interdire le mail relais

[delaroche]

salut à tous,

depuis que j'ai installé sme7admin de landry , je m'apercois que beaucoup de mails arrivent jusqu'a ma sme mais pourtant bien 'traité' en tant que mail relaying,donc refusé

parfait

néanmoins les mails sont quand meme traités ,ce qui (je pense, doit surcahrger pour rien mon serveur (600 Mhz pr le cpu et 256 ram )

Y-a-t-il possiblité de les interdires dès l'entrée ( a moins que ns sommes deja à l'entrée !! lol )

[jdh]

Je ne connais pas bien SME (surtout depuis les versions 5.6 !!).


SME utilise pour les mails le programme qmail. C'est un logiciel tout à fait sérieux, comparable aux plus grands programmes Sendmail, Postfix, Exim.

SME, créé par des gens sérieux, est normalement configuré pour interdire l'open relay. (SAUF à bricoler sa config !!!)

Cela signifie que si le serveur reçoit un mail de l'extérieur et à destination d'une adresse non interne, celui n'est pas traité.

Cela ne signifie nullement que le mail erroné n'arrive pas (puisque justement il arrive et n'est pas traité !). Enfin "n'arrive pas", faut regarder la suite ...


Je peux supposer que l'openrelay peut être détecté très rapidement (MAIL FROM: + RCPT TO:), le code 550 peut donc être envoyé immédiatement et limiter l'utilisation de la bande passante (pas de code APRES l'envoi du mail, ce qui serait stupide !).

De ce fait, l'utilisation pour l'anti-openrelay est très limité et ne présente pas une grande charge.



NB : Néanmoins, (c'est mon cheval de bataille), pour un nombre limité de boites (30 ou 40 par exemple), je recommande de ne pas héberger soi-même le MX de son domaine. Une solution plus sure et plus efficace est d'utiliser un hébergeur pro et, localement, un serveur de mail avec fetchmail. En plus cela évite cette question !

[delaroche]

ah ouais pas mal le coup du 'fetchmail' on se connecte a son mx de chez son presta et on recupere tranquille,

il faut compter combien pr un heberg mail 5 a 10 cptes ?

[jdh]

Tu peux regarder le tarif chez quelques hébergeurs bien connus : Amen, Unetun, Ovh (pour n'en citer que 3 ... que j'ai essayé).

"20 boites mail + 1 site web (LAMP) + le nom de domaine" ne doit pas coûter plus de 20€ environ par an ...


L'intérêt est de disposer de son serveur mail en interne en IMAP (=pas de stockage sur le PC, = sauvegarde complète), et de ne pas envoyer en aller et retour les mails internes.



NB: J'ai réalisé pas mal de serveur interne avec Debian+Postfix+Mysql+fetchmail. Je viens d'en réaliser 1 avec Zimbra (sur Debian), c'est assez sympa : clients Thunderbird + synchro agenda ! J'imagine que SME doit très bien fonctionner avec le fetchmail.

[sibsib]

Je peux supposer que l'openrelay peut être détecté très rapidement (MAIL FROM: + RCPT TO:), le code 550 peut donc être envoyé immédiatement et limiter l'utilisation de la bande passante (pas de code APRES l'envoi du mail, ce qui serait stupide !).

Hello,

Oui, juste une petite précision :

qmail étant un peu limité au niveau du filtrage en entrée, SME utilise qpsmtpd comme service de réception SMTP (juste comme front-end pour qmail qui traite lui même le courrier).

Effectivement, qpsmtpd fait (très bien !) son boulot :
check anti 'early talkers' (il rejette les clients qui causent avant le 'HELLO')
contrôle de l'adresse IP source (et c'est là que le plus gros taux de spam est supprimé, et c'est vraiment la supériorité de ce mode de fonctionnement par rapport à fetchmail)
Contrôle syntaxique
contrôle du champ RCPT To:
(et ainsi de suite)...

Tout les checks de qpsmtpd sont faits en ligne ce qui impose une machine capable de supporter (avec un délai de traitement décent) certains mails bombers. Mais en contrepartie les messages non conformes sont directement refusés, ce qui est bien mieux que de renvoyer à postériori un avis de refus (seule possibilité avec fetchmail).

A+,
Pascal

[jdh]

Merci sibsib de ces précisions concernant qmail (croisement avec le fil sur le mail bombing).

Il est clair que qmail fait correctement son boulot, à la hauteur des autres grands serveurs. (Perso, j'apprécie Postfix).

Néanmoins, il serait intéressant de savoir comment activer le "grey-listing" qui est extrêmement performant pour éliminer le spam. Il me semble que fraedhrim en avait parlé, il y a quelques temps ...


La comparaison entre "héberger son MX" et "fetchmail" est intéressante et importante.

Atouts de "héberger" :
- adapté à un nombre de boites important,
- plus rapide,
- plus simple : 1 système (fetchmail) de moins,

Inconvénients de "héberger" :
- disposer d'une machine allumée 24h/24
- disposer d'une ligne de type SDSL
- savoir configurer un dns
- assurer soi-même la sécurité
- l'adresse ip doit être fixe et il FAUT, donc, un bon firewall (l'adresse ip est comme un "phare")
- exige plus de compétence

Atouts de "fetchmail" :
- adapté à un petit nombre de boites
- pas de MX à gérer
- pas d'ip fixe = plus de sécurité
- exige moins de compétence
- fonctionne avec un ADSL

Inconvénients :
- pas de grey listing (sauf si l'hébergeur le fait)
- double création de boites (donc rigueur ! mais il faut l'être ...)
- résistance limité au mail bombing


Bien évidemment, chaque atout est discutable : par exemple, "plus rapide" est à comparer avec un fetchmail à 5' qui reçoit statistiquement en 2'30 les mails : pas franchement déterminant ! et ainsi de suite ... (les autouts de l'un sont souvent les inconvénients de l'autre et réciproquement)

Il n'empêche que, selon la compétence et l'expérience de celui qui met en oeuvre, on choisira l'une ou l'autre.

Par prudence, je conseille toujours fetchmail pour des installs de taille petite à moyenne (jusqu'à 40 boites environ par exemple). J'ajoute qu'être objectif sur sa compétence est une qualité pour un informaticien ...

Bien évidemment, une SME, bien adapté à une mise en oeuvre rapide) est une bonne base pour l'un ou l'autre ...

[jibe]

Salut,

Chouette, un nouveau troll

J'attends avec impatience la réponse de sibsib

Oui, bon, je plaisante bien sûr ! Débat intéressant cependant !

J'ajoute qu'être objectif sur sa compétence est une qualité pour un informaticien ...

Je me suis toujours un peu demandé pourquoi tu préconisais le non-hébergement du mail, jdh. Tes arguments ne m'avaient jamais vraiment convaincu, mais celui-là me plait beaucoup.

Il est vrai que si on considère SME comme une distrib destinée plutôt à ceux qui n'ont pas de connaissances particulières - ce qui est mon cas, et le cadre habituel dans lequel j'installe ou je conseille des SME - on ne peut effectivement pas conseiller l'hébergement du mail (bon, le cas est différent lorsque c'est moi qui installe ).

Je voudrais juste relever un truc :

Inconvénients de "héberger" :
[...]
- disposer d'une ligne de type SDSL
- [...]

Et pourquoi donc ? Ma propre SME est sur ligne ADSL, avec IP dynamique, héberge deux mailing lists plus mon courrier pro et perso (dont celui de mon épouse dont les origines et les mauvaises habitudes nous ramènent en moyenne 2300 spams/jour !). Je n'ai eu que deux fois des soucis de mail bombing à cause de la récupération d'autres boites chez Free.fr...

Autrement dit, les seuls soucis que j'ai eux proviennent du courrier non hébergé ! Pas approfondi la question et probablement pas assez expert pour le faire, je ne fais que relater mon expérience perso.

Côté clients, les seuls problèmes sont avec wanadoo/orange qui nous fait de temps en temps des vacheries du genre changer les @IP des DNS sans prévenir. Et comme on est obligé de passer par leurs DNS (j'envoie toujours bien sûr le courrier en relayant chez le FAI).

[jdh]

Héberger un MX pour une petite société avec 10 boites peut se faire avec un ADSL. Tout comme l'hébergement du MX d'un domaine à usage familial (merci Free pour l'adresse ip quasi-fixe). (Un domaine dynamique fonctionne bien aussi).

Je pense qu'il y a une question de débit : quel volume de mails reçus, de mails émis ? Le tarif peut aider aussi à trancher entre ADSL et SDSL. (La localisation aussi).

Quand j'écris "savoir configurer un dns", cela signifie évidemment mettre l'ip fixe comme (premier) MX, mais aussi savoir faire le reverse dns (parce que c'est un contrôle qui parait possible et normal). Pas simple avec un opérateur ADSL !


Je ne prétends pas que cette liste est complète et définitive, elle est juste indicative ...

[jibe]

mais aussi savoir faire le reverse dns (parce que c'est un contrôle qui parait possible et normal). Pas simple avec un opérateur ADSL !

... Et encore moins avec une IP dynamique

Mais pourquoi donc un reverse DNS ? L'intérêt que j'y vois, c'est de pouvoir envoyer directement les mails, sans relayage par le FAI. Par contre, personnellement autant que professionnellement (TPE, artisans...), ça ne me gêne pas de passer par ce relais FAI, alors que pour diverses raisons je trouve préférable de recevoir directement sur SME... C'est mal ? Et dans ce cas, un reverse DNS a-t-il une utilité ?

[unnilennium]

en SMTP le reverse dns est effectivement utilisé pour tester le serveur SMTP qui envoie du courrier directement au SMTP destinataire. Cette vérification est nécessaire sachant que le SMTP peut déclarer n'importe quel domaine et se faire passer pour quelqu'un d'autre à la connexion. Il est important donc pour le SMTP qui réceptionne de vérifier le pédigrée de son interlocuteur en confrontant son adresse Ip avec ce qu'il déclare.

Dans le cadre de la réception il n'y a pas cette vérification puisque on doit avoir une information de confiance de la part des serveurs DNS.

De même votre FAI quand vous utilisez son serveur SMTP fait une vérification similaire : cette IP m'appartient elle? mais il n'a pas besoin de vérifier le nom de domaine en reverse, car si vous faites une usurpation d'identité il saura vous retrouver





Pour ce qui est du trafic mail un accès ADSL free arrive très bien a supporter 500 à 1000 connexions entrantes par jours (et je dirais que la seule limite serait la taille total du trafic généré). La où il peut y avoir une limite sur certain FAI c'est pour l'envoi par leur SMTP (comme chez free) qui limite le nombre de connexions simultanées et par heures. ceci peut être résolut simplement en bridant la SME en sortie SMTP.

Free propose le reverse DNS sur ses connexions à IP fixe. Cependant même avec le reverse configuré je ne conseille pas l'utilisation de l'envoi sans passer par le SMTP de free : leurs blocs d'adresses sont déclarés comme dynamiques sur les sites de blacklisting: certains FAI vont refuser le mail même avec un reverse correct.

En résumé pour l'envoi (connexions SMTP sortantes) à moins d'avoir plusieurs mailing listes de plus de 500 destinataires réalisant plusieurs envois par jours la SME peut très bien gérer . Je dirais qu'en dessous de 4800 destinataires par jour (200 mails par heures max par ip et serveur smtp free *24 ) une connexion adsl free peut supporter le trafic ( à pondérer avec la taille des messages en ko / Mo donc compter pour être plus sur 2000 destinataires par jour). C'est bien plus que la majorité des PME vont générer par jour. Après pour les autres FAI à vérifier mais ça doit se tenir.

En cas de dépassement on peut faire appel à un sevice de relais SMTP pro payant sans externaliser toute sa messagerie, ou effectivement passer par un adsl /sdsl pro chez nerim par exemple.

et pour faire un tour rapide des autres points:

- disposer d'une machine allumée 24h/24

=>PAS FORCEMENT le protocole SMTP permet de retenter l'envoi donc il peut supporter plus qu'un site web un server down quelques heures

- disposer d'une ligne de type SDSL

=>ADSL suffit pour une PME

="jdh"- savoir configurer un dns

=> il faut les configurer aussi si on fait héberger

- assurer soi-même la sécurité

=> SME est spécialisé la dessus le public sur cette partie du forum ne cherche pas à monter un debian de toutes pièces

- l'adresse ip doit être fixe et il FAUT, donc, un bon firewall (l'adresse ip est comme un "phare")

=> SME est prévu pour , ne relançons pas le troll.

- exige plus de compétence

=> a discuter


un point de plsu à noter à propos del asolution de fetcher des boites externes comme 'la soulevé Jibé on ne maitrise pas ce qu'il y'a dans la boite à fetcher ni même l'antispam de l'hebergeur. Soit il est trop efficace et il refuse des mails désirés sans qu'on en soit au courant soit il stock tout sans filtrer ou en mettant juste un tag : en cas de mailbomb envoyée sur ces boites le fetchmail va devoir tout recuper et va bloquer la connexion comme l'a vécu Jibe. Dans le cas d'une réception direct sur SME avec les blacklistings bien configurées le mails est refusé et on en a une trace de ce refus!

@ JDH : fait attention au publique que tu as en face de toi, essaie de donner des informations complètes, plutôt que global qui du coup peuvent plus bloquer qu'aider et sont erronées si on décortique ( je ne remets pas en cause tes compétences dans le domaine, juste un conseil sur comment amener tes conseils).

[jdh]

Je ne suis pas d'accord avec cette analyse.

J'ai écrit "liste indicative" mais aussi "chaque atout est discutable".

Les atouts/inconvénients ne sont donc ni VRAI ni FAUX. C'est une liste d'atouts/inconvénients "PLUTOT VRAI" (et non "PLUTOT FAUX").

Néanmoins, je ne pense pas que soit bien apprécié la facilité et la sécurité de mise en oeuvre de la méthode "fetchmail". Héberger son MX, normalement "naturel", présente des difficultés qu'il faut savoir apprécier correctement et en toute connaissance de cause.

[sibsib]

Hello, tous

Jibé, tu vas être déçu, je suis plutôt d'accord avec l'analyse de jdh (Ai je été trop véhément dans ma réponse ? )

En fait, chacun voit midi à sa porte, et je pense que l'analyse de jdh est une bonne base de réflexion.

Perso, je suis plus orienté MX local, mais en effet, çà exige quand même des compétences, au moins pour analyser quand "çà ne marche plus".

Par contre, jdh, je pense que tu sous estimes l'écart (au niveau spam) des deux solutions.

Vraiment, avoir son MX chez soi avec un qpsmtpd configuré aux petits oignons, c'est franchement supérieur à fetchmail.

Et j'ajoute une supériorité que je n'ai qu'effleurée, hier : quid des messages refusés pour fetchmail ?

Soit fetchmail essaye de renvoyer un mail 'poli' de refus à l'émeteur, (c'est le mode par défaut) ce qui dans 99 % des cas est une source de double bounce, soit on le configure pour ne rien renvoyer, ce qui fait que dans le cas du mail hyper méga critique (quand çà déconne, on attend toujours un mail "hyper mega critique", à ajouter à la loi de Murphy ) l'expéditeur ne sera pas informé.

La solution du MX + SME résoud élégament ce problème en refusant le mail à la réception : Un spammeur abandonne, un émetteur 'honnête' informe l'expéditeur.

Mais il me semble que cette discussion, loin d'être un troll montre justement plusieurs visions, et çà c'est bien ! Vive le monde libre

A+,
Pascal

[jibe]

Salut,

Je n'avais pas lu ce topic avant de répondre à ton MP, jdh. Je n'aurais peut-être pas dû parler de troll, il semble que cela ait provoqué des réactions et des émotions plus importantes que ne le mérite ce débat très intéressant...

Je crois que pour bien comprendre nos positions mutuelles, il faut bien connaitre les contextes. Or, si j'ai bien compris, jdh, tu as surtout travaillé pour des "grands comptes" ou tout au moins dans des entreprises relativement importantes où les besoins en fiabilité et en sécurité sont importants, et où les moyens mis en oeuvre vont avec.

Ceux qui bossent avec SME sont en général des gens qui bossent dans de (très) petites entreprises, où les besoins sont quand même moins critiques et surtout où les moyens sont limités. Un exemple : un de mes tous premiers clients - c'était dans les années 80 lorsqu'un "micro-ordinateur" (pas encore de PC à cette époque !) vallait avec un applicatif de gestion entre 60 000 et 100 000 F - m'a dit un jour :

"c'est vrai que l'ordinateur est un outil de travail aussi important pour nous que toute notre flotte de camions, et pourtant on a du mal à y mettre un dixième du prix d'un de ces camions !".

Voilà la réalité à laquelle nous sommes confrontés, et je ne parle pas de la concurrence acharnée avec des vendeurs qui ne jurent que par W$ et qui n'ont aucune notion de sécurité : un serveur dans un coin avec la base de données, un lan et un poste avec XP qui partage avec tous les autres la connexion ADSL permanente. [Plaisanterie grasse]Mais eux sont raisonnables : ils accèdent à leurs mails par le portail Orange, ils ne les hébergent pas en local [/Plaisanterie grasse].

Donc, forcément, on a une manière totalement différente de voir les choses. Et je trouve que ce débat super intéressant et enrichissant. Mais non, ça n'a absolument rien d'un troll ! Et même si parfois une parole dépasse un peu la pensée de son auteur ou manque de diplomatie, nous sommes entre gens intelligents et passionnés (ce qui explique quelques... débordements ) tout à fait capables de comprendre qu'une vérité n'est vraie que dans son contexte.

[jibe]

J'ai fait comme Gaston, j'ai tapé avec mes mouffles et tu as posté pendant ce temps, sibsib !

Jibé, tu vas être déçu, je suis plutôt d'accord avec l'analyse de jdh

Meeeuuuuh non ! Je sais bien que dans l'absolu, jdh a raison (je lui ai d'ailleurs dit en réponse à son MP). Mais comme je l'explique ci-dessus (j'en avais un peuparlé aussi ici), on est dans des contextes très différents.

En fait, chacun voit midi à sa porte, et je pense que l'analyse de jdh est une bonne base de réflexion.

C'est bien là tout l'intérêt de ce débat : confronter nos points de vue qui sont nécessairement très différents, c'est ainsi qu'on progresse et qu'on s'enrichit mutuellement

[unnilennium]

c'est exactement la position que je défendais c'est que les analyses de JDH ne sont pas fausse mais pas vrai non plus car elle sont un peu hors du contexte TPE /PME. Son expérience est profitable dans le cadre d'une discussion et d'un échange de point de vue, mais dans le cadre d'un conseil à quelqu'un qui n'y connait rien, il va prendre peur et pas forcement choisir la solution la plus adaptée à son besoin.

Comme le dit Sibsib on ne peut pas être radicalement contre les arguments avancés, car dans un autre contexte ils prévaudraient.

Mais ne serait ce que le choix d'un abonnement SDSL à 200€/mois pour 256k contre un ADSL grand public à 30 € pour 2000k down / 700k up... on ne résout pas le problème du débit (on l'empire même) et on augmente les dépenses. Certes l'abonnement SDSL garantie la fourniture mais pour augmenter la tolérance de panne un deuxième abonnement ADSL avec un autre FAI aurait fait une partie de l'affaire pour bien moins cher .