Reprise du message précédent :
Ok.
 
Je me suis repenché plus en détails sur différents paramètres.
 
Le paramètre "mynetworks" permet de lister les @IP autorisées à faire passer leur message via mon Postfix.
 
Et la régle "check_client_access hashetc/postfix/internal_networks" me semble remplir la même fonction.
 
Si j'ai bien compris, si quelqu'un envoye un mail depuis l'extérieure cette régle n'est pas prise en compte et comme le paramètre "mynetworks" est mis sur 127.0.0.0/8 donc il accepte tous les réseaux.
 
En quoi c'est deux régles sont-elles différentes ou utiles ?  
Le paramètre "mynetworks" ne serait-il pas le seul utile dans le cas d'un serveur passerelle ?

mynetworks est un parametre general utilisé par d'autre dans postfix.
 
dans ton cas tu avais besoin de limiter les domaines expediteurs depuis l'interne aux seul domaines autorisés donc il fallait creer un jeu de regles qui reprennent ces parametres, en particulier le reseau local.  
 
effectivement il se peut que mynetworks et internal_networks soient identiques en soit, ce qui n'est pas grave si tu l'utilises correctement.
 
dans ton cas, si qqun envoie un mail depuis l'exterieur il n'est ni dans internal_networks, ni dans mynetworks, il subit alors les regles qui suivent dans la liste.
 
dans postfix les regles s'executent dans l'ordre, donc le premier OK valide la chaine meme si un reject suit. (l'inverse egalement)
 
c'est pour cela que la regle de limitation de domaine qu'on a faite plus haut fonctionnera correctement avec une passerelle par exemple, mais sera plus dangeureuse sur un serveur qui authentifie les clients par SASL car on pourra bypasser la regle SASL en se trouvant dans le internal_networks .
 
si tu utilises le SASL je te conseille de laisser tomber la verif du domaine a l'envoi, sous peine de perdre la securité supplementaire que procure l'auth SASL

Je travaille sur des machines virtuelles. Afin de répondre correctement au cahier des charges, en accord avec mon chef, j'ai créé 3 serveurs smtp :
- un accesible depuis Internet (avec restriction d'adresse expéditrices, verif certificat client et SASL + connection SSL).
- un serveur local (sans restricions d'adresses SASL pas obligatoire) le routage fais en sorte qu'elle ne soit pas accessible depuis Internet
- un serveur pour la DMZ correpondant au réseau wifi pour les non-employés leur permettant ainsi d'envoyer des mails (SASL + restriction au niveau plage IP)
(le but là n'est pas de trouver la meilleure solution afin de répondre au cahier des charges ^^. Je donne cette infos uniquement pour expliquer le contexte))
 
Donc les différentes régles fonctionnera correctement en respectant l'ordre indiqué précedemment mais le danger dont tu me parles concerne seulement la restrictions en "interne" ou également en "externe" ?  
Si j'ai bien compris, c'est seulement en "interne" qu'il y a un danger sinon depuis Internet ya pas de soucis ?
 
Avec les regles :

Ne faut-il aussi rajouter les domaines autorisés dans le paramètre "mydestinations" ?
 
Edit :
Mydestinations ne concerne pas la restriction sur l'expéditeur

le danger dont je te parle ne concerne que l'envoi depuis le reseau interne.
avec cette regle on peut bypasser l'auth SASL si on fait partie des reseau dans internal_networks en mettant simplement le bon domaine dans le mailfrom.
 
ce n'est pas un danger enorme mais cela annule l'interet d'authentifier tes clients par SASL puisqu'il n'importe qui du reseau pourra envoyer un email vers l'exterieur a condition de specifier un mailfrom avec les domaines presents dans our_domain_as_sender.
 

Ok merci pour explications sur ce "danger".
 
Je te remercie de ne pas avoir répondu tout de suite après mon dernier post cela m'a permit de bien comprendre le mécanisme lié aux 3 fichiers "internal_networks", "our_domain_as_sender" et 'nor_our-domain_as_sender".
 
Ce que j'aime bien quand on débute dans la configuration de serveur sous Linux, c'est tu corrige un problème un autre se rajoute ^^
Restrictions OK mais pb avec la vérification certificat client. (je pense avoir compris quelles regles sont à utiliser correctement. il me reste plus qu'à comprendre le mécanisme)

Je pensais avoir bien compris le mécanisme (enfin en local tout marche nikel)
Depuis Internet, une personne envoyant un mail avec une adresse expéditrice aurorisée (user@example.fr) vers une autre dans le même domaine (admin@example.fr) est rejeté.  
 
voici le message d'erreur :

Le message d'erreur est celui du ficheirs "not_our_domain_as_sender"

La je ne comprends pas c'est seulement dans le cas depuis Internet que cela ne fonctionne pas en local tout est OK.
 
/etc/postfix/internal_network

/etc/postfix/our_domain_as_sender

c'est entierement normal
c'est exactement le but recherché.  
la personne sur internet utilise ton domain en mailfrom mais n'est pas dans internal_networks.
donc le message est bloqué.
 
qqun de l'exterieur ne doit envoyer de mail avec ton mailfrom.  
 
encore une fois ces regles bien precises ne conviennent que dans des cas tres precis.
si les besoins changent, tout doit etre modifié.

Donc pour que depuis Internet seules les personnes autorisée (à l'aide du mailfrom) puissent envoyer des mail et les autres rejettés.
 
Il suffit de supprimer le fichiers 'internal_networks". Et de garder les regles :

 
Est-ce suffisant ou est-ce une toute autre configuration ?

Non c'est une tout autre configuration. Si il suffisait simplement de supprimer cette regle ca serait trop simple. ^^

non la c'est pire: tu empeches tout le monde d'envoyer avec les domaines listés dans /etc/postfix/not_our_domain_as_sender !
tu enleves la conditions de bypass donc tout est bloqué.
 
pour laisser passer l'exterieur c'est une tout autre configuration:
 
en gros faudra utiliser du SASL.
mais comme je te disais plus haut tout ce concept de blocage qu'on a mis en place est remis en question avec le SASL (effets de bords)
 
il faudra modifier  

 
en  

 
mais cela revient a bypasser le blocage du domaine en mailfom par les users authentifiés par le SASL depuis l'exterieur.  
 
pour l'interieur cela marchera toujours comme avant
 
 
note que je te dis tout ca de tete, j'ai rien pour tester sous la main, donc cela merite d'etre valider en pratique.
 
edit:
faudrait creer une autre regle plus complexe qui jouerait sur le restriction mixing  (pas seulement sur le recipient mais sur le sender)
 
 

Ok.
 
Je n'avais pas vu ça sous cet oeil-là. J'avais bien compris que c'était la premiere regle qui correspond qui l'emporte mais je ne pensais pas que l'ordre était si important.
Cela me fait penser aux régles de iptables
 
Pour la regle "permit_sasl_authenticated", j'avais lu que cela correspondait à ajouter le nom de domaine de $myorigin ou $mydomain lorsque le client est authentifié et comme quoi c'était une regle par defaut de postfix.
 
Est-ce exact ?
 
 

le permit_sasl_authenticated permet de valider un client qui s'est correctment authentifier par le SASL (demon externe a postfix) sur le SMTP.
 
 
par defaut postfix n'active pas la verification de l'auth SASL.
il faut l'ajouter et parametrer le demon SASLAUTHD.
 
pour l'ordre des regles c'est capital, sachant que l'on peut dissocier les differentes etapes du protocole smtp.  
c'est tres puissant, mais aussi bien complexe des qu'on veut faire qque chose de pointu.
 

Je m'en rends bien compte actuellement c'est la restriction d'adresse expéditrice qui me pose le plus de problème.

 
Qu'appelles-tu le "restriction mixing" ?
 
Je n'ai pas trouvé de regles concernant le "restriction mixing" sur la doc officiel. Mais peut-etre que par mixing tu sous entend un "mixage" entre les restrictions sur le recipient et le sender?

oui c'est ca
c'est le fait de placer les regles dans les etapes smtp adaptées et non tout dans le recipient_restrictions.
cela permet de travailler plus finement  en evitant qu'une regle bloque ou laisse passer alors que l'on voudrait egalement prendre en consideration un regle plus loin dans une autre etape smtp par exemple.
 
dans ton cas on doit pouvoir faire qque chose d'interessant mais comme je te disais il faut se pencher dessus en pratique et j'ai rien sous la main pour t'aider dans l'immediat.
 

En jouant sur l'ordre des regles et en modifiant un peu la config, j'ai réussi à mettre en place une restriction sur l'adresse expéditrice en interne et en externe.
 

 
/etc/postfix/sender_access

 
Ai-je commis de grave "trou de sécurité" avec cette config ?

oui  
 ton serveur pourra relayer des mails vers n'importe où a partir du moment où on spoofe le mailfrom (ce qui est un jeu d'enfant)
 

ok  
 
Mon serveur n'est accessible depuis internet que via SMTPs sur le port 465. L'authentification par login et mdp et tjs obligatoire malgré cela ?

Le port que tu utilise est obsolete pour le smtp over TLS
il faut utiliser le 587
 
de plus si ton serveur n'est accessible que par un port securisé, il aura du mal a recevoir les mails exterieurs.  
 
l'authentifcation n'est pas liée au TLS.  
l'authentification SMTP se fait par le SASL

mon serveur me sert de passerelle vers le serveur smtp principal.  
 
Quand je  dis accessible depuis Internet que via SMTPs, je veux dire que les users ne peuvent se connecter à mon serveur que via une connection chiffré avec en plus une authentification faite avec SASL.
 
Pour l'authentification, je sais que ce n'est pas lié à TLS