4 231
modifications
« Installation d'un serveur de mail Zimbra 7.0 sous ubuntu server 10.04 LTS » : différence entre les versions
Aller à la navigation
Aller à la recherche
Installation d'un serveur de mail Zimbra 7.0 sous ubuntu server 10.04 LTS (voir la source)
Version du 28 juillet 2018 à 18:07
, 28 juillet 2018aucun résumé des modifications
Aucun résumé des modifications |
|||
| (30 versions intermédiaires par le même utilisateur non affichées) | |||
| Ligne 1 : | Ligne 1 : | ||
[[category:ubuntu]] | |||
[[category:serveur]] | |||
[[Category:zimbra]] | |||
* '''Cette page n'est plus maintenue, les informations contenues ici sont potentiellement obsolètes''' | |||
=Prérequis= | =Prérequis= | ||
Pour commencer, | Pour commencer, installez les paquets nécessaire à zimbra ainsi que le paquet file : | ||
<pre> | <pre> | ||
aptitude install sysstat sqlite3 libperl5.10 libidn11 libpcre3 libexpat1 file | aptitude install sysstat sqlite3 libperl5.10 libidn11 libpcre3 libexpat1 file | ||
| Ligne 17 : | Ligne 23 : | ||
L'installation est assez triviale. | L'installation est assez triviale. | ||
Lors de la configuration, pensez à définir le mode http en <code>redirect</code>. Ainsi, zimbra forcera l'utilisation de https. Une fois l'installation terminée, Zimbra sera lancé automatiquement. Les différents fichiers ont été installés dans <code>/opt/zimbra</code>. | Lors de la configuration, pensez à définir le mode http en <code>redirect</code>. Ainsi, zimbra forcera l'utilisation de https. Une fois l'installation terminée, Zimbra sera lancé automatiquement. Les différents fichiers ont été installés dans <code>/opt/zimbra</code>. | ||
Ajoutez l'utilisateur <code>zimbra</code> à la liste des utilisateurs autorisés a se connecter en ssh dans la configuration de openssh (directive <code>allowusers</code>) (c'est nécessaire pour certaines fonctions de l'interface d'administration de zimbra).<br /> | |||
Redémarrez ssh : | |||
<pre> | |||
/etc/init.d/ssh restart | |||
</pre> | |||
=Création de son propre certificat ssl signé par son autorité de certification= | |||
Nous allons supposer que vous avez déjà créé votre autorité de certification root ainsi qu'une autorité intermédiaire (nommée <code>onyx</code> dans mon cas). Si ce n'est pas le cas, je vous renvoi [[Installation_et_configuration_de_OpenSSL|ici]]. | |||
Ajouter les lignes suivante dans la configuration de openssl : | |||
<pre> | |||
[ZIMBRA] | |||
nsComment = "ONYX Zimbra Server" | |||
subjectKeyIdentifier = hash | |||
authorityKeyIdentifier = keyid,issuer:always | |||
issuerAltName = issuer:copy | |||
subjectAltName = DNS:onyx.csnu.org, DNS:imap.csnu.org, DNS: pop.csnu.org, DNS: smtp.csnu.org, DNS:webmail.csnu.org, DNS:mail.csnu.org | |||
basicConstraints = critical,CA:FALSE | |||
keyUsage = critical, digitalSignature, nonRepudiation, keyEncipherment | |||
nsCertType = server | |||
extendedKeyUsage = serverAuth | |||
</pre> | |||
Puis créez le certificat et signés le avec votre autorité intermédiaire : | |||
<pre> | |||
cd /etc/ssl/ca_onyx/ | |||
openssl req -config /etc/ssl/openssl.cnf -nodes -newkey rsa:2048 -keyout zimbra.key -out zimbra.req | |||
openssl ca -config /etc/ssl/openssl.cnf -name onyx_ca -extensions ZIMBRA -in zimbra.req -out zimbra.pem | |||
</pre> | |||
Les fichiers nécessaires au déploiement du certificat ssl dans zimbra sont les suivants : | |||
* <code>root_ca.pem</code> : le certificat root | |||
* <code>onyx_ca.pem</code> : le certificat de l'autorité intermédiaire ayant déployé le certificat zimbra | |||
* <code>zimbra.pem</code> : le certificat zimbra généré précédemment | |||
* <code>zimbra.key</code> : la clé privé zimbra générée précédemment | |||
Attention, veillez a ce que ces différents fichiers ne contiennent rien d'autre que les certificats et clés pures (entre le <code>begin</code> et le <code>end</code> inclut) sans aucun commentaire ou autre !<br /> | |||
Pour un certificat : | |||
<pre> | |||
-----BEGIN CERTIFICATE----- | |||
blahblah | |||
-----END CERTIFICATE----- | |||
</pre> | |||
Pour une clé : | |||
<pre> | |||
-----BEGIN RSA PRIVATE KEY----- | |||
blahlah | |||
-----END RSA PRIVATE KEY----- | |||
</pre> | |||
Nous allons maintenant déployer le certificat ssl dans zimbra.<br /> | |||
Pour commencer, créez le fichier <code>ca_chain.pem</code> contenant la chaine de certification complète : | |||
<pre> | |||
cat root_ca.pem onyx_ca.pem > ca_chain.pem | |||
</pre> | |||
Déplacez la clé privée : | |||
<pre> | |||
mv zimbra.key /opt/zimbra/ssl/zimbra/commercial/commercial.key | |||
</pre> | |||
Vous pouvez vérifier que vos certificats sont valides avec <code>zmcertmgr</code> : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr verifycrt comm /opt/zimbra/ssl/zimbra/commercial/commercial.key zimbra.pem ca_chain.pem | |||
</pre> | |||
Puis déployez le certificat dans zimbra avec <code>zmcertmgr</code> : | |||
<pre> | |||
/opt/zimbra/bin/zmcertmgr deploycrt comm zimbra.pem ca_chain.pem | |||
</pre> | |||
Enfin, ajoutez manuellement les certificats dans la base de donnée de zimbra (et oui, le password est bien <code>changeit</code> par défaut) : | |||
<pre> | |||
/opt/zimbra/java/bin/keytool -import -alias onyxzimbra -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file /opt/zimbra/conf/ca/commercial_ca.pem | |||
/opt/zimbra/java/bin/keytool -import -alias rootca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file root_ca.pem | |||
/opt/zimbra/java/bin/keytool -import -alias onyxca -keystore /opt/zimbra/java/jre/lib/security/cacerts -storepass changeit -file onyx_ca.pem | |||
</pre> | |||
Redémarrez zimbra : | |||
<pre> | |||
/etc/init.d/zimbra restart | |||
</pre> | |||
=Activer le support ipv6= | |||
<pre> | |||
su - zimbra | |||
zmprov ms `zmhostname` zimbraIPMode both | |||
zmprov ms `zmhostname` zimbraMtaMyNetworks "127.0.0.0/8 ipdevotreserveur/32 [::1]/128 [ip6devotreserveur]/128" | |||
zmcontrol restart | |||
</pre> | |||
=Migration des comptes imap d'un ancien serveur à notre installation zimbra= | |||
Installez l'outil <code>imapsync</code>: | |||
<pre>aptitude install imapsync</pre> | |||
Commencez par créer les différents comptes et leurs alias et vous connectant à l'interface d'administration de zimbra (https://votre-domaine:7071). | |||
Ensuite, utilisez l'outil <code>imapsync</code> pour répliquer les comptes : | |||
<pre> | |||
imapsync --host1 serveur1.domain.com --user1 utilisateur@domain.com --password1 <pass> \ | |||
--host2 serveurzimbra.domain.com --user2 utilisateur@domain.com --authmecH2 PLAIN --password2 <pass2> --ssl2 | |||
</pre> | |||
=Réutiliser les mots-de-passe d'une ancienne installation zimbra= | |||
Vous pouvez lister les informations de tous les comptes utilisateurs avec la commande : | |||
<pre>zmprov -l gaa -v domain.com</pre> | |||
Le password est stocké à la ligne <code>userPassword</code>. | |||
Pour récupérer le password (crypté en sha) d'un utilisateur : | |||
<pre>zmprov -l ga user@domain.com | grep userPassword</pre> | |||
Ensuite, vous pouvez définir ce même password sur votre nouvelle installation zimbra : | |||
<pre>zmprov ma user@domain.com userPassword '{SSHA}GdgsrgHzfBfjkttt'</pre> | |||
=Ajouter des zimlets= | |||
Une galerie de zimlets (extension pour zimbra) est disponible sur http://gallery.zimbra.com/ | |||
Pour les installer, rien de plus simple : | |||
<pre> | |||
su - zimbra | |||
zmzimletctl deploy <zimlet> | |||
</pre> | |||
=Modification en ligne de commande= | |||
Il faut vous loguer en tant que l'utilisateur zimbra : | |||
<pre> su - zimbra</pre> | |||
Puis utiliser zmprov. Par exemple, pour récupérer les informations du serveur, utilisez getserver (ou gs) : | |||
<pre>zmprov getserver `zmhostname` VALEUR</pre> | |||
Pour modifier les informations du serveur: utilisez modifyserver (ou ms) | |||
Pour les valeurs globale, de même avec <code>gacf</code> et <code>mcf</code> | |||
=Mise a jour de sécurité de zimbra= | |||
