logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 22-06-2019 12:00:04

woinche
Membre
Lieu : rhone alpes
Distrib. : debian 9
Noyau : Linux 4.9.0-8-amd64
(G)UI : KDE
Inscription : 17-11-2018

configuration POSTFIX

bonjour à tous,

actuellement mon serveur postfix à un comportement loin d’être satisfaisant.

ma configuration actuelle fait que :

- si j'envoie un mail vers un domaine distant --> je doit être identifié via SASL pour que le mail soit relayer
- si je reçois un mail  depuis un domaine distant --> le mail est délivré
- si j'envoie un mail vers un compte de mon domaine local --> l'authentification SASL n'est pas obligatoire

       ça donne un comportement assez gênant dans le sens ou je peux envoyer un mail type "From: admin@mondomaine.dtl To: utilisateur@mondomaine.dtl" sans être admin@mondomaine.dtl et sans commettre son mot de passe.

       du coup n’importe qui peut faire de l'usurpation d’identité d'adresse local vers adresse local.... c'est pas génial.

alors dans le main.cf j'ai essayer de jouer sur le paramètre smtpd_relay_restrictions de plusieurs façon ;

smtpd_relay_restrictions = permit_sasl_authenticated, reject


et sa donne le résultat suivant :

- si j'envoie un mail vers un domaine distant --> je doit être identifié via SASL pour que le mail soit relayer
- si je reçois un mail  depuis un domaine distant --> le "sender" n’étant pas identifié sur mon serveur le mail est rejeté (normal) (erreur 554 5.7.1)
- si j'envoie un mail vers un compte de mon domaine local --> je doit être identifié via SASL

du coup je me rend bien compte que je doit accepter les mails qui me son destiner et ce peut importe le "sender"
mais si je configure

smtpd_relay_restrictions = permit_sasl_authenticated, permit_auth_destination, reject



bah je me retrouve avec le mène problème qu'avant !


en somme voici ce que je cherche :
lorsque qu'un mail dont l'adresse de réception correspond à auth_destination (mon domaine) et dont l'adresse d’envoi est extérieur à auth_destination --> le mail est accepté
lorsque qu'un mail dont l'adresse de réception correspond à auth_destination (mon domaine) et dont l'adresse d'envoi est "intra-domain" --> le mail est accepté si l'utilisateur smtp est auhentifié via SASL

j'ai essayé de jouer sur d'autre paramètre (recipeint_restriction, sender_restriction) sans sucés.


postconf -n


alias_database = hash:/etc/aliases
alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
compatibility_level = 2
inet_interfaces = all
inet_protocols = all
mailbox_size_limit = 0
message_size_limit = 0
milter_default_action = accept
milter_protocol = 6
mydestination = [mondomaine plus un sous domaine]
myhostname = [mondomaine]
mynetworks = 127.0.0.0/8 [::ffff:127.0.0.0]/104 [::1]/128
myorigin = /etc/mailname
readme_directory = no
recipient_delimiter = +
relayhost =
smtp_sasl_password_maps = hash:/etc/postfix/sasl_password_maps
smtp_sender_dependent_authentication = yes
smtp_tls_session_cache_database = btree:${data_directory}/smtp_scache
smtpd_banner = [mondomaine] ESMTP $mail_name
smtpd_delay_reject = yes
smtpd_milters = inet:localhost:12345
smtpd_relay_restrictions = permit_sasl_authenticated, permit_auth_destination, reject
smtpd_sasl_auth_enable = yes
smtpd_sasl_authenticated_header = yes
smtpd_sasl_local_domain = $mydomain
smtpd_sasl_path = smtpd
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/ssl/GandiStandardSSLCA2.pem
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/ssl/mail.crt
smtpd_tls_key_file = /etc/ssl/private/mail.key
smtpd_tls_security_level = may
smtpd_tls_session_cache_database = btree:${data_directory}/smtpd_scache
smtpd_use_tls = yes
 



Merci !

Hors ligne

Pied de page des forums