Bonjour la liste,
Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.

L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
imap.domaine1.com, imap.domaine2.com, etc ...
Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle
SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.

Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
comprenne tous les vhosts.

SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
browser modernes le supportent.

Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment
supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
gère un conflit :
nginx: [emerg] duplicate "993" address and port pair

Nginx tout frais : nginx version: nginx/1.13.6

Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
'custom' qu'on veut bien compiler, tester de debugger.

Sinon, Haproxy semble le faire et on investira le temps nécessaire à
l'apprentissage.

Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
du support en IMAP.

Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Merci d'avance !
Julien
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/