bonjour,

j’ai hésiter entre faire un nouveau poste ou faire suivre sur un poste que j’avais fait sur ogo et la messageri

j’ai opter pour nouveaux poste en espérant recevoir plus d’avie par du deja vécu

voila

j’ai implémenter postfix+cyrus pour qu’il utilisent saslauthd comme backend.

saslauthd lui meme utilise la base /etc/sasldb2. Cela m’evite de créer des comptes unix

je crée mes boites avec cyradm et les users avec saslpasswd2

ca a l’air de bien fonctionner pour cyrus lors d’une connection au serveur de messagerie avec thunderbird, demande de mot de passe, tout se passe bien. je peut consulter ma boite.

mais pour envoyer il me met un message d’erreur.

j’ai réaliser par la suite que pour l"envoi (smtp), un compte unix du même nom devais etres crée . apres validation du MDP (celui crée par saspasswd2) l’envoi peut etres effectuer??

question:

est ce normal??

l’interet était justement de ne mas avoir de compte unix créer?
a condition que j’a foiré quelque part dans les conf, c’est tout a fait possible.

tout reponse serai le bienvenu et merci d’avance.

trés intrigué

ce n’est pas normal effectivement.
ton postfix (qui s’occupe de l’envoi) est bien configuré avec une autentification, mais tu n’as pas dû spécifier que c’etait sur sasl, et donc il prend ses entrées dans la base linux.
Tu as vraiment besoin d’autentifier pour l’envoi ?
Si tu as bien protègé ton mailhub par ailleurs (pas de relai, accés smtp limité à des adresses précises), ce n’est pas essentiel d’être sûr de qui envoie, non ?
Par ailleurs, tu peux configurer l’envoi de tes clients directement au travers de ton FAI, si nécessaire (à moins que tu aies du mail interne et que tu veuilles limiter le traffic, c’est vrai je n’y pensais plus)…

ce que je souhaite arriver au final c d’avoir
postfix+cyrus avec auhentification sasl qui utilise saslauthd
qui lui doit consulter un annuaire ldap.

mais avant ca fallait que je comprenne bien son fonctionnement.

j’ai pas trouver de doc sur une implémentation
postfix+saslauthd+sasldb2 ??

mais si
postfix+saslauthd+ldap est faisable je pense que
postfix+saslauthd+sasldb2 doit le faire aussi

cyrus lui fonctionne bien avec saslauthd+sasldb2

sur le livre de postfix “orelly” il explique l’utilisation de sasldb mais sans passer par saslauthd ou sinon saslauthd+ldap??

mais j’arrive pas a comprendre ou ca a foiré???
je continu les recherche.

au fait peut etre c pas faisable ??

Relis moi bien: l’autentification à l’envoi, c’est surtout le plus souvent INUTILE.
Et si tu juges que c’est utile, alors configures postfix comme il est dit ds ton tuto postfix+saslauthd: que saslauthd prenne ses infos dans ldap ou sasldb2, c’est saslauthd qui répond à postfix.

Salut,

Je reprend le fil des cette conversation car mon problème est lui aussi lié à Postfix est SASL.

[size=150]Archi:[/size]
mon serveur Etch est connecté au net via une IP publique. Le but est de le rendre accessible de n’importe ou sur le net aux personnel de l’entreprise.
Les mails sont ensuite relayés via le serveur SMTP de notre FAI.
Il faut donc que je limite les possibilités d’envoi de mail par authentification, sinon SPAM.

J’ai suivi un tuto présenté sur Planet Ubuntu:
planet.ubuntu-fr.org/index.php?p2

[size=150]Config:[/size]
Voici la ligne de config de mon /etc/postfix/main.cf pour limiter l’accès:

mynetworks = 127.0.0.1/32 192.168.10.0/24 192.168.20.0/24 smtpd_recipient_restrictions = permit_mynetworks, permit_sasl_authenticated, reject_unauth_destination

Si je fais un test en telnet de mon serveur SMTP, il interprète correctement la demande AUTH PLAIN dGVzdAB0ZXN0AHRlc3Rw****servant à m’authentifier.

Mais je remarque qu’il laisse aussi envoyer des mails depuis l’extérieur sans demander à s’authentifier !

Une idée de l’option de la config à changer pour forcer l’authentification des clients ?

Merci

Oki, je viens de faire un autre test.

La directive “mynetworks =” permet de limiter les IP sources capables d’utiliser le serveur pour envoyer leurs mails.

Avant:mynetworks = 127.0.0.1/32 192.168.10.0/24 192.168.20.0/24
Maintenant:mynetworks = 127.0.0.1/32
Avec un restart de Postfix après la modif

Et les mails de mon LAN 192.168.20.0/24 partent toujours…

[quote=“mattotop”]Relis moi bien: l’autentification à l’envoi, c’est surtout le plus souvent INUTILE.
(…)[/quote]A quoi je pensais en disant une telle connerie et en etant aussi catégorique ? N’importe quoi.
Platinium:
si tu enlèves le permit_mynetworks, il ne force pas l’authentification (même pour le réseau interne, mais c’est déjà pour tester) ?

Salut,

Je viens de supprimer permit_mynetworks de smtpd_sender_restrictions et de smtpd_recipient_restrictions.

Puis une /etc/init.d/postfix reload.

Aucun changement, donc j’ai fait un /etc/init.d/postfix restart.
Aucun changement.

J’ai rebooté le serveur, aucun changement.
Donc j’ai arreêté le démon saslauthd pour être sur que mes clients ne puissent pas s’authentifier.
Et pourtant je continue à pouvoir envoyer des mails depuis les clients du LAN…

Voici mon /etc/postfix/main.cf en entier:

[code]root@malibu:/etc/postfix# cat main.cf
myhostname = smtp.***.net
mydomain = ***.net
mynetworks_style = host
default_transport = smtp
relayhost = smtp.free.fr
inet_interfaces = all
inet_protocols = ipv4
#myorigin = /etc/mailname

De quels domaines recevoir le courrier

mydestination =

De quels clients relayer le courrier

mynetworks = 127.0.0.1/32

192.168.10.0/24 192.168.20.0/24

mailbox_size_limit = 0
#recipient_delimiter =
smtpd_sender_restrictions = permit_sasl_authenticated
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination
smtpd_sasl_auth_enable = yes
broken_sasl_auth_clients = yes

relayage des mails

relay_domains = fr

smtpd_sasl_local_domain = $myhostname
smtpd_use_tls = yes
smtpd_tls_cert_file = /etc/postfix/ssl/smtpd.crt
smtpd_tls_key_file = /etc/postfix/ssl/smtpd.key
smtpd_sasl_security_options = noanonymous
smtpd_tls_auth_only = no
smtp_use_tls = yes
smtp_tls_note_starttls_offer = yes
smtpd_tls_CAfile = /etc/postfix/ssl/cacert.pem
smtpd_tls_loglevel = 1
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
tls_random_source = dev:/dev/urandom[/code]

grrr bizarre:
dans le send essayes reject_plaintext_session

OK.

J’ai trouvé d’ou venait le problème.
En fait SASL marche parfaitement.

Le problème est ma ligne de config relay_domains.
Cette ligne permet en fait à des “étrangers” d’envoyer du courrier via mon serveur.

J’avais mis fr car je ne savais pas quoi mettre.

Il faut mettre le domaine DNS pour que les autres serveurs SMTP puisse nous envoyer du courrier sans avoir à s’authentifier !

Problème réglé