Re: Faire cohabiter certificats POP et IMAP
Bonjour Dans le tuto que j'ai partagé pour monter un postfix / dovecot, j'ai la base pour permettre l'utilsiatin de nginx comme reverse proxy SMTP, POP et IMAP. C'est pas documenté mais j'ai fait des exprimentations dans cette direction (les notes ne sont pas publiées). NGINX peut utiliser un script servi par HTTP (dans le LAN) pour authentifier les utilsiateurs et par la même occasion aiguiller le trafic vers un serveur un un autre, selon la volonté du script. Voilà un lien vers une implémentation de ce genre, pour donner un aperçu de la solution (ici avec un script perl).https://www.whatastrugg le.com/nginx-as-an-imappop3-proxy Il y a pas mal d'avantages:- un serveur frontal qui essuie les attaques sans exposer les données (puisqu'elles sont sur un autre serveur)- les certificats sont présentés par le frontal NGINX, et pas besoin de configurer certificat et chiffrement sur postfix / dovecot (même si je préférerais le faire personnellement). - séparer différents domaines : un domaine par couple postfix / dovecot (mon objectif)- un peu plus de souplesse A mon avis, pour le SMTP, il faudrait directement utilsier un Postfix comme frontal. J'ai expérimenté avec NGINX mais j'ai trouvé la solution guère satisfaisante. Cela dit, c'est sans doute par manque de connaissance et recul au moment des essais. Je crois que maintenant je pourrais mener cette construction plus facilement. Le mardi 16 mai 2017 à 19:46 +0200, Pascal Hambourg a écrit : > Le 16/05/2017 à 19:17, andre_deb...@numericable.fr a écrit : > > On Tuesday 16 May 2017 18:53:06 Erwan David wrote: > > > > > Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux > > > séparer le certificat de postfix : > > > > Je comprends pas "séparer le certificat de postfix". > > Postfix ne s'occupe que du SMTP, donc tu peux lui faire utiliser un > certificat différent de dovecot. > > > > Ensuite pour pop et imap, je m'en tire en utilisant le même nom > > > d'hôte, > > > pas besoin d'un certificat différent par protocole. > > > > Le serveur a un nom d'hôte unique, > > et > > pop = pop.serveur.org > > imap = imap.serveur.org > > Ce sont deux noms différents. > > > les deux bien indiqués dans le serveur DNS, > > avec le même IP (serveur). > > Peu importe qu'ils aient la même adresse. Ce que le client vérifie, > c'est l'adéquation entre le nom d'hôte qu'il a utilisé et celui > figurant > dans le certificat servi. >
Re: Faire cohabiter certificats POP et IMAP
Le 16/05/2017 à 19:17, andre_deb...@numericable.fr a écrit : On Tuesday 16 May 2017 18:53:06 Erwan David wrote: Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux séparer le certificat de postfix : Je comprends pas "séparer le certificat de postfix". Postfix ne s'occupe que du SMTP, donc tu peux lui faire utiliser un certificat différent de dovecot. Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte, pas besoin d'un certificat différent par protocole. Le serveur a un nom d'hôte unique, et pop = pop.serveur.org imap = imap.serveur.org Ce sont deux noms différents. les deux bien indiqués dans le serveur DNS, avec le même IP (serveur). Peu importe qu'ils aient la même adresse. Ce que le client vérifie, c'est l'adéquation entre le nom d'hôte qu'il a utilisé et celui figurant dans le certificat servi.
Re: Faire cohabiter certificats POP et IMAP
Si il y a un avertissement sur un protocole seulement, je pencherais pour un souci de configuration. Je n'ai pas l'expérience pour Gandi en particulier, mais en principe le certificat acheté est livré avec une "CA chain". Elle sert à établir la relation de confiance sur plusieurs maillons jusqu'à atteindre un CA racine ou un CA communément déployé sur la plupart des OS. En gros votre certificat est certifié par Grandi, qui est lui même certifié par un autre CA, et ainsi de suite. Souvent les vendeurs ont plusieurs maillons successifs en interne avant d'être certifiés par un tiers. La CA chain doit être fournie par le serveur au client. Pour cela, soit on fusionne en 1 seul fichier la CA chain RT le certificat, soit le logiciel serveur fournit un paramètre pour spécifier la CA chain. Je vérifie mes notes, mais comme vous avez l'adresse jetez y un oeil. Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit : >Bonjour, > >Sur un serveur de messagerie Postfix / Dovecot, >comment faire cohabiter des certificats différents >pour POP et IMAP. > >Le serveur n'a qu'un seul certificat pour les protocoles >SMTP, POP et IMAP (certif officiel acheté chez Gandi). > >Quand un client via son MUA reçoit ses mails en POP, >envoie des mails en smtp.nom-serveur.org, >pas de messages d'alerte de confirmer le certificat. > >Avec IMAP, oui, il faut le confirmer (pourquoi ?) > >Je ne vois pas dans Dovecot et/ou Postfix la possibilité >de créer 2 certificats différents, >ou comment faire cohabiter le même certificat >pour les 3 protocoles sans que çe couine pour IMAP ? > >Merci, > >André -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Re: Faire cohabiter certificats POP et IMAP
On Tuesday 16 May 2017 18:53:06 Erwan David wrote: > Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit : > > Sur un serveur de messagerie Postfix / Dovecot, > > comment faire cohabiter des certificats différents > > pour POP et IMAP. > > Le serveur n'a qu'un seul certificat pour les protocoles > > SMTP, POP et IMAP (certif officiel acheté chez Gandi). > > Quand un client via son MUA reçoit ses mails en POP, > > envoie des mails en smtp.nom-serveur.org, > > pas de messages d'alerte de confirmer le certificat. > > Avec IMAP, oui, il faut le confirmer (pourquoi ?) > > Je ne vois pas dans Dovecot et/ou Postfix la possibilité > > de créer 2 certificats différents, > > ou comment faire cohabiter le même certificat > > pour les 3 protocoles sans que çe couine pour IMAP ? > Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux > séparer le certificat de postfix : Je comprends pas "séparer le certificat de postfix". > Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte, > pas besoin d'un certificat différent par protocole. Le serveur a un nom d'hôte unique, et pop = pop.serveur.org imap = imap.serveur.org les deux bien indiqués dans le serveur DNS, avec le même IP (serveur). André
Re: Faire cohabiter certificats POP et IMAP
Bonjour Une possibilité: avoir un certificat "wildcard". Exemple *.domaine.com Ce certificat peut être utilisé à volonté sur tout sous domaine de domaine.com Autre scénario : Si postfix et dovecot sont sur le même serveur pourquoi ne pas les rattacher à mail.domaine.com plutôt que créer SMTP.domaine.com IMAP.domaine.com et pop.domaine.com ? Un certificat, pas forcément wildcard, et moins de travail. Il peut être utilisé sur tous services du moment qu'il est rattaché à mail.domaine.com (un webmail par exemple). Le 16 mai 2017 18:42:48 GMT+02:00, andre_deb...@numericable.fr a écrit : >Bonjour, > >Sur un serveur de messagerie Postfix / Dovecot, >comment faire cohabiter des certificats différents >pour POP et IMAP. > >Le serveur n'a qu'un seul certificat pour les protocoles >SMTP, POP et IMAP (certif officiel acheté chez Gandi). > >Quand un client via son MUA reçoit ses mails en POP, >envoie des mails en smtp.nom-serveur.org, >pas de messages d'alerte de confirmer le certificat. > >Avec IMAP, oui, il faut le confirmer (pourquoi ?) > >Je ne vois pas dans Dovecot et/ou Postfix la possibilité >de créer 2 certificats différents, >ou comment faire cohabiter le même certificat >pour les 3 protocoles sans que çe couine pour IMAP ? > >Merci, > >André -- Envoyé de mon appareil Android avec Courriel K-9 Mail. Veuillez excuser ma brièveté.
Re: Faire cohabiter certificats POP et IMAP
Au pire s'il est vraiment important d'utiliser deux noms d'hôtes il doit être possible d'intercaler un reverse-proxy (le processus, pas nécessairement la machine) qui porte la terminaison SSL et mettre un certificat par virtualhost. Les deux services tourneraient alors en clair, non visibles de l'extérieur. Mais il faut évaluer le coût en ressources par rapport à l'utilisation de deux ports sur le même nom d'hôtes. Le 16 mai 2017 6:53 PM, "Erwan David" a écrit : > Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit : > > Bonjour, > > > > Sur un serveur de messagerie Postfix / Dovecot, > > comment faire cohabiter des certificats différents > > pour POP et IMAP. > > > > Le serveur n'a qu'un seul certificat pour les protocoles > > SMTP, POP et IMAP (certif officiel acheté chez Gandi). > > > > Quand un client via son MUA reçoit ses mails en POP, > > envoie des mails en smtp.nom-serveur.org, > > pas de messages d'alerte de confirmer le certificat. > > > > Avec IMAP, oui, il faut le confirmer (pourquoi ?) > > > > Je ne vois pas dans Dovecot et/ou Postfix la possibilité > > de créer 2 certificats différents, > > ou comment faire cohabiter le même certificat > > pour les 3 protocoles sans que çe couine pour IMAP ? > > > > Merci, > > > > André > > > > Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux > séparer le certificat de postfix. > > Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte, > pas besoin d'un certificat différent par protocole. > >
Re: Faire cohabiter certificats POP et IMAP
Le 05/16/17 à 18:42, andre_deb...@numericable.fr a écrit : > Bonjour, > > Sur un serveur de messagerie Postfix / Dovecot, > comment faire cohabiter des certificats différents > pour POP et IMAP. > > Le serveur n'a qu'un seul certificat pour les protocoles > SMTP, POP et IMAP (certif officiel acheté chez Gandi). > > Quand un client via son MUA reçoit ses mails en POP, > envoie des mails en smtp.nom-serveur.org, > pas de messages d'alerte de confirmer le certificat. > > Avec IMAP, oui, il faut le confirmer (pourquoi ?) > > Je ne vois pas dans Dovecot et/ou Postfix la possibilité > de créer 2 certificats différents, > ou comment faire cohabiter le même certificat > pour les 3 protocoles sans que çe couine pour IMAP ? > > Merci, > > André > Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux séparer le certificat de postfix. Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte, pas besoin d'un certificat différent par protocole.
