Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 13-10-2019 17:06:49

jibe
Membre
Distrib. : DF-Linux 10
Noyau : Linux 4.19.0-10-amd64
(G)UI : mate
Inscription : 19-06-2018

[RESOLU] postfix et authentification sasl

Salut,

J'ai une installation postfix+dovecot qui fonctionne bien en interne, qui reçoit bien les mails de l'extérieur, mais qui doit passer par le SMTP de mon FAI, avec authentification, pour sortir. Cette authentification ne fonctionnant pas, en cherchant un peu, je vois qu'il n'y a rien dans /etc/postfix/sasl/, entre autres pas le smtpd.conf qui devrait s'y trouver !

Manifestement, j'ai mal fait un truc à l'installation, mais j'ai du mal à trouver quoi et comment corriger... Quelqu'un peut me mettre sur une piste SVP ?

Dernière modification par jibe (16-10-2019 21:55:15)

Hors ligne

#2 14-10-2019 23:04:51

jibe
Membre
Distrib. : DF-Linux 10
Noyau : Linux 4.19.0-10-amd64
(G)UI : mate
Inscription : 19-06-2018

Re : [RESOLU] postfix et authentification sasl

Salut,

Bon, j'ai fait quelques mauvais mixages avec des docs qui n'utilisent pas la même authentification, alors évidemment...

Une fois remis à peu près en ordre et relu les docs sur l'authentification par dovecot, ça semble aller moins mal, mais j'ai toujours le problème d'authentification sur le serveur free.fr. Voici quelques extraits de logs.

/var/log/mail.log :


Oct 14 00:14:29 serveur postfix/postfix-script[22326]: starting the Postfix mail system
Oct 14 00:14:29 serveur postfix/master[22328]: daemon started -- version 3.4.5, configuration /etc/postfix
Oct 14 00:15:03 serveur postfix/smtpd[22341]: connect from unknown[192.168.1.12]
Oct 14 00:15:03 serveur postfix/smtpd[22341]: warning: connect to Milter service inet:localhost:8891: Connection refused
Oct 14 00:15:04 serveur postfix/smtpd[22341]: 1FC8F1901038: client=unknown[192.168.1.12], sasl_method=PLAIN, sasl_username=moi
Oct 14 00:15:04 serveur postfix/cleanup[22347]: 1FC8F1901038: message-id=<2d57fd30-deca-989d-1f35-81129fb2a010@domaine.tld>
Oct 14 00:15:04 serveur postfix/qmgr[22330]: 1FC8F1901038: from=<moi@domaine.tld>, size=676, nrcpt=1 (queue active)
Oct 14 00:15:04 serveur postfix/smtpd[22341]: disconnect from unknown[192.168.1.12] ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8
Oct 14 00:15:04 serveur dovecot: imap(moi)<21632><pfNMuNGUFuTAqAEM>: Connection closed (IDLE running for 0.001 + waiting input for 0.007 secs, 2 B in + 10 B out, state=wait-input) in=1121 out=122010 deleted=0 expunged=0 trashed=0 hdr_count=1 hdr_bytes=269 body_count=0 body_bytes=0
Oct 14 00:15:04 serveur postfix/smtp[22348]: certificate verification failed for smtp.free.fr[212.27.48.4]:25: untrusted issuer /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
Oct 14 00:15:04 serveur postfix/smtp[22348]: 1FC8F1901038: to=<mon.compte@free.fr>, relay=smtp.free.fr[212.27.48.4]:25, delay=0.59, delays=0.11/0.03/0.46/0, dsn=4.7.5, status=deferred (Server certificate not trusted)
Oct 14 00:15:04 serveur dovecot: imap-login: Login: user=<moi>, method=PLAIN, rip=192.168.1.12, lip=192.168.1.3, mpid=22351, TLS, session=<5GxKFdKUfOTAqAEM>
 



/var/log/mail.err :


Oct 14 02:13:37 serveur postfix/smtpd[23187]: error: open database /etc/postfix/virtual.db: No such file or directory
Oct 14 02:54:34 serveur postfix/smtpd[23426]: error: open database /etc/postfix/virtual.db: No such file or directory
 



/var/log/mail.info :


Oct 14 00:14:29 serveur postfix/master[22328]: daemon started -- version 3.4.5, configuration /etc/postfix
Oct 14 00:15:03 serveur postfix/smtpd[22341]: connect from unknown[192.168.1.12]
Oct 14 00:15:03 serveur postfix/smtpd[22341]: warning: connect to Milter service inet:localhost:8891: Connection refused
Oct 14 00:15:04 serveur postfix/smtpd[22341]: 1FC8F1901038: client=unknown[192.168.1.12], sasl_method=PLAIN, sasl_username=moi
Oct 14 00:15:04 serveur postfix/cleanup[22347]: 1FC8F1901038: message-id=<2d57fd30-deca-989d-1f35-81129fb2a010@domaine.tld>
Oct 14 00:15:04 serveur postfix/qmgr[22330]: 1FC8F1901038: from=<moi@domaine.tld>, size=676, nrcpt=1 (queue active)
Oct 14 00:15:04 serveur postfix/smtpd[22341]: disconnect from unknown[192.168.1.12] ehlo=2 starttls=1 auth=1 mail=1 rcpt=1 data=1 quit=1 commands=8
Oct 14 00:15:04 serveur dovecot: imap(moi)<21632><pfNMuNGUFuTAqAEM>: Connection closed (IDLE running for 0.001 + waiting input for 0.007 secs, 2 B in + 10 B out, state=wait-input) in=1121 out=122010 deleted=0 expunged=0 trashed=0 hdr_count=1 hdr_bytes=269 body_count=0 body_bytes=0
Oct 14 00:15:04 serveur postfix/smtp[22348]: certificate verification failed for smtp.free.fr[212.27.48.4]:25: untrusted issuer /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
Oct 14 00:15:04 serveur postfix/smtp[22348]: 1FC8F1901038: to=<moi.beraud@free.fr>, relay=smtp.free.fr[212.27.48.4]:25, delay=0.59, delays=0.11/0.03/0.46/0, dsn=4.7.5, status=deferred (Server certificate not trusted)
 



/var/log/mail.warn :


Oct 14 00:15:03 serveur postfix/smtpd[22341]: warning: connect to Milter service inet:localhost:8891: Connection refused
 



Déjà, concernant /etc/postfix/virtual.db, je ne comprends pas ce que je dois y mettre ? Je n'ai pas d'autres alias que des alias internes (genre moi2@domaine.tld qui doit renvoyer à moi.domaine.tld), définis dans /etc/aliases. Faut-il les reporter dans cette table virtual.db ? Quel intérêt ? Sinon, qu'y mettre ? Ou j'ignore l'erreur ? Elle n'a pas l'air de bien gêner, elle semble n'arriver que très rarement, et pas quand j'envoie des mails.

Pour l'histoire du "certificate verification failed for smtp.free.fr", je suppose que c'est le certificat de free qui n'a pas été renouvelé ? Apparemment, c'est assez chronique chez eux. Mais est-ce cela peut poser problème (à part le fait que leur certificat ne sert strictement à rien s'il n'est pas correct !) ?

Enfin, mon mail est simplement "deferred" à cause de mon certificat. Or, j'ai un certificat Let's Encrypt que je pense bien avoir fait dans les rêgles, d'ailleurs Thunderbird se connecte sans problème en SSL/TLS. Par contre, dans le main.cf, je lis :

# See /usr/share/doc/postfix/TLS_README.gz in the postfix-doc package for
# information on enabling SSL in the smtp client.

malheureusement, je n'ai pas cette doc (pourquoi ? il me manque un paquet ?). Y a-t-il l'équivalent sur le net, ou une autre doc assez claire ?

Hors ligne

#3 15-10-2019 20:25:36

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [RESOLU] postfix et authentification sasl

Salut,

si tout doit passer par le smtp.free.fr pour envoyer les mails :

tu dois installer sasl2-bin et libsasl2-modules, mais c’est sans doute déjà installé

apt install sasl2-bin libsasl2-modules


puis tu crées le fichier /etc/postfix/sasl/sasl_passwd pour y mettre

[smtp.free.fr]:587  email@free.fr:TonPassword


puis

cd /etc/postfix/sasl
postmap sasl_passwd


et tu modifies le fichier /etc/postfix/main.cf, pour avoir :

smtp_sasl_auth_enable = yes
smtp_sasl_password_maps = hash:/etc/postfix/sasl/sasl_passwd
smtp_sasl_security_options = noanonymous

relayhost = [smtp.free.fr]:587


vu que tu n'utilises pas dkim, tu en profiteras pour commenter les lignes :

smtpd_milters = inet:localhost:8891
non_smtpd_milters = inet:localhost:8891

Hors ligne

#4 15-10-2019 22:35:45

jibe
Membre
Distrib. : DF-Linux 10
Noyau : Linux 4.19.0-10-amd64
(G)UI : mate
Inscription : 19-06-2018

Re : [RESOLU] postfix et authentification sasl

Salut,

Merci pour tes explications. J'ai mis tout ça en place, je pense que l'authentification devrait être Ok maintenant. Par contre, le problème concernait le certificat, et il persiste :

Oct 15 22:30:56 serveur postfix/smtp[10124]: certificate verification failed for smtp.free.fr[212.27.48.4]:587: untrusted issuer /C=US/O=DigiCert Inc/OU=www.digicert.com/CN=DigiCert Global Root CA
Oct 15 22:30:56 serveur postfix/smtp[10124]: 2285B1900FB4: to=<mon.compte@free.fr>, relay=smtp.free.fr[212.27.48.4]:587, delay=193258, delays=193258/0.09/0.42/0, dsn=4.7.5, status=deferred (Server certificate not trusted)
 


J'en suis un peu surpris, puisque j'ai un certificat Let's Encrypt que Thunderbird utilise sans problème en IMAP SSL/TLS sur le port 993 avec le même nom de serveur (mail.domaine.tld). Il y a une manip supplémentaire à faire pour qu'il puisse être reconnu par free.fr ?

Voilà la partie concernée de mon main.cf :

# TLS parameters
smtp_tls_CAfile     = /etc/letsencrypt/live/mail.bj-informatique.com/chain.pem
smtp_tls_cert_file = /etc/letsencrypt/live/mail.bj-informatique.com/cert.pem
smtp_tls_key_file  = /etc/letsencrypt/live/mail.bj-informatique.com/privkey.pem
smtp_use_tls=yes
smtpd_tls_cert_file = /etc/letsencrypt/live/mail.bj-informatique.com/cert.pem
smtpd_tls_key_file  = /etc/letsencrypt/live/mail.bj-informatique.com/privkey.pem
smtpd_use_tls=yes
 

Hors ligne

#5 16-10-2019 08:08:54

Freemaster
Membre
Lieu : Nord
Distrib. : Debian amd64
Inscription : 31-07-2018
Site Web

Re : [RESOLU] postfix et authentification sasl

essayes de rajouter les options

smtp_tls_security_level = may
smtpd_tls_security_level = may

Hors ligne

#6 16-10-2019 12:24:55

vv222
Administrateur
Lieu : Bretagne
Distrib. : GNU/Linux Debian « Sid »
Noyau : Linux ≥ 5.8 (amd64)
(G)UI : Openbox
Inscription : 18-11-2013
Site Web

Re : [RESOLU] postfix et authentification sasl

Ton certificat est probablement correct, mais ce n’est pas le cas de celui de Free wink

Jouer sous Debian ? Facile !

Hors ligne

#7 16-10-2019 21:48:02

jibe
Membre
Distrib. : DF-Linux 10
Noyau : Linux 4.19.0-10-amd64
(G)UI : mate
Inscription : 19-06-2018

Re : [RESOLU] postfix et authentification sasl

Salut,

@Freemaster :
Super, merci smile C'était bien ça qui me manquait !

@vv222 :

Oui, c'est bien pour leur foutre la honte que j'ai laissé la ligne de log correspondante tongue C'est quand même un peu gros, surtout que c'est assez récurrent. Le certificat de leur site et du webmail est correct, mais pas celui du SMTP...


Bon, à priori il ne me reste plus qu'un problème de DKIM. Je vais essayer de voir pourquoi j'ai ce message "connexion refused" sur le service Milter et j'ouvrirai un autre sujet si besoin. En attendant, je passe celui-ci en résolu.

Et merci encore à Freemaster !

PS : si quelqu'un a une solution pour les bounces, j'apprécierais beaucoup !

Hors ligne

Pied de page des forums