Serveur MX de secours

Pour les petites infrastructures n'ayant pas les besoins ou les moyens de mettre en place deux serveurs mails en mode Active/Active, il est conseiller d'avoir un second serveur de messagerie entrant MX afin de temporiser les mail le temps que le serveur Maitre redevienne disponible.

Pour cela il vous faut postfix, et juste le configurer comme ceci

main.cf
myhostname = mx02.virtit.fr
smtpd_banner = $myhostname ESMTP
mynetworks = 127.0.0.0/24 [::1]/128
maximal_queue_lifetime = 30d
 
relay_recipient_maps =
relay_domains = hash:/etc/postfix/relaydomains
transport_maps = hash:/etc/postfix/transportmaps
 
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination
 
#
## TLS settings
#
smtpd_use_tls = yes
smtpd_tls_auth_only = no
smtpd_tls_key_file = /etc/letsencrypt/mx02.virtit.fr/live/private.key
smtpd_tls_cert_file = /etc/letsencrypt/mx02.virtit.fr/live/fullchain.pem
smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
smtpd_tls_loglevel = 1
smtpd_tls_session_cache_database = btree:$data_directory/smtpd_tls_session_cache
smtpd_tls_security_level = may
smtpd_tls_received_header = yes
 
# Disallow SSLv2 and SSLv3, only accept secure ciphers
smtpd_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers = high
smtpd_tls_mandatory_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
smtpd_tls_exclude_ciphers = aNULL, MD5 , DES, ADH, RC4, PSD, SRP, 3DES, eNULL
 
# Enable elliptic curve cryptography
smtpd_tls_eecdh_grade = strong
 
# Use TLS if this is supported by the remote SMTP server, otherwise use plaintext.
smtp_tls_security_level = may
smtp_tls_loglevel = 1
smtp_tls_exclude_ciphers = EXPORT, LOW

Ensuite on va définir les domaines relayer :

relaydomains
virtit.fr OK

et vers quels serveurs les renvoyer :

transportmaps
virtit.fr       smtp:mx01.virtit.fr:25

et ensuite on les hash :

# postmap /etc/postfix/transportmaps && postmap /etc/postfix/relaydomains

on génére la clé Diffie Hellman :

# openssl dhparam -out /etc/postfix/dh2048.pem 2048

Et il ne vous restera qu'a renseigner vos certificats au lignes suivantes :

  1. #
  2. ## TLS settings
  3. #
  4. smtpd_use_tls = yes
  5. smtpd_tls_auth_only = no
  6. smtpd_tls_key_file = /etc/letsencrypt/mx02.virtit.fr/live/private.key
  7. smtpd_tls_cert_file = /etc/letsencrypt/mx02.virtit.fr/live/fullchain.pem
  8. smtpd_tls_dh1024_param_file = ${config_directory}/dh2048.pem
  9. smtpd_tls_loglevel = 1

et a redémarrer votre service postfix