Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1717 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  POstfix + SASL le retour : probleme

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

POstfix + SASL le retour : probleme

n°817370
satan
Posté le 08-06-2006 à 08:50:06  profilanswer
 

Salut,
 
j'ai, je pense, un petit problème avec l'authentification SASL de mon postfix.
Des recherches sur google ne me donnent pas grand chose car soit les différents how-to n'utilisent pas la meme méthode, soit ca leur fait comme moi (ce qui m'étonne).
 
En gros : j'utilise le demon saslauthd avec mechanism plain, qui semble bien fonctionné vu que ca me donne comme ce site en telnet (a partir de l'exterieur) : http://workaround.org/articles/ispmail-sarge/#test
 
Mon problème est que je trouve bizarre que de l'extérieur je puisse en telnet envoyer un mail sans avoir besoin de m'authentifier. En fait je n'ai pas besoin de faire un "auth plain ......" pour attaquer un mail from:...
 
Exemple :

Code :
  1. 220 host.domain.tld ESMTP Postfix (Debian/GNU)
  2. ehlo host
  3. 250-hostname
  4. 250-PIPELINING
  5. 250-SIZE 10240000
  6. 250-VRFY
  7. 250-ETRN
  8. 250-AUTH LOGIN PLAIN
  9. 250-AUTH=LOGIN PLAIN
  10. 250 8BITMIME
  11. mail from:toto
  12. 250 Ok
  13. rcpt to:compte unix existant
  14. 250 Ok
  15. data
  16. 354 End data with <CR><LF>.<CR><LF>
  17. test grrr
  18. .
  19. 250 Ok: queued as 67D4471C5B


 
 
voilà. si vous avez une idée ou si vous pouvez me dire que c'est le fonctionnement normal.
 
Mon but est d'empecher d'envoyer des mails en telnet à mes utilisateurs existants sans s'etre authentifier avant.
 
Notez que je n'ai pas de pb d'open relay, exemple :
 

Code :
  1. 220 host.domain.tld ESMTP Postfix (Debian/GNU)
  2. ehlo host
  3. 250-hostname
  4. 250-PIPELINING
  5. 250-SIZE 10240000
  6. 250-VRFY
  7. 250-ETRN
  8. 250-AUTH LOGIN PLAIN
  9. 250-AUTH=LOGIN PLAIN
  10. 250 8BITMIME
  11. mail from:toto
  12. 250 Ok
  13. rcpt to:toto@titi.com
  14. 554 <toto@titi.com>: Relay access denied


 
 
Merci de votre aide

mood
Publicité
Posté le 08-06-2006 à 08:50:06  profilanswer
 

n°817449
lololololo
Posté le 08-06-2006 à 13:10:26  profilanswer
 

Bonjour ,
 
J'ai a peu pres le meme probleme que toi, je n'arrive pas a obligé mes utilisateurs à s'authentifier!!
 
et a priori,, l'authentification ne semble interesser personne!! (vive le SPAM!!)
 
Si t'as des infos, n'hesite pas!! (je ferais de meme ;-)

n°817469
satan
Posté le 08-06-2006 à 14:36:06  profilanswer
 

ce qui me semble bizarre c'est que tous les sites que j'ai vu utilisant les mots de passe Unix (shadow ou pam), ca ne demande pas d'authentification. Les différents howto ou on voit l'authentification c'est avec sasldb ou mysql...
 
Si j'ai des infos, je les mets ici ;-)

n°817572
Bigon
Avis défavorable
Posté le 08-06-2006 à 21:43:08  profilanswer
 

pour moi c'est le fct normal.. il accepte tout si c'est dans my_destination... le login-pwd c'est pour utiliser comme relay

n°817612
mikala
Souviens toi du 5 Novembre...
Posté le 09-06-2006 à 04:10:16  profilanswer
 

satan a écrit :

Salut,
 
j'ai, je pense, un petit problème avec l'authentification SASL de mon postfix.
Des recherches sur google ne me donnent pas grand chose car soit les différents how-to n'utilisent pas la meme méthode, soit ca leur fait comme moi (ce qui m'étonne).
 
En gros : j'utilise le demon saslauthd avec mechanism plain, qui semble bien fonctionné vu que ca me donne comme ce site en telnet (a partir de l'exterieur) : http://workaround.org/articles/ispmail-sarge/#test
 
Mon problème est que je trouve bizarre que de l'extérieur je puisse en telnet envoyer un mail sans avoir besoin de m'authentifier. En fait je n'ai pas besoin de faire un "auth plain ......" pour attaquer un mail from:...
 
Exemple :

Code :
  1. 220 host.domain.tld ESMTP Postfix (Debian/GNU)
  2. ehlo host
  3. 250-hostname
  4. 250-PIPELINING
  5. 250-SIZE 10240000
  6. 250-VRFY
  7. 250-ETRN
  8. 250-AUTH LOGIN PLAIN
  9. 250-AUTH=LOGIN PLAIN
  10. 250 8BITMIME
  11. mail from:toto
  12. 250 Ok
  13. rcpt to:compte unix existant
  14. 250 Ok
  15. data
  16. 354 End data with <CR><LF>.<CR><LF>
  17. test grrr
  18. .
  19. 250 Ok: queued as 67D4471C5B


 
 
voilà. si vous avez une idée ou si vous pouvez me dire que c'est le fonctionnement normal.
 
Mon but est d'empecher d'envoyer des mails en telnet à mes utilisateurs existants sans s'etre authentifier avant.
 
Notez que je n'ai pas de pb d'open relay, exemple :
 

Code :
  1. 220 host.domain.tld ESMTP Postfix (Debian/GNU)
  2. ehlo host
  3. 250-hostname
  4. 250-PIPELINING
  5. 250-SIZE 10240000
  6. 250-VRFY
  7. 250-ETRN
  8. 250-AUTH LOGIN PLAIN
  9. 250-AUTH=LOGIN PLAIN
  10. 250 8BITMIME
  11. mail from:toto
  12. 250 Ok
  13. rcpt to:toto@titi.com
  14. 554 <toto@titi.com>: Relay access denied


 
 
Merci de votre aide


si tu cherches a envoyer un mail a un domaine géré par ton postfix il est tout a fait normal que celui ci l'accepte sans broncher.
C'est le comportement normal.

n°817613
mikala
Souviens toi du 5 Novembre...
Posté le 09-06-2006 à 04:13:46  profilanswer
 

lololololo a écrit :

Bonjour ,
 
J'ai a peu pres le meme probleme que toi, je n'arrive pas a obligé mes utilisateurs à s'authentifier!!
 
et a priori,, l'authentification ne semble interesser personne!! (vive le SPAM!!)
 
Si t'as des infos, n'hesite pas!! (je ferais de meme ;-)


la variable smtp_sender_dependent_authentication devrait probablement répondre a une partie de ton problème ( si tu souhaites forcer l'utilisateur de ton smtp a s'authentifier , note bien que je précise l'utilisateur ... toute connection sur ton smtp devra etre authentifié pour pouvoir etre accepter . )
Tu peux aussi en utilisant permit_sasl_authenticated , et en mettant des restrictions au niveau de ton mynetwork , forcer l'authentification  ( cf http://www.postfix.org/postconf.5. [...] mynetworks et http://www.postfix.org/postconf.5.html#mynetworks )


Message édité par mikala le 09-06-2006 à 04:16:15
n°817616
satan
Posté le 09-06-2006 à 06:57:33  profilanswer
 

ok merci Mikala et Bigon. Donc impossible d'empecher l'envoi de mail vers mon domaine postfix a partir de l'extérieur en telnet. Peut etre avec TLS ?
 
Je sais que ca fait la meme chose chez Free sur leur postfix quand tu as une IP de chez eux (sinon ca refuse). Donc je peux peut etre refusé les IP autre que celle de mon réseau non ?
 
Bref je ne comprends quand meme aps trop pourquoi c'est le fonctionnement normal, le SASL devrait quand meme forcer l'authentification et ce avant de savoir si je vais envoyer un mail vers quelqu'un de mon domaine postfix...

Message cité 1 fois
Message édité par satan le 09-06-2006 à 06:58:30
n°817878
mikala
Souviens toi du 5 Novembre...
Posté le 09-06-2006 à 23:47:29  profilanswer
 

satan a écrit :


 
Bref je ne comprends quand meme aps trop pourquoi c'est le fonctionnement normal, le SASL devrait quand meme forcer l'authentification et ce avant de savoir si je vais envoyer un mail vers quelqu'un de mon domaine postfix...


justement non.
Quel interet de forcer une authentification pour envoyer un mail qui sera 'légitiment' recu par le MTA  ?
l'authentification est utile dans le cadre ou tu veux te servir du dit MTA pour faire parvenir le mail a un autre MTA ce afin de t'assurer que tu n'es pas un relais ouvert notamment aux spammeurs.

n°817900
satan
Posté le 10-06-2006 à 08:47:23  profilanswer
 

oui apres reflexion, ca se tient ;-)
J'ai trouvé une autre solution, je check le ehlo. Comme ca seul un MX peut passer (à ce que j'ai compris)
 
le seul truc qui me gene, c'est que je reponds quand meme au ehlo, vu que ce genre de parametre ne se teste qu'au moment du RCPT. Et ca me gene d'envoyer mon hostname, j'ai pas envie qu'on connaisse le nom interne de ma machine, meme si ca n'a que peu d'importance, mais j'aime faire les choses proprement.
D'ailleurs à ce propos, comment envoyer en réponse au ehlo autre chose que le hostname ? j'aimerais plutot envoyer mon domaine de messagerie (qui est différent de mydomain) :
mon hostname est par ex truc.toto.net et je voudrais que la réponse au ehlo soit mail.domaine.tld (le vrai que j'ai acheté).
 
J'ai fouillé google de partout et surtout le site postfix mais impossible de trouver un paramètre pour ca...

Message cité 1 fois
Message édité par satan le 10-06-2006 à 08:53:36
n°817931
mikala
Souviens toi du 5 Novembre...
Posté le 10-06-2006 à 12:16:01  profilanswer
 

satan a écrit :

oui apres reflexion, ca se tient ;-)
J'ai trouvé une autre solution, je check le ehlo. Comme ca seul un MX peut passer (à ce que j'ai compris)
 
le seul truc qui me gene, c'est que je reponds quand meme au ehlo, vu que ce genre de parametre ne se teste qu'au moment du RCPT. Et ca me gene d'envoyer mon hostname, j'ai pas envie qu'on connaisse le nom interne de ma machine, meme si ca n'a que peu d'importance, mais j'aime faire les choses proprement.
D'ailleurs à ce propos, comment envoyer en réponse au ehlo autre chose que le hostname ? j'aimerais plutot envoyer mon domaine de messagerie (qui est différent de mydomain) :
mon hostname est par ex truc.toto.net et je voudrais que la réponse au ehlo soit mail.domaine.tld (le vrai que j'ai acheté).
 
J'ai fouillé google de partout et surtout le site postfix mais impossible de trouver un paramètre pour ca...


tu as essayé de lire la documentation de postfix?
smtpd_banner réponds a ton problème.

mood
Publicité
Posté le 10-06-2006 à 12:16:01  profilanswer
 

n°817951
satan
Posté le 10-06-2006 à 13:46:54  profilanswer
 

non, je parle de :
 
220 host.domain.tld ESMTP Postfix (Debian/GNU)
ehlo host
250-hostname
 
j'aimerais que ca me réponde autre chose que hostname ;-)

Message cité 1 fois
Message édité par satan le 10-06-2006 à 13:48:06
n°818005
mikala
Souviens toi du 5 Novembre...
Posté le 10-06-2006 à 19:01:48  profilanswer
 

satan a écrit :

non, je parle de :
 
220 host.domain.tld ESMTP Postfix (Debian/GNU)
ehlo host
250-hostname
 
j'aimerais que ca me réponde autre chose que hostname ;-)


myhostname.

n°818334
satan
Posté le 12-06-2006 à 08:16:17  profilanswer
 

on peut metre n'importe quoi dedans ? mouarf le c**, je pensais qu'on devait vraiment laisser le nom réel de la machine.
 
Merci Mikala ;-)

n°818443
lololololo
Posté le 12-06-2006 à 15:37:26  profilanswer
 

Je vais voir du coté de la directive smtp_sender_dependent_authentication, mais elle n'est valable qu'a partir de la version 2.3 (je suis en 2.2.8) et en plus, comme tu le dis, est valable pour toutes les connexions sur le port 25 (client et serveur) , donc pas utile dans mon cas.
 
J'ai deja essayé  avec smtpd_sender/client_permission : permit_sasl_authenticated, reject mais ca ne va pas
 
Je vais passer par my_network.
 
Merci pour la réponse!!


Message édité par lololololo le 12-06-2006 à 15:42:23

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs
  réseaux et sécurité

  POstfix + SASL le retour : probleme

 

Sujets relatifs
[Ubuntu 5.10] Problème de disque au démarrageProblème authentification avec SSH sous Putty et Ubunto
Probleme de caracteres dans un batch[Linux] problème de passerelle
[Postfix] Bloquer certains expéditeurs de mail à l'aide de leur IPPostfix avec authentification SASL obligatoire
Problème Partitionnement[Postfix] Suppression de mail de la file Deferred
Problème Terminal Server - Windows 2000 
Plus de sujets relatifs à : POstfix + SASL le retour : probleme


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR