Andesi - forum

Forum francophone pour Debian

Vous n'êtes pas identifié(e).

#1 02/07/2008 11:12:56

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Exim4 en passerelle pour Exchange

Bonjour à tous,

Je suis actuellement en train de "sécuriser" un Exchange au moyen d'une Debian-box (@IP 192.168.1.5). Pour le moment elle heberge un Gatekeeper (F-Secure), qui sert de passerelle anti-virus. Pas de problème à signaler pour le moment de ce côté. Néanmoins, son filtre anti-spam est pour le moins peu configurable.
D'où mon idée de rajouter un Exim+SA pour gérer le spam. Le principe serait de sortir de gatekeeper sur le loopback pour donner la main a Exim/SA, puis qu'Exim relance vers Exchange, et inversement pour les mails venant de l'intérieur du réseau.
Pour commencer je veux déjà avoir mon Exim qui guette sur le loopback. D'où (1ère question) : quelqu'un a-t-il déjà réalisé quelque chose de ce type ?
C'est possible, j'ai trouvé un tutoriel ( http://www.exim-new-users.co.uk/content/view/95/39/ ), le problème étant que la personne ayant réalisé le tuto l'a fait pour une Fedora, dont l'arbo Exim est différente de celle de la Deb.
Je vous donne la conf que j'ai réalisé via exim4-config :
Séparation des fichiers de conf = Non
Smarthost, pas de courrier local
Nom de courriel systeme = domaine.fr
Interfaces écoutantes = 127.0.0.1;192.168.1.5
Autres destinations dont le courriel doit etre accepte =
Nom de domaine visible pour les users locaux = domaine.fr
Serveur courriel sortant = 127.0.0.1::9025
Machines à relayer = 192.168.1.0/24
Minimiser DNS = Non
Est-ce que ça semble bon ? Je n'ai pas envie de lancer les tests sans être plus ou moins sur, et paralyser l'envoi de mails.

J'espère que quelqu'un aura le courage de jeter un oeil ici. ^^

Merci.

Hors ligne

#2 02/07/2008 14:48:23

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Re : Exim4 en passerelle pour Exchange

Bon en fait, on reprend tout. A l'usage, et après relecture intensive de la doc, il s'avère que Gatekeeper n'est pas du tout prévu pour être mis en frontal, mais bien au chaud derrière Exchange ! Bref, le produit n'a plus aucun intérêt.
Donc maintenant je me retrouve dans une situation beaucoup plus simple, où une Debian-box utilisant Exim et SA va servir de frontal pour Exchange. Je vais chercher quelques tutos, mais je suis preneur si quelqu'un a déjà réalisé quelque chose de ce type.
Merci. smile

P.S. : en dessin :

{INTERNET} <--> [Firewall] <--> [Debian-box] <--> [Exchange] <--> Clients

Dernière modification par TeKa (02/07/2008 14:57:53)

Hors ligne

#3 03/07/2008 14:54:14

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Re : Exim4 en passerelle pour Exchange

Bon, il n'y a plus de problèmes, la config de Exim au moyen de dpkg-reconfigure exim4-config fournit un très bon fichier de conf au final, et Exim relaie bien les mails comme il se doit.
Maintenant, mon souci, c'est SpamAssassin !

Hors ligne

#4 03/07/2008 16:20:13

ioguix
Administrator
Lieu : Paris
Inscription : 25/04/2003
Messages : 3 945

Re : Exim4 en passerelle pour Exchange

Salut TeKa,

Désolé de te laisser faire ton monologue tout seul hein, perso j'ai peu de connaissances en Exim...

Par contre, en SpamAssassin, je suis certain que tu trouvera de l'aide ou des tutos ici (ou ailleur)

Bon courrage !


[email protected]
"Contrairement aux chasseurs qui, eux, ne sont pas des lapins, les pollueurs, eux sont des ordures. - Philippe Geluck, Le chat"
gpg: 0828C222

Hors ligne

#5 03/07/2008 16:56:20

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Re : Exim4 en passerelle pour Exchange

Pas de problème. smile
Finalement, j'ai réussi à piger la conf d'Exim en "portant" mentalement le tuto cité plus haut de RH vers Deb.
Et j'ai réussi à m'en sortir avec SpamAssassin aussi, qui taggue bien mes mails en leur ajoutant leur note : il suffisait de décommenter quelques passages de la conf d'Exim.
Il me reste encore le routage du spam vers une boite Exchange, et je serai enfin tranquille.
Si quelqu'un d'autre à une idée, je suis preneur (même si j'ai pas beaucoup d'espoir ^^).

Hors ligne

#6 04/07/2008 10:04:58

ledub
Membre
Lieu : Creil (60)
Inscription : 22/04/2003
Messages : 4 545

Re : Exim4 en passerelle pour Exchange

Pourrais-tu nous faire une petite doc sur ce que as fait ?
Merci.

LeDub qui se prend pour un rédac'chef wink


« Ne doutez pas qu'un petit nombre de personnes déterminées puisse changer le monde. En fait, ça a même toujours marché comme ça.»
Margaret Mead
---
VeoSearch est un moteur de recherche solidaire qui permet de financer des projets associatifs de développement durable par vos recherches Internet. Utilisez-le !!!

Hors ligne

#7 04/07/2008 11:57:57

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Re : Exim4 en passerelle pour Exchange

Avec plaisir (en espérant que ça motive plus de gens à utiliser Exim) :
Mon (/etc/exim4/)update-exim4.conf.conf (généré via dpkg-reconfigure exim4-config):
dc_eximconfig_configtype='internet'
dc_other_hostnames=''
dc_local_interfaces='192.168.1.5'
dc_readhost=''
dc_relay_domains='domaine.fr'
dc_minimaldns='false'
dc_relay_nets='192.168.2.0/24;192.168.1.1'
dc_smarthost=''
CFILEMODE='644'
dc_use_split_config='false'
dc_hide_mailname=''
dc_mailname_in_oh='true'
dc_localdelivery='mail_spool'

Dans exim4.conf.template,
On décommente (et on adapte, bien évidemment) :
spamd_address = 127.0.0.1 783
Au niveau de la section acl/40_exim4-config_check_data, on ajoute (en se basant sur les exemples dans les commentaires) :
  deny
    spam = Debian-exim:true
    message = This message scored $spam_score spam points.\n\
              X-Spam-Flag: YES
    condition = ${if >{$spam_score_int}{100}}
  warn
    spam = Debian-exim:true
    message = X-Spam-score: $spam_score\n\
              X-Spam-score_int: $spam_score_int\n\

Maintenant on envoie un mail depuis son domaine vers l'extérieur (ou l'inverse), et on vérifie que les tags X-Spam apparaissent dans les sources.
J'utilise aussi eximon4 pour vérifier l'état de la queue smtp, c'est plus pratique que de farfouiller dans les logs, mais ça implique l'utilisation de X11. Il permet aussi de voir le trafic en "temps réel".

[/tuto]

Par contre, il me faudrait un utilitaire pour manager à distance et de manière graphique mon Exim et mon spamassassin. J'ai essayé de voir du côté de Webmin, mais son plugin SA ne gère que la "version cliente" de SA, et son plugin Exim (pas intégré par défaut, mais trouvable sur le site) ne marche pas du tout.
Quelqu'un a une idée ? Ce n'est pas pour moi, un vim me suffit amplement, mais je dois prévoir pour des admins aux compétences Unix faibles.

Dernière modification par TeKa (04/07/2008 11:59:14)

Hors ligne

#8 08/07/2008 08:45:14

stopher
Membre
Lieu : lille
Inscription : 19/03/2008
Messages : 72
Site Web

Re : Exim4 en passerelle pour Exchange

Salut à tous ,

quelques petites remarques peut etre pour compléter ta config qui semble intéressante ,
Pourquoi tu ne gardes pas les spams sur ton serveur frontal ( en quarantaine ) avec un nettoyages des spams vieux de X mois ?
ça éviterait de remplir ta base exchange pour rien non ?

Apres pour consolider SA , tu peux utiliser Dspam qui fonctionne pas mal car SA seul par defaut  , sans ses plugins , c'est un peut léger ...
De ce coté , je ne peut que te conseiller d'aller sur ce site : http://www.starbridge.org/spip/spip.php … sommaire_5

il explique comment mettre en place SA avec pleins d'options regles compilés , gestion par BD , DSPAM ect ect ... vraiment complet ...

Ensuite , as tu prévu un anti virus sur ton serveur frontal ?
de ce coté , je te conseille Clamav mais d'autres font tres bien l'affaire , à ce niveau regardes du coté de AMAVIS qui permet de gérer SA , Clamav DSPAM ect ect ..

Voilà .. par contre pour ce qui est de la gestion de SA et Exim en graphique là .. je ne sais pas ... note : si tu trouves , je suis intéressé wink

Bon courage pour la suite ..
Christophe.


Réalisations diverses: http://www.restaurant-gites-aqueduc.com
Mon site qui me sert d'aide mémoire : http://lindev.fr

Hors ligne

#9 08/07/2008 10:13:34

TeKa
Membre
Inscription : 08/11/2007
Messages : 43

Re : Exim4 en passerelle pour Exchange

Pour Exim en graphique, c'est vraiment mort : j'ai testé pas mal de solutions, mais aucune ne s'en approche. Il y a beaucoup de clones de Eximon, ou alors ils ne configurent qu'une faible partie d'Exim.
Ensuite, au niveau de l'architecture : les flux arrivent sur un port du frontal, sont analysés par Gatekeeper (alors qu'il n'est pas sensé le faire ^^), qui les relance à Exim/SA et qui lui les rebalance à Exchange. J'ai écarté Clam, malgré tout le bien que j'en pense, à cause de son trop faible taux de détection.
Merci pour ton lien, je vais y jeter un oeil. Pour le moment, SA fait de l'heuristique, mais je penser rajouter du Bayesien par la suite et des Blacklists (ce que faisait l'ancien antispam).
Et pour le pourquoi du comment, c'est parce qu'il y a deja une boite "spam" de créée sur l'Exchange, qui permet de récupérer un faux positif si besoin est, donc pas d'intérêt à dupliquer le bousin. wink

Hors ligne

Pied de page des forums