Re: Faire cohabiter certificats POP et IMAP

To: debian-user-french@lists.debian.org
Subject: Re: Faire cohabiter certificats POP et IMAP
From: Thierry Bugier Pineau <bugier.t@gmail.com>
Date: Wed, 17 May 2017 13:42:57 +0200
Message-id: <[🔎] 1495021377.6124.6.camel@gmail.com>
In-reply-to: <[🔎] fb49178e-924a-2b22-fce1-8cfdf6e67566@plouf.fr.eu.org>
References: <[🔎] 201705161842.48484.andre_debian@numericable.fr> <[🔎] 76cac822-6bd7-f512-4d26-12c80eec6883@rail.eu.org> <[🔎] 201705161917.25780.andre_debian@numericable.fr> <[🔎] fb49178e-924a-2b22-fce1-8cfdf6e67566@plouf.fr.eu.org>

Bonjour

Dans le tuto que j'ai partagé pour monter un postfix / dovecot, j'ai la base pour permettre l'utilsiatin de nginx comme reverse proxy SMTP, POP et IMAP.

C'est pas documenté mais j'ai fait des exprimentations dans cette direction (les notes ne sont pas publiées). NGINX peut utiliser un script servi par HTTP (dans le LAN) pour authentifier les utilsiateurs et par la même occasion aiguiller le trafic vers un serveur un un autre, selon la volonté du script.

Voilà un lien vers une implémentation de ce genre, pour donner un aperçu de la solution (ici avec un script perl).

https://www.whatastruggle.com/nginx-as-an-imappop3-proxy

Il y a pas mal d'avantages:

- un serveur frontal qui essuie les attaques sans exposer les données (puisqu'elles sont sur un autre serveur)

- les certificats sont présentés par le frontal NGINX, et pas besoin de configurer certificat et chiffrement sur postfix / dovecot (même si je préférerais le faire personnellement).

- séparer différents domaines : un domaine par couple postfix / dovecot (mon objectif)

- un peu plus de souplesse

A mon avis, pour le SMTP, il faudrait directement utilsier un Postfix comme frontal. J'ai expérimenté avec NGINX mais j'ai trouvé la solution guère satisfaisante. Cela dit, c'est sans doute par manque de connaissance et recul au moment des essais. Je crois que maintenant je pourrais mener cette construction plus facilement.

Le mardi 16 mai 2017 à 19:46 +0200, Pascal Hambourg a écrit :

Le 16/05/2017 à 19:17, andre_debian@numericable.fr a écrit :

On Tuesday 16 May 2017 18:53:06 Erwan David wrote:


Déjà ça sera postfix en smtp dovecot en pop et imap, donc tu peux
séparer le certificat de postfix :


Je comprends pas "séparer le certificat de postfix".


Postfix ne s'occupe que du SMTP, donc tu peux lui faire utiliser un 
certificat différent de dovecot.



Ensuite pour pop et imap, je m'en tire en utilisant le même nom d'hôte,
pas besoin d'un certificat différent par protocole.


Le serveur a un nom d'hôte unique,
et
pop = pop.serveur.org
imap = imap.serveur.org


Ce sont deux noms différents.


les deux bien indiqués dans le serveur DNS,
avec le même IP (serveur).


Peu importe qu'ils aient la même adresse. Ce que le client vérifie, 
c'est l'adéquation entre le nom d'hôte qu'il a utilisé et celui figurant 
dans le certificat servi.

Reply to:

References:
- Faire cohabiter certificats POP et IMAP
  - From: andre_debian@numericable.fr
- Re: Faire cohabiter certificats POP et IMAP
  - From: Erwan David <erwan@rail.eu.org>
- Re: Faire cohabiter certificats POP et IMAP
  - From: andre_debian@numericable.fr
- Re: Faire cohabiter certificats POP et IMAP
  - From: Pascal Hambourg <pascal@plouf.fr.eu.org>

Prev by Date: [HS] WannaCry "ransomware" cyber attack :
Next by Date: [HS] Re: WannaCry "ransomware" cyber attack :
Previous by thread: Re: Faire cohabiter certificats POP et IMAP
Next by thread: Re: Faire cohabiter certificats POP et IMAP
Index(es):
- Date
- Thread