Bonjour, j'ai configuré un serveur postfix sécurisé avec Dmark et Dkim mais j'ai une erreur que je n'arrive pas a corrigé alors je lance un appel aux membres de la communeauté
n'ayant pas un très haut niveau j'ai suivi un tutoriel bien fait et accessible pour moi
https://net-security.fr/securite/postfix-secure/#pr%C3%A9-requis
le serveur est sous ubuntu 22.04
postfix mail_version = 3.6.4
avant d'appeler à l'aide j'ai fait de nombreux test et recherche, mais je n'ai pas trouvé de solution pour le moment
remplacement du hostname par l'ip ect ect, rien n'y fait j'ai toujours une erreur que voici, si quelqu'un connait la solution ou a besoin de complément comme un extrait de la config je répondrais rapidement car, j'aimerais bien trouver une solution d'une part pour ma coulture mersonnel d'autre par car j'ai une config qui fonctionne sur trois roues
c'est une erreur avec opendkim et le service Milter
warning: connect to Milter service inet:localhost:8891: Connection refused
je continue les investigations de mon coté, si je trouve un fix je ne manquerais pas de compléter ce post avec la solution
Merci d'avance à la commueanté et à mon futur sauveur
# Droits d'accès
Posté par Voltairine . Évalué à 5 (+4/-0).
Bonjour,
Regarde bien ta configuration sous /etc/default/opendkim et /etc/opendkim.conf
En principe le socket appartient à l'utilisateur et au groupe opendkim. Il faut que l'utilisateur postfix y ait accès au moins en lecture. Il suffit donc de mettre l'utilisateur postfix dans le groupe opendkim.
# :: ou 127.0.0.1 - ipv6 ou ipv4
Posté par seb . Évalué à 3 (+2/-0).
Chez moi, OpenDKIM écoute sur 127.0.0.1 et non sur ::
Il m'est déjà arrivé, sur d'autres applications, que l'appel localhost:xxx utilise l'IPv6, mais qu'il ne bascule pas sur l'IPv4 en cas d'absence de réponse.
Du coup, pour éviter ce genre de problème, j'ai pris la (mauvaise ?) habitude de spécifier explicitement 127.0.0.1 au lieu de localhost dans mes fichiers de configuration.
En vérifiant ma configuration Postfix, je remarque que j'ai bien défini inet:127.0.0.1:xxxx.
A tester j'imagine.
[^] # Re: :: ou 127.0.0.1 - ipv6 ou ipv4
Posté par Voltairine . Évalué à 2 (+1/-0).
C'est un problème de configuration : le nom localhost n'est pas résolu correctement en IPv6 et IPv4, voir entre autres le contenu de /etc/hosts
Mais le mieux c'est qu'il soit en écoute sur un socket UNIX et non sur un port quelconque.
# suite postfix et dkim erreur Milter service Connection refused
Posté par Aska . Évalué à 2 (+1/-0).
Bonjour et Merci pour ton aide Voltairine
effectivement les fichiers avaient comme propriétaire et groupe root
j'ai donc changé par root:opendkim et j'ai ajouté postfix en membre du groupe opendkim il est d'aileur le seul membre de ce groupe
j'en ai profité également pour changer les droit par un 774 afin que propriétaire et groupe aient full acces et le reste en read only
malheureusement, après redémarrage du service mais pas du serveur, j'ai toujours l'erreur, je continue mes recherches cependant l'erreur de droit d'accès est maintenant écarté et c'est un progrès car je sais maintenant que ce n'est pas cela le problème.
to be continued…
Amicalement
[^] # Re: suite postfix et dkim erreur Milter service Connection refused
Posté par Voltairine . Évalué à 2 (+1/-0).
De quels fichiers parles-tu ? Il n'y aucun besoin de changer les droits ou propriétaires.
N'oublie pas que postfix est généralement configuré par défaut pour tourner dans un environnement chroot.
Les fichiers pid ou socket doivent dans ce cas être sous /var/spool/postfix/run/opendkim (à régler dans la configuration de opendkim)
# suite
Posté par Aska . Évalué à 1 (+0/-0).
Bonjour,
je me désespères un peu
j'ai lu et tester de nombreuse choses entre les droits d'ecritures/lectures la localisation du fichier pid différent dans la config postfix et opendkim, le probleme de socket avec le hostname et l'adresse de loopback, j'ai meme envisagé un problème de port déja ouvert
mais rien de tout cela ne m'a permis de résoudre, je vais essayer de voir si le log de opendkim peux etre un peu plus verbeux pour vérifier si le chemin ou les droits sont correcte en fonction du groupe /user. car l'absence de fichier pid m'intrigue beaucoup
merci pour votre aide si vous avez d'autres idées suggestions n'hesitez pas et bonnes fetes de fin d'année à tous les membres
[^] # Re: suite
Posté par Voltairine . Évalué à 1 (+0/-0).
As-tu bien lu et compris ma réponse concernant le fait que Postfix tourne dans un environnement chroot ?
Et je te conseille d'utiliser un socket UNIX plutôt qu'un socket TCP.
# suite postfix pas à pas
Posté par Aska . Évalué à 1 (+0/-0). Dernière modification le 24 décembre 2024 à 10:31.
Bonjour Voltairine
jai bien lu et compris, je sais ce qu'est un environnement chroot (process isolé)
cependant apres controle de ma config il semble que mon deamon smtpd n'est pas en chroot, j'ignore (je n'ai pas encore testé l'autre mode)
Et je te conseille d'utiliser un socket UNIX plutôt qu'un socket TCP.
concernant le socket, j'aimerais quelques explications complémentaire et surtout comment configurer un socket unix et quelle est la différence
[^] # Re: suite postfix pas à pas
Posté par Voltairine . Évalué à 1 (+0/-0).
Relis bien ton fichier de configuration, Postfix est bien dans un environnement chroot. À ton avis quel est le sens de « y » ? ;)
Pour la configuration avec un socket UNIX c'est auto-documenté dans le fichier de configuration opendkim.conf
L'utilisation d'un socket UNIX est plus sûre et plus performante qu'un socket TCP. (cf. https://lists.freebsd.org/pipermail/freebsd-performance/2005-February/001143.html)
# suite
Posté par Aska . Évalué à 1 (+0/-0).
Bonjour Voltairine
Effectivement , le process est bien chroot, j'étais sur la mauvaise ligne
pour le socket je dois y travailler, j'ai pas eu le temps je vais m'y remettre la semaine prochaine
et je te ferais un retour d'information en attendant je te souhaite de bonnes fêtes de fin d'année
cordialement
Pascal
[^] # Re: suite
Posté par Aska . Évalué à 1 (+0/-0).
Effectivement , le process est bien chroot,
mais le partage que je t'ai posté n'est pas celui actif
j'ai merdouillé avec mon bout de conf car le # c'est un flag pour passer le texte en gras sur le forum
*original#smtp inet n - y - - smtpd
**ajout begin 27112024
smtp inet n - - - - smtpd
**ajout end 27112024
**smtp inet n - y - 1 postscreen
*#smtpd pass - - y - - smtpd
*nsblog unix - - y - 0 dnsblog
**tlsproxy unix - - y - 0 tlsproxy
* Choose one: enable submission for loopback clients only, or for any client.
**127.0.0.1:submission inet n - y - - smtpd
**submission inet n - y - - smtpd
voici le bon j'ai bien le process smtp non chroot, j'ai remis la version original et je check et redemarrer le service, j'attends un peu pour voir le résultat (suspens)
pour le socket je dois y travailler, j'ai pas eu le temps je vais m'y remettre la semaine prochaine
et je te ferais un retour d'information en attendant je te souhaite de bonnes fêtes de fin d'année
cordialement
Pascal
Envoyer un commentaire
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.