Postfix et SASL sur une debian Sarge

par **Kane** » 08 Juin 2006 07:09

Salut,

j'ai, je pense, un petit problème avec l'authentification SASL de mon postfix.
Des recherches sur google ne me donnent pas grand chose car soit les différents how-to n'utilisent pas la meme méthode, soit ca leur fait comme moi (ce qui m'étonne).

En gros : j'utilise le demon saslauthd avec mechanism plain, qui semble bien fonctionné vu que ca me donne comme ce site en telnet (a partir de l'exterieur) : http://workaround.org/articles/ispmail-sarge/#test

Mon problème est que je trouve bizarre que de l'extérieur je puisse en telnet envoyer un mail sans avoir besoin de m'authentifier. En fait je n'ai pas besoin de faire un "auth plain ......" pour attaquer un mail from:...

Exemple :

Code: Tout sélectionner: 220 host.domain.tld ESMTP Postfix (Debian/GNU) ehlo host 250-hostname 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH LOGIN PLAIN 250-AUTH=LOGIN PLAIN 250 8BITMIME mail from:toto 250 Ok rcpt to:compte unix existant 250 Ok data 354 End data with <CR><LF>.<CR><LF> test grrr . 250 Ok: queued as 67D4471C5B

voilà. si vous avez une idée ou si vous pouvez me dire que c'est le fonctionnement normal.

Mon but est d'empecher d'envoyer des mails en telnet à mes utilisateurs existants sans s'etre authentifier avant.

Notez que je n'ai pas de pb d'open relay, exemple :

Code: Tout sélectionner: 220 host.domain.tld ESMTP Postfix (Debian/GNU) ehlo host 250-hostname 250-PIPELINING 250-SIZE 10240000 250-VRFY 250-ETRN 250-AUTH LOGIN PLAIN 250-AUTH=LOGIN PLAIN 250 8BITMIME mail from:toto 250 Ok rcpt to:toto@titi.com 554 <toto@titi.com>: Relay access denied

Merci de votre aide

par **jdh** » 08 Juin 2006 07:42

Le site workaround.org est super intéressant car il donne une méthode pratique de mise en place très complète.

Quand il décrit l'utilisation de telnet c'est en "local" et à titre de test. Il est bien clair que de l'extérieur il ne faut pas utiliser telnet !

La ligne importante est "smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination" qui fait que, est accepté le réseau local et ceux qui sont autentifiés par SASL, et sont rejetés les autres.

L'explication importante est au début du Step 7.

Cependant, je ne suis pas fan de cette méthode, je préfère de loin mettre en place un webmail (en https) pour les utilisateurs à l'extérieur.

J'ajoute que ce que tu décris n'est pas conforme au howto, notamment AUTH LOGIN PLAIN contre AUTH LOGIN PLAIN DIGEST-MD5 CRAM-MD5, mais surtout il te manque STARTTLS !. En ce qui me concerne, je modifie la ligne smtpd_banner (de main.cf) pour ne pas faire apparaitre Debian !

Il s'agit d'un howto : cela décrit une méthode, mais tu peux y mettre ton grain de sel. C'est même ce qu'il faut faire : cela doit inspirer et non être suivi aveuglément. D'ailleurs un minimum de réflexion t'ammenerais à constater qu'il n'y a aucune mention de règles de filtrage et par exemple le port SMTPS : 465/tcp ni POP3S 995/tcp ou IMAPS 993/tcp ...

Exemple de site intéressant : http://www.tbs-certificats.com/ssl/email.html

par **Kane** » 08 Juin 2006 07:52

bah je fais le test en telnet depuis l'extérieur justement pour pouvoir l'empecher.
Des que j'aurais reussi, je m'attaque au TLS puis au webmail.

Sinon j'ai bien mis les "smtpd_recipient_restrictions", c'est justment pour ca que ca m'étonne, car que ca marche en local c'est normal mais de l'exterieur ca l'est moins je pense.

je viens de voir un autre site ou ca a l'air de reagir pareil (toujours test en local), je suis trop parano ?
http://ben.reynerie.org/services/mail/serveur_mail.htm

par **jdh** » 08 Juin 2006 08:07

Bien sur, un howto quelque soit sa qualité n'est qu'une source d'inspiration et il est important de "croiser" les infos. Le site que tu donnes est en effet assez intéressant et doit inspirer au même titre que workaround mais aussi le site de postfix.

par **Kane** » 08 Juin 2006 08:11

ma liste de sites sur postfix commence à serieusement remplir mes favoris lol, et le pb c'est qu'aucun ne me donne le meme resultat mouarf.

enfin si quelqu'un a une quelconque info, je suis preneur :wink:

Le site sur postfix est sympa mais ca reste de la theorie et assez flou quand on ne domine pas trop le sujet (j'ai meme acheter le livre lol). Bref je vais ptet tenter ma chance avec un db sasl, vu que ca donne le resultat que je cherche partout ou ils utilisent cette methode.

Merci jdh en tout cas

Postfix et SASL sur une debian Sarge

Postfix et SASL sur une debian Sarge

Qui est en ligne ?