postfix vérification des adresses de destination, je coince...

Message par **kalistyan** » mar. 2 déc. 2014 12:51

Je bloque sur la configuration suivante, vérification des adresses de destination.

Ci-dessous, la doc.

/etc/postfix/main.cf:
    smtpd_recipient_restrictions = 
        permit_mynetworks
        reject_unauth_destination
        ...
        reject_unknown_recipient_domain
        reject_unverified_recipient

Mon fichier main.cf

Code : Tout sélectionner

alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
inet_interfaces = all
mailbox_size_limit = 0
myhostname = mx01.domain.tld
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relay_domains = domain.tld, domainclient1.tld, domainclient2.tld, domainclient3.tld
relayhost =
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination, reject_unverified_recipient reject_unknown_recipient_domain reject_non_fqdn_sender, reject_non_fqdn_recipient, reject_unauth_pipelining, reject_invalid_hostname, reject_rbl_client list.dsbl.org, reject_rbl_client bl.spamcop.net, reject_rbl_client sbl-xbl.spamhaus.org
smtpd_relay_restrictions = permit_mynetworks permit_sasl_authenticated defer_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain = $myhostname
smtpd_sasl_security_options = noanonymous

Par conséquent, la passerelle accepte des bal qui n'existent pas pour les domaines autoriser à être relayés... :/

Où ai-je gaffé ? :d

Message par **kalistyan** » mar. 2 déc. 2014 14:34

J'avance...

Pour que cela fonctionne, il faut utiliser la fonction tansport_maps (main.cf)

Code : Tout sélectionner

transport_maps = hash:/etc/postfix/transport

vim /etc/postfix/transport

Code : Tout sélectionner

domain.tld             smtp:mail.domain.tld
domain1tld            smtp:smtp.domain1.tld
etc...

postmap transport
service postfix reload

: host mail.domain.tld[xx.1xx.xx3.1X1] said: 550 User not found
(in reply to RCPT TO command)

Message par **kalistyan** » mar. 2 déc. 2014 14:51

Aie! :d

L'IP 6.15.3.1 est blacklistée pour une duré de 42469s (anti-troyan rule (spams detected from an unknown IP), temporary rejecting mail)

Si vous utilisez la technique “Sender Verify” nous vous conseillons de la désactiver (analysée par nos serveurs comme une attaque dictionnaire).

Pour cela :

Code : Tout sélectionner

smtpd_recipient_restrictions = check_recipient_access hash:/etc/postfix/sender_access

vim /etc/postfix/sender_access
free.fr OK

Le serveur n'effectuera plus la vérification d'existence du destinataire, mais uniquement pour free.

Edit : plus d'info => http://postmaster.free.fr/

Message par **Zedoune** » mar. 2 déc. 2014 14:53

C'est pas à ton serveur de s'occuper de vérifier l'existence du destinaire non ?

Message par **kalistyan** » mar. 2 déc. 2014 15:02

Euh... Aucune idée! Me suis par posé la question. J'ai été au plus simple.

En faisant des tests, j'ai remarqué que la passerelle accepte des bal qui n'existaient pas pour les domaines autoriser à être relayés... Du coup, je souhaitais corriger le "problème".

Message par **gizmo78** » mar. 2 déc. 2014 15:09

si je comprends bien kali:
- tu reçois un mail venant d'une adresse de ton domaine mais qui n'existe pas c'est bien ca?

Message par **Zedoune** » mar. 2 déc. 2014 15:12

J'ai pas compris ton problème mais je pense que t'as pas trouvé la bonne solution

Message par **dsebire** » mar. 2 déc. 2014 15:18

Euh... Aucune idée! Me suis par posé la question. J'ai été au plus simple. En faisant des tests, j'ai remarqué que la passerelle accepte des bal qui n'existaient pas pour les domaines autoriser à être relayés... Du coup, je souhaitais corriger le "problème".

c'est pas a toi de faire ça.

c'est le destinataire qui doit te renvoyer une erreur si boite n'existe pas.

après, je peux comprendre que ça te gêne de relayer des mails pour rien....

Message par **kalistyan** » mar. 2 déc. 2014 15:22

après, je peux comprendre que ça te gêne de relayer des mails pour rien....

En voilà un qui a tout compris.

D'accord, merci pour l'info.

Message par **gizmo78** » mar. 2 déc. 2014 15:28

du coup, dans ton fichier de contrôle d'accès tu mets les domaines que tu veux relayer?

