Bonjour à tous,
C'est un peu HS, mais je tente ma chance ;-)
J'ai un serveur de mail qui tourne sous Postfix et qui est configuré
pour faire du smtp auth avec tls : aucun problème, mon serveur n'est a
priori pas ouvert, et je ne peux envoyer de mail vers d'autres domaines
sans m'être correctement authentifié. Dans le cas contraire, je récupère
bien un "Relay access denied".
Par contre, je viens de m'apercevoir d'une chose : si depuis thunderbird
je choisis comme serveur d'envoi mon serveur sous Postfix, mais
configuré cette fois sans login/mdp ni tls, et que j'envoie un mail à un
de mes utilisateurs locaux (cela ne se passe heureusement que dans ce
cas là), le serveur accepte la requête et mon utilisateur local reçois
quand même le mail, sans que j'ai eu à m'authentifier ...
Est ce un comportement normal ?
N'y a t'il pas moyen de forcer
l'utilisation d'un login/mdp sous TLS, également pour l'envoi de mail à
des utilisateurs locaux ?
Mon main.cf :
[snip]
smtpd_helo_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_invalid_hostname,
permit
smtpd_sender_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
smtpd_recipient_restrictions > permit_mynetworks,
reject_unlisted_recipient
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
check_policy_service inet:127.0.0.1:60000,
permit
Bonjour à tous,
C'est un peu HS, mais je tente ma chance ;-)
J'ai un serveur de mail qui tourne sous Postfix et qui est configuré
pour faire du smtp auth avec tls : aucun problème, mon serveur n'est a
priori pas ouvert, et je ne peux envoyer de mail vers d'autres domaines
sans m'être correctement authentifié. Dans le cas contraire, je récupère
bien un "Relay access denied".
Par contre, je viens de m'apercevoir d'une chose : si depuis thunderbird
je choisis comme serveur d'envoi mon serveur sous Postfix, mais
configuré cette fois sans login/mdp ni tls, et que j'envoie un mail à un
de mes utilisateurs locaux (cela ne se passe heureusement que dans ce
cas là), le serveur accepte la requête et mon utilisateur local reçois
quand même le mail, sans que j'ai eu à m'authentifier ...
Est ce un comportement normal ?
N'y a t'il pas moyen de forcer
l'utilisation d'un login/mdp sous TLS, également pour l'envoi de mail à
des utilisateurs locaux ?
Mon main.cf :
[snip]
smtpd_helo_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_invalid_hostname,
permit
smtpd_sender_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
smtpd_recipient_restrictions > permit_mynetworks,
reject_unlisted_recipient
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
check_policy_service inet:127.0.0.1:60000,
permit
Bonjour à tous,
C'est un peu HS, mais je tente ma chance ;-)
J'ai un serveur de mail qui tourne sous Postfix et qui est configuré
pour faire du smtp auth avec tls : aucun problème, mon serveur n'est a
priori pas ouvert, et je ne peux envoyer de mail vers d'autres domaines
sans m'être correctement authentifié. Dans le cas contraire, je récupère
bien un "Relay access denied".
Par contre, je viens de m'apercevoir d'une chose : si depuis thunderbird
je choisis comme serveur d'envoi mon serveur sous Postfix, mais
configuré cette fois sans login/mdp ni tls, et que j'envoie un mail à un
de mes utilisateurs locaux (cela ne se passe heureusement que dans ce
cas là), le serveur accepte la requête et mon utilisateur local reçois
quand même le mail, sans que j'ai eu à m'authentifier ...
Est ce un comportement normal ?
N'y a t'il pas moyen de forcer
l'utilisation d'un login/mdp sous TLS, également pour l'envoi de mail à
des utilisateurs locaux ?
