Serveur Postfix + Iptable

Support Debian
#1

Bonjour, deb 3.1 2.6.18

J’ai mis en place un serveur Postfix et courier-imap sur ma debian.
J’ai mis en place Netfilter que j’administre via Webmin 1.3 en utilsant l’interface Filter uniquement car mon serveur est hébergé (serveur dédié).
J’ai autorisé les port 25,110 et 143 en entrée et sortie
Tout marche bien:
Je reçois et envoi des mails appartir de mon serveur en interne et externe.
Mais le probléme est que je ne peux pas utiliser ma passerelle smtp sur un client de messagerie.
Lorsque je configure un client de messagerie pop ou imap en indiquant le compte pop ou imap de mon serveur avec la passerelle smtp d’un FAI comme free par exempla ça marche, mais si j’indique la passerelle smtp de mon serveur ça marche pas le message sous outlook m’indique qu’il narrive pas à trouver le serveur smtp ou que celui ci ne répond pas.
Mon serveur smtp est bien enregistrer sur ma zone dns enreistrement A stmp.mondomaine.com, j’ai vérifier est tout est OK
Je me demande si ça vient de la config de Postfix ou Netfilter (iptables).
Merci pour toute l’aide
Cordialement,

#2

J’aurais dit que tu avais oublié de dire à postfix d’ecouter sur les interfaces exterieures, mais vu qu’il recoit bien, c’est que c’est déjà fait.
Tu as qqchose dans les logs ?
Le message precis du mailer c’est quoi ?

#3

Merci

Non je n’ai rien des mes fichiers de log. Ci dessous mon fichier main.cf (config de postfix)

[b]# See /usr/share/postfix/main.cf.dist for a commented, more complete version

smtpd_banner = $myhostname ESMTP $mail_name (Debian/GNU)
biff = no

appending .domain is the MUA’s job.

append_dot_mydomain = no

Uncomment the next line to generate “delayed mail” warnings

#delay_warning_time = 4h

alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
myorigin = /etc/mailname
mydestination = mondomaine.com
mailbox_size_limit = 0
recipient_delimiter = +

myhostname = srvmail.mondomaine.com

mynetworks = 127.0.0.1 xx.xx.xxx.xx (IP hébergeur ovh)
home_mailbox = Maildir/[/b]

Mon fichier de config de NetFilter:

Generated by iptables-save v1.2.11 on Mon Feb 19 20:52:50 2007

*mangle
:stuck_out_tongue:REROUTING ACCEPT [169:16648]
:INPUT ACCEPT [169:16648]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [160:85065]
:stuck_out_tongue:OSTROUTING ACCEPT [160:85065]
COMMIT

Completed on Mon Feb 19 20:52:50 2007

Generated by iptables-save v1.2.11 on Mon Feb 19 20:52:50 2007

*nat
:stuck_out_tongue:REROUTING ACCEPT [11:3039]
:stuck_out_tongue:OSTROUTING ACCEPT [1:73]
:OUTPUT ACCEPT [1:73]
COMMIT

Completed on Mon Feb 19 20:52:50 2007

Generated by iptables-save v1.2.11 on Mon Feb 19 20:52:50 2007

*filter
:INPUT DROP [6:2799]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [150:84543]
-A INPUT -i ! eth0 -j ACCEPT
-A INPUT -p tcp -m tcp --tcp-flags ACK ACK -j ACCEPT
-A INPUT -m state --state ESTABLISHED -j ACCEPT
-A INPUT -m state --state RELATED -j ACCEPT
-A INPUT -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 0 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 3 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 4 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 12 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 113 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A INPUT -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 53 -j ACCEPT
-A INPUT -p udp -m udp --dport 53 -j ACCEPT
-A INPUT -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A INPUT -d xx.xx.xxx.xx (IP hébergeur ovh)-p tcp -m tcp -m multiport --ports 25 -j ACCEPT
-A INPUT -d xx.xx.xxx.xx (IP hébergeur ovh)-p tcp -m tcp -m multiport --ports 110 -j ACCEPT
-A INPUT -d xx.xx.xxx.xx (IP hébergeur ovh)-p tcp -m tcp -m multiport --ports 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp --dport 10000 -j ACCEPT
-A OUTPUT -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 143 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 110 -j ACCEPT
-A OUTPUT -p tcp -m tcp -m multiport --ports 25 -j ACCEPT
COMMIT

Completed on Mon Feb 19 20:52:50 2007

Merci pour ton aide
Cordialement

#4

C’est AMA ton “mynetworks =” qui est trop restrictif. Il faut que tu autorise les IPs de tes clients, sinon, il n’ont que le droit de déposer des mails pour les domaines que tu gères, mais ceux vers d’autres domaines sont considèrés comme du relai illegal.
par contre, par défaut, la variable smtpd_recipient_restrictions, que tu ne fixes pas dans ton main.cf, prend la valeur:
permit_mynetworks, reject_unauth_destination
ce qui veux dire qu’il va d’abord accepter les adresses qui viennent de “mynetworks”, et sinon, rejeter les domaines non autorisés (=locaux), et sinon (cas par défaut qui se limite si l’on resume bien à ce qui correspond à tes domaines locaux), tout accepter (le comportement par defaut apres avoir testé de gauche à droite s’il fallait accepter ou refuser).
Je pense qu’il est plus sûr de ne pas utiliser l’adresse ip comme critère, et de mettre en plas une authentification sasl, avec au final un
smtpd_recipient_restrictions = permit_sasl_authenticated, reject_unauth_destination

Pour plus de précisions, se réfèrer à man postconf, et surtout man 5 postconf