SMTP IIS et relay sécurisé

Le
Thibaut LE LEVIER
Bonjour à tous

J'ai installé il y a quelques jours un serveur smtp/pop3 sur un
Windows 2003 serveur (pas exchange)
Je voudrai ouvrir ce serveur sur internet pour pouvoir recevoir/
envoyer des mails avec internet.

J'ai donc fait quelques test et tout fonctionne correctement, mes
mails sont relayer vers smtp.orange.fr et le port 25 est redirigé vers
mon serveur et l'enregistrement MX pointe vers l'ip publique de mon
serveur. Je reçois et j'envoi des mails sans problèmes.

J'aimerai maintenant sécuriser le serveur smtp pour ne pas servir
d'open relay.
J'ai alors décocher l'accès anonyme et j'ai activé l'autentification
intégré à Windows.

Mon serveur est alors bien sécurisé (telnet monserveur 25 me réclamme
une authentification client) mais je ne reçois plus de mails et je ne
peux plus en envoyer.

Pourriez vous me dire quelle est la bonne configuration à mettre en
place?

Autre question: comment faire pour que mon serveur poste lui même les
messages sans les passer par le smtp d'orange?

Merci
Thibaut
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Lognoul, Marc \(Private\)
Le #17393501
Bonjour,

L'authentification n'a pas de lien direct avec le fait d'avoir un open
relay. Afin d'éviter le problème de l'open relay, vous devez:
1) paramétrer correctement le ou les domaine(s) sur votre server SMTP
2) Dans les propriétés du server, onglet "access" bouton "Relay", veillez à
paramétrer l'option "Only the list below" et ne rien mettre dans la liste.
Décocher également la case "Allow all computers which successfully
authenticate..."

S'il vous fallait autoriser une ou plusieurs de vos machines à expédier des
messages sortant, alors vous pouvez les ajouter à la liste et/ou recocher la
case. Attention, si la case est cochée tout système arrivant à s'autentifier
sera autoriser à relayer. Il est donc préférable opter pour la liste.

--
Marc
[Heureux celui qui a pu pénétrer les causes secrètes des choses]
[Blog: http://www.marc-antho-etc.net/blog/]

"Thibaut LE LEVIER" news:
Bonjour à tous

J'ai installé il y a quelques jours un serveur smtp/pop3 sur un
Windows 2003 serveur (pas exchange)
Je voudrai ouvrir ce serveur sur internet pour pouvoir recevoir/
envoyer des mails avec internet.

J'ai donc fait quelques test et tout fonctionne correctement, mes
mails sont relayer vers smtp.orange.fr et le port 25 est redirigé vers
mon serveur et l'enregistrement MX pointe vers l'ip publique de mon
serveur. Je reçois et j'envoi des mails sans problèmes.

J'aimerai maintenant sécuriser le serveur smtp pour ne pas servir
d'open relay.
J'ai alors décocher l'accès anonyme et j'ai activé l'autentification
intégré à Windows.

Mon serveur est alors bien sécurisé (telnet monserveur 25 me réclamme
une authentification client) mais je ne reçois plus de mails et je ne
peux plus en envoyer.

Pourriez vous me dire quelle est la bonne configuration à mettre en
place?

Autre question: comment faire pour que mon serveur poste lui même les
messages sans les passer par le smtp d'orange?

Merci
Thibaut


Thibaut LE LEVIER
Le #17465381
Bonjour ,

En fait mon problème fin du fait qu'à partir du moment où je restrein t
l'accès où que je désactive l'accé anonyme (pour éviter les
connections non désirée) si un serveur stmp distant essaye de
transmettre un mail à mon serveur, il semblerai que celui si n'y
arrive pas et le mail ne passe pas.

J'aimerai donc connaitre la bonne configuration des restrictions
relai, des autorisations de connections, et des types
d'authentification pour pouvoir envoyer/recevoir mes mails directement
sans problèmes...

Autre question: comment faire en sorte que mon serveur envoi lui même
les mails sortant aux serveurs smtp du domaine de destination (ceux
déclarés par les enregistrements MX). Actuellement je transmet à un
serveur orange qui s'occupe de faire cette tache, j'aimerai m'en
passer.

Merci pour vos réponses

Thibaut
jbongran
Le #17480021
"Thibaut LE LEVIER"
Bonjour ,

En fait mon problème fin du fait qu'à partir du moment où je restreint
l'accès où que je désactive l'accé anonyme (pour éviter les
connections non désirée) si un serveur stmp distant essaye de
transmettre un mail à mon serveur, il semblerai que celui si n'y
arrive pas et le mail ne passe pas.

J'aimerai donc connaitre la bonne configuration des restrictions
relai, des autorisations de connections, et des types
d'authentification pour pouvoir envoyer/recevoir mes mails directement
sans problèmes...

Autre question: comment faire en sorte que mon serveur envoi lui même
les mails sortant aux serveurs smtp du domaine de destination (ceux
déclarés par les enregistrements MX). Actuellement je transmet à un
serveur orange qui s'occupe de faire cette tache, j'aimerai m'en
passer.

Merci pour vos réponses

Thibaut

Un serveur de mail distant n'est du point de vue de ton serveur qu'un client
de mail qui envoi un ou plusieurs mails.
Donc si tu désactives les connexions anonymes le serveur distant se fera
jeter.
Reviens à la configuration de départ, puis clique droit sur le serveur,
propriétés
Dans l'onglet général activer l'enregistrement dans le fichier journal (de
type w3svc et activer les options étendues comme l'IP du client, son nom,
etc...)
Dans l'onglet accès, bouton authentification cocher connexion anonymes puis
le (ou plusieurs) mode d'authentification désiré, cliquer sur OK
Cliquer sur le bouton relais, vérifier que la case uniquement la liste
ci-dessous soit cochée, cliquer sur ajouter, indiquer 127.0.0.1
Après tu as deux possibilités:
1 - Soit tu ajoutes le plan IP local dans la liste, tous les clients locaux
seront autorisés à relayer avec ou sans login/pass
2 - Soit tu coches la case autoriser tout ordinateur correctement
authentifier à relayer.
Pour vérifer l'option 1 sur un poste du réseau local
telnet 127.0.0.1 25
=> bannière du serveur
ehlo pclocal.domaine_publi.que
=> liste de fonctionnalité du serveur
mail from:
=> le serveur indique par un code 2XX qu'il accepte la commande
rcpt to:
=> si le serveur retourne un code 2XX, il est OK pour le relai

Pour l'option 2 en telnet sur le serveur:
telnet 127.0.0.1 25
=> le serveur retourne sa bannnière
ehlo localhost
=> le serveur retourne une liste de ses possibilités, si il y a bien la
command AUTH de listée, tout va bien ;-)
Le plus simple pour la suite des tests est de configurer un client de mail
en activant le mode d'authentification correspondant à celle du serveur.

Pour répondre à la deuxième question, envoyer les mails en directs aux
autres serveurs, il faut pour commencer par:
1 MX pour ton domaine pointant sur un ANAME (donc pas un alias)
1 ANAME pointant sur ton IP publique
1 PTR de ton IP publique pointant vers le ANAME ci-dessus
S'assurer que la bannière du serveur contienne le nom fqdn PUBLIQUE, si ce
n'est pas le cas, cliquer droit sur le serveur smtp,propriétés, onglet
remise, bouton options avancées, renseigner le champs domaine fictif par le
nom pleinement qualifié correspondant au ANAME.tondomaine.tonextension
Au même endroit, enlever l'hôte actif, ainsi IIS enverra directement au
serveur déclaré MX dans les DNS pour les domaines distants. Il faut bien sûr
que le serveur puisse faire une résolution correcte des noms DNS. Il est
aussi possible de laisser l'hôte actif et de cocher la case Essayer la
remise directe...
S'assurer que l'IP publique ne soit pas blacklistée (http://emailstuff.org/)
Ps: rien à voir avec tes deux questions mais perso quand j'utilise le smtp
ET le pop3 sur un 2003, j'utilise le stockage sous forme de fichier
(question posée tout au début de l'installation du service pop) afin de
pouvoir dissocier mes utilisateurs windows de ceux de la messagerie.
N'hésites pas si tu avais besoin de plus de précisions.
Publicité
Poster une réponse
Anonyme