# uname -a - Mot-clé - note

Configure Postfix as standalone single-domain SMTP server using Unix users and PAM on Debian

Mathieu — Sat, 01 Feb 2014 22:05:00 +0100

Here is a quick setup to configure Postfix mail server, using existing Unix users.

The server will process mails for only one domain, and every existing user on the server will have a mail box inside his home directory.

Abstract

Postfix is an SMTP server, it receives incoming mail from other SMTP servers, and allows client to send mails to other SMTP servers.

What we don't want is an open mail relay. A mail relay is a SMTP server that take anything from any client, and send it to any SMTP server. We only want trusted users to send emails, to prevent anonymous clients from sending spam.

Incoming mail will be processed either if :

The domain name of one of the recipient matches the mail server domain, and the mail user name is also a system user (SMTP servers can send us incoming mails).
The client who tries to sends the mail has successfully authenticated.

Postfix authentication for clients can be handled by SASL. SASL is a standard protocol to provide an authentication layer. It can query PAM, or other authentication providers (MySQL users, etc).

Notes :

We will use PAM for Unix users SMTP authentication.
Unix users are stored in /etc/passwd and their passwords are stored in /etc/shadow.
Mails will be stored in the ~/Maildir/ of each users, in Maildir format.

Postfix : installation and configuration

Install Postfix : apt-get install postfix

Answer the questions during installation to setup your mail domain (the "example.com" in user@example.com).

Modify config files :

/etc/postfix/main.cf :

Configure TLS and Maildir :

# TLS parameters smtpd_tls_key_file = /etc/ssl/private/ssl-cert-snakeoil.key smtpd_tls_cert_file = /etc/ssl/certs/ssl-cert-snakeoil.pem smtpd_tls_CAfile = /etc/ssl/certs/ca-certificates.crt smtpd_use_tls=yes smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for # information on enabling SSL in the smtp client. myhostname = mail.example.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases myorigin = /etc/mailname mydestination = example.com, localhost mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128 mailbox_size_limit = 0 recipient_delimiter = + home_mailbox = Maildir/ # These are the "no relay" restrictions smtpd_recipient_restrictions = permit_mynetworks permit_inet_interfaces permit_sasl_authenticated reject_unauth_destination

/etc/postfix/master.cf :

Enable TLS and alternate (submission) ports :

submission inet n - - - - smtpd -o syslog_name=postfix/submission -o smtpd_tls_security_level=encrypt -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING smtps inet n - - - - smtpd -o syslog_name=postfix/smtps -o smtpd_tls_wrappermode=yes -o smtpd_sasl_auth_enable=yes -o smtpd_client_restrictions=permit_sasl_authenticated,reject -o milter_macro_daemon_name=ORIGINATING

SASL : installation and configuration

SASL plugin for Postfix (Cyrus) is part of the dependencies of Postfix server.

Install SASL administration tools : apt-get install sasl2-bin

Enable SASL daemon at startup : edit /etc/default/saslauthd and switch START to yes.

Start it manually for the first time : service saslauthd start

Enable PAM authentication for SASL

Check that PAM is part of the MECHANISMS variable in /etc/default/saslauthd :

MECHANISMS="pam"

Create /etc/pam.d/smtp :

# # /etc/pam.d/smtp - specify PAM SMTP behavior # @include common-auth @include common-account @include common-password @include common-session

Enable SASL for Postfix

Add to /etc/postfix/main.cf :

smtpd_sasl_auth_enable = yes

Create /etc/postfix/sasl/smtpd.conf :

pwcheck_method: saslauthd mech_list: PLAIN LOGIN

Adjust OPTIONS in /etc/default/saslauthd :

OPTIONS="-c -m /var/spool/postfix/var/run/saslauthd"

Add postfix user to sasl group :

adduser postfix sasl

Configuration check

Restart all services (postfix, salsauthd).

Try authentication using SASL : testsaslauthd -u user -p password

Try authentication from command line, without mail client : https://qmail.jms1.net/test-auth.shtml

Try SMTP reception by sending mail to your domain (your MX fields in domain has to be configured accordingly).

Sources

Git push origin master : erreur 22

Mathieu — Sat, 26 Nov 2011 18:04:00 +0100

Petite note pour eux qui ont comme moi suivi les conseils et les exemples sur Internet pour installer un serveur Git avec WebDAV, il faut savoir que c’est comme avec Subversion, le serveur WebDAV aime pas trop les protocoles loufoques (https, as-t-on idée ?), et qu’il faut lui expliquer gentiment de faire de la substitution de protocole, pour le calmer.

Bref, comme j’ai cherché pendant trois heures, je vous livre la solution à cette erreur 22, il faut expliquer à Apache de remplacer https par http lorsqu’il passe à WebDAV.

RequestHeader edit Destination ^https http early

En principe ça ne change rien sur le fait que la connexion soit chiffrée, ça calme juste le module WebDAV derrière, pour qu’il retrouve ses petits. Autre petite astuce, pour éviter que un client un peu bête ne passe sur le http parce qu’il a pas compris :

SetEnv redirect-carefully 1

Et en exclusivité mondiale, je vous livre ma configuration, au cas où ça vous serait utile :

Pour Subversion :

SetEnv redirect-carefully 1 RequestHeader edit Destination ^https http early <Directory /path/to/repos/> AllowOverride None Options Indexes Order allow,deny Allow from all </Directory> <Location /repos> DAV svn SVNPath /path/to/repos/ SetEnv redirect-carefully 1 AuthType Basic Authname "Subversion repository" AuthUserFile /path/to/passwd AuthzSVNAccessFile /path/to/authz # Repository accessible en lecture sans identification <LimitExcept GET PROPFIND OPTIONS REPORT> Require valid-user </LimitExcept> </Location>

Pour Git :

SetEnv redirect-carefully 1 RequestHeader edit Destination ^https http early Alias /repos /path/to/repos <Directory /path/to/repos> AllowOverride None Options Indexes MultiViews Order allow,deny Allow from all </Directory> <Location /repos> DAV on SetEnv redirect-carefully 1 AuthType Basic Authname "Git repository" AuthUserFile /path/to/repos #Oui, normalement là il faudrait une gestion des groupes pour read/write mais bon... #<LimitExcept GET PROPFIND OPTIONS REPORT> Require valid-user #</LimitExcept> </Location>

Lancer un programme .NET sous Ubuntu ? Trop facile !

Mathieu — Thu, 11 Nov 2010 08:55:00 +0100

J'ai été très étonné, j'ai réussi à lancer le simulateur réseau que l'on utilise en TP sous Windows directement sur mon Ubuntu, sans avoir à installer Wine. Comment ? Quelques incantations au dieu des programmes .NET : Mono.

En fait ça aurait marché tout seul si le programme ne voulait pas la version 1.0 de mono (moi j'ai la 2.0, je suis moderne ), il me disait :

The assembly mscorlib.dll was not found or could not be loaded. It should have been installed in the `/usr/lib/mono/1.0/mscorlib.dll' directory.

J'ai donc installé Mono 1.0, en installant winforms1.0-cil, qui contient les dépendances nécessaires (oui bon avant de le savoir j'ai tenté des trafics avec des ln -s /usr/lib/mono/2.0/ /usr/lib/mono/1.0/ mais ça plante assez quand c'est installé correctement, on va pas en rajouter). J'ai donc fait :

sudo apt-get install libmono-winforms1.0-cil

Et là miracle, le programme se lance ! Bon il y a des petits problèmes, comme d'habitude, au niveau du placement des composants cliquables, les accents qui ne fonctionnent pas, mais le programme tourne, et ça c'est chouette !

Installer Teeworlds depuis les sources

Mathieu — Thu, 14 Oct 2010 19:58:00 +0200

La dernière version de Teeworlds se faisant désirer, voici comment compiler pour linux depuis les sources :

Vérification des dépendances

libx11-dev
libsdl-dev
libglu-dev
libgl-dev
libasound-dev

Clone du repos

git clone http://github.com/oy/teeworlds.git

Récupération de bam

wget http://github.com/downloads/matricks/bam/bam-0.4.0.tar.gz

Extraction et Compilation de bam

tar -xzf bam-0.4.0.tar.gz
cd bam-0.4.0/
./make_unix.sh

Compilation de Teeworlds

cd ../teeworlds
../bam-0.0.4/bam release

Insérer les articles de Dotclear sur son site

Mathieu — Wed, 14 Jul 2010 17:06:00 +0200

C'est quelque chose qui existe probablement déjà, mais comme je l'ai développé pour mon site, je vous propose ma solution, petite astuce à l'échelle des tutos Dotclear existants.

Si votre site et Dotclear partagent le même espace

Par « partagent le même espace », j'entends que les fichiers de Dotclear sont accessibles depuis l'endroit où vous voulez placer les articles. Il est également possible d'utiliser cette méthode si il n'y a pas d'accès au fichier de configuration de Dotclear, mais dans ce cas on ne pourra pas se servir de la couche d'abstraction fournie par le moteur de blog, et il aurait fallut faire les requêtes « en dur ».

