Postfix et commande "reject_unknown_helo_hostname"

Support Debian
#1

Bonjour,
J’ai postfix installé depuis un moment, qui fonctionne très bien.
J’ai voulu sécuriser un peu plus… Et j’ai ajouté la commande reject_unknown_helo_hostname à mon main.cf

Evidemment, il rejette comme je lui demande les “hostname” inconnus…

A quel endroit faut-il déclarer les “hostname” autorisés ?
Faut-il que je mette ça dans Bind, dans /etc/hostname, dans un fichier de postfix ?
Ce sont pour la plupart des poste Windows, qui ne possèdent pas de nom de domaines, juste un nom de machine.

#2

Hum…
5 consultations dont 2 par moi :mrgreen:
J’imagine que ça ne passionne pas les foules ! :wink:

J’ai ajouté les noms des machines à Bind, évidemment il ajoute le nom de domaine à la machine, et ça ne fonctionne pas plus.
J’ai ajouté aussi les noms et IP des machines à hosts. Pas mieux…

Je ne sais pas trop de quel côté regarder…

#3

Si j’ai bon souvenir tu règles ça avec permit_mynetworks ou un truc dans le genre.
Je n’ai pas été confronté à ça car je passe cette directive en reject_warning…chui pas un geek parano moi :wink:

Edit : je viens de regarder et tu peux essayer de déclarer tes machines dans mynetworks et tu les autorise à passer avec permit_mynetworks dans les déclarations de restriction.

#4

Salut

[quote=“antalgeek”]Si j’ai bon souvenir tu règles ça avec permit_mynetworks ou un truc dans le genre.
Je n’ai pas été confronté à ça car je passe cette directive en reject_warning…chui pas un geek parano moi :wink:

Edit : je viens de regarder et tu peux essayer de déclarer tes machines dans mynetworks et tu les autorise à passer avec permit_mynetworks dans les déclarations de restriction.[/quote]

Merci de ton soutien ! :smiley:
Quand ça veut pas ce truc…

J’ai essayé de faire une liste blanche : fichier /etc/postfix/rbl_override avec les IP suivi de OK
Puis “postmap /etc/postfix/rbl_override”

J’ai bien dans mon main.cf :

... mynetworks = 192.168.0.0/24, 127.0.0.0/8 ... smtpd_recipient_restrictions = reject_invalid_hostname, reject_unauth_pipelining, permit_mynetworks, ... check_client_access hash:/etc/postfix/rbl_override,

J’ai bien redémarré postfix… :017
Y’a un truc à la noix qui m’échappe :confused:

#5

Je vais essayer demain d’intervertir ce deux commandes :

reject_invalid_hostname

permit_mynetworks

Parceque là… je sèche !

Et je n’ai pas envie d’enlever la commande qui me bloque (smtpd_helo_restrictions = reject_unknown_helo_hostname) parce que j’ai repéré dans mes logs deux IP indésirables bloquées grâce à cette petite vérification…

#6

Si tu ne l’as pas déjà je te conseille pflogsumm, très pratique pour jeter un coup d’oeil aux logs sans se transformer en mutant capable de lire un syslog

#7

Salut,

Merci je viens de l’installer.
Je ne sais pas comment ça marche… Il faut que je cherche.

C’est vrai que j’ai les yeux qui piquent depuis 2 jours avec ces puta… de logs de postfix… :mrgreen:
J’ai réglé indirectement le problème en demandant aux utilisateurs de passer par le Webmail (le smtp est donc contacté directement par le localhost du serveur…), mais certains possèdent plusieurs boites, et ce n’est pas pratique…

J’ai toujours ce “Helo command rejected: Host not found” dans mes logs et ça m’énerve…

#8

Toujours ce blocage…
C’est dans Bind je pense qu’il faut que je règle mon problème…
Mais je ne sais pas comment faire…

J’ai modifié ma zone en ajoutant ce genre d’entrées :

Bureau.isalo.org. IN A 192.168.0.21

ou

Bureau. IN A 192.168.0.21

Mais ça bloque toujours… Comment être certain que Postfix va regarder dans MON Bind au fait ?

Il faudrait que j’enlève le DNS secondaire ? :

[code]lol:~# nslookup

server
Default server: 192.168.0.1
Address: 192.168.0.1#53
Default server: 41.188.9.130
Address: 41.188.9.130#53
[/code]

#9

Tu peux regarder ça avec TCPdump ou wireshark pour voir ce qu’il se passe car effectivement ça ressemble à une requête DNS qui ne lui renvoie pas ce qu’il demande.

#10

Re,

Excellente suggestion.
Il y a effectivement une demande de résolution inverse…

Je viens de créer une nouvelle zone avec ceci :

Bureau. IN A 192.168.0.209 209 IN PTR Bureau.

Ça ne fonctionne pas toujours pas, mais je dois pas en être loin…

#11

Re,
Toujours bloqué et pourtant mon DNS semble bien configuré…

[code]$ nslookup 192.168.0.13
Server: 192.168.0.1
Address: 192.168.0.1#53

13.0.168.192.in-addr.arpa name = Rec1.isalo.org.

$ nslookup Rec1.isalo.org
Server: 192.168.0.1
Address: 192.168.0.1#53

Name: Rec1.isalo.org
Address: 192.168.0.13
[/code]

Jun 19 07:51:00 lol postfix/smtpd[12112]: connect from Rec1.isalo.org[192.168.0.13] Jun 19 07:51:00 lol postfix/smtpd[12112]: NOQUEUE: reject: RCPT from Rec1.isalo.org[192.168.0.13]: 450 4.7.1 <Rec1>: Helo command rejected: Host not found; from=<xxxxxxxxxxxxxxxx@gmail.com> to=<xxxx.xxx@mda.mg> proto=SMTP helo=<Rec1> Jun 19 07:51:00 lol postfix/smtpd[12112]: disconnect from Rec1.isalo.org[192.168.0.13]

WTF ?

#12

Si tu n’as pas trouvé d’ici lundi tu peux m’envoyer ta config j’ai un postfix de test au taf et je ferai des essais de mon côté parce que là je suis sec, mais ça m’intéresse drôlement.

#13

Salut,
C’est sympa. Je veux bien, mais ma config est un peu lourde (utilisateurs virtuels dans une base mysql…)
Et j’espère bien trouver… :mrgreen:

J’en ai profité pour faire une découverte (grâce à toi et pflogsumm) : mailgraph ! howtoforge.com/mail_statisti … _pflogsumm


#14

Ouais il est chouette mailgraph, c’est grâce à ça que j’ai commencé à jouer avec rrdtools. J’ai trouvé que le code perl valait le coup de l’analyser un peu.

#15

+1 :023

-1 pour mon “reject_unknown_helo_hostname”… Dépité, j’ai remplacé par “reject_invalid_helo_hostname” et là ça passe…
Je ne comprend pas ce qui bloque, la résolution et le reverse fonctionnent pourtant… Dans le message d’erreur, il me donne bien le nom complet de la machine avec le domaine… Je laisse murir, je reviendrais dessus plus tard.

Merci pour ton aide Antalgeek :006

#16

je déterre ce vieux topic pour t’apporter un élément de réponse ayant eu le problème il y a peu :slightly_smiling:

tu peux laisser le reject_unknown_helo_hostname tout en définissant une liste blanche, à condition d’appeler cette liste avant ton reject
beaucoup de serveur exchange en fait restent bloqués si le reject est activé sans la whitelist, ce qui peut être génant :confused:

bref, ça donne ça :

/etc/postfix/main.cf... check_helo_access hash:/etc/postfix/helo_hostname_whitelist reject_unknown_helo_hostname ...

/etc/postfix/helo_hostname_whitelist

un p’ti

et enfin un

#17

Salut,
C’est sympa de partager le truc. Merci.
Par contre… Il faut remplir la liste blanche, et ça c’est un peu lourd…

#18

ça reste un inconvénient oui, mais c’est le prix à payer si on souhaite utiliser ce paramètre
A ce jour je n’y ai pas trouvé d’autre parade

#19

Re,

[quote=“Mitsu”]ça reste un inconvénient oui, mais c’est le prix à payer si on souhaite utiliser ce paramètre
A ce jour je n’y ai pas trouvé d’autre parade[/quote]

Tu as raison, j’avais mal interprété la commande, d’ou mon incompréhension.
C’est très clair maintenant! :wink: