Bonjour,

Je voudrais configurer un serveur Postfix qui ne soit pas open relay.

Pour le moment je posede un serveur postfix ouvert a tous vent ou
presque au niveau de sa configuration.
La sécurité est assurée par un firewall en amont, à l'entrée du LAN qui
bloque les connexions entrante sur le port 25.

Voici le shema mon réseau:
+-----+ +-----------+ +------------------------+
|Modem|----|FW + Router|----|Lan dont serveur Postfix|
+-----+ +-----------+ +------------------------+

Je voudrais que les mails envoyés depuis le net a des adresses du type
user@server.domaine.tld arrivent sur le server postfix.

Evidament ceci est configuré correctement dans les D.N.S. Pour le moment
le pb viens uniquement de postfix.

Je pensait faire barage avec une authentification, mais je ne sais pas
comment m'y prendre. J'ai eu des déboires pour configurer saslauth.

si vous aves d'autres idées je vous remercie.

J'utilise une mandriva 2005 LE.

Par avance Merci

P'titMat.

Voici mon fichier /etc/postfix/main.cf:

# These are only the parameters changed from a default install
# see /etc/postfix/main.cf.dist for a commented, fuller version of this
file.

# These are changed by postfix install script
readme_directory = /usr/share/doc/postfix-2.1.5/README_FILES
sample_directory = /usr/share/doc/postfix-2.1.5/samples
html_directory = /usr/share/doc/postfix-2.1.5/html
sendmail_path = /usr/sbin/sendmail.postfix
setgid_group = postdrop
command_directory = /usr/sbin
manpage_directory = /usr/share/man
daemon_directory = /usr/lib/postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix

# User configurable parameters

mynetworks_style = subnet
delay_warning_time = 4h
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version) (Mandrakelinux)
unknown_local_recipient_reject_code = 450
smtp-filter_destination_concurrency_limit = 2
lmtp-filter_destination_concurrency_limit = 2
smtpd_sasl_path = /etc/postfix/sasl:/usr/lib/sasl2
myorigin = mon-domaine.tld.com

P'titMat égrapsen en <434a1978$0$18083$626a14ce@news.free.fr>:

> Je voudrais configurer un serveur Postfix qui ne soit pas open
> relay.

Consultez la documentation de Postix
<http://x.guimard.free.fr/postfix/>: comprendre comment fonctionnent
les relais est primordial pour la configuration de ce logiciel
(<http://x.guimard.free.fr/postfix/index.php?page=SMTPD_ACCESS_README.html>).

Vincent Ramos a écrit :
> P'titMat égrapsen en <434a1978$0$18083$626a14ce@news.free.fr> :
>
>
>>Je voudrais configurer un serveur Postfix qui ne soit pas open
>>relay.
>
>
> Consultez la documentation de Postix
> <http://x.guimard.free.fr/postfix/> : comprendre comment fonctionnent
> les relais est primordial pour la configuration de ce logiciel
> (<http://x.guimard.free.fr/postfix/index.php?page=SMTPD_ACCESS_README.html>).


Bonsoir,

J'ai lu la doc, mais ceci me parait assez flou.

si j'authorise mon réseau. Mon firewall avec nat ne remet pas en jeu ma
sécurtiée si j'ouvre le port 25?
Merci.

P'titMat.

P'titMat égrapsen en <434ac277$0$20868$636a55ce@news.free.fr>:

> J'ai lu la doc, mais ceci me parait assez flou.
> si j'autorise mon réseau. Mon firewall avec nat ne remet pas en jeu
> ma sécurtiée si j'ouvre le port 25?

Je vais tâcher d'être clair: soit le cas de figure où votre serveur
(A) reçoit librement des connexions sur le port 25.

Une machine B le contacte sur ce port et lui signale qu'elle a du
courrier pour A (qui est donc la destination finale): A l'accepte et
le distribue ensuite dans ses boîtes aux lettres locales.

Mais si B a du courrier qu'elle donne à A pour que A le relaie à C,
c'est du relais, et même du relais ouvert à partir du moment où A
relaie *tous* les courriers entrants, quel que soit la provenance du
courrier.

Pour empêcher le relais ouvert, plusieurs possibilité:
* authentification obligatoire;
* interdiction de relayer tout ce qui n'est pas à destination de la
machine A;
* ou bien: même chose et en plus la permission de relayer le courrier
en provenance de certaines machines identifiées (dans le cadre d'un
LAN, par exemple; puisque vous utilisez du NAT, vous êtes peut-être
dans ce cas).

Tout cela se configure.

Voici par exemple un extrait de mon /etc/postfix/main.cf:
myhostname = mamachine.monréseau.net
mydestination = monréseau.net, localhost.localdomain, localhost
# Réseaux pour lesquels Postfix délivre localement le courrier.
relayhost =
# L'hôte vers lequel renvoyer le courrier entrant. Ici, relayhost est
# vide car ma machine est la destination finale.
mynetworks = 127.0.0.0/8, 192.168.0.1, 192.168.0.2
# Ce sont les interfaces pour lesquelles Postfix accepte de relayer du
# courrier: 127.0.0.0 = ma machine, 192.168.0.1 = ma machine (par une
# autre interface qui sert à mon LAN), 192.168.0.2 = une autre
# machine de mon LAN qui se sert de 192.168.0.1 comme relais.

Bref, si mynetworks est bien renseigné, vous ne serez pas un relais
ouvert. Vérifiez sur <http://www.abuse.net/relay.html> votre
configuration.

--
apt-get moo

Vincent Ramos a écrit :
> P'titMat égrapsen en <434ac277$0$20868$636a55ce@news.free.fr> :
>
>
>>J'ai lu la doc, mais ceci me parait assez flou.
>>si j'autorise mon réseau. Mon firewall avec nat ne remet pas en jeu
>>ma sécurtiée si j'ouvre le port 25?
>
>
> Je vais tâcher d'être clair : soit le cas de figure où votre serveur
> (A) reçoit librement des connexions sur le port 25.
>
> Une machine B le contacte sur ce port et lui signale qu'elle a du
> courrier pour A (qui est donc la destination finale) : A l'accepte et
> le distribue ensuite dans ses boîtes aux lettres locales.
>
> Mais si B a du courrier qu'elle donne à A pour que A le relaie à C,
> c'est du relais, et même du relais ouvert à partir du moment où A
> relaie *tous* les courriers entrants, quel que soit la provenance du
> courrier.
>
> Pour empêcher le relais ouvert, plusieurs possibilité :
> * authentification obligatoire ;
> * interdiction de relayer tout ce qui n'est pas à destination de la
> machine A ;
> * ou bien : même chose et en plus la permission de relayer le courrier
> en provenance de certaines machines identifiées (dans le cadre d'un
> LAN, par exemple ; puisque vous utilisez du NAT, vous êtes peut-être
> dans ce cas).
>
> Tout cela se configure.
>
> Voici par exemple un extrait de mon /etc/postfix/main.cf :
> myhostname = mamachine.monréseau.net
> mydestination = monréseau.net, localhost.localdomain, localhost
> # Réseaux pour lesquels Postfix délivre localement le courrier.
> relayhost =
> # L'hôte vers lequel renvoyer le courrier entrant. Ici, relayhost est
> # vide car ma machine est la destination finale.
> mynetworks = 127.0.0.0/8, 192.168.0.1, 192.168.0.2
> # Ce sont les interfaces pour lesquelles Postfix accepte de relayer du
> # courrier : 127.0.0.0 = ma machine, 192.168.0.1 = ma machine (par une
> # autre interface qui sert à mon LAN), 192.168.0.2 = une autre
> # machine de mon LAN qui se sert de 192.168.0.1 comme relais.
>
> Bref, si mynetworks est bien renseigné, vous ne serez pas un relais
> ouvert. Vérifiez sur <http://www.abuse.net/relay.html> votre
> configuration.
>
Merci beaucoup.

J'ai fais les test et je ne suis pas serveur de relay (cool hein ????)

Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
user@serveur.domaine.tld, tout fonctionne comme prévu (même le .forward
(super cool ...
par contre si j'écris à invalid@server.domaine.tld, je vois dans les
logs le mail avec le commentaire "reject", parcontre je ne me prend pas
sur yahoo de message mailerdemon ou autre.... Que faire pour que les
messages envoyés avec des fausses adresses soient renvoyées à l'expéditeur?

Merci d'avance pour les nouvelles explicatio et merci beaucoup pour ce
petit topo et surtout ce site qui permet de tester le relay.

P'titMat.

P'titMat égrapsen en <434ae6bb$0$22386$626a14ce@news.free.fr>:

> Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
> user@serveur.domaine.tld, tout fonctionne comme prévu (même le
> .forward (super cool ...
> par contre si j'écris à invalid@server.domaine.tld, je vois dans les
> logs le mail avec le commentaire "reject", parcontre je ne me prend
> pas sur yahoo de message mailerdemon ou autre.... Que faire pour que
> les messages envoyés avec des fausses adresses soient renvoyées à
> l'expéditeur?

Que contient le fichier /etc/aliases? Vous devriez avoir un alias
mailer-daemon: postmaster
ainsi qu'un alias
postmaster: root
et, surtout, un alias
root: <utilisateur qui s'occupe de l'administration>

Ainsi, le courrier destiné à mailer-daemon arrivera à l'«utilisateur
qui s'occupe de l'administration» et vous récupèrerez (orthographe
1990) les messages d'erreur.

Si vous deviez changer le contenu du fichier /etc/aliases, vous devez
après coup lancer en root la commande newaliases pour en informer
postfix.

Si votre /etc/aliases contient déjà ce qu'il faut, le problème n'est
pas là et c'est que, fatigué par une journée épuisante, je l'ai mal
cerné.

--
apt-get moo

Vincent Ramos a écrit :
> P'titMat égrapsen en <434ae6bb$0$22386$626a14ce@news.free.fr> :
>
>
>>Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
>>user@serveur.domaine.tld, tout fonctionne comme prévu (même le
>>.forward (super cool ...
>>par contre si j'écris à invalid@server.domaine.tld, je vois dans les
>>logs le mail avec le commentaire "reject", parcontre je ne me prend
>>pas sur yahoo de message mailerdemon ou autre.... Que faire pour que
>>les messages envoyés avec des fausses adresses soient renvoyées à
>>l'expéditeur?
>
>
> Que contient le fichier /etc/aliases ? Vous devriez avoir un alias
> mailer-daemon: postmaster
> ainsi qu'un alias
> postmaster: root
> et, surtout, un alias
> root: <utilisateur qui s'occupe de l'administration>
>
> Ainsi, le courrier destiné à mailer-daemon arrivera à l'« utilisateur
> qui s'occupe de l'administration » et vous récupèrerez (orthographe
> 1990) les messages d'erreur.
>
> Si vous deviez changer le contenu du fichier /etc/aliases, vous devez
> après coup lancer en root la commande newaliases pour en informer
> postfix.
>
> Si votre /etc/aliases contient déjà ce qu'il faut, le problème n'est
> pas là et c'est que, fatigué par une journée épuisante, je l'ai mal
> cerné.
>

Bonsoir,

J'ai modifié mon fichier /etc/aliases pour que les mails a destination
de root soient redirigés a l'admin (moi).

Voici le contenu /var/log/mail/info lorsque j'envoie un mail depuis yahoo :

Oct 11 23:44:20 server postfix/smtpd[11987]: connect from
web26103.mail.ukl.yahoo.com[217.12.10.227]
Oct 11 23:44:21 server postfix/smtpd[11987]: NOQUEUE: reject: RCPT from
web26103.mail.ukl.yahoo.com[217.12.10.227]: 450
<invaliduser@server.domaine.tld>:Recipient address rejected: User
unknown in local recipient table; from=<moi@yahoo.fr>
to=<invaliduser@server.domain.tld> proto=SMTP
helo=<web26103.mail.ukl.yahoo.com>
Oct 11 23:44:21 server postfix/smtpd[11987]: disconnect from
web26103.mail.ukl.yahoo.com[217.12.10.227]

Sur Yahoo, je ne recois pas de mails d'erreur de postmaster ou autre
mailer daemons.

Merci de bienvouloir m'aider.

P'titMat.

Vincent Ramos a écrit :
> P'titMat égrapsen en <434ae6bb$0$22386$626a14ce@news.free.fr> :
>
>
>>Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
>>user@serveur.domaine.tld, tout fonctionne comme prévu (même le
>>.forward (super cool ...
>>par contre si j'écris à invalid@server.domaine.tld, je vois dans les
>>logs le mail avec le commentaire "reject", parcontre je ne me prend
>>pas sur yahoo de message mailerdemon ou autre.... Que faire pour que
>>les messages envoyés avec des fausses adresses soient renvoyées à
>>l'expéditeur?
>
>
> Que contient le fichier /etc/aliases ? Vous devriez avoir un alias
> mailer-daemon: postmaster
> ainsi qu'un alias
> postmaster: root
> et, surtout, un alias
> root: <utilisateur qui s'occupe de l'administration>
>
> Ainsi, le courrier destiné à mailer-daemon arrivera à l'« utilisateur
> qui s'occupe de l'administration » et vous récupèrerez (orthographe
> 1990) les messages d'erreur.
>
> Si vous deviez changer le contenu du fichier /etc/aliases, vous devez
> après coup lancer en root la commande newaliases pour en informer
> postfix.
>
> Si votre /etc/aliases contient déjà ce qu'il faut, le problème n'est
> pas là et c'est que, fatigué par une journée épuisante, je l'ai mal
> cerné.
>

Bonsoir,

J'ai modifié mon fichier /etc/aliases pour que les mails a destination
de root soient redirigés a l'admin (moi).

Voici le contenu /var/log/mail/info lorsque j'envoie un mail depuis yahoo :

Oct 11 23:44:20 server postfix/smtpd[11987]: connect from
web26103.mail.ukl.yahoo.com[217.12.10.227]
Oct 11 23:44:21 server postfix/smtpd[11987]: NOQUEUE: reject: RCPT from
web26103.mail.ukl.yahoo.com[217.12.10.227]: 450
<invaliduser@server.domaine.tld>:Recipient address rejected: User
unknown in local recipient table; from=<moi@yahoo.fr>
to=<invaliduser@server.domain.tld> proto=SMTP
helo=<web26103.mail.ukl.yahoo.com>
Oct 11 23:44:21 server postfix/smtpd[11987]: disconnect from
web26103.mail.ukl.yahoo.com[217.12.10.227]

Sur Yahoo, je ne recois pas de mails d'erreur de postmaster ou autre
mailer daemons.

Merci de bienvouloir m'aider.

P'titMat.

P'titMat a écrit :
> Vincent Ramos a écrit :
>
>> P'titMat égrapsen en <434ae6bb$0$22386$626a14ce@news.free.fr> :
>>
>>
>>> Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
>>> user@serveur.domaine.tld, tout fonctionne comme prévu (même le
>>> .forward (super cool ...
>>> par contre si j'écris à invalid@server.domaine.tld, je vois dans les
>>> logs le mail avec le commentaire "reject", parcontre je ne me prend
>>> pas sur yahoo de message mailerdemon ou autre.... Que faire pour que
>>> les messages envoyés avec des fausses adresses soient renvoyées à
>>> l'expéditeur?
>>
>>
>>
>> Que contient le fichier /etc/aliases ? Vous devriez avoir un alias
>> mailer-daemon: postmaster
>> ainsi qu'un alias
>> postmaster: root
>> et, surtout, un alias
>> root: <utilisateur qui s'occupe de l'administration>
>>
>> Ainsi, le courrier destiné à mailer-daemon arrivera à l'« utilisateur
>> qui s'occupe de l'administration » et vous récupèrerez (orthographe
>> 1990) les messages d'erreur.
>>
>> Si vous deviez changer le contenu du fichier /etc/aliases, vous devez
>> après coup lancer en root la commande newaliases pour en informer
>> postfix.
>>
>> Si votre /etc/aliases contient déjà ce qu'il faut, le problème n'est
>> pas là et c'est que, fatigué par une journée épuisante, je l'ai mal
>> cerné.
>>
>
> Bonsoir,
>
> J'ai modifié mon fichier /etc/aliases pour que les mails a destination
> de root soient redirigés a l'admin (moi).
>
> Voici le contenu /var/log/mail/info lorsque j'envoie un mail depuis yahoo :
>
> Oct 11 23:44:20 server postfix/smtpd[11987]: connect from
> web26103.mail.ukl.yahoo.com[217.12.10.227]
> Oct 11 23:44:21 server postfix/smtpd[11987]: NOQUEUE: reject: RCPT from
> web26103.mail.ukl.yahoo.com[217.12.10.227]: 450
> <invaliduser@server.domaine.tld>:Recipient address rejected: User
> unknown in local recipient table; from=<moi@yahoo.fr>
> to=<invaliduser@server.domain.tld> proto=SMTP
> helo=<web26103.mail.ukl.yahoo.com>
> Oct 11 23:44:21 server postfix/smtpd[11987]: disconnect from
> web26103.mail.ukl.yahoo.com[217.12.10.227]
>
> Sur Yahoo, je ne recois pas de mails d'erreur de postmaster ou autre
> mailer daemons.
>
> Merci de bienvouloir m'aider.
>
> P'titMat.
Les deux messages d'erreurs sotn arrivés ce matin. Je pense donc que le
mailer daemon de yahoo était surbooké.

Merci pour tout et à bienbtot.

P'titMat.

P'titMat a écrit :
> Vincent Ramos a écrit :
>
>> P'titMat égrapsen en <434ae6bb$0$22386$626a14ce@news.free.fr> :
>>
>>
>>> Maintenant quand depuis le webmail de yahoo, j'ecris un mail à :
>>> user@serveur.domaine.tld, tout fonctionne comme prévu (même le
>>> .forward (super cool ...
>>> par contre si j'écris à invalid@server.domaine.tld, je vois dans les
>>> logs le mail avec le commentaire "reject", parcontre je ne me prend
>>> pas sur yahoo de message mailerdemon ou autre.... Que faire pour que
>>> les messages envoyés avec des fausses adresses soient renvoyées à
>>> l'expéditeur?
>>
>>
>>
>> Que contient le fichier /etc/aliases ? Vous devriez avoir un alias
>> mailer-daemon: postmaster
>> ainsi qu'un alias
>> postmaster: root
>> et, surtout, un alias
>> root: <utilisateur qui s'occupe de l'administration>
>>
>> Ainsi, le courrier destiné à mailer-daemon arrivera à l'« utilisateur
>> qui s'occupe de l'administration » et vous récupèrerez (orthographe
>> 1990) les messages d'erreur.
>>
>> Si vous deviez changer le contenu du fichier /etc/aliases, vous devez
>> après coup lancer en root la commande newaliases pour en informer
>> postfix.
>>
>> Si votre /etc/aliases contient déjà ce qu'il faut, le problème n'est
>> pas là et c'est que, fatigué par une journée épuisante, je l'ai mal
>> cerné.
>>
>
> Bonsoir,
>
> J'ai modifié mon fichier /etc/aliases pour que les mails a destination
> de root soient redirigés a l'admin (moi).
>
> Voici le contenu /var/log/mail/info lorsque j'envoie un mail depuis yahoo :
>
> Oct 11 23:44:20 server postfix/smtpd[11987]: connect from
> web26103.mail.ukl.yahoo.com[217.12.10.227]
> Oct 11 23:44:21 server postfix/smtpd[11987]: NOQUEUE: reject: RCPT from
> web26103.mail.ukl.yahoo.com[217.12.10.227]: 450
> <invaliduser@server.domaine.tld>:Recipient address rejected: User
> unknown in local recipient table; from=<moi@yahoo.fr>
> to=<invaliduser@server.domain.tld> proto=SMTP
> helo=<web26103.mail.ukl.yahoo.com>
> Oct 11 23:44:21 server postfix/smtpd[11987]: disconnect from
> web26103.mail.ukl.yahoo.com[217.12.10.227]
>
> Sur Yahoo, je ne recois pas de mails d'erreur de postmaster ou autre
> mailer daemons.
>
> Merci de bienvouloir m'aider.
>
> P'titMat.
Les deux messages d'erreurs sotn arrivés ce matin. Je pense donc que le
mailer daemon de yahoo était surbooké.

Merci pour tout et à bienbtot.

P'titMat.