Authentification smtp

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Authentification smtp

Messagepar ksv » 21 Avr 2009 14:04

Bonjour à tous,
voici mon soucis :

Je tourne actuellement avec un Ipcop + AdvProxy + BOT et j'aimerais que l'envoie de mail à partir de mon LAN (juste le smtp) soit impossible si la personne ne s'est pas authentifiée. J'utilise l'authentification d'AdvProxy LDAP sur un AD 2003.

J'arrive à faire passer le pop3 sans problème avec une règle BOT. Mais je sèche sur l'authentification obligatoire pour le smtp (client type thunderbird).

Si vous avez des idées. Merci
ksv
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 08 Nov 2006 17:27

Messagepar ccnet » 21 Avr 2009 17:15

Où est le serveur de mail ? Quel est le serveur de mail ? Qu'attendez vous exactement de ce que vous appelez authentification ? Quel source d'authentification ?
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ksv » 21 Avr 2009 17:37

le serveur de mail est dans une zone considérée comme rouge. Le serveur de mail est un postfix.
Ce que j'appelle authentification est l'authentification faite via advproxy sur mon Active Direcory.
L'authentification se fait avec l'ouverture du navigateur.Si le client ne l'ouvre pas et ne se connecte pas alors il ne peut pas envoyer de mail (mais peut en recevoir)

ps : je sais c'est tordu :lol: :lol:
ksv
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 08 Nov 2006 17:27

Messagepar jdh » 21 Avr 2009 17:57

Avec Thunderbird, il est assez aisé d'utiliser "smtp-auth" (généralement sur tcp/587).

On créé une définition "serveur SMTP" avec le nom ou l'adresse, le port 587, un identifiant et son mot de passe.

La règle BOT au niveau de l'IPCOP est alors naturelle et n'a besoin d'aucune identification puisque c'est le serveur smtp qui la réalise (et c'est transparent pour l'utilisateur).

NB: en cas de départ d'un utilisateur, la suppression du compte au niveau smtp suffit à faire échouer l'envoi, bien évidemment.


NB: Je vois mal comment IPCOP pourrait, sans intervention protocolaire, ajouter une authentification. Il faut comprendre que c'est UNIQUEMENT Squid et ses compléments qui apportent/gèrent l'authentification parce qu'ils agissent au niveau protocolaire http.

NB: J'ai du mal à comprendre que l'authentification pourraient se faire ailleurs que sur le serveur smtp ! Ou avec un ActiveDir local !
Dernière édition par jdh le 21 Avr 2009 18:00, édité 1 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 21 Avr 2009 17:58

Ce n'est pas tordu, c'est confus.
le serveur de mail est dans une zone considérée comme rouge.

C'est du blabla qui ne veut rien dire.
l'authentification faite via advproxy sur mon Active Direcory.

Comment imaginez vous qu'un proxy (donc http) soit capable de prendre en charge l'authentification d'une session SMTP ? Et que vient faire le lancement d'un navigateur dans une session SMTP ?
Confusion et méconnaissance des protocoles. Le protocole SMTP ne prévoit pas, de base, de mécanisme d'authentification des utilisateurs déposant du courrier. C'est seulement avec l'extension décrite dans la RFC 2554 qu'il est possible de le réaliser. Cela s'appelle SASL et est supporté par Postfix. Les modalité d'authentifications sont multiples. Encore faut il que votre Postfix ait été compilé avec les bonnes bibliothèques et qu'elles soient présentent sur le serveur. Vous devrez choisir un modèle d'authentification (password Unix, etc ...). Il en existe plusieurs voyez la doc Postfix. Tout cela se fait en clair. Si vous souhaitez chiffrer il faut alors, en plus, utiliser TLS.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar ksv » 21 Avr 2009 18:06

bon,
en fait je voudrais qu'une fois une session ouverte via le navigateur, l'utilisateur puisse naviguer normalement ( http, ftp) et envoyer des mail via smtp. Je ne sais pas si c'est possible. Pour l'instant je laisse passer dans BOT le dns et pop3 de green vers red.



ps : j'ai déjà déjà de l'authentification via clé publique sur mon postfix, je ne veux pas qu' IPCOP fasse une authentification smtp, juste qu'il laisse passer le flux.
ksv
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 08 Nov 2006 17:27

Messagepar jdh » 21 Avr 2009 18:25

Comme l'écrit ccnet, comment faire une authentification en http pour autoriser ou non du smtp ??



NB: Il y a un produit qui est capable de faire cela : NuFW ! Mais c'est ... payant (pour Windows) !

NB: Perso, je ne connais pas "l'authentification via clé publique sur postfix" mais j'ai surement à apprendre ...

NB: SASL est bien plus précis que mon "smtp-auth" !
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ksv » 21 Avr 2009 18:31

ok je vais faire une tour du coté de NuFW
Merci
ksv
Second Maître
Second Maître
 
Messages: 30
Inscrit le: 08 Nov 2006 17:27

Messagepar jdh » 21 Avr 2009 18:51

NuFW suppose une installation neuve !!!

C'est à dire, pas d'IPCOP, pas de filtrage spécifique advfilter et tout et tout !!
C'est à dire un client paramétré sur chaque poste.

Bref un vrai projet.



ccnet et moi avons posé une question. A-t-elle été comprise ?
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar ccnet » 21 Avr 2009 18:57

Perso, je ne connais pas "l'authentification via clé publique sur postfix"

Nous sommes au moins deux.

ps : j'ai déjà déjà de l'authentification via clé publique sur mon postfix, je ne veux pas qu' IPCOP fasse une authentification smtp, juste qu'il laisse passer le flux.


1. Oui ... enfin non ! L'authentification ne tient pas à la clé publique mais au certificat TLS. Tout dépend du niveau de confiance que l'on peut faire à ce certification et en fait surtout à l'AC qui l' a délivré. Si c'est un certificat auto signé cela ne vaut pas grand chose. Si c'est un certificat signé, délivré par une AC, il reste encore à apprécier son niveau. Un certificat de niveau 1 délivré par internet n'offre pas le même niveau de confiance qu'un certificat de niveau 3 délivré en face à face strict avec présentation d'une pièce d'identité. Ensuite TLS est principalement utilisé pour chiffrer l'échange entre deux extrémités lors d'un dialogue smtp, mais surement pas entre l'émetteur et le destinataire du mail. Que reste t il de l'authentification, du moins de la confiance que l'on peut lui accorder ?

2. Authentifier ... laisser passer ... que de confusion. En fin de compte vous ne parlez pas d'authentification, mais de filtrage. Rien à voir.
Une solution serait possible avec un produit comme SSL Explorer ou Connectra. Mais très lourd, très cher et pour quoi finalement ? Si l'on a besoin d'un système de messagerie capable de garantir l'identité des utilisateurs de l'entreprise alors on n'utilise pas de protocoles tel que pop, imap ou smtp, en tout cas pas "tout nus". Aucun n'est conçu avec une prise en compte de la sécurité. On utilise autre chose dans des conditions de contraintes qui sont fortes. Pas facile d'être agréé "Conf Def". Vous n'en êtes sans doute pas là.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron