Problème Postfix "Relay access denied"

Peutre · Mai 2, 2007, 6:50

Bonsoir à tous,

Alors tout d’abord pour vous expliquer mon problème il y a un semaine j’ai configuré Postfix + Courier-IMAP + Squirrelmail + Qpopper.

Tout fonctionnait que ca soit au niveau de l’envoi/reception de mails à partir de Outlook ou alors à Partir de mon Squirrelmail.
Et ce matin je découvre qu’il m’est impossible d’envoyer des mails sur un destinataire Hotmail.

Du coup j’arrive à quelque chose de grave sans avoir toucher aucune configuration :
Impossible d’envoyer n’importe quel mail à partir d’un client mail comme Outlook
Je peut seulement envoyer un mail sur une adresse Gmail.com à partir de Squirrelmail, par contre si je fait un test d’envoyer en destination de mon adresse Hotmail ca marche pas B) .

je n’y comprendre plus rien, quand j’essaye d’envoyer quelque chose à partir d’Outlook voila ce que je trouve sur mon log:

Lorsque je passe par Squirrelmail, ca marche regardez par vous-même :

May 2 20:09:46 sd-1344 postfix/smtp[13317]: 3BA251FC1DC: to=<peutre@gmail.com>, relay=gmail-smtp-in.l.google.com[66.249.93.114]:25, delay=1.4, delays=0.06/0.02/0.12/1.2, dsn=2.0.0, status=sent (250 2.0.0 OK 1178129032 h1si1358326ugf) May 2 20:09:46 sd-1344 postfix/qmgr[13169]: 3BA251FC1DC: removed

Le plus étonnant est que si j’essaye par Squirrelmail d’envoyer un mail en destination de mon adresse Hotmail, dans les logs le mail est envoyé mais je reçoit rien.

Il y a parfois une erreur dans mes logs, je ne sais pas si cela est si important que ca, étant donner qu’avant j’avais toujours ce message mais tout fonctionnait.

Voila mon fichier de conf de Postfix:

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) biff = no append_dot_mydomain = no myhostname = sd-1344.dedibox.fr #myhostname = chicdressing.com alias_maps = hash:/etc/aliases alias_database = hash:/etc/aliases mydestination = sd-1344.dedibox.fr, localhost.dedibox.fr, localhost mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 recipient_delimiter = + inet_interfaces = all virtual_alias_maps = hash:/etc/postfix/domaines smtpd_client_restrictions = permit_mynetworks #ce qu'on rajoute pour eviter l'open relay relay_domains = chicdressing.com #je rajoute pour ma maildir home_mailbox=Maildir/ #mynetworks=127.0.0.1/8 88.191.13.79 mydomain=chicdressing.com

Mon /etc/postfix/domaines :

testeur@chicdressing.com testeur@sd-1344.dedibox.fr contact@chicdressing.com contact@sd-1344.dedibox.fr relationclient@chicdressing.com relationclient@sd-1344.dedibox.fr inscription@chicdressing.com inscription@sd-1344.dedibox.fr commande@chicdressing.com commande@sd-1344.dedibox.fr parrainage@chicdressing.com parrainage@sd-1344.dedibox.fr privilege@chicdressing.com privilege@sd-1344.dedibox.fr fournisseur@chicdressing.com fournisseur@sd-1344.dedibox.fr melanie@chicdressing.com melanie@sd-1344.dedibox.fr stephanie@chicdressing.com stephanie@sd-1344.dedibox.fr olivier@chicdressing.com olivier@sd-1344.dedibox.fr nicolas@chicdressing.com nicolas@sd-1344.dedibox.fr testmap@chicdressing.com testmap@sd-1344.dedibox.fr

J’ai tenté de trouver une solution avec mon ami google mais rien n’y fait, le résultat reste le même.
Je suis dans un grand moment de solitude héhé alors la moindre petite aide est la bienvenue.
Je vous remercie d’avance pour votre attention,

Cordialement,

Peutre

v_a_n_e_s · Mai 2, 2007, 7:46

ton problème ?
tu as commenté la ligne “my_networks” alors que 2 lignes au dessus tu as smtpd_client_restrictions = permit_mynetworks
ça marche par squirrelmail car il accède à ton serveur postfix par le biais de l’adresse loopback (127.0.0.1) qui est toujours autorisée, elle.
Bon, accessoirement, autoriser le relaying depuis l’extérieur en vérifiant uniquement par l’IP du client, c’est mal. Et c’est un coup à se faire blacklister.
Si tu as VRAIMENT besoin d’accéder à ton smtp par l’extérieur, regarde du coté des packages “pop before smtp”, qui te demandent de t’auth sur ton serveur pop avant de pouvoir relayer des mails.

Hope this helps

Peutre · Mai 2, 2007, 10:04

La ligne “my_networks” n’était pas présente avant, après avoir Googleler, j’ai décidé de la rajouter et de faire des test.
Donc que je vire le commentaire ou non, le résultat est le même, il y a toujours ce Relay access denied.

Je profite pour vous dire que si je met my_networks=0.0.0.0/0, il est clair que ca fonctionne mais forcement mon serveur est open relay.
Par contre je comprend pas même en mettant ca, j’arrive toujours pas à envoyer des mails vers des boites hotmail B) lol

Je vais regarder un peu ce “pop before smtp”

unrealdtc · Mai 3, 2007, 5:39

Plusieurs choses :

ce n’est pas si évident que ca de faire un smtp qui autorise le relaying depuis l’extérieur sans en faire un open relay (ce qui est à éviter à tout prix) :
- soit tu autorises le relaying à partir de certaines IP (et contrairement à ce que dit vns, c’est tout à fait secure ; c’est d’ailleurs ce que font les fournisseurs d’accès pour leurs SMTP) : le pb c’est que tu as une IP dynamique, et à moins d’autoriser toutes les IP de ton ISP, c’est perdu
- soit tu mets en place une auth SMTP grâce à sasl, ça donne des trucs comme ça dans main.cf :

smtp_sasl_auth_enable = yes smtpd_sasl_auth_enable = yes smtpd_sasl_security_options = noanonymous smtpd_sasl_local_domain = broken_sasl_auth_clients = yes smtp_sasl_password_maps = hash:/usr/local/etc/sasldb2 smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination smtp_use_tls = yes smtpd_use_tls = yes smtp_tls_note_starttls_offer = yes smtpd_tls_key_file = /usr/local/etc/postfix/ssl/CA/key-cert.pem smtpd_tls_cert_file = /usr/local/etc/postfix/ssl/CA/key-cert.pem smtpd_tls_CAfile = /usr/local/etc/postfix/ssl/CA/cacert.pem smtpd_tls_loglevel = 1 smtpd_tls_received_header = yes smtpd_tls_session_cache_timeout = 3600s tls_random_source = dev:/dev/urandom

Je te laisse googliser un peu tout ça.

devant le nombre de gros n00bs qui montent des open relay avec des Dedibox, Free a décidé de faire comme avec les Fbx, traffic SMTP interdit par défaut : il te faudra te rendre dans ton panneau de gestion et autoriser le SMTP sortant. A faire une fois que tu seras sûr de ta config, bien sur.

v_a_n_e_s · Mai 3, 2007, 6:53

[quote=“unreal, post:4, topic: 33877”]Plusieurs choses :

ce n’est pas si évident que ca de faire un smtp qui autorise le relaying depuis l’extérieur sans en faire un open relay (ce qui est à éviter à tout prix) :
- soit tu autorises le relaying à partir de certaines IP (et contrairement à ce que dit vns, c’est tout à fait secure ; c’est d’ailleurs ce que font les fournisseurs d’accès pour leurs SMTP) : le pb c’est que tu as une IP dynamique, et à moins d’autoriser toutes les IP de ton ISP, c’est perdu
  […]
devant le nombre de gros n00bs qui montent des open relay avec des Dedibox, Free a décidé de faire comme avec les Fbx, traffic SMTP interdit par défaut : il te faudra te rendre dans ton panneau de gestion et autoriser le SMTP sortant. A faire une fois que tu seras sûr de ta config, bien sur.[/quote]

Oui bon ok j’ai fait un raccourci foireux. Mais j’ai vu dans son log que l’ip avec laquelle il essayait d’envoyer un mail n’était plus celle qui était contenue dans permit_mynetworks. J’en ai déduit qu’il avait une ip dynamique, et que du coup ça devenait hasardeux.

mathieu@mail:~$ apt-cache show drac Description: Dynamic Relay Authorization Control (pop-before-smtp) A daemon that dynamically updates a relay authorization map for some MTA (postfix, sendmail). It provides a way to allow legitimate users to relay mail through an SMTP server, while still preventing others from using it as a spam relay. User's IP addresses are added to the map immediately after they have authenticated to the POP or IMAP server. By default, map entries expire after 30 minutes, but can be renewed by additional authentication. Periodically checking mail on a POP server is sufficient to do this. The POP and SMTP servers can be on different hosts.

Voilà ce que j’avais mis en place à l’époque où j’avais une ip dynamique et que mon ISP avait un serveur de messagerie intermittent du spectacle.

Peutre · Mai 3, 2007, 10:10

Je ne peut pas autoriser le relaying à partir de certaines adresses IP, les mails seront consultés par des personnes qui se trouveront dans différents lieux, j’ai mis aussi en place un Squirrelmail alors il faut que mon serveur mail accepte les requêtes venant de n’importe ou.

J’ai une petite question si j’applique SASL, alors je peut laisser mon paramètre my_networks=0.0.0.0/0 et tous les mails seront consultables de partout tout en ayant une bonne sécurité ?

unrealdtc · Mai 3, 2007, 10:13

[quote=“Peutre, post:6, topic: 33877”]Je ne peut pas autoriser le relaying à partir de certaines adresses IP, les mails seront consultés par des personnes qui se trouveront dans différents lieux, j’ai mis aussi en place un Squirrelmail alors il faut que mon serveur mail accepte les requêtes venant de n’importe ou.

J’ai une petite question si j’applique SASL, alors je peut laisser mon paramètre my_networks=0.0.0.0/0 et tous les mails seront consultables de partout tout en ayant une bonne sécurité ?[/quote]

Tu es en train de confondre mail smtp entrant, mail smtp sortant, consultation mail pop/imap.

Peutre · Mai 3, 2007, 10:17

Oui je t’avouerais que je suis perdu de chez perdu B)

Je profite pour vous dire qu’avec ma cette conf actuelle, je ne peut toujours pas envoyer des mails avec mon outlook, toujours le même problème de Relay access

alias_database = hash:/etc/aliases alias_maps = hash:/etc/aliases append_dot_mydomain = no biff = no config_directory = /etc/postfix home_mailbox = Maildir/ inet_interfaces = all mailbox_command = procmail -a "$EXTENSION" mailbox_size_limit = 0 mydestination = sd-1344.dedibox.fr, localhost.dedibox.fr, localhost mydomain = chicdressing.com myhostname = sd-1344.dedibox.fr mynetworks = 127.0.0.0/8, hash:/var/lib/pop-before-smtp/hosts recipient_delimiter = + relay_domains = chicdressing.com smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU) smtpd_client_restrictions = permit_mynetworks virtual_alias_maps = hash:/etc/postfix/domaines

Pensez vous que SASL qui porte sur l’authentification pourrait résoudre mon problème de Relay access ?
Si c’est ca, je vais bientôt installer tout ca et prendre ce petit morceau de code Unreal B)

Peutre · Mai 3, 2007, 7:35

Je pense savoir d’ou vient le problème de cette histoire de Hotmail.
La solution ? haha elle est bien bonne il faut écrire à senderid@microsoft.com
Il faut mettre le nom de votre site dans le sujet du mail et joindre un fichier monsite.txt avec dedans mondomaine.com et attendre la réponse.
Bravo billou ! tu es bien le seul à nous emmerder, une preuve de plus qui nous montre qu’il faut stoper d’avoir des adresses hotmail.

Pour ce qui est de mon problème de Relay Access, je me pose toujours la question à savoir si SASL va me permettre de le résoudre.

Merci à vous tous.