Re: [HS] smtp distant tunnel ssh postfix
Bulot gregory a écrit :
> Bonjour,
>
> j'ai positionné le tag hors sujet, car cela n'est pas spécifique debian
>
> Actuellement depuis mon réseau local l'envoi de mails ne posent pas de
> problèmes, depuis mon webmail non plus (qui est aussi le serveur smtp)
>
> par contre depuis les hôtels je me connecte via putty en ssh avec tunnel
> et transfert de port (web, imap, smtp : équivalent ssh -L 25:localhost:25
> user@chezmoi.com)
>
> malheureusement il m'est toujours impossible d'envoyer mes mails depuis
> mon portable
>
> pour info :
> tank : serveur smtp, imap
> neo : routeur (linux)
>
>
>
> ======= le message d'erreur (log postfix) : ============================
> May 3 19:42:43 tank postfix/smtpd[30305]: connect from
> neo.bulot-fr.com[192.168.1.190]
> May 3 19:42:49 tank postfix/smtpd[30305]: NOQUEUE: reject: RCPT from
> neo.bulot-fr.com[192.168.1.190]: 504 5.5.2 <unknown>: Helo command
> rejected: need fully-qualified hostname; from=<moi_nospam@bulot-fr.com>
> to=<moi_nospam@bulot-fr.com> proto=SMTP helo=<unknown>
"unknown" n'est pas un bon helo. l'argument de HELO/EHLO doit être un
"hostname" valide et complet au sens du DNS.
si ton client est vraiment pourri et que tu y tiens, tu peux mettre un
permit_mynetworks ou permeit_sasl_authenticated avant
reject_non_fqdn_helo_hostname. mais bon, ...
> May 3 19:42:55 tank dovecot: imap-login: Login: user=<gbulot>,
> method=PLAIN, rip=127.0.0.1, lip=127.0.0.1, secured
>
>
> ==================== main.cf ==================================
> smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
> biff = no
> smtpd_helo_required = yes
>
> append_dot_mydomain = no
>
>
> smtpd_tls_cert_file=/etc/ssl/certs/ssl-cert-snakeoil.pem
> smtpd_tls_key_file=/etc/ssl/private/ssl-cert-snakeoil.key
> smtpd_use_tls=yes
> smtpd_tls_session_cache_database = btree:${queue_directory}/smtpd_scache
> smtp_tls_session_cache_database = btree:${queue_directory}/smtp_scache
>
>
> myhostname = tank.bulot-fr.com
> alias_maps = hash:/etc/aliases
> alias_database = hash:/etc/aliases
> myorigin = $myhostname
> mydestination = batman.dyndns.org, bulot-fr.com, localhost,
> localhost.localdomain
> relayhost = smtp.free.fr
> mynetworks = 127.0.0.0/8 127.0.0.1 192.168.1.0/24
> mailbox_command = procmail -a "$EXTENSION"
> mailbox_size_limit = 0
> recipient_delimiter = +
> inet_interfaces = all
> inet_protocols = all
>
> relay_domains = $mynetworks
ah non. vire ça. c'est comme écrire:
nombre de patates = couleur de tomate.
>
> smtpd_helo_restrictions = reject_non_fqdn_hostname
>
> smtpd_sender_restrictions =
> permit_mynetworks,
> reject_unknown_sender_domain,
> warn_if_reject reject_unverified_sender
la vérification du "sender" n'est pas très appréciée...
>
> smtpd_client_restrictions =
> permit_mynetworks,
> reject_unknown_client,
attention, ça bloque plein de mail... en plus, n'oublie pas qu'il peut y
avoir des problèmes de DNS transitoires...
> check_client_access
> cidr:/etc/postfix/sinokoreacidr.txt,
> hash:/etc/postfix/deny,
> hash:/etc/postfix/access,
> regexp:/etc/postfix/clientblocks,
mieux vaut mettre les "check_client_access" devant chaque "map". comme
ça, si tu les déplaces, ça reste bon.
>
>
>
> smtpd_recipient_restrictions =
> permit_mynetworks,
> check_client_access hash:/etc/postfix/access,
> check_recipient_access hash:/etc/postfix/access,
> reject_unauth_destination,
> reject_unknown_recipient_domain,
> reject_non_fqdn_recipient,
> reject_non_fqdn_sender,
>
> reject_unknown_sender_domain,
tu te répétes la.
> reject_unauth_pipelining,
ça ne sert à rien ici. RCPT TO est une commande "asynchrone" et son
pipelining est donc toujors "authorisé".
> reject_invalid_hostname,
> reject_rbl_client opm.blitzed.org,
> reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rbl_client bl.spamcop.net,
> reject_rbl_client dnsbl.njabl.org,
> reject_rbl_client sbl-xbl.spamhaus.org,
> reject_rbl_client list.dsbl.org,
>
> reject_rbl_client dnsbl.ahbl.org,
> reject_rbl_client dnsbl.sorbs.net,
> reject_rbl_client relays.visi.com,
> reject_rhsbl_client blackhole.securitysage.com,
> reject_rhsbl_sender blackhole.securitysage.com,
> reject_rhsbl_client rhsbl.ahbl.org,
> reject_rhsbl_sender rhsbl.ahbl.org,
> reject_rhsbl_client rhsbl.sorbs.net
> reject_rhsbl_sender rhsbl.sorbs.net,
> reject_rhsbl_client block.rhs.mailpolice.com,
> reject_rhsbl_sender block.rhs.mailpolice.com,
> reject_rhsbl_client dynamic.rhs.mailpolice.com,
> reject_rhsbl_sender dynamic.rhs.mailpolice.com,
> reject_rhsbl_client bogusmx.rfc-ignorant.org,
> reject_rhsbl_sender bogusmx.rfc-ignorant.org,
> reject_rhsbl_client dsn.rfc-ignorant.org,
> reject_rhsbl_sender dsn.rfc-ignorant.org
tu fais collection des reject_*bl*? opm, dsbl, ... n'existent plus
depuis lontgtemps. tu peux aussi bien faire
sleep 10
ça aura le même effet, sans toutefois déranger les autres domaines.
franchement, commence par
reject_rbl_client zen.spamhaus.org
et ajoute des règles quand tu en as besoin et uniquement après analyse...
> permit
>
> reject_unknown_sender_domain = yes
ce paramètre n'existe pas:
$ postconf reject_unknown_sender_domain
postconf: warning: reject_unknown_sender_domain: unknown parameter
>
>
Reply to: