| Les deux révisions précédentesRévision précédenteProchaine révision | Révision précédente |
| domaine:ordi49.fr [2023/12/17 10:25] – orthographe, mineur jean | domaine:ordi49.fr [2023/12/18 09:25] (Version actuelle) – orthographe, mineur jean |
|---|
| Menu : | Menu : |
| * [[#Principe de fonctionnement]] | * [[#Principe de fonctionnement]] |
| * [[#Problème rencontré pour les domaines pris en charge par Sud-Ouest]] | * [[#Problème rencontré pour les domaines pris en charge par Sud-Ouest.org]] |
| * [[#Contournement du problème pour les domaines pris en charge par Sud-Ouest]] | * [[#Contournement du problème pour les domaines pris en charge par Sud-Ouest.org]] |
| * [[#Quelques documentations sur les services de découverte automatique autoconfig et autodiscover]] | * [[#Quelques documentations sur les services de découverte automatique autoconfig et autodiscover]] |
| |
| |
| === Principe de fonctionnement === | === Principe de fonctionnement === |
| Comme précisé dans la section Autoconfig de la page sud-ouest2.org > [[https://sud-ouest2.org/configuration-de-votre-domaine-hebergement-dun-domaine-perso-sur-notre-infrastructure/|Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure]], les courrielleurs utilisent des services de découverte automatique des paramètres, afin de simplifier la configuration d'une nouvelle adresse email. | Comme précisé dans la section Autoconfig de la page sud-ouest2.org > [[https://sud-ouest2.org/configuration-de-votre-domaine-hebergement-dun-domaine-perso-sur-notre-infrastructure/|Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure]], les courrielleurs utilisent des services de découverte automatique des paramètres, afin de simplifier la configuration d'une nouvelle adresse courriel. |
| |
| Les courrielleurs inspirés par Mozilla utilisent préférentiellement le service autoconfig, tandis que ceux qui sont inspirés par Microsoft utilisent préférentiellement le service autodiscover. | Les courrielleurs inspirés par Mozilla utilisent préférentiellement le service autoconfig, tandis que ceux qui sont inspirés par Microsoft utilisent préférentiellement le service autodiscover. |
| Par exemple : [[https://autoconfig.ordi49.fr/mail/config-v1.1.xml?emailaddress=testeur@ordi49.fr]] | Par exemple : [[https://autoconfig.ordi49.fr/mail/config-v1.1.xml?emailaddress=testeur@ordi49.fr]] |
| |
| Pour que cela soit possible, il faut préalablement implémenter sur le serveur, une redirection DNS du sous-domaine virtuel autoconfig.domain.tld vers le service autoconfig qui est fourni par le serveur sud-ouest2.org. C'est pourquoi la page sud-ouest2.org > [[https://sud-ouest2.org/configuration-de-votre-domaine-hebergement-dun-domaine-perso-sur-notre-infrastructure/|Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure]] indique qu'il faut ajouter l'enregistrement DNS CNAME autoconfig.domain.tld. --> autoconfig.sud-ouest2.org. | Pour que cela soit possible, il faut préalablement implémenter sur le serveur une redirection DNS du sous-domaine virtuel autoconfig.domain.tld vers le service autoconfig qui est fourni par le serveur sud-ouest2.org. C'est pourquoi la page sud-ouest2.org > [[https://sud-ouest2.org/configuration-de-votre-domaine-hebergement-dun-domaine-perso-sur-notre-infrastructure/|Configuration de votre domaine – hébergement d’un domaine perso sur notre infrastructure]] indique qu'il faut ajouter l'enregistrement DNS CNAME autoconfig.domain.tld.→ autoconfig.sud-ouest2.org. |
| |
