Postfix et SASL sur une debian Sarge

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

Postfix et SASL sur une debian Sarge

Messagepar Kane » 08 Juin 2006 07:09

Salut,

j'ai, je pense, un petit problème avec l'authentification SASL de mon postfix.
Des recherches sur google ne me donnent pas grand chose car soit les différents how-to n'utilisent pas la meme méthode, soit ca leur fait comme moi (ce qui m'étonne).

En gros : j'utilise le demon saslauthd avec mechanism plain, qui semble bien fonctionné vu que ca me donne comme ce site en telnet (a partir de l'exterieur) : http://workaround.org/articles/ispmail-sarge/#test

Mon problème est que je trouve bizarre que de l'extérieur je puisse en telnet envoyer un mail sans avoir besoin de m'authentifier. En fait je n'ai pas besoin de faire un "auth plain ......" pour attaquer un mail from:...

Exemple :

Code: Tout sélectionner
220 host.domain.tld ESMTP Postfix (Debian/GNU)
ehlo host
250-hostname
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME
mail from:toto
250 Ok
rcpt to:compte unix existant
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
test grrr
.
250 Ok: queued as 67D4471C5B


voilà. si vous avez une idée ou si vous pouvez me dire que c'est le fonctionnement normal.

Mon but est d'empecher d'envoyer des mails en telnet à mes utilisateurs existants sans s'etre authentifier avant.

Notez que je n'ai pas de pb d'open relay, exemple :

Code: Tout sélectionner
220 host.domain.tld ESMTP Postfix (Debian/GNU)
ehlo host
250-hostname
250-PIPELINING
250-SIZE 10240000
250-VRFY
250-ETRN
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250 8BITMIME
mail from:toto
250 Ok
rcpt to:toto@titi.com
554 <toto@titi.com>: Relay access denied


Merci de votre aide
Kane
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Avr 2005 10:31

Messagepar jdh » 08 Juin 2006 07:42

Le site workaround.org est super intéressant car il donne une méthode pratique de mise en place très complète.

Quand il décrit l'utilisation de telnet c'est en "local" et à titre de test. Il est bien clair que de l'extérieur il ne faut pas utiliser telnet !

La ligne importante est "smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination" qui fait que, est accepté le réseau local et ceux qui sont autentifiés par SASL, et sont rejetés les autres.

L'explication importante est au début du Step 7.


Cependant, je ne suis pas fan de cette méthode, je préfère de loin mettre en place un webmail (en https) pour les utilisateurs à l'extérieur.

J'ajoute que ce que tu décris n'est pas conforme au howto, notamment AUTH LOGIN PLAIN contre AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5, mais surtout il te manque STARTTLS !. En ce qui me concerne, je modifie la ligne smtpd_banner (de main.cf) pour ne pas faire apparaitre Debian !

Il s'agit d'un howto : cela décrit une méthode, mais tu peux y mettre ton grain de sel. C'est même ce qu'il faut faire : cela doit inspirer et non être suivi aveuglément. D'ailleurs un minimum de réflexion t'ammenerais à constater qu'il n'y a aucune mention de règles de filtrage et par exemple le port SMTPS : 465/tcp ni POP3S 995/tcp ou IMAPS 993/tcp ...

Exemple de site intéressant : http://www.tbs-certificats.com/ssl/email.html
Dernière édition par jdh le 08 Juin 2006 08:00, édité 2 fois au total.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Kane » 08 Juin 2006 07:52

bah je fais le test en telnet depuis l'extérieur justement pour pouvoir l'empecher.
Des que j'aurais reussi, je m'attaque au TLS puis au webmail.

Sinon j'ai bien mis les "smtpd_recipient_restrictions", c'est justment pour ca que ca m'étonne, car que ca marche en local c'est normal mais de l'exterieur ca l'est moins je pense.

je viens de voir un autre site ou ca a l'air de reagir pareil (toujours test en local), je suis trop parano ?
http://ben.reynerie.org/services/mail/serveur_mail.htm
Kane
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Avr 2005 10:31

Messagepar jdh » 08 Juin 2006 08:07

Bien sur, un howto quelque soit sa qualité n'est qu'une source d'inspiration et il est important de "croiser" les infos. Le site que tu donnes est en effet assez intéressant et doit inspirer au même titre que workaround mais aussi le site de postfix.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar Kane » 08 Juin 2006 08:11

ma liste de sites sur postfix commence à serieusement remplir mes favoris lol, et le pb c'est qu'aucun ne me donne le meme resultat mouarf.

enfin si quelqu'un a une quelconque info, je suis preneur :wink:

Le site sur postfix est sympa mais ca reste de la theorie et assez flou quand on ne domine pas trop le sujet (j'ai meme acheter le livre lol). Bref je vais ptet tenter ma chance avec un db sasl, vu que ca donne le resultat que je cherche partout ou ils utilisent cette methode.

Merci jdh en tout cas :)
Kane
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 203
Inscrit le: 28 Avr 2005 10:31


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron