Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

#1 Le 13/11/2018, à 10:28

aurelf

[Postfix] Configuration relai ouvert

Bonjour,

J'ai un besoin de rediriger les emails de certaines adresses emails (provenant d'un serveur de messagerie autre que Postfix) vers Internet tout en modifiant l'émetteur

L'idée est:
1. utilisateur@domain.com envoie un email à destinataire@internet.com
2. Cet email est redirigé vers Postfix
3. Postfix se chargera de rentranscrire l'adresse émettrice utilisateur@domain.com en nouvel_emetteur@nouveaudomaine.com
4. Postfix se chargera de la remise vers le destinataire destinataire@internet.com

Au delà des problématique Spam d'un relai ouvert pour lesquelles je suis conscient, voici la configuration apportée:
relayhost =
relay_domains = permit_all
myorigin = domain.com
sender_canonical_maps = hash:/etc/postfix/sender_canonical #pour modifier l'émetteur

Le reste de la configuration est standard il manque peut être la partie transport
transport_maps = hash:/etc/postfix/transport

Je continue à chercher mais un aiguillage serait le bienvenu.

Cordialement

Hors ligne

#2 Le 13/11/2018, à 11:01

bruno

Re : [Postfix] Configuration relai ouvert

Bonjour,
Pourquoi veux-tu faire cela :

relay_domains = permit_all

et faire de ton MTA un relais ouvert ! Il ne faut surtout pas faire cela !

Si je reprend tes différents points :
1. ok
2. ok si l'expéditeur passe par ton SMTP ou si internet.com a enregistrement MX correspondant à ton serveur Postfix, le courriel sera pris en charge. Ce qui implique que tu es propriétaire du nom de domaine internet.com
3. ok avec la réécriture d'adresse (réf http://www.postfix.org/ADDRESS_REWRITING_README.html)
4. oui si internet.com le domaine est dans mydestination ou en domaine virtuel.

Dernière modification par bruno (Le 13/11/2018, à 14:53)

Hors ligne

#3 Le 13/11/2018, à 11:17

aurelf

Re : [Postfix] Configuration relai ouvert

Bonjour Bruno,

Evidemment que je sais qu'un relai ouvert est dangereux c'est pour cela que j'ai bien indiqué que c'était bien au delà de ça.

Il s'agit d'une configuration qui va être mise en place temporairement (quelques heures même si je sais que quelques secondes suffisent pour "Zombifier" un relai)

Dans la description les étapes ça semble faisable mais l'implémentation un peu plus complexe.

J'avais bien compris qu'en mettant dans mydestination le domaine la délivrance serait prit en charge mais je ne peux lister tous les domaines avec qui je communique d'où la nécessiter d'autoriser tous les destinataires.

D'où la nécessité de restreindre à l'émetteur et non au destinataire la délivrance.

La configuration en place actuellement ne semble pas fonctionnelle actuellement d'où la demande d'aide smile

Cordialement

Hors ligne

#4 Le 13/11/2018, à 12:22

bruno

Re : [Postfix] Configuration relai ouvert

Ce que tu essaies d'expliquer est totalement incompréhensible.
Il n'y a aucune raison de configurer un MTA en relais ouvert !
Les quelques heures sont largement suffisantes pour émettre des milliers de spam et se retrouver en liste noire partout (avec parfois l'impossibilité d'en sortir).

D'où la nécessité de restreindre à l'émetteur et non au destinataire la délivrance.

Cela ne veut strictement rien dire…

Dernière modification par bruno (Le 13/11/2018, à 12:34)

Hors ligne

#5 Le 13/11/2018, à 13:51

aurelf

Re : [Postfix] Configuration relai ouvert

Je comprends le conseil et l'applique tous les jours dans ma vie professionnelle.
C'est un besoin ponctuel et précis. Je ne cherche pas une démagogie quelconque sur comment gérer un MTA et les Spams.

Je demande juste un peu d'aide à la configuration sachant le risque pour quelques heures.

D'après ta réponse, il n'est donc pas possible de restreindre la communication à des émetteurs d'un domaine (je ne veux que seuls les utilisateurs domain.com puissent lui envoyer des emails les autres étant rejetés et que l'adresse émettrice soit modifiée)

Cordialement

Hors ligne

#6 Le 13/11/2018, à 14:54

bruno

Re : [Postfix] Configuration relai ouvert

Je ne comprends toujours pas ce que tu veux dire. Et je ne vois pas le rapport entre ce que j'ai dit et la démagogie

Je pense que personne ici ne t'aidera à mettre en place un relais ouvert.

Si tu expliquais clairement et précisément ce que tu veux faire, en oubliant temporairement les questions techniques, on pourrait avancer.

Je vais quand même expliquer une ou deux choses sur la configuration de postfix.

    • les clients appartenant aux réseaux spécifiés dans mynetworks sont autorisés à envoyer des courriels vers n'importe quelle destination. La prudence impose donc de n'y mettre que l'adresse de bouclage (127.0.0.0/8, ::1) ;

    • pour tout autre client, seuls les courriels à destination des domaines spécifiés dans mydestination sont autorisés. Cette directive doit donc contenir les domaines que l'on possède, ceux pour lesquels postfix doit délivrer les courriels (plus exactement passer la main au MDA, Dovecot par exemple). En fait ceci est défini par la directive : relay_domains = $mydestination (valeur par défaut). En mettant relay_domains = permit_all tous les clients seront autorisés à envoyer des courriels vers n'importe quelle destination, transformant ainsi postfix en relais ouvert.

    • si on veut autoriser des clients n'appartenant pas aux réseaux spécifiés dans mynetworks, il faut mettre en place l'authentification SASL(avec Dovecot) et autoriser les clients authentifiés via la directive smtpd_client_restrictions

Dernière modification par bruno (Le 13/11/2018, à 14:59)

Hors ligne

#7 Le 13/11/2018, à 20:37

aurelf

Re : [Postfix] Configuration relai ouvert

Je me suis mal exprimé du coup sur mon besoin et la seule solution que je voyais pour réaliser était d'autoriser tout depuis le relai sachant pertinemment tout ce que ça implique voilà pourquoi je cherchais de l'aide

Dans ma compréhension de Postfix à l'heure actuelle est que ce qui est référencé dans mydestination (mes domaines) est autorisé à transiter. Mon objectif est le suivant:

J'ai une plateforme multi-domaines (SaaS) et depuis cette plateforme j'aimerai rediriger un des domaines vers le Postfix qui lui redirigerai simplement suivant le destinataire (externe type yahoo.fr ou du même domaine)

Dans ce cas j'imagine qu'il faut pouvoir dire à Postfix d'accpeter les mails provenant de tel domaine et de telles IPs pour être accepté (pour éviter d'ouvrir le relai).

Dans ton explication claire, je devrais donc ajouter dans mynetworks mes IPs d'envoi. Le nombre d'IPs étant conséquent et mutualiser dû à la plateforme SaaS j'aurais voulu restreindre également au domaine en question.

Cordialement.

Hors ligne

#8 Le 13/11/2018, à 21:22

bruno

Re : [Postfix] Configuration relai ouvert

Non il ne faut pas faire comme cela.
On ne « redirige pas un domaine vers postfix », cela ne veut rien dire.

Comme je l'ai dit pour des raisons évidentes de sécurité il vaut mieux laisser mynetworks avec uniquement l'adresse de bouclage.
Surtout si c'est ta « plate-forme » qui héberge postfix. Car dans ce cas tout utilisateur système sera autorisé à utiliser postfix pour envoyer des courriels vers n'importe quelle destination.

Je pense que tout ceci vient d'une méconnaissance des mécanisme d'envoi de courriel. Je t'invite donc à lire :
http://irp.nain-t.net/doku.php/170smtp:start
http://www.postfix.org/BASIC_CONFIGURATION_README.html

Hors ligne

#9 Le 13/11/2018, à 22:09

aurelf

Re : [Postfix] Configuration relai ouvert

Je te remercie de toutes ces réponses.
Si ce n'est pas les bonnes pratiques alors qu'elles sont-elles?

Je suis conscient des problématique de sécurité sur ce sujet.

Il est possible de rediriger le flux SMTP sortant vers un relai pour redistribuer les emails c'est ce que j'essaie de réaliser. Les serveurs de messageries principaux ne sont pas sur Postfix.
Il faut donc autoriser les IPs du flux sortant des serveurs de messageries dans Postfix pour autoriser le relai.

Le nombre d'IPs et la mutualisation de celles-ci posent effectivement une problématique de sécurité voilà pourquoi je demande si il est possible de "coupler" l'autorisation des IPs dans mynetworks (même si ce n'est pas la meilleure chose à faire) avec le domaine émetteur qui m'appartient.

Je te remercie encore pour tous ces éclaircissements.

Cordialement

Hors ligne

#10 Le 13/11/2018, à 22:29

bruno

Re : [Postfix] Configuration relai ouvert

Tout ceci reste assez vague. Je ne peux donc pas apporter de réponse plus précise.

Hors ligne

#11 Le 18/11/2018, à 17:16

LeoMajor

Re : [Postfix] Configuration relai ouvert

bonjour,

Les serveurs de messageries principaux ne sont pas sur Postfix.

1/ déclarer le(s) mx
il faut choisir:
a/ host -t mx domain.com renvoie vers ta machine exemple; mail.domain.com, là ou est installé ton postfix, et il te faut déclarer les récipients sur postfix
ou
b/ host -t mx domain.com renvoie vers les mx mutualisés  mail-eu-west-mx-1.mailspot.info  mail-eu-west-mx-2.mailspot.info, et il te faut déclarer les adresses de courrier, récipients chez internet.com ou ton fournisseur de solution de courrier.

en revanche, ce qui n'est pas viable
host -t mx domain.com renvoie mail.domain.com (ton postfix) et mail-eu-west-mx-1.mailspot.info ...

ce qui est viable aussi,
host -t mx domain.com renvoie vers les mx mutualisés
et
host -t mx sous.domain.com renvoie vers ton postfix, mail.domain.com

2/ sous-traitant smtp à l'envoi (relayhost ou équivalent  *   smtp:[relais] dans une table transport )

/etc/postfix/transport.cf

#trash
devnull@b.domain.com	discard:                                   #declaré en virtual

b.domain.com	lmtp:unix:private/dovecot-lmtp                #virtual

toto@domain.com	local:                                                # non virtual
tata@domain.com	local:                                                # non virtual
domain.com 	lmtp:unix:private/dovecot-lmtp                 # virtual
autre.fr            lmtp:unix:private/dovecot-lmtp                 # virtual
localhost	error:
#relais
*	smtp:[relais.truc.tld]:587

attention, la 1ière ligne est évaluée en premier, et postfix s'arrêtera sur celle qui valide.

Postfix n'envoie pas le courrier directement mais utilise un tiers, un relais, pour envoyer ailleurs sur autre MTA. A priori facultatif, mais surtout il est fortement conditionné par l'endroit où est installé physiquement, virtuellement, Postfix, bref surtout tributaire du réseau ambiant, propriéaire d'untel FAI ou d'untel propriétaire de datacenter.
En théorie, on peut utiliser n'importe quel relais, sous traitant smtp à l'envoi, dès lors que ce dernier valide entièrement une transaction smtp.  En pratique, il faut faire des sessions telnet, openssl s_client , pour savoir si untel est plus rapide, moins filtré qu'un autre, etc ... Le MTA du propriétaire du réseau est souvent le meilleur relais.

3/ migration d'un ancien-domain.com vers domain.com
utiliser imapsync (git gilles lamiral)

4/ forward, redirect, à chaque requête
conceptuellement très proches
le "vrai" redirect smtp ou redirect sieve, est lorsqu'on fait suivre le message ailleurs sur un autre MTA. Il n'y a pas de livraison sur postfix, le MTA local.
arthur@domain.com              REDIRECT   vero@yahoo.fr
chantal@domain.com            REDIRECT   c@domain.com    (comme un forward)

jeter un coup d'oeil à l'extension "Mail Redirect" de thunderbird, qui tente maladroitement d'appliquer un REDIRECT serveur au niveau client MUA

le forward est plutôt  un reajustement de livraison (alias de recipients, forward commande, ...)  sur le même MTA . Il y a livraison sur postfix.

5/ réponse au #1

mydestination = domain.com
mydomain = domain.com
myhostname = mail.domain.com
relay_domains = $mydomain
relay_recipient_maps = hash:/etc/postfix/recipients_allow.cf  (surcharge, restriction de relay_domains) Liste les récipients valides y compris les domaines & recipients virtuels si il y en a. 

Hors ligne