Pour ma part, j'ai testé 


1/
Perdition comme ReverseProxy POP/IMAP.

c'est pas mal du tout. très léger. Cela gère un backend fichier(avec regex) ou Mysql.

Il gère le TLS. (à voir si le SNI est supporté)

2/
Dovecot en Proxy IMAP/POP. Le backend se fait avec Mysql avec une bonne gestion du cache pour éviter les surcharges.

sur la liste, j'ai lu que Dovecot gere le SNI


peut-être ta solution ?


--
Jean-christophe PAROLA

   



Le mercredi 06 décembre 2017 à 17:04 +0100, Julien Escario a écrit :
Bonjour la liste,
Nous sommes en train de 'rêver' à un joli reverse proxy pour les connexions
IMAP, POP (hum) et SMTP avec du ssl offloading et toussa.

L'idéal serait que l'on puisse écouter sur (par exemple), le port 993 pour
imap.domaine1.com, imap.domaine2.com, etc ...
Le tout en présentant un certificat valide pour chaque domaine et ça, s'appelle
SNI (RFC 6066 section 3). C'est une extension TLS donc indépendant du protocole.

Je prends les devants : nous ne souhaitons pas avec un gros certificat qui
comprenne tous les vhosts.

SNI donc, on le fait déjà massivement en HTTP over SSL (aka HTTPS), tous les
browser modernes le supportent.

Le soucis c'est déjà que l'on s'y est pris avec Nginx et ca semble pas vraiment
supporté : impossible de déclarer deux vhosts qui écoutent sur le port 993, ca
gère un conflit :
nginx: [emerg] duplicate "993" address and port pair

Nginx tout frais : nginx version: nginx/1.13.6

Aucune doc là dessus chez Nginx, du coup la question : est-ce que quelqu'un a
une trace d'un tel hack avec Nginx ? Quitte à regarder du côté d'un module
'custom' qu'on veut bien compiler, tester de debugger.

Sinon, Haproxy semble le faire et on investira le temps nécessaire à
l'apprentissage.

Mais, question subsidiaire : je ne trouve aucune liste du support SNI par les
clients IMAP ou SMTP ? C'est si exotique ce que l'on veut faire ?
OK, il y a : https://wiki.dovecot.org/SSL/SNIClientSupport pour avoir une idée
du support en IMAP.

Est-ce que quelqu'un s'est déjà lancé dans ça ? Avec du succès ou pas ?

Merci d'avance !
Julien
_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/