[suggestion] passerelle SMTP sur IPCOP ?

[vaneay]

Voila juste une petite suggestion qui pourrait intéresser quelques utilisateurs d'ipcop ( moi en premier ^_^ ).

Est il à l'ordre du jour, pour une future version d'ipcop, 1.4 final (ou peut etre pour une 1.5) d'intégrer une passerelle mail SMTP (pas un serveur complet avec des comptes utilisateurs, mais juste un relais pour pouvoir faire du filtrage rapide de mails, exemple : domaine invalide, blacklistage de certains émetteurs ou certaines entetes, antivirus, marquage des spam, ...).

1 - ça permet a ceux qui envoient des mails et qui n'ont pas de passerelle smtp chez leur FAI de pouvoir envoyer des mails (tout en permettant de bloquer une machine infecté qui voudrait envoyer des mails contaminés).

2 - ça permet a ceux qui ont un MTA sur ORANGE ou sur GREEN de nettoyer un peu les mails qui arrivent au serveur. (je prend l'exemple de "exchange" qui est assez vulnérable au spam et à l'open relay).

3 - éventuellement la passerelle pourrait notifier l'émetteur de mails infectés qu'il est infecté (si son adresse est valide).

Sinon ...
Quelqu'un a t il tenté de compiler une version de postfix pour l'intégrer à ipcop ?

Merci de vos réponses, et de vos avis sur ma petite suggestion.

[gregs50]

ça m'interesse fortement!!!!!

[yannva]

je trouve l'idée pas mal du tout mais la solution basée sur support F-prot - Clamav - Avp expliquée ici : http://forums.ixus.net/viewtopic.php?t=12004 cela ne te suffit pas ?

A +

Yann[/url]

[vaneay]

Oui c'est assez efficace pour une solution antivirus.
Mais pour de l'antispam et du rejet d'adresses invalides je trouve postfix plus adapté.

En plus postfix est assez maléable on peu lui rajouter des scripts pour faire des réponses préformatés à l'expetiteur et on peu lui greffer un systeme antivirus et antispam (je pense biensur à amavis et spamassasin).

Sans parler de la possibiliter de faire des "regexp" sur les headers, le body ( et dans la derniere version de postfix les objets mimes attachés ) pour filtrer des mails rapidement sans les passer a l'antivirus.

Exemple si on m'envoie un fichier avec un fichier attaché .pif , je le jette direct meme pas besoin de le passer a l'antivirus ni meme de finir d'accepter tout le mail.

[windandsnow]

Salut,

Pourquoi un serveur de mail sur la DMZ ne ferait il pas le travail ?
Si je me permet de suggerer cela c'est que ce qui fait la force d'IPCop et ce qui m'a séduit c'est son coté light.
Par experience plus un logiciel est lourd et plus il risque de bugger ou d'avoir des failles de sécurité, à force de rajouter des fonctionnalités à IPCop et j'en ais vues sur ce forum ( Samba, serveur web, postfix...) on risque d'atteindre le niveau d'imperfection de windaube.
Pour ma part IPCop sert uniquement de firewall/proxy avec un P90 64Mo et sur la DMZ un serveur de mail, un serveur web et un serveur ftp.Tout fonctionne, alors pourquoi vouloir charger ce pauvre IPCop par de lourdes et quelquefois dangereuses fonctionnalitées?
Surtout que les logiciels sous linux sont libres (apache, postfix, proftpd).

En ne voulant surtout pas d'avoir découragé dans ta démarche et te souhaites bon courage et bonne chance.

[vaneay]

je parlais pas de mettre un serveur mail mais une paserelle.

Vu que le boulot d'ipcop c'est de faire de la secu ...
pourquoi ne pas lui faire securiser des flux mails ?

y a bien un proxy squid pour limiter les requettes vers le web et économiser de la bande passante sur les objets demandés fréqemments.

pourquoi on pourrait pas faire pareil coté mails en virant deja les spams avant qu'ils arrivent sur le serveur mail ?

en ces temps de méchants virus qui trainent (netsky et companie ) les antivirus ne les détectent souvent pas tout de suite et une station infecté sur le LAN se voit vite coller un serveur SMTP et infecter tout le monde.

Une paserelle mail permettrait au moins de bloquer une station qui chercherait a contaminer l'exterieur.

Enfin bon je vais pas m'étendre sur les avantages d'une paserelle par rapport a un serveur ...

mais pour en revenir a l'inconvénient que tu cite sur le fait de diminuer le niveau de sécurité j'exposerais ces points :

- si tu veux pas de la paserelle c'est comme pour le proxy ( tu desactive et le port n'est pas acessible )

- se faire attaquer la paserelle qui est dans un environnement sécurisé, restrein et audité est moins risqué que d'ouvrir directement un acces sur un serveur smtp en orange ( voir green pour ceux qui ont pas les moyens de faire une dmz ) et de compromettre tout le LAN sur le quel est le serveur ( en plus perte totale du service mail pour ceux qui sont en exploitation y a de quoi devenir vert ).

à méditer ...

[Franck78]

@Vaneay

Tu n'as pas tord mais comme chacun voit midi à sa porte, c'est un dizaine de produits supplémentaires qu'il faudrait ajouter

Moi pour exemple: j'ai mon postfix + spambouncer depuis très longtemps
sur mon portable. Reporter ça sur IpCop : pas prioritaire.
Mais j'ai 2 gosses qui naviguent un peu. L'important pour moi c'est un bon filtrage d'URL en sortie....
(je viens de terminer la mise à jour de mon add-on squidguard)

Alors tu fais comme moi: tu prends ton courage à deux main et tu te lances dans le Perl et les pages HTML. Bref tu écris un Add-On. Parceque en fait ca me parait le meilleur compromis les Add-ons:tu prends ceux dont tu a besoin.



bye

[windandsnow]

Comme dit Franck, chacun vois midi à sa porte, il est vrai que mes clients importants ou sont stocké les donnés fonctionnent sous linux.
Je n'avais pas abordé la question sous cet angle puisque peu touché par le probleme des virus.

Bonne programmation en Perl (que je n'ai pas encore appris, ca viendra) et encore bon courage.

[vaneay]

Alors tu fais comme moi: tu prends ton courage à deux main et tu te lances dans le Perl et les pages HTML. Bref tu écris un Add-On. Parceque en fait ca me parait le meilleur compromis les Add-ons:tu prends ceux dont tu a besoin.

Merci ça réponds à ma question "qqun a t il compilé postfix pour ipcop ?"

Bon je vais donc essayer de développer un mod postfix sur mon temps libre.

bon je vais reprendre mes cours de prog en perl et en C ça fait un bail ...
fo que je me monte un environnement de dev ... ( une debian woddy j'ai vu que ça marchait plutot bien ).
et je vais me bouffer du RTFM ... bon à dans 3 mois ...

[Franck78]

J'ai pas dis que Postfix tournait sur mon IpCop...
En moins de 1 mois tu peux faire quelque chose de bien.

Essaie de t'inspirer de ceci :
http://firewalladdons.sourceforge.net/how-to.html


bye