Re: [sympa-fr] stocker les adresses de listes dans un annuaire LDAP

[Hubert Ulliac <adresse@cachée>]

Bonjour Odile,

> Bonjour,
>
> Nous aimerions stocker les adresses électroniques de listes de diffusion 
> dans notre annuaire LDAP.
> Nos listes de diffusion sont dans le domaine listes.univ-rennes1.fr.
> Aujourd'hui notre relais de messagerie accepte tous les messages pour le 
> domaine listes.univ-rennes1.fr et nous souhaiterions que le relais de 
> messagerie n'accepte plus que les messages pour des adresses valides de 
> listes de diffusion.
>  


Je ne sais pas si cela peut aider, mais j'ai été confronté à un problème 
identique à l'automne dernier et je n'ai pas pu le résoudre en 
m'appuyant sur le serveur Ldap car il ne pouvait pas contenir facilement 
toutes les adresses existants sur notre site. Outre le problème 
d'attaque régulières par dictionnaire avec un champ To ou From avec des 
adresses uhb.fr inexistantes, y compris vers le serveur de liste, le 
taux de bounces était très important (plusieurs milliers) dans le 
fonctionnement journalier de la messagerie et donc ingérable. 
Actuellement, on s'appuie essentiellement sur des serveurs sendmail.

La solution pour laquelle j'ai opté est la suivante, et elle est assez 
facile à mettre en oeuvre, :
-le mailhost central continue à en savoir le moins possible,
-l'annuaire ldap n'est pas modifié,
- sur les serveurs feuilles qui sont définis dans la mailertable du 
mailhost central, on crée automatiquement une virtusertable à partir des 
alias (ou adresses électroniques valides) dans un format du genre :
adresse@cachée      adresse1@adresse@cachée
...
adresse@cachée      adressen@adresse@cachée
@uhb.fr  error:5.7.0:550 User unknown

C'est donc vrai aussi pour les aliases de listes

- sur le mailhost central, on rajoute milter-ahead (le ldap du pauvre !) 
qui va vérifier la validité du champ RCPT en faisant un début de connexion.

L'avantage c'est que cela diminue considérablement les bounces (on en a 
plus qu'une vingtaine par jour) car le message est jeté dès le début 
lors de la session, sans transmission du contenu. Et c'est techniquement 
très léger. Avant, c'est Cyrus ou autre qui jetait le message en 
générant donc un message d'erreur vers une adresse fort probablement forgée.

Un effet secondaire inattendu a été que cette configuration a permis le 
contrôle de validité des adresses FROM en uhb.fr pour les messages ne 
provenant pas de notre site.

Une fois cela mis en place, il est possible d'améliorer les rejets au 
plus tôt par exemple en traitant les boîtes d'utilisateurs over quota. 
Il suffit de rajouter automatiquement dans la virtusertable une ligne 
pour les utilisateurs du genre :
adresse@cachée  error:4.2.2:452 Over quota

Il peut aussi y avoir des choses de faites dans la mailertable pour 
rejeter les adresses avec des fqdn invalides (utilisant des noms de host 
par exemple)

Le fait d'avoir peu de bounce permet d'améliorer leur gestion et de 
repérer les vrais problèmes.

J'espère de pas avoir été trop hors sujet.

Je ne sais pas si c'est réalisable chez vous mais si tu veux en savoir 
plus n'hésites pas à me contacter.

> Y-a t'il déjà quelqu'un parmi vous qui aurait mis celà en oeuvre, et si 
> oui, avec quel schéma de nommage (DIT, classes d'objet et attributs LDAP) ?
>
> NB : nous n'avons pas de tables contenant les alias de messagerie, nous 
> utilisons une table d'alias avec des expressions régulières (postfix)
>
> Cordialement,
>
> Odile Germès.
>
>  

Cordialement

--
Hubert Ulliac

Attachment: smime.p7s
Description: S/MIME Cryptographic Signature