Dans notre cas, il suffit d'inclure les fichiers de Dotclear et de jouer avec l'API :

<?php define('CONF_ONLY','1'); include_once('./blog/inc/config.php'); include_once('./blog/inc/clearbricks/dblayer/dblayer.php'); try { @$db = dbLayer::init(DC_DBDRIVER,DC_DBHOST,DC_DBNAME,DC_DBUSER,DC_DBPASSWORD,0); @$conn = $db->db_connect(DC_DBHOST,DC_DBUSER,DC_DBPASSWORD,DC_DBNAME); } catch (Exception $e) { $db = ''; echo 'Erreur de connexion'; } if(!$db) { //exit; } else { $query = ' SELECT post_id,post_title,post_url FROM '.DC_DBPREFIX.'post WHERE post_status = \'1\' ORDER BY post_dt DESC LIMIT 5'; $result = $db->db_query($conn,$query); $num_results = $db->db_num_rows($result); echo '<ul>'; for($i = 0 ; $i < $num_results ; $i++) { $row = $db->db_fetch_assoc($result); $row['post_title'] = htmlspecialchars($row['post_title']); echo '<li><a href="https://uname.pingveno.net/blog/index.php/post/2010/07/14/./blog/index.php/post/'.$row['post_url'].'" title="'.$row['post_title'].'">'.$row['post_title'].'</a></li>'; } echo '</ul>'; $db->db_close($conn); } ?>

La requête ici n'affiche que les titres, triés par date de publication, mais on peut la modifier pour qu'elle renvoie plus d'informations.

Si les fichiers de Dotclear ne sont pas accessibles, et la base non plus d'ailleurs

Dans ce cas, je suppose que le flux est quand même accessible, au minimum, nous allons récupérer le flux RSS du blog et le traiter. Pour ça on va utiliser un logiciel qui - il me semble - n'est plus maintenu, mais qui fait toujours très bien son travail : http://magpierss.sourceforge.net/

<?php require_once('./magpierss/rss_fetch.inc'); define('MAGPIE_OUTPUT_ENCODING', 'UTF-8'); $url = "http://mathedit.free.fr/blog/index.php/feed/rss2"; $rss = fetch_rss($url); $max_items = 5; $i = 0; foreach ($rss->items as $item ) { if ($i>$max_items) break; $title = $item['title']; $url = $item['link']; $summary = substr(strip_tags($item['summary']),0,100); echo '<p>'.$summary.' <a href="https://uname.pingveno.net/blog/index.php/post/2010/07/14/'.$url.'">lire</a></p>'; $i++; } ?>

Voilà c'est tout, n'oubliez pas d'encapsuler tout ça dans une classe pour la forme, et amusez vous bien

Ouverture du Wiki

Mathieu — Tue, 29 Dec 2009 10:21:00 +0100

Une petite note rapide pour signaler que le wiki est ouvert et fonctionnel.
Il se trouve à l'adresse http://mathedit.free.fr/wiki/

J'y mettrais des tutoriel et des pense bête personnels.

rsync est ton ami

Mathieu — Sun, 27 Dec 2009 23:26:00 +0100

Pour copier en SSH en conservant les liens symboliques tel des liens symboliques :

rsync -azuv -e ssh user@xx.xx.xx.xx:public_html/* public_html/

Source

Combien avez vous de listes d'amis ?

Mathieu — Fri, 28 Aug 2009 10:38:00 +0200

Ce billet est issu d'une sauvegarde de mon ancien blog, il est peut être obsolète, mais conserve un intérêt dans le contexte de ce blog.

Aujourd'hui utilisation pratique de Facebook au quotidien : présentation qu'un outil que beaucoup négligent et qui est pourtant indispensable pour une vie privée saine et heureuse sur ... heum ... Facebook.

Je veux donc parler des listes d'amis, les listes d'amis sont des sortes de "groupes" d'amis pour lesquels ont peut définir des autorisations spécifiques pour voir/pas voir les photos, articles, publications, etc. Jusque là rien de nouveau.

Sauf que :
1. Personne ne sait que ça existe / Tout le monde s'en fout / Personne s'en sert
2. Il y a des subtilités (it's not a bug, ok ...) dans la plateforme qui font que les listes d'amis se comportent de temps en temps de manière bizarre.
3. Il y a des options que ne permettent pas de configurer les listes d'amis, oui je sais, je chipote.

Bref,

Créer une liste d'amis

Voici comment créer une liste d'amis : allez dans votre liste d'amis (cliquez sur « Amis » en haut de la page, oui c'est sur toutes les pages...)
Puis cliquez sur « Amis »à gauche, puis enfin sur « Créer une liste ».
Donnez un nom, et vous pouvez ajouter des amis dans cette liste.

Configurer son profil pour utiliser les listes d'amis

Petit point technique : TOUS les liens présents dans le menu de confidentialité permettent de régler quelque chose, rien n'est présent en double, alors ne faites pas l'impasse si vous ne voulez pas voir un trou dans votre belle configuration

Ainsi, rendez vous dans le menu permettant la configuration des paramètres de confidentialité de votre profil, et commencez à jouer.
Vous devrez cliquer sur « Personnaliser » chaque fois que vous voulez changer pour avoir des paramètres spécifiques à certaines listes d'amis.

La plateforme Facebook m'étonne de temps en temps. Parfois en bien et parfois en mal.
Voici les bizarreries pour les listes d'amis :

1. On ne peut pas décider de tout cacher. Non, cela n'est tout simplement pas possible de cacher les pages dont je suis fan, même pour quelqu'un qui est dans ma liste la plus stricte, quelqu'un sait pourquoi ?
Bien sûr si je supprime la personne, cela ne sera plus le cas, mais dans ce cas je repasse en mode "pas amis" et les paramètres e confidentialité lui montre d'autres informations que je lui avait caché avec les listes (l'ensemble de ma liste d'amis par exemple).
Si je la bloque, effectivement, là elle ne verra plus rien du tout...

2. En ce qui concerne les applications, impossible de faire un réglage global, si vous avez 60 applications dans votre liste d'applications ajoutées, il vous faudra faire 60 fois le même réglage.
Toutes les applications ont des réglage de confidentialité spécifiques. Je vous conseille de configurer en priorité celles qui ont un onglet dans votre profil.

3. Pour les articles, photos, et vidéos, si l'élément est déjà publié, la modification des paramètres sur l'application n'influera pas sur l'élément. Je m'explique, imaginez que vous ne connaissiez pas les listes d'amis et que vous aviez ajouté un album contenant des photos ... compromettantes. Vous retirez a permission de voir les photos (sur l'onglet Applications) à une liste, celle ci pourra toujours voir l'album. Pourquoi ? Parce que les permissions ne sont pas rétroactives, si l'album a été créé avant que vous ne configuriez les permissions globales des photos, celui ci gardera ses propres permissions. Il vous vaudra alors changer album par album les permissions. Arf.
Il en va de même pour les articles, et les vidéos.

Voilà, ainsi s'achève cette balade merveilleuse au pays des options de confidentialité de Facebook, et n'oubliez pas, pour vivre heureux vivons caché

Facebook : Introduction aux comptes Test

Mathieu — Sat, 22 Aug 2009 14:55:00 +0200

Ce billet est issu d'une sauvegarde de mon ancien blog, il est peut être obsolète, mais conserve un intérêt dans le contexte de ce blog.

Comptes Test ?

Un compte Test sur Facebook est un « faux » compte utilisé par les développeurs d'un application pour l'essayer, les comptes Test servent donc de cobaye, en attendant que les ~~pigeons~~ utilisateurs la mettent à l'épreuve (version finale, aussi appelée gold release, ou foolproof release).

Pourquoi faire ?

Un compte test permet donc essentiellement de tester l'application, cependant il peut aussi avoir des applications ludiques, comme par exemple ... Jouer aux Sims^TM sur Facebook !

Comment faire ?

Pour commencer, déconnectez vous de Facebook, oui je sais c'est très difficile...

Ensuite, créez un nouveau compte avec un nom farfelu, et une nouvelle adresse mail. Vous pouvez utiliser des alias temporaires avec des fournisseurs d'adresses email jetables, mais dans ce cas ne perdez pas le mot de passe ensuite...

Et au final, rejoignez le réseau des comptes Test !

Bon avec un seul c'est pas marrant. Avec 3 ou 4 ça commence à devenir intéressant, vous pouvez imaginer une famille complète avec des liaisons dans tous les sens, frères, soeurs, en relation avec, etc.

Comment ça marche ?

vous n'êtes pas sans ignorer que Facebook est composé de réseaux, certains sont privés, certains donnent accès à des ressources, celui ci est ouvert mais fermé sur l'extérieur : un compte Test ne peut communiquer qu'avec des comptes Test (ou la vie est cruelle), à partir du moment où vous restez dans ce réseau, vous êtes un compte Test.

Pour le quitter, c'est comme un réseau normal.

Conclusion

Ne devenez jamais développeur d'applications, ça oblige à pondre des billets pourris comme celui ci :D