Configuration d'un relais smtp postfix dans une DMZ

[led0b10]

Voila mon pb

J'ai un firewall Cisco PIX DMZ
Un serveur exchange en interne
Un domaine public domain.fr
un domaine win 2000 domain.org

En reception
--------------
Mon FAI relais en smtp les mails usr@domain.fr vers une de mes adresses public a.a.a.a.
Mon firewall a une route statique pour smtp de l'ip a.a.a.a vers b.b.b.b de ma DMZ.
static (DMZ,outside) a.a.a.a relay-smtp netmask 255.255.255.255 0 0
Le relais SMTP est un serveur monté en linux redhat 7.1 avec postfix 2.3
Mon firewall a une route static du relais dans la dmz vers mon serveur exchange en smtp

En emission
--------------
Le serveur exchange relais les emails vers le relais smtp
Le relais envoie les messages



L'emission des messages est ok
Mais la réception ne fonctionne pas lorsque le mail vient de l'extérieur
Lorsque j'envoie un mail usr@domain.fr à partir d'un client configuré de facon à envoyer directement sur le relais smtp le mail est bien relayer sur le serveur exchange.


En résumé ma question que faut il configurer sur postfix pour faire un relais smtp.
Et meme une configuration minimal pour que cela focntionne !!!

merci d'avance









[/i]

[Franck78]

Commences par lire les READMEs de postfix, puis les explications de chaque param.
Tu aboutiras rapidement à VIRTUAL, CANONICAL, ALIASES. La solutions est la dedans !


Google aussi est bon pour les questions à large spectre !

[voodoo.child]

Sur le site http://www.postfix.org

Code: Tout sélectionner

Running Postfix behind a firewall

The simplest way to set up Postfix on a host behind a firewalled network is to send all mail to a gateway host, and to let that mail host take care of internal and external forwarding. Examples of that are shown in the local area network section above. A more sophisticated approach is to send only external mail to the gateway host, and to send intranet mail directly. That's what Wietse does at work.

Note: this example requires Postfix version 2.0 and later. To find out what Postfix version you have, execute the command "postconf mail_version".

The following example presents additional configuration. You need to combine this with basic configuration information as discussed the first half of this document.

1 /etc/postfix/main.cf:
2     transport_maps = hash:/etc/postfix/transport
3     relayhost =
4     # Optional for a machine that isn't "always on"
5     #fallback_relay = [gateway.example.com]
6
7 /etc/postfix/transport:
8     # Internal delivery.
9     example.com      :
10     .example.com     :
11     # External delivery.
12     *                smtp:[gateway.example.com]

Translation:

    *

      Lines 2, 7-12: Request that intranet mail is delivered directly, and that external mail is given to a gateway. Obviously, this example assumes that the organization uses DNS MX records internally. The [] forces Postfix to do no MX lookup.
    *

      Line 3: IMPORTANT: do not specify a relayhost in main.cf.
    *

      Line 5: This prevents mail from being stuck in the queue when the machine is turned off. Postfix tries to deliver mail directly, and gives undeliverable mail to a gateway.

Specify dbm instead of hash if your system uses dbm files instead of db. To find out what lookup tables Postfix supports, use the command "postconf -m".

Execute the command "postmap /etc/postfix/transport" whenever you edit the transport table.

[Franck78]

J'ai fais la supposition suivante:
Postfix doit au passage changer le domaine

domain.fr vers domain.org


Est-ce exact ? La soltuion transport ne fait pas cette manip.
Par contre elle peut peut etre aider à trouver le exchange en sortie de MTA !

[voodoo.child]

Tu as raison Franck78, transport ne change pas les domaines
Il faut utiliser canonical et virtual.
Je n'avais pas vu qu'il y avait deux domaines distincts.

[led0b10]

Ok merci pour le serveur postfix
c donc bien ce que j'avais fait (du moins a peu pres !)
ca fonctionne qd j'envoie dessus directement de l'intérieur
donc je pense que le prog vient du firewall
j'ai pourtant configurer une route statique
static (outside,dmz) b.b.b.b a.a.a.a netmask 255.255.255.255 0 0
Je comprend je sniffe la dmz en envoyant des mails de l'extérieur et quedalle !!!
ya t'il autre chose a configurer sur le firewall ???

[Franck78]

ca marche quand l'emetteur est dans la DMZ avec postfix.

ca marche plus quand l'emetteur est ailleurs.

C'est ca ?

Dans postfix, il y a une varible qui lui dit quels réseaux il peut
trusté (faire confiance). Tu dois déjà avoir celui de la DMZ, ajoute l'autre.


Si tu penses que c'est le FW, tu prends ton serveur en telnet !

Tu seras fixé immédiatement..

telnet serveur smtp
>EHLO
blah blah...

[led0b10]

Non cette fois j'en suis sur c le FW
j'ai sniffé entre le firewall et le routeur le mail arrive bien
j'ai sniffé la dmz quedalle ...
Donc y a t'il qqchose de particulier a configuré sur le firewall ???

hormis la ligne static ....

[Outak]

T as pas de messages d'erreur sur le pix ?

As tu les bonnes ACL ?

access-list in_outside permit tcp any host a.a.a.a eq 25

[led0b10]

Yep celle si je l'ai ...
Je comprend vraiment pas ...
Merci qd meme !

[Outak]

Je pense qu'il faut que tu essait de te connecter depuis l'extérieur vers ton serveur mail en port 25

genre telnet a.a.a.a 25

et tu regarde les logs du pix

avec (si tu as la version 6.3) sh log | grep a.a.a.a

[Outak]

a non je pense avoir trouve

tu as un
static (outside,dmz) b.b.b.b a.a.a.a netmask 255.255.255.255 0 0

et si tu veux faire une translation d'adresse entre celle de la DMZ et l'adresse internet

c'est

static (dmz,outside) <adresse@net> <adresse@dmz> netmask 255.255.255.255 0 0

[led0b10]

oui je récapitule ce que j'ai sur le firewall :



J'ai un firewall du type PIX515E
J'ai 2 adresse ip public a.a.a.a1 et a.a.a.a2
J'ai une DMZ en b.c.c.c
J'ai un réseau local en b.b.b.b

L'interface externe du firewall est a.a.a.a1
L'enregistrement MX de mon domaine point sur a.a.a.a2
Sur le réseau local j'ai un serveur Exchange en b.b.b.b1
Sur la DMZ un serveur postfix configurer en relais en b.c.c.c1

Le relais fonctionne pour envoyer les messages mais la réception ne fonctionne pas.

La personne qui m'a installé le firewall a installer les regles static suivantes
static (dmz,outside) a.a.a.a2 b.c.c.c1 netmask 255.255.255.255 0 0
static (inside,dmz) b.b.b.b1 b.b.b.b1 netmask 255.255.255.255 0 0

et acl:
access-list acl_out permit tcp host a.a.a.a2 eq smtp

J'ai donc pratiqué plusieurs tests

J'ai sniffé la dmz et envoyer un mail de l'extérieur vers un adresse de mon domaine
---------> Rien le mail n'est jamais arrivé

J'ai sniffé entre le routeur de mon FAI et le FIREWALL
-------> Le mail arrive bien à l'adresse a.a.a.a2

J'ai rajouté une regle
static(outside,dmz) b.c.c.c1 a.a.a.a2 netmask 255.255.255.255 0 0


Mais toujours rien !!
Rien ne rentre dans la dmz directement en arrivant de l'extérieur

Je regarde les log du firewall en fesant telnet a.a.a.a2 25
J'obtiens
%PIX-4-106023: Deny icmp src outside:"@d'ouvientletelnet" dst DMZ:a.a.a.a2 (type 8, code 0) by access-group "acl_out"


Je comprend pas j'ai l'impression qu'il est jeté donc que a.a.a.a2 en adresse de destination n'est pas transcrit en b.c.c.c1 !!!

Y a t'il d'autre test que je pourrai implémenter ?

[Outak]

Le message d'erreur que tu me donne ne correspond pas a une erreur avec un telnet mais un ping(icmp).

Vérifie dans la conf du pix qu'il n'y ai pas de regles qui interdi le traffic entrant au dessus de ton acl.

Le pix li le fichier ligne apres ligne il applique la premiere acl trouve pour la requette.

Donc verifie bien les restrictions que tu appliques avant ton acl :

access-list acl_out permit tcp host a.a.a.a2 eq smtp


sinon :

- tu peux enleve la static que tu a rajoute ca ne sert pas.
- fais show xlate et la ou il y a l'adresse b.c.c.c1 tu fais un clear xlate de la ligne
- ajoutes si c'est pas fais une route par default vers le pix sur la machine en dmz.
- apres un nofixup SMTP (le pix analyse les trame smtp si pas compatible a la RFC il élimine la connexion)

apres tu peut utilise la commande debug packet pour voir ou s'arrete le mail.

debug packet <interface internet du pix> dst<@du srv mail sur internet(a.a.a.a.2)>
ou
debug packet <interface DMZ du pix> src <@du pix dans la dmz> dst <@du srv mail dans la dmz>

dit moi si ca marche.

[led0b10]

Je suis vraiment DSL mais le pb en fait ne venait po du tout de chez moi !!!
Le routeur d'oléane avait des filtre sur l'adresse du serveur mail !!!
Enfin tout ca m'a au moi permis de bien comprendre tout cee petit fonctionnement !!

du coup je reviens plus présicement sur postfix

je voudrais avoir confirmation sur ma config :

main.cf
Myhostname: nomserveur.domaine.org
Mydomain :domaine.org
Myorigin : domaine.com
Mydestination :
Relay_domains=domaine.com
Relayhost=smtp.FAI.com


transport
domaine.com smtp : @serveurinterne
* smtp : smtp.FAI.com

ptit rapel le serveur postfix est dans la dmz et ne fait que transport de mail (pas de boite)
mon domaine interne w2000 est domaine.org mais j'ai configuré exchange pour qu'il utilise les adresse du type user@domaine.com

je voudrais savoir si ma config est adaptée à mon besoin c'est à dire :

1/transmettre le courrier venant de l'extérieur vers eurofours.com vers mon serveur interne
2/rejeter le courrier venant de l'extérieur qui n'est pas à destination d'eurofours.com
3/transmettre le courrier venant de l'intérieur au serveur smtp de mon FAI

je crois par contre qu'il est écris plus haut dans qu'il faut mettre à vide la ligne relayhost

Merci d'avance