Sécuriser son serveur de messagerie Exchange(résolu)

Ce forum est destiné à accueillir vos posts concernant la sécurité relative aux logiciels microsoft. Ils peuvent aussi bien traiter des systèmes d'exploitation Windows (NT,WIN2K,WINXP), du serveur web IIS, de Microsoft SQL et ainsi de suite...

Modérateur: modos Ixus

Sécuriser son serveur de messagerie Exchange(résolu)

Messagepar julesboucan » 09 Sep 2008 13:41

Bonjour à vous tous,
j'ai l'habitude d'installer des serveurs de messagerie à mes clients. Ces clients en général possède une adresse Ip fixe. Du coup ils sont blacklistés avec le temps lorsqu'il envoie des mails vers l'extérieur. Finalement j'utilise le smtp de leur FAI comme relay smtp en créant un connecteur dans Exchange par exemple.

Du coup les mails sortent vers les destinataires et ne sont plus blacklisté pendant .

Quelques temps après, je constate qu'ils sont de nouveaux blacklistés et je suis obligé d'écrire vers les gars qui lutte contre les spams ou je travaille avec leur FAI histoire qu'il informe les "policiers" si je peux me le permettre en indiquant que c'est eux qui ont vendu l'IP et que ce sont des utilisateurs normaux pas des spammeurs.

A travers un post j'ai compris que les serveurs de mails envoient des mails sans que le domaine ne l'autorise et ces mails sont considérés comme des spams.

Ma questions est la suivante : quelles sont les mesures de sécurité que l'on peut prendre pour bien protéger son serveur de mail afin d'éviter les blacklists, malgré que l'on configure un smtp relay ?


Merci pour suite
Dernière édition par julesboucan le 15 Sep 2008 21:07, édité 1 fois au total.
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar ccnet » 09 Sep 2008 16:51

Gérer correctement ses informations dns, à savoir enregistrements adresse, mx, et ptr.
Configurer un relais qui ne soit pas un relais ouvert.
Surveiller le trafic émis depuis l'intérieur du réseau.
Dans ces conditions personne n'a de problème de blacklist avec son propre domaine et son ip.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar julesboucan » 09 Sep 2008 18:51

ccnet a écrit:Gérer correctement ses informations dns, à savoir enregistrements adresse, mx, et ptr.
Configurer un relais qui ne soit pas un relais ouvert.
Surveiller le trafic émis depuis l'intérieur du réseau.
Dans ces conditions personne n'a de problème de blacklist avec son propre domaine et son ip.


Bonjour merci pour la réponse.

Suite à ta réponse je voudrai savoir s'il est posible de configurer son serveur de messagerie afin qu'il ne soit pas un hôte de relay pour des spammeurs par exemple, puisqu'il est SMTP enfin?

Donc mon FAI doit prendre doit voit s'il son smtp relay n'est pas ouvert sinon on est pas en sécurité....

Je voudrai aussi savoir quel enrrégistrement faut-il créer après avoir créer la zone Inversée comme tu as parlé de PTR ou est-ce qu'il suffit de créer la zone inversée?

Merci bien pour suite d'avance.
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar julesboucan » 09 Sep 2008 19:36

Pour répondre à ma question de configurer son serveur de messagerie afin qu'il ne soit pas utilisé comme

un smtp relay, je pense que si Exchange est placé derrière un firewall, on ne pourra pas l'utiliser pour

envoyer des mails je veux dire comme relay smtp si on autorise pas la source. Puisque en général pour

le faire il faut indiquer le nom du serveur smtp genre monserveurexchange.domaine.org au niveau des

paramètres de Relay SMTP.


Le Pare-feu devrait donc bloquer tout traffic non autorisé vers le serveur de messagerie interne a priori.

Mais je me dis aussi comme le port SMTP 25 est ouvert,que cela devrait suffire pour qu'on utilise mon

serveur de messagerie pour envoyer des mails.

J'ai besoin d'éclairecissement SVP

Merci pour apport.
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar julesboucan » 09 Sep 2008 19:46

En ce qui concerne la réflection pour supprimer qu'un serveur soit Relay Smtp j'ai eu ceci :
http://www.bytheway.fr/index.php?option ... &Itemid=28

Et dans le cas où mon serveur SMTP est placé derrière un firewall, est ce qu'il ne pas être utilisé comme Relay SMTP par les spammeurs selon vous??

Je veux des explications venant de votre part je m'y connais pas trop en terme de la sécurisation des serveurs de messagerie .

Merci bien pour suite,
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar Franck78 » 09 Sep 2008 20:43

Pour répondre à ma question de configurer son serveur de messagerie afin qu'il ne soit pas utilisé comme
un smtp relay, je pense que si Exchange est placé derrière un firewall, on ne pourra pas l'utiliser pour
envoyer des mails je veux dire comme relay smtp si on autorise pas la source. Puisque en général pour
le faire il faut indiquer le nom du serveur smtp genre monserveurexchange.domaine.org au niveau des
paramètres de Relay SMTP.


Prend pas ça méchament, mais je pense que tu t'es trompé de job pour tenir de pareils propos.... Le simple bon sens commande d'obtenir une définition claire de 'open relay' ou 'smpt relay' auprès de google par exemple pour comprendre le problème et la solution.

Ici, personne ne te fera un cours pour tes beaux yeux ;-) On demande un minimum de professionnalisme quand même :!: Des gars passent des heures à écrire des bouquins complets sur le sujet, justement pour démarrer rapidement et proprement. Achète-en un et revient avec des problèmes précis :twisted:
Dernière édition par Franck78 le 09 Sep 2008 20:48, édité 1 fois au total.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar jdh » 09 Sep 2008 20:44

Il y a un manque de réflexion !

Un serveur SMTP derrière un firewall peut tout à fait être un "open-relay" !

Eh oui, parce que le firewall ne fait que passer ou refuser tel ou tel trafic. Or l'"open-relay" est une faille du protocole smtp lui-même.

On trouve très facilement des sites qui permettent de tester son serveur : il suffit de taper les mots clés ... Et on a la réponse dans la minute


Je reviens sur le début :

Ces clients en général possède une adresse Ip fixe. Du coup ils sont blacklistés avec le temps lorsqu'il envoie des mails vers l'extérieur. Finalement j'utilise le smtp de leur FAI comme relay smtp en créant un connecteur dans Exchange par exemple.


Le bons sens est évidemment de transférer les mails vers le smtp de son FAI et non d'essayer de les envoyer soi même ... avec son adresse ip adsl (fixe). Mais ceci est un "marronnier" (langage de journalistes) ...

Je comprends mal ensuite que l'on puisse être ensuite blacklisté ... Ce serait bien plutôt les serveurs smtp du FAI qui le serait ... Et le premier FAI grand public de France est une fréquente victime de cela : à croire que les techniciens sont incapables de se faire "déblacklisté" ...

(Enfin ccnet donne de judicieuses remarques sur un bon dns qui limite ce genre de bricolages ...)
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar julesboucan » 09 Sep 2008 21:26

jdh a écrit:Il y a un manque de réflexion !

Un serveur SMTP derrière un firewall peut tout à fait être un "open-relay" !

Eh oui, parce que le firewall ne fait que passer ou refuser tel ou tel trafic. Or l'"open-relay" est une faille du protocole smtp lui-même.

On trouve très facilement des sites qui permettent de tester son serveur : il suffit de taper les mots clés ... Et on a la réponse dans la minute


Je reviens sur le début :

Ces clients en général possède une adresse Ip fixe. Du coup ils sont blacklistés avec le temps lorsqu'il envoie des mails vers l'extérieur. Finalement j'utilise le smtp de leur FAI comme relay smtp en créant un connecteur dans Exchange par exemple.


Le bons sens est évidemment de transférer les mails vers le smtp de son FAI et non d'essayer de les envoyer soi même ... avec son adresse ip adsl (fixe). Mais ceci est un "marronnier" (langage de journalistes) ...

Je comprends mal ensuite que l'on puisse être ensuite blacklisté ... Ce serait bien plutôt les serveurs smtp du FAI qui le serait ... Et le premier FAI grand public de France est une fréquente victime de cela : à croire que les techniciens sont incapables de se faire "déblacklisté" ...

(Enfin ccnet donne de judicieuses remarques sur un bon dns qui limite ce genre de bricolages ...)


Merci jdh,
au fait quand je dis que je suis blacklisté (désolé pour l'expression), c'était pour dire que l'adresse Ip que le FAI m'aurait délivré était blacklisté.

J'ai connu ce cas,et c'est de là que j'ai compris qu'il ne prennait pas des mesures de leur côté,je veux dire les FAI. Puisque j'utilisais leur SMTP pour envoyer mes mails en espérant que je ne devrai pas être blacklisté. Donc quand des situations pareil arrivent je les appelle en général afin qu'il m'aide à enlever l'IP de la liste noire.

C'est vrai que c'est gauche!!!!!!
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar ccnet » 09 Sep 2008 21:34

julesboucan a écrit:
ccnet a écrit:Gérer correctement ses informations dns, à savoir enregistrements adresse, mx, et ptr.
Configurer un relais qui ne soit pas un relais ouvert.
Surveiller le trafic émis depuis l'intérieur du réseau.
Dans ces conditions personne n'a de problème de blacklist avec son propre domaine et son ip.


Bonjour merci pour la réponse.

Suite à ta réponse je voudrai savoir s'il est posible de configurer son serveur de messagerie afin qu'il ne soit pas un hôte de relay pour des spammeurs par exemple, puisqu'il est SMTP enfin?


Sur un serveur Postfix, un qmail ou un Domio je sais comment faire, mais sur Exchange je ne sais pas. Il faut lire la doc. Tout dépend du serveur de mail employé.

Je voudrai aussi savoir quel enrrégistrement faut-il créer après avoir créer la zone Inversée comme tu as parlé de PTR ou est-ce qu'il suffit de créer la zone inversée?


C'est en général le boulot du fournisseur d'accès. Mais pas toujours. C'est aussi parfois celui du prestataire qui gère le domaine. C'est un travail pour des gens qui savent ce qu'ils font vraiment. Pas d'improvisation.
ccnet
Amiral
Amiral
 
Messages: 2687
Inscrit le: 27 Mai 2006 12:09
Localisation: Paris

Messagepar julesboucan » 09 Sep 2008 22:09

ccnet a écrit:
julesboucan a écrit:
ccnet a écrit:Gérer correctement ses informations dns, à savoir enregistrements adresse, mx, et ptr.
Configurer un relais qui ne soit pas un relais ouvert.
Surveiller le trafic émis depuis l'intérieur du réseau.
Dans ces conditions personne n'a de problème de blacklist avec son propre domaine et son ip.


Bonjour merci pour la réponse.

Suite à ta réponse je voudrai savoir s'il est posible de configurer son serveur de messagerie afin qu'il ne soit pas un hôte de relay pour des spammeurs par exemple, puisqu'il est SMTP enfin?


Sur un serveur Postfix, un qmail ou un Domio je sais comment faire, mais sur Exchange je ne sais pas. Il faut lire la doc. Tout dépend du serveur de mail employé.

Je voudrai aussi savoir quel enrrégistrement faut-il créer après avoir créer la zone Inversée comme tu as parlé de PTR ou est-ce qu'il suffit de créer la zone inversée?


C'est en général le boulot du fournisseur d'accès. Mais pas toujours. C'est aussi parfois celui du prestataire qui gère le domaine. C'est un travail pour des gens qui savent ce qu'ils font vraiment. Pas d'improvisation.


Merci bien ccnet pour le retour.

Apparemment il n'est pas simple de configurer les enrrégistrement PTR sinon tu m'aurai donner plus de détail. Mais je veux bien apprendre et c'est pour ca que je viens sur ce forum à moins que vous jugiez que ca serait trop compliqué pour un débutant .

Ca serait bien que j'ai plus d'informations, vous m'auriez beaucoup aidé!
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar Franck78 » 09 Sep 2008 22:27

Ca serait bien que j'ai plus d'informations, vous m'auriez beaucoup aidé!

On appelle ça un livre. Ca coute de 15 à 50 euros selon le sujet et l'expertise. On y trouve toujours les solutions et explications aux problèmes courant. Et rapidement en plus.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar julesboucan » 09 Sep 2008 22:36

Franck78 a écrit:
Ca serait bien que j'ai plus d'informations, vous m'auriez beaucoup aidé!

On appelle ça un livre. Ca coute de 15 à 50 euros selon le sujet et l'expertise. On y trouve toujours les solutions et explications aux problèmes courant. Et rapidement en plus.


Ok c'est noté, je pense que cette fois si que tu parais plus sympa qu'au paravant lorsque tu me disait que je me suis trompé de Boulot au paravant!

J'ai un ami qui voyage vers la France vers la Fin de ce mois, je n'arrive pas à commander les bouquins en général lorsque je fais une recherche sur le Net, les librairies disent en général que le stock est finit.

Si toute fois tu connais un livre plus précis et où prendre ca par exemple,ca serait bien, là je vais commander le livre exactement et je pourrai travailler là dessus en son temps.

Merci bien pour suite d'avance.
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar jdh » 09 Sep 2008 22:37

Non faudrait pas exagérer ...

- envoyer ses mails via le smtp du fai est une EVIDENCE;
- tester son serveur mail (ou le relais smtp qu'on a installé en DMZ) est vraiment facile à faire;

Je trouve inacceptable que les serveurs smtp du FAI soit pas deblacklisté plus rapidement ...

Mais les 2 premiers points ne doivent pas être masqués par le dernier point. Auquel j'ajoute l'inconscience de ceux qui veulent recevoir directement leurs mails pour ... 20 boîtes !

Autre stupidité : demander les réglages d'un IPCOP pour éviter l'open-relay ...


Je choisis un Exchange et je ne suis pas capable de me faire conseiller correctement. Et puis quoi, faudrait peut-être se prendre en charge. Se fixer des objectifs au dessus de ses moyens est une grave erreur ...
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar julesboucan » 09 Sep 2008 22:58

jdh a écrit:Non faudrait pas exagérer ...

- envoyer ses mails via le smtp du fai est une EVIDENCE;
- tester son serveur mail (ou le relais smtp qu'on a installé en DMZ) est vraiment facile à faire;

Je trouve inacceptable que les serveurs smtp du FAI soit pas deblacklisté plus rapidement ...

Mais les 2 premiers points ne doivent pas être masqués par le dernier point. Auquel j'ajoute l'inconscience de ceux qui veulent recevoir directement leurs mails pour ... 20 boîtes !

Autre stupidité : demander les réglages d'un IPCOP pour éviter l'open-relay ...


Je choisis un Exchange et je ne suis pas capable de me faire conseiller correctement. Et puis quoi, faudrait peut-être se prendre en charge. Se fixer des objectifs au dessus de ses moyens est une grave erreur ...


Si j'ai demandé s'il y a moyen d'empêcher le Open Relay avec IPCOP, c'est tout simplement parce que j'avais lu cet article: http://support.microsoft.com/kb/324958/fr#3 et il disait dans cette partie :

Code: Tout sélectionner
En outre, si le serveur exécute Microsoft Internet Security and Acceleration Server 2000 (ISA), il peut être un relais ouvert si les conditions suivantes sont remplies :
•   ISA Server est configuré avec une règle de publication sur serveur pour le protocole SMTP.
•   127.0.0.1 est dans la liste des adresses IP autorisées pour le relais dans les propriétés du serveur virtuel SMTP par défaut.


Donc je me suis dit si ISA peut le faire , est ce que IPCOP ne pouvait pas aussi?
julesboucan
Major
Major
 
Messages: 75
Inscrit le: 07 Août 2008 19:19

Messagepar Franck78 » 09 Sep 2008 23:24

Donc je me suis dit si ISA peut le faire , est ce que IPCOP ne pouvait pas aussi?


nous-y voila ;-) C'était pas plus simple de demander comment traduire du microsoft en IPCop....??

Le point un se traduit en transfert de port 25 de l'extérieur vers le exchange.
Le point deux, ma foi, est sans objet quand il y deux machines séparées.

Si tu ne trouves pas de bouquin 'papier' il y a les versions .pdf....


En passant ISA est un truc qui n'aurait jamais du exister. A ne pas installer.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Suivant

Retour vers Logiciels Microsoft

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité