[HS] smtp distant tunnel ssh postfix

Le
Bulot gregory
Bonjour,

j'ai positionné le tag hors sujet, car cela n'est pas spécifique debian

Actuellement depuis mon réseau local l'envoi de mails ne posent pas de
problèmes, depuis mon webmail non plus (qui est aussi le serveur smtp)

par contre depuis les hôtels je me connecte via putty en ssh avec tunnel
et transfert de port (web, imap, smtp : équivalent ssh -L 25:localhost:25
user@chezmoi.com)

malheureusement il m'est toujours impossible d'envoyer mes mails depuis
mon portable

pour info :
tank : serveur smtp, imap
neo : routeur (linux)



= le message d'erreur (log postfix) : =
May 3 19:42:43 tank postfix/smtpd[30305]: connect from
neo.bulot-fr.com[192.168.1.190]
May 3 19:42:49 tank postfix/smtpd[30305]: NOQUEUE: reject: RCPT from
neo.bulot-fr.com[192.168.1.190]: 504 5.5.2 <unknown>: Helo command
rejected: need fully-qualified hostname; from=<moi_nospam@bulot-fr.com>
to=<moi_nospam@bulot-fr.com> proto=SMTP helo=<unknown>
May 3 19:42:55 tank dovecot: imap-login: Login: user=<gbulot>,
method=PLAIN, rip7.0.0.1, lip7.0.0.1, secured


== main.cf =
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
smtpd_helo_required = yes

append_dot_mydomain = no


smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache


myhostname = tank.bulot-fr.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = batman.dyndns.org, bulot-fr.com, localhost,
localhost.localdomain
relayhost = smtp.free.fr
mynetworks = 127.0.0.0/8 127.0.0.1 192.168.1.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

relay_domains = $mynetworks

smtpd_helo_restrictions = reject_non_fqdn_hostname

smtpd_sender_restrictions =
permit_mynetworks,
reject_unknown_sender_domain,
warn_if_reject reject_unverified_sender

smtpd_client_restrictions =
permit_mynetworks,
reject_unknown_client,
check_client_access
cidr:/etc/postfix/sinokoreacidr.txt,
hash:/etc/postfix/deny,
hash:/etc/postfix/access,
regexp:/etc/postfix/clientblocks,



smtpd_recipient_restrictions =
permit_mynetworks,
check_client_access hash:/etc/postfix/access,
check_recipient_access hash:/etc/postfix/access,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
reject_non_fqdn_sender,

reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client opm.blitzed.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client list.dsbl.org,

reject_rbl_client dnsbl.ahbl.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client relays.visi.com,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_client rhsbl.ahbl.org,
reject_rhsbl_sender rhsbl.ahbl.org,
reject_rhsbl_client rhsbl.sorbs.net
reject_rhsbl_sender rhsbl.sorbs.net,
reject_rhsbl_client block.rhs.mailpolice.com,
reject_rhsbl_sender block.rhs.mailpolice.com,
reject_rhsbl_client dynamic.rhs.mailpolice.com,
reject_rhsbl_sender dynamic.rhs.mailpolice.com,
reject_rhsbl_client bogusmx.rfc-ignorant.org,
reject_rhsbl_sender bogusmx.rfc-ignorant.org,
reject_rhsbl_client dsn.rfc-ignorant.org,
reject_rhsbl_sender dsn.rfc-ignorant.org
permit

reject_unknown_sender_domain = yes


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers debian-user-french-REQUEST@lists.debian.org
En cas de soucis, contactez EN ANGLAIS listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Goldy
Le #19261031
Bulot gregory a écrit :
Bonjour,

j'ai positionné le tag hors sujet, car cela n'est pas spécifique debian

Actuellement depuis mon réseau local l'envoi de mails ne posent pas de
problèmes, depuis mon webmail non plus (qui est aussi le serveur smtp)

par contre depuis les hôtels je me connecte via putty en ssh avec tunnel
et transfert de port (web, imap, smtp : équivalent ssh -L 25:localhost:25
)

malheureusement il m'est toujours impossible d'envoyer mes mails depuis
mon portable

pour info :
tank : serveur smtp, imap
neo : routeur (linux)



======= le message d'erreur (log postfix) : =========================== > May 3 19:42:43 tank postfix/smtpd[30305]: connect from
neo.bulot-fr.com[192.168.1.190]
May 3 19:42:49 tank postfix/smtpd[30305]: NOQUEUE: reject: RCPT from
neo.bulot-fr.com[192.168.1.190]: 504 5.5.2 <unknown>: Helo command
rejected: need fully-qualified hostname; from to May 3 19:42:55 tank dovecot: imap-login: Login: user=<gbulot>,
method=PLAIN, rip7.0.0.1, lip7.0.0.1, secured


==================== main.cf ================================= > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
smtpd_helo_required = yes

append_dot_mydomain = no


smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache


myhostname = tank.bulot-fr.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = batman.dyndns.org, bulot-fr.com, localhost,
localhost.localdomain
relayhost = smtp.free.fr
mynetworks = 127.0.0.0/8 127.0.0.1 192.168.1.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

relay_domains = $mynetworks

smtpd_helo_restrictions = reject_non_fqdn_hostname

smtpd_sender_restrictions > permit_mynetworks,
reject_unknown_sender_domain,
warn_if_reject reject_unverified_sender

smtpd_client_restrictions > permit_mynetworks,
reject_unknown_client,
check_client_access
cidr:/etc/postfix/sinokoreacidr.txt,
hash:/etc/postfix/deny,
hash:/etc/postfix/access,
regexp:/etc/postfix/clientblocks,



smtpd_recipient_restrictions > permit_mynetworks,
check_client_access hash:/etc/postfix/access,
check_recipient_access hash:/etc/postfix/access,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
reject_non_fqdn_sender,

reject_unknown_sender_domain,
reject_unauth_pipelining,
reject_invalid_hostname,
reject_rbl_client opm.blitzed.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client list.dsbl.org,

reject_rbl_client dnsbl.ahbl.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client relays.visi.com,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_client rhsbl.ahbl.org,
reject_rhsbl_sender rhsbl.ahbl.org,
reject_rhsbl_client rhsbl.sorbs.net
reject_rhsbl_sender rhsbl.sorbs.net,
reject_rhsbl_client block.rhs.mailpolice.com,
reject_rhsbl_sender block.rhs.mailpolice.com,
reject_rhsbl_client dynamic.rhs.mailpolice.com,
reject_rhsbl_sender dynamic.rhs.mailpolice.com,
reject_rhsbl_client bogusmx.rfc-ignorant.org,
reject_rhsbl_sender bogusmx.rfc-ignorant.org,
reject_rhsbl_client dsn.rfc-ignorant.org,
reject_rhsbl_sender dsn.rfc-ignorant.org
permit

reject_unknown_sender_domain = yes





Personnellement j'utilise l'option -D de ssh pour creuser des tunnels,
et je règle mon client mail pour utiliser un proxy sock locale.

ssh -D port

T'auras l'avantage de pouvoir l'utiliser pour l'ensemble de tes
activités sur le réseau et pas uniquement l'envoie de mail.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Daniel Caillibaud
Le #19263891
Le 03/05/09 à 19:49, "Bulot gregory"
malheureusement il m'est toujours impossible d'envoyer mes mails depuis
mon portable



======= le message d'erreur (log postfix) : ===== =======================



C'est dedans :

May 3 19:42:49 tank postfix/smtpd[30305]: NOQUEUE: reject: RCPT from
neo.bulot-fr.com[192.168.1.190]: 504 5.5.2 <unknown>: Helo command
rejected: need fully-qualified hostname; from to


C'est le "need fully-qualified hostname", que tu exige dans ton

==================== main.cf = ========================= ========



smtpd_helo_restrictions = reject_non_fqdn_hostname



Donc, soit tu vires cette restriction, soit tu modifie ton client pour qu'i l envoie un hostname fqdn... (fully qualified domain
name).
Et je n'ai pas l'impression que tu puisse "pousser" cette restriction un pe u plus tard, c'est à dire pas au moment du helo
(tout début de la connexion smtp), mais ensuite, une fois que tu es au thentifié (après un permit_sasl_authenticated par
exemple). Mais ça parait logique que le reject_invalid_helo_hostname s e fase au moment du helo.

--
Daniel

On ne va tout de même pas se laisser abattre.
John F. Kennedy.

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
mouss
Le #19281901
Bulot gregory a écrit :
Bonjour,

j'ai positionné le tag hors sujet, car cela n'est pas spécifique debian

Actuellement depuis mon réseau local l'envoi de mails ne posent pas de
problèmes, depuis mon webmail non plus (qui est aussi le serveur smtp)

par contre depuis les hôtels je me connecte via putty en ssh avec tunnel
et transfert de port (web, imap, smtp : équivalent ssh -L 25:localhost:25
)

malheureusement il m'est toujours impossible d'envoyer mes mails depuis
mon portable

pour info :
tank : serveur smtp, imap
neo : routeur (linux)



======= le message d'erreur (log postfix) : =========================== > May 3 19:42:43 tank postfix/smtpd[30305]: connect from
neo.bulot-fr.com[192.168.1.190]
May 3 19:42:49 tank postfix/smtpd[30305]: NOQUEUE: reject: RCPT from
neo.bulot-fr.com[192.168.1.190]: 504 5.5.2 <unknown>: Helo command
rejected: need fully-qualified hostname; from to


"unknown" n'est pas un bon helo. l'argument de HELO/EHLO doit être un
"hostname" valide et complet au sens du DNS.

si ton client est vraiment pourri et que tu y tiens, tu peux mettre un
permit_mynetworks ou permeit_sasl_authenticated avant
reject_non_fqdn_helo_hostname. mais bon, ...

May 3 19:42:55 tank dovecot: imap-login: Login: user=<gbulot>,
method=PLAIN, rip7.0.0.1, lip7.0.0.1, secured


==================== main.cf ================================= > smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
smtpd_helo_required = yes

append_dot_mydomain = no


smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
smtpd_use_tls=yes
smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache


myhostname = tank.bulot-fr.com
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = $myhostname
mydestination = batman.dyndns.org, bulot-fr.com, localhost,
localhost.localdomain
relayhost = smtp.free.fr
mynetworks = 127.0.0.0/8 127.0.0.1 192.168.1.0/24
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
inet_protocols = all

relay_domains = $mynetworks



ah non. vire ça. c'est comme écrire:
nombre de patates = couleur de tomate.


smtpd_helo_restrictions = reject_non_fqdn_hostname

smtpd_sender_restrictions > permit_mynetworks,
reject_unknown_sender_domain,
warn_if_reject reject_unverified_sender



la vérification du "sender" n'est pas très appréciée...


smtpd_client_restrictions > permit_mynetworks,
reject_unknown_client,



attention, ça bloque plein de mail... en plus, n'oublie pas qu'il peut y
avoir des problèmes de DNS transitoires...

check_client_access
cidr:/etc/postfix/sinokoreacidr.txt,
hash:/etc/postfix/deny,
hash:/etc/postfix/access,
regexp:/etc/postfix/clientblocks,



mieux vaut mettre les "check_client_access" devant chaque "map". comme
ça, si tu les déplaces, ça reste bon.




smtpd_recipient_restrictions > permit_mynetworks,
check_client_access hash:/etc/postfix/access,
check_recipient_access hash:/etc/postfix/access,
reject_unauth_destination,
reject_unknown_recipient_domain,
reject_non_fqdn_recipient,
reject_non_fqdn_sender,

reject_unknown_sender_domain,



tu te répétes la.

reject_unauth_pipelining,



ça ne sert à rien ici. RCPT TO est une commande "asynchrone" et son
pipelining est donc toujors "authorisé".

reject_invalid_hostname,
reject_rbl_client opm.blitzed.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client bl.spamcop.net,
reject_rbl_client dnsbl.njabl.org,
reject_rbl_client sbl-xbl.spamhaus.org,
reject_rbl_client list.dsbl.org,

reject_rbl_client dnsbl.ahbl.org,
reject_rbl_client dnsbl.sorbs.net,
reject_rbl_client relays.visi.com,
reject_rhsbl_client blackhole.securitysage.com,
reject_rhsbl_sender blackhole.securitysage.com,
reject_rhsbl_client rhsbl.ahbl.org,
reject_rhsbl_sender rhsbl.ahbl.org,
reject_rhsbl_client rhsbl.sorbs.net
reject_rhsbl_sender rhsbl.sorbs.net,
reject_rhsbl_client block.rhs.mailpolice.com,
reject_rhsbl_sender block.rhs.mailpolice.com,
reject_rhsbl_client dynamic.rhs.mailpolice.com,
reject_rhsbl_sender dynamic.rhs.mailpolice.com,
reject_rhsbl_client bogusmx.rfc-ignorant.org,
reject_rhsbl_sender bogusmx.rfc-ignorant.org,
reject_rhsbl_client dsn.rfc-ignorant.org,
reject_rhsbl_sender dsn.rfc-ignorant.org




tu fais collection des reject_*bl*? opm, dsbl, ... n'existent plus
depuis lontgtemps. tu peux aussi bien faire
sleep 10
ça aura le même effet, sans toutefois déranger les autres domaines.

franchement, commence par
reject_rbl_client zen.spamhaus.org
et ajoute des règles quand tu en as besoin et uniquement après analyse...

permit

reject_unknown_sender_domain = yes



ce paramètre n'existe pas:
$ postconf reject_unknown_sender_domain
postconf: warning: reject_unknown_sender_domain: unknown parameter






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Grégory Bulot
Le #19290381
Daniel Caillibaud 18:28:47 +0200

C'est le "need fully-qualified hostname", que tu exige dans ton



bah j'ai déclaré un fqh (un fqdn ?) sur mon client, mais j'ai tou jours
la même erreur dans les logs postfix (Helo command rejected:
need fully-qualified hostname)

je pense que mouss a raison, mon main.cf a "évolué" aux fils des années
(sans retrait des choses inutiles, voir en contredisant certaines
directives)


--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Grégory Bulot
Le #19290371
Goldy

Personnellement j'utilise l'option -D de ssh pour creuser des tunnels,
et je règle mon client mail pour utiliser un proxy sock locale.

ssh -D port

T'auras l'avantage de pouvoir l'utiliser pour l'ensemble de tes
activités sur le réseau et pas uniquement l'envoie de mail.



je l'utilise déjà pour firefox, j'ai pas vu (... cherché) si sylpheed
permet de déclarer un proxy

--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Grégory Bulot
Le #19290511
mouss

"unknown" n'est pas un bon helo. l'argument de HELO/EHLO doit être un
"hostname" valide et complet au sens du DNS.



je viens de passer un ptit moment ... et au fin fond d'un sous-onglet,
j'ai trouvé "Indiquer le nom de domaine" ! j'ai forcé avec mon do maine
local .... et ça marche .... c'est vraiement compliqué sous windo ws, le
même client sous gnu linux ne ma jamais posé de problème ...



> relay_domains = $mynetworks

ah non. vire ça. c'est comme écrire:
nombre de patates = couleur de tomate.




pas taper


> smtpd_sender_restrictions =



la vérification du "sender" n'est pas très appréciée. ..



> smtpd_client_restrictions =
> permit_mynetworks,
> reject_unknown_client,

attention, ça bloque plein de mail... en plus, n'oublie pas qu'il
peut y avoir des problèmes de DNS transitoires...



cela me bloque pas mal de spams en utilisant un minimum de ressources
(y'a surement plus propre ... certes)



> check_client_access
> cidr:/etc/postfix/sinokoreacidr.txt,
> hash:/etc/postfix/deny,
> hash:/etc/postfix/access,
> regexp:/etc/postfix/clientblocks,

mieux vaut mettre les "check_client_access" devant chaque "map". comme
ça, si tu les déplaces, ça reste bon.



ok je le note

> reject_unknown_sender_domain,

tu te répétes la.



je tenterais de commenter le 1er, et voir ce que cela donne en spams


> reject_unauth_pipelining,

ça ne sert à rien ici. RCPT TO est une commande "asynchrone" et son
pipelining est donc toujors "authorisé".




ok

tu fais collection des reject_*bl*? opm, dsbl, ... n'existent plus
depuis lontgtemps franchement, commence par
reject_rbl_client zen.spamhaus.org
et ajoute des règles quand tu en as besoin et uniquement après
analyse...



> reject_unknown_sender_domain = yes

ce paramètre n'existe pas:
$ postconf reject_unknown_sender_domain
postconf: warning: reject_unknown_sender_domain: unknown parameter



effectivement, il a du exister à un moment donné .... il éta it resté ..
--

Cordialement
Grégory BULOT

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Bulot Grégory
Le #19312631
> mouss

"unknown" n'est pas un bon helo. l'argument de HELO/EHLO doit être un
"hostname" valide et complet au sens du DNS.



je viens de passer un ptit moment ... et au fin fond d'un sous-onglet,
j'ai trouvé "Indiquer le nom de domaine" ! j'ai forcé avec mon domaine
local .... et ça marche .... c'est vraiement compliqué sous windows, le
même client sous gnu linux ne ma jamais posé de problème ...



en fait cela fonctionne lorsque mon portable est sur mon lan (chez moi),
mais pas dans les hôtels (bizarrement pas de message d'erreur postfix,
sylpheed ...)

--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot
``spam'' dans vos champs "From" et "Reply-To:"

Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe"
vers
En cas de soucis, contactez EN ANGLAIS
Publicité
Poster une réponse
Anonyme