Mon main.cf :
[snip]
smtpd_helo_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_hostname,
reject_invalid_hostname,
permit
smtpd_sender_restrictions > permit_mynetworks,
permit_sasl_authenticated,
reject_non_fqdn_sender,
reject_unknown_sender_domain,
permit
smtpd_recipient_restrictions > permit_mynetworks,
reject_unlisted_recipient
reject_non_fqdn_recipient,
reject_unknown_recipient_domain,
permit_sasl_authenticated,
reject_unauth_destination,
reject_unauth_pipelining,
check_policy_service inet:127.0.0.1:60000,
permit
smtpd_recipient_restrictions >> permit_mynetworks,
c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
aucun autre test ne sera appliqué.
smtpd_recipient_restrictions >> permit_mynetworks,
c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
aucun autre test ne sera appliqué.
smtpd_recipient_restrictions >> permit_mynetworks,
c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
aucun autre test ne sera appliqué.
> Si je ne me trompe pas, mynetworks contient par défaut :
mynetworks = 127.0.0.0/8, 192.168.1.0/24
Si ton réseau est bien en 192.168.1.0/24, la machine distante est
automatiquement autorisée à utiliser le SMTP sans passer par les autres
tests.
> Si je ne me trompe pas, mynetworks contient par défaut :
mynetworks = 127.0.0.0/8, 192.168.1.0/24
Si ton réseau est bien en 192.168.1.0/24, la machine distante est
automatiquement autorisée à utiliser le SMTP sans passer par les autres
tests.
> Si je ne me trompe pas, mynetworks contient par défaut :
mynetworks = 127.0.0.0/8, 192.168.1.0/24
Si ton réseau est bien en 192.168.1.0/24, la machine distante est
automatiquement autorisée à utiliser le SMTP sans passer par les autres
tests.
Bonjour,
Merci beaucoup pour tes explications détaillées. Je crois que j'y vois
un peu plus clair ;-)
Néanmoins, une petite chose m'embête :
>> smtpd_recipient_restrictions > >> permit_mynetworks,
>
> c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
> aucun autre test ne sera appliqué.
Justement, le client est un client distant qui ne s'est pas authentifié.
Comment peut il être considéré comme faisant partie de "mynetwork" ? Je
crois en fait que je ne comprends pas bien à quel moment le filtre
smtpd_recipient_resctictions s'applique ...
Bonjour,
Merci beaucoup pour tes explications détaillées. Je crois que j'y vois
un peu plus clair ;-)
Néanmoins, une petite chose m'embête :
>> smtpd_recipient_restrictions > >> permit_mynetworks,
>
> c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
> aucun autre test ne sera appliqué.
Justement, le client est un client distant qui ne s'est pas authentifié.
Comment peut il être considéré comme faisant partie de "mynetwork" ? Je
crois en fait que je ne comprends pas bien à quel moment le filtre
smtpd_recipient_resctictions s'applique ...
Bonjour,
Merci beaucoup pour tes explications détaillées. Je crois que j'y vois
un peu plus clair ;-)
Néanmoins, une petite chose m'embête :
>> smtpd_recipient_restrictions > >> permit_mynetworks,
>
> c'est la. permit_mynetworks renvoie "OK" si le client est dedans. donc
> aucun autre test ne sera appliqué.
Justement, le client est un client distant qui ne s'est pas authentifié.
Comment peut il être considéré comme faisant partie de "mynetwork" ? Je
crois en fait que je ne comprends pas bien à quel moment le filtre
smtpd_recipient_resctictions s'applique ...
Justement, ma variable est fixée comme suit :
mynetworks = 127.0.0.0/8
et rien d'autre (c'est un serveur dédié qui n'est pas chez moi).
Du coup, je ne comprends pas ...
Justement, ma variable est fixée comme suit :
mynetworks = 127.0.0.0/8
et rien d'autre (c'est un serveur dédié qui n'est pas chez moi).
Du coup, je ne comprends pas ...
Justement, ma variable est fixée comme suit :
mynetworks = 127.0.0.0/8
et rien d'autre (c'est un serveur dédié qui n'est pas chez moi).
Du coup, je ne comprends pas ...
> Mouais, je suis sceptique, je demande à voir les journaux du serveur
Postfix pour être sûr que le client est bien différent de 127.0.0.0/8.
Un tunnel, non ? C'est courant avec les machines qu'on gère à
distance.
> Mouais, je suis sceptique, je demande à voir les journaux du serveur
Postfix pour être sûr que le client est bien différent de 127.0.0.0/8.
