Implémentation de SSL, ouverture au monde extérieur sur SMTP (25) et SMTPS (465)

docker-compose/mail.yml

@@ -18,8 +18,9 @@ services:
    build: ../pica-mail-mta
    image: pica-mail-mta
    container_name: pica-mail-mta
-#  ports:
-#      - "25:25"
+   ports:
+      - "25:25"
+      - "465:465"
    networks:
       - mail
    volumes:
@@ -30,7 +31,7 @@ services:
      - LMTP_LAN_HOSTNAME=pica-mail-mda.pica_mail
    labels:
       - "traefik.frontend.rule=Host:mail-test-picasoft.maliach.fr"
-#      - "traefik.port=80"
+      - "traefik.port=80"
       - "traefik.enable=true"
       - "traefik.docker.network=pica_mail"
 

pica-mail-mta/entrypoint.sh

@@ -67,13 +67,11 @@ EOF
 dpkg-statoverride --add root sasl 710 /var/spool/postfix/var/run/saslauthd
 adduser postfix sasl
 service saslauthd  restart
-#le SASL se fait entre le client SMTP et le conteneur MTA, donc on indique notre nom d'hôte
+#activation du sasl
 postconf -e 'smtpd_sasl_local_domain = '
 postconf -e 'smtpd_sasl_auth_enable = yes'
-#interdit le sasl avec mot de passe en clair sur un canal en clair. (il existe des méthodes permettant de chiffrer seulement le mot de passe)
-postconf -e 'smtpd_sasl_security_options = noanonymous, noplaintext'
-#autorise le sasl avec mot de passe en clair sur un canal tls
-postconf -e 'smtpd_sasl_tls_security_options = noanonymous'
+#autorise l'auth sasl seulement sur un canal tls
+postconf -e 'smtpd_tls_auth_only = yes'
 
 #autorise l'auth depuis des clients connus comme obsolètes/non standard (outlook) mais ne présentant pas de faille de sécurité
 postconf -e 'broken_sasl_auth_clients = yes'
@@ -123,8 +121,10 @@ postconf -e 'smtpd_tls_security_level = may'
 
 
 
-
-
+#activation du service smtps (sur le port 465 par défaut)
+cat <<EOF >> /etc/postfix/master.cf
+smtps     inet  n       -       y       -       -       smtpd
+EOF
 
 #configuration du socket TCP/IP, on est obligé d'utiliser ipv4 pour la local delivery car les docker network ne supportent pas iPv6 par défaut
 postconf -e "inet_protocols = ipv4"