Configuration du FQDN sous GNU/Linux

Contexte

Récemment j’ai configuré un serveur SMTP sous une machine Debian GNU/Linux pour pouvoir utiliser un client email avec un compte dont le fournisseur ne propose qu’un accès par webmail en envoi (pas de SMTP). Or mon but, c’est de pouvoir signer et de chiffrer mes emails avec ledit compte, donc de passer obligatoirement par un client email lourd (impossible d’utiliser GPG proprement avec un webmail, les plugins pour le faire posent plus trop de problèmes de sécurité)

A noter que je vous parle ici de SMTP, et non pas de Secure SMTP (SMTP over TLS) car mon serveur tourne sur l’interface localhost de ma machine client
Si vous avez un serveur accessible depuis l’extérieur, n’oubliez surtout pas TLS, avec un bon mot de passe pour l’authentification et ne le configurez surtout pas en relais ouvert si vous voulez éviter des emmerdes et devenir un relais à spams

L’idéal serai un serveur email auto-héberge complètement (Secure SMTP+IMAPS), mais pour ça, il me faut du matériel dédié et un nom de domaine, je dois attendre un peu avant de les avoir
Ceci dit, il faut quand même que je puisse utiliser mon compte le compte email concerné avec un client email et GPG, du coup il me faut mon serveur SMTP personnel… bref, je m’égare…

Pour monter mon serveur SMTP, j’ai utilisé le paquet exim4, et je me suis rendu compte que si le FQDN n’est pas configuré, deux problèmes se posent

– Impossible de minimiser les requêtes DNS (fonctionnalité d’exim4) afin de réduire l’usage de la vande passante, pratique sur des machines utilisant des accès Internet de façon ponctuelle (WiFi (semi-)public, téléphone/clé 3G… )
Si vous n’activez pas cette option, exim sera très lent à se lancer si vous n’êtes pas connecté à un réseau au moment de son lancement
– Impossible d’envoyer des emails sur certaines mailing lists, les emails sont filtrés et le Mail Delivery System m’envoie un email m’indiquant qu’il y a un problème avec la configuration de mon le nom d’hôte de mon serveur email

Helo command rejected: need fully-qualified hostname

Configuration du serveur Exim

La configuration d’exim4 en soit n’est pas du tout difficile dans la plupart des cas, il suffit d’utiliser dpkg-reconfigure
Pour des besoins spécifiques, on peut lire la doc pour écrire des fichiers de configuration mais, dans la plus part dès cas, les configurations standards suffisent

On lance l’interface de configuration d’exim4 avec la commande

sudo dpkg-reconfigure exim4-config

Une interface ncurses s’ouvre et il suffit choisir un des modes de fonctionnement les plus usités et de remplir ensuite les différents champs en fonction de son cas
Pour chaque champs, tout est clairement expliqué étape par étape directement sur l’interface de configuration d’exim, donc je ne vais pas revenir là dessus
ça prend 2 minutes à configurer mais dans la configuration par défaut du hostname, vous allez vous avoir un avertissement en cas d’activation de la fonctionnalité pour minimiser les requêtes DNS

Configuration du FQDN

Votre fichier /etc/hosts contient très probablement quelques chose comme

127.0.0.1    

Avec à la place de le nom d’hôte que vous avez choisi au moment d’installer GNU/Linux (celui contenu dans /etc/hostname et dans /etc/hosts à la première ligne non-commentée)
Dans ce cas, que vous taper hostname ou hostname –fqdn dans le terminal, le résultat sera le même, vous obtiendrez en sortie standard
car votre FQDN n’est pas configuré

Pour configurer le FQDN, ouvrez votre /etc/hosts dans un éditeur de texte (en tant que root) et remplacez la ligne suivante

127.0.0.1    

Par la suivante, en remplaçant bien sur par le vrai hostname de votre machine

127.0.0.1    .    

Une fois fait hostname retournera alors que hostname –fqdn retournera ., dans ce cas correspond à localhost, puisqu’il ne s’agit pas serveur accessible sur le Net, donc j’ai pas pris de nom de domaine

Il suffit de redémarrer le service exim4 avec la commande suivante, cette fois vous n’aurez pas de warnings concernant l’impossibilité de minimiser les requêtes DNS

service exim4 restart

Les problèmes potentiels

– Si vous envoyez vos emails vers des plate-formes centralisées tels que gmail et autres outlook.com, il y a de grandes chances que vos emails iront droit vers le dossier “spam” sous prétexte que votre email n’est pas envoyé depuis un serveur contrôlée par une multinationale du Minitel 2.0
Cette politique à la con risque de dissuader les gens de passer à des solutions auto-hébergée, mais en même temps, le problème n’existerai plus si tout le monde passait à des solutions auto-hébergement, puisque le problème ne vient que de la politique arbitraire imposée par les fournisseurs d’emails centralisés

Pour l’instant, la seule solution qui existe, et elle vaut ce qu’elle vaut
Si vous continuez de tolérer dans vos contacts les utilisateurs des NSA-mail et crap-mails, n’oubliez pas de prévenir de ce problème et de leurs demander, s’ils peuvent, de vous rajouter à leurs whitelist

– Le filtrage d’emails sortants
Votre FAI pourrai potentiellement filtrer les emails sortant, soit de façon imposée soit par défaut avec possibilité de désactiver le filtrage des emails dans le pare-feu de votre box
Si vous pouvez pas le désactiver, il vous reste plus qu’à essayer de convaincre votre FAI de désactiver le filtrage, et s’ils veulent pas changer de FAI
Dans mon cas, je n’ai pour l’instant pas de problème, je n’ai eu qu’à décocher une case dans l’interface d’administration de ma box

Mais je ne dirai pas de quel FAI il s’agit car je n’ai pas envie de leurs faire de la pub sachant qu’ils font pleins de trucs dégueulasses sur certains de leurs forfaits (tous?) et qu’ils ont une box sous un firmware proprio obscur et complètement buggé, qui me rend dingue…

De plus, la box en question à un comportement très bizarre…
Quand j’ai utilisé Wireshark pour un diagnostique, je me suis rendu compte que ladite box refuse de router mes paquets puis refuse de répondre aux requêtes ARP que machine commence à émettre jusqu’à ce que j’arrête de sniffer le réseau et que je (re-)spoof mon adresse MAC… vachement pratique quand je rencontre un problème de connexion à un service sur ma machine et que j’essaye de comprendre pourquoi (ou je veux vérifier ce qui se passe avec certains protocoles), sachant que j’ai qu’une seule machine…
Il ne s’agit pas de déconnexion du réseau, ce qui serai normal si ma carte réseau passait en monitor mode, le problème ici arrive en promiscuous mode et sans déconnexion du réseau, c’est juste la box qui refuse de répondre à ma machine

Vive les FAI associatifs, mais là il faut pouvoir payer… ils sont plus chers que les FAI commerciaux en comptant la ligne FT à payer séparément, parce que leurs nombre de clients et ce qu’ils payent eux même à leurs prestataires techniques ne leurs permet pas de proposer des abonnement Internet à 30€/mois

J’en profite pour faire un coup de pub au FAI associatif LDN dont je suis membre, et qui à trouvé une solution à ce problème, il s’agir un moyen de “nettoyer” un accès Internet d’un FAI commercial (et faciliter l’auto-hébergement pour les non-geeks) sans pour autant vendre un abonnement complet, donc pour un prix mensuel raisonnable (abonnement VPN + Internet “commercial” hors coup du matériel), il s’agit d’un boitier VPN + YunoHost
Je sais pas qui en a eu l’idée mais bien joué

Le boitier VPN est basé sur de l’open hardware, sauf pour le dongle WiFi actuel (celui visible sur la vidéo de démo) qui nécessite un driver privateur, mais on est à la recherche d’un autre dongle propre, puis votre box commerciale, c’est forcément pire :), vous pouvez soit le “monter” vous même soit l’acheter à LDN

Il peut-être utilisé avec n’importe quel VPN, mais la plupart des fouisseurs ont des pratiques douteuses, qu’ils soient chers ou non, alors attention ou vous mettez les pieds, lisez les CGU et regardez les caractéristiques techniques de l’offre, beaucoup sont font avoir par des CGU abusives qu’ils n’ont pas lu

Là encore je m’égare, mais ces détails sont importants à connaître pour savoir à quoi vous en tenir…
Bref, si vous n’avez pas/plus le problème de ports, vous pouvez enfin avoir votre propre serveur SMTP pas filtré par les mailing lists, et vous pouvez enfin utiliser GPG avec le compte de TuxFamily pour signer, et selon les besoins/votre interlocuteur chiffrer vos emails

2 Replies to “Configuration du FQDN sous GNU/Linux”

  1. J’ai quelques articles qui trainent sur mon site personnel. Suite à plusieurs installation d’exim4 j’ai décidé de prendre des notes et publier tout ça pour éventuellement aider d’autres personnes.

Comments are closed.