Authentification smtp

[ksv]

Bonjour à tous,
voici mon soucis :

Je tourne actuellement avec un Ipcop + AdvProxy + BOT et j'aimerais que l'envoie de mail à partir de mon LAN (juste le smtp) soit impossible si la personne ne s'est pas authentifiée. J'utilise l'authentification d'AdvProxy LDAP sur un AD 2003.

J'arrive à faire passer le pop3 sans problème avec une règle BOT. Mais je sèche sur l'authentification obligatoire pour le smtp (client type thunderbird).

Si vous avez des idées. Merci

[ccnet]

Où est le serveur de mail ? Quel est le serveur de mail ? Qu'attendez vous exactement de ce que vous appelez authentification ? Quel source d'authentification ?

[ksv]

le serveur de mail est dans une zone considérée comme rouge. Le serveur de mail est un postfix.
Ce que j'appelle authentification est l'authentification faite via advproxy sur mon Active Direcory.
L'authentification se fait avec l'ouverture du navigateur.Si le client ne l'ouvre pas et ne se connecte pas alors il ne peut pas envoyer de mail (mais peut en recevoir)

ps : je sais c'est tordu

[jdh]

Avec Thunderbird, il est assez aisé d'utiliser "smtp-auth" (généralement sur tcp/587).

On créé une définition "serveur SMTP" avec le nom ou l'adresse, le port 587, un identifiant et son mot de passe.

La règle BOT au niveau de l'IPCOP est alors naturelle et n'a besoin d'aucune identification puisque c'est le serveur smtp qui la réalise (et c'est transparent pour l'utilisateur).

NB: en cas de départ d'un utilisateur, la suppression du compte au niveau smtp suffit à faire échouer l'envoi, bien évidemment.


NB: Je vois mal comment IPCOP pourrait, sans intervention protocolaire, ajouter une authentification. Il faut comprendre que c'est UNIQUEMENT Squid et ses compléments qui apportent/gèrent l'authentification parce qu'ils agissent au niveau protocolaire http.

NB: J'ai du mal à comprendre que l'authentification pourraient se faire ailleurs que sur le serveur smtp ! Ou avec un ActiveDir local !

[ccnet]

Ce n'est pas tordu, c'est confus.

le serveur de mail est dans une zone considérée comme rouge.

C'est du blabla qui ne veut rien dire.

l'authentification faite via advproxy sur mon Active Direcory.

Comment imaginez vous qu'un proxy (donc http) soit capable de prendre en charge l'authentification d'une session SMTP ? Et que vient faire le lancement d'un navigateur dans une session SMTP ?
Confusion et méconnaissance des protocoles. Le protocole SMTP ne prévoit pas, de base, de mécanisme d'authentification des utilisateurs déposant du courrier. C'est seulement avec l'extension décrite dans la RFC 2554 qu'il est possible de le réaliser. Cela s'appelle SASL et est supporté par Postfix. Les modalité d'authentifications sont multiples. Encore faut il que votre Postfix ait été compilé avec les bonnes bibliothèques et qu'elles soient présentent sur le serveur. Vous devrez choisir un modèle d'authentification (password Unix, etc ...). Il en existe plusieurs voyez la doc Postfix. Tout cela se fait en clair. Si vous souhaitez chiffrer il faut alors, en plus, utiliser TLS.

[ksv]

bon,
en fait je voudrais qu'une fois une session ouverte via le navigateur, l'utilisateur puisse naviguer normalement ( http, ftp) et envoyer des mail via smtp. Je ne sais pas si c'est possible. Pour l'instant je laisse passer dans BOT le dns et pop3 de green vers red.



ps : j'ai déjà déjà de l'authentification via clé publique sur mon postfix, je ne veux pas qu' IPCOP fasse une authentification smtp, juste qu'il laisse passer le flux.

[jdh]

Comme l'écrit ccnet, comment faire une authentification en http pour autoriser ou non du smtp ??



NB: Il y a un produit qui est capable de faire cela : NuFW ! Mais c'est ... payant (pour Windows) !

NB: Perso, je ne connais pas "l'authentification via clé publique sur postfix" mais j'ai surement à apprendre ...

NB: SASL est bien plus précis que mon "smtp-auth" !

[ksv]

ok je vais faire une tour du coté de NuFW
Merci

[jdh]

NuFW suppose une installation neuve !!!

C'est à dire, pas d'IPCOP, pas de filtrage spécifique advfilter et tout et tout !!
C'est à dire un client paramétré sur chaque poste.

Bref un vrai projet.



ccnet et moi avons posé une question. A-t-elle été comprise ?

[ccnet]

Perso, je ne connais pas "l'authentification via clé publique sur postfix"

Nous sommes au moins deux.

ps : j'ai déjà déjà de l'authentification via clé publique sur mon postfix, je ne veux pas qu' IPCOP fasse une authentification smtp, juste qu'il laisse passer le flux.

1. Oui ... enfin non ! L'authentification ne tient pas à la clé publique mais au certificat TLS. Tout dépend du niveau de confiance que l'on peut faire à ce certification et en fait surtout à l'AC qui l' a délivré. Si c'est un certificat auto signé cela ne vaut pas grand chose. Si c'est un certificat signé, délivré par une AC, il reste encore à apprécier son niveau. Un certificat de niveau 1 délivré par internet n'offre pas le même niveau de confiance qu'un certificat de niveau 3 délivré en face à face strict avec présentation d'une pièce d'identité. Ensuite TLS est principalement utilisé pour chiffrer l'échange entre deux extrémités lors d'un dialogue smtp, mais surement pas entre l'émetteur et le destinataire du mail. Que reste t il de l'authentification, du moins de la confiance que l'on peut lui accorder ?

2. Authentifier ... laisser passer ... que de confusion. En fin de compte vous ne parlez pas d'authentification, mais de filtrage. Rien à voir.
Une solution serait possible avec un produit comme SSL Explorer ou Connectra. Mais très lourd, très cher et pour quoi finalement ? Si l'on a besoin d'un système de messagerie capable de garantir l'identité des utilisateurs de l'entreprise alors on n'utilise pas de protocoles tel que pop, imap ou smtp, en tout cas pas "tout nus". Aucun n'est conçu avec une prise en compte de la sécurité. On utilise autre chose dans des conditions de contraintes qui sont fortes. Pas facile d'être agréé "Conf Def". Vous n'en êtes sans doute pas là.