BLOG

1 mars 2024

Développement d'une messagerie d'entreprise multi-utilisateurs et multi-domaines. Le cas spécifique Managedserver.it

Comme chez Managedserver.it, nous avons migré notre système de messagerie sans que personne ne s'en aperçoive, en utilisant uniquement des logiciels Open Source.

Table des matières de l'article :

Au cours des dix dernières années, notre précédent serveur de messagerie a joué un rôle crucial dans la gestion des communications d'entreprise, se révélant être un outil fiable et performant. Cependant, avec l'évolution technologique et l'augmentation des besoins de sécurité et de flexibilité, nous avons jugé nécessaire d'entreprendre un chemin de mise à jour et d'innovation. C'est avec beaucoup d'enthousiasme que nous annonçons, à compter d'aujourd'hui 1er mars, la transition vers notre nouvelle solution de système de messagerie multi-utilisateurs, entièrement basée sur une plateforme Cloud propriétaire.

Cette décision est le résultat d'une évaluation minutieuse des besoins de l'entreprise, combinée à la volonté d'offrir à nos clients un service de plus en plus fiable, sûr et avant-gardiste. La mise en œuvre du nouveau système de messagerie représente une étape importante dans notre stratégie de numérisation et d'optimisation des ressources de l'entreprise.

Dans cet article, nous souhaitons partager avec vous, lecteurs et clients, le parcours qui nous a conduit au développement et au lancement de la nouvelle solution de messagerie.. Nous explorerons ensemble le processus de mise en œuvre, en mettant en évidence les principales caractéristiques et avantages du nouveau système, le logiciel choisi pour son fonctionnement, ainsi que les raisons qui sous-tendent nos choix technologiques et technico-stratégiques. L'objectif est de proposer un regard approfondi sur les innovations introduites et comment celles-ci se traduisent en valeur ajoutée pour nos clients et dans l'efficacité de leurs activités quotidiennes.

La transition vers notre solution Cloud propriétaire marque un moment important dans l’histoire de notre entreprise, reflétant notre engagement continu envers l’excellence et la satisfaction client. Avec cette démarche, nous nous plaçons à l'avant-garde du paysage technologique, en adoptant les infrastructures et les solutions logicielles les plus modernes pour garantir des performances supérieures, une plus grande évolutivité et une sécurité sans compromis.

Nous vous invitons à nous suivre dans cette exploration détaillée de notre nouveau système de messagerie, convaincus qu'il représente non seulement un saut qualitatif pour notre entreprise, mais aussi un modèle d'innovation et de bonnes pratiques pour l'ensemble du secteur.

La nécessité d'un nouveau serveur de messagerie

La décision de migrer vers une nouvelle solution pour notre système de messagerie n'a pas été prise à la légère, mais est le résultat d'une évaluation minutieuse des besoins et des défis techniques rencontrés avec l'ancien serveur de messagerie. Le système utilisé, basé sur une solution propriétaire développée sur CentOS 6, a atteint la fin de son cycle de vie utile, entrant dans la phase de fin de vie (EOL) en novembre 2020. Cela signifie que CentOS 6 a cessé de recevoir les mises à jour officielles de sécurité et du système, exposant potentiellement notre infrastructure à des vulnérabilités qui ne peuvent pas être atténuées par de nouvelles versions de correctifs. Même si nous utilisions des dépôts non officiels et des versions spécifiques non vulnérables du Kernel, il est également vrai que le moment était venu de dire au revoir à un système qui avait très bien fait son travail et qui commençait encore à montrer les premiers signes de défaillance opérationnelle.

CentOS-Linux-8-Fin-de-vie-EOL-Dates_jpg

La gestion et la maintenance de l'ancien système étaient devenues de plus en plus complexes et sensibles, en partie à cause de la nécessité d'utiliser des noyaux Linux non officiels provenant des référentiels ELRepo pour maintenir à jour les défenses contre les menaces de sécurité. Même si ces noyaux pouvaient offrir un certain niveau de sécurité à jour, de nombreux composants logiciels essentiels au fonctionnement du serveur de messagerie n'étaient plus à jour. Ce déficit technologique s'est traduit par des limitations importantes en termes de performances, de stabilité et de disponibilité de nouvelles fonctionnalités, essentielles pour répondre efficacement aux besoins métiers en constante évolution.

Bien que le service email ne représente pas le cœur de métier de notre entreprise, la gestion de plus de 25.000 XNUMX comptes de messagerie actifs nécessite un contrôle rigoureux de la stabilité, de l'efficacité et des fonctionnalités du service. Ce besoin a été encore souligné début février, lorsque nous avons rencontré pour la première fois un bug très particulier qui affectait un seul client mais compromettait la stabilité de l'ensemble du serveur IMAP. Le bug était imputable à une version obsolète de Dovecot, mettant ainsi en évidence les problèmes intrinsèques et inattendus des logiciels obsolètes.

Le besoin urgent de mettre à jour un seul composant comme Dovecot a donc accéléré notre décision d'avancer la transition vers le nouveau serveur de messagerie, initialement prévue pour juin 2024. La nouvelle solution, basée sur des technologies de pointe et des infrastructures Cloud, ne résout pas seulement le problèmes liés à la sécurité et à l'obsolescence technologique mais offre également des améliorations significatives en termes de performances, d'évolutivité et d'innovation de fonctionnalités. Ce changement de direction est motivé par la connaissance qu'un système de messagerie moderne, efficace et sécurisé est essentiel pour soutenir les activités commerciales et garantir la meilleure expérience possible à nos clients.

Des serveurs de messagerie commerciaux ou open source créés ad hoc ?

Lors du processus d'évaluation de la refonte de notre système de messagerie, nous avons été confrontés à une décision cruciale : opter pour une solution commerciale ou développer une solution Open Source personnalisée. Au départ, l’idée d’adopter une solution commerciale semblait séduisante. Cette option promettait de nous libérer des tâches fastidieuses de mise en œuvre, de gestion et de mise à jour du système, nous donnant ainsi la possibilité de nous concentrer sur d'autres aspects de notre entreprise. Payer une licence et s'appuyer sur un produit « clé en main » aurait pu paraître la voie la plus simple et la plus directe.

Cependant, notre analyse des différentes solutions commerciales disponibles sur le marché a soulevé plusieurs inquiétudes. Nous avons découvert que, dans de nombreux cas, les modèles de tarification proposés n'étaient pas compatibles avec la structure de coûts de nos services. Concrètement, cela signifiait que nous finirions par dépenser plus en licences que ce que nous pourrions gagner en vendant le service lui-même.. Certains modèles de tarification étaient basés sur le nombre de boîtes aux lettres plutôt que sur le nombre de serveurs de messagerie, ce qui rendait les coûts inacceptablement élevés pour notre modèle économique. De plus, nous avons constaté que certaines entreprises proposaient des solutions basées sur des logiciels Open Source et du domaine public déjà connus, facturant un supplément pour leurs interfaces personnalisées.

Une autre préoccupation majeure était le recours à des fournisseurs tiers pour la maintenance et le support technique. Considérant qu'au cours de nos plus de 10 années d'activité, nous avons enregistré au maximum une demi-heure d'arrêt, l'idée de devoir attendre l'intervention d'un service d'assistance externe pour résoudre d'éventuels problèmes était inconcevable. La perspective de s'appuyer entièrement sur une solution technologique gérée par un tiers présentait des risques importants, notamment des changements dans les modèles de licence, des augmentations de prix ou, pire encore, la faillite du fournisseur.

Par ailleurs, l'idée de s'engager dans une sorte de « mariage » avec toutes ces inconnues, doutes et perplexités, ainsi que le coût annuel de la licence qui variait entre 5000 10.000 et 50.000 10 euros (ce qui se traduit par un investissement d'au moins XNUMX XNUMX euros sur une période de XNUMX ans), nous a amené à reconsidérer sérieusement notre stratégie.

Ayant déjà l'expérience et les compétences nécessaires pour développer une solution interne, comme nous l'avions fait avec notre précédent serveur de messagerie, nous avons décidé de suivre cette voie.. Cette approche nous a permis d'ajouter de nouvelles caractéristiques et fonctionnalités, tout en améliorant certains aspects qui, dans le système précédent, étaient limités par les restrictions de logiciels obsolètes. Le choix de développer une solution Open Source ad hoc nous a offert la liberté de personnaliser le système en fonction de nos besoins spécifiques, tout en garantissant un contrôle total sur la sécurité, la stabilité et l'efficacité du service. Cette décision reflète notre engagement à fournir des solutions de pointe, tout en maintenant une gestion indépendante et flexible de nos infrastructures technologiques.

Serveur dédié ou Cloud ?

Le choix entre me garder Serveurs Dédiés o la migration vers une solution Cloud pour notre système de messagerie d'entreprise multi-domaines a été un point crucial dans la phase de planification du nouveau serveur de messagerie. La configuration précédente reposait sur deux machines physiques dédiées et redondantes, avec un système de fichiers partagé, une solution qui garantissait une grande fiabilité en termes de disponibilité même pendant les phases de maintenance ou en présence de pannes, ainsi qu'une gestion optimale de la charge pour le courrier sortant. Malgré ces avantages, le fait d’être lié aux systèmes physiques et, par conséquent, au matériel sous-jacent, ne répondait pas pleinement à nos attentes pour l’avenir.

Le but était de surmonter les limitations imposées par le matériel physique, en visant une solution plus flexible et évolutive. Nous aurions préféré adopter une architecture de cluster, basée sur des instances dédiées, avec un système de fichiers élastique et extensible capable de s'adapter facilement à nos besoins de croissance, passant des 8 téraoctets actuels à des dizaines de téraoctets avec simplicité et rapidité, grâce à l'allocation de volumes du réseau CEPH.

RED_HAT_CEPH

De plus, la configuration précédente utilisait des disques mécaniques SAS qui, bien que fiables, présentaient des limites en termes de performances, de latence et de capacité à gérer des accès simultanés importants – imaginez, par exemple, 5000 200 utilisateurs accédant au courrier électronique en même temps – avec une vitesse de lecture non dépassant XNUMX Mo/s. La perspective de passer au CEPH sur les disques NVMe de dernière génération promettait une amélioration exponentielle des performances, comme le confirment nos tests préliminaires, qui ont mis en évidence des vitesses de transfert supérieures à 1,5 Go/s, marquant une augmentation des performances de 700 %.

Cette accélération notable serait non seulement bénéfique pendant les périodes de charge de pointe, mais également lors des opérations de sauvegarde nocturnes sur deux SAN géographiques, améliorant considérablement l'efficacité et la résilience du système.

Compte tenu de ces prémisses et après une évaluation minutieuse des avantages et des inconvénients, nous avons pris la décision de virtualiser l'ensemble de l'infrastructure sur le Cloud. Le choix d'utiliser les volumes réseau OpenStack et CEPH sur des appareils NVMe de dernière génération s'est avéré être la stratégie optimale pour garantir l'évolutivité, la flexibilité et les hautes performances que nous recherchions. Cette transition marque une avancée significative dans notre capacité à gérer de manière efficace et efficiente le volume croissant de données et la demande de services, jetant ainsi les bases d'une infrastructure de messagerie moderne, fiable et prête pour l'avenir.

La nécessité d’une migration clé en main et transparente

Pour nous, l’objectif principal du passage de l’ancienne infrastructure de messagerie à la nouvelle était d’assurer une transition totalement transparente et indolore pour les utilisateurs. Le défi était double : d’une part, il était impensable de gérer les demandes d’assistance de plus de 10.000 XNUMX personnes dans la journée suivant le basculement ; en revanche, il était essentiel de ne modifier en rien le mode de fonctionnement des utilisateurs. Même le moindre changement - qu'il s'agisse d'un changement de couleur d'un bouton, d'un logo ou d'un texte - aurait pu générer de l'anxiété et de la confusion chez les utilisateurs moins expérimentés, se transformant en une vague d'appels téléphoniques au service d'assistance et d'e-mails de demande d'assistance. Cela est particulièrement vrai dans un contexte comme le nôtre, où l'utilisateur final peut aller du professionnel techniquement compétent à la secrétaire sur le point de prendre sa retraite.

Notre objectif était donc de créer une sorte de « magie », en orchestrant un jeu d'adresse où les utilisateurs ne remarqueraient rien d'autre qu'une nette amélioration de la qualité du service. Cela signifiait lire sur la migration uniquement à travers cet article, sans avoir constaté de discontinuité dans leur utilisation quotidienne du courrier électronique.

Pour y parvenir, nous avons méticuleusement planifié chaque étape de la migration. Nous avons répliqué la configuration logicielle existante sur la nouvelle plate-forme, en la mettant à jour avec les dernières versions et en remplaçant les composants qui pouvaient être améliorés. Cette approche garantissait que, du point de vue de l'utilisateur final, rien ne changeait : les hôtes et les URL restaient les mêmes, tout comme les panneaux de contrôle, les mots de passe et tous les autres éléments d'interface familiers.

Le résultat a été exactement ce que l’on espérait : une migration invisible pour les utilisateurs, qui leur a permis de continuer à utiliser les services de messagerie sans interruption ni inconvénient, sans se rendre compte du travail technologique complexe qui se faisait en coulisses. Cette transparence a été essentielle pour maintenir la confiance et la tranquillité d'esprit de nos utilisateurs, démontrant qu'il est possible d'apporter des changements technologiques importants sans avoir d'impact négatif sur l'expérience utilisateur.

Préparez-vous bien à l’avance : la stratégie de migration

Une planification minutieuse était la clé d'une transition réussie vers le nouveau système de messagerie d'entreprise. Conscients de l’importance de cette étape, nous nous sommes préparés très en amont en fixant un délai préventif de 20 jours. Cette période a été consacrée à l'attribution de 8 nouvelles adresses IP destinées à remplacer celles utilisées sur l'ancien serveur de messagerie. Le choix de renouveler les adresses IP n'était pas aléatoire, mais motivé par la conscience que, dans leur passé, certaines d'entre elles pouvaient avoir été impliquées dans des activités indésirables telles que l'envoi de SPAM, se retrouvant ainsi incluses dans des listes anti-spam ou bloquées par le principaux fournisseurs de services de messagerie tels que Google, Microsoft, Yahoo et autres.

Pour atténuer ce risque et assurer une transition en douceur, nous avons entrepris un examen approfondi des 8 nouvelles adresses IP. À l'aide d'un domaine test attribué sur le nouveau serveur de messagerie, nous avons effectué plusieurs tests d'envoi d'e-mails à des destinataires appartenant aux services de messagerie les plus connus, tant internationaux qu'italiens, tels que tim.it, alice.it, libero.it, et d'autres. Ce test préliminaire a révélé qu'à deux reprises, une IP a été rejetée par Microsoft et une autre par Google, tandis que toutes les autres ont été acceptées sans problème.

Un élément clé de ce processus de vérification impliquait les DNSBL (DNS-based Blackhole Lists), qui sont des bases de données publiques utilisées pour identifier les adresses IP connues pour être des sources de SPAM ou d'autres types d'abus de courrier électronique. Des outils comme DNSBL.info et MultiRBL (Multi Valli) ont été utilisés pour garantir que nos nouvelles adresses IP ne figuraient pas sur ces listes noires. DNSBL.info et MultiRBL sont des services en ligne qui permettent de vérifier simultanément la présence d'une adresse IP spécifique sur plusieurs DNSBL, offrant ainsi une vision globale de la réputation et de la fiabilité d'une IP par rapport à l'envoi d'e-mails.

Grâce à ces mesures préventives et à un contrôle scrupuleux, nous avons atteint un niveau de satisfaction et de réputation des adresses IP qui garantit le bon déroulement de la mise en œuvre du nouveau serveur de messagerie. Cette phase de préparation préliminaire, caractérisée par une planification minutieuse et des contrôles techniques approfondis, a jeté les bases d'une migration efficace, minimisant les risques de pannes ou de problèmes de réputation IP dans le contexte de notre nouvelle infrastructure de messagerie.

Choisir un logiciel pour le nouveau serveur de messagerie

Dans le projet de renouvellement de notre serveur de messagerie, nous avons cherché à maintenir la continuité avec l'infrastructure préexistante, tout en introduisant des améliorations significatives en termes de performances et de sécurité. Le choix du logiciel a joué un rôle crucial dans cette phase, nous orientant vers des solutions capables de garantir une transition en douceur et en même temps de représenter un saut qualitatif par rapport au passé.

1. Le système d'exploitation : AlmaLinux 9

Pour le cœur de notre nouveau système de messagerie, nous avons choisi de continuer à nous appuyer sur un système d'exploitation dérivé de RHEL (Red Hat Enterprise Linux), en optant pour AlmaLinux 9 comme successeur naturel du précédent CentOS.

Le choix était incertain entre Rocky Linux et AlmaLinux, car les deux systèmes d'exploitation sont des forks RHEL créés en réponse à la décision de Red Hat de déplacer CentOS d'une distribution en aval (basée sur le code source de Red Hat Enterprise Linux (RHEL)) vers une distribution en amont. (Flux CentOS) e interdire la distribution du code source aux non-abonnés.

Alma Linux 9.3

Bien que nous reconnaissions la valeur de RockyLinux en tant que distribution développée et entièrement prise en charge par la communauté, le passé de CentOS a soulevé des inquiétudes quant à la durabilité et à la fiabilité à long terme des distributions exclusivement communautaires. Ce contexte nous a poussé à considérer AlmaLinux avec plus d'attention. Bien qu'AlmaLinux bénéficie d'un fort soutien de la communauté GNU/Linux, il est important de souligner qu'elle ne se positionne pas exclusivement comme une distribution « Enterprise Community Driven ». Cette distinction nous a permis d'explorer une solution qui, tout en étant ancrée dans les valeurs de la communauté open source, propose un modèle d'accompagnement et de développement qui ne dépend pas uniquement du volontariat communautaire, mais qui profite également de structures organisationnelles plus solides juridiquement et financièrement. .

AlmaLinux est développé et pris en charge par CloudLinux, via sa division TuxCare. CloudLinux fournit depuis longtemps des solutions de sécurité et de stabilité pour les serveurs Linux, en particulier dans le domaine de l'hébergement. Leur expérience se reflète dans le développement d'AlmaLinux, avec un fort accent sur la compatibilité binaire avec RHEL et un engagement à long terme en matière de sécurité et de support.

La Certification FIPS AlmaLinux c'est un aspect crucial pour les organisations qui opèrent dans des environnements réglementés ou qui manipulent des données sensibles. La certification FIPS valide que les modules cryptographiques utilisés dans le système d'exploitation répondent aux normes établies par le National Institute of Standards and Technology (NIST) des États-Unis.. Cela est particulièrement pertinent pour des secteurs tels que le gouvernement fédéral, la santé et la finance, où le respect des normes de sécurité est obligatoire.

Certification FIPS AlmaLinux

Nous avons donc adopté AlmaLinux trouvant important d'obtenir les avantages suivants :

  • Assistance TuxCare: Bénéficiant du support d'une entreprise possédant une vaste expérience dans le domaine de la sécurité et de la stabilité des systèmes Linux, AlmaLinux bénéficie de mises à jour ponctuelles et d'un support technique robuste.
  • Certification FIPS: La certification FIPS signifie qu'AlmaLinux est adapté aux environnements qui nécessitent des niveaux élevés de sécurité et de conformité, ce qui en fait un choix solide pour les organisations qui ont besoin de cette certification pour leurs systèmes d'exploitation.
  • Stabilité et fiabilité: Une compatibilité étroite avec RHEL garantit que les utilisateurs d'AlmaLinux peuvent bénéficier d'un système d'exploitation stable et fiable, avec une large gamme de logiciels pris en charge et testés.

AlmaLinux se présente comme une distribution Linux open source et communautaire, créée comme une alternative directe à CentOS suite à la décision de Red Hat de déplacer CentOS Stream. Avec un support étendu jusqu'en 2032, AlmaLinux 9 promet stabilité, sécurité et une feuille de route claire pour les futures mises à jour, éléments clés pour la continuité opérationnelle et la résilience de notre serveur de messagerie.

AlmaLinux-9-EOL

Le choix d'AlmaLinux a été guidé par la nécessité d'assurer une base solide et fiable à notre système, avec la garantie d'un support à long terme qui nous permet de planifier l'avenir avec plus de sérénité. L'adhésion aux normes RHEL garantit également une large compatibilité avec les logiciels et applications, facilitant l'intégration de nouvelles technologies et la gestion d'éventuels problèmes.

L'ajout d'un référentiel de pointe tel qu'ElRepo nous a permis d'installer les derniers Kernels mis à jour vers la branche 6.7 et d'obtenir immédiatement des avantages en termes de pile réseau, de mémoire et de gestion des processus, ainsi que le désormais habituel TCP BBR peut améliorer TCP/ Connexions IP même dans les zones à faible couverture.

 

2. Serveur MTA : Postfix

Quant au serveur MTA (Mail Transfer Agent), nous avons renouvelé notre confiance en Postfix, le confirmant comme un choix préférentiel par rapport aux alternatives telles que Sendmail, Qmail et EXIM. La décision de continuer avec Postfix a été dictée par sa fiabilité, son évolutivité et sa relative facilité de configuration et de gestion, aspects qui le rendent particulièrement adapté à nos besoins.

MTA Postfix

Un facteur déterminant dans le choix de Postfix a été sa compatibilité avec le backend MySQL, que nous utilisons pour gérer efficacement les utilisateurs, les domaines, les alias, les règles de transfert et les répondeurs automatiques via le Administrateur PostFix. Cette intégration nous a permis d'importer et de migrer en toute transparence la base de données des utilisateurs de messagerie existante depuis l'ancien serveur, garantissant ainsi une continuité opérationnelle essentielle pendant la phase de transition.

La combinaison de Postfix avec MySQL représente une solution robuste et flexible pour notre environnement de messagerie, nous permettant d'optimiser la gestion des ressources et de mettre en œuvre des politiques de sécurité avancées. La possibilité de personnaliser en détail les règles de routage du courrier et de gérer dynamiquement les utilisateurs via PostFixAdmin a représenté pour nous un pas en avant notable vers un service de messagerie plus sécurisé, plus performant et évolutif.

Fournisseur de messagerie Hostalo

 

3. Serveur POP3 et IMAP avec Dovecot

Dans la restructuration de notre serveur de messagerie, le choix du logiciel pour gérer les protocoles POP3 et IMAP a été tout aussi crucial que celui du serveur MTA. Dans ce domaine, nous avons confirmé notre confiance en Dovecot, qui s'est imposé depuis longtemps comme l'un des leaders du marché pour la gestion efficace et sécurisée des accès aux boîtes de réception de courrier électronique. Dovecot a été préféré aux solutions alternatives telles que Courier principalement en raison de sa fiabilité, de sa flexibilité et de sa sécurité. et pour la vaste gamme de fonctionnalités avancées qu'il propose, notamment en matière de sécurité et d'optimisation des performances.

Pigeonnier-BLEU

L'un des aspects clés qui ont renforcé notre décision de conserver Dovecot a été sa compatibilité et son intégration avec le backend MySQL via le plugin dovocot-mysql. Cette fonctionnalité nous a permis d'exploiter la même base de données déjà utilisée par Postfix, facilitant une gestion unifiée et cohérente des utilisateurs, des quotas et de nombreuses autres configurations liées à la réception et à l'envoi de courrier. La possibilité d'interroger la base de données lors de la connexion ou lors de la gestion des quotas d'utilisateurs via Dovecot représente un avantage significatif en termes d'efficacité opérationnelle et de sécurité.

Le fait d'avoir déjà préparé les requêtes dans l'ancien système et la possibilité de les réutiliser sans modifications significatives ont fait de Dovecot la solution idéale pour notre environnement. Cela a garanti une intégration fluide et minimisé les efforts de configuration, nous permettant de nous concentrer sur l’optimisation et la sécurisation du service.

Dovecot prend en charge nativement les protocoles POP3 et IMAP, y compris leurs versions cryptées sécurisées (POP3S et IMAPS), avec prise en charge du cryptage TLS. Cela garantit que toutes les communications entre les clients de messagerie et le serveur se déroulent de manière protégée, préservant la confidentialité et l'intégrité des données échangées. La mise en œuvre de Dovecot, en synergie avec des politiques de sécurité avancées et les meilleures pratiques de chiffrement, nous permet d'offrir à nos utilisateurs un accès sécurisé à leurs boîtes de réception de courrier électronique, minimisant les risques associés aux interceptions et aux cyberattaques.

Améliorer l’aspect SPAM et sécurité.

Bien que la configuration de notre système de messagerie, avec MySQL comme backend, Postfix comme Mail Transfer Agent (MTA) et Dovecot pour la gestion des protocoles POP3 et IMAP, puisse paraître complète d'un point de vue théorique, la réalité quotidienne nous présente des défis toujours nouveaux en termes de sécurité et de gestion du SPAM. Ces problèmes représentent un jeu permanent de stratégie « flics et voleurs », dans lequel les attaques de spam et les menaces de sécurité évoluent constamment, nécessitant une adaptation et une attention constantes.

Pour relever ces défis, nous avons choisi de conserver certaines bonnes pratiques de l'ancien système de messagerie, en remplaçant ou en ajoutant des composants si nécessaire, afin de renforcer davantage notre infrastructure contre les menaces externes. L'une des stratégies les plus efficaces que nous avons mises en œuvre concerne le contrôle du trafic entrant via les principales listes DNSBL (DNS-based Blackhole List).

1. Contrôle des listes maîtres DNSBL

Les listes DNSBL sont utilisées pour identifier et bloquer les adresses IP connues pour être des sources de SPAM ou d'autres activités malveillantes. En intégrant le contrôle de ces listes dans notre MTA Postfix, nous sommes en mesure de rejeter en amont les connexions provenant d'adresses IP compromises. Plus précisément, nous avons configuré Postfix pour interroger les listes DNSBL suivantes:

bl.spamcop.net

b.barracudacentral.org

zen.spamhaus.org

Lorsqu'un message est envoyé à notre serveur, Postfix vérifie automatiquement si l'adresse IP de l'expéditeur figure sur l'une de ces listes. Si l'adresse IP est répertoriée, le message est rejeté avant de pouvoir entrer dans notre système. Cette approche préventive présente le double avantage d'améliorer la sécurité, de filtrer les acteurs malveillants avant qu'ils n'atteignent les boîtes de réception des utilisateurs et d'optimiser l'utilisation des ressources, en évitant au système d'avoir à utiliser le CPU et la mémoire pour analyser et gérer les messages potentiellement dangereux.

comment-fonctionne-la-vérification-de-la-liste-noire

Filtrer les messages en amont, en rejetant les connexions provenant d'adresses IP sur liste noire, nous permet de réduire considérablement le volume de SPAM et de menaces qui parviennent à pénétrer dans notre système. Cela améliore non seulement l'expérience des utilisateurs, qui doivent traiter moins de messages indésirables, mais contribue également à maintenir l'intégrité et les performances de notre serveur de messagerie, garantissant un service de messagerie plus sécurisé, fiable et efficace.

2. Vérifiez le SPF et le DKIM de l'expéditeur

Une attention particulière a été portée à la vérification de l'intégrité et de l'authenticité des messages entrants en vérifiant les enregistrements SPF (Sender Policy Framework) et les signatures DKIM (DomainKeys Identified Mail) des expéditeurs. Ces deux mécanismes jouent un rôle crucial pour garantir que les e-mails reçus sont légitimes et n'ont pas été modifiés ou envoyés par des entités frauduleuses.

Vérifiez le FPS

Le contrôle SPF permet de vérifier si l'adresse IP du serveur qui a envoyé l'e-mail est autorisée par le domaine de l'expéditeur à le faire. Ceci est réalisé en comparant l'IP avec la liste des adresses autorisées publiée dans le DNS du domaine expéditeur sous la forme d'un enregistrement SPF. Si la vérification échoue, cela indique que l'e-mail n'a peut-être pas été envoyé par une entité autorisée, ce qui augmente la probabilité qu'il s'agisse d'une tentative de phishing ou de spam. En mettant en œuvre un contrôle SPF strict, nous renforçons notre défense contre les abus de courrier électronique, limitant ainsi la possibilité que des messages malveillants ou non autorisés parviennent aux utilisateurs finaux.

Vérifiez DKIM

Parallèlement, le contrôle DKIM ajoute une couche de sécurité supplémentaire en vérifiant que le contenu de l'email n'a pas été modifié pendant le transport. Ceci est réalisé en vérifiant une signature numérique attachée au message, qui a été générée à l'aide d'une clé privée connue uniquement du domaine d'envoi. La clé publique correspondante, publiée dans le DNS du domaine, permet de décrypter la signature et de confirmer l'intégrité du message. Une signature DKIM valide est un indicateur fort que l'e-mail est authentique et que le contenu n'a pas été modifié, offrant ainsi aux utilisateurs une plus grande sécurité dans la gestion de leurs communications par e-mail.

 

3. ClamAV et Amavis comme solution antivirus et antispam

Dans le cadre de notre engagement constant à garantir la sécurité et l'intégrité du système de messagerie de l'entreprise, nous avons décidé de continuer à utiliser ClamAV et Amavisd-New, solutions déjà implémentées dans notre précédent serveur de messagerie. Ces applications, configurées pour fonctionner ensemble comme Milter (Mail Filter) pour Postfix, représentent la première ligne de défense contre un large éventail de cybermenaces, notamment les virus, les logiciels malveillants et le spam, qui tentent quotidiennement d'infiltrer les communications par courrier électronique.

Amavisd---Clamav

Qu’est-ce que ClamAV ?

ClamAV est un antivirus open source conçu spécifiquement pour détecter les chevaux de Troie, virus, logiciels malveillants et autres menaces malveillantes dans les systèmes de messagerie. Grâce à sa base de données de signatures de virus constamment mise à jour par la communauté, ClamAV est en mesure de fournir une protection rapide et efficace contre les dernières menaces connues. Son intégration dans le serveur de messagerie permet d'analyser en temps réel les pièces jointes et le contenu des e-mails entrants et sortants, bloquant ainsi la propagation de contenus nuisibles avant qu'ils n'atteignent les destinataires ou ne soient envoyés par nos utilisateurs.

Qu’est-ce qu’Amavis (Amavisd-New) ?

Amavisd-New, communément appelé Amavis, est un filtre de contenu qui agit comme une interface entre votre serveur de messagerie et divers outils de vérification du spam et des virus, dont ClamAV. Amavis analyse les messages en transit, en tirant parti des capacités de détection de ClamAV et d'autres outils anti-spam pour évaluer la légitimité et la sécurité du contenu. En plus de l'analyse antivirus, Amavis met en œuvre des contrôles basés sur des listes noires, des analyses heuristiques et des filtres bayésiens pour identifier et gérer efficacement les messages de spam.

La combinaison ClamAV et Amavis sur le serveur de messagerie

La collaboration entre ClamAV et Amavis sur notre serveur de messagerie constitue un système anti-spam et anti-virus intégré et très efficace. Alors que ClamAV se concentre sur la détection et la neutralisation des menaces virales, Amavis agit comme un puissant filtre de contenu, examinant chaque message à la recherche de spam et de logiciels malveillants à l'aide d'une série de techniques avancées. Cette approche de sécurité à plusieurs niveaux nous permet d'intercepter un plus large éventail de menaces, garantissant ainsi la protection globale de notre système de communication par courrier électronique.

La configuration de ClamAV et Amavis en tant que filtre Milter pour Postfix vous permet d'intégrer étroitement les capacités d'analyse anti-spam et antivirus directement dans le flux de traitement des messages de Postfix, optimisant ainsi les performances et minimisant l'impact sur le délai de livraison des e-mails. Cette solution améliore non seulement considérablement la sécurité de notre serveur de messagerie, mais contribue également à maintenir la confiance des utilisateurs en garantissant que leurs communications sont protégées contre un large éventail de cybermenaces.

4. Rspamd comme alternative performante au obsolète SpamAssassin

Toujours dans le but d'obtenir le maximum en terme d'antispam, nous avons décidé d'adopter Rspamd pour remplacer SpamAssassin, que nous avions utilisé dans notre précédent serveur de messagerie. Ce choix a été motivé par la nécessité de répondre plus efficacement et plus rapidement aux stratégies sophistiquées utilisées par les spammeurs modernes, tout en garantissant un impact minimal sur les ressources système.

rspamd_logo_black

Pourquoi Rspamd ?

Rspamd se distingue par être une solution moderne et très performante dans le domaine du filtrage anti-spam. Contrairement à SpamAssassin, connu pour son approche basée sur des règles et sa flexibilité, Rspamd introduit de nombreuses améliorations en termes de vitesse de traitement, de précision de détection du spam et de réduction de la consommation de ressources.

Grâce à son architecture modulaire et à sa prise en charge native du multitraitement, Rspamd est capable d'analyser en parallèle un volume nettement plus important de messages, réduisant ainsi les temps d'attente et améliorant l'expérience de l'utilisateur final.

Fonctionnalités avancées et intégration avec REDIS

L'une des fonctionnalités les plus appréciées de Rspamd est sa capacité à s'intégrer à des systèmes externes tels que REDIS, un magasin de données en mémoire qui peut être utilisé pour stocker divers types de données utiles au filtrage du spam, telles que les empreintes digitales des messages, les listes noires/listes blanches et Scores bayésiens. Cette intégration permet à Rspamd d'offrir des fonctionnalités avancées telles que la limitation du débit, la liste grise basée sur des métriques en temps réel et le contrôle des modèles d'envoi, améliorant considérablement la résilience du système aux attaques de spam et de phishing.

interface Web

De plus, Rspamd dispose d'un ensemble riche et évolutif de modules pour l'analyse de contenu, la vérification DKIM (DomainKeys Identified Mail), SPF (Sender Policy Framework), DMARC (Domain-based Message Authentication, Reporting & Conformance) et la détection de phishing. Ces outils, combinés à des algorithmes d'apprentissage automatique, permettent à Rspamd de s'adapter dynamiquement aux nouvelles techniques de spam, offrant ainsi une protection proactive contre les menaces émergentes.

Meilleures performances et évolutivité

La migration vers Rspamd a entraîné une amélioration significative des performances globales de notre système de filtrage anti-spam. Son efficacité dans le traitement des messages a permis de réduire les charges de travail sur les serveurs, garantissant des temps de réponse plus rapides et une plus grande évolutivité du système. Cela est particulièrement pertinent dans le contexte d'une demande croissante de services de messagerie sécurisés et fiables, où la capacité à gérer de gros volumes de trafic sans compromettre la qualité de service est cruciale.

Performance-RSpamd

5. Implémentez Policyd-spf pour contrôler les politiques SPF

spf_bg_new

Dans nos efforts continus pour renforcer la sécurité et l'intégrité du système de messagerie d'entreprise, nous avons intégré Policyd-spf, un outil spécifique pour mettre en œuvre et contrôler les politiques SPF (Sender Policy Framework). Cette décision fait partie d'une stratégie plus large visant à adopter des pratiques de sécurité de pointe pour prévenir les abus et la fraude par courrier électronique, garantissant que seuls les expéditeurs autorisés peuvent envoyer des messages au nom du domaine.

Qu’est-ce que le SPF et pourquoi est-il important ?

SPF est une méthode de validation des e-mails conçue pour empêcher l'usurpation d'identité de l'expéditeur, une activité frauduleuse dans laquelle un attaquant envoie des e-mails en faisant croire que le message provient d'un domaine différent de celui réellement utilisé. En publiant un enregistrement SPF dans le DNS du domaine, les administrateurs peuvent spécifier quels serveurs de messagerie sont autorisés à envoyer des emails au nom de leur domaine. Lorsqu'un serveur de réception reçoit un e-mail, il peut vérifier l'enregistrement SPF du domaine d'envoi pour voir si le serveur qui a envoyé l'e-mail est réellement autorisé à le faire.

La mise en œuvre de Policyd-spf

Policyd-spf a été choisi pour sa capacité à s'intégrer de manière transparente à Postfix en tant que service de politique, permettant des vérifications SPF en temps réel pendant le processus de réception d'e-mails. Lorsqu'un e-mail arrive, Policyd-spf consulte l'enregistrement SPF du domaine d'envoi pour déterminer si l'adresse IP du serveur d'envoi est autorisée. Si la vérification échoue, le message peut être rejeté ou signalé conformément aux politiques configurées, contribuant ainsi à réduire considérablement le risque de réception d'e-mails frauduleux ou de spam.

Avantages de l'utilisation de Policyd-spf

L'adoption de policyd-spf offre de nombreux avantages en matière de sécurité de la messagerie :

Réduire le spam et le phishing : en mettant en œuvre efficacement des contrôles SPF, nous réduisons la probabilité que des e-mails non autorisés parviennent aux utilisateurs finaux, réduisant ainsi le risque d'attaques de phishing et de spam.

Améliorer la réputation du domaine : En veillant à ce que seuls les messages autorisés soient envoyés au nom de notre domaine, nous maintenons et améliorons la réputation du domaine aux yeux des filtres anti-spam et des serveurs de réception de courrier.

Conformité et fiabilité : l'utilisation de Policyd-spf permet de garantir la conformité aux normes modernes de sécurité de la messagerie, contribuant ainsi à créer un écosystème de messagerie plus sécurisé et plus fiable.

6. Mise en œuvre du contrôle DKIM avec dkim-milter

Pour relever les défis posés par les stratégies sophistiquées de spam et de fraude par courrier électronique, nous avons mis en œuvre dkim-filter comme composant essentiel de notre système de sécurité de messagerie. Cet outil, configuré comme milter (filtre de courrier) pour Postfix, joue un rôle essentiel dans le renforcement de nos défenses anti-spam en vérifiant les enregistrements DKIM (DomainKeys Identified Mail) des e-mails entrants et sortants.

Qu’est-ce que le DKIM et pourquoi est-il important ?

DKIM est une norme d'authentification de courrier électronique qui permet au destinataire de vérifier qu'un courrier électronique envoyé en son nom provient bien du domaine qui prétend être l'expéditeur. Ceci est réalisé en signant numériquement les messages avec une clé privée du domaine d'envoi ; la clé publique correspondante est publiée dans le DNS du domaine. Les serveurs de messagerie recevant l'e-mail peuvent alors vérifier la signature à l'aide de la clé publique, garantissant que le contenu du message n'a pas été altéré pendant le transport et confirmant l'authenticité de l'expéditeur.

L'utilitaire dkim-filter

Dkim-filter agit comme une interface entre le serveur de messagerie et le processus de signature/vérification DKIM, fournissant un mécanisme efficace pour appliquer et valider les signatures DKIM. Lorsqu'il est configuré comme milter pour Postfix, dkim-filter signe automatiquement les e-mails sortants avec la clé privée du domaine d'envoi et vérifie les signatures des e-mails entrants par rapport aux clés publiques publiées par les domaines d'envoi.

Cette double fonctionnalité améliore non seulement considérablement le contrôle anti-spam en vérifiant l'authenticité des messages reçus, mais contribue également à bâtir et à maintenir la réputation du domaine en tant qu'expéditeur fiable. Dans un environnement où les attaques de phishing et autres formes d'abus de courrier électronique sont monnaie courante, la mise en œuvre de DKIM via dkim-filter fournit une mesure de sécurité supplémentaire qui contribue à protéger à la fois l'expéditeur et le destinataire contre tout préjudice potentiel.

Avantages de l'adoption de dkim-filter

  • Filtrage anti-spam amélioré : en validant les signatures DKIM, dkim-filter aide à filtrer efficacement les e-mails non authentifiés qui pourraient être du spam ou des tentatives de phishing.
  • Délivrabilité accrue : les e-mails envoyés depuis notre domaine avec une signature DKIM valide sont plus susceptibles de passer les filtres anti-spam des destinataires, améliorant ainsi la délivrabilité de nos communications.
  • Protection de l'identité de domaine : en fournissant un moyen fiable d'authentifier les messages, dkim-filter aide à protéger notre identité de domaine, en empêchant l'usurpation d'identité et en renforçant la confiance des utilisateurs dans les e-mails qu'ils reçoivent.

7. Implémentation de Fail2Ban pour limiter les tentatives de connexion et les attaques par force brute.

fail2ban

Pour contrer efficacement les attaques par force brute et limiter les tentatives de connexion non autorisées, notre serveur de messagerie a été équipé de Fail2Ban, un outil de sécurité essentiel dans le paysage de l'hébergement et des systèmes Linux. Fail2Ban est une application qui surveille les journaux de service pour identifier les comportements suspects, tels que les tentatives de connexion infructueuses et répétées, signe potentiel d'une attaque par force brute. Une fois qu'un modèle d'échecs de connexion est détecté, Fail2Ban intervient en bloquant l'adresse IP source via des règles de pare-feu, empêchant ainsi de nouvelles tentatives pendant une période de temps définie.

L'adoption de Fail2Ban représente une mesure préventive contre les risques de sécurité et les menaces pouvant compromettre l'intégrité et la disponibilité du serveur. Les attaques Bruteforce, en plus de cibler les accès non autorisés, peuvent en fait dégénérer en attaques par déni de service (DDoS), surchargeant le serveur de requêtes incessantes qui occupent des ressources critiques telles que la RAM et le CPU, entraînant des ralentissements ou des interruptions de service.

Lors de la configuration de notre serveur de messagerie, nous avons mis en œuvre une politique de sécurité équilibrée pour les services de messagerie POP3, IMAP et SMTP. Après 6 tentatives de connexion incorrectes, l'IP source est automatiquement mise sur liste noire pendant une minute. Cette approche vous permet de limiter les tentatives de connexion à 360 par heure, équilibrant efficacement la nécessité de protéger le serveur contre les attaques par force brute avec la possibilité de donner aux utilisateurs légitimes, qui peuvent avoir simplement oublié leurs informations d'identification, la possibilité de réessayer l'accès sans encourir de prolongation. blocs.

 

Politiques supplémentaires pour l'envoi via limite de débit, signature DKIM et gestion de files d'attente spécifiques.

En plus de tout ce qui a été répertorié jusqu'à présent, nous avons mis en place une série de politiques supplémentaires concernant la limite de débit des envois, l'application de la signature DKIM et la gestion personnalisée des files d'attente des messages sortants. Ces mesures ont été prises pour garantir un service de messagerie fiable et sécurisé, conforme aux meilleures pratiques du secteur.

 

Mise en œuvre d'une limite de débit pour les expéditeurs authentifiés

Pour éviter les abus du système de messagerie, tels que les comptes compromis utilisés pour envoyer du spam ou les attaques de phishing, nous avons introduit une limite de débit pour les expéditeurs authentifiés. Cette limite a été fixée à 1000 XNUMX e-mails par jour et par expéditeur unique, un nombre jugé suffisant pour une utilisation légitime par les utilisateurs professionnels et individuels. Cette politique vise à limiter les dommages potentiels en cas de compromission en empêchant notre serveur de messagerie d'être mis sur liste noire en raison de l'envoi de volumes excessifs d'e-mails non autorisés.

Application de la signature DKIM à tous les e-mails sortants

Un autre pilier de notre stratégie de sécurité des e-mails est la mise en œuvre universelle de la signature DKIM (DomainKeys Identified Mail) pour tous les e-mails sortants traités par notre serveur de messagerie. La signature DKIM fournit une méthode d'authentification qui aide les serveurs de réception à vérifier que l'e-mail a bien été envoyé depuis le domaine qui apparaît dans le champ de l'expéditeur, contribuant ainsi à améliorer la délivrabilité et à protéger la réputation de nos domaines. Pour faciliter ce processus, chaque domaine doit insérer la clé publique DKIM correspondante dans son DNS sous la forme d'un enregistrement TXT.

Gestion personnalisée des files d'attente sortantes

Reconnaissant les différentes politiques et limitations imposées par les principaux fournisseurs de services de messagerie, tels que Microsoft, Google, Yahoo, et les fournisseurs italiens tels que Telecom, Tiscali ou Libero, nous avons développé une politique flexible et personnalisée pour gérer les files d'attente des messages sortants. Cette approche consiste à utiliser différentes adresses IP pour l'envoi et à appliquer des vitesses d'envoi limitées spécifiques à chaque opérateur, en fonction de ses demandes et de ses politiques. Cette stratégie nous permet de maximiser l’utilisation de notre gamme IP, tout en évitant d’exclure des IP de l’utilisation simplement parce qu’elles peuvent être mises sur liste noire par un seul fournisseur.

Cette politique malléable de gestion des files d'attente et d'envoi d'adresses IP nous donne la flexibilité nécessaire pour nous adapter rapidement aux conditions changeantes du réseau et aux politiques des fournisseurs de services de messagerie, tout en garantissant que nos communications sont fournies efficacement et sans interruption. En mettant en œuvre ces mesures, nous améliorons non seulement la sécurité et la fiabilité de notre service de messagerie, mais garantissons également que les e-mails de nos utilisateurs parviennent à leurs destinataires comme prévu, maintenant ainsi une communication commerciale efficace et professionnelle.

Webmail AJAX via Roundcube, un standard de fait.

Concernant les solutions d'accès web à la messagerie, nous avons choisi de continuer à proposer et à utiliser Roundcube, une interface de webmail basée sur AJAX qui s'est imposée comme un standard de fait parmi les hébergeurs. Cette décision reflète notre engagement à offrir aux utilisateurs une expérience de messagerie intuitive, riche en fonctionnalités et facilement accessible depuis n'importe quel navigateur Web.

WebMail RoundCube

Roundcube est une application de messagerie Web open source qui permet aux utilisateurs de lire, envoyer et organiser des e-mails directement depuis un navigateur Web, sans avoir besoin de configurer un client de messagerie distinct. Grâce à son interface utilisateur basée sur AJAX, Roundcube offre une expérience similaire à celle d'une application de bureau, avec des opérations fluides et réactives, comme le déplacement de messages entre dossiers, la recherche instantanée et la gestion avancée des contacts.

Roundcube s'intègre très bien à notre serveur IMAPS Dovecot et au système de messagerie Postfix, offrant une solution complète et harmonieuse de gestion des emails. Grâce à Dovecot, les utilisateurs de Roundcube bénéficient d'un accès sécurisé et performant à leur boîte email, utilisant des protocoles cryptés comme IMAPS pour une sécurité maximale des données transmises. De plus, la compatibilité Postfix garantit que l'envoi et la réception d'e-mails via Roundcube se produisent de manière fiable et efficace, avec la prise en charge de fonctionnalités avancées telles que la signature DKIM et la vérification SPF pour une plus grande sécurité et fiabilité des messages envoyés.

L'adoption de Roundcube comme interface de messagerie Web offre de nombreux avantages tant pour les utilisateurs finaux que pour les administrateurs système. Les utilisateurs apprécient son interface claire et intuitive, sa large gamme de fonctionnalités de gestion de courrier et la possibilité de personnaliser l'expérience en fonction de leurs besoins. De leur côté, les administrateurs bénéficient de la facilité d'installation et de configuration de Roundcube, de sa documentation complète et du soutien d'une communauté active et dédiée.

Nous avons évidemment complètement revu le frontend, en dotant l'interface d'un écran de connexion plus esthétique et plus fonctionnel., intégrant des informations et des liens pour les utilisateurs qui ont besoin non seulement d'utiliser le Webmail, mais également d'effectuer des opérations telles que la gestion des alias, la réinitialisation du mot de passe, le répondeur automatique et autres.

Roundcube-Webmail-Connexion

Parmi les fonctions non seulement esthétiques, un curseur qui permet d'illustrer les différents services que nous proposons dans Managed Server Srl, et le bouton associé qui fait référence à des liens externes tels que des pages de notre site, et une fonction de stockage d’identifiants à l’aide d’un Cookie. Entre autres choses, nous avons également ajouté une politique de consentement et de confidentialité en matière de cookies et une politique en matière de cookies en utilisant le service Iubemda.

Sauvegarde et récupération après sinistre

Dans le contexte de notre infrastructure de système de messagerie, la résilience et la reprise après sinistre sont des priorités absolues. Bien que nous ayons mis en œuvre un système basé sur CEPH, connu pour sa haute fiabilité et sa triple capacité de réplication, nous sommes allés plus loin dans la construction d'une approche globale de sauvegarde et de reprise après sinistre qui couvre à la fois le système et les données.

Sauvegarde-Datacenter

Sauvegarde quotidienne sur système nu

Concernant le système de serveur de messagerie, nous avons mis en place une stratégie de sauvegarde quotidienne bare metal, à l'aide de snapshots. Cette approche nous permet de capturer entièrement l'état du système à intervalles réguliers, garantissant qu'en cas de pannes ou de corruptions graves du système, nous pouvons rapidement restaurer l'ensemble de l'environnement dans les conditions de fonctionnement précédemment capturées. Les instantanés nus fournissent une solution de sauvegarde complète qui inclut le système d'exploitation, les applications, la configuration et les données, offrant une sécurité robuste contre la perte de données critiques.

Sauvegarde redondante des données de stockage CEPH sur double SAN géographique

Pour le stockage des données, qui exploite l'infrastructure CEPH, nous adoptons une approche de sauvegarde encore plus rigoureuse et en couches. Nous effectuons quotidiennement deux sauvegardes distinctes, en utilisant deux technologies logicielles différentes : Borg et Restic, fonctionnant via RClone. Ces sauvegardes sont effectuées sur deux réseaux de stockage (SAN) géographiquement distincts, l'un situé en Allemagne et l'autre en Finlande, afin de maximiser la redondance et de minimiser le risque de perte de données suite à des événements catastrophiques ou à des pannes matérielles.

Localisation-Sauvegarde

L’utilisation de deux technologies de sauvegarde différentes nous permet de tirer parti des atouts uniques de chacune, augmentant ainsi la résilience globale de notre système de sauvegarde. Borg est connu pour son efficacité en matière de déduplication des données, réduisant l'espace nécessaire aux sauvegardes, tandis que Restic offre une grande flexibilité et rapidité dans la récupération des données. Fonctionnant via RClone, les deux systèmes de sauvegarde garantissent des transferts sécurisés et fiables vers des SAN distants.

Redondance et conservation des données

Les SAN sur lesquels les sauvegardes sont effectuées sont configurés en RAID 10, alliant redondance des données et performances élevées en lecture et en écriture. Cette configuration, combinée à notre choix d'utiliser deux technologies de sauvegarde distinctes et à la localisation géographique diversifiée des SAN, nous permet d'affronter en toute confiance les scénarios de reprise après sinistre, garantissant la continuité opérationnelle même dans les situations les plus critiques.

Nous mettons en œuvre une politique de conservation des données de 60 jours, qui nous permet de conserver un historique de sauvegarde étendu, augmentant ainsi nos capacités de récupération en cas de besoin et nous laissant suffisamment de temps pour identifier et répondre à toute perte de données.

conclusion

Notre expérience dans la création et l’amélioration de votre système de messagerie professionnelle met en évidence une vérité fondamentale : le monde Open Source offre aujourd'hui tous les composants nécessaires à la création d'un serveur de messagerie avancé, performant et sécurisé, sans avoir besoin d'être lié à des solutions commerciales propriétaires. Grâce à l'adoption de technologies Open Source de pointe telles que Postfix, Dovecot, Roundcube, ClamAV, Amavis, Rspamd, en plus de l'utilisation de systèmes de sauvegarde avancés et de politiques de sécurité telles que DKIM et SPF, nous avons réussi à construire une infrastructure de messagerie qui non seulement répond aux besoins de sécurité et de fiabilité de nos utilisateurs, mais le fait avec une efficacité à un coût nettement supérieur à celui alternatives commerciales.

Ce choix nous a permis de bénéficier d'une flexibilité inégalée dans la personnalisation et l'optimisation du système, tout en garantissant que chaque composant est mis à jour et maintenu conformément aux meilleures pratiques de sécurité et de performance. L'écosystème Open Source, avec sa large communauté de développeurs et de professionnels de l'informatique, offre un niveau de support et d'innovation continue difficile à trouver dans des solutions fermées et propriétaires.

En outre, les économies résultant de l'utilisation de logiciels Open Source se traduisent non seulement par un avantage économique immédiat, mais permettent également de réinvestir des ressources dans d'autres domaines critiques de l'infrastructure informatique, tels que la sécurité des données, la reprise après sinistre et l'innovation technologique, contribuant ainsi à améliorer encore la qualité du service offert aux utilisateurs finaux.

En conclusion, notre expérience confirme que les logiciels Open Source représentent une ressource précieuse et stratégique pour le développement de systèmes de messagerie avancés et performants. La capacité à fournir une solution complète, sécurisée et rentable souligne la valeur de l'Open Source en tant que base sur laquelle construire et développer des infrastructures informatiques modernes, dissipant ainsi le mythe selon lequel seules des solutions commerciales propriétaires peuvent garantir des niveaux élevés d'efficacité et de sécurité.

Après 5 jours, aucun utilisateur n'a rencontré de problèmes d'accès après la migration.

Si vous, votre entreprise ou votre organisation recherchez également une solution personnalisée hautement technologique pour une gestion complète du courrier, contactez-nous.

Vous avez des doutes ? Vous ne savez pas par où commencer ? Contactez-nous !

Nous avons toutes les réponses à vos questions pour vous aider à faire le bon choix.

Discute avec nous

Discutez directement avec notre support avant-vente.

0256569681

Contactez-nous par téléphone pendant les heures de bureau 9h30 - 19h30

Contactez-nous en ligne

Ouvrez une demande directement dans l'espace contact.

INFORMATIONS

Managed Server Srl est un acteur italien leader dans la fourniture de solutions système GNU/Linux avancées orientées vers la haute performance. Avec un modèle d'abonnement peu coûteux et prévisible, nous garantissons que nos clients ont accès à des technologies avancées en matière d'hébergement, de serveurs dédiés et de services cloud. En plus de cela, nous proposons des conseils système sur les systèmes Linux et une maintenance spécialisée en SGBD, sécurité informatique, Cloud et bien plus encore. Nous nous distinguons par notre expertise dans l'hébergement de CMS Open Source de premier plan tels que WordPress, WooCommerce, Drupal, Prestashop, Joomla, OpenCart et Magento, soutenus par un service d'assistance et de conseil de haut niveau adapté aux administrations publiques, aux PME et à toutes tailles.

Red Hat, Inc. détient les droits de Red Hat®, RHEL®, RedHat Linux® et CentOS® ; AlmaLinux™ est une marque commerciale d'AlmaLinux OS Foundation ; Rocky Linux® est une marque déposée de la Rocky Linux Foundation ; SUSE® est une marque déposée de SUSE LLC ; Canonical Ltd. détient les droits sur Ubuntu® ; Software in the Public Interest, Inc. détient les droits sur Debian® ; Linus Torvalds détient les droits sur Linux® ; FreeBSD® est une marque déposée de The FreeBSD Foundation ; NetBSD® est une marque déposée de la Fondation NetBSD ; OpenBSD® est une marque déposée de Theo de Raadt. Oracle Corporation détient les droits sur Oracle®, MySQL® et MyRocks® ; Percona® est une marque déposée de Percona LLC ; MariaDB® est une marque déposée de MariaDB Corporation Ab ; REDIS® est une marque déposée de Redis Labs Ltd. F5 Networks, Inc. détient les droits sur NGINX® et NGINX Plus® ; Varnish® est une marque déposée de Varnish Software AB. Adobe Inc. détient les droits sur Magento® ; PrestaShop® est une marque déposée de PrestaShop SA ; OpenCart® est une marque déposée d'OpenCart Limited. Automattic Inc. détient les droits sur WordPress®, WooCommerce® et JetPack® ; Open Source Matters, Inc. détient les droits sur Joomla® ; Dries Buytaert détient les droits sur Drupal®. Amazon Web Services, Inc. détient les droits sur AWS® ; Google LLC détient les droits sur Google Cloud™ et Chrome™ ; Microsoft Corporation détient les droits sur Microsoft®, Azure® et Internet Explorer® ; La Fondation Mozilla détient les droits sur Firefox®. Apache® est une marque déposée de The Apache Software Foundation ; PHP® est une marque déposée du groupe PHP. CloudFlare® est une marque déposée de Cloudflare, Inc. ; NETSCOUT® est une marque déposée de NETSCOUT Systems Inc. ; ElasticSearch®, LogStash® et Kibana® sont des marques déposées d'Elastic NV. Hetzner Online GmbH détient les droits sur Hetzner® ; OVHcloud est une marque déposée d'OVH Groupe SAS ; cPanel®, LLC détient les droits sur cPanel® ; Plesk® est une marque déposée de Plesk International GmbH ; Facebook, Inc. détient les droits sur Facebook®. Ce site n'est affilié, sponsorisé ou autrement associé à aucune des entités mentionnées ci-dessus et ne représente en aucune manière aucune de ces entités. Tous les droits sur les marques et noms de produits mentionnés sont la propriété de leurs titulaires respectifs des droits d'auteur. Toutes les autres marques mentionnées appartiennent à leurs titulaires. MANAGED SERVER® est une marque déposée au niveau européen par MANAGED SERVER SRL, Via Enzo Ferrari, 9, 62012 Civitanova Marche (MC), Italie.

Retour en haut de page