smtp postfix: marche en local mais aucune réponse via eth0

smtp postfix: marche en local mais aucune réponse via eth0 - réseaux et sécurité - Linux et OS Alternatifs

Marsh Posté le 25-06-2009 à 00:40:40    

Bonjour,
 
Je viens d'installer postfix 2.6.2 sur un nouveau serveur chez ovh.
 
Pour les tests, mon iptables est vide avec une politique ACCEPT.
J'essayer de faire un smtp totalement libre, qui accepte une connexion de n'importe qui.
Bien évidemment ca n'est pas mon but final mais si je n'arrive déja pas à me connecter de l'extérieur de la manière la plus simple qui soit, je ne risque pas d'y arriver avec une auth.
 
Sur le serveur: lo: 127.0.0.1 et eth0: 91.X.X.X
Et je suis chez moi avec 70.X.X.X
 
En local sur le serveur ca marche impeccable :

Code :
  1. root@x:/etc/postfix# telnet localhost 25
  2. Trying 127.0.0.1...
  3. Connected to localhost.
  4. Escape character is '^]'.
  5. 220 abc.def.fr ESMTP Postfix
  6. QUIT
  7. 221 2.0.0 Bye
  8. Connection closed by foreign host
  9. et meme :
  10. telnet 91.X.X.X 25
  11. fonctionne pareil.


En revanche, de l'exterieur (70.X.X.X), rien à faire, le serveur ne répond rien et n'affiche rien dans les logs :

Code :
  1. moi@maison:~$ telnet 91.X.X.X 25
  2. Trying 91.X.X.X...
  3. (et ca ne répond jamais: CTRL+C pour quitter)


NB: rien ne bloque chez moi car je peux me connecter à d'autres serveurs smtp.
 
Voici mon main.cf :
(je relance bien sur postfix à chaque modification)

Code :
  1. queue_directory = /var/spool/postfix
  2. command_directory = /usr/sbin
  3. daemon_directory = /usr/libexec/postfix
  4. data_directory = /var/lib/postfix
  5. mail_owner = postfix
  6. myhostname = abc.def.fr
  7. mydomain = def.fr
  8. myorigin = $mydomain
  9. inet_interfaces = all
  10. unknown_local_recipient_reject_code = 550
  11. mynetworks_style = subnet
  12. mynetworks = 127.0.0.0/8, 91.0.0.0/8, 70.0.0.0/8
  13. debug_peer_level = 2
  14. debugger_command =
  15.  PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
  16.  ddd $daemon_directory/$process_name $process_id & sleep 5
  17. sendmail_path = /usr/sbin/sendmail
  18. newaliases_path = /usr/bin/newaliases
  19. mailq_path = /usr/bin/mailq
  20. setgid_group = postdrop
  21. html_directory = no
  22. manpage_directory = /usr/local/man
  23. sample_directory = /etc/postfix
  24. readme_directory = no
  25. broken_sasl_auth_clients = no
  26. smtpd_sasl_auth_enable = no
  27. smtpd_recipient_restrictions = permit_mynetworks, check_relay_domains
  28. smtpd_client_restrictions = permit_mynetworks, check_relay_domains
  29. smtp_use_tls = no
  30. smtpd_use_tls = no


 
Voila, mon but est donc de faire pour l'instant le serveur smtp le plus vulnérable possible pour ensuite filtrer avec une auth.
Mais rien que ca, je n'y arrive pas ! :(
 
Merci beaucoup par avance pour vos lumières ! :)


Message édité par tonpre le 25-06-2009 à 00:42:45
Reply

Marsh Posté le 25-06-2009 à 00:40:40   

Reply

Marsh Posté le 25-06-2009 à 07:27:16    

peux tu nous donner le contenu de master.cf et faire un netstat -lapnt


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 25-06-2009 à 08:46:53    

hum !
netstat, je ne connaissais pas, très intéressant :
 

Code :
  1. outre le ssh et named, il n'y a que ca :
  2. tcp        0      0 0.0.0.0:25              0.0.0.0:*               LISTEN      31437/master


master.cf :

Code :
  1. grep -v "^#" /etc/postfix/master.cf
  2. smtp      inet  n       -       n       -       -       smtpd
  3. pickup    fifo  n       -       n       60      1       pickup
  4. cleanup   unix  n       -       n       -       0       cleanup
  5. qmgr      fifo  n       -       n       300     1       qmgr
  6. tlsmgr    unix  -       -       n       1000?   1       tlsmgr
  7. rewrite   unix  -       -       n       -       -       trivial-rewrite
  8. bounce    unix  -       -       n       -       0       bounce
  9. defer     unix  -       -       n       -       0       bounce
  10. trace     unix  -       -       n       -       0       bounce
  11. verify    unix  -       -       n       -       1       verify
  12. flush     unix  n       -       n       1000?   0       flush
  13. proxymap  unix  -       -       n       -       -       proxymap
  14. proxywrite unix -       -       n       -       1       proxymap
  15. smtp      unix  -       -       n       -       -       smtp
  16. relay     unix  -       -       n       -       -       smtp
  17. -o smtp_fallback_relay=
  18. showq     unix  n       -       n       -       -       showq
  19. error     unix  -       -       n       -       -       error
  20. retry     unix  -       -       n       -       -       error
  21. discard   unix  -       -       n       -       -       discard
  22. local     unix  -       n       n       -       -       local
  23. virtual   unix  -       n       n       -       -       virtual
  24. lmtp      unix  -       -       n       -       -       lmtp
  25. anvil     unix  -       -       n       -       1       anvil
  26. scache    unix  -       -       n       -       1       scache

Reply

Marsh Posté le 25-06-2009 à 09:23:26    

Je dirais qu'il y a un filtrage entre ton PC de test et ton serveur chez OVH. Probablement ton FAI qui "oblige" ses clients à utiliser SON serveur SMTP pour l'émission de mail.
 
Solution >>  utiliser les inombrables outils sur le net pour tester ton serveur SMTP.
Par exemple : http://www.spamhelp.org/shopenrelay/
 
http://www.google.fr/search?q=smtp [...] =firefox-a


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 25-06-2009 à 09:33:23    

Si c'est un bon FAI, cette "protection" est désactivable.

Reply

Marsh Posté le 25-06-2009 à 09:40:43    

merci pour vos réponses mais ca ne peut pas être ca car :
 
1) j'ai 2 connexions chez 2 fai différents et c'est la même chose
 
2) je peux me connecter à smtp.laposte.net, qui n'est donc pas celui de mon fai.

Reply

Marsh Posté le 25-06-2009 à 09:46:31    

AH !
 
par contre je viens de tester quelque chose d'extrêmement intéressant !
 
TEST 1:
SERVEUR OVH: nc -lp 25
CLIENT MAISON: telnet 91.X.X.X 25
=> rien ne passe
 
TEST 2:
SERVEUR OVH: nc -lp 80
CLIENT MAISON: telnet 91.X.X.X 80
=> ca passe !!!
 
en gros il y a effectivement quelque chose qui bloque le port 25 contrairement au 80 !!!
pourtant :
1) ca ne peut pas venir du client puisque ca marche avec d'autres serveurs.
2) sur le serveur, iptables est VIDE avec une politique ACCEPT !
 
je ne comprends vraiment pas...
OVH appliquerait un filtrer avant mon serveur ? ...
 
PS :
c'est maintenant très clair, j'ai testé avec différents ports, rien ne passe sauf quelques ports standards: 80, 443.
c'est très contrariant car je ne paye pas pour un hébergement mais un serveur dédié à 142 EUR le mois.


Message édité par tonpre le 25-06-2009 à 09:58:10
Reply

Marsh Posté le 25-06-2009 à 10:07:11    

As tu un firewall sur la machine de "test" ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 25-06-2009 à 10:12:27    

oui mais j'ai pourtant autorisé la connexion vers 91.X.X.X:25 !
 
mais attends, il y a quelque chose de très étrange...
je viens de découvrir que depuis une autre connexion, j'ai accès aux ports 20 à 24 (mais toujours pas au 25)... donc il n'y aurait peut etre finalement pas de filtre chez ovh...

Reply

Marsh Posté le 25-06-2009 à 10:16:34    

Bon, donc voila ce que j'autorise depuis mon autre connexion (client) pour tester :

Code :
  1. iptables -I OUTPUT -o eth0 -p tcp -d 91.X.X.X --sport 1024:65535 --dport 25 -m state --state NEW,ESTABLISHED -j ACCEPT
  2. iptables -I INPUT -i eth0 -p tcp -s 91.X.X.X --dport 1024:65535 --sport 25 -m state --state ESTABLISHED -j ACCEPT


 
Lorsque je mets "smtp.laposte.net" à la place de "91.X.X.X", je peux me connecter au smtp de laposte.
En revanche, avec 91.X.X.X, je ne peux pas m'y connecter ! (meme s'il n'y a que nc -lp 25 sur le serveur)
 
Conclusion :
cette machine de test est chez free, il y aurait une whiteliste de serveurs smtp et un blocage de tous les autres ??? ...
dans ce cas il me suffirait de mettre mon serveur sur un autre port ...


Message édité par tonpre le 25-06-2009 à 10:23:20
Reply

Marsh Posté le 25-06-2009 à 10:16:34   

Reply

Marsh Posté le 25-06-2009 à 10:33:11    

RESOLU RESOLU RESOLU RESOLU RESOLU

Code :
  1. Donc en effet, aucun doute, Free applique un filtre de smtp.
  2. Ce filtre empêche de se connecter à toute machine sur le port 25, sauf s'il est dans leur whitelist.
  3. smtp.laposte.net et smtp.free.fr sont dans cette liste.
  4. Bravo free ! ...


RESOLU RESOLU RESOLU RESOLU RESOLU
 
lorsque je mets mon serveur sur le port 26: aucun problème.
 
merci à tous les 2 pour votre aide ! :)

Message cité 1 fois
Message édité par tonpre le 25-06-2009 à 10:33:30
Reply

Marsh Posté le 25-06-2009 à 10:36:12    

J'y ai pensé, le smtp de la poste, qui est presque un service public :D , doit être dans une white list.
T'as désactivé le filtrage smtp de ta box du coup, c'est ça ?

Reply

Marsh Posté le 25-06-2009 à 10:37:17    

tonpre a écrit :

lorsque je mets mon serveur sur le port 26 : aucun problème.


Pour info, si ton serveur SMTP chez OVH doit jouer le rôle de serveur SMTP pour un domaine (ie. recevoir les mails ...@tondomaine.com), il faut qu'il écoute sur le port 25, c'est le fonctionnement du protocole. Tu peux éventuellement mettre les deux ports en écoute, suivant tes usages.


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 25-06-2009 à 18:43:50    

Tuxerman12 a écrit :

J'y ai pensé, le smtp de la poste, qui est presque un service public :D , doit être dans une white list.
T'as désactivé le filtrage smtp de ta box du coup, c'est ça ?


 
non, on ne peut pas désactiver ca, c'est un restriction de free !
on se croirait en chine !
 
o'gure: mon serveur ne fait qu'envoyer, ca ne devrait donc pas etre genant ?
pour la réception de mails j'utilise une boite chez un provider mail, et je recupere les mails automatiquement toutes les minutes.

Reply

Marsh Posté le 25-06-2009 à 23:05:33    

tonpre a écrit :


 
non, on ne peut pas désactiver ca, c'est un restriction de free !
on se croirait en chine !
 


 
http://www.freenews.fr/index.php?itemid=4317

Reply

Marsh Posté le 25-06-2009 à 23:09:51    

ah ok ! ...
enfin je trouve q meme assez incroyable que lorsqu'on bénéficie d'une connexion internet, des filtres soient appliqués dessus... comme si on était pas assez grands pour gérer notre propre connexion...

Reply

Marsh Posté le 25-06-2009 à 23:15:49    

Le 9 fait pareil,j'ai paramétré une 9box ce week-end, il y a une case à décocher pour ouvrir le port 25.

Reply

Marsh Posté le 26-06-2009 à 03:18:26    

o'gure a écrit :


Pour info, si ton serveur SMTP chez OVH doit jouer le rôle de serveur SMTP pour un domaine (ie. recevoir les mails ...@tondomaine.com), il faut qu'il écoute sur le port 25, c'est le fonctionnement du protocole. Tu peux éventuellement mettre les deux ports en écoute, suivant tes usages.


Il y a surtout le port 587 pour la submission qui est fait pour cela.
les connexions sur le port 25 ne devraient avoir lieu qu'entre MTA...


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-06-2009 à 03:19:38    

tonpre a écrit :

comme si on était pas assez grands pour gérer notre propre connexion...


c'est exactement le cas pour 99% des abonnés internet.


---------------
Intermittent du GNU
Reply

Marsh Posté le 26-06-2009 à 07:38:01    

tonpre a écrit :

ah ok ! ...
enfin je trouve q meme assez incroyable que lorsqu'on bénéficie d'une connexion internet, des filtres soient appliqués dessus... comme si on était pas assez grands pour gérer notre propre connexion...


Si les "gens" étaient assez grand pour gérer leur propre connexion il n'y aurait pas eu ce filtrage, il n'y aurait pas eu DADVSI, HADOPI, etc...


---------------
Relax. Take a deep breath !
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed