Accéder au contenu.
Menu Sympa

fr - Re: [sympa-fr] stocker les adresses de listes dans un annuaire LDAP

Objet : Pour les administrateurs de serveurs de listes utilisant le logiciel Sympa

Archives de la liste

Chronologique Discussions  
  • From: Hubert Ulliac <adresse@cachée>
  • To: adresse@cachée
  • Cc: adresse@cachée, "martine.james >> \"Martine James (02 23 23 71 31)\"" <adresse@cachée>, "claude >> Bourasseau Claude" <adresse@cachée>
  • Subject: Re: [sympa-fr] stocker les adresses de listes dans un annuaire LDAP
  • Date: Tue, 17 Jan 2006 15:48:49 +0100

Bonjour Odile,

Bonjour,

Nous aimerions stocker les adresses électroniques de listes de diffusion dans notre annuaire LDAP.
Nos listes de diffusion sont dans le domaine listes.univ-rennes1.fr.
Aujourd'hui notre relais de messagerie accepte tous les messages pour le domaine listes.univ-rennes1.fr et nous souhaiterions que le relais de messagerie n'accepte plus que les messages pour des adresses valides de listes de diffusion.



Je ne sais pas si cela peut aider, mais j'ai été confronté à un problème identique à l'automne dernier et je n'ai pas pu le résoudre en m'appuyant sur le serveur Ldap car il ne pouvait pas contenir facilement toutes les adresses existants sur notre site. Outre le problème d'attaque régulières par dictionnaire avec un champ To ou From avec des adresses uhb.fr inexistantes, y compris vers le serveur de liste, le taux de bounces était très important (plusieurs milliers) dans le fonctionnement journalier de la messagerie et donc ingérable. Actuellement, on s'appuie essentiellement sur des serveurs sendmail.

La solution pour laquelle j'ai opté est la suivante, et elle est assez facile à mettre en oeuvre, :
-le mailhost central continue à en savoir le moins possible,
-l'annuaire ldap n'est pas modifié,
- sur les serveurs feuilles qui sont définis dans la mailertable du mailhost central, on crée automatiquement une virtusertable à partir des alias (ou adresses électroniques valides) dans un format du genre :
adresse@cachée adresse1@adresse@cachée
...
adresse@cachée adressen@adresse@cachée
@uhb.fr error:5.7.0:550 User unknown

C'est donc vrai aussi pour les aliases de listes

- sur le mailhost central, on rajoute milter-ahead (le ldap du pauvre !) qui va vérifier la validité du champ RCPT en faisant un début de connexion.

L'avantage c'est que cela diminue considérablement les bounces (on en a plus qu'une vingtaine par jour) car le message est jeté dès le début lors de la session, sans transmission du contenu. Et c'est techniquement très léger. Avant, c'est Cyrus ou autre qui jetait le message en générant donc un message d'erreur vers une adresse fort probablement forgée.

Un effet secondaire inattendu a été que cette configuration a permis le contrôle de validité des adresses FROM en uhb.fr pour les messages ne provenant pas de notre site.

Une fois cela mis en place, il est possible d'améliorer les rejets au plus tôt par exemple en traitant les boîtes d'utilisateurs over quota. Il suffit de rajouter automatiquement dans la virtusertable une ligne pour les utilisateurs du genre :
adresse@cachée error:4.2.2:452 Over quota

Il peut aussi y avoir des choses de faites dans la mailertable pour rejeter les adresses avec des fqdn invalides (utilisant des noms de host par exemple)

Le fait d'avoir peu de bounce permet d'améliorer leur gestion et de repérer les vrais problèmes.

J'espère de pas avoir été trop hors sujet.

Je ne sais pas si c'est réalisable chez vous mais si tu veux en savoir plus n'hésites pas à me contacter.

Y-a t'il déjà quelqu'un parmi vous qui aurait mis celà en oeuvre, et si oui, avec quel schéma de nommage (DIT, classes d'objet et attributs LDAP) ?

NB : nous n'avons pas de tables contenant les alias de messagerie, nous utilisons une table d'alias avec des expressions régulières (postfix)

Cordialement,

Odile Germès.



Cordialement

--
Hubert Ulliac

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature




Archives gérées par MHonArc 2.6.19+.

Haut de le page