Panorama ======== * MTA = Mail Transfert Agent - cause ESMTP sur TCP/IP - lien avec le DNS et les MX - liens avec les sous-domaines DNS - autres protocoles : X400, Exchange, Notes, ... - deux grands : sendmail et postfix -> "querelle" entre les Anciens et les Modernes ;-) - des outsiders : qmail ? exim ? * UA = User Agent - protocoles en consultation accès direct au spool de mail POP(S) IMAP(S) - /bin/mail : encore des utilisateurs totalement accros -> impact sur la suite (suppression de l'accès au spool) - elm : grosse popularité + mutt : passage pas encore fini - pine : le grand classique - semble etre le tout terrain - Netscape/Mozilla Messenger - outsiders : Emacs, kmail - sur Mac et Windows, Eudora : 90% d'usage ? -> impact sur la suite (certificats) - Outlook bien sur :-( - outsiders : Mail (MacOS X) - mais ceux qui plaisent de plus en plus : interfaces Web - quid de fetchmail ? Histoire ======== * Il y a longtemps - on patchait sendmail.cf dans le texte - les gens faisaient mail ou elm sur la machine de mail * Un peu plus tard - on essayait de repomper un sendmail.cf du voisin, du CRI - le mail était réparti sur plusieurs machines * Assez récemment - on a partagé +/- avec bonheur le spool par NFS - les gens se sont mis à faire POP * Récemment - le partage du spool par NFS a été consolidé et limité à moins de machines que les serveurs - on a pondu le sendmail.cf par le Kit Jussieu :-)) - on a commencé à avoir peur avec POP depuis tout l'Internet * Aujourd'hui - on ne pense plus vivre sans le Kit Jussieu :-)) - le partage du spool par NFS permet de garder les bonnes vieilles et mauvaises habitudes - pas d'alternative - on sécurise en passant par SSL ou SSH - on installe des serveurs complémentaires : IMAP, Webmail Roles CRI/laboratoire ===================== * quel(s) serveur(s)s SMTP sont ouverts sur le Net ? -> chez nous, un seul * quel(s) relai(s) sont faits vers des serveurs de labos ? -> chez nous, c'est au choix mel au CRI mel dans le labo * quels services anti-virus, anti-spam sont mis en place ? * quels services de consultation sont mis en place par le CRI (securite, IMAP, webmail) pour sa messagerie ? -> à voir ce que fait ou peu faire le labo Les plaies actuelles ==================== * Virus et spam bien sur !! * Attention dans le processus visant à commencer à regarder de prés les messages : décision politique par le conseil de labo ! * A lire d'abord http://www.urec.cnrs.fr/securite/CNRS/filtrage-serveur-de-messagerie.html * Anti-virus + anti-spam sur le header - à faire en amont (CRI ?) pour mutualiser - MTA -> antivirus de fichier -> interface de plus en plus performant les éditeurs sont en train de sortir des MTA pour mettre directement en frontal * Anti-spam sur le contenu (au-delà des règles dans un MTA) - sans doute à ne pas faire collectivement -> responsabilité individuelle - outils basés sur procmail JunkFilter SpamAssassin - outils développé par l'Ecole des Mines : j-chkmail Services additionnels ===================== En ayant son propre serveur de messagerie, on peut faire aussi : * Alias systeme et listes de diffusion - permet de faire un peu d'annonces de séminaire "proprement" et quelques forums internes - permet de faire de l'archivage * Alias et revaliases - adresses canoniques personnelles jma <-> Joel.Marchand * Adresses fonctionnelles direction secretariat ... * Outils d'aiguillage/filtrage par utilisateur soit par le UA final soit par procmail : DANGER potentiel * Certificats pour signature et chiffrement => messagerie déjà solide adresse de messagerie bien stable et unique Exemples de Jussieu =================== * Exemple typique du poids de l'histoire et de l'accumulation * Un seul serveur est MX pour tout Jussieu (redondance à Versailles) Meme le port 25 est fermé en sortie désormais Il repasse les mels aux mailhost..jussieu.fr Depuis peu, passerelle anti-virus -> ca nous a évité de le décider et de le faire :-) * 600 BAL -> on rale un peu quand elles dépassent 20 à 30 Mo * tous les UA sauf Outlook ? * serveur dédié avec Pentium - 128 Mo de RAM - petit disque SCSI - disque IDE miroir FreeBSD 4.2 spool en local sendmail 8.12, MTA pour tout le domaine math.jussieu.fr qpopper avec couche SSL wu-imapd avec couche SSL webmail avec Horde/IMP et SquirredMail * spool de mail exporté par NFS vers les serveurs Linux et BSD de service interactifs (pas de pb, sauf avec le routeur !) * services ouverts sur le Net POP ; mot de passe différent de l'accès SSH POPS IMAPS ; IMAP est limité en interne webmail sur https POP, IMAP et SMTP sur SSH interface Web pour manipuler son .forward * une bonne vingtaine de listes de diffusion avec SmartList + MonHarc * clients recommandés mutt, pine, Messenger, Eudora mais préservation de l'existant (ex : /bin/mail) * pages Web d'information toutes les méthodes accès depuis l'extérieur POP sur SSL POP versus IMAP virus/spam/filtrage + procmail Remarques en vrac ================= * Vu de plus de la moitié des gens, c'est le principal voire le seul service réseau (informatique) vital et important. De leur point de vue, c'est notre role majeur et le plus critique ! Dès que cela ne mèle plus, le labo s'arrete meme en interne * Cf procès récent, la messagerie est un sujet de plus en plus chaud. Attention à la déontologie ! * On a cru que c'était un problème bien réglé, il s'est considérablement complexifié et cela va durer !! * Risque de confusion massive avec les virus et les spams Non maitrise de la gestion d'un grand nombre de mel/jour Empilage des messages sans fin - pas d'archivage par BAL Non gestion d'un carnet d'adresses efficace -> DANGER d'arriver à un discrédit de l'outil meme -> paradoxe : outil "vital", mais outil mal utilisé * Difficultés dans l'usage de plusieurs UA suivant le lieu interface/édition vision des BAL (normalisation sur $HOME/Mail) gestion du carnet d'adresses : pas de solution ... mais réalité bien présente, par ex Eudora au bureau webmail ou SSH+pine, en déplacement * Deux grandes tendances pour les nomades - tout on-line : webmail, SSH, IMAPS - tout off-line (sur le portable) : POPS, POP sur SSH -> envie d'aller jusqu'au bout des deux logiques, pour avoir une vue uniforme (pas de double-renvoi sur une autre adresse) des nouveaux messages, et des BAL d'archivage -> très dépendant des individus, de leur outil (portable ou pas) de leurs habitudes (tX -> stockage sur serveur / Mac -> stockage en local), de leur facilité dans la mobilité (webmail plait) * Les pièces jointes de la mort qui tue font exploser les tailles des BAL. Pas de pbs du coté disque, mais quid de POP sur une BAL de 50 Mo toutes les minutes, lorsque 200 personnes sont pareil ? -> passage à une BAL éclatée en 1 fichier/message format dit "maildir" au lieu du traditionnel "mbox" => ca exclut des UA ... cf http://www.courier-mta.org/mbox-vs-maildir/ -> action pédagogique : le mél n'est PAS la bonne facon de faire passer un document de 20 Mo. L'émetteur le met sur une page Web et celui d'en face le prend par http :-) * Interaction avec la vie privée -> bonne motivation pour supprimer l'accès par modem ! cf les prestataires qui font cela nettement mieux * Monter une messagerie complète avec tous les services modernes (cf plus haut) est devenue qqch de très lourd, et à hauts risques -> se poser la question de quelle échelle est pertinente !!! pour -100 de personnes, je ne pense pas que cela soit "rentable" * Externaliser ? *PAS* chez Hotmail & cie votre CRI ? le CNRS ? La Poste ?