Portail: Clockover.org

Métadonnées du document:
[ Auteur : Clockover ][ Création le : 28/10/2009 ][ Dernière modification le : 17/03/2011 ][ Version : 2.4 ]

Protéger Microsoft Exchange derrière un serveur frontal Linux

Introduction:

Cet article décrit la procédure pour mettre en place un serveur SMTP et un reverse proxy en frontal devant un serveur Exchange.
Le serveur SMTP en frontal, nous servira à mouliner les mails avec SpamAssassin et ClamAV avant de les renvoyer à Exchange à la manière d'une appliance.
Le reverse proxy peut avoir de nombreuses raisons d'être devant un Exchange (OWA & Proxy RPC): comme la mise en place d'une qualité de service, l'augmentation des performances ou encore de la sécurité. Dans notre cas, cela permettait de faciliter la configuration du routeur et d'augmenter sensiblement la sécurité de l'accès https.
Dans notre exemple, le serveur frontal tournera avec une Debian Lenny et le serveur Exchange sur la version 2010 de ce dernier.

Note: Les variables à adapter sur votre environnement se présenteront sous cette forme ($$VARIABLE$$) tout à long de l'article.

Infrastructure cible:

Comme il est souvent plus simple de comprendre avec un dessin, celui qui va suivre nous montre ce que nous souhaitons obtenir.

Infrastructure cible de cet article

Mise en place du relai SMTP (envoi du courrier):

Nous commencerons par l'étape la plus facile. Celle-ci nous permettra d'envoyer nos mails sur internet non plus avec Exchange mais avec notre serveur frontal. L'intérêt de cette manipulation peut sembler anecdotique mais lorsque l'arrivé SMTP ne se passera plus directement sur l'Exchange non plus, nous pourrons couper entièrement les flux SMTP entre internet et le serveur Exchange.

1. Configuration du serveur frontal

Nous allons commencer par installer postfix. Pour cela, il faut utiliser la commande: apt-get install postfix
Modifiez ensuite le fichier /etc/postfix/main.cf comme ceci:

		smtpd_banner = $$NOM-PUBLIC-DU-MX$$ ESMTP (Debian/GNU)
		biff = no

		# appending .domain is the MUA's job.
		append_dot_mydomain = no

		# Uncomment the next line to generate "delayed mail" warnings
		#delay_warning_time = 4h

		readme_directory = no

		myhostname = $$NOM-LOCAL-DU-SERVEUR$$
		mydestination = $$NOM-LOCAL-DU-SERVEUR$$, localhost.$$DOMAINE$$,localhost
		relayhost =
		mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128, $$IP-DU-SERVEUR-EXCHANGE$$/32
		mailbox_size_limit = 0
		recipient_delimiter = +
		inet_interfaces = all

Nous relancerons ensuite Postfix de façon à ce que les modifications soient appliquées (/etc/init.d/postfix restart ).

2. Configuration du serveur Exchange

La seule chose à faire sur l'organisation Exchange est de créer et/ou configurer le connecteur SMTP externe de façon à ce qu'il achemine le flux SMTP par le serveur frontal.
Il suffit juste d'indiquer l'IP du serveur dans les propriétés du connecteur (illustration ci-dessous).

Configuration du connecteur SMTP sortant

Mise en place du filtrage SMTP (réception du courrier):

Cette fois, nous allons mettre en place la stratégie pour le courrier entrant. Nous mettrons donc en place l'antivirus et l'antispam.

1. Configuration du serveur GNU/Linux

Il nous faut installer SpamAssassin pour marquer les spams et Clamsmtp pour filtrer les mails virusés. Pour cela, nous tapperons la commande: apt-get install spamassassin clamsmtp.
Nous rajouterons ensuite dans le fichier /etc/postfix/main.cf les lignes suivantes:

		#Relaying pour:
		relay_domains = $$DOMAINE1$$, $$DOMAINE2$$
		relay_recipient_maps =
		transport_maps = hash:/etc/postfix/transport

Le fichier /etc/postfix/transport doit être créé sous cette forme avant d'être traité par la commande: postmap /etc/psotfix/transport:

		$$DOMAINE1$$       	smtp:$$SERVEUR-SMTP$$
		$$DOMAINE2$$		smtp:$$SERVEUR-SMTP$$

Pour prendre en charge Spamassassin et Clamsmtpd, le fichier /etc/postfix/master.cf doit également être modifié.
Veuillez ajouter ou modifier les lignes suivantes:

		smtp      inet  n       -       -       -       -       smtpd -o content_filter=spamassassin
		#spamassassin :
		spamassassin    unix    -       n       n       -       -       pipe
		user=nobody argv=/usr/bin/spamc -f -e
		/usr/sbin/sendmail -oi -f ${sender} ${recipient}
		# AV scan filter (used by content_filter)
		scan      unix  -       -       n       -       16      smtp
			-o smtp_send_xforward_command=yes
		# For injecting mail back into postfix from the filter
		127.0.0.1:10025 inet  n -       n       -       16      smtpd
			-o content_filter=
			-o receive_override_options=no_unknown_recipient_checks,no_header_body_checks
			-o smtpd_helo_restrictions=
			-o smtpd_client_restrictions=
			-o smtpd_sender_restrictions=
			-o smtpd_recipient_restrictions=permit_mynetworks,reject
			-o mynetworks_style=host
			-o smtpd_authorized_xforward_hosts=127.0.0.0
			retry     unix  -       -       -       -       -       error

Les configurations de Clamsmtp et de SpamAssassin ne seront pas abordées dans cet article. En effet, de nombreuses sources d'informations sont disponibles pour les régler plus finement. Nous laisserosn dans les réglages de base. N'oubliez cependant pas d'activer SpamAssassin (/etc/default/spamassassin) et de relancer les différents services (/etc/init.d/postfix restart && /etc/init.d/spamassassin restart).

2. Configuration du serveur Exchange

Du côté du serveur Exchange, nous devons procéder à deux manipulations. L'une doit autoriser le serveur frontal à lui envoyer du courrier. La deuxième permet de régler le comportement de Exchange lorsqu'il récupère du spam détecté par SpamAssassin.
Toutes ce passera à l'aide du nouvel outil: Exchange Management Shell.

fleche

Autoriser la connexion entrante: Set-ReceiveConnector -Identity "Default $$NOM-DU-SERVEUR$$" -PermissionGroup "AnonymousUsers".
fleche

Transférer les mails tagués comme spam ( X-Spam-Flag: YES dans leur en-tête) dans la boite "courrier indésirable" du destinataire.

		$condition1 = Get-TransportRulePredicate HeaderContains
		$condition1.MessageHeader = "X-Spam-Flag" 
		$condition1.words = @("YES")
		$action1 = Get-TransportRuleAction SetSCL
		$action1.SCLValue = 9
		$Action2 = Get-TransportRuleAction SetHeader
		$Action2.MessageHeader = "X-Spam-Status"
		$Action2.HeaderValue = "Yes"
		new-TransportRule "Spam Score 9" -condition @($condition1) -action @($Action1, $Action2) -Priority 0
		Get-mailbox | set-mailbox -SCLJunkEnabled $true -SCLJunkThreshold 4

Nous avons donc maintenant un serveur SMTP en frontal devant Exchange. Nous pouvons donc maintenant bloquer tous les flux SMTP entre internet et le serveur Exchange.

Mise en place du reverse proxy:

Cette dernière partie, nous permettra de protéger l'accès à OWA, ActiveSync et l'accès RPC/HTTPS (maintenant nommé "Outlook Anywhere"). Assurez d'avoir un service Outlook Anywhere fonctionnel avant de commencer les manipulations (si vous allez vous en servir).

1. Configuration du serveur Exchange

Aucune configuration n'est nécessaire sur le serveur Exchange. Assurez-vous juste que OWA et Outlook Anywhere fonctionne correctement.

2. Configuration du serveur GNU/Linux

Nous allons installer la fonction de reverse proxy qui sera assurée par le logiciel squid.

a. Pour Debian Lenny (méthode compilation)

Nous n'utiliserons pas le paquetage fournit avec Debian Lenny car il n'intégre pas le support SSL et est relativement ancien.
Voici la marche à suivre pour compiler une version maison:

apt-get install build-essential g++ openssl libssl-dev
Télécharger les sources de squid sur le site officiel (ici)
tar xvfz squid-$$VERSION$$.tar.gz
cd squid-$$VERSION$$
./configure --enable-ssl --with-openssl=/usr/include/openssl/ && make && make install
Créer ensuite le cache de squid à l'aide de: /usr/local/squid/sbin/squid -z

Squid est maintenant installé sous le chemin: /usr/local/squid/.

b. Pour Debian Squeeze (méthode Debian)

Sous Debian Squeeze, plus récente, nous utiliserons le paquet fournit mais nous devrons le recompiler poru ajouter le support du SSL.

apt-get install libssl-dev libcppunit-dev devscripts build-essential fakeroot cdbs libsasl2-dev libkrb5-dev comerr-dev
apt-get source squid3
apt-get build-dep squid3
Dans le fichier $$DOSSIER-DES-SOURCES$$/debian/rules, il faut ajouter la ligne: --enable-ssl \ dans la section DEB_CONFIGURE_EXTRA_FLAGS
debuild -us -uc
apt-get install squid-langpack
dpkg -i squid3-common_$$VERSION$$.deb squid3_$$VERSION$$.deb
On bloque la mise à jour du paquet squid: echo "squid3 hold" | dpkg --set-selections et echo "squid3-common hold" | dpkg --set-selections.

Squid est maintenant installé sous le chemin: /etc/squid/.

c. Configuration de Squid

Nous devons maintenant avoir un certificat approuvé par les postes configurés en Outlook Anywhere. Le moyen le plus simple est d'utiliser un certificat fournit par une autorité de certification publique. Voici la marche à suivre:

Créer un répertoire de stockage des certificats: mkdir $$CHEMIN-SQUID$$/certifs/
cd $$CHEMIN-SQUID$$/certifs/
Créer la clé (sans passphrase): openssl genrsa -out $$NOM_FQDN$$.key 1024
Créer la demande de certificat: openssl req -new -key $$NOM_FQDN$$.key -out $$NOM_FQDN$$.csr
Ouvrir le fichier $$NOM_FQDN$$.csr et transmettre son contenu à votre autorité de certification.
Placer le certificat retourné avec votre clé.

Ensuite, il faut modifier le fichier $$CHEMIN-SQUID$$/squid.conf:

		#visible_hostname $$NOM_FQDN$$
		debug_options ALL,1
		#extension_methods RPC_IN_DATA RPC_OUT_DATA

		https_port 443 cert=$$CHEMIN_VERS_CERTIFICAT_PUBLIC$$  key=$$CHEMIN_VERS_CLE_CERTIFICAT$$ defaultsite=$$NOM_FQDN$$

		cache_peer $$IP_SRV_EXCHANGE$$ parent 443 0 no-query proxy-only originserver login=PASS ssl sslflags=DONT_VERIFY_PEER front-end-https=on name=owaServer

		acl owaAcl dstdomain $$NOM_FQDN$$
		cache_peer_access owaServer allow owaAcl

		never_direct allow all
		http_access allow all
		#http_access deny all
		miss_access allow all
		#miss_access deny all

La configuration de squid est terminée, il ne nous reste plus qu'à vérifier que Squid se lance automatiquement avec la machine.
Si l'accès à OWA via le squid fonctionne alors nous pouvons maintenant désactiver tout flux HTTP/HTTPS entre internet et le serveur Exchange.

Tests finaux:

Pour tester le relai SMTP, nous enverrons tout simplement des mails à travers celui-ci. Si nous désirons tester la fonction d'antispam ou d'antivirus, il suffit d'utiliser les outils suivants:
fleche

Le GTUBE pour l'antispam: XJS*C4JDBQADN1.NSBN3*2IDNEN*GTUBE-STANDARD-ANTI-UBE-TEST-EMAIL*C.34X
fleche

Le faux virus EICAR pour l'antivirus: Téléchargement ici
fleche

Pour le reverse proxy, nous testerons d'abord de nous connecter à OWA (aucun problème de certificat ne devrait apparaitre) puis à Outlook Anywhere.

Il y a 9 commentaire(s) sur ce sujet.

Commentaire de Spudman le 29/06/2010:
Merci pour votre tutoriel plutôt efficace. J'ai mis en place un reverse proxy avec votre solution mais j'ai un ptit problème. J'ai une double authentification sur Firefox (la première affiche l'IP du squid et ne fonctionne pas, il faut l'annuler) et la seconde fonctionne. Tandis que sur Internet Explorer, je n'ai qu'une authentification qui ne fonctionne pas (aucun ID/MDP n'est reconnu). Je pense qu'il y a une fonctionnalité à activer sur le serveur Exchange 2010 mais je ne vois rien du tout. Ne devons nous pas faire du SSL Bridging ? Merci d'avance.
fleche

Commentaire de Clockover le 18/07/2010:
Dslé pour le délai. La première chose à faire est de tester Exchange seul afin d'être certain que le problème vient bien de squid. Ensuite, avez-vous des logs sur squid ?
fleche

Commentaire de djrise le 28/09/2010:
Merci pour la doc, tout fonctionne chez moi. Ne pas oublier d'autoriser les connexions anonymes sur le serveur smtp coté exchange. Cependant, une fois les spams redirigés dans la boite de l'utilisateur (je l'ai pas encore mis en place car je me rappelle plus comment on fait cela dans amavis :-)), je me pose la question de comment faire si l'utilisateur decide que ce n'est pas un spam. Il faut alors renseigner spamasassin. Comment faite vous ? Merci
fleche

Commentaire de Clockover le 16/11/2010:
Dslé pour le délai. Oui la connexion Anonyme est bien précisée dans la documentation. Je n'ai pas mis de solution pour que les utilisateurs définissent eux-mêmes des règles de l'antispam. Le plus simple serait de leur founir une interface web pour faire cela (soit une qui existe déjà soit en la codant)
fleche

Commentaire de Laurent le 08/01/2011:
Merci pour ce "résumé" complet. Question: est-ce que le reverse proxy marche pour l'accès TS web, via l'interface Remote d'un serveur SBS 2008?
fleche

Commentaire de Clockover le 24/01/2011:
Je n'ai pas essayé mais l'accès TS web devrait fonctionner.
fleche

Commentaire de jpk le 24/05/2011:
Bonjour, Pour moi ca fonctionne sur owa, par contre outlook anywhere me demande de m'identifier sur le proxy et apres plus rien, mon certificat est auto-signé, es ce que cela peux bloqué l'authentification? Merci d'avance
fleche

Commentaire de Clockover le 06/06/2011:
Non, le certificat non reconnu par Outlook ne doit pas poser de problème. Il faut bien vérifier les paramètres côté Outlook.
fleche

Commentaire de Sensoo le 17/05/2012:
Merci pour ce tuto. J'aurais bien aimé y trouver le dimensionnement de la machine squid par nombre de clients simultanés (OWA, OA, ActiveSync). Les règles squid, aussi, me semblent un peu sommaires: fonctionnelles mais permissives.