[ URGENT ] Postfix Relay Access Denied !

[OMNIDIM]

Bonjour,

J'ai bien cherché sur le forum et je n'ai pas trouvé la réponse solution a mon probleme !

Serveur : PostFix
Relevé des mail en IMAP

J'ai un user distant avec ip dynamique il ne peu pas envoyé de message depuis le poste erreur : 554 Relay Access Denied.

Pourtant j'ai bien activé l'authentification !
Faut t-il ajouté l'utilisateur dans un groupe particulier ? A t-il le droit d'envoyé ?
Je précise que sur les poste locaux ca marche g mi : mynetworks = 192.168.0.0/16 10.0.0.0/8 localhost dans le main.cf !!!!

Merci d'avance de votre aide ...!!!

[Breizh-Tux]

salut : )

Si tu définis mynetworks = 192.168.0.0/16 10.0.0.0/8 localhost ,
seuls les clients de ton sous-réseau 192.168.0.0/16 et 10.0.0.0/8 pourront se connecter et envoyer des mails depuis ton serveur.Si tu souhaites que ton ami utilise ton serveur depuis une ip dynamique je te propose deux solutions :

1-/ Autoriser son domaine (en fait son FAI) à utiliser ton servuer de mail, mais je précise que ce n'est pas SECURE du tout :(
2-/ Ecrire un script qui récupère son ip automatique et l'inscrit dans un fihcier à la fin par exemple (perl est excellent pour cette manip) et tu remplace mynetworks = xx.xx.xx.xx/xx par /chemin/absolu/vers/fichier/addr_ip.

J'espère t'aider avec ces conseils, mm si le 1-/ n'est pas PROPRE ...

Cordialement,

bzh-tux : )

[OMNIDIM]

Il n'est pas possible de le faire directement avec une authentification ?

Cela me simplifirais la vie et serais plus cohérent avec l'utilisation de notre serveur de mail !

Sinon ca ne sera pas facil de faire qq ch de bien.

Les clients de messagerie propose t-il qq ch a ce sujet ?

[Breizh-Tux]

Re :

au risque de poster une betise : as-tu essayé si tu mets dans mynetworks = * pour tous les postes de partout sur le net ? Si tu as un service d'auth derriere le pb devrait etre réglé, non ?

Cordialement ,

bzh-tux : )

[OMNIDIM]

Le probleme c que je ne c pas si g ou pas se service ou du moins si il é obligatoire pour les clients
Et tant que je ne suis pas sur de ca je n'ouvre pas mon serveur de peur d'etre infecté par des milliers de spams !

Je ne trouve pas grand chose a se sujet ...

A voir !

[Breizh-Tux]

RE:Re:re:re:re: bon stop : )

si tu as créé un user pour des tests ou bien si tu peux le faire , je veux bien t'aider à tester ton serveur, je te donnerais mon ip pour que tu puissent la rentrer ou mm indique une wildcard (*) dans mynetworks.
Tu peux me contacter par MP si tu le souhaites ...

Cordialement ,

bzh-tux : )

[bebertjack]

bonjour,

Attention à l'ouverture de ton serveur de mail à tout Intenet et pas seulement pour le spam.
En effet il existe des liste noire de serveur en open relay (c est a dire pas de domaine de relayage défini) et ces listes sont diffusé (gratuitement ou non). Donc si un correspondant de tes utilisateurs à un administrateur restritif et abonné à ces listes tes users auront du mal à envoyé leurs mails.
Le black listage peut etre tres rapide car les automates des listes scan sans interruptions tous les serveurs mails du monde (j'exagere peut etre:) ).

De plus une fois black listé il peut se passer plusieurs jours avant de revenir à une situation normale.

[ubizn]

OMNIDIM, l'authentification sous postfix pour des utilisateurs itinérabnts marche bien mais ça mise en place n'est pas triviale.

1. Sur une debian, voici un extrait de mon /etc/postfix/main.conf :
smtpd_sasl_security_options = noanonymous
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, check_relay_domains

2. Ajouter le fichier /etc/postfix/sasl/smtpd.conf :
pwcheck_method: pam
mech_list: plain login

3. Ajouter le fichier /etc/pam.d/smtp
auth required pam_unix_auth.so
account required pam_unix_acct.so
password required pam_unix_passwd.so
session required pam_unix_session.so

Ces modifications permet à postfix d'utiliser pam comme module d'authentification. Tes users doivent être déclarés dans /etc/passwd

Il existe pas mal de chose sur internet pour une telle configuration....

A+

[thinou]

Bonjour,

J'ai bien cherché sur le forum et je n'ai pas trouvé la réponse solution a mon probleme !

Serveur : PostFix
Relevé des mail en IMAP

J'ai un user distant avec ip dynamique il ne peu pas envoyé de message depuis le poste erreur : 554 Relay Access Denied.

Pourtant j'ai bien activé l'authentification !
Faut t-il ajouté l'utilisateur dans un groupe particulier ? A t-il le droit d'envoyé ?
Je précise que sur les poste locaux ca marche g mi : mynetworks = 192.168.0.0/16 10.0.0.0/8 localhost dans le main.cf !!!!

Merci d'avance de votre aide ...!!!

dans ces cas la le plus simple pour toi serait qu il se connecte en webmail (squirrelmail par exemple....)
et finit les pbs.

[OMNIDIM]

Ubizn je test ta solution IMMEDIATEMENT !

et thinou le truc d'utilisé Squirre est deja fait mais il faut outlook pour les clients c une des conditions.

En suite je suis parfaitement conscient et au courant des black list et c pour ca que mon serveur est fermé et testé non ouvert par ordb !

Voila je test et je tient au courant !

[OMNIDIM]

Ubizn,
SASL n'est ce pas une librairie ?

j'ai fait ce que tu m'a dis et ca ne marche po
les mails ne parte tjs pas ?
etce normal ?
Dois-je mettre l'etoile dans les réseau ?

Help ME !!!!

[ubizn]

Ne surtout pas mettre d'étoile !!!

Si cela peut te donner espoir cette solution marche sur un serveur debian(woody) depuis plus d'un an.

Mais comme cela fait donc plus d'un an que j'en ai fait l'intall, la mémoire fait défaut.

Un point important, pour avoir la fonctionnalité auth avec postfix il faut installer le paquet postfix-tls.

Côté sasl, de mémoire il te faut libsasl* et sasl-bin

Pour être certain qu'auth est disponible fais :

<telnet localhost 25
>Trying 127.0.0.1...
>Connected to localhost.
>Escape character is '^]'.
>220 ta.machine.tld ESMTP
<EHLO nimportequoi
>250-ta.machine.tld
>250-PIPELINING
>250-SIZE 21000000
>250-ETRN
>250-AUTH GSSAPI DIGEST-MD5 LOGIN PLAIN CRAM-MD5
>250-AUTH=GSSAPI DIGEST-MD5 LOGIN PLAIN CRAM-MD5
>250-XVERP
>250 8BITMIME

Si tu vois la ligne 250-AUTH tu es sur la bonne piste... Tant que tu ne vois pas ça, passes en revue les paquets installés (postfix-tls libsasl* sasl-bin).

[OMNIDIM]

Alors j'ai mit Pop-Before-Smtp
j'ai eu pas mal de dificultés et je me demande mainteant si c fiable ?
Avé vous des retour d'experience ?

Il me semble qu'il a planté tout a l'heure .... g du redemaré postfix qui ne gerais plus le fichier de p-b-smtp ...

Voila !

[SNORK]

Je ne peux pas m'empêcher d'intervenir, j'espère avoir compris le pb.
Il est annoncé un Pb IMAP et l'erreur provient du SMTP.

Pour résumé la bonne attitude : NE PAS AUTORISER LE SMTP s'il le client ne peut être identifié ... là, si l'on est obligé, la solution est "POP before SMTP" (messages précédents), c'est une très bonne solution
attention, un client comme Outlook fait envoie puis réception, il y a donc chaque fois un coup pour rien puisque le RELAY SMTP est ouvert après accès POP pendant une courte période

Mais le plus souvent, le SMTP du FAI ou le local fait l'affaire

pour regler la question de savoir ce que POSTFIX accepte en Relay est dans
/etc/postfix/main.cf


Pour le IMAP ou le POP, par contre il y a tjrs identification.

[OMNIDIM]

LE probleme avec pop-before-smtp
c'est que a chq fois qu'un client se logue en IMAP il met l'adresse dans la base de popbsmtp meme si celle ci y est deja.
G modifié le script pour qu'il mette juste un espace a la fin de l'adresse et donc le fichier deviens tres long .... Postfix ne prends plus les adresse apres.
De plus g pas pu mettre comme dans la doc dans le Main.cf mais g du mettre mynetworks = /chemin/popbsmtp ....

Normal ?

AIDER MOI !!!!!

Merci !