Iniziamo con questo primo HowTo la (spero lunga) collezione di configurazioni su cui ho dovuto sbattere la testa. Questo documento è scritto basandosi su un server interno MacOS e un server DMZ Linux Debian Lenny, però è possibile adattare la configurazione a qualsiasi altra distrubuzione Linux.
1) Qual è la situazione
In questo caso, il cliente parte avendo un classico server mail in DMZ basato su cyrus/postfix/horde con distribuzione Debian Lenny per la posta aziendale, ma ha successivamente acquistato un server MacOS in quanto utilizza per lo più client MacOS e l’ha collegato in rete LAN. Il cliente ora vuole consolidare la posta e ha quindi richiesto che il server interno MacOS funga anche da server mail.
Dato che il server MacOS contiene informazioni molto importanti, il cliente (giustamente) non vuole però che sia direttamente raggiungibile attraverso Internet; si assume che:
a) i server MX del dominio di posta sono dall’ISP e questi inoltreranno la posta ai server dell’azienda con un transport SMTP;
b) il server MacOS non spedirà direttamente su Internet la posta ma si utilizzerà il server relay dell’ISP che però necessita di autenticazione;
c) c’è l’esigenza di far accedere alla posta alcuni utenti che si connettono dall’esterno ma non si vuole né farli accedere direttamente al server MacOS aprendo le porte sul firewall, né costringere l’utente ad aprire un collegamento VPN sia per una questione di praticità, sia perché non si vuole esporre l’intero server MacOS all’utente che si collega in VPN.
Pertanto si riconfigurerà il vecchio server in DMZ in modo che funga sia da server webmail (Horde) accedendo alle caselle IMAP del server MacOS, sia da proxy per le connessioni IMAP provenienti dall’esterno e sia da server SMTP Auth per la spedizione delle mail degli utenti esterni sulla porta 587. Inoltre riceverà le mail in arrivo attraverso la porta 25 provenienti dai server MX dell’ISP e le girerà al server MacOS. Così facendo, solo il server Linux sarà esposto ad Internet (come avveniva prima dell’aggiunta del server MacOS) sulle porte 443 (Webmail), 25 (posta in ingresso dagli MX ISP), 587 (SMTP Autenticato), 143 (IMAP) e il server aziendale starà al sicuro all’interno della lan. Visto che le connessioni tra il server in DMZ e il server MacOS passano attraverso il firewall, sarà necessario permettere l’accesso alle porte 25 e 143 dal server in DMZ verso il server MacOS.
Ottimo post Alberto… se lo avessi fatto circa due mesi fa mi avresti fatto risparmiare due giornate di lavoro sui miei server OSX. Comunque sta di fatto che con Server Admin si sarebbe quasi riuscito a fare tutto tranne che per un piccolo bug per quanto riguarda la sezione Relay… L’applicativo infatti si dimentica di mettere nel main.cf la riga smtp_sasl_secutity_option=. , altrimenti lo si potrebbe configurare direttamente Server Admin. Ma staremo a vedere con OSX 10.7. La versione server di Leopard di sceglierà in fase di installazione un po’ come Linux… A proposito mai provato atmail6 con osx è grandioso e fino a 5 user è free.
Si, infatti: come dicevo nell’articolo, smtp_sasl_secutity_option= è stato il primo problema che ho dovuto affrontare in questa configurazione.
Ho avuto modo di vedere ATMail in quanto un cliente l’ha acquistato e gliel’ho migrato su un server virtuale; però il numero di mailbox che deve gestire è parecchio elevato, pertanto è intenzionato ad abbandonarlo proprio per i costi di licenza.
Cosa hai utilizzato al posto di atmail ?
Premettiamo che su MacOS server, di default è installato squirrelmail, anche se è inibito l’accesso finchè non si abilita l’HTTPS su Server Admin. Detto questo, la necessità del cliente é di accedere ad una webmail presente sul server intermedio in DMZ: loro precedentemente usavano quel server anche per la webmail e c’era già installata Horde, per cui non ho fatto altro che mantenere la configurazione esistente.
Francamente non apprezzo molto Horde come interfaccia webmail: può fare molte cose, ma l’interfaccia web è un po’ troppo dispersiva. Personalmente mi piace molto l’interfaccia di roundcube che molto pulita, semplice ed è in Web 2.0. Purtroppo, almeno per il momento, è limitata alla webmail e non è integrabile con calendari e rubriche indirizzi esterne.
AGGIORNAMENTO: modificata la configurazione del proxy perdition levando ACL2 in quanto incompatibile con la versione di Dovecot installata su MacOS; riguardo l’autenticazione su MacOS abilitato solo i protocolli non criptati in quanto la mancanza di un certificato firmato crea difficoltà su alcuni client di posta.
Inoltre, modificato l’impaginazione usando la suddivisione in più sottopagine e inserito i link ai software esterni utilizzati.