Contenu | Rechercher | Menus

Annonce

Si vous avez des soucis pour rester connecté, déconnectez-vous puis reconnectez-vous depuis ce lien en cochant la case
Me connecter automatiquement lors de mes prochaines visites.

À propos de l'équipe du forum.

Pages : 1

#1 Le 15/01/2008, à 00:52

jnrt

SASL, TLS et smtp -> etre certain que les echanges sont cryptés

Bonsoir,

j'ai installé un serveur postfix avec le tls + sasl

pour etre certain que tout fonctionne, j'ai forcé l'usage de tls dans le main.conf "smtpd_enforce_tls = yes"

quand j'envoie des mails, j'ai le message d'erreur suivant:

                   The mail system

<xxxx@xxxxx.xx>: host 127.0.0.1[127.0.0.1] said: 530 5.5.0 Rejected by
    MTA([127.0.0.1]:10025): 530 5.7.0 Must issue a STARTTLS command first,
    id=13097-05 (in reply to end of DATA command)

est-ce à  dire que la liaison n'est pas sécurisée ?

mon postconf -n

alias_maps = hash:/etc/aliases
append_dot_mydomain = no
biff = no
broken_sasl_auth_clients = yes
config_directory = /etc/postfix
content_filter = smtp-amavis:[127.0.0.1]:10024
home_mailbox = Maildir/
inet_interfaces = all
inet_protocols = ipv4
local_recipient_maps = proxy:unix:passwd.byname $alias_maps
mailbox_command = maildrop
mailbox_size_limit = 0
mydestination = localhost.pressbook-rp.fr, pressbook-rp.fr, ns27840.ovh.net, localhost.ovh.net, localhost,
mydomain = pressbook-rp.fr
myhostname = ns27840.ovh.net
mynetworks = 127.0.0.0/8
myorigin = /etc/mailname
notify_classes = resource, software, protocol, bounce, policy, delay
recipient_delimiter = +
relayhost =
smtp_tls_note_starttls_offer = yes
smtp_use_tls = yes
smtpd_banner = $myhostname ESMTP $mail_name (Ubuntu)
smtpd_enforce_tls = yes
smtpd_recipient_restrictions = permit_sasl_authenticated,   permit_mynetworks,   reject_unauth_destination,
smtpd_sasl_auth_enable = yes
smtpd_sasl_local_domain =
smtpd_sasl_security_options = noanonymous
smtpd_tls_CAfile = /etc/postfix/ssl/www.pressbook-rp.fr.cert
smtpd_tls_auth_only = yes
smtpd_tls_cert_file = /etc/postfix/ssl/www.pressbook-rp.fr.cert
smtpd_tls_key_file = /etc/postfix/ssl/www.pressbook-rp.fr.key
smtpd_tls_loglevel = 2
smtpd_tls_received_header = yes
smtpd_tls_session_cache_timeout = 3600s
smtpd_use_tls = yes
tls_random_source = dev:/dev/urandom

par ailleurs sans "smtpd_enforce_tls = yes" j'arrive à  envoyer des mails sans sélectionner TLS dans mon client !

dans mes log de postfix j'ai :

connect from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 14 22:32:04 ns27840 postfix/smtpd[10853]: setting up TLS connection from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 14 22:32:05 ns27840 postfix/smtpd[10853]: TLS connection established from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]: TLSv1 with cipher AES128-SHA (128/128 bits)

que signifie "TLS connection established" alors que mon client n'est pas configuré pour utiliser le tls ?

avez vous des idées

bien à  vous

#2 Le 15/01/2008, à 10:33

toniotonio

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

Rejected by
    MTA([127.0.0.1]:10025)

tu peux faire voir le master.cf ?

sinon quelle est ta version de postfix ?

smtpd_use_tls = yes  et smtpd_enforce_tls = yes  sont 2 parametres obsoletes.

et d'une maniere generale, imposer le TLS sur un serveur branché sur le net et a vocation a recevoir des mails de n'importe ou, ce n'est pas possible.

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

Hors ligne

#3 Le 15/01/2008, à 16:15

jnrt

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

Bonjour

mon master.cf :

#
# Postfix master process configuration file.  For details on the format
# of the file, see the master(5) manual page (command: "man 5 master").
#
# ==========================================================================
# service type  private unpriv  chroot  wakeup  maxproc command + args
#               (yes)   (yes)   (yes)   (never) (100)
# ==========================================================================
smtp      inet  n       -       -       -       -       smtpd
#submission inet n       -       -       -       -       smtpd
#  -o smtpd_enforce_tls=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#smtps     inet  n       -       -       -       -       smtpd
#  -o smtpd_tls_wrappermode=yes
#  -o smtpd_sasl_auth_enable=yes
#  -o smtpd_client_restrictions=permit_sasl_authenticated,reject
#628      inet  n       -       -       -       -       qmqpd
pickup    fifo  n       -       -       60      1       pickup
cleanup   unix  n       -       -       -       0       cleanup
qmgr      fifo  n       -       n       300     1       qmgr
#qmgr     fifo  n       -       -       300     1       oqmgr
tlsmgr    unix  -       -       -       1000?   1       tlsmgr
rewrite   unix  -       -       -       -       -       trivial-rewrite
bounce    unix  -       -       -       -       0       bounce
defer     unix  -       -       -       -       0       bounce
trace     unix  -       -       -       -       0       bounce
verify    unix  -       -       -       -       1       verify
flush     unix  n       -       -       1000?   0       flush
proxymap  unix  -       -       n       -       -       proxymap
smtp      unix  -       -       -       -       -       smtp
# When relaying mail as backup MX, disable fallback_relay to avoid MX loops
relay     unix  -       -       -       -       -       smtp
    -o smtp_fallback_relay=
#       -o smtp_helo_timeout=5 -o smtp_connect_timeout=5
showq     unix  n       -       -       -       -       showq
error     unix  -       -       -       -       -       error
retry     unix  -       -       -       -       -       error
discard   unix  -       -       -       -       -       discard
local     unix  -       n       n       -       -       local
virtual   unix  -       n       n       -       -       virtual
lmtp      unix  -       -       -       -       -       lmtp
anvil     unix  -       -       -       -       1       anvil
scache      unix    -    -    -    -    1    scache
#
# ====================================================================
# Interfaces to non-Postfix software. Be sure to examine the manual
# pages of the non-Postfix software to find out what options it wants.
#
# Many of the following services use the Postfix pipe(8) delivery
# agent.  See the pipe(8) man page for information about ${recipient}
# and other message envelope options.
# ====================================================================
#
# maildrop. See the Postfix MAILDROP_README file for details.
# Also specify in main.cf: maildrop_destination_recipient_limit=1
#
maildrop  unix  -       n       n       -       -       pipe
  flags=DRhu user=vmail argv=/usr/bin/maildrop -d ${recipient}
#
# See the Postfix UUCP_README file for configuration details.
#
uucp      unix  -       n       n       -       -       pipe
  flags=Fqhu user=uucp argv=uux -r -n -z -a$sender - $nexthop!rmail ($recipient)
#
# Other external delivery methods.
#
ifmail    unix  -       n       n       -       -       pipe
  flags=F user=ftn argv=/usr/lib/ifmail/ifmail -r $nexthop ($recipient)
bsmtp     unix  -       n       n       -       -       pipe
  flags=Fq. user=bsmtp argv=/usr/lib/bsmtp/bsmtp -t$nexthop -f$sender $recipient
scalemail-backend unix    -    n    n    -    2    pipe
  flags=R user=scalemail argv=/usr/lib/scalemail/bin/scalemail-store ${nexthop} ${user} ${extension}
mailman   unix  -       n       n       -       -       pipe
  flags=FR user=list argv=/usr/lib/mailman/bin/postfix-to-mailman.py
  ${nexthop} ${user}


smtp-amavis unix -    -    y    -    2  smtp
    -o smtp_data_done_timeout=1200
    -o smtp_send_xforward_command=yes
    -o disable_dns_lookups=yes
    -o max_use=20

127.0.0.1:10025 inet n    -    y    -    -  smtpd
    -o content_filter=
    -o local_recipient_maps=
    -o relay_recipient_maps=
    -o smtpd_restriction_classes=
    -o smtpd_client_restrictions=
    -o smtpd_helo_restrictions=
    -o smtpd_sender_restrictions=
    -o smtpd_recipient_restrictions=permit_mynetworks,reject
    -o smtpd_data_restrictions=reject_unauth_pipelining
    -o smtpd_end_of_data_restrictions=
    -o mynetworks=127.0.0.0/8
    -o strict_rfc821_envelopes=yes
    -o smtpd_error_sleep_time=0
    -o smtpd_soft_error_limit=1001
    -o smtpd_hard_error_limit=1000
    -o smtpd_client_connection_count_limit=0
    -o smtpd_client_connection_rate_limit=0
    -o receive_override_options=no_address_mappings,no_header_body_checks,no_unknown_recipient_checks


*************************

en réalité la seule chose que je souhaite savoir est : ma liaison cleint/serveur est elle sécuriée avec TLS ? je souhaite m'assurer que mes logins ne sont pas envoyés en clair sur internet.

j'utilise le programme maxbulk pour mais campagne d'emailling. si je configure ce logiciel avec SSL OFF et esmpt / login / password mes mail partent ... si je met SSL ON, rien ne marche !

ça m'a mis la puce à  l'oreil quand a savoir si j'étais bien sécurié

ma version de postfix est : 2.4.5

merci encore pour ta réponse

#4 Le 15/01/2008, à 17:15

jnrt

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

j'ai ça aussi dans les log :

setting up TLS connection from stc92-1-82-227-107-44.fbx.proxad.net[82.227.107.44]
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:before/accept initialization
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv2/v3 read client hello A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read client hello B
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write server hello A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write certificate A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write key exchange A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write server done A
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 flush data
Jan 15 08:21:04 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client certificate A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read client certificate A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read client key exchange A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:error in SSLv3 read certificate verify A
Jan 15 08:21:05 ns27840 last message repeated 3 times
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 read finished A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write change cipher spec A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 write finished A
Jan 15 08:21:05 ns27840 postfix/smtpd[3632]: SSL_accept:SSLv3 flush data

#5 Le 15/01/2008, à 19:42

toniotonio

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

de quel login parles tu ?
ceux de la connection smtp lors de l'envoi du mail, le login SASL ?

j

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

Hors ligne

#6 Le 15/01/2008, à 20:21

jnrt

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

oui, ce sont les log pendant l'envoi d'un mail

#7 Le 15/01/2008, à 23:40

toniotonio

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

quand tu parles d'envoi c'est:

en reception sur ton serveur ? (donc smtpd)

ou en envoi de ton serveur vers un autre smtp (donc smtp)

Dernière modification par toniotonio (Le 15/01/2008, à 23:40)

Tutoriaux Postfix sur www.starbridge.org/spip
Messagerie Dédiée, Relais Mail Antispam/Antivirus, Infogérance 24/7: http://www.eole-its.com

Hors ligne

#8 Le 16/01/2008, à 00:31

jnrt

Re : SASL, TLS et smtp -> etre certain que les echanges sont cryptés

de mon PC vers le serveur ovh, donc les log du serveur ==> SMTPD

merci encore

Pages : 1