POSTFIX + SASLAUTHD ------->Relay access denied

POSTFIX + SASLAUTHD ------->Relay access denied - Installation - Linux et OS Alternatifs

Marsh Posté le 14-02-2006 à 11:30:45    

Bonjour,
 
Je dois mettre en place sur une redhat enterprise v3 saslauthd sur un postfix en prodution.
Je souhaiterai que l'authetification se fasse grace en utilisant le fichier /etc/shadow.
j'ai compiler postfix 2.2.8 pour utiliser saslauthd et openssl  : make makefiles CCARGS="-DUSE_SASL_AUTH -I/usr/include/sasl -DHAS_SSL -I/usr/include/openssl" AUXLIBS="-L/usr/lib -R/usr/lib -lsasl2 -lssl -lcrypto"
dont voici le fichier de configuartion main.cf:  
 
myhostname = mail2.fr.domaine.com
mydomain = domaine.com
relayhost =  
mynetwork = 127.0.0.1/8
inet_interfaces = all
mailbox_transport = cyrus
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sasl_security_options = noanonymous
smtpd_sasl_local_domain =  
broken_sasl_auth_clients = yes
 
j'ai aussi compiler saslauthd de cette maniere : ./configure --with-plugindir=/usr/lib/sasl2 --disable-java --disable-krb4 --with-dblib=berkeley --with-saslauthd=/var/state/saslauthd/ --without-pwcheck --with-devrandom=/dev/urandom --enable-cram --enable-digest --enable-plain --enable-login --disable-otp
dont voici le smtpd.conf :
 
log_level: 7
pwcheck_method: saslauthd
mech_list: login plain
saslauthd_path: /var/run/saslauthd/mux
 
lorsque je test le saslauthd j'obtient bien mon authentification :  
[root@sample]# ./client -s rcmd -p 8000 -m PLAIN 127.0.0.1
receiving capability list... recv: {11}
PLAIN LOGIN
PLAIN LOGIN
please enter an authentication id: test
please enter an authorization id: test
Password:  
send: {5}
PLAIN
send: {1}
Y
send: {14}
test[0]test[0]test
successful authentication
closing connection
[root@freemail sample]#  
 
 
[root@sample]# ./server -s rcmd -p 8000
trying 10, 1, 6
socket: Address family not supported by protocol
trying 2, 1, 6
accepted new connection
send: {11}
PLAIN LOGIN
recv: {5}
PLAIN
recv: {1}
Y
recv: {14}
test[0]test[0]test
successful authentication 'test'
closing connection
 
[root@sample]# /usr/sbin/saslauthd -m /var/run/saslauthd -a shadow -d
saslauthd[25245] :main            : num_procs  : 5
saslauthd[25245] :main            : mech_option: NULL
saslauthd[25245] :main            : run_path   : /var/run/saslauthd
saslauthd[25245] :main            : auth_mech  : shadow
saslauthd[25245] :ipc_init        : using accept lock file: /var/run/saslauthd/mux.accept
saslauthd[25245] :detach_tty      : master pid is: 0
saslauthd[25245] :ipc_init        : listening on socket: /var/run/saslauthd/mux
saslauthd[25245] :main            : using process model
saslauthd[25246] :get_accept_lock : acquired accept lock
saslauthd[25245] :have_baby       : forked child: 25246
saslauthd[25245] :have_baby       : forked child: 25247
saslauthd[25245] :have_baby       : forked child: 25248
saslauthd[25245] :have_baby       : forked child: 25249
saslauthd[25246] :rel_accept_lock : released accept lock
saslauthd[25245] :get_accept_lock : acquired accept lock
saslauthd[25246] :do_auth         : auth success: [user=test] [service=rcmd] [realm=] [mech=shadow]
saslauthd[25246] :do_request      : response: OK

D'autre part lorsque je test en local mon authentification smtp ça marche aussi sans pb :
root@sample]# telnet localhost 25
Trying 127.0.0.1...
Connected to domain.com (127.0.0.1).
Escape character is '^]'.
220 mail1.domaine.com ESMTP Postfix
ehlo test.fr
250-mail1.domaine.com
250-PIPELINING
250-SIZE 20485760
250-VRFY
250-ETRN
250-AUTH PLAIN LOGIN
250-AUTH=PLAIN LOGIN
250 8BITMIME
AUTH PLAIN dGVzdAB0ZXN0AHRlc3Q=
235 Authentication successful

mail from: <test@domaine.com>
250 Ok
rcpt to: <test_test@hotmail.com>
250 Ok
data
354 End data with <CR><LF>.<CR><LF>
je teste le saslauthd !!!
.
250 Ok: queued as 6066827001F
quit
221 Bye
Connection closed by foreign host.
 
