Discussion :

[kippix]

Bonjour à tous,

J'ai un petit soucis, en effet je ne peut subitement plus envoyer de mail depuis l'un de mes sites autorisé à envoyer des mails (mynetworks)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
Oct 23 00:34:58 saphire postfix/smtpd[11409]: warning: 217.128.xxx.xxx: hostname XXXXXXXXX-xxx-xx-xx-xx.w217-128.abo.wanadoo.fr verification failed: Name or service not known
Oct 23 00:34:58 saphire postfix/smtpd[11409]: connect from unknown[217.128.xxx.xxx]
Oct 23 00:34:58 saphire postfix/smtpd[11409]: NOQUEUE: reject: RCPT from unknown[217.128.xxx.xxx]: 450 4.7.1 Client host rejected: cannot find your hostname, [217.128.xxx.xxx]; from=<contact@mondomaine.fr> to=<titi@gmail.com> proto=ESMTP helo=<tutu>
Oct 23 00:35:02 saphire postfix/smtpd[11409]: disconnect from unknown[217.128.xxx.xxx]

Voila une journée que cherche & test mais je n'arrive pas à résoudre mon problème. Pourriez vous m'aider ?

Conf de postfix

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
 
# /etc/postfix/main.cf
#
 
smtpd_banner = tutu ESMTP (Debian/GNU)
biff = no
disable_vrfy_command = yes
 
# Rejeter tout mail mal formate
smtpd_helo_required = yes
#smtpd_helo_restrictions = reject_non_fqdn_hostname
 
# ajoute le domaine aux emails de la distribution locale
# ainsi vous pourrez envoyer des emails sans @domain.priv
# par la commande sendmail
mydomain = mondomaine.fr
append_dot_mydomain = yes
 
# Envoi une alerte de depassement de delai par email
#delay_warning_time = 4h
 
myhostname = mondomaine.fr
myorigin = $mydomain
 
# domaine de distribution local
mydestination = localhost.localdomain, localhost
 
# Mettez ici le relais smtp de votre FAI si vous avez des problemes de blacklist
# e IP
#relayhost = smtp.wanadoo.fr
 
# adresseIP/Masque des reseaux locaux (reseaux autorises pour l'envoi de courier)
#mynetworks = 127.0.0.0/8 
mynetworks = 127.0.0.0/8 89.xxx.xxx.xxx 81.xxx.xxx.xxx 217.128.xxx.xxx
inet_interfaces = all
 
#restrictions d'acces
# adresses d'expedition
smtpd_sender_restrictions =
        permit_mynetworks,
    reject_unknown_sender_domain,
    reject_rbl_client slb-xbl.spamhaus.org
 
 
 
#verifie que le domaine existe
        warn_if_reject reject_unverified_sender
 
smtpd_recipient_restrictions = 
    reject_non_fqdn_sender,
    reject_unknown_sender_domain,
    reject_unknown_recipient_domain,     
    reject_non_fqdn_recipient, 
    permit_mynetworks,
    reject_unauth_destination, 
    reject_unauth_pipelining,
    reject_invalid_hostname, 
    reject_rbl_client sbl-xbl.spamhaus.org,
    reject_rbl_client bl.spamcop.net,
    check_policy_service inet:127.0.0.1:60000,
    permit
 
 
 
# client
smtpd_client_restrictions =
    reject_unknown_client,
        permit_mynetworks
 
 
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf
virtual_mailbox_base = /var/spool/vmail/
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
 
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql-virtual_mailbox_limit_maps.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "Desole, la boite email de l'utilisateur est pleine, essayez plus tard."
virtual_overquota_bounce = yes
 
alias_maps = hash:/etc/aliases
 
# Quelques variables
 
message_size_limit = 10000000
anvil_rate_time_unit = 60s
#nombres de connections par unite de temps (60sec)
smtpd_client_connection_rate_limit = 40
#nombres de connection simultanees
smtpd_client_connection_count_limit = 10

Sur ses trois sites seul 217.128.xxx.xxx ne peut envoyer des mails
89.xxx.xxx.xxx 81.xxx.xxx.xxx 217.128.xxx.xxx

Je précise quelques test que j'ai effectué.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
 
root@saphire:/etc/courier# host -t mx mondomaine.fr
mondomaine.fr mail is handled by 5 mx2.mondomaine.fr.
mondomaine.fr mail is handled by 1 mx1.mondomaine.fr.
 
root@saphire:/etc/courier# host mx2.mondomaine.fr.
mx2.mondomaine.fr has address 217.128.xxx.xxx
 
root@saphire:/etc/courier# host 217.128.xxx.xxx
xxx.xxx.128.217.in-addr.arpa domain name pointer XXXXXXXXX-xxx-xx-xx-xx.w217-128.abo.wanadoo.fr.
 
root@saphire:/etc/courier# resolveip 217.128.xxx.xxx
Host name of 217.128.xxx.xxx is XXXXXXXXX-xxx-xx-xx-xx.w217-128.abo.wanadoo.fr

Je pense que vous avez toutes les infos en mains

Merci d'avance pour vos réponses.

[mathieu]

Le message d'erreur vient du client ou du serveur ?
Comment est organisée ton architecture ?

[kippix]

Le message viens du serveur(postfix), puisque s'est lui qui enregistre les log.

Concernant mon arch, j'ai 4 sites dont 1 hébergeant mon serveur de courier.
Les 3 autres se connectes à ce dernier pour consulter leurs mails.

Quoi dire de plus ..?

[mrtonio]

d'ou envoies tu le mail ? l'ip publique du server est elle bien 217.128.xxx.xxx ou bien il est sur un autre site ?

peux tu poster un postconf -n et un peu plus de logs du pb.

poste egalement le master.cf

[kippix]

J'envoi le mail depuis 217.128.xxx.xxx vers mon serveur 91.xxx.xxx.xxx (saphire)

Concernant les logs je n'en ai pas d'autres par rapport à ce problèlme

MASTER.CF

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
 
 #
 # Postfix master process configuration file.  For details on the format
 # of the file, see the master(5) manual page (command: "man 5 master").
 #
 # ==========================================================================
 # service type  private unpriv  chroot  wakeup  maxproc command + args
 #               (yes)   (yes)   (yes)   (never) (100)
 # ==========================================================================
 smtp      inet  n       -       -       -       -       smtpd
 #submission inet n       -       -       -       -       smtpd
 #  -o smtpd_enforce_tls=yes
 #  -o smtpd_sasl_auth_enable=yes
 #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
 #smtps     inet  n       -       -       -       -       smtpd
 #  -o smtpd_tls_wrappermode=yes
 #  -o smtpd_sasl_auth_enable=yes
 #  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
 #628      inet  n       -       -       -       -       qmqpd
 pickup    fifo  n       -       -       60      1       pickup
 cleanup   unix  n       -       -       -       0       cleanup
 qmgr      fifo  n       -       n       300     1       qmgr
 #qmgr     fifo  n       -       -       300     1       oqmgr
 tlsmgr    unix  -       -       -       1000?   1       tlsmgr
 rewrite   unix  -       -       -       -       -       trivial-rewrite
 bounce    unix  -       -       -       -       0       bounce
 defer     unix  -       -       -       -       0       bounce
 trace     unix  -       -       -       -       0       bounce
 verify    unix  -       -       -       -       1       verify
 flush     unix  n       -       -       1000?   0       flush
 proxymap  unix  -       -       n       -       -       proxymap
 smtp      unix  -       -       -       -       -       smtp
 # When relaying mail as backup MX, disable fallback_relay to avoid MX loops
 relay     unix  -       -       -       -       -       smtp
         -o fallback_relay=
 #       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
 showq     unix  n       -       -       -       -       showq
 error     unix  -       -       -       -       -       error
 discard   unix  -       -       -       -       -       discard
 local     unix  -       n       n       -       -       local
 virtual   unix  -       n       n       -       -       virtual
 lmtp      unix  -       -       -       -       -       lmtp
 anvil     unix  -       -       -       -       1       anvil
 scache    unix  -       -       -       -       1       scache
 #
 # ====================================================================
 # Interfaces to non-Postfix software. Be sure to examine the manual
 # pages of the non-Postfix software to find out what options it wants.
 #
 # Many of the following services use the Postfix pipe(8) delivery
 # agent.  See the pipe(8) man page for information about ${recipient}
 # and other message envelope options.
 # ====================================================================
 #
 # maildrop. See the Postfix MAILDROP_README file for details.
 # Also specify in main.cf: maildrop_destination_recipient_limit=1
 #
 maildrop  unix  -       n       n       -       -       pipe
   flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
 #
 # See the Postfix UUCP_README file for configuration details.
 #
 uucp      unix  -       n       n       -       -       pipe
   flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
 #
 # Other external delivery methods.
 #
 ifmail    unix  -       n       n       -       -       pipe
   flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
 bsmtp     unix  -       n       n       -       -       pipe
   flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
 scalemail-backend unix  -       n       n       -       2       pipe
   flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
 mailman   unix  -       n       n       -       -       pipe
   flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
   ${nexthop} ${user}

POSTCONF -N

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
 
 alias_maps = hash:/etc/aliases
 anvil_rate_time_unit = 60s
 append_dot_mydomain = yes
 biff = no
 config_directory = /etc/postfix
 disable_vrfy_command = yes
 inet_interfaces = all
 message_size_limit = 10000000
 mydestination = localhost.localdomain, localhost
 mydomain = mondomaine.fr
 myhostname = mondomaine.fr
 mynetworks = 127.0.0.0/8 89.xxx.xxx.xxx 81.xxx.xxx.xxx 217.128.xxx.xxx
 myorigin = $mydomain
 smtpd_banner = mondomaine ESMTP (Debian/GNU)
 smtpd_client_connection_count_limit = 10
 smtpd_client_connection_rate_limit = 40
 smtpd_client_restrictions = reject_unknown_client,        permit_mynetworks
 smtpd_helo_required = yes
 smtpd_recipient_restrictions = reject_non_fqdn_sender,    reject_unknown_sender_domain,    reject_unknown_recipient_domain,         reject_non_fqdn_recipient,     permit_mynetworks,    reject_unauth_destination,     reject_unauth_pipelining,    reject_invalid_hostname,     reject_rbl_client sbl-xbl.spamhaus.org,    reject_rbl_client bl.spamcop.net,    check_policy_service inet:127.0.0.1:60000,    permit
 smtpd_sender_restrictions = permit_mynetworks,  reject_unknown_sender_domain,   reject_rbl_client slb-xbl.spamhaus.org        warn_if_reject reject_unverified_sender
 virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_mailbox.cf
 virtual_gid_maps = static:5000
 virtual_mailbox_base = /var/spool/vmail/
 virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domains.cf
 virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_mailboxes.cf

Merci, encore

[mrtonio]

c'est le reject_unknown_client du stage

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

smtpd_client_restrictions = reject_unknown_client,        permit_mynetworks

qui genere l'erreur.

sincerement je te conseille de ne pas utiliser reject_unknown_client, bcp trop restrictif et source de false positive.

[kippix]

Oui mais tu restreins comment tes clients smtp?

[mrtonio]

tu veux restreindre comment ?

de quel clients parles tu ? les tiens, c'est a dire ceux de tes sites ou bien les clients exterieurs, c'est a dire les smtp qui t'envoie un mail ?

[kippix]

Je veux faire en sorte, que seul les 3 sites + mon serveur, ont le droit d'utiliser mon serveur mail pour envoyer des mails !

Tout les autres doivent être rejeter.

C'est dans ce but que j'ai utilisé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

reject_unknown_client,

Sinon, j'ai verifié, j'avais bien tester hier soir sans ce reject_unknown_client

dans ce cas j'ai ces log ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 Oct 23 00:02:40 saphire postfix/smtpd[7950]: warning: 217.128.xxx.xxx: hostname XXXXXX-xxx-xxxx-xxx-xxx.w217-128.abo.wanadoo.fr verification failed: Name or service not known 
Oct 23 00:02:40 saphire postfix/smtpd[7950]: connect from unknown[217.128.xxx.xxx] 
Oct 23 00:02:41 saphire postfix/smtpd[7950]: NOQUEUE: reject: RCPT from unknown[217.128.xxx.xxx]: 554 5.7.1 <titi@gmail.com>: Relay access denied; from=<contact@mondomaine.fr> to=<titi@gmail.com> proto=ESMTP helo=<tutu>

[kippix]

Je pense avoir trouvé mon problème

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
root@saphire# host 217.128.xxx.xxx
xxx.xxx.128.217.in-addr.arpa domain name pointer XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr.
 
root@saphire# host XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr
Host XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr not found: 3(NXDOMAIN)

Il y a un problème de résolution de nom, et je pense que le soucis viens de la quand pensez vous ?

[mrtonio]

Je veux faire en sorte, que seul les 3 sites + mon serveur, ont le droit d'utiliser mon serveur mail pour envoyer des mails !

Tout les autres doivent être rejeter.

C'est dans ce but que j'ai utilisé

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

reject_unknown_client,

Sinon, j'ai verifié, j'avais bien tester hier soir sans ce reject_unknown_client

dans ce cas j'ai ces log ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
 Oct 23 00:02:40 saphire postfix/smtpd[7950]: warning: 217.128.xxx.xxx: hostname XXXXXX-xxx-xxxx-xxx-xxx.w217-128.abo.wanadoo.fr verification failed: Name or service not known 
Oct 23 00:02:40 saphire postfix/smtpd[7950]: connect from unknown[217.128.xxx.xxx] 
Oct 23 00:02:41 saphire postfix/smtpd[7950]: NOQUEUE: reject: RCPT from unknown[217.128.xxx.xxx]: 554 5.7.1 <titi@gmail.com>: Relay access denied; from=<contact@mondomaine.fr> to=<titi@gmail.com> proto=ESMTP helo=<tutu>

dans ce cas reject_unknown_client n'est pas utile pour ca.

c'est le parametre mynetworks qui specifie les reseau autorisés a relayer.
et si tu obtiens un Relay access denied dans ton dernier test c'est que ton reseau n'est pas mentionné ou bien que tu as une erreur de conf suite a ta modif.

reposte le postconf -n a jour.

[mrtonio]

Je pense avoir trouvé mon problème

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
root@saphire# host 217.128.xxx.xxx
xxx.xxx.128.217.in-addr.arpa domain name pointer XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr.
 
root@saphire# host XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr
Host XXXXXX-xxx-xxx-xxx.w217-128.abo.wanadoo.fr not found: 3(NXDOMAIN)

Il y a un problème de résolution de nom, et je pense que le soucis viens de la quand pensez vous ?

le pb lié a la verification du client vient bien de la, mais comme je te disais plus haut tu auras souvent ce genre de pb avec la verification reject_unknown_client, qui je le repete n'est pas faite pour autoriser telle ou telle client a se connecter.
ce parametre rejette les requetes dans les cas suivants: (extrait de la doc de postfix)
the client IP address->name mapping fails
the name->address mapping fails, or
the name->address mapping does not match the client IP address.

pour ce que tu veux faire c'est mynetworks tout simplement qui doit etre utilisé.

[kippix]

Oui, mais si l'ip ne correspond pas avec le nom et/ou inversement, c'est que la source n'est pas fiable non?

Normalement, ces résolutions ip / nom doivent fonctionner !

Et d'ailleur je ne comprend pas pourquoi d'un jour à l'autre cette résolution ne fonctionne plus.

J'ai appelé mon FAI à ce sujet... ils ne veulent rien savoir, pour eux ce n'est pas un problème. Je suis pas aidé..............

[mrtonio]

Oui, mais si l'ip ne correspond pas avec le nom et/ou inversement, c'est que la source n'est pas fiable non?

Normalement, ces résolutions ip / nom doivent fonctionner !

Et d'ailleur je ne comprend pas pourquoi d'un jour à l'autre cette résolution ne fonctionne plus.

J'ai appelé mon FAI à ce sujet... ils ne veulent rien savoir, pour eux ce n'est pas un problème. Je suis pas aidé..............

pas vraiment, il y a de multiples facteurs et d'experience avec cette regle tu auras de nombreux false positive

[kippix]

mais si cette option n'est pas utile, alors pourquoi l'avoir créer?

il y a de multiples facteurs et d'experience

Tu veux dire beaucoup de personne l'on utilisé, et qu'ils en ont conclu que de cette règle resort trop de false positve pour être utilisé en tant qu'option de sécurité ?

[mrtonio]

elle peut convenir dans certain cas, ou bien dans le cas de politique tres stricte.
mais sur un serveur public en prod c'est deconseillé.

oui cette regle est connue pour etre tres fortement restrictive et provoquer de nombreux false positive.

le pb vient que de nombreux serveurs de mails ne remplissent pas les criteres verifiés par cette regle. Et ce ne sont pas forcement des relais spam.

ce n'est pas la faute de la regle, qui impose de suivre a la lettre les RFC sur ce point, mais celle d'administrateurs mails peu regardant sur la conformité de leur systeme.

apres libre a toi d'appliquer cette regle et donc de risquer de perdre des messages. C'est un choix, mais que tes users risquent de ne pas partager !

[kippix]

Tu m'a l'air bien aux faits sur ce sujet, je te remerci pour tes explications. Je pense que je vais laisser cette option de coté.

Toutefois, je reprend ce que tu me disai plus haut :

pour ce que tu veux faire c'est mynetworks tout simplement qui doit etre utilisé.

Mais connait tu une autre option permettant de sécuriser l'accès à l'envoie de mail? la seul option mynetworks me parai légère et n'est plus utile si il y a spoofing par exemple...

Qu'en pense tu ?

[mrtonio]

tu as raison, meme si spoofer l'ip de connection c'est quand meme pas tous les jours que cela va se produire donc la securité de base que fourni mynetworks est correcte.

Le pb se pose surtout quand tu as besoin d'identifier des laptops par exemple qui par nature vont changer d'ip regulierement.
la seule solution dans ce cas c'est un mechanisme d'authentification sur le SMTP: le SASL.

cela demande un peu de config mais c'est desormais je pense incontournable, car cela procure une securité plus fine que l'ip ou le range ip.

[kippix]

Bizarement, je m'attendais à cette réponse

Merci pour ton aide je vais m'intéresser à cette solution.

Salut