Jump to content

[RESOLU] Debian Etch 4.0 - Postfix avec Auth SASL


Recommended Posts

Salut,

J'ai trouvé un tuto pour configuer Postfix sur ma Debian Etch 4.0. À priori, il semble super et ça fonctionne pour l'authentification avec SASL !!! Mais le mode sans authentification fonctionne aussi ... donc ce n'est pas super sécuritaire.

En suivant la démarche :

http://www.howtoforge.com/perfect_setup_debian_etch_p5

Je peux me connecter avec un client Outlook pour envoyer des messages en utilisant une authentification par mot de passe. J'ai testé en utilisant un mot de passe invalide et le serveur me refuse, donc ça marche ! Par contre, si je configure mon client Outlook sans authentification pour envoyer ça passe quand même...

Sur le serveur, j'ai uniquement 127.0.0.0/8 dans mynetworks.

-------------------------

Ma configuration est identique à celle du tutoriel ci-dessus, sauf pour le nom de courrier.

J'aurais besoin d'un coup de main.

Link to comment
Share on other sites

Salut,

*** c'est pour faire un serveur de courrier SMTP sur Internet (pas dépendant du FAI). ***

En re-faisant quelques tests je crois avoir trouver la plupart des réponses... sauf une !

Pour pouvoir relayer les messages vers un autre domaine, il faut que la machine client fasse partie d'un réseau de "mynetworks" ... et si je ne fais pas cela automatiquement je deviens un "Open Relay"... ce que je ne veux surtout pas faire.

Je cherche la possibilité pour mes clients de pouvoir envoyer des messages via mon serveur Postfix depuis n'importe où... sans pour autant devenir un "open relay". Et je peux y parvenir avec 2 choses à configuer:

1- Permettre à Postfix de répondre sur un port TCP alternatif. Ex.: 1025 (comme Yahoo! le fait pour empêcher les FAI de le bloquer).

2- Permettre uniquement aux clients authentifiés d'envoyer vers un domaine externe (faire le relais) s'ils se trouvent sur un réseau non valide (ne faisant pas parti de mynetworks). Il faut quand même que je laisse la possibilité aux utilisateurs locaux ne pas s'authentifier. Donc d'une certaine façon on pourrait dire "Relais pour usagers authentifié provenant de n'importe quel source uniquement" + "Relais pour usagers non-authentifiés faisant parti de mynetworks".

Si je reprends ma configuration actuelle de Postfix (main.cf):

NOTE: Le serveur aura l'adresse IP fictive valide sur Internet: 64.64.64.65

# Portion globale
soft_bounce = no
smtpd_banner = $myhostname ESMTP $mail_name ($mail_version)
biff = no
append_dot_mydomain = no
myhostname = mail.mondomaine.com
myorigin = mondomaine.com
mydestination = mondomaine.com, mail.mondomaine.com
relayhost =
mynetworks = 127.0.0.0/8  64.64.64.64 #Où 64.64.64.64 est une adresse fictive représentant la NAT de mon réseau local
mailbox_command = procmail -a "$EXTENSION"
inet_interfaces = all
inet_protocols = ipv4

#Portion pour l'authentification
broken_sasl_auth_clients = yes # Support Outlook Express
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous

Voilà, cette configuration actuelle permet la connexion avec ou sans authentification d'une machine sur mon réseau local pour l'envoi de message vers mon domaine et en relais vers les autres domaines externes.

Il ne reste qu'à trouver comment permettre l'envoi de message en relais si la machine client ne fait pas partie de mynetworks et que l'usager soit authentifié correctement.

du genre:

smtpd_sasl_security_options = allow_relay_for_auth_user

Et comment faire répondre Postfix sur 2 ports à la fois, ex.: 25 et 2525. Cette partie ne devrait pas être trop compliqué (soi une règle de filtrage/redirection ou bien avec INETD.

Link to comment
Share on other sites

J'ai résolu 50% du problème.

Mon serveur Postfix répond maintenant sur le port TCP 25 standard pour le SMTP et sur un port alternatif TCP 10025. Avis aux intéressés, il faut modifier master.cf et simplement ajouter une autre ligne (en dessous de celle qui débute par smtp) avec le service nommé 10025 et le reste avec les même options que smtp.

Il me reste à savoir comment permettre uniquement aux clients authentifiés sur un réseau en dehors de mynetworks de pouvoir envoyer des messages en relais en plus des personnes non-authentifiés qui font parti de mynetworks.

Comme ça je vais être bon pour faire un serveur de courrier totalement indépendant du FAI !

Link to comment
Share on other sites

Salut,

Merci je vais essayer ça !

Mais je crois avoir trouvé comment faire. Je vais placer cette config dans le master.cf à la place. Car en écrivant les infos dans le main.cf ça s'applique à mes 2 ports smtpd (25 et 10025). Lorsque je le fais dans le master.cf c'est port par port.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...