HS: postfix relay denied en ipv6

9 réponses
Avatar
NoSpam
Bonjour,

depuis quelques temps j'ai un soucis entre 2 postfix sous Debian Buster.
L'un est le smarthost de l'autre, ipv4 et ipv6 activé sur les deux.

J'utilise php-mail sur le client (dolibarr) afin d'envoyer les documents
par courriel: lorsque le serveur maÍ®tre réceptionne avec l'adresse ipv4,
aucun soucis. Lorsque ce sont les adresse ipv6, relay access denied est
systématique.

Extrait du main.cf du maitre:

mynetworks = hash:/etc/postfix/allowed-networks
smtpd_sender_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_client_restrictions = permit_sasl_authenticated, permit_mynetworks
smtpd_recipient_restrictions = permit_sasl_authenticated,
permit_mynetworks, reject_unauth_destination,
reject_unlisted_recipient,
reject_invalid_hostname, reject_non_fqdn_hostname,
check_sender_access hash:/etc/postfix/sender_access
check_recipient_access hash:/etc/postfix
/accessbefore_RBL_and_Greylisting,
reject_rbl_client zen.spamhaus.org, reject_rbl_client
korea.services.net

J'ai rajouté

smtpd_relay_restrictions = permit_sasl_authenticated, permit_mynetworks,
reject_unauth_destination

Rien n'y change. allowed-networks du serveur maͮtre contient pourtant
les adresses du serveur postfix client comme

192.168.10.254 ok
aaa.bbb.ccc.ddd ok
[fd53:ac59:337:8b38::/64] ok
[2001:db8:b1:932c:212::1] ok

mais rien n'y fait.

Question subsidiaire: pourquoi postfix montre dans les logs

connect from unknown <les adresses IP v4/v6> alors qu'il les connait ?

Si une bonne Í¢me avait une idée ... ;)

--
Daniel

9 réponses

Avatar
Jérémy Prego
Le 14/06/2021 Í  22:51, NoSpam a écrit :
Bonjour,
Question subsidiaire: pourquoi postfix montre dans les logs
connect from unknown <les adresses IP v4/v6> alors qu'il les connait ?

ça, c'est parce que les adresses n'ont pas de PTR. tout simplement.
Si une bonne Í¢me avait une idée ... ;)

Jerem
Avatar
NoSpam
Le 14/06/2021 Í  22:55, Jérémy Prego a écrit :
Le 14/06/2021 Í  22:51, NoSpam a écrit :
Bonjour,
Question subsidiaire: pourquoi postfix montre dans les logs
connect from unknown <les adresses IP v4/v6> alors qu'il les connait ?

ça, c'est parce que les adresses n'ont pas de PTR. tout simplement.

Noté, merci.
--
Daniel
Avatar
Stephane Bortzmeyer
On Mon, Jun 14, 2021 at 10:51:32PM +0200,
NoSpam wrote
a message of 48 lines which said:
[fd53:ac59:337:8b38::/64] ok

Il me semble que la syntaxe normale est :
[fd53:ac59:337:8b38::]/64 ok
Avatar
NoSpam
Le 15/06/2021 Í  08:15, Stephane Bortzmeyer a écrit :
On Mon, Jun 14, 2021 at 10:51:32PM +0200,
NoSpam wrote
a message of 48 lines which said:
[fd53:ac59:337:8b38::/64] ok

Il me semble que la syntaxe normale est :
[fd53:ac59:337:8b38::]/64 ok

Exact, cela ne change toutefois rien d'autant que certaines adresses
sont des GUA que j'ai définies sans masque. Je viens de tenter en
mettant le masque /128 sur ces GUA et le /64 comme ci dessus, résultat
identique :(
... said 554 5.7.1: Relay access denied (in reply to RCPT TO
command)
--
Daniel
Avatar
Stephane Bortzmeyer
On Tue, Jun 15, 2021 at 10:10:19AM +0200,
NoSpam wrote
a message of 21 lines which said:
Exact, cela ne change toutefois rien d'autant que certaines adresses sont
des GUA que j'ai définies sans masque. Je viens de tenter en mettant le
masque /128 sur ces GUA et le /64 comme ci dessus, résultat identique :(
... said 554 5.7.1: Relay access denied (in reply to RCPT TO
command)

CMCM (je viens de tester avec une machine acceptée et une rejetée et
le mail.log montre bien ce qu'il faut) donc il faudrait regarder le
message d'erreur complet, notamment l'adresse IP.
Avatar
NoSpam
Le 15/06/2021 Í  11:28, Stephane Bortzmeyer a écrit :
On Tue, Jun 15, 2021 at 10:10:19AM +0200,
NoSpam wrote
a message of 21 lines which said:
Exact, cela ne change toutefois rien d'autant que certaines adresses sont
des GUA que j'ai définies sans masque. Je viens de tenter en mettant le
masque /128 sur ces GUA et le /64 comme ci dessus, résultat identique :(
... said 554 5.7.1: Relay access denied (in reply to RCPT TO
command)

CMCM (je viens de tester avec une machine acceptée et une rejetée et
le mail.log montre bien ce qu'il faut) donc il faudrait regarder le
message d'erreur complet, notamment l'adresse IP.

NOQUEUE: reject: RCPT from unknown[2001:db8:b1:932c:212::1]: 554 5.7.1
: Relay access denied; f
rom= to= proto=ESMTP
helo=<client.FQDN.hostname>
J'ai mis le mode debug et voici ce qui en sort:
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: connect from unknown
[2001:db8:b1:932c:212::1]
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: smtp_stream_setup:
maxtime00 enable_deadline=0
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: match_hostname:
smtpd_client_event_limit_exceptions: unknown ~?
hash:/etc/postfix/allowed-networks(0,lock|utf8_request)
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: match_hostname:
smtpd_client_event_limit_exceptions: lookup
hash:/etc/postfix/allowed-networks.db unknown: not found
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: match_hostaddr:
smtpd_client_event_limit_exceptions: 2001:db8:b1:932c:212::1 ~?
hash:/etc/postfix/allowed-networks(0,lock|utf8_request)
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: match_list_match:
unknown: no match
Jun 15 11:02:01 wwwmail10 postfix/smtpd[10960]: match_list_match:
2001:db8:b1:932c:212::1: no match
My allowed_network (part of)
===============2.168.10.254 ok
client.FQDN.hostname ok
[2001:db8:b1:932c:212::1] ok
[2001:db8:b1:932c:212::1]/128 ok
[fd53:ac59:337:8b38::1] ok
[fd53:ac59:337:8b38::]/64 ok
Rights
=====:/etc/postfix# ls -al allowed*
-rw-r--r-- 1 root root  1011 juin  15 11:15 allowed-networks
-rw-r--r-- 1 root root 12288 juin  15 11:15 allowed-networks.db
Clairement il ne trouve pas l'adresse ni le hostbname dans le map
allowed-networks.db !
Merci pour ton aide
--
Daniel
Avatar
NoSpam
La doc postfix n'est pas correcte
Le 15/06/2021 Í  11:44, NoSpam a écrit :
[...]
My allowed_network (part of)
================> 192.168.10.254 ok
client.FQDN.hostname ok
[2001:db8:b1:932c:212::1] ok
[2001:db8:b1:932c:212::1]/128 ok
[fd53:ac59:337:8b38::1] ok
[fd53:ac59:337:8b38::]/64 ok

Ceci doit être écrit sans les crochets et le masque ne fonctionne pas :(
2001:db8:b1:932c:212::1 ok
fd53:ac59:337:8b38::1 ok
À présent l'envoi en ipv6 est fonctionnel.
--
Daniel
Avatar
Stephane Bortzmeyer
On Tue, Jun 15, 2021 at 03:56:13PM +0200,
NoSpam wrote
a message of 23 lines which said:
Ceci doit être écrit sans les crochets et le masque ne fonctionne pas :(

Dans la directive mynetworks, ça marche très bien.
Avatar
NoSpam
Le 15/06/2021 Í  16:16, Stephane Bortzmeyer a écrit :
On Tue, Jun 15, 2021 at 03:56:13PM +0200,
NoSpam wrote
a message of 23 lines which said:
Ceci doit être écrit sans les crochets et le masque ne fonctionne pas :(

Dans la directive mynetworks, ça marche très bien.

Peut être, mais pas lorsque mynetworks hash:/etc/postfix/allowed-networks. Postfix 3.4.14-0+deb10u1
--
Daniel