Update all code blocks

docs/Howtos/HowtoSecureMailServer.md

@@ -1,8 +1,11 @@
 ---
 title: Howto Serveur de mail sécurisé avec Mailcow et Scaleway
-categories: sysadmin mail
 ---
 
+???+ Danger
+
+    Documentation obsolète !
+
 # Intro
 
 Ce Howto explique comment monter un serveur de mail sécurisé en utilisant [Mailcow](https://github.com/andryyy/mailcow) et un serveur virtuel chez [Scaleway](https://www.scaleway.com/). L'introduction est à lire sur mon [blog](https://www.lekernelpanique.fr/2017/03/05/votre-propre-serveur-de-mail-securise-pour-3emois/).
@@ -15,7 +18,7 @@ La première étape consiste évidement à créer l'instance sur la console de S
 
 L'image Debian de Scaleway n'étant pas « buildé » tous les jours, il se peut qu'il y ait quelques mises à jour à faire. On fait donc une upgrade.
 
-```
+```console
 # apt update
 # apt upgrade
 ```
@@ -26,7 +29,7 @@ Ce volume accueillera vos mails et journaux systèmes. Il est donc intéressant
 
 Création du fichier image et montage sur `/dev/loop0`.
 
-```
+```console
 # dd if=/dev/zero of=/var.img bs=1M count=35000
 # chmod 600 /var.img
 # losetup /dev/loop0 /var.img
@@ -34,7 +37,7 @@ Création du fichier image et montage sur `/dev/loop0`.
 
 On en profite pour aussi créer une swap de 1G tant qu'à faire.
 
-```
+```console
 # dd if=/dev/zero of=/swapfile.img bs=1M count=1000
 # chmod 600 /swapfile.img
 # mkswap -LSWAP
@@ -43,7 +46,7 @@ On en profite pour aussi créer une swap de 1G tant qu'à faire.
 
 On chiffre le volume en LUKS avec `cryptsetup`. Choisissez une passphrase, vous aller devoir la taper à chaque démarrage dans la console de Scaleway. Pas très souvent si tout est stable ! :-)
 
-```
+```console
 # apt install cryptsetup
 # cryptsetup luksFormat --hash sha256 --key-size=512 /dev/loop0
 # cryptsetup luksOpen /dev/loop0 crypted-var
@@ -51,7 +54,7 @@ On chiffre le volume en LUKS avec `cryptsetup`. Choisissez une passphrase, vous
 
 On formate le tout en EXT4, on monte le volume, on stoppe les services qui utilisent actuellement `/var` et on rsync le tout.
 
-```
+```console
 # mkfs.ext4 -LVAR /dev/mapper/crypted-var
 # mount /dev/mapper/crypted-var /mnt/
 # for pid in $(lsof | grep /var | tr -s '\t' ' ' | cut -d' ' -f2 | sort | uniq | grep -v "^1$"); do kill $pid; done
@@ -64,7 +67,7 @@ On indique le volume chiffré dans `crypttab` et le point de montage dans `fstab
 
 > **Note** : On désactive `unattended-upgrades` qui va planter l'arrêt à cause du /var qui n'existe plus.
 
-```
+```console
 # echo "crypted-var /var.img none luks" >> /etc/crypttab
 # echo "/dev/mapper/crypted-var /var ext4 defaults 0 2" >> /etc/fstab
 # systemctl disable unattended-upgrades.service
@@ -89,7 +92,7 @@ Au niveau de vos entrées DNS, il vous faudra un champ A et un MX. Plus de déta
 
 On supprime exim4, car Mailcow utilise postfix.
 
-```
+```console
 # apt purge exim4 exim4-base exim4-config exim4-daemon-light
 ```
 
@@ -97,7 +100,7 @@ On supprime exim4, car Mailcow utilise postfix.
 
 Puis on télécharge le script d'installation, on édite la configuration et on lance l'installation.
 
-```
+```console
 # wget -O - https://github.com/andryyy/mailcow/archive/v0.14.tar.gz | tar xfz -
 # cd mailcow-0.14
 # vim mailcow.config
@@ -107,7 +110,7 @@ Puis on télécharge le script d'installation, on édite la configuration et on
 
 Laissez-vous guider par le script d'installation.
 
-```
+```console
 # ./install.sh
 ```
 
@@ -125,7 +128,7 @@ Pour cela il faut mettre en place une `PKI` et émettre un certificat client. J'
 
 ## ShellPKI
 
-```
+```console
 # cd /usr/local
 # git clone https://forge.evolix.org/shellpki.git
 # cd shellpki
@@ -137,20 +140,20 @@ Pour cela il faut mettre en place une `PKI` et émettre un certificat client. J'
 
 Éditer `/etc/shellpki/openssl.cnf` et initialiser shellPKI. Le plus important est de remplir le « Common Name », par exemple `Myname Root Certificate`.
 
-```
+```console
 # vim /etc/shellpki/openssl.cnf
 # ./shellpki.sh init
 ```
 
 On génère un certificat client (sans passphrase), soit un utilisateur par exemple. Il faudra choisir un « Common Name » du type `user@domain.tld`.
 
-```
+```console
 # ./shellpki.sh create
 ```
 
 Puis on le convertit au format `PKCS#12` avec une passphrase d'export. Cette passphrase sera demandé à l'import dans un navigateur ou smartphone par exemple.
 
-```
+```console
 # cd /etc/ssl/clients
 # openssl pkcs12 -export -in user@mail.domain.tld.crt -inkey user@mail.domain.tld.key -out user@mail.domain.tld.p12
 ```
@@ -161,12 +164,12 @@ La dernière étape consiste à dire à dovecot et nginx qu'il est nécessaire d
 
 ## Nginx
 
-```
+```nginx
 ssl_client_certificate /etc/shellpki/ca/cacert.pem;
 ssl_verify_client on;
 ```
 
-```
+```console
 # systemctl restart nginx
 ```
 
@@ -174,7 +177,7 @@ ssl_verify_client on;
 
 > **Note** : Attention, si vous avez un webmail qui se connecte en local, imap non chiffré, l'activation de `auth_ssl_require_client_cert`, va imposer d'utiliser un certificat… Cassant votre webmail. Il n'y a pas à ce jour la possibilité d'activer `auth_ssl_require_client_cert` seulement pour imaps… Si vous utilisez un webmail, n'activez pas ceci sur dovecot.
 
-```
+```dovecot
 # Client certificate
 ssl_ca = </etc/shellpki/ca/cacert.pem
 ssl_verify_client_cert = yes
@@ -187,7 +190,7 @@ protocol !smtp {
 }
 ```
 
-```
+```console
 # systemctl restart dovecot.service
 ```
 
@@ -197,8 +200,8 @@ Vous devez maintenant faire le nécessaire côté client (Thunderbird, K9-Mail
 
 Voici une liste de tâches non exhaustives à faire de votre côté que je ne documente pas, non obligatoire mais conseillé…
 
-- Monter un serveur de MX secondaire ;
-- Activer un pare-feu sur votre machine, par exemple `ufw` ;
-- Monitorer votre serveur ;
-- S'assurer du suivi des mises à jour ;
-- Faire des sauvegardes.
+- [ ] Monter un serveur de MX secondaire ;
+- [ ] Activer un pare-feu sur votre machine, par exemple `ufw` ;
+- [ ] Monitorer votre serveur ;
+- [ ] S'assurer du suivi des mises à jour ;
+- [ ] Faire des sauvegardes.