Accès extérieur sur serveur mail (IMAP/SMTP/Webmail)

[Titofe]

Bonjour à tous,

Je suis à la recherche de conseille et de retour d'expérience.

Les smartphones de l'entreprise ce connecte à la messagerie depuis l'extérieur par le protocole IMAPs pour lire leur message et SMTPs pour les envoyés.

Je voudrais savoir ce qui serrai bon de tenir en compte pour la sécurité du serveur et du réseau en lui même.

Auord'hui:
- Le firewall est pfSense 1.2.3
- Le serveur mail ce trouve dans une DMZ externe avec comme port ouvert pour le monde extérieur SMTPs TCP 993 et IMAPs TCP 465, pour le reste du réseau il est complètement isolé aucune ouverture de port pour le réseau interne.
- Le serveur mail est clearOS 5.1, une seul carte réseau avec firewall d'activé pour ne laisser l'accès qu'au service SMTPs TCP 993, IMAPs TCP 465, SSH TCP 22, Webconfig TCP 81 et Webmail TCP 83.
- Nous récupérons nos mail avec fechtmail à partir du serveur de notre prestataire.

Je voudrais installé Zarafa sur ce serveur avec accès sur l'extérieur, ce qui me fait posé beaucoup de question point de vue de sécurité et autre.

Avez-vous des suggestions ou autres à me faire part aussi bien sur l'existant que sur le futur.

Vous remerciant par avance.

Cdt,

Titofe

[ccnet]

Quelques pistes à envisager, en vrac.

Les smartphones de l'entreprise ce connecte à la messagerie depuis l'extérieur

Un vpn ssl ou ipsec peut il être installé sur les smartphone ?

Ou bien est il possible d'envisager un mandataire entre le serveur de mails et les smartphones ?

Peut être une solution, si les smartphone le permettent avec Vulture (http://vulture.open-source.fr/wiki/ ) ?

[Titofe]

Un vpn ssl ou ipsec peut il être installé sur les smartphone ?

Les smartphones concerner sont de type Windows mobile 6.4 et Iphone 4.
Je ne sais pas ce qu'il existe comme client, mais il est vrai que pour moi ce serrai l'idéal.

Ou bien est il possible d'envisager un mandataire entre le serveur de mails et les smartphones ?

Peut être une solution, si les smartphone le permettent avec Vulture (http://vulture.open-source.fr/wiki/ ) ?

J'ai ce produit en tête depuis notre conversation sur le forum de pfSense, cela pourrai être une solution.


Il est vrai qu'un VPN me semblerais plus sur, mais je ne sais pas si cela est envisageable sur les deux type de smartphone, je vais faire déjà une recherche de ce coté.

[ccnet]

Pour l'Iphone il y a des clients vpn ipsec, l2tp et pptp dans Ios 3.5. Et dans Ios 4 je crois que l'on a maintenant SSL aussi.
Sur Windows Mobile on doit trouver les vpn familiers de MS.

[Titofe]

J'ai pensez au protocole L2TP, mais actuellement pfSense 1.2.3 ne le prend pas en charge.

Pour ce qui est des autre protocole il reste PPTP, je l'ai déjà essayez mais jamais utilisé, j'ai souvent lu sur ce forum que niveau sécurité ... on pouvez mieux faire, mais je n'ai pas vraiment compris pourquoi, je pensez qu'avec un bon mot de passe bien long on pouvez tout de même lui confiez quelque tache et j'avais pensez (d'où l'essai) l'utilisez pour les smartphone pour accédez à la DMZ externe (qui ne le serrai plus vraiment, cette zone serra fermer du monde extérieur puisque accès par PPTP mais resterais complétement étanche au autres réseau).

Tu en pense quoi?

[ccnet]

PPTP est faible par conception. L'implémentation de Microsoft en particulier est entachée de graves erreurs. C'est Bruce Schneier qui en a fait la démonstration.
http://www.schneier.com/paper-pptp.pdf . Un mot de passe long réduit les risques sans les éliminer. Pour des essais pourquoi pas afin de démontrer la viabilité de la solution nomade sur me plan fonctionnel. En exploitation il faut évaluer les risques encourus.

Il serait préférable que les trafics restent strictement conformes à la définition de la dmz.

[Titofe]

Très instructif ton lien.

Je vais je pense attendre la V2 de pfSense pour pouvoir utilisé d'autre solution VPN, car sauf erreur de ma part L2TP n'est pas pris en charge avec la V1.2.3 et IPsec de pfSense 1.2.3 ne fonctionne pas avec l'Iphone, je ne sais pas pour Windows Mobile.

J'ai bien pensez à Vulture, mais il ne réglerais que le problème du webmail (zarafa), il est vrai je ne serai pas contre de pouvoir fermer totalement l'accès extérieure et de faire passez aussi IMAP/SMTP par un tunnel VPN.

Donc un tunnel L2TP pour les deux (Iphone et WM) ne me déplairez pas, ce qui me permettrais plus que ce que je recherche à faire.

Merci.

Titofe