| À charge ensuite pour le serveur qui se trouve derrière autoconfig.sud-ouest2.org de renvoyer la ressource XML demandée, c'est-à-dire typiquement, le contenu d'un fichier de configuration config-v1.1.xml remplissant les spécifications décrites par Mozilla((wiki.mozilla.org > [[https://wiki.mozilla.org/Thunderbird:Autoconfiguration:ConfigFileFormat|Thunderbird:Autoconfiguration:ConfigFileFormat]])). | À charge ensuite pour le serveur qui se trouve derrière autoconfig.sud-ouest2.org de renvoyer la ressource XML demandée, c'est-à-dire typiquement le contenu d'un fichier de configuration config-v1.1.xml remplissant les spécifications décrites par Mozilla((wiki.mozilla.org > [[https://wiki.mozilla.org/Thunderbird:Autoconfiguration:ConfigFileFormat|Thunderbird:Autoconfiguration:ConfigFileFormat]])). |
| |
| | === Problème rencontré pour les domaines pris en charge par Sud-Ouest.org === |
| === Problème rencontré pour les domaines pris en charge par Sud-Ouest === | |
| [[#DNS > Autoconfig|Retour au sous-menu de la section DNS > Autoconfig]]. | [[#DNS > Autoconfig|Retour au sous-menu de la section DNS > Autoconfig]]. |
| |
| Malheureusement, depuis que le chiffrement TLS s'est généralisé et a été implémenté aux requêtes d'autoconfig de Thunderbird en juin 2019((Source : bucksch.org (Ben Bucksch, développeur Mozilla) > [[https://www.bucksch.org/1/projects/thunderbird/autoconfiguration/|Thunderbird Autoconfiguration]])), le service de découverte autoconfig ne fonctionne pas correctement lorsque l'adresse email appartient à un domaine différent de sud-ouest2.org. | Malheureusement, depuis que le chiffrement TLS s'est généralisé et a été implémenté aux requêtes d'autoconfig de Thunderbird en juin 2019((Source : bucksch.org (Ben Bucksch, développeur Mozilla) > [[https://www.bucksch.org/1/projects/thunderbird/autoconfiguration/|Thunderbird Autoconfiguration]])), le service de découverte autoconfig ne fonctionne pas correctement lorsque l'adresse courriel appartient à un domaine différent de sud-ouest2.org. |
| |
| L'assistant de configuration Thunderbird effectue des vérifications de sécurité supplémentaires et découvre que le certificat TLS renvoyé par le serveur domain.tld correspond à un autre domaine : | L'assistant de configuration Thunderbird effectue des vérifications de sécurité supplémentaires et découvre que le certificat TLS renvoyé par le serveur domain.tld correspond à un autre domaine : |
| |
| {{ :domaine:thunderbird_-_assistance_ajout_compte_existant_-_exemple_de_boîte_de_dialogue_exception_de_sécurité.png?nolink |Exemple de boîte de dialogue d'avertissement de l'assistant Thunderbird (dans cet exemple, les boutons sont grisés parce que j'ai remplacé le nom du domaine problématique par le mien)}} | {{ :domaine:thunderbird_-_assistance_ajout_compte_existant_-_exemple_de_boîte_de_dialogue_exception_de_sécurité_2.png?nolink |Exemple de boîte de dialogue d'avertissement de sécurité de l'assistant Thunderbird Menu Fichier > Nouveau > Compte courrier existant...}} |
| |
| Si l'utilisateur a accepté (introduit) une exception de sécurité, il est fortement recommandé de la supprimer : | Si l'utilisateur a accepté (introduit) une exception de sécurité, il est fortement recommandé de la supprimer : |
| - Boîte de dialogues Gestionnaire de certificats > Onglet Serveurs : Supprimer les enregistrements | - Boîte de dialogues Gestionnaire de certificats > Onglet Serveurs : Supprimer les enregistrements |
| |
| Pour des raisons de **rigueur méthodologique**, je déroule ci-dessous une **procédure de vérification dans un terminal, que l'on n'a pas tout faux depuis le début et qu'on ne cumule pas plusieurs problèmes**. Le lecteur pressé peut se reporter au sous-chapitre suivant : [[#Contournement du problème pour les domaines pris en charge par Sud-Ouest]]. | Pour des raisons de **rigueur méthodologique**, je déroule ci-dessous une **procédure de vérification, dans un terminal, que l'on n'a pas tout faux depuis le début et qu'on ne cumule pas plusieurs problèmes**. Le lecteur pressé peut se reporter au sous-chapitre suivant : [[#Contournement du problème pour les domaines pris en charge par Sud-Ouest.org]]. |
| |
| Suite au message d'erreur dans la sécurité affiché par Thunderbird, on peut effectivement constater qu'une requête ''%%wget https://autoconfig.domain.tld/mail/config-v1.1.xml -O -%%'' n'affiche pas le contenu XML attendu, mais au contraire le message d'erreur suivant : | Suite au message d'erreur dans la sécurité affiché par Thunderbird, on peut effectivement constater qu'une requête ''%%wget https://autoconfig.domain.tld/mail/config-v1.1.xml -O -%%'' n'affiche pas le contenu XML attendu, mais au contraire le message d'erreur suivant : |
| Celle-ci renvoie la redirection précédemment configurée et qui était attendue : ''autoconfig.sud-ouest2.org.'' | Celle-ci renvoie la redirection précédemment configurée et qui était attendue : ''autoconfig.sud-ouest2.org.'' |
| |
| Pour vérifier à l'abri dans un terminal, qu'il ne s'agit "que" d'un problème de sécurité parce que l'on peut visualiser le contenu XML renvoyé en réponse à notre requête, il faut demander à wget d'outrepasser les vérifications sécuritaires en ajoutant l'option --no-check-certificate, éventuellement avec l'option -q pour supprimer les messages envoyés vers /dev/stderr, c'est-à-dire quelque chose comme :\\ | Pour vérifier, à l'abri dans un terminal, qu'il ne s'agit "que" d'un problème de sécurité parce que l'on peut visualiser le contenu XML renvoyé en réponse à notre requête, il faut demander à wget d'outrepasser les vérifications sécuritaires en ajoutant l'option --no-check-certificate, éventuellement avec l'option -q pour supprimer les messages envoyés vers /dev/stderr, c'est-à-dire quelque chose comme :\\ |
| ''%%wget -q --no-check-certificate https://autoconfig.domain.tld/mail/config-v1.1.xml -O -%%'' | ''%%wget -q --no-check-certificate https://autoconfig.domain.tld/mail/config-v1.1.xml -O -%%'' |
| |
| </code> | </code> |
| |
| Enfin, pour visualiser que le problème provient //__précisément__// du fait que le certificat renvoyé par le serveur de Sud Ouest affiche un nom de domaine différent du notre qui est domain.tld, c'est-à-dire celui de Sud-Ouest et pas celui d'un domaine tiers((Chez mon hébergeur mutualisé parisien à bas coût Inulogic, un problème de configuration signalé et volontairement ignoré par les deux personnes de l'entreprise, fait qu'un des 4 serveurs en load balancing envoie le certificat obsolète Let's Encrypt d'un domain zwarf.fr pour tous mes sous-domaines.)), il faut demander à openssl d'afficher au format texte, les clés de sécurité et les informations de méta-données contenues dans ce certificat : | Enfin, pour visualiser que le problème provient //__précisément__// du fait que le certificat renvoyé par le serveur de Sud-Ouest.org affiche un nom de domaine différent du nôtre qui est domain.tld, c'est-à-dire celui de Sud-Ouest.org et pas celui d'un domaine tiers((Chez mon hébergeur mutualisé parisien à bas coût Inulogic, un problème de configuration signalé et volontairement ignoré par les deux personnes de l'entreprise, fait qu'un des 4 serveurs en load balancing envoie le certificat obsolète Let's Encrypt d'un domain zwarf.fr pour tous mes sous-domaines.)), il faut demander à openssl d'afficher au format texte les clés de sécurité et les informations de méta-données contenues dans ce certificat : |
| |
| À cause du [[wpfr>Server Name Indication (SNI)]], la commande diffère s'il s'agit d'un serveur mutualisé ou bien d'un serveur dédié((source : 25/10/2011: stackoverflow.com > [[https://stackoverflow.com/questions/7885785/using-openssl-to-get-the-certificate-from-a-server|Using openssl to get the certificate from a server]])) : | À cause du [[wpfr>Server Name Indication (SNI)]], la commande diffère s'il s'agit d'un serveur mutualisé ou bien d'un serveur dédié((source : 25/10/2011: stackoverflow.com > [[https://stackoverflow.com/questions/7885785/using-openssl-to-get-the-certificate-from-a-server|Using openssl to get the certificate from a server]])) : |
| |
| |
| === Contournement du problème pour les domaines pris en charge par Sud-Ouest === | === Contournement du problème pour les domaines pris en charge par Sud-Ouest.org === |
| [[#DNS > Autoconfig|Retour au sous-menu de la section DNS > Autoconfig]]. | [[#DNS > Autoconfig|Retour au sous-menu de la section DNS > Autoconfig]]. |
| |
| Ci-dessous, je décris une possibilité parmi d'autres, et qui est relativement simple à mettre en œuvre pour le service de découverte autoconfig qui concerne Thuderbird et les autres logiciels libres qui s'en inspirent : il s'agit d'héberger le petit fichier config-v1.1.xml sur notre propre serveur accessible dans notre sous-domaine autoconfig.domaine.tld plutôt que d'effectuer une redirection vers un serveur de Sud-Ouest. C'est quasiment une méthode sans-échec, puisqu'il n'est pas question de sous-domaine virtuel. | Ci-dessous, je décris une possibilité parmi d'autres, et qui est relativement simple à mettre en œuvre pour le service de découverte autoconfig qui concerne Thunderbird et les autres logiciels libres qui s'en inspirent. Il s'agit d'héberger le petit fichier config-v1.1.xml sur notre propre serveur accessible dans notre sous-domaine autoconfig.domaine.tld, plutôt que d'effectuer une redirection vers un serveur de Sud-Ouest. C'est quasiment une méthode sans-échec, puisqu'il n'est pas question de créer un sous-domaine virtuel et de passer du temps à tâtonner pour obtenir une solution idéale((Si j'avais du temps, je préférerai créer un sous-domaine virtuel sur mon propre serveur Apache, et mettre en place une solution à base de redirection de requête vers un programme php inspiré de la méthode de David Mercereau [[#Quelques documentations sur les services de découverte automatique autoconfig et autodiscover|indiquée en annexe]] et qui convient mieux à mon état d'esprit.)). |
| |
| - Dans le gestionnaire DNS du Web hosting control panel, si présent, supprimer au préalable l'enregistrement suivant :\\ ''autoconfig.domaine.tld. CNAME autoconfig.sud-ouest2.org.''\\ Chemin dans Plesk : Sites Web & Domaines (vue en liste dynamique ou active) > Onglet Hébergement et DNS > Paramètres DNS | - Dans le gestionnaire DNS du Web hosting control panel, si présent, supprimer au préalable l'enregistrement suivant :\\ ''autoconfig.domaine.tld. CNAME autoconfig.sud-ouest2.org.''\\ Chemin dans Plesk : Sites Web & Domaines (vue en liste dynamique ou active) > Onglet Hébergement et DNS > Paramètres DNS |
| - Attendre la propagation de l'enregistrement DNS A pour autoconfig.domaine.tld en effectuant régulièrement des requêtes DNS :\\ ''dig +short A autoconfig.domaine.tld'' | - Attendre la propagation de l'enregistrement DNS A pour autoconfig.domaine.tld en effectuant régulièrement des requêtes DNS :\\ ''dig +short A autoconfig.domaine.tld'' |
| - Dans le Web hosting control panel, créer un certificat TLS Let's Encrypt pour le sous-domaine autoconfig.\\ Chemin dans Plesk : Sites Web & Domaines > autoconfig.domaine.tld > Sécurité Certificats SSL/TLS | - Dans le Web hosting control panel, créer un certificat TLS Let's Encrypt pour le sous-domaine autoconfig.\\ Chemin dans Plesk : Sites Web & Domaines > autoconfig.domaine.tld > Sécurité Certificats SSL/TLS |
| - Attendre et vérifier périodiquement que la page d'accueil ''%%https://autoconfig.domaine.tld/%%'' affiche le document HTML par défaut du serveur. (Comme j'avais demandé la création d'une certificat Let's Encrypt pour tous les sous-domaine joker (wildcard), j'ai contrôlé que la commande ''dig TXT _acme-challenge.autoconfig.domaine.tld'' affiche correctement la chaîne de caractère affichée dans Plesk) | - Attendre et vérifier périodiquement que la page d'accueil ''%%https://autoconfig.domaine.tld/%%'' affiche le document HTML par défaut du serveur. (Comme j'avais demandé la création d'un certificat Let's Encrypt pour tous les sous-domaines joker (wildcard), j'ai contrôlé que la commande ''dig TXT _acme-challenge.autoconfig.domaine.tld'' affiche correctement la chaîne de caractères affichée dans Plesk) |
| - Sur l'ordinateur local, créer le contenu qui sera envoyé dans le répertoire du sous-domaine autoconfig du serveur distant : <code bash> | - Sur l'ordinateur local, créer le contenu qui sera envoyé dans le répertoire du sous-domaine autoconfig du serveur distant : <code bash> |
| mkdir -p autoconfig/mail | mkdir -p autoconfig/mail |
| wget -q --no-check-certificate https://www-01.sud-ouest2.org/.well-known/autoconfig/mail/config-v1.1.xml -O - | tee config-v1.1.xml | wget -q --no-check-certificate https://www-01.sud-ouest2.org/.well-known/autoconfig/mail/config-v1.1.xml -O - | tee config-v1.1.xml |
| </code> | </code> |
| - Si nécessaire en fonction de la configuration par défaut du serveur Apache, ajouter le(s) fichier(s) .htaccess de restriction sécuritaire. Idem sous NGINX qui n'utilise pas de fichier .htaccess (sauf si le plugin github.com > e404 > [[https://github.com/e404/htaccess-for-nginx|htaccess for nginx]] est utilisé) | - Si nécessaire en fonction de la configuration par défaut du serveur Apache, ajouter le⋅s fichier⋅s .htaccess de restriction sécuritaire. Idem sous NGINX qui n'utilise pas de fichier .htaccess (sauf si le plugin github.com > e404 > [[https://github.com/e404/htaccess-for-nginx|htaccess for nginx]] est utilisé) |
| - Envoyer le contenu du répertoire local autoconfig dans le répertoire du sous-domaine autoconfig sur le serveur distant | - Envoyer le contenu du répertoire local autoconfig dans le répertoire du sous-domaine autoconfig sur le serveur distant |
| - Tester la récupération du contenu du fichier dans un terminal :\\ ''%%wget -q https://autoconfig.domaine.tld/mail/config-v1.1.xml -O -%%''\\ Exemple :\\ ''wget -q https://autoconfig.ordi49.fr/mail/config-v1.1.xml -O -'' | - Tester la récupération du contenu du fichier dans un terminal :\\ ''%%wget -q https://autoconfig.domaine.tld/mail/config-v1.1.xml -O -%%''\\ Exemple :\\ ''wget -q https://autoconfig.ordi49.fr/mail/config-v1.1.xml -O -'' |
| |
| **Ressources documentaires sur le service de découverte automatique autodiscover :** | **Ressources documentaires sur le service de découverte automatique autodiscover :** |
| * 01/04/2016: [[https://learn.microsoft.com/en-us/previous-versions/office/office-2010/cc511507(v=office.14)?redirectedfrom=MSDN|Plan to automatically configure user accounts in Outlook 2010]] | * 01/04/2016: learn.microsoft.com > [[https://learn.microsoft.com/en-us/previous-versions/office/office-2010/cc511507(v=office.14)?redirectedfrom=MSDN|Plan to automatically configure user accounts in Outlook 2010]] |
| |
| **Ressources documentaires qui portent à la fois sur les services de découverte automatique autoconfig et autodiscover :** | **Ressources documentaires qui portent à la fois sur les services de découverte automatique autoconfig et autodiscover :** |
