19/10/2019 : Ce tutoriel date de 2014 et n'est aujourd'hui plus maintenu faute de temps. Si quelqu'un est intéressé pour le reprendre, faites moi signe par MP. Par contre, je continuerai de faire évoluer et de maintenir l'image Docker https://github.com/hardware/mailserver Pour ce tuto : http://mondedie.fr/d/5750 Si vous avez une question, une remarque ou une suggestion, n'hésitez pas à poster un commentaire sur ce topic.

Nice, tu m'évites de devoir le faire 😀, ça fait des semaines que je repousse ce tuto il est hyper complet et bien fait 😉. Juste la fin ou j'ai mis Roundcube, mais ton webmail semble assez sympa, je pense que je vais tester son installation. Il existe des plugins ou autre, genre calendrier & co ? Car c'était pour cela que j'avais opté pour Roundcube à l'époque.

Un système de plugin est intégré mais à ma connaissance il n'y a pas de de calendrier, à voir... Rainloop est un projet open source qui est encore assez jeune (septembre 2013 sur Github) mais pour l'instant je n'ai pas encore eu de problème, pourtant je l'utilise tous les jours au boulot (chez moi je passe directement par thunderbird), je le trouve vraiment très stable pour un webmail qui a moins d'un an. Les fonctionnalités sont juste énormes : - Chiffrement des mails avec OpenPGP (quasiment aucun webmail a cette fonctionnalité, peut-être gmail d'ici quelques mois) - Pas de base de donnée à installer - Intégration des réseaux sociaux - Intégration de dropbox - Validation en deux étapes (pour en savoir plus : http://www.google.com/landing/2step/) - Drag & drop - Installation et mise à jour ultra simple

Effectivement il a l'air très prometteur. Peut on l'intégrer à Owncloud ?

Est-ce qu'il a une fonctionnalité de mise en place automatique de libellé avec des filtres comme sur Gmail ?

Salut, Hardware franchement je suis coupé a la partit postfixadmin j'ai comme l'impression de plus avoir internet dessus ... Mais dns de chez online : Voilà comment il me donne sur le navigateur : Mon postfixadmin.conf server { listen 80; server_name postfixadmin.postlab.fr; root /var/www/postfixadmin; index index.php; charset utf-8; auth_basic "seedbox"; auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd"; location / { try_files $uri $uri/ index.php; } location ~* \.php$ { include /etc/nginx/fastcgi_params; fastcgi_pass unix:/var/run/php5-fpm.sock; fastcgi_index index.php; } } Mon index mais y a que dalle juste pour le faire tourné ... server { listen 80 default_server; listen 443 default_server ssl; server_name _; charset utf-8; index index.html index.php; client_max_body_size 10M; ssl_certificate /etc/nginx/ssl/server.crt; ssl_certificate_key /etc/nginx/ssl/server.key; access_log /var/log/nginx/rutorrent-access.log combined; error_log /var/log/nginx/rutorrent-error.log error; error_page 500 502 503 504 /50x.html; location = /50x.html { root /usr/share/nginx/html; } auth_basic "seedbox"; auth_basic_user_file "/etc/nginx/passwd/rutorrent_passwd"; location = /favicon.ico { access_log off; log_not_found off; } ## début config rutorrent ## } Franchement je suis en panne des le début ... NB: Au début ça marcher, mais j'avais une page blanche donc j'ai trifouiller un truc quoi je c'est plus et depuis plus rien coupé

@Albaret > Regarde ceci : http://apps.owncloud.com/content/show.php/RainLoop+Webmail?content=165254 @Jedediah > Nope, peut-être dans une futur version @takashi > Le virtual host nginx correspondant à PostfixAdmin est bien activé ?

Voila qui me plait Si tu es chaud Yoshi, j'ai quelque domaine à migrer. On peut tester ça par la même occasion

Oui j'étais bon en fête juste le serveur m'avais ban ... par contre j'ai toujours le premier souci j'ai une page blanche quant je vais sur postfixadmin.postlab.fr une idées j'ai tenté d'ajouté en index setup.php mais rien ...

@takashi > Tu peux me donner le résultat de ces deux commandes stp : ls -alX /var/www/postfixadmin et cat /etc/nginx/fastcgi_params

yep, d# ls -alX /var/www/postfixadmin; total 432 drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 ADDITIONS -rw-rw-r-- 1 www-data www-data 0 May 6 22:52 build-stamp drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 configs drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 css drwxrwxr-x 6 www-data www-data 4096 May 6 22:52 debian drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 DOCUMENTS drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 images drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 languages drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 model drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 scripts drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 smarty drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 templates drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 templates_c drwxrwxr-x 2 www-data www-data 4096 May 6 22:50 tests drwxrwxr-x 4 www-data www-data 4096 May 6 22:50 users drwxrwxr-x 3 www-data www-data 4096 May 6 22:50 VIRTUAL_VACATION drwxrwxr-x 17 www-data www-data 4096 May 6 22:52 . drwxr-xr-x 3 root root 4096 Aug 18 19:15 .. -rw-rw-r-- 1 www-data www-data 12933 Nov 5 2009 calendar.js -rw-rw-r-- 1 www-data www-data 4239 Nov 16 2013 backup.php -rw-rw-r-- 1 www-data www-data 3004 Nov 10 2013 broadcast-message.php -rw-rw-r-- 1 www-data www-data 2948 Jan 14 2014 common.php -rw-rw-r-- 1 www-data www-data 23099 Aug 18 19:20 config.inc.php -rw-rw-r-- 1 www-data www-data 1445 Nov 10 2013 delete.php -rw-rw-r-- 1 www-data www-data 1673 Nov 10 2013 editactive.php -rw-rw-r-- 1 www-data www-data 7517 Jan 21 2014 edit.php -rw-rw-r-- 1 www-data www-data 14408 Nov 16 2013 fetchmail.php -rw-rw-r-- 1 www-data www-data 57574 May 6 21:46 functions.inc.php -rw-rw-r-- 1 www-data www-data 3559 Nov 10 2013 index.php -rw-rw-r-- 1 www-data www-data 847 Nov 10 2013 list-admin.php -rw-rw-r-- 1 www-data www-data 1527 Nov 10 2013 list-domain.php -rw-rw-r-- 1 www-data www-data 16974 Feb 17 14:44 list-virtual.php -rw-rw-r-- 1 www-data www-data 2522 May 2 00:52 login.php -rw-rw-r-- 1 www-data www-data 771 Nov 10 2013 main.php -rw-rw-r-- 1 www-data www-data 1829 Nov 10 2013 sendmail.php -rw-rw-r-- 1 www-data www-data 16267 Dec 28 2013 setup.php -rw-rw-r-- 1 www-data www-data 3707 Jan 14 2014 smarty.inc.php -rw-rw-r-- 1 www-data www-data 59787 Jan 21 2014 upgrade.php -rw-rw-r-- 1 www-data www-data 6006 Dec 22 2013 vacation.php -rw-rw-r-- 1 www-data www-data 1354 Nov 10 2013 variables.inc.php -rw-rw-r-- 1 www-data www-data 2444 Dec 8 2013 viewlog.php -rw-rw-r-- 1 www-data www-data 5835 Feb 19 12:49 xmlrpc.php -rw-rw-r-- 1 www-data www-data 40057 May 6 21:46 CHANGELOG.TXT -rw-rw-r-- 1 www-data www-data 15148 Nov 12 2007 GPL-LICENSE.TXT -rw-rw-r-- 1 www-data www-data 5578 Feb 19 12:52 INSTALL.TXT -rw-rw-r-- 1 www-data www-data 2189 Apr 24 2011 LICENSE.TXT fastcgi_param QUERY_STRING $query_string; fastcgi_param REQUEST_METHOD $request_method; fastcgi_param CONTENT_TYPE $content_type; fastcgi_param CONTENT_LENGTH $content_length; fastcgi_param SCRIPT_NAME $fastcgi_script_name; fastcgi_param REQUEST_URI $request_uri; fastcgi_param DOCUMENT_URI $document_uri; fastcgi_param DOCUMENT_ROOT $document_root; fastcgi_param SERVER_PROTOCOL $server_protocol; fastcgi_param HTTPS $https if_not_empty; fastcgi_param GATEWAY_INTERFACE CGI/1.1; fastcgi_param SERVER_SOFTWARE nginx/$nginx_version; fastcgi_param REMOTE_ADDR $remote_addr; fastcgi_param REMOTE_PORT $remote_port; fastcgi_param SERVER_ADDR $server_addr; fastcgi_param SERVER_PORT $server_port; fastcgi_param SERVER_NAME $server_name; # PHP only, required if PHP was built with --enable-force-cgi-redirect fastcgi_param REDIRECT_STATUS 200;

[Discussion] Installer un serveur de mail avec Postfix et Dovecot : Page 41

Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

[Discussion] Installer un serveur de mail avec Postfix et Dovecot

Hardware

1) Parce que smtpd_client_restrictions n'est définitivement pas le bon contexte pour utiliser une RBL ou tout autre système antispam puisque que tu vas bloquer toutes les commandes SMTP clientes pendant la conversation entres les deux serveurs, donc ton système anti-spam n'aura pas tous les éléments pour juger correctement le mail entrant. Bloquer le plus tôt possible c'est bien mais faut pas trop abuser

Tout est expliqué ici :

http://www.postfix.org/SMTPD_ACCESS_README.html
http://www.akadia.com/services/postfix_uce.html

Restriction list name	        Version	   Status	   Effect of REJECT or DEFER result
-------------------------------------------------------------------------------------------
smtpd_client_restrictions	All	   Optional        Reject all client commands
smtpd_recipient_restrictions	≥ 2.10	   Required        Reject RCPT TO information

Malakai wrote:par contre lorsque j'envoie un mail depuis une adresse geree par le serveur (sans authentification) vers une adresse geree par le serveur, la le mail passe : PAS OK

Je vois pas comment, avant d'envoyer un mail il faut être obligatoirement authentifié même si le destinataire est local. Attention, si tu as fait le test depuis ton serveur en local c'est normal que ça passe vu que la loopback fait partis de mynetworks, mais depuis l'extérieur c'est pas possible.

Si tu veux que même en local l'auth soit obligatoire, faut retirer permit_mynetworks mais c'est pas conseillé et surtout pas très utile.

julienth37

Bonjour à tous,

Pour ceux qui veulent je peut créer des conteneurs/VMs éphémère gratuitement (x heures et pouf ça disparait) pour que vous testiez vos serveur depuis une machine extérieure.

Je propose aussi une offre non éphémère voir ma signature pour plus de détails.

Malakai

Hardware wrote:1) Parce que smtpd_client_restrictions n'est définitivement pas le bon contexte pour utiliser une RBL ou tout autre système antispam puisque que tu vas bloquer toutes les commandes SMTP clientes pendant la conversation entres les deux serveurs, donc ton système anti-spam n'aura pas tous les éléments pour juger correctement le mail entrant. Bloquer le plus tôt possible c'est bien mais faut pas trop abuser 😛

Effectivement. J'avais pas vu ca comme des contextes mais plutot comme des restrictions et chaque restriction a son type de restriction (pas tres clair tout ca).. l'idee dans ma tete c'etait que les rbl sont des listes d'ips donc la restriction doit se faire au niveau du client. Les restrictions au niveau de "smtpd_recipient_restrictions" devant se baser plutot sur des adresses de reception.
Mais apres avoir lu ton explication et apres avoir compris que c'est des contextes (et qu'on peut mettre quelle type de restriction on veut a chaque contexte), effectivement il parait plus logique de bloquer plus tard pour avoir tous les elements necessaires.

Hardware wrote:Je vois pas comment, avant d'envoyer un mail il faut être obligatoirement authentifié même si le destinataire est local. Attention, si tu as fait le test depuis ton serveur en local c'est normal que ça passe vu que la loopback fait partis de mynetworks, mais depuis l'extérieur c'est pas possible.

Le test a ete fait depuis mon ordinateur chez moi au travers d'un vpn (vu que le port 25 est bloque par mon FAI) et j'ai essaye a nouveau depuis un second serveur et le mail passe, il est meme accepte par Spamassassin (spamd: clean message (4.1/5.0) for debian-spamd:112 in 3.7 seconds, 234 bytes) alors que le second serveur depuis lequel je me suis connecte par telnet n'a pas de reverse personnalise parametre et rien de mis en place qui permettrait l'envoie legitime de mail.
Je met ici les logs concernant le mail recu (alors qu'il ne devrait pas l'etre) :

Apr 21 22:07:53 monserveur postfix/smtpd[26519]: connect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 21 22:08:34 monserveur postfix/smtpd[26519]: 38EEC158: client=163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 21 22:08:59 monserveur postfix/cleanup[26525]: 38EEC158: message-id=<>
Apr 21 22:08:59 monserveur opendkim[2690]: 38EEC158: can't determine message sender; accepting
Apr 21 22:08:59 monserveur opendmarc[8115]: 38EEC158: RFC5322 requirement error: missing From field; accepting
Apr 21 22:08:59 monserveur postfix/qmgr[23584]: 38EEC158: from=<adresse-externe@autre-domaine.tld>, size=274, nrcpt=1 (queue active)
Apr 21 22:08:59 monserveur spamd[24415]: spamd: connection from localhost [127.0.0.1] at port 53212
Apr 21 22:08:59 monserveur spamd[24415]: spamd: setuid to debian-spamd succeeded
Apr 21 22:08:59 monserveur spamd[24415]: spamd: processing message (unknown) for debian-spamd:112
Apr 21 22:09:03 monserveur spamd[24415]: spamd: clean message (4.1/5.0) for debian-spamd:112 in 3.7 seconds, 234 bytes.
Apr 21 22:09:03 monserveur spamd[24415]: spamd: result: . 4 - MISSING_DATE,MISSING_HEADERS,MISSING_MID,RDNS_DYNAMIC,SPF_HELO_SOFTFAIL,TO_NO_BRKTS_DYNIP scantime=3.7,size=234,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=53212,mid=(unknown),autolearn=no
Apr 21 22:09:03 monserveur postfix/pipe[26527]: 38EEC158: to=<mon-adresse@mon-domaine.tld>, relay=spamassassin, delay=43, delays=39/0.01/0/3.8, dsn=2.0.0, status=sent (delivered via spamassassin service)
Apr 21 22:09:03 monserveur postfix/qmgr[23584]: 38EEC158: removed
Apr 21 22:09:03 monserveur postfix/pickup[26381]: A9398509: uid=112 from=<adresse-externe@autre-domaine.tld>
Apr 21 22:09:03 monserveur postfix/cleanup[26525]: A9398509: message-id=<20160421200903.A9398509@monserveur.mon-domaine.tld>
Apr 21 22:09:03 monserveur opendkim[2690]: A9398509: no signing table match for 'adresse-externe@autre-domaine.tld'
Apr 21 22:09:03 monserveur spamd[24414]: prefork: child states: II
Apr 21 22:09:06 monserveur postfix/qmgr[23584]: A9398509: from=<adresse-externe@autre-domaine.tld>, size=1209, nrcpt=1 (queue active)
Apr 21 22:09:07 monserveur dovecot: lmtp(26544): Connect from local
Apr 21 22:09:07 monserveur dovecot: auth-worker(26549): mysql(127.0.0.1): Connected to database postfix
Apr 21 22:09:07 monserveur dovecot: lmtp(26544, mon-adresse@mon-domaine.tld): mfPoAWMzGVewZwAAErQ60g: sieve: msgid=<20160421200903.A9398509@monserveur.mon-domaine.tld>: stored mail into mailbox 'INBOX'
Apr 21 22:09:07 monserveur postfix/lmtp[26543]: A9398509: to=<mon-adresse@mon-domaine.tld>, relay=monserveur.mon-domaine.tld[private/dovecot-lmtp], delay=3.5, delays=3.3/0.01/0.06/0.13, dsn=2.0.0, status=sent (250 2.0.0 <mon-adresse@mon-domaine.tld> mfPoAWMzGVewZwAAErQ60g Saved)
Apr 21 22:09:07 monserveur dovecot: lmtp(26544): Disconnect from local: Client quit (in reset)
Apr 21 22:09:07 monserveur postfix/qmgr[23584]: A9398509: removed
Apr 21 22:10:18 monserveur postfix/smtpd[26519]: disconnect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]

Et les commandes que j'ai execute depuis le second serveur (163.xxx.xx.xx) :

$ telnet mon-domaine.tld 25
Trying 195.xxx.xx.xx...
Connected to mon-domaine.tld.
Escape character is '^]'.
220 monserveur.mon-domaine.tld ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tld
250 monserveur.mon-domaine.tld
MAIL FROM: adresse-externe@autre-domaine.tld
250 2.1.0 Ok
RCPT TO: mon-adresse@mon-domaine.tld
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Test mail
This is the test.
.
250 2.0.0 Ok: queued as 38EEC158
quit
221 2.0.0 Bye
Connection closed by foreign host.

Donc apparemment j'ai un probleme de configuration mais je vois pas ou exactement vu que j'ai fais tout pareil que dans le tuto. Un peu d'aide a identifier la cause?

Aussi, dans le tuto il y a :
message_size_limit = 502400000
mailbox_size_limit = 1024000000
Je comprend que la boite mail peut faire au maximum 1 giga et un message peut faire maximum 500 mega? J'ai du surement mal comprendre. Une petite explication stp

julienth37

Malakai wrote: Le test a été fait depuis mon ordinateur chez moi au travers d'un VPN (vu que le port 25 est bloque par mon FAI)

Via un VPN sur ton serveur ou un prestataire extérieur ? Dans le premier cas pour lui c'est dans son my network (fin y'as de grande chance) donc normal qu'il accepte des mail sans authentification, dans le deuxième cas la c'est beaucoup moins normal !

Teste donc avec le port 587 qui ne devrai pas être bloqué (enfin j'espère pour toi sinon change de FAI ! )

Hardware

Ah bah c'est complètement normal, tu es passé par le port 25, qui est utilisé essentiellement pour le transfert des messages de MTA à MTA donc c'est normal que l'auth soit pas demandé, sinon tu pourrais plus recevoir de mail de la part des autres serveurs de mail externes, la c'est radical pour le spam effectivement

Je pensais que tu parlais du port 587/465, là c'est pas possible et heureusement :

telnet mail.mondedie.fr 587
Trying 178.170.72.130...
Connected to mail.mondedie.fr.
Escape character is '^]'.
220 mail.mondedie.fr ESMTP Postfix
HELO mail.mondedie.fr
250 mail.mondedie.fr
MAIL FROM:contact@other-domain.tld
530 5.7.0 Must issue a STARTTLS command first

Donc pour ton 3ième point, le mail ira dans les spam puisqu'il ne sera pas signé par DKIM, ni vérifié par SPF.

EDIT: Bon après un test, c'est pas le serveur qui le met dans les spam mais bien mon client mail (j'ai un plugin pour vérifier DKIM/SPF), je vais mettre à jour le tuto et l'image docker cet aprem en mettant whitelist_from_rcvd, merci pour cette remarque

Malakai

Je vais repondre par etape :

julienth37 wrote:Via un VPN sur ton serveur ou un prestataire extérieur ? Dans le premier cas pour lui c'est dans son my network (fin y'as de grande chance) donc normal qu'il accepte des mail sans authentification, dans le deuxième cas la c'est beaucoup moins normal !

Au travers d'un VPN sur mon serveur, mais je vois pas pourquoi ce serait dans son mynetworks car j'ai :

# postconf | grep mynetworks
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128

Sinon j'ai aussi essaye depuis un autre serveur et le mail passe quand meme (au fait, sympa de ta part de proposer des conteneurs/VMs pour des tests).

Hardware wrote:Ah bah c'est complètement normal, tu es passé par le port 25, qui est utilisé essentiellement pour le transfert des messages de MTA à MTA donc c'est normal que l'auth soit pas demandé, sinon tu pourrais plus recevoir de mail de la part des autres serveurs de mail externes, la c'est radical pour le spam effectivement.

Desole mais je me suis emmelle les pinceaux... l'exemple donne dans mon dernier post est mauvais puisque effectivement le mail devrait passer. Ce que je voulais exprimer initialement c'est le fait qu'un mail envoye avec une adresse interne sans authentification vers une adresse interne passe. Je met de nouveaux tests pour mieux comprendre :

1) J'envoie un mail depuis un serveur externe sans authentification avec l'adresse admin@mon-domaine.tk vers contact@mon-domaine.tk en passant par le port 25

$ telnet mon-domaine.tk 25
Trying 195.xxx.xx.xx...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: admin@mon-domaine.tk
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Un autre essai      
Envoi d'email depuis une adresse geree sans authentification vers une autre adresse geree.
.
250 2.0.0 Ok: queued as BB2A31F
quit
221 2.0.0 Bye
Connection closed by foreign host.

---------------------------------------------------------------------------------------------------------------------------------------------------------------

Apr 22 09:05:03 dedibox postfix/smtpd[27214]: connect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:05:34 dedibox postfix/smtpd[27214]: BB2A31F: client=163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:06:24 dedibox postfix/cleanup[27220]: BB2A31F: message-id=<>
Apr 22 09:06:24 dedibox opendkim[2690]: BB2A31F: can't determine message sender; accepting
Apr 22 09:06:24 dedibox opendmarc[8115]: BB2A31F: RFC5322 requirement error: missing From field; accepting
Apr 22 09:06:24 dedibox postfix/qmgr[23584]: BB2A31F: from=<admin@mon-domaine.tk>, size=351, nrcpt=1 (queue active)
Apr 22 09:06:24 dedibox spamd[24415]: spamd: connection from localhost [127.0.0.1] at port 53240
Apr 22 09:06:24 dedibox spamd[24415]: spamd: setuid to debian-spamd succeeded
Apr 22 09:06:24 dedibox spamd[24415]: spamd: processing message (unknown) for debian-spamd:112
Apr 22 09:06:28 dedibox spamd[24415]: spamd: clean message (4.1/5.0) for debian-spamd:112 in 4.2 seconds, 311 bytes.
Apr 22 09:06:28 dedibox spamd[24415]: spamd: result: . 4 - MISSING_DATE,MISSING_HEADERS,MISSING_MID,RDNS_DYNAMIC,SPF_HELO_SOFTFAIL,TO_NO_BRKTS_DYNIP scantime=4.2,size=311,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=53240,mid=(unknown),autolearn=no
Apr 22 09:06:28 dedibox postfix/pipe[27222]: BB2A31F: to=<contact@mon-domaine.tk>, relay=spamassassin, delay=68, delays=64/0.01/0/4.2, dsn=2.0.0, status=sent (delivered via spamassassin service)
Apr 22 09:06:28 dedibox postfix/qmgr[23584]: BB2A31F: removed
Apr 22 09:06:28 dedibox postfix/pickup[27090]: B839A510: uid=112 from=<admin@mon-domaine.tk>
Apr 22 09:06:28 dedibox postfix/cleanup[27220]: B839A510: message-id=<20160422070628.B839A510@dedibox.mon-domaine.tk>
Apr 22 09:06:28 dedibox opendkim[2690]: B839A510: DKIM-Signature header added (s=mail, d=mon-domaine.tk)
Apr 22 09:06:28 dedibox postfix/qmgr[23584]: B839A510: from=<admin@mon-domaine.tk>, size=1286, nrcpt=1 (queue active)
Apr 22 09:06:28 dedibox spamd[24414]: prefork: child states: II
Apr 22 09:06:28 dedibox dovecot: lmtp(27227): Connect from local
Apr 22 09:06:29 dedibox dovecot: auth-worker(27232): mysql(127.0.0.1): Connected to database postfix
Apr 22 09:06:29 dedibox dovecot: lmtp(27227, contact@mon-domaine.tk): R2+oN3TNGVdbagAAErQ60g: sieve: msgid=<20160422070628.B839A510@dedibox.mon-domaine.tk>: stored mail into mailbox 'INBOX'
Apr 22 09:06:29 dedibox postfix/lmtp[27226]: B839A510: to=<contact@mon-domaine.tk>, relay=dedibox.mon-domaine.tk[private/dovecot-lmtp], delay=0.33, delays=0.08/0.03/0.09/0.13, dsn=2.0.0, status=sent (250 2.0.0 <contact@mon-domaine.tk> R2+oN3TNGVdbagAAErQ60g Saved)
Apr 22 09:06:29 dedibox dovecot: lmtp(27227): Disconnect from local: Client quit (in reset)
Apr 22 09:06:29 dedibox postfix/qmgr[23584]: B839A510: removed
Apr 22 09:06:36 dedibox postfix/smtpd[27214]: disconnect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]

2) J'envoie un mail depuis un serveur externe sans authentification avec l'adresse yoyo@yahoo.com vers contact@mon-domaine.tk en passant par le port 587

$ telnet mon-domaine.tk 587
Trying 195.xxx.xx.xx...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: yoyo@yahoo.com
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Un essai de mail
Mail envoye depuis une adresse externe sur le port 587 sans authentification.
.
250 2.0.0 Ok: queued as E376A509
quit
221 2.0.0 Bye
Connection closed by foreign host.

---------------------------------------------------------------------------------------------------------------------------------------------------------------

Apr 22 09:07:53 dedibox postfix/smtpd[27236]: connect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:08:22 dedibox postfix/smtpd[27236]: E376A509: client=163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:09:31 dedibox postfix/cleanup[27238]: E376A509: message-id=<>
Apr 22 09:09:31 dedibox opendkim[2690]: E376A509: can't determine message sender; accepting
Apr 22 09:09:31 dedibox opendmarc[8115]: E376A509: RFC5322 requirement error: missing From field; accepting
Apr 22 09:09:31 dedibox postfix/qmgr[23584]: E376A509: from=<yoyo@yahoo.com>, size=341, nrcpt=1 (queue active)
Apr 22 09:09:31 dedibox spamd[24415]: spamd: connection from localhost [127.0.0.1] at port 53246
Apr 22 09:09:31 dedibox spamd[24415]: spamd: setuid to debian-spamd succeeded
Apr 22 09:09:31 dedibox spamd[24415]: spamd: processing message (unknown) for debian-spamd:112
Apr 22 09:09:34 dedibox spamd[24415]: spamd: clean message (4.1/5.0) for debian-spamd:112 in 3.3 seconds, 301 bytes.
Apr 22 09:09:34 dedibox spamd[24415]: spamd: result: . 4 - MISSING_DATE,MISSING_HEADERS,MISSING_MID,RDNS_DYNAMIC,SPF_HELO_SOFTFAIL,TO_NO_BRKTS_DYNIP scantime=3.3,size=301,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=53246,mid=(unknown),autolearn=no
Apr 22 09:09:34 dedibox postfix/pipe[27252]: E376A509: to=<contact@mon-domaine.tk>, relay=spamassassin, delay=84, delays=81/0.01/0/3.3, dsn=2.0.0, status=sent (delivered via spamassassin service)
Apr 22 09:09:34 dedibox postfix/qmgr[23584]: E376A509: removed
Apr 22 09:09:34 dedibox postfix/pickup[27090]: A5A08517: uid=112 from=<yoyo@yahoo.com>
Apr 22 09:09:34 dedibox postfix/cleanup[27238]: A5A08517: message-id=<20160422070934.A5A08517@dedibox.mon-domaine.tk>
Apr 22 09:09:34 dedibox opendkim[2690]: A5A08517: no signing table match for 'yoyo@yahoo.com'
Apr 22 09:09:34 dedibox spamd[24414]: prefork: child states: II
Apr 22 09:09:36 dedibox postfix/qmgr[23584]: A5A08517: from=<yoyo@yahoo.com>, size=1275, nrcpt=1 (queue active)
Apr 22 09:09:36 dedibox dovecot: lmtp(27257): Connect from local
Apr 22 09:09:36 dedibox dovecot: auth-worker(27262): mysql(127.0.0.1): Connected to database postfix
Apr 22 09:09:36 dedibox dovecot: lmtp(27257, contact@mon-domaine.tk): QSVFLzDOGVd5agAAErQ60g: sieve: msgid=<20160422070934.A5A08517@dedibox.mon-domaine.tk>: stored mail into mailbox 'INBOX'
Apr 22 09:09:36 dedibox postfix/lmtp[27256]: A5A08517: to=<contact@mon-domaine.tk>, relay=dedibox.mon-domaine.tk[private/dovecot-lmtp], delay=2.3, delays=2.1/0.01/0.06/0.17, dsn=2.0.0, status=sent (250 2.0.0 <contact@mon-domaine.tk> QSVFLzDOGVd5agAAErQ60g Saved)
Apr 22 09:09:36 dedibox dovecot: lmtp(27257): Disconnect from local: Client quit (in reset)
Apr 22 09:09:36 dedibox postfix/qmgr[23584]: A5A08517: removed
Apr 22 09:09:37 dedibox postfix/smtpd[27236]: disconnect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]

3) J'envoie un mail depuis un serveur externe sans authentification avec l'adresse admin@mon-domaine.tk vers contact@mon-domaine.tk en passant par le port 587

$ telnet mon-domaine.tk 587
Trying 195.xxx.xx.xx...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: admin@mon-domaine.tk
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Encore un essai
Mail depuis une adresse interne vers une adresse interne sur le port 587 sans authentification.
.
250 2.0.0 Ok: queued as E81FE510
quit
221 2.0.0 Bye
Connection closed by foreign host.

---------------------------------------------------------------------------------------------------------------------------------------------------------------

Apr 22 09:11:06 dedibox postfix/smtpd[27236]: connect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:11:35 dedibox postfix/smtpd[27236]: E81FE510: client=163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]
Apr 22 09:12:12 dedibox postfix/cleanup[27268]: E81FE510: message-id=<>
Apr 22 09:12:12 dedibox opendkim[2690]: E81FE510: can't determine message sender; accepting
Apr 22 09:12:12 dedibox opendmarc[8115]: E81FE510: RFC5322 requirement error: missing From field; accepting
Apr 22 09:12:12 dedibox postfix/qmgr[23584]: E81FE510: from=<admin@mon-domaine.tk>, size=358, nrcpt=1 (queue active)
Apr 22 09:12:12 dedibox spamd[24415]: spamd: connection from localhost [127.0.0.1] at port 53255
Apr 22 09:12:12 dedibox spamd[24415]: spamd: setuid to debian-spamd succeeded
Apr 22 09:12:12 dedibox spamd[24415]: spamd: processing message (unknown) for debian-spamd:112
Apr 22 09:12:13 dedibox spamd[24415]: spamd: clean message (4.1/5.0) for debian-spamd:112 in 1.1 seconds, 318 bytes.
Apr 22 09:12:13 dedibox spamd[24415]: spamd: result: . 4 - MISSING_DATE,MISSING_HEADERS,MISSING_MID,RDNS_DYNAMIC,SPF_HELO_SOFTFAIL,TO_NO_BRKTS_DYNIP scantime=1.1,size=318,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=53255,mid=(unknown),autolearn=no
Apr 22 09:12:13 dedibox postfix/pipe[27270]: E81FE510: to=<contact@mon-domaine.tk>, relay=spamassassin, delay=49, delays=48/0.01/0/1.1, dsn=2.0.0, status=sent (delivered via spamassassin service)
Apr 22 09:12:13 dedibox postfix/qmgr[23584]: E81FE510: removed
Apr 22 09:12:13 dedibox postfix/pickup[27090]: 9691751F: uid=112 from=<admin@mon-domaine.tk>
Apr 22 09:12:13 dedibox postfix/cleanup[27268]: 9691751F: message-id=<20160422071213.9691751F@dedibox.mon-domaine.tk>
Apr 22 09:12:13 dedibox opendkim[2690]: 9691751F: DKIM-Signature header added (s=mail, d=mon-domaine.tk)
Apr 22 09:12:13 dedibox spamd[24414]: prefork: child states: II
Apr 22 09:12:13 dedibox postfix/qmgr[23584]: 9691751F: from=<admin@mon-domaine.tk>, size=1293, nrcpt=1 (queue active)
Apr 22 09:12:14 dedibox dovecot: lmtp(27275): Connect from local
Apr 22 09:12:14 dedibox dovecot: auth-worker(27280): mysql(127.0.0.1): Connected to database postfix
Apr 22 09:12:14 dedibox dovecot: lmtp(27275, contact@mon-domaine.tk): o+doAc7OGVeLagAAErQ60g: sieve: msgid=<20160422071213.9691751F@dedibox.mon-domaine.tk>: stored mail into mailbox 'INBOX'
Apr 22 09:12:14 dedibox postfix/lmtp[27274]: 9691751F: to=<contact@mon-domaine.tk>, relay=dedibox.mon-domaine.tk[private/dovecot-lmtp], delay=0.6, delays=0.35/0.01/0.06/0.18, dsn=2.0.0, status=sent (250 2.0.0 <contact@mon-domaine.tk> o+doAc7OGVeLagAAErQ60g Saved)
Apr 22 09:12:14 dedibox dovecot: lmtp(27275): Disconnect from local: Client quit (in reset)
Apr 22 09:12:14 dedibox postfix/qmgr[23584]: 9691751F: removed
Apr 22 09:12:17 dedibox postfix/smtpd[27236]: disconnect from 163-xxx-xx-xx.rev.poneytelecom.eu[163.xxx.xx.xx]

Dans ces 3 cas le mail ne devrait pas etre accepte (a mon avis) vu que soit il usurpe une adresse geree par le serveur (admin@mon-domaine.tk) sans authentification soit l'expediteur est une adresse externe (yoyo@yahoo.com) et que la connexion passe par le port 587.

Donc je dois avoir merde quelque part dans la configuration mais je vois pas ou exactement, vu que j'ai suivi a la lettre le tuto.

Hardware

1) ~~Normal~~ Peut être bloqué effectivement (voir post juste après)
2) Pas normal
3) Pas normal

Pour les points 2 et 3 tu dois avoir un problème dans ta config, peux-tu me passer ton main.cf et master.cf.

Pour le premier point c'est ~~complètement~~ normal ~~et tu n'a pas le choix, sinon tu pourras plus recevoir de mail~~ pour un domaine externe mais effectivement pour un domaine local on peut le bloquer (voir post çi-dessous). Le problème d'usurpation est un problème connu de l'e-mail depuis des décennies, c'est pour ça que DKIM/SPF/DMARC ont été mis en place, pour éviter que quelqu'un utilise ton domaine à ton insu. (enfin ça empêche pas l'utilisation du domaine mais ça permet d'indiquer au serveur qui reçoit le mail que le message n'est pas légitime vu qu'il n'est pas signé cryptographiquement par DKIM).

Comme dit précédemment, je vais mettre à jour ce soir spamassassin avec whitelist_from_rcvd/whitelist_auth pour que ça tombe dans les spam quand DKIM/SPF n'est pas valide pour le domaine local.

EDIT:

Ok en fait je viens de comprendre ce que tu voulais vraiment faire, tu veux une authentification obligatoire uniquement quand le MAIL FROM: est une adresse local pour éviter un spoof.

Je pense que tu peux utiliser reject_sender_login_mismatch avec smtpd_sender_login_maps

Reject the request when $smtpd_sender_login_maps specifies an owner for the MAIL FROM address, but the client is not (SASL) logged in as that MAIL FROM address owner; or when the client is (SASL) logged in, but the client login name doesn't own the MAIL FROM address according to $smtpd_sender_login_maps.

Je testerai ce soir en rentrant du boulot, mais normalement selon la doc, reject_sender_login_mismatch oblige d'utiliser SASL pour envoyer un mail à une adresse contenue dans smtpd_sender_login_maps.

Hardware

@Malakai: Voila c'est corrigé, merci beaucoup pour tes remarques très pertinentes, j'ai mis à jour le tuto et l'image docker.

https://github.com/hardware/mailserver/commit/5a7c14bb2f5851598b9c4f553e87283865842d18

Avec la directive reject_sender_login_mismatch le spoof "local" devient impossible :

telnet mail.domain.tld 25
Trying 178.170.72.47...
Connected to mail.domain.tld.
Escape character is '^]'.
220 mail.domain.tld ESMTP Postfix
HELO mail.domain.tld
250 mail.domain.tld
MAIL FROM:contact@domain.tld
250 2.1.0 Ok
RCPT TO:admin@domain.tld
553 5.7.1 <contact@domain.tld>: Sender address rejected: not logged in

Côté logs :

NOQUEUE: reject: RCPT from unknown[xx.xx.xx.xx]: 553 5.7.1 <contact@domain.tld>: Sender address rejected: not logged in; from=<contact@domain.tld> to=<admin@domain.tld> proto=SMTP helo=<mail.domain.tld>

Et j'ai remplacé whitelist_from par whitelist_auth.

Voila

Malakai

Desole pour ma reponse tardive mais j'ai eu une journee de fou.

Ca m'a l'air effectivement d'etre la solution a ce que je veux realiser... rendre impossible l'usurpation d'une de mes adresses pour les mails envoyes sur mon serveur (spoof local)... reste plus qu'a tester pour m'assurer que tout roule.
Le whitelist_auth a egalement l'air d'etre plus adapte dans ce cas.

En ce qui concerne les points 2 et 3 (mail accepte sans authentification sur le port 587) je prefere verifier mes fichiers de configuration demain avant de les poster juste pour ne pas avoir omis quelque chose qui pourrait provoquer ca (je prefererais trouver le soucis moi meme). Mais si je n'arrive toujours pas a detecter ce qui cloche je reviendrais ici (de toute facon, meme si je trouve mon erreur je la posterais ; ca pourrait aider d'autres personnes).

A demain

Malakai

$ telnet mon-domaine.tk 25
Trying 195.xxx.xx.x...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: admin@mon-domaine.tk
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
553 5.7.1 <admin@mon-domaine.tk>: Sender address rejected: not logged in
quit
221 2.0.0 Bye
Connection closed by foreign host.

Apr 23 08:04:34 dedibox postfix/smtpd[28479]: connect from unknown[xx.xxx.xx.x]
Apr 23 08:05:17 dedibox postfix/smtpd[28479]: NOQUEUE: reject: RCPT from unknown[xx.xxx.xx.x]: 553 5.7.1 <admin@mon-domaine.tk>: Sender address rejected: not logged in; from=<admin@mon-domaine.tk> to=<contact@mon-domaine.tk> proto=SMTP helo=<mon-domaine.tk>
Apr 23 08:05:46 dedibox postfix/smtpd[28479]: disconnect from unknown[xx.xxx.xx.x]

$ telnet mon-domaine.tk 587
Trying 195.xxx.xx.x...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: admin@mon-domaine.tk
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
553 5.7.1 <admin@mon-domaine.tk>: Sender address rejected: not logged in
quit
221 2.0.0 Bye
Connection closed by foreign host.

Apr 23 08:06:42 dedibox postfix/smtpd[28486]: connect from unknown[xx.xxx.xx.x]
Apr 23 08:07:34 dedibox postfix/smtpd[28486]: NOQUEUE: reject: RCPT from unknown[xx.xxx.xx.x]: 553 5.7.1 <admin@mon-domaine.tk>: Sender address rejected: not logged in; from=<admin@mon-domaine.tk> to=<contact@mon-domaine.tk> proto=SMTP helo=<mon-domaine.tk>
Apr 23 08:07:48 dedibox postfix/smtpd[28486]: disconnect from unknown[xx.xxx.xx.x]

J'ai verifie mes fichiers de configuration et ca a l'air d'etre comme dans le tuto donc je comprend pas pourquoi les mails passent sans authentification sur le port 587 (mon main.cf et master.cf sont plus bas)

$ telnet mon-domaine.tk 587
Trying 195.xxx.xx.x...
Connected to mon-domaine.tk.
Escape character is '^]'.
220 dedibox.mon-domaine.tk ESMTP Postfix (Debian/GNU)
HELO mon-domaine.tk
250 dedibox.mon-domaine.tk
MAIL FROM: test@yahoo.com
250 2.1.0 Ok
RCPT TO: contact@mon-domaine.tk
250 2.1.5 Ok
DATA
354 End data with <CR><LF>.<CR><LF>
Subject: Et merde ca marche toujours...
Aucune idee d'ou ca peut venir.
.
250 2.0.0 Ok: queued as 092034FB
quit
221 2.0.0 Bye
Connection closed by foreign host.


Apr 23 08:08:52 dedibox postfix/smtpd[28486]: connect from unknown[xx.xxx.xx.x]
Apr 23 08:09:28 dedibox postfix/smtpd[28486]: 092034FB: client=unknown[xx.xxx.xx.x]
Apr 23 08:10:03 dedibox postfix/cleanup[28500]: 092034FB: message-id=<>
Apr 23 08:10:03 dedibox opendkim[2690]: 092034FB: can't determine message sender; accepting
Apr 23 08:10:03 dedibox postfix/qmgr[28467]: 092034FB: from=<test@yahoo.com>, size=279, nrcpt=1 (queue active)
Apr 23 08:10:03 dedibox spamd[24415]: spamd: connection from localhost [127.0.0.1] at port 53268
Apr 23 08:10:03 dedibox spamd[24415]: spamd: setuid to debian-spamd succeeded
Apr 23 08:10:03 dedibox spamd[24415]: spamd: processing message (unknown) for debian-spamd:112
Apr 23 08:10:03 dedibox spamd[24415]: spamd: clean message (1.7/5.0) for debian-spamd:112 in 0.1 seconds, 239 bytes.
Apr 23 08:10:03 dedibox spamd[24415]: spamd: result: . 1 - ALL_TRUSTED,MISSING_DATE,MISSING_HEADERS,MISSING_MID scantime=0.1,size=239,user=debian-spamd,uid=112,required_score=5.0,rhost=localhost,raddr=127.0.0.1,rport=53268,mid=(unknown),autolearn=no
Apr 23 08:10:03 dedibox postfix/pipe[28502]: 092034FB: to=<contact@mon-domaine.tk>, relay=spamassassin, delay=49, delays=49/0.01/0/0.14, dsn=2.0.0, status=sent (delivered via spamassassin service)
Apr 23 08:10:03 dedibox postfix/qmgr[28467]: 092034FB: removed
Apr 23 08:10:03 dedibox postfix/pickup[28466]: 3EDDE53F: uid=112 from=<test@yahoo.com>
Apr 23 08:10:03 dedibox postfix/cleanup[28500]: 3EDDE53F: message-id=<20160423061003.3EDDE53F@dedibox.mon-domaine.tk>
Apr 23 08:10:03 dedibox opendkim[2690]: 3EDDE53F: no signing table match for 'test@yahoo.com'
Apr 23 08:10:03 dedibox spamd[24414]: prefork: child states: II
Apr 23 08:10:09 dedibox postfix/qmgr[28467]: 3EDDE53F: from=<test@yahoo.com>, size=1005, nrcpt=1 (queue active)
Apr 23 08:10:09 dedibox dovecot: lmtp(28507): Connect from local
Apr 23 08:10:09 dedibox dovecot: auth-worker(28512): mysql(127.0.0.1): Connected to database postfix
Apr 23 08:10:09 dedibox dovecot: lmtp(28507, contact@mon-domaine.tk): Ip1XG8ERG1dbbwAAErQ60g: sieve: msgid=<20160423061003.3EDDE53F@dedibox.mon-domaine.tk>: stored mail into mailbox 'INBOX'
Apr 23 08:10:09 dedibox postfix/lmtp[28506]: 3EDDE53F: to=<contact@mon-domaine.tk>, relay=dedibox.mon-domaine.tk[private/dovecot-lmtp], delay=6.3, delays=6.1/0.01/0.06/0.13, dsn=2.0.0, status=sent (250 2.0.0 <contact@mon-domaine.tk> Ip1XG8ERG1dbbwAAErQ60g Saved)
Apr 23 08:10:09 dedibox dovecot: lmtp(28507): Disconnect from local: Client quit (in reset)
Apr 23 08:10:09 dedibox postfix/qmgr[28467]: 3EDDE53F: removed
Apr 23 08:10:23 dedibox postfix/smtpd[28486]: disconnect from unknown[xx.xxx.xx.x]

Mes fichiers de conf (j'ai retire les commentaires pour ne pas alonger encore plus le post)
Main.cf :

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

append_dot_mydomain = no

delay_warning_time = 4h

readme_directory = no



myhostname = dedibox.mon-domaine.tk
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = dedibox.mon-domaine.tk
mydestination = localhost localhost.$mydomain
relayhost = 
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
mailbox_command = procmail -a "$EXTENSION"
recipient_delimiter = +
inet_interfaces = all


smtpd_recipient_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated, 
     reject_non_fqdn_recipient, 
     reject_unauth_destination, 
     reject_unknown_recipient_domain

smtpd_helo_restrictions =
     permit_mynetworks,
     permit_sasl_authenticated,
     reject_invalid_helo_hostname,  
     reject_non_fqdn_helo_hostname

smtpd_client_restrictions =
     permit_mynetworks,
     permit_inet_interfaces,
     permit_sasl_authenticated

smtpd_sender_restrictions =
     reject_non_fqdn_sender,      
     reject_unknown_sender_domain,
     reject_sender_login_mismatch

smtp_tls_loglevel            = 1
smtp_tls_security_level      = may
smtp_tls_CAfile              = /etc/ssl/certs/ca.cert.pem
smtp_tls_protocols           = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_ciphers   = high
smtp_tls_exclude_ciphers     = aNULL, eNULL, EXPORT, DES, 3DES, RC2, RC4, MD5, PSK, SRP, DSS, AECDH, ADH
smtp_tls_note_starttls_offer = yes

smtpd_tls_loglevel            = 1
smtpd_tls_auth_only           = yes
smtpd_tls_security_level      = may
smtpd_tls_received_header     = yes
smtpd_tls_protocols           = !SSLv2, !SSLv3
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtpd_tls_mandatory_ciphers   = medium

smtpd_tls_CAfile              = $smtp_tls_CAfile
smtpd_tls_cert_file           = /etc/ssl/certs/mailserver.crt
smtpd_tls_key_file            = /etc/ssl/private/mailserver.key
smtpd_tls_dh1024_param_file   = $config_directory/dh2048.pem
smtpd_tls_dh512_param_file    = $config_directory/dh512.pem

tls_preempt_cipherlist = yes
tls_random_source      = dev:/dev/urandom

smtp_tls_session_cache_database  = btree:${data_directory}/smtp_scache
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
lmtp_tls_session_cache_database  = btree:${data_directory}/lmtp_scache

smtpd_sasl_auth_enable          = yes
smtpd_sasl_type                 = dovecot
smtpd_sasl_path                 = private/auth
smtpd_sasl_security_options     = noanonymous
smtpd_sasl_tls_security_options = $smtpd_sasl_security_options
smtpd_sasl_local_domain         = $mydomain
smtpd_sasl_authenticated_header = yes

broken_sasl_auth_clients = yes

virtual_uid_maps        = static:5000
virtual_gid_maps        = static:5000
virtual_minimum_uid     = 5000
virtual_mailbox_base    = /var/mail

virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual-mailbox-domains.cf
virtual_mailbox_maps    = mysql:/etc/postfix/mysql-virtual-mailbox-maps.cf
virtual_alias_maps      = mysql:/etc/postfix/mysql-virtual-alias-maps.cf

smtpd_sender_login_maps  = mysql:/etc/postfix/mysql-sender-login-maps.cf

virtual_transport = lmtp:unix:private/dovecot-lmtp

disable_vrfy_command = yes
message_size_limit   = 502400000
mailbox_size_limit   = 1024000000

inet_protocols = ipv4

milter_protocol = 6
milter_default_action = accept
smtpd_milters = unix:/opendkim/opendkim.sock, unix:/opendmarc/opendmarc.sock
non_smtpd_milters = unix:/opendkim/opendkim.sock

Master.cf

smtp      inet  n       -       -       -       -       smtpd
submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
proxywrite unix -       -       n       -       1       proxymap
smtp      unix  -       -       -       -       -       smtp
relay     unix  -       -       -       -       -       smtp
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache    unix  -       -       -       -       1       scache
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix	-	n	n	-	2	pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}

smtp      inet  n       -       -       -       -       smtpd
   -o content_filter=spamassassin
submission inet n       -       -       -       -       smtpd
   -o content_filter=spamassassin

spamassassin unix -     n       n       -       -       pipe
  user=debian-spamd argv=/usr/bin/spamc -f -e /usr/sbin/sendmail -oi -f ${sender} ${recipient}

Aussi un petit souci de typo dans le tuto (main.cf) :
smtpd_sender_login_maps = mysql:/etc/postfix/mysql/mysql-sender-login-maps.cf
# vim /etc/postfix/mysql-sender-login-maps.cf

Peut etre aussi cette valeur a abaisser (trop grande?) :
message_size_limit = 502400000

Hardware

Je vois pas de problème dans ta conf.

Peux-tu me passer l'adresse de ton serveur mail stp ?

Malakai

J'ai essaye de t'envoyer un message prive avec l'adresse du serveur mais j'ai eu un :
Erreur envoi message prive

Dis moi si tu l'as quand meme recu ou pas.

Hardware

C'est corrigé, c'était du à la modification du serveur mail du forum de ce matin, tu peux renvoyer ton MP.

balbao

Malakai wrote:J'ai essaye de t'envoyer un message prive avec l'adresse du serveur mais j'ai eu un :
http://img15.hostingpics.net/pics/414415Capture.png

Dis moi si tu l'as quand meme recu ou pas.

Idem , du coup, j'ai envoyé sur l'adresse mail.

Balbao

Malakai

MP envoye, j'attends ton retour

Hardware

@Malakai: j'ai pas trouvé la raison, normalement ça devrait pas passer grâce à ça :

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_dh1024_param_file=${config_directory}/dh2048.pem
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

Vérifie que c'est pas commenté, mal indenté ou autre je sais pas. Check aussi la version de postfix, j'ai la 2.11.3.
Vérifie que les paramètres ont bien été pris en compte avec postconf -nf

Malakai

Tout a l'air normal dans la conf. Par contre comme je suis sur Debian 7 j'ai la version 2.9.6-2 de postfix. Est-ce que ca peut venir de la? Un argument de plus a donner a cette version pour eviter que le mail passe? J'ai cherche un peu mais pas moyen de trouver s'il faut rajouter quelque chose a cette version...

Hardware wrote:Vérifie que les paramètres ont bien été pris en compte avec postconf -nf

Je dois verifier quoi exactement parce que en faisant un "postconf -nf | grep submission" j'ai rien en retour...

Malakai

J'ai fini de configurer le serveur mail (il ne me restait plus que clamav a mettre en place) et tout a l'air bon a part le probleme enonce anterieurement (mail accepte sans authentification sur le port 587)... j'ai pas mal cherche sur Internet mais pas moyen de trouver quelque chose de semblable (j'ai peut etre pas utilise les bons mots clefs mais je sais pas exactement ce que je devrais chercher)... si tu as une idee ou au moins quelques mots clefs qui pourraient faciliter mes recherches?
Merci.

Hardware

Recherche un truc du genre : enforce authentication only on submission port

Hardware

~~j'ai peut-être trouvé une piste dans la doc : http://www.postfix.org/postconf.5.html#smtpd_sasl_auth_enable~~
~~Ton problème vient peut-être de là.~~

En fait non, ce serait pas logique. Franchement je vois pas désolé, normalement tu devrais être bloqué par cette directive smtpd_client_restrictions=permit_sasl_authenticated,reject et même avant par celle là : smtpd_tls_security_level=encrypt vu que ça contraint le client à communiquer avec le serveur via TLS, ce qui n'est pas possible avec telnet.

En fait on dirait que tout ce bloc :

submission inet n       -       -       -       -       smtpd
  -o syslog_name=postfix/submission
  -o smtpd_tls_dh1024_param_file=/var/mail/ssl/dhparams/dh2048.pem
  -o smtpd_tls_security_level=encrypt
  -o smtpd_sasl_auth_enable=yes
  -o smtpd_client_restrictions=permit_sasl_authenticated,reject

n'est pas pris en compte, essaye de faire une faute volontaire dedans pour voir si postfix réagit.

« Page précédente Page suivante »