conseil sur topologie réseau + passerelle anti-spam

[Nicoda]

Bonjour,

Je suis arrivé il y a peu comme system admin d'une petite société de service informatique, et je suis en train d'essayé de repenser tout le réseau. Un peu plus urgent, je dois trouver un remplacant au logiciel ant-spam actuel qui ne nous satisfait pas!

petit schema du topo actuel :


Le controlleur de domaine (Win2003 SBS) est donc en première ligne, avec Exchange 2003, ISA 2004 et Sharepoint dessus, plus l'anti-spam (PolicyPatrol4). Personne ne pourra dire que c'est bien...

Je n'ai pas encore analyser la config des Cisco... Il y en a 2 car le 800 actuellement connecté est celui du provider sur lequel on a aucun acces et qui sera retirer une fois que le 1700 sera configurer comme il faut (on a deux certifiés Cisco, mais ils sont chez des clients... malin!).

Il me semble qu'avec un 1700 bien configurer, je n'ai pas besoin d'un firewall derrière, mais dite moi si je me trompe. Le cisco pourra également gérer directement les VPN il me semble (même si OpenVPN est clairement plus simple). Le switch Huawei entre le cisco et le serveur Web est manageable et gère les vlan, ce qui n'est pas le cas du switch du lan (un netgear).

Le but est donc de retirer le cisco 800 et de mettre le LAN sur le switch huawei. Vu qu'on a 5 IP publique fixe, il y a de quoi s'amuser (on en utilise 2 pour le moment, une pour le DC et une pour le serveur web).

Jusque là tout va bien. Maintenant, j'aimerais rajouter une passerelle anti-spam dédiée (et plus un logiciel qui se met sur le serveur Exchange, ce dernier étant déjà assez goulu!).

Bref, quelque chose comme ceci :


Mes questions (sinon je serais pas ici... )
1. Comment sécuriser l'accès au serveur Sharepoint (sur le DC...)?
2. IP publique pour le mail relay et le web server, c'est bon?
3. 3 VLAN différents?
4. Est-ce que je peux effectivement gerer le VPN sur le Cisco 1700??? j'ai un doute soudain vu la config réseau...
5. Est-ce qu'il existe une distro spécifique Anti-spam (genre ce qui est utilisé sur les Barracuda Anti Spam ou chez Astaro)? ou est ce que je dois prendre un ipcop ou un sme et ne me concentré que sur le filtrage mail? ou Debian+Postfix+clamAV+Spamassassin+....?
6. au niveau de l'anti-spam, j'aurrais aimé un système de quarantaine "par user" plutôt que "global", histoire que chaque user vérifie lui-même ses spams (avec un mail récapitulatif quotidien ou hebdomadaire, ce serrait nickel) Une solution OpenSource?

7. des idées?

Merci d'avance pour tout commentaire

Nico

[ccnet]

Un commentaire rapide. Il serait préférable de découper le réseau en deux zones. L'une, la dmz, accessible sous certaines condtions (en pratique ce sont des règles sur un firewall) et le réseau interne, jamais accessible directement depuis l'extérieur. La passerelle de messagerie dans la dmz et le serveur de mail dans le lan interne.
Un anti spam vite fait ? SME server configuré en relais 30 mn d'installation, 30 minutes de lecture de la documentation, 10 minutes de configuration. Avec la configuration de base de Spamssassin j'ai moins de 1% de faux négatifs (les spams qui passent) et 0,2 à 0,5% de faux positifs (mails licites classées en spam à tort). Avec un pIII 800 512Mo de ram vous écoulez sans problème 20 000 mails jour. En prime vous pouvez activer le traitement anti virus.
Je connais assez cette solution pour dire qu'elle est efficace. Maintenant il y en a beaucoup d'autres.

j'aurrais aimé un système de quarantaine "par user" plutôt que "global"

Cela me semble aussi préférable et c'est la conclusion à laquelle j'en suis arrivé à l'expérience. Dans cette chose qu'est Exchange peut on gérer un "dossier" courrier indésirable et y envoyer tout ce qui est marqué ***SPAM*** ? Si vous pouvez faire cela sur Exchange c'est une solution simple pour chaque utilisateur qui possède son dossier de quarantaine.
Debian+Postfix+clamAV+Spamassassin ca marche aussi.

IP publique pour le mail relay et le web server, c'est bon?

Oui, avec ou sans translation suivant votre solution Firewall.

Un ipcop (+BOT) configuré en RED+ORANGE+GREEN et un SME server dans Orange en "smtp relay" vers Exchange en GREEN cela devrait fonctionner sans problème.

C'est loin d'être la seule solution, mais s'en est une.

[Nicoda]

Un commentaire rapide. Il serait préférable de découper le réseau en deux zones. L'une, la dmz, accessible sous certaines condtions (en pratique ce sont des règles sur un firewall) et le réseau interne, jamais accessible directement depuis l'extérieur. La passerelle de messagerie dans la dmz et le serveur de mail dans le lan interne.

Ca revient pas au même de faire des VLAN a partir du routeur Cisco?

Un anti spam vite fait ? SME server configuré en relais 30 mn d'installation, 30 minutes de lecture de la documentation, 10 minutes de configuration. Avec la configuration de base de Spamssassin j'ai moins de 1% de faux négatifs (les spams qui passent) et 0,2 à 0,5% de faux positifs (mails licites classées en spam à tort). Avec un pIII 800 512Mo de ram vous écoulez sans problème 20 000 mails jour. En prime vous pouvez activer le traitement anti virus.
Je connais assez cette solution pour dire qu'elle est efficace. Maintenant il y en a beaucoup d'autres.

Je vais faire un test, merci.

Dans cette chose qu'est Exchange peut on gérer un "dossier" courrier indésirable et y envoyer tout ce qui est marqué ***SPAM*** ? Si vous pouvez faire cela sur Exchange c'est une solution simple pour chaque utilisateur qui possède son dossier de quarantaine.

Oui, ça existe, mais j'aurrais aimé que les spam n'arrive même pas au niveau du serveur Exchange et reste en quarantaine sur le relais smtp.

Un ipcop (+BOT) configuré en RED+ORANGE+GREEN et un SME server dans Orange en "smtp relay" vers Exchange en GREEN cela devrait fonctionner sans problème.

C'est loin d'être la seule solution, mais s'en est une.

Merci bien, le pire c'est qu'apparement dans le passé, ils avaient un IpCop et l'ont retiré, je ne sais pour quel raison...

Nico

[ccnet]

Ca revient pas au même de faire des VLAN a partir du routeur Cisco?

Je ne connais pas le produit Cisco, je ne sais donc pas vous répondre.

Oui, ça existe, mais j'aurrais aimé que les spam n'arrive même pas au niveau du serveur Exchange et reste en quarantaine sur le relais smtp.

Ca se fait aussi. Personellement je préfère limiter les manipulations utilisateurs. Dans ce cas il faudrait leur donner un accès à la zone de quarantaine et un moyen de débloquer les faux positifs. Et ceci utilisateur par utilisateur. Il y a des produits qui le font.