Forum Linux.debian/ubuntu postfix + authentification smtp

Posté par  .
Étiquettes : aucune
0
10
juin
2009
J'ai suivi cet excellent howto : http://workaround.org/articles/ispmail-etch/ pour mettre en place mon serveur de mail.

Mais j'ai constaté un problème concernant l'authentification SMTP :

Lorsque j'envoie un mail de utilisateur@mondomaine.tld vers utilisateur@gmail.com par exemple, le serveur me demande de m'authentifier. NORMAL !

Mais lorsque j'envoie un mail de utilisateur@mondomaine.tld vers utilisateur@mondomaine.tld , le serveur n'exige aucune authentification !

Résultat, le serveur devient relay et usurpe nos comptes !

Ce que je souhaiterai bien sûr, c'est qu'il exige également une authentification pour les mails de mondomaine vers mondomaine.

Si quelqu'un à une idée ?

Merci

  • # il n'est PAS relay

    Posté par  . Évalué à 3.

    un relay c'est de l'exterieur vers l'exterieur
    donc dans le premier cas, ton serveur demande bien l'authentification car tu veux envoyer un email vers autre chose qu'un domaine gerer par ce serveur (vers l'exterieur donc)

    dans le 2eme, c'est de la desserte locale donc il n'y a pas de relay


    je n'ai pas testé si ca demande une identification pour un email "interne"
    mais j'ai ca dans mon fichier /etc/postfix/main.cf
    # secure SMTP setting
    smtpd_sasl_auth_enable = yes
    smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

    smtpd_sasl_type = dovecot
    smtpd_sasl_path = private/auth
    broken_sasl_auth_clients = yes

    • [^] # Re: il n'est PAS relay

      Posté par  . Évalué à 1.

      Merci !

      Ta config /etc/postfix/main.cf est la mienne à la lettre près.
      mais qu'as tu dans "mynetworks" ?

      D'autre part, je suis certain qu'il est possible et préférable d'exiger une authentification
      entre 2 utilisateurs du même domaine ou bien qu'il s'agisse d'un utilisateur qui s'envoie un mail à lui même !

      • [^] # Re: il n'est PAS relay

        Posté par  . Évalué à 2.

        mynetworks = 127.0.0.0/8

        ce qui fait que seul localhost n'a pas besoin de s'identifier
        car dans le parametre
        smtpd_recipient_restrictions = permit_mynetworks permit_sasl_authenticated reject_unauth_destination

        on dis que le mynetwork est autorisé

        c'est peut-etre là ton soucis

      • [^] # Re: il n'est PAS relay

        Posté par  (site web personnel) . Évalué à 1.

        >D'autre part, je suis certain qu'il est possible et préférable d'exiger une authentification
        >entre 2 utilisateurs du même domaine ou bien qu'il s'agisse d'un utilisateur qui s'envoie
        > un mail à lui même !

        Possible oui, préferrable la ...
        Enfin, tout ça est contrôlé par les smtpd_sender_restrictions
        http://www.postfix.org/postconf.5.html#smtpd_sender_restrict(...)

        Pour ton cas il y a plusieurs solutions, par exemple:

        1/ si tu fait confiance à tes utilisateurs:

        smtpd_sender_restrictions =
        permit_mynetworks,
        permit_sasl_authenticated,
        check_sender_access hash:/etc/postfix/mesdomaines

        /etc/postfix/mesdomaines:
        mondomain.tld reject
        tondomain.tld reject
        ....

        2/ force la validation du compte de l'émetteur:
        si "regis" à l'email "regis@tondomaine.tld", "serge" qui est aussi sur "@tondomaine.tld"
        ne pourra pas se faire passer pour regis.

        smtpd_sender_restrictions =
        permit_mynetworks,
        reject_sender_login_mismatch

        smtpd_sender_login_maps = <hash/db/... de conversion email => login>

        Garde à l'esprit que des serveurs ne s'authentifient pas simplement quand ils
        envoient des mails (cron, alertes monitoring, ...), il faut donc garder un permit_mynetworks adhoc.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.