Comment publier un serveur MS Exchange 2016 avec pfSense ?



  • Bonjour,

    je viens d'installer un serveur MS Exchange 2016 qui est actuellement derrière un Firewall MS TMG.
    Ce produit ayant été abandonné par MS, je souhaiterais le remplacer par un pfSense.
    Je recherche un tuto adapté.

    Merci de votre aide.

    Pascal.



  • Il y a un formulaire A LIRE EN PREMIER. Mais on peut comprendre qu'il ne soit pas utilisé ici … sauf ...
    Parce que cette question n'a strictement rien à voir (de spécifique) avec pfSense !

    La bonne démarche, valable pour Exchange comme pour d'autres serveurs :

    • quels ports (pour quels protocoles) sont ouverts sur le serveur et doivent être accessible depuis l'extérieur ?

    Une fois, la liste des ports trouvée, les règles dans pfSense sont aisées à écrire (Firewall > NAT > Port forward).

    Cette recherche, demandée dans le formulaire, vous attendez ... que l'on la fasse pour vous.
    C'est nullement le but du forum de la faire à votre place ...

    Néanmoins, ...

    Trivialement, un serveur mail (puisque Exchange en est un) doit :

    • accepter en entrée : smtp : recevoir des mails
    • accepter en entrée : http ou https : webmail

    Il faudrait ajouter ActiveSync dans le cas d'Exchange.

    NB : Perso, pour smtp, JAMAIS je n'autoriserai un accès direct à un Exchange : TOUJOURS un relais mail devant ! (une Debian + un postfix + Amavis/Clamav/Spamassasin)



  • Placer un serveur Exchange juste derrière le firewall sans proxyfier les services rendus accessibles est une opération à haut risque.
    Pensez à votre AD. Qui dit exchange dit copie de l'ad sur le serveur.
    On peut difficilement compter sur la bonne isolation des differents services Windows. C'est quasiment par construction dans cet OS où le niveau d'imbrication est un problème.
    Bref non seulement le relai smtp est pratiquement impératif mais aussi un reverse pour traiter les services que vous voulez exposer. Le reverse et Exchange seront dans des zones réseau différentes séparées par le firewall . Le reverse sera en mesure de gérer différents problèmes de certificats, crypto, analyse de flux http, https etc …



  • Bonjour,

    Pour ccnet :
    Le flux SMTP entrant nous arrive par notre FAI qui le filtre antispam et antivirus. Les adresses de leurs serveurs SMTP nous sont communiquées. Avec mon précédent firewall je n'acceptais le flux SMTP entrant qu'en provenance de ces serveurs. Cela fonctionnait très bien depuis des années avec la version précédente d'Exchange. Mon problème de départ est simplement de remplacer mon firewall en voie d'extinction par un autre produit et je m'interroge sur l'opportunité pfSense.

    Pour jdh :
    Je n'ai pas utilisé le formulaire dans la mesure où ma question était vraiment très simple et la réponse tout autant. Car je ne demande pas qu'on "fasse le travail à ma place", je cherche simplement à savoir s'il existe un tutoriel adapté à mon besoin. Une sorte de recherche documentaire avant d'agir.
    J'ai effectivement besoin de recevoir du SMTP et de permettre l'ActiveSync. Peut-être d'autres flux mais dans un premier temps ce serait suffisant.

    Merci pour vos réponses.



  • L'esprit du formulaire est de décrire un problème, le plus complètement possible, dès le départ.
    Cela évite aux lecteurs de faire des suppositions et un aller et retour de questions/réponses.
    (Pour moi, c'est de la politesse …)
    En particulier, on ne peut que recommander, avant de poser une question, de chercher d'abord dans la doc de pfsense et sur le forum.

    NB : Le site officiel recommande le livre 'The Definitive Guide' (quelle surprise !) : on peut facilement en trouver une version ancienne (pour 1.2.3) dont les principes sont assez proches avec les versions actuelles (2.3 et +)

    Il n'y a pas besoin de grande doc pour comprendre Firewall > Nat > Port forward, à mon avis.
    (Cf plus haut : lecture de The Definitive Guide)

    Il est notable que vous fournissez maintenant des infos, qui auraient gagnées à être indiqués dès le départ.
    Il n'empêche les recommandations faites par ccnet et moi, sont très loin d'être inutiles ...

    Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer (ou de le mettre en oeuvre) avec tout ce qui est autour ...



  • J'ai effectivement besoin de recevoir du SMTP et de permettre l'ActiveSync.

    On en revient au problème initialement soulevé : l'exposition via https d'un serveur Microsoft et son AD …

    Le flux SMTP entrant nous arrive par notre FAI qui le filtre antispam et antivirus. Les adresses de leurs serveurs SMTP nous sont communiquées.

    Est-ce pour autant un flux de confiance venant d'un environnement maitrisé ? Pour moi la réponse est non. Donc des mesures de sécurité s'imposent. Vous faites bien sûr ce que vous voulez de ces remarques. Pour votre problème, la solution passe par la mise en place d'un transfert de port: Firewall -> NAT. Ceci est pourtant très basiquement expliqué dans la documentation. Vous pourrez mettre en place un transfert de port, c'est à dire une translation d'adresse pour un port donné. Ceci étant assez éloigné d'un configuration sécurisé.
    En résumé vous faites du NAT pas de la sécurité.



  • Voyez, il y a 2 façons de dire la même chose :

    @ccnet:

    En résumé vous faites du NAT pas de la sécurité.

    @jdh:

    Ce n'est pas pfSense qui apporte de la sécurité, c'est la façon de l'employer

    pfSense est un firewall, qui sait faire du forward (NAT > Port Forward), mais qui ne fait pas l'analyse à l'intérieur du protocole !

    Un, il faut savoir quel port.
    Deux, il faut savoir comment insérer un proxy qui va réaliser le travail nécessaire de contrôle du protocole, et, ainsi, apporter de la sécurité.
    (De la sécurité … là où il n'y en a pas ou peu ...).


Log in to reply