Postfix + Client host rejected + forcer un reverse

Salut,
J’ai deux serveurs de mails, et je souhaite me servir d’un des deux comme relayhost.
Après quelques recherche, j’ai trouvé une solution: stunnel4 qui fonctionne avec sasl.

Mais le problème n’est pas là. J’ai (je crois) un problème de reverse dns.

J’ai bien tenté sur mon serveur postfix d’ajouter une entrée PTR (dans BIND) pour modifier le reverse de l’IP du serveur postfix “client”, rien n’y fait, le résolution inverse pointe toujours sur le FAI.

Est-il possible de forcer un nom de domaine sur une résolution inverse ?

Up…

Pas tout compris… Qui se connecte à qui ? C’est quoi “mon_FAI[41.204.xxx.xxx]” ?
Et que vient faire stunnel là-dedans ?

Salut,
Alors:

J’ai deux serveurs postfix. Je souhaite que l’un (disons le client) se serve de l’autre (le serveur) comme “relayhost”.
Le client n’a pas de reverse chez le FAI, lorsqu’il se connecte au serveur pour passer un mail, ce dernier (le serveur râle à cause du reverse qui ne correspond pas au nom du serveur de mail).

Le FAI n’est pas très pro et c’est compliqué (très compliqué) pour lui demander d’ajouter un reverse sur l’IP du client.

L’histoire de stunnel, c’était juste pour une histoire d’authentification + port (ça c’est réglé). Je n’aurais pas du en parler.

mon_FAI c’est le reverse de l’IP 41.204.xxx.xxx (qui point sur le domaine de mon FAI) et qui ne correspond donc pas au nom de la machine ou au nom du serveur de mail.

Mon idée, c’était de trouver un moyen de berner le serveur de de lui imposer un reverse de l’ip du client. Je n’ai pas trouvé comment faire ça… ni avec le fichier hosts, ni avec mon dns, ni avec le dns du registrar évidemment.

J’ai comme l’impression que ce n’est pas possible…
J’espère avoir été plus clair.

Pour l’instant j’ai contourné en faisant un tunnel ssh entre les deux machines.

[quote=“lol”]Le client n’a pas de reverse chez le FAI
(…)
mon_FAI c’est le reverse de l’IP 41.204.xxx.xxx[/quote]
Faudrait savoir, il a un reverse ou pas ?

Si l’adresse est fixe, normalement une entrée dans /etc/hosts devrait le faire, sauf si postfix n’interroge que les DNS et pas le resolver de la libc.
Dans BIND il faut créer une zone inverse de type master. Si tu as fait comme il faut,

devrait retourner le reverse souhaité. Mais ça ne marchera que pour les machines interrogeant ce BIND.

Ceci dit, je ne suis pas sûr que ce soit un problème de reverse. Tu as bien autorisé le relais depuis l’adresse du client dans la configuration de postfix sur le serveur (mynetworks…) ?

Re,

[quote=“PascalHambourg”]Faudrait savoir, il a un reverse ou pas ?[/quote]Disons un mauvais… celui du FAI

J’ai déjà essayé dans host, ça ne fonctionne pas.
J’ai aussi créé une zone inverse avec une entrée PTR:

xxx.xxx.204.41.in-addr.arpa. 86400      PTR        client.site.tld.

Rien de mieux.

host 41.204.xxx.xxx xxx.xxx.204.41.in-addr.arpa domain name pointer static-xxx-xxx.blueline.mg.

Oui dans postfix j’ai ajouté le nom de domaine, l’ip, rien à faire (mydestination, mynetwork)

May 26 16:24:31 ns387xxx postfix/smtpd[5422]: NOQUEUE: reject: RCPT from client.site.tld[41.204.xxx.xxx]: 554 5.7.1 <client.site.tld[41.204.xxx.xxx]>: Client host rejected: Access denied; from=<> to=<admin@serveur.tld> proto=ESMTP helo=<client.site.tld>

Ma solution de tunnel ssh fonctionne bien, donc je ne suis pas bloqué. Mais ça m’énerve de ne pas trouver ou est mon erreur…

Edit: [quote]J’ai aussi créé une zone inverse avec une entrée PTR:[/quote]… Pardon. Je n’ai pas créé de zone inverse. J’ai ajouté un PTR dans la zone principale… Tu penses que c’est ça mon erreur ?

Qu’appelles-tu “zone principale” ? Le nom de domaine d’un enregistrement doit être un sous-domaine de la zone pour être inclus, sinon il est ignoré. On ne peut pas inclure “truc.machin.org” dans la zone “bidule.net”. Voir les logs de named au démarrage.

En tout cas si la commande host depuis le serveur ne donne pas la réponse attendue, cela veut dire que soit BIND n’est pas bien configuré, soit le resolver interroge un autre DNS.

Pardon si je n’utilise pas les bons termes.

Je parle de la zone concernant le domaine que je veux contrôler localement:

[code]cat /etc/bind/pri.client.tld
$TTL 86400
@ IN SOA ns1.serveur.tld. admin.client.tld. (
2012052503 ; serial, todays date + todays serial #
28800 ; refresh, seconds
7200 ; retry, seconds
604800 ; expire, seconds
86400 ) ; minimum, seconds
;

xxx.xxx.204.41.in-addr.arpa. 86400 PTR web.client.tld.
client.tld. 86400 A 41.204.xxx.xxx
client.tld. 86400 MX 10 mail.client.tld.
client.tld. 86400 NS ns1.serveur.tld.
client.tld. 86400 NS ns2.serveur.tld.
mail 86400 A 41.204.xxx.xxx
www 86400 A 41.204.xxx.xxx[/code]
Les ns sont ceux de mon serveur (celui dont je souhaite me servir comme “relay”), ils fonctionnent.

Et effectivement je ne comprend pas pourquoi le commande host ne renvoie pas le domaine souhaité…

[code]host 41.204.xxx.xxx localhost
Using domain server:
Name: localhost
Address: 127.0.0.1#53
Aliases:

xxx.xxx.204.41.in-addr.arpa domain name pointer static-xxx-xxx.blueline.mg.[/code]

Comme je l’ai écrit plus haut, on ne peut pas inclure “truc.machin.org” dans la zone “bidule.net”, et notamment tu ne peux pas définir un reverse xxx.xxx.204.41.in-addr.arpa dans une zone “directe” client.tld. Il faut le faire dans une zone inverse, de préférence de même nom xxx.xxx.204.41.in-addr.arpa pour ne pas perturber la résolution des adresses voisines.

Salut,
Je viens de créer ma zone reverse, ça roule.
Merci beaucoup.

Il fallait aussi faire une modification dans le fichier master.cf:

[quote]smtps inet n - - - - smtpd
-o smtpd_tls_wrappermode=yes
-o smtpd_sasl_auth_enable=yes
-o smtpd_client_restrictions=permit_mynetworks,permit_sasl_authenticated,reject
-o milter_macro_daemon_name=ORIGINATING[/quote]

Encore merci pour le dns!