Demande de conseil sur messagerie internet + exchange...

[popoch]

Bonjour,

je vous expose mon dilemme...

Sur mon reseau je possede un domaine ad et une zone dns que l on va appeler toto.lan.
J ai un serveur exchange 2003 qui gere ma messagerie interne pour mon domaine toto.lan.

Je possede aussi un nom de domaine toto.com.
Je voudrais que lorsqu un user envoie un mail depuis sa boite sur toto.lan on lui reponde sur toto.com. et je voudrais que qd on envoie un mail a user@toto.com que ce soit redirige vers mon exchange qui lui retransmet en interne a user@toto.lan.

Sur mon lan j ai donc un DC 2000 serveur pour mon domaine toto.lan.
Dessus j ai egalement exchange 2003, un connecteur pop3 qui recup ts les mails des differentes boites externes de mes users et qui les redirige vers les adresses internes. J ai aussi evidemment un antivirus / antispam de chez gfi.
Sur ma dmz j ai a disposition un serveur autonome sous windows 2000 serveur sur lequel est installe une passerelle smtp de chez symantec et un reverse proxy pour securiser l acces a mon owa.
Pour l instant uniquement l acces a l owa est configure et je passe par ma passerelle smtp pour l envoie de mail qui redirige elle meme vers le smtp de mon fai.

Au debut je pensais etendre mon "plan" chez mon fournisseur de nom de domaine pour prendre une option messagerie supplementaire et utiliser mon connecteur pop sur mon exchange pour rediriger ts les mails vers mes users en interne, mais le pb etait le suivant lorsque j envoyais en mail en interne, le destinataire repondait par defaut sur les adresses internes, et puisque je ne connais pas encore exchange, je n ai pas trouver ou specifier les adresses de reponses... je travaille dessus actuellement...

Le pb c est qu il faut que j heberge absolument (c est impose) tous les serveurs de messagerie...
Donc il va me falloir un autre serveur de messagerie en dmz pour mon domaine toto.com avec le double de mes users du lan ?

Le second pb c est que je ne dispose pas pour l instant d une ip fixe... donc je dois me debrouiller avec un dyndns...

Je suis completement novice en ce qui concerne la messagerie...
Donc je suppose que pas mal de gens ont des structures assez similaire ou on deja mis en place ce genre de choses.
Je voulais poser la question avant de vraiment commencer mes recherches histoire de les cibler un peu plus...

PS : Pour l instant je suis en labo de tests avec mes configs il n y a rien en prod je vous rassure...

Merci d avance pour vos reponses

[popoch]

Bon je sais a peu pres comment m en sortir...

Je vais mettre 2 passerelles smtp en dmz, la premiere en frontal est charge d analiser les mails (filtre anti spam et antivirus) ensuite elle les renvoie a une autre passerelle sous debian avec postfix qui fera une reecriture des adresses (du type user@toto.com en user@toto.lan) puis pour terminer derniere redirection vers l exchange en lan...

Je penses que je suis dans le vrai non ?

Si quelqu un pouvait me confirmer ca ce serait sympa

[antolien]

Bonjour,

En fait c\'est pratiquement toujours comme ça, le nom dns local du domaine est différent du domaine public.

Par défaut exchange utilise ce domaine comme modèle d\'adresse.

Pour ajouter des domaines, il faut aller dans le gestionnaire système Exchange, dans destinataires, puis stratégie de destinataire. Tu peux modifier la stratégie par défaut, puis ajouter une nouvelle adresse de messagerie (SMTP). Ensuite tu la définie comme principale et ça devrait être ok.
Il faut ensuite appliquer la stratégie et maintenant tous les users ont leur adresse de messagerie avec le nouveau domaine.Normalement, il vaut mieux créer une nouvelle stratégie mais c\'est plus simple comme ça.

[popoch]

Merci pour ta reponse
c est ce que j ai fait temporairement... Mais je me disais qu avec le systeme de reecriture d adresse de postfix je pouvais faire :

user@toto.lan => user@toto.com dans un sens et user@toto.com => user@toto.lan dans l autre... Ca m evite de faire des strategies dans exchange...

La je me suis lance dans l install de debian cet aprem et je vais installer postfix des que j aurais compris comment ca fonctionne car pour l instant le peu de docs que j ai lu c est du chinois

[antolien]

Merci pour ta reponse
c est ce que j ai fait temporairement... Mais je me disais qu avec le systeme de reecriture d adresse de postfix je pouvais faire :

user@toto.lan => user@toto.com dans un sens et user@toto.com => user@toto.lan dans l autre... Ca m evite de faire des strategies dans exchange...

La je me suis lance dans l install de debian cet aprem et je vais installer postfix des que j aurais compris comment ca fonctionne car pour l instant le peu de docs que j ai lu c est du chinois

Je ne trouve pas que réécrire les adresses soit vraiment propre, le mieux c'est de le gérer dans exchange c'est beaucoup plus simple (néamoins moins intéressant


si tu fais ça pour les mails sortants : http://netmirror.org/mirror/postfix.org ... #relocated
ça devrait marcher

Mais pour les mails entrants c'est plus problématique, parce que tu vas devoir renvoyer les mails vers le exchange. Alors il faut d'abort réécrire l'adresse de destination, puis ensuite transmettre ces mails réécrits vers le exchange.
Pourquoi pas mais ça fait beaucoup de travail pour rien.

[popoch]

Merci encore, c est genial de pouvoir compter sur ce forum pour trouver des reponses a ttes nos questions !

Donc je me suis decide a faire comme ca:

Code: Tout sélectionner

en entree:

smtp symantec (antivirus, antispam) => smtp postfix (reception des mails et reexpedition vers user@toto.lan)=> exchange 2003 (reception definitive,rescan antivirus et antispam)


en sortie:
smtp exchange => smtp symantec


Finalement j ai modifie la strategie exchange cela simplife ma configuration postfix

Merci encore je suis en phase de test des que tout marche ou que tout plante je post !


Si tu as une config a me proposer pour simplifer le tout je suis preneur, si je peux supprimer postfix en intermediaire je serais content

[antolien]

Code: Tout sélectionner

en entree:

smtp symantec (antivirus, antispam) => smtp postfix (reception des mails et reexpedition vers user@toto.lan)=> exchange 2003 (reception definitive,rescan antivirus et antispam)


en sortie:
smtp exchange => smtp symantec


Si tu as une config a me proposer pour simplifer le tout je suis preneur, si je peux supprimer postfix en intermediaire je serais content

Et bien comme le exchange relai pour ce domaine, pour les mails entrants il n'y a pas besoin de passer par postfix. Si le smtp symantec renvoies directement sur le exchange, ça marchera.

[popoch]

exchange fera la correlation entre user@toto.lan et user@toto.com, uniquement en modifiant la strategie par defaut des destinataires ?

Si c est tout en effet je me complique la vie pour rien

Est ce que cela m apporterait une securite supp de passer par le postfix avant l exchange ?

Sinon je voulais te demander un conseil pour la creation d enregistrements mx sur le srv dns qui gere mon nom de domaine sur internet...

voila...
je veux creer un enregistrment mx pour que les mails a destination des users de toto.com arrivent sur ma premiere passerelle smtp en dmz... Le pb est que je n ai pas d adresse ip fixe... donc je suis oblige d utiliser un dyndns toto.ath.cx ...

PS : c est arsys.fr qui gere mon nom de domaine

J ai une interface web pour gerer la creation et la suppression d enregistrements...

pour creer un enregistrement je dois remplir ses differents champs :

domaine
Entree dns
type d entree
valeur


domaine : toto.com
entree dns: ? (je ne sais pas quoi mettre)
type d entree: MX 10
valeur:toto.ath.cx

par ex pour un enregistrement de nom d alias on a:
domaine : toto.com
entree dns: webmail.toto.com
valeur: toto.ath.cx

Merci d eclairer ma lanterne...

[antolien]

Un enregistrement MX correspond à un enregistrement A.

Donc tu peux mettre ce que tu veux (eg mailhost.toto.com)

Par contre, si c'est pour un environnement pro, c'est clair qu'il te faut une ip fixe. C'est presque obligatoire, en environnement perso, c'est possible de faire sans, mais là il faut faire attention.

Imaginons, que tu change d'ip et que les dns ne sont pas mis à jour. Si ton ip est prise par une machine qui heberge aussi un serveur de mail; ceux qui enverrons un mail à ce moment là reçevrons un 'relai access denied'. Où alors un antispam qui répond pas : le mail est perdu. Enfin il y a pleins d'autres problèmes engendrés qui peuvent être acceptable chez toi mais pas dans une société.

C'est malheureusement payant avec certains fournisseurs, mais il faut insister là dessus.

Pour ta question sur postfix, cela ne t'apporte pas de sécurité supplémentaire, s'il n'a aucun rôle. Comme c'est le smtp symantec qui est en frontal. Par contre tu peux ajouter spamassassin où autre chose, cela peut apporter de la sécurité. mais je changerais la topologie.J'imagine que le smtp de symantec tourne sous windows, donc le postfix sous debian 'bien configuré' en frontal serait mieux.

postfix(clamav/spamassassin)->smtp symantec->exchange.

Mais si le smtp de symantec est suffisant, pas besoin du postfix et inversement tu verrais que postfix/clamav/spamassassin ne donnera pas bcp de boulot à symantec. Après c'est aussi question de politique, un AV commercial c'est mieux ..

[popoch]

ok encore merci pour tout...

Je posais la question sur les enregistrements mx car j ai l habitude de bosser avec des serveurs dns microsoft et le nom de l enregistrement est faccultatif...

y a plus qu a attendre la propagation dns... et on sera fixe

PS: Pour ce qui concerne l ip fixe il ne faut pas s inquieter elle viendra des qu on passera tout en production