Serveur Exchange derriere un firewall

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

Serveur Exchange derriere un firewall

Messagepar nandao » 15 Nov 2005 23:00

Bonjour,

j'ai installé un seveur exchange derriere un firewall Linux.
Le firewall a une adresse publique et mon serveur exchange a une adresse privée. J'ai routé les ports 80 et 25 du firewall vers le serveur mais je ne peux pas envoyer de mails d'un serveur smtp externe vers mon serveur.

Une idée?
nandao
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2005 20:43

Messagepar jdh » 17 Nov 2005 00:06

Pour que le serveur soit accessible de l'extérieur, il faut 2 conditions :

- le port 25 de l'adresse publique doit être bien redirigé vers le serveur en DMZ.
- le DNS du domaine doit comporter un enregistrement de type MX (Mail eXchanger) pointant vers l'adresse ip externe.

(on peut avoir associer une ip au nom du domaine sans enregistrement MX : certains serveurs de mails pourront router les messages ... mais ce n'est pas standard)

Si l'adresse ip externe est une adresse variable (change tous les 24h, comme chez Wana..), cela est difficile (voire impossible). Il reste 1 difficulté (certaine) :

- certains fournisseurs refusent de router un message vers un PC disposant d'une adresse ip d'un fournisseur ADSL. (Se poser la question "pourquoi ?" : la réponse est facile)

Par exemple, si tu disposes d'une adresse ip même fixe de Fre., en général les messages d'AOL et ou de Hotmail n'arriveront pas.


Je crois que c'est vraiment une fausse bonne idée que d'héberger le serveur mail de son domaine avec un abonnement FAI "grand public". Si on veut travailler en "pro", il faut 2 serveurs qui fonctionnent en 24h/24, en ip hors FAI "grand public" avec un anti-virus/antispam/black-list efficace. C'est vraiment un travail de pro ... que je laisse à des pros ... même si c'est très intéressant à essayer de mettre en oeuvre.

A noter que cela n'empêche pas de mettre en oeuvre un serveur mail "local" dans son entreprise grace à fetchmail par exemple en acceptant un peu moins d'immédiateté.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar nandao » 19 Nov 2005 15:13

jdh a écrit:Pour que le serveur soit accessible de l'extérieur, il faut 2 conditions :

- le port 25 de l'adresse publique doit être bien redirigé vers le serveur en DMZ.
- le DNS du domaine doit comporter un enregistrement de type MX (Mail eXchanger) pointant vers l'adresse ip externe.

(on peut avoir associer une ip au nom du domaine sans enregistrement MX : certains serveurs de mails pourront router les messages ... mais ce n'est pas standard)

Si l'adresse ip externe est une adresse variable (change tous les 24h, comme chez Wana..), cela est difficile (voire impossible). Il reste 1 difficulté (certaine) :

- certains fournisseurs refusent de router un message vers un PC disposant d'une adresse ip d'un fournisseur ADSL. (Se poser la question "pourquoi ?" : la réponse est facile)

Par exemple, si tu disposes d'une adresse ip même fixe de Fre., en général les messages d'AOL et ou de Hotmail n'arriveront pas.


Je crois que c'est vraiment une fausse bonne idée que d'héberger le serveur mail de son domaine avec un abonnement FAI "grand public". Si on veut travailler en "pro", il faut 2 serveurs qui fonctionnent en 24h/24, en ip hors FAI "grand public" avec un anti-virus/antispam/black-list efficace. C'est vraiment un travail de pro ... que je laisse à des pros ... même si c'est très intéressant à essayer de mettre en oeuvre.

A noter que cela n'empêche pas de mettre en oeuvre un serveur mail "local" dans son entreprise grace à fetchmail par exemple en acceptant un peu moins d'immédiateté.





J'ai une interface publique, adresse ip A(eth0), déclarée en MX sur un dns externe.
Avec iptables, j'ai redirigé les flux arrivant sur les ports 25 et 80 du firewall vers le serveur mail(adress IPprivée) mais apparement ce n'est pas suffisant.

Des connexions SMTP arrivent sur le serveur mais ce dernier ferme apparemnt les connexions.
De plus, quand mon serveur mail est directement connecté sur l'interface publique sans le firewall, tout marche parfaitement.
Avec le firewall, j'arrive à envoyé des maisl vers l'extérieur mais je n'arrive pas à en recevoir de l'exérieur.


Internet-------Firewall-----------Serveur Mail
-------------eth0---- eth1------- IPprivée

eth0 adresse ip publique correspondant à l'enregistrement MX.


Questions supplémentaires

Qu'est-ce qu'un relai SMTP?
Dois-je configurer mon serveur en tant que relai SMTP?
Quels configs dois-je faire pour recevoir des mails extérieurs sur mon serveur derrière le firewall?

Merci
nandao
Matelot
Matelot
 
Messages: 4
Inscrit le: 14 Nov 2005 20:43

Messagepar jdh » 19 Nov 2005 22:30

Le port smtp est 25. Le port 80 correspond à un serveur Web. C'est donc pas nécessaire pour l'aspect message. Il peut cependant y avoir besoin de 80 pour activer OWA.

Un serveur "relais mail" est une machine, généralement situé dans une DMZ, qui

- reçoit les mails de l'extérieur (Internet) et les transmets au serveur interne,
- recupère tous les messages à destination d'Internet et les envoie réellement aux destinataires.

L'intéret est de profiter de l'opération pour faire du filtrage : anti-virus, anti-spam, rbl. Il faut y ajouter un minimum de "réécriture" : masquage des serveurs internes.


Sinon pour revenir à ton problème : il faut ET que le traffic entre ET que le traffic sorte. Que se passe-t-il ? Il faudrait peut-être écouter le traffic avec un tcpdump.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes


Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)