Probleme Nom de Domaine et Droit sur les mails

[Peanuts]

Bonjour, je suis un newbie... sur Free-EOS et donc sur SME et e-smith

Actuellement, nous sommes une société comme les autres qui a un réseau d'entreprise tout à fait non sécurisé et un routeur vers un provider en DSL (ADSL, TDSL, comme vous voulez).
Donc
1- nous avons un site internet hébérgé chez notre provider (domaine hébérgé chez eux sur un serveur mutualisé) et donc tout changement du site se fait par FTP...
2- notre réseau est centralisé sur un swith 24, un swith 8 et un hub 8
3- on travaille en workgroup (nobody smile, please) donc pas de domaine rien du tout
4- pour la réception de mail, nous avons un domaine de mail chez le provider (tout ce qui leur arrive en tant que masociete.fr arrive chez lui et nous est retransmis) que j'interroge avec Mercury32 en ETRN sur mail.masociete.fr.
Alors avant le point 5, je vais détaillé mon organisation Mercury32 demandée par mon administration.
Le domaine interne de Mercury est interne.com et tous les utilisateurs sont de ce domaine donc on a util1, util2, util3@interne.com
Nous avons, sur le domaine, 2 adresses valides sur masociete.fr (adr1 et adr2@masociete.fr), c'est moi qui les ai défini grace à des alias crés dans Mercury32 qui donnent les régles de distibution.
Par exemple:
- si on écrit à adr1@masociete.fr, il est retransmis à util1 et util2@interne.com
- si on écrit à adr2@masociete.fr, il est retransmis à util3@interne.com
etc...
5- pour l'envoi de mail, avec Mercury32, je procède différemment. En fait actuellement nous utilisons OE (non on ne rit tjs pas plus) avec des comptes configurés sur le domaine interne pour aller lire le courrier (par exemple: login de la personne et son mot de passe) mais la définition de l'adresse est celle qu'elle doit utiliser ( par exemple adr1@masociete.fr)
Lors d'un envoi de message, Mercury controle grace à l'entête du mail que ce mail vient bien d'une personne autorisée (le compte) et de son adresse d'expedition (l'ensemble valide) et si les tests sont ok, le message est envoyé.
En fait, Mercury me permet de faire ce que je veux dans n'importe quel sens.
De ce fait, certains utilisateurs peuvent communiquer en interne avec certaines autres personnes
on peut tout imaginer


Oufffff...

Après tout cela, je voudrais installé Free-EOS qui est un serveur s'appuyant sur SME / e-smith
Sachant que je vais devoir intaller un firewall symantec
Que me proposez vous?
intall en serveur, serveur/passerelle, ou serveur/passerelle privé ?
le nom du serveur de domaine pour le serveur ?
comment gérer les utilisateurs dans leur autorisations à écrire ou non et à qui ?

J'ai déjçà fait une install mais j'avoue être un peu perdu dans l'organisation et les fichiers sous Linux (bah oui, on y vient tous mais à chaqu'un son rythme)...

si quelqu'un peut m'aider j'en serais tres heureux... Merci d'avance pour avoir lu en entier le message

Peanuts

[sibsib]

Salut,

Différentes pistes :

Tu ne parles pas trop de ton routeur vers Internet. On peut cependant imaginer qu'il assure les serveices suivants :
- Gestion de la connexion adsl (il 'tient' les login/MdP ADSL)
- Nat ( 'cachage' des IP internes)
- Service DHCP
- Proxy DNS ou transfert des IP qu'il a lui même obtenu du provider.

S'il ne fait 'que' çà, alors j'aurais tendance à le remplacer par un SME (mais -je vais me faire flammer- pas une FreeEOS car j'ai quelques doutes au niveau de la sécurité de cette machine en kernel Linux 2.2).
Pourquoi ? Parce que SME est une firewall plutôt bien configuré, et qu'il dispose de logs (ce qui permet de savoir si une intrusion a été tentée).

Si ton routeur fait également Firewall, et que la conf de ce firewall est correcte, là, çà dépend de tes affinités.

