Info16.fr

Le blog de B@rtounet

#Gnu/Linux

Serveur de Messagerie d'entreprise: Postfix--- Fsecure ---- Exchange

27 juillet 2011 Rédigé par bartounet

Je me replonge encore une fois dans la messagerie... Ce billet me sert de mémoire pour l'installation d'un serveur de messagerie sécurisé regroupant le MTA Postfix en frontal ( idéalement dans la DMZ) l'interfacage avec l'antivirus Fsecure, et la livraison à un autre MTA dans le LAN de l'entreprise qui n'est autre que Exchange Server 2003.

Après cette longue période durant laquelle je n'ai rien posté, j'ai décidé de remettre à plat ce que j'avais un peu bossé en entreprise.

J'avais déja montré comment creer un serveur de messagerie sous linux dans mes derniers posts, mais pour des boites locales... C'est à dire que postfix après avoir passé les mails à la moulinette les délivrait directement dans les Maildir Locaux... /home/user/Maildir

Bien que cette solution serait exploitable en production, vous vous doutez bien que nos chers utilisateurs ne se contente pas d'un vulgaire Webmail ou d'un simple boite, ils leur Faut des fonctionnalités avancées que seuls des grosses usines à Gaz comme Notes d'IBM ou Exchange de Microsoft peuvent leur apporter...

Ce qu'il faut savoir c'est que de base, Exchange server est capable de faire MTA à part entière et se placer en frontal dans la DMZ, mais beaucoup d'entreprises et je partage cet avis, aiment en général ne présenter que des solutions robustes et libres en frontal... Donc du linux ;-)

Me voici en grande pompe en train d'essayer de faire marcher le bazar...

Suivez mon conseil, pour s'y retrouver, rien de tel qu'un Schéma....

Commencons par installer posfix

sudo apt-get install postfix

Paramétrons postfix

sudo vi /etc/postfix/main.cf

 # Debian specific:  Specifying a file name will cause the first  # line of that file to be used as the name.  The Debian default  # is /etc/mailname.  #myorigin = /etc/mailname  smtpd_banner = $myhostname ESMTP  biff = no  # appending .domain is the MUA's job.  append_dot_mydomain = no  # Uncomment the next line to generate "delayed mail" warnings  #delay_warning_time = 4h  # TLS parameters  smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem  smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key  smtpd_use_tls=yes  smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache  smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache  # See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for  # information on enabling SSL in the smtp client.  myhostname = mail.appart.lan  alias_maps = hash:/etc/aliases  alias_database = hash:/etc/aliases  mydestination = serveur, serveur.appart.lan, appart.lan, info16.fr localhost, localhost.localdomain, localhost  relay_domains = info16.fr, appart.priv, appart.lan  relay_recipient_maps = hash:/etc/postfix/relay_recipients_maps  transport_maps = hash:/etc/postfix/transport  myorigin = /etc/mailname  mynetworks = 127.0.0.0/8 192.168.1.0/24  mailbox_size_limit = 0  recipient_delimiter = +  inet_interfaces = all  @@

Je pars du principe que vous avez bien sur un nom de domaine, pour une entreprise c'est quasiment indispensable afin que les utilisateurs puissent recevoir leur mails sur user@entreprise.fr par exemple...

Je prend comme exemple l'entreprise info16.fr Ce qui change par rapport au premier tuto c'est que cette fois on veux que notre postfix n'accepte que les mails à destination de info16.fr Pour cela :

relay_domains = info16.fr relay_recipient_maps = hash:/etc/postfix/relay_recipients_maps

/etc/postfix/relay_recipients_maps contenant:

user1@info16.fr    motQueTuVeux

"postmap /etc/postfix/relay_recipients_maps"

Cela va creer la base de données regroupant tous les utilisateurs de votre domaine... Vous vous doutez bien que vous n'allez pas entrer dans ce fichiers tous les utilisateurs à la main... En pratique il faut mettre en place une synchronisation en un annuaire LDAP (active directory ou notes) qui vient mettre à jour cette base de donnée plusieurs fois par jour par l'intermédiaire d'un job Cron par exemple... Ceci est une sécurité supplémentaire que vous n'etes pas obligé de mettre en place, mais qui est conseillée... sachant que de toute facon quand les mails arriverons sur le serveur exchange il seront là aussi vérifié afin de savoir si la boite existe belle et bien.

Après cela on veut que tous les mails reçus et acceptés par postfix soit redirigé sur le port 9025 de F-secure qui est notre antivirus...

Pour cela : dans le main.cf on doit avoir transport_maps = hash:/etc/postfix/transport

/etc/postfix/transport contenant: info16.fr smtp:192.168.1.100:9025

"postmap /etc/postfix/transport" apres les modifs

La délivrance des mails sur un serveur distant est quasiment plus simple qu'en local, car ce n'est qu'un echange de paquet de port en port

à partir de là, tous les mails à destinations de info16.fr seront redirigé vers le port 9025 du serveur... Et qui écoute sur le port 9025: L'Antivirus F-Secure.

Bon ici, je vais vous présenter brièvement la page qui m'interesse sur F-Secure...

Après avoir installer F Secure et payer la licence... Vous pouvez le paramétrer avec une superbe page Web

On voit bien sur l'image la simplicité du paramétrage... On dit à F-Sécure... -Ecoute tous les transfert SMTP arrivant sur le port 9025 -Scan Les et renvoie le tout au serveur 192.168.1.1 sur son port 25 (autrement dit le port sur lequel ecoute Exchange) -Notifie l'admin si un mail est vérolé

On Récapitule, à partir de là

Les mails venant de l'internet, à destination de votre nom de domaine info16.fr, arrive sur le port 25 de postfix, ce dernier les renvoie sur le port 9025 de F-Secure, lequel scan les mails et les envoie sur le port 25 du Serveur de Messagerie Exchange...

On à fait une première partie du boulot... Nos mails sortent de Fsecure complétement scanné...

Maintenant Exchange... Je ne vais pas vous détailler complètement l'installation du serveur Exchange 2003, vous avez de très bon tutos sur le site de supinfo par exemple...

Je vais juste vous montrer deux copies d'ecran qui vous aiderons à paramétrer votre serveur afin qu'il recoivent bien les mails de votre domaine

De base, quand vous venez juste d'installer votre Serveur de messagerie exchange, il ne sait recevoir que les mails du domaine Active directory. Par exemple info.lan et non info.16 Pour que votre serveur accepte les mails de info16.fr il faut changer la stratégie SMTP des destinataires de messages...

A partir de maintenant, votre serveur acceptera les mails en provenance de votre domaine public

Après que les mails soient scannés par F-Secure ils seront envoyé au serveur exchange qui lui les dispatchera dans les boites aux lettres...

Rappelez vous, vous aviez déjà un un premier filtrage du nom utilisateur sous postfix avec le relay_recipient_maps, vous avez ici un deuxième controle, exchange ne l'acceptera que si la boite existe bien dans son annuaire...

A partir d'ici si vous donnez à votre serveur le droit d'envoyer directement les mails sur internet, il est capable de le faire... Mais comme je ne met jamais de machine Microsoft en frontal, je préfère que pour que pour l'envoie des mails provenant du LAN vers l'extérieur on repasse par postfix.

Pour cela encore une petite astuce dans exchange: il faut lui définir un connecteur SMTP : je l'ai nommé postfix

Notre serveur exchange enverra maintenant tous les mails vers postfix...

Information sur bartounet auteur de l'article

Les commentaires sont fermés.