Je cite : "Postfix dispose d’aucune capacité inhérente de distinguer le courrier entrant du courrier sortant. Cependant, avec quelques modifications il est possible de le faire." et en anglais la suite : "Why multiple Postfix instances ? Outbound mail relay for a corporate network."
De ce fait, je crée une seconde instance à Postfix ainsi :
/X-Spam-Flag:.Yes/ DISCARD SPAM blocked for postfix-out
Je relance le tout et tout fonctionne ! :)
J'en ai profité pour revoir intégralement mon serveur mail en réinstallant un nouveau en remplaçant spamassassin/amavis par rspamd/rmilter.
La finalité :
Lorsque qu'un utilisateur reçoit un mail et si c'est un SPAM, rspamd le tag et sieve le place dans le dossier des indésirables. Si le SPAM reçu redirige vers une autre adresse à l'extérieur de mes services (sur Internet), celui-ci passe par le relay-host interne et comme il a été tagué dans la première instance par X-Spam-Flag à Yes il sera DISCARD et non envoyé à l'extérieur.
Merci à nouveau pour la réponse, vous avez compris la situation mais en mettant 2 spamassasins différents ça ne résoudra pas le soucis car ce n'est pas chez moi spamassasins qui bloque les mails (il ne fait que taguer) mais amavis, ce qui veut dire qu'il me faudrait un second amavis.
Le gros soucis est que je ne vois pas où mettre ce second filter dans postfix vu que la directive "content_filter" contrôle à la fois le local et le distant.
Voilà ma directive "content_filter" :
content_filter = smtp-amavis:[127.0.0.1]:10024
Par contre autre idée : je pourrai mettre dans le postfix un "relayhost" vers un (ou plusieurs) autres postfix satellites qui ne serviraient qu'à envoyer les mails à l'extérieur (en imaginant que postfix n'essaye pas de relayer les mails qui devraient rester en local et qu'il passe l'antispam/antivirus + autres rules avant de relayer le mail …).
Ces postfix satellites ne s’occuperait qu'à bloquer le SPAM déjà tagué en amont via un "/X-Spam-Flag:.*\YES/ DISCARD spam" dans le "smtp_header_checks".
Merci pour ta réponse NeoX mais non justement, je ne veux pas envoyer de SPAM :) Ma question justement c'est comment éviter ça :) Mais je ne pense pas que vous avez compris la situation.
Je suis une professionnelle à mon compte d'une entreprise d'hébergement sur Internet avec un petit millier de clients et tout comme d'autres prestataires mails, je souhaiterai laisser à mes clients la possibilités de continuer de consulter leurs dossiers des indésirables pour remonter les éventuels faux positifs lorsque le score est "limite", mais tout en court-circuitant les redirections mails qui ne passent pas par Sieve en local.
Je pourrai très bien tout bloquer, ça fonctionne mais j'aime la transparence pour mes clients et leur laisser la main sur leurs données. Puis lorsque j'ai dis "pire", c'est que seul Free (sur une trentaine de prestataires mails) peuvent retarder les mails de mes clients.
Alors voilà, ma précédente question est toujours d'actualité ;)
J'ai pu arriver à mes fins en utilisant à la place du brouting : le proxy NDP avec seulement 2 lignes "ip -6 neigh add proxy" et un découpage de mon prefix en un sous réseau.
C'est en gros le même principe : relier les 2 réseaux en un seul via un proxy (au lieu d'un bridge) et j'ai pu éviter en même temps mon conflit de bridge que j'avais en brouting.
# Résolu ! :)
Posté par Elodie . En réponse au message Comment en laissant passer le spammy en local, bloquer le spam forward via "virtual_alias_maps" ?. Évalué à 1. Dernière modification le 24 août 2016 à 22:30.
J'ai réussie à faire ce que je voulais ! :)
Pas besoin d'ajouter des instances amavis/clamav en double, j'utilise une double instance à Postfix comme recommandé par eux mêmes : http://www.postfix.org/MULTI_INSTANCE_README.html
Voilà une petite explication en français : https://placenet.fr/2010/10/17/deux-instances-pour-postfix/
Je cite : "Postfix dispose d’aucune capacité inhérente de distinguer le courrier entrant du courrier sortant. Cependant, avec quelques modifications il est possible de le faire." et en anglais la suite : "Why multiple Postfix instances ? Outbound mail relay for a corporate network."
De ce fait, je crée une seconde instance à Postfix ainsi :
Puis je remplace le port smtp 25 dans le second /etc/postfix-out/master.cf par un port autre :
Je demande à la première instance de Postfix à relayer les mails sortants à la seconde instance en modifiant /etc/postfix/main.cf par :
j'ajoute à la seconde instance /etc/postfix-out/main.cf ceci :
et dans /etc/postfix-out/header_checks ceci :
Je relance le tout et tout fonctionne ! :)
J'en ai profité pour revoir intégralement mon serveur mail en réinstallant un nouveau en remplaçant spamassassin/amavis par rspamd/rmilter.
La finalité :
Lorsque qu'un utilisateur reçoit un mail et si c'est un SPAM, rspamd le tag et sieve le place dans le dossier des indésirables. Si le SPAM reçu redirige vers une autre adresse à l'extérieur de mes services (sur Internet), celui-ci passe par le relay-host interne et comme il a été tagué dans la première instance par X-Spam-Flag à Yes il sera DISCARD et non envoyé à l'extérieur.
Voilà :)
[^] # Re: c'est normal
Posté par Elodie . En réponse au message Comment en laissant passer le spammy en local, bloquer le spam forward via "virtual_alias_maps" ?. Évalué à 1. Dernière modification le 04 août 2016 à 11:19.
Bonjour de nouveau,
Merci à nouveau pour la réponse, vous avez compris la situation mais en mettant 2 spamassasins différents ça ne résoudra pas le soucis car ce n'est pas chez moi spamassasins qui bloque les mails (il ne fait que taguer) mais amavis, ce qui veut dire qu'il me faudrait un second amavis.
Le gros soucis est que je ne vois pas où mettre ce second filter dans postfix vu que la directive "content_filter" contrôle à la fois le local et le distant.
Voilà ma directive "content_filter" :
content_filter = smtp-amavis:[127.0.0.1]:10024
Par contre autre idée : je pourrai mettre dans le postfix un "relayhost" vers un (ou plusieurs) autres postfix satellites qui ne serviraient qu'à envoyer les mails à l'extérieur (en imaginant que postfix n'essaye pas de relayer les mails qui devraient rester en local et qu'il passe l'antispam/antivirus + autres rules avant de relayer le mail …).
Ces postfix satellites ne s’occuperait qu'à bloquer le SPAM déjà tagué en amont via un "/X-Spam-Flag:.*\YES/ DISCARD spam" dans le "smtp_header_checks".
Peut être que ça fonctionne …
[^] # Re: c'est normal
Posté par Elodie . En réponse au message Comment en laissant passer le spammy en local, bloquer le spam forward via "virtual_alias_maps" ?. Évalué à 1. Dernière modification le 01 août 2016 à 19:07.
Merci pour ta réponse NeoX mais non justement, je ne veux pas envoyer de SPAM :) Ma question justement c'est comment éviter ça :) Mais je ne pense pas que vous avez compris la situation.
Je suis une professionnelle à mon compte d'une entreprise d'hébergement sur Internet avec un petit millier de clients et tout comme d'autres prestataires mails, je souhaiterai laisser à mes clients la possibilités de continuer de consulter leurs dossiers des indésirables pour remonter les éventuels faux positifs lorsque le score est "limite", mais tout en court-circuitant les redirections mails qui ne passent pas par Sieve en local.
Je pourrai très bien tout bloquer, ça fonctionne mais j'aime la transparence pour mes clients et leur laisser la main sur leurs données. Puis lorsque j'ai dis "pire", c'est que seul Free (sur une trentaine de prestataires mails) peuvent retarder les mails de mes clients.
Alors voilà, ma précédente question est toujours d'actualité ;)
# En manuel ça fonctionne, pourquoi via PECL ça ne fonctionne pas ?
Posté par Elodie . En réponse au message ERROR: `phpize' failed. Évalué à 2.
Surtout que lorsque je l'installe à la main ça fonctionne :
cd /tmp/pear/download/
tar zxvf ssh2-0.12.tgz
cd ssh2-0.12
/usr/local/php55/bin/phpize
Configuring for:
PHP Api Version: 20121113
Zend Module Api No: 20121212
Zend Extension Api No: 220121212
./configure --with-ssh2
[…]
make
[…]
Build complete.
make install
Installing shared extensions: /usr/local/php55/lib/php/extensions/no-debug-non-zts-20121212/
Je n'ai plus qu'à charger l'extension : ssh2.so
Pourquoi PECL plante alors que manuellement ça fonctionne ? :/
# Résolu, mais autrement
Posté par Elodie . En réponse au message Activer IPv6 Free derrière un routeur à l'aide d'un pont BROUTING sur Proxmox. Évalué à 1.
Bonsoir,
J'ai pu arriver à mes fins en utilisant à la place du brouting : le proxy NDP avec seulement 2 lignes "ip -6 neigh add proxy" et un découpage de mon prefix en un sous réseau.
C'est en gros le même principe : relier les 2 réseaux en un seul via un proxy (au lieu d'un bridge) et j'ai pu éviter en même temps mon conflit de bridge que j'avais en brouting.