Re: Probleme Postfix + SASL depuis l'exterieur
Cyrille Blanpain a écrit :
> Bonjour
>
Bonsoir,
> Telnet en interne:
>
[...]
> 250-AUTH LOGIN PLAIN DIGEST-MD5
> 250-AUTH=LOGIN PLAIN DIGEST-MD5
>
Attention, l'authentification DIGEST-MD5 n'est prise en compte que par
le service auxprop, pas par saslauthd ni authdaemond. Voir plus loin.
> Si je met un HELO voici le résultat:
>
> cblanpain@kilauea:~ $ telnet monserveur.cerege.fr 25
> Trying xx.xx.xx.x...
> Connected to monserveur.cerege.fr.
> Escape character is '^]'.
> 220 **********************
> helo kilauea
> 250 monserveur.cerege.fr
>
Tu peux aussi restreindre le helo à des machines fqdn. C'est mieux pour
éviter les spams...
Voici le contenu de la section de mon main.cf à adapter à ta situation
(ne pas utiliser tel quel sans savoir!):
smtpd_recipient_restrictions =
reject_invalid_hostname,
reject_non_fqdn_hostname,
reject_non_fqdn_sender,
reject_non_fqdn_recipient,
reject_unknown_sender_domain,
reject_unknown_recipient_domain,
permit_mynetworks,
reject_unauth_destination,
check_client_access hash:/etc/postfix/client_checks,
reject_rbl_client relays.ordb.org,
reject_rbl_client list.dsbl.org,
reject_rbl_client sbl.spamhaus.org,
reject_rbl_client cbl.abuseat.org,
reject_rbl_client dnsbl.sorbs.net,
permit
> depuis l'extérieur:
> 502 Error: command not implemented
>
> Le serveur accepte "ehlo hostname" en interne et le refuse depuis
> l'exterieur en acceptant uniquement "helo hostname" ?
>
> Je ne trouve pas la régle qui est à l'origine de cela.
>
> De plus en interne sans authentification, j'ai un magnifique relaying
> denied.
>
Voyons cela.
> Fichier /etc/postfix/main.cf:
> *****************************
> [...]
> myorigin = /etc/mailname
>
Quezacko??? Normalement on met "myorigin = $mydomain" ou quelque chose
de similaire. Aurais-je raté une spécificité de Debian?
> smtpd_client_restrictions =permit_sasl_authenticated,
> reject_unauth_destination,
> reject_invalid_hostname,
> check_client_access hash:/etc/postfix/access,
> permit_mynetworks,
> reject_rbl_client relays.ordb.org,
> check_policy_service inet:127.0.0.1:60000,
> permit
>
> smtpd_recipient_restrictions = permit_sasl_authenticated permit_mynetworks
> reject_unauth_destination
>
Il n'est pas utile d'avoir ces 2 restrictions qui ne se différencient
que par le moment ou le client se fera jeter. Et encore, avec le delay à
no cela revient au même.
En plus dans ton smtpd_recipient_restriction il semble manquer une
virgule entre les 2 permit. C'est peut-être là l'origine du pb?
> Fichier /etc/postfix/sasl/smtpd:
> ********************************
> pwcheck_method: saslauthd
> mech_list: digest-md5 plain login
>
Comme indiqué + haut, le digest-md5 n'est pas pris en compte par
saslauthd. Amha il serait bon de l'enlever ou de passer à auxprop.
> Voila le probléme posé j'éspére avoir été clair et merci de votre aide.
>
J'espère t'avoir un peu aidé.
A+
--
Christophe Garault
Reply to: