Bonjour,
J'ai configuré mon postfix avec reject_unknown_client_hostname : les SMTP n'ayant pas un reverse DNS valide sont généralement suspects, voire spammeurs. Mais il y a quelques exceptions à la règle, en particulier les gens honnêtes et corrects qui s'auto-hébergent et n'ont, pour diverses raisons, guère d'autre choix que de faire relayer leurs mails par leur FAI, même s'il n'autorise pas le reverse-DNS.
Je tente donc d'introduire dans ma config postfix une sorte de whitelist qui serait prise en compte avant le reject_unknown_client_hostname, mais je n'y parviens pas et quelques conseils seraient les bienvenus !
Tout d'abord, voici ce que je trouve dans mes logs :
Jan 14 21:23:53 panda postfix/smtpd[10046]: warning: hostname 444.333.222.111.rev.fai.net does not resolve to address 111.222.333.444: Name or service not known
Jan 14 21:23:53 panda postfix/smtpd[10046]: connect from unknown[111.222.333.444]
Jan 14 21:23:54 panda postfix/smtpd[10046]: NOQUEUE: reject: RCPT from unknown[111.222.333.444]: 450 4.7.25 Client host rejected: cannot find your hostname, [111.222.333.444]; from=<noreply@second-domaine.org> to=<moi@mon-domaine.com> proto=ESMTP helo=<domaine-principal.name>
Jan 14 21:24:04 panda postfix/smtpd[10046]: disconnect from unknown[111.222.333.444] ehlo=2 starttls=1 mail=1 rcpt=0/1 rset=1 quit=1 commands=6/7
J'ai donc tenté de forcer l'acceptation de second-domaine.org, et comme le "helo" n'utilise pas le même domaine, j'ai aussi tenté de le forcer dans /etc/postfix/client_access :
# Force l'accès pour domaine-principal.name et second-domaine.org
domaine-principal.name OK
second-domaine.org OK
Et j'ai donc demandé la prise en compte de /etc/postfix/client-access dans /etc/postfix/main.cf. Comme ça n'était pas pris en compte dans smtpd-client-restrictions (comme indiqué ici, qui me semble pourtant conforme aux pages de man...), j'ai ajouté cette prise en compte un peu partout :
# Règles pour accepter ou refuser une connexion :
smtpd_client_restrictions =
check_client_access hash:/etc/postfix/client_access,
permit_mynetworks,
permit_sasl_authenticated,
reject_unauth_pipelining
reject_unknown_client_hostname,
reject_unknown_reverse_client_hostname,
sleep 1
# Règles pour accepter ou refuser un message, dès lors qu'on connaît le nom
# de l'hôte de l'expéditeur (par sa commande HELO ou EHLO) :
# - on refuse les noms d'hôte invalides.
smtpd_helo_required = yes
smtpd_helo_restrictions =
check_client_access hash:/etc/postfix/client_access, permit_mynetworks,
reject_non_fqdn_helo_hostname,
reject_invalid_helo_hostname,
reject_unknown_helo_hostname,
check_helo_access hash:/etc/postfix/helo_access
# Règles pour accepter ou refuser un message, dès lors qu'on connaît l'adresse
# de l'expéditeur :
smtpd_sender_restrictions =
check_client_access hash:/etc/postfix/client_access,
reject_unlisted_sender, reject_unknown_sender_domain,
check_sender_access hash:/etc/postfix/sender_access
permit_mynetworks, permit_sasl_authenticated,
reject_non_fqdn_sender,
# Règles pour accepter ou refuser un message, dès lors qu'on connaît le
# destinataire (par la commande RCPT TO) :
smtpd_recipient_restrictions =
check_client_access hash:/etc/postfix/client_access,
reject_unlisted_recipient, reject_unknown_recipient_domain,
permit_mynetworks, permit_sasl_authenticated,
reject_non_fqdn_recipient,
reject_unauth_destination,
reject_unverified_recipient,
check_policy_service inet:127.0.0.1:10023
Bien sûr, après ces modifs, j'ai lancé les commandes
postmap /etc/postfix/client_access
# postmap /etc/postfix/sender_access
# /etc/init.d/postfix reload
Pourquoi donc les mails de ce(s) domaine(s) sont toujours refusés ? Il semble qu'il y ait un truc que j'ai mal compris et que je fais mal dans ma config...
Dernière modification par jibe (18-01-2020 09:17:23)
Debian
Debian-France
Debian-Facile
Debian-fr.org
Forum-Debian.fr
Debian ?
Communautés
