Le blog de l'administrateur

 

Bienvenue

Vous trouverez dans ce coin quelques informations concernant l'installation, la maintenance et l'évolution des serveurs de Vienne Informatique

Quelques liens utiles

dimanche 22 octobre 2006

Ajout de fonctionnalités à la messagerie

Par Philippe, dimanche 22 octobre 2006 à 19:39 - Maintenance évolutive

Pour faciliter l'utilisation "nomade" de la messagerie de Vienne Informatique depuis un client de messagerie, ce n'est pas évident, puisque pour envoyer du courrier, il faut depuis quelques années protéger nos serveurs de messagerie des spammeurs, il faut trouver un moyen de reconnaitre les vrais clients des spammeurs. Donc par défaut, le serveur de messagerie refuse tous les courriers qui ne sont pas destinés aux comptes qu'il gère... sauf que pour un utilisateur nomade, on ne peut dans ce cas envoyer des courriers qu'aux autres boites @vienneinfo.org et similaires, ça fait peu...

Première technique simple à mettre en place : le POP avant SMTP

Puisqu'il faut authentifier par un moyen ou un autre les clients avant de les autoriser à envoyer du courrier aux destinataires de leurs choix, une solution est déjà en place sur le serveur de messagerie :

  • Le client relève sa boite (donc envoi de login + mot de passe correct)
  • Un service popb4smtp sur pippin surveille les logins et collecte les adresses IP, et met à jour une base de données (et fait expirer les anciennes adresses collectées)
  • Le même client tente d'envoyer du courrier... pippin vérifie alors un certain nombre de paramètres quant au destinataire des messages avant même que le corps du message soit envoyé :
    1. Domaine de messagerie connu (la partie qui suit le @ des adresses de messagerie), ceci est aussi valable pour l'adresse d'expéditeur.
    2. Le client fait partie des adresses IP connues et collectées par le service popb4smtp
    3. Interrogation du système de liste grise (en lui envoyant le triplet : adresse IP client, adresse expéditeur, adresse client)
  • Une fois ce barrage passé, le corps du message est envoyé puis traité après passage par l'antivirus par le service de messagerie.

Le seul inconvénient de cette technique c'est qu'il n'y a pas d'authentification directe du client SMTP, mais indirecte via une connexion POP ou IMAP qui devra se produire avant.

Seconde technique... authentification par login/mot de passe

Cette fois, plus besoin de relever sa boite avant de se connecter au serveur, par contre avant de pouvoir envoyer un message à un destinataire extérieur, il faudra s'authentifier en envoyant au serveur son login et mot de passe de messagerie. A Vienne Informatique, cela fait déjà plusieurs années que les comptes de messagerie sont gérés par un annuaire LDAP, il a donc été relativement facile d'ajouter cette fonctionnalité au serveur de messagerie.

Inconvénient... comme l'authentification se faire par l'annuaire, on ne peut pas utiliser d'authentification sécurisée coté client (CRAM-MD5, etc...).

Seconde technique bis... version sécurisée de la précédente

Puisque les logins et mots de passes transitent en clair entre le client et le serveur, l'idée est d'obliger le client à utiliser une connexion chiffrée (par TLS) avant de l'autoriser à envoyer son login et son mot de passe. Fort heureusement, postfix permet de procéder de cette manière.

Conclusion

C'est cette dernière technique qui est maintenant utilisable sur le serveur de messagerie de Vienne Informatique. L'ancienne méthode (POP avant SMTP) restera valable jusqu'à la fin de l'année.

aucun commentaire - aucun trackback

Mise en place du greylisting sur la messagerie

Par Philippe, dimanche 22 octobre 2006 à 00:18 - Maintenance évolutive

Pour continuer dans la lutte antispam... je viens d'installer un logiciel de greylist sur les serveurs de back-office.

pippin, le serveur de messagerie de Vienne Informatique utilise maintenant cet outil pour filter les messages entrant, avant qu'ils ne soient transmis par le serveur distant.

Le service est en route depuis samedi à 20h30, merci de me tenir informé si vous pensez que vous ne recevez plus certains messages... (en précisant l'adresse expéditeur théorique, que je fasse des recherches...).

aucun commentaire - aucun trackback

samedi 21 octobre 2006

Déplacement du système de sauvegardes

Par Philippe, samedi 21 octobre 2006 à 10:42 - Maintenance

Anciennement sur beren le système de sauvegarde a été déplacé hier vendredi 20 octobre sur sam, ce qui m'a obligé d'éteindre les deux serveurs pendant une durée de quelques minutes aux alentours de 15h30 hier. les services impactés par cet arrêt ont été nombreux puisque le serveur de bases de données sql.vienneinfo.org est sur beren.

aucun commentaire - aucun trackback

jeudi 12 octobre 2006

Premier bilan de l'antivirus

Par Philippe, jeudi 12 octobre 2006 à 16:12 - Maintenance évolutive

Cela fait un mois qu'amavis est installé avec clamav, assez peu de virus sont transmis par la messagerie :

  • 5 le 11/10 (0,4% de 1185 messages)
  • 6 le 10/10 (0,5% de 1102 messages)
  • 12 le 9/10 (1,0% de 1180 messages)
  • 3 le 8/10 (0,4% de 854 messages)
  • 7 le 7/10 (0,7% de 975 messages)
  • 3 le 6/10 (0,3% de 1021 messages)
  • 4 le 5/10 (0,4% de 1128 messages)

Vers et autres message d'hammeçonnage confondus, cela reste très marginal avec une moyenne de 0,54% de messages infectés. La prochaine étape sera d'installer un système de greylist pour tenter d'éviter une bonne partie du spam.

Des nouvelles statistiques sont disponibles maintenant en ce qui concerne la messagerie :

  • Graphes postfix qui compte les flux de messages entrants, sortants, rejetés, infectés, etc...
  • Graphes Courier qui compte les utilisations des services POP3 et IMAP (le comptage des logins en POP3 ne fonctionne que depuis aujourd'hui... )

aucun commentaire - aucun trackback