Debian etch : installation de Postfix/Cyrus-imapd/Spamassassin

Le but est d'installer sur une machine sous Etch le serveur IMAP Cyrus-imapd (version courante: 2.3.16), avec livraison via postfix et vérification antispam par Spamassassin (configurable par l'utilisateur), le tout pour des utilisateurs locaux (pas des utilisateurs virtuels).

Cette documentation est également valide pour la distribution Lenny, sans aucune modification.

Configuration de Cyrus-imapd

• créer l'utilisateur cyrus sous l'identité duquel tournera la base Cyrus ; son groupe primaire sera le groupe "mail". Il faudra aussi lui donner un mot de passe qui sera utilisé pour la configuration des boites. La base Cyrus sera installée dans le répertoire de cet utilisateur, /home/cyrus:

  # adduser --system --gid <gid-of-mail-group=8> --home /home/cyrus cyrus
  
  

• installer le démon saslauthd et les modules SASL, pour que Cyrus authentifie les utilisateurs via PAM:

  # apt-get install sasl2-bin libsasl2-modules
  
  

  Editer le fichier /etc/default/saslauthd, mettre la variable START à yes, puis lancer le démon:

  # /etc/init.d/saslauthd start
  
  

• rajouter l'utilisateur cyrus au groupe sasl pour la communication entre Cyrus et saslauthd:

  # adduser cyrus sasl
  
  

• installer les librairies nécessaires à la compilation de Cyrus-imapd:

  # apt-get install libsasl2-dev libssl-dev
  

• récupérer les sources de cyrus-imapd:

  # cd /usr/local/src
  # wget http://asg3.andrew.cmu.edu/pub/cyrus/cyrus-imapd-2.3.16.tar.gz
  # tar zxf cyrus-imapd-2.3.16.tar.gz
  
  

• patcher les sources pour 1) accepter les champs "From " (sans ':'), 2) conserver les dates de reception des courriers lors de la reconstruction éventuelle de boites. Il proviennent de la série de patchs de Fastmail.net

  # cd cyrus-imapd-2.3.13
  # patch -p1 < ../0015-Accept-From-header-from-IMAP-clients.patch
  # patch -p1 < ../0017-Parse-Received-headers-for-internaldate.patch
  
  

• configurer les sources, compiler et installer:

  # ./configure \
  	--with-cyrus-user=cyrus \
  	--with-cyrus-group=mail \
  	--without-afs \
  	--without-ldap \
  	--without-krb \
  	--without-bdb \
  	--with-syslogfacility=MAIL \
  	--with-service-path=/usr/local/libexec/cyrus
  
  # make
  # make install
  
  

• configurer la base Cyrus, via les deux fichiers suivants:
  • /etc/cyrus.conf:

    START {
      recover	cmd="ctl_cyrusdb -r"
    }
    
    SERVICES {
      imap		cmd="imapd" listen="imap" prefork=0
      sieve		cmd="timsieved" listen="sieve" prefork=0
      lmtpunix	cmd="lmtpd" listen="/home/cyrus/socket/lmtp" prefork=0
    }
    
    EVENTS {
      checkpoint	cmd="ctl_cyrusdb -c" period=30
      delprune	cmd="cyr_expire -E 3" at=0400
    }
        
    

  • /etc/imapd.conf:

    configdirectory: /home/cyrus
    partition-default: /home/cyrus/spool
    altnamespace: yes
    unixhierarchysep: yes
    lmtp_downcase_rcpt: yes
    admins: cyrus
    sievedir: /home/cyrus/sieve
    hashimapspool: false
    allowplaintext: yes
    sasl_mech_list: plain
    sasl_pwcheck_method: saslauthd
    duplicatesuppression: yes
    singleinstancestore: yes
    reject8bit: no
    munge8bit: no
    
    mboxlist_db: skiplist
    duplicate_db: skiplist
    ptscache_db: skiplist
    tlscache_db: skiplist
    statuscache_db: skiplist
    
    

  Dans notre cas, nous utilisons le séparateur de hiérarchie unix (/), avec l'espace de nommage alternatif (les boites au même niveau que INBOX). Le spool se trouvera dans /home/cyrus/spool, la socket de livraison par LMTP dans /home/cyrus/socket (comme indiqué également dans /etc/cyrus.conf), et les scripts sieve dans /home/cyrus/sieve. Nous utilisons aussi exclusivement le format de base skiplist, généralement plus stable que berkeley. Comme vous pouvez le constater, le compte Cyrus va contenir presque (pas la configuration) tout le nécessaire.

• configurer le compte cyrus, éxecuter la commande (en tant qu'utilisateur cyrus):

  # su - cyrus
  $ /usr/local/src/cyrus-2.3.13/tools/mkimap
  
  

  Cette commande analyse les fichiers de configuration, et crée les répertoires associés. C'est pourquoi il est important de l'éxecuter après les avoir mis en place.

• installer le fichier de démarrage de Cyrus, /etc/init.d/cyrus suivant:

  #!/bin/sh
  
  pidfile=/var/run/cyrus-master.pid
  daemon=/usr/local/libexec/cyrus/master
  
  
  case $1 in
  start)
  	printf "Starting Cyrus mail system..."
  	if [ ! -f $pidfile ] ; then
  		$daemon -d
  		printf "done\n"
  	else
  		printf "already running (pid=`cat $pidfile`)\n"
  	fi
  	;;
  stop)
  	printf "Stopping Cyrus mail system..."
  	if [ -f $pidfile ] ; then
  		kill `cat $pidfile`
  		rm -f $pidfile
  		printf "done\n"
  	else
  		printf "not running\n"
  	fi
  	;;
  reload)
  	printf "Reloading Cyrus mail system..."
  	if [ -f $pidfile ] ; then
  		kill -HUP `cat $pidfile`
  		printf "done\n"
  	else
  		printf "not running\n"
  	fi
  	;;
  esac
  
  

• créer les liens du fichier de démarrage:

  # update-rc.d cyrus defaults 19
  

• démarrer Cyrus, et vérifier qu'il n'y a pas d'erreurs dans les logs (facilité MAIL):

  # /etc/init.d/cyrus start
  

• créer les boites des utilisateurs, via l'outil cyradm ; le mot de passe sera celui de l'utilisateur cyrus ; les logins utilisés seront ceux des utilisateurs locaux ; dans l'exemple ci-dessous, nous créons les deux utilisateurs niko et solene:

    
  # cyradm --user cyrus localhost
  Password:
  localhost> cm user/niko
  localhost> sam user/niko cyrus all
  localhost> cm user/solene
  localhost> sam user/solene cyrus all
  localhost> quit
  

Configuration de SpamAssassin

• configurer l'accès au dépôt "volatile", dans /etc/apt/sources.list

  deb http://volatile.debian.org/debian-volatile etch/volatile main
  
  

• installer les paquets:

  # apt-get update
  # apt-get install spamassassin spamc re2c
  
  

• configurer le démon pour utiliser des règles précompilées, en enlevant le commentaire de la ligne suivante du fichier /etc/spamassassin/v320.pre:

  loadplugin Mail::SpamAssassin::Plugin::Rule2XSBody
  
  

• effectuer une mise-à-jour initiale, et compiler les règles pour accélérer les traitements:

  # sa-update
  # sa-compile
  
  

• pour activer le démon et utiliser les mises-à-jour automatiques, il suffit d'utiliser les lignes suivantes dans /etc/default/spamassassin:

  ENABLED=1
  CRON=1
  
  

• lancer spamassassin

  # /etc/init.d/spamassassin start
  
  

Configuration de Postfix

La configuration de postfix s'effectue simplement via les fichiers /etc/postfix/main.cf et /etc/postfix/master.cf.

Dans /etc/postfix/main.cf, voici l'extrait correspondant à la livraison locale:

#
# delivery
#
alias_maps = hash:/etc/aliases
local_recipient_maps = hash:/etc/postfix/local_recipients, $alias_maps

mailbox_transport = cyrus
cyrus_destination_recipient_limit = 1
mailbox_size_limit = 0
header_checks = regexp:/etc/postfix/header_checks

Quelques indications:

• on indique explicitement quel est le fichier des alias
• on indique explicitement quels vont être les destinataires locaux, via le fichier des alias et un fichier spécifique /etc/postfix/local_recipients listant les utilisateurs locaux pouvant recevoir du mail, par exemple comme ceci:

  niko		OK
  unautre		OK
  encoreunautre	OK
  
  

  Ceci évite le problème du backscatter, car Postfix refusera directement lors du dialogue SMTP la livraison à des utilisateurs inconnus.
• l'argument cyrus de mailbox_transport correspond au nom du transport défini ci-dessous dans /etc/postfix/master.cf,
• mailbox_size_limit = 0 permet d'éviter des erreurs liées à des boites trop grosses.
• cyrus_destination_recipient_limit force une livraison par destinataire (un seul à la fois).
• header_checks permet de supprimer certains en-têtes qui peuvent causer problème à Cyrus, et donc le renvoi du message. Le fichier /etc/postfix/header_checks contient juste la vérification du Message-Id:, parfois vide avec les serveurs Lotus Notes:

  /^Message-ID:[[:space:]]*$/ IGNORE
  

Dans /etc/postfix/master.cf, nous définissions le transport cyrus comme ceci:

#
# cyrus
#
cyrus     unix  -       n       n       -       1       pipe
 user=cyrus argv=/usr/bin/spamc -u ${user} -e /usr/local/libexec/cyrus/deliver -q -r ${sender} ${user}

Ce transport n'est pas chrooté, ne peut être éxecuté qu'un seul à la fois, en tant qu'utilisateur cyrus, et lance via pipe le client SpamAssassin /usr/bin/spamc pour l'utilisateur concerné, qui appelle l'outil Cyrus de livraison pour cet utilisateur, avec les options écrivant le Return-Path:, et le forçage des quotas.

Dernière modification : Sunday May 16, 2010, Nicolas KOWALSKI