IPCOP, COPFILTER et SBS 2003

[nusa]

Bonjour,

Voici ma configuration :

IPCOP :
RED : adresse WAN derrière un modem SDSL
GREEN : 192.168.3.253

Serveurs SBS 2003 :
Une seule interface réseau : 192.168.3.1

Actuellement je forward le port 25 sur mon SBS 2003. Tout fonctionne correctement. J'ai installé Copfilter (je vais m'attirer les foudre de CCnet ) pour lutter contre le SPAM.

- J'installe donc COPFILTER
- Te paramètre dans le menu "filtrage SMTP" le filtre sur "Filtrage des emails SMTP entrants sur le réseau ROUGE et transfert au serveur de mails interne"
- Je donne l'adresse de mon serveur SBS 2003
- Je désactive le forward du port 25 vers mon SBS

Mon SBS reçoit bien les mails tagger par Copfilter par contre je deviens OpenRelay.

Je réactive le forward du port 25 et là je ne suis plus OpenRelay.

J'ai suivi cette discussion mais cela ne m'a pas beaucoup avancé :

http://forums.ixus.fr/viewtopic.php?t=41726

Un début d'idée car là je commence vraiment à séché... d'avance merci.

Nusa

[nusa]

Vraisembleblement cela viendrait du fait que mon Exchange soit sur le Green de IPCOP :

http://copfilter.endlich-mail.de/viewto ... bedc467a71

http://www.ipcops.com/phpbb3/viewtopic. ... iew=unread

C'est ccnet qui va être content, cela va dans son sens

Nusa

[jdh]

Il n'y a pas que ccnet à écrire qu'IPCOP (ou n'importe quel autre firewall) est loin d'être le lieu idéal pour mettre une analyse antivirus/antispam pour quelque protocole que ce soit (smtp, pop, imap, ftp, http) ... Je l'écris aussi : le firewall devrait être aussi léger que possible pour ne jamais freiner le filtrage du trafic.


Ceci dit, il me semble que si Copfilter doit filtrer un trafic entrant en Red, il est ESSENTIEL qu'il ne relaie aucun mail, et partant, il doit connaitre AVANT TOUT les domaines réceptionnables par le serveur interne. Il ne suffit certainement pas d'indiquer quelque part seulement une adresse ip de serveur ...

Y a-t-il une saisie quelque part du domaine et de l'adresse ip ? Est ce rempli ?


(Par défaut et sauf bricolage assez stupide, un serveur postfix ou un qmail sont bien sécurisés pour cet aspect. Et les tutos pour créer un relais mail filtrant AV/AS ne manque guère ...)


Edit: Je lis le post précédent : sur un lien il est indiqué

If you're running Exchange, it defaults to allow forwarding for all 'trusted' IP addresses. This includes the gateway. Since Copfilter will accept any port 25 traffic and forward it to your Exchange server, this will result in your being an open relay, which is a huge problem once spammers get your IP address.

Set your Exchange server to deny relaying from the IPCOP box unless you want to get blacklisted from here to Tibet. (And yes, I do speak from experience...)

Il n'est donc pas question de couleur de zone mais plutôt de l'anti-open relay façon Exchange.

Cela contredit l'explication que je donne mais néanmoins il m'aurait largement paru souhaitable de filtrer d'abord sur le domaine ...

[nusa]

Bonsoir,

Après réflexion, je me décide à laisser tomber Copfilter. J'ai télécharger ClarkConnect et je teste tout ça dans une machine virtuelle, on va voir ce que cela donne...

Nusa

[nusa]

Bonjour,

J'ai testé Clarkconnect. Effectivement, très bon produit. Merci à vous pour vos conseils.
Produit sous surveillance chez un client et bientôt adopté.

Nusa

[ccnet]

Content que vous soyez tiré d'affaire. Vous devriez ne pas avoir de mauvaise surprise. J'en ai une demie douzaine en service, depuis plus de deux ans, chez différents clients, sans difficulté particulière.

[nusa]

Bonjour,

Je fais un petit hors sujet concernant la gestion du SPAM; voici différents cas de figure, j'ai plusieurs configurations :

- SME : résultat très satisfaisant, je flirte avec les 90% de SPAM arrêtés
- Greylist : résultat satisfaisant au début puis dans le temps, solution non satisfaisante
- Google app (et oui, je teste tout) : simple, bon anti-spam par contre je commence à voir des faux positifs... pas bon ça même si c'est mon domaine perso.
- Solution tierce : Panda, Norton. Je parle des solutions d'entreprise avec gestion centralisée couplée à un Exchange. Le résultat n'est vraiment pas à la hauteur des solutions mentionnées ci-dessus.
- Solution native Microsoft : je met en place demain un Exchange 2007 qui intègre ses propres outil de Spam, j'attends de voir dans la vrai vie avec un vrai domaine... Si le résultat n'est pas satisfaisant ClarkConnect entrera en course.

Tout ça pour dire quoi :

Après 10 ans de serveur de messagerie, je n'ai vraiment pas trouvé chaussure à mon pied sauf pour SME mais je ne l'utilise que dans sa version complète (PDC, mail etc...) et non en simple filtre car je pense que ce n'est pas fait pour.

Je place donc beaucoup d'espoir dans Clarkconnect.

Nusa