SME 7.5 - SMTP sur un réseau où le port 25 est bloqué

[HP77]

Bonsoir,

J'ai un question à la çon pour ce soir...

Là où je bosse, un collègue ne faisant que de l'informatique m'a dit sur ton sûr que le réseau local de notre campus est régi par une règle de non routage du traffic SMTP.

J'ose imaginer que cela doit s'opérer par un blocage du port correspondant (port 25 si je ne m'abuse) au niveau des passerelles (= routeurs) entre les différents sous-réseaux en place (il n'y auraiit que 5000 à 6000 élèves inscrits sur les 8000 ou 9000 prévus).


Ma question est donc :

Comment contourner, à mon niveau, le problème pour que mon serveur SME puisse enfin envoyer et recevoir des e-mails avec d'autres machines "clientes" de ce serveur ?

Puis bêtement espérer faire un changement de numéro de port, genre 8025 ?
Et comment / où devrais-je intervenir ?

Je doute fortement qu'un simple renvoit de port m'amène à un résultat exploitable car, "L*tu$ Nuts" va probablement aller cher un serveur mail côté public et probablement sur le port 25...
Et, d'autre part, le serveur de mail de SME, lui, va aussi se mettre à "parler" sur le port 25 par défaut...


Bref, maintenant que j'ai mis à plat ce qui me passe par la tête, la question devient :

Peut-on faire quelque chose ou bien je suis contraint de me frotter aux administrateurs du réseau pour espérer faire fonctionner mon serveur mail ??

Si encore, tout le monde était sur le même LAN mais avec des masques de 25 bits...


Merci de m'avoir lu.

Cordialement,
HP


P.S.
Je pensais aussi, éventuellement, à utiliser un relais extérieur mais, bon, ça fait usine à gaz avec deux serveurs qui tenteront de se parler via de l'encapsulation HTTPS comme je fais déjà pour accéder au serveur de la maison depuis le boulot via SSH : SME home renvoit le port 443 sur le 22...

[ccnet]

un collègue ne faisant que de l'informatique m'a dit sur ton sûr que le réseau local de notre campus est régi par une règle de non routage du traffic SMTP.

Les doigts se sont probablement mélangés et j'ai du mal à comprendre.

au niveau des passerelles (= routeurs)

Heu, non. Si l'ont parle, come c'est le cas ici depuis le début du post du port 25/TCP, il s'agit de passerelle applicatives (par exemple un relai smtp) et non de la fonction de routage. Le routage est une technologie de niveai 3 (IP) et non TCP. Il est néanmoins clair qu'un routeur peut filtrer.

Comment contourner, à mon niveau, le problème pour que mon serveur SME puisse enfin envoyer et recevoir des e-mails avec d'autres machines "clientes" de ce serveur ?

Il y a un problème majeur. Le serveur destinataire écoute sur le port 25/TCP pour ce qui est de la messagerie et tout les serveurs smtp de la planète fonctionne ainsi. Je ne vois pas de solution. Si vous vous adressez au port 8025 (par exemple) comment le destinataire peut il deviner qu'il doit écouter sur ce port pour vos mails ??

Peut-on faire quelque chose ou bien je suis contraint de me frotter aux administrateurs du réseau pour espérer faire fonctionner mon serveur mail ??

-> les admins.

En fait je ne suis toujours pas certain de comprendre votre problème entre le smtp, le routage, un filtrage éventuel du port 25 et le courrier internet. Et j'oublie les sous réseaux.

Une présentation de l'architecture d'ensemble pour les flux smtp ne serait pas superflue.

Un serveur Domino peut être paramétré pour écouter smtp sur importe quel port pour chaque interface réseau connectée. Même chose en ce qui concerne le flux sortant il peut aller se connecter à n'importe quel port distant. A condition de lui spécifier et de pouvoir passer les routeurs éventuels. Ensuite Domino y chercher le serveur smtp que vous indiquerez.

Un relai externe serait une bonne solution y compris en terme de sécurité. C'est ce que l'on pratique le plus souvent.

[HP77]

Bonsoir,

Merci d'avoir porté de l'intérêt à mon souci.

Alors, pour faire simple, je vais dire que :

- J'ai un serveur SME fonctionnant en mode serveur privé => une seule interface réseau

- Le serveur est connecté à un réseau local existant dont je ne contrôle absolument rien excepté ceci :

- Le serveur squate une @IP rentrée en dure. @IP que j'ai choisie assez haute pour avoir de la marge..

- Le port 25 est neutralisé sur l'ensemble du réseau local (chaque PC d'élève étant un bouillon de culture de virus et autres Trojans... , je peux comprendre la nécessité)

- Je voudrais pouvoir envoyer échanger des e-mails avec les utilisateurs du LAN dont la messagerie est effectivement basée sur serveurs "Domino" (Je ne sais pas ce que ça vaut mais j'espère que c'est mieux que "Lotu$ Nuts").

Pour toutes ces raisons, le relai externe (i.e. mon serveur à la maison... ) me paraissait s'imposer mais, je doute que pour une application sérieuse, on me laisse faire passer des e-mails de la compagnie de cette manière.

...
Un relai externe serait une bonne solution y compris en terme de sécurité. C'est ce que l'on pratique le plus souvent.

Là, côté sécurité, cela ne doit concerner qu'un problème de ports filtrés (à mon avis) plutôt que le contenu des e-mails et tout ce que cela implique.
Je me trompe ou bien plutôt j'oublie quelque chose d'autre de part encore trop d'ignorence sur le sujet ?


Autrement, retour aux serveurs Dominos (*) :
Y a-t-il autre chose à savoir pour une telle mise en oeuvre ou bien on peut y aller gaiement et envoyer un e-mail aus admins du réseau dans la foulée ?
(Je sais, je suis devenu très optimiste et, j'ai simplifié car il faut se cuisiner toute la hiérarchie qui ne fera que "forwarder" ma requête...)


Bon, j'espère avoir fait clair, pas trop simpliste façon "ça marche pas, à l'aide, au secours !!!", etc...

Sur ce, bien merci pour vos éclaircissements.
Bonne soirée !

Cordialement,
HP


* est-ce que le nom vient du fait que tout peut "tomber en rideau" à la manière des dominos, les après les autres jusau'au dernier ??

[bethebeast]

Salut,

Il me semble (sans vouloir dire de bêtises) que chez free, par défaut, ils bloquent le port 25 (option à activer si besoin), et la box est en mode bridge. Faudra me l'expliquer, mais bon, plus tard...

Bref, si ya pas le choix, il faut pouvoir utiliser un autre port. Mais comme le dit si bien ccnet :

Il y a un problème majeur. Le serveur destinataire écoute sur le port 25/TCP pour ce qui est de la messagerie et tout les serveurs smtp de la planète fonctionne ainsi. Je ne vois pas de solution. Si vous vous adressez au port 8025 (par exemple) comment le destinataire peut il deviner qu'il doit écouter sur ce port pour vos mails ??

Quoi qu'il en soit, et de manière générale, faut toujours voir du côté des templates.

En relisant ton dernier message, quelque chose m'intrigue :

Le serveur est connecté à un réseau local existant dont je ne contrôle absolument rien excepté ceci :

- Le serveur squate une @IP rentrée en dure. @IP que j'ai choisie assez haute pour avoir de la marge..

- Le port 25 est neutralisé sur l'ensemble du réseau local (chaque PC d'élève étant un bouillon de culture de virus et autres Trojans... Rolling Eyes , je peux comprendre la nécessité)

- Je voudrais pouvoir envoyer échanger des e-mails avec les utilisateurs du LAN dont la messagerie est effectivement basée sur serveurs "Domino" (Je ne sais pas ce que ça vaut mais j'espère que c'est mieux que "Lotu$ Nuts").

# Tu voudrai uniquement "communiquer" en local ?
# Si tu ne contrôle rien sur ce réseau, comment tu compte t-y prendre pour faire quoi que ce soit...?

Enfin, j'avoue que c'est un peu flou pour ma petite tête...

Sinon, une call conf avec des (amis) sysadmin pourrait t'aider...

@+

[ccnet]

- Le port 25 est neutralisé sur l'ensemble du réseau local (chaque PC d'élève étant un bouillon de culture de virus et autres Trojans... Rolling Eyes , je peux comprendre la nécessité)

C'est une mesure tout à fait nécessaire en effet.

Je ne sais pas ce que ça vaut

C'est un très bon serveur de mail propriétaire certes, mais sûr et stable.

Deux remarques en termes de sécurité. Puisque SME a une ip statique, il pourrait être possible de n'autoriser que celui ci à envoyer du courrier smtp. Les PC utilisateurs devrait s'authentifier sur celui ci pour y accéder et écrire un mail. Il serait néanmoins souhaitable que le sme ne soit pas dans le lan justement mais dans une dmz. SME ne sortirai pas ses mails directement mais via une passerelle smtp placée elle dans ne autre dmz (à cause de la réception qu'il faut autoriser.

Effectivement SME pourrait joindre son serveur relai sur un port non standard comme 8025, pourvu que celui ci sorte en s'adressant au port 25 du smtp destinataire. De même le serveur Dominoo est capable d'écouter SMTP sur des interfaces différentes et des ports différents. Même avec une seule carte réseau.

Un schéma serait bienvenu. Globalement c'est un problème d'architecture face à une politique de sécurité.

Pour toutes ces raisons, le relai externe (i.e. mon serveur à la maison... Rolling Eyes Rolling Eyes Rolling Eyes ) me paraissait s'imposer mais, je doute que pour une application sérieuse, on me laisse faire passer des e-mails de la compagnie de cette manière.

C'est certain, de plus vous auriez des problèmes de dns, votre abonnement internet ne permettant pas, sauf cas particulier, de gérer correctement les MX pour passer les anti spams des destinataires. Par ailleurs les plages d'adresses ip distribuées par les FAI grand public sont très souvent filtrées en ce qui concerne le trafic smtp.

[Muzo]

Bonjour,

Première chose, nous ne sommes pas en train de parler de résolution de mail derrière une box.

- J'ai un serveur SME fonctionnant en mode serveur privé => une seule interface réseau

- Le serveur est connecté à un réseau local existant dont je ne contrôle absolument rien excepté ceci :

- Le serveur squate une @IP rentrée en dure. @IP que j'ai choisie assez haute pour avoir de la marge..

- Le port 25 est neutralisé sur l'ensemble du réseau local (chaque PC d'élève étant un bouillon de culture de virus et autres Trojans... , je peux comprendre la nécessité)

- Je voudrais pouvoir envoyer échanger des e-mails avec les utilisateurs du LAN dont la messagerie est effectivement basée sur serveurs "Domino" (Je ne sais pas ce que ça vaut mais j'espère que c'est mieux que "Lotu$ Nuts").

A ce que je lis: vous avez installer une SME en squattant une IP sur un réseau du campus d'une société.

je tiens à rappeler qu'Ixus n'est pas là pour vous aider à détourner les règles de sécurité mises en place par votre société ou autre.

Donc la seule réponse valable: aller prendre un café avec les administrateurs réseaux et expliquer leur le besoin. Les admins n'ont jamais mangé personne.

/Muzo

[HP77]

...
Il me semble (sans vouloir dire de bêtises) que chez free, par défaut, ils bloquent le port 25 (option à activer si besoin), et la box est en mode bridge. Faudra me l'expliquer, mais bon, plus tard...

Euh !?
C'est possible, je crois me souvenir d'une discussion sur le port 25 et les "FreeBox" il y a un an ou deux si ce n'est davantage... mais bon, ce n'est pas mon cas.

Bref, si ya pas le choix, il faut pouvoir utiliser un autre port. Mais comme le dit si bien ccnet :

Il y a un problème majeur. Le serveur destinataire écoute sur le port 25/TCP pour ce qui est de la messagerie et tout les serveurs smtp de la planète fonctionne ainsi. Je ne vois pas de solution. Si vous vous adressez au port 8025 (par exemple) comment le destinataire peut il deviner qu'il doit écouter sur ce port pour vos mails ??

C'est aussi la question que je me posais.

Donc, on va s'arrêter là car, dans mon cas, la meilleure solution à mettre en place passe effectivement par la configuration du réseau.
En bref, je vais consulter les administrateurs avant de lancer la machine administrative requise.

Non, je ne cherche pas à mettre en place une solution "pirate" ni mettre en péril la sécurité du réseau du campus.

Je bosse sur une idée de projet à soumettre pour justifier mon contrat et mon salaire.
(bien que moins élevé qu'en France, il me permet de faire assez d'économies pour aller me frigorifier au cinéma, ce n'était pas le cas en France avec 2,68 EUR sur le compte à la fin du mois quand les factures et la nourriture sont payées... )

L'idée est d'avoir un système de stockage de fichiers et bien d'autres fonctions liées à la gestion de projets des "étudiants" permettant aux utilisateurs de s'inscrire d'eux-même (en utilisant leurs adresses e-mails "Domino") mais, le tout, n'étant point accessible de l'extérieur.

S'agissant d'un prototype d'évaluation avant d'ameuter ma hierarchie et le "Cost Manager" (... ), je préfère me renseigner et faire quelques tests avant de me lancer dans une éventuelle démonstration qui, je me craints va demander aux admins de modifier des réglages sur un réseau plutôt bien chargé et compliqué à gérer à ce que j'en sais.

Bon, en tous cas, je prends note de l'idée de la double DMZ qui pourrait aider mais, là, mon serveur ne sera plus au même endroit physiquement et je pense que je devrais aussi justifier, autrement que par soucis d'intégration dans le local info du "backbone" et cie, le fait que la machine passe de S$500 à 10x fois plus cher si ce n'est davantage vu le partenariat avec "aÏe-Bi-M"...

Quoi qu'il en soit, et de manière générale, faut toujours voir du côté des templates.

Bon, je regardereais àa à l'occasion, pour faire "joujou" entre deux serveurs "maison" sur le LAN du campus mais je préfère encore les mettre derrière un routeur ou mieux, sur un LAN indépendant et totalement isolé (électriuement et "wireless-ement" de tout le reste.

En relisant ton dernier message, quelque chose m'intrigue :

Le serveur est connecté à un réseau local existant dont je ne contrôle absolument rien excepté ceci :
- Le serveur squate une @IP rentrée en dure. @IP que j'ai choisie assez haute pour avoir de la marge..
...

# Tu voudrai uniquement "communiquer" en local ?

Yep !
Rien qui ne sorte sur Internet.

# Si tu ne contrôle rien sur ce réseau, comment tu compte t-y prendre pour faire quoi que ce soit...?

Comme je l'ai dit juste avant dans cette réponse : Les admins !

...
Sinon, une call conf avec des (amis) sysadmin pourrait t'aider...
@+

Pourquoi pas, ça peut être instructif de confronter des idées mais, là, à part "Sk-aïe-pe", je n'ai pas grand choix.


Bien merci pour toutes ces réponses.
Je sais maintenant comment je dois me préparer pour aborder mon problème avec la hiérachie / la e-paperasserie administrative du campus.

Sur ce, j'attends encore un peu de voir s'il y aurait (mais j'en doute un peu) d'autres idées pour trouver une solution "légère" à mettre en place.
Après quoi, je passerais le sujet en "résolu".

Bonne journée à tou(te)s !


Cordialement,
HP_

[HP77]

Bonsoir,

J'ai l'impression qu'il n'y a pas beaucoup d'autres solutions alternatives sans passer par une "usine à gaz" dépassant l'imagination la plus folle que l'on puisse trouver sur le forum, si je ne m'abuse.

Dans ce cas, juste une question subsidiaire :
Est-il envisageable de laisser mon serveur physiquement là où il est = dans un bureau / atelier où les points d'accès réseau sont reliés à un réseau local du genre 172.aaa.bbb.xxx/25 par un équipement Cisco dont j'ignore encore s'il supporte des fonctions VLAN ou pas ?

Si VLAN possible, est-ce que cela pourraît être jouable ou non pour des essais de plusieurs mois avec des charges moyennes et instantannées encore inconnues à ce jour mais qui devraient se situer dans les 40 à 80 connexions simultanées (probablement 160 maximum), sachant que le réseau fournit un débit moyen de 4,8Mo/s et que les pages affichées seront à peine plus chargées que celle de Horde servant de WebMail sur SME ?


Bon, j'espère que ça reste lisible malgré la quantité d'informations fournies (peut-être pas encore assez détailler, si ça se trouve (?))


Cordialement,
HP

[ccnet]

Sur l'idée générale oui c'est jouable. Mais les conséquences ne sont pas évidente et il reste la question de la conformité à la politique de sécurité de l'organisation.

[HP77]

Bonjour,

Désolé de répondre si tardivement , j'ai eu pas mal de petites choses urgentes à traiter et ce n'est pas encore terminé, bien entendu...

Bon, pour l'instant, j'ai mis une moindre priorité à ce problème d'e-mails car la validation des nouveaux utilisateurs du site ne se fera que lorsque le site sera pleinement validé. (...)

Pour mes tests, je peux faire de la "simulation" sur mon serveur à la maison.


Maintenant, Si jamais on me demande un truc "débile" comme d'implémenter un client Lotus "Nuts" sur SME, il y a-t-il un espoir que, un, ça existe ? et deux, Qu'en plus, qu'il soit possible de l'interfacer avec PHP/MySQL pour travailler avec un compte e-mail dédié à ce projet ?
(je sens bien venir la blague : "tiens, en attendant, tu utilises ton propre compte pour tes essais..." mouais, avec 64 Mo d'espace disque pour les e-mails, ça déborde chez tout le monde en moins de 2-3h mais rien à faire, c'est ainsi... )

Je pense que la suggestion d'obtenir une écoute de(s) serveur(s) Domino(R) sur un port dédié serait la meilleure solution en terme de souplesse de gestion (de mon point de vue) mais, en serait-il de même du point de vue des administrateurs de la messagerie ???

Le "p'tit café" s'impose...


Dans l'hypothèse où l'écoute sur un port dédiée arriverait à séduire, j'aimerais bien creuser un peu la question sur les changements de configuration à opérer dans SME... :

- Hormis le serveur e-mail, devrais-je aussi revoir certains autres points de la configuration SME 7.5 de base ?


Bien merci à vous pour le temps que vous pourrez m'accorder sur ce point.


Cordialement,
HP

[sibsib]

Hello HP77,

J'ai rarement des réponses à tes questions, j'en profite !

Il est super simple sur qmail de préciser pour un site distant un port d'écoute différent (a condition cependant que le protocole utilisé sur le serveur distant soit du SMTP ! S'il s'agit d'atre chose... ben t'es dans les ennuis !). Je n'ai plus l'exact fichier en tête (mais man qmail-control tr le dira), mais en gros, tu écris dans un fichier que pour le domaine schmoll, tu dois t'adresser à la machine lotus.schmoll.net:2525

Dans le fichier çà donne :
*.schmoll.net:lotus.schmoll.net:2525

Si tu veux t'adresser à une seule machine, il faut alors écrire :
lotus.schmoll.net:lotus.schmoll.net:2525

... et, évidement, envoyer les mail sous la forme jean.bon@lotus.schmoll.net !

Pour la syntaxe, c'est à peu près çà, mais n'écris pas bille en tête !

Et, comme de bien entendu, c'est un fichier templatisé (et utilisé par une certaine contrib smeserver-fetchmail )

A+,
Pascal

[HP77]

Hello SibSib,

Je te remercie bien pour ta réponse.
J'aurais bien aimé avoir deux machines virtuelles ready pour tester mais, là, je ne peux toujours pas remettre mon PC sur pied, les weekends ne sont pas compatibles avec "maintenance informatique" ces derniers temps...

Dès que je peux, je fais l'essai et ferais un "p'tit REX".


Cordialement,
HP