Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 15-01-2020 10:25:56

jibe
Membre
Distrib. : DF-Linux 9
Noyau : Linux 4.9.0-6-amd64
(G)UI : mate
Inscription : 19-06-2018

Postfix : Faire une exception à reject_unknown_client_hostname

Bonjour,

J'ai configuré mon postfix avec reject_unknown_client_hostname : les SMTP n'ayant pas un reverse DNS valide sont généralement suspects, voire spammeurs. Mais il y a quelques exceptions à la règle, en particulier les gens honnêtes et corrects qui s'auto-hébergent et n'ont, pour diverses raisons, guère d'autre choix que de faire relayer leurs mails par leur FAI, même s'il n'autorise pas le reverse-DNS.

Je tente donc d'introduire dans ma config postfix une sorte de whitelist qui serait prise en compte avant le reject_unknown_client_hostname, mais je n'y parviens pas et quelques conseils seraient les bienvenus !

Tout d'abord, voici ce que je trouve dans mes logs :

Jan 14 21:23:53 panda postfix/smtpd[10046]: warning: hostname 444.333.222.111.rev.fai.net does not resolve to address 111.222.333.444: Name or service not known
Jan 14 21:23:53 panda postfix/smtpd[10046]: connect from unknown[111.222.333.444]
Jan 14 21:23:54 panda postfix/smtpd[10046]: NOQUEUE: reject: RCPT from unknown[111.222.333.444]: 450 4.7.25 Client host rejected: cannot find your hostname, [111.222.333.444]; from=<noreply@second-domaine.org> to=<moi@mon-domaine.com> proto=ESMTP helo=<domaine-principal.name>
Jan 14 21:24:04 panda postfix/smtpd[10046]: disconnect from unknown[111.222.333.444] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=6/7
 



J'ai donc tenté de forcer l'acceptation de second-domaine.org, et comme le "helo" n'utilise pas le même domaine, j'ai aussi tenté de le forcer dans /etc/postfix/client_access :

# Force l'accès pour domaine-principal.name et second-domaine.org
domaine-principal.name                  OK
second-domaine.org                       OK
 



Et j'ai donc demandé la prise en compte de /etc/postfix/client-access dans /etc/postfix/main.cf. Comme ça n'était pas pris en compte dans smtpd-client-restrictions (comme indiqué ici, qui me semble pourtant conforme aux pages de man...), j'ai ajouté cette prise en compte un peu partout :

# Règles pour accepter ou refuser une connexion :
smtpd_client_restrictions =
   check_client_access hash:/etc/postfix/client_access,
   permit_mynetworks,
   permit_sasl_authenticated,
   reject_unauth_pipelining
   reject_unknown_client_hostname,
   reject_unknown_reverse_client_hostname,
   sleep 1

# Règles pour accepter ou refuser un message, dès lors qu'on connaît le nom
# de l'hôte de l'expéditeur (par sa commande HELO ou EHLO) :
# - on refuse les noms d'hôte invalides.
smtpd_helo_required = yes
smtpd_helo_restrictions =
   check_client_access hash:/etc/postfix/client_access,                                                                                                                                                                                          permit_mynetworks,
   reject_non_fqdn_helo_hostname,
   reject_invalid_helo_hostname,
   reject_unknown_helo_hostname,
   check_helo_access hash:/etc/postfix/helo_access

# Règles pour accepter ou refuser un message, dès lors qu'on connaît l'adresse
# de l'expéditeur :
smtpd_sender_restrictions =
   check_client_access hash:/etc/postfix/client_access,                                                                                                                                                                                      
   reject_unlisted_sender, reject_unknown_sender_domain,
   check_sender_access hash:/etc/postfix/sender_access
   permit_mynetworks, permit_sasl_authenticated,
   reject_non_fqdn_sender,

# Règles pour accepter ou refuser un message, dès lors qu'on connaît le
# destinataire (par la commande RCPT TO) :
smtpd_recipient_restrictions =
   check_client_access hash:/etc/postfix/client_access,
   reject_unlisted_recipient, reject_unknown_recipient_domain,
   permit_mynetworks, permit_sasl_authenticated,
   reject_non_fqdn_recipient,
   reject_unauth_destination,
   reject_unverified_recipient,
   check_policy_service inet:127.0.0.1:10023
 



Bien sûr, après ces modifs, j'ai lancé les commandes

postmap /etc/postfix/client_access
# postmap /etc/postfix/sender_access
# /etc/init.d/postfix reload
 



Pourquoi donc les mails de ce(s) domaine(s) sont toujours refusés ? Il semble qu'il y ait un truc que j'ai mal compris et que je fais mal dans ma config...

Dernière modification par jibe (18-01-2020 09:17:23)

Hors ligne

#2 18-01-2020 09:25:35

jibe
Membre
Distrib. : DF-Linux 9
Noyau : Linux 4.9.0-6-amd64
(G)UI : mate
Inscription : 19-06-2018

Re : Postfix : Faire une exception à reject_unknown_client_hostname

Salut,

Bon, je fais un petit up et j'ai complété le titre pour être plus précis.

Personne n'a d'idée sur ce point ? Il semble que ça devrait pouvoir fonctionner, d'après ce lien que j'ai déjà mentionné dans mon premier post... Pourtant, chez moi, rien à faire. Il y a manifestement un truc, peut-être un détail que j'ai mal fait ?

J'ai rajouté partout la prise en compte de ma white/blacklist /etc/postfix/client_acces, ce n'est certainement pas très propre, mais ça devrait être efficace, non ? Des idées pour faire fonctionner ça ou pour faire une config plus propre et efficace ?

Hors ligne

Pied de page des forums