Bonjour à tous,
Ayant peu d’expérience en Mail Server, je suis un peu perdu pour la réalisation de ce projet dans mon entreprise.
Voici mon architecture :
- Un domaine chez OVH (appelons le mail.domain.com).
- Un serveur relais sous CentOS avec postfix où je souhaite installé un AV/AS (qui sera sûrement en DMZ).
- Un serveur BM.
Niveau configuration je me débrouille, là où je suis perdu c’est au niveau des enregistrements DNS, enfin je ne suis pas sûr de moi.
Je pense faire ceci sur la zone DNS d’OVH :
Mais sur le DNS de mon entreprise je fais quoi ? Sachant que le domaine de mon entreprise et celui du mail n’est pas la même (pour des raisons interne).
Je dois déclarer mon mail.domain.com dans mon domaine principal (une sorte de “sous-domaine”) ? Ou bien créer un nouveau domaine carrément à part ?
Et quels sont les enregistrements que je devrais avoir dedans ?
Désolé si je ne suis pas très clair, et merci d’avance pour votre aide !
Salut,
c’est toute la subtilité des adresses “carte de visite”, càd où le domaine principal (exposé sur Internet) est en fait un alias d’un domaine interne.
Dès lors où il y a un DNS interne, alors je ferais comme ceci :
dans le DNS interne, on déclare toutes les cartes MX possibles :
IN MX mail.domain.com
IN MX mail.domain.intra
IN MX domain.com
IN MX domain.intra
IN MX alias.com
IN MX alias.intra
Et tu fais pointer ces entrées soit directement vers le serveur BM, soit vers un Rerverse Proxy s’il y en a un.
Pour le domaine “domain.com” exposé sur Internet, tu ne renseignes que ce qui est publique :
IN MX mail.domain.com
IN MX domain.com
Et tu les fais pointer vers ton/tes équipement(s) en DMZ.
Il y a enfin, un boulot à faire au niveau des postes clients :
- configurer le DNS interne (ce qui normalement est fait dans ton cas)
- configurer le client lourd avec les adresses “carte de visite”, donc en “domain.com”. Ainsi le “from” sera bien positionné si le message sort de ton entreprise vers une BAL sur Internet.
Pascal
Re-,
j’oublais, dans le DNS, il faudra créer autant de zones qu’il y a de domaines ou de TLD.
zone "domain.com {
…
}
zone “intra” {
…
}
Pascal
Bonjour Pascal,
Merci pour ton aide, je vais essayer tout ça !
[quote=PascalS]Re-,
j’oublais, dans le DNS, il faudra créer autant de zones qu’il y a de domaines ou de TLD.
Pascal[/quote]
Tu veux dire dans le DNS de mon bluemind ? ou le DNS de mon entreprise ? Ou bien celui de mon relais antivirus/antispam ?
Salut,
désolé pour le retard de la réponse.
On va considérer un serveur BM avec :
- un domaine carte de visite “monentreprise.fr”
- un domaine interne “monentreprise.intra”
- un alias interne “monentreprise.sec”
Dans le DNS Internet (Public) :
on ne renseigne que la carte MX du domaine “monentreprise.fr” qui pointe vers l’adresse IP publique de l’entreprise
Dans le DNS en DMZ (relatif au relai) :
on renseigne la carte MX du domaine “monentreprise.fr” qui pointe vers l’adresse IP interne du serveur BM
Si le relai reçoit des messages à destination de “monentreprise.intra” et/ou “monentreprise.sec”, on renseigne chaque zone (.intra et .sec) avec la carte MX pointant vers l’adresse IP interne du serveur BM
Au niveau de l’intranet (au plus proche des utilisateurs),
on renseigne la carte MX du domaine “monentreprise.fr” qui pointe vers l’adresse IP interne du serveur BM
on renseigne chaque zone (.intra et .sec) avec la carte MX pointant vers l’adresse IP interne du serveur BM
Maintenant, il peut s’agir du même DNS en DMZ et en intranet.
De toute façon, un message émis par un collaborateur depuis l’intranet vers un autre, et donc hébergé sur le même serveur BM,ne sortira pas.
Le serveur BM routera en interne le message.
Le problème se posera quand l’entreprise aura plusieurs serveurs BM, auquel cas il faudra ajouter un annuaire (LDAP) et configurer le relai en DMZ en conséquence.
Mais c’est une autre histoire.
Pascal
D’accord c’est beaucoup plus clair pour moi maintenant, merci Pascal !
Voici donc ce que j’ai fais :
Sur ma zone DNS loué chez un fournisseur (domaine : s-mon-entreprise.com) :
mail IN A A.B.C.D
IN MX mail
ainsi les mails seront envoyés à mon entreprise.
Dans mon DNS internet, j’ai crée une zone “s-mon-entreprise.com” (celle de mon entreprise est “name.mon-entreprise.com” mais je ne dois pas l’utiliser pour des raisons interne d’où la création d’une autre zone)
bluemind-relay IN A W.X.Y.Z
IN MX bluemind-relay
(j’ai un relai en DMZ avec antispam, antivirus, etc.)
Je vais voir ce que ça donne et je donnerais un retour dans quelques jours pour ceux qui seraient dans mon cas.
Bonjour à tous,
Je reviens un peu tardivement mais j’espère que ça pourra aider certains d’entre vous :
- la zone DNS chez mon fournisseur fonctionne, ce sont les bons enregistrements
- j’ai fais du DNAT sur mon FW : @IP Publique sur le port 25 → mon serveur bluemind-relay
Maintenant j’ai une question, depuis que j’ai fais mon DNAT, mon firewall reçoit des centaines voire des milliers de mails par jour de plein de domaines bizarres. Existerait-il un moyen de n’autoriser que tels domaines à contacter mon serveur mail et refuser tous les autres, je pense à ça :
Ce que je veux en fin de compte c’est que ceux non-autorisé n’arrive même pas jusqu’au firewall. Pour l’instant ils s’échouent sur mon relai car je lui ai dis de ne relayer que les domaines autorisés. Mais ce n’est pas propre, il faudrait qu’ils ne connaissent même pas mon existence en fait.
Merci d’avance !