glorfJ'ai découvert hier que nginx savait très bien gérer les protocoles mails. En particulier, il est capable de faire de la terminaison tls (comme pour du https), ce qui fait qu'il n'y a pas besoin de transférer les certificats sur la machine de mail (qui ne recevrait que du trafic non chiffré du coup)
tychoho intéressant ça, merci !
glorfEt il sait aussi faire du passthrough SSL, en fonction du hostname
glorf(Donc le certificat SSL pourrait être généré aussi direct sur la machine finale et le nginx reverse proxy le verrait jamais)
glorfhttps://docs.nginx.com/nginx/admin-guide/mail-proxy/mail-proxy/ pour le mail
tychole passthrough c'est vraiment si tu veux avoir plusieurs serveurs emails sur une même IP, ce qui n'est pas recommandé
tychosi tu veux laisser la machine finale gérer le certif tu peux simplement faire de la redirection TCP, et là il y a beaucoup d'alternatives à Nginx
FrancoisACe qui veut dire que tu mettrais le serveur proxy NGINX en DMZ et le serveur de mail en interne.
tychoDMZ ? ewww, c'est sooo-IPv4-legacy :x
tychopour du mail ça peut servir à contourner les restrictions de port des FAI afin de s'auto-héberger chez soi : on met le proxy sur un VPS ou un petit dédié afin d'avoir des IP publiques sans filtrage de port forcé, et chez soi on met le service sur un port non-standard
glorfOui je suis d'accord, le passthrough c'est pas utile, vaut mieux faire de la redirection TCP
Sauf si t'es dans une infra hyper spécifique où tu peux pas faire de redirection TCP direct vers la machine mail
kujiuJe fais déjà ça avec nginx. J'ai un VPS qui contient un nginx pour web et mail, et qui va renvoyer sur le serveur dédié à la maison. Et il y a plusieurs domaines qui sont bien séparés, donc ça renvoie vers plusieurs serveurs mail. Ça me permet de pouvoir réinstaller un VPS rapidement en cas de DDOS et de pouvoir déconnecter le vrai serveur du front en cas de besoin.