[Résolu] Postfix mail qui ne devrait pas dans la mailqueue

B@rtounet · Le 30/08/2007, à 18:03

Bonjour,
je me pose une question:
J'utilise postfix dans mon entreprise pour envoyer et recevoir des mails.
Il est bien sur configurer afin de na pas etre open relay.
Pourtant aujourd'hui l'installation d'un nouveau soft à generer des mails bidons vers un serveur bidon.. et je n'arrive pas à comprendre pkoi ce mail ce trouve dans la mailqueue, sachant qu'il le domaine de l'emmeteur n'a rien à voir avec le domaine de l'entreprise...

Voici les preuves à l'appui.

inetgw:~ # postconf -n
alias_maps = hash:/etc/aliases
biff = no
bounce_queue_lifetime = 1d
canonical_maps = hash:/etc/postfix/canonical
command_directory = /usr/sbin
config_directory = /etc/postfix
daemon_directory = /usr/lib/postfix
default_destination_concurrency_limit = 100
default_destination_recipient_limit = 100
disable_dns_lookups = no
disable_mime_output_conversion = no
html_directory = /usr/share/doc/packages/postfix/html
inet_protocols = all
initial_destination_concurrency = 10
local_destination_concurrency_limit = 100
local_recipient_maps = hash:/etc/postfix/relay_recipients
mail_name = smtp
mail_version = 1.0
mailbox_size_limit = 0
mailq_path = /usr/bin/mailq
manpage_directory = /usr/share/man
masquerade_classes = envelope_sender, header_sender, header_recipient
masquerade_exceptions = root
maximal_queue_lifetime = 2d
message_size_limit = 50000000
mydestination = $mydomain, monautredomaine.fr
mydomain = mondomaine.fr
myhostname = smtp.mondomaine.fr
mynetworks = 127.0.0.1
myorigin = $mydomain
newaliases_path = /usr/bin/newaliases
readme_directory = /usr/share/doc/packages/postfix/README_FILES
relocated_maps = hash:/etc/postfix/relocated
sample_directory = /usr/share/doc/packages/postfix/samples
sender_canonical_maps = hash:/etc/postfix/sender_canonical
sendmail_path = /usr/sbin/sendmail
setgid_group = maildrop
smtp_destination_concurrency_limit = 100
smtp_destination_recipient_limit = 100
smtp_sasl_auth_enable = no
smtp_use_tls = no
smtpd_client_restrictions = permit_mynetworks, reject_rbl_client relays.ordb.org                                                                             , reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, rejec                                                                             t_rbl_client bl.spamcop.net, reject_rbl_client ex.dnsbl.org, reject_rbl_client o                                                                             pm.blitzed.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client blackholes.                                                                             wirehub.net, permit
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, che                                                                             ck_policy_service unix:private/spf, check_policy_service inet:127.0.0.1:6000
smtpd_sasl_auth_enable = no
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender                                                                             , permit_mynetworks, hash:/etc/postfix/access
smtpd_use_tls = no
strict_8bitmime = no
strict_rfc821_envelopes = no
transport_maps = hash:/etc/postfix/transport
unknown_local_recipient_reject_code = 550

de plus j'ai meme une liste qui se met à jour avec domino tous les jours pour eviter que de l'interieur on puisse envoyer avec une adresse inexistante.

la preuve:

inetgw:/etc/postfix # telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.mondomaine.fr ESMTP smtp
ehlo test@test.fr
250-smtp.mondomaine.fr
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250 8BITMIME
mail from: test@test.fr
250 Ok
rcpt to:bartounet@hotmail.com
450 <test@test.fr>: Sender address rejected: Domain not found

meme de l'interieur de mon réseau on ne peut pas envoyer a partir d'autre adresse que mondomaine.fr

pourtant dans la mailqueue...

2EE79C14E8E2     1997 Thu Aug 30 10:35:07  send@example.com
                (connect to example.com[208.77.188.166]: Connection timed out)
                                         carbon@example.com

5D9A4C2C75CB     2002 Thu Aug 30 10:35:08  send@example.com
                (connect to example.com[208.77.188.166]: Connection timed out)
                                         carbon@example.com

56719C2B9C17     2002 Thu Aug 30 10:34:21  send@example.com
(delivery temporarily suspended: connect to example.com[208.77.188.166]: Connection timed out)
                                         carbon@example.com

comment un logiciel un l'interieur peur passer outre les sécurité de recipient ??

Dernière modification par B@rtounet (Le 01/09/2007, à 11:24)

Uggy · Le 30/08/2007, à 18:17

Que disent les logs complets d'un des 3 messages en question ??

toniotonio · Le 30/08/2007, à 18:18

il manque des infos dans ton copier coller du postconf -n:
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, che ???

Uggy · Le 30/08/2007, à 18:23

B@rtounet a écrit :

Pourtant aujourd'hui l'installation d'un nouveau soft à generer des mails bidons vers un serveur bidon

Tu veux dire un soft installé en local sur la meme machine que postfix ??

Parceque vu ton "mynetworks = 127.0.0.1" .........

B@rtounet · Le 30/08/2007, à 18:29

non installé sur un poste du lan simplement...

La mynetwork est a 127.0.0.1 car domino, envoie tous ses mails à Fsecure (antivirus installé sur le proxy) qui lui les delivre à postfix

pour le reste de la conf je suis plus au taff là donc je vous mettrais ca demain....
Mais en en toute logique j'ai du mal à comprendre

Uggy · Le 30/08/2007, à 18:30

Les logs les logs les logs.... La réponse est dans les logs...
(ou dans les lignes manquantes de ton postconf -n)

Dernière modification par Uggy (Le 30/08/2007, à 18:34)

B@rtounet · Le 30/08/2007, à 19:04

au fait si, le posconf est complet, déplacez juste l'acsenceur a droite
je sais pas pkoi ca à fait un espace

smtpd_client_restrictions = permit_mynetworks, reject_rbl_client relays.ordb.org , reject_rbl_client sbl-xbl.spamhaus.org, reject_rbl_client list.dsbl.org, rejec t_rbl_client bl.spamcop.net, reject_rbl_client ex.dnsbl.org, reject_rbl_client o pm.blitzed.org, reject_rbl_client dnsbl.njabl.org, reject_rbl_client blackholes. wirehub.net, permit
smtpd_helo_required = yes
smtpd_recipient_restrictions = permit_mynetworks, reject_unauth_destination, che ck_policy_service unix:private/spf, check_policy_service inet:127.0.0.1:6000
smtpd_sasl_auth_enable = no
smtpd_sender_restrictions = reject_unknown_sender_domain, reject_non_fqdn_sender , permit_mynetworks, hash:/etc/postfix/access

Dernière modification par B@rtounet (Le 30/08/2007, à 19:10)

toniotonio · Le 30/08/2007, à 19:35

y a pas mal de points a eclaircir:

deja relays.ordb.org n'existe plus, tu peux l'enlever de la liste.
ensuite tu as bcp trop de rbl mais bon si ca te convient... c'est toi qui voit (2 rbl sont largement suffisantes et cela evite un max de false positive)

autre point: quel est le policy service que tu utilises sur le port 6000 ?

et puis a quoi est sensé servir: hash:/etc/postfix/access dans le smtpd_sender_restrictions ?
formater comme ceci ca ne fonctionnera pas.

donc ou est le parametrage qui empeche d'envoyer un email avec une adresse inexistante (et puis qu'entends tu par inexistante)

pour finir detaille un peu plus ton architecture: comment se connecte un client interne pour envoyer un email ?

Dernière modification par toniotonio (Le 30/08/2007, à 19:42)

B@rtounet · Le 30/08/2007, à 21:49

sur le port 6000 c'est bien sur postgrey.
Un client interne à comme serveur de mail domino IBM.
quand un mail part, il part de domino, passe dans Fsecure (qui est sur le meme serveur que postfix) et passe dans postfix.

toniotonio · Le 30/08/2007, à 22:00

donc c'est le domino qui s'occupe de la verification qui empeche d'envoyer un email avec une adresse inexistante ?

postfix ne verifie que basiquement
si l'adresse specifiée dans le MAILFRO existe.
si le mailfrom est un fqdn
pas plus
(et example.com n'est donc pas une adresse inexistante selon ces verifications la )

et pour le hash:/etc/postfix/access ?.???

Dernière modification par toniotonio (Le 30/08/2007, à 22:02)

B@rtounet · Le 30/08/2007, à 22:39

non c'est pas ca, domino ne vérifie rien,
domino envoie à intervalle régulier la liste de toutes ses adresse mails sur le serveur postfix...
à l'aide d'un script toute ces adresses sont triées et transformé en relay_recipient.db

d'ou dans postfix dans le main.cf
local_recipient_maps = hash:/etc/postfix/relay_recipients

par contre je viens de regarder la conf
et le hash:/etc/postfix/access correspon au fuchier access qui contient
mondomaine.fr REJECT
J'avoue ne pas comprendre pourquoi... je ne me rapelle plus pkoi on avait mis en place cette option...

Toujours est t'il que je tient tout de meme à préciser que c'est une conf qui tourne non stop depuis 2 ans sans souci et sans perte de mail

Uggy · Le 30/08/2007, à 23:53

B@rtounet a écrit :

quand un mail part, il part de domino, passe dans Fsecure (qui est sur le meme serveur que postfix) et passe dans postfix.

Quelle est la sécurité de F-secure ?????
Postfix accepte de relayer quand ca vient de 127.0.0.1 autrement dit si F-Secure accepte n'importequel mail, alors tu as réglé ton Postfix pour l'accepter...

T'as sécurité "Anti-Relais" n'est pas assurée par Postfix mais par F-Secure.

B@rtounet · Le 30/08/2007, à 23:58

Bah non puisque quand je faits des test en changeant mon adresse mail par une adresse bidon dans mon client de messagerie il refuse si l'adresse n'est pas dans le relay_recipient.

Bien qu'il passe par fsecure, il prend bien en compte toutes les restrictions non?

de plus tu as bien vu

inetgw:/etc/postfix # telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.mondomaine.fr ESMTP smtp
ehlo test@test.fr
250-smtp.mondomaine.fr
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250 8BITMIME
mail from: test@test.fr
250 Ok
rcpt to:bartounet@hotmail.com
450 <test@test.fr>: Sender address rejected: Domain not found

Dernière modification par B@rtounet (Le 31/08/2007, à 00:04)

Uggy · Le 31/08/2007, à 01:03

B@rtounet a écrit :

Bien qu'il passe par fsecure, il prend bien en compte toutes les restrictions non?

Bah c'est toi qui connait F-Secure...pas moi ...mais j'ai bien l'impression que non.

B@rtounet a écrit :

de plus tu as bien vu
inetgw:/etc/postfix # telnet localhost 25

Bahh ca me dit que tu telnet le port 25 qui semble etre le Postfix... Apres je connais pas F-Secure... Je sais pas si tu le fait pas écouter sur un autre port etc...

F-Secure est transparent ??? c'est a dire au point que c'est la bannière de postfix que tu vois meme si F-Secure est devant ? (C'est possible... je connais pas...)
Il me semble bien t'avoir entendu parler autre part de ton F-Secure écoutant sur le port 9025 ... ??

Bon...de toute facon on y verra + clair avec les logs...

Dernière modification par Uggy (Le 31/08/2007, à 01:20)

Uggy · Le 31/08/2007, à 01:17

B@rtounet a écrit :

quand un mail part, il part de domino, passe dans Fsecure (qui est sur le meme serveur que postfix) et passe dans postfix.

Je suis curieux de savoir comment Domino parvient a envoyer des mails a l'extérieur en passant par un Postfix qui a son "mynetworks = 127.0.0.1"

(si ce n'est un pb avec F-secure par exemple)

toniotonio · Le 31/08/2007, à 07:04

B@rtounet a écrit :

Bah non puisque quand je faits des test en changeant mon adresse mail par une adresse bidon dans mon client de messagerie il refuse si l'adresse n'est pas dans le relay_recipient.
Bien qu'il passe par fsecure, il prend bien en compte toutes les restrictions non?
de plus tu as bien vu
inetgw:/etc/postfix # telnet localhost 25
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.mondomaine.fr ESMTP smtp
ehlo test@test.fr
250-smtp.mondomaine.fr
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250 8BITMIME
mail from: test@test.fr
250 Ok
rcpt to:bartounet@hotmail.com
450 <test@test.fr>: Sender address rejected: Domain not found

as tu lu ce que j'ai ecrit plus haut ?

ta "protection" contre les mailfrom bidon ne s'opere que sur l'existence du domaine ou pas.
en l'occurrence test.fr n'existe pas, d'ou le not found

mais example.com existe d'ou la sortie du mail... (qui s'arrete car l'ip donnée par la resolution dns n'est pas un serveur de mail d'ou le timeout)

pour faire une restriction complete sur le mailfrom, c'est un peu plus complique que ca.

Dernière modification par toniotonio (Le 31/08/2007, à 07:06)

B@rtounet · Le 31/08/2007, à 08:20

Uggy a écrit :

B@rtounet a écrit :
quand un mail part, il part de domino, passe dans Fsecure (qui est sur le meme serveur que postfix) et passe dans postfix.
Je suis curieux de savoir comment Domino parvient a envoyer des mails a l'extérieur en passant par un Postfix qui a son "mynetworks = 127.0.0.1"
(si ce n'est un pb avec F-secure par exemple)

Dejà merci pour vos réponse, on peut toujours compter sur vous et c'est agréable,

uggy j'ai du mal à te suivre,
postfix et fsecure sont sur le meme serveur. donc mynetwork 127.0.0.1 est logique

Dernière modification par B@rtounet (Le 31/08/2007, à 09:35)

toniotonio · Le 31/08/2007, à 08:35

bon je vois que je parle seul
enfin tout ca pour dire qu'il est normal que ton mail soit autorisé a l'envoi avec comme mailfrom @example.com

B@rtounet · Le 31/08/2007, à 09:07

Non tonio, tu ne parle pas seul,
Je n'etais pas sur place, je ne pouvais donc pas faire les tests...

donc tu as raison:

Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
220 smtp.mondomaine.fr ESMTP smtp
ehlo example@example.com
250-smtp.domaine.fr
250-PIPELINING
250-SIZE 50000000
250-VRFY
250-ETRN
250 8BITMIME
mail from: example@example.com
250 Ok
rctp to: antony@free.fr
502 Error: command not implemented
rcpt to: antony@free.fr
250 Ok
data.
502 Error: command not implemented
data
354 End data with <CR><LF>.<CR><LF>
test
.
250 Ok: queued as 0B2F3C055507

Donc en fait le local_recipient_maps = hash:/etc/postfix/relay_recipients
avec les adresses de mondomaine ne fonctionne que sur les mails venant de l'extérieur

toniotonio · Le 31/08/2007, à 09:25

oui c'est sa fonction

B@rtounet · Le 31/08/2007, à 09:29

Donc en fait, de l'interieur de mon réseau on peut donc envoyer vers n'importe quel domaine existant.
Je devrais plutot voir du coté de domino pour que lui bloque tout ce qui n'est pas
nom@mondomaine.fr

toniotonio · Le 31/08/2007, à 09:32

envoyer de l'interieur du reseau vers n'importe quel domaine existant cela me semble normal a partir du moment ou c'est initié par un client du lan.

ce qui peut etre moins bien c'est de pouvoir spoofer le mailfrom.
mais cette securité par defaut n'existe pas dans postfix (car elle implique pas mal de contrainte) et donc il faut la parametrer si tu desires restreindre les mailfrom de tes users a leur propres adresses.

B@rtounet · Le 31/08/2007, à 09:33

toniotonio a écrit :

envoyer de l'interieur du reseau vers n'importe quel domaine existant cela me semble normal a partir du moment ou c'est initié par un client du lan.
ce qui peut etre moins bien c'est de pouvoir spoofer le mailfrom.
mais cette securité par defaut n'existe pas dans postfix (car elle implique pas mal de contrainte) et donc il faut la parametrer si tu desires restreindre les mailfrom de tes users a leur propres adresses.

La paramétrer ou? sur le serveur domino ?

Dernière modification par B@rtounet (Le 31/08/2007, à 09:35)

toniotonio · Le 31/08/2007, à 09:37

B@rtounet a écrit :

toniotonio a écrit :
envoyer de l'interieur du reseau vers n'importe quel domaine existant cela me semble normal a partir du moment ou c'est initié par un client du lan.
ce qui peut etre moins bien c'est de pouvoir spoofer le mailfrom.
mais cette securité par defaut n'existe pas dans postfix (car elle implique pas mal de contrainte) et donc il faut la parametrer si tu desires restreindre les mailfrom de tes users a leur propres adresses.
La paramétrer ou? sur le serveur domino ?

ce serait plus logique si c'est le serveur qui tient les comptes...
mais tu peux aussi le faire sur postfix

B@rtounet · Le 31/08/2007, à 09:46

Quelles sont les options permettant de le faire dans postfix, histoire que je creuse la question ?

Dernière modification par B@rtounet (Le 31/08/2007, à 09:46)

Ubuntu-fr

Navigation

Liens de recherche

Annonce

#1 Le 30/08/2007, à 18:03

[Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#2 Le 30/08/2007, à 18:17

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#3 Le 30/08/2007, à 18:18

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#4 Le 30/08/2007, à 18:23

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#5 Le 30/08/2007, à 18:29

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#6 Le 30/08/2007, à 18:30

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#7 Le 30/08/2007, à 19:04

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#8 Le 30/08/2007, à 19:35

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#9 Le 30/08/2007, à 21:49

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#10 Le 30/08/2007, à 22:00

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#11 Le 30/08/2007, à 22:39

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#12 Le 30/08/2007, à 23:53

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#13 Le 30/08/2007, à 23:58

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#14 Le 31/08/2007, à 01:03

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#15 Le 31/08/2007, à 01:17

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#16 Le 31/08/2007, à 07:04

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#17 Le 31/08/2007, à 08:20

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#18 Le 31/08/2007, à 08:35

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#19 Le 31/08/2007, à 09:07

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#20 Le 31/08/2007, à 09:25

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#21 Le 31/08/2007, à 09:29

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#22 Le 31/08/2007, à 09:32

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#23 Le 31/08/2007, à 09:33

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#24 Le 31/08/2007, à 09:37

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

#25 Le 31/08/2007, à 09:46

Re : [Résolu] Postfix mail qui ne devrait pas dans la mailqueue

Pied de page des forums