:  remplacez la ligne disable = yes par disable = no.

 :Arrow:  pour les versions non sécurisées des services (ipop3 et imap donc), veillez à limiter l'accès à votre réseau local en ajoutant cette ligne à la config du service : only_from = 127.0.0.1 192.168.0.0 (si votre réseau local est configuré en 192.168.0.x bien entendu).

 :Arrow:  pour les versions sécurisées des services (ipops et imaps), vous pouvez autoriser un accès illimité avec la ligne suivante : only_from = 0.0.0.0

3. Génération des certificats.

Reste ensuite l'étape de génération des certificats openssl pour les accès chiffrés.

```
openssl req -new -x509 -nodes -out ipop3d.pem -keyout ipop3d.pem -days 3650

openssl req -new -x509 -nodes -out imapd.pem -keyout imapd.pem -days 3650
```

Ces commandes vont vous poser quelques questions sans grande incidence sur votre système, si ce n'est pour la cohérence des choses.

Veillez simplement à ce que Common Name (eg, YOUR name) []: pointe bien sur votre système (ie : le nom dns de votre machine), sinon vous aurez un avertissement à chaque connexion sur votre serveur. Cela marchera, mais c'est pénible !!!

Enfin, copiez ces 2 fichiers dans /etc/ssl/certs.

4. C'est le moment de prier  :Wink:  !

Voilà, a priori votre serveur doit être opérationnel, avec les services que vous aurez choisi d'activer. Il ne reste plus qu'à tester...

Bon courage à tous  :Smile:  !

PS : Comme d'hab, tout commentaire / correction / avis est bienvenu.

EDIT : rajouté paragraphe 0, suite à une question de scout, merci à lui !

----------

## yuk159

Merci Anigel, et hop index   :Very Happy: 

----------

## moon69

 *Quote:*   

> Veillez simplement à ce que Common Name (eg, YOUR name) []: pointe bien sur votre système (ie : le nom dns de votre machine), sinon vous aurez un avertissement à chaque connexion sur votre serveur. Cela marchera, mais c'est pénible !!! 

 

j'ai mit le nom dns, mais il me demande d'accepter en me disant que le certificats ne peut etre verifier!

c'est le FQDN ou juste le hostname ou le nom MX qui pointe ?

----------

## anigel

Il s'agit du FQDN, sachant que : lorsque le mail agent (ex : outlook ou mozilla par exemple) établissent la connexion avec le serveur, ils examinent le certificat et vérifient qu'il est bien celui qu'il prétend être par un requête DNS inverse.

Il faut donc veiller simplement à ce qu'un requête nslookup IP_DU_SERVEUR renvoie bien le nom DNS contenu dans le certificat.

----------

## ttgeub

Pour ceux que le sujet interesse, y a un guide plus complet mais beaucoup plus complexe sur le sujet dans la doc officielle :

http://www.gentoo.org/doc/fr/virt-mail-howto.xml

Attention ce guide est plus large et propose une gestion complete d'un serveur de mail avec des "virtuals users" et des "virtuals domains"

----------