L'authentification fonctionne en local mais lorsque j'utilise un client mail type Outlook express ou Thunderbird j'ai systhématiquement cette erreur : Relay access denied
 
Feb 14 10:59:09 domaine postfix/smtpd[27028]: < unknown[213.86.242.154]: MAIL FROM:<test@domaine.com>
Feb 14 10:59:09 domaine postfix/smtpd[27028]: extract_addr: input: <test@domaine.com>
Feb 14 10:59:09 domaine postfix/smtpd[27028]: smtpd_check_addr: addr=test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: send attr address = test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: input attribute value: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: rewrite_clnt: local: test@domaine.com -> test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: send attr address = test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: input attribute value: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: resolve_clnt: `test@domaine.com' -> transp=`local' host=`mail1.domaine.com' rcpt=`test@domaine.com' flags= class=local
Feb 14 10:59:09 domaine postfix/smtpd[27028]: ctable_locate: install entry key test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: extract_addr: result: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: reject_unknown_address: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: ctable_locate: move existing entry key test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: check_mail_access: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: ctable_locate: leave existing entry key test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: check_access: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: check_access: test@
Feb 14 10:59:09 domaine postfix/smtpd[27028]: reject_non_fqdn_address: test@domaine.com
Feb 14 10:59:09 domaine postfix/smtpd[27028]: generic_checks: name=permit_sasl_authenticated
Feb 14 10:59:09 domaine postfix/smtpd[27028]: generic_checks: name=permit_sasl_authenticated status=0
Feb 14 10:59:10 domaine postfix/smtpd[27028]: NOQUEUE: reject: RCPT from unknown[213.86.242.154]: 554 <test_test@hotmail.com>: Relay access denied; from=<test@domaine.com> to=<test_test@hotmail.com> proto=SMTP helo=<[213.86.242.154]>
Feb 14 10:59:17 domaine postfix/smtpd[26684]: generic_checks: name=permit_sasl_authenticated
Feb 14 10:59:17 domaine postfix/smtpd[26684]: generic_checks: name=permit_sasl_authenticated status=0
 
Pouvez m'aider svp je comprend pas ce qui peut empecher l'authentification du smtp lorsque j'utilise un client alors qu'en local ça fonctionne trés bien.
 
par avance merci
 
 
Darj

Reply

Marsh Posté le 14-02-2006 à 11:30:45   

Reply

Marsh Posté le 21-02-2006 à 09:36:27    

UP:Pouvez m'aider svp je comprend pas ce qui peut empecher l'authentification du smtp lorsque j'utilise un client OUTLOOK ou autre alors qu'en local ça fonctionne trés bien.
 
 
Merci d'avance de votre aide
 
 
Darj

Reply

Marsh Posté le 07-10-2006 à 15:00:56    

Bonjour Darj,
 
Ton problème vient de ta config Postfix (main.cf)
 
Tu dis à Postfix que tes réseaux sont les suivants :
 

Citation :

mynetwork = 127.0.0.1/8
smtpd_recipient_restrictions = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination


 
Par defaut, toutes autre adresse sera refusée pour l'envoi de mail. C'est pour ca qu'en local ca marche  ;)  

Citation :

Feb 14 10:59:10 domaine postfix/smtpd[27028]: NOQUEUE: reject: RCPT from unknown[213.86.242.154]: 554 <test_test@hotmail.com>: Relay access denied; from=<test@domaine.com> to=<test_test@hotmail.com> proto=SMTP helo=<[213.86.242.154]>


 
Si ton adresse source (213.86.242.154) n'est pas dans cette liste, alors ca ne marchera pas.
 
Si ton adresse IP 213.86.242.154 n'est pas fixe (dynamique IP_WAN du type client Wanadoo), il ne faut pas la rajouter dans "mynetwork"
mais plutot utiliser une authentification SASL, va jeter un oeil là puisque demain tu nes pas sur d'avoir cette adresse.
 
En tous cas, si tu fais ca pour une entreprise, alors il y a des chances pour que les clients qui devront se connecter à ce serveur mail aient une adresse IP fixe.
 
A ce moment là tu n'a qu'a rajouter le subnet des clients que tu veux autoriser et ca fonctionnera.
Sinon, SASL Powaaa! ou tu deviendras un potentiel Bad Open relay, en plus rien ne t'empeche d'utiliser SASL dans tous les cas.
 
Voilà j'espere t'avoir aider  :)  
 
A+
 
 
Edit: j'avais pas fait attention, tu utilise dejà SASL, donc rajoute seulement les IP clients après "mynetwork="
Exemple comme ceci: mynetwork = 127.0.0.1/8, 213.86.242.0/24 (si tu veux autoriser toute la plage d'adresses IP)
OU mynetwork = 127.0.0.1/8, 213.86.242.154 (si tu ne veux autoriser que cette adresse IP)


Message édité par LexCartel le 07-10-2006 à 15:06:23
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed