Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Probleme Postfix + SASL depuis l'exterieur

6 réponses
Avatar
Cyrille Blanpain
This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

--834749282-2005885217-1169055617=:7758
Content-Type: TEXT/PLAIN; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: QUOTED-PRINTABLE

Bonjour

=09J'ai configurer postfix avec TLS et SASL, j'utilise saslauthd mon=20
probl=E9me est le suivant, l'authentification est demand=E9 dans mon r=E9se=
au=20
interne, mais pas depuis l'exterieur.
Je suis en debian sarge.

Telnet en interne:

cblanpain@shiva:~ $ telnet monserveur.cerege.fr 25
Trying xxx.xxx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 monserveur.cerege.fr ESMTP
ehlo shiva
250-monserveur.cerege.fr
250-PIPELINING
250-SIZE 30000000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=3DLOGIN PLAIN DIGEST-MD5
250 8BITMIME
quit
221 Bye

Telnet depuis l'exterieur avec le m=EAme ehlo:
cblanpain@kilauea:~ $ telnet monserveur.cerege.fr 25
Trying xx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 **********************
ehlo kilauea
502 Error: command not implemented

Si je met un HELO voici le r=E9sultat:

cblanpain@kilauea:~ $ telnet monserveur.cerege.fr 25
Trying xx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 **********************
helo kilauea
250 monserveur.cerege.fr

la il ne m'est pas annonc=E9:
250-PIPELINING
250-SIZE 30000000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=3DLOGIN PLAIN DIGEST-MD5
250 8BITMIME

Et si =E0 ce stade de la connexion j'envoi:
AUTH PLAIN Y2JsYW5wYWluAGNibGFucGFpbgBsaXNzbnR0dw=3D=3D

depuis l'interieur c'est accept=E9 je peux continuer.
235 Authentication successful

depuis l'ext=E9rieur:
502 Error: command not implemented

Le serveur accepte "ehlo hostname" en interne et le refuse depuis=20
l'exterieur en acceptant uniquement "helo hostname" ?

Je ne trouve pas la r=E9gle qui est =E0 l'origine de cela.

De plus en interne sans authentification, j'ai un magnifique relaying=20
denied.

Fichier /etc/postfix/main.cf:
*****************************

# See /usr/share/postfix/main.cf.dist for a commented, more complete=20
version

#smtpd_banner =3D $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner =3D $myhostname ESMTP
biff =3D no

# appending .domain is the MUA's job.
append_dot_mydomain =3D no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time =3D 4h

myhostname =3D monserveur.cerege.fr
alias_maps =3D hash:/etc/aliases
alias_database =3D hash:/etc/aliases
myorigin =3D /etc/mailname
mydestination =3D monserveur.cerege.fr,localhost.cerege.fr,localhost,cerege=
=2Efr
relayhost =3D
mynetworks =3Dxxx.xx.xx.0/23,10.12.4.0/24,127.0.0.0/8
mailbox_command =3D procmail -a "$EXTENSION"
mailbox_size_limit =3D 0
recipient_delimiter =3D +
inet_interfaces =3D all

message_size_limit=3D30000000

# sasl config
broken_sasl_auth_clients =3D yes
smtpd_sasl_auth_enable =3D yes
smtpd_sasl_local_domain =3D


# tls config
smtp_use_tls =3D yes
smtpd_use_tls =3D yes
smtp_tls_note_starttls_offer =3D yes
smtpd_tls_key_file =3D /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file =3D /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile =3D /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel =3D 1
smtpd_tls_received_header =3D yes
smtpd_tls_session_cache_timeout =3D 3600s
tls_random_source =3D dev:/dev/urandom


smtpd_client_restrictions =3Dpermit_sasl_authenticated,
reject_unauth_destination,
reject_invalid_hostname,
check_client_access hash:/etc/postfix/access,
permit_mynetworks,
reject_rbl_client relays.ordb.org,
check_policy_service inet:127.0.0.1:60000,
permit

smtpd_recipient_restrictions =3D permit_sasl_authenticated permit_mynetwork=
s=20
reject_unauth_destination

content_filter =3D smtp-amavis:[127.0.0.1]:10024


Fichier /etc/postfix/sasl/smtpd:
********************************
pwcheck_method: saslauthd
mech_list: digest-md5 plain login


Fichier /etc/default/saslauthd:
******************************
# This needs to be uncommented before saslauthd will be run automatically
START=3Dyes
MECHANISMS=3D"pam"
PARAMS=3D"-m /var/spool/postfix/var/run/saslauthd"

Fichier /etc/pam.d/smtp:
************************
auth required pam_unix.so nullok try_first_pass
account required pam_unix_passwd.so nullok try_first_pass
session required pam_unix_passwd.so nullok try_first_pass


Voila le probl=E9me pos=E9 j'=E9sp=E9re avoir =E9t=E9 clair et merci de vot=
re aide.


--=20
Cyrille Blanpain
CEREGE UMR6635
Europole de l'Arbois BP 80
13545 AIX EN PROVENCE CEDEX 4

Tel : +33 (0)4.42.97.15.25
--834749282-2005885217-1169055617=:7758--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

6 réponses

Avatar
Christophe Garault
Cyrille Blanpain a écrit :
Bonjour



Bonsoir,
Telnet en interne:



[...]
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=LOGIN PLAIN DIGEST-MD5



Attention, l'authentification DIGEST-MD5 n'est prise en compte que par
le service auxprop, pas par saslauthd ni authdaemond. Voir plus loin.
Si je met un HELO voici le résultat:

:~ $ telnet monserveur.cerege.fr 25
Trying xx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 **********************
helo kilauea
250 monserveur.cerege.fr



Tu peux aussi restreindre le helo à des machines fqdn. C'est mieux pour
éviter les spams...
Voici le contenu de la section de mon main.cf à adapter à ta situation
(ne pas utiliser tel quel sans savoir!):

smtpd_recipient_restrictions reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/client_checks,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.sorbs.net,
permit

depuis l'extérieur:
502 Error: command not implemented

Le serveur accepte "ehlo hostname" en interne et le refuse depuis
l'exterieur en acceptant uniquement "helo hostname" ?

Je ne trouve pas la régle qui est à l'origine de cela.

De plus en interne sans authentification, j'ai un magnifique relaying
denied.



Voyons cela.
Fichier /etc/postfix/main.cf:
*****************************
[...]
myorigin = /etc/mailname



Quezacko??? Normalement on met "myorigin = $mydomain" ou quelque chose
de similaire. Aurais-je raté une spécificité de Debian?
smtpd_client_restrictions =permit_sasl_authenticated,
reject_unauth_destination,
reject_invalid_hostname,
check_client_access hash:/etc/postfix/access,
permit_mynetworks,
reject_rbl_client relays.ordb.org,
check_policy_service inet:127.0.0.1:60000,
permit

smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks
reject_unauth_destination



Il n'est pas utile d'avoir ces 2 restrictions qui ne se différencient
que par le moment ou le client se fera jeter. Et encore, avec le delay à
no cela revient au même.
En plus dans ton smtpd_recipient_restriction il semble manquer une
virgule entre les 2 permit. C'est peut-être là l'origine du pb?

Fichier /etc/postfix/sasl/smtpd:
********************************
pwcheck_method: saslauthd
mech_list: digest-md5 plain login



Comme indiqué + haut, le digest-md5 n'est pas pris en compte par
saslauthd. Amha il serait bon de l'enlever ou de passer à auxprop.
Voila le probléme posé j'éspére avoir été clair et merci de votre aide.



J'espère t'avoir un peu aidé.

A+
--
Christophe Garault


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Christophe Garault
Cyrille Blanpain a écrit :
[...]

Voila le probléme posé j'éspére avoir été clair et merci de votre aide.



