Bonnes pratiques SSL

La configuration apache ci-dessous devrait vous prémunira des dernières turpitudes liées à OpenSSL et vous permettra d’obtenir un bon score à ssllabs ou testssl.sh

SSLProtocol all -SSLv2 -SSLv3
SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 EECDH+AESGCM EECDH EDH+AESGCM EDH+aRSA HIGH !MEDIUM !LOW !aNULL !eNULL !LOW !RC4 !MD5 !EXP !PSK !SRP !DSS !3DES"
SSLHonorCipherOrder on

En ce qui concerne postfix:

smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_ciphers = high
smtpd_tls_exclude_ciphers = aNULL, MD5, 3DES, DES, RC

Sources:
– https://testbit.eu/apache-sslciphersuite-without-poodle/
– http://www.bortzmeyer.org/drown.html

Merci d’ailleur à @bortzemeyer de m’avoir fait découvrir http://testssl.sh/

 

Thunderbird « Avancer au prochain message non lu »

La touche « n » permet de passer au prochain message non lu. Lorsque tous les messages du dossier courant ont été lus, thunderbird vous demande confirmation avant de passer au prochain dossier.

Pour désactiver cette demande de confirmation, dans (préférences -> avancé ->)l’éditeur de configuration, il faut positionner la directive « mailnews.nav_crosses_folders » à 0

Source http://www-archive.mozilla.org/support/thunderbird/tips#beh_nextunread

Relais SMTP avec authentification

Comment utiliser un serveur smtp authentifié comme relais (par exemple ceux d’Ovh)

Le monde étant ce qu’il est, les smtp ouverts ne sont pas courants. et leur utilisation demande soit d’appartenir au bon réseau (cas des fournisseurs d’accès), soit de s’authentifier (cas des hébergeurs).
Cette documentation détaille comment configurer un postfix local pour qu’il utilise les serveurs smtp d’Ovh comme relais.

 

Biblio:

http://ben.franske.com/blogs/bensbits.php/2005/09/06/postfix_smtp_auth_support_for_relayhost

Prérequis:

Un postfix fonctionnel, capable d’envoyer des mails au smtp de votre fournisseur d’accès ( directive relayhost ).

Le paquet « libsasl2-modules » ( sous Debian ) doit être installé ( sous peine d’avoir une erreur « no worthy mechs found » dans les logs ).

Introduction:

Il est possible d’utiliser le smtp d’ovh ( si on a un domaine chez eux ) à la place de ceux d’Orange, à condition d’utiliser l’authentification smtp.

Configuration:

Pour ce faire il faut effectuer les opérations suivantes:

  • On va utiliser le compte postmaster pour l’authentification. Il faut lui attribuer un mot de passe dans l’interface de gestion ovh.
  • créez le fichier /etc/postfix/smtp_auth, avec le contenu suivant:
 smtp.example.org   postmaster@example.org:mot_de_passe
  • transformez-le au format postfix:
 postmap /etc/postfix/smtp_auth
  • réglez les permissions pour un minimum de sécurité:
 chmod 400 /etc/postfix/smtp_auth*
  • Ajoutez les lignes suivantes dans le fichier /etc/postfix/main.cf:
 relayhost = smtp.example.org
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/smtp_auth
smtp_sasl_security_options = noanonymous
  • redémarrez postfix:
 /etc/init.d/postfix restart
  • Envoyez un mail de test en vérifiant l’absence d’erreur dans /var/log/mail.log.