télécharger le .tgz, l'extraire, puis lancer le <code>./install.sh</code> | |||
=Réaliser des backups des comptes mails de zimbra= | |||
Je vous renvoi sur http://wiki.zimbra.com/wiki/Backing_up_and_restoring_Zimbra_%28Open_Source_Version%29#Another_option | |||
=Activer les mails de crontab du serveur= | |||
Vous avez installé un serveur mail, mais debian n'en est pas conscient. Pour recevoir les mails de crontab par exemple, il faut créer un lien symbolique de <code>/usr/sbin/sendmail</code> vers <code>/opt/zimbra/postfix/sbin/sendmail</code> | |||
<pre>ln -s /opt/zimbra/postfix/sbin/sendmail /usr/sbin/sendmail</pre> | |||
=Configuration de spamassassin= | |||
N'oubliez pas d'ajouter les directives <code>internal_networks</code> et <code>trusted_networks</code> dans <code>/opt/zimbra/conf/salocal.cf.in</code>. Ces directives doivent contenir les ips de vos différents mx secondaires (n'oubliez pas les ipv6) | |||
De manière globale : | |||
* tous les serveurs MX de vos domaines et tous les relay smtp interne doivent être listés dans <code>internal_networks</code> et <code>trusted_networks</code> | |||
* les serveurs "sûre" mais n'étant pas MX ou relay smtp interne de vos domaines doivent être listés uniquement dans <code>trusted_networks</code> | |||
Définition d'un serveur sûre : c'est un serveur qu'on sait ne pas envoyer de spam, ni être open-relay, etc, mais qui peut éventuellement relayer des spams sans en être la source. | |||
De même, ajoutez ces serveurs a la directive zimbraMtaMyNetworks de zimbra | |||
=configuration du discard de mail par zimbra= | |||
Dans la console d'administration, allez dans <code>configurer</code> puis <code>paramètres globaux</code> et enfin <code>AS/AV</code>. Les deux éléments intéressants sont <code>Pourcentage de spam supprimés</code> et <code>Pourcentage de tags</code> | |||
Ces variables sont configurés par défaut à 75 et 33%, ce qui signifie que tout message ayant un score de spam entre 33 et 75% finiront dans la boite <code>spam</code> des utilisateurs. Les mails ayant un core de spam supérieur à 75% seront discarded, ne seront donc PAS remis à l’utilisateur, mais seront cependant copié à l'administrateur du serveur zimbra. | |||
Vous pouvez augmenter la valeur de <code>Pourcentage de spam supprimés</code> jusqu'à 100% pour diminuer le nombre de message refusé pour cause de spam (ils seront alors délivrés dans la boite <code>spam</code> des utilisateurs (100% correspond à un score de spam de 20 points). | |||
Si vous jugez que trop de spam finissent dans la boite de réception de votre utilisateur, abaissez <code>Pourcentage de tags</code> de quelques points. | |||
Pour empêcher complètement le discard des mails par zimbra, éditez le fichier <code>/opt/zimbra/conf/amavisd.conf.in</code> et remplacez : | |||
<pre>$final_spam_destiny = D_DISCARD;</pre> | |||
par | |||
<pre>$final_spam_destiny = D_PASS;</pre> | |||
Je vous conseil aussi de décocher la case <code>Bloquer les fichiers attachés qui sont des archives cryptées</code> | |||
Après toute modification, relancez amavisd: | |||
<pre>su - zimbra ; zmamavisdctl restart</pre> | |||
=Wildcard / plus addressing= | |||
http://wiki.zimbra.com/wiki/Plus_Addressing | |||
=Zimbra derrière un firewall= | |||
http://wiki.zimbra.com/wiki/Firewall_Configuration | |||
Notez cependant qu'au contraire de ce qui y indiqué sur cette page, le port imap/143 doit être ouvert depuis l'extérieur tandis que le port ldap/389 doit être restreint aux IPs de notre réseau. | |||
=Admin: accéder à un mail contenant un virus= | |||
Loguer vous sur la console d'administration. Sélectionnez le compte mail utilisé par zimbra pour centraliser les virus (choisi ou défini automatiquement lors de l'installation). Clique droit > view mails.<br> | |||
Vous pouvez aussi chercher le compte en tapant "virus" dans la barre de recherche.<br> | |||
https://wiki.zimbra.com/wiki/Restore-Quarantined-Emails | |||