White Paper Mail

Embed Size (px)

DESCRIPTION

White Paper Mail

Citation preview

  • Livre blancMessagerie unifie et annuaire dentreprise

    avec LinuxEric Lacroix

    29 Septembre 2000

    RsumCe livre blanc dcrit une solution complte de messagerie (courrier lectronique), munie dun annuaire

    dentreprise. Parmi les technologies utilises, on trouve Linux, Exim et OpenLDAP.

    Avec les livres blancs dAlcve, bnficiez de lexprience de lapremire socit europenne dexpertise sur les logiciels libres.

    CopyrightAlcve, tous droits rservs.

  • www.alcove.fr TABLE DES MATIRES

    Table des matires

    1 Les outils informatiques pour la communication en entreprise 11.1 La multiplication des outils . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11.2 Vers une unification des systmes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1

    2 Les fonctionnalits dun systme unifi 32.1 Courrier lectronique . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    2.1.1 Transport . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 32.1.2 Consultation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3

    2.2 Annuaire dentreprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42.3 Antivirus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4 Fonctionnalits tendues . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

    2.4.1 Aliasing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4.2 Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4.3 Listes de diffusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52.4.4 Filtres spcifiques et anti-spam . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7

    3 La mise en place du systme 83.1 Architecture du systme . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

    3.1.1 Rseau . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83.1.2 Matriel . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8

    3.2 Systme dexploitation - Debian GNU/Linux . . . . . . . . . . . . . . . . . . . . . . . . . 83.3 Annuaire - OpenLDAP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 93.4 Transport du courrier - Exim . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10

    3.4.1 Envoi . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 113.4.2 Rception . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

    3.5 Consultation du courrier - Solid-pop3d . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.6 Gestion des comptes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    3.6.1 Comptes Unix . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 123.6.2 Fonctions dadministration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12

    3.7 Migration de messagerie . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

    A Rfrences 14

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    i

  • www.alcove.fr 1. Les outils informatiques pour la communication en entreprise

    1 Les outils informatiques pour la communicationen entreprise

    1.1 La multiplication des outils

    La communication dans lentreprise par lintermdiaire du systme informatique a bien souvent t consi-dre et mise en place avant lmergence de lInternet, lexception du monde universitaire. Les technologiesmises en place rpondaient alors de manire plutt satisfaisante aux besoins de lentreprise.

    La gnralisation de lutilisation du courrier lectronique (e-mail), dans le cadre domestique dune part,et pour les communications inter-entreprises dautre part, en a fait le moyen vident et universel pour envoyerdes messages crits. Par exemple, le fonctionnement asynchrone de le-mail est idal pour les communicationsinternationales, ne subissant pas les contraintes du dcalage horaire. Beaucoup plus souple demploi et plusconomique que le fax, cette solution est devenue aussi commune que le tlphone et bien plus rapide que lecourrier postal.

    Contrairement aux systmes de messageries internes propritaires, le courrier lectronique repose surdes protocoles standards de lInternet : SMTP, MIME, POP3, IMAP. Sous ces noms se cachent des faonsdchanger et dlivrer des messages, de vrifier la prsence de courrier dans une bote aux lettres et de lerapatrier sur son poste de travail afin de le consulter.

    Lefficacit du courrier lectronique a progressivement convaincue les entreprises. Dans un premier tempspour les dirigeants et les cadres, puis son utilisation sest gnralise toutes les catgories de salaris dontle poste de travail est quip dun micro-ordinateur.

    Cependant, lutilisation du courrier lectronique (e-mail) cohabite encore souvent avec le systme demessagerie interne pr-existant. On y trouve deux raisons principales : lentreprise ne souhaite pas que tousses collaborateurs aient une adresse e-mail sur lInternet ; les systmes de messageries internes offrent desservices dannuaire den treprise, ce qui nest pas le cas de le-mail, du moins de manire standard.

    La cohabitation de ce double service a cependant de lourdes consquences en termes dadministration dessystmes : plus de demandes de cration de comptes, de changements de mots de passe perdus, de pannes rsoudre etc. ..

    1.2 Vers une unification des systmesAlors que la messagerie interne tait gre par le service informatique de lentreprise, la gestion du cour-

    rier lectronique (sur Internet) tait souvent confie une socit de services qui possdait la technologie pouroffrir cette prestation (principalement laccs au rseau Internet).

    La dfinition dun standard Internet dannuaire lectronique et le dveloppement doutils sur ce standardpermettent depuis quelques annes des applications utilisant le standard de le-mail de fournir les mmesfonctionnalits que les systmes spcialiss de messageries internes : une gestion simple (cration, modifica-tions dinformations diverses, fermeture de compte), un accs public ou restreint un annuaire des adresseslectroniques.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    1

  • www.alcove.fr 1. Les outils informatiques pour la communication en entreprise

    Ce livre blanc dcrit une solution base de logiciels libres, interfaables avec des logiciels avec lesquelssont dornavant familiers les utilisateurs de micro-ordinateurs et stations de travail. Cette solution permet defactoriser ladministration dune messagerie la fois pour la communication interne et pour Internet.

    Le systme dans son ensemble fournit les services SMTP (envoi et rception du courrier), POP3 (consulta-tion du courrier par des logiciels tels que Netscape Communicator ou Outlook), LDAP (annuaire contenant lesinformations des utilisateurs du courrier lectronique). Ce systme peut tre configur pour fournir laliasing(une bote aux lettres correspond plusieurs adresses), le forwarding (le courrier destin une adresse estredirig vers une ou plusieurs adresses, adresse initiale y compris). Des listes de diffusion (mailing-lists)peuvent tre galement gres.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    2

  • www.alcove.fr 2. Les fonctionnalits dun systme unifi

    2 Les fonctionnalits dun systme unifiCe chapitre dcrit les fonctionnalits quun systme de messagerie lectronique moderne doit fournir et

    qui peuvent tre mises en place avec des outils libres.

    2.1 Courrier lectronique2.1.1 Transport

    Le systme repose sur les protocoles standards de courrier lectronique de lInternet. Ceci comprend letransport des messages (mission, rception), la dsignation et la localisation des correspondants (adressese-mail).

    Les utilisateurs doivent pouvoir changer du courrier lectronique, aussi bien en interne (entre personnesde lentreprise) quavec des correspondants extrieurs.

    Le systme permet la rception de courriers destins lentreprise que lon distingue par un ensemble denoms de domaines dsignant la socit, pralablement dfinis. Le nom de domaine est la partie de ladresselectronique droite du symbole "@". Il peut arriver quun message qui est adress un autre domaine queceux de la socit arrive sur le systme. Dans ce cas le message est retourn son expditeur avec une notelui indiquant que le nom de domaine nest pas accept sur ce serveur.

    Il nest pas ncessaire de fournir un mot de passe au systme pour envoyer un message. Afin que le serveurne soit pas utilis de manire abusive par une personne extrieure lentreprise, il naccepte de traiter que lescourriers mis partir dun poste de travail de la socit ou destination de la socit.

    Le logiciel charg de rendre ces services est un serveur SMTP 1 ou MTA 2 .

    2.1.2 ConsultationLa majorit des logiciels utilisateurs destins lire et envoyer des messages (MUA 3 ) supportent le

    protocole POP3 4 . Lutilisateur peut consulter sa bote au lettres priodiquement. De petits programmestels que Netscape Notifier ou XBiff peuvent interroger intervalles rguliers le serveur POP3 pour tenirlutilisateur inform de larrive de nouveaux messages. Le serveur POP3 permet, aprs que lutilisateur sesoit identifi par un login et un mot de passe, de rapatrier et lire les nouveaux messages sur le MUA de sonchoix. En gnral le MUA permet de mmoriser le login et le mot de passe afin de ne pas les saisir chaquerequte faite au serveur POP3.

    1SMTP (Simple Mail Transport Protocol) : protocole utilis par les MTA pour communiquer sur lInternet.2MTA (Mail Transport Agent) : terme gnrique pour dsigner un serveur de courrier lectronique, charg du transport, cest--

    dire lmission travers le rseau, la rception, et le stockage dans des botes aux lettres. Sur lInternet, les MTA communiquent parle protocole SMTP.

    3MUA (Mail User Agent) : terme gnrique pour dsigner un logiciel de courrier lectronique. Cest le programme utilisateur degestion du courrier utilis pour consulter et envoyer des courriers lectroniques.

    4POP3 (Post Office Protocol) : protocole pour le rapatriement du courrier par les utilisateurs.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    3

  • www.alcove.fr 2. Les fonctionnalits dun systme unifi

    Une personne de lentreprise en dplacement, peut par une connexion lInternet par lintermdiaire dunfournisseur daccs Internet (FAI) consulter son courrier professionnel, en interrogeant le serveur POP3 delentreprise.

    2.2 Annuaire dentreprise

    Le systme doit rpondre au besoin de recherche dune adresse e-mail dun membre de lentreprise. Unannuaire centralis, consultable par des outils conviviaux permet dobtenir un complment dinformation, propos dun nom, dun e-mail, ou dune fraction de lun deux. La norme LDAP 5 dfinit un protocolecorrespondant ces besoins. Le composant Messenger de Netscape Communicator permet par exemple deconsulter et deffectuer des recherches sur ce type dannuaires (Outlook ainsi que des logiciels libres telsque Mozilla offrent le mme type de fonctionnalits). La figure 2.1 (gauche) donne un exemple de listedutilisateurs, obtenue avec le carnet dadresse de Netscape Communicator. La figure 2.1 (droite) montrele dtail dune fiche renseignant un utilisateur.

    FIG. 2.1 Dtails dune entre de lannuaire sous Netscape 4.7

    Cet annuaire lectronique nest en gnral accessible que depuis le rseau interne de lentreprise. Ilcontient toutes les informations concernant la messagerie. Les serveurs SMTP et POP3 lutilisent pour validerune adresse lectronique, pour localiser la bote aux lettres sur le serveur (spool 6 de mails) et pour lauthen-tification des utilisateurs lors de requtes POP3. Il est aussi utilis pour la gestion des alias et du forwarding(voir la section sur les fonctionnalits tendues).

    Une partie des informations contenues dans lannuaire est sensible, ou na en tout cas de sens que pour lesystme. Lutilisateur ne doit pas avoir accs de telles informations.

    5LDAP (Lightweight Directory Access Protocol) : protocole lger pour accder des annuaires. Cest une norme ISO qui estoptimise pour la consultation, la diffrence des systme de bases de donnes qui doivent tre performants en criture galement.

    6Spool : rpertoire ou ensemble de rpertoires dans lequel sont stocks les courriers lectroniques de manire temporaire. Il existeun spool utilisateur, o sont stocks les e-mails avant dtre consults ; et un spool systme pour les courriers en cours de traitement(transport).

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    4

  • www.alcove.fr 2. Les fonctionnalits dun systme unifi

    Tout logiciel qui supporte LDAP permet de consulter cet annuaire. Les utilisateurs ont ainsi un choixdoutils de recherche puissants (recherche par nom, ou partie du nom, par adresse lectronique, par service,etc. ).

    2.3 AntivirusSi les systmes Unix ou Linux ne sont pas la cible des virus informatiques, il existe nanmoins des outils

    pour dtecter la prsence de virus sattaquant dautres systmes. Ils sont inclus dans les fichiers dlivrs parla messagerie.

    Le logiciel libre Amavis permet dinterfacer un serveur de mails sous Linux avec des antivirus commer-ciaux, proposs par des socits telles que McAffee ou Sophos, afin de filtrer les messages contenant des scripts(Visual Basic, JavaScript) ou des programmes attachs pouvant attaquer des environnements Windows ou Ma-cOS par exemple. Lantivirus viruswall de Trend micro a la particularit de mettre jour automatiquement sabase de virus.

    Le comportement du systme lors de la dtection de virus peut tre paramtr : effacer le message sansautre opration, dlivrer tout de mme le message en informant son destinataire et/ou ladministrateur sys-tme, mettre le message en attente et avertir ladministrateur.

    2.4 Fonctionnalits tenduesAu-del du fonctionnement lmentaire (transport et consultation du courrier), on retrouve les possibilits

    offertes sur les systmes de courrier lectronique des systmes Unix : aliasing, forwarding, listes de diffusion,filtres etc.

    2.4.1 Aliasing

    Laliasing consiste associer plusieurs adresses lectroniques une mme bote aux lettres, cest--dire un mme compte utilisateur.

    Lexemple de la figure 2.2 montre que Rmi DUPUIS a deux adresses e-mail. Que lune ou lautre soitutilise (i.e. [email protected] ou [email protected]) pour lui crire, il trouvera le message dans sonunique bote aux lettres.

    Des outils dadministration permettent de dfinir ou effacer les alias dun utilisateur.

    2.4.2 Forwarding

    Le forwarding consiste rediriger le courrier vers une ou plusieurs nouvelles adresses. Le cas le plustypique se prsente lorsquun collaborateur quitte la socit ou quil dispose dun autre compte e-mail autrepart et quil prfre utiliser.

    Il est galement possible, en mettant ladresse originale dans la liste des nouvelles adresses de garder unecopie du courrier sur la messagerie de lentreprise.

    2.4.3 Listes de diffusion

    On parle ici de listes de diffusion dans le sens o un message que lon envoie une unique adresse estdistribu un ensemble de personnes.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    5

  • www.alcove.fr 2. Les fonctionnalits dun systme unifi

    FIG. 2.2 Adresse aliase

    FIG. 2.3 Message forward

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    6

  • www.alcove.fr 2. Les fonctionnalits dun systme unifi

    Des outils dadministration permettent de dfinir des listes, dajouter ou retirer des adresses ces listes,de connatre les listes dfinies et leurs membres.

    FIG. 2.4 Envoi une liste de diffusion

    2.4.4 Filtres spcifiques et anti-spamIl existe de nombreuses possibilits de filtrage du courrier passant par le systme de messagerie : filtrage

    sur lmetteur du message, le destinataire, sur la taille des messages ou partir de toute autre information quise trouve dans lannuaire.

    Le mot spam est utilis couramment dans le sens de message non-sollicit. En effet, certaines personnesutilisent de manire abusive le courrier lectronique, des fins publicitaires ou mal intentionnes.

    Un mcanisme de filtrage particulier permet de mettre en place des mesures anti-spam, laide de serveursspcialiss situs sur Internet qui rpertorient des adresses IP connues pour tre lorigine de spams. Cesserveurs sont aussi connus sous le nom de listes noires ou RBL (Realtime Blackhole List).

    Un autre filtrage possible pour des raisons de scurit, consiste refuser les messages destins aux listesde diffusion provenant de lextrieur.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    7

  • www.alcove.fr 3. La mise en place du systme

    3 La mise en place du systme

    3.1 Architecture du systme3.1.1 Rseau

    Une architecture possible consiste utiliser un Firewall1 trois pattes, cest--dire avec le rseau localprotg, sans connexion directe avec lInternet, et disposant dune DMZ2 (zone dmilitarise, troisime pattedu Firewall) sur laquelle sont placs les services Internet (serveur Web, forum de discussions etc. ).

    Concernant la messagerie, un serveur principal, fournissant tous les services de la messagerie, lannuaireet hbergeant les botes lettres est plac sur le rseau local. Les changes avec lextrieur, que se soit larception ou lenvoi de messages ou bien la consultation de courrier distance, seffectuent par lintermdiairedune machine relais place sur la DMZ. Ainsi, aucune connexion directe nest possible entre le rseau localet lInternet, le service de messagerie a le mme niveau de protection que le reste des applications internes.

    3.1.2 MatrielLe choix dune technologie Intel est convenable en raison de son bon rapport performances/prix et le trs

    bon support de Linux pour cette plate-forme et ses priphriques. Il faut sassurer que le matriel choisi estcompatible avec le systme (ce qui est constat dans la majorit des cas).

    La machine relais peut tre une machine assez lgre puisquelle neffectue que peu de traitements, leserveur local, quant lui, doit tre correctement dimensionn en fonction des besoins de lentreprise.

    La disponibilit du systme est assure principalement par un systme de disques SCSI redondants (RAID5 et/ou RAID 1), un systme de sauvegardes de type DAT pouvant galement tre mis en place. Des solutionsde serveurs redondants peuvent tre galement envisages. Pour plus dinformations sur les solutions haute-disponibilit on peut consulter le livre blanc Alcve sur la haute-disponibilit.

    3.2 Systme dexploitation - Debian GNU/LinuxLa distribution Linux Debian GNU 3 /Linux version 2.2 (aussi appele Potato) t choisie. Elle est en

    effet une des mieux adaptes pour la mise en place de serveurs dentreprise. Son utilisation se justifie parsa fiabilit, la puissance du systme de gestion de paquets. Le systme de packaging Debian (deb) est trsperformant. Il gre efficacement les dpendances entre les paquets : linstallation dun paquet, un logiciel(apt-get) propose dinstaller automatiquement les paquets ncessaires dont dpend celui-ci.

    1Firewall : passerelle entre deux ou plusieurs rseaux qui filtre les flux de donnes.2DMZ : rseau local o les flux entrant et sortant sont moins filtrs. Typiquement, une DMZ possde des adresses IP visibles

    depuis lInternet.3GNU (GNUs Not Unix (GNU Nest pas Unix)) : nom du projet initi par Richard Stallman en 1984 qui consiste reprogrammer

    un systme compatible Unix sous une licence qui en permet la libre distribution. Cette licence est la GPL (GNU General PublicLicense) : elle permet la libre utilisation, libre modification, et la libre redistribution des logiciels, et impose de fournir le code sourcedes binaires rendus publics.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    8

  • www.alcove.fr 3. La mise en place du systme

    Il faut recompiler le noyau Linux spcialement pour cette solution, avec le support natif du contrleurRAID utilis et entre autre, le systme de fichiers journalis ReiserFS. Afin daccrotre la scurit et la stabilitdu systme, les fonctionnalits qui ne sont pas ncessaires sont aussi dsactives.

    Le systme de fichiers ReiserFS a t retenu car il savre bien plus performant que le classique ext2 (sys-tme de fichiers standard de Linux) quand un grand nombre de fichiers sont manipuls. De plus, la fonction-nalit de journalisation4 permet un redmarrage beaucoup plus rapide du systme en cas darrt impromptu(panne de courant par exemple). Le format de botes aux lettres utilis est MailDir qui, la diffrence du pluscourant MBox qui stocke les e-mails dun compte dans un seul fichier, utilise un fichier par message. Le for-mat MailDir permet un accs concurrent plusieurs courriers dun mme utilisateur. Lors de la consultationdun courrier (impliquant louverture du fichier contenant ce courrier), un verrou est pos et interdit un autreaccs au fichier. Avec MBox lincorporation dun nouveau message suite sa rception ne peut pas se fairesi le destinataire est en train de demander la consultation de son courrier. Le courrier en cours de rceptionest alors mis en attente par le MTA jusqu la leve du verrou. Ceci a pour effet daugmenter le nombre detraitements lors de la rception du courrier et augmente la charge de la machine.

    3.3 Annuaire - OpenLDAPDepuis quelques annes, la norme LDAP (Lightweight Directory Access Protocol) se voit de plus en plus

    utilise et implmente. Les annuaires LDAP permettent par exemple de remplacer NIS ou NIS+ utilisscouramment sous Unix, ou bien encore NDS de Novell, ou lannuaire NT, implmentations propritaires deLDAP. Les annuaires bass sur LDAP permettent lauthentification des utilisateurs, mais leur champ dappli-cation est bien plus vaste.

    De nombreuses applications savent interroger les annuaires LDAP, que ce soit Netscape Communicatoren passant par le serveur de courriers lectroniques Exim. De plus, une bibliothque Unix/Linux (libpam.so)permet des applications qui utilisent un systme dauthentification PAM (Pluggable Authentication Mo-dules) dinterroger un annuaire LDAP sans modification de lapplication. Il suffit de configurer PAM pourquil ait une correspondance entre le couple login/password demand par lapplication et deux attributs delannuaire. Il peut tre intressant de modifier une application qui utilise PAM pour quelle fasse ses requtes

    4Journalisation : elle assure que toute mise jour des donnes est stocke dans un journal de transactions avant dtre crite sur ledisque. Un systme de fichiers journalis permet de retrouver les donnes intactes, aprs un crash, et rduit le temps de redmarragedes serveurs.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    9

  • www.alcove.fr 3. La mise en place du systme

    directement la base LDAP et gagner ainsi en performance. La complexit dune telle modification dpenddu logiciel considr.

    On retiendra le serveur OpenLDAP version 2 qui est une implmentation libre de la norme LDAP v3,dveloppe partir du code original de lUniversit du Michigan. Il offre de bonnes performances, est vi-demment libre dutilisation et de modification puisque sous licence OPL (OpenLDAP Public Licence). Il estde plus un des seuls serveurs LDAP respecter totalement la norme.

    Les donnes dun annuaire LDAP sont organises en arbre qui, par exemple, peut reprsenter la structurede lentreprise.

    FIG. 3.1 Exemple de reprsentation dannuaire

    Les informations que nous devons trouver dans lannuaire pour le service de courrier lectronique sont : les login et mot de passe pour lauthentification dun utilisateur, le login servant dsigner la bote aux lettres, le chemin daccs au spool de mail, une adresse e-mail associe au compte e-mail.En plus de ces informations minimales, on peut ajouter des adresses e-mails supplmentaires, une listes

    dalias et/ou dadresses vers lesquelles faire suivre le courrier (forward).Les informations numres prcdemment sont celles utiles ou ncessaires au systme. Les utilisateurs,

    eux, ont besoin dun complment dinformation. Dans cette optique le choix est infini, mais de manireclassique, il est fait figurer dans lannuaire nom, prnoms, service. ces informations peuvent tre facilementajouts, la fonction, le numro de tlphone, de fax, bureau de la personne etc.

    3.4 Transport du courrier - EximLe MTA Exim (Mail Transport Agent ou agent de transport de courrier) est un serveur SMTP (Simple

    Mail Transport Protocol, protocole de courrier lectronique de lInternet) compatible au niveau de la lignede commande avec Sendmail, certainement le MTA le plus utilis du monde Unix. Exim sait interroger un

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    10

  • www.alcove.fr 3. La mise en place du systme

    certain nombre de sources dinformation, dont les annuaires LDAP. De plus, il sait dlivrer le courrier dansdes spools au format MBox ou MailDir.

    Une grande qualit dExim est son fichier de configuration : il est clair et structur, sa lecture nest pasune tche ardue, contrairement la difficult lgendaire de la configuration de Sendmail. Ceci facilite lamaintenance et lajout de fonctionnalits au service de courrier lectronique.

    De plus, Exim offre de bonnes performances (meilleures que Sendmail en nombre de-mails traits et encharge de la machine).

    3.4.1 EnvoiLenvoi de courrier se fait partir dun client SMTP (MS Outlook, Netscape Communicator, ou des

    logiciels libres tels que Mutt, KMail et Evolution) configur pour utiliser la machine serveur mise en place. Ilsuffit dindiquer son logiciel le nom du serveur SMTP.

    Le serveur Exim est gnralement configur pour naccepter de relayer que les e-mails provenant delintranet (le rseau tant isol du reste par le FireWall, le cas contraire ne se prsente pas) et le traite de deuxmanires diffrentes, quils soient adresss une adresse locale ou distante.

    Dans le cas dune adresse locale, voir le paragraphe concernant la rception du courrier.Si ladresse du ou des destinataires est distante, le message est envoy (par SMTP) au relais de mail sur

    la DMZ faisant galement tourner Exim. Le relais se charge alors de dlivrer le courrier bon port.

    Intranet

    DMZClient

    Serveur SMTP Firewall

    Relais SMTP1

    23

    4

    5

    Internet

    FIG. 3.2 Envoi dun e-mail lextrieur

    Le relais Exim est configur pour ne traiter que le courrier qui lui est envoy par le serveur local, ou pourenvoyer au serveur local le courrier destination de lentreprise provenant de lInternet. En aucun cas, le relaisne peut tre utilis par un client Netscape ou Outlook directement (par exemple pour viter quun individuconnect lInternet, utilise le relais de lentreprise pour envoyer son courrier).

    3.4.2 RceptionIl existe deux cas de rception de courrier :

    Le premier cas est celui o le-mail provient de lentreprise. Dans ce cas, Exim dlivre directement lecourrier dans le spool local du destinataire, sil existe, ou bien retourne un message derreur lexpdi-teur.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    11

  • www.alcove.fr 3. La mise en place du systme

    Le second cas concerne la rception de messages provenant de lInternet. Le relais de courrier lectro-nique ayant t configur dans le DNS 5 comme MX 6 pour le ou les domaine(s) de la socit. Il reoitdonc le courrier destination de lentreprise, et le redirige vers le serveur du rseau local, qui se chargeensuite de vrifier lexistence de lutilisateur et de livrer le courrier dans le spool correspondant.

    3.5 Consultation du courrier - Solid-pop3dLa consultation du courrier se fait en interrogeant un serveur POP3. Un serveur POP3 utilisable dans le

    contexte dcrit est Solid-pop3d car il rpond deux contraintes : le support du format MailDir et la possibilitdinterroger un annuaire LDAP grce son support PAM.

    Alcve a modifi Solid-pop3d pour lui permettre de prendre une identit gnrique. Cette identit gn-rique est celle utilise pour laccs aux fichiers dans lesquels sont stocks les e-mails (voir section suivante propos du compte gnrique).

    3.6 Gestion des comptes3.6.1 Comptes Unix

    Le serveur de courrier lectronique tant ddi cette application, il nest pas ncessaire que les abonns la messagerie aient un compte utilisateur sur la machine.

    Un compte gnrique verrouill est utilis pour laccs aux botes aux lettres afin de faciliter ladminis-tration et renforcer la scurit en rduisant au strict minimum le nombre dutilisateurs pouvant se connecter(utilisation standard du systme). Les serveurs POP3 et SMTP prennent cette identit pour consulter ou d-poser un message.

    3.6.2 Fonctions dadministration

    Toutes les oprations dadministration peuvent se faire par des scripts crits en langage Python ou Perl,et pouvant sexcuter sur toute machine Unix de lintranet disposant dun interprteur Python (ou Perl) et dumodule LDAP correspondant au langage utilis.

    Ces scripts peuvent tre adapts ou tendus en vue dune utilisation sous forme de scripts CGI 7 , pourle dveloppement dune interface dadministration par le Web. Ceci implique galement de disposer dunserveur web Apache pour excuter ces scripts.

    De manire similaire, une interface dadministration et de consulation par le web, reposant sur des scriptsPHP par exemple, peut tre dveloppe.

    5DNS (Domain Name System) : service rparti sur lInternet qui permet dassocier un nom de machine (ex : www.mondomaine.fr) une adresse du protocole internet, IP (ex : 192.16.2.19), et vice-versa.

    6MX (Mail Exchanger) : cest une entre dans la base DNS dun domaine. Elle dsigne la machine qui traite le courrier destin cedomaine (ex : le MX de mondomaine.com est mail.mondomaine.com, et le MX de mondomaine.fr est aussi mail.mondomaine.com).On dissocie ainsi les noms des serveurs des noms de domaines pour le courrier lectronique.

    7CGI (Common Gateway Interface) : protocole dexcution de programmes sur un serveur Web selon lURL demande par leclient, laquelle est souvent provoque par la validation dun formulaire HTML.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    12

  • www.alcove.fr 3. La mise en place du systme

    3.7 Migration de messagerieDes mthodes pour rcuprer les courriers dun systme de messagerie rendu obsolte peuvent tre tu-

    dies. De manire gnrale, il faut que lon puisse disposer de la liste des logins et mots de passe de comptesconcerns, ou bien pouvoir accder directement aux rpertoires contenant les botes aux lettres.

    La migration peut se faire de manire pratiquement transparente pour les utilisateurs, sans interruption duservice de plus de 5 ou 10 minutes.

    Enfin, certains MUA permettent de ne pas effacer les e-mails sur le serveur aprs leur rcupration, lesutilisateurs peuvent ainsi retrouver danciens messages.

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    13

  • www.alcove.fr A. Rfrences

    A Rfrences OpenLDAP - http://www.openldap.org/ Exim - http://www.exim.org/ Solid-Pop3d - http://solidpop3d.pld.org.pl/ The Internet Engineering Task Force - http://www.ietf.org/ Debian - http://www.debian.org/ Python - http://www.python.org/ Perl - http://www.perl.org/ Apache - http://www.apache.org/ RealTime BlackHole List - http://mail-abuse.org/rbl/ GNU - http://www.gnu.org/ AMaVIS - http://www.amavis.org/ Sophos - http://www.sophos.com/ McAffee - http://www.mcaffee.com/anti-virus/ Trend micro - http://www.antivirus.com/

    153 Boulevard Anatole France 93200 Saint Denis , France, SA au capital de 44.549 SIRET 403 646 342 00028 722ZTl. : +33 1 49 22 68 00, Fax : +33 1 49 22 68 01E-mail : [email protected] Toile : www.alcove.fr

    14