Message par **dsebire** » mar. 2 déc. 2014 15:35

En voilà un qui a tout compris.

c'est trop haut niveau pour les autres

suis loin.....

Message par **kalistyan** » mar. 2 déc. 2014 15:36

Message par **dsebire** » mar. 2 déc. 2014 15:36

@guiz

Code : Tout sélectionner

relay_domains = domain.tld, domainclient1.tld, domainclient2.tld, domainclient3.tld

Message par **gizmo78** » mar. 2 déc. 2014 15:36

tu sais ce qu'il te dit l'un des autres

et sinon kali tu réponds pas aux questions?

dsebire: oui j'ai vu mais du coup j'arrive pas à piger l'utilisation du truc

Message par **dsebire** » mar. 2 déc. 2014 15:37

et sinon kali tu réponds pas aux questions?

non, c moi

Message par **dsebire** » mar. 2 déc. 2014 15:38

tu connais le principe du relai SMTP ?
bah c'est ça.
soit tu t'en sert chez toi pour relayer des mails de plusieurs de tes boites de manière "safe" (tu filtre sur ton relai etc. tout en relayant vers le smtp de chaque boite) soit tu t'en sert pour faire un failover (MX de backup) de ton serveur mail principal qui peut héberger plusieurs domaines.

ça me rappelle brutalement qu'il faut que je prenne 5mn pour en faire un pour le taf.....

Message par **gizmo78** » mar. 2 déc. 2014 15:45

je me suis pas penché sur le relay smtp encore. merci

Message par **kalistyan** » mar. 2 déc. 2014 20:12

si je comprends bien kali:
- tu reçois un mail venant d'une adresse de ton domaine mais qui n'existe pas c'est bien ca?

Non, le serveur de mail rejette le mail puisque que la BAL n'existe pas. Par contre, la passerelle le relais... C'est à ce niveau que je souhaitais intervenir.

J'ai pas compris ton problème mais je pense que t'as pas trouvé la bonne solution

[:alyssa -]

et sinon kali tu réponds pas aux questions?

Toutes mes confuses.

dsebire: oui j'ai vu mais du coup j'arrive pas à piger l'utilisation du truc

Je souhaiterais éviter de relayer des mails à destination de bal inexistante...

Message par **Zedoune** » mar. 2 déc. 2014 20:15

Comment tu peux savoir que la boîte existe pas si elle n'est pas chez toi ?

Message par **kalistyan** » mar. 2 déc. 2014 20:31

Si j'active la fonction de vérification, je pensais que la passerelle contactait le serveur de mail avant de l'envoyer tout simplement.

Message par **Zedoune** » mar. 2 déc. 2014 20:34

C'est un truc standard ça ?

Message par **kalistyan** » mar. 2 déc. 2014 22:19

Euh... Bonne question :d

Message par **dsebire** » mer. 3 déc. 2014 08:22

oui, tu peux le faire, par contre, c'est souvent considéré comme une attaque (pour récupérer des emails valides), c'est d'ailleurs ce a quoi kali était confronté.

standard, pas tant que ça, ça n'existe pas sur tout les serveurs SMTP (exchange par ex)

Message par **gizmo78** » mer. 3 déc. 2014 10:19

pas de soucis kali

je comprends mieux!! mais du coups les bals que tu relayais, elles étaient dans ton domaine ou externe à lui?

Message par **kalistyan** » mer. 3 déc. 2014 10:43

Dans le domaine.

Domaine : homelab.tld
BAL (existante) : postmaster@homelab.tld
MX1 : mx00.homelab.tld
MX2 : mx01.homelab.tld

MX1 est HS donc tout va être relayer via MX2.

Un client envoi un mail :

Expéditeur : client@smp-fr.fr
Destinataire : postmaster@homelab.tld
Le mail est relayé sans problème, puisque autorisé => @homelab.tld

Expéditeur : client@smp-fr.fr
Destinataire : post@homelab.tld
Le mail est malheureusement relayé, puisque tjrs autorisé => @homelab.tld mais pour un compte inexistant. :/
En retour le client reçoit bien un erreur, mais c'est dommage de relayer ce genre de message.

Si un petit malin, souhaite envoyer (déjà aperçu dans les logs, alors que le serveur n'a que 24h ^^) un mail à destination d'un autre domaine, il faut bien entendu être authentifié.