J'oubliais, tu peux également jouer sur le niveau de log dans ton
smtpd.conf:
lo_level: 6
Ca peux pas faire de mal pendant la phase de test. ;-)

Bon courage.

--
Christophe Garault


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Cyrille Blanpain
This message is in MIME format. The first part should be readable text,
while the remaining parts are likely unreadable without MIME-aware tools.

--834749282-1697176168-1169117819=:7066
Content-Type: TEXT/PLAIN; charset=ISO-8859-1; format=flowed
Content-Transfer-Encoding: QUOTED-PRINTABLE

On Wed, 17 Jan 2007, Christophe Garault wrote:

Attention, l'authentification DIGEST-MD5 n'est prise en compte que par
le service auxprop, pas par saslauthd ni authdaemond. Voir plus loin.



Je te remercie de ton aide, j'ai fait ce que tu as indiqué, a savoir:

/etc/postfix/sasl/smtpd.conf
pwcheck_method: saslauthd
mech_list: plain login
plus de md5

et j'ai enlévé:

smtpd_recipient_restrictions =
permit_sasl_authenticated,permit_mynetworks,reject_unauth_destination

Mais le probléme persiste.

en interne:

:~ $ telnet monserveur.cerege.fr 25
Trying xxx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 monserveur.cerege.fr ESMTP
ehlo shiva
250-monserveur.cerege.fr
250-PIPELINING
250-SIZE 30000000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=LOGIN PLAIN DIGEST-MD5
250 8BITMIME


En externe:

:~ $ telnet monserveur.cerege.fr 25
Trying xxx.xx.xx.x...
Connected to arbois.cerege.fr.
Escape character is '^]'.
220 **********************
ehlo kilauea
502 Error: command not implemented
helo kilauea
250 arbois.cerege.fr

Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi
EHLO est interdit au profis de HELO.

Merci de votre aide


--
Cyrille Blanpain
CEREGE UMR6635
Europole de l'Arbois BP 80
13545 AIX EN PROVENCE CEDEX 4

Tel : +33 (0)4.42.97.15.25
--834749282-1697176168-1169117819=:7066--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Christophe Garault
Cyrille Blanpain a écrit :
Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi
EHLO est interdit au profis de HELO.



Arf, en plus de mon post précédent qui n'a pas pu passer sur la liste
(sorry autre email) voici une piste à explorer:
http://archives.neohapsis.com/archives/postfix/2005-02/thread.html#706



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Christophe Garault
Cyrille Blanpain a écrit :
Donc pourquoi depuis l'extérieur je ne peux pas faire de sasl et pourquoi
EHLO est interdit au profis de HELO.



Ah ben tout est là en fait, désolé de ne pas avoir percuté plus tôt! Le
HELO est la commande de base (RFC821) qui n'indique pas les extensions
du serveur smtp dont sasl fait partie. Seule la commande EHLO (RFC 2821)
présentera sasl et tout le reste. Par contre je n'ai pas vraiment d'idée
sur la raison qui désactive les extensions depuis l'extérieur (ESMTP).
Que te donnes un postconf ? A ta place je regarderais de près des
paramètres comme smtp_discard_ehlo_keywords ou
smtpd_sasl_exceptions_network.

La liste des paramètres (plus de 400 !) et leur signification est dispo
sur le site de Postfix:
http://www.postfix.org/postconf.5.html

PS: essayes quand même un EHLO avec un nom pleinement qualifié comme
"test.cerege.fr"
Bon courage et n'hésites pas à poster sur la liste de Postfix, ils sont
très sympas.

--
Y'a aucun problème Jules.
Je m'en occupe vieux.
Toi pendant ce temps là tu calmes le jeu.
Je vous envoie Wolf qui devrait rappliquer d'une minute à l'autre.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Avatar
Martins Armando
Cyrille Blanpain a écrit :
Bonjour


Bonsoir,

J'ai configurer postfix avec TLS et SASL, j'utilise saslauthd mon
probléme est le suivant, l'authentification est demandé dans mon
réseau interne, mais pas depuis l'exterieur.
Je suis en debian sarge.

Telnet en interne:

:~ $ telnet monserveur.cerege.fr 25
Trying xxx.xxx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 monserveur.cerege.fr ESMTP
ehlo shiva
250-monserveur.cerege.fr
250-PIPELINING
250-SIZE 30000000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=LOGIN PLAIN DIGEST-MD5
250 8BITMIME
quit
221 Bye



pourrait-on avoir la sortie des log suivant: mail.log, et auth.log pour
ta connections telnet depuis l'extérieur?
Telnet depuis l'exterieur avec le même ehlo:
:~ $ telnet monserveur.cerege.fr 25
Trying xx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 **********************
ehlo kilauea
502 Error: command not implemented

Si je met un HELO voici le résultat:

:~ $ telnet monserveur.cerege.fr 25
Trying xx.xx.xx.x...
Connected to monserveur.cerege.fr.
Escape character is '^]'.
220 **********************
helo kilauea
250 monserveur.cerege.fr

la il ne m'est pas annoncé:
250-PIPELINING
250-SIZE 30000000
250-VRFY
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN DIGEST-MD5
250-AUTH=LOGIN PLAIN DIGEST-MD5
250 8BITMIME

Et si à ce stade de la connexion j'envoi:
AUTH PLAIN Y2JsYW5wYWluAGNibGFucGFpbgBsaXNzbnR0dw= >
depuis l'interieur c'est accepté je peux continuer.
235 Authentication successful

depuis l'extérieur:
502 Error: command not implemented

Le serveur accepte "ehlo hostname" en interne et le refuse depuis
l'exterieur en acceptant uniquement "helo hostname" ?

Je ne trouve pas la régle qui est à l'origine de cela.

De plus en interne sans authentification, j'ai un magnifique relaying
denied.

Fichier /etc/postfix/main.cf:
*****************************

# See /usr/share/postfix/main.cf.dist for a commented, more complete
version

#smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_banner = $myhostname ESMTP
biff = no

# appending .domain is the MUA's job.
append_dot_mydomain = no

# Uncomment the next line to generate "delayed mail" warnings
#delay_warning_time = 4h

myhostname = monserveur.cerege.fr
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination > monserveur.cerege.fr,localhost.cerege.fr,localhost,cerege.fr
relayhost > mynetworks =xxx.xx.xx.0/23,10.12.4.0/24,127.0.0.0/8
mailbox_command = procmail -a "$EXTENSION"
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all

message_size_limit0000000

# sasl config
broken_sasl_auth_clients = yes
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain >

# tls config
smtp_use_tls = yes
smtpd_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.pem
smtpd_tls_CAfile = /etc/postfix/ssl/smtpd.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom


smtpd_client_restrictions =permit_sasl_authenticated,
reject_unauth_destination,
reject_invalid_hostname,
check_client_access hash:/etc/postfix/access,
permit_mynetworks,
reject_rbl_client relays.ordb.org,
check_policy_service inet:127.0.0.1:60000,
permit

smtpd_recipient_restrictions = permit_sasl_authenticated
permit_mynetworks reject_unauth_destination

content_filter = smtp-amavis:[127.0.0.1]:10024


Fichier /etc/postfix/sasl/smtpd:
********************************
pwcheck_method: saslauthd
mech_list: digest-md5 plain login


Fichier /etc/default/saslauthd:
******************************
# This needs to be uncommented before saslauthd will be run automatically
START=yes
MECHANISMS="pam"
PARAMS="-m /var/spool/postfix/var/run/saslauthd"

Fichier /etc/pam.d/smtp:
************************
auth required pam_unix.so nullok try_first_pass
account required pam_unix_passwd.so nullok try_first_pass
session required pam_unix_passwd.so nullok try_first_pass


Voila le probléme posé j'éspére avoir été clair et merci de votre aide.






--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact