Conseils & technique : installer SME pour une entreprise

[Ondskapt]

Bonjour à tous,

je travaille en tant que Webmestre pour une petite societé de services dont un des clients désire s'affranchir de son actuel prestataire mail, pour qu'on s'en occupe. J'ai d'assez bonnes connaissances en réseau/routage etc mais je suis un peu rouillé depuis que je me consacre principalement à la programmation.

Comme vous vous en doutez, on m'a refilé le projet afin d'en étudier les aspects techniques.

Concretement, le client paie une societé de prestations de services qui possède un serveur dans une baie pour qu'elle assure le service mail. Mon client s'est brouillé avec son prestataire et veut recuperer la messagerie chez lui (dans ses locaux, donc). On a donc refléchi a installer un serveur qui fera office de serveur mail + autre eventuellement. J'ai essayé de me débrouiller avec une Debian + Postfix mais je nage complètement. Je me suis donc tourné vers la solution SME qui semble convenir.

Le client possède dans les 150 adresses mail. Evidemment, le dimensionnement serveur joue un rôle important, mais admettons qu'il soit adapté, SME reste t'il une bonne solution ?

Ensuite comment faire concrètement ? Je ne vois pas comment faire la transition entre les actuelles adresses mails et les futures qui garderont le même nom (ex : pdg@client.com actuellement chez les prestataires devra etre sur le SMF).

Je suis conscient que c'est beaucoup demander mais je suis preneur de tout conseil.

Merci !

[fred-info]

Bonjour,

SME est une très bonne solution pour ce que tu veux faire.
150 adresses mails ça ne signifie pas grand chose. Il est plus important d'avoir une idée du volume du traffic que du nombre de boites. Mais 150 adresses ça ne fait même pas peur à SME

1/ Il va faloir que tu gère le champ MX de ton domaine. En ip fixe ou dynamique ça dépend de ton abonnement.

2/ En fonction de ton FAI la config du serveur mail est variable.

Tu trouveras toutes les infos sur ce site si tu utilises la fonction recherche.

Bon courage

[jibe]

Salut,

La fiabilité du système est probablement un facteur important, et avec une telle solution locale, il faut avoir conscience qu'une coupure de courant un peu longue ou tout autre problème entrainera un arrêt de la réception des mails. Je te conseille donc de bien réfléchir à ce problème et d'y trouver une réponse adaptée aux besoins.

La solution MXBackup de sibsib peut être une réponse...

[sibsib]

Hello,

Oui, il est important de bien étudier son architecture complète de messagerie, notamment face aux inévitables pannes.

Si ton client veut absolument avoir ses mails chez lui, SME server et un serveur de messagerie secondaire (la contrib MX-Backup permet justement de transformer un SME serveur en MX secondaire. Elle ne s'installe donc pas sur le MX principal) peuvent être un bout de la solution (Il faut en plus être suffisament sûr de l'environnement des deux serveur (y compris la fiabilité des accès Internet, typiquement les deux serveurs ne devraient pas être chez le même opérateur). J'ajoute qu'en plus, un MX ne peut être fiable qu'en IP fixe.

Cependant, en principe, jdh devrait prendre le relais et t'expliquer que le mail, c'est trop sérieux pour le bricoler chez soi (Je prend la parole en son nom au cas où il ne serait pas là ).

Je ne suis pas de cet avis (du moins pas d'une manière aussi tranchée). Disons plutôt : le mail, c'est très sérieux, suis-je assez sérieux pour le gérer localment, ou vaut-il mieux le confier à des gens dont c'est le métier ?

Sinon, pour re(de)venir technique :

L'opération est assez simple : Il faut configurer un serveur SME avec les 150 comptes et le nom de domaine de ton client. Là, une particularité de SME, il faut créer les comptes dans le SME spirit, (pas de useradd !), donc à ma connaissance, seul les scripts LAZY Admin tools te permettent de faire çà (Mais ils le font très bien).
Ainsi, sur le LAN, si tu configures un ou des postes pour utiliser le SMTP et/ou le POP3-IMAP4 de SME, tu peux tester toute la chaine.
Une fois la connexion Internet montée, tu peux aussi tester le comportement de ton serveur depuis l'extérieur, mais là faut un peu bidouiller.
Une fois que tout te semble OK, tu fais modifier le DNS de ton client de façon à ce que les MX de ton nom de domaine pointent sur ton SME et son MX secondaire (et tu sers les fesses .
Pendant la propagation du DNS, tu reconfigures les postes clients, si nécessaire.

Dans les grandes lignes, tout est là (En vrai, il faut aussi savoir comment aller récupérer sur le permier site les inévitables messages qui arriveront encore là bas quelques jours).

En gros, la migration de la messagerie n'est pas un problème. Le vrai problème est que ton SME ve vite devenir critique, et donc, il faut un plan de sauvegarde / reprise à la hauteur de l'importance que 150 utilisateurs accordnet aujourd'hui à leur messagerie.

A+,
Pascal

[Ondskapt]

Merci beaucoup pour vos réponses. Comme ça fait bien longtemps que je n'ai plus mis les mains dans le réseau, j'étais vraiment largué, ça m'a remis les idées en place, bien que je ne sois pas toujours très sûr de certains points.

En l'état actuel des choses, ce qui me freine encore c'est que je ne sais pas comment séparer les services web et mail s'ils sont physiquement à 2 endroits différents. Dans mes souvenirs un nom de domaine renvoi à une IP et le routeur derrière dispatch en fonction du protocol sur les bonnes machines. Par exemple www.client.com ira "1 rue bidule" et mail.client.com a "1 boulevard truc" avec leurs IP publiques propres.

Enfin je me mets moi-même hors sujet puisque ça n'a rien à voir avec SME.

En tout cas merci pour la qualité de vos interventions.

[fred-info]

Salut,

Je viens d'aller lire la page de sibsib sur mxbackup c'est nickel.
Ondskapt je te conseil de la lire.

Un routeur, a priori, ne va rien aiguiller en fonction des protocoles. Va faloir réviser les fondamentaux.

Prends un peu de temps et va lire http://christian.caleca.free.fr/

C'est un investissement temps que tu ne regretteras pas.

A+

[jdh]

(Salut Sibsib).

Quand on a 150 boites mails à gérer, il faut, en effet, prendre les choses au sérieux.

Quelques éléments à prendre en considération :

- disposer d'un "vrai" accès à Internet pour "professionnels" : ligne de type SDSL, abonnement pro, ip fixes, ...;
- utiliser un relais mail qui fera du filtrage antivirus/antispam au fil de la réception;
- disposer de 2 MX : le FAI accepte généralement d'être MX secondaire en plus de gérer le nom de domaine, le MX primaire est bien sur le relais;
- disposer d'outils simples capables de gérer simplement un nombre important d'utilisateur, les alias, les mailing-list, les "vacancies" s'il y a lieu;
- tester l'open-relay du relais mail.

Bref, pas mal de choses !

Je confirme que pour une petite PME (10-20 boites) je recommande plutôt une autre organisation : boites mails chez un hébergeur + serveur mail interne + fetchmail automatique. C'est plus sur et plus efficace.

La SME est adaptée à ce type de besoin même s'il y a bien plus que cela dans une SME. Les howto ne manquent pour une Debian + Postfix + MySQL + ... : cela fonctionne généralement très vite.

[jibe]

Salut,

En l'état actuel des choses, ce qui me freine encore c'est que je ne sais pas comment séparer les services web et mail s'ils sont physiquement à 2 endroits différents.

C'est la gestion des DNS qui va te permettre cela : revois (par ex. sur la doc de caleca qui t'a été suggérée) ce que sont les enregistrements A, CNAME et MX et tu comprendras vite que modifier MX permet de diriger les mails où tu veux sans toucher à ton site web.

[jdh]

Jibe fait un très bon résumé du sujet.

SME (ou alternative) peut convenir tout à fait à la gestion de 150 boites mails. C'est rapide à mettre en oeuvre, fiable, bref impeccable.

Je ne ferais qu'une petite correction : la réception des mails chez l'hébergeur (de surcroit MX) (qui devra être complété d'un fetchmail) est préférable à la réception sur une ip ADSL fixe (cas des petites structures, ce n'est pas celui d'un réseau important car l'ip est celle d'un abonnement SDSL professionnel).

La raison est simple : dans le futur, il est possible (probable ? prévisible ?) que les serveurs de mail des grands FAI ne le feront plus. Ils suppriment progressivement l'envoi de mail (smtp=tcp/25) à partir des ip ADSL, pourquoi leur enverraient il eux même des mails ?

Dernier point, SME ou consort n'est pas qu'un serveur de mail : le supplément ne présente il pas des difficultés. A priori non, mais ...

[Ondskapt]

Salut,

déjà merci à tous pour vos infos, ça vous prend du temps de répondre et je vous en suis reconnaissant.

Le fait est que je nage un peu puisque je ne connais pas exactement la config réseau du client. Y'a plusieurs connexions Adsl Free, Orange, Club Internet combinées avec des VPN qui tournent sur plusieurs sites distant et ce qu'on me demande c'est d'eventuellement installer un serveur mail au siege. A priori c'est pas une bonne solution d'après vos réponses.

Il y a beaucoup de choses à lire sur le site de Christian Caleca mais je n'ai pas eu le temps de tout lire ni de tout comprendre étant donné que je bosse sur autre chose en même temps :/
Mais donc effectivement ça ne pose pas de soucis de séparer le mail du serveur web si on configure bien le DNS. Ca peut paraitre bête mais bon ...

En gros mon client veut pouvoir gerer sa gestion de mail comme il veut (creer des boites, les supprimer, faire des groupes, des alias etc.) donc à priori j'ai 2 solutions : lui configurer un serveur mail et le mettre chez un hebergeur (sachant que vu mes connaissances en la matière sont limitées et que niveau sécurité etc. ca risque d'être une passoire) ou lui trouver un service en ligne qui fasse ça mais je ne connais pas de solution pour entreprises.

Par contre je ne comprends pas trop ce que vous appelez l'envoi de mail par FAI plutot que SME. Surtout que dans mon cas apparement y'en a 3 ...

[Franck78]

je travaille en tant que Webmestre pour une petite societé de services dont un des clients désire s'affranchir de son actuel prestataire mail, pour qu'on s'en occupe. J'ai d'assez bonnes connaissances en réseau/routage etc mais je suis un peu rouillé depuis que je me consacre principalement à la programmation.

Je crois que le noeud du problème est clair: ton client ne s'adresse pas au bon interlocuteur (ta ssii).
Pour ton client, c'est un banal problème informatique parmi tant d'autres. Il attend une réponse simple,
type nous(toi) avons le savoir faire et proposons ceci ou cela, ou nous ne faisons pas cette presta.

Dans tout ce qu'on t'as expliqué ici, il n'y a rien d'incompréhensible Toutes les boites, passé une certaine taille, gérent elles-même leur serveurs messagerie et savent qu'il faut payer (gérer).

Par exemple, va expliquer que la boite mail du pdg est stockée quelque part on sait-on sur internet, exposée à la concurrence...

Y'a plusieurs connexions Adsl Free, Orange, Club Internet combinées avec des VPN qui tournent sur plusieurs sites distants

Il a donc un budget pour un vrai projet

[Ondskapt]

Ah ben ça ... ce n'est pas moi qui décide et on m'a mis devant le fait accompli : "Notre client veut gerer sa messagerie et comme tu fais son site, tu vas t'occuper de ça". En gros c'est comme ça que ça s'est passé. Et comme le client en question représente une bonne part des revenus de la SSII pour laquelle je bosse ...

Sinon je me suis un peu jeté dans le bain (suicide programmé pour bientôt ) et j'ai chopé une machine sur laquelle j'ai installé un SME histoire de voir concrètement comment ça fonctionne. J'utilise un DynDNS qui pointe sur le routeur de la boite. Donc quand je tape ssii.dyndns.org je tombe sur l'interface de config de notre routeur.

J'ai configuré le SME en "serveur uniquement" avec comme nom de domaine ssii.dyndns.org. Il possède l'adresse IP 192.168.1.35 et arrive bien à se connecter à Internet (test effectué avec l'outil qui cherche contribs) via la passerelle 192.168.1.1. Je me suis crée 2 utilisateur qui arrivent à s'envoyer des mails via le webmail en utilisant les adresse "utilisateur1@ssii.dyndns.org" et utilisateur2@ssii.dyndns.org". Youpi, ça fonctionne en interne... Evidemment, si je veux envoyer un mail chez un autre FAI, nada.

Faut-il simplement que je demande au routeur de rediriger le STMP et le POP vers mon serveur SME ?

[jibe]

Salut,

Sujet fort intéressant !

Ondskapt, je pense qu'il ne faut surtout pas te décourager ni t'arrêter à ce qu'on te conseille, jdh, les autres et moi, mais essayer de comprendre : je pense que ça vaut vraiment la peine. Quand tu auras commencé à entrevoir pourquoi nos avis divergent quelque peu et lequel s'applique le mieux à ton cas, tu comprendras mieux comment aborder ton problème

Alors, puisque c'est totalement dans le sujet, et que ça peut t'aider à y voir plus clair si tu fais l'effort de tenter de suivre (au besoin, n'hésite pas à te faire préciser les choses) je me permets de continuer un peu le débat avec jdh. Ensuite, je tenterai une analyse de ton problème.

La raison est simple : dans le futur, il est possible (probable ? prévisible ?) que les serveurs de mail des grands FAI ne le feront plus. Ils suppriment progressivement l'envoi de mail (smtp=tcp/25) à partir des ip ADSL, pourquoi leur enverraient il eux même des mails ?

Effectivement, vu comme ça
Mais je ne comprends toujours pas très bien : le blocage du port 25 pour les IP correspondant à une ligne ADSL a une raison précise : se débarrasser du spam émis par tous ces postes relais ouverts ou même ayant un serveur smtp à l'insu du plein gré de leur utilisateur. C'est donc une attitude bonne et logique. Mais pourquoi donc refuseraient-ils de leur distribuer du mail ? Là, j'avoue que je ne parviens pas à imaginer une bonne raison...

Bon, cela dit, Ondskapt, ta décision traitement interne ou externe n'a pas à dépendre de ces considérations. Tout au moins à mon avis : en effet, il y a une demande de traitement interne du courrier. Il faut que tu y répondes (ou que tu dises que tu ne sais/veux pas faire, mais là c'est donner le marché à ton concurrent. Au fait, peux-tu me donner les coordonnées de ce client ). Après, comment vont transiter les mails ne regarde pas ton client : ce qu'il faut, c'est une messagerie fiable, peu importe les moyens.

Pour moi, une SME qui relaie ses mails en sortie par le smtp du FAI et les accepte directement en entrée est la bonne solution. Pas pour jdh ? Ok. Dans ce cas, tu mets le FAI (on verra lequel après) en MX, et tu installes sur ta SME la contrib de sibsib pour y rapatrier les mails arrivant chez le FAI : c'est transparent pour le client.

A une différence près, c'est qu'il a moins la maitrise des boites aux lettres. C'est la raison pour laquelle je préfère toujours la réception sur la SME . Mais ça peut se gérer :
- Si les moyens financiers peuvent suivre, tu optes pour une connexion SDSL professionnelle, et là je pense que jdh sera d'accord pour que les mails soient réceptionnés directement par la SME (ou debian...) Je pense qu'il sera aussi d'accord pour qu'ils soient émis directement.
- Sinon, tu passes tout par le FAI, en expliquant à ton client que ce n'est pas si compliqué à gérer, et que c'est la rançon d'une solution économique.
La balle est donc dans le camp de ton client, il fait son choix en connaissance de cause. Mais quelle que soit la solution choisie, la gestion des mails internes sera locale (probablement y compris pour les sites distants reliés par VPN dans le second cas - le premier ne posera jamais de problème, mais dans un premier temps voyons au plus simple).

Il y a probablement aussi une solution pour garder la maitrise des créations de BAL et d'alias même en passant par le FAI : je pense qu'il est envisageable de n'y avoir qu'une BAL dans laquelle tout arrive, et de dispatcher ensuite dans la SME. Ce serait peut-être à réfléchir... Mais comme je pense que la meilleure solution reste la réception (au moins) sur SME, laissons cela pour le cas où cela ne puisse vraiment pas se faire.

Pour tes trois FAI, je comprends mal : c'est un FAI différent sur chaque site, ou c'est les trois sur le même site ? Dans le second cas, cela suppose une solution de load balancing entre eux, solution qui devrait être déjà en place ? Il faudrait en savoir un peu plus pour voir de près comment faire. Ce n'est pas forcément un problème, mais il faut bien comprendre le fonctionnement des accès internet... C'est peut-être aussi quelque chose à revoir : trois abonnements, plus une solution lourde pour les gérer, ne vaut-il pas mieux une seule connexion fiable et rapide ?

Bref, comme tu vois, on peut toujours trouver des solutions. Il faut commencer par bien définir l'architecture des réseaux concernés, leurs accès internet, et bien évaluer les besoins. De là, on pourra réfléchir aux solutions envisageables, et la ou lesquelles proposer.

[sibsib]

Hello,

Attention à l'indigestion avec toutes nos propositions

En plus, quel que soient nos (louables !) intentions, c'est toi qui te retrouvera face à ton client, en 'obligation de résultat'.

Dans ce contexte, la bonne solution est celle que tu maitrises. J'insiste tout de même lourdement sur l'aspect sauvegarde du serveur qui hébergera les mails.

Egalement, pour un client qui a 150 bals, un accès de type 'pro' me semble recommandé : Sur un accès de type pro, on est en IP fixe (OK, c'est pas tout à fait de l'IP fixe, mais çà y ressemble étrangement). Surtout, les adresses IP de clients pro ne doivent pas être dans les listes de classe 'IP Dynamiques' et donc, l'émission et la reception de courrier en direct est possible.

A ce propos, y a-t-il ici des utilisateurs de NERIM en mode pro ? J'étais un client fort satisfait de NERIM, mais j'ai cédé aux sirènes économiques de free (passage de 512/128 kb à 15000/1000 kb et passge simultané de 42 €a 29,99 €). Cependant, il me semble toujours que les accès NERIM ne sont pas listés dans les IP dynamiques, et, pour une entreprise, dédier un accès même 'lent' mais en IP fixe et non listé dynamique (là çà fait pas très clair, je trouve : une IP fixe classée non dynamique ! Je reprends : Une IP fixe d'une part, et d'autre part, la non classification de cette IP comme IP de dynamique de type client grand public)

Vouhala, encore un avis livré sans aspirine

A+,
Pascal

[Franck78]

Ah ben ça ... ce n'est pas moi qui décide et on m'a mis devant le fait accompli : "Notre client veut gerer sa messagerie et comme tu fais son site, tu vas t'occuper de ça". En gros c'est comme ça que ça s'est passé. Et comme le client en question représente une bonne part des revenus de la SSII pour laquelle je bosse ...

ca te retombera dessus dans tous les cas !

1) soit tu dis que tu ne maitrises pas et qu'il faut une autre compétence
2) soit tu fonces et dans trois mois tu es lourdé car ça marchotte
3) soit de developpeur tu passes à système et réseau instantanément (ce dont je doute).

C'est caricatural mais c'est comme ça sauf si ton client te laisses 3 mois pour apprendre

Tu peux te dire que l'autre compétence, c'est Ixus, c'est un pari possible. Si tu y mets beaucoup du tiens seulement.