Tu parles d'un firewall symantec : çà ne parche pas bien sous Linux, ce truc là...
Si politiquement, tu es obligé de le mettre, il sera j'imagine en rupture (deux cartes réseaux, tout le flux entrant/sortant passe par là). Dans cette archi, SME n'a peut-être pas besoin d'être configuré en firewall aussi.
Là, j'explique un peu plus : Tu peux très bien activer un mode firewall sur ton routeur, mettre un firewall Symantec et SME en firewall. Cà marche, mais je pense que le niveau administratif que çà amène est disproportionné par rapport à la sécurité supplémentaire induite.

Enfin, pour le courrier : Si tu te plonges dans la lecture d'un certains nombre d'échanges sur ce site à propos de configuration de mail du genre de celle que tu as actuellement, tu verras que ce n'est pas exactement le bonheur avec SME...
Ton Mercury (je ne connais pas) semble un peu plus 'smart' que ce que SME sait faire sans bidouille lourde.
Ce qui marche par contre fort bien, c'est de gérer tout ton mail sur ta SME directement. A ce moment là, les enregistrement MX de ton domaine pointent sur l'IP public de ton site, qui doit arriver (directement ou via ton firewall) sur SME.
Avantage : ton courrier arrive immédiatement (pas besoin de pooler un serveur externe)
La gestion est hyper simple.
Mais ceci nécessite au niveau pro deux choses :
1) une IP fixe (pas vraiment sérieux avec tous les filtres de mails actuels d'avoir une IP dynamique pour une boite)
2) un MX backup (afin que ton courrier ne soit pas perdu en cas de rupture ADSL ou d'arrêt de ta SME). En général, ton provider ou ton hébergeur sont prêts à fournir ce genre de service sans supplément de coût.
Si tu optes pour cette solution (qui fonctionne en server seul ou serveur et passerelle), tu saisis comme nom de domaine à l'installation ton nom de domaine public.
Par contre, tu seras amené à modifier l'entrée DNS de www.masociété.fr pour que cette entrée 'pointe' sur le serveur externe (par défaut, SME le fait pointer localement).

Ouf !

J'ai été encore plus long que toi, je crois

A+,
Pascal

[Peanuts]

Salut et merci pour tes réponses...

alors pour le routeur
j'ai envoyé un mail à mon provider. J'espere qu'il ne va pas se demander quoi avec les différentes questions...
sinon je ne cherche pas à le remplacer...
disons que j'aimerais, entre ce routeur et le firewall symantec, crée un DMZ

actuellement
INTERNET<=>PROVIDER<=>ROUTEUR<=>RESEAU_INTERNE

explication sur le futur chez nous...

INTERNET<=>PROVIDER<=>ROUTEUR<=>DMZ<=>FIREWALL<=>RESEAU_INTERNE

si j'ai compris ce que j'ai lu et ce qu'on m'a trop peu expliqué,
1- on crée une DMZ pour disons les programmes sensibles en liaison avec l'exterieur
(à ce jour, il y aurait donc un logiciel de serveur de mail [Mercury32 www.pmail.com] et un logiciel de serveur proxy [Sambar www.sambar.com]) <=tout ca tourne déjà sur un win98 mais au sein même du réseau
2- gràce au firewall, on coupe normalement le réseau du monde en controlant juste l'accés à la DMZ!! je crois...
3- le réseau enfin protégé de l'exterieur mais pas encore de l'intérieur (on en finit jamais avec la sécu )


ET FREE-EOS, SME ou e-smith
Bah c'est là que je bloque... je trouve ça sympa alors je cherche à le mettre quelque part parce qu'il y a pas mal de choses dedans tels que DHCP DNS ... et je sais pas quoi faire en fait... sans compter les contraintes de la direction qui ne simplifie rien...

Ou mettre le serveur Free-EOS?
je crois peut être qu'on met un ordi plus évolué qu'un win98 dans la DMZ avec les logiciels serveurs mails et proxy
ensuite dans le réseau interne, je mets le Free-EOS (en serveur?en serveur/passerelle?en serveur/passerelle privé) qui attribue quand même une adresse mail à tous le monde mais je détourne le serveur de mail interne vers le mien (en tant que serveur de courrier délégé), avec un DHCP (chaque IP sera quand même défini comme fixe), ...

ça fait perdre la beauté des possibilités de bases de ce genre de serveur

Là, dit moi si je fais bonne ou mauvaise route???

Peanuts

[sibsib]

Salut,

Ben chuis ben embété pour te répondre...

Déjà, en préambule, tout ce qui touche à la sécurité est assez important pour faire très attention où on met les pieds. De plus, il n'existe pas à ma connaissance d'architecture de sécurité qui fait l'unanimité.

D'autre part, comme je l'ai déjà écrit, je ne suis pas un expert sécurité, encore moins un gourou !

Dans ton cas, je ne pense pas que tu te places 'expert sécurité'. Dans ce cas, j'ai tendance à conseiller une archi pas trop compliquée pour que tu puisses savoir à tout moment ce qui se passe.

Si je comprend ton message, tu penses réaliser une DMZ sur le segment entre le routeur et le firewall.
Le schéma serait alors de brancher le routeur, le firewall et les serveurs de DMZ sur un HUB/SWITCH dédié ?
Ce n'est pas une architecture classique, mais éventuellement, pourquoi pas. Il faut dans ce cas supposer que le routeur protège tes machines en DMZ.
Plus classiquement, j'aurais vu un IPCOP directement connecté au routeur, avec une sortie vers la DMZ et une vers le réseau interne.
Avantage : tu ne base pas l'accès à tes ressources sur la seule fiabilité du routeur.
Inconvénient : Je ne sais pas où placer ton firewall Symantec !
Bon, perso, çà ne me stresse pas de ne pas mettre un firewall Symantec, mais j'imagine que dans ta boite, çà va être un peu obligé ?

Ensuite, au niveau flux, un firewall est plus efficace quand le type de flux qui le traverse est très limité.
Si tu crées une DMZ qui héberge uniquement ton serveur de collecte de message et un proxy WEB, évidement, c'est assez propre.
Si en plus, l'accès Internet n'est autorisé qu'à travers le proxy, et pas sur un port standard, là c'est pas mal :
GREEN -> ORANGE : port 3128
ORANGE -> RED : ports 80/443
GREEN -> RED : rien

Mais là, tu risques d'avoir les utilisateurs sur le dos (Et va leur expliquer que c'est pour leur bien )

Au niveau messagerie, l'architecture est interressante si ton serveur qui rappatrie les messages ne les stocke pas :
Par exemple Mercury32 cherche les mails chez le provider, et SME les récupère 'dans la foulée' avec Fetchmail
(Tiens, j'ai réussi à placer une SME dans le schéma )

En fait, les possibilités sont presques infinies, et avec des sommes somme toute assez raisonable pour une entreprise.

Vraiment, le plus important me semble que tu réalises une infra que tu maitrises.

Bonne chance,
Pascal

[Peanuts]

salut Pascal,

bon... tu l'as dit...

pour le firewall symantec, j'y suis obligé... bref je passe la dessus

par contre, tu n'aurais jamais du me parler de IPCop...
ne me connaissant pas, tu n'aurais pas du

Bref merci...
je viens de telecharger le manuel d'instal et le manuel d'admin

je me penche dessus, et on va lire d'abord
mais il me semble plus adapté à ce que je veux faire que SME ou Free-EOS

leurs comptes, à ces derniers, n'est pas bon... en tant que serveur interne, je pense qu'ils me donneront satisfaction sur les ibays (@teliers pour Free-EOS)

si tu as d'autres à m'annoncer... n'hésite pas

Merci

Peanuts

[zgrou]

Bonjour,

Pour ma part, j'ai regardé dans un premier temps SME et FREE EOS
Il sont de la meme mouture, sauf que niveau FREE EOS ils sont basés sur un SME, mais un peut viellot au niveau kernel.
Ils sont orientés plutot Enseignements.

La SME 6.0.1 est un peu plus rescente...
Tu as des sites pour les contribs avec entre autre anti spam, anti virus ....

Pour ce qui est d'IPCop je commence à jetter un oeil.

Cordialement
Pascal