RÉSEAU OSIRIS
CENTRE RÉSEAU COMMUNICATION
Messagerie
Voir aussi
Sommaire
Accueil
Espace Utilisateurs
Espace Technique
Le téléphone à l'UDS
Le Réseau Osiris
Le Service
logo

Mise en place du SMTP authentifié sur Osiris

Depuis le 30 septembre 2008, le port smtp (envoi de messages électroniques), est fermé aux postes clients en sortie du réseau Osiris. Seuls les serveurs autorisés par les correspondants réseaux peuvent émettre des messages électroniques.

Cette présentation récapitule les points importants de cette opération.

Pourquoi authentifier l'envoi de messages ?

Pour limiter l'émission de spams depuis Osiris

Les machines piratées ou infectées par un virus servent souvent à émettre du spam. Elles avaient jusqu'à présent la possibilité d'émettre directement leurs nombreux et désagréables messages sans être détectables. Et bien souvent, le réseau Osiris s'est vu bannir d'autres serveurs de messagerie, avec pour conséquence le refus des messages légitimes émis depuis notre réseau.

La fermeture du port SMTP a pour but de lutter contre le spam. Grâce à cette mesure, les machines compromises ne pourront plus émettre de messages sans passer par un serveur de messagerie officiel, qui demandera un login et un mot de passe.

Pour pouvoir utiliser le serveur SMTP Osiris depuis n'importe où

Jusqu'à présent, les serveurs d'envoi SMTP d'Osiris ne pouvaient pas être utilisés par les postes clients depuis l'extérieur. En effet, toujours pour lutter contre le spam, l'accès aux serveurs de messagerie d'Osiris était interdit depuis Internet. Il était en effet impossible de vérifier la légitimité de l'expéditeur d'un message.

La mise en place de l'envoi authentifié de messages permet d'identifier les émetteurs de messages. Le serveur SMTP sortant du CRC (mailserver.u-strasbg.fr) pourra donc maintenant être utilisé depuis n'importe quel réseau : depuis l'université, depuis votre domicile, depuis l'étranger, etc.

Principe

Le principe global est de mettre en place une chaîne de confiance dans l'émission des messages. Celle-ci est rendue possible grâce au respect des règles suivantes :

  • Seul le serveur mailhost.u-strasbg.fr peut envoyer des messages électroniques sur le port SMTP (25) vers l'extérieur d'Osiris
  • Seules les machines de confiance peuvent envoyer des messages sur le port SMTP de mailhost.u-strasbg.fr. Ces machines de confiance sont déclarées par les correspondants réseaux. Elles peuvent être de deux types :
    • Soit les serveurs de messagerie internes d'Osiris. Ceux-ci doivent impérativement authentifier les utilisateurs envoyant des messages par leur biais.
    • Soit les machines incapables de faire de l'authentification SMTP pour l'envoi de message : serveur émettant des messages de supervision, copieur-scanner avec fonction e-mail, etc. Ces machines ne doivent pas accepter de mail par le réseau. Autrement dit, elles ne doivent pas accepter de connexion sur le port SMTP.
  • Les relais SMTP ouverts à l'intérieur d'Osiris sont interdits. Aucune machine du réseau Osiris ne doit relayer de message sans en authentifier l'émetteur.

Le schéma ci-dessous présente les conséquences de ces règles sur l'architecture de messagerie d'Osiris. Le port 25 est le port SMTP. Le port 587 est le port utilisé pour soumettre des messages avec une authentification.

Architecture de messagerie Osiris

Méthode et démarche

La mise en place de cette architecture de messagerie nécessite quelques modifications pour les utilisateurs Osiris et pour les correspondants de messagerie.

16 juillet 2008 : début de la phase de transition

Mise en place de la soumission authentifiée de message sur le port 587 de mailserver.u-strasbg.fr.
Les utilisateurs de la messagerie hébergée au CRC peuvent dès cette date modifier la configuration SMTP de leur client de messagerie, en utilisant la documentation accessible en ligne.
Les correspondants peuvent immédiatement configurer leurs serveurs pour qu'ils envoient les messages électroniques sortant sur le serveur mailhost.u-strasbg.fr.

01 septembre 2008 : évolution de l'application WebDNS

Les correspondants réseaux auront la possibilité, via l'application WebDNS, de déclarer les adresses IP des serveurs autorisés à envoyer des messages sur le port 25 (SMTP) de mailhost.u-strasbg.fr.

30 septembre 2008 : fermeture du port SMTP (25)

Depuis cette date, le port 25 est fermé en entrée et sortie d'Osiris pour toutes les machines excepté mailhost.u-strasbg.fr. Tous les clients de messagerie doivent utiliser un serveur SMTP Authentifié.
Les serveurs de messagerie ne doivent plus accepter de messages sur le port 25 sans authentification, excepté des relayeurs Osiris (mailhost.u-strasbg.fr).
Tous les serveurs devront passer par mailhost.u-strasbg.fr pour émettre des messages vers Internet. Ces serveurs doivent être déclarés avec l'application WebDNS.