[postfix] relayhost gmail

[castrogne]

Bonjour tous,

Désolé d'ouvrir un sujet de plus sur ça... Je sais, y'en a déjà pas mal mais justement, j'ai essayé pas mal de choses, rien à faire!

Bref je n'arrive pas à envoyer des mails vers l'extérieur sans passer par mon FAI (en passant par free pas de souci, mais le nombre de mail envoyé est limité à 200 par heure ce qui ne me suffit pas toujours). J'ai donc voulu essayé gmail.

j'ai suivi les tutoriels suivant :
pour postfix :
http://olange.developpez.com/article...e/?page=page_6
pour mettre gmail :
http://www.pcinpact.com/forum/index.php?showtopic=87786

voici le main.cf :

Citation:

smtp_banner = $myhostname ESMTP (Debian / GNU)
biff = no
disable_vrfy_command = yes
disable_dns_lookups = yes
smtpd_helo_required = yes

append_dot_mydomain = no

mydestination = mail.mon.domaine.net, localhost, localhost.localdomain

mydomain = mail.mon.domaine.net

myhostname = mail.mon.domaine.net

relayhost = [smtp.gmail.com]

mynetworks = 127.0.0.0/8,192.168.0.0/24,88.xxx.xxx.xxx.xxx/24
inet_interfaces = all

smtpd_sender_restrictions =
permit_mynetworks,
reject_unknown_sender_domain,
warn_if_reject reject_unverified_sender

smtpd_recipient_restrictions =
permit_mynetworks,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient

smtpd_client_restrictions =
reject_unknown_client,
permit_mynetworks

virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf, mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/spool/vmail/
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000

virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "Desole, la boite email de l'utilisateur est pleine. Veuillez re-essayer plus tard !"
virtual_overquota_bounce = yes

relay_domains = $mydestination, $mydomain, $mynetworks, gmail.com
#smtp_sasl_auth_enable = yes
#smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
#smtp_sasl_security_options = noanonymous
#smtp_sasl_tls_security_options = noanonymous

#tls_random_source = dev:/dev/urandom
#smtp_tls_scert_verifydepth = 5
#smtp_tls_CApath=/etc/ssl/certs
#smtp_tls_enforce_peername = no
#smtp_tls_per_site = hash:/etc/postfix/usar_tls
#inet_protocols = ipv4

# Suite de main.cf
#
# Le TLS

# Niveau de log. Au niveau 3, on a un détail assez impressionnant
smtp_tls_loglevel = 1
smtpd_tls_loglevel = 1

smtp_enforce_tls = yes
# , quand je le met ça plante, pour certain ça ne marche pas sans, décommentez cette ligne pour l’activer.

# On va voir ça juste après.
smtp_tls_per_site = hash:/etc/postfix/tls_per_site

smtp_use_tls = yes
smtp_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtp_tls_cert_file = /etc/postfix/uranus-cert.pem
smtp_tls_key_file = /etc/postfix/uranus-key.pem


smtpd_use_tls = yes
smtpd_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtpd_tls_cert_file = /etc/postfix/uranus-cert.pem
smtpd_tls_key_file = /etc/postfix/uranus-key.pem
smtp_tls_received_header = yes
smtpd_tls_ask_ccert = yes
tls_random_source = dev:/dev/urandom

# Authentification SASL

smtpd_sasl_auth_enable = no
smtp_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtpd_sasl_local_domain = $myhostname
smtp_sasl_security_options = noanonymous
smtpd_sasl_application_name = smtpd

Voilà, j'utilise mon dernier jocker: quelqu'un a-t'il une idée? Il semble que le tls ne se déclanche pas...

merci!

les mails en interne marchent. Pas vers l'extérieur...

