[Postfix] Relay access denied

**vedder** · 02/08/2010, 17h25

Bonjour,
J'ai installe un smtp postfix sur debian
l'envoi de mails sur mon domaine fonctionne bien , mais impossible d'envoyer sur un domaine gmail, hotmail...
le message d'erreur est "5.7.1 relay access denied"

voici le contenu de mon fichier main.cf

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
 
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no
disable_vrfy_command = yes
smtpd_helo_required = yes
 
# appending .domain is the MUA's job.                                           
append_dot_mydomain = no
 
# Pour faire simple, il est conseillé d'utiliser le reverse DNS de votre serve\
ur.                                                                             
myhostname =REVERSEDNS
myorigin = REVERSEDNS
mydestination = xvm-15-143.ghst.net,localhost.localdomain, localhost
relayhost =
mynetworks = 127.0.0.0/8, IPSERVER
mailbox_size_limit = 0
recipient_delimiter = +
inet_interfaces = all
mailbox_command =
 
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/pos\
tfix/mysql-virtual_aliases_comptes.cf
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domaines.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_comptes.cf
virtual_mailbox_base = /var/spool/vmail/
virtual_uid_maps = static:5000
virtual_gid_maps = static:5000
 
virtual_create_maildirsize = yes
virtual_mailbox_extended = yes
 
virtual_mailbox_limit_maps = mysql:/etc/postfix/mysql-virtual_quotas.cf
virtual_mailbox_limit_override = yes
virtual_maildir_limit_message = "La boite mail de votre destinataire est pleine\
, merci de reessayez plus tard."
virtual_overquota_bounce = yes
 
# adresses de destination                                                       
smtpd_recipient_restrictions =
       permit_mynetworks,
       reject_non_fqdn_recipient,
       reject_unauth_destination
 
# client                                                                        
smtpd_client_restrictions =
        permit_mynetworks
 
smtpd_use_tls = yes
smtpd_tls_ask_ccert = yes
smtpd_tls_CAfile = /etc/ssl/imap/mail.pem
smtpd_tls_key_file = $smtpd_tls_CAfile
smtpd_tls_cert_file = $smtpd_tls_CAfile

Quelqu'un saurait t'il comment resoudre ce probleme ?
Merci d'avance

[EDIT]
j'ai mis en place une authentification SASL pour le smtp pour resoudre ce probleme,
j'ai modifie mon main.cf comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key

j'ai suivi ce tuto :
http://blog.hacky.info/index.php/pos...ier-authdaemon

mais le probleme c'est que lorsque je veux envoyer un mail , il me demande un login et un mot de passe que je rentre , mais il ne passe pas l'authentification
j'ai donc essaye testsaslauthd -u user -p pass j'ai comme reponse 0: OK "Succes"
et je suis en imap

Help !! ^^[/EDIT]

**debianhunter** · 03/08/2010, 09h52

Bonjour,

Rajoute une regle smtpd_sender_restriction (qui s'applique sur le MAIL FROM: ) qui n'autorisera que les clients authentifies ou que ceux qui sont sur mynetworks. Ca devrait eviter d'avoir a t'authentifier en local.

Par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
smtpd_sender_restrictions =
    reject_unlisted_sender, reject_unknown_sender_domain,
    permit_mynetworks, permit_sasl_authenticated,
    reject_non_fqdn_sender

Cette regle est un peu plus large puisqu'elle interdit d'envoyer un mail avec une adresse de destinataire inconnue sur le serveur, les serveurs inexistants et finalement les adresses mal forgees (comme le recommande la RFC821)

Si ca ne permet pas d'ameliorer, peux-tu poster en collant un extrait (pertinant) de /var/log/mail.log et le resultat de la commande
postconf -n ?

Merci

**vedder** · 03/08/2010, 10h20

Bonjour,
Merci de ta reponse , la regle n'a pas change grand chose.
le resultat de postconf -n :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
disable_vrfy_command = yes
inet_interfaces = all
mailbox_command = 
mailbox_size_limit = 0
mydestination = REVERSEDNS,localhost.localdomain, localhost
myhostname = REVERSEDNS
mynetworks = 127.0.0.0/8, IPDUSERVER
myorigin = REVERSEDNS
recipient_delimiter = +
relayhost = 
smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
smtpd_client_restrictions = permit_mynetworks
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks,       permit_sasl_authenticated,       reject_unauth_destination
smtpd_sasl_auth_enable = yes
smtpd_sender_restrictions = reject_unlisted_sender, reject_unknown_sender_domain,        permit_mynetworks, permit_sasl_authenticated,        reject_non_fqdn_sender
smtpd_tls_cert_file = /etc/postfix/smtpd.cert
smtpd_tls_key_file = /etc/postfix/smtpd.key
smtpd_use_tls = yes
virtual_alias_maps = mysql:/etc/postfix/mysql-virtual_aliases.cf,mysql:/etc/postfix/mysql-virtual_aliases_comptes.cf
virtual_gid_maps = static:5000
virtual_mailbox_base = /var/spool/vmail/
virtual_mailbox_domains = mysql:/etc/postfix/mysql-virtual_domaines.cf
virtual_mailbox_maps = mysql:/etc/postfix/mysql-virtual_comptes.cf
virtual_uid_maps = static:5000

