Bonjour,
J'ai comme projet de mettre en place un serveur de messagerie hebergé dans mon entreprise.
J'ai donc decidé par securité d'en mettre deux, un dans le lan et un dans la dmz.
Cependant je me trouve confronté à un probleme: comment les employés pourront consulter leur mail en pop ou imap etant donné que le serveur pop/imap sera sur le lan.
Quel est la solution pour mettre en place une passerelle pop? Un renvoi de port est a exclure! Fetchmail pourrait-il m'aider?
Merci de votre aide.
Nicolas
Passerelle Pop
Modérateur: modos Ixus
6 messages
• Page 1 sur 1
Passerelle Pop
par okin283 » 16 Nov 2005 22:13
-
okin283 - Premier-Maître
- Messages: 53
- Inscrit le: 29 Nov 2004 16:45
- Localisation: Bry sur Marne
par sibsib » 16 Nov 2005 22:39
Salut,
J'ai failli ne pas répondre, mais comme il y avait le mot 'fetchmail'
Tu rencontres un problème de design assez fréquent, et je ne pense pas qu'il existe une solution 'universelle' : Chaque entreprise a sa propre vision (ou devrait !) d'un équilibre judicieux entre sécurité et confort d'utilisation.
Maintenant, quelques points de réflexion (ouh la la, je fais 'vieux schnock, là...)
1) Si tu mets deux serveurs de messagerie, on imagine assez facilement un anti-virus et un anti-spam sur un serveur relais en DMZ, et les messages stockés sur le serveur se situant dans le LAN (et hébergeant éventuellement un anti-virus supplémentaire et différent, ce n'est plus un luxe aujourd'hui).
2) Dans ce cas, une connexion POP ou IMAP sur le serveur en DMZ sera tout à fait inutile, puisqu'aucun message ne sera présent sur ce serveur.
3) une redirection de port parait en effet complètement inutile : autant faire transiter directement pop et imap d'Internet vers le LAN (ou plutôt : NON, NON !)
Une solution à ce genre de problématique est d'arriver à relayer de mainère applicative, en utilisant un protocole différnet à chaque étape : A la limite (c'est un non sens, mais c'est pour expliquer le principe)
Un P.C. se connecte de l'extérieur en secure POP sur le serveur frontal, qui, si l'authentification s'est bien passé, va chercher les messages en secure IMAP sur le serveur Interne.
Un attaquant devrait alors exploser secure POP, réussir à exploser le 'reverse proxy POP/IMAP' sur la passerelle pour pouvoir eventuellemnt interroger en Secure IMAP les boites de messagerie en interne.
On peut envisager (sauf en cas de secret défense) que ce système serait 'secure'
Malheureusement, dans ce cas précis, je ne connais pas ce genre de proxy.
A+,
Pascal
J'ai failli ne pas répondre, mais comme il y avait le mot 'fetchmail'
Tu rencontres un problème de design assez fréquent, et je ne pense pas qu'il existe une solution 'universelle' : Chaque entreprise a sa propre vision (ou devrait !) d'un équilibre judicieux entre sécurité et confort d'utilisation.
Maintenant, quelques points de réflexion (ouh la la, je fais 'vieux schnock, là...)
1) Si tu mets deux serveurs de messagerie, on imagine assez facilement un anti-virus et un anti-spam sur un serveur relais en DMZ, et les messages stockés sur le serveur se situant dans le LAN (et hébergeant éventuellement un anti-virus supplémentaire et différent, ce n'est plus un luxe aujourd'hui).
2) Dans ce cas, une connexion POP ou IMAP sur le serveur en DMZ sera tout à fait inutile, puisqu'aucun message ne sera présent sur ce serveur.
3) une redirection de port parait en effet complètement inutile : autant faire transiter directement pop et imap d'Internet vers le LAN (ou plutôt : NON, NON !)
Une solution à ce genre de problématique est d'arriver à relayer de mainère applicative, en utilisant un protocole différnet à chaque étape : A la limite (c'est un non sens, mais c'est pour expliquer le principe)
Un P.C. se connecte de l'extérieur en secure POP sur le serveur frontal, qui, si l'authentification s'est bien passé, va chercher les messages en secure IMAP sur le serveur Interne.
Un attaquant devrait alors exploser secure POP, réussir à exploser le 'reverse proxy POP/IMAP' sur la passerelle pour pouvoir eventuellemnt interroger en Secure IMAP les boites de messagerie en interne.
On peut envisager (sauf en cas de secret défense) que ce système serait 'secure'
Malheureusement, dans ce cas précis, je ne connais pas ce genre de proxy.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par okin283 » 17 Nov 2005 00:54
C'est une bonne idée le changement de technologie entre le serveur frontal et celui du lan.
Ce qui serait encore mieu c'est de trouver comment faire ...
En cherchant sur le net je suis tombé sur un serveur p3scan qui est un proxy transparent pour Pop 3.
Vous connaissez?
Concernant le frontal, je pense laisse le webmail qui pointerai sur mon serveur LAN
Ce qui serait encore mieu c'est de trouver comment faire ...
En cherchant sur le net je suis tombé sur un serveur p3scan qui est un proxy transparent pour Pop 3.
Vous connaissez?
Concernant le frontal, je pense laisse le webmail qui pointerai sur mon serveur LAN
-
okin283 - Premier-Maître
- Messages: 53
- Inscrit le: 29 Nov 2004 16:45
- Localisation: Bry sur Marne
par sibsib » 17 Nov 2005 22:44
Salut,
J'avoue que (pour une autre idée qui murit dans ma tête), si tu arrives à monter un truc, çà m'interresse grandement !
Pour le webmail : le problème est le même. Les mails étant en interne, l'accès pose problème.
Sauf que :
A ma connaissance (vraiment superficielle) webmail utilise Imap pour consulter la messagerie.
Donc, si tu peux configurer le webmail (en DMZ) pour aller 'taper' le serveur du LAN en IMAP, mais sans autoriser l'IMAP d'internet jusqu'au serveur de DMZ, tu as créé ton "isolation protocolaire" (ouf !)
Tiens nous au courant.
A+,
Pascal
J'avoue que (pour une autre idée qui murit dans ma tête), si tu arrives à monter un truc, çà m'interresse grandement !
Pour le webmail : le problème est le même. Les mails étant en interne, l'accès pose problème.
Sauf que :
A ma connaissance (vraiment superficielle) webmail utilise Imap pour consulter la messagerie.
Donc, si tu peux configurer le webmail (en DMZ) pour aller 'taper' le serveur du LAN en IMAP, mais sans autoriser l'IMAP d'internet jusqu'au serveur de DMZ, tu as créé ton "isolation protocolaire" (ouf !)
Tiens nous au courant.
A+,
Pascal
Sibsib, admin heureux d'un petit SME !!!
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
- SME 8.0 beta 6 dans une VM :-)
- ESXI 4.1 sur hardware noname
Ma petite page sur SME
-
sibsib - Amiral
- Messages: 2368
- Inscrit le: 11 Mai 2002 00:00
- Localisation: France - région parisienne
par okin283 » 17 Nov 2005 22:51
Oui pour le webmail pas de probleme! On change l'ip du serveur de messagerie pour le webmail et c'est bon!
Je cherche toujours! J'etait entrain de regarder du coté de ipcop ou p3scan a deja été utilisé par des utilisateurs.
Je cherche toujours! J'etait entrain de regarder du coté de ipcop ou p3scan a deja été utilisé par des utilisateurs.
-
okin283 - Premier-Maître
- Messages: 53
- Inscrit le: 29 Nov 2004 16:45
- Localisation: Bry sur Marne
6 messages
• Page 1 sur 1
Retour vers E-Smith / SME Server
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité