Relai+MNF

par **herve06** » 06 Mai 2003 14:33

Bonjour à tous, Depuis nos derniers echanges j'ai réussi à Envoyer des Email à partir de ma DMZ et en recevoir je réussi aussi à recevoir mes emails sur une machine distante ( qui va piocher mes emails sur mon serveur ! ) par contre je souhaite envoyer un email à une machine tier en passant depuis un pc distant par mon serveur postfix... comme on peut le faire avec n'importe quel provider... Est-ce que MNF doit autoriser un port spécifique ( pop3 avant smtp par exemple... ) ou c'est simplement une configuration de Postfix ??? Merci... RV.

par **nemesis** » 06 Mai 2003 14:40

en mettant ds comme serveur de smptp dans ton client de messagerie ton server non? ensuite c'est a lui de se demerder à l'envoyer sur le net (il est là pour ça).... y'avait un hors serie assez complet de linux mag sur le sujet.... sinon la doc de postfix doit expliquer tt ça je pense....

par **antolien** » 06 Mai 2003 14:47

dans le main.cf, il y a une ligne mynetworks = 127.0.0.0/8 192.168.x.x/24 si tu veux faire que ton smtp fonctionne de partout, il faut ajouter 0/0 pour autoriser tout le monde à poster des messages avec ton serveur smtp. MAIS il ne FAUT PAS FAIRE ça sinon ton serveur sera un point de rdv pour les spammeurs car cela le met en open relay. par contre avec une authentification, c'est faisable, mais comment on fait pour mettre une authentification sur postfix ?

par **Jacques-** » 06 Mai 2003 16:08

Ce qui est faisable, si tu ouvres ton serveur SMTP au monde entier, c'est de n'autoriser à poster que vers les machines de ton domaine (mais bon, ça commence toujours comme ça avant les ennuis, mais c'est ainsi que fonctionnent les SMTP des FAI). Ceci te permet d'envoyer des mails de l'extérieur vers l'intérieur de ton LAN. Si tu veux envoyer à l'extérieur, il faut une authentification du style POP before SMTP (jamais fait) ou monter un tunnel qui te permet depuis un port de la MNF de renvoyer (après échange de clefs correctes) les requêtes reçues sur le port bidon (ex: 10025) vers le port 25 de ton postfix. Si tes clefs sont correctes, seuls les utilisateurs autorisés (sous Win$ il faut utiliser stunnel par exemple) et possédant une clef connue par ton serveur tunnel en face pourront utiliser ton serveur SMTP. C'est un peu lourd, mais c'est quand même mieux que de le laisser ouvert à tous. Personnellement, j'hésite à le faire, car le seul avantage quand je ne suis pas sur mon LAN serait de pouvoir envoyer des mails en local, mais comme tout le monde a une adresse publique relevée toutes les 10 mn via fetchmail et distribuée ensuite en local sur le LAN, je n'ai pas l'impression que le jeu vaille la chandelle. C'était nettement plus utile pour le POP où là je relève mes mails depuis n'importe où (ou presque, faut pas avoir un proxy/firewall au boulot pour ça...), mais j'avais pas envie de laisser le port 110 accessible à tout le monde, d'où le tunnel. Jacques

par **herve06** » 06 Mai 2003 16:17

En fait, pour éviter les problèmes c'est que les utilisateurs nomades reçoivent leurs Email par leur soft de messagerie( mon serveur ) et qu'ils écrivent en utilisant wanadoo, free... ou autre dans leurs déplacements... et là le port 110 est celui du FAI et pas le mien !? RV.

par **Jacques-** » 06 Mai 2003 19:06

Ben non, si tes utilisateurs se baladent avec différentes connexions Web (FAI différents), pour poster ils peuvent très bien utiliser le SMTPde leur FAI, cela ne pose aucun problème en général (je le fais sur Wanadoo, tiscali/freesbee, La poste, Belgacom, etc...) sans soucis aucun. En revanche, si leurs boites sont locales à ton serveur (messages du travail, perso, etc...), c'est sur ta machine qu'il faut relever les mails, et là c'est du POP à autoriser en entrée sur ton serveur de mail (avec la règle qui va bien pour autoriser le 110 via la MNF, mais ça tu l'as déjà fait l'autre fois). C'est en fait la solution que j'utilise pour moi, sauf que je ne fait pas du POP en direct mais via un tunnel SSL pour plus de sécurité. Maintenant, si ce sont leurs mails départ (depuis leurs portables par ex.) qui doivent passer par ton serveur SMTP (on peut mettre n'importe quelle entête sur un mail, du moment que le serveur SMTP accepte la connexion (LAN conforme, identificaton correcte (mais c'est rare), etc...) tu en reviens au post précédent en ce cas. Précise mieux tes besoins, au besoin avec un dessin, on réfléchit mieux une fois les choses clairement énoncées... Jacques

par **herve06** » 07 Mai 2003 00:49

Bon, J'ai fais le tour : J'ai trouvé pop-Before-SMTP ( Version 1.33 ) mais il réclame Perl et quand j'essai de l'installer ( perl ) çà plante .... J'ai pas trouvé de dessins mais je vais essayer d'être plus précis : Imaginons un PC portable dont l'adresse est <a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a> ayant un compte sur mon serveur : herve Son compte Email sur le portable est : email : <a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a> pop : toto.ma.cx smtp : toto.ma.cx Il envoi un message à "durand@wanadoo.fr" en utilisant son smtp soit : toto.ma.cx ( qui est le nom domaine sur mon serveur ! ) Le message part du portable, entre dans mon serveur qui le traîte en routant ce même message vers <a href="mailto:durand@wanadoo.fr">durand@wanadoo.fr</a> !! ( çà marche pas pour l'instant ...) Par contre et de suite s'il se connecte qu'il relève ses messages sur <a href="mailto:herve@toto.ma.cx">herve@toto.ma.cx</a> il va chercher ses messages provenant de tiers en attente sur mon serveur et les rapatrie. en fait je veux installer un vrai serveur de Mail !!! . (pour le local et le distant ) Thanks.... RV. <IMG SRC="images/smiles/icon_help.gif">

par **Jacques-** » 07 Mai 2003 08:08

pop-before-smtp te mettra à l'abri un peu, de plus rien ne t'empêche si tu fais du pop d'ajouter le tunnel SSL avant, ce qui fait qu'il faudra posséder la clef pour lancer le serveur POP, et donc être ensuite autorisé à poster avec ton serveur SMTP. Perl est déjà installé sur la MNF (version 5.6.1) chez moi. Ce qui doit te manquer ce sont des modules perl nécessaire pour le pop-before-smtp que tu peux trouver soit sur CPAN (mais il faudra installer gcc pour les compiler), soit sur rpmfind.net sous forme de RPM (mais ce n'est pas sûr de tout trouver à ce forma-là). Pour mettre en place AMAVIS en filtrage antivirus, je me suis pas mal amusé à chercher des modules compatibles, et j'ai fini par mettre gcc sur ma machine. A plus Jacques PS: si tu mets un tunnel systématiquement en place, (un pour le 25, l'autre pour le 110), l'identification devient accessoire. Regarde stunnel aussi, cela peut régler ton problème et apporter plus de sécurité dans les échanges en plus.

par **herve06** » 08 Mai 2003 17:27

Bonjour, J'ai conmencé a regarder Stunnel et le tunnel sur le port 25 et 110. Mais pour l'instant quand la machine distante essaye d'envoyer un message à un tiers la messagerie du serveur refuse de laisser rentrer pour router vers le tiers : Shema : Serveur : toto.ma.cx PC distant (outlook) : <a href="mailto:rv@toto.ma.cx">rv@toto.ma.cx</a> (smtp:toto.ma.cx , pop:toto.ma.cx) tiers : <a href="mailto:durand@wanadoo.fr">durand@wanadoo.fr</a> par contre, si en utilisant <a href="mailto:rv@toto.ma.cx">rv@toto.ma.cx</a> j'envoi un message à <a href="mailto:root@toto.ma.cx">root@toto.ma.cx</a> (compte serveur ) le message rentre dans le serveur... J'ai cherché partout mais je ne pige pas et toutes les docs me parlent de courriers sortant du serveur mais pas de la configuration que j'essai de mettre en place... Ou k'c que çà bloque ?????? <IMG SRC="images/smiles/icon_help.gif">

par **Jacques-** » 08 Mai 2003 21:47

Postfix est sécurisé un minimum par défaut, tes utilisateurs veulent envoyer à l'extérieur du domaine et ton serveur est configuré pur ne livrer les mails que localement. Va voir cette adresse, c'est toute la doc en français et là ce doit être la partie qui t'intéresse : <a href="http://x.guimard.free.fr/postfix/uce.html#relay_domains" target="_blank">http://x.guimard.free.fr/postfix/uce.html#relay_domains</a> Un conseil, fouille bien les sites sur postfix, j'ai lu la doc plusieurs fois pour bien piger comment est architecturé le tout, et où se font les contrôle. Le mail n'est pas un sujet si simple que cela, par contre c'est un bon début pour appréhender pas mal de truc derrière... Jacques

par **herve06** » 08 Mai 2003 22:03

Bonsoir Jacques, En fait les messages sortent bien de l'intérieur vers l'extérieur quelque soit la boite, je peux les relever de n'importe où mais <a href="mailto:rv@toto.ma.cx">rv@toto.ma.cx</a> ne peux entrer dans le serveur pour de suite l'envoyer à un tiers (à l'extérieur). Je vais regarder ta doc, en fait je pense l'avoir déjà lu mais je ne comprends pas comment lui dire de laisser quelqu'un ( qui a un compte sur le serveur ) entrer et renvoyer à l'extérieur immédiatement. je continue.... RV. <IMG SRC="images/smiles/icon_confused.gif">

par **Jacques-** » 09 Mai 2003 10:27

Ce que tu veux faire, c'est autoriser quelqu'un d'inconnu (venant de n'importe quel réseau (d'ou la configuration permit_mynetwork) à envoyer un mail vers n'importe quel serveur (ce qui nécessite de savoir quels sont les domaines que postfix traite localement (mydomain) et vers lesquels on autorise à relayer les autres messages (le lien que je t'ai donné qui traite de cette configuration). Sinon, les mails sont refusés, le plus simple pour le vérifier est de faire cela à la main en telnet sur le port 25, les messages d'erreur sont nettement plus lisible qu'avec la syntaxe étrange de Microsoft. Jacques

par **herve06** » 09 Mai 2003 19:09

Salut, J'arrive de l'extérieur à envoyer un message qui passe par le serveur et il me renvoi le courrier au destinataire final ( ex : <a href="mailto:dupond@wanadoo.fr">dupond@wanadoo.fr</a> ou autre... ) par contre il faut que le nom de domaine wanadoo.fr ou free.fr .... soit renseigné dans la ligne "relay_domain" !!! ce qui veut dire que si le commercial avec son portable envoi un email (passe par le nom de domaine de la société ) à un de ses clients il faut que le nom de domaine du client final soit renseigné !!!! je te laisse imaginer : j'ai quelques grosses structures qui ont plus de 4500 clients, je ne me vois pas faire le boulot à chaque nouveau client de la société juste pour les PC nomades, en plus c'est vraiment loin... y'a t-il un moyen de dire à postfix de relayer tous les messages sans avoir à renseigner cette salo... de ligne. Il est évident qu'il faut sécuriser la connexion pour éviter les spammers, mais je voudrais d'abord effectuer cette opération... Ais-je tout bon !?? Merci. RV. <IMG SRC="images/smiles/icon_bawling.gif">

par **Jacques-** » 10 Mai 2003 20:22

Une question : Ton FAI doit bien offrir un serveur smtp non ? Si c'est le cas, il suffit de mettre une ligne avec relayhost = [smtp.mon.fai] voir la syntaxe si tu mets l'adresse IP en direct, ce qui n'est pas plus mal parfois. De cette façon, tous les mails non destinés à ton domaine (ligne mydomain) seront envoyés vers ton FAI pour acheminement vers internet. Cela devrait régler tes problèmes... Jacques PS: cela n'empêche pas de sécuriser la connexion SMTP vers ton serveur, car sinon tu deviens un relais ouvert, et ça cela te fera griller, ou pire mettre le serveur SMTP de ton FAI en blacklist...

par **herve06** » 10 Mai 2003 20:49

Salut Jacques, Penses-tu que l'installation de Shorewall sur ma DMZ permettrait de réduire les risques !?? En bloquant tous les ports inutilisés par exemple ... RV.

Relai+MNF

Qui est en ligne ?