Citation:

Dec 2 11:33:51 localhost postfix/qmgr[30423]: 5A8A06A69E: from=<root@mail.mon.domaine.net>, size=356, nrcpt=1 (queue active)
Dec 2 11:34:22 localhost postfix/smtp[30430]: connect to gmail-smtp-in.l.google.com[72.14.221.27]: Connection timed out (port 25)
Dec 2 11:34:52 localhost postfix/smtp[30430]: connect to gmail-smtp-in.l.google.com[72.14.221.114]: Connection timed out (port 25)
Dec 2 11:35:22 localhost postfix/smtp[30430]: connect to alt2.gmail-smtp-in.l.google.com[209.85.163.27]: Connection timed out (port 25)
Dec 2 11:35:52 localhost postfix/smtp[30430]: connect to alt1.gmail-smtp-in.l.google.com[64.233.163.114]: Connection timed out (port 25)
Dec 2 11:36:22 localhost postfix/smtp[30430]: connect to alt1.gmail-smtp-in.l.google.com[64.233.163.27]: Connection timed out (port 25)
Dec 2 11:36:22 localhost postfix/smtp[30430]: 5A8A06A69E: to=<moi@gmail.com>, relay=none, delay=527, delays=377/0.06/150/0, dsn=4.4.1, status=deferred (connect to alt1.gmail-smtp-in.l.google.com[64.233.163.27]: Connection timed out)

[mrtonio]

fais voir un postconf -n plutot

[castrogne]

Voici :

Citation:

# postconf -n
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_dns_lookups = yes
disable_vrfy_command = yes
inet_interfaces = all
mydestination = mail.mon.domaine.net, localhost, localhost.localdomain
mydomain = mail.mon.domaine.net
myhostname = mail.mon.domaine.net
mynetworks = 127.0.0.0/8,192.168.0.0/24,xx.xx.xx.xx/24
relay_domains = gmail.com
relayhost = [smtp.gmail.com]
sender_canonical_maps = hash:/etc/postfix/sender_canonical
smtp_enforce_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtp_tls_cert_file = /etc/postfix/uranus-cert.pem
smtp_tls_key_file = /etc/postfix/uranus-key.pem
smtp_tls_loglevel = 1
smtp_tls_per_site = hash:/etc/postfix/tls_per_site
smtp_use_tls = yes
smtpd_client_restrictions = reject_unknown_client, permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_non_fqdn_recipient
smtpd_sasl_auth_enable = no
smtpd_sasl_local_domain = $myhostname
smtpd_sender_restrictions = permit_mynetworks, reject_unknown_sender_domain, warn_if_reject reject_unverified_sender
smtpd_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtpd_tls_ask_ccert = yes
smtpd_tls_cert_file = /etc/postfix/uranus-cert.pem
smtpd_tls_key_file = /etc/postfix/uranus-key.pem
smtpd_tls_loglevel = 1
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf, mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_uid_maps = static:5000

concernant les logs, j'ai remarqué que je passe en deferred et pas en bounce... Etrange. En plus il n'y a pas d'initialisation de la connection TLS. Je ne comprends pas pourquoi puisque mon postfix l'a.

[mrtonio]

fais aussi voir le contenu de

/etc/postfix/tls_per_site
/etc/postfix/sender_canonical
/etc/postfix/sasl_passwd
/etc/postfix/transport


quels sont les mails gérés dans la base appelée par virtual_mailbox_domains ?
(fais un dump de la table)


relay_domains = gmail.com ????? a quoi ca sert ?

[castrogne]

Merci à toi de répondre si vite :p

j'en profite pour faire un petit test telnet :

Citation:

# telnet mail.mon.domaine.net 25
Trying xxx.xxx.xxx.xxx...
Connected to mail.mon.domaine.net.
Escape character is '^]'.
220 mail.mon.domaine.net ESMTP Postfix
EHLO mail.mon.domaine.net
250-mail.mon.domaine.net
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN
quit
221 2.0.0 Bye
Connection closed by foreign host.

il y a clairement STARTTLS...

je regarde les fichiers que tu m'indiques de suite.

[castrogne]

/etc/postfix/tls_per_site

Citation:

# cat /etc/postfix/tls_per_site
smtp.gmail.com MUST
mail.mon.domaine.net MAY

/etc/postfix/sender_canonical

Citation:

# cat /etc/postfix/sender_canonical
root moi@hotmail.fr
postfix moi@hotmail.fr

/etc/postfix/sasl_passwd

Citation:

# cat /etc/postfix/sasl_passwd
smtp.gmail.com moi@gmail.com:moncode
gmail-smtp.google.akadns.net moi@gmail.com:moncode
gmail-smtp-in.l.google.com moi@gmail.com:moncode

/etc/postfix/transport

Citation:

# cat /etc/postfix/transport
# Contents of /etc/postfix/transport
#
# This sends mail to Gmail
gmail.com smtp:[smtp.gmail.com]

relay_domains = gmail.com à quoi ça sert? honnêtement je ne sais pas. Toujours est-il que l'option n'est pas rejetée... J'ai trouvé ça dans les tuto sur le web. Je débute en serveur mail donc je ne connais pas la moitié des options que je passe...

pour la table :

Citation:

--
-- Structure de la table `domain`
--

CREATE TABLE `domain` (
`domain` varchar(255) NOT NULL default '',
`actif` tinyint(1) NOT NULL default '1',
PRIMARY KEY (`domain`)
) ENGINE=MyISAM DEFAULT CHARSET=latin1 COMMENT='Postfix Admin - Domaines Virtuels';

--
-- Contenu de la table `domain`
--

INSERT INTO `domain` (`domain`, `actif`) VALUES
('mon.domaine.net', 1);

merci pour ton aide!! tu me sauves la vie :p

[mrtonio]

bon dans l'ordre:

deja tu dois avoir la freebox qui bloque le port 25 en sortie.
passe par la console et debloque.


ensuite que veux tu faire exactement ?
envoyer un mail vers l'exterieur (une adresse quelconque) mais en passant par le smtp de gmail c'est ca ?
je partirai donc de ce principe.

quand tu mets relay_domains = gmail.com, tu dis a postfix d'agir comme si il gérait le domaine gmail..

c'est sans objet, donc efface cette ligne

ce qui t'interesse ici c'est le parametre relayhost = [smtp.gmail.com]

je ne connais pas gmail, mais je suppose que l'adresse est bonne.


ensuite tu n'a pas besoin de faire du tls par site pour le relay.
tu peux donc commenter smtp_tls_per_site = hash:/etc/postfix/tls_per_site


commente egalement la ligne mydomain = mail.mon.domaine.net

ton domaine c'est mon.domaine.net.
en ne mettant pas le paramtre mydomain dans postfix, il va prendre le myhostname moins le premier element. Donc il aura le bon domaine

[castrogne]

Pour les ports voici ce que j'ai déjà fait : je pense que c'est suffisant, je me trompe?
Image retirée...
EDIT : dès que tu as lu je retirerais cette image :p

de plus, le telnet smtp.free.fr 25 marche. Donc le port semble bien ouvert. J'avoue toutefois que telnet smtp.gmail.com 25 reste sur "Trying 72.14.221.111..." je suppose que c'est parce que gmail est sécurisé... (et pas free, suffit d'avoir une connection free pour que ça marche)

Pour le reste, voici ma nouvelle conf :

Citation:

# postconf -n
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_dns_lookups = yes
disable_vrfy_command = yes
inet_interfaces = all
mydestination = mail.mon.domaine.net, localhost, localhost.localdomain
myhostname = mail.mon.domaine.net
mynetworks = 127.0.0.0/8,192.168.0.0/24,xxx.xxx.xxx.xxx/24
relayhost = [smtp.gmail.com]
sender_canonical_maps = hash:/etc/postfix/sender_canonical
smtp_enforce_tls = yes
smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl_passwd
smtp_sasl_security_options = noanonymous
smtp_sasl_tls_security_options = noanonymous
smtp_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtp_tls_cert_file = /etc/postfix/uranus-cert.pem
smtp_tls_key_file = /etc/postfix/uranus-key.pem
smtp_tls_loglevel = 1
smtp_use_tls = yes
smtpd_client_restrictions = reject_unknown_client, permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, reject_unknown_recipient_domain, reject_non_fqdn_recipient
smtpd_sasl_auth_enable = no
smtpd_sasl_local_domain = $myhostname
smtpd_sender_restrictions = permit_mynetworks, reject_unknown_sender_domain, warn_if_reject reject_unverified_sender
smtpd_tls_CAfile = /etc/ssl/demoCA/cacert.pem
smtpd_tls_ask_ccert = yes
smtpd_tls_cert_file = /etc/postfix/uranus-cert.pem
smtpd_tls_key_file = /etc/postfix/uranus-key.pem
smtpd_tls_loglevel = 1
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom
transport_maps = hash:/etc/postfix/transport
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf, mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_uid_maps = static:5000

j'ai réessayé ça ne marche toujours pas...

Citation:

Dec 3 10:39:25 localhost postfix/master[1447]: daemon started -- version 2.3.8, configuration /etc/postfix
Dec 3 10:39:28 localhost postfix/master[1447]: reload configuration /etc/postfix
Dec 3 10:39:43 localhost postfix/pickup[1484]: D1B116A69E: uid=0 from=<root>
Dec 3 10:39:43 localhost postfix/cleanup[1494]: D1B116A69E: message-id=<20071203093943.D1B116A69E@mail.mon.domaine.net>
Dec 3 10:39:43 localhost postfix/qmgr[1485]: D1B116A69E: from=<moi@hotmail.fr>, size=355, nrcpt=1 (queue active)
Dec 3 10:40:13 localhost postfix/smtp[1499]: connect to smtp.gmail.com[72.14.221.109]: Connection timed out (port 25)
Dec 3 10:40:43 localhost postfix/smtp[1499]: connect to smtp.gmail.com[72.14.221.111]: Connection timed out (port 25)
Dec 3 10:40:43 localhost postfix/smtp[1499]: D1B116A69E: to=<moi@gmail.com>, relay=none, delay=60, delays=0.06/0.04/60/0, dsn=4.4.1, status=deferred (connect to smtp.gmail.com[72.14.221.111]: Connection timed out)

[mrtonio]

ce n'est pas la qu'il faut ouvrir dans la console.
je crois que c'est fonctionnalités avancées

c'est normal que le smtp de free soit autorisé car c'est justement le seul qui le soit dans la config par defaut de la freebox.

[castrogne]

je n'ai pas trouvé d'autre endroit dans la console...

actuellement je fais :
Fonctionnalité optionnelles => Fonction routeur => [copie d'écran précédente] puis je valide.

j'ai relancé la freebox bien sûr depuis.

Dans le doute j'ai téléchargé nmap pour vérifier. Je ne connais pas trop la commande mais en regardant sur le web j'ai fait :

Citation:

# nmap -v -p 25,80,22 xxx.xxx.xxx.xxx

Starting Nmap 4.11 ( http://www.insecure.org/nmap/ ) at 2007-12-03 11:07 CET
DNS resolution of 1 IPs took 0.04s.
Initiating SYN Stealth Scan against guy78-6-88-163-131-16.fbx.proxad.net (xxx.xxx.xxx.xxx) [3 ports] at 11:07
Discovered open port 80/tcp on xxx.xxx.xxx.xxx
Discovered open port 25/tcp on xxx.xxx.xxx.xxx
The SYN Stealth Scan took 1.24s to scan 3 total ports.
Host guy78-6-88-163-131-16.fbx.proxad.net (xxx.xxx.xxx.xxx) appears to be up ... good.
Interesting ports on guy78-6-88-163-131-16.fbx.proxad.net (xxx.xxx.xxx.xxx):
PORT STATE SERVICE
22/tcp filtered ssh
25/tcp open smtp
80/tcp open http

Nmap finished: 1 IP address (1 host up) scanned in 1.389 seconds
Raw packets sent: 6 (244B) | Rcvd: 3 (144B)

avec xxx.xxx.xxx.xxx est l'adresse publique de ma freebox. C'est ça? Donc ça m'a l'air ouvert...

[mrtonio]

tu confonds le routage vers le port 25 de ta machine (donc en entree) et la le blocage en sortie fait par free sur le port 25.

Fonctionnalités optionnelles de la Freebox (Wifi, Routeur...) ===>

Autres fonctions: Configurer ==>

Blocage SMTP sortant Activer Tu decoches la case

puis envoyer

et tu rebootes la freebox

[castrogne]

meme commande sur smtp.gmail.com :
25/tcp filtered smtp

je pense que c'est pour ça que mon telnet passe pas.

[mrtonio]

Citation:

Envoyé par castrogne

meme commande sur smtp.gmail.com :
25/tcp filtered smtp

je pense que c'est pour ça que mon telnet passe pas.

regarde mon message au dessus

[castrogne]

Ok merci bcp!!!!!!!

En effet la case était cochée, et j'avais ça sous les yeux tout le week end... Merci beaucoup!

Je ne peux pas relancer la freebox à distance, faudra attendre ce soir. Je te tiendrais au courant sur le forum.

Merci encore!

[castrogne]

et désolé nos réponses se sont croisées pour mon second post :p

[castrogne]

Salut!

Merci, après redémarrage (et pas mal de merdouille, j'ai du presque tout réinstaller mais ça c'est une autre histoire), me revoilà...

Donc j'ai pu avancer (un peu) et j'arrive avec une autre erreur :

Citation:

Dec 5 13:33:58 server postfix/pickup[10698]: 7E15E3E468: uid=0 from=<root>
Dec 5 13:33:58 server postfix/cleanup[10703]: 7E15E3E468: message-id=<20071205123358.7E15E3E468@server.creacostume.net>
Dec 5 13:33:58 server postfix/qmgr[10697]: 7E15E3E468: from=<root@server.creacostume.net>, size=366, nrcpt=1 (queue active)
Dec 5 13:33:58 server postfix/smtp[10709]: setting up TLS connection to smtp.gmail.com
Dec 5 13:33:58 server postfix/smtp[10709]: certificate verification failed for smtp.gmail.com: num=20:unable to get local issuer certificate
Dec 5 13:33:58 server postfix/smtp[10709]: SSL_connect error to smtp.gmail.com: -1
Dec 5 13:33:58 server postfix/smtp[10709]: warning: TLS library problem: 10709:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:951:
Dec 5 13:33:58 server postfix/smtp[10709]: 7E15E3E468: to=<pierre.paquin@gmail.com>, relay=smtp.gmail.com[209.85.135.109]:25, delay=0.41, delays=0.04/0.03/0.34/0, dsn=4.7.5, status=deferred (Cannot start TLS: handshake failure)

Là c'est la ligne suivante qui pose problème :

Citation:

warning: TLS library problem: 10709:error:14090086:SSL routines:SSL3_GET_SERVER_CERTIFICATE:certificate verify failed:s3_clnt.c:951:

en effet l'erreur num=20 est "normale" il paraît. (j'ai auto signé mon certificat, ce serait pour ça). L'erreur que j'ai viendrait du fait que postfix ne trouve pas le certificat google :

Citation:

"These warnings are because postfix doesn't know where to find the Thawte
certificate that gmail used to sign its own certificate. Ubuntu
includes it in its ssl package. You need to append it to the
cacert.pem file you generated earlier.

cat /etc/ssl/certs/Thawte_Premium_Server_CA.pem >> cacert.pem "

mais la ligne donnée ne donne rien chez moi... Pour cause: je n'ai pas de Thawte_Premium_Server_CA.pem donc rien à ajouter à mon cacert.pem!

Aurais tu une idée?

Merci de ton aide inestimable....

[castrogne]

ouhouuuuuuuuu

done!!

c'est bon, trouvé... bon je partage :

si erreur

Citation:

SSL_connect error to smtp.gmail.com: -1

c'est donc que gmail n'a pas accès au certificat de gmail si j'ai bien compris (ce qui reste à prouver) mais en tout cas, il faut rajouter la certificat à la fin de cacert.pem :

Citation:

cat /etc/ssl/demoCA/ThawtePremiumServerCA_b64.txt >> cacert.pem

Si comme moi vous n'avez pas ce certificat sur la machine, il est téléchargeable à l'adresse http://www.thawte.com/roots/

-----
problème numéro 2 :
après vous aurez peut être l'erreur :

Citation:

warning: SASL authentication failure: No worthy mechs found

dans ce cas il suffit de faire un petit coup d'apt-get :

Citation:

apt-get install libsasl2-modules

et là ça marche, miracle oujouuuuuuuuuu ok


merci à toi!!!

P.S. un complément sympa des tutoriaux précédents :
http://prantran.blogspot.com/2007/01...untu-with.html
attention, ce n'est qu'un complément y'a pas tout... Les commentaires sont particulièrement intéressants.

Merci encore!