Un tunnel, non ? C'est courant avec les machines qu'on gère à
distance.
> Mouais, je suis sceptique, je demande à voir les journaux du serveur
Postfix pour être sûr que le client est bien différent de 127.0.0.0/8.
Un tunnel, non ? C'est courant avec les machines qu'on gère à
distance.
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local,
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local,
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local,
[Alors voilà ce que j'ai dans mail.log :]
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local, avec le serveur d'envoi configuré sans usr/mdp ni tls.
Dans un autre cas (message vers la liste), voilà ce que j'ai :
Sep 23 20:26:10 kimsufi postfix/smtpd[11293]: connect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: 01555268E9:
client=mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153],
sasl_method=CRAM-MD5, sasl_username=
Sep 23 20:26:12 kimsufi postfix/cleanup[11327]: 01555268E9:
message-id=
Sep 23 20:26:12 kimsufi postfix/qmgr[27015]: 01555268E9:
from=, size(97, nrcpt=1 (queue active)
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: disconnect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:13 kimsufi postfix/smtp[11329]: 01555268E9:
to=,
relay=murphy.debian.org[70.103.162.31]:25, delay=1.6,
delays=0.35/0.04/0.77/0.42, dsn=2.0.0, status=sent (250 Ok: queued as
6A5E52E59D)
Sep 23 20:26:13 kimsufi postfix/qmgr[27015]: 01555268E9: removed
[Alors voilà ce que j'ai dans mail.log :]
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local, avec le serveur d'envoi configuré sans usr/mdp ni tls.
Dans un autre cas (message vers la liste), voilà ce que j'ai :
Sep 23 20:26:10 kimsufi postfix/smtpd[11293]: connect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: 01555268E9:
client=mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153],
sasl_method=CRAM-MD5, sasl_username=mailuser@sylar.org
Sep 23 20:26:12 kimsufi postfix/cleanup[11327]: 01555268E9:
message-id=<46F6B08E.8020001@sylar.org>
Sep 23 20:26:12 kimsufi postfix/qmgr[27015]: 01555268E9:
from=<mailinglist@sylar.org>, size(97, nrcpt=1 (queue active)
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: disconnect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:13 kimsufi postfix/smtp[11329]: 01555268E9:
to=<debian-user-french@lists.debian.org>,
relay=murphy.debian.org[70.103.162.31]:25, delay=1.6,
delays=0.35/0.04/0.77/0.42, dsn=2.0.0, status=sent (250 Ok: queued as
6A5E52E59D)
Sep 23 20:26:13 kimsufi postfix/qmgr[27015]: 01555268E9: removed
[Alors voilà ce que j'ai dans mail.log :]
J'ai oublié de préciser que tout cela était lors d'un envoi vers un
utilisateur local, avec le serveur d'envoi configuré sans usr/mdp ni tls.
Dans un autre cas (message vers la liste), voilà ce que j'ai :
Sep 23 20:26:10 kimsufi postfix/smtpd[11293]: connect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: 01555268E9:
client=mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153],
sasl_method=CRAM-MD5, sasl_username=
Sep 23 20:26:12 kimsufi postfix/cleanup[11327]: 01555268E9:
message-id=
Sep 23 20:26:12 kimsufi postfix/qmgr[27015]: 01555268E9:
from=, size(97, nrcpt=1 (queue active)
Sep 23 20:26:12 kimsufi postfix/smtpd[11293]: disconnect from
mir31-2-82-227-181-153.fbx.proxad.net[82.227.181.153]
Sep 23 20:26:13 kimsufi postfix/smtp[11329]: 01555268E9:
to=,
relay=murphy.debian.org[70.103.162.31]:25, delay=1.6,
delays=0.35/0.04/0.77/0.42, dsn=2.0.0, status=sent (250 Ok: queued as
6A5E52E59D)
Sep 23 20:26:13 kimsufi postfix/qmgr[27015]: 01555268E9: removed
> [Plein de trucs super intéressants]
j'espère que ça clarifie des choses.
> [Plein de trucs super intéressants]
j'espère que ça clarifie des choses.
> [Plein de trucs super intéressants]
j'espère que ça clarifie des choses.