J’ai actuellement un serveur nginx en DMZ qui me sert de reverse proxy pour plusieurs applications notamment le webmail BM.
Je souhaiterai ajouter sur ce serveur en DMZ ajouter (amavis-clamav-spamassassin)
J’ai vu que bm-edge-role me permet de créer un serveur relai qui pourrait être en DMZ mais j’ai donc plusieurs questions:
Mon serveur nginx va être supprimé et remplaceé par la conf de BM, vais je pouvoir réintégrer mes reverse proxy à nginx?
De même postfix va être installé et géré par le serveur principal BM, comment le reparamétrer pouqu’il passe les mails a amavis?
Comment faire pour que cela tienne les mises à jours?
intégrer tes confs à NGINX ne posera pas de problème. C’est suite à une mise à jour de BM que ça se gâter.
Par défaut, les mainteneurs ont décidé de supprimer tous les fichiers de conf dans “sites-enabled” pour les remplacer par une conf. temporaire.
Après, il faut se refaire les autres conf. (cf bm-stats).
Donc, dans ton cas, je mettrais en place un second proxy nginx spécifique BM pour limiter l’impact d’un update.
Merci pour cette réponse, a ce rythme la je crois que je vais avoir plus de serveurs que d’utilisateurs.
Je pense donc ne pas installer le bm-edge-role mais plutot un postfix indépendant qui passera la main à amavis pour controle des mails et enfin au serveur de mail principal.
Correction faite mon serveur principal est un serveur relai alimenté par fetchmail.
Dans l’hypothèse ou j’installe postfix et spamasssasin dans un DMZ il faut que je mette fetchmail dans cette DMZ et la comment gérer les compte des boites mails locales de fetchmail dans une DMZ?
Il permettra d’avoir les maps postfix à jour sur ce relais, fetchmail récupèrera les mail et les émettra au postfix local qui saura quoi en faire.
Petite correction, les virtual hosts de NGinx sont supprimés sur le serveur BlueMind pour n’activer que celui de BlueMind lors des mises à jours. Libre à vous d’en ré-activer ensuite.
Ce n’est pas contre pas le cas sur le serveur relais. Le paquet va installer NGinx par commodité, mais sa configuration n’est pas prise en charge par BlueMind, libre à vous d’y faire ce que vous souhaitez - généralement, au moins reverse proxy vers le serveur BlueMind.
Fonctionnement ok, fetchmail reconnait bien les utilisateurs locaux et le serveur relais renvoie bien au serveur principal.
Ma config nginx est bien conservé.
J’ai cependant quelques petits questions
Quels sont les ports à ouvrir entre le serveur relai et le serveur principal?
Comment modifier et conserver les paramètres du serveur relais (partie postfix) pour qu’il passe les mails à clamav+amavis+spamassassin?
Ça dépend de ce que fait votre relais - simple relais SMTP ou aussi proxy HTTP/IMAP…
Pour le SMTP, il faut ouvrir les ports:
[list=*] ]25 dans les 2 sens/] ]8022 depuis le serveur BlueMind - génération des maps notamment/] ]8085 vers le serveur BlueMind pour l’authentification SMTP/] ]8084 vers le serveur BlueMind pour les requêtes au locator/]
[/list]
Passez par la directive content_filter de postfix, elle peut-être modifiée sans interférer avec BlueMind
j’ai installé le rôle bm-edge-role sur une machine placée en DMZ, je l’ai déclarée dans l’interface d’administration de Bluemind sans aucuns soucis.
Ensuite j’ai installé Amavis,Spamassassin et ClamAv sur la machine servant de proxy en suivant les tutos trouvés sur google.
Comment puis-je savoir si les mails entrants passent bien par le proxy et soient bien filtrés pour le spam et les virus? Je ne vois rien dans les logs (ex: /var/log/mail.log sur le serveur proxy)?
Si il n’y a rien dans ces logs, il y a de fortes chance que ça ne passe pas par le proxy.
Il vous faut vérifier votre champs MX, votre éventuel pare-feu et redirections de ports… Un mail qui passe par postfix génère forcément quelques lignes dans ses logs.
Bonjour, merci en effet je n’ai pas modifié ces paramètres. Je dois donc rediriger les ports dans le routeur et changer les champs MX chez mon registrar c’est bien cela?
Dur de vous dire exactement, ça dépend de votre configuration réseau. Modifier simplement la redirection des ports SMTP peu suffire si votre IP publique reste la même par exemple.
ok, je ne dispose pas d’une ip publique fixe mais j’ai un script qui vérifie régulièrement mon ip et qui réédite la zone DNS chez mon registrar.
Sinon, j’ai redirigé les ports utilisé par smtp sur mon routeur vers l’ip du proxy c’est bon?
Oui c’est ok merci beaucoup, sauf que tout est rejeté par postfix?? j’imagines que mes fichiers main.cf et master.cf sont mal paramétrés.
Voici l’erreur dans les logs:
NOQUEUE: reject: RCPT from mail-yk0-f179.google.com[209.85.160.179]: 554 5.7.1…
le fichier /etc/postfix/virtual_domains-flat est vide.
J’ai bien indiqué ce serveur comme relais dans l’interface et il apparait bien dans la liste des serveurs
J’ai rajouté mon domaine dans la directive my destination du fichier main.cf et maintenant j’ai cette erreur:
Votre serveur proxy est déclaré, mais n’est pas associé à votre domaine. Quand ce sera bon, les maps de postfix contiendront ce qu’il faut.
Associez ce serveur à votre domaine depuis l’onglet Messagerie de votre domain, section Messagerie BlueMind champs Relai de messagerie et validez le domaine.