Hacky's blog - Howto

Préférences spamassassin & MySQL

hacky — Tue, 13 Feb 2007 17:36:00 +0100

Voici un petit howto concernant la gestion des préférences spamassassin par utilisateur en base MySQL.
Chaque utilisateur peut avoir accès à ses préférences via un plugin SquirrelMail.

Ayant de plus en plus d'utilisateurs mail sur mes machines, et certains ayant des besoins spécifiques au niveau du filtrage des spams, il semblait évident qu'il faille changer de stratégie pour spamassassin (un seul utilisateur, une seule base bayes, un seul fichier de préférences).
Je me suis donc attelé à la tâche afin de migrer tout ça en base MySQL, et comme je ne suis pas du genre radin, je vous en fais profiter
Le howto a été réalisé sur une Debian sid.

Je pars ici du principe que vous avez les choses suivantes déjà fonctionnelles :

Postfix
Spamassassin en configuration mono-utilisateur
MySQL
Squirrelmail

Tout d'abord, sauvegardons la base bayes de l'utilisateur qui analyse les mails, je pars du principe qu'il se nomme spamd :

# su - spamd
$ sa-learn --backup > /tmp/sa_backup.txt

Créez une base dans votre MySQL, ou réutilisez celle que vous aviez déjà pour stocker vos utilisateurs virtuels. Je suis personnellement dans le second cas ici, la base s'appelle maildb. Passons à la création des tables nécessaires :

$ wget http://blog.hacky.info/public/base_spam.sql
$ mysql -u root -p maildb < base_spam.sql
Enter password:

Vous pouvez réutiliser le même utilisateur MySQL que postfix utilise pour aller consulter ses tables de configuration, mais il est beaucoup plus sécurisé de créer un autre utilisateur n'ayant accès qu'aux tables awl, bayes_expire, bayes_global_vars, bayes_seen, bayes_token, bayes_vars et userpref.

$ mysql -u root -p
Enter password:
mysql> CREATE USER 'spamd'@'localhost' IDENTIFIED BY 'password("motdepasse")';
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`awl` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`bayes_expire` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`bayes_global_vars` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`bayes_seen` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`bayes_token` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`bayes_vars` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)
mysql> GRANT ALL ON `maildb`.`userpref` TO 'spamd'@'localhost' WITH GRANT OPTION ;
Query OK, 0 rows affected (0.00 sec)

Éditons maintenant la configuration de spamassassin :
Changez la ligne OPTIONS du fichier /etc/default/spamassassin :

OPTIONS="--max-children 5 --username spamd --nouser-config --sql-config"

Commentez tout ce qui fait référence à vos anciens paramètres de configuration dans le fichier /etc/spamassassin/local.cf puis ajoutez ceci :

bayes_store_module              Mail::SpamAssassin::BayesStore::MySQL
auto_whitelist_factory          Mail::SpamAssassin::SQLBasedAddrList
user_awl_sql_table              awl
bayes_sql_override_username     root
user_scores_dsn                 DBI:mysql:maildb:localhost
user_scores_sql_username        spamd
user_scores_sql_password        motdepasse
user_awl_dsn                    DBI:mysql:maildb:localhost
user_awl_sql_username           spamd
user_awl_sql_password           motdepasse
bayes_sql_dsn                   DBI:mysql:maildb:localhost
bayes_sql_username              spamd
bayes_sql_password              motdepasse

Un petit redémarrage de spamassassin pour prendre en compte la nouvelle configuration :

# /etc/init.d/spamassassin restart

Et restaurons la sauvegarde de la base bayes :

$ sa-learn -u root --restore /tmp/sa_backup.txt

Pendant ce temps, on peut réinsérer en base les paramètres globaux qui étaient présents dans le fichier local.cf (les directives qu'on a commentées juste au dessus).

$ mysql -u spamd -p maildb
Enter password:
mysql> insert into userpref values ('@GLOBAL','required_hits','5.0','');
Query OK, 1 row affected, 1 warning (0.01 sec)
mysql> insert into userpref values ('@GLOBAL','rewrite_header Subject','*****SPAM*****','');
Query OK, 1 row affected, 1 warning (0.00 sec)
mysql> insert into userpref values ('@GLOBAL','report_safe','1','');
Query OK, 1 row affected, 1 warning (0.00 sec)
mysql> insert into userpref values ('@GLOBAL','report_contact','postmaster@hacky.info','');
Query OK, 1 row affected, 1 warning (0.00 sec)

Voila, c'est tout coté spamassassin !

Côté postfix, il faut créer un pipe aboutissant sur un script de filtrage. Ce script, nommé /usr/bin/antispam comporte ces lignes :

/usr/bin/spamc -u "$4" | /usr/lib/sendmail -i "$@"
exit $?

Pour l'appeler au moment de l'arrivée d'un mail, il faut modifier la configuration postfix dans le fichier /etc/postfix/master.cf :

Ajouter l'appel du pipe en modifiant la ligne smtp existante :

smtp      inet  n       -       n       -       -       smtpd
        -o content_filter=antispam

Et créer ou modifier le pipe antispam :

antispam  unix  -       n       n       -       -       pipe
   flags=Rq user=spamd argv=/usr/bin/antispam -f ${sender} -- ${recipient}

Il ne vous reste plus qu'à utiliser un plugin squirrelmail ou un autre panel afin d'autoriser vos utilisateurs à modifier leurs préférences : http://sourceforge.net/projects/php...

Il existe de nombreux panels d'administration pour cette base, le wiki de SpamAssassin en recense quelques uns : http://wiki.apache.org/spamassassin...

SMTP auth TLS : postfix avec SASL linké à IMAP

hacky — Fri, 10 Nov 2006 15:57:40 +0000

Une petite mise à jour du précédent howto. Cette fois ci, plus besoin de courier-authdaemon, la méthode rimap de saslauthd permet de se connecter à n'importe quel serveur IMAP pour l'authentification.

La distribution utilisée pour ce howto est une Debian avec les paquets sid suivants :

libsasl2, libsasl2-2, libsasl2-modules, sasl2-bin en version 2.1.22.dfsg1-1
postfix, postfix-mysql en version 2.3.4-1

Le paquet postfix-tls est maintenant obsolète (deprecated).

Je pars du principe que vous avez un postfix et un serveur IMAP de votre choix fonctionnels tous les deux.
Cette fois ci, la chaine utilisée se décompose de cette façon :

client >> postfix >> saslauthd >> serveur IMAP (local ou distant)

Installons les paquets suivants :

# aptitude install libsasl2 libsasl2-modules sasl2-bin openssl

Générons le certificat SSL valable 1 an pour le TLS de postfix :

# cd /etc/postfix # openssl req -new -outform PEM -out /etc/postfix/smtpd.cert -newkey rsa:2048 -nodes -keyout /etc/postfix/smtpd.key -keyform PEM -days 365 -x509

Répondez aux quelques questions demandées, la plus importante étant : "Common Name (eg, YOUR name) :", où il faudra indiquer le FQDN de votre machine (machine.domaine.org).
Corrigeons maintenant les droits sur le fichier de la clé pour éviter qu'un utilisateur mal intentionné vienne la lire.

# chmod o= /etc/postfix/smtpd.key

Ajoutez l'utilisateur postfix au groupe sasl, ceci permettra à postfix d'aller dialoguer avec saslauthd grâce au socket unix /var/run/saslauthd/mux.

# adduser postfix sasl

Passons maintenant à la configuration de saslauthd :
Editez le fichier /etc/default/saslauthd et modifiez les lignes correspondantes :

START=yes MECHANISMS="rimap" MECH_OPTIONS="nomdhote-ou-ip-de-votre-serveur-imap" OPTIONS="-r -c -m /var/run/saslauthd"

Remarque pour ceux qui utilisent postfix en chroot : il suffit de créer préalablement le répertoire /var/spool/postfix/var/run/saslauthd et de changer en conséquence la ligne OPTIONS du fichier ci dessus.

Créez le fichier /etc/postfix/sasl/smtpd.conf contenant :

pwcheck_method: saslauthd mech_list: plain login

Et finissons avec la configuration de postfix :

Editons le fichier /etc/postfix/main.cf, et ajoutons :

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_use_tls = yes smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key

Pour des raisons de compatibilité de postfix, il faut créer le lien symbolique suivant :

ln -s /etc/postfix/sasl/smtpd.conf \ /usr/lib/sasl2/smtpd.conf

Enfin, redémarrons le tout :

# /etc/init.d/postfix restart # /etc/init.d/saslauthd restart

Voila ! Il ne vous reste plus qu'à configurer votre client mail favori pour se connecter en TLS avec authentification "PLAIN", y indiquer votre login et votre mot de passe.

SMTP auth en TLS sous postfix avec SASL & courier-authdaemon

hacky — Sun, 25 Jun 2006 16:47:00 +0000

J'inaugure la catégorie howto de mon blog avec ce premier dossier.
Le SMTP auth vise à identifier les clients avec leur login et mot de passe (authentification chiffrée) pour leur autoriser à relayer des mails vers les domaines extérieurs.

Nous allons partir du principe que vous avez déjà un postfix fonctionnel avec un serveur pop ou/et imap basé sur courier, le tout sous Debian.
Le schéma est le suivant :

client >> postfix >> saslauthd >> courier-authdaemond >> mysql

Installons les paquets nécessaires :

# aptitude install postfix-tls libsasl2 libsasl2-modules sasl2-bin openssl

Générons le certificat SSL valable 1 an pour le TLS de postfix :

# cd /etc/postfix # openssl req -new -outform PEM -out /etc/postfix/smtpd.cert -newkey rsa:2048 -nodes -keyout /etc/postfix/smtpd.key -keyform PEM -days 365 -x509

Répondez aux quelques questions demandées, la plus importante étant : "Common Name (eg, YOUR name) :", où il faudra indiquer le FQDN de votre machine (machine.domaine.org).
Corrigeons maintenant les droits sur le fichier de la clé pour éviter qu'un utilisateur mal intentionné vienne la lire.

# chmod o= /etc/postfix/smtpd.key

Ajoutez l'utilisateur postfix au groupe sasl, ceci permettra à postfix d'aller dialoguer avec saslauthd grâce au socket unix /var/run/saslauthd/mux.

# adduser postfix sasl

Corrigez les permissions sur le répertoire /var/run/courier/authdaemon afin que saslauthd dialogue avec courier-authdaemond.

# chmod 775 /var/run/courier/authdaemon

Passons maintenant à la configuration de saslauthd :
Editez le fichier /etc/default/saslauthd :
Décommentez START=yes en enlevant le # en début de ligne.
Spécifiez : MECHANISMS="sasldb". Cet argument est nécessaire pour le démarrage de saslauthd mais ne sera pas utilisé car on passe par le authdaemond de courier.

Ensuite créez le répertoire /etc/postfix/sasl :

# mkdir /etc/postfix/sasl && chown root:postfix /etc/postfix/sasl

Et créez y le fichier smtpd.conf contenant :

pwcheck_method: authdaemond authdaemond_path: /var/run/courier/authdaemon/socket mech_list: plain login allow_plaintext: true

Et finissons avec la configuration de postfix :
Editons le fichier /etc/postfix/main.cf, et ajoutons :

smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination smtpd_sasl_auth_enable = yes broken_sasl_auth_clients = yes smtpd_use_tls = yes smtpd_tls_cert_file = /etc/postfix/smtpd.cert smtpd_tls_key_file = /etc/postfix/smtpd.key

Enfin, redémarrons le tout :
# /etc/init.d/postfix restart # /etc/init.d/saslauthd restart

Voila ! Il ne vous reste plus qu'à configurer votre client mail favori pour se connecter en TLS avec authentification "PLAIN", y indiquer votre login et votre mot de passe.