configurer postfix pour internet - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 29-07-2003 à 17:29:27
Bobor a écrit : mon postfix marche bien maintenant en local. Je souhaiterais l'ouvrir sur le net: |
1°) rajouter ton ou tes domaine(s) internet dans la conf (c'est le paramètre : mydestination = tes_domaines_locaux_et_distants), avec une adresse type dyndns c'est simple, suffit de la rajouter à la suite des domaines locaux séparés par une virgule + un espace.... pas forcément besoin de MX, dans mon cas j'ai 2 domaines principaux en ".ath.cx" (chez dyndns) et un backup MX en ".dyndns.org" qui finalement ne sert à rien
2°) pour le relayage il faut créer une table selon les domaines, j'ai pas trop bien pigé comment se configure cette partie sur postfix. Mais si tu es chez wanadoo tu risques d'avoir des problèmes si tu souhaites envoyer des mails avec ton adresse wanadoo à partir de ton serveur smtp
edit : tu as aussi les champs "myorigin =" et "mydomain =" où tu peux mettre ton domaine dyndns, ça permet de créer "une route par défaut" si l'on veut
Marsh Posté le 29-07-2003 à 18:46:00
je te remercie, ça marche!!!
j'ai pas encore essayé le relai par contre...
tu t'y connais également en serveurs virtuels? je pense qu'il faut que je recherche par là: j'ai mon serveur qui tourne en local et gère les mails en local sur le domaine (et maintenant sur le net). Par contre je veux qu'il gère un autre domaine virtuel (base de données utilisateurs dans un domaine restreint et n'appartent pas au domaine local) et là ça ne marche pas...
pour simplifier, je veux créer un domaine pour utilisateurs wifi et donc qui n'appartiennent pas au réseau local proprement dit. C'est bien les domaines virtuels la solution?
Marsh Posté le 29-07-2003 à 19:08:22
pour tester si ton domaine internet fonctionne, tu peux t'envoyer un mail avec ton adresse user@domaine.dyndns.org, tu verras ce que ça donne, sinon ne pas oublier d'ouvrir le port smtp et de démarrer un serveur pop (tout simplement par exemple ipop3d ou pop3s par inetd/xinetd contenu dans le paquetage imap) avec le port ouvert sur l'extérieur bien sûr....
sinon pour ce que tu souhaites faire en hôte virtuel, c'est le point que j'ai pas trop vu avec postfix.... tu peux créer un domaine virtuel effectivement, tu crés par la même occasion un annuaire ldap et tu dois pouvoir obtenir ce que tu souhaites, faudra penser à rajouter ce domaine dans la variable "mydestination =" pour que postfix le traite.... mais je ne pense pas que tu ais besoin de directement créer un hôte virtuel, suffit de rajouter le domaine à traiter (mydestination =), de créer les utilisateurs locaux unix sans aucun droit sur la machine (pas de shell, pas de homedir solide, ....) ou alors la solution ldap si tu es un peu frileux avec pam...
chez moi je gère des boîtes extérieures aussi, j'ai fais un cgi qui permet à un utilisateur de créer ça boite d'après un formulaire (création compte mail, http et ftp en fait), un webmail (V-Webmail de Richard Heyes) pop (aussi compatible imap) vient habiller le tout pour consulter les mails sur mon serveur https, celui-ci permet de restreindre le domaine à celui que j'ai choisi (qui n'est pas le même domaine que celui que j'utilise personnellement), c'est entièrement transparent et dans l'en-tête des mails j'ai bien ce que je souhaite : "MACHINE.domaine-internet.des.utilisateurs" différent de mon domaine habituel "MACHINE.domaine-internet.personnel"
finalement pas besoin d'hôte virtuel quoi
Marsh Posté le 29-07-2003 à 19:28:09
c'est à peu près ce que je veux faire. Pour l'instant les utilisateurs sont gérés par une base mysql et ça fonctionne pas trop mal.
Donc pas d'hôtes virtuels puisque tu y arrives comme ça.
bon là ça ne marche pas tout à fait bien. En fait si je fais bobor@domaine_internet c'est bon (user normal) par contre user_non_local@domaine_internet c'est pas bon. L'enregistrement est présent en base de données mais il trouve pas cet enregistrement
tu fais comment pour que ce soit transparent au niveau des entetes?
Marsh Posté le 29-07-2003 à 19:39:34
je pense que cela vient de l'authentification:
permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination = permit_sasl_authenticated, permit_mynetworks, reject_unauth_destination |
et
reject_unauth_destination: REJECT unless recipient address is local or in $relay_domains |
donc comme bobor existe en local, ça passe, mais les autres ne passent pas. C'est une hypothèse. Je trouve les logs quand même bizarres (user gaston non local mais existant dans mysql):
dict_mysql_lookup using sql query: select maildir from users where email = 'gaston@domaine.net' and postfix = 'y' |
Marsh Posté le 29-07-2003 à 19:43:40
avec mysql je sais pas trop là....
bah tout simplement pour l'en-tête, quand l'utilisateur passe par le webmail il tombe obligatoirement dans le domaine que je veux (configuré en hard dans le fichier de conf et masquage de la liste des domaines), ensuite en utilisation avec client mail, l'utilisateur interroge sont compte avec les informations déjà rentrées, donc serveur smtp, pop et adresse mail qui correspondent au bon domaine, c'est tout con quoi
sinon au niveau dns, j'ai un alias avec ce domaine pour gérer l'adresse en interne aussi
rien à configuré, c'est el client qui fait tout le boulot en configurant son client, suffit juste de dire à postfix qu'on gère les mails du domaine là et avoir le domaine chez dyndns par exemple....
Marsh Posté le 29-07-2003 à 20:20:12
bon, en fait c'est simple. Je suis passé en "virtuel". Donc j'ai simplement retiré domaine_internet et wifi de mydestination. Par contre je les ai mis dans virtual_mailbox_domain et tout marche!
Marsh Posté le 29-07-2003 à 22:33:55
tout semble marcher à peu près: un domaine local "réél" et 2 domaines virtuels (wifi et internet).
par contre ce que j'aimerais, c'est que les comptes "wifi" ne puissent pas utiliser mon serveur comme relai vers l'extérieur
mais autoriser les comptes "internet" et "local". Pour l'instant tout le monde peut (même en passant par mamadou en relay_host )
Marsh Posté le 30-07-2003 à 02:04:56
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination |
je comprends pas tout
si qq'un configure pour attaquer direct mon serveur smtp (sur son ip internet), alors il peut inonder mes mails locaux??? même sans s'authentifier!
je me gourre ou pas?
Marsh Posté le 30-07-2003 à 02:22:01
ah ben non, si le gars a pas de compte local, il peut pas utiliser le serveur smtp pour envoyer des mails, enfin par défaut c'est comme ça, le serveur smtp demande une authentification pour agir.... par contre si tu utilise une adresse bidon du genre :
from : user_local@nawak.domaine.de.merde
et que "nawak.domaine.de.merde" n'existe pas ou est mal configuré dans la conf de postfix, tu te feras jeter
Marsh Posté le 30-07-2003 à 02:42:56
par défaut, il n'y a pas besoin de compte. C'est bien pour ça que les autres MTA peuvent transmettre les mails aux autres MTA et au mien en particulier.
l'authentification (car je l'ai installée) n'est valable que pour autoriser le relayage de mail.
Mais là, il n'y a pas de relayage puisque les comptes sont locaux. Donc qq'un qui se connecte au serveur peut faire du mailbombing sur les adresses mail locales!
Marsh Posté le 30-07-2003 à 11:45:14
pour l'instant, la seule soluce que je vois c'est de ne pas authentifier les "wifi" => pas le droit au relai. Pas propre et en plus ils ont le mdp car commum au pop/imap
Marsh Posté le 30-07-2003 à 14:18:50
j'ai trouvé une solution propre:
je rajoute check_recipient_access hashetc/postfix/access_recipient après permit_sasl_auth dans smtpd_recipient_restrictions.
Dans ce cas, seuls les clients authentifiés peuvent envoyer un mail sur les domaines locaux!
je pense que cette astuce pourra aider...
Marsh Posté le 01-08-2003 à 00:09:38
personne ne sait comment interdire le relai au domaine virtuel wifi???
Marsh Posté le 29-07-2003 à 17:07:28
mon postfix marche bien maintenant en local. Je souhaiterais l'ouvrir sur le net:
- accepter les messages des autres MTA à destination locale
- relai vers d'autres MTA si utilisateur authentifié
question:
- comment faire pour le 1er point? j'ai un compte dyndns mais pas d'enregistrement MX. Y en a-t-il des gratuits? est-ce vraiment nécessaire?
- le relai doit-il passer forcément par mon FAI (relay_host) ou puis-je attaquer directement tous les MTA?
---------------
Gitan des temps modernes