Relais OpenSMTPD façon fast-food

On va la faire très courte parce que c’est dans la catégorie Adminsys et que je dois retourner travailler sur server@home.

Vous venez de passer les mails de votre entreprise chez Gmail for Work. Logiquement vous n’avez plus de serveur de courrier en interne. Oui mais voilà, votre nagios-like doit continuer à vous envoyer des notifications, vos copieurs envoient des scans, votre WSUS envoient lui aussi des mails etc. Vous avez besoin d’un relais SMTP en interne.

Il était hors de question que je me dirige vers du compliqué et lourd, je voulais du fast et du sûr. OpenSMTPD était là !

Je vous passe l’installation du paquet sur Debian Testing, c’est simple et vous faites comme vous voulez. Pourquoi Debian ? Parce que !

Quelques commandes utiles.

service opensmtpd restart
service opensmtpd status
smtpd -dv
tail -10 /var/log/syslog

Quelques informations utiles :
– Le fichier de configuration principal est /etc/smtpd.conf
– Le fichier secrets (contenant les identifiants de connexion) sur OpenBSD est en général /etc/mail/secrets, nous avons choisi /etc/secrets sur notre Debian
– L’exécutable est /usr/bin/smtpd

Voici le fichier de configuration actuel smtpd.conf pour faire transiter les mails par Gmail for Work.

# This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

# To accept external mail, replace with: listen on all
listen on eth0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases file:/etc/aliases
table secrets db:/etc/secrets.db

# Uncomment the following to accept external mail for domain "example.org"
#accept from any for domain "example.org" alias <aliases> deliver to mbox
accept from source { localhost 192.168.3.0/24 192.168.50.0/24 192.168.5.15 192.168.4.4 } for any relay via tls+auth://label@smtp-relay.gmail.com auth <secrets> as relaysmtp@mapetiteentrepriseconnaitpaslacrise.fr

Il suffit du fichier de configuration smtpd.conf suivant pour faire transiter les mails par Gmail for Work sans aucune restriction (sur la source ou sur les identifiants de connexion). Ne pas oublier d’aller décocher dans le cPanel Gmail l’option Authentification SMTP requise.

# This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

# To accept external mail, replace with: listen on all
listen on eth0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases file:/etc/aliases

# Uncomment the following to accept external mail for domain "example.org"
#accept from any for domain "example.org" alias <aliases> deliver to mbox
accept from any for any relay via smtp-relay.gmail.com as kikoo@mapetiteentrepriseconnaitpaslacrise.fr

Il suffit du fichier de configuration smtpd.conf suivant pour faire transiter les mails par votre FAI sans aucune restriction (sur la source, sur l’expéditeur ou sur les identifiants de connexion). C’est celui-ci qui intéressera le plus grand monde mais encore une fois il n’y a aucune restriction sur la source donc c’est un relais ouvert, niveau sécurité c’est mal.

# This is the smtpd server system-wide configuration file.
# See smtpd.conf(5) for more information.

# To accept external mail, replace with: listen on all
listen on eth0

# If you edit the file, you have to run "smtpctl update table aliases"
table aliases file:/etc/aliases

# Uncomment the following to accept external mail for domain "example.org"
#accept from any for domain "example.org" alias <aliases> deliver to mbox
accept from any for any relay via smtp.monfaiquejaime.com

Le fichier /etc/secrets.db est généré ainsi.

touch /etc/secrets
chmod 640 /etc/secrets
chown root:opensmtpd /etc/secrets
echo "label relaysmtp@mapetiteentrepriseconnaitpaslacrise.fr:monjolipassword" > /etc/secrets
makemap /etc/secrets

C’était rapide et presque bon et presque clair et presque expliqué, vous n’aurez pas mieux dans un fast-food !