éviter de relayer des mails pour des utilisateurs inexistant [POSTFIX] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 19-12-2006 à 14:12:07
c'est quoi ton serveur de mail en interne ?
quel est l'interet d'avoir cette passerelle qui filtre les mail si elle laisse passer les spams...
idealement il faudrait que la base users soit unifiée sur les 2 serveurs.
Marsh Posté le 19-12-2006 à 14:55:18
Le mail en interne c'est du exchange 5.5 pour le moment qui sera certainement bientot migré vers 2003 (Ceci dit je suis en train de voir si je passe en postfix pour le mail interne ou autres, toutes idées sera la bien venu).
Ensuite la passerelle filtre le spam, le problème n'est pas la. En fait lorsque du spam est détecté, le mail spam est stocké sur le disque de la passerelle (pour le moment en vue de vérification en cas de faux positifs). Mais je me suis apercu qu'il y avait bcp de mails destinés à des d'utilisateurs inexistants. Ces mails étaient donc filtrés par l'anti spam puis stockés... On voit bien que tout ca est inutile car on sait que ces utilisateurs n'existent pas.
J'ai donc mis la solution précisée plus haut pour éviter ceci. Je voulais donc savoir si c'etait une bonne solution ?
De plus mettre en place une base unifiée entre les deux est la prochaine étape... pour le moment je n'ai pas trop de solution. Est il possible que la passerelle ce réfère à active directory pour vérifier l'existance d'un utilisateur ? si quelqu'un peut aiguiller mes recherches ...
merci
Marsh Posté le 19-12-2006 à 15:06:01
cela me parait quand meme bien compliqué comme configuration.
si tu as peu d'utilsateurs et/ou turnover tu peux te permettre d'avoir une base de compte email separés sur une solution postfix/mysql par exemple.
ainsi tu pourras sur une seule machine reunir tous les services necessaire: smtp, antispam, antivirus, imap/pop.
exchange a de reel avantages le premier etant bien sur l'integration totale a windows/active directory/outlook, mais si tu peux te passer de cela je t'encourage a voir du coté du tout postfix.
de plus un des piliers de la lutte antispam reside dans le respect des regles d'envoi de mail (Helo, mailfrom, et donc rcpt dans ton cas)
en separant la plateforme antispam de la base utilisateurs tu diminue grandement son efficacité et tu la charge inutilement.
Marsh Posté le 19-12-2006 à 17:30:16
Actuellement j'ai un peu plus d'une vingtaine d'utilisateurs et on risque bientot de passer à 60 utilisateurs.
De plus il y a de fortes chances que la base utilisateurs soit de l'active directory. Maintenant je cherche éventuellement une solution pour me passer d'exchange. J'ai pensé a postfix + egroupware... mais je n'ai pas encore testé.
Je pense garder (quelque soit l'architecture finale) une passerelle filtrante séparée du serveur mail contenant les boites utilisateurs.
La solution que tu me présentes avec mysql peut etre un bon compromis en créant éventuellement une interface php pour l'administrer. Apres il faut que je vois au niveau de l'intéropérabilité entre postfix et active directory. Un critère important reste tout de même la facilité d'administration.
Pour le moment je suis conscient que la méthode que j'utilise avec un fichier en dur est difficilement gérable surtout si l'environnement évolue bcp. Mais c'est une solution temporaire avant de trouvé mieux et qui reste a peu pres gérable pour 20 utilisateurs.
Sinon tu me conseils quoi comme client de messagerie (pour postes clients sous windows) et comme webmail s'intégrant bien avec postfix et aillant plus ou moins une "philosophie" similaire à outlook ?
Merci
Marsh Posté le 20-12-2006 à 10:21:54
pour l'integration avec l'AD je sais qu'il existe des convertisseurs mais je n'ai jamais essayé.
les interfaces php sont tres nombreuses pour gerer le couple postfix/mysql, par ex tu as postfixadmin qui est pas mal du tout.
je pense que la gestion d'une base separé de l'AD n'est pas vraiment un pb, 60 utilisateurs c'est peu et donc facilement gerable.
pour la plateforme separé de filtrage spam et le serveur pop/imap c'est a mon avis inutile vu la charge a laquelle tu vas faire face et cela va plus te compliquer la tache comme je disais dans le post precedent qu'autre chose.
pour les clients tu peux utiliser Outlook bien sur mais la 1ere question a te poser c'est imap ou pop ou les 2.
je te recommande l'imap qui offre une souplesse d'utilisation inegalé et permet une exploitation coherente entre un client mail au bureau et un webmail a l'exterieur.
seul defaut en comparaison avec exchange c'est l'abscence de reel produit pour gerer les calendriers partagés, et autre collaboratifs meme s'il existent des choses en beta a droite a gauche.
en payant tu peux obtenir un connecteur pour outlook qui emule un serveur exchange a partir de l'imap. ca marche tres bien mais donc c'est pas gratuit.
niveau webmail c'est sur horde qu'il faut s'orienter, c'est un produit stable et tres riche qui evolue tres regulierement (justement au niveau travail collaboratif)
donc pour resumer je te conseille un seul serveur: postfix et courier-imap avec authentification Mysql + amavis/spamassassin/dspam/clamav pour le filtre spam/virus + apache/php pour le webmail
pour 60 users avec un volume de mail "normal" c'est largement suffisant sur un serveur recent (2Go de Ram, du raid 5, etc....)
Marsh Posté le 20-12-2006 à 10:41:38
Egroupware centralise les calendriers Outlook via EgwOsync...
Horde j'ai pour ma part essayer, je vais me remettre dedans mais faut avoir le temps ....
PErso pour le moment nous somme avec squirrelmail, qui est tres simple a mettre en place et fonctionnel.
++
Marsh Posté le 20-12-2006 à 14:49:10
merci a vous pour vos reponses.
Il est vrai que si je mets du tout postfix, la passerelle filtrante pour mail complique l'architecture, elle pourrait éventuellement sauter.
Je vais tester tout ca...
Marsh Posté le 21-12-2006 à 16:01:22
Pour le moment j'ai mis en place le serveur mail avec postfix + authentification mysql + courier-imap.
J'ai testé avec thunderbird et ca à l'air de bien fonctionner.
Je ne me suis pas encore attaqué aux calendriers partagés. Mais j'ai une question : il existe quoi comme solution pour avoir un carnet d'adresse partagé avec la configuration précisée ci dessus ? (a savoir que le client mail peut éventuellement etre un autre)
merci,
Marsh Posté le 21-12-2006 à 16:09:05
Pour le moment ca fait 3 mois qu'il esn beta test sur les chefs de services....
Pour le moment pas de gros soucis a remonter, on est plutot satisfait du produit.
La synchro s'effectue aussi bien de egroupware vers outlook (quand les chefs sont sur sites distants) qu'inversement...
++
Marsh Posté le 19-12-2006 à 13:05:32
J'utilise une passerelle linux avec postfix qui filtre les mails puis les redirige vers le serveur mail interne.
Cependant j'ai remarqué dans les logs qu'il y a beaucoup de mails de spam destinés a des utilisateurs inexistants dans mon domaine. J'ai donc cherché a créer un fichier listant les utilisateurs existants en utilisant le parametre relay_recipient_maps (comme précisé dans beaucoup de tutoriels). Ceci n'a pas fonctionné. J'ai paramètré l'option relay_recipient_maps = hashect/postfix/relay_recipients
J'ai ensuite créé le fichier en indiquant les utilisateurs comme suit :
user1@domaine.com OK
user2@domaine.com OK
Puis j'ai utilisé la commande postmap sur le fichier. Mais ca ne fonctionne pas.
J'ai donc mis en place une autre solution en utilisant le parametre smtpd_recipient_restrictions avec l'option check_recipient_access hashetc/postfix/recipients_access
Le fichier recipients_access contient :
user1@domaine.com OK
user2@domaine.com OK
domaine.com REJECT
Et en utilisant cette méthode, ca fonctionne.
Ma question est donc, est ce une bonne méthode pour que la passerelle ne forward au serveur mail interne que des mails ayant un utilisateur correct ?
merci de vos réponses.