dans mail.log , je n'ai pas grand chose :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Aug  3 08:07:33 tanukismail imapd-ssl: DISCONNECTED, user=login@mondomain.com, ip=[::ffff:82.67.37.211], headers=262, body=2247, rcvd=588, sent=5055, time=1822, starttls=1
Aug  3 08:11:19 tanukismail imapd-ssl: LOGIN, user=login@login.com, ip=[::ffff:82.67.37.211], port=[50116], protocol=IMAP

par contre j'ai ca dans auth.log :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Aug  3 08:16:42 monserver saslauthd[6983]: do_auth         : auth failure: [user=login@mondomaine.com] [service=imap] [realm=] [mech=sasldb] [reason=Unknown]
Aug  3 08:16:58 monserver saslauthd[6984]: do_auth         : auth failure: [user=login] [service=imap] [realm=] [mech=sasldb] [reason=Unknown]

et quand je fais un testsaslauthd , ca me fais 0: NO "authentication failed"

alors que ca marchait

**debianhunter** · 03/08/2010, 10h58

Envoyé par vedder

et quand je fais un testsaslauthd , ca me fais 0: NO "authentication failed"

alors que ca marchait

Oupsss

le message d'erreur est "5.7.1 relay access denied"

Je m'etais base la-dessus: par defaut lorsqu'un message est envoye vers l'exterieur, le serveur est considere comme relay, et la regle permit_sasl_authentificated sur smtpd_recipient_restriction autorise ce comportement uniquement si authentifie...

Par contre, je ne comprends pas pourquoi dans ton log, on parle de imap alors que ce que tu veux faire c'est envoyer un mail ???

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
Aug  3 08:16:42 monserver saslauthd[6983]: do_auth         : auth failure: [user=login@mondomaine.com] [service=imap] [realm=] [mech=sasldb] [reason=Unknown]
Aug  3 08:16:58 monserver saslauthd[6984]: do_auth         : auth failure: [user=login] [service=imap] [realm=] [mech=sasldb] [reason=Unknown]

Comment fais-tu pour forcer l'autentification SASL sur smtpd ? Il me semble que par defaut, postfix ne la propose pas et qu'il faut passer par un agent externe. As-tu modifier ton master.cf pour le prendre en charge ?

**vedder** · 03/08/2010, 11h32

Par contre, je ne comprends pas pourquoi dans ton log, on parle de imap alors que ce que tu veux faire c'est envoyer un mail ???

je ne comprend pas non plus et oui c'est bien pour envoyer un mail vers l'exterieur

Comment fais-tu pour forcer l'autentification SASL sur smtpd ? Il me semble que par defaut, postfix ne la propose pas et qu'il faut passer par un agent externe. As-tu modifier ton master.cf pour le prendre en charge ?

j'ai suivi ce tuto car j'utilise auth daemond (http://blog.hacky.info/index.php/pos...ier-authdaemon)
et je n'ai aps modifie le master.cf

**debianhunter** · 03/08/2010, 20h10

Perso, j'utilise Dovecot pour l'authentification, pas Cyrius, donc je vais avoir du mal a reproduire chez moi. Mais tu peux regarder cette page pour plus d'info. Un point a verifier: est-ce que smtpd_sasl_path = smtpd est la valeur par defaut dans ta version (postconf -d) ? La doc semble dire que oui, mais si ce n'est pas le cas, il serait bon de le rajouter dans ton main.cf.

Pour debugger l'authentification smtps, tu essayer les points suivants:
- connection en telnet port 25 et lancer un EHLO pour voir le types d'authentification supportes.
- utilisation d'openssl comme client. Il est plutot verbose et c'est pratique pour debugger (attention a l'autentification en plain, il faut mettre le login et le mot de passe en base64)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

openssl s_client -connect server:port

**vedder** · 04/08/2010, 09h19

est-ce que smtpd_sasl_path = smtpd est la valeur par defaut dans ta version (postconf -d) ?

oui j'ai verifie , elle l'est bien

connection en telnet port 25 et lancer un EHLO pour voir le types d'authentification supportes.

voila le message apres la commande ehlo :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
250-REVERSEDNS
250-PIPELINING
250-SIZE 10240000
250-ETRN
250-STARTTLS
250-AUTH LOGIN PLAIN
250-AUTH=LOGIN PLAIN
250-ENHANCEDSTATUSCODES
250-8BITMIME
250 DSN

voici le resultat de openssl :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
CONNECTED(00000003)
12967:error:140770FC:SSL routines:SSL23_GET_SERVER_HELLO:unknown protocol:s23_clnt.c:583:

par contre je ne comprend pas : j'utilise mysql couplé avec authdameon pour les comptes mails , mais comment verifier qu'ils sont en base64 ?

(en attendant je vais regarder ton lien)