[RESOLU] Serveur de messagerie Exchange derrière IPCop

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

[RESOLU] Serveur de messagerie Exchange derrière IPCop

Messagepar pkaer » 10 Sep 2004 12:29

Bonjour à tous,


tout d'abord la config :

IPCop 1.4b4 avec plusieurs @IP fixes. L'une xxx.xxx.xxx.93 est attribuée au Firewall, une autre xxx.xxx.xxx.90 est attribuée à un serveur exchange 2003 par le biais des "Alias".

Quand je recois des E-mail, ils arrivent bien sur la xxx.xxx.xxx.90 et sur mon serveur Exchange via le "transfert de port". Par contre quand mon serveur Exchange envoie des E-mail, ils partent avec l'@IP xxx.xxx.xxx.93. C'est à dire celle du Firewall

Résultat, quand je veux indiquer un "hote actif" (Smart host) dans Exchange pour router mes mails "sortants" via un relais antivirus d'oléane, je me tape l'erreur suivante :

Vous n'êtes pas autorisé à envoyer de message à ce destinataire. Pour obtenir une assistance, contactez votre administrateur système.
<exchsrv.zzzzz.fr #5.7.1 smtp;550 5.7.1 <pkaer@nnnnnn.fr>... Relaying denied. IP name lookup failed [xxx.xxx.xxx.93]>


La question pour essayer de résoudre mon problème est de savoir comment faire pour que les mails sortent avec la bonne @IP, à savoir xxx.xxx.xxx.90 ?

Merci d'avance
PK
Dernière édition par pkaer le 10 Sep 2004 15:28, édité 1 fois au total.
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar Franck78 » 10 Sep 2004 12:46

C'est le nat qui te joue un tour...

Autant on peut changer n'importe quelle IP entrante vers une seule autant l'inverse n'est pas simple.

Quand ipcop recoit un paquet de ton serveur mail, il le dénatte avec l'adresse IP réelle. Pas l'alias.

Solution ?
Surement en cherchant bien. Antolien a eu un problème un peu similaire récemment.

De tête en tous cas je n'ai vu aucune ligne iptables traitant ce cas. Ca mérite même un bug sur SF ça !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 10 Sep 2004 12:57

@Franck78,

Oui je pense aussi (pour le bug).

A l'origine, le problème vient d'Oléane qui nous a fourni une @IP "Blkacklistée". Pour résoudre le problème, leur seule solution (ils ne veulent pas payer pour enlever l'adresse de la "Blars Block List") est de forcer le passage des mails par leur relais Antivirus pour que ces derniers soient présentés avec l'@IP d'Oléane et non la notre.

En conclusion, heureusement (si je trouve une solution) que nous avons ce relais Antivirus chez eux, car sinon c'était foutu.

Je vais chercher du coté d'Antolien

Merci

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar Franck78 » 10 Sep 2004 13:08

On croit réver: Oléane c'est pas une boite dite "sérieuse" ? Et ils fournissent des IP blacklistées (bon ca arrive). Mais qu'ils ne fassent rien pour la blanchir ?? :evil:
(elle n'est pas blacklistée par ta faute, d'après ton message).


Je sais pas si tu trouveras la réponse exacte chez Antolien, en gros des paquets "marqués" sont traités différement. Sur sa debian sauf erreur.

Dans ton cas c'est les paquets (sourceip:ton-smtp dport:25) à "masquerader" avec l'alias.


Tu peux aussi inverser l'adresse réelle et l'alias.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 10 Sep 2004 13:20

PUB pour Oléane

@franck78,

C'est même pire que cela, l'adresse "blacklistée" est la xxx.xxx.xxx.57 alors que mon pool @IP est de xxx.xxx.xxx.88 à xxx.xxx.xxx.95.

Le soucis c'est que le fameux Blars (si tu veux voir sa tronche , cela vaut le jus http://www.blars.org/blars.html ) "blackliste" toute la plage IP de de 1 à 255 (xxx.xxx.xxx.*)

Donc mes adresses ne sont pas blacklistées, mais par malchance, je suis sur le mauvais segment IP :marre:

@+
PK

PS : je rigole, mais ça commence à me prendre la tête ce truc
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar Franck78 » 10 Sep 2004 13:53

On tout cas il n'y va pas avec le dos de la cuillère le gars. J'ai pas tout pigé a son système de notation mais le résultat est là. Plage IP par plage IP.
C'est sa politique de délistage qui est singulière. Payer moi pour que je voie si vraiment c'est une erreur.

A mon avis, il faut innonder son 'detecteur' et quand il aura blacklisté tout l'internet, ben plus personne l'utilisera !
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 10 Sep 2004 14:36

@franck78,

que veux tu dire par inverser l'adresse réelle et l'Alias ?

Merci
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar jdh » 10 Sep 2004 14:37

2 questions :

- arrivée en xx.xx.xx.90 et sortie en xxx.xxx.xxx.32 :
une regle iptables en postrouting spécifique et basé sur ip source devrait faire l'affaire. (AVANT la traditionnelle -j MASQ)

- blacklistage :
Certains firewalls ou serveurs de mails n'acceptent pas (ou plus) qu'on puissent envoyer des mails d'un domaine source (sens DNS) autrement qu'à partir du MX et donc de l'@ip du MX.
A juste-titre, beaucoup de serveurs mails refusent des ranges ip entières et par exemple celle fournit par des FAI à leur client.
Tout cela menera à "SENDER-ID". Et c'est normal : halte aux spams et aux mails forgés.
Mais bien sur, j'attends autre chose que SENDER-ID du fait de la licence Microsoft.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pkaer » 10 Sep 2004 14:59

@jdh,

Merci de ta réponse,

arrivée en xx.xx.xx.90 et sortie en xxx.xxx.xxx.32

Je pense que tu as voulu dire xxx.xxx.xxx.93

une regle iptables en postrouting spécifique et basé sur ip source devrait faire l'affaire. (AVANT la traditionnelle -j MASQ)

Là, j'avoue que cela dépasse mes modestes connaissances sur Iptables, Pourrais-tu illustrer par l'exemple ?

Merci
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar pkaer » 10 Sep 2004 15:28

@tous,

Le problème a trouvé un "Bypass" par l'acceptation d'Oléane de ralayer les E-mails sortants sur une @IP (xxx.xxx.xxx.93) différente de celle connue au niveau du champ MX (xxx.xxx.xxx.90).

En attendant d'avoir une solution sur IPcop, cette solution permettra peut-être à d'autres de se sortir d'affaire.

Merci
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar jdh » 10 Sep 2004 15:37

Avec la commande "iptables -vn -L -t nat" , tu peux vérifier la chaine "POSTROUTING"

(Pour un réseau green 192.168.1.0/24, serveur en .55)

Traditionnellement on trouve un instruction genre :

iptables -A POSTROUTING -s 192.168.1.0/255.255.255.0 -j MASQUERADE

Cela revient à dire que les @ip source dans le green vont être translaté (MASQUERADE) sous entendu avec l'adresse ip externe du firewall.


L'idée est d'utiliser la cible (-j) SNAT avec l'option ''--to-source"

iptables -A POSTROUTING -s 192.168.1.55/255.255.255.255 -j SNAT --to-source xxx.xxx.xxx.93

Bien sur placé AVANT la ligne MASQUERADE puisque elle doit être utilisé par le serveur (.55) et non l'autre.


Je ne connais pas bien IPCOP et le script de firewalling. Je ne puis t'aider plus.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar pkaer » 10 Sep 2004 16:22

@jdh,

Merci de ta réponse

Je vais la tester dès que possible. Le problème est maintenant de demander à Oléane d'enlever le relais qu'ils ont mis sur l'adresse IP du Firewall. Ce sont rarement les mêmes interlocuteurs et j'ai peur qu'une nouvelle intervention fasse plus de dégats qu'autre chose.

En tous les cas cela me reservira d'ici la fin octobre car je vais avoir la m^me problématique sur un autre site

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh

Messagepar Franck78 » 10 Sep 2004 17:22

pkaer a écrit:@franck78,

que veux tu dire par inverser l'adresse réelle et l'Alias ?

Merci
PK


Tu places l'adresse IP rouge xx.90
Tu met en alias xx.93
Ca change presque rien sauf le masquerade qui prendra l'IP qui convient pour le SMTP.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar pkaer » 10 Sep 2004 19:21

@Franck78,

Mais c'est bien sur !!! Il suffisait d'y penser

Merci car ta soluce a le mérite d'être simple à mettre en oeuvre.

@+
PK
Avatar de l’utilisateur
pkaer
Vice-Amiral
Vice-Amiral
 
Messages: 624
Inscrit le: 28 Avr 2003 00:00
Localisation: Rennes - Bzh


Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité