Re: [linux] SMTP proxy/relay
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cedric Gavage wrote: ... | Oui mailscanner est un produit équivalent à amavisd-new... | | Mais en pratique, il me semble bien plus performant... sans oublier | (dans les versions que j'ai testées de amavisd-new) certains | comportements folkloriques d'amavisd-new lorsque tu te lances dans du | tuning par utilisateur et non plus quelque chose de global ;) Hmm... wai... note que j'ai une configuration _relativement_ simple, avec une bonne 30aine d'utilisateurs dans le LAN et un serveur SMTP/IMAP en DMZ. Je vais donc mettre Postfix + MailScanner en front sur le firewall, avec Postfix qui fait tout son delivery transport vers le serveur SMTP dans la DMZ (Courier ESMTP + Courier IMAP). /etc/postfix/transport: ~ machin.be smtp:[192.168.1.2]:25 ~ lan smtp:[192.168.1.2]:25 (192.168.1.2 étant le Courier SMTP en DMZ) J'ai un anti-virus BitDefender en SMTP relay... Je vais voir si je vais plutôt l'intégrer à MailScanner sur le firewall ou bien si je le mets seulement en "stage 2" sur le serveur mail en DMZ (pour ne pas trop bouffer de CPU sur le firewall). Etant donné que c'est un P4 2.8GHz avec 512MB de RAM ça devrait aller là aussi, mais bon... lol Pfff, ntop et amavis, qu'est-ce que ça bouffe en RAM: ~ PID USER PR NI VIRT RES SHR S %CPU %MEMTIME+ COMMAND 20573 wwwrun16 0 53468 31m 7672 S 0.0 6.2 0:01.34 ntop 22845 vscan 25 0 32896 28m 5576 S 0.0 5.7 0:00.00 amavisd 22846 vscan 25 0 32896 28m 5576 S 0.0 5.7 0:00.00 amavisd 22823 vscan 16 0 32896 28m 5576 S 0.0 5.7 0:00.53 amavisd 21350 root 16 0 6940 3620 5568 S 0.0 0.7 0:00.19 snmpd ~ 1991 named 18 0 29256 2600 4064 S 0.0 0.5 0:00.00 named 22251 ntp 16 0 2444 2444 1720 S 0.0 0.5 0:00.02 ntpd | Je l'ai testé avec sendmail ;) Je vais tester ça avec Postfix ;)) Note que l'avantage d'amavisd-new est qu'il est livré avec la SUSE 9.1 (et intégré dans le setup - il n'y a qu'une option à cocher dans le setup MTA dans YaST2 :)), et c'est eux (SUSE) qui vont s'occuper des mises à jour (bugfix, exploits), facilement installables via YaST Online Update. Je cherche aussi à minimiser très fortement le travail de maintenance... Au fait, en passant, si ça intéresse qqn: http://guru.unixtech.be/rpm/packages/Network/mailscanner/ (les paquets pour SUSE 9.1 seront up dans le cours de la journée; je ne les ferai pas pour SUSE 8.2 à moins que qqn en ait vraiment, vraiment besoin ;)) - -- ~ -o) Pascal Bleserhttp://guru.unixtech.be ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> ~ _\_v The more things change, the more they stay insane. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFAvYCYr3NMWliFcXcRAvSfAJ47ieq4m/YXMg0RuBOmwx9l4yPySQCfVHHE Fn9WlQLalSkk7wN38sjP5jI= =zW6k -END PGP SIGNATURE- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
Pascal Bleser wrote: Cedric Gavage wrote: | Laurent Frisee wrote: | > Concernant le spam, j'avais lu à l'époque - et je me rappelle plus son | > nom, je suis en formation j'ai pas accès à toutes mes ressources - qu'un | > produit faisait aussi des filtres sur les types/mime (miltermime si ma | > mémoire est bonne) et a l'air moins gourmand que spamassassin (note que | > spamassassin+amavisd tourne sur un P166 sans problème, faut juste un peu | > plus de temps pour que le mail arrive dans ta boite ... mais ce n'est | pas | > gênant niveau utilisation). | | Tiens à titre d'information, j'obtiens de meilleurs performances en | combinant mailscanner/spamassassin/anti-virus de son choix (clamav, | f-prot, ...) Càd ? MailScanner + SA au lieu d'Amavis ? (on parle de amavisd-new je suppose) Hmmm... http://freshmeat.net/projects/mailscanner/ Je vais jeter un oeil à MailScanner, on dirait que c'est précisément ce que je cherche (combiné à Postfix) ;) (note que j'étais déjà en train d'explorer Postfix + Amavisd-new + SpamAssassin) Oui mailscanner est un produit équivalent à amavisd-new... Mais en pratique, il me semble bien plus performant... sans oublier (dans les versions que j'ai testées de amavisd-new) certains comportements folkloriques d'amavisd-new lorsque tu te lances dans du tuning par utilisateur et non plus quelque chose de global ;) Je l'ai testé avec sendmail ;) -- |- Cedric Gavage <[EMAIL PROTECTED]> - OpenPGP: 0xED325C64 |-- http://unixtech.be - http://gavage.com - http://netselection.be |--- "We are Penguin. Resistance is futile. You will be assimilated." ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Cedric Gavage wrote: | Laurent Frisee wrote: | > Concernant le spam, j'avais lu à l'époque - et je me rappelle plus son | > nom, je suis en formation j'ai pas accès à toutes mes ressources - qu'un | > produit faisait aussi des filtres sur les types/mime (miltermime si ma | > mémoire est bonne) et a l'air moins gourmand que spamassassin (note que | > spamassassin+amavisd tourne sur un P166 sans problème, faut juste un peu | > plus de temps pour que le mail arrive dans ta boite ... mais ce n'est | pas | > gênant niveau utilisation). | | Tiens à titre d'information, j'obtiens de meilleurs performances en | combinant mailscanner/spamassassin/anti-virus de son choix (clamav, | f-prot, ...) Càd ? MailScanner + SA au lieu d'Amavis ? (on parle de amavisd-new je suppose) Hmmm... http://freshmeat.net/projects/mailscanner/ "MailScanner is an email virus scanner, vulnerability protector, and spam tagger. It supports the Postfix, Sendmail, Exim, Qmail, and ZMailer MTAs, and the Sophos, McAfee, F-Prot, F-Secure, CommandAV, InoculateIT, Inoculan, eTrust, Kaspersky, Nod32, AntiVir, BitDefender, RAV, Panda, DrWeb, ClamAV, and other anti-virus scanners. It uses SpamAssassin for highly successful spam identification, and is designed to handle denial of service attacks. It will detect password-protected zip files and apply filename checking to their contents. It is very easy to install, requires no changes at all to your sendmail.cf file, is designed to be lightweight, and won't grind your mail system to a halt with its load. It can be integrated into any email system, regardless of the software in use." Je vais jeter un oeil à MailScanner, on dirait que c'est précisément ce que je cherche (combiné à Postfix) ;) (note que j'étais déjà en train d'explorer Postfix + Amavisd-new + SpamAssassin) thx! - -- ~ -o) Pascal Bleserhttp://guru.unixtech.be ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> ~ _\_v The more things change, the more they stay insane. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFAvWVmr3NMWliFcXcRAhsvAKCAQ58uNJr6Q60MNSkGc6VtazR0ZwCfe9/c JdzYL+wMAM9kmlLrFEap/5s= =tRTM -END PGP SIGNATURE- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
Laurent Frisee wrote: > Concernant le spam, j'avais lu à l'époque - et je me rappelle plus son > nom, je suis en formation j'ai pas accès à toutes mes ressources - qu'un > produit faisait aussi des filtres sur les types/mime (miltermime si ma > mémoire est bonne) et a l'air moins gourmand que spamassassin (note que > spamassassin+amavisd tourne sur un P166 sans problème, faut juste un peu > plus de temps pour que le mail arrive dans ta boite ... mais ce n'est pas > gênant niveau utilisation). > > h SAP ... du pur bonheur > Tiens à titre d'information, j'obtiens de meilleurs performances en combinant mailscanner/spamassassin/anti-virus de son choix (clamav, f-prot, ...) -- |- Cedric Gavage <[EMAIL PROTECTED]> - OpenPGP: 0xED325C64 |-- http://unixtech.be - http://gavage.com - http://netselection.be |--- "We are Penguin. Resistance is futile. You will be assimilated." ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
Pascal Bleser wrote: Pascal Bleser wrote: ... | Je cherche un proxy (relay) SMTP (très sécurisé) à mettre sur un | firewall pour faire anti-relay et | optionnellement anti-spam (spamassassin). Bon, je pense que j'ai déjà la réponse... Postfix (évidemment), avec dans transports: * smtp:dmz2 (dmz2 étant le "vrai" serveur mail en DMZ (Courier ESMTP)) J'avais pas pensé à ça... il n'y a probablement pas de MTA qui soit un meilleur choix. Au niveau MTA, tous peuvent faire l'affaire dans ce cas ;) Il n'y a pas que postfix, sendmail & exim sont aussi des meilleurs choix ;))) -- |- Cedric Gavage <[EMAIL PROTECTED]> - OpenPGP: 0xED325C64 |-- http://unixtech.be - http://gavage.com - http://netselection.be |--- "We are Penguin. Resistance is futile. You will be assimilated." ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
Concernant le spam, j'avais lu à l'époque - et je me rappelle plus son nom, je suis en formation j'ai pas accès à toutes mes ressources - qu'un produit faisait aussi des filtres sur les types/mime (miltermime si ma mémoire est bonne) et a l'air moins gourmand que spamassassin (note que spamassassin+amavisd tourne sur un P166 sans problème, faut juste un peu plus de temps pour que le mail arrive dans ta boite ... mais ce n'est pas gênant niveau utilisation). h SAP ... du pur bonheur lolo très content de ne pas faire du SAP (java rulez) > le fait de mettre un turc opensource devant le machin proprietaire ne te > guarantis en rien que tu ne puisse pas exploiter la caisse proprietaire et > ce > meme a travers. Il y a un par exemple un tout tout bel exploit qui fait > exploser les 3 tiers d'un service SAP et ce avec la meme attaque c'est > bo quand meme. > > Tout ca pour dire que si tu ne trust pas le machin proprio, ne l'utilise > pas. > > J. > > On Thu, May 27, 2004 at 09:47:30AM +0200, Pascal Bleser wrote: >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> Pascal Bleser wrote: >> ... >> | Je cherche un proxy (relay) SMTP (tr?s s?curis?) ? mettre sur un >> | firewall pour faire anti-relay et >> | optionnellement anti-spam (spamassassin). >> >> Bon, je pense que j'ai d?j? la r?ponse... >> >> Postfix (?videmment), avec dans transports: >> * smtp:dmz2 >> >> (dmz2 ?tant le "vrai" serveur mail en DMZ (Courier ESMTP)) >> >> J'avais pas pens? ? ?a... il n'y a probablement pas de MTA qui soit un >> meilleur choix. >> >> Mais si quelqu'un a encore une remarque constructive ou des exp?riences >> avec ce genre de >> configuration, je suis preneur quand m?me hein ;))) >> >> - -- >> ~ -o) Pascal Bleserhttp://guru.unixtech.be >> ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> >> ~ _\_v The more things change, the more they stay insane. >> -BEGIN PGP SIGNATURE- >> Version: GnuPG v1.2.2 (GNU/Linux) >> >> iD8DBQFAtZ0Sr3NMWliFcXcRAv1oAJ9pTdIoMh1dmD7utQPWGrTO+fQXDwCeL1tR >> 0i4UmYolw4YhQilWzLZr8l8= >> =Q4hC >> -END PGP SIGNATURE- >> ___ >> Linux Mailing List - http://www.unixtech.be >> Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux >> Archives: http://www.mail-archive.com/[EMAIL PROTECTED] >> IRC: chat.unixtech.be:6667 - #unixtech > > -- > > -> Jean-Francois Dive > --> [EMAIL PROTECTED] > > I think that God in creating Man somewhat overestimated his ability. > -- Oscar Wilde > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech > ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
le fait de mettre un turc opensource devant le machin proprietaire ne te guarantis en rien que tu ne puisse pas exploiter la caisse proprietaire et ce meme a travers. Il y a un par exemple un tout tout bel exploit qui fait exploser les 3 tiers d'un service SAP et ce avec la meme attaque c'est bo quand meme. Tout ca pour dire que si tu ne trust pas le machin proprio, ne l'utilise pas. J. On Thu, May 27, 2004 at 09:47:30AM +0200, Pascal Bleser wrote: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Pascal Bleser wrote: > ... > | Je cherche un proxy (relay) SMTP (tr?s s?curis?) ? mettre sur un > | firewall pour faire anti-relay et > | optionnellement anti-spam (spamassassin). > > Bon, je pense que j'ai d?j? la r?ponse... > > Postfix (?videmment), avec dans transports: > * smtp:dmz2 > > (dmz2 ?tant le "vrai" serveur mail en DMZ (Courier ESMTP)) > > J'avais pas pens? ? ?a... il n'y a probablement pas de MTA qui soit un > meilleur choix. > > Mais si quelqu'un a encore une remarque constructive ou des exp?riences > avec ce genre de > configuration, je suis preneur quand m?me hein ;))) > > - -- > ~ -o) Pascal Bleserhttp://guru.unixtech.be > ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> > ~ _\_v The more things change, the more they stay insane. > -BEGIN PGP SIGNATURE- > Version: GnuPG v1.2.2 (GNU/Linux) > > iD8DBQFAtZ0Sr3NMWliFcXcRAv1oAJ9pTdIoMh1dmD7utQPWGrTO+fQXDwCeL1tR > 0i4UmYolw4YhQilWzLZr8l8= > =Q4hC > -END PGP SIGNATURE- > ___ > Linux Mailing List - http://www.unixtech.be > Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux > Archives: http://www.mail-archive.com/[EMAIL PROTECTED] > IRC: chat.unixtech.be:6667 - #unixtech -- -> Jean-Francois Dive --> [EMAIL PROTECTED] I think that God in creating Man somewhat overestimated his ability. -- Oscar Wilde ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
Re: [linux] SMTP proxy/relay
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Bleser wrote: ... | Je cherche un proxy (relay) SMTP (très sécurisé) à mettre sur un | firewall pour faire anti-relay et | optionnellement anti-spam (spamassassin). Bon, je pense que j'ai déjà la réponse... Postfix (évidemment), avec dans transports: * smtp:dmz2 (dmz2 étant le "vrai" serveur mail en DMZ (Courier ESMTP)) J'avais pas pensé à ça... il n'y a probablement pas de MTA qui soit un meilleur choix. Mais si quelqu'un a encore une remarque constructive ou des expériences avec ce genre de configuration, je suis preneur quand même hein ;))) - -- ~ -o) Pascal Bleserhttp://guru.unixtech.be ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> ~ _\_v The more things change, the more they stay insane. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFAtZ0Sr3NMWliFcXcRAv1oAJ9pTdIoMh1dmD7utQPWGrTO+fQXDwCeL1tR 0i4UmYolw4YhQilWzLZr8l8= =Q4hC -END PGP SIGNATURE- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech
[linux] SMTP proxy/relay
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Hello la foule Je cherche un proxy (relay) SMTP (très sécurisé) à mettre sur un firewall pour faire anti-relay et optionnellement anti-spam (spamassassin). J'ai bien trouvé qqes solutions mais elles ne me semblent pas nécessairement assez solides et sécurisées pour les faire tourner sur un firewall public (généralement des scripts Perl qui ne font pas anti-relay :\ ). Derrière, il y a un Courier ESMTP dans la DMZ. Il fait bien l'anti-relay aussi, mais c'est pour mettre en place ceci: ~ ,---> dmz1 (squid [ + DNS]) ~ | internet ---> firewall [**]--> dmz2 (mail + webserver) (*)|^| ~ ||`--> BitDefender SMTP relay ---> Courier ESMTPd ~ || ~ `-> anti-relay + anti-spam (*) petit routeur SDSL de Cisco [**] switch Il y a bien déjà BitDefender (un SMTP relay avec anti-virus (le LAN est infesté de workstation windows)), mais étant donné que c'est un produit commercial, je ne voudrais pas le mettre en front. Je veux avoir un produit OpenSource pour qu'en cas d'exploit ou autre problème il y ait un suivi et un fix rapidement. Je sais que SpamAssassin peut utiliser pas mal de ressources, mais le firewall est un serveur Linux (SUSE 9.1) doté d'un Pentium 4 (2.4 GHz) et 512 MB de RAM. Il ne ferait rien d'autre que: - - netfilter (j'ai mon propre script) - - proxy SMTP - - serveur NTP - - serveur DNS (sera probablement déplacé vers un petit serveur en DMZ) Le traffic n'est pas immense (ligne SDSL, une bonne 20aine de workstations, site web de la société hosté en DMZ avec assez peu de traffic), donc à mon sens ça devrait suffire (pour l'instant un Pentium 2 avec 128MB de RAM suffit (fait uniquement netfilter) ;)). Si le firewall ne suit pas côté performances, je pourrai toujours déplacer le proxy SMTP de front sur le serveur mail en DMZ. Merci d'avance pour tout conseil ou indication ;) cheers, - -- ~ -o) Pascal Bleserhttp://guru.unixtech.be ~ /\\ <[EMAIL PROTECTED]> <[EMAIL PROTECTED]> ~ _\_v The more things change, the more they stay insane. -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.2 (GNU/Linux) iD8DBQFAtZXtr3NMWliFcXcRArhtAKCR9XTSe6f0fzbOFFCiUxXKYrfqDACfQd4+ 200dutG4rFnrmUzxTw9RvHk= =mpFn -END PGP SIGNATURE- ___ Linux Mailing List - http://www.unixtech.be Subscribe/Unsubscribe: http://www.unixtech.be/mailman/listinfo/linux Archives: http://www.mail-archive.com/[EMAIL PROTECTED] IRC: chat.unixtech.be:6667 - #unixtech