Extrêmement complet, PeaZip offre la possibilité de choisir parmi plusieurs degrés de compression. Aussi, grâce à un module puissant de cryptage vous protégerez vos archives en toute sécurité. Un explorateur agréable est également de la partie, vous proposant de naviguer entre vos fichiers et vos archives afin d’optimiser votre temps de travail. A noter aussi l’intégration parfaite dans le menu contextuel autorisant l’archivage ou la décompression rapide d’un fichier. Simple d’utilisation, l’ajout d’un fichier à une archive ou sa décompression pourra s’effectuer par simple glissé/déposé.

 peazip 2.8 x86 fr   peazip 2.8 x64 fr

Outlook peut se connecter à Exchange par le biais d’Internet en utilisant un appel de procédure distante sur HTTP. La fonctionnalité Outlook Anywhere permet d’accéder à distance à votre compte Exchange à partir d’Internet lorsque vous travaillez en dehors du pare-feu de votre organisation. 

schéma outlook anywhere

Ayant rencontré quelques difficultés pour mettre en place cette solution sur une configuration Exchange 2007 <-> Windows 2008 Server, je mets à disposition mes notes ici dans le but d’aider l’un de mes confrères avant qu’il n’ait plus un seul cheveu sur le caillou

Attention !

Si vous utilisez un certificat auto-signé sur votre serveur Exchange, il faut l’installer sur les postes clients.
Voir http://blog.canardwc.com/ca-certificat-auto-signe.html

L’environnement:

 - Un DC, sw05.wenske.local, sous Windows 2008 Core
 - Un Exchange 2007 SP2, sw06.wenske.local, sous Windows 2008 x64

Note: aucune manipulation sur le DC dans ce howto, il s’agit juste de préciser qu’Exchange ne s’exécute pas sur un contrôleur de domaine, au quel cas, des modifications supplémentaires sont à prévoir dans la base de registre.

Note2: dans cet exemple, Exchange est en mode « single », c’est à dire qu’il héberge à la fois les boîtes mail et le rôle d’accès clients.

Note3: c’est article n’est peut-être pas exhaustif. 

Si, à priori, sur une plateforme Windows 2003 Server, l’activation d’Outlook Anywhere ne pose aucun problème, il n’en est pas de même avec Windows 2008 Server. Apres avoir consulté une vingtaine de sites et blogs différents, j’ en suis arrivé à la conclusion qu’ IPv6 était le coupable n°1.

Désactiver IPv6 sous Windows 2008 Server:

La désactivation complète d’IPv6 ce fait en trois étapes: propriétés de la carte réseau, base de registre, fichier hosts.

 - 1: désactivez le protocole IPv6 dans les paramètres de votre interface réseau:

 - 2: éditez la base de registre, HKLM\SYSTEM\CurrentControlSet\Services\Tcpip6\Parameters:

 - Ajoutez une nouvelle valeur de type D-WORD 32bit: DisabledComponents
 - Entrez la valeur 0ff (hexadécimal)

- 3: éditez le fichier c:\windows\system32\drivers\etc\hosts:

[...]
#::1             localhost
[...]

 Une fois ces modifications effectuées, redémarrez votre serveur.

Déclaration des providers Outlook:

Ouvrez l »Exchange Management Console » puis tapez

[PS] C:\Windows\system32>Get-OutlookProvider

Name                Server              CertPrincipalName   TTL
----                ------              -----------------   ---
EXCH                                                        1
EXPR                                                        1
WEB                                                         1

Si comme moi cette commande vous retourne un tableau vide, alors procédez comme suit:

[PS]C:\>Set-OutlookProvider WEB -Server sw06.wenske.local -CertPrincipalName sw06.wenske.local
[PS]C:\>Set-OutlookProvider EXCH -Server sw06.wenske.local -CertPrincipalName sw06.wenske.local

Où « Server » correspond au fqdn local de votre Exchange et « CertPrincipalName » à l’objet principal du certificat.
Relancez la première commande afin de voir le résultat:

[PS] C:\Windows\system32>Get-OutlookProvider

Name                Server              CertPrincipalName   TTL
----                ------              -----------------   ---
EXCH                sw06.wenske.local   sw06.wenske.local   1
EXPR                                                        1
WEB                 sw06.wenske.local   sw06.wenske.local   1

Installation du Proxy RCP over HTTP:

Vous avez le choix entre l’installation « graphique » depuis le gestionnaire de serveur > fonctionnalités ou via l’invite de commande:

C:\Users\administrator> ServerManagerCmd -i RPC-over-HTTP-proxy

Je vous recommande de redémarrer votre serveur une fois l’installation terminée.

Activation d’Outlook Anywhere:

Une fois encore, vous pouvez procéder via l’interface de gestion Exchange ou bien via l’Exchange Management Shell:

[PS] C:\>Enable-OutlookAnywhere -Server mail.wenske.fr -DefaultAuthenticationMethod:Basic -SSLOffloading:$false

Remplacez « mail.wenske.fr » par le votre fqdn externe.

Maintenant il s’agit d’attendre (15 minutes environ) que l’événement  id 3006 apparaisse dans les logs Applications:

Log Name:      Application
Source:        MSExchange RPC Over HTTP Autoconfig
Date:          3/25/2008 1:26:55 AM
Event ID:      3006
Task Category: General
Level:         Information
Keywords:      Classic
User:          N/A
Computer:      sw06.wenske.local
Description:
The Outlook Anywhere feature has been enabled. The ValidPorts registry setting has been modified to reflect this change.
New value:     SW06:6001-6002; SW06:6004;sw06.wenske.local:6001-6002; sw06.wenske.local:6004

Voilà, il ne reste plus qu’à configurer votre client Outlook et tester.

Pourquoi j’ai choisi de mettre en place cette solution? Mon serveur apache (qui héberge cette page) se trouve à la maison avec une connexion ADSL dont l’upload est limité à 1024 Kb/s max. Cela signifie que les visiteurs (vous) téléchargent les différents éléments de mon site à 128 Ko/s max, en admettant qu’il ne se passe rien d’autre sur ma modeste connexion.

J’ai donc eu l’idée d’utiliser ma dedibox (qui dispose d’une connexion à 100Mb/s) comme reverse proxy avec squid3.0 afin de metre en cache tout les éléments statiques plus ou mons volumineux de mon site.

schéma reverse-proxy

Dans ce schéma, on comprend l’acheminement des requêtes clientes avec le reverse proxy mileu qui va mettre en cache les éléments statiques en réponse.
Note: une compression est activée sur le lien VPN, cela permet un débit montant jusqu’à 250 Ko/s au lieu des 128 Ko/s.

Lorsqu’un élément (statique) est demandé pour la premiére fois, il sera téléchargé à la vitesse (UP) de ma connexion, c’est à dire 128 Ko/s. Squid va le mettre en cache, puis à la deuxiéme requête, il vérifie si l’élément n’a pas été modifié et si ce n’est pas la cas, il renvoie ce dernier au client à la vitesse max de 100 Mb/s (~12 Mo/s).

Un exemple en images avec un fichier d’environ 10 Mo:

premiere requete

26/Nov/2009:02:14:13 +0100.632  84.xxx.23.135 TCP_MISS/200 10120957 GET http://blog.canardwc.com/test.zip - DEFAULT_PARENT/sl01 application/zip
26/Nov/2009:02:18:45 +0100.534  84.xxx.23.136 TCP_REFRESH_UNMODIFIED/200 10120956 GET http://blog.canardwc.com/test.zip - DEFAULT_PARENT/sl01 application/zip

# wget http://blog.canardwc.com/wp-content/uploads/2009/11/squid-3.0.STABLE16.tar.gz
# tar xvzf squid-3.0.STABLE16.tar.gz
# cd squid-3.0.STABLE16/
# ./configure --localstatedir=/var --prefix=/usr --includedir=/usr/include --datadir=/usr/share --bindir=/usr/sbin --libexecdir=/usr/lib/squid --exec-prefix=/usr --sysconfdir=/etc/squid --enable-x-accelerator-vary --with-default-user=squid
# make
# make install
# useradd squid
# mkdir -p /var/log/squid && chown squid: /var/log/squid
# mkdir -p /var/cache/squid && chown squid: /var/cache/squid
# wget http://blog.canardwc.com/wp-content/uploads/2009/11/reverse-proxy.init.zip
# unzip reverse-proxy.init.zip
# cp reverse-proxy /etc/init.d/
# chmod +x /etc/init.d/reverse-proxy
# update-rc.d reverse-proxy defaults

# cd /etc/squid/
# vi reverse-proxy.conf

acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8
acl all src
acl Safe_ports port 80          # http

http_access allow manager localhost
http_access deny manager
http_access deny !Safe_ports
http_access allow all

icp_access deny all

htcp_access deny all

## Squid écoute sur l'interface 88.191.97.6 et le port 80 en mode "accel vhost"
http_port 88.191.97.6:80 accel vhost

## On définit respectivement les sous domaines pour chacune des machines sl01 et sl06
acl dest_site_sl01 dstdomain blog.canardwc.com
acl dest_site_sl06 dstdomain cacti.canardwc.com

## On définit les adresses internes de nos deux serveurs...
acl dest_addr dst 10.0.1.5 10.0.1.11

## ...ainsi que le port de destination
acl dest_port port 80

## et on autorise le flux.
http_access allow dest_addr dest_port

## On définit sl01 comme un "proxy" parent
cache_peer 10.0.1.5 parent 80 0 name=sl01 no-query originserver default

## et on autorise seulement les sous domaines qui lui sont propores
cache_peer_access sl01 allow dest_site_sl01

## Idem pour sl06
cache_peer 10.0.1.11 parent 80 0 name=sl06 no-query originserver default
cache_peer_access sl06 allow dest_site_sl06

## Utile pour transférer l'IP du client d'origine au serveur web interne
## voir http://blog.canardwc.com/recuperer-ip-client-derriere-un-reverse-proxy-dans-log-apache.html
forwarded_for on

hierarchy_stoplist cgi-bin ?

## Squid va utiliser 1Go de RAM pour son cache
cache_mem 1024 MB

## Les éléments de plus de 2048Ko ne seront pas "caché" en RAM
maximum_object_size_in_memory 2048 KB

memory_replacement_policy lru

## Squis va utiliser jusqu'à 2Go dans /var/cache/squid pour le cache disque
cache_dir ufs /var/cache/squid 2048 16 256

## tout les élément "cachables" seront mis en cache
minimum_object_size 0 KB

## Les éléments de plus de 64096Ko ne seront pas "caché"
maximum_object_size 64096 KB

cache_replacement_policy lru

logformat squid %tl.%03tu %6tr %>a %Ss/%03>Hs %<st %rm %ru %un %Sh/%<A %mt
access_log /var/log/squid/reverse-proxy_access.log squid
cache_log /var/log/squid/reverse-proxy_cache.log
cache_store_log /var/log/squid/reverse-proxy_store.log
pid_filename /var/run/reverse-proxy.pid

refresh_pattern ^ftp:           1440    20%     10080
refresh_pattern ^gopher:        1440    0%      1440
refresh_pattern (cgi-bin|\?)    0       0%      0
refresh_pattern .               0       20%     4320

## Renseignez le nom de votre serveur
visible_hostname sl03.wenske.local

## Votre Email
cache_mgr votre@adresse.mail
coredump_dir /var/cache

# squid -z -f /etc/squid/reverse-proxy.conf

# /etc/init.d/reverse-proxy start

Note: Si vous avez plusieurs serveurs SMTP, il faut mettre en place le greylisting sur chacun d’eux, sinon cette solution est inefficace.

Comment le greylisting fonctionne exactement?
 

Scénario n°1, le mail légitime:

jp.dupond@dupond.net m’envoie un mail à moi@moi.org, le serveur SMTP de dupond.net est 194.20.5.15.

Postgrey va analyser ces 3 éléments -> c’est la première fois que jp.dupond@dupond.net envoie un mail à moi@moi.org depuis 194.20.5.15.

 - Il va stocker ces informations dans une « base de données » et va renvoyé une erreur temporaire (type 450 4.2.0) au serveur distant.

 - Le serveur distant (194.20.5.15) va tenté d’envoyer le mail aux serveurs SMTP de backup, qui agiront de la même manière.

 - Le serveur distant va conserver le mail dans une file d’attende afin de la renvoyer plus tard, 5 à 15 minutes en général.

 - 5 à 10 minutes plus tard, 194.20.5.15 tente de remettre à nouveau le mail.

 - Postgrey analyse une nouvelle fois l’origine et la destination du mail, regarde dans sa base et constate que ce mail s’est déja présenté il y a au moins 5 minutes.

 - Il va maintenant mettre ces 3 éléments dans une liste blanche automatique, pour éviter un futur blocage et laisser le mail poursuivre son chemin.

 Extrait de logs:

Nov 24 23:19:15 sl07 postgrey[1995]: action=greylist, reason=new, client_name=smtp.dupond.net, client_address=194.20.5.15, sender=jp.dupond@dupond.net, recipient=moi@moi.org
Nov 24 23:24:13 sl07 postgrey[1995]: action=pass, reason=triplet found, client_name=smtp.dupond.net, client_address=194.20.5.15, sender=jp.dupond@dupond.net, recipient=moi@moi.org
Nov 24 23:47:51 sl07 postgrey[1995]: action=pass, reason=client AWL, client_name=smtp.dupond.net, client_address=194.20.5.15, sender=jp.dupond@dupond.net, recipient=moi@moi.org

Scénario n°2, le spammeur:

Il faut savoir que les 3/4 des spams sont envoyés par des programmes type malware/virus, et bien souvent, le propriétaire ne le sait même pas. Ces programmes visent plutôt la quantité que la qualité, ils ne vont pas chercher à renvoyer un mail qui aurait été rejeté une première fois de manière temporaire. Bien que certain FAI bloquent par défaut le port 25 en sortie, c’est loin d’être le cas pour tous.

service@paypal.com m’envoie un mail à moi@moi.org via 82.189.0.184.

Postgrey va analyser ces 3 éléments -> c’est la première fois que service@paypal.com envoie un mail à moi@moi.org depuis 82.189.0.184.

 - Il va stocker ces informations dans une « base de données » et va renvoyé une erreur temporaire (type 450 4.2.0) au « serveur » distant.

 - Le « serveur » distant ne va généralement pas tenté de renvoyer le mail sur un autre de vos serveurs SMTP, rappelons que ces malwares cherchent à viser un maximum de victimes et sont bien souvent codés avec les pieds.

 - Postgrey effacera les informations au bout de 35 jour (par défaut, il est possible de raccourcir ce délai dans le fichier de configuration)

Installation (Ubuntu/Debian):

sl07:~# aptitude install postgrey

c’est tout…

Puis dans le fichier main.cf de Postfix:

sl07:~# cd /etc/postfix
sl07:/etc/postfix# vi main.cf

[...]
#Requirements for the recipient address
smtpd_recipient_restrictions = check_policy_service inet:127.0.0.1:60000,  ...
[...]

sl07:~# /etc/init.d/postfix reload

Configuration:

Le fichier de configuration est situé dans /etc/default/:

sl07:~# cd /etc/default/
sl07:/etc/default# vi postgrey

# postgrey startup options, created for Debian
# (c)2004 Adrian von Bidder avbidder@fortytwo.ch
# Distribute and/or modify at will
# see also the postgrey(8) manpage
POSTGREY_OPTS="--inet=127.0.0.1:60000 --max-age=20 --delay=300"
# the --greylist-text commandline argument can not be easily passed through
# POSTGREY_OPTS when it contains spaces. So, insert your text here:
#POSTGREY_TEXT="Your customized rejection message here"

–inet=127.0.0.1:60000 -> Postgrey écoute en local sur le port 60000
–max-age=20 -> les entrées sont effacées au bout de 20 jours
–delay=300 -> le délai minimal (en secondes) avant d’accepter le mail

Les listes blanches:

Postgrey gère deux types de liste blanche, l’une pour les destinataire, l’autre pour les clients (serveur distant).
Ces fichiers se trouvent dans /etc/postgrey/:

sl07:~# cd /etc/postgrey/
sl07:/etc/postgrey# ll
-rw-r--r-- 1 root root  189 jun  4 15:56 whitelist_recipients
-rw-r--r-- 1 root root 7,6K nov 18 14:49 whitelist_clients

N’oubliez pas de répliquer votre configuration sur tout vos serveurs SMTP.