| * 18/09/2020: david.mercereau.info > [[https://david.mercereau.info/autoconfig-thunderbird-autodiscover-outlook-sur-messagerie-heberge-ispconfig/|Autoconfig (thunderbird) & Autodiscover (outlook) sur messagerie hébergé ISPconfig]] : la démarche de David Mercereau de prise en charge universaliste des services de découverte automatique, est à mon avis la plus intéressante : sa conception est simple et puissante. Mais il faut accepter que sa mise en œuvre jusqu'au succès de tous les tests prennent plus de temps que les autres démarches | * 18/09/2020: david.mercereau.info > [[https://david.mercereau.info/autoconfig-thunderbird-autodiscover-outlook-sur-messagerie-heberge-ispconfig/|Autoconfig (thunderbird) & Autodiscover (outlook) sur messagerie hébergé ISPconfig]] : la démarche de David Mercereau de prise en charge universaliste des services de découverte automatique est à mon avis la plus intéressante : sa conception est simple et puissante. Mais il faut accepter que sa mise en œuvre jusqu'au succès de tous les tests prenne plus de temps que les autres démarches. |
| | |
| ==== SSL/TLS ==== | ==== SSL/TLS ==== |
| Vérifier la disponibilité des serveurs sud-ouest [[wpfr>Simple Mail Transfer Protocol|SMTP]], [[wpfr>Internet Message Access Protocol|IMAP]] et [[wpfr>Post Office Protocol|POP]] au travers d'un canal chiffré [[wpfr>Transport Layer Security|TLS]] : | Vérifier la disponibilité des serveurs sud-ouest.org [[wpfr>Simple Mail Transfer Protocol|SMTP]], [[wpfr>Internet Message Access Protocol|IMAP]] et [[wpfr>Post Office Protocol|POP]] au travers d'un canal chiffré [[wpfr>Transport Layer Security|TLS]] : |
| * Serveur IMAP : <code>openssl s_client -connect mail.sud-ouest2.org:993</code> | * Serveur IMAP : <code>openssl s_client -connect mail.sud-ouest2.org:993</code> |
| * Serveur POP : <code>openssl s_client -connect mail.sud-ouest2.org:995</code> | * Serveur POP : <code>openssl s_client -connect mail.sud-ouest2.org:995</code> |
| |
| === Aller plus loin avec openssl === | === Aller plus loin avec openssl === |
| Si vous rencontrez un problème de connexion TLS avec un [[wpfr>Client de messagerie|courrielleur]] bien que les paramètres de configuration soient corrects, vous pouvez éventuellement réaliser un log des connexions POP/SSL et SMTP/SSL grâce au programme en ligne de commande openssl du projet [[wpfr>logiciel libre]] [[wpfr>OpenSSL]]. Ces logs révèlent des informations supplémentaires qui peuvent éventuellement aider à comprendre certains problèmes (interception des connexions chiffrées par des logiciels intermédiaires sous Microsoft Windows, etc.) | Si vous rencontrez un problème de connexion TLS avec un [[wpfr>Client de messagerie|courrielleur]] bien que les paramètres de configuration soient corrects, vous pouvez éventuellement réaliser un log des connexions POP/SSL et SMTP/SSL grâce au programme en ligne de commande openssl du projet [[wpfr>logiciel libre]] [[wpfr>OpenSSL]]. Ces logs révèlent des informations supplémentaires qui peuvent éventuellement aider à comprendre certains problèmes (interception des connexions chiffrées par des logiciels intermédiaires sous Microsoft Windows, etc.). |
| |
| Exemples : | Exemples : |
| * Une commande pour récupérer un log de connexion POP/SSL :\\ <code>echo quit | openssl s_client -connect mail.sud-ouest2.org:995 -state -nbio 2>&1 |tee $(date +%Y.%m.%d.%H.%M.%S).openssl-log.txt</code> | * Une commande pour récupérer un log de connexion POP/SSL :\\ <code>echo quit | openssl s_client -connect mail.sud-ouest2.org:995 -state -nbio 2>&1 |tee $(date +%Y.%m.%d.%H.%M.%S).openssl-log.txt</code> |
| * Une commande pour récupérer un log de connexion SMTP/SSL :\\ <code>echo quit | openssl s_client -connect mail.sud-ouest2.org:587 -state -starttls smtp 2>&1 |tee $(date +%Y.%m.%d.%H.%M.%S).openssl-log.txt</code> | * Une commande pour récupérer un log de connexion SMTP/SSL :\\ <code>echo quit | openssl s_client -connect mail.sud-ouest2.org:587 -state -starttls smtp 2>&1 |tee $(date +%Y.%m.%d.%H.%M.%S).openssl-log.txt</code> |
| |
| |
| **Ressources diverses en lien avec OpenSSL :** | **Ressources diverses en lien avec OpenSSL :** |
